JP5907910B2 - Certification system, certification device, verification device, certification method - Google Patents
Certification system, certification device, verification device, certification method Download PDFInfo
- Publication number
- JP5907910B2 JP5907910B2 JP2013038327A JP2013038327A JP5907910B2 JP 5907910 B2 JP5907910 B2 JP 5907910B2 JP 2013038327 A JP2013038327 A JP 2013038327A JP 2013038327 A JP2013038327 A JP 2013038327A JP 5907910 B2 JP5907910 B2 JP 5907910B2
- Authority
- JP
- Japan
- Prior art keywords
- proof
- conversion
- expression
- expressions
- variable
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、2つ以上の証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の値を証明装置が保有していることを、検証装置に対して証明する証明システム、証明装置、検証装置、証明方法に関する。 The present invention proves to the verification device that the proof device has values of variables that hold all the proof equations included in at least one proof equation set of two or more proof equation sets. The present invention relates to a proof system, a proof device, a verification device, and a proof method.
群Gの要素同士のペアリングの積で構成された証明の対象となる式を証明式、1つ以上の証明式を含む証明式の集合を証明式集合と呼ぶこととする。そして、任意のペアリング積の等式について、その式を満たす値を知っていることを、その値を公開せずに非対話的に証明する手法として、Groth-Sahai非対話証明(以下、「GS証明」という。)が知られている(非特許文献1)。また、2つの証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の値を証明装置が保有していることを、GS証明を用いて証明する方法として、非特許文献2,3の方法が知られている。 An expression to be proved composed of a pairing product of elements of group G is called a proof expression, and a set of proof expressions including one or more proof expressions is called a proof expression set. Then, as a technique to prove non-interactively without revealing the value that satisfies the value of any pairing product equation, Groth-Sahai non-dialogue proof (hereinafter " (Referred to as “GS certification”) (Non-Patent Document 1). In addition, as a method for proving using a GS proof that a proof device has values of variables that hold all proof expressions included in at least one proof expression set of two proof expression sets, The methods of Patent Documents 2 and 3 are known.
eは群Gの要素同士のペアリング、W0,W1,W,U,V,Xは群Gの要素の変数、gは群Gの要素であって1以外の定数、Aは群Gの要素の定数とする。非特許文献2の方法は、
e(g,gW0W1)=1
をスイッチャー式として採用し、ペアリングを含む式を追加することで証明する方法である。非特許文献3の方法は、証明する対象を
e(A,U)e(V,X)=1 と e(A,X)=e(g,g)
の形に限定して、
e(W,W/g)=1
をスイッチャー式として採用し、ペアリングを含む式を追加することで証明する方法である。
e is a pairing between elements of group G, W 0 , W 1 , W, U, V, X are variables of elements of group G, g is an element of group G and is a constant other than 1, and A is a group G It is a constant of the element of. The method of Non-Patent Document 2 is
e (g, gW 0 W 1 ) = 1
Is adopted as a switcher type, and is proved by adding a formula including pairing. In the method of Non-Patent Document 3, e (A, U) e (V, X) = 1 and e (A, X) = e (g, g)
Limited to the shape of
e (W, W / g) = 1
Is adopted as a switcher type, and is proved by adding a formula including pairing.
なお、証明式や証明式集合の具体例としては、非特許文献4のような署名がある。非特許文献4の署名は、
という2つのペアリングの積で構成された式からなる。また、これらの式の中のそれぞれの値は、公開鍵から計算できる定数または検証装置には秘匿された秘密鍵から計算できる変数である。
A specific example of a proof expression or a proof expression set is a signature as described in Non-Patent Document 4. The signature of Non-Patent Document 4 is
It consists of an expression composed of the product of two pairings. Each value in these equations is a constant that can be calculated from the public key or a variable that can be calculated from the secret key that is concealed by the verification device.
しかしながら、非特許文献2の方法は、追加する変数とペアリングを含む式の数が多く、証明の効率が悪いという課題がある。また、非特許文献3の方法は、証明式が特定の形式に分解できていることが必要であり、利用の用途が限定されるという課題がある。さらに、非特許文献2,3の方法は2つの証明式集合を前提としていて、3つ以上の証明式集合のいずれか1つの証明式集合に含まれるすべての証明式を成り立たせる変数の値を証明装置が保有していることを、GS証明を用いて証明することはできない。 However, the method of Non-Patent Document 2 has a problem in that the number of expressions including variables to be added and pairing is large, and the efficiency of proof is poor. In addition, the method of Non-Patent Document 3 requires that the proof expression can be decomposed into a specific format, and there is a problem that the usage is limited. Further, the methods of Non-Patent Documents 2 and 3 are based on two proof expression sets, and the values of variables that make up all the proof expressions included in any one of the three or more proof expression sets are set. The GS certificate cannot be used to prove that the proving device has it.
本発明は、2つの証明式集合に限定することなく、2つ以上の証明式集合に適用でき(2つの場合も適用できるが、2つよりも多い場合にも適用でき)、一般的なペアリング積で表現された証明式を証明の対象とし、効率的に証明できる技術を提供することを目的とする。 The present invention is not limited to two sets of proof formulas but can be applied to two or more sets of proof formulas (can be applied to two cases, but can also be applied to cases where there are more than two). The purpose is to provide a technique that can be proved efficiently by using a proof expression expressed by a ring product.
