JPH11231781A - 認証方法および装置 - Google Patents

認証方法および装置

Info

Publication number
JPH11231781A
JPH11231781A JP10029552A JP2955298A JPH11231781A JP H11231781 A JPH11231781 A JP H11231781A JP 10029552 A JP10029552 A JP 10029552A JP 2955298 A JP2955298 A JP 2955298A JP H11231781 A JPH11231781 A JP H11231781A
Authority
JP
Japan
Prior art keywords
document
information
ticket
calculating
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP10029552A
Other languages
English (en)
Other versions
JP3812123B2 (ja
Inventor
Taro Terao
太郎 寺尾
Rumiko Kakehi
るみ子 筧
Hitoki Kiyoujima
仁樹 京嶋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Priority to JP02955298A priority Critical patent/JP3812123B2/ja
Priority to US09/240,876 priority patent/US6567916B1/en
Publication of JPH11231781A publication Critical patent/JPH11231781A/ja
Application granted granted Critical
Publication of JP3812123B2 publication Critical patent/JP3812123B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 【課題】 小規模な検証装置で権利や資格を認証する場
合でも、認証の特徴情報が第三者に洩れることのないよ
うにする。 【解決手段】 チケット発行装置400は、利用者の所
持する対話装置300の秘密関数fと対話を生成する際
に対話装置300に伝達すべきドキュメントmよりドキ
ュメント秘密情報μを算出し、認証の特徴情報xとドキ
ュメント秘密情報μより生成したチケットtを利用者に
発行する。対話装置300は、ドキュメントmを入力さ
れると、その対話装置300に固有の秘密関数fを用い
てドキュメント秘密情報を生成し、ドキュメント秘密情
報に基づいた対話を行なう。対話は、コミットメントr
の出力、チャレンジcの入力、レスポンスσの出力、メ
ッセージの出力からなる。利用者は、対話(r,χ,
M,σ)を、チケットtを用いて対話(r,χ,M,
s)へ変換し、Guillou−Quisquater
認証を行う。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、情報セキュリティ
技術に関するものであり、特に、零化域決定問題の困難
性に安全性の根拠を置く認証符号方式において、システ
ムの利用者に秘密情報に基づいた証明者の機能を付与し
ながら秘密情報自体を隠蔽することを可能にする方法お
よび装置に関するものである。
【0002】
【従来の技術】[従来技術の概要]従来の公開鍵暗号に
おける復号鍵、署名における署名鍵、認証における認証
鍵は、これらの秘密情報を所持するものであることを認
証するための特徴情報である。例えば、Guillou
とQuisquaterによって”A practic
al zero−knowledge protoco
lfitted to security Micro
processor minimizingboth
transmission and Memory”,
Advances in Cryptology EU
ROCRYPT’87,C.G.Guenther(e
d.),Springer−Verlag,pp.12
3−128で提案された認証方式に基づく認証符号方式
を例にとって説明する。
【0003】図1は、この認証符号方式の流れを説明す
る図である。
【0004】nを素因数分解の困難な合成数、Gを有理
整数環のnを法とする剰余類環の乗法群(Z/n
Z)*、pをnのCarmichael関数λ(n)を
割らない素数、Rをコミットメントの空間、πをGから
Rへの関数、Cをチャレンジの空間、Sをメッセージの
空間、φをCとSとの集合論的積C×SからFpへの写
像、I∈Gを公開の検証情報として、Ixp=1を満た
すx∈Gを認証の特徴情報とする。
【0005】認証の特徴情報xの保持者は、以下の証明
者200の動作を行なうことによって、なりすましと改
竄を防いで任意のメッセージM∈Sを安全に発信するこ
とができる。
【0006】乱数k∈Gを生成し、コミットメントr
=π(kp)を送る。
【0007】与えられたチャレンジχと発信するメッ
セージMより指数c=φ(χ,M)を計算し、メッセー
ジMとレスポンスs=kxcを送る。
【0008】検証情報Iを知り得るものは誰でも、以下
の検証者100の動作を行なうことによって、証明者2
00の動作を検証することが可能であり、証明者200
が確かに認証の特徴情報を保持し、発信されたメッセー
ジが改竄を受けていないことを確かめることができる。
【0009】コミットメントrを与えられた後に、ラ
ンダムに生成したチャレンジχを証明者200に送る。
【0010】与えられたメッセージMとレスポンスs
【0011】
【数2】 を満たすことを確かめる。
【0012】これらの技術は、上記の秘密情報を所持す
るものが、これを公開しないことを前提に作られてい
る。それゆえに、これらの秘密情報を所持するもののみ
が復号できる暗号文、これらの秘密情報を所持するもの
のみが生成できる署名や、これらの秘密情報を所持する
もの以外の誰にもなりすませない認証が可能となる。
【0013】したがって、上記技術は、これらの秘密情
報の所持者にとって、これを暴露することが不利益な状
況である場合にのみ利用できる。このような状況の典型
的な例は、上記秘密情報が、特定の個人のみが所持する
ものであり、その個人を認証する特徴情報である場合で
ある。
【0014】この場合、上記特徴情報はちょうど自宅の
鍵や個人の印鑑のような役割を担っている。実際、実世
界における鍵や印鑑をディジタル情報として構成するこ
とは、これらの暗号学的手法の直接的な応用として実現
できることは易しい。たとえば、自宅の錠を上記Gui
llou−Quisquaterの方式における検証者
として構成し、検証に成功した場合のみ開錠するように
構成すれば、認証の特徴情報xの所持は、ちょうど自宅
の鍵の所持に対応することになる。
【0015】[従来技術の問題点]上記の、個人の自宅
の鍵のように、認証の特徴情報の暴露が個人の不利益に
なる場合とは逆に、その暴露が暴露した者の利益につな
がる場合が存在する。それは、認証する者が、特定のサ
ービスを受ける権利や資格である場合である。 この場
合、上記の個人を認証する例と同様に、権利や資格を持
つ者に、権利や資格を表す特徴情報を配布し、その特徴
情報を所持していることを検証するというやりかたはと
れない。なぜなら、特徴情報の暴露が、特徴情報の所持
者には不利益にならないため、特徴情報を権利や資格を
持たない第三者に教え、その第三者から利益を得るとい
った不正行為が可能であるからである。
【0016】したがって、従来は、上記の公開鍵暗号技
術をそのまま使った認証方式を取らず、以下の3種の方
式をとっていた。
【0017】第1の方法は、個人が個人に帰属する秘
密の特徴情報を保持し、権利や資格の保持を検証する側
が、権利や資格を保持している個人とその個人が持つ秘
密の特徴情報を保持する方法である。この方法によれ
ば、特徴情報を漏洩させることは個人にとって不利益に
なるので、権利や資格の認証に利用可能である。
【0018】第2の方法は、個人が個人に帰属する秘
密の特徴情報を保持し、権利や資格の保持を検証する側
が、権利や資格を保持している個人とその個人が持つ秘
密の特徴情報に対応する公開情報を保持する方法であ
る。この方法によれば、特徴情報を漏洩させることは個
人にとって不利益になるので、権利や資格の認証に利用
可能である。
【0019】第3の方法は、権利や資格を付与する者
が、自身が持つ特徴情報で作成した署名を権利や資格を
付与される者に渡し、検証側が、その署名を検証するこ
とで、権利や資格を持つことを認証するものである。こ
の方式の例としては、D.Chaumによる”Onli
ne Cash Checks”,Advancesi
n Cryptology EUROCRYPT’8
9,J.J.Quisquater,J.Vandew
alle(ed.),Springer−Verla
g,pp.288−293がある。
【0020】この方法によれば、権利や資格の所持を証
明する側が、特徴情報を持たないので、特徴情報の漏洩
の問題は起こらない。
【0021】しかし、第1の方法では、検証側が権利や
資格を保持している者のリストを保持しなければならな
い。これは、リストの記憶と管理の負荷を検証側に課す
ことになり、必然的に高性能な検証装置を必要とするこ
とになる。また、権利や資格を付与する者と独立に検証
装置を作ることができないので、検証装置と、権利や資
格を付与する者との間の情報の交換が、常に必要にな
る。また、検証側が個人の特徴情報を持つことになるの
で、この方法によって認証される個人は、検証側による
不正な特徴情報の漏洩のリスクを負うことになる。
