JP2805493B2 - 認証方法及びそれに用いる装置 - Google Patents
認証方法及びそれに用いる装置Info
- Publication number
- JP2805493B2 JP2805493B2 JP8727189A JP8727189A JP2805493B2 JP 2805493 B2 JP2805493 B2 JP 2805493B2 JP 8727189 A JP8727189 A JP 8727189A JP 8727189 A JP8727189 A JP 8727189A JP 2805493 B2 JP2805493 B2 JP 2805493B2
- Authority
- JP
- Japan
- Prior art keywords
- sentence
- verifier
- prover
- random number
- response sentence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims description 63
- 230000004044 response Effects 0.000 claims description 78
- 238000004891 communication Methods 0.000 claims description 14
- 238000012360 testing method Methods 0.000 claims description 8
- 230000006870 function Effects 0.000 description 13
- 238000012545 processing Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000002452 interceptive effect Effects 0.000 description 3
- 230000008520 organization Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 239000002131 composite material Substances 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Description
【発明の詳細な説明】 「産業上の利用分野」 この発明は、電気通信システムで電子資金移動等を行
う場合に、消費者のプライバシィを保護できる通信プロ
トコルを実現できる認証方法である。
う場合に、消費者のプライバシィを保護できる通信プロ
トコルを実現できる認証方法である。
「従来の技術」 電気通信システムを用いた電子資金移動やICカードを
用いた決済が普及している。また、現金の代替手段とし
ての汎用プリペイドカードの利用法や、電子財布の使用
法が研究されている。このとき、資金の流れが特定の組
織に管理されると、消費者の消費動向等の個人情報がそ
の組織に蓄積され、プライバシィ保護の観点から問題と
なる。
用いた決済が普及している。また、現金の代替手段とし
ての汎用プリペイドカードの利用法や、電子財布の使用
法が研究されている。このとき、資金の流れが特定の組
織に管理されると、消費者の消費動向等の個人情報がそ
の組織に蓄積され、プライバシィ保護の観点から問題と
なる。
この問題の解決策として、暗号技術を用いて、資金移
動の追跡を不可能とする安全な資金移動方式がある。例
えば、David Chaum:“Security without Identi ficati
on:Transaction systems to make Big Brother Obsolut
e",Communication of the ACM,October 1985,Vol.28 N
o.10 Chaumの方式の概要は以下の通りである。
動の追跡を不可能とする安全な資金移動方式がある。例
えば、David Chaum:“Security without Identi ficati
on:Transaction systems to make Big Brother Obsolut
e",Communication of the ACM,October 1985,Vol.28 N
o.10 Chaumの方式の概要は以下の通りである。
消費者(被検証者:B)が金額等の取引内容を含んだ文
書mを乱数で撹乱して通信文zを作成して、zを銀行
(証明者:A)に送信する。銀行Aは、消費者Bの正当性
を認証した後にその消費者の口座から金額を引き落と
し、金額に対応した署名をzに施して、署名付き通信文
z′を消費者Bに送り返す。消費者Bは、z′から乱数
の影響を取り除いて、mに署名を施した値としてm′を
求め、これを現金にかわる手段として商店(検証者:C)
へ支払う。検証者Cは、m′が銀行Aによって署名され
ていることを確認して、m′がある金額の価値があると
判断する。Cは後日m′を銀行Aに提出することによっ
て、対応する金額を受け取る。すなわち、m′は金券と
しての機能を備えている。
書mを乱数で撹乱して通信文zを作成して、zを銀行
(証明者:A)に送信する。銀行Aは、消費者Bの正当性
を認証した後にその消費者の口座から金額を引き落と
し、金額に対応した署名をzに施して、署名付き通信文
z′を消費者Bに送り返す。消費者Bは、z′から乱数
の影響を取り除いて、mに署名を施した値としてm′を
求め、これを現金にかわる手段として商店(検証者:C)
へ支払う。検証者Cは、m′が銀行Aによって署名され
ていることを確認して、m′がある金額の価値があると
判断する。Cは後日m′を銀行Aに提出することによっ
て、対応する金額を受け取る。すなわち、m′は金券と
しての機能を備えている。
ここで、zはmに乱数が付加されているので、銀行お
よび第三者はzからmを推定できないし、また、銀行と
商店が結託してもm′とzの対応を知ることができな
い。従って誰がm′を発行したかを知ることができな
い。これより、Chaumの方法では金券m′の発行元(消
費者)を推定できない(すなわち、追跡不可能)ので、
消費者の消費動向等のプライバシィを守ることができ
る。
よび第三者はzからmを推定できないし、また、銀行と
商店が結託してもm′とzの対応を知ることができな
い。従って誰がm′を発行したかを知ることができな
い。これより、Chaumの方法では金券m′の発行元(消
費者)を推定できない(すなわち、追跡不可能)ので、
消費者の消費動向等のプライバシィを守ることができ
る。
しかし、この方式は処理量の大きいRSA暗号をベース
にしているので、zからz′を求めるための処理量の大
きいことが問題となる(この例では銀行Aの処理量が大
きくなる)。具体的には、RSA暗号では、200桁同志の整
数の乗法(ただし剰余計算を含む)が平均768回必要で
ある。
にしているので、zからz′を求めるための処理量の大
きいことが問題となる(この例では銀行Aの処理量が大
きくなる)。具体的には、RSA暗号では、200桁同志の整
数の乗法(ただし剰余計算を含む)が平均768回必要で
ある。
ところで、秘密情報を保持するためのメモリ量が少な
く、通信効率に優れ、かつ高速な認証方式として拡張Fi
at−Shamir法がある(太田,岡本:「k条根の計算の困
難性を用いた効率のよい認証方式」(1988年暗号と情報
セキュリティシンポジウム))。
く、通信効率に優れ、かつ高速な認証方式として拡張Fi
at−Shamir法がある(太田,岡本:「k条根の計算の困
難性を用いた効率のよい認証方式」(1988年暗号と情報
セキュリティシンポジウム))。
拡張Fiat−Shamir法では、処理量は、平均して(5l+
2)/2回の乗算(ただし法Nにおける剰余計算を含む)
で済む(lの意味は後述)。特に、l=20に選ぶことが
推奨されているので、この場合には、拡張Fiat−Shamir
法の乗算回数は51回となり、RSA暗号による署名法に比
較して処理量を大幅に削減できる。具体的には、51/768
=0.066なのでRSA暗号に比べて約7%の処理量で実現で
きる。
2)/2回の乗算(ただし法Nにおける剰余計算を含む)
で済む(lの意味は後述)。特に、l=20に選ぶことが
推奨されているので、この場合には、拡張Fiat−Shamir
法の乗算回数は51回となり、RSA暗号による署名法に比
較して処理量を大幅に削減できる。具体的には、51/768
=0.066なのでRSA暗号に比べて約7%の処理量で実現で
きる。
拡張Fiat−Shamir法の概要は、以下の通りである。
信頼できるセンタが、個人識別情報としてIDを用いる
利用者に対して、次の手順で秘密情報sを生成する。こ
こでNは公開情報であり、秘密の素数PとQを用いてN
=P×Qと表せる。また、Lは整数,fは一方向性関数で
あり、公開されている。
利用者に対して、次の手順で秘密情報sを生成する。こ
こでNは公開情報であり、秘密の素数PとQを用いてN
=P×Qと表せる。また、Lは整数,fは一方向性関数で
あり、公開されている。
step1:一方向性関数fを用いて x=f(ID) を計算する。
step2:xに対してNの素因数PとQを用いて sL=x(mod N) をみたすsを計算する(すなわち、sはxのL
乗根)。
乗根)。
step3:利用者に対してsを秘密に発行し、一方向性関数
fと合成数Nを公開する。
fと合成数Nを公開する。
(mod N)におけるL乗根の計算は、Nの素因数
(PとQ)が分かっているときのみ実行できる。その方
法は、例えばRabin,M.O.:“Digitalized Signatures an
d Public−key Functions as Intractable as Factoriz
ation",Tech.Rep.MIT/LCS/TR−212 MIT Lab.Comput.Sc
i.1979に示されている。
(PとQ)が分かっているときのみ実行できる。その方
法は、例えばRabin,M.O.:“Digitalized Signatures an
d Public−key Functions as Intractable as Factoriz
ation",Tech.Rep.MIT/LCS/TR−212 MIT Lab.Comput.Sc
i.1979に示されている。
利用者の認証方式は以下の通りである。
証明者Aは、検証者Cに対して、Aが本物であること
を、次の手順で証明する。
を、次の手順で証明する。
step1:AがIDをCに送る。
step2:Cがx=f(ID)を計算する。
下記の、3〜6のステップをt回繰り返す。(tは安
全性を定めるパラメータであり、1以上の値)。
全性を定めるパラメータであり、1以上の値)。
step3:乱数rを生成して、 x′=rL(mod N) を計算して、Cに送る。
step4:Cが、0以上,L未満の整数eを生成して、Aに送
る。
る。
step5:Aが署名文zを z=r×se(mod N) で生成して、Cに送る。
step6:Cは、 x′=zL×x-e(mod N) が成り立つことを検査する。(x-1は、mon N
でのxの逆元) zの作り方よりzL×x-e=rL×(sL×x-1)e=rL=x′
(mod N)であるから、step6の検査に合格した場合、
検証者CはAが本物であると認める。このとき、検証者
Cが、偽の証明者を本物のAと認めてしまう誤りの生じ
る確立は1/Ltである。
でのxの逆元) zの作り方よりzL×x-e=rL×(sL×x-1)e=rL=x′
(mod N)であるから、step6の検査に合格した場合、
検証者CはAが本物であると認める。このとき、検証者
Cが、偽の証明者を本物のAと認めてしまう誤りの生じ
る確立は1/Ltである。
拡張Fiat−Shamir法では、1個の秘密情報sと、step
3〜6の繰り返し回数を1としても、整数Lを適切に選
ぶことで安全性を保障できる。
3〜6の繰り返し回数を1としても、整数Lを適切に選
ぶことで安全性を保障できる。
以上では、利用者の認識方式について説明したが、メ
ッセージの認識方式は上記の手順を次の様に変更して実
現できる。
ッセージの認識方式は上記の手順を次の様に変更して実
現できる。
メッセージmとx′に一方向性関数fを施して得たf
(m,x′)の先頭のlビットを整数eの2進表示とみな
して、署名文として、(ID,m,e,z)を署名つき通信文と
して検証者に送信する。
(m,x′)の先頭のlビットを整数eの2進表示とみな
して、署名文として、(ID,m,e,z)を署名つき通信文と
して検証者に送信する。
このように拡張Fiat−Shamir法は秘密情報を保持する
ためのメモリ量を小さくでき、かつ通信効率に優れた高
速な認証方式である。しかし、現在までのところ拡張Fi
at−Shamir法を用いた追跡不可能な認証方法は提案され
ていない。
ためのメモリ量を小さくでき、かつ通信効率に優れた高
速な認証方式である。しかし、現在までのところ拡張Fi
at−Shamir法を用いた追跡不可能な認証方法は提案され
ていない。
「発明が解決しようとする課題」 この発明の目的は、拡張Fiat−Shamir法をベースにし
て、従来方法よりも高速な追跡不可能な認証方法を提供
することにある。
て、従来方法よりも高速な追跡不可能な認証方法を提供
することにある。
「課題を解決するための手段」 この発明では、秘密情報のメモリ量を削減し、通信効
率を向上させ、かつ処理量を削減するために、問い合わ
せ文と応答文を用いる拡張Fiat−Shamir法をベースにし
て、認証処理を実現する。また、第三者に証明者装置10
0−被検証者装置200間と被検証者装置200−検証者装置3
00間で通信されるデータの対応関係を隠して、追跡不可
能とするために、被検証者装置200が問い合わせ文の対
応関係と応答文の対応関係を乱数によって与え、その乱
数を秘密にする。これによって、この発明では、追跡不
可能な認証処理を実現する。
率を向上させ、かつ処理量を削減するために、問い合わ
せ文と応答文を用いる拡張Fiat−Shamir法をベースにし
て、認証処理を実現する。また、第三者に証明者装置10
0−被検証者装置200間と被検証者装置200−検証者装置3
00間で通信されるデータの対応関係を隠して、追跡不可
能とするために、被検証者装置200が問い合わせ文の対
応関係と応答文の対応関係を乱数によって与え、その乱
数を秘密にする。これによって、この発明では、追跡不
可能な認証処理を実現する。
「実施例」 第1図は、この発明の原理図である。第1図は証明者
Aの装置(以下証明者装置と記す)(100)と被検証者
Bの装置(以下被検証者装置と記す(200)と検証者C
の装置(以下検証者装置と記す)(300)が通信回線等
を介して接続しており、利用者の認証方法(図(a))
とメッセージの認証方法(図(b))を実現するための
交信例を表している。以下では、先ず、証明者装置100
が被検証者装置200の身元を確認したことを検証者装置3
00に対して証明する利用者の認証方法を示し、その後
に、被検証者装置200が証明者装置100の力を借りてメッ
セージmに署名するメッセージの認証方法について説明
する。
Aの装置(以下証明者装置と記す)(100)と被検証者
Bの装置(以下被検証者装置と記す(200)と検証者C
の装置(以下検証者装置と記す)(300)が通信回線等
を介して接続しており、利用者の認証方法(図(a))
とメッセージの認証方法(図(b))を実現するための
交信例を表している。以下では、先ず、証明者装置100
が被検証者装置200の身元を確認したことを検証者装置3
00に対して証明する利用者の認証方法を示し、その後
に、被検証者装置200が証明者装置100の力を借りてメッ
セージmに署名するメッセージの認証方法について説明
する。
第1図の(a)では、証明者装置100−被検証者装置2
00間と被検証者装置200−検証者装置300間でそれぞれ拡
張Fiat−Shamir法の利用者認証法を採用し、2つの拡張
Fiat−Shamir法を対応づける情報を被検証者装置200に
おいて秘密にすることで、追跡不可能な利用者の認証処
理を実現する。
00間と被検証者装置200−検証者装置300間でそれぞれ拡
張Fiat−Shamir法の利用者認証法を採用し、2つの拡張
Fiat−Shamir法を対応づける情報を被検証者装置200に
おいて秘密にすることで、追跡不可能な利用者の認証処
理を実現する。
拡張Fiat−Shamir法の場合と同様に、信頼できるセン
タが、合成数Nと一方向性関数fと整数Lを公開し、さ
らに証明者装置100の識別情報IDに対応する秘密情報s
を計算して、sを証明者装置100に配送する。ここで、
sは、sLmod N=f(ID)をみたす。
タが、合成数Nと一方向性関数fと整数Lを公開し、さ
らに証明者装置100の識別情報IDに対応する秘密情報s
を計算して、sを証明者装置100に配送する。ここで、
sは、sLmod N=f(ID)をみたす。
証明者装置100の概略を第2図に、被検証者装置200の
概略を第3図に、検証者装置300の概略を第4図にそれ
ぞれ示す。
概略を第3図に、検証者装置300の概略を第4図にそれ
ぞれ示す。
証明者装置100は、被検証者装置200の正当性を、検証
者装置300に対して、次の手順で証明する。
者装置300に対して、次の手順で証明する。
step1:証明者装置100がIDを被検証者装置200と検証者装
置300に送る。検証者装置300へは直接はなく、被検証者
装置200を介して、つまり間接的に送ってもよい。
置300に送る。検証者装置300へは直接はなく、被検証者
装置200を介して、つまり間接的に送ってもよい。
step2:被検証者装置200と検証者装置300は、それぞれ一
方向性関数計算器205,305を用いてx=f(ID)を計算
する。
方向性関数計算器205,305を用いてx=f(ID)を計算
する。
次に、3〜6のステップをt回繰り返す。t=1のと
きが特許請求の範囲の請求項(1)に対応し、t>1の
ときが請求項(2)に対応する。
きが特許請求の範囲の請求項(1)に対応し、t>1の
ときが請求項(2)に対応する。
step3:証明者装置100は初期応答文発生器110を用いて初
期応答文x′を発生して被検証者装置200に送る。
期応答文x′を発生して被検証者装置200に送る。
例えば初期応答文発生器110を、乱数発生器111と剰余
付き乗算器112で構成して、乱数発生器111を用いて乱数
rを発生し、剰余付き乗算器112を用いて x′=rL(mod N) でx′を計算する。
付き乗算器112で構成して、乱数発生器111を用いて乱数
rを発生し、剰余付き乗算器112を用いて x′=rL(mod N) でx′を計算する。
剰余付き乗算の効率のよい計算方法は、例えば池野,
小山“現代暗号理論”電子通信学会,pp.16−17,(198
6),に示されている。
小山“現代暗号理論”電子通信学会,pp.16−17,(198
6),に示されている。
step4:被検証者装置200はx′を受信すると、乱数発生
器210と初期応答文撹乱器215を用いて、乱数発生器210
で発生した0以上、L未満の整数eと1以上N未満の乱
数uとx′と先に生成したxを初期応答文撹乱器215に
入力し、撹乱された初期応答文x″を計算して検証者装
置300に送る。
器210と初期応答文撹乱器215を用いて、乱数発生器210
で発生した0以上、L未満の整数eと1以上N未満の乱
数uとx′と先に生成したxを初期応答文撹乱器215に
入力し、撹乱された初期応答文x″を計算して検証者装
置300に送る。
例えば初期応答文撹乱器215を剰余付き乗算器として
構成し、受信した初期応答文x″とxとeとuから x″=x″×uL×xe(mod N) でx″を計算する。
構成し、受信した初期応答文x″とxとeとuから x″=x″×uL×xe(mod N) でx″を計算する。
step5:検証者装置300はx″を受信すると、x″を情報
格納器310に格納した後に、乱数発生器320を用いて、0
以上、L未満の整数βを生成し問い合わせ文として被検
証者装置200に送る。
格納器310に格納した後に、乱数発生器320を用いて、0
以上、L未満の整数βを生成し問い合わせ文として被検
証者装置200に送る。
step6:被検証者装置200はβと受信すると、βと先に生
成したeを問い合わせ文撹乱器220に入力して、撹乱さ
れた問い合わせ文β′を計算して証明者装置100に送
る。
成したeを問い合わせ文撹乱器220に入力して、撹乱さ
れた問い合わせ文β′を計算して証明者装置100に送
る。
例えば問い合わせ文撹乱器220を剰余付き加算器とし
て構成して、 β′=e+β(mod L) を計算する。
て構成して、 β′=e+β(mod L) を計算する。
step7:証明者装置100はβ′を受信すると、先に生成し
た乱数rと受信した問い合わせ文β′を証明器120に入
力して、応答文zを計算して被検証者装置200に送る。
た乱数rと受信した問い合わせ文β′を証明器120に入
力して、応答文zを計算して被検証者装置200に送る。
例えば証明器120を、秘密情報格納器121と剰余付き乗
算器122で構成し、秘密情報格納器121から秘密情報sを
読み出して、初期応答文発生器110から引き継いだrと
受信したβ′を剰余付き乗算器122に入力して z=r×sβ′(mod N) zを計算する。
算器122で構成し、秘密情報格納器121から秘密情報sを
読み出して、初期応答文発生器110から引き継いだrと
受信したβ′を剰余付き乗算器122に入力して z=r×sβ′(mod N) zを計算する。
step8:被検証者装置200はzを受信すると、zと先に生
成したxとeとuを乱数成分除去器230に入力して、応
答文z′を計算して検証者装置300に送る。
成したxとeとuを乱数成分除去器230に入力して、応
答文z′を計算して検証者装置300に送る。
例えば乱数成分除去器230を、条件判定器231と剰余付
き乗算器232で構成し、 z′=u×z×xc(mod N) ただし、c=1(β′<e) c=0(上記以外) を計算する。
き乗算器232で構成し、 z′=u×z×xc(mod N) ただし、c=1(β′<e) c=0(上記以外) を計算する。
step9:検証者装置300はz′を受信すると、検査器330を
用いてz′の正当性を検査する。
用いてz′の正当性を検査する。
例えば検査器330を、剰余付き乗算器331と比較器332
で構成し、情報各納器310から引き継いだx″と一方向
性関数計算器305から引き継いだxと乱数発生器320から
引き継いだβに対して x″=z′L×x−β(mod N) が成立するかを検査する。
で構成し、情報各納器310から引き継いだx″と一方向
性関数計算器305から引き継いだxと乱数発生器320から
引き継いだβに対して x″=z′L×x−β(mod N) が成立するかを検査する。
ここでは問い合わせ−応答のやりとりをt回繰り返し
て順次行う例を示したが、問い合わせ−応答のやりとり
のt個の成分を並列に並べて同時に行ってもよい。
て順次行う例を示したが、問い合わせ−応答のやりとり
のt個の成分を並列に並べて同時に行ってもよい。
次に、第1図の(b)を用いて、BがAの力を借りて
メッセージmに署名するメッセージの認証方法について
説明する。
メッセージmに署名するメッセージの認証方法について
説明する。
証明者装置100−被検証者装置200間では拡張Fiat−Sh
amir法の利用者認証法を、被検証者装置200−検証者装
置300間では拡張Fiat−Shamir法のメッセージ認証法を
採用する。2つの認証法を対応づける情報を被検証者装
置200において秘密にすることで、追跡不可能なメッセ
ージの認証処理を実現する。
amir法の利用者認証法を、被検証者装置200−検証者装
置300間では拡張Fiat−Shamir法のメッセージ認証法を
採用する。2つの認証法を対応づける情報を被検証者装
置200において秘密にすることで、追跡不可能なメッセ
ージの認証処理を実現する。
拡張Fiat−Shamir法と同様に、信頼できるセンタが、
合成数Nと一方向性関数fと整数Lを公開し、さらに、
証明者装置100の識別情報IDに対応する秘密情報s計算
してsを証明者装置100に配送する。
合成数Nと一方向性関数fと整数Lを公開し、さらに、
証明者装置100の識別情報IDに対応する秘密情報s計算
してsを証明者装置100に配送する。
証明者装置100の概略を第2図に、被検証者装置200の
概略を第5図に、検証者装置300の概略を第6図にそれ
ぞれ示す。
概略を第5図に、検証者装置300の概略を第6図にそれ
ぞれ示す。
Bは、Aの力を借りて、次の手順で文書mに署名す
る。
る。
step1:証明者装置100がIDを被検証者装置200と検証者装
置300に送る。この場合も検証者装置300には被検証者装
置200を介して送ってもよい。
置300に送る。この場合も検証者装置300には被検証者装
置200を介して送ってもよい。
step2:被検証者装置200と検証者装置300は、それぞれ一
方向性関数計算器205,305を用いてx=f(ID)を計算
する。
方向性関数計算器205,305を用いてx=f(ID)を計算
する。
step3:証明者装置100は初期応答文発生器110を用いてt
個の初期応答文x′i(i=1,2,…,t)からなるx′を
計算して被検証者装置200に送る。
個の初期応答文x′i(i=1,2,…,t)からなるx′を
計算して被検証者装置200に送る。
例えば初期応答文発生器110を、乱数発生器111と剰余
付き乗算器112で構成し、乱数発生器111を用いてt個の
riを発生し、剰余付き乗算器112を用いて x′i=ri L(mod N) (i=1,2,…,t) で、t個のx′iを計算する。
付き乗算器112で構成し、乱数発生器111を用いてt個の
riを発生し、剰余付き乗算器112を用いて x′i=ri L(mod N) (i=1,2,…,t) で、t個のx′iを計算する。
step4:被検証者装置200はx′を受信すると、乱数発生
器210を用いてt組の0以上L未満のeiと1以上N未満
の乱数uiのペアを発生し、その値を受信したt個のx′
iと先に生成したxと共に初期応答文撹乱器215に入力
し、t個の撹乱された初期応答文x″iを計算して問い
合わせる文発生器250に引き継ぐ。
器210を用いてt組の0以上L未満のeiと1以上N未満
の乱数uiのペアを発生し、その値を受信したt個のx′
iと先に生成したxと共に初期応答文撹乱器215に入力
し、t個の撹乱された初期応答文x″iを計算して問い
合わせる文発生器250に引き継ぐ。
例えば初期応答文撹乱器215を剰余付き乗算基で構成
し、乱数発生器210が生成したt組のeiとui、受信した
t個の初期応答文x′iとxを初期応答文撹乱器215に
入力して x″i=ui L×xei×x′i(mod N) (i=1,2,…,t) でt個のx″iを計算する。
し、乱数発生器210が生成したt組のeiとui、受信した
t個の初期応答文x′iとxを初期応答文撹乱器215に
入力して x″i=ui L×xei×x′i(mod N) (i=1,2,…,t) でt個のx″iを計算する。
step5:被検証者装置200は、メッセージmとt個のx″
iを問い合わせ文発生器250に入力して、問い合わせ文
βとβ′を作成してβ′を証明者装置100に送信し、
β′を乱数成分除去器260に引き継ぐ。例えば、問い合
わせ文発生器250を一方向性関数計算器251と剰余付き加
算器252で構成して (β1,…,βt)=f(m,x″i,…,x″t) β′i=ei+βi(mod L) (i=1,2,…,t) で、β′=(β′1,…,β′t)とβ={β1,…,
βt)を求める。
iを問い合わせ文発生器250に入力して、問い合わせ文
βとβ′を作成してβ′を証明者装置100に送信し、
β′を乱数成分除去器260に引き継ぐ。例えば、問い合
わせ文発生器250を一方向性関数計算器251と剰余付き加
算器252で構成して (β1,…,βt)=f(m,x″i,…,x″t) β′i=ei+βi(mod L) (i=1,2,…,t) で、β′=(β′1,…,β′t)とβ={β1,…,
βt)を求める。
ここで、β′iとβiは0以上、L未満の整数。
step6:証明者装置100はβ′を受信すると、証明器120を
用いて、先に発生した乱数riと受信した問い合わせ文
β′から、応答文zを計算して被検証者装置200に送
る。
用いて、先に発生した乱数riと受信した問い合わせ文
β′から、応答文zを計算して被検証者装置200に送
る。
例えば証明器120を、秘密情報格納器121と剰余付き乗
算器122で構成し、秘密情報格納器121から秘密情報sを
読み出し、初期応答文発生器110から引き継いだriと受
信したβ′=(β′1,…,β′t)を剰余付き乗算器12
2に入力して zi=ri×sβ′i (mod N) (i=1,2,…,t) でziを計算し、z=(z1,…,zt)を求める。
算器122で構成し、秘密情報格納器121から秘密情報sを
読み出し、初期応答文発生器110から引き継いだriと受
信したβ′=(β′1,…,β′t)を剰余付き乗算器12
2に入力して zi=ri×sβ′i (mod N) (i=1,2,…,t) でziを計算し、z=(z1,…,zt)を求める。
step7:被検証者装置200はzを受信すると、zと先に生
成したxとt組の(ei,ui)を乱数成分除去器260に入力
し、応答文z′を計算して、β,mと共に検証者装置300
に送る。
成したxとt組の(ei,ui)を乱数成分除去器260に入力
し、応答文z′を計算して、β,mと共に検証者装置300
に送る。
例えば乱数成分除去器260を、条件判定器261と剰余付
き乗算器262で構成し、 z′i=ui×zi×xci(mod N) ただし、ci=1(β′i<ei) ci=0(上記以外) でz′iを計算して、z′=(z′i,…,z′t)を求め
る。
き乗算器262で構成し、 z′i=ui×zi×xci(mod N) ただし、ci=1(β′i<ei) ci=0(上記以外) でz′iを計算して、z′=(z′i,…,z′t)を求め
る。
step8:検証者装置300はm,β,z′を受信すると、検査器3
40を用いてm,β,z′の正当性を検査する。
40を用いてm,β,z′の正当性を検査する。
例えば検査器340を、剰余付き乗算器341と一方向性関
数計算器342と比較器343で構成し、 x* i=z′i L×x−βi(mod N) でx*=(x* 1,…,x* t)を求めて、 β=f(m,x*) が成立するかを検査する。
数計算器342と比較器343で構成し、 x* i=z′i L×x−βi(mod N) でx*=(x* 1,…,x* t)を求めて、 β=f(m,x*) が成立するかを検査する。
以上では、拡張Fiat−Shamir法をベースにした追跡不
可能な認証方法について説明した。拡張Fiat−Shamir法
は、Nの素因数分解が困難な場合に(mod N)でL乗根
の計算が困難なことに基づいている。離散対数問題等の
困難性を利用した認証法をベースにしても、同様の議論
が成り立つ。離散対数問題等に基づく認証法について
は、例えばM.Tompa & H.Woll,“Random Self−Reducib
ility and Zero Knowledge Interactive Proofs of Pos
session of Information,"FOCS,pp472−482(1987)や
岡本,太田,“零知識証明問題の不正使用法とその対策
及び応用について”(1988年暗号と情報セキュリティシ
ンポジウムワークショップ)に示されている。
可能な認証方法について説明した。拡張Fiat−Shamir法
は、Nの素因数分解が困難な場合に(mod N)でL乗根
の計算が困難なことに基づいている。離散対数問題等の
困難性を利用した認証法をベースにしても、同様の議論
が成り立つ。離散対数問題等に基づく認証法について
は、例えばM.Tompa & H.Woll,“Random Self−Reducib
ility and Zero Knowledge Interactive Proofs of Pos
session of Information,"FOCS,pp472−482(1987)や
岡本,太田,“零知識証明問題の不正使用法とその対策
及び応用について”(1988年暗号と情報セキュリティシ
ンポジウムワークショップ)に示されている。
「発明の効果」 この発明では、拡張Fiat−Shamir法をベースにしたの
で、秘密情報保持のためのメモリ量を削減でき、通信効
率を向上でき、かつ高速な認証処理を実現できる。
で、秘密情報保持のためのメモリ量を削減でき、通信効
率を向上でき、かつ高速な認証処理を実現できる。
また、被検証者装置200が問い合わせ文の対応関係と
応答文の対応関係を秘密の乱数で与えておりその値を秘
密にすると、証明者装置100−被検証者装置200間と被検
証者装置200−検証者装置300間で通信されるデータの対
応関係を隠すことができる。すなわち、利用者の認証処
理においては、証明者装置100が被検証者装置200の身元
を保障していることを、被検証者装置200の身元を明か
さずに、検証者装置300に証明できる。メッセージの認
証処理においては、被検証者装置200はメッセージmの
内容を知られることなしに証明者装置100に署名させる
ことができる。その結果として、証明者装置100と検証
者装置300が結託しても被検証者装置200の身元は明らか
とならず、被検証者装置200がmを送信したことも検出
できない。すなわち、追跡不可能な認証処理を実現でき
る。
応答文の対応関係を秘密の乱数で与えておりその値を秘
密にすると、証明者装置100−被検証者装置200間と被検
証者装置200−検証者装置300間で通信されるデータの対
応関係を隠すことができる。すなわち、利用者の認証処
理においては、証明者装置100が被検証者装置200の身元
を保障していることを、被検証者装置200の身元を明か
さずに、検証者装置300に証明できる。メッセージの認
証処理においては、被検証者装置200はメッセージmの
内容を知られることなしに証明者装置100に署名させる
ことができる。その結果として、証明者装置100と検証
者装置300が結託しても被検証者装置200の身元は明らか
とならず、被検証者装置200がmを送信したことも検出
できない。すなわち、追跡不可能な認証処理を実現でき
る。
証明者装置100と検証者装置300が結託しても、被認証
者が誰であるかを判断したり、メッセージmの送信者が
誰であるかを判断したりできないことは、この発明の方
式が計算理論の理論的な研究成果である零知識対話型証
明システム性は非転移性をみたすことによって保障でき
る。
者が誰であるかを判断したり、メッセージmの送信者が
誰であるかを判断したりできないことは、この発明の方
式が計算理論の理論的な研究成果である零知識対話型証
明システム性は非転移性をみたすことによって保障でき
る。
零知識対話型証明システム性および非転移性について
は、零えばFeige,U.,Fiat,A.and Shamir,A.“Zero know
ledge Proofs of Identity"Proceedings of the 19th A
nnual ACM Symposium on Theory of Computing,1987,p
p.210−217.を参照。
は、零えばFeige,U.,Fiat,A.and Shamir,A.“Zero know
ledge Proofs of Identity"Proceedings of the 19th A
nnual ACM Symposium on Theory of Computing,1987,p
p.210−217.を参照。
第1図はこの発明の実施例の交信例を示す図、第2図は
証明者装置100のブロック図、第3図は利用者の認証方
法における被検証者装置200のブロック図、第4図は利
用者の認証方法における検証者装置300のブロック図、
第5図はメッセージの認証方法における被検証者装置20
0のブロック図、第6図はメッセージの認証方法におけ
る検証者装置300のブロック図である。
証明者装置100のブロック図、第3図は利用者の認証方
法における被検証者装置200のブロック図、第4図は利
用者の認証方法における検証者装置300のブロック図、
第5図はメッセージの認証方法における被検証者装置20
0のブロック図、第6図はメッセージの認証方法におけ
る検証者装置300のブロック図である。
Claims (8)
- 【請求項1】証明者Aの装置(以下証明者装置と記す)
と、被検証者Bの装置(以下被検証者装置と記す)とが
相互に通信でき、被検証者装置と検証者Cの装置(以下
検証者装置と記す)とが相互に通信できるようにシステ
ムが構成され、通信相手の身元を確認する利用者の認証
方法において、 証明者装置に初期応答文発生器と証明器を備え、 被検証者装置に乱数発生器、初期応答文撹乱器、問い合
わせ文撹乱器と乱数成分除去器を備え、検証者装置に検
査器を備え、 証明者装置は、初期応答文発生器を用いて生成した初期
応答文x′を個人識別情報IDと共に被検証者装置に送信
し、また個人識別情報IDを検証者装置へ送信し、 被検証者装置は、証明者装置から受信した初期応答文
x′と乱数発生器を用いて生成した乱数成分とを初期応
答文撹乱器に入力して初期応答文x″を作成して検証者
装置に送信し、 検証者装置は、被検証者装置に問い合わせ文βを送信
し、 被検証者装置は、検証者装置から受信した問い合わせ文
βと先に生成した乱数成分を問い合わせ文撹乱器に入力
して問い合わせ文β′を作成して証明者装置に送信し、 証明者装置は、初期応答文x′と問い合わせ文β′に対
応した応答文zを、IDに対した関係式sLmod N=f(I
D)をみたす秘密情報sを用いて動作する証明器を用い
て生成して被検証者装置に送り返し(ここで、整数N、
整数Lと関数fは公開情報)、 被検証者装置は応答文zとIDと先に生成した乱数成分と
問い合わせ文βを乱数成分除去器に入力して乱数成分の
影響を取り除いて応答文z′を求め、その値を検証者装
置に送信し、 検証者装置は応答文z′とIDを検査器に入力してz′が
先に受信した初期応答文x″先に送信した問い合わせ文
βに対する正しい応答になっていることを検査して、 被検証者Bが乱数成分を秘密にすることで、被検証者装
置と証明者装置間で通信されるx′,β′,zと、検証者
装置と被検証者装置間で通信されるx″,β,z′の対応
関係を秘密にできることを特徴とする利用者の認証方
法。 - 【請求項2】請求項(1)に記載の手順を繰り返して、
安全性を向上する利用者の認証方法。 - 【請求項3】証明者Aの装置(以下証明者装置と記す)
と、被検証者Bの装置(以下被検証装置と記す)とが相
互に通信でき、被検証者装置と検証者Cの装置(以下検
証者装置と記す)とが相互に通信できるようにシステム
が構成され、通信文の正当性を確認するメッセージの認
証方法において、 証明者装置に初期応答文発生器と証明器を備え、被検証
者装置に乱数発生器,初期応答文撹乱器,問い合わせ文
発生器と乱数成分除去器を備え、検証者装置に検査器を
備え、 証明者装置は、初期応答文発生器を用いて生成した初期
応答文x′を個人識別情報IDと共に被検証者装置に送信
し、また個人識別情報IDを検証者装置へ送信し、 被検証者装置は、証明者装置から受信した初期応答文
x′とIDと乱数発生器を用いて生成した乱数成分とを初
期応答文撹乱器に入力して初期応答文x″を作成し、そ
の初期応答文x″と署名対象のメッセージmを問い合わ
せ文発生器に入力して問い合わせ文βとβ′を作成して
β′を証明者装置に送信し、 証明者装置は、先に送信した初期応答文x′と受信した
問い合わせ文β′に対応した応答文zを、IDに対した関
係式sLmod N=f(ID)をみたす秘密情報sを用いて動
作する証明器を用いて生成して被検証者装置に送り返し
(ここで、整数N,整数Lと関数fは公開情報)、 被検証者装置は応答分zとIDと先に生成した乱数成分と
問い合わせ分β′を乱数成分除去器に入力して乱数成分
の影響を取り除いてメッセージmに対応した値z′を求
め、z′をm,βと共に検証者装置に送信し、 検証者装置はz′とメッセージmと問い合わせ文βとID
を検査器に入力してβとz′がmに対する正しい署名に
なっていることを検査して、 被検証者Bが乱数成分を秘密にすることで、被検証者装
置と証明者装置間で通信されるx′,β′,zと、検証者
装置と被検証者装置間で通信されるm,β,z′の対応関係
を秘密にできることを特徴とするメッセージの認証方
法。 - 【請求項4】通信相手の身元又はメッセージの認証に用
いる証明者の装置であって、 公開情報の整数N,L、個人識別情報IDを格納する記憶手
段と、 初期応答文x′を生成する初期応答文発生手段と、 sLmod N=f(ID)をみたす秘密情報(f:公開関数)
と、上記初期応答文x′と、被検証者装置から受信した
問い合わせ文β′とを用いて応答文zを生成する証明手
段と、 上記初期応答文x′及び個人識別情報IDを上記被検証者
装置へ送信し、上記個人識別情報IDを検証者装置へ送信
する送信手段と、 上記被検証者装置から上記問い合わせ文β′を受信する
受信手段と を具備する証明者装置。 - 【請求項5】通信相手の身元を確認する利用者認証の被
検証者の装置であって、 乱数を生成する乱数発生手段と、 証明者装置から受信した初期応答文x′と、上記乱数を
用いて初期応答文x″を作成する初期応答文撹乱手段
と、 検証者装置から受信した問い合わせ文βと、上記乱数を
用いて問い合わせ文β′を作成する問い合わせ文撹乱手
段と、 上記証明者装置から受信した応答文zおよび個人識別情
報IDと、上記乱数と、上記問い合わせ文βを入力して乱
数成分の影響を取り除いた応答文z′を作る乱数成分除
去手段と、 上記初期応答文x″、上記応答文z′を上記検証者装置
へ送信し、上記問い合わせ文β′を上記証明者装置へ送
信する送信手段と、 上記初期応答文x′、上記ID、上記応答文zを上記証明
者装置より受信し、上記問い合わせ文βを上記検証者装
置から受信する受信手段と を具備する被検証者装置。 - 【請求項6】通信相手の身元を確認する利用者認証の検
証者の装置であって、 問い合わせ文βを生成する問い合わせ文生成手段と、 被検証者装置より受信した初期応答文x″と応答文z′
と、証明者装置より受信した個人識別情報IDとが入力さ
れ、上記問い合わせ文βに対し、z′が正しい応答か否
かを検査する検査手段と、 上記問い合わせ文βを上記被検証者装置へ送信する送信
手段と、 上記IDを証明者装置から受信し、上記初期応答文x″、
上記応答文z′を被検証者装置から受信する受信手段と を具備する検証者装置。 - 【請求項7】通信文の正当性を確認するメッセージ認証
における被検証者装置であって、 乱数を生成する乱数発生手段と、 証明者装置から受信した初期応答文x′と証明者の個人
識別情報IDと上記乱数とが入力されて初期応答文x″を
作成する初期応答文撹乱手段と、 上記初期応答文x″と、認証対象メッセージmが入力さ
れ、問い合わせ文βとβ′を作成する問い合わせ文発生
手段と、 上記証明者装置よりの応答文zと上記IDと、上記乱数
と、上記問い合わせ文βが入力され、乱数成分の影響が
取り除かれたメッセージmに対応した値z′を生成する
乱数成分除去手段と、 上記問い合わせ文β′を上記証明者装置へ、上記値
z′,m,βを検証者装置へそれぞれ送信する送信手段
と、 上記証明者装置から初期応答文x′、上記ID、応答文z
を受信する受信手段と を具備する被検証者装置。 - 【請求項8】通信文の正当性を確認するメッセージ認証
における検証者の装置であって、 被検証者装置から受信したメッセージmと、これに対し
た値z′と問い合わせ文βと、証明者装置から受信した
個人識別情報IDとが入力され、βとz′がmに対する正
しい署名になっていることを検査する検査手段と、 上記m,z′,βを上記被検証者装置から受信し、上記ID
を上記証明者装置から受信する受信手段と を具備する検証者装置。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP8727189A JP2805493B2 (ja) | 1989-04-05 | 1989-04-05 | 認証方法及びそれに用いる装置 |
| US07/367,650 US4969189A (en) | 1988-06-25 | 1989-06-19 | Authentication system and apparatus therefor |
| EP89111318A EP0348812B1 (en) | 1988-06-25 | 1989-06-21 | Authentication method and apparatus therefor |
| CA000603463A CA1322600C (en) | 1988-06-25 | 1989-06-21 | Authentication system and apparatus therefor |
| DE68919923T DE68919923T2 (de) | 1988-06-25 | 1989-06-21 | Verfahren und Vorrichtung zur Authentifizierung. |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP8727189A JP2805493B2 (ja) | 1989-04-05 | 1989-04-05 | 認証方法及びそれに用いる装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH02266464A JPH02266464A (ja) | 1990-10-31 |
| JP2805493B2 true JP2805493B2 (ja) | 1998-09-30 |
Family
ID=13910101
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP8727189A Expired - Lifetime JP2805493B2 (ja) | 1988-06-25 | 1989-04-05 | 認証方法及びそれに用いる装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2805493B2 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2671649B2 (ja) * | 1991-07-08 | 1997-10-29 | 三菱電機株式会社 | 認証方式 |
| WO1995024708A1 (fr) * | 1994-03-07 | 1995-09-14 | Nippon Telegraph And Telephone Corporation | Procede et systeme d'emission d'informations a protocole d'authentification a base de connaissances nulles |
| JP5790288B2 (ja) * | 2011-08-12 | 2015-10-07 | ソニー株式会社 | 情報処理装置、及び情報処理方法 |
| JP2013042317A (ja) * | 2011-08-12 | 2013-02-28 | Sony Corp | 情報処理装置、及び情報処理方法 |
| JP5790290B2 (ja) * | 2011-08-12 | 2015-10-07 | ソニー株式会社 | 情報処理装置、情報処理方法、プログラム、及びプログラムを記録したコンピュータ読み取り可能な記録媒体 |
| JP5790318B2 (ja) | 2011-08-29 | 2015-10-07 | ソニー株式会社 | 情報処理装置、署名生成装置、情報処理方法、署名生成方法、及びプログラム |
| JP2013047726A (ja) * | 2011-08-29 | 2013-03-07 | Sony Corp | 情報処理装置、署名生成装置、署名検証装置、情報処理方法、署名生成方法、及び署名検証方法 |
-
1989
- 1989-04-05 JP JP8727189A patent/JP2805493B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JPH02266464A (ja) | 1990-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US4969189A (en) | Authentication system and apparatus therefor | |
| US5511121A (en) | Efficient electronic money | |
| US5955717A (en) | Transaction verification protocol for Smart Cards | |
| US4977595A (en) | Method and apparatus for implementing electronic cash | |
| US6299062B1 (en) | Electronic cash system based on a blind certificate | |
| EP0755136B1 (en) | Method and apparatus for implementing traceable electronic cash | |
| JP2024073505A (ja) | 即時オフラインのブロックチェイントランザクションのセキュリティを高めるのに適しているコンピュータにより実装されるシステム及び方法 | |
| EP1205889A1 (en) | Returning of change in an electronic payment system | |
| Hwang et al. | A simple micro-payment scheme | |
| KR20170114905A (ko) | Id 기반 공개 키 암호화를 이용한 전자 지불 방법 및 전자 디바이스 | |
| Jacobson et al. | Mix-based electronic payments | |
| US6636969B1 (en) | Digital signatures having revokable anonymity and improved traceability | |
| JP2805493B2 (ja) | 認証方法及びそれに用いる装置 | |
| Wang et al. | Building a consumer scalable anonymity payment protocol for Internet purchases | |
| JPH0752460B2 (ja) | 電子現金実施方法及びその装置 | |
| JP2805494B2 (ja) | 認証方法及びそれに用いる装置 | |
| JP3171227B2 (ja) | 信託機関付き電子紙幣実施方法 | |
| JP2571607B2 (ja) | 認証方式 | |
| JP3171228B2 (ja) | 複数信託機関を利用した電子紙幣実施方法 | |
| Luo et al. | An e-cash Scheme with Multiple Denominations and Transferability | |
| JP3435677B2 (ja) | 追跡可能な電子現金実施方法及びその装置 | |
| EP3792857A1 (en) | Efficient partially spendable e-cash | |
| Lee et al. | Smart card based off-line micropayment framework using mutual authentication scheme | |
| Zhang et al. | An anonymous digital cash and fair payment protocol utilizing smart card in mobile environments | |
| Lin et al. | A practical electronic payment system for message delivery service in the mobile environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20070724 Year of fee payment: 9 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080724 Year of fee payment: 10 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080724 Year of fee payment: 10 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090724 Year of fee payment: 11 |
|
| EXPY | Cancellation because of completion of term | ||
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090724 Year of fee payment: 11 |