本明細書では、群Gの要素同士のペアリングの積で構成された証明の対象となる式を証明式、1つ以上の証明式を含む証明式の集合を証明式集合と呼ぶこととする。本発明の証明システムは、2つ以上の証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の情報を証明装置が保有していることを、検証装置に対して証明する。また、式内の値であって証明装置も検証装置も保有している値を定数、式内の値であって検証装置に対して秘匿された値を変数と呼ぶこととする。Nは2以上の整数、nとmは1以上N以下の整数、Wnはn番目の証明式集合に対応した群Gの要素の変数、gは群Gの要素であって1以外の定数、iは対応関係を示す番号とする。証明装置は、証明対象取得部、証拠取得部、変換部、スイッチャー生成部、変換変数式生成部、GS証明実行部、証明出力部を備える。検証装置は、検証対象取得部、証明入力部、GS証明確認部、対象確認部を備える。証明対象取得部は、すべての証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得する。証拠取得部は、いずれか1つの証明式集合であるm番目の証明式集合に含まれるすべての証明式を成り立たせる変数の情報である証拠を取得する。変換部は、n=1,…,Nのすべてに対して、n番目の証明式集合に含まれるすべての証明式について、定数と定数のペアリングのすべてを、定数と変数のペアリングに変換した変換式を生成することで、n番目の変換式集合を生成する。スイッチャー生成部は、n=1,…,NについてWnが1またはgのときのみ成り立つペアリング積の等式と、W1,…,WNのいずれか1つがgであり他がすべて1のときには成り立つペアリング積の等式を、スイッチャー式として生成する。変換変数式生成部は、n=1,…,Nのすべてに対して、n番目の変換式集合の中で、変換部で定数Biから変換された変数Yiごとに、Wn=gのときにはYi=Biでのみ成り立ち、Wn=1のときにはYi=1でのみ成り立つペアリング積の等式を、変換変数式として生成し、この変換変数式の集合をn番目の変換変数式集合とする。GS証明実行部は、スイッチャー式にWm=g、n≠mのWnにはWn=1を割り当て、m番目の変換式集合に含まれるすべての変換式の変数とm番目の変換変数式集合に含まれるすべての変換変数式の変数に、証拠から得られる値とYi=Biを割り当て、m番目以外のすべての変換式集合に含まれるすべての変換式のすべての変数とm番目以外のすべての変換変数式集合に含まれるすべての変換変数式の変数にペアリングの結果が1となる値を割り当て、すべてのスイッチャー式、すべての変換式、すべての変換変数式に対してそれぞれGS証明を行う。証明出力部は、すべてのスイッチャー式、すべての変換式集合、すべての変換変数式集合、およびGS証明のすべての結果の情報を出力する。検証対象取得部は、すべての証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得する。証明入力部は、証明装置が出力したすべてのスイッチャー式、すべての変換式集合、すべての変換変数式集合、GS証明のすべての結果の情報を取得する。GS証明確認部は、すべてのスイッチャー式、すべての変換式、すべての変換変数式に対するGS証明の結果を確認する。対象確認部は、すべてのスイッチャー式、すべての変換式、すべての変換変数式が、証明対象情報に対応していることを確認する。 In this specification, an expression to be proved composed of a product of pairing of elements of group G is called a proof expression, and a set of proof expressions including one or more proof expressions is called a proof expression set. . The proof system according to the present invention indicates to the verification device that the proof device has variable information that holds all the proof expressions included in at least one proof expression set of two or more proof expression sets. Prove that. In addition, a value that is a value in the expression and is held by both the proving apparatus and the verification apparatus is called a constant, and a value that is in the expression and is hidden from the verification apparatus is called a variable. N is an integer greater than or equal to 2, n and m are integers greater than or equal to 1 and less than or equal to N, W n is a variable of an element of group G corresponding to the nth proof expression set, g is an element of group G and is a constant other than 1 , I is a number indicating the correspondence. The proof device includes a proof object acquisition unit, an evidence acquisition unit, a conversion unit, a switcher generation unit, a conversion variable expression generation unit, a GS proof execution unit, and a proof output unit. The verification device includes a verification target acquisition unit, a proof input unit, a GS certification confirmation unit, and a target confirmation unit. The certification target acquisition unit acquires certification target information that is information on all constants included in all certification formulas included in all certification formula sets. The evidence acquisition unit acquires evidence that is variable information that makes up all the proof expressions included in the m-th proof expression set that is one of the proof expression sets. For all n = 1,..., N, the conversion unit converts all constant-constant pairings into constant-variable pairings for all proof expressions included in the n-th proof expression set. The n-th conversion equation set is generated by generating the conversion equation. Switcher generator, n = 1, ..., and equation paired product of W n holds only when one or g for N, W 1, ..., one of W N is a g other all 1 In this case, the pairing product equation that holds is generated as a switcher equation. For all n = 1,..., N, the conversion variable expression generation unit W n = g for each variable Y i converted from the constant B i by the conversion unit in the n-th conversion expression set. Is generated only as Y i = B i , and when W n = 1, a pairing product equation that is satisfied only when Y i = 1 is generated as a conversion variable expression, and this set of conversion variable expressions is converted to the n-th conversion. A variable expression set. The GS proof execution unit assigns W m = g to the switcher expression, W n = 1 to W n where n ≠ m, and all the variables of the conversion expressions included in the m-th conversion expression set and the m-th conversion variable. All values of transformation variables included in the formula set are assigned values obtained from evidence and Y i = B i to variables of the transformation formulas, and all variables and m of all transformation formulas included in all the transformation formula sets other than the m-th. Assign a value that results in a pairing result of 1 to all variables in all conversion variable expressions other than the number of conversion variable expressions. For all switcher expressions, all conversion expressions, and all conversion variable expressions Perform GS certification for each. The proof output unit outputs information of all switcher expressions, all conversion expression sets, all conversion variable expression sets, and all results of the GS proof. The verification object acquisition unit acquires proof object information that is information on all constants included in all proof expressions included in all proof expression sets. The proof input unit acquires information on all the switcher expressions, all the conversion expression sets, all the conversion variable expression sets, and all the results of the GS proof output from the proof device. The GS proof confirmation unit confirms the GS proof results for all switcher expressions, all conversion expressions, and all conversion variable expressions. The object confirmation unit confirms that all switcher expressions, all conversion expressions, and all conversion variable expressions correspond to the proof object information.
本発明の証明システムでは、2つ以上の証明式集合に適用でき、ペアリングの積で表現された証明式の形の制限はない。また、本発明の証明システムによれば、証明式中の定数と定数のペアリングに対してのみ変換の処理を行い、定数から変数への変換ごとに1つの変換変数式(ペアリングを含む式)を追加するだけである。したがって、証明式中のすべてのペアリングに対して変換の処理を行うことを前提としている非特許文献2の方法よりも、追加しなければならないペアリングを含む式の数を少なくできる。 The proof system of the present invention can be applied to two or more proof expression sets, and there is no restriction on the form of the proof expression expressed by the product of pairing. Further, according to the proof system of the present invention, conversion processing is performed only for the pairing of constants in the proof expression, and one conversion variable expression (an expression including pairing) is performed for each conversion from the constant to the variable. ). Therefore, the number of formulas including pairing that must be added can be reduced as compared with the method of Non-Patent Document 2 on the assumption that conversion processing is performed on all pairings in the proof formula.
以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。 Hereinafter, embodiments of the present invention will be described in detail. In addition, the same number is attached | subjected to the structure part which has the same function, and duplication description is abbreviate | omitted.
以下では、群Gの要素同士のペアリングの積で構成された証明の対象となる式を証明式、1つ以上の証明式を含む証明式の集合を証明式集合と呼ぶこととする。本発明の証明システムは、2つ以上の証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の情報を証明装置が保有していることを、検証装置に対して証明する。また、明細書中で「定数」とは数式内の値であって証明装置も検証装置も保有している値(既知の値)を示しており、「変数」とは数式内の値であって検証装置に対して秘匿された値を示している。さらに、群G,GTを素数位数qの群、eは群Gの要素同士を群GTの要素に写像するペアリング、Nは2以上の整数、nとmは1以上N以下の整数、Wnはn番目の証明式集合に対応した群Gの要素の変数、gは群Gの要素であって1以外の定数、iは対応関係を示す番号とする。なお、g1,g2を群Gの要素であって1以外の定数、α,βを0以上q−1以下の整数とするときに、ペアリングeは、e(g1,g2)≠1、e(g1 α,g2 β)=e(g1,g2)αβとなる性質を持つ写像である。 In the following, an expression to be proved composed of a product of pairing of elements of group G is called a proof expression, and a set of proof expressions including one or more proof expressions is called a proof expression set. The proof system according to the present invention indicates to the verification device that the proof device has variable information that holds all the proof expressions included in at least one proof expression set of two or more proof expression sets. Prove that. Further, in the specification, “constant” is a value in a mathematical formula and indicates a value (known value) possessed by both the proving device and the verification device, and “variable” is a value in the mathematical formula. The value concealed from the verification device is shown. Furthermore, the group G, the G T of prime order q group, e is the pairing of mapping between elements of the group G to an element of the group G T, N is an integer of 2 or more, n and m are less 1 or more N An integer, W n is a variable of an element of the group G corresponding to the nth proof expression set, g is an element of the group G and a constant other than 1, and i is a number indicating a correspondence relationship. Note that when g 1 and g 2 are elements of group G and constants other than 1 and α and β are integers of 0 to q−1, pairing e is e (g 1 , g 2 ). ≠ 1, e (g 1 α , g 2 β ) = e (g 1 , g 2 ) αβ is a mapping having the property of αβ .
また、Aa,Bf,Cfは群Gの要素である定数、Ua,Vb,Xcは群Gの要素である変数、dbcは0以上q−1以下の整数である定数、a,b,c,fは対応関係を示すための番号とすると、証明式は、一般的に
または、この式の項を移項すること(両辺に同じ項を乗算すること、または両辺を同じ項で除算すること)で表現できる式である。つまり、ペアリングの積で表現されたすべての式は、移項によって整理すれば式(1)の形に変形できる。そこで、以下での一般化した説明では、式(1)を用いて説明する。
A a , B f , and C f are constants that are elements of the group G, U a , V b , and X c are variables that are elements of the group G, and d bc is a constant that is an integer of 0 to q−1. , A, b, c, f are numbers for indicating correspondence,
Alternatively, it is an expression that can be expressed by shifting the terms of this expression (multiplying both sides by the same term, or dividing both sides by the same term). That is, all the expressions expressed by the product of pairing can be transformed into the form of expression (1) if they are arranged by transposition. Therefore, in the generalized description below, the description will be made using Equation (1).
このようなペアリングの積で表現される式は、例えば非特許文献4に示した署名で用いられている。そして、1つの署名は、ペアリングの積で表現された1つ以上の式(非特許文献4の場合は2つの式)で構成され、すべての式を満たすことを確認することで署名の検証が行われる。つまり、署名の中の1つの式が本明細書中の証明式に相当し、署名が証明式集合に相当する。そして、上述の「2つ以上の証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の値を証明装置が保有していることを、検証装置に対して証明する。」を署名に当てはめてみると、「2つ以上の署名のうち少なくとも1つの正当な署名を証明装置が保有していることを、検証装置に対して証明する。」という意味である。ただし、本発明は、署名に限定することなく適用できるものであり、一般的な表現として証明式や証明式集合という表現を用いている。 An expression expressed by such a product of pairing is used in the signature shown in Non-Patent Document 4, for example. One signature is composed of one or more expressions (two expressions in the case of Non-Patent Document 4) expressed by a pairing product, and the signature is verified by confirming that all the expressions are satisfied. Is done. That is, one expression in the signature corresponds to a proof expression in this specification, and the signature corresponds to a proof expression set. Then, the above-mentioned “proving to the verification device that the proof device possesses the values of the variables that hold all the proof equations included in at least one proof equation set among the two or more proof equation sets. When applied to the signature, it means “proving to the verification device that the proving device has at least one valid signature of the two or more signatures”. However, the present invention can be applied without being limited to a signature, and expressions such as proof expressions and proof expression sets are used as general expressions.
<証明システムの構成と処理>
図1に本発明の証明システムの構成例を示す。また、図2に証明装置の処理フローの例、図3に検証装置の処理フローの例を示す。証明システムは、少なくとも証明装置100と検証装置200を備える。図1では証明装置100と検証装置200はネットワーク900で接続されているが、証明装置100と検証装置200との情報の受け渡しは、ネットワーク900経由に限定する必要はなく、記録媒体などによって情報の受け渡しを行ってもよい。
<Configuration and processing of certification system>
FIG. 1 shows a configuration example of a proof system of the present invention. FIG. 2 shows an example of the processing flow of the certification device, and FIG. 3 shows an example of the processing flow of the verification device. The proof system includes at least a proof device 100 and a verification device 200. In FIG. 1, the certification device 100 and the verification device 200 are connected via a
証明装置100は、証明対象取得部110、証拠取得部120、変換部130、スイッチャー生成部140、変換変数式生成部150、GS証明実行部160、証明出力部170、記録部190を備える。検証装置200は、検証対象取得部210、証明入力部220、GS証明確認部230、対象確認部240、記録部290を備える。
The certification device 100 includes a certification
証明対象取得部110は、すべての証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得し、記録部190に記録する(S110)。証明式の形はあらかじめ定めておいてもよいし、ステップS110の処理の中で取得してもよい。また、「定数の情報」とは、定数の値そのものであっても、あらかじめ定めた方法で計算するために必要な値でもよい。例えば、ステップS110では、公開鍵などの情報を取得する。なお、本明細書では、「取得」とは、外部から得るだけではなく、証明装置100が生成することも含む意味で用いている。「集合」とは、まとまりを表わす程度の意味であって、証明式集合とは1つ以上の証明式のまとまりという意味である。
The certification
証拠取得部120は、いずれか1つの証明式集合であるm番目の証明式集合に含まれるすべての証明式を成り立たせる変数の情報である証拠を取得し、記録部190に記録する(S120)。「変数の情報」とは、変数の値そのものであっても、あらかじめ定めた方法で計算するために必要な値でもよい。例えば、ステップS120では、秘密鍵などの情報を取得する。また、証明装置100が署名を生成する装置の場合は、証明装置100が証拠を生成することも含んでいる。
The
変換部130は、n=1,…,Nのすべてに対して、n番目の証明式集合に含まれるすべての証明式について、定数と定数のペアリングのすべてを、定数と変数のペアリングに変換した変換式を生成することで、n番目の変換式集合を生成し、記録部190に記録する(S130)。式(1)の場合であれば、BfもしくはCfを変数Yfに変換することを意味する。また、移項によって式が変形された場合でも、移項後の表現でのBfに対応
する定数もしくはCfに対応する定数を、変数Yfに変換することを意味する。例えば、
のように変換する。つまり、変換式では、定数と定数のペアリングが存在しない。また、「集合を生成する」とは、1つ以上の式を何らかの方法でまとまりとして扱えるようにすることを意味しており、同じ集合に属する式を同じテーブルに記録することや、関連付けるための番号を付与することなどを含んでいるが、これらに限定するものではない。
For all n = 1,..., N, the
Convert as follows. In other words, there is no constant-constant pairing in the conversion formula . Further, "generates a set", it is meant that the handle as chunks of one or more expressions in some way, and recording the expressions belonging to the same set in the same table, for associating This includes, but is not limited to, assigning numbers.