【0022】第2の方法では、検証側が権利や資格を保
持している者のリストを保持しなければならない。これ
は、リストの記憶と管理の負荷を検証側に課すことにな
り、必然的に高性能な検証装置を必要とすることにな
る。また、権利や資格を付与する者と独立に検証装置を
作ることができないので、検証装置と、権利や資格を付
与する者との間の情報の交換が、常に必要になる。
【0023】第3の方法では、配布した署名情報は誰に
よっても使用可能なので、その複製を防がなければなら
ない。これは、署名値の二重使用を防ぐという方法で行
われる。具体的には、一度認証に使用された署名値をす
べて検証側で記憶し、検証側が二重使用でないことをチ
ェックできるようにする。しかし、この機能を検証側に
設けるためには、必然的に高性能な検証装置を必要とす
ることになる。また、同じ権利や資格を認証する全ての
検証装置で、一度認証に使用された署名値のリストを共
有しなければならず、検証装置同士の情報の交換が、常
に必要となる。
【0024】このように、従来の3つの方式には、どれ
も重大な問題があり、とくに検証側を小規模な装置やソ
フトウエアで構成することを困難にしている。
【0025】これに対し、前述の権利や資格を示す特徴
情報を使った認証の方式は、検証側で行うことが権利や
資格を示す特徴情報を保持していることの認証だけで済
むので、有利である。
【0026】以上述べたとおり、従来の技術では、権利
や資格を認証する場合に、小規模の検証装置で構成する
と認証の特徴情報が第三者に洩れる危険があり、その危
険をなくそうとすれば、検証装置が大規模なものになる
という問題点があった。
【0027】
【発明が解決しようとする課題】以上に説明してきたよ
うに、本発明は、権利や資格を認証する際に、小規模な
検証装置で、認証の特徴情報が第三者に洩れることのな
い認証符号技術を実現することを目的としている。
【0028】
【課題を解決するための手段】本発明の認証符号技術
は、 チケットの発行時に定められ、公開可能な情報である
ドキュメントよりドキュメント秘密情報を生成し、ドキ
ュメント秘密情報に基づいて対話を行なう対話装置と ドキュメント秘密情報と認証の特徴情報より生成さ
れ、公開可能な情報であるチケットとに基づく。
【0029】すなわち、本発明によれば、pを素数、F
pをp元体、Gを零化域を求めることが計算量的に困難
な有限アーベル群(記法を固定する目的のためにのみ乗
法的に記す。例えば、楕円曲線のような慣習的に加法的
に記される群に対しても、零化域を求めることが計算量
的に困難である限り、本発明は適用できる)、Rをコミ
ットメントの空間、πをGからRへの写像、Cをチャレ
ンジの空間、Sをメッセージの空間、φをCとSの集合
論的積C×SからFpへの写像として、コミットメント
rを生成し、ドキュメントmとチャレンジχに対してレ
スポンスσとメッセージMとを生成する対話方法におい
て、つぎのステップを実行する。
【0030】(a)非再現性秘密情報k∈Gをランダム
に生成するステップ (b)コミットメントr=π(kp)を計算するステッ
プ (c)fをGへの秘密関数として、ドキュメント秘密情
報μ=f(m)を計算するステップ (d)メッセージMを生成するステップ (e)指数C=φ(χ,M)を計算するステップ (f)レスポンスσ=kμcを計算するステップ この構成においては、公開鍵暗号における認証の特徴情
報を開示することなく、認証の特徴情報に基づいた証明
の機能を配布することができる。したがって、従来不可
能であった、利害関係を持たない複数の個人が同一の認
証の特徴情報に基づいた証明を安全に行なえるようにな
った。またGuillou−Quisquater認証
をベースの公開鍵暗号として採用しているので零知識性
が証明されている。さらに、メッセージを安全に伝達す
ることができる。
【0031】
【発明の実施の形態】実施例の詳細な説明に入る前に、
本発明の利用形態について簡略に説明する。
【0032】図2は、本発明の全体の構成を表してい
る。
【0033】チケット発行者は、固有の秘密関数で特徴
付けられる対話装置300を発行し、利用者に配布す
る。対話装置300を特徴付ける秘密関数が利用者に知
られると、対話装置300の複製が自由に行なえて、チ
ケット発行者の制御不能なチケットの濫用が可能とな
る。そこで、対話装置300の秘密関数は、対話装置3
00の正当な保持者であっても、これを窃取することが
できないように保護されるようにできる。
【0034】対話装置300は、例えば、スマートカー
ド(ICカード)として構成しても良い。
【0035】対話装置300は、ドキュメントと呼ばれ
るデータmを入力されると、その対話装置300に固有
の秘密関数fを用いてドキュメント秘密情報μを生成
し、ドキュメント秘密情報に基づいた対話を行なう。
【0036】対話は具体的には、 コミットメントrの出力 チャレンジχの入力 メッセージMとレスポンスσの出力 という形になっている。
【0037】Guillou−Quisquater認
証における証明者の行なう対話と形の上では同一であ
る。図1はGuillou−Quisquater認証
の流れを示している。
【0038】ドキュメントは、必ずしも、ドキュメント
秘密情報を生成するために利用されるだけとは限らな
い。例えば、ドキュメントは対話装置300が実行可能
なプログラムやコマンド、対話装置300の行なう処理
のパラメータ、あるいは、発信するメッセージなどであ
りえる。
【0039】チケット発行者が、認証の特徴情報xに対
応付けてチケットtを発行するときは、認証の特徴情報
に基づく対話(r,χ,M,s)を生成する機能を、以
下に述べる方法で利用者に頒布することによって実現す
る。
【0040】チケット発行者は、チケット発行装置40
0を用いて、利用者の所持する対話装置300の秘密関
数fと対話を生成する際に対話装置に伝達すべきドキュ
メントmよりドキュメント秘密情報μを算出し、認証の
特徴情報xとドキュメント秘密情報μより生成したチケ
ットtを利用者に発行する。
【0041】認証の特徴情報xとドキュメント秘密情報
μとは、利用者に対して秘匿される。
【0042】利用者は、指定されたドキュメントmを対
話装置300に入力することによって、対話(r,χ,
M,σ)を生成し、発行されたチケットtを用いて、そ
の対話(r,χ,M,σ)をチケットの対応する認証の
特徴情報に基づいた対話(r,χ,M,s)へ変換す
る。
【0043】ドキュメントに対話装置300への処理の
指示が記述される場合、チケットを用いた対話生成はド
キュメントに記述された指示に関係付けられ、これによ
ってチケットの有効性に条件を付けることが可能とな
る。
【0044】対話の変換は、具体的には、チャレンジχ
と対話装置のレスポンスσとメッセージMとチケットt
とより、レスポンスsを計算することが可能である。
【0045】変換された対話(r,χ,M,s)が、図
1におけるGuillou−Quisquater認証
の証明者が生成する対話に他ならないことを実施例にお
いて説明する。
【0046】チケットの対応する認証の特徴情報xは、
各々の対話装置300の様々なドキュメント毎に異なる
ドキュメント秘密情報μとは独立に生成される。
【0047】チケット発行者は、任意の認証の特徴情報
xに基づく対話の機能を、認証の特徴情報自体を開示す
ることなく任意のドキュメントと対応付けてチケットの
形で利用者に頒布することができる。
【0048】
【実施例】
【0049】[基本構成要素]本発明においては、
【0050】
【数3】 p 素数 Fp p元体 G 零化域の決定が計算量的に困難なアーベル群 D コミットメントの空間 π GからDへの写像 が暗号学的な基本構成要素である。
【0051】以後、特に説明せずに使用される数学的な
概念はいずれも基礎的なものであるのでとくに説明しな
い。例えば、岩波数学辞典第3版、日本数学会編集、岩
波書店を参照されたい。
【0052】一般に、アーベル群Gの零化域Ann
(G)とは、群の算法を乗法的に記すとして、
【0053】
【数4】 で定義される有理整数環Zのイデアルであり、有理整数
環は単項イデアル整域であるので、Ann(G)の生成
元λ∈ZによってAnn(G)=λZと書ける(ここに
λZはλの倍元の全体)。零化域を決定することは、A
nn(G)の生成元λ∈Zを求めることに他ならない。
【0054】n∈Zを合成数とし、Gをnを法とする有
理整数環の剰余類環の乗法群(Z/nZ)*としたと
き、λ=λ(n)となる。ここにλ(n)はnのCar
michael関数であり、nが2の冪の場合は
【0055】
【数5】 であり、nが奇素数pの冪の場合はλ(n)=n(1−
-1)であり、一般のnに対しては、n=Πpepをnの
素因数分解とすると、λ(n)はλ(pep)の最小公倍
数である。
【0056】したがって、nの素因数分解を既知とすれ
ば、Gの零化域をlog nの多項式時間で求めること
ができ、また、逆に、零化域の生成元λを既知とする
と、非自明な1の平方根、つまり、
【0057】
【数6】 を満たすGを生成することによって、log nの確率
的多項式時間でnの素因数分解を求めることができるこ
とから、この場合の零化域決定問題は計算量的に素因数
分解問題と同程度に困難であると期待できる。 また、
1、p2をp1≡p2≡2 mod 3となる相異なる奇
素数、n=p12、bをnと互いに素な整数、Eを同次
【0058】
【数7】Y2=X3+bZ3 でZ/nZ上に定義されるアーベル概型;つまり、
【0059】
【数8】E=Proj Z/nZ[X,Y,Z]/(Y
2Z−X3−bZ3) とし、GをEのZ/nZ値点のなす有限群E(Z/n
Z)としたとき、λはp1+1とp2+1の最小公倍数で
あり、この場合も零化域決定問題は計算量的に困難であ
ることが期待できる。
【0060】πは、例えば、恒等写像id:G→Gとし
ても良いし、あるいは、ハッシュ関数hを用いてh:G
→Dとしても良い。
【0061】ハッシュ関数とは、h(m)=h(m’)
を満たす相異なるm、m’を見い出すことが計算量的に
困難であることが期待されている関数であり、例えば、
RSA Data Security Inc.による
MD5や米国連邦政府による規格SHS(Secure
Hash Standard)が良く知られている。
【0062】πが恒等写像である場合は、もちろん、π
を計算するコストは不要である。また、πがハッシュ関
数であり、Dの元を表現するのに必要なビット長がGの
元を表現するのに必要なビット長より小さい場合には通
信量を削減する効果がある。
【0063】例えば、素因数分解の困難な1024ビッ
ト程度の合成数nに対して、G=(Z/nZ)*とし、
πとしてSHSを用いれば、コミットメントrのサイズ
を160ビットまで圧縮できる。
【0064】ちなみに、pのビット長は、質疑応答型の
認証の場合は40ビット程度、署名の場合でも160ビ
ット程度で良く、これがGuillou−Quisqu
ater認証が高速に行なえることの根拠となってい
る。
【0065】[対話装置]図3は対話装置300の構成
を示している。対話装置300は耐タンパー性を有する
容器として実装され、固有の秘密関数によって特徴付け
られて、利用者に配布される。対話装置300をスマー
トカードなどの携帯可能な小型演算装置として構成して
も良い。対話装置300は、入出力部301、記憶部3
02、ドキュメント処理部303、乱数生成部304、
Gの算法実行部305、π計算部306、f計算部30
7、φ計算部308およびメッセージ生成部309を含
んで構成されている。
【0066】図4は対話装置300の動作を示してい
る。以下、対話装置300の動作を説明する。
【0067】[1]乱数生成部304を用いて、非再現
性秘密情報k∈Gを生成し、記憶部302に保持する。
[2]Gにおける算法実行部305とπ計算部306を
用いて、記憶部302に保持された非再現性秘密情報k
からコミットメントrを
【0068】
【数9】 r=π(kp) として計算し、記憶部302に保持する。
【0069】もちろん、πが恒等写像である場合は、π
計算部306は不要である。 [3]入出力部301を用いて、記憶部302に保持さ
れたコミットメントrを出力する。 [4]入出力部301を用いて、チャレンジχを入力
し、記憶部302に保持する。 [5]入出力部301を用いて、ドキュメントmを入力
し、記憶部302に保持する。 [6]ドキュメント処理部303を用いて、記憶部30
2に保持されたドキュメントmに応じた処理を行なう。 [7]対話装置固有の秘密関数fの計算部307を用い
て、記憶部302に保持されたドキュメントmからドキ
ュメント秘密情報μ∈Gを
【0070】
【数10】μ=f(m) として計算し、記憶部302に保持する。
【0071】関数fの計算部307は、例えば、対話装
置固有の秘密情報dの記憶部302とハッシュ関数hの
計算部とで構成し、
【0072】
【数11】f(m)=h(d|m) を計算するようにしても良い。ここで、「|」はビット
の連結を表す。 [8]メッセージ生成部309を用いて、メッセージM
を生成し、記憶部302に保持する。 [9]φの計算部308を用いて、記憶部302に保持
されたチャレンジχとメッセージMから指数cを
【0073】
【数12】c=φ(χ,M) として計算し、記憶部302に保持する。 [10]Gにおける算法実行部305を用いて、記憶部
302に保持された非再現性秘密情報kとドキュメント
秘密情報μと指数cからレスポンスσを
【0074】
【数13】σ=kμc として計算し、記憶部302に保持する。[11]入出
力部301を用いて、記憶部302に保持されたメッセ
ージMとレスポンスσを出力する。 動作[6]は、応
用によっては、必ずしも必須ではない。したがって、ド
キュメント処理部303を持たない対話装置300の構
成も可能である。 ドキュメント処理部303を設ける
ことによって、対話毎に対話装置300の実行する処理
を可変にでき、後述するチケットに多様な機能性を付与
することができるようになる。
【0075】[動作の実行順序についての制約]動作1
ないし動作11は、必ずしもこの順序で逐次的になされ
る必要はない。動作「い」が動作「こ」に先だって実行
されなければならないという順序関係を
【0076】
【数14】い→こ で表すものとして、諸動作の実行順序についての制約を
説明する。
【0077】
【数15】1→2→3→4 5→6,7 4,8→9 7,9→10→11 は常に満たされなければならない実行順序についての制
約となっている。
【0078】ドキュメント処理部303の動作が他の動
作に影響を与える場合は、さらに、以下に説明するよう
な実行順序の制約が生じる。
【0079】[G,p,πが可変な場合]ドキュメント
mが、Gを規定する場合、6→2が要請される。これ
は、ドキュメントmにGを規定するパラメターが記述さ
れており、動作[6]において、これらのパラメターが
設定され、Gにおける算法実行部は設定されたパラメタ
ータにしたがって計算を行なえるように構成した場合で
ある。
【0080】ドキュメントmが、pを規定する場合、6
→2が要請される。これは、ドキュメントmにpを規定
するパラメターが記述されており、動作[6]におい
て、これらのパラメターが設定され、Gにおける算法実
行部は設定されたパラメターにしたがって計算を行なえ
るように構成した場合である。
【0081】ドキュメントmが、πを規定する場合、6
→2が要請される。これは、ドキュメントmにπを規定
するパラメターが記述されており、動作[6]におい
て、このパラメターが設定され、πの計算部は設定され
たパラメターにしたがって計算を行なえるように構成し
た場合である。
【0082】これらの例では、G,p,πは対話の都度
に可変だが、これらを固定する構成も、もちろん可能で
ある。
【0083】[冪計算の事前実行]ここでは、G,p,
πは固定されたものとする。
【0084】記憶部302に非再現性秘密情報とコミッ
トメントの組(k,r)を複数保持することができるな
らば、動作[1]および動作[2]をこの順序で予め繰
り返し実行しておくことによって、チャレンジχが入力
される直前にコミットメントrを生成しなくて良いの
で、対話装置の対話に要する時間を短縮することができ
る。
【0085】また、対話装置の装置毎に固有な部分は秘
密関数fのみであり、コミットメントrの生成部分を分
離して共有化することができる。
【0086】図8は冪計算部を分離した構成を示してい
る。この構成例では、対話装置300は、レスポンス生
成部310およびコミットメント生成部311に分か
れ、動作[1]および動作[2]はコミットメント生成
部311において行なわれる。なお、図8において図3
に対応する箇所には対応する符号を付した。
【0087】コミットメント生成部311からレスポン
ス生成部310に、非再現性秘密情報kが秘密通信によ
って伝達される。
【0088】レスポンス生成部をスマートカードとして
構成しても良い。
【0089】[レスポンス生成の条件が可変な場合]ド
キュメントmが、レスポンス生成の条件を規定する場
合、これは、ドキュメントmにレスポンス生成の条件が
記述されており、動作[6]において、条件が満たされ
なければ、処理を中断するように構成すれば良い。
【0090】ドキュメントmに応じた処理の具体例を述
べる。
【0091】例えば、ドキュメントmにレスポンスの生
成を許すチャレンジχの条件が記述されており、動作
[6]において、情報記憶部302に保持されたチャレ
ンジχが条件を満たされなければ対話装置300の処理
を中断するように構成する。
【0092】レスポンスの生成を許すチャレンジの条件
の例を挙げる。ドキュメントmにレスポンス生成の有効
期限を規定するパラメターが記述されており、また、チ
ャレンジχをビット列として表現した場合の特定のビッ
トフィールドを現在時刻の表現と見なし、有効期限と現
在時刻を比較し、有効期限を過ぎていた場合は対話装置
300の処理を中断するように構成する。
【0093】また、例えば、ドキュメント処理部303
が現在時刻を保持する計時部を持ち、ドキュメントmに
レスポンス生成の有効期限を規定するパラメターが記述
されており、動作[6]において、有効期限と現在時刻
を比較し、有効期限を過ぎていた場合は対話装置300
の処理を中断するように構成する。
【0094】また、例えば、ドキュメント処理部303
がカウンターを持ち、ドキュメントmにカウンターの値
をディクリメントするかしないかを規定するフラグが記
述されており、動作[6]において、フラグがディクリ
メントを指示した場合、カウンターの値が0でなけれ
ば、カウンターの値を1だけディクリメントし、0であ
れば対話装置300の処理を中断するように構成する。
【0095】また、例えば、ドキュメント処理部303
がカウンターを持ち、ドキュメントmにカウンターをデ
ィクリメントする値が記述されており、動作[6]にお
いて、カウンターの値がディクリメントする値より小さ
くなければカウンターの値を指示された値だけディクリ
メントし、そうでなければ対話装置300の処理を中断
するように構成する。
【0096】また、例えば、ドキュメント処理部303
が複数のカウンターを持ち、ドキュメントmに対応する
カウンターを規定するポインターが記述されており、動
作[6]において、規定されたカウンターの値が0でな
ければ、カウンターの値を1だけディクリメントし、0
であれば対話装置300の処理を中断するように構成す
る。
【0097】また、例えば、ドキュメント処理部303
が複数のカウンターを持ち、ドキュメントmに対応する
カウンターを規定するポインターとディクリメントする
値が記述されており、動作[6]において、規定された
カウンターの値がディクリメントする値より小さくなけ
ればカウンターの値を指示された値だけディクリメント
し、そうでなければ対話装置300の処理を中断するよ
うに構成する。
【0098】[メッセージの生成方法がドキュメントに
規定される場合]ドキュメントmが、メッセージ生成の
方法を規定する場合、これは、ドキュメントmにメッセ
ージ生成を規定するパラメターが記述されており、動作
[6]において、これらのパラメターが設定され、メッ
セージ生成部309は設定されたパラメターにしたがっ
てメッセージ生成を行なえるように構成した場合であ
る。
【0099】ドキュメントmに応じた処理の具体例を述
べる。
【0100】最も簡単なものは、メッセージMがドキュ
メントmの関数として決まる場合、例えば、ドキュメン
トmの特定のビットフィールドをメッセージMとするよ
うに構成する。
【0101】例えば、ドキュメントmにレスポンスの生
成を許すチャレンジχの条件が記述されており、動作
[6]において、情報記憶部302に保持されたチャレ
ンジχが条件を満たされなければ対話装置300の処理
を中断するように構成する。
【0102】レスポンスの生成を許すチャレンジの条件
の例を挙げる。ドキュメントmにレスポンス生成の有効
期限を規定するパラメターが記述されており、また、チ
ャレンジχをビット列として表現した場合の特定のビッ
トフィールドを現在時刻の表現と見なし、有効期限と現
在時刻を比較し、有効期限を過ぎていた場合は対話装置
300の処理を中断するように構成する。
【0103】また、例えば、ドキュメント処理部303
が現在時刻を保持する計時部を持ち、ドキュメントmに
レスポンス生成の有効期限を規定するパラメターが記述
されており、動作[6]において、有効期限と現在時刻
を比較し、有効期限を過ぎていた場合は対話装置300
の処理を中断するように構成する。
【0104】また、例えば、ドキュメント処理部303
がカウンターを持ち、ドキュメントmにカウンターの値
をディクリメントするかしないかを規定するフラグが記
述されており、動作[6]において、フラグがディクリ
メントを指示した場合、カウンターの値が0でなけれ
ば、カウンターの値を1だけディクリメントし、メッセ
ージ生成部309の保持するフラグ(ディクリメントに
成功に成功したか否か)をオンにし、カウンターの値が
0であれば、メッセージ生成部309の保持するフラグ
をオフにして、メッセージ生成部309は、メッセージ
をカウンターの値とディクリメントに成功したか否かの
フラグの値の組として生成するように構成する。
【0105】また、例えば、ドキュメント処理部303
がカウンターを持ち、ドキュメントmにカウンターをデ
ィクリメントする値が記述されており、動作[6]にお
いて、カウンターの値がディクリメントする値より小さ
くなければカウンターの値を指示された値だけディクリ
メントし、メッセージ生成部309の保持するフラグ
(ディクリメントに成功に成功したか否か)をオンに
し、カウンターの値がディクリメントする値より小さけ
ればメッセージ生成部309の保持するフラグをオフに
して、メッセージ生成部309は、メッセージをカウン
ターの値とディクリメントに成功したか否かのフラグの
値の組として生成するように構成する。
【0106】また、例えば、ドキュメント処理部303
が複数のカウンターを持ち、ドキュメントmに対応する
カウンターを規定するポインターが記述されており、動
作[6]において、規定されたカウンターの値が0でな
ければ、カウンターの値を1だけディクリメントし、メ
ッセージ生成部309の保持するフラグをオンにし、規
定されたカウンターの値が0であれば、メッセージ生成
部309の保持するフラグをオフにして、メッセージ生
成部309は、メッセージを規定されたカウンターの値
とフラグの値の組として生成するように構成する。
【0107】また、例えば、ドキュメント処理部303
が複数のカウンターを持ち、ドキュメントmに対応する
カウンターを規定するポインターとディクリメントする
値が記述されており、動作[6]において、規定された
カウンターの値がディクリメントする値より小さくなけ
ればカウンターの値を指示された値だけディクリメント
し、メッセージ生成部309の保持するフラグをオンに
し、規定されたカウンターの値がディクリメントする値
より小さければメッセージ生成部309の保持するフラ
グをオフにして、メッセージ生成部309は、メッセー
ジを規定されたカウンターの値とフラグの値の組として
生成するように構成する。
【0108】[ドキュメント処理のその他の例]例え
ば、ドキュメント処理部303がカウンターを持ち、ド
キュメントmにインクリメントする値が記述されてお
り、動作[6]において、カウンターの値を指示された
値だけインクリメントするように構成する。
【0109】また、例えば、ドキュメント処理部303
が複数のカウンターを持ち、ドキュメントmに対応する
カウンターを規定するポインターとインクリメントする
値が記述されており、動作[6]において、規定された
カウンターの値を指示された値だけインクリメントする
ように構成する。
【0110】また、例えば、ドキュメント処理部303
が現在時刻を保持する計時部と履歴の保持部を持ち、ド
キュメントmに履歴を記録するか記録しないかを規定す
るフラグが記述されており、動作[6]において、フラ
グが履歴の記録を指示した場合、履歴の保持部に、計時
部に保持された現在時刻とドキュメントmのタプルを保
持するように構成する。
【0111】[複数ドキュメントの一括処理]以上に述
べた諸例では、一回の対話において一つのドキュメント
mしか関与しないが、複数のドキュメント
1,...,mNが関与するように構成することも可能
である。
【0112】図10は、複数ドキュメントの一括処理を
行なう対話装置の動作を示している。
【0113】複数のドキュメントを一回の対話において
扱う場合、動作[5]ないし動作[7]を以下の動作
[10]ないし動作[12]に置き換えれば良い。
【0114】[10]入出力部301を用いて、ドキュ
メントm1,...,mNを入力し、記憶部302に保持
する。 [11]ドキュメント処理部303を用いて、記憶部3
02に保持されたドキュメントm1,...,mNに応じ
た処理を順次行なう。 [12]対話装置固有の秘密関数fの計算部307を用
いて、記憶部302に保持されたドキュメント
1,...,mNからドキュメント秘密情報μ∈Gを
【0115】
【数16】μ=f(m1)・・・f(mN) として計算し、記憶部302に保持する。
【0116】もちろん、複数のドキュメントを一回の対
話において扱う場合には、各ドキュメントmiに応じた
処理の実行結果が競合しないようにしなければならな
い。
【0117】[チケット発行装置]チケット発行装置4
00は以下の検証情報Iおよび認証の特徴情報xを利用
する。
【0118】
【数17】 I∈G 検証情報 x∈G 認証の特徴情報 とする。ここで、認証の特徴情報xと検証情報Iとは、
Ixp=1という関係を満たす。
【0119】Gの零化域Ann(G)の生成元λを既知
とする。pがλと互いに素ならば、
【0120】
【数18】pd≡1 mod λ を満たすdが計算できるので任意の検証情報Iに対し
て、対応する認証の特徴情報xを
【0121】
【数19】x=I-d として求めることができる。
【0122】p=2の場合も、G=(Z/nZ)*でn
がBlum数ならば、Iをほとんど任意に定めることが
できる。詳しくは、FiatとShamirによる”H
owto prove yourself:pract
ical solutionsto identif
ication and signature pro
blems”,Advances in Crypto
logy CRYPTO’86,A.M.Odlyzk
o(ed.),Springer−Verlag,p
p.186−194を参照されたい。
【0123】図5はチケット発行装置の構成を示し、図
6はチケット発行装置の動作を示している。チケット発
行装置400は入出力部401、記憶部402、Gの算
法実行部403、f計算部404を含んで構成されてい
る。以下、チケット発行装置400の動作を説明する。 [1]入出力部401を用いて、認証の特徴情報xを入
力し、記憶部402に保持する。 [2]入出力部401を用いて、ドキュメントmを入力
し、記憶部402に保持する。 [3]入出力部401を用いて、対話装置300の識別
子Uを入力し、記憶部402に保持する。 [4]記憶部402に保持された識別子Uに対応する対
話装置300固有の秘密関数fの計算部404を用い
て、記憶部402に保持されたドキュメントmからドキ
ュメント秘密情報μを
【0124】
【数20】μ=f(m) として計算し、記憶部402に保持する。 [5]Gにおける算法実行部403を用いて、記憶部4
02に保持された認証の特徴情報xとドキュメント秘密
情報μからチケットtを
【0125】
【数21】t=xμ-1 として計算し、記憶部402に保持する。 [6]入出力部401を用いて、記憶部402に保持さ
れたチケットtを出力する。
【0126】対話装置300固有の秘密関数fは、例え
ば、対話装置の項で述べたように対話装置300固有の
秘密情報dとハッシュ関数hを用いて、f(m)=h
(d|m)として計算するようにしても良い。
【0127】対話装置300固有の秘密情報dは、例え
ば、チケット発行者がランダムに生成し、対話装置30
0の識別子Uとのタプル(U,d)を保持するようにし
ても良い。
【0128】また、チケット発行者の秘密情報Dを用い
て、対話装置300の識別子Uに対して、対話装置30
0固有の秘密情報dを
【0129】
【数22】d=U|D としても良い。ただし、このようにdを生成すると、対
話装置300の耐タンパー性が崩れた場合チケット発行
者の秘密情報Dが漏洩するという問題をはらんでいる。
【0130】ハッシュ関数hを用いて、
【0131】
【数23】d=h(U|D) としてdを生成すれば、対話装置300にはDを保持す
る必要がなく、ハッシュ関数の一方向性よりdからDを
求めることは困難であるのでより望ましい。
【0132】ドキュメントmは、秘密関数fの入力値と
なりえる任意の値を与えることができる。
【0133】さらに、ドキュメントmは、対話装置の項
で述べたように対話装置300のドキュメント処理部3
03に与える処理を記述するようにしても良い。
【0134】さらに、ドキュメントmには、チケットを
識別する情報を記述するようにしても良い。
【0135】例えば、プロバイダーの識別子やチケット
が対応するサービスの識別子、チケット発行順に振られ
るシーケンシャルIDが含まれても良い。
【0136】また、例えば、チケットの発行者が認証の
特徴情報xとその識別子を管理し、その識別子を含ませ
るようにしても良い。
【0137】また、例えば、認証の特徴情報xに対応す
る公開情報Iから定まる値を含ませるようにしても良
い。
【0138】[チケット合成方法]ここでは、G,p,
πはシステムに共通であり、対話装置300は複数ドキ
ュメントに対応するものとする。
【0139】t1,...,tN∈Gを、固有の秘密関数
fを持つ対話装置300に対して生成されたチケットと
し、1≦i≦Nに対して、Ii∈Gを各チケットtiに対
応する検証情報とする。
【0140】合成された検証情報I=I1・・・INに対
応する合成されたチケットtを
【0141】
【数24】t=t1・・・tN として生成することができる。
【0142】チケットtiにドキュメントmiが対応し、
検証情報Iiに認証の特徴情報xiが対応している、つま
り、Iii P=1とすると、ドキュメントmiに対応す
るドキュメント秘密情報μi=f(mi)は
【0143】
【数25】μi=ti -1i なので、x=x1・・・xNとすると、xは合成された検
証情報Iに対応する認証の特徴情報、つまり、Ixp
1であり、複数ドキュメントm1,...,mNに対応す
るドキュメント秘密情報μ=f(m1)・・・f(mN
【0144】
【数26】μt-1x を満たしている。
【0145】[チケットを用いた証明方法]図11はチ
ケットを用いた証明方法の流れを示している。
【0146】以下、チケットと対話装置を用いた証明方
法を説明する。
【0147】利用者は、秘密関数fで特徴付けられる対
話装置とt=xf(m)-1を満たすドキュメントmとチ
ケットtを保持するものとする。
【0148】コミットメントrと、チャレンジχに対す
るメッセージMとレスポンスsを生成する方法は以下の
とおり。
【0149】[1]対話装置300を用いて、コミット
メントrを取得する。 [2]対話装置300を用いて、ドキュメントmとチャ
レンジχに対応するメッセージMとレスポンスσを取得
する。 [3]チャレンジχと取得したメッセージMより指数c
をc=φ(χ,M)として計算する。
【0150】[4]チケットtと指数cと取得したレス
ポンスσよりレスポンスsを
【0151】
【数27】s=tcσとして計算する。このとき、
(r,χ,M,s)は
【0152】
【数28】 を満たしている。
【0153】このようにして、利用者に認証の特徴情報
xを知らすことなく、対話装置300とチケットtを用
いることによって、検証情報Iに対応する図1に記載の
証明者の機能を頒布することができる。
【0154】この証明者に対応する検証者は、図1に記
載された従来例と全く同一なので、検証装置は唯一の検
証情報Iを保持する必要があるだけで、極めて小規模な
装置で多数の利用者の認証を、完結して行なうことがで
きる。
【0155】[Fiat−Shamir認証]特に、p
=2の場合、
【0156】
【数29】r=π(s2c) を満たしており、いわゆるFiat−Shamir認証
の関係を満たしている。
【0157】このようにして、利用者に秘密情報xを知
らすことなく、対話装置とチケットtを用いることによ
って、検証情報Iに対応するFiat−Shamir認
証の証明者の機能を頒布することができる。
【0158】なお、Fiat−Shamir認証の詳細
については、前述の”How toprove you
rself:practical solution
sto identification and si
gnature problems”を参照されたい。
【0159】[Guillou−Quisquater
認証]特に、pがGの零化域の生成元λと互いに素な場
合、利用者はGuillou−Quisquater認
証の証明者としてふるまったことになる。
【0160】このようにして、利用者に秘密情報xを知
らすことなく、対話装置とチケットtを用いることによ
って、検証情報Iに対応するGuillou−Quis
quater認証の証明者の機能を頒布することができ
る。
【0161】[チケット検証装置]図9はチケット検証
装置の構成を示し、図7はチケット検証装置の動作を示
している。
【0162】チケット検証装置は、対話装置と対話を行
なうことによってチケットの検証を行なう。チケット検
証装置500は入出力部501、記憶部502、乱数生
成部503、Gの算法実行部504、π計算部505、
φ計算部506を含んで構成されている。
【0163】以下、チケット検証装置500の動作を説
明する。
【0164】チケット検証装置500は、検証情報Iと
チケットtを記憶部502に保持している。
【0165】[1]入出力部501を用いて、コミット
メントrを入力し、記憶部502に保持する。 [2]乱数生成部503を用いて、チャレンジχを生成
し、記憶部502に保持する。 [3]入出力部501を用いて、記憶部502に保持さ
れたチャレンジχを出力する。 [4]入出力部501を用いて、メッセージMとレスポ
ンスσを入力し、記憶部502に保持する。 [5]φの計算部506を用いて、記憶部502に保持
されたチャレンジχとメッセージMより指数cをc=φ
(χ,M)として計算し、記憶部502に保持する。
【0166】[6]Gにおける算法実行部504と、必
要ならば、πの計算部505を用いて、記憶部502に
保持されたc,σ,Iとチケットtから
【0167】
【数30】r’=π((tcσ)pc) を計算し、記憶部502に保持する。
【0168】もちろん、πが恒等写像である場合は、π
の計算部505は不要である。
【0169】また、r’は、例えば、r’=π((tp
I)cσp)として計算しても構わない。
【0170】[7]記憶部502に保持されたr,r’
を比較する。
【0171】チケットtがドキュメント秘密情報μと認
証の特徴情報xに対応したものであるならば
【0172】
【数31】μ=t-1x を満たしており、ドキュメント秘密情報μに基づいた対
話では、(r,χ,M,σ)は
【0173】
【数32】 を満たしている。したがって、秘密関数fがμ=f
(m)を満たす対話装置300と検証装置500との対
話のときにはr=r’が満たされる。
【0174】[チケットが可変な構成]ここでは、入出
力部501にチケットを入力し、入力されたチケットを
記憶部502に保持する構成を述べる。
【0175】動作[1]ないし動作[6]に先だって、
チケット検証装置500は、以下の動作を実行する。
【0176】[8]入出力部501を用いて、チケット
tを入力し、記憶部502に保持する。
【0177】このように構成することによって複数のチ
ケットの検証を行なうことができる。
【0178】また、コミットメントの空間Rとチャレン
ジの空間Cとが等しく、指数を生成する関数φがハッシ
ュ関数hを用いて
【0179】
【数33】φ(χ,M)=h(χ|M) である場合、チャレンジχをコミットメントrそのも
の、つまり、χ=rとして、検証に成功した対話に対し
て、署名(M,R,s)を検証の履歴として記憶部に保
持するように構成しても良い。
【0180】このように構成することによってチケット
の検証を確かに行なったことを第三者に証明することが
できる。
【0181】もちろん、第三者が署名(M,R,s)を
検証する際の検証式は、
【0182】
【数34】 である。
【0183】[応用例:メンバーズカード]以上に述べ
てきた対話装置300とチケットを用いた証明者の機能
を、実際の応用上の局面に適用した例について述べる。
【0184】まず、メンバーズカードに適用した例を図
12を用いて説明する。この応用例では、認証の特徴情
報xをあるサービスに対応させ、チケットはそのサービ
スの利用資格であり、証明時に伝達されるメッセージは
サービス名称とサービス利用者としての識別子、つま
り、会員番号に対応する。
【0185】この応用例におけるチケットは、通常、プ
ラスティックのカード等で実現されているメンバーズカ
ード等をビット列で実現するものである。
【0186】チケット発行者はサービス提供者であり、
メンバーズカード検証器1000を (1)スマートカードリーダー510 (2)会員番号表示部511 (3)スマートカードリーダー内のROMに焼き付けら
れたプログラムとして実現されたチケット検証器500
によって構成する。
【0187】表示部511は、チケット検証に成功した
場合、伝達されたメッセージ、つまり、会員番号の表示
を行ない、チケット検証に失敗した場合はエラー表示を
行なう。
【0188】スマートカードリーダー510は、スマー
トカードを挿入するスロットを持ち、スマートカードと
の通信を行なう。
【0189】サービス利用者は、チケット保持部31
2、ドキュメント保持部313および対話装置300か
らなるスマートカード2000を所有するものとする。
【0190】サービス利用者は、会員登録を行なう際、
自分の所有する対話装置300の識別子を提示して、そ
の対話装置300に対応するチケットを発行してもら
い、例えば、所有するスマートカード2000にドキュ
メントと併せて入力する。
【0191】ドキュメントは、サービス名称(例えば”
Xerox Club”)を表すフィールドと会員番号
(例えば”0017 257 65537”)を表すフ
ィールドとからなる。
【0192】サービスを利用する場合、利用者はメンバ
ーズカード検証器1000にスマートカード2000を
挿入し、チケット認証を行なう。
【0193】ここで、対話装置300の生成するメッセ
ージはドキュメントそのものとなるように構成する。
【0194】チケットおよびドキュメントをメンバーズ
カード検証器1000に入力するスマートカードリーダ
ー510とは異なる入力手段を設ければ、チケットやド
キュメントは必ずしもスマートカード2000に保持し
ておく必要はない。
【0195】例えば、利用者は対話装置300のみから
なるスマートカード2000を携帯し、チケットやドキ
ュメントはスマートカード2000とは異なる携帯型情
報機器に保持したり、自宅のPCに保持し、利用時に携
帯型通信機器を用いて取得するようにしても良い。
【0196】また、チケットの発行は、必ずしも会員登
録の際に行なわなくとも、利用者が既に保持していたプ
ラステックのメンバーズカードと代替するようにしても
良い。
【0197】また、チケット発行者をサービス提供者と
は独立に設け、サービス提供者がサービス利用者にチケ
ットを発行する場合、独立なチケット発行者にチケット
発行を委託するようにしても良い。
【0198】チケット発行者を独立して設ければ、多種
のサービスに対応するチケットを単一の対話装置300
に対して発行できるので、利用者は唯一の対話装置30
0さへ保持していれば、複数のメンバーズカード等を純
粋に電子情報としてのみ保持することが可能となる。
【0199】[応用例:プリペイドカード]つぎにプリ
ペイドカードへの適用例について図13を参照して説明
する。
【0200】この応用例では、認証の特徴情報xをある
サービスに対応させ、チケットはそのサービスで利用さ
れるプリペイドカードであり、証明時に伝達されるメッ
セージはプリペイドカードからの引き落としに成功した
か否かとプリペイドカードの残高情報である。
【0201】チケット発行者はサービス提供者であり、
プリペイドカード取扱器1500を (1)スマートカードリーダー510 (2)引き落とし額入力部512 (3)表示部513 (4)PIN入力部514 (5)スマートカードリーダー内のROMに焼き付けら
れたプログラムとして実現されたチケット検証器500
によって構成する。
【0202】スマートカードリーダー510は、スマー
トカード2000を挿入するスロットを持ち、スマート
カード2000との通信を行なう。
【0203】引き落とし額入力部512は、例えば、テ
ンキーによって構成され、引き落とし額の入力を行な
う。
【0204】表示部513は、引き落とし額入力部51
2で入力された引き落とし額を表示し、ついで、チケッ
ト検証に成功した場合、伝達されたメッセージ、つま
り、引き落としに成功したか否かとプリペイドカードの
残高の表示を行ない、チケット検証に失敗した場合はエ
ラー表示を行なう。
【0205】PIN入力部514は、例えば、テンキー
によって構成され、利用者によるPINの入力を行な
う。
【0206】サービス利用者は、チケット保持部312
と対話装置300からなるスマートカード2000を所
有するものとする。
【0207】サービス利用者は、プリペイドカードの購
入を行なう際、自分の所有する対話装置300の識別子
とプリペイドカードに対応付けるPINとプリペイドカ
ードの額面を提示して、その対話装置300に対応する
チケットを発行してもらい、例えば、所有するスマート
カード2000に入力し、また、対話装置300のカウ
ンターにプリペイドカードの額面情報を設定する。
【0208】ドキュメントは、サービス名称(例え
ば、”Xerox Store”)を表すフィールドと
PIN(例えば、”0917”)を表すフィールドとか
らなる。
【0209】サービスを利用する場合、利用者はプリペ
イドカード取扱器1500にスマートカード2000を
挿入し、チケット認証を行なう。
【0210】まず、スマートカードリーダー510はス
マートカード2000に保持されたチケットを取得し、
チケット検証器500に設定し、対話を開始する。
【0211】チケット検証器500の送信するチャレン
ジの特定のビットフィールドに引き落とし額入力部51
2で入力された引き落とし額(例えば、”350”円)
を埋め込み、また、サービス名称(例えば、”Xero
x Store”)とPIN入力部514より入力され
たPIN(例えば、”0917”)を併せてドキュメン
トとして対話装置300に入力する。
【0212】対話装置300のメッセージ生成部309
(図3)が、チャレンジに埋め込まれた引き落とし額が
カウンタの値(例えば、”2000”円)より大きくな
ければカウンタの値を引き落とし額だけディクリメント
し(つまり、”1650”円)、メッセージとして引き
落としの成功(”OK”)とカウンタ残高(”165
0”円)を生成する。引き落とし額がカウンタの値より
大きい場合は、カウンタのディクリメントは行なわず、
メッセージとして引き落としの失敗(”NG”)とカウ
ンタ残高を生成する。
【0213】チケット検証器500は、送られたメッセ
ージを検証し、引き落としに失敗した場合は、例えば、
カード残高分のみをカードより引き落とし、差額分は現
金で支払ってもらう。
【0214】
【発明の効果】以上、説明してきたように、本発明は、
公開鍵暗号における認証の特徴情報を開示することな
く、認証の特徴情報に基づいた証明の機能を配布するこ
とができる。したがって、従来不可能であった、利害関
係を持たない複数の個人が同一の認証の特徴情報に基づ
いた証明を安全に行なえるようになった。このことは、
必ずしも個人に帰属しない性格を有するチケットを、そ
のまま、公開鍵暗号の認証の特徴情報に対応付けること
を可能にし、チケットの検証側は、公開された唯一の検
証情報に基づき公開された手順で、チケットの真贋を判
定するのみで検証を行なえるので検証側の負担を大幅に
軽減できる。また、チケットの所持を証明する利用者側
から見ても、検証側の有する先に述べた特質は、検証側
の公正が確認でき、チケットの検証に伴って個人の特定
がなされない(なぜならば個人に帰属しない認証の特徴
情報のみが検証に関わるので)ことなどの効用がある。
さらに、利用者にとっては、チケットおよび対話装置は
チケット発行者のみに理解し得るブラックボックスであ
り、チケットを対話装置に入力するならば、認証方式を
実現するのには関与していなコバートチャネルが存在し
ないことを確信できないが、本発明においては、対話装
置への情報伝達は、利用者にも完全な解釈を許してもプ
ロテクト側の安全性を損ねないドキュメントとして実現
し、ブラックボックスであるチケットをブラックボック
スである対話装置に入力することもない。
【0215】また、本発明においては、Guillou
−Quisquater認証をベースの公開鍵暗号とし
て採用しているが、Guillou−Quisquat
er認証はGuillouとQuisquaterによ
り”A ’paradoxical’ identit
y−based signature schemer
esulting from zero−knowle
dge”,Advances in Cryptolo
gy CRYPT’88,S.Goldwasser
(ed.),Springer−Verlag,pp.
216−231において零知識性が証明されている。
【図面の簡単な説明】
【図1】 従来技術に係わる認証方法の原理を示す図で
ある。
【図2】 全体の構成を示す図である。
【図3】 対話装置の構成を示す図である。
【図4】 対話装置の動作を示す図である。
【図5】 チケット発行装置の構成を示す図である。
【図6】 チケット発行装置の動作を示す図である。
【図7】 チケット検証装置の動作を示す図である。
【図8】 対話装置の構成を示す図である。
【図9】 チケット検証装置の構成をを示す図である。
【図10】 対話装置の動作を示す図である。
【図11】 チケットを用いた証明方法の原理を示す図
である。
【図12】 応用例の構成を示す図である。
【図13】 応用例の構成を示す図である。
【符号の説明】
100 検証者 200 証明者 300 対話装置 301 対話装置の入出力部 302 対話装置の記憶部 303 対話装置のドキュメント処理部 304 対話装置の乱数生成部 305 対話装置のGの算法実行部 306 対話装置のπ計算部 307 対話装置のf計算部 308 対話装置のφ計算部 309 対話装置のメッセージ生成部 310 対話装置のレスポンス生成部 311 対話装置のコミットメント生成部 312 チケット保持部 313 ドキュメント保持部 400 チケット発行装置 401 チケット発行装置の入出力部 402 チケット発行装置の記憶部 403 チケット発行装置のGの算法実行部 404 チケット発行装置のf計算部 500 チケット検証装置 501 チケット検証装置の入出力部 502 チケット検証装置の記憶部 503 チケット検証装置の乱数生成部 504 チケット検証装置のGの算法実行部 505 チケット検証装置のπ計算部 506 チケット検証装置のφ計算部 510 スマートカードリーダー 511 会員番号表示部 512 引き落とし額入力部 513 表示部 514 PIN入力部 1000 メンバーズカード検証器 1500 プリペイカード取扱器 2000 スマートカード

Claims (28)

    【特許請求の範囲】
  1. 【請求項1】 pを素数、Fpをp元体、Gを零化域を
    求めることが計算量的に困難な有限アーベル群(記法を
    固定する目的のためにのみ乗法的に記す)、Rをコミッ
    トメントの空間、πをGからRへの写像、Cをチャレン
    ジの空間、Sをメッセージの空間、φをCとSの集合論
    的積C×SからFpへの写像として、コミットメントr
    を生成し、ドキュメントmとチャレンジχに対してレス
    ポンスsとメッセージMとを生成し、検証情報I∈G、
    コミットメントrおよびレスポンスsに基づいて認証を
    行なう認証方法であって、 (a)非再現性秘密情報k∈Gをランダムに生成するス
    テップと、 (b)コミットメントr=π(kp)を計算するステッ
    プと、 (c)fをGへの秘密関数として、ドキュメント秘密情
    報μ=f(m)を計算するステップと、 (d)メッセージMを生成するステップと、 (e)指数C=φ(χ,M)を計算するステップと、 (f)レスポンスσ=kμcを計算するステップと、 (g)レスポンスs=tcσを計算するステップと、 (h)生成されたレスポンスsがr=π(spc)を満
    たすことを検証するステップとを有することを特徴とす
    る認証方法。
  2. 【請求項2】 pを素数、Fpをp元体、Gを零化域を
    求めることが計算量的に困難な有限アーベル群、Rをコ
    ミットメントの空間、πをGからRへの写像、Cをチャ
    レンジの空間、Sをメッセージの空間、φをCとSの集
    合論的積C×SからFpへの写像として、コミットメン
    トrを生成し、ドキュメントmとチャレンジχに対して
    レスポンスsとメッセージMとを生成し、検証情報I∈
    G、コミットメントrおよびレスポンスsに基づいて認
    証を行なう認証装置であって、 (a)非再現性秘密情報k∈Gをランダムに生成する手
    段と、 (b)コミットメントr=π(kp)を計算する手段
    と、 (c)fをGへの秘密関数として、ドキュメント秘密情
    報μ=f(m)を計算する手段と、 (d)メッセージMを生成する手段と、 (e)指数C=φ(χ,M)を計算する手段と、 (f)レスポンスσ=kμcを計算する手段と、 (g)レスポンスs=tcσを計算する手段と、 (h)生成されたレスポンスsがr=π(spc)を満
    たすことを検証する手段とを有することを特徴とする認
    証装置。
  3. 【請求項3】 pを素数、Fpをp元体、Gを零化域を
    求めることが計算量的に困難な有限アーベル群、Rをコ
    ミットメントの空間、πをGからRへの写像、Cをチャ
    レンジの空間、Sをメッセージの空間、φをCとSの集
    合論的積C×SからFpへの写像として、コミットメン
    トrを生成し、ドキュメントmとチャレンジχに対して
    レスポンスσとメッセージMとを生成する対話方法であ
    って、 (a)非再現性秘密情報k∈Gをランダムに生成するス
    テップと、 (b)コミットメントr=π(kp)を計算するステッ
    プと、 (c)fをGへの秘密関数として、ドキュメント秘密情
    報μ=f(m)を計算するステップと、 (d)メッセージMを生成するステップと、 (e)指数C=φ(χ,M)を計算するステップと、 (f)レスポンスσ=kμcを計算するステップとから
    なることを特徴とする対話方法。
  4. 【請求項4】 特に、p=2であることを特徴とする請
    求項3に記載の対話方法。
  5. 【請求項5】 特に、pがGの零化域の生成元λと互い
    に素であることを特徴とする請求項3に記載の対話方
    法。
  6. 【請求項6】 特に、Gが合成数nを法とする有理整数
    環の剰余類環の乗法群(Z/nZ)*であることを特徴
    とする請求項3に記載の対話方法。
  7. 【請求項7】 特に、Gが合成数nを法とする有理整数
    環の剰余類環Z/nZ上の群概型EのZ/nZに値を持
    つ点のなす群E(Z/nZ)であることを特徴とする請
    求項3に記載の対話方法。
  8. 【請求項8】 特に、πが恒等写像であることを特徴と
    する請求項3に記載の対話方法。
  9. 【請求項9】 特に、πがハッシュ関数を用いて計算さ
    れることを特徴とする請求項3に記載の対話方法。
  10. 【請求項10】 特に、φがハッシュ関数を用いて計算
    されることを特徴とする請求項3に記載の対話方法。
  11. 【請求項11】 コミットメントrを出力し、ドキュメ
    ントmとチャレンジχとを入力し、レスポンスσとメッ
    セージMとを出力するにあたって、 (a)情報の入出力手段と、 (b)情報の記憶手段と、 (c)乱数を生成する手段と、 (d)Gにおける算法を実行する手段と、 (e)必要ならば、πを計算する手段と、 (f)固有の秘密関数fを計算する手段と、 (g)メッセージを生成する手段と、 (h)φを計算する手段とを備え、少なくとも請求項3
    に記載の対話を実行することを特徴とする対話装置。
  12. 【請求項12】 内部の実行処理過程が外部から観測す
    ることが困難であることを特徴とする請求項11に記載
    の対話装置。
  13. 【請求項13】 ICカードなどの携帯可能な小型演算
    装置として構成されていることを特徴とする請求項11
    に記載の対話装置。
  14. 【請求項14】 固有の秘密関数fを計算する手段は、 (a)固有の秘密情報dを保持する手段と、 (b)ハッシュ関数hを計算する手段とからなり、ドキ
    ュメント秘密情報μが、固有の秘密情報dとドキュメン
    トmよりハッシュ関数hを用いて計算されることを特徴
    とする請求項11に記載の対話装置。
  15. 【請求項15】 ドキュメントmに応じた処理を行なう
    手段をさらに備えたことを特徴とする請求項11に記載
    の対話装置。
  16. 【請求項16】 ドキュメントmがG、p、πの少なく
    とも一部を規定することを特徴とする請求項15に記載
    の対話装置。
  17. 【請求項17】 ドキュメントmがレスポンス生成の条
    件を規定することを特徴とする請求項15に記載の対話
    装置。
  18. 【請求項18】 ドキュメントmが生成されるメッセー
    ジを規定することを特徴とする請求項15に記載の対話
    装置。
  19. 【請求項19】 検証情報I∈Gに対応する認証の特徴
    情報x∈GはIxp=1を満たし、ドキュメントmと請
    求項11に記載の固有の秘密関数fを有する対話装置に
    対して、チケットt∈Gを生成するチケット発行方法で
    あって、 (a)ドキュメント秘密情報μ=f(m)を計算するス
    テップと、 (b)チケットt=xμ-1を計算するステップとからな
    ることを特徴とするチケット発行方法。
  20. 【請求項20】 ドキュメントmが認証の特徴情報xに
    依存することを特徴とする請求項19に記載のチケット
    発行方法。
  21. 【請求項21】 ドキュメントmが認証の特徴情報xを
    識別する情報を含むことを特徴とする請求項19に記載
    のチケット発行方法。
  22. 【請求項22】 認証の特徴情報xとドキュメントmと
    対話装置を識別する情報を入力し、チケットtを出力す
    るにあたって、 (a)情報の入出力手段と、 (b)情報の記憶手段と、 (c)固有の秘密関数fを計算する手段と、 (d)Gにおける算法を実行する手段とを備え、請求項
    19に記載のチケット発行を実行することを特徴とする
    チケット発行装置。
  23. 【請求項23】 I1,t1,...,IN,tNを、請求
    項19に記載された検証情報Ii∈Gと固有の秘密関数
    fを有する対話装置に対応したチケットti∈Gとし
    て、合成された検証情報I=I1・・・INに対応する合
    成されたチケットtをt=t1・・・tNとして生成する
    ことを特徴とするチケット合成方法。
  24. 【請求項24】 複数のドキュメントm1,...,mN
    に対して、ドキュメント秘密情報μ=f(m1)・・・
    f(mN)を計算することを特徴とする請求項11に記
    載の対話装置。
  25. 【請求項25】 請求項11に記載の対話装置と請求項
    19あるいは請求項23に記載の検証情報Iに対するチ
    ケットtとドキュメントmとを用いて、コミットメント
    rを生成し、チャレンジχに対して、メッセージMとレ
    スポンスsとを 【数1】 を満たすように生成する証明方法であって、 (a)対話装置を用いて、コミットメントrを取得する
    ステップと、 (b)対話装置を用いて、ドキュメントmとチャレンジ
    χに対応するメッセージMとレスポンスσを取得するス
    テップと、 (c)指数c=φ(χ,M)を計算するステップと、 (d)レスポンスs=tcσを計算するステップとから
    なることを特徴とする証明方法。
  26. 【請求項26】 チケットtとドキュメントmを保持
    し、請求項11に記載の対話装置と通信することによっ
    て、コミットメントrを出力し、チャレンジχを入力
    し、メッセージMとレスポンスsを出力するにあたっ
    て、 (a)情報の入出力手段と、 (b)情報の記憶手段と、 (c)Gにおける算法を実行する手段と、 (d)φを計算する手段とを備え、請求項25に記載の
    証明を実行することを特徴とする証明装置。
  27. 【請求項27】 (チケット検証方法)}請求項19あ
    るいは請求項23に記載の検証情報Iに対するチケット
    tの検証方法であって、 (a)コミットメントrを取得するステップと、 (b)チャレンジχをランダムに生成するステップと、 (c)メッセージMとレスポンスσを取得するステップ
    と、 (d)指数c=φ(χ,M)を計算するステップと、 (e)関係式r=π((tcσ)pc)またはこの関係
    式と同等な関係式を満たすことを確認するステップとか
    らなることを特徴とするチケット検証方法。
  28. 【請求項28】 検証情報Iとチケットtを保持し、コ
    ミットメントrを入力し、チャレンジχを出力し、メッ
    セージMとレスポンスσを入力して正当性を検証するに
    あたって、 (a)情報の入出力手段と、 (b)情報の記憶手段と、 (c)乱数を生成する手段と、 (d)Gにおける算法を実行する手段と、 (e)必要ならば、πを計算する手段と、 (f)φを計算する手段とを備え、少なくとも請求項2
    7に記載の検証を実行することを特徴とするチケット検
    証装置。
JP02955298A 1998-02-12 1998-02-12 認証方法および装置 Expired - Fee Related JP3812123B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP02955298A JP3812123B2 (ja) 1998-02-12 1998-02-12 認証方法および装置
US09/240,876 US6567916B1 (en) 1998-02-12 1999-02-01 Method and device for authentication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP02955298A JP3812123B2 (ja) 1998-02-12 1998-02-12 認証方法および装置

Publications (2)

Publication Number Publication Date
JPH11231781A true JPH11231781A (ja) 1999-08-27
JP3812123B2 JP3812123B2 (ja) 2006-08-23

Family

ID=12279317

Family Applications (1)

Application Number Title Priority Date Filing Date
JP02955298A Expired - Fee Related JP3812123B2 (ja) 1998-02-12 1998-02-12 認証方法および装置

Country Status (2)

Country Link
US (1) US6567916B1 (ja)
JP (1) JP3812123B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4768626B2 (ja) * 2003-11-10 2011-09-07 クゥアルコム・インコーポレイテッド 期限切れマーカを使用する無線通信の認証

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7412598B1 (en) * 2000-12-29 2008-08-12 Cisco Technology, Inc. Method and system for real-time insertion of service during a call session over a communication network
US20030014630A1 (en) * 2001-06-27 2003-01-16 Spencer Donald J. Secure music delivery
US20030014496A1 (en) * 2001-06-27 2003-01-16 Spencer Donald J. Closed-loop delivery system
US20030069854A1 (en) * 2001-10-09 2003-04-10 Hsu Michael M. Expiring content on playback devices
US6947910B2 (en) * 2001-10-09 2005-09-20 E-Cast, Inc. Secure ticketing
KR100445574B1 (ko) * 2001-12-19 2004-08-25 한국전자통신연구원 대화형 영 지식 증명을 이용한 패스워드 기반의 인증 및키 교환 프로토콜 설계 방법
US20030131226A1 (en) * 2002-01-04 2003-07-10 Spencer Donald J. Dynamic distributed configuration management system
WO2004010584A2 (en) * 2002-07-24 2004-01-29 Congruence Llc. Code for object identification
US20040078324A1 (en) * 2002-10-16 2004-04-22 Carl Lonnberg Systems and methods for authenticating a financial account at activation
US8239917B2 (en) * 2002-10-16 2012-08-07 Enterprise Information Management, Inc. Systems and methods for enterprise security with collaborative peer to peer architecture
US7840806B2 (en) * 2002-10-16 2010-11-23 Enterprise Information Management, Inc. System and method of non-centralized zero knowledge authentication for a computer network
JP2007514987A (ja) * 2003-05-26 2007-06-07 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 半導体デバイス、認証方法およびシステム
US7647498B2 (en) * 2004-04-30 2010-01-12 Research In Motion Limited Device authentication
DE602006013138D1 (de) * 2005-07-13 2010-05-06 Nippon Telegraph & Telephone Authentifizierungssystem, authentifizierungsverfahren, bestätigungsvorrichtung, verifizierungsvorrichtung, programme dafür und aufzeichnungsmedium
JP4518056B2 (ja) * 2006-09-25 2010-08-04 富士ゼロックス株式会社 文書操作認証装置、及びプログラム
US8334891B2 (en) * 2007-03-05 2012-12-18 Cisco Technology, Inc. Multipoint conference video switching
US8264521B2 (en) * 2007-04-30 2012-09-11 Cisco Technology, Inc. Media detection and packet distribution in a multipoint conference
US10148285B1 (en) 2012-07-25 2018-12-04 Erich Schmitt Abstraction and de-abstraction of a digital data stream
US10795858B1 (en) 2014-02-18 2020-10-06 Erich Schmitt Universal abstraction and de-abstraction of a digital data stream

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4908861A (en) * 1987-08-28 1990-03-13 International Business Machines Corporation Data authentication using modification detection codes based on a public one way encryption function
US5218637A (en) * 1987-09-07 1993-06-08 L'etat Francais Represente Par Le Ministre Des Postes, Des Telecommunications Et De L'espace Method of transferring a secret, by the exchange of two certificates between two microcomputers which establish reciprocal authorization
FR2713419B1 (fr) * 1993-12-02 1996-07-05 Gemplus Card Int Procédé de génération de signatures DSA avec des appareils portables à bas coûts.
US5606617A (en) * 1994-10-14 1997-02-25 Brands; Stefanus A. Secret-key certificates
FR2733379B1 (fr) * 1995-04-20 1997-06-20 Gemplus Card Int Procede de generation de signatures electroniques, notamment pour cartes a puces
WO1997002679A1 (en) * 1995-06-30 1997-01-23 Stefanus Alfonsus Brands Restritedly blindable certificates on secret keys
US5870470A (en) * 1996-02-20 1999-02-09 International Business Machines Corporation Method and apparatus for encrypting long blocks using a short-block encryption procedure
US5761306A (en) * 1996-02-22 1998-06-02 Visa International Service Association Key replacement in a public key cryptosystem
US5796830A (en) * 1996-07-29 1998-08-18 International Business Machines Corporation Interoperable cryptographic key recovery system
US6233683B1 (en) * 1997-03-24 2001-05-15 Visa International Service Association System and method for a multi-application smart card which can facilitate a post-issuance download of an application onto the smart card
DE69724235T2 (de) * 1997-05-28 2004-02-26 Siemens Ag Computersystem und Verfahren zum Schutz von Software
JPH11122240A (ja) * 1997-10-17 1999-04-30 Fuji Xerox Co Ltd 復号装置および方法ならびにアクセス資格認証装置および方法
US6076163A (en) * 1997-10-20 2000-06-13 Rsa Security Inc. Secure user identification based on constrained polynomials

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4768626B2 (ja) * 2003-11-10 2011-09-07 クゥアルコム・インコーポレイテッド 期限切れマーカを使用する無線通信の認証

Also Published As

Publication number Publication date
JP3812123B2 (ja) 2006-08-23
US6567916B1 (en) 2003-05-20

Similar Documents

Publication Publication Date Title
JP3562262B2 (ja) 認証方法および装置
US7673144B2 (en) Cryptographic system for group signature
JP3812123B2 (ja) 認証方法および装置
US6061791A (en) Initial secret key establishment including facilities for verification of identity
US7571324B2 (en) Method and device for anonymous signature with a shared private key
US4944007A (en) Public key diversification method
JP5497677B2 (ja) 公開鍵を検証可能に生成する方法及び装置
EP0824814B1 (en) Methods and apparatus for authenticating an originator of a message
US6072874A (en) Signing method and apparatus using the same
JP4818264B2 (ja) リスト署名を生成する方法及びシステム
Brands A technical overview of digital credentials
US7490069B2 (en) Anonymous payment with a verification possibility by a defined party
EP0804003A2 (en) Digital signature method and communication system
US20040165728A1 (en) Limiting service provision to group members
JPH1131204A (ja) 電子チケットシステム
US8121290B2 (en) Pseudo-random function calculating device and method and number-limited anonymous authentication system and method
US20040059686A1 (en) On-line cryptographically based payment authorization method and apparatus
Syverson Limitations on design principles for public key protocols
JP3513324B2 (ja) ディジタル署名処理方法
Wang Public key cryptography standards: PKCS
WO1990002456A1 (en) Public key diversification method
Paar et al. Digital Signatures
WO2021019783A1 (ja) 所有者同一性確認システム、端末および所有者同一性確認方法
JPH11205306A (ja) 認証装置および認証方法
Fan et al. Anonymous fair transaction protocols based on electronic cash

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051206

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060206

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060404

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060412

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060509

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060522

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100609

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110609

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110609

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees