JP2004104172A - Structure of electronic signature, method and system for verifying information therewith - Google Patents

Structure of electronic signature, method and system for verifying information therewith Download PDF

Info

Publication number
JP2004104172A
JP2004104172A JP2002259247A JP2002259247A JP2004104172A JP 2004104172 A JP2004104172 A JP 2004104172A JP 2002259247 A JP2002259247 A JP 2002259247A JP 2002259247 A JP2002259247 A JP 2002259247A JP 2004104172 A JP2004104172 A JP 2004104172A
Authority
JP
Japan
Prior art keywords
random number
information
generated
user
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002259247A
Other languages
Japanese (ja)
Inventor
Yutsuko Hanaoka
花岡 裕都子
Goichiro Hanaoka
花岡 悟一郎
Junji Yomo
四方 順司
Hideki Imai
今井 秀樹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2002259247A priority Critical patent/JP2004104172A/en
Publication of JP2004104172A publication Critical patent/JP2004104172A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a structure of electronic signatures capable of warranting information quantitative security without being restricted with respect to the subject of a message space to be signed. <P>SOLUTION: This structure is realized by a structure of electronic signatures having a combination of α=[r<SB>i</SB>, α'<SB>il</SB>-α'<SB>i¾Fri¾</SB>] of a random number r<SB>i</SB>generated so as to be different depending on each user U<SB>i,</SB>and an arithmetic value α'<SB>ij</SB>=f(m, l<SB>ij</SB>) (j=1-¾F<SB>ri</SB>¾) by an identifier generating/verifying algorithm between an aggregation F<SB>ri</SB>=[l<SB>il</SB>to l<SB>i¾Fri¾</SB>] corresponding to the random number r<SB>i</SB>in (n, t, k)-Cover Free Family[L, F<SB>1</SB>to F<SB>n</SB>] and message information (m). <P>COPYRIGHT: (C)2004,JPO

Description

【0001】
【発明の属する技術分野】
本発明は、電子投票や電子アンケート等において用いることのできる電子署名の構造に係り、詳しくは、所定のグループに所属する複数のユーザのそれぞれの端末において生成されたメッセージ情報mに対して付加されるべき電子署名の構造に関する。
【0002】
また、本発明は、所定のグループに属する複数のユーザのそれぞれの端末において生成された署名付き情報が当該所定のグループに所属する何れかのユーザにて生成されたものであることの検証を行う署名付き情報検証方法及びシステムに関する。
【0003】
【従来の技術】
例えば、あるグループに所属するユーザを対象とした電子投票や電子アンケートなどを行うシステムでは、確実にそのグループに所属するユーザの投票や回答であることが保障されることや、投票や回答したユーザが特定できないこと、いわゆる、匿名性が確保されることが要求される場合がある。
【0004】
このようなシステムでは、例えば、あるグループに所属する複数のユーザに対して共通の秘密情報を付与しておき、各ユーザはその共通の秘密情報を用いた署名付きの投票や回答を行う。そして、各ユーザの匿名性を確保した状態で、その投票や回答がそのグループに所属する正規のユーザからなされたものであることを確認することができる。
【0005】
しかし、上述のようなシステムでは、各ユーザに対して共通の秘密情報が付与されるために、ユーザがそのグループを脱退するなど、ユーザがその秘密情報を使用する必要がなくなった状況が発生する毎に、その秘密情報を無効にしなければならない。また、グループに所属する全てのユーザに対して共通の秘密情報を付与することから、十分な安全性を確保することが比較的難しい。このような問題を解決するため、近年、グループ署名という技術が提案されている。
【0006】
グループ署名の場合、素因数分解や離散対数問題の計算が計算量的に不可能であるということを前提とした安全性確保(計算量的に安全)の手法がとられている。即ち、現在考えられるどのような高性能のコンピュータでも、現実的な時間内で秘密情報等の解読ができないことを保障している。
【0007】
しかし、現在、計算量的に安全であることが保障し得ていても、今後、コンピュータの性能向上などにより、その安全性を十分保障し得るものとはならない。
【0008】
このような問題を解決するため、特願2001−347998においては、長期的な安全性の確保に主眼をおいた、いわゆる、計算量的な安全の仮定をおかない手法が提案されている。
【0009】
【発明が解決しようとする課題】
しかしながら、この特願2001−347998では、有限体上の多項式を用いた手法となっており、署名の対象となるメッセージ空間の大きさがユーザの総数以上でなければならないという制約が存在する。このような制約はできるだけ少ないことが望ましい。
【0010】
そこで、本発明の第1の課題は、署名の対象となるメッセージ空間のサイズに関し制約を受けることなく、情報量的安全性を保障し得る電子署名の構造を提供することである。
【0011】
また、本発明の第2の課題は、メッセージ情報にそのような電子署名がなされて生成される署名付き情報の検証方法及びシステムを提供することである。
【0012】
【課題を解決するための手段】
上記第1の課題を解決するため、本発明は請求項1に記載されるように、所定のグループに属する複数のユーザのそれぞれU(i=1,・・・,n)の端末において生成されたメッセージ情報mに対して付加されるべき電子署名の構造において、上記各ユーザUに対応させてそれぞれ異なるように生成された乱数rと、(n,t,k)−Cover Free Family{L,F,…,F}内の上記乱数rに対応する集合Fri={li1,・・・,li|Fri|}とメッセージ情報mとの認証子生成・検証アルゴリズムによる演算の値α´ij=f(m,lij)(j=1,・・・,|Fri|)との組α={r,α´i1,・・・,α´i|Fri|}を有する。
【0013】
このような電子署名の構造では、電子署名α={r,α´i1,・・・,α´i|Fri|}、メッセージ情報m及び乱数rが悪意の第三者に取得されたとしても、全てのj(j=1,・・・,|Fri|)に対して生成された値α´ij=f(m,lij)の組み合わせは無数に存在するため、電子署名α={r,α´i1,・・・,α´i|Fri|}を構成する値α´ij=f(m,lij)を特定することができない。従って、悪意の第三者が所定のグループに所属するユーザに成りすますことはできない。また、(n,t,k)−CoverFree Family{L,F,…,F}の採用により、署名の対象となるメッセージ空間の大きさがユーザの総数以上でなければならないという制約が存在しない。
【0014】
ここで、(n,t,k)−Cover Free Family{L,F,…,F}とは、元の数がtであるような集合Lに対し、集合F(i=1,・・・,n)のそれぞれは部分集合であり、且つ、{i=1,2,・・・,n}の中から選ばれた任意の{i0,i2,・・・,ik}に対して、集合FioがFi1からFikの和集合の部分集合にはならないものをいう。なお、CoverFree Familyについては、「P.Erdos, P.Franki and Z.Furedi著,「amilies of finite sets in which no sets is covered by the union of twoothers」Journal of Combin. Theory Ser. A 33. p.158−166, 1982」に詳細が記述されている。
【0015】
また、上記第2の課題を解決するため、本発明は請求項2に記載されるように、所定のグループに属する複数のユーザのそれぞれU(i=1,・・・,n)の端末において生成された署名付き情報が当該所定のグループに所属する何れかのユーザにて生成されたものであることの検証を行う署名付き情報検証方法において、所定のセンタにおいて実行される、上記各ユーザUに対応させてそれぞれ異なる乱数rを生成するステップと、上記生成した乱数rの何れかを選択するステップと、上記各ユーザUに対応させてそれぞれ異なる乱数r´を生成するステップと、上記生成した乱数r´の何れかを選択するステップと、(n,t,k)−Cover Free Family{L,F,…,F}を生成するステップと、上記選択した乱数rと、上記(n,t,k)−Cover Free Family{L,F,…,F}内の上記選択した乱数rに対応する集合Fri={li1,・・・,li|Fri|}とをユーザUに発行するステップと、上記生成した乱数rと上記生成した乱数r´との対応関係を表すマッピング情報πを生成するステップと、上記(n,t,k)−Cover Free Family{L,F,…,F}内の集合Lと上記マッピング情報πとを検証者に発行するステップとを有し、上記各ユーザUの端末において実行される、上記所定のセンタにおいて発行された乱数rと集合Friとを取得するステップと、上記取得した集合Friとメッセージ情報mとを用い、認証子生成・検証アルゴリズムにより値α´ij=f(m,lij)(j=1,・・・,|Fri|)を演算するステップと、上記取得した乱数rと上記値α´ijとの組である電子署名α={r,α´i1,・・・,α´i|Fri|}を発行するステップと、上記メッセージ情報mと上記発行した電子署名αとを上記検証者に送るステップとを有し、上記検証者の端末において実行される、上記所定のセンタにおいて発行された集合Lと上記マッピング情報πとを取得するステップと、上記ユーザUの端末から送られた上記メッセージ情報mと上記電子署名αとを取得するステップと、上記取得した集合Lと上記取得した電子署名α内の乱数rとを用いて上記集合Friを演算するステップと、上記メッセージ情報mと上記集合Friを用い、全てのjに対して認証子生成・検証アルゴリズムにより値f(m,lij)を演算するステップと、上記値f(m,lij)が上記電子署名α内のα´ij=f(m,lij)に一致するか否かを判定するステップとを有し、その判定結果を上記メッセージ情報mと上記電子署名αからなる署名付き情報が上記所定のグループに属するいずれかのユーザにおいて生成されたものであることの検証結果とする。
【0016】
このような署名付き情報検証方法では、検証者は、センタから発行された上記集合L、及び、上記乱数rと上記乱数r´との対応関係を表すマッピング情報πと、ユーザUにおいて生成されたメッセージ情報m、及び、電子署名α={r,α´i1,・・・,α´i|Fri|}とを用いて、全てのj(j=1,・・・,|Fri|)に対して認証子生成・検証アルゴリズムにより値f(m,lij)を生成し、その生成された値f(m,lij)と電子署名α内のα´ij=f(m,lij)とが一致するか否かを判定することにより、メッセージ情報mと電子署名αからなる署名付き情報が所定のグループに属するいずれかのユーザにおいて生成されたものであることの検証を行う。
【0017】
ユーザに対して、メッセージ情報mの生成否認を許さないという観点から、本発明は請求項3に記載されるように、上記署名付き情報検証方法において、上記所定のセンタにおいて実行される、上記生成した乱数r´と上記ユーザUとの対応関係を表すマッピング情報πを生成するステップと、上記生成したマッピング情報πを所定の機関に発行するステップとを有し、上記検証者の端末において実行される、上記マッピング情報πに基づいて、上記電子署名αに含まれる乱数rに対応する乱数r´を特定し、当該特定した乱数r´を上記所定の機関に発行するステップを有し、上記所定の機関において実行される、上記所定のセンタにおいて発行されたマッピング情報πを取得するステップと、上記検証者の端末において発行された乱数r´を取得するステップと、上記取得したマッピング情報πと、上記取得した乱数r´とに基づいて、当該乱数r´に対応するユーザUを特定するステップとを有する。
【0018】
上述の署名付き情報検証方法では、検証者が有する情報だけでは、署名付き情報を生成したのは所定のグループに所属する何れかのユーザであることは検証できるものの、ユーザの匿名性が確保されているため、具体的にその生成したユーザを特定することができない。そこで、センタは、予めユーザの乱数rとユーザUとの対応関係を表すマッピング情報πを所定の機関に発行する。これにより、検証者が乱数r´を当該所定の機関に提供することにより、その署名付き情報を生成したユーザUを特定することができる。即ち、その署名付き情報を生成したユーザUを検証者と所定の機関が協力し合うことによって特定することができる。このように特定されたユーザUは、その署名付き情報を生成したことを否認することができなくなる。
【0019】
請求項2に記載された発明と同様の観点から、本発明は請求項4に記載されるように、所定のグループに属する複数のユーザのそれぞれU(i=1,・・・,n)の端末において生成された署名付き情報が当該所定のグループに所属する何れかのユーザにて生成されたものであることの検証を行う署名付き情報検証システムにおいて、所定のセンタは、上記各ユーザUに対応させてそれぞれ異なる乱数rを生成する手段と、上記生成された乱数rの何れかを選択する手段と、上記各ユーザUに対応させてそれぞれ異なる乱数r´を生成する手段と、上記生成された乱数r´の何れかを選択する手段と、(n,t,k)−Cover Free Family{L,F,…,F}を生成する手段と、上記選択された乱数rと、上記(n,t,k)−Cover Free Family{L,F,…,F}内の上記選択された乱数rに対応する集合Fri={li1,・・・,li|Fri|}とをユーザUに発行する手段と、上記された乱数rと上記生成した乱数r´との対応関係を表すマッピング情報πを生成する手段と、上記(n,t,k)−Cover Free Family{L,F,…,F}内の集合Lと上記マッピング情報πとを検証者に発行する手段とを有し、上記各ユーザUの端末は、上記所定のセンタにおいて発行された乱数rと集合Friとを取得する手段と、上記取得された集合Friとメッセージ情報mとを用い、認証子生成・検証アルゴリズムにより値α´ij=f(m,lij)(j=1,・・・,|Fri|)を演算する手段と、上記取得された乱数rと上記値α´ijとの組である電子署名α={r,α´i1,・・・,α´i|Fri|}を発行する手段と、上記メッセージ情報mと上記発行された電子署名αとを上記検証者に送る手段とを有し、上記検証者の端末は、上記所定のセンタにおいて発行された集合Lと上記マッピング情報πとを取得する手段と、上記ユーザUの端末から送られた上記メッセージ情報mと上記電子署名αとを取得する手段と、上記取得された集合Lと上記取得された電子署名α内の乱数rとを用いて上記集合Friを演算する手段と、上記メッセージ情報mと上記集合Friを用い、全てのjに対して認証子生成・検証アルゴリズムにより値f(m,lij)を演算する手段と、上記値f(m,lij)が上記電子署名α内のα´ij=f(m,lij)に一致するか否かを判定する手段とを有し、その判定結果を上記メッセージ情報mと上記電子署名αからなる署名付き情報が上記所定のグループに属するいずれかのユーザにおいて生成されたものであることの検証結果とする。
【0020】
請求項3に記載された発明と同様の観点から、本発明は請求項5に記載されるように、上記署名付き情報検証システムにおいて、上記所定のセンタは、上記生成された乱数r´と上記ユーザUとの対応関係を表すマッピング情報πを生成する手段と、上記生成されたマッピング情報πを所定の機関に発行する手段とを有し、上記検証者の端末は、上記マッピング情報πに基づいて、上記電子署名αに含まれる乱数rに対応する乱数r´を特定し、当該特定した乱数r´を上記所定の機関に発行する手段を有し、上記所定の機関は、上記所定のセンタにおいて発行されたマッピング情報πを取得する手段と、上記検証者の端末において発行された乱数r´を取得する手段と、上記取得されたマッピング情報πと、上記取得された乱数r´とに基づいて、当該乱数r´に対応するユーザUを特定する手段とを有する。
【0021】
【発明の実施の形態】
以下、本発明の実施の形態を図面に基づいて説明する。
【0022】
本発明の実施の一形態に係る署名付き情報検証方法が適用されるシステムは、例えば、図1に示すように構成される。
【0023】
図1において、所定のグループに所属するユーザU(i=1,・・・,n)が使用すべきユーザ端末10〜10、検証者V(Verifier)にて管理される検証者端末20及び信頼できる第三者(Trusted Authority)が管理するセンタ100(コンピュータ)が所定のネットワークNWに接続されている。また、上記所定のグループ内またはそのグループ以外のユーザで、例えば、電子投票や電子アンケートの回答を回収する者にて管理されるユーザ端末10j及び所定の機関となるエスクローエージェント(Escrow Agent)200(コンピュータ)がネットワークNWに接続されている。
【0024】
上記のようなシステムにおいて、例えば、上記所定のグループに所属する複数のユーザUが電子投票を行う場合、図2及び図3に示す手順に従って処理が行われる。
【0025】
図2においてセンタ100は、(n,t,k)−Cover Free Family{L,F,…,F}をランダムに生成する(S1)。更にセンタ100は、各ユーザUに対応させてそれぞれ異なる乱数r(i=1,・・・,n)を生成して何れかを選択するとともに、同様に、各ユーザUに対応させてそれぞれ異なる乱数r´(i=1,・・・,n)を生成して何れかを選択する(S2)。
【0026】
次にセンタ100は、選択した乱数rと、生成した(n,t,k)−Cover Free Family{L,F,…,F}内の上記選択した乱数rに対応する集合Fri={li1,・・・,li|Fri|}からなる情報{r,Fri}をユーザUに送付する(S3)。
【0027】
次にセンタ100は、上記のように生成した乱数rと乱数r´との対応関係を表すマッピング情報πを生成し(S4)、上記(n,t,k)−Cover Free Family{L,F,…,F}内の集合Lと上記マッピング情報πからなる情報{L,π}を検証者端末20にNWを介して送付する(S5)。
【0028】
その後、センタ100は、上記のように生成した乱数r´とユーザUとの対応関係を表すマッピング情報πを生成し(S6)、当該マッピング情報πをエスクローエージェント200にNWを介して送付する(S7)。
【0029】
ユーザ端末10iは、上記のようにセンタ100から送付される{r,Fri}を受領する(S8)。更にユーザUが投票内容に関するメッセージをユーザ端末10iに入力すると、当該ユーザ端末10iは、そのメッセージをメッセージ情報mに変換し、そのメッセージ情報mと、上記受領した値Friとを用いて、認証子生成・検証アルゴリズムにより値α´ij=f(m,lij)(j=1,・・・,|Fri|)を生成する。更にユーザ端末10iは、受領した乱数rと上記値α´ijとの組である電子署名α={r,α´i1,・・・,α´i|Fri|}を生成し、その電子署名αをメッセージ情報mに付加した署名付き情報{m,r,α}を生成する(S9)。
【0030】
次にユーザ端末10iは、ネットワークNWを介して上記のように生成した署名付き情報{m,r,α}を投票の回収を行うユーザが管理するユーザ端末10jに送付する(S10)。このように署名付き情報が送信されると、ユーザ端末10iでの投票に関する処理が終了する。
【0031】
ユーザ端末10jは、ユーザUのユーザ端末10iから上記署名付き情報{m,r,α}を受領すると(S11)、その署名付き情報{m,r,α}の検証を行う必要があるか否かを判定する(S12)。この判定基準は任意に定めることができる。
【0032】
上記受領した署名付き情報{m,r,α}の検証を行う必要がないと判定された場合(S12でNO)、その署名付き情報{m,r,α}に含まれるメッセージ情報mが投票内容として、ユーザ端末10jに蓄積される。一方、上記受領した署名付き情報{m,r,α}の検証を行う必要がないと判定された場合(S12でNO)、ユーザ端末10jは、検証の依頼とともに、上記ユーザ端末10iから受領した署名付き情報{m,r,α}を検証者端末20へ送付する(S13)。
【0033】
検証者端末20は、センタ100から情報{L,π}を受領すると(S15)、それを記憶装置に格納する(S16)。更に検証者端末20は、ユーザ端末10jから検証の依頼とともに、署名付き情報{m,r,α}を受領すると(S17)、その署名付き情報{m,r,α}内の電子署名αに含まれる値s1={α´i1,・・・,α´i|Fri|}を抽出する。更に検証者端末20は、上記のようにセンタ100から発行され、記憶装置に格納した情報{L,π}と乱数rからFriを生成し、その署名付き情報{m,r,α}に含まれるメッセージ情報mを用いて、s2={f(m,li1),・・・,f(m,li|Fri|)}を演算する(S18)。
【0034】
検証者端末20は、上記のようにして得られた2つの値s1とs2とが一致するか否かを判定する(S19)。検証者端末20は、乱数r´とユーザUとの対応関係を表すマッピング情報πを保持していないので、上記2つの値s1とs2とが一致する場合、上記署名付き情報{m,r,α}を生成したユーザを特定することはできないものの、上記グループに所属する正規のユーザの何れかが生成したものと判断することができる。
【0035】
一方、上記署名付き情報{m,r,α}のうち、メッセージ情報m、乱数r及び電子署名αの少なくとも1つが改ざんされた場合、上記値s1とs2は一致しなくなる。このため、当該値s1とs2が一致しない場合、上記署名付き情報{m,r,α}は、何らかの改ざんがなされたものと判断することができる。
【0036】
従って、上記値s1とs2が一致すると判定された場合(S19でYES)、検証者端末20は、当該署名付き情報{m,r,α}は正当であるとの検証結果を生成し(S20)、その検証結果を検証の依頼元となるユーザ端末10jに送信する(S21)。一方、上記値s1とs2が一致しないと判定された場合(S19でNO)、検証者端末20は、当該署名付き情報{m,r,α}は不当であるとの検証結果を生成し(S22)、その検証結果を検証の依頼元となるユーザ端末10jに送信する(S23)。
【0037】
上記のようにして検証の依頼を行った(S13)ユーザ端末10jは、ネットワークNWを介して上記検証結果を受信する(S14)。上記署名付き情報{m,r,α}が正当であるとの検証結果を受信した場合、ユーザ端末10jは、その署名付き情報{m,r,α}に含まれるメッセージ情報mにて表される投票内容を有効票として処理する。一方、上記署名付き情報{m,r,α}が不当であるとの検証結果を受信した場合、ユーザ端末10jは、その署名付き情報{m,r,α}に含まれるメッセージ情報mにて表される投票内容を無効票として処理する。
【0038】
検証者端末20は、上記署名付き情報{m,r,α}が正当であるとの検証結果を得た場合(S19でYES)、その検証結果をユーザ端末10jに送信した後に(S21)、図3に示すS24において、その署名付き情報{m,r,α}を生成したユーザを特定すべきか否かを判定する。その判定基準は、任意に定めることができる。
【0039】
上記署名付き情報{m,r,α}を生成したユーザを特定すべきと判定されると(S24でYES)、検証者端末20は、マッピング情報πに基づいて、署名付き情報{m,r,α}に含まれる乱数rに対応する乱数r´を特定し、当該乱数r´をネットワークNWを介してエスクローエージェント200へ送付する(S25)。
【0040】
上述したように、乱数r´とそれに対応したユーザU(i=1,・・・,n)との対応関係を表すマッピング情報πをセンタ100から受領した(図2に示すS27)エスクローエージェント200は、図3に示すS28において、検証者端末20から送付される乱数r´を受領する。
【0041】
更にエスクローエージェント200は、上記乱数r´とユーザU(i=1,・・・,n)との対応関係を表すマッピング情報πから、検証者端末20から受領した乱数r´に対応するユーザUを検索する(S29)。その検索の結果、乱数r´に対応するユーザUが得られると、エスクローエージェント200は、そのユーザを特定する識別子Uを検証者端末20へ送付する(S30)。検証者端末20は、エスクローエージェント200からユーザを特定する識別子Uを受領する(S26)。
【0042】
このように、署名付き情報{m,r,α}を生成したユーザUの通知を受けた検証者端末20は、その署名付き情報{m,r,α}に含まれるメッセージ情報mとその生成者となるユーザUとの関係を管理する。これにより、何らかの理由によりメッセージ情報mを生成したユーザを特定する必要が生じた場合に、検証者端末20にて管理されるメッセージ情報mとその生成者となるユーザとの関係を利用することが可能となる。従って、ユーザは、自らメッセージ情報mを生成したことの否認ができなくなる。
【0043】
上述したようなシステムによれば、検証者は、署名付き情報{m,r,α}を生成した者がグループに所属するユーザの何れかであることを検証することができる。また、上記のように署名付き情報{m,r,α}がユーザ端末10iからユーザ端末10jに送付される際に、悪意の第三者によって不正に取得され、メッセージ情報m、乱数r、電子署名αの少なくとも何れかが改ざんされた場合、検証者は、その改ざんを検出することが可能となる。即ち、いかなる計算能力のコンピュータを用いても、正当な署名付き情報{m,r,α}をその正当性を保持しつつ改ざんすることはできない。
【0044】
更に、悪意の第三者が上記メッセージ情報m、乱数r、電子署名αを不正に取得しても、電子署名α={r,α´i1,・・・,α´i|Fri|}を定めるそれぞれの値α´ij=f(m,lij)(j=1,・・・,|Fri|)は無数に存在するので、いかなる計算能力のコンピュータを用いても、その各値α´ij=f(m,lij)を特定することができず、不正者が正規ユーザに成りすますことはできない。
【0045】
また、上記署名付き情報{m,r,α}に含まれる情報からだけでは、どのような計算能力を有するコンピュータを用いても、その署名付き情報{m,r,α}を生成したユーザを特定することができない。また、検証者端末20においても、単独では、その署名付き情報{m,r,α}を生成したユーザを特定することができない。
【0046】
一方で、検証者端末20とエスクローエージェント200とが協働する場合に限って、署名付き情報{m,r,α}を生成したユーザを特定することができる。このため、グループに所属するいかなる正規ユーザも生成者が不明であるような署名付き情報{m,r,α}を生成することができない。
【0047】
更に、電子署名αの生成に際し、(n,t,k)−Cover Free Family{L,F,…,F}を採用することにより、署名の対象となるメッセージ空間のサイズに関する制約をなくすことができる。
【発明の効果】
以上、説明したように、請求項1記載の本願発明によれば、署名付き情報に含まれる複数の情報のいずれかでも改ざんすれば、その改ざんを検出することができ、また、他人が知り得る情報から電子署名αの構造の要素α´ij=f(m,lij)を論理的に再現することはできない。従って、いかなる性能のコンピュータを用いても不正を行うことができないという、いわゆる情報量的安全性を保障しうるグループ署名の構造を実現することができる。また、電子署名αの生成に際し、(n,t,k)−Cover Free Family{L,F,…,F}を採用することにより、署名の対象となるメッセージ空間のサイズに関する制約をなくすことができる。
【0048】
また、請求項2乃至5記載の発明によれば、メッセージ情報に上記のような電子署名(グループ署名)が付加されることにより生成された署名付き情報の検証方法及びシステムを実現することができる。
【図面の簡単な説明】
【図1】本発明の実施の一形態に係る署名付き情報検証方法が適用されるシステムの構成例を示す図である。
【図2】図1に示すシステムでの処理の流れの第1の例を示すシーケンス図である。
【図3】図2に示す処理の流れに続く処理の流れを示すシーケンス図である。
【符号の説明】
10i、10j、10〜10 ユーザ端末
20 検証者端末
100 センタ
200 エスクローエージェント[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a structure of an electronic signature that can be used in electronic voting, electronic questionnaire, and the like, and more specifically, is added to message information m generated at each terminal of a plurality of users belonging to a predetermined group. The structure of the electronic signature to be done.
[0002]
Further, the present invention verifies that the signed information generated in each terminal of a plurality of users belonging to a predetermined group is generated by any user belonging to the predetermined group. The present invention relates to a method and system for verifying signed information.
[0003]
[Prior art]
For example, in a system that performs electronic voting or electronic questionnaire targeting users belonging to a certain group, it is ensured that the voting or answer of the user belonging to the group is guaranteed, May not be specified, that is, it may be required to ensure anonymity.
[0004]
In such a system, for example, common secret information is given to a plurality of users belonging to a certain group, and each user performs a signed voting or answer using the common secret information. Then, in a state where the anonymity of each user is secured, it is possible to confirm that the voting and the answer are made by the regular users belonging to the group.
[0005]
However, in the above-described system, since common secret information is given to each user, a situation occurs in which the user no longer needs to use the secret information, such as when the user leaves the group. Each time, the confidential information must be invalidated. Also, since common secret information is provided to all users belonging to the group, it is relatively difficult to ensure sufficient security. In order to solve such a problem, a technique called group signature has been proposed in recent years.
[0006]
In the case of a group signature, a method of ensuring security (computationally secure) is taken on the assumption that calculation of a prime factorization or a discrete logarithm problem is impossible in terms of computational complexity. That is, it is ensured that any high-performance computer that can be considered at present cannot decipher confidential information or the like in a realistic time.
[0007]
However, even if it is possible to guarantee that it is computationally safe at present, it will not be possible to sufficiently guarantee the security in the future due to improvements in computer performance.
[0008]
In order to solve such a problem, Japanese Patent Application No. 2001-347998 proposes a method that focuses on ensuring long-term security, that is, a method that does not assume a so-called computational security assumption.
[0009]
[Problems to be solved by the invention]
However, Japanese Patent Application No. 2001-347998 uses a polynomial on a finite field, and has a restriction that the size of the message space to be signed must be equal to or larger than the total number of users. It is desirable that such restrictions be as small as possible.
[0010]
Accordingly, a first object of the present invention is to provide a structure of an electronic signature that can guarantee the security of the information amount without being restricted by the size of the message space to be signed.
[0011]
A second object of the present invention is to provide a method and a system for verifying signed information generated by applying such an electronic signature to message information.
[0012]
[Means for Solving the Problems]
In order to solve the first problem, the present invention is directed to a method for controlling a plurality of users belonging to a predetermined group to each other. i In the structure of the electronic signature to be added to the message information m generated in the terminal (i = 1,..., N), each of the users U i , A random number r generated differently for each i And (n, t, k) -Cover Free Family @ L, F 1 , ..., F n The above random number r in} i Set F corresponding to ri = {L i1 , ..., l i | Fri | The value α ′ of the operation by the authenticator generation / verification algorithm between} and the message information m ij = F (m, l ij ) (J = 1,..., | F ri |) And α = {r i , Α ' i1 , ..., α ' i | Fri | }.
[0013]
In such a digital signature structure, the digital signature α = αr i , Α ' i1 , ..., α ' i | Fri | }, Message information m and random number r i Is obtained by a malicious third party, all j (j = 1,..., | F ri |) Generated value for α ' ij = F (m, l ij ) Are innumerable, so that the electronic signature α = {r i , Α ' i1 , ..., α ' i | Fri | The value α 'that constitutes} ij = F (m, l ij ) Cannot be identified. Therefore, a malicious third party cannot impersonate a user belonging to a predetermined group. Also, (n, t, k) -CoverFree Family @ L, F 1 , ..., F n By adopting}, there is no restriction that the size of the message space to be signed must be equal to or greater than the total number of users.
[0014]
Here, (n, t, k) −Cover Free Family {L, F 1 , ..., F n } Is a set F for a set L whose original number is t. i (I = 1,..., N) are subsets, and arbitrary {i0, i2,... Selected from {i = 1, 2,. , Ik}, the set F io Is F i1 To F ik Is not a subset of the union of. The CoverFree Family is described in “P. Erdos, P. Franchi and Z. Furedi,“ Amilias of finesets in which are not covered by the Union of the whole of the Union of the Union of the Union of the Union of the Union of the Union of the Union of the Union of the Union of the Others. Theory Ser. A 33. p. 158-166, 1982 ".
[0015]
Further, in order to solve the above second problem, the present invention provides a method as described in claim 2, wherein each of a plurality of users belonging to a predetermined group i A signed information verification method for verifying that the signed information generated at the terminal (i = 1,..., N) is generated by any user belonging to the predetermined group , Each user U executed at a predetermined center i And different random numbers r i And the generated random number r i And selecting each of the users U i And different random numbers r i 'And the generated random number r i ', And (n, t, k) -Cover Free Family L, F 1 , ..., F n Generating}, and the selected random number r i And the above (n, t, k) -Cover Free Family {L, F 1 , ..., F n The selected random number r in} i Set F corresponding to ri = {L i1 , ..., l i | Fri | } And user U i And the generated random number r i And the generated random number r i Mapping information π indicating the correspondence with ' 1 And (n, t, k) -Cover Free Family {L, F 1 , ..., F n The set L in} and the mapping information π 1 Is issued to the verifier. i Random number r executed at the predetermined center, executed at the terminal i And set F ri And the obtained set F ri And the message information m, the value α ′ is obtained by an authenticator generation and verification algorithm. ij = F (m, l ij ) (J = 1,..., | F ri |), And the obtained random number r i And the value α ′ ij And a digital signature α = {r i , Α ' i1 , ..., α ' i | Fri | }, And sending the message information m and the issued electronic signature α to the verifier, and executed at the terminal of the verifier, the set issued at the predetermined center. L and the mapping information π 1 And the user U i Acquiring the message information m and the electronic signature α sent from the terminal of the above, the acquired set L and the random number r in the acquired electronic signature α i And the above set F ri And the message information m and the set F ri , And the value f (m, l ij ), And the value f (m, l) ij ) Is α ′ in the digital signature α. ij = F (m, l ij ), And determining whether the signed information including the message information m and the electronic signature α has been generated by any of the users belonging to the predetermined group. Is the verification result.
[0016]
In such a signed information verification method, the verifier checks the set L issued from the center and the random number r. i And the above random number r i Mapping information π indicating the correspondence with ' 1 And user U i And the electronic signature α = {r i , Α ' i1 , ..., α ' i | Fri | } And all j (j = 1,..., | F ri The value f (m, l) ij ), And the generated value f (m, l) ij ) And α ′ in the electronic signature α ij = F (m, l ij ) Is determined, it is verified that the signed information including the message information m and the electronic signature α is generated by any user belonging to a predetermined group.
[0017]
In view of not allowing a user to deny the generation of the message information m, the present invention as described in claim 3, in the signed information verification method, the generation performed at the predetermined center, Random number r i 'And the user U i Mapping information π indicating the correspondence with 2 Generating the mapping information π 2 Is issued to a predetermined institution, and the mapping information π is executed at the terminal of the verifier. 1 Based on the random number r included in the digital signature α i A random number r corresponding to i ′, And the specified random number r i 'To the predetermined institution, and the mapping information π issued at the predetermined center, executed by the predetermined institution. 2 And a random number r issued at the verifier's terminal. i 'And the acquired mapping information π 2 And the random number r obtained above i ′, And the random number r i User U corresponding to ' i And identifying.
[0018]
According to the above-described signed information verification method, it is possible to verify that the signed information is generated by any user belonging to a predetermined group by using only the information possessed by the verifier, but the anonymity of the user is ensured. Therefore, the generated user cannot be specified specifically. Therefore, the center determines in advance the user's random number r i And user U i Mapping information π indicating the correspondence with 2 Is issued to a prescribed organization. Thereby, the verifier can obtain the random number r i 'To the predetermined institution, the user U who generated the signed information i Can be specified. That is, the user U who generated the signed information i Can be specified by cooperation between the verifier and a predetermined institution. User U identified in this way i Cannot deny that the signed information has been generated.
[0019]
From a viewpoint similar to the invention described in claim 2, according to the present invention, as described in claim 4, each of a plurality of users belonging to a predetermined group i (I = 1,..., N) A signed information verification system that verifies that the signed information generated by the terminal is generated by any user belonging to the predetermined group. , The predetermined center is each user U i And different random numbers r i Generating means, and the generated random number r i Means for selecting any one of i And different random numbers r i ′, And the generated random number r i ′, And (n, t, k) −Cover Free Family L, F 1 , ..., F n Means for generating}, and the selected random number r i And the above (n, t, k) -Cover Free Family {L, F 1 , ..., F n The selected random number r in} i Set F corresponding to ri = {L i1 , ..., l i | Fri | } And user U i And a random number r described above. i And the generated random number r i Mapping information π indicating the correspondence with ' 1 And (n, t, k) -Cover Free Family {L, F 1 , ..., F n The set L in} and the mapping information π 1 And a means for issuing to the verifier i Is a random number r issued at the predetermined center. i And set F ri , And the obtained set F ri And the message information m, the value α ′ is obtained by an authenticator generation and verification algorithm. ij = F (m, l ij ) (J = 1,..., | F ri |), And the obtained random number r i And the value α ′ ij And a digital signature α = {r i , Α ' i1 , ..., α ' i | Fri | 発 行, and means for sending the message information m and the issued electronic signature α to the verifier, wherein the verifier's terminal includes a set L issued at the predetermined center. The above mapping information π 1 And the user U i Means for acquiring the message information m and the electronic signature α sent from the terminal of the above, the obtained set L and the random number r in the obtained electronic signature α i And the above set F ri , The message information m and the set F ri , And the value f (m, l ij ) And the value f (m, l) ij ) Is α ′ in the digital signature α. ij = F (m, l ij And means for determining whether the message information m and the digital signature α are generated by any of the users belonging to the predetermined group. Is the verification result.
[0020]
From the same viewpoint as the invention described in claim 3, the present invention as described in claim 5, in the signed information verification system, the predetermined center includes the generated random number r i 'And the user U i Mapping information π indicating the correspondence with 2 Means for generating the mapping information π 2 To a predetermined organization, and the terminal of the verifier has the mapping information π 1 Based on the random number r included in the digital signature α i A random number r corresponding to i ′, And the specified random number r i 'To the predetermined institution, wherein the predetermined institution includes mapping information π issued in the predetermined center. 2 And a random number r issued at the verifier's terminal. i ′, And the acquired mapping information π 2 And the obtained random number r i ′, And the random number r i User U corresponding to ' i And means for specifying
[0021]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[0022]
A system to which a method for verifying signed information according to an embodiment of the present invention is applied is configured, for example, as shown in FIG.
[0023]
In FIG. 1, a user U belonging to a predetermined group i (I = 1,..., N) user terminals 10 to be used 1 -10 n A verifier terminal 20 managed by a verifier V (Verifier) and a center 100 (computer) managed by a trusted third party (Trusted Authority) are connected to a predetermined network NW. In addition, a user terminal 10j managed by a user who is in the above-mentioned group or outside the group and who collects responses to electronic voting and electronic questionnaire, and an escrow agent (Escrow Agent) 200 (a predetermined institution) Computer) is connected to the network NW.
[0024]
In the above system, for example, a plurality of users U belonging to the predetermined group i Performs electronic voting, the processing is performed according to the procedure shown in FIGS.
[0025]
In FIG. 2, the center 100 includes (n, t, k) -Cover Free Family @ L, F 1 , ..., F n } Is randomly generated (S1). Further, the center 100 stores i And different random numbers r i (I = 1,..., N) and select any one, and similarly, for each user U i And different random numbers r i '(I = 1,..., N) is generated and one of them is selected (S2).
[0026]
Next, the center 100 selects the selected random number r i And the generated (n, t, k) -Cover Free Family {L, F 1 , ..., F n The selected random number r in} i Set F corresponding to ri = {L i1 , ..., l i | Fri | Information consisting of {r i , F ri } For user U i (S3).
[0027]
Next, the center 100 generates the random number r generated as described above. i And random number r i Mapping information π indicating the correspondence with ' 1 Is generated (S4), and the (n, t, k) -Cover Free Family {L, F 1 , ..., F n The set L in} and the mapping information π 1 Information consisting of {L, π 1 Is sent to the verifier terminal 20 via the NW (S5).
[0028]
Thereafter, the center 100 generates the random number r generated as described above. i 'And user U i Mapping information π indicating the correspondence with 2 Is generated (S6), and the mapping information π is generated. 2 Is sent to the escrow agent 200 via the NW (S7).
[0029]
The user terminal 10i receives the $ r sent from the center 100 as described above. i , F ri } Is received (S8). User U i Inputs a message related to the content of the vote to the user terminal 10i, the user terminal 10i converts the message into message information m, and the message information m and the received value F ri And the value α ′ by the authenticator generation / verification algorithm ij = F (m, l ij ) (J = 1,..., | F ri |) Is generated. Further, the user terminal 10i receives the received random number r i And the value α ′ ij And a digital signature α = {r i , Α ' i1 , ..., α ' i | Fri | {Is generated, and the signed information {m, r obtained by adding the electronic signature α to the message information m is generated. i , Α} (S9).
[0030]
Next, the user terminal 10i transmits the signed information {m, r generated as described above via the network NW. i , Α} to the user terminal 10j managed by the user who collects the votes (S10). When the signed information is transmitted in this way, the process related to voting at the user terminal 10i ends.
[0031]
The user terminal 10j is a user U i Of the signed information {m, r i , Α} (S11), the signed information {m, r i , Α} is determined (S12). This criterion can be arbitrarily determined.
[0032]
The signed information {m, r received above} i , Α} (NO in S12), the signed information {m, r i , Α} are stored in the user terminal 10j as voting contents. On the other hand, the received signed information {m, r i , Α} (NO in S12), the user terminal 10j sends the signed information {m, r} received from the user terminal 10i together with the verification request. i , Α} to the verifier terminal 20 (S13).
[0033]
The verifier terminal 20 receives the information {L, π 1 Upon receipt of} (S15), it is stored in the storage device (S16). Further, the verifier terminal 20 requests the verification from the user terminal 10j, and adds the signed information {m, r i , Α} (S17), the signed information {m, r i , Α} contained in the digital signature α in {α}. i1 , ..., α ' i | Fri | Extract}. Further, the verifier terminal 20 transmits the information {L, π issued from the center 100 and stored in the storage device as described above. 1 } And random number r i To F ri And the signed information {m, r i , Α}, s2 = {f (m, l) i1 ), ..., f (m, l i | Fri | ) Is calculated (S18).
[0034]
The verifier terminal 20 determines whether or not the two values s1 and s2 obtained as described above match (S19). The verifier terminal 20 calculates the random number r i 'And user U i Mapping information π indicating the correspondence with 2 , And when the two values s1 and s2 match, the signed information {m, r i , Α} cannot be specified, but it can be determined that any of the legitimate users belonging to the group has generated the user.
[0035]
On the other hand, the signed information {m, r i , Α}, message information m, random number r i And at least one of the electronic signatures α is falsified, the values s1 and s2 do not match. Therefore, if the values s1 and s2 do not match, the signed information {m, r i , Α} can be determined to have been tampered with.
[0036]
Therefore, when it is determined that the values s1 and s2 match (YES in S19), the verifier terminal 20 transmits the signed information {m, r i , Α} generate a verification result that is valid (S20), and transmits the verification result to the user terminal 10j that is the verification request source (S21). On the other hand, when it is determined that the values s1 and s2 do not match (NO in S19), the verifier terminal 20 sends the signed information {m, r i , Α} generate an invalid verification result (S22), and transmit the verification result to the user terminal 10j that is the verification request source (S23).
[0037]
The user terminal 10j that has requested verification as described above (S13) receives the verification result via the network NW (S14). The signed information $ m, r i , Α} are valid, the user terminal 10j sends the signed information {m, r i , Α} are processed as valid votes. On the other hand, the signed information {m, r i , Α} is invalid, the user terminal 10j sends the signed information {m, r i , Α} are processed as invalid votes.
[0038]
The verifier terminal 20 checks the signed information {m, r i , Α} is obtained (YES in S19), the verification result is transmitted to the user terminal 10j (S21), and in S24 shown in FIG. 3, the signed information {m, r i , Α} are to be specified. The criterion can be arbitrarily determined.
[0039]
The signed information $ m, r i , Α} (YES in S24), the verifier terminal 20 outputs the mapping information π 1 Based on the signed information {m, r i , Α} i A random number r corresponding to i ′, And the random number r i 'To the escrow agent 200 via the network NW (S25).
[0040]
As described above, the random number r i 'And the corresponding user U i (I = 1,..., N) 2 The escrow agent 200 receives the random number r sent from the verifier terminal 20 in S28 shown in FIG. i ´ is received.
[0041]
Further, the escrow agent 200 sets the random number r i 'And user U i (I = 1,..., N) 2 From the random number r received from the verifier terminal 20 i User U corresponding to ' i Is searched (S29). As a result of the search, a random number r i User U corresponding to ' i Is obtained, the escrow agent 200 transmits the identifier U identifying the user. i Is sent to the verifier terminal 20 (S30). The verifier terminal 20 uses the identifier U identifying the user from the escrow agent 200. i Is received (S26).
[0042]
Thus, the signed information {m, r i , Α} generated user U i The verifier terminal 20 having received the notification of i , Α} and the user U who is the creator of the message information m i Manage relationships with. Thereby, when it becomes necessary to specify the user who generated the message information m for some reason, it is possible to use the relationship between the message information m managed by the verifier terminal 20 and the user who is the creator thereof. It becomes possible. Therefore, the user cannot deny that the user has generated the message information m.
[0043]
According to the system as described above, the verifier checks the signed information {m, r i , Α} can be verified to be any of the users belonging to the group. Also, as described above, the signed information {m, r i , Α} are illegally acquired by a malicious third party when sent from the user terminal 10i to the user terminal 10j, and the message information m and the random number r i If at least one of the digital signatures α has been tampered with, the verifier can detect the tampering. That is, even if a computer having any calculation ability is used, the valid signed information {m, r i , Α} cannot be altered while maintaining its validity.
[0044]
Further, a malicious third party may use the message information m, the random number r i , Even if the electronic signature α is illegally acquired, the electronic signature α = {r i , Α ' i1 , ..., α ' i | Fri | Each value α 'that determines} ij = F (m, l ij ) (J = 1,..., | F ri |) Exist innumerably, so that using a computer of any computational power, its value α ′ ij = F (m, l ij ) Cannot be identified, and a fraudster cannot impersonate a legitimate user.
[0045]
In addition, the signed information {m, r i , Α}, the signature-added information {m, r i , Α} cannot be specified. Also, in the verifier terminal 20 alone, the signed information {m, r i , Α} cannot be specified.
[0046]
On the other hand, only when the verifier terminal 20 and the escrow agent 200 cooperate, the signed information {m, r i , Α} can be identified. For this reason, signed information {m, r such that the creator is unknown for any authorized user belonging to the group i , Α} cannot be generated.
[0047]
Further, when generating the digital signature α, (n, t, k) -Cover Free Family @ L, F 1 , ..., F n By adopting}, it is possible to eliminate restrictions on the size of the message space to be signed.
【The invention's effect】
As described above, according to the first aspect of the present invention, if any one of a plurality of pieces of information included in the signed information is tampered, the tampering can be detected and another person can know. From the information, the element α 'of the structure of the electronic signature α ij = F (m, l ij ) Cannot be logically reproduced. Therefore, it is possible to realize a structure of a group signature that can guarantee what is called information security, that is, it is impossible to perform fraud even if a computer of any performance is used. When generating the digital signature α, (n, t, k) -Cover Free FamilyFL, F 1 , ..., F n By adopting}, it is possible to eliminate restrictions on the size of the message space to be signed.
[0048]
According to the second to fifth aspects of the present invention, it is possible to realize a method and system for verifying signed information generated by adding the above-mentioned electronic signature (group signature) to message information. .
[Brief description of the drawings]
FIG. 1 is a diagram illustrating a configuration example of a system to which a method for verifying signed information according to an embodiment of the present invention is applied.
FIG. 2 is a sequence diagram showing a first example of a processing flow in the system shown in FIG. 1;
FIG. 3 is a sequence diagram showing a processing flow following the processing flow shown in FIG. 2;
[Explanation of symbols]
10i, 10j, 10 1 -10 n User terminal
20 Verifier terminal
100 centers
200 Escrow Agent

Claims (5)

所定のグループに属する複数のユーザのそれぞれU(i=1,・・・,n)の端末において生成されたメッセージ情報mに対して付加されるべき電子署名の構造において、
上記各ユーザUに対応させてそれぞれ異なるように生成された乱数rと、
(n,t,k)−Cover Free Family{L,F,…,F}内の上記乱数rに対応する集合Fri={li1,・・・,li|Fri|}とメッセージ情報mとの認証子生成・検証アルゴリズムによる演算の値α´ij=f(m,lij)(j=1,・・・,|Fri|)との組α={r,α´i1,・・・,α´i|Fri|}を有する電子署名の構造。In the structure of the electronic signature to be added to the message information m generated at the terminals of U i (i = 1,..., N) of a plurality of users belonging to a predetermined group,
A random number r i generated differently for each user U i ,
(N, t, k) -Cover Free Family {L, F 1, ..., F n} the set corresponding to the random number r i in F ri = {l i1, ··· , l i | Fri |} and the calculation by the authenticator generating and verification algorithms and message information m value α'ij = f (m, l ij) (j = 1, ···, | F ri |) set of the α = {r i, α 'i1, ···, α'i | Fri | structure of an electronic signature with a}. 所定のグループに属する複数のユーザのそれぞれU(i=1,・・・,n)の端末において生成された署名付き情報が当該所定のグループに所属する何れかのユーザにて生成されたものであることの検証を行う署名付き情報検証方法において、
所定のセンタにおいて実行される、
上記各ユーザUに対応させてそれぞれ異なる乱数rを生成するステップと、
上記生成した乱数rの何れかを選択するステップと、
上記各ユーザUに対応させてそれぞれ異なる乱数r´を生成するステップと、
上記生成した乱数r´の何れかを選択するステップと、
(n,t,k)−Cover Free Family{L,F,…,F}を生成するステップと、
上記選択した乱数rと、上記(n,t,k)−Cover Free Family{L,F,…,F}内の上記選択した乱数rに対応する集合Fri={li1,・・・,li|Fri|}とをユーザUに発行するステップと、
上記生成した乱数rと上記生成した乱数r´との対応関係を表すマッピング情報πを生成するステップと、
上記(n,t,k)−Cover Free Family{L,F,…,F}内の集合Lと上記マッピング情報πとを検証者に発行するステップと、
を有し、
上記各ユーザUの端末において実行される、
上記所定のセンタにおいて発行された乱数rと集合Friとを取得するステップと、
上記取得した集合Friとメッセージ情報mとを用い、認証子生成・検証アルゴリズムにより値α´ij=f(m,lij)(j=1,・・・,|Fri|)を演算するステップと、
上記取得した乱数rと上記値α´ijとの組である電子署名α={r,α´i1,・・・,α´i|Fri|}を発行するステップと、
上記メッセージ情報mと上記発行した電子署名αとを上記検証者に送るステップと、
を有し、
上記検証者の端末において実行される、
上記所定のセンタにおいて発行された集合Lと上記マッピング情報πとを取得するステップと、
上記ユーザUの端末から送られた上記メッセージ情報mと上記電子署名αとを取得するステップと、
上記取得した集合Lと上記取得した電子署名α内の乱数rとを用いて上記集合Friを演算するステップと、
上記メッセージ情報mと上記集合Friを用い、全てのjに対して認証子生成・検証アルゴリズムにより値f(m,lij)を演算するステップと、
上記値f(m,lij)が上記電子署名α内のα´ij=f(m,lij)に一致するか否かを判定するステップと、
を有し、その判定結果を上記メッセージ情報mと上記電子署名αからなる署名付き情報が上記所定のグループに属するいずれかのユーザにおいて生成されたものであることの検証結果とする署名付き情報検証方法。Information with a signature generated at a terminal of each of U i (i = 1,..., N) of a plurality of users belonging to a predetermined group generated by any user belonging to the predetermined group In the signed information verification method for verifying that
Executed at a predetermined center,
Generating different random numbers r i corresponding to the respective users U i ,
Selecting one of the random number r i generated above,
Generating different random numbers r i ′ corresponding to the respective users U i ;
Selecting any of the generated random numbers r i ′;
Generating (n, t, k) -Cover Free Family {L, F 1 ,..., F n };
And the random number r i mentioned above selected, the (n, t, k) -Cover Free Family {L, F 1, ..., F n} the set corresponding to the selected random number r i in F ri = {l i1, .., L i | Fri | } to user U i ,
Generating mapping information π 1 representing the correspondence between the generated random number r i and the generated random number r i ′;
Issuing a set L in the (n, t, k) -Cover Free Family {L, F 1 ,..., F n } and the mapping information π 1 to a verifier;
Has,
Is executed in the terminal of each user U i,
Obtaining a random number r i and a set F ri issued at the predetermined center;
Using the obtained set F ri and message information m, a value α ′ ij = f (m, l ij ) (j = 1,..., | F ri |) is calculated by an authenticator generation / verification algorithm. Steps and
And issuing a digital signature alpha = a combination of the random number r i and the value [alpha] 'ij where the acquired {r i, α'i1, ··· , α'i | | Fri}
Sending the message information m and the issued electronic signature α to the verifier;
Has,
Executed at the verifier's terminal,
Obtaining the set L issued by the predetermined center and the mapping information π 1 ;
Acquiring and the user U the message information transmitted from the terminal of the i m and the electronic signature alpha,
A step of computing the set F ri by using the random number r i of the acquired electronic signature in α to set L and the above acquired,
Using the message information m and the set F ri to calculate a value f (m, l ij ) for all j by an authenticator generation / verification algorithm;
Determining whether the value f (m, l ij ) matches α ′ ij = f (m, l ij ) in the digital signature α;
Signed information verification as a verification result that the determination result is that the signed information including the message information m and the electronic signature α has been generated by any user belonging to the predetermined group. Method. 請求項2に記載の署名付き情報検証方法において、
上記所定のセンタにおいて実行される、
上記生成した乱数r´と上記ユーザUとの対応関係を表すマッピング情報πを生成するステップと、
上記生成したマッピング情報πを所定の機関に発行するステップと、
を有し、
上記検証者の端末において実行される、
上記マッピング情報πに基づいて、上記電子署名αに含まれる乱数rに対応する乱数r´を特定し、当該特定した乱数r´を上記所定の機関に発行するステップを有し、
上記所定の機関において実行される、
上記所定のセンタにおいて発行されたマッピング情報πを取得するステップと、
上記検証者の端末において発行された乱数r´を取得するステップと、
上記取得したマッピング情報πと、上記取得した乱数r´とに基づいて、当該乱数r´に対応するユーザUを特定するステップと、
を有する署名付き情報検証方法。The method for verifying signed information according to claim 2,
Executed in the predetermined center,
Generating mapping information π 2 representing the correspondence between the generated random number r i ′ and the user U i ;
Issuing the generated mapping information π 2 to a predetermined institution;
Has,
Executed at the verifier's terminal,
Based on the mapping information [pi 1, 'identifies the random number r i that the specified' random number r i corresponding to the random number r i contained in the electronic signature α to have the issuing to the predetermined engine,
Executed in the predetermined institution,
Obtaining mapping information π 2 issued at the predetermined center;
Obtaining a random number r i ′ issued at the verifier's terminal;
And mapping information [pi 2 described above acquires, 'based on the, the random number r i' random number r i with the acquired identifying the user U i corresponding to,
A signed information verification method having the following. 所定のグループに属する複数のユーザのそれぞれU(i=1,・・・,n)の端末において生成された署名付き情報が当該所定のグループに所属する何れかのユーザにて生成されたものであることの検証を行う署名付き情報検証システムにおいて、
所定のセンタは、
上記各ユーザUに対応させてそれぞれ異なる乱数rを生成する手段と、
上記生成された乱数rの何れかを選択する手段と、
上記各ユーザUに対応させてそれぞれ異なる乱数r´を生成する手段と、
上記生成された乱数r´の何れかを選択する手段と、
(n,t,k)−Cover Free Family{L,F,…,F}を生成する手段と、
上記選択された乱数rと、上記(n,t,k)−Cover Free Family{L,F,…,F}内の上記選択された乱数rに対応する集合Fri={li1,・・・,li|Fri|}とをユーザUに発行する手段と、
上記された乱数rと上記生成した乱数r´との対応関係を表すマッピング情報πを生成する手段と、
上記(n,t,k)−Cover Free Family{L,F,…,F}内の集合Lと上記マッピング情報πとを検証者に発行する手段と、
を有し、
上記各ユーザUの端末は、
上記所定のセンタにおいて発行された乱数rと集合Friとを取得する手段と、
上記取得された集合Friとメッセージ情報mとを用い、認証子生成・検証アルゴリズムにより値α´ij=f(m,lij)(j=1,・・・,|Fri|)を演算する手段と、
上記取得された乱数rと上記値α´ijとの組である電子署名α={r,α´i1,・・・,α´i|Fri|}を発行する手段と、
上記メッセージ情報mと上記発行された電子署名αとを上記検証者に送る手段と、
を有し、
上記検証者の端末は、
上記所定のセンタにおいて発行された集合Lと上記マッピング情報πとを取得する手段と、
上記ユーザUの端末から送られた上記メッセージ情報mと上記電子署名αとを取得する手段と、
上記取得された集合Lと上記取得された電子署名α内の乱数rとを用いて上記集合Friを演算する手段と、
上記メッセージ情報mと上記集合Friを用い、全てのjに対して認証子生成・検証アルゴリズムにより値f(m,lij)を演算する手段と、
上記値f(m,lij)が上記電子署名α内のα´ij=f(m,lij)に一致するか否かを判定する手段と、
を有し、その判定結果を上記メッセージ情報mと上記電子署名αからなる署名付き情報が上記所定のグループに属するいずれかのユーザにおいて生成されたものであることの検証結果とする署名付き情報検証システム。Information with a signature generated at a terminal of each of U i (i = 1,..., N) of a plurality of users belonging to a predetermined group generated by any user belonging to the predetermined group In a signed information verification system that verifies that
The predetermined center is
Means for generating different random numbers r i corresponding to the respective users U i ,
Means for selecting one of the random number r i, which is the product,
Means for generating different random numbers r i ′ corresponding to the respective users U i ;
Means for selecting any of the generated random numbers r i ';
Means for generating (n, t, k) -Cover Free Family {L, F 1 ,..., F n };
And the random number r i, which is the selected, the (n, t, k) -Cover Free Family {L, F 1, ..., F n} the set corresponding to the selected random number r i in F ri = {l and means for issuing a} to the user U i, | i1, ···, l i | Fri
Means for generating a mapping information [pi 1 representing the correspondence between the random number r i 'described above random number r i and the generated,
Means for issuing the set L in the (n, t, k) -Cover Free Family {L, F 1 ,..., F n } and the mapping information π 1 to a verifier;
Has,
The terminal of each user U i is
Means for obtaining a an issue random number r i and the set F ri at the predetermined center
Using the obtained set F ri and the message information m, a value α ′ ij = f (m, l ij ) (j = 1,..., | F ri |) is calculated by an authenticator generation / verification algorithm. Means to
Electronic signature alpha = a set of the acquired random number r i and the value α'ij {r i, α'i1 , ···, α'i | Fri |} and means for issuing a
Means for sending the message information m and the issued electronic signature α to the verifier,
Has,
The verifier's terminal is
Means for acquiring the set L issued by the predetermined center and the mapping information π 1 ;
Means for acquiring and the user U i the message information m and the electronic signature transmitted from the terminal of the alpha,
Means for calculating the set F ri by using the random number r i of the acquired electronic signature in α to set L and is the acquired,
Means for calculating a value f (m, l ij ) for all j using an authenticator generation / verification algorithm using the message information m and the set F ri ,
Means for determining whether the value f (m, l ij ) matches α ′ ij = f (m, l ij ) in the digital signature α,
Signed information verification as a verification result that the determination result is that the signed information including the message information m and the electronic signature α has been generated by any user belonging to the predetermined group. system. 請求項4に記載の署名付き情報検証システムにおいて、
上記所定のセンタは、
上記生成された乱数r´と上記ユーザUとの対応関係を表すマッピング情報πを生成する手段と、
上記生成されたマッピング情報πを所定の機関に発行する手段と、
を有し、
上記検証者の端末は、
上記マッピング情報πに基づいて、上記電子署名αに含まれる乱数rに対応する乱数r´を特定し、当該特定した乱数r´を上記所定の機関に発行する手段を有し、
上記所定の機関は、
上記所定のセンタにおいて発行されたマッピング情報πを取得する手段と、
上記検証者の端末において発行された乱数r´を取得する手段と、
上記取得されたマッピング情報πと、上記取得された乱数r´とに基づいて、当該乱数r´に対応するユーザUを特定する手段と、
を有する署名付き情報検証システム。The signed information verification system according to claim 4,
The predetermined center is:
Means for generating mapping information π 2 representing the correspondence between the generated random number r i ′ and the user U i ;
Means for issuing the generated mapping information π 2 to a predetermined institution;
Has,
The verifier's terminal is
Based on the mapping information [pi 1, 'identifies the random number r i that the specified' random number r i corresponding to the random number r i contained in the electronic signature α to have a means for issuing to the predetermined engine,
The specified institution is:
Means for acquiring mapping information π 2 issued at the predetermined center;
Means for obtaining a random number r i 'issued in the terminal of the verifier,
And mapping information [pi 2 which is the acquired, 'based on the, the random number r i' random number r i, which is the acquisition means for identifying the user U i corresponding to,
Signed information verification system having a signature.
JP2002259247A 2002-09-04 2002-09-04 Structure of electronic signature, method and system for verifying information therewith Pending JP2004104172A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002259247A JP2004104172A (en) 2002-09-04 2002-09-04 Structure of electronic signature, method and system for verifying information therewith

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002259247A JP2004104172A (en) 2002-09-04 2002-09-04 Structure of electronic signature, method and system for verifying information therewith

Publications (1)

Publication Number Publication Date
JP2004104172A true JP2004104172A (en) 2004-04-02

Family

ID=32260334

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002259247A Pending JP2004104172A (en) 2002-09-04 2002-09-04 Structure of electronic signature, method and system for verifying information therewith

Country Status (1)

Country Link
JP (1) JP2004104172A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008278144A (en) * 2007-04-27 2008-11-13 Univ Of Tokyo Access controller, user terminal and program

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008278144A (en) * 2007-04-27 2008-11-13 Univ Of Tokyo Access controller, user terminal and program
WO2008139652A1 (en) * 2007-04-27 2008-11-20 The University Of Tokyo Access controller, user terminal, and program

Similar Documents

Publication Publication Date Title
CN109067801B (en) Identity authentication method, identity authentication device and computer readable medium
Li et al. Fuzzy identity-based data integrity auditing for reliable cloud storage systems
Wang et al. Cryptanalysis and improvement of a biometric-based multi-server authentication and key agreement scheme
US9887989B2 (en) Protecting passwords and biometrics against back-end security breaches
US20190311148A1 (en) System and method for secure storage of electronic material
JP4896537B2 (en) Method and system for asymmetric key security
US8719572B2 (en) System and method for managing authentication cookie encryption keys
JP4885853B2 (en) Renewable and private biometrics
US8627424B1 (en) Device bound OTP generation
CN102664728B (en) Secure data parser method and system
WO2019199288A1 (en) System and method for secure storage of electronic material
KR101863953B1 (en) System and method for providing electronic signature service
US11063941B2 (en) Authentication system, authentication method, and program
US20020023220A1 (en) Distributed information system and protocol for affixing electronic signatures and authenticating documents
JPWO2007094165A1 (en) Identification system and program, and identification method
US20120036368A1 (en) Data Processing System for Providing Authorization Keys
US20240048555A1 (en) Privacy-Preserving Biometric Authentication
JP2002208925A (en) Qualification authentication method using variable authentication information
CN107347073B (en) A kind of resource information processing method
US7739500B2 (en) Method and system for consistent recognition of ongoing digital relationships
Rana et al. Secure and ubiquitous authenticated content distribution framework for IoT enabled DRM system
KR102157695B1 (en) Method for Establishing Anonymous Digital Identity
JP2002297551A (en) Identification system
AU2018100503A4 (en) Split data/split storage
JP4612951B2 (en) Method and apparatus for securely distributing authentication credentials to roaming users