スイッチャー生成部140は、スイッチャー式を、n=1,…,NについてWnが1またはgのときのみ成り立つペアリング積の等式と、W1,…,WNのいずれか1つがgであり他がすべて1のときには成り立つペアリング積の等式とし、記録部190に記録する(S140)。例えば、
e(W1,W1/g)=1,…,e(WN,WN/g)=1 (3)
のN個の等式と
をスイッチャー式とすればよいし、
e(g/W1,W1)=1,…,e(g/WN,WN)=1 (5)
のN個の等式と
をスイッチャー式にしてもよい。
e (W 1 , W 1 / g) = 1,..., e (W N , W N / g) = 1 (3)
N equations
Can be a switcher type,
e (g / W 1 , W 1 ) = 1,..., e (g / W N , W N ) = 1 (5)
N equations
May be a switcher type.
変換変数式生成部150は、n=1,…,Nのすべてに対して次の処理を行う。n番目の変換式集合について、変換部130で定数Biから変換された変数Yiごとに、Wn=gのときにはYi=Biでのみ成り立ち、Wn=1のときにはYi=1でのみ成り立つペアリング積の等式を変換変数式として生成し、この変換変数式の集合をn番目の変換変数式集合とする(S150)。例えば、
e(Bi,Wn)=e(Yi,g) (7)
のように変換変数式を生成すればよいし、
e(Bi,Wn)e(Yi,g−1)=1 (8)
のように変換変数式を生成してもよい。
The conversion variable
e (B i , W n ) = e (Y i , g) (7)
You just need to generate a conversion variable expression like
e (B i , W n ) e (Y i , g −1 ) = 1 (8)
A conversion variable expression may be generated as follows.
GS証明実行部160は、次の処理を行う。スイッチャー式にWm=g、n≠mのWnにはWn=1を割り当て、m番目の変換式集合に含まれるすべての変換式の変数とm番目の変換変数式集合に含まれるすべての変換変数式の変数に、証拠から得られる値とYi=Biを割り当てる。つまり、証明式でも変数だった変数には証拠から得られる値を割り当て、変換部130によって定数から変数に変換された変数にはYi=Biを割り当てる。そして、m番目以外のすべての変換式集合に含まれるすべての変換式のすべての変数と、m番目以外のすべての変換変数式集合に含まれるすべての変換変数式の変数にペアリングの結果が1となる値を割り当てる。そして、変数に値が割り当てられたすべてのスイッチャー式、すべての変換式、すべての変換変数式に対してそれぞれGS証明(Groth-Sahai非対話証明)を行う(S160)。なお、「変数にペアリングの結果が1となる値を割り当てる」とは、定数と変数のペアリングの場合には変数の値を1にし、変数と変数のペアリングの場合には少なくとも一方の変数の値を1にすることを意味する。このようにすれば、ペアリングの結果が1となる。
The GS
例えば、式(2)が変換式、式(3),(4)がスイッチャー式、式(7)が変換変数式のときについて説明すると、以下のようになる。スイッチャー式e(Wm,Wm/g)=1は、
e(g,g/g)=1
となり、成り立つ。n≠mのときのスイッチャー式e(Wn,Wn/g)=1は、
e(1,1/g)=1
となり、成り立つ。また、式(4)は、
e(g,g/g)=1
となるので成り立つ。m番目の変換式集合の変換式は、
のUa,Vb,Xcに証拠から得られる値を代入した式となり、成り立つ。m番目の変換変数式集合の変換変数式は、
e(Bi,g)=e(Yi,g)
となるので成り立つ。また、m番目以外のすべての変換式集合の変換式は、
となる。この式では、すべてのペアリングで一方の要素が“1”なので、すべてのペアリングの結果が1となる。よって、右辺も左辺も1となり、成り立つ。m番目以外のすべての変換変数式集合の変換変数式は、
e(Bi,1)=e(1,g)
となり、やはり右辺も左辺も1となるので成り立つ。
For example, a case where equation (2) is a conversion equation, equations (3) and (4) are switcher equations, and equation (7) is a conversion variable equation is as follows. Switcher type e (W m , W m / g) = 1
e (g, g / g) = 1
And it holds. The switcher equation e (W n , W n / g) = 1 when n ≠ m is
e (1,1 / g) = 1
And it holds. Also, the equation (4) is
e (g, g / g) = 1
Since it becomes, it is formed. The transformation formula of the mth transformation formula set is
This is a formula obtained by substituting values obtained from evidence into U a , V b , and X c of The transformation variable expression of the mth transformation variable expression set is
e (B i , g) = e (Y i , g)
Since it becomes, it is formed. Also, the conversion formulas of all conversion formula sets other than the mth are:
It becomes. In this equation, since one element is “1” in all pairings, the result of all pairings is 1. Therefore, the right side and the left side are 1 and hold. The transformation variable expressions of all transformation variable expression sets other than the mth are
e (B i , 1) = e (1, g)
This is also true because both the right side and the left side are 1.
つまり、mが1〜Nのいずれの値であったとしても、変数を割り当てたすべてのスイッチャー式、すべての変換式、すべての変換変数式は成り立つ。そして、これらの等式に対してGS証明を行うので、すべての式が成り立っていることを証明できる。 That is, even if m is any value from 1 to N, all switcher expressions, all conversion expressions, and all conversion variable expressions to which variables are assigned hold. And since GS proof is performed with respect to these equations, it can prove that all the expressions are formed.
証明出力部170は、すべてのスイッチャー式、すべての変換式集合、すべての変換変数式集合、およびGS証明のすべての結果の情報を出力する(S170)。具体的には、ネットワーク900を介して検証装置200に送信してもよいし、可搬タイプの記録媒体に記録してもよい。
The
次に検証装置200の処理について説明する。検証対象取得部210は、すべての証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得し、記録部290に記録する(S210)。この処理は、証明装置100の証明対象取得部110の処理と同じである。
Next, processing of the verification apparatus 200 will be described. The verification
証明入力部220は、証明装置100が出力したすべてのスイッチャー式、すべての変換式集合、すべての変換変数式集合、GS証明のすべての結果の情報を取得する(S220)。取得の方法は、ネットワーク900を介してでもよいし、記録媒体を介してでもよい。
The
GS証明確認部230は、すべてのスイッチャー式、すべての変換式、すべての変換変数式に対するGS証明の結果を確認する(S230)。この確認によって、すべての式が成り立っていることは確認できる。
The GS
対象確認部240は、すべてのスイッチャー式、すべての変換式、すべての変換変数式が、証明対象情報に対応していることを確認する(S240)。変換変数式集合を確認することで、変換式の変数の中で、証明式でも変数の変数と変換部130で定数から変数に変換された変数とを区別できる。そして、変換式集合を確認することで、変換式集合と変換変数式集合が、証明式集合に対応していることが確認できる。
The
本発明の証明システムは、このような処理を行うので、検証装置200では、証明装置100がどの証明式集合に対する証拠を保有しているのか分からないようにしながら、証明装置100が少なくとも1つの証明式集合に対する証拠を保有していることを証明できる。このような手法を用いれば、例えば署名システムのセキュリティ強化も可能である。また、2つの証明式集合に限定するのではなく、2つ以上の任意の数の証明集合に対しても適用できることで、本発明の応用範囲が広がる。例えば、あるグループ内の1人からの署名を受け取った人は、だれから受け取ったかを明らかにすることなく、少なくともグループ内の誰かから署名を受け取ったことを証明できるようになる。さらに、本発明の証明システムでは、ペアリングの積で表現された証明式の形の制限はない。また、本発明の証明システムによれば、証明式中の定数と定数のペアリングに対してのみ変換の処理を行い、定数から変数への変換ごとに1つの変換変数式(ペアリングを含む式)を追加するだけである。したがって、証明式中のすべてのペアリングに対して変換の処理を行うことを前提としている非特許文献2の方法よりも、追加しなければならないペアリングを含む式の数を少なくできる。 Since the proof system of the present invention performs such processing, the verification device 200 does not know which proof expression set the proof device 100 holds, while the proof device 100 has at least one proof. You can prove that you have evidence for the set of expressions. If such a method is used, the security of the signature system can be enhanced, for example. Further, the present invention is not limited to two proof expression sets, but can be applied to any number of two or more proof sets, thereby expanding the application range of the present invention. For example, a person who receives a signature from one person in a group can prove that he has received the signature from at least someone in the group without revealing who received it. Furthermore, in the proof system of the present invention, there is no restriction on the form of the proof expression expressed by the product of pairing. Further, according to the proof system of the present invention, conversion processing is performed only for the pairing of constants in the proof expression, and one conversion variable expression (an expression including pairing) is performed for each conversion from the constant to the variable. ). Therefore, the number of formulas including pairing that must be added can be reduced as compared with the method of Non-Patent Document 2 on the assumption that conversion processing is performed on all pairings in the proof formula.
