Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6225097B2 - Signature / Verification System, Signature Device, Verification Device, Signature / Verification Method, Program - Google Patents
[go: Go Back, main page]

JP6225097B2 - Signature / Verification System, Signature Device, Verification Device, Signature / Verification Method, Program - Google Patents

Signature / Verification System, Signature Device, Verification Device, Signature / Verification Method, Program Download PDF

Info

Publication number
JP6225097B2
JP6225097B2 JP2014226184A JP2014226184A JP6225097B2 JP 6225097 B2 JP6225097 B2 JP 6225097B2 JP 2014226184 A JP2014226184 A JP 2014226184A JP 2014226184 A JP2014226184 A JP 2014226184A JP 6225097 B2 JP6225097 B2 JP 6225097B2
Authority
JP
Japan
Prior art keywords
signature
verification
group
message
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2014226184A
Other languages
Japanese (ja)
Other versions
JP2016092639A (en
Inventor
阿部 正幸
正幸 阿部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014226184A priority Critical patent/JP6225097B2/en
Publication of JP2016092639A publication Critical patent/JP2016092639A/en
Application granted granted Critical
Publication of JP6225097B2 publication Critical patent/JP6225097B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は群構造維持署名方式を用いた署名・検証システム、署名装置、検証装置、署名・検証方法、プログラムに関する。   The present invention relates to a signature / verification system, a signature apparatus, a verification apparatus, a signature / verification method, and a program using a group structure maintenance signature scheme.

通常の署名鍵は整数の要素を含んでいる。そして、整数の要素を含んでいる署名鍵を知っていることを示す非対話証明としては、非特許文献1の技術が知られている。しかし、署名鍵を1ビットごとに分解して証明する方法のため、非常に効率が悪い。そこで本発明の対象を、群構造維持署名方式とする。   A normal signing key contains an integer element. As a non-dialogue proof indicating that a signature key including an integer element is known, the technique of Non-Patent Document 1 is known. However, this method is very inefficient because the signature key is decomposed and verified for each bit. Therefore, the subject of the present invention is a group structure maintenance signature scheme.

群構造維持署名方式とは、検証鍵、署名対象のメッセージ、署名が群の要素のみで構成されていて、検証関数が群演算とペアリング積の演算のみから構成されているディジタル署名方式である。Groth-Sahai非対話証明系は、群の要素がペアリング積で表された関数式を満たすことを、それらの群要素を秘匿したまま証明できる技術である。群構造維持署名方式であれば、Groth-Sahai非対話証明系を用いることによって、群要素からなる構成要素、すなわち、検証鍵、メッセージ、署名の任意の要素を秘匿したまま、それら秘匿された要素がペアリング積から成る検証式を満たすことを容易に証明できる。   The group structure maintenance signature method is a digital signature method in which a verification key, a message to be signed, and a signature are composed only of group elements, and a verification function is composed only of group operations and pairing product operations. . Groth-Sahai non-dialogue proof system is a technology that can prove that group elements satisfy a functional expression represented by a pairing product while keeping the group elements secret. If it is a group structure maintenance signature method, by using the Groth-Sahai non-dialogue proof system, the constituent elements consisting of the group elements, that is, the verification key, the message, and the arbitrary elements of the signature are kept secret while keeping them secret We can easily prove that satisfies the verification formula consisting of the pairing product.

メッセージを除く要素である検証鍵、署名、署名鍵が群要素であるディジタル署名方式として、非特許文献2に示された署名方式が知られている。この方式に基づいてメッセージも群要素にし、検証鍵、メッセージ、署名、署名鍵のすべてを群要素にしたディジタル署名方式として、非特許文献3に示された署名方式が知られている。   A signature scheme shown in Non-Patent Document 2 is known as a digital signature scheme in which a verification key, a signature, and signature keys that are elements other than a message are group elements. Based on this scheme, a signature scheme shown in Non-Patent Document 3 is known as a digital signature scheme in which a message is also made a group element and all of a verification key, a message, a signature, and a signature key are group elements.

Sarah Meiklejohn, “An Extension of the Groth-Sahai Proof System”, [平成26年10月22日検索]、インターネット<http://cseweb.ucsd.edu/~smeiklejohn/files/mastersthesis.pdf>.Sarah Meiklejohn, “An Extension of the Groth-Sahai Proof System”, [October 22, 2014 search], Internet <http://cseweb.ucsd.edu/~smeiklejohn/files/mastersthesis.pdf>. Dennis Hofheinz, Tibor Jager, and Edward Knapp, “Waters Signatures with Optimal Security Reduction”, [平成26年10月22日検索]、インターネット<http://eprint.iacr.org/2011/703.pdf>.Dennis Hofheinz, Tibor Jager, and Edward Knapp, “Waters Signatures with Optimal Security Reduction”, [October 22, 2014 search], Internet <http://eprint.iacr.org/2011/703.pdf>. Masayuki Abe, Melissa Chase, Bernardo David, Markulf Kohlweiss, Ryo Nishimaki, Miyako Ohkubo, “Constant-Size Structure-Preserving Signatures: Generic Constructions and Simple Assumptions”, ASIACRYPT 2012: 4-24.Masayuki Abe, Melissa Chase, Bernardo David, Markulf Kohlweiss, Ryo Nishimaki, Miyako Ohkubo, “Constant-Size Structure-Preserving Signatures: Generic Constructions and Simple Assumptions”, ASIACRYPT 2012: 4-24.

非特許文献3のディジタル署名方式であれば、検証鍵、メッセージ、署名、署名鍵のすべてを秘匿したまま検証式が成り立つことをGroth-Sahai非対話証明で証明できる。つまり、通常の群構造維持署名方式では非対話証明が困難であった署名鍵も、非対話証明で効率的に示すことができる。しかしながら、非特許文献3に示された署名方式は、いわゆる拡張ランダムメッセージ攻撃に対してのみ潜在的偽造不可能であって、より望ましい適応選択メッセージ攻撃に対しての偽造不可能性は達成できていない(選択メッセージ攻撃に対する安全性を有していない)。   With the digital signature scheme of Non-Patent Document 3, it can be proved by Groth-Sahai non-dialogue proof that the verification formula holds while all of the verification key, message, signature, and signature key are kept secret. In other words, a signing key that was difficult for non-dialogue proof by the normal group structure maintenance signature method can be efficiently shown by non-dialogue proof. However, the signature scheme shown in Non-Patent Document 3 cannot be potentially forged only against a so-called extended random message attack, and has not achieved forgery against a more desirable adaptive selection message attack. No (not secure against selective message attacks).

そこで、本発明は、検証鍵、メッセージ、署名、署名鍵のすべてが群要素であって、選択メッセージ攻撃に対する安全性を有する群構造維持署名方式を提供することを目的とする。   Therefore, an object of the present invention is to provide a group structure maintenance signature method in which a verification key, a message, a signature, and a signature key are all group elements and have security against a selective message attack.

本発明の署名・検証システムは、署名装置と検証装置とを有する。まず、G,G,Gを位数pの群、eをG×G→Gのペアリング、gを群Gの任意の生成元、gを群Gの任意の生成元、Kを1以上のあらかじめ定めた整数、kを1以上K以下の整数、m,…,mを群Gの元、メッセージMをM=(m,…,m)、^をべき乗を示す記号、u,f02,…,fK2,f03,…,fK3を1以上p−1以下からランダムに選択した整数、U=g^u,U=g^u,(F102,…,F1K2)=(g^f02,…,g^fK2),(F103,…,F1K3)=(g^f03,…,g^fK3),(F202,…,F2K2)=(g^f02,…,g^fK2),(F203,…,F2K3)=(g^f03,…,g^fK3)、〜を群Gの元のgを底とする対数の値と群Gの元のgを底とする対数の値が等しいことを示す記号とする。 The signature / verification system of the present invention includes a signature device and a verification device. First, G 1, G 2, G T the order p group, e and G 1 × G 2G pairing T, then any generator of the group G 1 and g 1, the g 2 groups G 2 Arbitrary generators, K is a predetermined integer greater than or equal to 1, k is an integer greater than or equal to 1 and less than or equal to K, m 1 ,..., M K is an element of group G 1 and message M is M = (m 1 ,. K ), ^ is a sign indicating a power, u, f 02 ,..., F K2 , f 03 ,..., F K3 is an integer that is randomly selected from 1 to p−1, U 1 = g 1 ^ u, U 2 = g 2 ^ u, (F 102 ,..., F 1K2 ) = (g 1 ^ f 02 ,..., G 1 ^ f K2 ), (F 103 ,..., F 1K3 ) = (g 1 ^ f 03 , ..., g 1 ^ f K3) , (F 202, ..., F 2K2) = (g 2 ^ f 02, ..., g 2 ^ f K2), (F 203, ..., F 2K3) = (g 2 ^ f 03, ..., g 2 ^ f K3), ~ that logarithmic values of the original g 2 logarithm values and a group G 2 to the base original g 1 of the group G 1 and the bottom is equal to Is a symbol indicating.

署名装置は、鍵生成部、ワンタイム鍵生成部、メッセージ署名生成部、ワンタイム署名生成部を備え、検証鍵vkとワンタイム検証鍵opkと署名S,Sを出力する。検証装置は、メッセージ署名検証部とワンタイム署名検証部を備え、検証鍵vk、ワンタイム検証鍵opk、署名S,SとメッセージMを取得して署名S,Sを検証する。 The signature device includes a key generation unit, a one-time key generation unit, a message signature generation unit, and a one-time signature generation unit, and outputs a verification key vk, a one-time verification key opk, and signatures S 1 and S 2 . The verification device includes a message signature verification unit and a one-time signature verification unit, acquires a verification key vk, a one-time verification key opk, signatures S 1 and S 2 and a message M and verifies the signatures S 1 and S 2 .

鍵生成部は、V〜V,V’〜V’,H〜Hが成り立つように群Gの元V,V’,Hと群Gの元V,V’,Hを定め、0以上p−1以下の整数の中からランダムにa,b,αを選び、1以上p−1以下の整数の中からランダムにρを選び、R=V(V’)とし、
vk=g ,vk=g ,vk=g ba,vk=R,vk=R ,vk=H,vk=g ρ,vk=g αb/ρを求め、
vk,vk,vk,vk,vk,vk,vk,vkを含む検証鍵vkと、vk,g α,g ,V,V’を含む署名鍵skを生成する。
Key generating unit, V 1 ~V 2, V 1 '~V 2', based on V 1, V 1 of the group G 1 as H 1 to H 2 is true ', H 1 and original V 2 groups G 2 , V 2 ′, H 2 , a, b, α are randomly selected from integers between 0 and p−1, ρ is randomly selected from integers between 1 and p−1, and R 2 = V 2 (V 2 ') a
vk 1 = g 2 b , vk 2 = g 2 a , vk 3 = g 2 ba , vk 4 = R 2 , vk 5 = R 2 b , vk 6 = H 2 , vk 7 = g 1 ρ , vk 8 = g 2 αb / ρ is obtained,
A verification key vk including vk 1 , vk 2 , vk 3 , vk 4 , vk 5 , vk 6 , vk 7 , vk 8 and a signature key including vk, g 1 α , g 1 b , V 1 , V 1 ′ sk is generated.

ワンタイム鍵生成部は、0以上p−1以下の整数の中からランダムにv,a,…,aを選び、
(N201,N202,N200)=(F202^v,F203^v,U^v)と
i=1,…,Kについて
(N2i1,N2i2,N2i0)=(F2i2^a,F2i3^a,U^a
を計算し、
(N201,N202,N200),…,(N2K1,N2K2,N2K0)を含むワンタイム検証鍵opkと、v,a,…,aを含むワンタイム署名鍵oskを生成する。
The one-time key generation unit randomly selects v, a 1 ,..., A K from integers of 0 or more and p−1 or less,
(N 201 , N 202 , N 200 ) = (F 202 ^ v, F 203 ^ v, U 2 ^ v) and i = 1,..., K (N 2i1 , N 2i2 , N 2i0 ) = (F 2i2 ^ a i, F 2i3 ^ a i, U 2 ^ a i)
Calculate
(N 201, N 202, N 200), ..., generates the (N 2K1, N 2K2, N 2K0) and the one-time verification key opk including, v, a 1, ..., one-time signature key osk comprising a K To do.

メッセージ署名生成部は、メッセージMを取得し、ワンタイム署名鍵oskを用いて、選択メッセージ攻撃に対する安全性を有するあらかじめ定めた署名方式にしたがってメッセージMに対する署名であって、群Gの元または群Gの元のみを含む署名Sを生成する。 Message signature generation unit obtains the message M, by using a one-time signature key osk, a signature for the message M according to a predetermined signature scheme with security against selection message attacks, the group G 1 origional or A signature S 1 including only elements of group G 2 is generated.

ワンタイム署名生成部は、0以上p−1以下の整数の中からランダムにr、r、zを選び、
r=r+r (mod p)
を求め、
The one-time signature generation unit randomly selects r 1 , r 2 , and z from integers between 0 and p−1,
r = r 1 + r 2 (mod p)
Seeking

Figure 0006225097
Figure 0006225097

σ=g α
σ=(V’) −z
σ=(g
σ=(g )^r
σ=g^r
を求め、σ,σ,σ,σ,σ,σを含む署名Sを生成する。
σ 1 = g 1 α V 1 r
σ 2 = (V 1 ') r g 1 -z
σ 3 = (g 1 b ) z
σ 4 = (g 1 b ) ^ r 2
σ 5 = g 1 ^ r 1
And a signature S 2 including σ 0 , σ 1 , σ 2 , σ 3 , σ 4 , σ 5 is generated.

メッセージ署名検証部は、ワンタイム検証鍵opkと署名SとメッセージMを取得し、取得したワンタイム検証鍵opkを用いて、あらかじめ定めた署名方式にしたがって取得した署名Sを検証する。 Message signature verification unit acquires the one-time verification key opk the signature S 1 and the message M, by using a one-time verification key opk acquired, verifies the signature S 1 obtained in accordance with a predetermined signature scheme.

ワンタイム署名検証部は、検証鍵vkと署名Sとワンタイム検証鍵opkを取得し、 One-time signature verification unit acquires the verification key vk signature S 2 and the one-time verification key opk,

Figure 0006225097
Figure 0006225097

e(σ,vk)e(σ,vk)e(σ,vk)=e(σ,vk)e(σ,vk)e(vk,vk
e(F1i2,N2i0)=e(U,N2i1) (ただし、i=0,…,K)
e(F1i3,N2i0)=e(U,N2i2) (ただし、i=0,…,K)
のすべてが成り立つことを確認することで取得した署名Sを検証する。
e (σ 1 , vk 1 ) e (σ 2 , vk 3 ) e (σ 3 , vk 2 ) = e (σ 4 , vk 4 ) e (σ 5 , vk 5 ) e (vk 7 , vk 8 )
e (F 1i2 , N 2i0 ) = e (U 1 , N 2i1 ) (where i = 0,..., K)
e (F 1i3 , N 2i0 ) = e (U 1 , N 2i2 ) (where i = 0,..., K)
To verify the signature S 2 acquired by confirming that all is true of.

本発明の署名・検証システムによれば、メッセージMに対する署名Sを、選択メッセージ攻撃に対する安全性を有する群構造維持署名方式をワンタイム署名方式として利用して生成している。そして、署名装置自身がランダムに生成できるワンタイム検証鍵に対する署名Sを、検証鍵、メッセージ、署名、署名鍵のすべてが群要素であるがランダムメッセージ攻撃に対する安全性までしか有さない署名方式で生成している。このように2つの署名方式を組み合わせることで、検証鍵、メッセージ、署名、署名鍵のすべてが群要素であって、選択メッセージ攻撃に対する安全性を有する群構造維持署名方式を提供できる。 According to the signature-verification system of the present invention, the signature S 1 with respect to the message M, it is generated by utilizing the group structure maintained signature scheme with security against selection message attacks as a one-time signature scheme. The signature of the device one-time signature for verification key S 2, which itself can be randomly generated, the verification key, message, signature, but all of the signature key is a group element have only to safety for a random message attack signature scheme It is generated with. By combining the two signature schemes in this way, it is possible to provide a group structure maintaining signature scheme that has security against selective message attacks, with all of the verification key, message, signature, and signature key being group elements.

本発明の署名・検証システムの構成例を示す図。The figure which shows the structural example of the signature and verification system of this invention. 本発明の署名装置の処理フローを示す図。The figure which shows the processing flow of the signature apparatus of this invention. 本発明の検証装置の処理フローを示す図。The figure which shows the processing flow of the verification apparatus of this invention.

以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。   Hereinafter, embodiments of the present invention will be described in detail. In addition, the same number is attached | subjected to the structure part which has the same function, and duplication description is abbreviate | omitted.

図1に本発明の署名・検証システムの構成例、図2に本発明の署名装置の処理フロー、図3に本発明の検証装置の処理フローを示す。署名・検証システムは、ネットワーク800で接続された署名装置100と検証装置200とを有する。署名装置100は、鍵生成部110、ワンタイム鍵生成部120、メッセージ署名生成部130、ワンタイム署名生成部140、署名記録部190を備え、検証鍵vkとワンタイム検証鍵opkと署名S,Sを出力する。検証装置200は、メッセージ署名検証部230、ワンタイム署名検証部240、検証記録部290を備え、検証鍵vk、ワンタイム検証鍵opk、署名S,SとメッセージMを取得して署名S,Sを検証する。 FIG. 1 shows a configuration example of the signature / verification system of the present invention, FIG. 2 shows a processing flow of the signature apparatus of the present invention, and FIG. 3 shows a processing flow of the verification apparatus of the present invention. The signature / verification system includes a signature device 100 and a verification device 200 connected via a network 800. The signature device 100 includes a key generation unit 110, a one-time key generation unit 120, a message signature generation unit 130, a one-time signature generation unit 140, and a signature recording unit 190, and includes a verification key vk, a one-time verification key opk, and a signature S 1. , S 2 is output. The verification device 200 includes a message signature verification unit 230, a one-time signature verification unit 240, and a verification recording unit 290. The verification device 200 acquires the verification key vk, the one-time verification key opk, the signatures S 1 and S 2 and the message M and acquires the signature S. 1, to verify the S 2.

まず、G,G,Gを位数pの群、eをG×G→Gのペアリング、gを群Gの任意の生成元、gを群Gの任意の生成元、Kを1以上のあらかじめ定めた整数、kを1以上K以下の整数、m,…,mを群Gの元、メッセージMをM=(m,…,m)、^をべき乗を示す記号、u,f02,…,fK2,f03,…,fK3を1以上p−1以下からランダムに選択した整数、U=g^u,U=g^u,(F102,…,F1K2)=(g^f02,…,g^fK2),(F103,…,F1K3)=(g^f03,…,g^fK3),(F202,…,F2K2)=(g^f02,…,g^fK2),(F203,…,F2K3)=(g^f03,…,g^fK3)とする。また、〜を群Gの元のgを底とする対数の値と群Gの元のgを底とする対数の値が等しいことを示す記号とする。つまり、V〜Vは、 First, G 1, G 2, G T the order p group, e and G 1 × G 2G pairing T, then any generator of the group G 1 and g 1, the g 2 groups G 2 Arbitrary generators, K is a predetermined integer greater than or equal to 1, k is an integer greater than or equal to 1 and less than or equal to K, m 1 ,..., M K is an element of group G 1 and message M is M = (m 1 ,. K ), ^ is a sign indicating a power, u, f 02 ,..., F K2 , f 03 ,..., F K3 is an integer that is randomly selected from 1 to p−1, U 1 = g 1 ^ u, U 2 = g 2 ^ u, (F 102 ,..., F 1K2 ) = (g 1 ^ f 02 ,..., G 1 ^ f K2 ), (F 103 ,..., F 1K3 ) = (g 1 ^ f 03 , ..., g 1 ^ f K3) , (F 202, ..., F 2K2) = (g 2 ^ f 02, ..., g 2 ^ f K2), (F 203, ..., F 2K3) = (g 2 ^ f 03, ..., and g 2 ^ f K3). In addition, ˜ is a symbol indicating that the logarithm value of the original g 1 of the group G 1 and the logarithm value of the original g 2 of the group G 2 are equal. That is, V 1 to V 2 are

Figure 0006225097
Figure 0006225097

の関係を示している。ペアリングeは、e(g ,g )=e(g,gab,e(g,g)≠1となる性質を持つ写像である。また、p,G,G,G,e,(F102,…,F1K2),(F103,…,F1K3),(F202,…,F2K2),(F203,…,F2K3),U,Uは、あらかじめ定められた共通パラメータ(双線形写像群の表現を含むグローバルキー)であり、あらかじめ署名記録部190と、検証記録部290に記録されているとする。 Shows the relationship. The pairing e is a mapping having the property that e (g 1 a , g 2 b ) = e (g 1 , g 2 ) ab , e (g 1 , g 2 ) ≠ 1. Further, p, G 1, G 2 , G T, e, (F 102, ..., F 1K2), (F 103, ..., F 1K3), (F 202, ..., F 2K2), (F 203, ... , F 2K3 ), U 1 , U 2 are predetermined common parameters (global keys including bilinear mapping group expressions), and are recorded in the signature recording unit 190 and the verification recording unit 290 in advance. To do.

鍵生成部110は、V〜V,V’〜V’,H〜Hが成り立つように群Gの元V,V’,Hと群Gの元V,V’,Hを定め、0以上p−1以下の整数の中からランダムにa,b,αを選び、1以上p−1以下の整数の中からランダムにρを選ぶ。そして、鍵生成部110は、
vk=g ,vk=g ,vk=g ba,vk=R,vk=R ,vk=H,vk=g ρ,vk=g αb/ρを求め、
vk,vk,vk,vk,vk,vk,vk,vkを含む検証鍵vkと、vk,g α,g ,V,V’を含む署名鍵skを生成する(S110)。ただし、R=V(V’)である。
The key generation unit 110, V 1 ~V 2, V 1 '~V 2', based on V 1, V 1 of the group G 1 as H 1 to H 2 is true ', the original V of an H 1 and the group G 2 2 , V 2 ′, and H 2 are determined, a, b, and α are randomly selected from integers of 0 or more and p−1 or less, and ρ is randomly selected from integers of 1 or more and p−1 or less. Then, the key generation unit 110
vk 1 = g 2 b , vk 2 = g 2 a , vk 3 = g 2 ba , vk 4 = R 2 , vk 5 = R 2 b , vk 6 = H 2 , vk 7 = g 1 ρ , vk 8 = g 2 αb / ρ is obtained,
A verification key vk including vk 1 , vk 2 , vk 3 , vk 4 , vk 5 , vk 6 , vk 7 , vk 8 and a signature key including vk, g 1 α , g 1 b , V 1 , V 1 ′ sk is generated (S110). However, R 2 = V 2 (V 2 ') is a.

ワンタイム鍵生成部120は、0以上p−1以下の整数の中からランダムにv,a,…,aを選ぶ。そして、ワンタイム鍵生成部120は、
(N201,N202,N200)=(F202^v,F203^v,U^v)と
i=1,…,Kについて
(N2i1,N2i2,N2i0)=(F2i2^a,F2i3^a,U^a
を計算し、
(N201,N202,N200),…,(N2K1,N2K2,N2K0)を含むワンタイム検証鍵opkと、v,a,…,aを含むワンタイム署名鍵oskを生成する(S120)。
The one-time key generation unit 120 randomly selects v, a 1 ,..., A K from integers between 0 and p−1. Then, the one-time key generation unit 120
(N 201 , N 202 , N 200 ) = (F 202 ^ v, F 203 ^ v, U 2 ^ v) and i = 1,..., K (N 2i1 , N 2i2 , N 2i0 ) = (F 2i2 ^ a i, F 2i3 ^ a i, U 2 ^ a i)
Calculate
(N 201, N 202, N 200), ..., generates the (N 2K1, N 2K2, N 2K0) and the one-time verification key opk including, v, a 1, ..., one-time signature key osk comprising a K (S120).

メッセージ署名生成部130は、メッセージMを取得し、ワンタイム署名鍵oskを用いて、選択メッセージ攻撃に対する安全性を有するあらかじめ定めた署名方式にしたがって、メッセージMに対する署名であって群Gの元または群Gの元のみを含む署名Sを生成する(S130)。ワンタイム検証鍵opk、メッセージM、署名Sはいずれも、群Gの元または群Gの元のみで構成されているので、メッセージ署名生成部130が利用する署名方式は群構造維持署名方式である。なお、選択メッセージ攻撃に対する安全性を有する署名方法の具体例としては、メッセージ署名生成部130が、 The message signature generation unit 130 obtains the message M, and uses the one-time signature key osk to sign the message M according to a predetermined signature scheme that is secure against the selected message attack and is an element of the group G 1 Alternatively, the signature S 1 including only the elements of the group G 2 is generated (S 130). Since the one-time verification key opk, the message M, and the signature S 1 are all composed only of the elements of the group G 1 or the elements of the group G 2 , the signature scheme used by the message signature generation unit 130 is the group structure maintenance signature. It is a method. As a specific example of a signature method having security against a selected message attack, the message signature generation unit 130

Figure 0006225097
Figure 0006225097

のように、署名Sを求める方法がある。ただし、メッセージ署名生成部130が利用する署名方式は、選択メッセージ攻撃に対する安全性を有する群構造維持署名方式であれば、他の署名方式でもよい。また、署名の対象となるメッセージMは、K個の群Gの元からなる。通常のメッセージは任意長の整数であるが、その場合は、K個の群Gの元となるように変換すればよい。そして、変換後のメッセージを本願のメッセージMとする。署名の対象となるメッセージが短い場合には、K個の群Gの元となるようにパディングによってメッセージMを作ればよい。パディングする値は群Gの元の中からあらかじめ選んでおけばよい。 As in, there is a method of determining the signature S 1. However, the signature scheme used by the message signature generation unit 130 may be any other signature scheme as long as it is a group structure maintenance signature scheme that is secure against a selected message attack. The message M to be signed of interest of K original group G 1. While regular message is an integer of arbitrary length, in which case, may be converted to a K-number of the original group G 1. The converted message is defined as a message M of the present application. If the message to be signed in the subject is short, it make the message M by padding so that the K of the original group G 1. Values padding may if choose beforehand out of the original group G 1.

ワンタイム署名生成部140は、0以上p−1以下の整数の中からランダムにr、r、zを選び、
r=r+r (mod p)
を求める。そして、ワンタイム署名生成部140は、
The one-time signature generation unit 140 randomly selects r 1 , r 2 , and z from integers of 0 or more and p−1 or less,
r = r 1 + r 2 (mod p)
Ask for. Then, the one-time signature generation unit 140

Figure 0006225097
Figure 0006225097

σ=g α
σ=(V’) −z
σ=(g
σ=(g )^r
σ=g^r
を求め、σ,σ,σ,σ,σ,σを含む署名Sを生成する(S140)。この処理では、署名鍵skを用いてワンタイム検証鍵opkに対する署名Sを生成している。これらの処理によって、署名装置100は、検証鍵vkとワンタイム検証鍵opkと署名S,Sを出力する。
σ 1 = g 1 α V 1 r
σ 2 = (V 1 ') r g 1 -z
σ 3 = (g 1 b ) z
σ 4 = (g 1 b ) ^ r 2
σ 5 = g 1 ^ r 1
And a signature S 2 including σ 0 , σ 1 , σ 2 , σ 3 , σ 4 , and σ 5 is generated (S 140). In this process, and it generates a signature S 2 for a one-time verification key opk using the signature key sk. Through these processes, the signature device 100 outputs the verification key vk, the one-time verification key opk, and the signatures S 1 and S 2 .

メッセージ署名検証部230は、ワンタイム検証鍵opkと署名SとメッセージMを取得し、取得したワンタイム検証鍵opkを用いて、メッセージ署名生成部130がしたがった署名方式にしたがって取得した署名Sを検証する(S230)。例えば、メッセージ署名生成部130の説明で示した署名Sの具体例の場合ならば、メッセージ署名検証部230は、取得したメッセージMに含まれるm,…,mと取得した署名Sが群Gの元であること、および Message signature verification unit 230 acquires the one-time verification key opk the signature S 1 and the message M, by using a one-time verification key opk acquired signature S obtained in accordance signature scheme message signature generation unit 130 according 1 is verified (S230). For example, in the case of the specific example of the signature S 1 shown in the description of the message signature generation unit 130, the message signature verification unit 230 includes m 1 ,..., M K included in the acquired message M and the acquired signature S 1. Is an element of group G 1 and

Figure 0006225097
Figure 0006225097

であることを確認し、正しければOK、正しくなければNGと判断すればよい。取得した署名Sが正しい署名であれば If it is correct, it is OK. If it is not correct, NG is determined. If the acquired signature S 1 is the correct signature

Figure 0006225097
Figure 0006225097

のように、左辺と右辺が等しくなるので、上記の計算で検証できる。 Thus, the left side and the right side are equal, and can be verified by the above calculation.

ワンタイム署名検証部240は、検証鍵vkと署名Sとワンタイム検証鍵opkを取得し、 One-time signature verification unit 240, to obtain the the verification key vk signature S 2 and the one-time verification key opk,

Figure 0006225097
Figure 0006225097

e(σ,vk)e(σ,vk)e(σ,vk)=e(σ,vk)e(σ,vk)e(vk,vk
e(F1i2,N2i0)=e(U,N2i1) (ただし、i=0,…,K)
e(F1i3,N2i0)=e(U,N2i2) (ただし、i=0,…,K)
のすべてが成り立つことを確認することで取得した署名Sを検証する(S240)。すなわち、すべての式が成り立てばOK、いずれかの式が成り立たなければNGと判断する。
e (σ 1 , vk 1 ) e (σ 2 , vk 3 ) e (σ 3 , vk 2 ) = e (σ 4 , vk 4 ) e (σ 5 , vk 5 ) e (vk 7 , vk 8 )
e (F 1i2 , N 2i0 ) = e (U 1 , N 2i1 ) (where i = 0,..., K)
e (F 1i3 , N 2i0 ) = e (U 1 , N 2i2 ) (where i = 0,..., K)
To verify the signature S 2 acquired by confirming that all is true of (S240). That is, if all the expressions are satisfied, it is determined to be OK, and if any expression is not satisfied, it is determined to be NG.

次に、第1式から、取得した署名Sが正しければ成り立つことを示す。第1式は、 Then, indicating that the first equation holds true if correct the acquired signature S 2. The first equation is

Figure 0006225097
Figure 0006225097

となり、取得した署名Sが正しければ成り立つ。第2式は、 Next, it holds If it is correct acquired signature S 2. The second equation is

Figure 0006225097
Figure 0006225097

となる。ここで、V〜V,V’〜V’が成り立つようにV,V,V’,V’は定められているので、取得した署名Sが正しければ(左辺)=(右辺)が成り立つ。第3式は、
(左辺)=e(F1i2,N2i0
=e(g^fi2,U^a
=e(g,g^u)^(fi2・a
=e(g,g)^(u・fi2・a
(右辺)=e(U,N2i1
=e(U,F2i2^a
=e(g^u,g^fi2)^a
=e(g,g)^(u・fi2・a
となる。よって、取得した署名Sが正しければ(左辺)=(右辺)が成り立つ。第4式は、
(左辺)=e(F1i3,N2i0
=e(g^fi3,U^a
=e(g,g^u)^(fi3・a
=e(g,g)^(u・fi3・a
(右辺)=e(U,N2i2
=e(U,F2i3^a
=e(g^u,g^fi3)^a
=e(g,g)^(u・fi3・a
となる。よって、取得した署名Sが正しければ(左辺)=(右辺)が成り立つ。
It becomes. Here, V 1 ~V 2, V 1 '~V 2' V 1 As is true, V 2, V 1 ', V 2' so is determined, if correct signature S 2 acquired (left ) = (Right side). The third equation is
( Left side) = e (F 1i2 , N 2i0 )
= E (g 1 ^ f i2 , U 2 ^ a i )
= E (g 1 , g 2 ^ u) ^ (f i2 · a i )
= E (g 1 , g 2 ) ^ (u · f i2 · a i )
(Right side) = e (U 1 , N 2i1 )
= E (U 1 , F 2i2 ^ a i )
= E (g 1 ^ u, g 2 ^ f i2 ) ^ a i
= E (g 1 , g 2 ) ^ (u · f i2 · a i )
It becomes. Therefore, if correct the acquired signature S 2 (left side) = (right side) is satisfied. The fourth equation is
( Left side) = e (F 1i3 , N 2i0 )
= E (g 1 ^ f i3 , U 2 ^ a i )
= E (g 1 , g 2 ^ u) ^ (f i3 · a i )
= E (g 1 , g 2 ) ^ (u · f i3 · a i )
( Right side) = e (U 1 , N 2i2 )
= E (U 1 , F 2i3 ^ a i )
= E (g 1 ^ u, g 2 ^ f i3 ) ^ a i
= E (g 1 , g 2 ) ^ (u · f i3 · a i )
It becomes. Therefore, if correct the acquired signature S 2 (left side) = (right side) is satisfied.

ここで、署名装置100のワンタイム鍵生成部120、メッセージ署名生成部130、ワンタイム署名生成部140をひとまとめとして署名生成手段150と考えてみる。鍵生成部110は非特許文献3の鍵生成と同じであり、署名生成手段150が非特許文献3と相違する。具体的には、署名装置100が内部でランダムに生成できるワンタイム検証鍵に対する署名Sの生成に、検証鍵、メッセージ、署名、署名鍵のすべてが群要素であるがランダムメッセージ攻撃に対する安全性までしかない署名方式を利用し、メッセージMに対する署名Sは選択メッセージ攻撃に対する安全性を有する群構造維持署名方式で生成している。このように2つの署名方式を組み合わせることで、検証鍵、メッセージ、署名、署名鍵のすべてが群要素であって、選択メッセージ攻撃に対する安全性を有する群構造維持署名方式を提供できる。 Here, the one-time key generation unit 120, the message signature generation unit 130, and the one-time signature generation unit 140 of the signature device 100 are considered as a signature generation unit 150 as a group. The key generation unit 110 is the same as the key generation in Non-Patent Document 3, and the signature generation unit 150 is different from that in Non-Patent Document 3. Specifically, the generation of the signature S 2 signature device 100 for one-time verification key can be randomly generated internally, the verification key, the message, the signature, all the signature key is a group element security against random message attacks utilizing signature scheme only to the signature S 1 with respect to the message M is generated by the group structure maintained signature scheme with security against selection message attacks. By combining the two signature schemes in this way, it is possible to provide a group structure maintaining signature scheme that has security against selective message attacks, with all of the verification key, message, signature, and signature key being group elements.

[プログラム、記録媒体]
上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
[Program, recording medium]
The various processes described above are not only executed in time series according to the description, but may also be executed in parallel or individually as required by the processing capability of the apparatus that executes the processes. Needless to say, other modifications are possible without departing from the spirit of the present invention.

また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。   Further, when the above-described configuration is realized by a computer, processing contents of functions that each device should have are described by a program. The processing functions are realized on the computer by executing the program on the computer.

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。   The program describing the processing contents can be recorded on a computer-readable recording medium. As the computer-readable recording medium, for example, any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory may be used.

また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。   The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。   A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, the computer reads a program stored in its own recording medium and executes a process according to the read program. As another execution form of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and the program is transferred from the server computer to the computer. Each time, the processing according to the received program may be executed sequentially. Also, the program is not transferred from the server computer to the computer, and the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes the processing function only by the execution instruction and result acquisition. It is good. Note that the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).

また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。   In this embodiment, the present apparatus is configured by executing a predetermined program on a computer. However, at least a part of these processing contents may be realized by hardware.

100 署名装置
110 鍵生成部
120 ワンタイム鍵生成部
130 メッセージ署名生成部
140 ワンタイム署名生成部
150 署名生成手段
190 署名記録部
200 検証装置
230 メッセージ署名検証部
240 ワンタイム署名検証部
290 検証記録部
800 ネットワーク
100 Signature Device 110 Key Generation Unit 120 One-Time Key Generation Unit 130 Message Signature Generation Unit 140 One-Time Signature Generation Unit 150 Signature Generation Unit 190 Signature Recording Unit 200 Verification Device 230 Message Signature Verification Unit 240 One-Time Signature Verification Unit 290 Verification Recording Unit 800 network

Claims (8)

署名装置と検証装置とを有する署名・検証システムであって、
,G,Gを位数pの群、eをG×G→Gのペアリング、gを群Gの任意の生成元、gを群Gの任意の生成元、Kを1以上のあらかじめ定めた整数、kを1以上K以下の整数、m,…,mを群Gの元、メッセージMをM=(m,…,m)、^をべき乗を示す記号、u,f02,…,fK2,f03,…,fK3を1以上p−1以下からランダムに選択した整数、U=g^u,U=g^u,(F102,…,F1K2)=(g^f02,…,g^fK2),(F103,…,F1K3)=(g^f03,…,g^fK3),(F202,…,F2K2)=(g^f02,…,g^fK2),(F203,…,F2K3)=(g^f03,…,g^fK3)、〜を群Gの元のgを底とする対数の値と群Gの元のgを底とする対数の値が等しいことを示す記号とし、
前記署名装置は、
〜V,V’〜V’,H〜Hが成り立つように群Gの元V,V’,Hと群Gの元V,V’,Hを定め、0以上p−1以下の整数の中からランダムにa,b,αを選び、1以上p−1以下の整数の中からランダムにρを選び、R=V(V’)とし、
vk=g ,vk=g ,vk=g ba,vk=R,vk=R ,vk=H,vk=g ρ,vk=g αb/ρを求め、
vk,vk,vk,vk,vk,vk,vk,vkを含む検証鍵vkと、vk,g α,g ,V,V’を含む署名鍵skを生成する鍵生成部と、
0以上p−1以下の整数の中からランダムにv,a,…,aを選び、
(N201,N202,N200)=(F202^v,F203^v,U^v)と
i=1,…,Kについて
(N2i1,N2i2,N2i0)=(F2i2^a,F2i3^a,U^a
を計算し、
(N201,N202,N200),…,(N2K1,N2K2,N2K0)を含むワンタイム検証鍵opkと、v,a,…,aを含むワンタイム署名鍵oskを生成するワンタイム鍵生成部と、
メッセージMを取得し、前記ワンタイム署名鍵oskを用いて、選択メッセージ攻撃に対する安全性を有するあらかじめ定めた署名方式にしたがって、メッセージMに対する署名であって群Gの元または群Gの元のみを含む署名Sを生成するメッセージ署名生成部と、
0以上p−1以下の整数の中からランダムにr、r、zを選び、
r=r+r (mod p)
を求め、
Figure 0006225097

σ=g α
σ=(V’) −z
σ=(g
σ=(g )^r
σ=g^r
を求め、σ,σ,σ,σ,σ,σを含む署名Sを生成するワンタイム署名生成部
を備え、検証鍵vkとワンタイム検証鍵opkと署名S,Sを出力し、
前記検証装置は、
ワンタイム検証鍵opkと署名SとメッセージMを取得し、当該ワンタイム検証鍵opkを用いて、前記あらかじめ定めた署名方式にしたがって当該署名Sを検証するメッセージ署名検証部と
検証鍵vkと署名Sとワンタイム検証鍵opkを取得し、
Figure 0006225097

e(σ,vk)e(σ,vk)e(σ,vk)=e(σ,vk)e(σ,vk)e(vk,vk
e(F1i2,N2i0)=e(U,N2i1) (ただし、i=0,…,K)
e(F1i3,N2i0)=e(U,N2i2) (ただし、i=0,…,K)
のすべてが成り立つことを確認することで当該署名Sを検証するワンタイム署名検証部、
を備える
署名・検証システム。
A signature / verification system having a signature device and a verification device,
G 1, G 2, G T the order p group, e and G 1 × pairing G 2G T, g 1 any generator of the group G 1, g 2 any of the group G 2 Generator, K is a predetermined integer of 1 or more, k is an integer of 1 to K, m 1 ,..., M K is an element of group G 1 , and message M is M = (m 1 ,..., M K ) , ^ Is a symbol indicating a power, u, f 02 ,..., F K2 , f 03 ,..., F K3 is an integer selected randomly from 1 to p−1, U 1 = g 1 ^ u, U 2 = g 2 ^ u, (F 102 ,..., F 1K2 ) = (g 1 ^ f 02 ,..., g 1 ^ f K2 ), (F 103 ,..., F 1K3 ) = (g 1 ^ f 03 ,. g 1 ^ f K3), ( F 202, ..., F 2K2) = (g 2 ^ f 02, ..., g 2 ^ f K2), (F 203, ..., F 2K3) = (g 2 ^ 03, ..., g 2 ^ f K3), symbol indicates that equal the logarithm of the value and ~ a bottom original g 2 logarithm values and a group G 2 to the base original g 1 of the group G 1 age,
The signing device is:
V 1 ~V 2, V 1 ' ~V 2', based on V 1, V 1 of the group G 1 as H 1 to H 2 is true ', the original V 2, V 2 of an H 1 and the group G 2', H 2 is determined, a, b, α are randomly selected from integers of 0 or more and p−1 or less, ρ is randomly selected from integers of 1 or more and p−1 or less, and R 2 = V 2 (V 2 ') a
vk 1 = g 2 b , vk 2 = g 2 a , vk 3 = g 2 ba , vk 4 = R 2 , vk 5 = R 2 b , vk 6 = H 2 , vk 7 = g 1 ρ , vk 8 = g 2 αb / ρ is obtained,
A verification key vk including vk 1 , vk 2 , vk 3 , vk 4 , vk 5 , vk 6 , vk 7 , vk 8 and a signature key including vk, g 1 α , g 1 b , V 1 , V 1 ′ a key generation unit for generating sk;
Randomly selecting v, a 1 ,..., A K from integers of 0 or more and p−1 or less,
(N 201 , N 202 , N 200 ) = (F 202 ^ v, F 203 ^ v, U 2 ^ v) and i = 1,..., K (N 2i1 , N 2i2 , N 2i0 ) = (F 2i2 ^ a i, F 2i3 ^ a i, U 2 ^ a i)
Calculate
(N 201, N 202, N 200), ..., generates the (N 2K1, N 2K2, N 2K0) and the one-time verification key opk including, v, a 1, ..., one-time signature key osk comprising a K A one-time key generator to
The message M is acquired, and the signature for the message M, which is the element of the group G 1 or the element of the group G 2 , according to a predetermined signature scheme having security against the selected message attack using the one-time signature key osk. A message signature generation unit for generating a signature S 1 including only
R 1 , r 2 , and z are selected at random from integers of 0 or more and p−1 or less,
r = r 1 + r 2 (mod p)
Seeking
Figure 0006225097

σ 1 = g 1 α V 1 r
σ 2 = (V 1 ') r g 1 -z
σ 3 = (g 1 b ) z
σ 4 = (g 1 b ) ^ r 2
σ 5 = g 1 ^ r 1
And a one-time signature generation unit that generates a signature S 2 including σ 0 , σ 1 , σ 2 , σ 3 , σ 4 , and σ 5 , and includes a verification key vk, a one-time verification key opk, and a signature S 1 , and it outputs the S 2,
The verification device includes:
A message signature verification unit that obtains a one-time verification key opk, a signature S 1 and a message M, and verifies the signature S 1 according to the predetermined signature scheme using the one-time verification key opk; and a verification key vk Obtain signature S 2 and one-time verification key opk,
Figure 0006225097

e (σ 1 , vk 1 ) e (σ 2 , vk 3 ) e (σ 3 , vk 2 ) = e (σ 4 , vk 4 ) e (σ 5 , vk 5 ) e (vk 7 , vk 8 )
e (F 1i2 , N 2i0 ) = e (U 1 , N 2i1 ) (where i = 0,..., K)
e (F 1i3 , N 2i0 ) = e (U 1 , N 2i2 ) (where i = 0,..., K)
One-time signature verification unit for verifying the signature S 2 by making sure that all is true of,
A signature / verification system.
請求項1記載の署名・検証システムであって、
前記メッセージ署名生成部は、
Figure 0006225097

のように、署名Sを求め、
前記メッセージ署名検証部は、
取得したメッセージMに含まれるm,…,mと取得した署名Sが群Gの元であること、および
Figure 0006225097

であることを確認する
ことを特徴とする署名・検証システム。
The signature / verification system according to claim 1,
The message signature generation unit
Figure 0006225097

And ask for signature S 1
The message signature verification unit
M 1 ,..., M K included in the acquired message M and the acquired signature S 1 are elements of the group G 1 , and
Figure 0006225097

A signature / verification system characterized by confirming that
検証装置ともに署名・検証システムを構成する署名装置であって、
,G,Gを位数pの群、eをG×G→Gのペアリング、gを群Gの任意の生成元、gを群Gの任意の生成元、Kを1以上のあらかじめ定めた整数、kを1以上K以下の整数、m,…,mを群Gの元、メッセージMをM=(m,…,m)、^をべき乗を示す記号、u,f02,…,fK2,f03,…,fK3を1以上p−1以下からランダムに選択した整数、U=g^u,U=g^u,(F102,…,F1K2)=(g^f02,…,g^fK2),(F103,…,F1K3)=(g^f03,…,g^fK3),(F202,…,F2K2)=(g^f02,…,g^fK2),(F203,…,F2K3)=(g^f03,…,g^fK3)、〜を群Gの元のgを底とする対数の値と群Gの元のgを底とする対数の値が等しいことを示す記号とし、
前記署名装置は、鍵生成部、ワンタイム鍵生成部、メッセージ署名生成部、ワンタイム署名生成部を備え、
前記鍵生成部は、
〜V,V’〜V’,H〜Hが成り立つように群Gの元V,V’,Hと群Gの元V,V’,Hを定め、0以上p−1以下の整数の中からランダムにa,b,αを選び、1以上p−1以下の整数の中からランダムにρを選び、R=V(V’)とし、
vk=g ,vk=g ,vk=g ba,vk=R,vk=R ,vk=H,vk=g ρ,vk=g αb/ρを求め、
vk,vk,vk,vk,vk,vk,vk,vkを含む検証鍵vkと、vk,g α,g ,V,V’を含む署名鍵skを生成し、
前記ワンタイム鍵生成部は、
0以上p−1以下の整数の中からランダムにv,a,…,aを選び、
(N201,N202,N200)=(F202^v,F203^v,U^v)と
i=1,…,Kについて
(N2i1,N2i2,N2i0)=(F2i2^a,F2i3^a,U^a
を計算し、
(N201,N202,N200),…,(N2K1,N2K2,N2K0)を含むワンタイム検証鍵opkと、v,a,…,aを含むワンタイム署名鍵oskを生成し、
前記メッセージ署名生成部は、
メッセージMを取得し、前記ワンタイム署名鍵oskを用いて、選択メッセージ攻撃に対する安全性を有するあらかじめ定めた署名方式にしたがって、メッセージMに対する署名であって群Gの元または群Gの元のみを含む署名Sを生成し、
ワンタイム署名生成部は、
0以上p−1以下の整数の中からランダムにr、r、zを選び、
r=r+r (mod p)
を求め、
Figure 0006225097

σ=g α
σ=(V’) −z
σ=(g
σ=(g )^r
σ=g^r
を求め、σ,σ,σ,σ,σ,σを含む署名Sを生成する
ことを特徴とする署名装置。
A signature device that constitutes a signature / verification system together with a verification device,
G 1, G 2, G T the order p group, e and G 1 × pairing G 2G T, g 1 any generator of the group G 1, g 2 any of the group G 2 Generator, K is a predetermined integer of 1 or more, k is an integer of 1 to K, m 1 ,..., M K is an element of group G 1 , and message M is M = (m 1 ,..., M K ) , ^ Is a symbol indicating a power, u, f 02 ,..., F K2 , f 03 ,..., F K3 is an integer selected randomly from 1 to p−1, U 1 = g 1 ^ u, U 2 = g 2 ^ u, (F 102 ,..., F 1K2 ) = (g 1 ^ f 02 ,..., g 1 ^ f K2 ), (F 103 ,..., F 1K3 ) = (g 1 ^ f 03 ,. g 1 ^ f K3), ( F 202, ..., F 2K2) = (g 2 ^ f 02, ..., g 2 ^ f K2), (F 203, ..., F 2K3) = (g 2 ^ 03, ..., g 2 ^ f K3), symbol indicates that equal the logarithm of the value and ~ a bottom original g 2 logarithm values and a group G 2 to the base original g 1 of the group G 1 age,
The signature device includes a key generation unit, a one-time key generation unit, a message signature generation unit, a one-time signature generation unit,
The key generation unit
V 1 ~V 2, V 1 ' ~V 2', based on V 1, V 1 of the group G 1 as H 1 to H 2 is true ', the original V 2, V 2 of an H 1 and the group G 2', H 2 is determined, a, b, α are randomly selected from integers of 0 or more and p−1 or less, ρ is randomly selected from integers of 1 or more and p−1 or less, and R 2 = V 2 (V 2 ') a
vk 1 = g 2 b , vk 2 = g 2 a , vk 3 = g 2 ba , vk 4 = R 2 , vk 5 = R 2 b , vk 6 = H 2 , vk 7 = g 1 ρ , vk 8 = g 2 αb / ρ is obtained,
A verification key vk including vk 1 , vk 2 , vk 3 , vk 4 , vk 5 , vk 6 , vk 7 , vk 8 and a signature key including vk, g 1 α , g 1 b , V 1 , V 1 ′ generate sk,
The one-time key generation unit
Randomly selecting v, a 1 ,..., A K from integers of 0 or more and p−1 or less,
(N 201 , N 202 , N 200 ) = (F 202 ^ v, F 203 ^ v, U 2 ^ v) and i = 1,..., K (N 2i1 , N 2i2 , N 2i0 ) = (F 2i2 ^ a i, F 2i3 ^ a i, U 2 ^ a i)
Calculate
(N 201, N 202, N 200), ..., generates the (N 2K1, N 2K2, N 2K0) and the one-time verification key opk including, v, a 1, ..., one-time signature key osk comprising a K And
The message signature generation unit
The message M is acquired, and the signature for the message M, which is the element of the group G 1 or the element of the group G 2 , according to a predetermined signature scheme having security against the selected message attack using the one-time signature key osk. Generates a signature S 1 containing only
The one-time signature generator
R 1 , r 2 , and z are selected at random from integers of 0 or more and p−1 or less,
r = r 1 + r 2 (mod p)
Seeking
Figure 0006225097

σ 1 = g 1 α V 1 r
σ 2 = (V 1 ') r g 1 -z
σ 3 = (g 1 b ) z
σ 4 = (g 1 b ) ^ r 2
σ 5 = g 1 ^ r 1
And a signature S 2 including σ 0 , σ 1 , σ 2 , σ 3 , σ 4 , and σ 5 is generated.
請求項3記載の署名装置であって、
前記メッセージ署名生成部は、
Figure 0006225097

のように、署名Sを求める
ことを特徴とする署名装置。
The signature device according to claim 3,
The message signature generation unit
Figure 0006225097

As the signature device and obtains the signature S 1.
検証鍵vk、ワンタイム検証鍵opk、署名S,S、メッセージMを入力とし、署名S,Sを検証する検証装置であって、
,G,Gを位数pの群、eをG×G→Gのペアリング、gを群Gの任意の生成元、gを群Gの任意の生成元、Kを1以上のあらかじめ定めた整数、kを1以上K以下の整数、m,…,mを群Gの元、メッセージMをM=(m,…,m)、^をべき乗を示す記号、u,f02,…,fK2,f03,…,fK3を1以上p−1以下からランダムに選択した整数、U=g^u,U=g^u,(F102,…,F1K2)=(g^f02,…,g^fK2),(F103,…,F1K3)=(g^f03,…,g^fK3),(F202,…,F2K2)=(g^f02,…,g^fK2),(F203,…,F2K3)=(g^f03,…,g^fK3)、〜を群Gの元のgを底とする対数の値と群Gの元のgを底とする対数の値が等しいことを示す記号とし、
群Gの元V,V’,Hと群Gの元V,V’,HはV〜V,V’〜V’,H〜Hが成り立ち、a,b,αは0以上p−1以下の整数、ρは1以上p−1以下の整数、R=V(V’)、vk=g ,vk=g ,vk=g ba,vk=R,vk=R ,vk=H,vk=g ρ,vk=g αb/ρであり、
v,a,…,aは0以上p−1以下の整数、
(N201,N202,N200)=(F202^v,F203^v,U^v)、
i=1,…,Kについて
(N2i1,N2i2,N2i0)=(F2i2^a,F2i3^a,U^a
であり、
、r、zは0以上p−1以下の整数、r=r+r (mod p)、
Figure 0006225097

σ=g α
σ=(V’) −z
σ=(g
σ=(g )^r
σ=g^r
であり、
検証鍵vkは、vk,vk,vk,vk,vk,vk,vk,vkを含み、
ワンタイム検証鍵opkは、(N201,N202,N200),…,(N2K1,N2K2,N2K0)を含み、
署名Sは、前記ワンタイム署名鍵oskを用いて、選択メッセージ攻撃に対する安全性を有するあらかじめ定めた署名方式にしたがって、生成されたメッセージMに対する署名であって群Gの元または群Gの元のみを含み、
署名Sはσ,σ,σ,σ,σ,σを含み、
前記検証装置は、メッセージ署名検証部とワンタイム署名検証部を備え、
前記メッセージ署名検証部は、
ワンタイム検証鍵opkと署名SとメッセージMを取得し、当該ワンタイム検証鍵opkを用いて、前記あらかじめ定めた署名方式にしたがって当該署名Sを検証し、
前記ワンタイム署名検証部は、
検証鍵vkと署名Sとワンタイム検証鍵opkを取得し、
Figure 0006225097

e(σ,vk)e(σ,vk)e(σ,vk)=e(σ,vk)e(σ,vk)e(vk,vk
e(F1i2,N2i0)=e(U,N2i1) (ただし、i=0,…,K)
e(F1i3,N2i0)=e(U,N2i2) (ただし、i=0,…,K)
のすべてが成り立つことを確認することで当該署名Sを検証する
ことを特徴とする検証装置。
A verification device that receives a verification key vk, a one-time verification key opk, signatures S 1 , S 2 , and a message M and verifies the signatures S 1 , S 2 ,
G 1, G 2, G T the order p group, e and G 1 × pairing G 2G T, g 1 any generator of the group G 1, g 2 any of the group G 2 Generator, K is a predetermined integer of 1 or more, k is an integer of 1 to K, m 1 ,..., M K is an element of group G 1 , and message M is M = (m 1 ,..., M K ) , ^ Is a symbol indicating a power, u, f 02 ,..., F K2 , f 03 ,..., F K3 is an integer selected randomly from 1 to p−1, U 1 = g 1 ^ u, U 2 = g 2 ^ u, (F 102 ,..., F 1K2 ) = (g 1 ^ f 02 ,..., g 1 ^ f K2 ), (F 103 ,..., F 1K3 ) = (g 1 ^ f 03 ,. g 1 ^ f K3), ( F 202, ..., F 2K2) = (g 2 ^ f 02, ..., g 2 ^ f K2), (F 203, ..., F 2K3) = (g 2 ^ 03, ..., g 2 ^ f K3), symbol indicates that equal the logarithm of the value and ~ a bottom original g 2 logarithm values and a group G 2 to the base original g 1 of the group G 1 age,
Source V 1, V 1 of the group G 1 ', H 1 and source V 2, V 2 of the group G 2', H 2 is V 1 ~V 2, V 1 ' ~V 2', is H 1 to H 2 Thus, a, b, α are integers of 0 or more and p−1 or less, ρ is an integer of 1 or more and p−1 or less, R 2 = V 2 (V 2 ′) a , vk 1 = g 2 b , vk 2 = g 2 a , vk 3 = g 2 ba , vk 4 = R 2 , vk 5 = R 2 b , vk 6 = H 2 , vk 7 = g 1 ρ , vk 8 = g 2 αb / ρ ,
v, a 1 ,..., a K is an integer from 0 to p−1,
(N 201 , N 202 , N 200 ) = (F 202 ^ v, F 203 ^ v, U 2 ^ v),
About i = 1,..., K (N 2i1 , N 2i2 , N 2i0 ) = (F 2i2 ^ a i , F 2i3 ^ a i , U 2 ^ a i )
And
r 1 , r 2 , z is an integer of 0 or more and p−1 or less, r = r 1 + r 2 (mod p),
Figure 0006225097

σ 1 = g 1 α V 1 r
σ 2 = (V 1 ') r g 1 -z
σ 3 = (g 1 b ) z
σ 4 = (g 1 b ) ^ r 2
σ 5 = g 1 ^ r 1
And
The verification key vk includes vk 1 , vk 2 , vk 3 , vk 4 , vk 5 , vk 6 , vk 7 , vk 8 ,
The one-time verification key opk includes (N 201 , N 202 , N 200 ),..., (N 2K1 , N 2K2 , N 2K0 ),
The signature S 1 is a signature for the message M generated using the one-time signature key osk according to a predetermined signature scheme that is secure against a selected message attack, and is an element of the group G 1 or the group G 2. Contains only
Signature S 2 includes σ 0 , σ 1 , σ 2 , σ 3 , σ 4 , σ 5 ,
The verification device includes a message signature verification unit and a one-time signature verification unit,
The message signature verification unit
One-time verification key opk, signature S 1 and message M are acquired, and using the one-time verification key opk, the signature S 1 is verified according to the predetermined signature scheme,
The one-time signature verification unit
Get the the verification key vk signature S 2 and the one-time verification key opk,
Figure 0006225097

e (σ 1 , vk 1 ) e (σ 2 , vk 3 ) e (σ 3 , vk 2 ) = e (σ 4 , vk 4 ) e (σ 5 , vk 5 ) e (vk 7 , vk 8 )
e (F 1i2 , N 2i0 ) = e (U 1 , N 2i1 ) (where i = 0,..., K)
e (F 1i3 , N 2i0 ) = e (U 1 , N 2i2 ) (where i = 0,..., K)
Verification apparatus characterized by verifying the signature S 2 by checking that all holds the.
請求項5記載の検証装置であって、
前記署名S
Figure 0006225097

のように、求められたものであり、
前記メッセージ署名検証部は、
取得したメッセージMに含まれるm,…,mと取得した署名Sが群Gの元であること、および
Figure 0006225097

であることを確認する
ことを特徴とする検証装置。
The verification device according to claim 5,
The signature S 1 is
Figure 0006225097

Is what was sought,
The message signature verification unit
M 1 ,..., M K included in the acquired message M and the acquired signature S 1 are elements of the group G 1 , and
Figure 0006225097

The verification apparatus characterized by confirming that it is.
署名装置と検証装置とを用いた署名・検証方法であって、
,G,Gを位数pの群、eをG×G→Gのペアリング、gを群Gの任意の生成元、gを群Gの任意の生成元、Kを1以上のあらかじめ定めた整数、kを1以上K以下の整数、m,…,mを群Gの元、メッセージMをM=(m,…,m)、^をべき乗を示す記号、u,f02,…,fK2,f03,…,fK3を1以上p−1以下からランダムに選択した整数、U=g^u,U=g^u,(F102,…,F1K2)=(g^f02,…,g^fK2),(F103,…,F1K3)=(g^f03,…,g^fK3),(F202,…,F2K2)=(g^f02,…,g^fK2),(F203,…,F2K3)=(g^f03,…,g^fK3)、〜を群Gの元のgを底とする対数の値と群Gの元のgを底とする対数の値が等しいことを示す記号とし、
前記署名装置は、鍵生成部、ワンタイム鍵生成部、メッセージ署名生成部、ワンタイム署名生成部を備え、
前記検証装置は、メッセージ署名検証部、ワンタイム署名検証部を備え、
前記鍵生成部が、
〜V,V’〜V’,H〜Hが成り立つように群Gの元V,V’,Hと群Gの元V,V’,Hを定め、0以上p−1以下の整数の中からランダムにa,b,αを選び、1以上p−1以下の整数の中からランダムにρを選び、R=V(V’)とし、
vk=g ,vk=g ,vk=g ba,vk=R,vk=R ,vk=H,vk=g ρ,vk=g αb/ρを求め、
vk,vk,vk,vk,vk,vk,vk,vkを含む検証鍵vkと、vk,g α,g ,V,V’を含む署名鍵skを生成する鍵生成ステップと、
前記ワンタイム鍵生成部が、
0以上p−1以下の整数の中からランダムにv,a,…,aを選び、
(N201,N202,N200)=(F202^v,F203^v,U^v)と
i=1,…,Kについて
(N2i1,N2i2,N2i0)=(F2i2^a,F2i3^a,U^a
を計算し、
(N201,N202,N200),…,(N2K1,N2K2,N2K0)を含むワンタイム検証鍵opkと、v,a,…,aを含むワンタイム署名鍵oskを生成するワンタイム鍵生成ステップと、
前記メッセージ署名生成部が、
メッセージMを取得し、前記ワンタイム署名鍵oskを用いて、選択メッセージ攻撃に対する安全性を有するあらかじめ定めた署名方式にしたがって、メッセージMに対する署名であって群Gの元または群Gの元のみを含む署名Sを生成するメッセージ署名生成ステップと、
前記ワンタイム署名生成部が、
0以上p−1以下の整数の中からランダムにr、r、zを選び、
r=r+r (mod p)
を求め、
Figure 0006225097

σ=g α
σ=(V’) −z
σ=(g
σ=(g )^r
σ=g^r
を求め、σ,σ,σ,σ,σ,σを含む署名Sを生成するワンタイム署名生成ステップ
を実行して、検証鍵vkとワンタイム検証鍵opkと署名S,Sを出力し、
前記メッセージ署名検証部が、
ワンタイム検証鍵opkと署名SとメッセージMを取得し、当該ワンタイム検証鍵opkを用いて、前記あらかじめ定めた署名方式にしたがって当該署名Sを検証するメッセージ署名検証ステップと
前記ワンタイム署名検証部が、
検証鍵vkと署名Sとワンタイム検証鍵opkを取得し、
Figure 0006225097

e(σ,vk)e(σ,vk)e(σ,vk)=e(σ,vk)e(σ,vk)e(vk,vk
e(F1i2,N2i0)=e(U,N2i1) (ただし、i=0,…,K)
e(F1i3,N2i0)=e(U,N2i2) (ただし、i=0,…,K)
のすべてが成り立つことを確認することで当該署名Sを検証するワンタイム署名検証ステップ、
を実行する
署名・検証方法。
A signature / verification method using a signature device and a verification device,
G 1, G 2, G T the order p group, e and G 1 × pairing G 2G T, g 1 any generator of the group G 1, g 2 any of the group G 2 Generator, K is a predetermined integer of 1 or more, k is an integer of 1 to K, m 1 ,..., M K is an element of group G 1 , and message M is M = (m 1 ,..., M K ) , ^ Is a symbol indicating a power, u, f 02 ,..., F K2 , f 03 ,..., F K3 is an integer selected randomly from 1 to p−1, U 1 = g 1 ^ u, U 2 = g 2 ^ u, (F 102 ,..., F 1K2 ) = (g 1 ^ f 02 ,..., g 1 ^ f K2 ), (F 103 ,..., F 1K3 ) = (g 1 ^ f 03 ,. g 1 ^ f K3), ( F 202, ..., F 2K2) = (g 2 ^ f 02, ..., g 2 ^ f K2), (F 203, ..., F 2K3) = (g 2 ^ 03, ..., g 2 ^ f K3), symbol indicates that equal the logarithm of the value and ~ a bottom original g 2 logarithm values and a group G 2 to the base original g 1 of the group G 1 age,
The signature device includes a key generation unit, a one-time key generation unit, a message signature generation unit, a one-time signature generation unit,
The verification device includes a message signature verification unit and a one-time signature verification unit,
The key generation unit
V 1 ~V 2, V 1 ' ~V 2', based on V 1, V 1 of the group G 1 as H 1 to H 2 is true ', the original V 2, V 2 of an H 1 and the group G 2', H 2 is determined, a, b, α are randomly selected from integers of 0 or more and p−1 or less, ρ is randomly selected from integers of 1 or more and p−1 or less, and R 2 = V 2 (V 2 ') a
vk 1 = g 2 b , vk 2 = g 2 a , vk 3 = g 2 ba , vk 4 = R 2 , vk 5 = R 2 b , vk 6 = H 2 , vk 7 = g 1 ρ , vk 8 = g 2 αb / ρ is obtained,
A verification key vk including vk 1 , vk 2 , vk 3 , vk 4 , vk 5 , vk 6 , vk 7 , vk 8 and a signature key including vk, g 1 α , g 1 b , V 1 , V 1 ′ a key generation step of generating sk;
The one-time key generation unit
Randomly selecting v, a 1 ,..., A K from integers of 0 or more and p−1 or less,
(N 201 , N 202 , N 200 ) = (F 202 ^ v, F 203 ^ v, U 2 ^ v) and i = 1,..., K (N 2i1 , N 2i2 , N 2i0 ) = (F 2i2 ^ a i, F 2i3 ^ a i, U 2 ^ a i)
Calculate
(N 201, N 202, N 200), ..., generates the (N 2K1, N 2K2, N 2K0) and the one-time verification key opk including, v, a 1, ..., one-time signature key osk comprising a K A one-time key generation step,
The message signature generation unit
The message M is acquired, and the signature for the message M, which is the element of the group G 1 or the element of the group G 2 , according to a predetermined signature scheme having security against the selected message attack using the one-time signature key osk. A message signature generation step for generating a signature S 1 containing only
The one-time signature generation unit
R 1 , r 2 , and z are selected at random from integers of 0 or more and p−1 or less,
r = r 1 + r 2 (mod p)
Seeking
Figure 0006225097

σ 1 = g 1 α V 1 r
σ 2 = (V 1 ') r g 1 -z
σ 3 = (g 1 b ) z
σ 4 = (g 1 b ) ^ r 2
σ 5 = g 1 ^ r 1
And a one-time signature generation step for generating a signature S 2 including σ 0 , σ 1 , σ 2 , σ 3 , σ 4 , and σ 5 , and executing the verification key vk, the one-time verification key opk, and the signature S 1 and S 2 are output,
The message signature verification unit
A message signature verification step of acquiring a one-time verification key opk, a signature S 1 and a message M, and verifying the signature S 1 according to the predetermined signature scheme using the one-time verification key opk;
The one-time signature verification unit
Get the the verification key vk signature S 2 and the one-time verification key opk,
Figure 0006225097

e (σ 1 , vk 1 ) e (σ 2 , vk 3 ) e (σ 3 , vk 2 ) = e (σ 4 , vk 4 ) e (σ 5 , vk 5 ) e (vk 7 , vk 8 )
e (F 1i2 , N 2i0 ) = e (U 1 , N 2i1 ) (where i = 0,..., K)
e (F 1i3 , N 2i0 ) = e (U 1 , N 2i2 ) (where i = 0,..., K)
One-time signature verification step of verifying the signature S 2 by making sure that all is true of,
Execute the signature / verification method.
請求項3もしくは4記載の署名装置、または請求項5もしくは6記載の検証装置としてコンピュータを機能させるためのプログラム。   A program for causing a computer to function as the signature device according to claim 3 or 4, or the verification device according to claim 5 or 6.
JP2014226184A 2014-11-06 2014-11-06 Signature / Verification System, Signature Device, Verification Device, Signature / Verification Method, Program Expired - Fee Related JP6225097B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014226184A JP6225097B2 (en) 2014-11-06 2014-11-06 Signature / Verification System, Signature Device, Verification Device, Signature / Verification Method, Program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014226184A JP6225097B2 (en) 2014-11-06 2014-11-06 Signature / Verification System, Signature Device, Verification Device, Signature / Verification Method, Program

Publications (2)

Publication Number Publication Date
JP2016092639A JP2016092639A (en) 2016-05-23
JP6225097B2 true JP6225097B2 (en) 2017-11-01

Family

ID=56019861

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014226184A Expired - Fee Related JP6225097B2 (en) 2014-11-06 2014-11-06 Signature / Verification System, Signature Device, Verification Device, Signature / Verification Method, Program

Country Status (1)

Country Link
JP (1) JP6225097B2 (en)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008127428A2 (en) * 2006-11-17 2008-10-23 The Regents Of The University Of California Efficient non-interactive proof systems for bilinear groups
JP5457991B2 (en) * 2010-10-21 2014-04-02 日本電信電話株式会社 Digital signature / verification system, digital signature / verification method, signature apparatus, verification apparatus, and program thereof
JP6125459B2 (en) * 2014-05-12 2017-05-10 日本電信電話株式会社 Signature system, signature generation apparatus, signature generation / verification method, signature generation method, and program

Also Published As

Publication number Publication date
JP2016092639A (en) 2016-05-23

Similar Documents

Publication Publication Date Title
JPWO2010137508A1 (en) Signature device, signature verification device, anonymous authentication system, signature method, signature authentication method, and programs thereof
WO2014112548A1 (en) Secure-computation system, computing device, secure-computation method, and program
KR101382626B1 (en) System and method for id-based strong designated verifier signature
Hur et al. Privacy-preserving smart metering with authentication in a smart grid
WO2016180495A1 (en) A method for storing data in a cloud and a network for carrying out the method
JP5327223B2 (en) Signature system
WO2008026345A1 (en) Electronic signature system and electronic signature verifying method
JP2014157354A (en) Cryptographic devices and methods for generating and verifying linearly homomorphic structure-preserving signatures
Berger et al. Post-Quantum Migration of the Tor Application
JP2015126332A (en) Cryptographic communication system, cryptographic communication method, program
JP6225097B2 (en) Signature / Verification System, Signature Device, Verification Device, Signature / Verification Method, Program
JP5448864B2 (en) Commitment system, master device, transmission device, reception device, commitment method, program, recording medium
JP6634171B2 (en) Apparatus, method and program for certifying public key reliability
JP5815754B2 (en) Signature verification system, signature device, verification device, and signature verification method
JP5069157B2 (en) Signature system, signature method, verification device, verification device, verification method, verification method, program
JP5331028B2 (en) Signature / verification system, signature / verification method, signature device, verification device, program, recording medium
JP6125459B2 (en) Signature system, signature generation apparatus, signature generation / verification method, signature generation method, and program
JP6251163B2 (en) Encryption signature system, encryption signature device, arbitration device, encryption verification device, encryption signature operation device, encryption signature method, program
JP2020149003A (en) Signature device, verification device, signature method, verification method, signature program and verification program
JP2016001248A (en) Signature creation device, signature verification device, verification system, and program
JP2015135380A (en) Share conversion system, share conversion method, and program
JP5331027B2 (en) Signature / verification system, signature / verification method, signature device, verification device, program, recording medium
JP2009290698A (en) Blind signature device, partial blind signature device, receiver, system, method, and program
JP6087849B2 (en) Proxy signature device, signature verification device, key generation device, proxy signature system, and program
JP6204271B2 (en) Signature system, key generation device, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161209

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170711

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170822

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170921

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171003

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171006

R150 Certificate of patent or registration of utility model

Ref document number: 6225097

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees