Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP5907910B2 - Certification system, certification device, verification device, certification method - Google Patents
[go: Go Back, main page]

JP5907910B2 - Certification system, certification device, verification device, certification method - Google Patents

Certification system, certification device, verification device, certification method Download PDF

Info

Publication number
JP5907910B2
JP5907910B2 JP2013038327A JP2013038327A JP5907910B2 JP 5907910 B2 JP5907910 B2 JP 5907910B2 JP 2013038327 A JP2013038327 A JP 2013038327A JP 2013038327 A JP2013038327 A JP 2013038327A JP 5907910 B2 JP5907910 B2 JP 5907910B2
Authority
JP
Japan
Prior art keywords
proof
conversion
expression
expressions
variable
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013038327A
Other languages
Japanese (ja)
Other versions
JP2014164285A (en
Inventor
阿部 正幸
正幸 阿部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013038327A priority Critical patent/JP5907910B2/en
Publication of JP2014164285A publication Critical patent/JP2014164285A/en
Application granted granted Critical
Publication of JP5907910B2 publication Critical patent/JP5907910B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、2つ以上の証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の値を証明装置が保有していることを、検証装置に対して証明する証明システム、証明装置、検証装置、証明方法に関する。   The present invention proves to the verification device that the proof device has values of variables that hold all the proof equations included in at least one proof equation set of two or more proof equation sets. The present invention relates to a proof system, a proof device, a verification device, and a proof method.

群Gの要素同士のペアリングの積で構成された証明の対象となる式を証明式、1つ以上の証明式を含む証明式の集合を証明式集合と呼ぶこととする。そして、任意のペアリング積の等式について、その式を満たす値を知っていることを、その値を公開せずに非対話的に証明する手法として、Groth-Sahai非対話証明(以下、「GS証明」という。)が知られている(非特許文献1)。また、2つの証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の値を証明装置が保有していることを、GS証明を用いて証明する方法として、非特許文献2,3の方法が知られている。   An expression to be proved composed of a pairing product of elements of group G is called a proof expression, and a set of proof expressions including one or more proof expressions is called a proof expression set. Then, as a technique to prove non-interactively without revealing the value that satisfies the value of any pairing product equation, Groth-Sahai non-dialogue proof (hereinafter " (Referred to as “GS certification”) (Non-Patent Document 1). In addition, as a method for proving using a GS proof that a proof device has values of variables that hold all proof expressions included in at least one proof expression set of two proof expression sets, The methods of Patent Documents 2 and 3 are known.

eは群Gの要素同士のペアリング、W,W,W,U,V,Xは群Gの要素の変数、gは群Gの要素であって1以外の定数、Aは群Gの要素の定数とする。非特許文献2の方法は、
e(g,gW)=1
をスイッチャー式として採用し、ペアリングを含む式を追加することで証明する方法である。非特許文献3の方法は、証明する対象を
e(A,U)e(V,X)=1 と e(A,X)=e(g,g)
の形に限定して、
e(W,W/g)=1
をスイッチャー式として採用し、ペアリングを含む式を追加することで証明する方法である。
e is a pairing between elements of group G, W 0 , W 1 , W, U, V, X are variables of elements of group G, g is an element of group G and is a constant other than 1, and A is a group G It is a constant of the element of. The method of Non-Patent Document 2 is
e (g, gW 0 W 1 ) = 1
Is adopted as a switcher type, and is proved by adding a formula including pairing. In the method of Non-Patent Document 3, e (A, U) e (V, X) = 1 and e (A, X) = e (g, g)
Limited to the shape of
e (W, W / g) = 1
Is adopted as a switcher type, and is proved by adding a formula including pairing.

なお、証明式や証明式集合の具体例としては、非特許文献4のような署名がある。非特許文献4の署名は、

Figure 0005907910

という2つのペアリングの積で構成された式からなる。また、これらの式の中のそれぞれの値は、公開鍵から計算できる定数または検証装置には秘匿された秘密鍵から計算できる変数である。 A specific example of a proof expression or a proof expression set is a signature as described in Non-Patent Document 4. The signature of Non-Patent Document 4 is
Figure 0005907910

It consists of an expression composed of the product of two pairings. Each value in these equations is a constant that can be calculated from the public key or a variable that can be calculated from the secret key that is concealed by the verification device.

Jens Groth and Amit Sahai, “Ecient non-interactive proof systems for bilinear groups”, In EUROCRYPT 2008, pages 415-432, 2008.Jens Groth and Amit Sahai, “Ecient non-interactive proof systems for bilinear groups”, In EUROCRYPT 2008, pages 415-432, 2008. Jens Groth, “Simulation-Sound NIZK Proofs for a Practical Language and Constant Size Group Signatures”, Asiacrypt 2006, Springer-Verlag, 2006.Jens Groth, “Simulation-Sound NIZK Proofs for a Practical Language and Constant Size Group Signatures”, Asiacrypt 2006, Springer-Verlag, 2006. Jan Camenisch, Nishanth Chandran and Victor Shoup, “A Public Key Encryption Scheme Secure against Key Dependent Chosen Plaintext and Adaptive Chosen Ciphertext Attacks”, Eurocrypt 2009, Springer-Verlag, 2009.Jan Camenisch, Nishanth Chandran and Victor Shoup, “A Public Key Encryption Scheme Secure against Key Dependent Chosen Plaintext and Adaptive Chosen Ciphertext Attacks”, Eurocrypt 2009, Springer-Verlag, 2009. Masayuki Abe, Kristiyan Haralambiev and Miyako Ohkubo, “Signing on Elements in Bilinear Groups for Modular Protocol Design”, IACR e-print 2010/133 [平成25年1月30日検索]、インターネット<URL: http://eprint.iacr.org/2010/133>.Masayuki Abe, Kristiyan Haralambiev and Miyako Ohkubo, “Signing on Elements in Bilinear Groups for Modular Protocol Design”, IACR e-print 2010/133 [searched January 30, 2013], Internet <URL: http: // eprint. iacr.org/2010/133>.

しかしながら、非特許文献2の方法は、追加する変数とペアリングを含む式の数が多く、証明の効率が悪いという課題がある。また、非特許文献3の方法は、証明式が特定の形式に分解できていることが必要であり、利用の用途が限定されるという課題がある。さらに、非特許文献2,3の方法は2つの証明式集合を前提としていて、3つ以上の証明式集合のいずれか1つの証明式集合に含まれるすべての証明式を成り立たせる変数の値を証明装置が保有していることを、GS証明を用いて証明することはできない。   However, the method of Non-Patent Document 2 has a problem in that the number of expressions including variables to be added and pairing is large, and the efficiency of proof is poor. In addition, the method of Non-Patent Document 3 requires that the proof expression can be decomposed into a specific format, and there is a problem that the usage is limited. Further, the methods of Non-Patent Documents 2 and 3 are based on two proof expression sets, and the values of variables that make up all the proof expressions included in any one of the three or more proof expression sets are set. The GS certificate cannot be used to prove that the proving device has it.

本発明は、2つの証明式集合に限定することなく、2つ以上の証明式集合に適用でき(2つの場合も適用できるが、2つよりも多い場合にも適用でき)、一般的なペアリング積で表現された証明式を証明の対象とし、効率的に証明できる技術を提供することを目的とする。   The present invention is not limited to two sets of proof formulas but can be applied to two or more sets of proof formulas (can be applied to two cases, but can also be applied to cases where there are more than two). The purpose is to provide a technique that can be proved efficiently by using a proof expression expressed by a ring product.

本明細書では、群Gの要素同士のペアリングの積で構成された証明の対象となる式を証明式、1つ以上の証明式を含む証明式の集合を証明式集合と呼ぶこととする。本発明の証明システムは、2つ以上の証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の情報を証明装置が保有していることを、検証装置に対して証明する。また、式内の値であって証明装置も検証装置も保有している値を定数、式内の値であって検証装置に対して秘匿された値を変数と呼ぶこととする。Nは2以上の整数、nとmは1以上N以下の整数、Wはn番目の証明式集合に対応した群Gの要素の変数、gは群Gの要素であって1以外の定数、iは対応関係を示す番号とする。証明装置は、証明対象取得部、証拠取得部、変換部、スイッチャー生成部、変換変数式生成部、GS証明実行部、証明出力部を備える。検証装置は、検証対象取得部、証明入力部、GS証明確認部、対象確認部を備える。証明対象取得部は、すべての証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得する。証拠取得部は、いずれか1つの証明式集合であるm番目の証明式集合に含まれるすべての証明式を成り立たせる変数の情報である証拠を取得する。変換部は、n=1,…,Nのすべてに対して、n番目の証明式集合に含まれるすべての証明式について、定数と定数のペアリングのすべてを、定数と変数のペアリングに変換した変換式を生成することで、n番目の変換式集合を生成する。スイッチャー生成部は、n=1,…,NについてWが1またはgのときのみ成り立つペアリング積の等式と、W,…,Wのいずれか1つがgであり他がすべて1のときには成り立つペアリング積の等式を、スイッチャー式として生成する。変換変数式生成部は、n=1,…,Nのすべてに対して、n番目の変換式集合の中で、変換部で定数Bから変換された変数Yごとに、W=gのときにはY=Bでのみ成り立ち、W=1のときにはY=1でのみ成り立つペアリング積の等式を、変換変数式として生成し、この変換変数式の集合をn番目の変換変数式集合とする。GS証明実行部は、スイッチャー式にW=g、n≠mのWにはW=1を割り当て、m番目の変換式集合に含まれるすべての変換式の変数とm番目の変換変数式集合に含まれるすべての変換変数式の変数に、証拠から得られる値とY=Bを割り当て、m番目以外のすべての変換式集合に含まれるすべての変換式のすべての変数とm番目以外のすべての変換変数式集合に含まれるすべての変換変数式の変数にペアリングの結果が1となる値を割り当て、すべてのスイッチャー式、すべての変換式、すべての変換変数式に対してそれぞれGS証明を行う。証明出力部は、すべてのスイッチャー式、すべての変換式集合、すべての変換変数式集合、およびGS証明のすべての結果の情報を出力する。検証対象取得部は、すべての証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得する。証明入力部は、証明装置が出力したすべてのスイッチャー式、すべての変換式集合、すべての変換変数式集合、GS証明のすべての結果の情報を取得する。GS証明確認部は、すべてのスイッチャー式、すべての変換式、すべての変換変数式に対するGS証明の結果を確認する。対象確認部は、すべてのスイッチャー式、すべての変換式、すべての変換変数式が、証明対象情報に対応していることを確認する。 In this specification, an expression to be proved composed of a product of pairing of elements of group G is called a proof expression, and a set of proof expressions including one or more proof expressions is called a proof expression set. . The proof system according to the present invention indicates to the verification device that the proof device has variable information that holds all the proof expressions included in at least one proof expression set of two or more proof expression sets. Prove that. In addition, a value that is a value in the expression and is held by both the proving apparatus and the verification apparatus is called a constant, and a value that is in the expression and is hidden from the verification apparatus is called a variable. N is an integer greater than or equal to 2, n and m are integers greater than or equal to 1 and less than or equal to N, W n is a variable of an element of group G corresponding to the nth proof expression set, g is an element of group G and is a constant other than 1 , I is a number indicating the correspondence. The proof device includes a proof object acquisition unit, an evidence acquisition unit, a conversion unit, a switcher generation unit, a conversion variable expression generation unit, a GS proof execution unit, and a proof output unit. The verification device includes a verification target acquisition unit, a proof input unit, a GS certification confirmation unit, and a target confirmation unit. The certification target acquisition unit acquires certification target information that is information on all constants included in all certification formulas included in all certification formula sets. The evidence acquisition unit acquires evidence that is variable information that makes up all the proof expressions included in the m-th proof expression set that is one of the proof expression sets. For all n = 1,..., N, the conversion unit converts all constant-constant pairings into constant-variable pairings for all proof expressions included in the n-th proof expression set. The n-th conversion equation set is generated by generating the conversion equation. Switcher generator, n = 1, ..., and equation paired product of W n holds only when one or g for N, W 1, ..., one of W N is a g other all 1 In this case, the pairing product equation that holds is generated as a switcher equation. For all n = 1,..., N, the conversion variable expression generation unit W n = g for each variable Y i converted from the constant B i by the conversion unit in the n-th conversion expression set. Is generated only as Y i = B i , and when W n = 1, a pairing product equation that is satisfied only when Y i = 1 is generated as a conversion variable expression, and this set of conversion variable expressions is converted to the n-th conversion. A variable expression set. The GS proof execution unit assigns W m = g to the switcher expression, W n = 1 to W n where n ≠ m, and all the variables of the conversion expressions included in the m-th conversion expression set and the m-th conversion variable. All values of transformation variables included in the formula set are assigned values obtained from evidence and Y i = B i to variables of the transformation formulas, and all variables and m of all transformation formulas included in all the transformation formula sets other than the m-th. Assign a value that results in a pairing result of 1 to all variables in all conversion variable expressions other than the number of conversion variable expressions. For all switcher expressions, all conversion expressions, and all conversion variable expressions Perform GS certification for each. The proof output unit outputs information of all switcher expressions, all conversion expression sets, all conversion variable expression sets, and all results of the GS proof. The verification object acquisition unit acquires proof object information that is information on all constants included in all proof expressions included in all proof expression sets. The proof input unit acquires information on all the switcher expressions, all the conversion expression sets, all the conversion variable expression sets, and all the results of the GS proof output from the proof device. The GS proof confirmation unit confirms the GS proof results for all switcher expressions, all conversion expressions, and all conversion variable expressions. The object confirmation unit confirms that all switcher expressions, all conversion expressions, and all conversion variable expressions correspond to the proof object information.

本発明の証明システムでは、2つ以上の証明式集合に適用でき、ペアリングの積で表現された証明式の形の制限はない。また、本発明の証明システムによれば、証明式中の定数と定数のペアリングに対してのみ変換の処理を行い、定数から変数への変換ごとに1つの変換変数式(ペアリングを含む式)を追加するだけである。したがって、証明式中のすべてのペアリングに対して変換の処理を行うことを前提としている非特許文献2の方法よりも、追加しなければならないペアリングを含む式の数を少なくできる。   The proof system of the present invention can be applied to two or more proof expression sets, and there is no restriction on the form of the proof expression expressed by the product of pairing. Further, according to the proof system of the present invention, conversion processing is performed only for the pairing of constants in the proof expression, and one conversion variable expression (an expression including pairing) is performed for each conversion from the constant to the variable. ). Therefore, the number of formulas including pairing that must be added can be reduced as compared with the method of Non-Patent Document 2 on the assumption that conversion processing is performed on all pairings in the proof formula.

本発明の証明システムの構成例を示す図。The figure which shows the structural example of the certification | authentication system of this invention. 証明装置の処理フローの例を示す図。The figure which shows the example of the processing flow of a certification | authentication apparatus. 検証装置の処理フローの例を示す図。The figure which shows the example of the processing flow of a verification apparatus.

以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。   Hereinafter, embodiments of the present invention will be described in detail. In addition, the same number is attached | subjected to the structure part which has the same function, and duplication description is abbreviate | omitted.

以下では、群Gの要素同士のペアリングの積で構成された証明の対象となる式を証明式、1つ以上の証明式を含む証明式の集合を証明式集合と呼ぶこととする。本発明の証明システムは、2つ以上の証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の情報を証明装置が保有していることを、検証装置に対して証明する。また、明細書中で「定数」とは数式内の値であって証明装置も検証装置も保有している値(既知の値)を示しており、「変数」とは数式内の値であって検証装置に対して秘匿された値を示している。さらに、群G,Gを素数位数qの群、eは群Gの要素同士を群Gの要素に写像するペアリング、Nは2以上の整数、nとmは1以上N以下の整数、Wはn番目の証明式集合に対応した群Gの要素の変数、gは群Gの要素であって1以外の定数、iは対応関係を示す番号とする。なお、g,gを群Gの要素であって1以外の定数、α,βを0以上q−1以下の整数とするときに、ペアリングeは、e(g,g)≠1、e(g α,g β)=e(g,gαβとなる性質を持つ写像である。 In the following, an expression to be proved composed of a product of pairing of elements of group G is called a proof expression, and a set of proof expressions including one or more proof expressions is called a proof expression set. The proof system according to the present invention indicates to the verification device that the proof device has variable information that holds all the proof expressions included in at least one proof expression set of two or more proof expression sets. Prove that. Further, in the specification, “constant” is a value in a mathematical formula and indicates a value (known value) possessed by both the proving device and the verification device, and “variable” is a value in the mathematical formula. The value concealed from the verification device is shown. Furthermore, the group G, the G T of prime order q group, e is the pairing of mapping between elements of the group G to an element of the group G T, N is an integer of 2 or more, n and m are less 1 or more N An integer, W n is a variable of an element of the group G corresponding to the nth proof expression set, g is an element of the group G and a constant other than 1, and i is a number indicating a correspondence relationship. Note that when g 1 and g 2 are elements of group G and constants other than 1 and α and β are integers of 0 to q−1, pairing e is e (g 1 , g 2 ). ≠ 1, e (g 1 α , g 2 β ) = e (g 1 , g 2 ) αβ is a mapping having the property of αβ .

また、A,B,Cは群Gの要素である定数、U,V,Xは群Gの要素である変数、dbcは0以上q−1以下の整数である定数、a,b,c,fは対応関係を示すための番号とすると、証明式は、一般的に

Figure 0005907910

または、この式の項を移項すること(両辺に同じ項を乗算すること、または両辺を同じ項で除算すること)で表現できる式である。つまり、ペアリングの積で表現されたすべての式は、移項によって整理すれば式(1)の形に変形できる。そこで、以下での一般化した説明では、式(1)を用いて説明する。 A a , B f , and C f are constants that are elements of the group G, U a , V b , and X c are variables that are elements of the group G, and d bc is a constant that is an integer of 0 to q−1. , A, b, c, f are numbers for indicating correspondence,
Figure 0005907910

Alternatively, it is an expression that can be expressed by shifting the terms of this expression (multiplying both sides by the same term, or dividing both sides by the same term). That is, all the expressions expressed by the product of pairing can be transformed into the form of expression (1) if they are arranged by transposition. Therefore, in the generalized description below, the description will be made using Equation (1).

このようなペアリングの積で表現される式は、例えば非特許文献4に示した署名で用いられている。そして、1つの署名は、ペアリングの積で表現された1つ以上の式(非特許文献4の場合は2つの式)で構成され、すべての式を満たすことを確認することで署名の検証が行われる。つまり、署名の中の1つの式が本明細書中の証明式に相当し、署名が証明式集合に相当する。そして、上述の「2つ以上の証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の値を証明装置が保有していることを、検証装置に対して証明する。」を署名に当てはめてみると、「2つ以上の署名のうち少なくとも1つの正当な署名を証明装置が保有していることを、検証装置に対して証明する。」という意味である。ただし、本発明は、署名に限定することなく適用できるものであり、一般的な表現として証明式や証明式集合という表現を用いている。   An expression expressed by such a product of pairing is used in the signature shown in Non-Patent Document 4, for example. One signature is composed of one or more expressions (two expressions in the case of Non-Patent Document 4) expressed by a pairing product, and the signature is verified by confirming that all the expressions are satisfied. Is done. That is, one expression in the signature corresponds to a proof expression in this specification, and the signature corresponds to a proof expression set. Then, the above-mentioned “proving to the verification device that the proof device possesses the values of the variables that hold all the proof equations included in at least one proof equation set among the two or more proof equation sets. When applied to the signature, it means “proving to the verification device that the proving device has at least one valid signature of the two or more signatures”. However, the present invention can be applied without being limited to a signature, and expressions such as proof expressions and proof expression sets are used as general expressions.

<証明システムの構成と処理>
図1に本発明の証明システムの構成例を示す。また、図2に証明装置の処理フローの例、図3に検証装置の処理フローの例を示す。証明システムは、少なくとも証明装置100と検証装置200を備える。図1では証明装置100と検証装置200はネットワーク900で接続されているが、証明装置100と検証装置200との情報の受け渡しは、ネットワーク900経由に限定する必要はなく、記録媒体などによって情報の受け渡しを行ってもよい。
<Configuration and processing of certification system>
FIG. 1 shows a configuration example of a proof system of the present invention. FIG. 2 shows an example of the processing flow of the certification device, and FIG. 3 shows an example of the processing flow of the verification device. The proof system includes at least a proof device 100 and a verification device 200. In FIG. 1, the certification device 100 and the verification device 200 are connected via a network 900. However, information exchange between the certification device 100 and the verification device 200 does not have to be limited to the network 900. Delivery may be performed.

証明装置100は、証明対象取得部110、証拠取得部120、変換部130、スイッチャー生成部140、変換変数式生成部150、GS証明実行部160、証明出力部170、記録部190を備える。検証装置200は、検証対象取得部210、証明入力部220、GS証明確認部230、対象確認部240、記録部290を備える。   The certification device 100 includes a certification target acquisition unit 110, an evidence acquisition unit 120, a conversion unit 130, a switcher generation unit 140, a conversion variable expression generation unit 150, a GS certification execution unit 160, a certification output unit 170, and a recording unit 190. The verification device 200 includes a verification target acquisition unit 210, a proof input unit 220, a GS certification confirmation unit 230, a target confirmation unit 240, and a recording unit 290.

証明対象取得部110は、すべての証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得し、記録部190に記録する(S110)。証明式の形はあらかじめ定めておいてもよいし、ステップS110の処理の中で取得してもよい。また、「定数の情報」とは、定数の値そのものであっても、あらかじめ定めた方法で計算するために必要な値でもよい。例えば、ステップS110では、公開鍵などの情報を取得する。なお、本明細書では、「取得」とは、外部から得るだけではなく、証明装置100が生成することも含む意味で用いている。「集合」とは、まとまりを表わす程度の意味であって、証明式集合とは1つ以上の証明式のまとまりという意味である The certification target acquisition unit 110 acquires certification target information which is information on all constants included in all certification formulas included in all certification formula sets, and records the certification target information in the recording unit 190 (S110). The form of the proof expression may be determined in advance or may be acquired during the process of step S110. The “constant information” may be a constant value itself or a value necessary for calculation by a predetermined method. For example, in step S110, information such as a public key is acquired. In this specification, “acquisition” is used not only to obtain from the outside but also to include generation by the certification device 100. The term “set” means a group representing a group, and the proof expression set means a group of one or more proof expressions .

証拠取得部120は、いずれか1つの証明式集合であるm番目の証明式集合に含まれるすべての証明式を成り立たせる変数の情報である証拠を取得し、記録部190に記録する(S120)。「変数の情報」とは、変数の値そのものであっても、あらかじめ定めた方法で計算するために必要な値でもよい。例えば、ステップS120では、秘密鍵などの情報を取得する。また、証明装置100が署名を生成する装置の場合は、証明装置100が証拠を生成することも含んでいる。   The evidence acquisition unit 120 acquires evidence, which is information on variables that make up all the proof expressions included in the m-th proof expression set that is one of the proof expression sets, and records it in the recording unit 190 (S120). . The “variable information” may be a variable value itself or a value necessary for calculation by a predetermined method. For example, in step S120, information such as a secret key is acquired. In addition, when the proving apparatus 100 is an apparatus that generates a signature, it also includes that the proving apparatus 100 generates evidence.

変換部130は、n=1,…,Nのすべてに対して、n番目の証明式集合に含まれるすべての証明式について、定数と定数のペアリングのすべてを、定数と変数のペアリングに変換した変換式を生成することで、n番目の変換式集合を生成し、記録部190に記録する(S130)。式(1)の場合であれば、BもしくはCを変数Yに変換することを意味する。また、移項によって式が変形された場合でも、移項後の表現でのBに対応
する定数もしくはCに対応する定数を、変数Yに変換することを意味する。例えば、

Figure 0005907910

のように変換する。つまり、変換式では、定数と定数のペアリングが存在しない。また、「集合を生成する」とは、1つ以上の式を何らかの方法でまとまりとして扱えるようにすることを意味しており、同じ集合に属する式を同じテーブルに記録することや、関連付けるための番号を付与することなどを含んでいるが、これらに限定するものではない。 For all n = 1,..., N, the conversion unit 130 converts all constant-constant pairings into constant-variable pairings for all proof expressions included in the n-th proof expression set. By generating the converted conversion formula, an nth conversion formula set is generated and recorded in the recording unit 190 (S130). In the case of Expression (1), it means that B f or C f is converted to a variable Y f . Further, even when the expression is transformed by the shift, it means that the constant corresponding to B f or the constant corresponding to C f in the expression after the shift is converted to the variable Y f . For example,
Figure 0005907910

Convert as follows. In other words, there is no constant-constant pairing in the conversion formula . Further, "generates a set", it is meant that the handle as chunks of one or more expressions in some way, and recording the expressions belonging to the same set in the same table, for associating This includes, but is not limited to, assigning numbers.

スイッチャー生成部140は、スイッチャー式を、n=1,…,NについてWが1またはgのときのみ成り立つペアリング積の等式と、W,…,Wのいずれか1つがgであり他がすべて1のときには成り立つペアリング積の等式とし、記録部190に記録する(S140)。例えば、
e(W,W/g)=1,…,e(W,W/g)=1 (3)
のN個の等式と

Figure 0005907910

をスイッチャー式とすればよいし、
e(g/W,W)=1,…,e(g/W,W)=1 (5)
のN個の等式と
Figure 0005907910

をスイッチャー式にしてもよい。 Switcher generator 140, the switcher type, n = 1, ..., and equation pairing product that consists only when W n is 1 or g for N, W 1, ..., in any one of g of W N An equality of pairing product that holds when all others are 1 is recorded in the recording unit 190 (S140). For example,
e (W 1 , W 1 / g) = 1,..., e (W N , W N / g) = 1 (3)
N equations
Figure 0005907910

Can be a switcher type,
e (g / W 1 , W 1 ) = 1,..., e (g / W N , W N ) = 1 (5)
N equations
Figure 0005907910

May be a switcher type.

変換変数式生成部150は、n=1,…,Nのすべてに対して次の処理を行う。n番目の変換式集合について、変換部130で定数Bから変換された変数Yごとに、W=gのときにはY=Bでのみ成り立ち、W=1のときにはY=1でのみ成り立つペアリング積の等式を変換変数式として生成し、この変換変数式の集合をn番目の変換変数式集合とする(S150)。例えば、
e(B,W)=e(Y,g) (7)
のように変換変数式を生成すればよいし、
e(B,W)e(Y,g−1)=1 (8)
のように変換変数式を生成してもよい。
The conversion variable expression generation unit 150 performs the following processing for all of n = 1,. For the n-th conversion expression set, each transformed variables Y i from the constant B i in the conversion unit 130, when the W n = g holds only in Y i = B i, when the W n = 1 Y i = 1 The pairing product equation that holds only at is generated as a conversion variable expression, and this set of conversion variable expressions is set as the nth conversion variable expression set (S150). For example,
e (B i , W n ) = e (Y i , g) (7)
You just need to generate a conversion variable expression like
e (B i , W n ) e (Y i , g −1 ) = 1 (8)
A conversion variable expression may be generated as follows.

GS証明実行部160は、次の処理を行う。スイッチャー式にW=g、n≠mのWにはW=1を割り当て、m番目の変換式集合に含まれるすべての変換式の変数とm番目の変換変数式集合に含まれるすべての変換変数式の変数に、証拠から得られる値とY=Bを割り当てる。つまり、証明式でも変数だった変数には証拠から得られる値を割り当て、変換部130によって定数から変数に変換された変数にはY=Bを割り当てる。そして、m番目以外のすべての変換式集合に含まれるすべての変換式のすべての変数と、m番目以外のすべての変換変数式集合に含まれるすべての変換変数式の変数にペアリングの結果が1となる値を割り当てる。そして、変数に値が割り当てられたすべてのスイッチャー式、すべての変換式、すべての変換変数式に対してそれぞれGS証明(Groth-Sahai非対話証明)を行う(S160)。なお、「変数にペアリングの結果が1となる値を割り当てる」とは、定数と変数のペアリングの場合には変数の値を1にし、変数と変数のペアリングの場合には少なくとも一方の変数の値を1にすることを意味する。このようにすれば、ペアリングの結果が1となる。 The GS certification execution unit 160 performs the following processing. W m = g is assigned to the switcher expression, W n = 1 is assigned to W n where n ≠ m, and all variables included in the m th conversion expression set and all included in the m th conversion variable expression set The value obtained from the evidence and Y i = B i are assigned to the variables of the conversion variable formula of That is, a value obtained from evidence is assigned to a variable that is also a variable in the proof expression, and Y i = B i is assigned to a variable converted from a constant to a variable by the conversion unit 130. Then, pairing results are obtained for all variables of all conversion expressions included in all conversion expression sets other than the mth and all conversion variable expression variables included in all conversion variable expression sets other than the mth. Assign a value of 1. Then, GS proof (Groth-Sahai non-dialogue proof) is performed for all switcher expressions, all conversion expressions, and all conversion variable expressions assigned values to variables (S160). Note that “assign a value that results in a pairing result of 1 to a variable” means that the value of the variable is set to 1 in the case of pairing a constant and a variable, and at least one of the variables is paired in the case of a pairing of a variable and a variable. This means that the value of the variable is 1. In this way, the pairing result is 1.

例えば、式(2)が変換式、式(3),(4)がスイッチャー式、式(7)が変換変数式のときについて説明すると、以下のようになる。スイッチャー式e(W,W/g)=1は、
e(g,g/g)=1
となり、成り立つ。n≠mのときのスイッチャー式e(W,W/g)=1は、
e(1,1/g)=1
となり、成り立つ。また、式(4)は、
e(g,g/g)=1
となるので成り立つ。m番目の変換式集合の変換式は、

Figure 0005907910

のU,V,Xに証拠から得られる値を代入した式となり、成り立つ。m番目の変換変数式集合の変換変数式は、
e(B,g)=e(Y,g)
となるので成り立つ。また、m番目以外のすべての変換式集合の変換式は、
Figure 0005907910

となる。この式では、すべてのペアリングで一方の要素が“1”なので、すべてのペアリングの結果が1となる。よって、右辺も左辺も1となり、成り立つ。m番目以外のすべての変換変数式集合の変換変数式は、
e(B,1)=e(1,g)
となり、やはり右辺も左辺も1となるので成り立つ。 For example, a case where equation (2) is a conversion equation, equations (3) and (4) are switcher equations, and equation (7) is a conversion variable equation is as follows. Switcher type e (W m , W m / g) = 1
e (g, g / g) = 1
And it holds. The switcher equation e (W n , W n / g) = 1 when n ≠ m is
e (1,1 / g) = 1
And it holds. Also, the equation (4) is
e (g, g / g) = 1
Since it becomes, it is formed. The transformation formula of the mth transformation formula set is
Figure 0005907910

This is a formula obtained by substituting values obtained from evidence into U a , V b , and X c of The transformation variable expression of the mth transformation variable expression set is
e (B i , g) = e (Y i , g)
Since it becomes, it is formed. Also, the conversion formulas of all conversion formula sets other than the mth are:
Figure 0005907910

It becomes. In this equation, since one element is “1” in all pairings, the result of all pairings is 1. Therefore, the right side and the left side are 1 and hold. The transformation variable expressions of all transformation variable expression sets other than the mth are
e (B i , 1) = e (1, g)
This is also true because both the right side and the left side are 1.

つまり、mが1〜Nのいずれの値であったとしても、変数を割り当てたすべてのスイッチャー式、すべての変換式、すべての変換変数式は成り立つ。そして、これらの等式に対してGS証明を行うので、すべての式が成り立っていることを証明できる。   That is, even if m is any value from 1 to N, all switcher expressions, all conversion expressions, and all conversion variable expressions to which variables are assigned hold. And since GS proof is performed with respect to these equations, it can prove that all the expressions are formed.

証明出力部170は、すべてのスイッチャー式、すべての変換式集合、すべての変換変数式集合、およびGS証明のすべての結果の情報を出力する(S170)。具体的には、ネットワーク900を介して検証装置200に送信してもよいし、可搬タイプの記録媒体に記録してもよい。   The proof output unit 170 outputs information of all switcher expressions, all conversion expression sets, all conversion variable expression sets, and all results of the GS proof (S170). Specifically, it may be transmitted to the verification device 200 via the network 900, or may be recorded on a portable recording medium.

次に検証装置200の処理について説明する。検証対象取得部210は、すべての証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得し、記録部290に記録する(S210)。この処理は、証明装置100の証明対象取得部110の処理と同じである。   Next, processing of the verification apparatus 200 will be described. The verification target acquisition unit 210 acquires certification target information that is information on all constants included in all certification formulas included in all certification formula sets, and records the certification target information in the recording unit 290 (S210). This process is the same as the process performed by the certification target acquisition unit 110 of the certification device 100.

証明入力部220は、証明装置100が出力したすべてのスイッチャー式、すべての変換式集合、すべての変換変数式集合、GS証明のすべての結果の情報を取得する(S220)。取得の方法は、ネットワーク900を介してでもよいし、記録媒体を介してでもよい。   The proof input unit 220 acquires information on all the switcher expressions, all the conversion expression sets, all the conversion variable expression sets, and all the results of the GS proof output from the verification apparatus 100 (S220). The acquisition method may be via the network 900 or via a recording medium.

GS証明確認部230は、すべてのスイッチャー式、すべての変換式、すべての変換変数式に対するGS証明の結果を確認する(S230)。この確認によって、すべての式が成り立っていることは確認できる。   The GS proof confirmation unit 230 confirms the results of GS proof for all switcher expressions, all conversion expressions, and all conversion variable expressions (S230). This confirmation confirms that all the expressions hold.

対象確認部240は、すべてのスイッチャー式、すべての変換式、すべての変換変数式が、証明対象情報に対応していることを確認する(S240)。変換変数式集合を確認することで、変換式の変数の中で、証明式でも変数の変数と変換部130で定数から変数に変換された変数とを区別できる。そして、変換式集合を確認することで、変換式集合と変換変数式集合が、証明式集合に対応していることが確認できる。   The object confirmation unit 240 confirms that all switcher expressions, all conversion expressions, and all conversion variable expressions correspond to the certification target information (S240). By confirming the conversion variable expression set, among the variables of the conversion expression, it is possible to distinguish the variable variable and the variable converted from the constant to the variable by the conversion unit 130 even in the proof expression. By confirming the conversion expression set, it can be confirmed that the conversion expression set and the conversion variable expression set correspond to the proof expression set.

本発明の証明システムは、このような処理を行うので、検証装置200では、証明装置100がどの証明式集合に対する証拠を保有しているのか分からないようにしながら、証明装置100が少なくとも1つの証明式集合に対する証拠を保有していることを証明できる。このような手法を用いれば、例えば署名システムのセキュリティ強化も可能である。また、2つの証明式集合に限定するのではなく、2つ以上の任意の数の証明集合に対しても適用できることで、本発明の応用範囲が広がる。例えば、あるグループ内の1人からの署名を受け取った人は、だれから受け取ったかを明らかにすることなく、少なくともグループ内の誰かから署名を受け取ったことを証明できるようになる。さらに、本発明の証明システムでは、ペアリングの積で表現された証明式の形の制限はない。また、本発明の証明システムによれば、証明式中の定数と定数のペアリングに対してのみ変換の処理を行い、定数から変数への変換ごとに1つの変換変数式(ペアリングを含む式)を追加するだけである。したがって、証明式中のすべてのペアリングに対して変換の処理を行うことを前提としている非特許文献2の方法よりも、追加しなければならないペアリングを含む式の数を少なくできる。   Since the proof system of the present invention performs such processing, the verification device 200 does not know which proof expression set the proof device 100 holds, while the proof device 100 has at least one proof. You can prove that you have evidence for the set of expressions. If such a method is used, the security of the signature system can be enhanced, for example. Further, the present invention is not limited to two proof expression sets, but can be applied to any number of two or more proof sets, thereby expanding the application range of the present invention. For example, a person who receives a signature from one person in a group can prove that he has received the signature from at least someone in the group without revealing who received it. Furthermore, in the proof system of the present invention, there is no restriction on the form of the proof expression expressed by the product of pairing. Further, according to the proof system of the present invention, conversion processing is performed only for the pairing of constants in the proof expression, and one conversion variable expression (an expression including pairing) is performed for each conversion from the constant to the variable. ). Therefore, the number of formulas including pairing that must be added can be reduced as compared with the method of Non-Patent Document 2 on the assumption that conversion processing is performed on all pairings in the proof formula.

[プログラム、記録媒体]
上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
[Program, recording medium]
The various processes described above are not only executed in time series according to the description, but may also be executed in parallel or individually as required by the processing capability of the apparatus that executes the processes. Needless to say, other modifications are possible without departing from the spirit of the present invention.

また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。   Further, when the above-described configuration is realized by a computer, processing contents of functions that each device should have are described by a program. The processing functions are realized on the computer by executing the program on the computer.

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。   The program describing the processing contents can be recorded on a computer-readable recording medium. As the computer-readable recording medium, for example, any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory may be used.

また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。   The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。   A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, the computer reads a program stored in its own recording medium and executes a process according to the read program. As another execution form of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and the program is transferred from the server computer to the computer. Each time, the processing according to the received program may be executed sequentially. Also, the program is not transferred from the server computer to the computer, and the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes the processing function only by the execution instruction and result acquisition. It is good. Note that the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).

また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。   In this embodiment, the present apparatus is configured by executing a predetermined program on a computer. However, at least a part of these processing contents may be realized by hardware.

本発明は、署名システムのセキュリティ強化や署名を応用したシステムなどに利用できる。   The present invention can be used for security enhancement of a signature system and a system to which a signature is applied.

100 証明装置 110 証明対象取得部
120 証拠取得部 130 変換部
140 スイッチャー生成部 150 変換変数式生成部
160 GS証明実行部 170 証明出力部
190、290 記録部 200 検証装置
210 検証対象取得部 220 証明入力部
230 GS証明確認部 240 対象確認部
900 ネットワーク
DESCRIPTION OF SYMBOLS 100 Proof device 110 Proof object acquisition part 120 Evidence acquisition part 130 Conversion part 140 Switcher generation part 150 Conversion variable formula generation part 160 GS proof execution part 170 Proof output part 190,290 Recording part 200 Verification apparatus 210 Verification object acquisition part 220 Proof input Unit 230 GS certification confirmation unit 240 target confirmation unit 900 network

Claims (6)

群の要素同士のペアリングの積で構成された証明の対象となる式を証明式、1つ以上の証明式を含む証明式の集合を証明式集合と呼ぶこととし、
N個の証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の情報を証明装置が保有していることを、検証装置に対して証明する証明システムであって、
式内の値であって前記証明装置も前記検証装置も保有している値を定数、式内の値であって前記検証装置に対して秘匿された値を変数と呼ぶこととし、Nは2以上の整数、nとmは1以上N以下の整数、Wはn番目の証明式集合に対応した群の要素の変数、gは群の要素であって1以外の定数、iは対応関係を示す番号とし、
前記証明装置は、
すべての証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得する証明対象取得部と、
いずれか1つの証明式集合であるm番目の証明式集合に含まれるすべての証明式を成り立たせる変数の情報である証拠を取得する証拠取得部と、
n=1,…,Nのすべてに対して、n番目の証明式集合に含まれるすべての証明式について、定数と定数のペアリングのすべてを、定数と変数のペアリングに変換した変換式を生成することで、n番目の変換式集合を生成する変換部と、
n=1,…,NについてWが1またはgのときのみ成り立つペアリング積の等式と、W,…,Wのいずれか1つがgであり他がすべて1のときには成り立つペアリング積の等式とを、スイッチャー式として生成するスイッチャー生成部と、
n=1,…,Nのすべてに対して、n番目の変換式集合の中で、前記変換部で定数Bから変換された変数Yごとに、W=gのときにはY=Bでのみ成り立ち、W=1のときにはY=1でのみ成り立つペアリング積の等式を、変換変数式として生成し、この変換変数式の集合をn番目の変換変数式集合とする変換変数式生成部と、
前記スイッチャー式にW=g、n≠mのWにはW=1を割り当て、m番目の変換式集合に含まれるすべての変換式の変数とm番目の変換変数式集合に含まれるすべての変換変数式の変数に、前記証拠から得られる値とY=Bを割り当て、m番目以外のすべての変換式集合に含まれるすべての変換式のすべての変数とm番目以外のすべての変換変数式集合に含まれるすべての変換変数式の変数にペアリングの結果が1となる値を割り当て、すべてのスイッチャー式、すべての変換式、すべての変換変数式に対してそれぞれGS証明を行うGS証明実行部と、
すべての前記スイッチャー式、すべての前記変換式集合、すべての前記変換変数式集合、および前記GS証明のすべての結果の情報を出力する証明出力部と
を備え、
前記検証装置は、
すべての証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得する検証対象取得部と、
前記証明装置が出力したすべての前記スイッチャー式、すべての前記変換式集合、すべての前記変換変数式集合、前記GS証明のすべての結果の情報を取得する証明入力部と、
すべての前記スイッチャー式、すべての前記変換式、すべての前記変換変数式に対する前記GS証明の結果を確認するGS証明確認部と、
すべての前記スイッチャー式、すべての前記変換式、すべての前記変換変数式が、前記証明対象情報に対応していることを確認する対象確認部と
を備える
証明システム。
An expression to be proved composed of a pairing product between elements of a group is called a proof expression, and a set of proof expressions including one or more proof expressions is called a proof expression set.
A proof system that proves to a verification device that a proof device has information on variables that hold all proof equations included in at least one proof equation set among N proof equation sets. ,
A value that is a value in an expression and is held by both the proving device and the verification device is called a constant, and a value in the equation that is concealed from the verification device is called a variable, and N is 2 The above integers, n and m are integers of 1 to N, W n is a group element variable corresponding to the nth proof expression set, g is a group element and a constant other than 1, and i is a correspondence relationship And a number indicating
The proving device is
A certification target acquisition unit that acquires certification target information that is information of all constants included in all certification formulas included in all certification formula sets;
An evidence acquisition unit that acquires evidence that is information of variables that make up all the proof expressions included in the m-th proof expression set that is one of the proof expression sets;
For all n = 1,..., N, for all proof expressions included in the nth proof expression set, conversion formulas that convert all constant-constant pairings into constant-variable pairings are: Generating a conversion unit that generates the n-th conversion formula set;
n = 1, ..., and equation paired product of W n holds only when one or g for N, W 1, ..., W pairing holds true when it other are all 1 any one of g N A switcher generator for generating a product equation as a switcher equation;
For all of n = 1,..., N, for each variable Y i converted from the constant B i by the conversion unit in the n-th conversion formula set, Y i = B when W n = g. A pairing product equation that holds only at i and holds only when Y i = 1 when W n = 1 is generated as a conversion variable expression, and this set of conversion variable expressions is used as the n-th conversion variable expression set. A variable expression generator,
W m = g is assigned to the switcher expression, and W n = 1 is assigned to W n where n ≠ m, and the variables of all the conversion expressions included in the m-th conversion expression set and the m-th conversion variable expression set are included. Assign the values obtained from the above evidence and Y i = B i to the variables of all conversion variable expressions, and all the variables of all conversion expressions and all but the mth included in all the conversion expression sets other than the mth. Assign a value that results in a pairing result of 1 to all variables in the transformation variable expression set of, and obtain GS certification for all switcher expressions, all conversion expressions, and all conversion variable expressions. A GS certification execution unit to perform;
A proof output unit that outputs information about all the switcher expressions, all the conversion expression sets, all the conversion variable expression sets, and all the results of the GS proof, and
The verification device includes:
A verification target acquisition unit that acquires certification target information, which is information on all constants included in all certification formulas included in all certification formula sets;
A proof input unit that obtains information on all the switcher expressions output by the proof device, all the conversion expression sets, all the conversion variable expression sets, and all results of the GS proof;
A GS proof confirmation unit for confirming a result of the GS proof for all the switcher expressions, all the conversion expressions, and all the conversion variable expressions;
A verification system comprising: a target confirmation unit that confirms that all the switcher formulas, all the conversion formulas, and all the conversion variable formulas correspond to the certification target information.
請求項1記載の証明システムであって、
eは群の要素同士のペアリングとし、
前記スイッチャー式は、
e(W,W/g)=1,…,e(W,W/g)=1と
Figure 0005907910

であり、
前記n番目の変換変数式集合の変換変数式は、
e(B,W )=e(Y,g)
である
ことを特徴とする証明システム。
The certification system according to claim 1,
e is a pairing of elements of the group,
The switcher type is
e (W 1 , W 1 / g) = 1,..., e (W N , W N / g) = 1
Figure 0005907910

And
The conversion variable expression of the nth conversion variable expression set is:
e (B i , W n ) = e (Y i , g)
A proof system characterized by
請求項1または2記載の証明システムであって、
群G,Gを素数位数qの群、eは群Gの要素同士を群Gの要素に写像するペアリング、A,B,Cは群Gの要素である定数、U,V,Xは群Gの要素である変数、dbcは0以上q−1以下の整数である定数、a,b,c,fは対応関係を示すための番号とし、
前記証明式は、
Figure 0005907910

または、この式の項を移項することで表現できる式であり、
前記変換部は、前記証明式のBもしくはC、または移項後の表現でのBに対応する定数もしくはCに対応する定数を、前記定数B として、変数に変換する
ことを特徴とする証明システム。
The proof system according to claim 1 or 2,
Group G, group G T the prime order q, e pairing that maps between elements of the group G to an element of the group G T, A a, B f , C f is an element of the group G constant, U a , V b , and X c are variables that are elements of the group G, d bc is a constant that is an integer of 0 to q−1, a, b, c, and f are numbers for indicating correspondence,
The proof formula is
Figure 0005907910

Or an expression that can be expressed by transposing the terms of this expression,
The conversion unit converts B f or C f of the proof expression or a constant corresponding to B f in the expression after the transfer or a constant corresponding to C f into the variable as the constant B i. And a proof system.
群の要素同士のペアリングの積で構成された証明の対象となる式を証明式、1つ以上の証明式を含む証明式の集合を証明式集合と呼ぶこととし、
N個の証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の情報を保有していることを、検証装置に対して証明する証明装置であって、
式内の値であって前記証明装置も前記検証装置も保有している値を定数、式内の値であって前記検証装置に対して秘匿された値を変数と呼ぶこととし、Nは2以上の整数、nとmは1以上N以下の整数、Wはn番目の証明式集合に対応した群の要素の変数、gは群の要素であって1以外の定数、iは対応関係を示す番号とし、
すべての証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得する証明対象取得部と、
いずれか1つの証明式集合であるm番目の証明式集合に含まれるすべての証明式を成り立たせる変数の情報である証拠を取得する証拠取得部と、
n=1,…,Nのすべてに対して、n番目の証明式集合に含まれるすべての証明式について、定数と定数のペアリングのすべてを、定数と変数のペアリングに変換した変換式を生成することで、n番目の変換式集合を生成する変換部と、
n=1,…,NについてWが1またはgのときのみ成り立つペアリング積の等式と、W,…,Wのいずれか1つがgであり他がすべて1のときには成り立つペアリング積
の等式とを、スイッチャー式として生成するスイッチャー生成部と、
n=1,…,Nのすべてに対して、n番目の変換式集合の中で、前記変換部で定数Bから変換された変数Yごとに、W=gのときにはY=Bでのみ成り立ち、W=1のときにはY=1でのみ成り立つペアリング積の等式を、変換変数式として生成し、この変換変数式の集合をn番目の変換変数式集合とする変換変数式生成部と、
前記スイッチャー式にW=g、n≠mのWにはW=1を割り当て、m番目の変換式集合に含まれるすべての変換式の変数とm番目の変換変数式集合に含まれるすべての変換変数式の変数に、前記証拠から得られる値とY=Bを割り当て、m番目以外のすべての変換式集合に含まれるすべての変換式のすべての変数とm番目以外のすべての変換変数式集合に含まれるすべての変換変数式の変数にペアリングの結果が1となる値を割り当て、すべてのスイッチャー式、すべての変換式、すべての変換変数式に対してそれぞれGS証明を行うGS証明実行部と、
すべての前記スイッチャー式、すべての前記変換式集合、すべての前記変換変数式集合、および前記GS証明のすべての結果の情報を出力する証明出力部と
を備える証明装置。
An expression to be proved composed of a pairing product between elements of a group is called a proof expression, and a set of proof expressions including one or more proof expressions is called a proof expression set.
A proof device that proves to a verification device that it has information on variables that hold all proof expressions included in at least one proof expression set among N proof expression sets,
A value that is a value in an expression and is held by both the proving device and the verification device is called a constant, and a value in the equation that is concealed from the verification device is called a variable, and N is 2 The above integers, n and m are integers of 1 to N, W n is a group element variable corresponding to the nth proof expression set, g is a group element and a constant other than 1, and i is a correspondence relationship And a number indicating
A certification target acquisition unit that acquires certification target information that is information of all constants included in all certification formulas included in all certification formula sets;
An evidence acquisition unit that acquires evidence that is information of variables that make up all the proof expressions included in the m-th proof expression set that is one of the proof expression sets;
For all n = 1,..., N, for all proof expressions included in the nth proof expression set, conversion formulas that convert all constant-constant pairings into constant-variable pairings are: Generating a conversion unit that generates the n-th conversion formula set;
n = 1, ..., and equation paired product of W n holds only when one or g for N, W 1, ..., W pairing holds true when it other are all 1 any one of g N A switcher generator for generating a product equation as a switcher equation;
For all of n = 1,..., N, for each variable Y i converted from the constant B i by the conversion unit in the n-th conversion formula set, Y i = B when W n = g. A pairing product equation that holds only at i and holds only when Y i = 1 when W n = 1 is generated as a conversion variable expression, and this set of conversion variable expressions is used as the n-th conversion variable expression set. A variable expression generator,
W m = g is assigned to the switcher expression, and W n = 1 is assigned to W n where n ≠ m, and the variables of all the conversion expressions included in the m-th conversion expression set and the m-th conversion variable expression set are included. Assign the values obtained from the above evidence and Y i = B i to the variables of all conversion variable expressions, and all the variables of all conversion expressions and all but the mth included in all the conversion expression sets other than the mth. Assign a value that results in a pairing result of 1 to all variables in the transformation variable expression set of, and obtain GS certification for all switcher expressions, all conversion expressions, and all conversion variable expressions. A GS certification execution unit to perform;
A proof device comprising: all the switcher expressions, all the conversion expression sets, all the conversion variable expression sets, and a proof output unit that outputs information on all results of the GS proof.
群の要素同士のペアリングの積で構成された証明の対象となる式を証明式、1つ以上の証明式を含む証明式の集合を証明式集合と呼ぶこととし、
N個の証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の情報を証明装置が保有していることを検証する検証装置であって、
式内の値であって前記証明装置も前記検証装置も保有している値を定数、式内の値であって前記検証装置に対して秘匿された値を変数と呼ぶこととし、Nは2以上の整数、nは1以上N以下の整数、Wはn番目の証明式集合に対応した群の要素の変数、gは群の要素であって1以外の定数、iは対応関係を示す番号とし、
n番目の証明式集合に含まれるすべての証明式について、定数と定数のペアリングのすべてを、定数と変数のペアリングに変換した変換式を生成することで、証明式集合ごとに生成された集合をn番目の変換式集合とし、
n=1,…,NについてWが1またはgのときのみ成り立つペアリング積の等式と、W,…,Wのいずれか1つがgであり他がすべて1のときには成り立つペアリング積の等式とをスイッチャー式とし、
n番目の変換式集合の中で、定数Bから変換された変数Yごとに生成された、W=gのときにはY=Bでのみ成り立ち、W=1のときにはY=1でのみ成り立つペアリング積の等式を変換変数式、この変換変数式の集合をn番目の変換変数式集合とし、
すべての証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得する検証対象取得部と、
前記証明装置が出力したすべての前記スイッチャー式、すべての前記変換式集合、すべての前記変換変数式集合の情報、およびすべての前記スイッチャー式、すべての前記変換式、すべての前記変換変数式に対するGS証明のすべての結果の情報を取得する証明入力部と、
前記GS証明のすべての結果を確認するGS証明確認部と、
すべての前記スイッチャー式、すべての前記変換式、すべての前記変換変数式が、前記証明対象情報に対応していることを確認する対象確認部と、
を備える検証装置。
An expression to be proved composed of a pairing product between elements of a group is called a proof expression, and a set of proof expressions including one or more proof expressions is called a proof expression set.
A verification device that verifies that a proof device has information on variables that hold all proof expressions included in at least one proof expression set among N proof expression sets,
A value that is a value in an expression and is held by both the proving device and the verification device is called a constant, and a value in the equation that is concealed from the verification device is called a variable, and N is 2 N is an integer greater than or equal to 1 and less than or equal to N, W n is a variable of a group element corresponding to the nth proof expression set, g is a group element and a constant other than 1, and i indicates a correspondence relationship Number and
For all proof expressions included in the nth proof expression set, a conversion expression is generated by converting all constant-constant pairings into constant-variable pairings. Let the set be the n-th transformation set,
n = 1, ..., and equation paired product of W n holds only when one or g for N, W 1, ..., W pairing holds true when it other are all 1 any one of g N The product equation is the switcher type,
Among the n-th conversion expression set, which is generated for each variable Y i converted from the constant B i, when the W n = g holds only in Y i = B i, when W n = 1 is Y i = The pairing product equation that holds only at 1 is the transformation variable expression, and the set of this transformation variable expression is the nth transformation variable expression set,
A verification target acquisition unit that acquires certification target information, which is information on all constants included in all certification formulas included in all certification formula sets;
GS for all the switcher expressions, all the conversion expression sets, information on all the conversion variable expression sets, and all the switcher expressions, all the conversion expressions, and all the conversion variable expressions output by the proving device. A proof input to obtain information on all results of the proof,
A GS certification confirmation unit for confirming all results of the GS certification;
An object confirmation unit for confirming that all the switcher expressions, all the conversion expressions, and all the conversion variable expressions correspond to the proof object information;
A verification apparatus comprising:
群の要素同士のペアリングの積で構成された証明の対象となる式を証明式、1つ以上の証明式を含む証明式の集合を証明式集合と呼ぶこととし、
N個の証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の情報を証明装置が保有していることを、検証装置に対して証明する証明方法であって、
式内の値であって前記証明装置も前記検証装置も保有している値を定数、式内の値であって前記検証装置に対して秘匿された値を変数と呼ぶこととし、Nは2以上の整数、nとmは1以上N以下の整数、Wはn番目の証明式集合に対応した群の要素の変数、gは群の要素であって1以外の定数、iは対応関係を示す番号とし、
前記証明装置が、すべての証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得する証明対象取得ステップと、
前記証明装置が、いずれか1つの証明式集合であるm番目の証明式集合に含まれるすべての証明式を成り立たせる変数の情報である証拠を取得する証拠取得ステップと、
前記証明装置が、n=1,…,Nのすべてに対して、n番目の証明式集合に含まれるすべての証明式について、定数と定数のペアリングのすべてを、定数と変数のペアリングに変換した変換式を生成することで、n番目の変換式集合を生成する変換ステップと、
前記証明装置が、n=1,…,NについてWが1またはgのときのみ成り立つペアリング積の等式と、W,…,Wのいずれか1つがgであり他がすべて1のときには成り立つペアリング積の等式とを、スイッチャー式として生成するスイッチャー生成ステップと、
前記証明装置が、n=1,…,Nのすべてに対して、n番目の変換式集合の中で、前記変換部で定数Bから変換された変数Yごとに、W=gのときにはY=Bでのみ成り立ち、W=1のときにはY=1でのみ成り立つペアリング積の等式を、変換変数式として生成し、この変換変数式の集合をn番目の変換変数式集合とする変換変数式生成ステップと、
前記証明装置が、前記スイッチャー式にW=g、n≠mのWにはW=1を割り当て、m番目の変換式集合に含まれるすべての変換式の変数とm番目の変換変数式集合に含まれるすべての変換変数式の変数に、前記証拠から得られる値とY=Bを割り当て、m番目以外のすべての変換式集合に含まれるすべての変換式のすべての変数とm番目以外のすべての変換変数式集合に含まれるすべての変換変数式の変数にペアリングの結果が1となる値を割り当て、すべてのスイッチャー式、すべての変換式、すべての変換変数式に対してそれぞれGS証明を行うGS証明実行ステップと、
前記証明装置が、すべての前記スイッチャー式、すべての前記変換式集合、すべての前記変換変数式集合、および前記GS証明のすべての結果の情報を出力する証明出力ステップと、
前記検証装置が、すべての証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得する検証対象取得ステップと、
前記検証装置が、前記証明装置が出力したすべての前記スイッチャー式、すべての前記変換式集合、すべての前記変換変数式集合、前記GS証明のすべての結果の情報を取得する証明入力ステップと、
前記検証装置が、すべての前記スイッチャー式、すべての前記変換式、すべての前記変換変数式に対する前記GS証明の結果を確認するGS証明確認ステップと、
前記検証装置が、すべての前記スイッチャー式、すべての前記変換式、すべての前記変換変数式が、前記証明対象情報に対応していることを確認する対象確認ステップと、
を有する証明方法。
An expression to be proved composed of a pairing product between elements of a group is called a proof expression, and a set of proof expressions including one or more proof expressions is called a proof expression set.
A proof method for proving to a verification device that a proof device has information on variables that hold all proof equations included in at least one proof equation set among N proof equation sets. ,
A value that is a value in an expression and is held by both the proving device and the verification device is called a constant, and a value in the equation that is concealed from the verification device is called a variable, and N is 2 The above integers, n and m are integers of 1 to N, W n is a group element variable corresponding to the nth proof expression set, g is a group element and a constant other than 1, and i is a correspondence relationship And a number indicating
A proof object acquisition step in which the proof device acquires proof object information which is information of all constants included in all proof expressions included in all proof expression sets;
An evidence acquisition step in which the proof device acquires evidence that is information of variables that make up all the proof expressions included in the m-th proof expression set that is any one proof expression set;
For all of n = 1,..., N, the proof device converts all of the constant-constant pairing to constant-variable pairing for all proof expressions included in the n-th proof expression set. A conversion step of generating an n th conversion expression set by generating a converted conversion expression;
The certification device, n = 1, ..., and equation paired product of W n holds only when one or g for N, W 1, ..., one of W N is a g other all 1 A switcher generation step for generating a pairing product equation as a switcher equation,
For all of n = 1,..., N, the proving device has W n = g for each variable Y i converted from a constant B i in the n-th conversion equation set. An equation of a pairing product that sometimes holds only when Y i = B i and holds only when Y i = 1 when W n = 1 is generated as a conversion variable expression, and this set of conversion variable expressions is set as the n-th conversion variable. A conversion variable expression generation step as an expression set;
The certification device, W m = g the switcher formula assigns W n = 1 to W n of n ≠ m, all conversion formula variables and m-th conversion variables included in the m-th conversion expression set Assign all the variables of all the conversion expressions included in all the conversion expression sets other than the m-th by assigning the values obtained from the evidence and Y i = B i to the variables of all the conversion variable expressions included in the expression set. Assign a value that results in a pairing result of 1 to all the variables of the conversion variable expressions included in all the conversion variable expression sets other than the mth, and to all switcher expressions, all conversion expressions, and all conversion variable expressions GS certification execution steps for performing GS certification respectively,
A proof output step in which the proof device outputs information about all the switcher expressions, all the conversion expression sets, all the conversion variable expression sets, and all the results of the GS proof;
A verification object acquisition step in which the verification device acquires proof object information which is information of all constants included in all proof expressions included in all proof expression sets;
A proof input step in which the verification device acquires information of all the switcher expressions output from the proof device, all the conversion equation sets, all the conversion variable equation sets, and all the results of the GS proof;
A GS proof confirmation step in which the verification device confirms a result of the GS proof for all the switcher expressions, all the conversion expressions, and all the conversion variable expressions;
An object confirmation step in which the verification device confirms that all the switcher expressions, all the conversion expressions, and all the conversion variable expressions correspond to the proof object information;
Proving method with.
JP2013038327A 2013-02-28 2013-02-28 Certification system, certification device, verification device, certification method Active JP5907910B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013038327A JP5907910B2 (en) 2013-02-28 2013-02-28 Certification system, certification device, verification device, certification method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013038327A JP5907910B2 (en) 2013-02-28 2013-02-28 Certification system, certification device, verification device, certification method

Publications (2)

Publication Number Publication Date
JP2014164285A JP2014164285A (en) 2014-09-08
JP5907910B2 true JP5907910B2 (en) 2016-04-26

Family

ID=51614892

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013038327A Active JP5907910B2 (en) 2013-02-28 2013-02-28 Certification system, certification device, verification device, certification method

Country Status (1)

Country Link
JP (1) JP5907910B2 (en)

Also Published As

Publication number Publication date
JP2014164285A (en) 2014-09-08

Similar Documents

Publication Publication Date Title
Abadi et al. O-PSI: delegated private set intersection on outsourced datasets
JP5736816B2 (en) Authentication device, authentication method, program, and signature generation device
Huang et al. P2ofe: privacy-preserving optimistic fair exchange of digital signatures
Chia et al. Digital signature schemes with strong existential unforgeability
MacKenzie et al. Automatic generation of two-party computations
JP5330858B2 (en) Signature verification system, signature verification method, blind signature generation method, user device, and blind signature generation program
JPWO2006085430A1 (en) Member certificate acquisition device, member certificate issuing device, group signature device, group signature verification device
JP5907910B2 (en) Certification system, certification device, verification device, certification method
Wang et al. Perfect ambiguous optimistic fair exchange
JP5815754B2 (en) Signature verification system, signature device, verification device, and signature verification method
Wei et al. Designated verifier proxy re-signature for deniable and anonymous wireless communications
JP5907906B2 (en) Certification system, certification device, verification device, certification method
JP2012227879A (en) Oblivious transfer system, oblivious transfer method, and program
Tomida et al. Keyword searchable encryption with access control from a certain identity-based encryption
JP5314449B2 (en) Electronic signature verification system, electronic signature device, verification device, electronic signature verification method, electronic signature method, verification method, electronic signature program, verification program
JP2010054875A (en) Operating device, decryption device, encryption device, information sharing system, 2dnf operating system, signature generator, signature verifier, signature processing system, signature verification system, arithmetic operation method, and arithmetic operation program
Chen et al. Blockchain as a CA: A provably secure signcryption scheme leveraging blockchains
JP5227764B2 (en) Electronic signature verification system, electronic signature device, verification device, electronic signature verification method, electronic signature method, verification method, electronic signature program, verification program
JP4533636B2 (en) Digital signature system, digital signature management apparatus, digital signature management method and program
JP5863683B2 (en) Commitment system, common reference information generation device, commit generation device, commit reception device, commitment method, and program
JP5331028B2 (en) Signature / verification system, signature / verification method, signature device, verification device, program, recording medium
JP5330964B2 (en) Signature / verification system, signature / verification method, signature device, verification device, program
JP6087849B2 (en) Proxy signature device, signature verification device, key generation device, proxy signature system, and program
Wang Signer‐admissible strong designated verifier signature from bilinear pairings
Chou A novel anonymous proxy signature scheme

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150204

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150911

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150924

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151030

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160315

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160322

R150 Certificate of patent or registration of utility model

Ref document number: 5907910

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350