JPH10153956A - 電子署名方法、電子署名システム及び、記録媒体 - Google Patents

電子署名方法、電子署名システム及び、記録媒体

Info

Publication number
JPH10153956A
JPH10153956A JP9261762A JP26176297A JPH10153956A JP H10153956 A JPH10153956 A JP H10153956A JP 9261762 A JP9261762 A JP 9261762A JP 26176297 A JP26176297 A JP 26176297A JP H10153956 A JPH10153956 A JP H10153956A
Authority
JP
Japan
Prior art keywords
data
signature
integer
point
elliptic curve
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP9261762A
Other languages
English (en)
Inventor
Atsushi Shinpo
淳 新保
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP9261762A priority Critical patent/JPH10153956A/ja
Publication of JPH10153956A publication Critical patent/JPH10153956A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】様々な運用形態を考慮した多重署名システムを
容易に構成できる電子署名方法を提供する。 【解決手段】有限体Fq上の楕円曲線E/Fqと、その
上の基点Gとを含むシステム情報と、楕円曲線E/Fq
上の点で定義される署名者の公開鍵Yと、公開鍵Y=x
・Gを満たすように作成された署名者の秘密鍵xとを用
いて、任意に生成された乱数kと楕円曲線E/Fq上の
基点Gとに依存する点Rの少なくとも一部のデータと、
文書データMと秘密鍵xと乱数kとに依存する整数sと
を含む署名データを生成し、文書データMのみに依存す
る整数mと、点Rに依存する整数rと、署名データであ
る点Rの少なくとも一部のデータ及び整数sと、システ
ム情報と、署名者の公開鍵Yが与えられたときに、±s
・G=±m・Y±r・R over E/Fqで定義される関
係式を用いて署名検査を行なう工程を具備する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、電子的な文書に対
する署名、捺印機能を実現する電子署名方法及び、この
電子署名方法を用いて構成した電子署名システム、さら
に、前記電子署名方法に関するプログラムが格納された
記録媒体に関する。
【0002】
【従来の技術】電子署名(ディジタル署名)の作成法と
して様々な方式が考案されている。この中で代表的なも
のは素因数分解問題の困難性に基づく方式と離散対数問
題の困難性に基づく方式である。このうち離散対数問題
に基づく方式は、一般的な有限体上の乗法群を利用する
方式と楕円曲線上の加法群を利用する方式が存在する。
楕円曲線上の加法群における離散対数問題は有限体上の
乗法群における離散対数問題や素因数分解問題に比べ、
効率的な解法が発見されておらず、より安全性が高いと
いわれている。
【0003】従って、同じ安全性を確保してディジタル
署名や公開鍵暗号方式を構成する場合、楕円曲線上の離
散対数問題をベースに構築したシステムは他の問題をベ
ースにした場合と比べてパラメータのサイズを小さく設
定することが可能であり、このことが処理量の削減にも
つながるという効果があることが知られている。
【0004】有限体Fq上の楕円曲線E/Fqは、有限
体Fqの標数が2もしくは3以外の場合、次式(1)中
のパラメータa,bと有限体Fqで定義される。楕円曲
線E/Fqは標数が2もしくは3の場合にも定義可能で
あるがここでは省略する。
【0005】 y^2=x^3+ax+b(但しa,b,x,yは有限体Fqの元) (1) ここで、y^2はyの2乗を表し、x^3はxの3乗を
表すものとする。以下、x^aでxのa乗を表す。
【0006】楕円曲線E/Fqの元は式(1)を満たす
(x,y)のペア(これを楕円曲線上の点と呼ぶ)と、
無限遠点Oとから成る。無限遠点Oは有限体Fqの元の
ペア(x,y)という形式では表現できないが、実装上
は無限遠点を表す1ビットのフラグを用意すれば良い。
この楕円曲線上の点の集合は加算に関して群を構成する
ことが知られている。この加算に関して無限遠点Oは単
位元になる。
【0007】楕円曲線E/Fqのより詳細な説明や加算
の定義などは例えばKoblitz,“A Course in Number The
ory and Cryptography”,Springer-Verlag にある。以
下では特に断らない限り大文字で楕円曲線上の点(すな
わち、有限体Fqの元のペアもしくは無限遠点)を表
し、小文字では有限体Fqの元もしくは自然数を表すこ
ととする。なお、有限体Fqはq=p^t(但しpは素
数、tは正整数)個の元から成り、例えば、素体Zp
(0からp−1までの整数で構成される)や2の拡大体
GF(2^t)が典型的である。
【0008】楕円曲線上のディジタル署名方式の代表的
な方式に楕円曲線上のElGamal 署名がある。この方式で
は、公開鍵として楕円曲線を定義する有限体Fq,a,
b、基点G、基点Gの位数zを用いる。但し、基点Gの
位数zとは、z・G=O over E/Fqを満たす最小の
正整数を表す。
【0009】署名作成者の秘密鍵は位数zと互いに素で
z未満の整数xであり、署名作成者の公開鍵は以下の点
Yである。 Y=x・G over E/Fq 文書データMのみに依存する整数m(これは一般にディ
ジタルビット列で表現した文書データMを暗号的なハッ
シュ関数により計算したダイジェスト情報である)に対
するディジタル署名は以下の手順により作成される。ま
ず、位数zと互いに素でz未満の自然数である乱数kを
決定し、このkから次式のRを求める。
【0010】R=k・G over E/Fq 次に、楕円曲線上の点データをZz(z−1以下の自然
数)の中へ変換する関数fを用いて、以下のrを求め
る。例えば、ハッシュ関数を用いれば良い。
【0011】r=f(R) さらに、以下のsを求める。 s=(m−x・r)/k(mod z) 署名データは(R,s)のペアである。署名の検査は、
m,R,sが次式を満たすことを検査することによって
行われる。
【0012】r=f(R) m・G=r・Y+s・R over E/Fq ElGamal 署名方式(ElGamal signature scheme) は、
“T.ElGamal,“A public key cryptosystem and a sign
ature scheme based on discrete logarithms”,IEEE T
rans. IT, Vol.IT-31, No.4, July 1985, pp.469-472
”に詳細に記載されている。
【0013】以上の電子署名方式により一般の電子文書
に対する捺印機能を実現することができるが、さらに、
電子的な回覧文書に対する複数の署名者(signer)による
捺印機能も要望される。このような機能は複数の署名者
による同一の文書に対する署名データを連結することで
構成できる。しかし、このような構成では署名者数に比
例して署名データ量と署名検査の処理量が増加する欠点
がある。単純に個別の署名を連結する場合に比べて、署
名データサイズの増加が少なく抑えられる方式、あるい
は、署名検査の処理量が抑えられる方式が考案されてお
り、これらは多重署名法と呼ばれている。
【0014】
【発明が解決しようとする課題】しかしながら、上記し
た多重署名法は、楕円曲線上の離散対数問題の困難性に
基づくElGamal 署名方式を用いたものではなかった。本
発明はこのような課題に着目してなされたものであり、
その目的とするところは、様々な運用形態を考慮した多
重署名システムを容易に構成できる楕円曲線を利用した
電子署名方法、及びこの電子署名方法を用いて構成した
電子署名システム、さらには前記電子署名方法に関する
プログラムが格納された記録媒体を提供することにあ
る。
【0015】
【課題を解決するための手段】上記の目的を達成するた
めに、本発明の電子署名方法は、文書データMに対する
電子署名データを作成し、この電子署名データに基づい
て署名検査を行なう電子署名方法であって、有限体Fq
上の楕円曲線E/Fqと、この楕円曲線E/Fq上の基
点Gとを含むシステム情報と、前記楕円曲線E/Fq上
の点で定義される署名者の公開鍵Yと、この公開鍵Y=
x・Gを満たすように作成された署名者の秘密鍵xとを
用いて、任意に生成された乱数kと前記楕円曲線E/F
q上の基点Gとに依存する楕円曲線E/Fq上の点Rの
少なくとも一部のデータと、前記文書データMと秘密鍵
xと乱数kとに依存する整数sとを含む署名データを生
成する署名データ生成工程と、前記文書データMのみに
依存する整数mと、前記楕円曲線E/Fq上の点R及び
前記文書データMのうち少なくとも点Rに依存する整数
rと、前記署名データである点Rの少なくとも一部のデ
ータ及び整数sと、前記システム情報と、前記署名者の
公開鍵Yが与えられたときに、±s・G=±m・Y±r
・R over E/Fq(+、−の符号は所定の条件により
決定)で定義される関係式またはこの関係式と等価な関
係式を署名検査式として用いて署名検査を行なう署名検
査工程とを具備する。
【0016】また、本発明の電子署名システムは、文書
データMに対する電子署名データを作成する署名データ
作成装置と、前記電子署名データに基づいて署名検査を
行なう署名検査装置とから構成される電子署名システム
であって、前記署名データ作成装置は、有限体Fq上の
楕円曲線E/Fqと、この楕円曲線E/Fq上の基点G
とを含むシステム情報と、前記楕円曲線E/Fq上の点
で定義される署名者の公開鍵Yと、この公開鍵Y=x・
Gを満たすように作成された署名者の秘密鍵xとを用い
て、任意に生成された乱数kと前記楕円曲線E/Fq上
の基点Gとに依存する楕円曲線E/Fq上の点Rの少な
くとも一部のデータと、前記文書データMと秘密鍵xと
乱数kとに依存する整数sとを含む署名データを生成す
る手段を含み、前記署名検査装置は、前記文書データM
のみに依存する整数mと、前記楕円曲線E/Fq上の点
R及び前記文書データMのうち少なくとも点Rに依存す
る整数rと、前記署名データである点Rの少なくとも一
部のデータ及び整数sと、前記システム情報と、前記署
名者の公開鍵Yが与えられたときに、前記整数sと前記
楕円曲線E/Fq上の基点Gとの積からなる第1の項s
・Gと、前記整数mと前記公開鍵Yとの積からなる第2
の項m・Yと、前記整数rと前記楕円曲線E/Fq上の
点Rとの積からなる第3の項r・Rとの間の特定の演算
により定義される関係式またはこの関係式と等価な関係
式を署名検査式として用いて署名検査を行なう手段を含
む。
【0017】また、本発明の記録媒体は、文書データM
に対する電子署名データを作成する処理と、作成された
電子署名データに基づいて署名検査を行なう処理とをコ
ンピュータに実行させる命令を含むプログラムを格納し
た、コンピュータが読み取り可能な記録媒体であって、
前記電子署名データを作成する処理は、有限体Fq上の
楕円曲線E/Fqと、この楕円曲線E/Fq上の基点G
とを含むシステム情報と、前記楕円曲線E/Fq上の点
で定義される署名者の公開鍵Yと、この公開鍵Y=x・
Gを満たすように作成された署名者の秘密鍵xとを用い
て、任意に生成された乱数kと前記楕円曲線E/Fq上
の基点Gとに依存する楕円曲線E/Fq上の点Rの少な
くとも一部のデータと、前記文書データMと秘密鍵xと
乱数kとに依存する整数sとを含む署名データを生成
し、前記署名検査を行なう処理は、前記文書データMの
みに依存する整数mと、前記楕円曲線E/Fq上の点R
及び前記文書データMのうち少なくとも点Rに依存する
整数rと、前記署名データである点Rの少なくとも一部
のデータ及び整数sと、前記システム情報と、前記署名
者の公開鍵Yが与えられたときに、前記整数sと前記楕
円曲線E/Fq上の基点Gとの積からなる第1の項s・
Gと、前記整数mと前記公開鍵Yとの積からなる第2の
項m・Yと、前記整数rと前記楕円曲線E/Fq上の点
Rとの積からなる第3の項r・Rとの間の特定の演算に
より定義される関係式またはこの関係式と等価な関係式
を署名検査式として用いて署名検査を行なう。
【0018】
【発明の実施の形態】まず、本実施形態の概略を説明す
る。第1の概略に係る電子署名方式は、楕円曲線上のEl
Gamal 署名方式を変形した電子署名方式であり、従来の
楕円曲線上のElGamal 署名方式との相違点は、署名検査
式における文書データMと、署名データsと、乱数から
生成された署名データR及び文書データMのうち少なく
とも署名データRに依存する整数rの各々を互いに所定
の規則に基づいて置き換えたことにある。各署名者の秘
密鍵が作用したsがs=m・x+r・k(mod z)とい
う形式で作成されるので、秘密鍵xが複数になっても、
多重署名の場合は文書データMが共通なので、複数の秘
密鍵xが加算によりまとめられる。このことにより、同
方式の多重署名方式への拡張が容易になるという利点が
得られる。
【0019】なお、r・kは秘密鍵xが複数になっても
影響を受けない項であるから、整数rは乱数から生成さ
れた点Rのみに依存させる構成以外に、点Rと文書デー
タMの両方に依存させる構成でもよく、その方が安全性
の向上が期待できる。
【0020】このように楕円曲線上のElGamal 署名方式
を変形しても公開鍵Yに対応する秘密鍵xを保持する署
名者は検査式を満たす署名データR,sを作成できる。
一方、秘密鍵xを保持しない場合に署名データR,sを
求めるには、楕円曲線上の離散対数問題を求める以外の
方法は考案されていない。従って、電子署名方式として
有効である。
【0021】次に第2の概略を説明する。第2の概略で
は、第1の概略における電子署名方式を多重署名方式と
して適用する。複数の署名者がそれぞれ乱数kを作成
し、各々の乱数kに依存した楕円曲線上の点Rを最初に
データを一巡させることで作成する。その後、各々の署
名者が自身の作成した乱数kと秘密鍵xから部分署名s
を作成し、これを巡回する。
【0022】部分署名sの巡回においては、それ以前の
署名者による部分署名に各自の部分署名を融合させる。
こうして最後の署名者の処理により多重署名データR,
sが作成される。
【0023】署名検査における検査式は第1の概略にお
ける検査式の公開鍵Yを複数の署名作成者の個々の公開
鍵Yi の和に置き換えたものである。秘密鍵xi が一つ
でも関与しない場合には、検査式を満たすR,sは得ら
れない。従って、複数の署名者による電子署名方式とし
て有効である。
【0024】次に第3の概略を説明する。第3の概略で
は、第1の概略における電子署名方式を逐次型(一巡
型)の多重署名方式に適用する。複数の署名者がそれぞ
れ乱数kを作成し、この乱数kに依存した楕円曲線上の
点Rを作成する。各署名者は、前の署名者から得た部分
署名sに自分の秘密鍵xと点Rの生成に利用した乱数k
を融合させて、新たな部分署名sを作成し、これを次の
署名者に送る。この部分署名sと同時に、独立に生成し
た点を署名データの一部として追加していく。こうして
最後の署名者の処理により多重署名データs,R1 ,R
2 ,…,Rn が作成される。
【0025】署名検査における検査式は第1の概略にお
ける検査式の公開鍵Yを複数の署名作成者の個々の公開
鍵Yi の和に置き換え、さらに点Rの項を個々の署名者
によるri ・Ri の和に置き換えたものを用いる。
【0026】以下に、図面を参照して上記した概略を詳
細に説明する。図1は本発明の第1実施形態に係る電子
署名システムの基本構成を示す図である。図1に示すよ
うに、本システムはセンタ10と利用者に対応する複数
の局(entities)11、12、13(U1 、U2 、…、U
i )から成る通信ネットワーク14により構成される。
センタ10は公開情報として、楕円曲線E/Fqのパラ
メータを生成して公開する。また、楕円曲線E/Fq上
の基点Gとその位数zを求めて公開する。
【0027】さらに、関数fと関数hを公開する。これ
らは暗号的なハッシュ関数であり、任意のサイズの入力
に対し、そのダイジェスト情報として160bit 程度の
固定長の整数を出力する。具体例は、SHAやMD5、
RIPE−MDなどである。また、関数fとhは共通で
も良い。
【0028】各局Ui はz−1以下の自然数である乱数
i を定め、このxi を局秘密鍵とする。さらに、局公
開鍵Yi を次式により定める。 Yi =xi ・G over E/Fq 局Ui は局公開鍵Yi をセンタ10に送り、センタ10
は公開鍵リストの局Ui のエリアにYi を登録する。公
開鍵リストの書き換えはセンタ10のみが実行でき、同
リストの読み出しは任意の局が実行できる。なお、局U
i のID情報(識別情報)をIi とする。
【0029】図2Aは、局Ui が文書データMに対する
ディジタル署名を作成する手順である。 <局Ui の手順> 1:乱数k(1<k<z−1)を定める。…(ステップ
101) 2:R=k・G over E/Fqを計算する。…(ステッ
プ102) 3:r=f(R)を計算する。…(ステップ103) 4:m=h(M)を計算する。…(ステップ104) 5:m,rと秘密鍵xi からs=xi ・m+k・r mod
zを計算する。
【0030】…(ステップ105) 以上により作成されたRとsが局Ui の文書データMに
対するディジタル署名となる。
【0031】この署名作成手続きにおけるステップ10
1から103は、文書データMに依存しないため、ディ
ジタル署名作成の要求が生じる前に計算し、(k,R,
r)を幾つか蓄積しておくことができる。このようにす
ると、署名作成要求時の処理はステップ104,105
のみとなり、処理時間面で有効である。
【0032】次に図2Bを参照しながら、本ディジタル
署名の検査手順を説明する。 <署名検査手順> 1:公開リストから局Ui の公開鍵Yi を取り出す。
【0033】…(ステップ106) 2:r=f(R)を計算する。…(ステップ107) 3:m=h(M)を計算する。…(ステップ108) 4:r.s,m,Yi が次式の関係を満たすことを確認
する。
【0034】…(ステップ109) s・G=m・Yi +r・R over E/Fq この関係が成立する場合には、(R,s)は局Ui の文
書データMに対するディジタル署名であるものと判定す
る。
【0035】ステップ101から105の手順により生
成された(R,s)がステップ109の検査式を満足す
ることは明らかである。逆に文書データMが与えられた
状態で、Yi の離散対数xi を持たない局がステップ1
09の検査式を満たす(R,s)の組を求めることは楕
円曲線上の離散対数問題を求めることと同程度に困難で
あると考えられる。例えば、最初にRを定めるとs・G
= const over E/Fqなるsを求めることになり、こ
れは離散対数問題に他ならない。一方、sを先に定める
とr・R= const over E/FqなるRを求めることに
なり、この解法も一般に知られていない。
【0036】なお、本実施形態のディジタル署名方法で
用いられる署名検査式の変形には様々なものが考えられ
るが、以下に代表的なものを示す。これらは本質的に同
じ検査を実行していることに注意されたい。
【0037】まず、ステップ109の検査式は、 s・G−m・Yi −r・R=O over E/Fq, −s・G+m・Yi +r・R=O over E/Fq などを検査することと等価であることは検査式における
左辺もしくは右辺の項を移項することから明らかであ
る。さらに、 (s/r)・G−(m/r)・Yi =R over E/Fq, …(2) (s/m)・G−(r/m)・R=Yi over E/Fq, (m/s)・Yi +(r/s)・R=G over E/Fq などを検査することと等価であることは、検査式におけ
る左辺もしくは右辺の項の移項とs,m,rのFqにお
ける逆数を両辺に掛けることから明らかである。
【0038】また、検査式におけるs・G,m・Yi
r・Rの3項の符号を変えること(すなわち、+を−に
したり、その逆、具体的には±s・G=±m・Yi ±r
・R=O over E/Fqでもよく、+、−の符号は以下
の説明の通り、署名生成過程におけるステップにより決
定される)も署名生成課程におけるステップ105の
s,xi ・m,k・rの符号を変えることに相当するた
め、検査式における3項の符号を変えた署名方式は本質
的に本実施形態の方式と同値であることにも注意された
い。
【0039】なお、本発明の署名方式において、f
(R)の代わりにf(R,M)を用いてもよい。f
(R,M)は署名者がランダムに決定した、楕円曲線上
の点Rのデータと文書データMの両方に依存したハッシ
ュ値を表している。具体的にはRとMとを連結してハッ
シュする、Rのデータを鍵として鍵付きハッシュ(Keye
d hash) 法を利用するなどである。
【0040】変形手順ではステップ103とステップ1
07がr=f(R,M)に変更される。一般にはこのよ
うに変形した手順の方が、RとMからrが作成されたこ
とが保証されるために安全性が向上する。
【0041】本実施形態の特徴は、署名者が署名作成毎
に生成する乱数と基点Gに依存した項r・Rと署名者の
公開鍵Yi と署名対象である文書データMのみに依存し
た項m・Yi と署名者の秘密鍵xi が作用したsにより
基点Gを加算する回数を変化させた項s・Gの3つの項
の加算が無限遠点に一致するかどうかを判定することに
ある。
【0042】このうち式(2)を検査式とする場合に
は、署名データサイズの削減が可能である。以下にその
具体的な手順を示す。局Ui が文書データMに対するデ
ィジタル署名を作成する手順は基本的に先の手順と同じ
であるが、ステップ107におけるrが位数zと互いに
素であるかどうかを確認する。もし、互いに素でない場
合には、ステップ101に戻り別の乱数kを生成する。
最終的に出力されるディジタル署名のデータはrとsで
あり点Rの代わりにrを用いる。このことにより署名デ
ータサイズが約2/3にできる。
【0043】次に上記した検査手順を変形したディジタ
ル署名の検査手順を図3を参照して説明する。 <署名検査手順> 1:公開リストから局Ui の公開鍵Yi を取り出す。
【0044】…(ステップ1101) 2:m=h(M)を計算する。…(ステップ1102) 3:1/r(modZ)を計算する。…(ステップ11
03) 4:次式の点Rを計算する。…(ステップ1104) R=(s/r)・G−(m/r)・Yi over E/Fq 5:点Rと署名データのrが次式の関係を満たすことを
確認する。
【0045】…(ステップ1105) r=f(R) この関係が成立する場合には、(r,s)は局Ui の文
書データMに対するディジタル署名であるものと判定す
る。
【0046】次に、図1に示したディジタル署名を多重
署名に適用した第2実施形態の電子署名方法を説明す
る。図4A、4Bは多重署名における情報の流れを表
し、図5A、5Bは各局の処理手順を表す。
【0047】ここでは、局U1 ,U2 ,…Un のn局が
文書データMに多重署名する場合を想定する。多重署名
の作成は図4AのRn の作成ラウンドと、図4Bのsn
の作成ラウンドの2回の巡回操作から成る。図5AはR
n の作成ラウンドにおける局Ui の処理手順、図5Bは
n の作成ラウンドにおける局Ui の処理手順をそれぞ
れ示す。 (1)Rn の作成ラウンド <局Ui の手順>(i=1,2,…,n) 1:乱数ki (1<ki <z−1)を作成する。…(ス
テップ301) 2:局U(i-1) から受信した情報R(i-1) と乱数ki
から次式のRi を作成する。
【0048】Ri =R(i-1) +ki ・G over E/Fq
…(ステップ302) 3:情報Ri ,文書データMを局U(i+1) に送信す
る。…(ステップ303) 以上の処理を局U1 から順番に局Un まで実行し、Rn
を作成する。なお、局U1 は、R0 =O(無限遠点)と
してステップ302の処理を行う。
【0049】また、局Un は作成した情報Rn からr=
f(Rn )によりrを求め、これを局U1 に送信し、s
n の作成ラウンドに移る。 (2)sn の作成ラウンド <局Ui の手順>(i=1,2,…,n) 1:局U1 ,U2 ,…,U(i-1) の公開鍵Y1 ,Y2
…,Y(i-1) を公開鍵リストから取り出す。…(ステッ
プ304) 2:局U(i-1) からRn の作成ラウンドで受信したR
(i-1) と、このラウンドで局U(i-1) から受信したr,
(i-1) が次の関係を満たしていることを確認する。…
(ステップ305) m=h(M)を計算、 si-1 ・G=m・(Y1 +Y2 +…+Yi-1 )+r・R
i-1 over E/Fq 3:ステップ305の関係を満足していない場合には、
局Ui-1 の処理に異常があったものとして処理を打ち切
る。…(ステップ306) 4:先のラウンドで作成した乱数ki と自局の秘密鍵x
i を用いて次式のsiを計算する。…(ステップ30
7) si =si-1 +xi ・m+ki ・r mod z 5:si ,rを局Ui+1 に送る。…(ステップ308) 以上の処理を局U1 から順番に局Un まで実行し、sn
を作成する。なお、局U1 は、s0 =0としてステップ
307の処理を行う。
【0050】以上により作成された(Rn ,sn )が局
1 からUn による文書データMに対する多重署名であ
る。局Un は作成した署名情報(Rn ,sn )を必要に
応じて全ての局U1 ,U2 ,…,Un-1 に送る。
【0051】なお、上記手順のうちステップ304,3
05,306は部分署名si-1 の検査を実行する部分で
あり、省略することも可能である。この部分署名の検査
を省略した場合、多重署名(Rn ,sn )が作成された
後になってはじめて検査を実行することになる。署名作
成者の不正をできるだけ早期に検出するためにはステッ
プ304,305,306の部分署名の検査が有効であ
る。
【0052】図6は図5A,5Bの手順により作成され
た多重署名の検査手順を示す。検査時には以下の処理を
行う。署名検査にはRn ,sn ,Mおよび局のID情報
1,I2 ,…,In が必要である。
【0053】1:局U1 ,U2 ,…,Un の公開鍵Y
1 ,Y2 ,…,Yn を公開鍵リストから取り出す。…
(ステップ401) 2:Rn ,sn ,Mが次の関係を満たすことを確認す
る。…(ステップ402) m=h(M)を計算、 r=f(Rn )を計算、 sn ・G=m・(Y1 +Y2 +…+Yn )+r・Rn ov
er E/Fq この関係が成立する場合には、(Rn ,sn )は正当な
多重署名であるものと判定する。
【0054】なお、以上に示した多重署名作成手順及び
多重署名検査手順でもr=f(Rn)の代わりにr=f
(Rn 、M)に変更し、さらに多重署名検査手順におけ
るステップ402においてr=f(Rn 、M)に変更す
ることもできる。
【0055】次に、図3に示した署名検査手順をこの多
重署名に適用する手順を説明する。局Ui が文書データ
Mに対するディジタル署名を作成する手順は基本的に図
5A,5Bの手順と同じであるが、ここでは、局Un
おけるステップ302における計算の結果として生じる
n に対しr=f(Rn )を計算し、rが位数zと互い
に素かどうかを確認する。もし、互いに素でない場合に
は、ステップ301に戻り別の乱数kn を生成する。R
n の生成ラウンドで局Un が出力するrはzと互いに素
である。また、2巡目が終了して最終的に出力される多
重署名のデータはrとsn である。
【0056】次にこのディジタル署名の検査手順を説明
する。図7はこの手順により作成された多重署名の検査
手順を示す。 1:局U1 ,U2 ,Un の公開鍵Y1 ,Y2 ,…,Yn
を公開鍵リストから取り出す。…(ステップ1201) 2:m=h(M)を計算…(ステップ1202) 3:1/r(mod Z)を計算する。…(ステップ1
203) 4:次式の点Rn を計算する。…(ステップ1204) Rn =(sn /r)・G−(m/r)・(Y1 +Y2
…+Yn )over E/Fq 5:点Rn と署名データのrが次式の関係を満たすこと
を確認する。…(ステップ1205) r=f(Rn ) この関係が成立する場合には、(r,sn )は正当な多
重署名であるものと判定する。
【0057】次に、図2A、2Bに示したディジタル署
名を多重署名に適用した第3実施形態の電子署名方法を
説明する。第3実施形態における情報の流れを図8に示
す。ここでは複数の署名作成局間で情報を1巡させるだ
けで多重署名データを生成する。局U1 ,U2 ,…,U
n のn局が多重署名を作成するものとする。図9は局U
i の手順を示す。 <局Ui の手順>(i=1,2,…,n) 1:局U1 ,U2 ,…,Ui-1 の公開鍵Y1 ,Y2
…,Yi-1 を公開鍵リストから取り出す。…(ステップ
601) 2:局Ui-1 から受信したR1 ,R2 ,…,Ri-1 ,s
i-1 ,Mが次の関係を満たしていることを確認する。…
(ステップ602) m=h(M)を計算、 rj =f(Rj )(j=1,2,…,i−1)を計算、 si-1 ・G=m・(Y1 +…+Yi-1 )+r1 ・R1
2 ・R2 +…ri-1 ・Ri-1 over E/Fq 3:ステップ602の関係を満足していない場合には、
局Ui-1 の処理に異常があったものとして処理を打ち切
る。…(ステップ603) 4:乱数ki (1<ki <z−1)を作成する。…(ス
テップ604) 5:乱数ki から次式のRi を作成する。…(ステップ
605) Ri =ki ・G over E/Fq 6:局Ui-1 から受信した情報si-1 と乱数ki ,自局
の秘密鍵xi から次式のsi を計算する。…(ステップ
606) ri =f(Ri )を計算、 si =si-1 +xi ・m+ki ・ri mod z 7:データsi ,R1 ,R2 ,…,Ri ,文書データM
を局Ui+1 に送信する。
【0058】…(ステップ607) 以上の処理を局U1 から順番に局Un まで実行し、作成
されたsn ,R1 ,R2 ,…,Rn が局U1 からUn
よる文書データMに対する多重署名である。なお、局U
1 は、Ro =O(無限遠点),so =0としてステップ
605,606の処理を行い、ステップ601から60
3までの部分署名の検査処理は行わない。
【0059】図9の手順により作成された多重署名の検
査手順を図10を参照しながら説明する。 1:局U1 ,U2 ,Un の公開鍵Y1 ,Y2 ,…,Yn
を公開鍵リストから取り出す。…(ステップ701) 2:sn ,R1 ,R2 ,…,Rn ,Mが次の関係を満た
すことを確認する。
【0060】…(ステップ702) m=h(M)を計算、 rj =f(Rj )(j=1,2,…,i−1)を計算、 sn ・G=m・(Y1 +…+Yn )+r1 ・R1 +r2
・R2 +…rn ・Rn over E/Fq この関係が成立する場合には、(sn ,R1 ,R2
…,Rn )は正当な多重署名であるものと判定する。
【0061】なお、図9,図10に示した多重署名法
は、図5A、5B,図6の多重署名法に比べて、データ
・サイズと検査時の処理量からは不利であるが、署名作
成が1巡の処理で行えるという利点を持つ。
【0062】また、他の実施形態と同様に本多重署名手
順でもr=f(Ri )の代わりにr=f(Ri ,M)を
利用してもよい。具体的には、局Ui の多重署名作成手
順におけるステップ602にてrj =f(Rj ,M)
(j=1,2,…,i−1)を計算し、ステップ606
にて、ri =f(Ri ,M)を計算するようにそれぞれ
変更する。
【0063】多重署名の検査手順では、ステップ702
にてrj =f(Rj ,M)(j=1,2,…,i−1)
を計算するように変更する。図11は、本実施形態の電
子署名方式の作成・検査を実行する装置の一構成を示
す。
【0064】演算器901は多倍長の演算を実行する部
分であり、本電子署名方式の演算処理の大部分を実行す
る。乱数発生器902は署名作成時に必要な乱数kを生
成する部分である。乱数メモリ903は乱数発生器90
2で発生された乱数kと、乱数kから計算されるR=k
・G over E/Fqの値と、r=f(R)の値のペアを
蓄積する部分である。乱数発生器902,演算器901
は署名作成時・検査時以外にも稼働し、乱数(k,R,
r)のペアを生成し、乱数メモリ903に蓄積する。秘
密鍵メモリ904は局の秘密鍵を格納するメモリであ
る。その他に制御部905,メモリ906,入出力部9
07から構成される。
【0065】最後に、本実施形態の署名方式の変形例を
一つ示す。局Ui が文書データMに対するディジタル署
名を作成する手順は以下の通りである。 <局Ui の手順> 1:乱数k(1<k<z−1)を定める。…(ステップ
1001) 2:R=k・G over E/Fqを計算する。…(ステッ
プ1002) 3:r=f(R)を計算する。…(ステップ1003) 4:m=h(M,R)を計算する。…(ステップ100
4) 5:m,rと秘密鍵xi からs=xi ・m+k・r mod
zを計算する。
【0066】…(ステップ1005) 以上により作成されたRとsが局Ui の文書データMに
対するディジタル署名となる。
【0067】本ディジタル署名の検査手順は以下の通り
である。 <署名検査手順> 1:公開鍵リストから局Ui の公開鍵Yi を取り出す。
【0068】 …(ステップ1006) 2:r=f(R)を計算する。…(ステップ1007) 3:m=h(M,R)を計算する。…(ステップ100
8) 4:r,s,m,Yi が次式の関係を満たすことを確認
する。…(ステップ1009) s・G=m・Yi +r・R over E/Fq この関係が成立する場合には、(R,s)は局Ui の文
書データMに対するディジタル署名であるものと判定す
る。
【0069】この方式ではmの計算において、文書デー
タMのみでなくランダムに生成された点Rのデータを作
用させてハッシングしている。一般にはこのようにした
方が安全性が向上するものと考えられる。なお、m=h
(M,r)としても良い。
【0070】この変形方式における2巡型多重署名(図
5A、5Bおよび図6)の手順は単純にm=h(M,
R)に置き換えれば良い。1巡型多重署名(図9および
図10)の手順では、署名者によりm1 =h(M,R
1 ),m2 =h(M,R2 ),…,mn =h(M,R
n )と異なるmが生成されるので、検査式もsi ・G=
1・Y1 +…+mn ・Yn +r1 ・R1 +…+rn
n と変更される。
【0071】また、図12A、12Bに示すような手順
の多重署名方法を用いた場合でも、図3,図7に示した
検査手順を適用することができる。以上のように、本実
施形態によれば、楕円曲線上のElGamal 署名を変形し、
2巡型や1巡型の多重署名を容易に構成可能な電子署名
方法が提供できる。
【0072】なお、上記した各実施形態における、電子
署名データを作成する処理及び作成された電子署名デー
タに基づいて署名検査を行なう処理は、プログラムとし
てコンピュータが読み取り可能な記録媒体に格納し、コ
ンピュータに実行させることが可能である。
【0073】
【発明の効果】以上述べたように本発明によれば、様々
な運用形態を考慮した多重署名システムを容易に構成で
きる電子署名方法、電子署名システム、及び記録媒体を
提供することができる。
【図面の簡単な説明】
【図1】本発明の第1実施形態に係る電子署名システム
の基本構成を示す図である。
【図2】(a)は、本発明の第1実施形態に係る電子署
名方法において、署名作成手順を示す図であり、(b)
は検査手順を示す図である。
【図3】本発明の第1実施形態に係る電子署名方法を変
形した署名検査手順を示す図である。
【図4】本発明の第2実施形態に係る2巡式の多重署名
方法における情報の流れを示す図である。
【図5】2巡式の多重署名方式の署名作成手順を示す図
である。
【図6】2巡式の多重署名方式の検査手順を示す図であ
る。
【図7】2巡式の多重署名方式を変形した署名検査手順
を示す図である。
【図8】本発明の第3実施形態に係る1巡式の多重署名
方法における情報の流れを示す図である。
【図9】1巡式の多重署名方法における署名作成手順を
示す図である。
【図10】1巡式の多重署名方法の検査手順を示す図で
ある。
【図11】電子署名データの作成及び検査を行なう装置
の構成例を示す図である。
【図12】署名手順の変形例を示す図である。
【符号の説明】
10…センタ、 11、12、13…局、 14…通信ネットワーク。

Claims (11)

    【特許請求の範囲】
  1. 【請求項1】 文書データMに対する電子署名データを
    作成し、この電子署名データに基づいて署名検査を行な
    う電子署名方法であって、 有限体Fq上の楕円曲線E/Fqと、この楕円曲線E/
    Fq上の基点Gとを含むシステム情報と、前記楕円曲線
    E/Fq上の点で定義される署名者の公開鍵Yと、この
    公開鍵Y=x・Gを満たすように作成された署名者の秘
    密鍵xとを用いて、 任意に生成された乱数kと前記楕円曲線E/Fq上の基
    点Gとに依存する楕円曲線E/Fq上の点Rの少なくと
    も一部のデータと、前記文書データMと秘密鍵xと乱数
    kとに依存する整数sとを含む署名データを生成する署
    名データ生成工程と、 前記文書データMのみに依存する整数mと、前記楕円曲
    線E/Fq上の点R及び前記文書データMのうち少なく
    とも点Rに依存する整数rと、前記署名データである点
    Rの少なくとも一部のデータ及び整数sと、前記システ
    ム情報と、前記署名者の公開鍵Yが与えられたときに、 ±s・G=±m・Y±r・R over E/Fq (+、−の符号は所定の条件により決定)で定義される
    関係式またはこの関係式と等価な関係式を署名検査式と
    して用いて署名検査を行なう署名検査工程と、を具備す
    ることを特徴とする電子署名方法。
  2. 【請求項2】 文書データMに対する電子署名データを
    作成し、この電子署名データに基づいて署名検査を行な
    う電子署名方法であって、 有限体Fq上の楕円曲線E/Fqと、この楕円曲線E/
    Fq上の基点Gとを含むシステム情報と、前記楕円曲線
    E/Fq上の点で定義される署名者の公開鍵Yと、この
    公開鍵Y=x・Gを満たすように作成された署名者の秘
    密鍵xとを用いて、 任意に生成された乱数kと前記楕円曲線E/Fq上の基
    点Gとに依存する楕円曲線E/Fq上の点Rの少なくと
    も一部のデータと、前記文書データMと秘密鍵xと乱数
    kとに依存する整数sとを含む署名データを生成する署
    名データ生成工程と、 前記文書データMのみに依存する整数mと、前記楕円曲
    線E/Fq上の点R及び前記文書データMのうち少なく
    とも点Rに依存する整数rと、前記署名データである点
    Rの少なくとも一部のデータ及び整数sと、前記システ
    ム情報と、前記署名者の公開鍵Yが与えられたときに、 前記整数sと前記楕円曲線E/Fq上の基点Gとの積か
    らなる第1の項s・Gと、前記整数mと前記公開鍵Yと
    の積からなる第2の項m・Yと、前記整数rと前記楕円
    曲線E/Fq上の点Rとの積からなる第3の項r・Rと
    の間の特定の演算により定義される関係式またはこの関
    係式と等価な関係式を署名検査式として用いて署名検査
    を行なう署名検査工程と、を具備することを特徴とする
    電子署名方法。
  3. 【請求項3】 n者から構成される複数の署名者の間で
    文書データMに対する電子署名データを作成し、この電
    子署名データに基づいて署名検査を行なう電子署名方法
    であって、 第i番目(i=1,2,3,…,n)の署名者につい
    て、有限体Fq上の楕円曲線E/Fqと、この楕円曲線
    E/Fq上の基点Gとを含むシステム情報と、前記楕円
    曲線E/Fq上の点で定義される署名者の公開鍵Yi
    と、この公開鍵Yi=xi ・Gを満たすように作成され
    た署名者の秘密鍵xi とを用いて、 複数の署名者の各々に対して生成された各乱数ki と前
    記楕円曲線E/Fq上の基点Gとに依存する楕円曲線E
    /Fq上の点Rの少なくとも一部のデータと、前記文書
    データMと複数の署名者の各々に対する秘密鍵xi と各
    乱数ki とに依存する整数sとを含む署名データを生成
    する署名データ生成工程と、 前記文書データMのみに依存する整数mと、前記楕円曲
    線E/Fq上の点R及び前記文書データMのうち少なく
    とも点Rに依存する整数rと、前記署名データである点
    Rの少なくとも一部のデータ及び整数sと、前記システ
    ム情報と、各公開鍵Yi が与えられたときに、 ±s・G=±m・(Y1 +Y2 +…+Yn )±r・R o
    ver E/Fq (+、−の符号は所定の条件により決定)で定義される
    関係式またはこの関係式と等価な関係式を署名検査式と
    して用いて署名検査を行なう署名検査工程と、を具備す
    ることを特徴とする電子署名方法。
  4. 【請求項4】 n者から構成される複数の署名者の間で
    文書データMに対する電子署名データを作成し、この電
    子署名データに基づいて複数の署名者の署名検査を行な
    う電子署名方法であって、 第i番目(i=1,2,3,…,n)の署名者につい
    て、有限体Fq上の楕円曲線E/Fqと、この楕円曲線
    E/Fq上の基点Gとを含むシステム情報と、前記楕円
    曲線E/Fq上の点で定義される署名者の公開鍵Yi
    と、この公開鍵Yi=xi ・Gを満たすように作成され
    た署名者の秘密鍵xi とを用いて、 複数の署名者の各々に対して生成された各乱数ki と前
    記楕円曲線E/Fq上の基点Gとに依存する楕円曲線E
    /Fq上の点Rの少なくとも一部のデータと、前記文書
    データMと複数の署名者の各々に対する秘密鍵xi と各
    乱数ki とに依存する整数sとを含む署名データを生成
    する署名データ生成工程と、 前記文書データMのみに依存する整数mと、前記楕円曲
    線E/Fq上の点R及び前記文書データMのうち少なく
    とも点Rに依存する整数rと、前記署名データである点
    Rの少なくとも一部のデータ及び整数sと、前記システ
    ム情報と、各公開鍵Yi が与えられたときに、 前記整数sと前記楕円曲線E/Fq上の基点Gとの積か
    らなる第1の項s・Gと、前記整数mと各公開鍵Yi
    (i=1,2,3,…,n)の和との積からなる第2の
    項m・(Y1 +Y2 +…+Yn )と、前記整数rと前記
    楕円曲線E/Fq上の点Rとの積からなる第3の項r・
    Rとの間の特定の演算により定義される関係式またはこ
    の関係式と等価な関係式を署名検査式として用いて署名
    検査を行なう署名検査工程と、を具備することを特徴と
    する電子署名方法。
  5. 【請求項5】 n者から構成される複数の署名者の間で
    文書データMに対する電子署名データを作成し、この電
    子署名データに基づいて複数の署名者の署名検査を行な
    う電子署名方法であって、 第i番目(i=1,2,3,…,n)の署名者につい
    て、有限体Fq上の楕円曲線E/Fqと、この楕円曲線
    E/Fq上の基点Gとを含むシステム情報と、前記楕円
    曲線E/Fq上の点で定義される署名者の公開鍵Yi
    と、この公開鍵Yi=xi ・Gを満たすように作成され
    た署名者の秘密鍵xi とを用いて、 複数の署名者の各々に対して生成された各乱数ki と前
    記楕円曲線E/Fq上の基点Gとに依存する楕円曲線E
    /Fq上の各点Ri の少なくとも一部のデータと、前記
    文書データMと複数の署名者の各々に対する秘密鍵xi
    と各乱数ki とに依存する整数sとを含む署名データを
    生成する署名データ生成工程と、 前記文書データMのみに依存する整数mと、前記楕円曲
    線E/Fq上の各点Ri 及び前記文書データMのうち少
    なくとも点Ri に依存する各整数ri と、前記署名デー
    タである各点Ri の少なくとも一部のデータ及び整数s
    と、前記システム情報と、各公開鍵Yi が与えられたと
    きに、 前記整数sと前記楕円曲線E/Fq上の基点Gとの積か
    らなる第1の項s・Gと、前記整数mと各公開鍵Yi
    (i=1,2,3,…,n)の和との積からなる第2の
    項m・(Y1 +Y2 +…+Yn )と、前記整数ri と前
    記楕円曲線E/Fq上の各点Ri との積の和からなる第
    3の項(r11 +r22 +…+rnn )との間の
    特定の演算により定義される関係式またはこの関係式と
    等価な関係式を署名検査式として用いて署名検査を行な
    う署名検査工程と、を具備することを特徴とする電子署
    名方法。
  6. 【請求項6】 文書データMに対する電子署名データを
    作成する署名データ作成装置と、前記電子署名データに
    基づいて署名検査を行なう署名検査装置とから構成され
    る電子署名システムであって、 前記署名データ作成装置は、 有限体Fq上の楕円曲線E/Fqと、この楕円曲線E/
    Fq上の基点Gとを含むシステム情報と、前記楕円曲線
    E/Fq上の点で定義される署名者の公開鍵Yと、この
    公開鍵Y=x・Gを満たすように作成された署名者の秘
    密鍵xとを用いて、 任意に生成された乱数kと前記楕円曲線E/Fq上の基
    点Gとに依存する楕円曲線E/Fq上の点Rの少なくと
    も一部のデータと、前記文書データMと秘密鍵xと乱数
    kとに依存する整数sとを含む署名データを生成する手
    段を含み、 前記署名検査装置は、 前記文書データMのみに依存する整数mと、前記楕円曲
    線E/Fq上の点R及び前記文書データMのうち少なく
    とも点Rに依存する整数rと、前記署名データである点
    Rの少なくとも一部のデータ及び整数sと、前記システ
    ム情報と、前記署名者の公開鍵Yが与えられたときに、 前記整数sと前記楕円曲線E/Fq上の基点Gとの積か
    らなる第1の項s・Gと、前記整数mと前記公開鍵Yと
    の積からなる第2の項m・Yと、前記整数rと前記楕円
    曲線E/Fq上の点Rとの積からなる第3の項r・Rと
    の間の特定の演算により定義される関係式またはこの関
    係式と等価な関係式を署名検査式として用いて署名検査
    を行なう手段を含むことを特徴とする電子署名システ
    ム。
  7. 【請求項7】 n者から構成される複数の署名者の間で
    文書データMに対する電子署名データを作成する署名デ
    ータ作成装置と、前記電子署名データに基づいて複数の
    署名者の署名検査を行なう署名検査装置とから構成され
    る電子署名システムであって、 前記署名データ作成装置は、 第i番目(i=1,2,3,…,n)の署名者につい
    て、有限体Fq上の楕円曲線E/Fqと、この楕円曲線
    E/Fq上の基点Gとを含むシステム情報と、前記楕円
    曲線E/Fq上の点で定義される署名者の公開鍵Yi
    と、この公開鍵Yi=xi ・Gを満たすように作成され
    た署名者の秘密鍵xi とを用いて、 複数の署名者の各々に対して生成された各乱数ki と前
    記楕円曲線E/Fq上の基点Gとに依存する楕円曲線E
    /Fq上の点Rの少なくとも一部のデータと、前記文書
    データMと複数の署名者の各々に対する秘密鍵xi と各
    乱数ki とに依存する整数sとを含む署名データを生成
    する手段を含み、 前記署名検査装置は、 前記文書データMのみに依存する整数mと、前記楕円曲
    線E/Fq上の点R及び前記文書データMのうち少なく
    とも点Rに依存する整数rと、前記署名データである点
    Rの少なくとも一部のデータ及び整数sと、前記システ
    ム情報と、各公開鍵Yi が与えられたときに、 前記整数sと前記楕円曲線E/Fq上の基点Gとの積か
    らなる第1の項s・Gと、前記整数mと各公開鍵Yi
    (i=1,2,3,…,n)の和との積からなる第2の
    項m・(Y1 +Y2 +…+Yn )と、前記整数rと前記
    楕円曲線E/Fq上の点Rとの積からなる第3の項r・
    Rとの間の特定の演算により定義される関係式またはこ
    の関係式と等価な関係式を署名検査式として用いて署名
    検査を行なう手段を含むことを特徴とする電子署名シス
    テム。
  8. 【請求項8】 n者から構成される複数の署名者の間で
    文書データMに対する電子署名データを作成する署名デ
    ータ作成装置と、前記電子署名データに基づいて複数の
    署名者の署名検査を行なう署名検査装置とから構成され
    る電子署名システムであって、 前記署名データ作成装置は、 第i番目(i=1,2,3,…,n)の署名者につい
    て、有限体Fq上の楕円曲線E/Fqと、この楕円曲線
    E/Fq上の基点Gとを含むシステム情報と、前記楕円
    曲線E/Fq上の点で定義される署名者の公開鍵Yi
    と、この公開鍵Yi=xi ・Gを満たすように作成され
    た署名者の秘密鍵xi とを用いて、 複数の署名者の各々に対して生成された各乱数ki と前
    記楕円曲線E/Fq上の基点Gとに依存する楕円曲線E
    /Fq上の各点Ri の少なくとも一部のデータと、前記
    文書データMと複数の署名者の各々に対する秘密鍵xi
    と各乱数ki とに依存する整数sとを含む署名データを
    生成する手段を含み、 前記署名検査装置は、 前記文書データMのみに依存する整数mと、前記楕円曲
    線E/Fq上の各点Ri 及び前記文書データMのうち少
    なくとも点Ri に依存する各整数ri と、前記署名デー
    タである各点Ri の少なくとも一部のデータ及び整数s
    と、前記システム情報と、各公開鍵Yi が与えられたと
    きに、 前記整数sと前記楕円曲線E/Fq上の基点Gとの積か
    らなる第1の項s・Gと、前記整数mと各公開鍵Yi
    (i=1,2,3,…,n)の和との積からなる第2の
    項m・(Y1 +Y2 +…+Yn )と、前記整数ri と前
    記楕円曲線E/Fq上の各点Ri との積の和からなる第
    3の項(r11 +r22 +…+rnn )との間の
    特定の演算により定義される関係式またはこの関係式と
    等価な関係式を署名検査式として用いて署名検査を行な
    う手段を含むことを特徴とする電子署名システム。
  9. 【請求項9】 文書データMに対する電子署名データを
    作成する処理と、作成された電子署名データに基づいて
    署名検査を行なう処理とをコンピュータに実行させる命
    令を含むプログラムを格納した、コンピュータが読み取
    り可能な記録媒体であって、 前記電子署名データを作成する処理は、 有限体Fq上の楕円曲線E/Fqと、この楕円曲線E/
    Fq上の基点Gとを含むシステム情報と、前記楕円曲線
    E/Fq上の点で定義される署名者の公開鍵Yと、この
    公開鍵Y=x・Gを満たすように作成された署名者の秘
    密鍵xとを用いて、 任意に生成された乱数kと前記楕円曲線E/Fq上の基
    点Gとに依存する楕円曲線E/Fq上の点Rの少なくと
    も一部のデータと、前記文書データMと秘密鍵xと乱数
    kとに依存する整数sとを含む署名データを生成し、 前記署名検査を行なう処理は、 前記文書データMのみに依存する整数mと、前記楕円曲
    線E/Fq上の点R及び前記文書データMのうち少なく
    とも点Rに依存する整数rと、前記署名データである点
    Rの少なくとも一部のデータ及び整数sと、前記システ
    ム情報と、前記署名者の公開鍵Yが与えられたときに、 前記整数sと前記楕円曲線E/Fq上の基点Gとの積か
    らなる第1の項s・Gと、前記整数mと前記公開鍵Yと
    の積からなる第2の項m・Yと、前記整数rと前記楕円
    曲線E/Fq上の点Rとの積からなる第3の項r・Rと
    の間の特定の演算により定義される関係式またはこの関
    係式と等価な関係式を署名検査式として用いて署名検査
    を行なう、ことを特徴とする記録媒体。
  10. 【請求項10】 n者から構成される複数の署名者の間
    で文書データMに対する電子署名データを作成する処理
    と、作成された電子署名データに基づいて複数の署名者
    の署名検査を行なう処理とをコンピュータに実行させる
    命令を含むプログラムを格納した、コンピュータが読み
    取り可能な記録媒体であって、 前記電子署名データを作成する処理は、 第i番目(i=1,2,3,…,n)の署名者につい
    て、有限体Fq上の楕円曲線E/Fqと、この楕円曲線
    E/Fq上の基点Gとを含むシステム情報と、前記楕円
    曲線E/Fq上の点で定義される署名者の公開鍵Yi
    と、この公開鍵Yi=xi ・Gを満たすように作成され
    た署名者の秘密鍵xi とを用いて、 複数の署名者の各々に対して生成された各乱数ki と前
    記楕円曲線E/Fq上の基点Gとに依存する楕円曲線E
    /Fq上の点Rの少なくとも一部のデータと、前記文書
    データMと複数の署名者の各々に対する秘密鍵xi と各
    乱数ki とに依存する整数sとを含む署名データを生成
    し、 前記署名検査を行なう処理は、 前記文書データMのみに依存する整数mと、前記楕円曲
    線E/Fq上の点R及び前記文書データMのうち少なく
    とも点Rに依存する整数rと、前記署名データである点
    Rの少なくとも一部のデータ及び整数sと、前記システ
    ム情報と、各公開鍵Yi が与えられたときに、 前記整数sと前記楕円曲線E/Fq上の基点Gとの積か
    らなる第1の項s・Gと、前記整数mと各公開鍵Yi
    (i=1,2,3,…,n)の和との積からなる第2の
    項m・(Y1 +Y2 +…+Yn )と、前記整数rと前記
    楕円曲線E/Fq上の点Rとの積からなる第3の項r・
    Rとの間の特定の演算により定義される関係式またはこ
    の関係式と等価な関係式を署名検査式として用いて署名
    検査を行なう、ことを特徴とする記録媒体。
  11. 【請求項11】 n者から構成される複数の署名者の間
    で文書データMに対する電子署名データを作成する処理
    と、作成された電子署名データに基づいて複数の署名者
    の署名検査を行なう処理とをコンピュータに実行させる
    命令を含むプログラムを格納した、コンピュータが読み
    取り可能な記録媒体であって、 前記電子署名データを作成する処理は、 第i番目(i=1,2,3,…,n)の署名者につい
    て、有限体Fq上の楕円曲線E/Fqと、この楕円曲線
    E/Fq上の基点Gとを含むシステム情報と、前記楕円
    曲線E/Fq上の点で定義される署名者の公開鍵Yi
    と、この公開鍵Yi=xi ・Gを満たすように作成された
    署名者の秘密鍵xi とを用いて、 複数の署名者の各々に対して生成された各乱数ki と前
    記楕円曲線E/Fq上の基点Gとに依存する楕円曲線E
    /Fq上の各点Ri の少なくとも一部のデータと、前記
    文書データMと複数の署名者の各々に対する秘密鍵xi
    と各乱数ki とに依存する整数sとを含む署名データを
    生成し、 前記署名検査を行なう処理は、 前記文書データMのみに依存する整数mと、前記楕円曲
    線E/Fq上の各点Ri 及び前記文書データMのうち少
    なくとも点Ri に依存する各整数ri と、前記署名デー
    タである各点Ri の少なくとも一部のデータ及び整数s
    と、前記システム情報と、各公開鍵Yi が与えられたと
    きに、 前記整数sと前記楕円曲線E/Fq上の基点Gとの積か
    らなる第1の項s・Gと、前記整数mと各公開鍵Yi
    (i=1,2,3,…,n)の和との積からなる第2の
    項m・(Y1 +Y2 +…+Yn )と、前記整数ri と前
    記楕円曲線E/Fq上の各点Ri との積の和からなる第
    3の項(r11 +r22 +…+rnn )との間の
    特定の演算により定義される関係式またはこの関係式と
    等価な関係式を署名検査式として用いて署名検査を行な
    う、ことを特徴とする記録媒体。
JP9261762A 1996-09-27 1997-09-26 電子署名方法、電子署名システム及び、記録媒体 Pending JPH10153956A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP9261762A JPH10153956A (ja) 1996-09-27 1997-09-26 電子署名方法、電子署名システム及び、記録媒体

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP25694596 1996-09-27
JP8-256945 1996-09-27
JP9261762A JPH10153956A (ja) 1996-09-27 1997-09-26 電子署名方法、電子署名システム及び、記録媒体

Publications (1)

Publication Number Publication Date
JPH10153956A true JPH10153956A (ja) 1998-06-09

Family

ID=26542974

Family Applications (1)

Application Number Title Priority Date Filing Date
JP9261762A Pending JPH10153956A (ja) 1996-09-27 1997-09-26 電子署名方法、電子署名システム及び、記録媒体

Country Status (1)

Country Link
JP (1) JPH10153956A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006203825A (ja) * 2005-01-24 2006-08-03 Toshiba Corp 電子署名システム、電子署名方法及びプログラム
US7277540B1 (en) 1999-01-20 2007-10-02 Kabushiki Kaisha Toshiba Arithmetic method and apparatus and crypto processing apparatus for performing multiple types of cryptography
JP2010503295A (ja) * 2006-09-08 2010-01-28 サーティコム コーポレーション 無線周波識別(rfid)認証およびそのための鍵配信システム
CN110912680A (zh) * 2019-11-26 2020-03-24 福建汉特云智能科技有限公司 一种提高车况数据安全性的数据传输方法及存储介质
CN112199692A (zh) * 2020-09-29 2021-01-08 深圳壹账通智能科技有限公司 加密数据验证方法、装置、设备以及存储介质
JP2022553995A (ja) * 2020-06-22 2022-12-27 杭州趣鏈科技有限公司 フローラインフレンドリーな署名と署名検証方法、設備および記憶媒体

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7277540B1 (en) 1999-01-20 2007-10-02 Kabushiki Kaisha Toshiba Arithmetic method and apparatus and crypto processing apparatus for performing multiple types of cryptography
JP2006203825A (ja) * 2005-01-24 2006-08-03 Toshiba Corp 電子署名システム、電子署名方法及びプログラム
JP4625703B2 (ja) * 2005-01-24 2011-02-02 株式会社東芝 電子署名システム、電子署名方法及びプログラム
JP2010503295A (ja) * 2006-09-08 2010-01-28 サーティコム コーポレーション 無線周波識別(rfid)認証およびそのための鍵配信システム
JP2013118707A (ja) * 2006-09-08 2013-06-13 Certicom Corp 無線周波識別(rfid)認証およびそのための鍵配信システム
US8938615B2 (en) 2006-09-08 2015-01-20 Ceritcom Corp. System and method for authenticating radio frequency identification (RFID) tags
US9013266B2 (en) 2006-09-08 2015-04-21 Certicom Corp. Authenticated radio frequency identification and key distribution system therefor
CN110912680A (zh) * 2019-11-26 2020-03-24 福建汉特云智能科技有限公司 一种提高车况数据安全性的数据传输方法及存储介质
CN110912680B (zh) * 2019-11-26 2023-06-27 福建汉特云智能科技有限公司 一种提高车况数据安全性的数据传输方法及存储介质
JP2022553995A (ja) * 2020-06-22 2022-12-27 杭州趣鏈科技有限公司 フローラインフレンドリーな署名と署名検証方法、設備および記憶媒体
CN112199692A (zh) * 2020-09-29 2021-01-08 深圳壹账通智能科技有限公司 加密数据验证方法、装置、设备以及存储介质

Similar Documents

Publication Publication Date Title
US7315866B2 (en) Method for incremental authentication of documents
JP4809766B2 (ja) 損失を適応制御したデータストリームの認証方法及び装置
US6088798A (en) Digital signature method using an elliptic curve, a digital signature system, and a program storage medium having the digital signature method stored therein
EP2351287B1 (en) Method of generating a cryptographic key, network and computer program therefor
US8165287B2 (en) Cryptographic hash functions using elliptic polynomial cryptography
JP2004129303A (ja) 復元型電子署名方法、付加型電子署名方法、鍵交換方法、復元型公衆電子署名方法およびブラインド電子署名方法
Phan et al. Security considerations for incremental hash functions based on pair block chaining
US20100166176A1 (en) Elliptical polynomial-based message authentication code
Alkeilani Alkadri et al. BLAZE: practical lattice-based blind signatures for privacy-preserving applications
Hanser et al. Blank digital signatures
Koo et al. An online data-oriented authentication based on Merkle tree with improved reliability
Alkeilani Alkadri et al. On lattice-based interactive protocols: an approach with less or no aborts
Sarier A new biometric identity based encryption scheme secure against DoS attacks
CN111092725B (zh) 适于物联网的无证书签名方法
Garg et al. hints: Threshold signatures with silent setup
Soni et al. Quantum-resistant public-key encryption and signature schemes with smaller key sizes
Andreeva et al. COBRA: A parallelizable authenticated online cipher without block cipher inverse
Akleylek et al. A novel 3-pass identification scheme and signature scheme based on multivariate quadratic polynomials
JPH10153956A (ja) 電子署名方法、電子署名システム及び、記録媒体
Tso A new way to generate a ring: Universal ring signature
Wang et al. An improved signature model of multivariate polynomial public key cryptosystem against key recovery attack
Buldas et al. Do broken hash functions affect the security of time-stamping schemes?
CN112671712B (zh) 一种支持高效动态更新的云数据完整性验证方法及***
Brunetta et al. Code-based zero knowledge PRF arguments
Tahat et al. A new digital signature scheme with message recovery using hybrid problems