[プログラム、記録媒体]
上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
[Program, recording medium]
The various processes described above are not only executed in time series according to the description, but may also be executed in parallel or individually as required by the processing capability of the apparatus that executes the processes. Needless to say, other modifications are possible without departing from the spirit of the present invention.
また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。 Further, when the above-described configuration is realized by a computer, processing contents of functions that each device should have are described by a program. The processing functions are realized on the computer by executing the program on the computer.
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。 The program describing the processing contents can be recorded on a computer-readable recording medium. As the computer-readable recording medium, for example, any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory may be used.
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。 The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。 A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, the computer reads a program stored in its own recording medium and executes a process according to the read program. As another execution form of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and the program is transferred from the server computer to the computer. Each time, the processing according to the received program may be executed sequentially. Also, the program is not transferred from the server computer to the computer, and the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes the processing function only by the execution instruction and result acquisition. It is good. Note that the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。 In this embodiment, the present apparatus is configured by executing a predetermined program on a computer. However, at least a part of these processing contents may be realized by hardware.
本発明は、署名システムのセキュリティ強化や署名を応用したシステムなどに利用できる。 The present invention can be used for security enhancement of a signature system and a system to which a signature is applied.
100 証明装置 110 証明対象取得部
120 証拠取得部 130 変換部
140 スイッチャー生成部 150 変換変数式生成部
160 GS証明実行部 170 証明出力部
190、290 記録部 200 検証装置
210 検証対象取得部 220 証明入力部
230 GS証明確認部 240 対象確認部
900 ネットワーク
DESCRIPTION OF SYMBOLS 100
Claims (6)
N個の証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の情報を証明装置が保有していることを、検証装置に対して証明する証明システムであって、
式内の値であって前記証明装置も前記検証装置も保有している値を定数、式内の値であって前記検証装置に対して秘匿された値を変数と呼ぶこととし、Nは2以上の整数、nとmは1以上N以下の整数、Wnはn番目の証明式集合に対応した群の要素の変数、gは群の要素であって1以外の定数、iは対応関係を示す番号とし、
前記証明装置は、
すべての証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得する証明対象取得部と、
いずれか1つの証明式集合であるm番目の証明式集合に含まれるすべての証明式を成り立たせる変数の情報である証拠を取得する証拠取得部と、
n=1,…,Nのすべてに対して、n番目の証明式集合に含まれるすべての証明式について、定数と定数のペアリングのすべてを、定数と変数のペアリングに変換した変換式を生成することで、n番目の変換式集合を生成する変換部と、
n=1,…,NについてWnが1またはgのときのみ成り立つペアリング積の等式と、W1,…,WNのいずれか1つがgであり他がすべて1のときには成り立つペアリング積の等式とを、スイッチャー式として生成するスイッチャー生成部と、
n=1,…,Nのすべてに対して、n番目の変換式集合の中で、前記変換部で定数Biから変換された変数Yiごとに、Wn=gのときにはYi=Biでのみ成り立ち、Wn=1のときにはYi=1でのみ成り立つペアリング積の等式を、変換変数式として生成し、この変換変数式の集合をn番目の変換変数式集合とする変換変数式生成部と、
前記スイッチャー式にWm=g、n≠mのWnにはWn=1を割り当て、m番目の変換式集合に含まれるすべての変換式の変数とm番目の変換変数式集合に含まれるすべての変換変数式の変数に、前記証拠から得られる値とYi=Biを割り当て、m番目以外のすべての変換式集合に含まれるすべての変換式のすべての変数とm番目以外のすべての変換変数式集合に含まれるすべての変換変数式の変数にペアリングの結果が1となる値を割り当て、すべてのスイッチャー式、すべての変換式、すべての変換変数式に対してそれぞれGS証明を行うGS証明実行部と、
すべての前記スイッチャー式、すべての前記変換式集合、すべての前記変換変数式集合、および前記GS証明のすべての結果の情報を出力する証明出力部と
を備え、
前記検証装置は、
すべての証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得する検証対象取得部と、
前記証明装置が出力したすべての前記スイッチャー式、すべての前記変換式集合、すべての前記変換変数式集合、前記GS証明のすべての結果の情報を取得する証明入力部と、
すべての前記スイッチャー式、すべての前記変換式、すべての前記変換変数式に対する前記GS証明の結果を確認するGS証明確認部と、
すべての前記スイッチャー式、すべての前記変換式、すべての前記変換変数式が、前記証明対象情報に対応していることを確認する対象確認部と
を備える
証明システム。 An expression to be proved composed of a pairing product between elements of a group is called a proof expression, and a set of proof expressions including one or more proof expressions is called a proof expression set.
A proof system that proves to a verification device that a proof device has information on variables that hold all proof equations included in at least one proof equation set among N proof equation sets. ,
A value that is a value in an expression and is held by both the proving device and the verification device is called a constant, and a value in the equation that is concealed from the verification device is called a variable, and N is 2 The above integers, n and m are integers of 1 to N, W n is a group element variable corresponding to the nth proof expression set, g is a group element and a constant other than 1, and i is a correspondence relationship And a number indicating
The proving device is
A certification target acquisition unit that acquires certification target information that is information of all constants included in all certification formulas included in all certification formula sets;
An evidence acquisition unit that acquires evidence that is information of variables that make up all the proof expressions included in the m-th proof expression set that is one of the proof expression sets;
For all n = 1,..., N, for all proof expressions included in the nth proof expression set, conversion formulas that convert all constant-constant pairings into constant-variable pairings are: Generating a conversion unit that generates the n-th conversion formula set;
n = 1, ..., and equation paired product of W n holds only when one or g for N, W 1, ..., W pairing holds true when it other are all 1 any one of g N A switcher generator for generating a product equation as a switcher equation;
For all of n = 1,..., N, for each variable Y i converted from the constant B i by the conversion unit in the n-th conversion formula set, Y i = B when W n = g. A pairing product equation that holds only at i and holds only when Y i = 1 when W n = 1 is generated as a conversion variable expression, and this set of conversion variable expressions is used as the n-th conversion variable expression set. A variable expression generator,
W m = g is assigned to the switcher expression, and W n = 1 is assigned to W n where n ≠ m, and the variables of all the conversion expressions included in the m-th conversion expression set and the m-th conversion variable expression set are included. Assign the values obtained from the above evidence and Y i = B i to the variables of all conversion variable expressions, and all the variables of all conversion expressions and all but the mth included in all the conversion expression sets other than the mth. Assign a value that results in a pairing result of 1 to all variables in the transformation variable expression set of, and obtain GS certification for all switcher expressions, all conversion expressions, and all conversion variable expressions. A GS certification execution unit to perform;
A proof output unit that outputs information about all the switcher expressions, all the conversion expression sets, all the conversion variable expression sets, and all the results of the GS proof, and
The verification device includes:
A verification target acquisition unit that acquires certification target information, which is information on all constants included in all certification formulas included in all certification formula sets;
A proof input unit that obtains information on all the switcher expressions output by the proof device, all the conversion expression sets, all the conversion variable expression sets, and all results of the GS proof;
A GS proof confirmation unit for confirming a result of the GS proof for all the switcher expressions, all the conversion expressions, and all the conversion variable expressions;
A verification system comprising: a target confirmation unit that confirms that all the switcher formulas, all the conversion formulas, and all the conversion variable formulas correspond to the certification target information.
eは群の要素同士のペアリングとし、
前記スイッチャー式は、
e(W1,W1/g)=1,…,e(WN,WN/g)=1と
であり、
前記n番目の変換変数式集合の変換変数式は、
e(Bi,W n )=e(Yi,g)
である
ことを特徴とする証明システム。 The certification system according to claim 1,
e is a pairing of elements of the group,
The switcher type is
e (W 1 , W 1 / g) = 1,..., e (W N , W N / g) = 1
And
The conversion variable expression of the nth conversion variable expression set is:
e (B i , W n ) = e (Y i , g)
A proof system characterized by
群G,GTを素数位数qの群、eは群Gの要素同士を群GTの要素に写像するペアリング、Aa,Bf,Cfは群Gの要素である定数、Ua,Vb,Xcは群Gの要素である変数、dbcは0以上q−1以下の整数である定数、a,b,c,fは対応関係を示すための番号とし、
前記証明式は、
または、この式の項を移項することで表現できる式であり、
前記変換部は、前記証明式のBfもしくはCf、または移項後の表現でのBfに対応する定数もしくはCfに対応する定数を、前記定数B i として、変数に変換する
ことを特徴とする証明システム。 The proof system according to claim 1 or 2,
Group G, group G T the prime order q, e pairing that maps between elements of the group G to an element of the group G T, A a, B f , C f is an element of the group G constant, U a , V b , and X c are variables that are elements of the group G, d bc is a constant that is an integer of 0 to q−1, a, b, c, and f are numbers for indicating correspondence,
The proof formula is
Or an expression that can be expressed by transposing the terms of this expression,
The conversion unit converts B f or C f of the proof expression or a constant corresponding to B f in the expression after the transfer or a constant corresponding to C f into the variable as the constant B i. And a proof system.
N個の証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の情報を保有していることを、検証装置に対して証明する証明装置であって、
式内の値であって前記証明装置も前記検証装置も保有している値を定数、式内の値であって前記検証装置に対して秘匿された値を変数と呼ぶこととし、Nは2以上の整数、nとmは1以上N以下の整数、Wnはn番目の証明式集合に対応した群の要素の変数、gは群の要素であって1以外の定数、iは対応関係を示す番号とし、
すべての証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得する証明対象取得部と、
いずれか1つの証明式集合であるm番目の証明式集合に含まれるすべての証明式を成り立たせる変数の情報である証拠を取得する証拠取得部と、
n=1,…,Nのすべてに対して、n番目の証明式集合に含まれるすべての証明式について、定数と定数のペアリングのすべてを、定数と変数のペアリングに変換した変換式を生成することで、n番目の変換式集合を生成する変換部と、
n=1,…,NについてWnが1またはgのときのみ成り立つペアリング積の等式と、W1,…,WNのいずれか1つがgであり他がすべて1のときには成り立つペアリング積
の等式とを、スイッチャー式として生成するスイッチャー生成部と、
n=1,…,Nのすべてに対して、n番目の変換式集合の中で、前記変換部で定数Biから変換された変数Yiごとに、Wn=gのときにはYi=Biでのみ成り立ち、Wn=1のときにはYi=1でのみ成り立つペアリング積の等式を、変換変数式として生成し、この変換変数式の集合をn番目の変換変数式集合とする変換変数式生成部と、
前記スイッチャー式にWm=g、n≠mのWnにはWn=1を割り当て、m番目の変換式集合に含まれるすべての変換式の変数とm番目の変換変数式集合に含まれるすべての変換変数式の変数に、前記証拠から得られる値とYi=Biを割り当て、m番目以外のすべての変換式集合に含まれるすべての変換式のすべての変数とm番目以外のすべての変換変数式集合に含まれるすべての変換変数式の変数にペアリングの結果が1となる値を割り当て、すべてのスイッチャー式、すべての変換式、すべての変換変数式に対してそれぞれGS証明を行うGS証明実行部と、
すべての前記スイッチャー式、すべての前記変換式集合、すべての前記変換変数式集合、および前記GS証明のすべての結果の情報を出力する証明出力部と
を備える証明装置。 An expression to be proved composed of a pairing product between elements of a group is called a proof expression, and a set of proof expressions including one or more proof expressions is called a proof expression set.
A proof device that proves to a verification device that it has information on variables that hold all proof expressions included in at least one proof expression set among N proof expression sets,
A value that is a value in an expression and is held by both the proving device and the verification device is called a constant, and a value in the equation that is concealed from the verification device is called a variable, and N is 2 The above integers, n and m are integers of 1 to N, W n is a group element variable corresponding to the nth proof expression set, g is a group element and a constant other than 1, and i is a correspondence relationship And a number indicating
A certification target acquisition unit that acquires certification target information that is information of all constants included in all certification formulas included in all certification formula sets;
An evidence acquisition unit that acquires evidence that is information of variables that make up all the proof expressions included in the m-th proof expression set that is one of the proof expression sets;
For all n = 1,..., N, for all proof expressions included in the nth proof expression set, conversion formulas that convert all constant-constant pairings into constant-variable pairings are: Generating a conversion unit that generates the n-th conversion formula set;
n = 1, ..., and equation paired product of W n holds only when one or g for N, W 1, ..., W pairing holds true when it other are all 1 any one of g N A switcher generator for generating a product equation as a switcher equation;
For all of n = 1,..., N, for each variable Y i converted from the constant B i by the conversion unit in the n-th conversion formula set, Y i = B when W n = g. A pairing product equation that holds only at i and holds only when Y i = 1 when W n = 1 is generated as a conversion variable expression, and this set of conversion variable expressions is used as the n-th conversion variable expression set. A variable expression generator,
W m = g is assigned to the switcher expression, and W n = 1 is assigned to W n where n ≠ m, and the variables of all the conversion expressions included in the m-th conversion expression set and the m-th conversion variable expression set are included. Assign the values obtained from the above evidence and Y i = B i to the variables of all conversion variable expressions, and all the variables of all conversion expressions and all but the mth included in all the conversion expression sets other than the mth. Assign a value that results in a pairing result of 1 to all variables in the transformation variable expression set of, and obtain GS certification for all switcher expressions, all conversion expressions, and all conversion variable expressions. A GS certification execution unit to perform;
A proof device comprising: all the switcher expressions, all the conversion expression sets, all the conversion variable expression sets, and a proof output unit that outputs information on all results of the GS proof.
N個の証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の情報を証明装置が保有していることを検証する検証装置であって、
式内の値であって前記証明装置も前記検証装置も保有している値を定数、式内の値であって前記検証装置に対して秘匿された値を変数と呼ぶこととし、Nは2以上の整数、nは1以上N以下の整数、Wnはn番目の証明式集合に対応した群の要素の変数、gは群の要素であって1以外の定数、iは対応関係を示す番号とし、
n番目の証明式集合に含まれるすべての証明式について、定数と定数のペアリングのすべてを、定数と変数のペアリングに変換した変換式を生成することで、証明式集合ごとに生成された集合をn番目の変換式集合とし、
n=1,…,NについてWnが1またはgのときのみ成り立つペアリング積の等式と、W1,…,WNのいずれか1つがgであり他がすべて1のときには成り立つペアリング積の等式とをスイッチャー式とし、
n番目の変換式集合の中で、定数Biから変換された変数Yiごとに生成された、Wn=gのときにはYi=Biでのみ成り立ち、Wn=1のときにはYi=1でのみ成り立つペアリング積の等式を変換変数式、この変換変数式の集合をn番目の変換変数式集合とし、
すべての証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得する検証対象取得部と、
前記証明装置が出力したすべての前記スイッチャー式、すべての前記変換式集合、すべての前記変換変数式集合の情報、およびすべての前記スイッチャー式、すべての前記変換式、すべての前記変換変数式に対するGS証明のすべての結果の情報を取得する証明入力部と、
前記GS証明のすべての結果を確認するGS証明確認部と、
すべての前記スイッチャー式、すべての前記変換式、すべての前記変換変数式が、前記証明対象情報に対応していることを確認する対象確認部と、
を備える検証装置。 An expression to be proved composed of a pairing product between elements of a group is called a proof expression, and a set of proof expressions including one or more proof expressions is called a proof expression set.
A verification device that verifies that a proof device has information on variables that hold all proof expressions included in at least one proof expression set among N proof expression sets,
A value that is a value in an expression and is held by both the proving device and the verification device is called a constant, and a value in the equation that is concealed from the verification device is called a variable, and N is 2 N is an integer greater than or equal to 1 and less than or equal to N, W n is a variable of a group element corresponding to the nth proof expression set, g is a group element and a constant other than 1, and i indicates a correspondence relationship Number and
For all proof expressions included in the nth proof expression set, a conversion expression is generated by converting all constant-constant pairings into constant-variable pairings. Let the set be the n-th transformation set,
n = 1, ..., and equation paired product of W n holds only when one or g for N, W 1, ..., W pairing holds true when it other are all 1 any one of g N The product equation is the switcher type,
Among the n-th conversion expression set, which is generated for each variable Y i converted from the constant B i, when the W n = g holds only in Y i = B i, when W n = 1 is Y i = The pairing product equation that holds only at 1 is the transformation variable expression, and the set of this transformation variable expression is the nth transformation variable expression set,
A verification target acquisition unit that acquires certification target information, which is information on all constants included in all certification formulas included in all certification formula sets;
GS for all the switcher expressions, all the conversion expression sets, information on all the conversion variable expression sets, and all the switcher expressions, all the conversion expressions, and all the conversion variable expressions output by the proving device. A proof input to obtain information on all results of the proof,
A GS certification confirmation unit for confirming all results of the GS certification;
An object confirmation unit for confirming that all the switcher expressions, all the conversion expressions, and all the conversion variable expressions correspond to the proof object information;
A verification apparatus comprising:
N個の証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の情報を証明装置が保有していることを、検証装置に対して証明する証明方法であって、
式内の値であって前記証明装置も前記検証装置も保有している値を定数、式内の値であって前記検証装置に対して秘匿された値を変数と呼ぶこととし、Nは2以上の整数、nとmは1以上N以下の整数、Wnはn番目の証明式集合に対応した群の要素の変数、gは群の要素であって1以外の定数、iは対応関係を示す番号とし、
前記証明装置が、すべての証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得する証明対象取得ステップと、
前記証明装置が、いずれか1つの証明式集合であるm番目の証明式集合に含まれるすべての証明式を成り立たせる変数の情報である証拠を取得する証拠取得ステップと、
前記証明装置が、n=1,…,Nのすべてに対して、n番目の証明式集合に含まれるすべての証明式について、定数と定数のペアリングのすべてを、定数と変数のペアリングに変換した変換式を生成することで、n番目の変換式集合を生成する変換ステップと、
前記証明装置が、n=1,…,NについてWnが1またはgのときのみ成り立つペアリング積の等式と、W1,…,WNのいずれか1つがgであり他がすべて1のときには成り立つペアリング積の等式とを、スイッチャー式として生成するスイッチャー生成ステップと、
前記証明装置が、n=1,…,Nのすべてに対して、n番目の変換式集合の中で、前記変換部で定数Biから変換された変数Yiごとに、Wn=gのときにはYi=Biでのみ成り立ち、Wn=1のときにはYi=1でのみ成り立つペアリング積の等式を、変換変数式として生成し、この変換変数式の集合をn番目の変換変数式集合とする変換変数式生成ステップと、
前記証明装置が、前記スイッチャー式にWm=g、n≠mのWnにはWn=1を割り当て、m番目の変換式集合に含まれるすべての変換式の変数とm番目の変換変数式集合に含まれるすべての変換変数式の変数に、前記証拠から得られる値とYi=Biを割り当て、m番目以外のすべての変換式集合に含まれるすべての変換式のすべての変数とm番目以外のすべての変換変数式集合に含まれるすべての変換変数式の変数にペアリングの結果が1となる値を割り当て、すべてのスイッチャー式、すべての変換式、すべての変換変数式に対してそれぞれGS証明を行うGS証明実行ステップと、
前記証明装置が、すべての前記スイッチャー式、すべての前記変換式集合、すべての前記変換変数式集合、および前記GS証明のすべての結果の情報を出力する証明出力ステップと、
前記検証装置が、すべての証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得する検証対象取得ステップと、
前記検証装置が、前記証明装置が出力したすべての前記スイッチャー式、すべての前記変換式集合、すべての前記変換変数式集合、前記GS証明のすべての結果の情報を取得する証明入力ステップと、
前記検証装置が、すべての前記スイッチャー式、すべての前記変換式、すべての前記変換変数式に対する前記GS証明の結果を確認するGS証明確認ステップと、
前記検証装置が、すべての前記スイッチャー式、すべての前記変換式、すべての前記変換変数式が、前記証明対象情報に対応していることを確認する対象確認ステップと、
を有する証明方法。 An expression to be proved composed of a pairing product between elements of a group is called a proof expression, and a set of proof expressions including one or more proof expressions is called a proof expression set.
A proof method for proving to a verification device that a proof device has information on variables that hold all proof equations included in at least one proof equation set among N proof equation sets. ,
A value that is a value in an expression and is held by both the proving device and the verification device is called a constant, and a value in the equation that is concealed from the verification device is called a variable, and N is 2 The above integers, n and m are integers of 1 to N, W n is a group element variable corresponding to the nth proof expression set, g is a group element and a constant other than 1, and i is a correspondence relationship And a number indicating
A proof object acquisition step in which the proof device acquires proof object information which is information of all constants included in all proof expressions included in all proof expression sets;
An evidence acquisition step in which the proof device acquires evidence that is information of variables that make up all the proof expressions included in the m-th proof expression set that is any one proof expression set;
For all of n = 1,..., N, the proof device converts all of the constant-constant pairing to constant-variable pairing for all proof expressions included in the n-th proof expression set. A conversion step of generating an n th conversion expression set by generating a converted conversion expression;
The certification device, n = 1, ..., and equation paired product of W n holds only when one or g for N, W 1, ..., one of W N is a g other all 1 A switcher generation step for generating a pairing product equation as a switcher equation,
For all of n = 1,..., N, the proving device has W n = g for each variable Y i converted from a constant B i in the n-th conversion equation set. An equation of a pairing product that sometimes holds only when Y i = B i and holds only when Y i = 1 when W n = 1 is generated as a conversion variable expression, and this set of conversion variable expressions is set as the n-th conversion variable. A conversion variable expression generation step as an expression set;
The certification device, W m = g the switcher formula assigns W n = 1 to W n of n ≠ m, all conversion formula variables and m-th conversion variables included in the m-th conversion expression set Assign all the variables of all the conversion expressions included in all the conversion expression sets other than the m-th by assigning the values obtained from the evidence and Y i = B i to the variables of all the conversion variable expressions included in the expression set. Assign a value that results in a pairing result of 1 to all the variables of the conversion variable expressions included in all the conversion variable expression sets other than the mth, and to all switcher expressions, all conversion expressions, and all conversion variable expressions GS certification execution steps for performing GS certification respectively,
A proof output step in which the proof device outputs information about all the switcher expressions, all the conversion expression sets, all the conversion variable expression sets, and all the results of the GS proof;
A verification object acquisition step in which the verification device acquires proof object information which is information of all constants included in all proof expressions included in all proof expression sets;
A proof input step in which the verification device acquires information of all the switcher expressions output from the proof device, all the conversion equation sets, all the conversion variable equation sets, and all the results of the GS proof;
A GS proof confirmation step in which the verification device confirms a result of the GS proof for all the switcher expressions, all the conversion expressions, and all the conversion variable expressions;
An object confirmation step in which the verification device confirms that all the switcher expressions, all the conversion expressions, and all the conversion variable expressions correspond to the proof object information;
Proving method with.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013038327A JP5907910B2 (en) | 2013-02-28 | 2013-02-28 | Certification system, certification device, verification device, certification method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013038327A JP5907910B2 (en) | 2013-02-28 | 2013-02-28 | Certification system, certification device, verification device, certification method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014164285A JP2014164285A (en) | 2014-09-08 |
| JP5907910B2 true JP5907910B2 (en) | 2016-04-26 |
Family
ID=51614892
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013038327A Active JP5907910B2 (en) | 2013-02-28 | 2013-02-28 | Certification system, certification device, verification device, certification method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5907910B2 (en) |
-
2013
- 2013-02-28 JP JP2013038327A patent/JP5907910B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2014164285A (en) | 2014-09-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Abadi et al. | O-PSI: delegated private set intersection on outsourced datasets | |
| JP5736816B2 (en) | Authentication device, authentication method, program, and signature generation device | |
| Huang et al. | P2ofe: privacy-preserving optimistic fair exchange of digital signatures | |
| Chia et al. | Digital signature schemes with strong existential unforgeability | |
| MacKenzie et al. | Automatic generation of two-party computations | |
| JP5330858B2 (en) | Signature verification system, signature verification method, blind signature generation method, user device, and blind signature generation program | |
| JPWO2006085430A1 (en) | Member certificate acquisition device, member certificate issuing device, group signature device, group signature verification device | |
| JP5907910B2 (en) | Certification system, certification device, verification device, certification method | |
| Wang et al. | Perfect ambiguous optimistic fair exchange | |
| JP5815754B2 (en) | Signature verification system, signature device, verification device, and signature verification method | |
| Wei et al. | Designated verifier proxy re-signature for deniable and anonymous wireless communications | |
| JP5907906B2 (en) | Certification system, certification device, verification device, certification method | |
| JP2012227879A (en) | Oblivious transfer system, oblivious transfer method, and program | |
| Tomida et al. | Keyword searchable encryption with access control from a certain identity-based encryption | |
| JP5314449B2 (en) | Electronic signature verification system, electronic signature device, verification device, electronic signature verification method, electronic signature method, verification method, electronic signature program, verification program | |
| JP2010054875A (en) | Operating device, decryption device, encryption device, information sharing system, 2dnf operating system, signature generator, signature verifier, signature processing system, signature verification system, arithmetic operation method, and arithmetic operation program | |
| Chen et al. | Blockchain as a CA: A provably secure signcryption scheme leveraging blockchains | |
| JP5227764B2 (en) | Electronic signature verification system, electronic signature device, verification device, electronic signature verification method, electronic signature method, verification method, electronic signature program, verification program | |
| JP4533636B2 (en) | Digital signature system, digital signature management apparatus, digital signature management method and program | |
| JP5863683B2 (en) | Commitment system, common reference information generation device, commit generation device, commit reception device, commitment method, and program | |
| JP5331028B2 (en) | Signature / verification system, signature / verification method, signature device, verification device, program, recording medium | |
| JP5330964B2 (en) | Signature / verification system, signature / verification method, signature device, verification device, program | |
| JP6087849B2 (en) | Proxy signature device, signature verification device, key generation device, proxy signature system, and program | |
| Wang | Signer‐admissible strong designated verifier signature from bilinear pairings | |
| Chou | A novel anonymous proxy signature scheme |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150204 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150911 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150924 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151030 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160315 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160322 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5907910 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |