[go: up one dir, main page]

JP5736816B2 - 認証装置、認証方法、プログラム、及び署名生成装置 - Google Patents

認証装置、認証方法、プログラム、及び署名生成装置 Download PDF

Info

Publication number
JP5736816B2
JP5736816B2 JP2011026401A JP2011026401A JP5736816B2 JP 5736816 B2 JP5736816 B2 JP 5736816B2 JP 2011026401 A JP2011026401 A JP 2011026401A JP 2011026401 A JP2011026401 A JP 2011026401A JP 5736816 B2 JP5736816 B2 JP 5736816B2
Authority
JP
Japan
Prior art keywords
verification
information
algorithm
message
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011026401A
Other languages
English (en)
Other versions
JP2012098690A5 (ja
JP2012098690A (ja
Inventor
紘一 作本
紘一 作本
白井 太三
太三 白井
玄良 樋渡
玄良 樋渡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Corp
Original Assignee
Sony Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sony Corp filed Critical Sony Corp
Priority to JP2011026401A priority Critical patent/JP5736816B2/ja
Priority to US13/111,696 priority patent/US8522033B2/en
Priority to CN201110145023.8A priority patent/CN102263638B/zh
Publication of JP2012098690A publication Critical patent/JP2012098690A/ja
Priority to US13/934,946 priority patent/US8959355B2/en
Publication of JP2012098690A5 publication Critical patent/JP2012098690A5/ja
Application granted granted Critical
Publication of JP5736816B2 publication Critical patent/JP5736816B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3093Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • H04L9/3221Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3255Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、認証装置、認証方法、プログラム、及び署名生成装置に関する。
情報処理技術や通信技術の急速な発展に伴い、公文書、私文書を問わず、文書の電子化が急速に進んでいる。これに伴い、多くの個人や企業は、電子文書の安全管理に大きな関心を寄せている。こうした関心の高まりを受け、各方面で電子文書の盗聴や偽造等のタンパリング行為に対する安全性が盛んに議論されるようになってきた。電子文書の盗聴に対する安全性は、例えば、電子文書を暗号化することにより確保される。また、電子文書の偽造に対する安全性は、例えば、電子署名を利用することにより確保される。但し、暗号や電子署名には十分なタンパリング耐性が求められる。
電子署名は、電子文書の作成者を特定するために利用される。そのため、電子署名は、電子文書の作成者しか生成できないようにすべきである。仮に、悪意ある第三者が同じ電子署名を生成できてしまうと、その第三者が電子文書の作成者に成りすますことができてしまう。つまり、悪意ある第三者により電子文書が偽造されてしまう。こうした偽造を防止するため、電子署名の安全性については様々な議論が交わされてきた。現在広く利用されている電子署名方式としては、例えば、RSA署名方式やDSA署名方式を利用する方式が知られている。
RSA署名方式は、「大きな合成数に対する素因数分解の困難性(以下、素因数分解問題)」を安全性の根拠とする。また、DSA署名方式は、「離散対数問題に対する解の導出の困難性」を安全性の根拠とする。これらの根拠は、古典的なコンピュータを利用して素因数分解問題や離散対数問題を効率的に解くアルゴリズムが存在しないことに起因する。つまり、上記の困難性は、古典的なコンピュータにおける計算量的な困難性を意味する。しかしながら、量子コンピュータを用いると、素因数分解問題や離散対数問題に対する解答が効率的に算出されてしまうと言われている。
現在利用されている電子署名方式や公開鍵認証方式の多くは、RSA署名方式やDSA署名方式と同様、素因数分解問題や離散対数問題の困難性に安全性の根拠をおいている。そのため、こうした電子署名方式や公開鍵認証方式は、量子コンピュータが実用化された場合に、その安全性が確保されないことになる。そこで、素因数分解問題や離散対数問題など、量子コンピュータにより容易に解かれてしまう問題とは異なる問題に安全性の根拠をおく新たな電子署名方式及び公開鍵認証方式が求められている。量子コンピュータにより容易に解くことが難しい問題としては、例えば、多変数多項式に対する解答の困難性(以下、多変数多項式問題)がある。
多変数多項式問題に安全性の根拠をおく電子署名方式としては、例えば、MI(Matsumoto−Imai cryptography)、HFE(Hidden Field Equation cryptography)、OV(Oil−Vinegar signature scheme)、TTM(Tamed Transformation Method cryptography)に基づくものが知られている。例えば、下記の非特許文献1、2には、HFEに基づく電子署名方式が開示されている。
Jacques Patarin Asymmetric Cryptography with a Hidden Monomial. CRYPTO 1996, pp.45−60. Patarin, J., Courtois, N., and Goubin, L. QUARTZ, 128−Bit Long Digital Signatures. In Naccache,D., Ed. Topics in Cryptology − CT−RSA 2001 (San Francisco, CA, USA, April 2001), vol. 2020 of Lecture Notes in Computer Science, Springer−Verlag., pp.282−297.
上記の通り、多変数多項式問題は、量子コンピュータを用いても解くことが困難なNP困難問題と呼ばれる問題の一例である。通常、HFEなどに代表される多変数多項式問題を利用した公開鍵認証方式は、特殊なトラップドアが仕込まれた多次多変数連立方程式を利用している。例えば、x,…,xに関する多次多変数連立方程式F(x,…,x)=yと線形変換A,Bが用意され、線形変換A,Bが秘密に管理される。この場合、多次多変数連立方程式F、線形変換A,Bがトラップドアとなる。
トラップドアF,A,Bを知っているエンティティは、x,…,xに関する方程式B(F(A(x,…,x)))=y’を解くことができる。一方、トラップドアF,A,Bを知らないエンティティは、x,…,xに関する方程式B(F(A(x,…,x)))=y’を解くことができない。この仕組みを利用することにより、多次多変数連立方程式の解答困難性を安全性の根拠とする公開鍵認証方式や電子署名方式を実現することができる。
上記の通り、こうした公開鍵認証方式や電子署名方式を実現するには、B(F(A(x,…,x)))=yを満たすような特殊な多次多変数連立方程式を利用する必要がある。しかし、従来方式では署名生成時に多次多変数連立方程式Fを解く必要があるため,Fには比較的容易に解けるものしか用いることができない。すなわち、こうした従来方式では比較的容易に解ける3つの関数(トラップドア)B、F、Aを合成した型式の多次多変数連立方程式B(F(A(x,…,x)))=yしか用いることができないため、十分な安全性を確保することが難しい。その結果、このような効率的に解く手段(トラップドア)を持つ多次多変数連立方程式を用いた公開鍵認証方式や電子署名方式に対して数々の攻撃法が提案されており、効率的に解く手段(トラップドア)を持たない多次多変数連立方程式を公開鍵認証方式や電子署名方式に用いることができるようにする工夫が求められている。
そこで、本発明は、上記問題に鑑みてなされたものであり、本発明の目的とするところは、効率的に解く手段(トラップドア)を持たない多次多変数連立方程式を用いて安全性を高めた公開鍵認証方式又は電子署名方式を実現することが可能な、新規かつ改良された認証装置、認証方法、プログラム、及び署名生成装置を提供することにある。
上記課題を解決するために、本発明のある観点によれば、s∈Kを秘密鍵に設定し、環K上の多次多項式f(x,…,x)(i=1〜m)及びy=f(s)を公開鍵に設定する鍵設定部と、検証者に対してメッセージcを送信するメッセージ送信部と、1つの前記メッセージcに対するk通り(k≧3)の検証パターンの中から前記検証者により選択された1つの検証パターンの情報を受信する検証パターン受信部と、k通りの回答情報の中から、前記検証パターン受信部により受信された検証パターンの情報に対応する回答情報を前記検証者に送信する回答送信部と、を備え、前記回答情報は、前記k通りの回答情報を用いて実施した前記メッセージcに対するk通りの検証パターンが全て成功した場合に秘密鍵sが計算可能となる情報である、認証装置が提供される。
また、上記の認証装置は、前記メッセージ送信部により複数のメッセージcをk回送信する第1ステップ、それぞれのメッセージcに対して前記検証パターン受信部により前記検証者からそれぞれ検証パターンの情報を受信する第2ステップ、それぞれの検証パターンの情報に対して前記回答送信部により回答情報を送信する第3ステップを実行し、前記検証者により全ての回答情報で検証が成功した場合に認証が成功する、ように構成されていてもよい。
また、上記の認証装置は、前記メッセージ送信部により複数のメッセージcを送信する第1ステップ、それぞれのメッセージcに対して前記検証パターン受信部により前記検証者からそれぞれ検証パターンの情報を受信する第2ステップ、それぞれの検証パターンの情報に対して前記回答送信部により回答情報を送信する第3ステップを実行する処理を繰り返し、前記第1〜第3ステップを所定回数実行した結果、前記検証者により毎回全ての回答情報で検証が成功した場合に認証が成功する、ように構成されていてもよい。
また、前記メッセージcがc=(c,…,c)である場合、前記メッセージ送信部は、一方向性関数Hを用いて新たなメッセージc’=H(c)を算出して、前記検証者に対してメッセージc’を送信し、前記回答送信部は、前記回答情報と共に、当該回答情報を利用しても前記検証者が復元することができないメッセージcの要素を送信する、ように構成されていてもよい。
また、上記課題を解決するために、本発明の別の観点によれば、s∈Kが秘密鍵に設定され、環K上の多次多項式f(x,…,x)(i=1〜m)及びy=f(s)が公開鍵に設定されており、証明者からメッセージcを受信するメッセージ受信部と、1つの前記メッセージcに対するk通り(k≧3)の検証パターンの中から1つの検証パターンを選択する検証パターン選択部と、前記検証パターン選択部により選択された検証パターンの情報を前記証明者に対して送信する検証パターン送信部と、k通りの回答情報の中から、前記検証パターン送信部により送信された検証パターンの情報に対応する回答情報を前記証明者から受信する回答受信部と、前記メッセージ受信部により受信されたメッセージc、及び前記回答受信部により受信された回答情報を用いて前記証明者の正当性を検証する検証部と、を備え、前記回答情報は、前記k通りの回答情報を用いて実施した前記メッセージcに対するk通りの検証パターンが全て成功した場合に秘密鍵sが計算可能となる情報である、認証装置が提供される。
また、上記課題を解決するために、本発明の別の観点によれば、s∈Kを秘密鍵に設定し、環K上の多次多項式f(x,…,x)(i=1〜m)及びy=f(s)を公開鍵に設定する鍵設定部と、検証者に対してメッセージcを送信するメッセージ送信部と、前記検証者から応答αを受信する応答受信部と、前記応答受信部により受信された応答αを用いて、前記メッセージcに対する検証に利用される多項式の組F”を生成する多項式生成部と、前記多項式生成部により生成された多項式の組F”を前記検証者に送信する多項式送信部と、1つの前記メッセージcに対するk通り(k≧2)の検証パターンの中から前記検証者により選択された1つの検証パターンの情報を受信する検証パターン受信部と、k通りの回答情報の中から、前記検証パターン受信部により受信された検証パターンの情報に対応する回答情報を前記検証者に送信する回答送信部と、を備え、前記回答情報は、2通りの前記応答α、前記多項式f”及び前記k通りの回答情報を用いて実施した前記メッセージcに対する計2k通りの応答と検証パターンの組合せが全て成功した場合に秘密鍵sが計算可能となる情報である、認証装置が提供される。
また、上記の認証装置は、前記メッセージ送信部により複数のメッセージcを送信する第1ステップ、それぞれのメッセージcに対して前記応答受信部から応答αを受信する第2ステップ、当該第2ステップで受信した応答αを用いて前記多項式生成部によりそれぞれ多項式f”を生成し、前記多項式送信部により当該多項式f”を送信する第3ステップ、それぞれのメッセージcに対して前記検証パターン受信部により前記検証者からそれぞれ検証パターンの情報を受信する第4ステップ、それぞれの検証パターンの情報に対して前記回答送信部により回答情報を送信する第5ステップを実行し、前記検証者により全ての回答情報で検証が成功した場合に認証が成功する、ように構成されていてもよい。
また、上記の認証装置は、前記メッセージ送信部により複数のメッセージcを送信する第1ステップ、それぞれのメッセージcに対して前記応答受信部から応答αを受信する第2ステップ、当該第2ステップで受信した応答αを用いて前記多項式生成部によりそれぞれ多項式f”を生成し、前記多項式送信部により当該多項式f”を送信する第3ステップ、それぞれのメッセージcに対して前記検証パターン受信部により前記検証者からそれぞれ検証パターンの情報を受信する第4ステップ、それぞれの検証パターンの情報に対して前記回答送信部により回答情報を送信する第5ステップを実行する処理を繰り返し、前記第1〜第5ステップを所定回数実行した結果、前記検証者により毎回全ての回答情報で検証が成功した場合に認証が成功する、ように構成されていてもよい。
また、上記課題を解決するために、本発明の別の観点によれば、s∈Kが秘密鍵に設定され、環K上の多次多項式f(x,…,x)(i=1〜m)及びy=f(s)が公開鍵に設定されており、証明者からメッセージcを受信するメッセージ受信部と、前記証明者に対して応答αを送信する応答送信部と、前記応答送信部により送信された応答αを用いて前記証明者により生成された、前記メッセージcに対する検証に利用される多項式f”を受信する多項式受信部と、1つの前記メッセージcに対するk通り(k≧2)の検証パターンの中から1つの検証パターンを選択する検証パターン選択部と、前記検証パターン選択部により選択された検証パターンの情報を前記証明者に対して送信する検証パターン送信部と、k通りの回答情報の中から、前記検証パターン送信部により送信された検証パターンの情報に対応する回答情報を前記証明者から受信する回答受信部と、前記メッセージ受信部により受信されたメッセージc、前記多項式受信部により受信された多項式f”、及び前記回答受信部により受信された回答情報を用いて前記証明者の正当性を検証する検証部と、を備え、前記回答情報は、2通りの前記応答α、前記多項式f”及び前記k通りの回答情報を用いて実施した前記メッセージcに対する計2k通りの応答と検証パターンの組合せが全て成功した場合に秘密鍵sが計算可能となる情報である、認証装置が提供される。
また、上記課題を解決するために、本発明の別の観点によれば、s∈Kを秘密鍵に設定し、環K上の多次多項式f(x,…,x)(i=1〜m)及びy=f(s)を公開鍵に設定する鍵設定ステップと、検証者に対してメッセージcを送信するメッセージ送信ステップと、1つの前記メッセージcに対するk通り(k≧3)の検証パターンの中から前記検証者により選択された1つの検証パターンの情報を受信する検証パターン受信ステップと、k通りの回答情報の中から、前記検証パターン受信ステップで受信された検証パターンの情報に対応する回答情報を前記検証者に送信する回答送信ステップと、を含み、前記回答情報は、前記k通りの回答情報を用いて実施した前記メッセージcに対するk通りの検証パターンが全て成功した場合に秘密鍵sが計算可能となる情報である、認証方法が提供される。
また、上記課題を解決するために、本発明の別の観点によれば、s∈Kが秘密鍵に設定され、環K上の多次多項式f(x,…,x)(i=1〜m)及びy=f(s)が公開鍵に設定されており、証明者からメッセージcを受信するメッセージ受信ステップと、1つの前記メッセージcに対するk通り(k≧3)の検証パターンの中から1つの検証パターンを選択する検証パターン選択ステップと、前記検証パターン選択ステップで選択された検証パターンの情報を前記証明者に対して送信する検証パターン送信ステップと、k通りの回答情報の中から、前記検証パターン送信ステップで送信された検証パターンの情報に対応する回答情報を前記証明者から受信する回答受信ステップと、前記メッセージ受信ステップで受信されたメッセージc、及び前記回答受信ステップで受信された回答情報を用いて前記証明者の正当性を検証する検証ステップと、を含み、前記回答情報は、前記k通りの回答情報を用いて実施した前記メッセージcに対するk通りの検証パターンが全て成功した場合に秘密鍵sが計算可能となる情報である、認証方法が提供される。
また、上記課題を解決するために、本発明の別の観点によれば、s∈Kを秘密鍵に設定し、環K上の多次多項式f(x,…,x)(i=1〜m)及びy=f(s)を公開鍵に設定する鍵設定ステップと、検証者に対してメッセージcを送信するメッセージ送信ステップと、前記検証者から応答αを受信する応答受信ステップと、前記応答受信ステップで受信された応答αを用いて、前記メッセージcに対する検証に利用される多項式f”を生成する多項式生成ステップと、前記多項式生成ステップで生成された多項式f”を前記検証者に送信する多項式送信ステップと、1つの前記メッセージcに対するk通り(k≧2)の検証パターンの中から前記検証者により選択された1つの検証パターンの情報を受信する検証パターン受信ステップと、k通りの回答情報の中から、前記検証パターン受信ステップで受信された検証パターンの情報に対応する回答情報を前記検証者に送信する回答送信ステップと、を含み、前記回答情報は、2通りの前記応答α、前記多項式f”及び前記k通りの回答情報を用いて実施した前記メッセージcに対する計2k通りの応答と検証パターンの組合せが全て成功した場合に秘密鍵sが計算可能となる情報である、認証装置が提供される。
また、上記課題を解決するために、本発明の別の観点によれば、s∈Kが秘密鍵に設定され、環K上の多次多項式f(x,…,x)(i=1〜m)及びy=f(s)が公開鍵に設定されており、証明者からメッセージcを受信するメッセージ受信ステップと、前記証明者に対して応答αを送信する応答送信ステップと、前記応答送信ステップで送信された応答αを用いて前記証明者により生成された、前記メッセージcに対する検証に利用される多項式f”を受信する多項式受信ステップと、1つの前記メッセージcに対するk通り(k≧2)の検証パターンの中から1つの検証パターンを選択する検証パターン選択ステップと、前記検証パターン選択ステップで選択された検証パターンの情報を前記証明者に対して送信する検証パターン送信ステップと、k通りの回答情報の中から、前記検証パターン送信ステップで送信された検証パターンの情報に対応する回答情報を前記証明者から受信する回答受信ステップと、前記メッセージ受信ステップで受信されたメッセージc、前記多項式受信ステップで受信された多項式f”、及び前記回答受信ステップで受信された回答情報を用いて前記証明者の正当性を検証する検証ステップと、を含み、前記回答情報は、2通りの前記応答α、前記多項式f”及び前記k通りの回答情報を用いて実施した前記メッセージcに対する計2k通りの応答と検証パターンの組合せが全て成功した場合に秘密鍵sが計算可能となる情報である、認証装置が提供される。
また、上記課題を解決するために、本発明の別の観点によれば、s∈Kを秘密鍵に設定し、環K上の多次多項式f(x,…,x)(i=1〜m)及びy=f(s)を公開鍵に設定する鍵設定機能と、検証者に対してメッセージcを送信するメッセージ送信機能と、1つの前記メッセージcに対するk通り(k≧3)の検証パターンの中から前記検証者により選択された1つの検証パターンの情報を受信する検証パターン受信機能と、k通りの回答情報の中から、前記検証パターン受信機能により受信された検証パターンの情報に対応する回答情報を前記検証者に送信する回答送信機能と、をコンピュータに実現させるためのプログラムであり、前記回答情報は、前記k通りの回答情報を用いて実施した前記メッセージcに対するk通りの検証パターンが全て成功した場合に秘密鍵sが計算可能となる情報である、プログラムが提供される。
さらに、上記課題を解決するために、本発明の別の観点によれば、上記のプログラムが記録された、コンピュータにより読み取り可能な記録媒体が提供される。
また、上記課題を解決するために、本発明の別の観点によれば、s∈Kを秘密鍵に設定し、環K上の多次多項式f(x,…,x)(i=1〜m)及びy=f(s)を公開鍵に設定する鍵設定部と、前記多次多項式f(x,…,x)及び前記秘密鍵sに基づいてN個のメッセージcを生成するメッセージ生成部と、文書M及び前記メッセージcを一方向性関数に適用して得られた情報に基づいて、k通り(k≧3)の検証パターンの中から検証パターンを選択する検証パターン選択部と、前記検証パターン選択部により選択された検証パターンに応じて、前記メッセージc及び前記文書Mを用いた検証を通過するような電子署名σを生成する署名生成部と、を備え、前記電子署名σは、前記(k−1)+1通りの検証パターンに対応する電子署名σを用いて実施した検証が全て成功した場合に秘密鍵sが計算可能となる情報である、署名生成装置が提供される。
上記のm、nは、m<nであってもよい。さらに、上記のm、nは、2m−n≪1であってもよい。
以上説明したように本発明によれば、効率的に解く手段(トラップドア)を持たない多次多変数連立方程式を用いて安全性を高めた公開鍵認証方式又は電子署名方式を実現することが可能になる。
公開鍵認証方式のアルゴリズム構成について説明するための説明図である。 電子署名方式のアルゴリズム構成について説明するための説明図である。 nパスの公開鍵認証方式について説明するための説明図である。 本発明の第1実施形態(3パス)に係る公開鍵認証方式のアルゴリズムについて説明するための説明図である。 同実施形態に係る公開鍵認証方式の拡張アルゴリズムについて説明するための説明図である。 同実施形態に係る公開鍵認証方式の並列化アルゴリズムについて説明するための説明図である。 同実施形態に係る公開鍵認証方式の非対話型アルゴリズムについて説明するための説明図である。 同実施形態に係る公開鍵認証方式の具体的なアルゴリズムについて説明するための説明図である。 同実施形態に係る公開鍵認証方式の効率的なアルゴリズムについて説明するための説明図である。 同実施形態に係る公開鍵認証方式の効率的なアルゴリズム(変形例A)について説明するための説明図である。 同実施形態に係る公開鍵認証方式の効率的なアルゴリズム(変形例B)について説明するための説明図である。 本発明の第2実施形態(5パス)に係る公開鍵認証方式のアルゴリズムについて説明するための説明図である。 同実施形態に係る公開鍵認証方式の拡張アルゴリズムについて説明するための説明図である。 同実施形態に係る公開鍵認証方式の並列化アルゴリズムについて説明するための説明図である。 同実施形態に係る公開鍵認証方式の拡張アルゴリズムに対する並列化について説明するための説明図である。 同実施形態に係る公開鍵認証方式の非対話型アルゴリズムについて説明するための説明図である。 同実施形態に係る公開鍵認証方式の具体的なアルゴリズムについて説明するための説明図である。 同実施形態に係る公開鍵認証方式の効率的なアルゴリズムについて説明するための説明図である。 同実施形態に係る公開鍵認証方式の効率的なアルゴリズム(変形例A)について説明するための説明図である。 同実施形態に係る公開鍵認証方式の効率的なアルゴリズム(変形例B)について説明するための説明図である。 同実施形態に係る公開鍵認証方式の効率的なアルゴリズム(変形例C)について説明するための説明図である。 同実施形態に係る公開鍵認証方式の効率的なアルゴリズム(変形例D)について説明するための説明図である。 同実施形態に係る公開鍵認証方式の効率的なアルゴリズム(変形例E)について説明するための説明図である。 同実施形態に係る公開鍵認証方式の効率的なアルゴリズム(変形例F)について説明するための説明図である。 同実施形態に係る公開鍵認証方式の効率的なアルゴリズム(変形例G)について説明するための説明図である。 本発明の各実施形態に係るアルゴリズムを実行することが可能な情報処理装置のハードウェア構成例について説明するための説明図である。 本発明の第1及び第2実施形態に係る公開鍵認証方式の効率を比較した図表である。 本発明の第1及び第2実施形態に係る公開鍵認証方式において用いられるパラメータの好適な設定方法及びその効果について説明するための説明図である。
以下に添付図面を参照しながら、本発明の好適な実施の形態について詳細に説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。
[説明の流れについて]
ここで、以下に記載する本発明の実施形態に関する説明の流れについて簡単に述べる。まず、図1を参照しながら、公開鍵認証方式のアルゴリズム構成について説明する。次いで、図2を参照しながら、電子署名方式のアルゴリズム構成について説明する。次いで、図3を参照しながら、nパスの公開鍵認証方式について説明する。なお、本実施形態に係る説明に先立ち、一般的なHFE署名方式についても簡単に説明する。
次いで、図4を参照しながら、本発明の第1実施形態(3パス)に係る公開鍵認証方式のアルゴリズムについて説明する。次いで、図5を参照しながら、同実施形態に係る公開鍵認証方式の拡張アルゴリズムについて説明する。次いで、図6を参照しながら、同実施形態に係る公開鍵認証方式の並列化アルゴリズムについて説明する。次いで、図7を参照しながら、同実施形態に係る公開鍵認証方式の非対話型アルゴリズムについて説明する。次いで、図8を参照しながら、同実施形態に係る公開鍵認証方式の具体的なアルゴリズムについて説明する。次いで、図9〜図11を参照しながら、同実施形態に係る公開鍵認証方式の効率的なアルゴリズムについて説明する。
次いで、図12を参照しながら、本発明の第2実施形態(5パス)に係る公開鍵認証方式のアルゴリズムについて説明する。次いで、図13を参照しながら、同実施形態に係る公開鍵認証方式の拡張アルゴリズムについて説明する。次いで、図14、図15を参照しながら、同実施形態に係る公開鍵認証方式の並列化アルゴリズムについて説明する。次いで、図16を参照しながら、同実施形態に係る公開鍵認証方式の非対話型アルゴリズムについて説明する。次いで、図17を参照しながら、同実施形態に係る公開鍵認証方式の具体的なアルゴリズムについて説明する。次いで、図18〜図25を参照しながら、同実施形態に係る公開鍵認証方式の効率的なアルゴリズムについて説明する。
次いで、本発明の第1及び第2実施形態に係る効率的なアルゴリズムを2次以上の多変数多項式に適用するための拡張手法について説明する。次いで、図26を参照しながら、本発明の第1及び第2実施形態に係る各アルゴリズムを実現することが可能な情報処理装置のハードウェア構成例について説明する。最後に、本実施形態の技術的思想について纏め、当該技術的思想から得られる作用効果について簡単に説明する。
(説明項目)
1:はじめに
1−1:公開鍵認証方式のアルゴリズム構成
1−2:電子署名方式のアルゴリズム構成
1−3:nパスの公開鍵認証方式
1−4:HFE電子署名方式
1−4−1:HFE関数の性質
1−4−2:HFE電子署名方式のアルゴリズム
2:第1実施形態
2−1:公開鍵認証方式のアルゴリズム
2−2:拡張アルゴリズム
2−3:並列化アルゴリズム
2−4:非対話型アルゴリズム
2−5:電子署名方式への変形
2−6:具体例
2−7:効率的なアルゴリズム
2−8:多次多変数連立方程式の形式
2−8−1:共通鍵ブロック暗号に関する形式
2−8−2:ハッシュ関数に関する形式
2−8−3:ストリーム暗号に関する形式
3:第2実施形態
3−1:公開鍵認証方式のアルゴリズム
3−2:拡張アルゴリズム
3−3:並列化アルゴリズム
3−4:非対話型アルゴリズム
3−5:電子署名方式への変形
3−6:具体例
3−7:効率的なアルゴリズム
4:効率的なアルゴリズムの一般化
5:ハードウェア構成例
6:まとめ
<1:はじめに>
はじめに、本発明に係る実施形態について詳細に説明するに先立ち、一般的な公開鍵認証方式のアルゴリズム構成、一般的な電子署名方式のアルゴリズム構成、及びnパスの公開鍵認証方式について簡単に説明する。
[1−1:公開鍵認証方式のアルゴリズム構成]
まず、図1を参照しながら、一般的な公開鍵認証方式のアルゴリズム構成について説明する。図1は、一般的な公開鍵認証方式のアルゴリズム構成について説明するための説明図である。
(概要)
公開鍵認証方式とは、ある人(証明者)が、公開鍵pk及び秘密鍵skを利用して、他の人(検証者)に本人であることを納得させるための認証方式である。例えば、証明者Aの公開鍵pkは、検証者に公開される。一方、証明者Aの秘密鍵skは、証明者により秘密に管理される。公開鍵認証方式では、公開鍵pkに対応する秘密鍵skを知る者が証明者A本人であるとみなされる。
証明者Aが検証者Bに対して本人であることを証明しようとする場合、証明者Aは、検証者Bと対話プロトコルを実行して、自身が公開鍵pkに対応する秘密鍵skを知っていることを証明すればよい。そして、対話プロトコルにより証明者Aが秘密鍵skを知っていることが検証者Bにより証明された場合、証明者Aの正当性(本人であること)が証明される。
なお、公開鍵認証方式の安全性を確保するには、次に示す2つの条件が求められる。
1つ目の条件は、対話プロトコルを実行した際に秘密鍵skを持たない偽証者により偽証が成立してしまう確率を限りなく小さくすることである。この1つ目の条件が成り立つことを「健全性」と呼ぶ。つまり、健全性を有する対話プロトコルにおいては、秘密鍵skを持たない偽証者により、無視できない確率で偽証が成立することはないと言い換えられる。2つ目の条件は、対話プロトコルを実行したとしても、証明者Aが有する秘密鍵skの情報が検証者Bに一切漏れることがないようにすることである。この2つ目の条件が成り立つことを「零知識性」と呼ぶ。
上記の健全性と零知識性を有する対話プロトコルを利用することにより、公開鍵認証方式の安全性が確保される。
(モデル)
公開鍵認証方式のモデルには、図1に示すように、証明者と検証者という2つのエンティティが存在する。証明者は、鍵生成アルゴリズムGenを用いて、証明者固有の秘密鍵skと公開鍵pkの組を生成する。次いで、証明者は、鍵生成アルゴリズムGenを用いて生成した秘密鍵skと公開鍵pkの組を利用して検証者と対話プロトコルを実行する。このとき、証明者は、証明者アルゴリズムPを利用して対話プロトコルを実行する。上記の通り、対話プロトコルにおいて、証明者は、証明者アルゴリズムPを利用して、秘密鍵skを保有していることを検証者に証明する。
一方、検証者は、検証者アルゴリズムVを利用して対話プロトコルを実行し、証明者が公開している公開鍵に対応する秘密鍵を、その証明者が保有しているか否かを検証する。つまり、検証者は、証明者が公開鍵に対応する秘密鍵を保有しているか否かを検証するエンティティである。このように、公開鍵認証方式のモデルは、証明者と検証者という2つのエンティティ、及び、鍵生成アルゴリズムGen、証明者アルゴリズムP、検証者アルゴリズムVという3つのアルゴリズムにより構成される。
なお、以下の説明において、「証明者」「検証者」という表現を用いるが、これらの表現はあくまでもエンティティを意味するものである。従って、鍵生成アルゴリズムGen、証明者アルゴリズムPを実行する主体は、「証明者」のエンティティに対応する情報処理装置である。同様に、検証者アルゴリズムVを実行する主体は、情報処理装置である。これら情報処理装置のハードウェア構成は、例えば、図26に示した通りである。つまり、鍵生成アルゴリズムGen、証明者アルゴリズムP、検証者アルゴリズムVは、ROM904、RAM906、記憶部920、リムーバブル記録媒体928などに記録されたプログラムに基づいてCPU902により実行される。
(鍵生成アルゴリズムGen)
鍵生成アルゴリズムGenは、証明者により利用される。そして、鍵生成アルゴリズムGenは、証明者に固有の秘密鍵skと公開鍵pkの組を生成するアルゴリズムである。鍵生成アルゴリズムGenにより生成された公開鍵pkは公開される。そして、公開された公開鍵pkは、検証者により利用される。一方、鍵生成アルゴリズムGenにより生成された秘密鍵skは、証明者が秘密に管理する。そして、秘密に管理される秘密鍵skは、検証者に対して公開鍵pkに対応する秘密鍵skを保有していることを証明するために利用される。形式的に、鍵生成アルゴリズムGenは、セキュリティパラメータ1λ(λは0以上の整数)を入力とし、秘密鍵skと公開鍵pkを出力するアルゴリズムとして、下記の式(1)のように表現される。
Figure 0005736816
(証明者アルゴリズムP)
証明者アルゴリズムPは、証明者により利用される。そして、証明者アルゴリズムPは、公開鍵pkに対応する秘密鍵skを保有していることを証明するアルゴリズムである。証明者アルゴリズムPは、証明者の秘密鍵skと公開鍵pkを入力とし、検証者との対話プロトコルを実行するアルゴリズムとして定義される。
(検証者アルゴリズムV)
検証者アルゴリズムVは、検証者により利用される。そして、検証者アルゴリズムVは、対話プロトコルの中で、公開鍵pkに対応する秘密鍵skを証明者が保有しているか否かを検証するアルゴリズムである。検証者アルゴリズムVは、証明者の公開鍵pkを入力とし、証明者との間で対話プロトコルを実行した後、0又は1(1bit)を出力するアルゴリズムとして定義される。なお、出力0の場合には証明者が不正なものであり、出力1の場合には証明者が正当なものであるとする。形式的に、検証者アルゴリズムVは、下記の式(2)のように表現される。
Figure 0005736816
(補足)
上記の通り、公開鍵認証方式は、安全性を確保するため、健全性と零知識性という2つの条件を満たすことが求められる。しかし、証明者が秘密鍵skを保有していることを証明者に証明させるためには、証明者が秘密鍵skに依存した手続きを実行し、その結果を検証者に通知して、その通知内容に基づく検証を検証者に実行させる必要がある。秘密鍵skに依存した手続きを実行するのは、健全性を担保するために必要である。一方で、この手続きの結果を検証者に通知しても、秘密鍵skの情報が一切検証者に漏れないようにする必要がある。そのため、これらの要件を満たすように、上記の鍵生成アルゴリズムGen、証明者アルゴリズムP、検証者アルゴリズムVが設計されることが必要になる。
以上、一般的な公開鍵認証方式のアルゴリズム構成について説明した。
[1−2:電子署名方式のアルゴリズム構成]
次に、図2を参照しながら、一般的な電子署名方式のアルゴリズム構成について説明する。図2は、一般的な電子署名方式のアルゴリズム構成について説明するための説明図である。
(概要)
紙文書とは異なり、ある電子化されたデータに対して押印したり署名を記載したりすることはできない。そのため、電子化されたデータの作成者を証明するためには、紙文書に押印したり署名を記載したりするのと同等の効果を奏する電子的な仕組みが必要とされる。このような仕組みが電子署名である。例えば、データの作成者しか知らない署名データをデータに関連付けて受領者に提供し、その署名データを受領者側で検証する仕組みのことを電子署名方式と呼ぶ。
(モデル)
電子署名方式のモデルには、図2に示すように、署名者と検証者という2つのエンティティが存在する。そして、電子署名方式のモデルは、鍵生成アルゴリズムGen、署名生成アルゴリズムSig、署名検証アルゴリズムVerという3つのアルゴリズムにより構成される。
署名者は、鍵生成アルゴリズムGenを利用して署名者固有の署名鍵skと検証鍵pkとの組を生成する。また、署名者は、署名生成アルゴリズムSigを利用して文書Mに対して付与する電子署名σを生成する。つまり、署名者は、文書Mに電子署名を付与するエンティティである。一方、検証者は、署名検証アルゴリズムVerを利用して文書Mに付与された電子署名σを検証する。つまり、検証者は、文書Mの作成者が署名者であるか否かを確認するために、電子署名σを検証するエンティティである。
なお、以下の説明において、「署名者」「検証者」という表現を用いるが、これらの表現はあくまでもエンティティを意味するものである。従って、鍵生成アルゴリズムGen、署名生成アルゴリズムSigを実行する主体は、「署名者」のエンティティに対応する情報処理装置である。同様に、署名検証アルゴリズムVerを実行する主体は、情報処理装置である。これら情報処理装置のハードウェア構成は、例えば、図26に示した通りである。つまり、鍵生成アルゴリズムGen、署名生成アルゴリズムSig、署名検証アルゴリズムVerは、ROM904、RAM906、記憶部920、リムーバブル記録媒体928などに記録されたプログラムに基づいてCPU902により実行される。
(鍵生成アルゴリズムGen)
鍵生成アルゴリズムGenは、署名者により利用される。そして、鍵生成アルゴリズムGenは、署名者固有の署名鍵skと検証鍵pkの組を生成するアルゴリズムである。鍵生成アルゴリズムGenにより生成された検証鍵pkは公開される。一方、鍵生成アルゴリズムGenにより生成された署名鍵skは、署名者により秘密に管理される。そして、署名者により秘密に管理されている署名鍵skは、文書Mに付与される電子署名σの生成に利用される。形式的に、鍵生成アルゴリズムGenは、セキュリティパラメータ1λ(λは0以上の整数)を入力とし、秘密鍵skと公開鍵pkを出力するアルゴリズムとして、下記の式(3)のように表現される。
Figure 0005736816
(署名生成アルゴリズムSig)
署名生成アルゴリズムSigは、署名者により利用される。そして、署名生成アルゴリズムSigは、文書Mに対して付与される電子署名σを生成するアルゴリズムである。形式的に、署名生成アルゴリズムSigは、署名者の署名鍵skと文書Mを入力とし、下記の式(4)に示すように、電子署名σを出力するアルゴリズムとして表現される。
Figure 0005736816
(署名検証アルゴリズムVer)
署名検証アルゴリズムVerは、検証者により利用される。そして、署名検証アルゴリズムVerは、電子署名σが文書Mに対する正当な電子署名であるか否かを検証するアルゴリズムである。形式的に、署名検証アルゴリズムVerは、下記の式(5)に示すように、署名者の検証鍵pk、文書M、電子署名σを入力とし、0又は1(1bit)を出力するアルゴリズムとして表現される。なお、0を出力する場合(公開鍵pkが文書Mと電子署名σを拒否する場合)、文書Mに対する電子署名σは不当である。1を出力する場合(公開鍵pkが文書Mと電子署名σを受理する場合)、文書Mに対する電子署名σは正当である。
Figure 0005736816
以上、一般的な電子署名方式のアルゴリズム構成について説明した。
[1−3:nパスの公開鍵認証方式]
次に、図3を参照しながら、nパスの公開鍵認証方式について説明する。図3は、nパスの公開鍵認証方式について説明するための説明図である。
上記の通り、公開鍵認証方式は、対話プロトコルの中で、証明者が公開鍵pkに対応する秘密鍵skを保有していることを検証者に証明する認証方式である。また、公開鍵認証方式の安全性を担保するため、健全性と零知識性という2つの条件を満たす必要がある。そのため、対話プロトコルの中では、図3に示すように、証明者と検証者の双方がそれぞれ処理を実行しながら、証明者と検証者との間でn回の情報交換が行われる。
nパスの公開鍵認証方式の場合、証明者アルゴリズムPを用いて証明者により処理(Step.1)が実行され、情報Tが検証者に送信される。次いで、検証者アルゴリズムVを用いて検証者により処理(Step.2)が実行され、情報Tが証明者に送信される。同様にして処理(Step.3,…,Step.n)が実行され、情報T,…,Tが送信され、処理(Step.n+1)が実行される。このように、情報がn回送受信される対話プロトコルに基づく公開鍵認証方式のことを「nパス」の公開鍵認証方式と呼ぶ。
以上、nパスの公開鍵認証方式について説明した。
[1−4:HFE電子署名方式]
ここで、多次多変数連立方程式を用いた電子署名方式の一例として、HFE電子署名方式について簡単に説明する。
(1−4−1:HFE関数の性質)
まず、HFE関数Fの定義、及びHFE関数Fの性質について簡単に説明する。
≪記号の定義≫
K:q個の数を含む元で構成される有限環
:Kのn個の直積
:K→K
A:有限環Kのn次拡大(要素数q
B:有限環Kのm次拡大(要素数q
φ:線形写像A→K(下記の式(6)を参照)
S:K上での可逆的アフィン変換
T:K上での可逆的アフィン変換
f:中央写像(下記の式(7)を参照)
トラップドア:S、T、aij、b、c
Figure 0005736816
但し、dをそれほど大きくない整数として、aij,b,c∈A、「q+q>dならばaij=0」かつ「q>dならばb=0」である。
≪HFE関数Ftの構造≫
HFE関数Fは、変換Sによる写像、中央写像F(F=φ−1*f*φ)、及び変換Tによる写像の合成写像F=T*F*Sにより表現される(この*は写像の合成)。そして、y=F(x)を計算するアルゴリズムは、次のようになる。
(Step.1)変換Sにより、与えられたx=(x,…,xn−1)∈Kをx’=(x’,…,xn−1’)∈Kに変換する。
(Step.2)φ−1により、x’∈KをX’∈Aに変換する。
(Step.3)中央写像fにより、X’∈AをY’=f(X’)∈Aに変換する。
(Step.4)φにより、Y’∈Aをy’=(y’,…,yn−1’)∈Kに変換する。
(Step.5)変換Tにより、y’∈Kをy=(y,…,yn−1)∈Kに変換する。
(Step.6)y∈Kを出力する。
上記の式(7)に示すように、HFE関数Fは、非線形の一変数多項式に基づく中央写像fを含んでいる。そのため、ある終域Aの元Y’に対し、一変数多項式の根の集合に相当する原像{Z∈A|f(Z)=Y’}の要素数が複数存在する可能性がある。この場合、値域の元yに対し、HFE関数Fに関する原像の要素数が複数となる。
また、ある終域Aの元Y’に対し、原像{Z∈A|f(Z)=Y’}の要素が全く存在しない可能性もある。この場合、原像{Z∈A|f(Z)=Y’}の要素が全く存在しない終域の元は値域に含まれないため、終域と値域とは異なる。
以下、HFE関数Fの計算アルゴリズムについて、より詳細に説明する。
≪順方向の計算アルゴリズム≫
HFE関数Fに対する順方向の計算アルゴリズムは、与えられたx∈KをHFE関数F(x)に代入してy=F(x)∈Kを得るステップにより構成される。この順方向の計算アルゴリズムに定義域の元xが1つ入力されると値域の元yが1つ出力される。
≪逆方向の計算アルゴリズム≫
HFE関数Ftに関する逆方向の計算アルゴリズムは、次のStep.1〜Step.7により構成される。
(Step.1)与えられたy=(y,…,yn−1)∈Kを変換Tの逆変換T−1に適用してy’=(y’,…,yn−1’)∈Kを得る。
(Step.2)φ−1により、y’=(y’,…,yn−1’)∈KをY’∈Aに変換する。
(Step.3)Y’を用いて、X’∈{Z∈A|f(Z)=Y’}の集合を計算する。但し、{Z∈A|f(Z)=Y’}が空集合の場合、例外値errを出力する。なお、X’∈{Z∈A|f(Z)=Y’}は、例えば、多項式f(X)−Y’を因数分解することにより求められる。また、終域の要素Y’をランダムに選択したとき、その要素Y’に対する原像{Z∈A|f(Z)=Y’}がm個の元を持つ確率は、近似的に1/(m!e)となる(但し、このeはネイピア数)。
(Step.4)X’∈{Z∈A|f(Z)=Y’}の集合から1つの要素X’を選択する。
(Step.5)φにより、Step.4で選択された1つの要素X’∈Aをx’=(x’,…,xn−1’)∈Kに変換する。
(Step.6)変換Sの逆変換S−1により、x’∈Kをx=(x,…,xn−1)∈Kに変換する。
(Step.7)x∈Kを出力する。
上記のStep.3において、X’∈{Z∈A|f(Z)=Y’}の要素数α=|{Z∈A|f(Z)=Y’}|がα=0又はα≧2となる可能性がある点に注意されたい。
(1−4−2:HFE電子署名方式のアルゴリズム)
ここまでHFE関数Fについて説明してきた。次に、HFE関数Fを用いた電子署名方式(以下、HFE署名方式)の具体的なアルゴリズムについて説明する。但し、ここでは、HFE署名方式の一例として、HFE関数を用いたPFDH署名方式(以下、HFE+PFDH署名方式)について説明する。
≪PFDH署名方式≫
まず、PFDH署名方式における鍵生成アルゴリズムGen、署名生成アルゴリズムSig、署名検証アルゴリズムVerについて説明する。これらPFDH署名方式のアルゴリズムは、トラップドア付き一方向性関数F:A→B、ハッシュ関数H:{0,1}→Bを利用する。
(鍵生成アルゴリズムGen)
鍵生成アルゴリズムGenは、セキュリティパラメータを1λとし、署名鍵skをFのトラップドアtとし、検証鍵pkをFとして(sk,pk)を計算する((sk,pk)←Gen(1λ))。
(署名生成アルゴリズムSig)
署名生成アルゴリズムSigは、メッセージM、署名鍵skを入力とし、次のStep.1〜Step.4により電子署名σを計算する(σ←Sig(sk,M))。
(Step.1)乱数rを生成する。
(Step.2)y=H(M,r)∈Bを計算する。
(Step.3)トラップドアtを用いてFの逆方向の計算アルゴリズムを実行し、y=F(x)となるxを算出する。但し、y=F(x)となるxが存在しない場合にはStep.1に戻る。
(Step.4)電子署名σ=(x,r)を出力する。
(署名検証アルゴリズムVer)
署名検証アルゴリズムVerは、検証鍵pk=F、メッセージM、電子署名σ=(x,r)を入力とし、次のStep.1及びStep.2によりメッセージMに対する電子署名σの正当性を検証する(0/1←Ver(pk,M,σ))。
(Step.1)F(x)=H(M,r)か否かを判断する。
(Step.2)F(x)=H(M,r)の場合に1を出力し、F(x)≠H(M,r)の場合に0を出力する。
≪HFE+PFDH署名方式≫
次に、HFE+PFDH署名方式における署名生成アルゴリズムSig、署名検証アルゴリズムVerについて説明する。HFE+PFDH署名方式は、HFE関数Fを用いたPFDH署名方式である。なお、HFE+PFDH署名方式では、署名鍵sk、HFE関数FのトラップドアS,T,aij、b、c、検証鍵pkがFに設定される。
(署名生成アルゴリズムSig)
署名生成アルゴリズムSigは、メッセージM、署名鍵skを入力とし、次のStep.1〜Step.9により電子署名σを計算する(σ←Sig(sk,M))。
(Step.1)乱数rを生成する。
(Step.2)乱数r、メッセージMを用いて、ハッシュ値y∈K←H(M,r)を計算する。
(Step.3)y=(y,…,yn−1)∈Kを変換Tの逆変換T−1に適用してy’=(y’,…,yn−1’)∈Kを得る。
(Step.4)φ−1により、y’=(y’,…,yn−1’)∈KをY’∈Aに変換する。
(Step.5)X’∈{Z∈A|f(Z)=Y’}の集合を計算する。
(Step.6)集合{Z∈A|f(Z)=Y’}から1つの要素X’を選択する。但し、集合{Z∈A|f(Z)=Y’}が空集合の場合、Step.1の処理へ戻る。
(Step.7)φにより、X’∈Aをx’=(x’,…,xn−1’)∈Kに変換する。
(Step.8)変換Sにより、x’∈Kをx=(x,…,xn−1)∈Kに変換する。
(Step.9)電子署名σ=(x,r)を出力する。
(署名検証アルゴリズムVer)
署名検証アルゴリズムVerは、検証鍵pk=F、メッセージM、電子署名σ=(x,r)を入力とし、次のStep.1〜Step.3によりメッセージMに対する電子署名σの正当性を検証する(0/1←Ver(pk,M,σ))。
(Step.1)電子署名σに含まれるr、及びメッセージMを用いて、ハッシュ値y←H(M,r)を計算する。
(Step.2)電子署名σに含まれるx∈KをHFE関数F(x)に代入して、y”=F(x)∈Kを計算する。
(Step.3)y=y”ならば1を出力し、y≠y”ならば0を出力する。
以上、HFE電子署名方式(ここではHFE+PFDH署名方式を例示した。)における各アルゴリズムの構成について説明した。上記のアルゴリズム構成から推察される通り、HFE電子署名方式においては、H(M,r)に関するF=T*F*Sの原像が計算されると電子署名σが偽造されてしまう。つまり、HFE電子署名方式は、H(M,r)=F(x)で表現される特殊な多次多変数連立方程式の解答困難性に依存した方式である。そして、このような特殊な多次多変数連立方程式については、その求解問題の困難性に対する評価が難しい。実際には、HFE電子署名方式で用いられる多次多変数連立方程式は、準指数時間(quasi−polynominal time)以下で解くことができると言われている。
<2:第1実施形態>
ここで、本発明の第1実施形態について説明する。本実施形態は、HFE電子署名方式と同様、多次多変数連立方程式に対する求解問題の困難性に安全性の根拠をおく公開鍵認証方式及び電子署名方式に関する。但し、本実施形態は、HFE電子署名方式などとは異なり、十分な安全性を確保するために、効率的に解く手段(トラップドア)を持たない多次多変数連立方程式を利用できるようにした公開鍵認証方式及び電子署名方式を提供するものである。
[2−1:公開鍵認証方式のアルゴリズム]
まず、図4を参照しながら、本実施形態に係る公開鍵認証方式(以下、本手法)のアルゴリズムについて説明する。図4は、本手法のアルゴリズムについて説明するための説明図である。なお、本手法は、鍵生成アルゴリズムGen、証明者アルゴリズムP、検証者アルゴリズムVにより構成される。以下、各アルゴリズムの内容について説明する。
(鍵生成アルゴリズムGen)
鍵生成アルゴリズムGenは、環K上で定義されるm本のn変数多次多項式f(x,…,x),…,f(x,…,x)と、ベクトルs=(s,…,s)∈Kを生成する。次に、鍵生成アルゴリズムGenは、y=(y,…,y)←(f(s),…,f(s))を計算する。そして、鍵生成アルゴリズムGenは、(f,…,f,y)を公開鍵pkに設定し、sを秘密鍵に設定する。なお、以下では、n変数のベクトル(x,…,x)をxと表記し、m本のn変数多次多項式(f(x),…,f(x))をF(x)と表記する。
(証明者アルゴリズムP、検証者アルゴリズムV)
次に、図4を参照しながら、対話プロトコルにおける証明者アルゴリズムPと検証者アルゴリズムVによる処理について説明する。この対話プロトコルは、「証明者がy=F(s)を満たすsを知っていること」をsの情報を検証者に一切漏らさずに、検証者に証明させるものである。なお、鍵生成アルゴリズムGenにより生成された公開鍵pkは、証明者と検証者の間で共有されているものとする。また、鍵生成アルゴリズムGenにより生成された秘密鍵sは、証明者により秘密に管理されているものとする。
Step.1:
まず、証明者アルゴリズムPは、任意に数wを選択する。次いで、証明者アルゴリズムPは、擬似乱数生成器Gに数wを適用してベクトルr∈Kと数w’を生成する。つまり、証明者アルゴリズムPは、(r,w’)←G(w)を計算する。次いで、証明者アルゴリズムPは、擬似乱数生成器Gに数w’を適用してn変数多項式F’(x)=(f’(x),…,f’(x))を生成する。つまり、証明者アルゴリズムPは、F’←G(w’)を計算する。
Step.1(続き):
次いで、証明者アルゴリズムPは、z←s−rを計算する。この計算は、秘密鍵sをベクトルrによりマスクする操作に相当する。さらに、証明者アルゴリズムPは、F”(x)←F(x+r)+F’(x)を計算する。この計算は、xについての多項式の組F(x+r)を多項式の組F’(x)によりマスクする操作に相当する。
Step.1(続き):
次いで、証明者アルゴリズムPは、F’(z)とzのハッシュ値cを生成する。つまり、証明者アルゴリズムPは、c←H(F’(z),z)を計算する。また、証明者アルゴリズムPは、数w’のハッシュ値cを生成する。つまり、証明者アルゴリズムPは、c←H(w’)を計算する。さらに、証明者アルゴリズムPは、多項式の組F”のハッシュ値cを生成する。つまり、証明者アルゴリズムPは、c←H(F”)を計算する。なお、上記のH(…)、H(…)、H(…)は、ハッシュ関数である。また、ハッシュ値(c,c,c)はメッセージである。
Step.1で生成されたメッセージ(c,c,c)は、検証者に送られる。
Step.2:
検証者アルゴリズムVは、3つの検証パターンのうち、どの検証パターンを利用するかを選択する。次いで、検証者アルゴリズムVは、選択した検証パターンを表す要求d∈{0,1,2}を証明者に送る。
Step.3:
証明者アルゴリズムPは、検証者から受けた要求dに応じて検証者に送り返す情報σを生成する。もしd=0の場合、証明者アルゴリズムPは、情報σ=wを生成する。また、d=1の場合、証明者アルゴリズムPは、情報σ=(w’,z)を生成する。そして、d=2の場合、証明者アルゴリズムPは、情報σ=(F”(x),z)を生成する。このようにして生成された情報σは、証明者アルゴリズムPにより検証者に送られる。
Step.4:
検証者アルゴリズムVは、証明者から受け取った情報σを利用して以下の検証処理を実行する。
d=0の場合、検証者アルゴリズムVは、(r’,w”)←G(σ)を計算する。さらに、検証者アルゴリズムVは、F'''←G(w”)を計算する。そして、検証者アルゴリズムVは、c=H(w”)の等号が成り立つか否かを検証する。また、検証者アルゴリズムVは、c=H(F(x+r’)+F'''(x))の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
d=1の場合、検証者アルゴリズムVは、(w”,z’)←σとする。さらに、検証者アルゴリズムVは、F'''←G(w”)を計算する。そして、検証者アルゴリズムVは、c=H(F'''(z’),z’)の等号が成り立つか否かを検証する。また、検証者アルゴリズムVは、c=H(w”)の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
d=2の場合、検証者アルゴリズムVは、(F'''',z’)←σとする。そして、検証者アルゴリズムVは、c=H(F''''(z’)−y,z’))の等号が成り立つか否かを検証する。さらに、検証者アルゴリズムVは、c=H(F'''')の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
(補足)
さて、上記Step.1において生成されたメッセージ(c,c,c)を検証者に送った際、秘密鍵skに関する情報、rに関する情報、zに関する情報が検証者に一切漏れていないことに注意されたい。また、上記Step.3において生成された情報σを検証者に送った際、d=0のときにはzに関する情報が検証者に一切漏れておらず、d=1,2のときにはrに関する情報が検証者に一切漏れていないことに注意されたい。
(本手法における健全性について)
本手法の健全性は、検証者の全ての要求d=0,1,2に対して、証明者がメッセージ(c,c,c)に対する正しい情報σを回答したならば、その回答内容から、下記の式(8)及び式(9)を満たすF''''、F'''、r’、z’が計算できるということから保証されている。
Figure 0005736816
Figure 0005736816
このようなロジックが保証されることにより、多次多変数連立方程式の求解問題を解かない限りにおいて2/3より高い確率で偽証することは不可能であることが保証される。つまり、検証者の要求d=0,1,2の全てに正しく回答するためには、偽証者が上記の式(8)及び式(9)を満たすF''''、F'''、r’、z’を計算できる必要がある。言い換えると、偽証者はF(s)=yを満たすsを計算できる必要がある。なお、検証者の要求d=0,1,2の高々2つまでに偽証者が正しく回答する可能性はある。そのため、偽証の成功確率は2/3となる。上記の対話プロトコルは十分な回数実行される。そのため、偽証の成功確率は無視できるほど小さくすることができる。
(変形例)
上記の鍵生成アルゴリズムGenは、y←F(s)を計算し、公開鍵を(F,y)に設定している。しかし、鍵生成アルゴリズムGenは、(y,…,y)←F(s)として、(f (x),…,f (x))←(f(x)−y,…,f(x)−y)を計算し、公開鍵を(f ,…,f )に設定するように構成されていてもよい。このように変形すると、証明者と検証者との間でy=0として対話プロトコルを実行することが可能になる。
また、上記の証明者アルゴリズムPは、F”(z)とzからメッセージcを生成しているが、F”(z)=F’(z)の関係があることにより、F’(z)とzからメッセージcを生成しても、同様の対話プロトコルを構成することができる。また、証明者アルゴリズムPは、F”(z)のハッシュ値と、zのハッシュ値とを別々に計算し、それぞれをメッセージとして検証者に送るようにしてもよい。
また、上記の証明者アルゴリズムPは、数wに擬似乱数生成器Gを適用してベクトルrと数w’を生成している。そして、上記の証明者アルゴリズムPは、数w’を擬似乱数生成器Gに適用してn変数多項式F’(x)を生成している。しかし、証明者アルゴリズムPは、最初からw=(r,F’)を算出し、Gを恒等写像としてもよい。また、この場合には、数wをGに適用する必要はない。なお、Gについても同様である。
また、上記の対話プロトコルにおいては公開鍵を(F,y)としている。このFは秘密鍵skに依らないパラメータである。そのため、このパラメータFを証明者毎に設けるのではなく、このパラメータFをシステム全体に共通するパラメータにしてもよい。この場合、証明者毎に設定される公開鍵はyだけで済むことになり、公開鍵のサイズを小さくすることが可能になる。
また、上記の対話プロトコルにおいては公開鍵を(f,…,f,y)としているが、F=(f,…,f)は適当に選択してもよいパラメータである。そのため、証明者と検証者は、(f,…,f)をそのまま保持するのではなく、例えば、乱数のシードwpkを用意し、擬似乱数生成器Gを利用してF←G(wpk)を計算するようにしてもよい。この場合、公開鍵は(wpk,y)となり、(F,y)を公開鍵として公開する場合よりも、公開鍵のサイズを小さくすることが可能になる。
上記の方式では、ハッシュ関数H,H,Hを用いてc,c,cを計算しているが、ハッシュ関数の代わりにコミットメント方式COMを用いてもよい。コミットメント関数COMは、文字列Sと乱数ρの2つを引数にとる関数である。コミットメント関数の例としては、Shai HaleviとSilvio Micaliによって国際会議CRYPTO1996で発表された方式などがある。
このコミットメント関数を用いる場合、c,c,cを計算する前に、乱数ρ,ρ,ρを用意し、ハッシュ関数H(・),H(・),H(・)を適用する代わりにコミットメント関数COM(・,ρ),COM(・,ρ),COM(・,ρ)を適用することによりc,c,cを生成する。また、この変形例では、検証部で計算するCを生成するために必要なρを回答情報に含めることになる。なお、この変形手法は、後述の全ての方式について適用可能である。
以上、本手法に係る基本的なアルゴリズム構成について説明した。
[2−2:拡張アルゴリズム]
次に、図5を参照しながら、本手法を拡張した公開鍵認証方式(以下、拡張手法)のアルゴリズムについて説明する。図5は、拡張手法に基づく対話プロトコルの流れを説明するための説明図である。この拡張手法は、1パス目に送信するメッセージ(c,c,c)を1つのハッシュ値cに変換して検証者に送る方式である。また、この拡張手法では、1パス目にハッシュ値cを送るように対話プロトコルを構成するため、3パス目で送る情報σから復元できないメッセージを情報σと共に検証者に送る。このように拡張することで、対話プロトコルの中で検証者に送るハッシュ値の数を減らすことが可能になり、通信するデータサイズを削減することができる。以下、拡張方式における各アルゴリズムの内容について詳細に説明する。
(鍵生成アルゴリズムGen)
鍵生成アルゴリズムGenは、環K上で定義されるm本のn変数多次多項式f(x,…,x),…,f(x,…,x)と、ベクトルs=(s,…,s)∈Kを生成する。次に、鍵生成アルゴリズムGenは、y=(y,…,y)←(f(s),…,f(s))を計算する。そして、鍵生成アルゴリズムGenは、(f,…,f,y)を公開鍵pkに設定し、sを秘密鍵に設定する。なお、以下では、n変数のベクトル(x,…,x)をxと表記し、m本のn変数多次多項式(f(x),…,f(x))をF(x)と表記する。
(証明者アルゴリズムP、検証者アルゴリズムV)
次に、図5を参照しながら、対話プロトコルにおける証明者アルゴリズムPと検証者アルゴリズムVによる処理について説明する。この対話プロトコルは、「証明者がy=F(s)を満たすsを知っていること」をsの情報を検証者に一切漏らさずに、検証者に証明させるものである。なお、鍵生成アルゴリズムGenにより生成された公開鍵pkは、証明者と検証者の間で共有されているものとする。また、鍵生成アルゴリズムGenにより生成された秘密鍵sは、証明者により秘密に管理されているものとする。
Step.1:
まず、証明者アルゴリズムPは、任意に数wを選択する。次いで、証明者アルゴリズムPは、擬似乱数生成器G1に数wを適用してベクトルr∈Kと数w’を生成する。つまり、証明者アルゴリズムPは、(r,w’)←G(w)を計算する。次いで、証明者アルゴリズムPは、擬似乱数生成器Gに数w’を適用してn変数多項式F’(x)=(f’(x),…,f’(x))を生成する。つまり、証明者アルゴリズムPは、F’←G(w’)を計算する。
Step.1(続き):
次いで、証明者アルゴリズムPは、z←s−rを計算する。この計算は、秘密鍵sをベクトルrによりマスクする操作に相当する。さらに、証明者アルゴリズムPは、F”(x)←F(x+r)+F’(x)を計算する。この計算は、xについての多項式の組F(x+r)を多項式の組F’(x)によりマスクする操作に相当する。
Step.1(続き):
次いで、証明者アルゴリズムPは、F”(z)とzのハッシュ値cを生成する。つまり、証明者アルゴリズムPは、c←H(F”(z),z)を計算する。また、証明者アルゴリズムPは、数w’のハッシュ値cを生成する。つまり、証明者アルゴリズムPは、c←H(w’)を計算する。さらに、証明者アルゴリズムPは、多項式の組F”のハッシュ値cを生成する。つまり、証明者アルゴリズムPは、c←H(F”)を計算する。なお、上記のH(…)、H(…)、H(…)は、ハッシュ関数である。また、ハッシュ値(c,c,c)はメッセージである。
Step.1(続き):
拡張方式の場合、証明者アルゴリズムPは、メッセージ(c,c,c)をハッシュ関数Hに適用してハッシュ値cを生成する。そして、証明者アルゴリズムPは、生成したハッシュ値cを検証者に送る。
Step.2:
検証者アルゴリズムVは、3つの検証パターンのうち、どの検証パターンを利用するかを選択する。次いで、検証者アルゴリズムVは、選択した検証パターンを表す要求d∈{0,1,2}を証明者に送る。
Step.3:
証明者アルゴリズムPは、検証者から受けた要求dに応じて検証者に送り返す情報σを生成する。もしd=0の場合、証明者アルゴリズムPは、情報(σ,c)=(w,c)を生成する。また、d=1の場合、証明者アルゴリズムPは、情報(σ,c)=((w’,z),c)を生成する。そして、d=2の場合、証明者アルゴリズムPは、情報(σ,c)=((F”,z),c)を生成する。このようにして生成された情報(σ,c)は、証明者アルゴリズムPにより検証者に送られる。
Step.4:
検証者アルゴリズムVは、証明者から受け取った情報(σ,c)を利用して以下の検証処理を実行する。
d=0の場合、検証者アルゴリズムVは、(r’,w”)←G(σ)を計算する。次いで、検証者アルゴリズムVは、F'''←G(w”)を計算する。次いで、検証者アルゴリズムVは、c’=H(w”)を計算する。次いで、検証者アルゴリズムVは、c’=H(F(x+r’)+F'''(x))を計算する。その後、検証者アルゴリズムVは、c=H(c,c’,c’)の等号が成り立つか否かを検証する。そして、検証者アルゴリズムVは、検証が成功した場合に認証成功を示す値1を出力し、検証が失敗した場合に認証失敗を示す値0を出力する。
d=1の場合、検証者アルゴリズムVは、(w”,z’)←σとする。次いで、検証者アルゴリズムVは、F'''←G(w”)を計算する。次いで、検証者アルゴリズムVは、c’=H(F'''(z’),z’)を計算する。次いで、検証者アルゴリズムVは、c’=H(w”)を計算する。その後、検証者アルゴリズムVは、c=H(c’,c’,c)の等号が成り立つか否かを検証する。そして、検証者アルゴリズムVは、検証が成功した場合に認証成功を示す値1を出力し、検証が失敗した場合に認証失敗を示す値0を出力する。
d=2の場合、検証者アルゴリズムVは、(F'''',z’)←σとする。次いで、検証者アルゴリズムVは、c’=H(F''''(z’)−y,z’)を計算する。次いで、検証者アルゴリズムVは、c’=H(F'''')を計算する。その後、検証者アルゴリズムVは、c=H(c’,c,c’)の等号が成り立つか否かを検証する。そして、検証者アルゴリズムVは、検証が成功した場合に認証成功を示す値1を出力し、検証が失敗した場合に認証失敗を示す値0を出力する。
以上、拡張方式の対話プロトコルにおける各アルゴリズムの処理について説明した。このように拡張することで、対話プロトコルの中で検証者に送るハッシュ値の数を減らすことが可能になり、通信するデータサイズを削減することができる。
[2−3:並列化アルゴリズム]
さて、先に述べた通り、本手法又は拡張手法に係る対話プロトコルを適用すれば、偽証が成功する確率を2/3以下に抑制することができる。従って、この対話プロトコルを2回実行すれば、偽証が成功する確率を(2/3)以下に抑制することができる。同様に、この対話プロトコルをN回実行すると、偽証が成功する確率は(2/3)となり、Nを十分に大きい数(例えば、N=140)にすれば、偽証が成功する確率は無視できる程度に小さくなる。例えば、本手法に係る対話プロトコルを並列的にN回実行するアルゴリズムは図6のようになる。以下、図6を参照しながら、並列的に対話プロトコルをN回実行する各アルゴリズムの内容について説明する。
(鍵生成アルゴリズムGen)
鍵生成アルゴリズムGenは、環K上で定義されるm本のn変数多次多項式f(x,…,x),…,f(x,…,x)と、ベクトルs=(s,…,s)∈Kを生成する。次に、鍵生成アルゴリズムGenは、y=(y,…,y)←(f(s),…,f(s))を計算する。そして、鍵生成アルゴリズムGenは、(f,…,f,y)を公開鍵pkに設定し、sを秘密鍵に設定する。なお、以下では、n変数のベクトル(x,…,x)をxと表記し、m本のn変数多次多項式(f(x),…,f(x))をF(x)と表記する。
(証明者アルゴリズムP、検証者アルゴリズムV)
次に、図6を参照しながら、対話プロトコルにおける証明者アルゴリズムPと検証者アルゴリズムVによる処理について説明する。この対話プロトコルは、「証明者がy=F(s)を満たすsを知っていること」をsの情報を検証者に一切漏らさずに、検証者に証明させるものである。なお、鍵生成アルゴリズムGenにより生成された公開鍵pkは、証明者と検証者の間で共有されているものとする。また、鍵生成アルゴリズムGenにより生成された秘密鍵sは、証明者により秘密に管理されているものとする。
Step.1:
まず、証明者アルゴリズムPは、i=1〜Nについて、以下の処理(1)〜処理(8)を実行する。(処理(1))証明者アルゴリズムPは、任意に数wを選択する。(処理(2))証明者アルゴリズムPは、擬似乱数生成器Gに数wを適用してベクトルr∈Kと数w’を生成する。つまり、証明者アルゴリズムPは、(r,w’)←G(w)を計算する。(処理(3))証明者アルゴリズムPは、擬似乱数生成器Gに数w’を適用してn変数多項式の組F’(x)を生成する。つまり、証明者アルゴリズムPは、F’←G(w’)を計算する。
Step.1(続き):
(処理(4))証明者アルゴリズムPは、z←s−rを計算する。この計算は、秘密鍵sをベクトルrによりマスクする操作に相当する。(処理(5))証明者アルゴリズムPは、F”(x)←F(x+r)+F’(x)を計算する。この計算は、xについての多項式の組F(x+r)を多項式の組F’(x)によりマスクする操作に相当する。
Step.1(続き):
(処理(6))証明者アルゴリズムPは、F”(z)とzのハッシュ値c1,iを生成する。つまり、証明者アルゴリズムPは、c1,i←H(F”(z),z)を計算する。(処理(7))証明者アルゴリズムPは、数w’のハッシュ値c2,iを生成する。つまり、証明者アルゴリズムPは、c2,i←H(w’)を計算する。(処理(8))証明者アルゴリズムPは、多項式の組F”のハッシュ値c3,iを生成する。つまり、証明者アルゴリズムPは、c3,i←H(F”)を計算する。なお、上記のH(…)、H(…)、H(…)は、ハッシュ関数である。また、ハッシュ値(c1,i、c2,i、c3,i)はメッセージである。
i=1〜Nについて、上記の(処理(1))〜(処理(8))が実行された後、Step.1で生成されたメッセージ(c1,i,c2,i,c3,i)(i=1〜N)は、検証者に送られる。
Step.2:
検証者アルゴリズムVは、i=1〜Nのそれぞれについて、3つの検証パターンのうち、どの検証パターンを利用するかを選択する。次いで、検証者アルゴリズムVは、選択した検証パターンを表す要求d∈{0,1,2}(i=1〜N)を証明者に送る。
Step.3:
証明者アルゴリズムPは、検証者から受けた要求dに応じて検証者に送り返す情報σを生成する。ここで、証明者アルゴリズムPは、i=1〜Nについて、以下の処理(1)〜処理(3)を実行する。(処理(1))d=0の場合、証明者アルゴリズムPは、情報σ=wを生成する。(処理(2))d=1の場合、証明者アルゴリズムPは、情報σ=(w’,z)を生成する。(処理(3))d=2の場合、証明者アルゴリズムPは、情報σ=(F”,z)を生成する。上記の処理(1)〜(3)の判定及び処理が実行された後、情報σ(i=1〜N)は、証明者アルゴリズムPにより検証者に送られる。
Step.4:
検証者アルゴリズムVは、証明者から受け取った情報σ(i=1〜N)を利用して以下の検証処理を実行する。なお、以下の処理は、i=1〜Nについて実行される。
=0の場合、検証者アルゴリズムVは、(r’,w”)←G(σ)を計算する。さらに、検証者アルゴリズムVは、F'''←G(w”)を計算する。そして、検証者アルゴリズムVは、c2,i=H(w”)の等号が成り立つか否かを検証する。また、検証者アルゴリズムVは、c3,i=H(F(x+r’)+F'''(x))の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
=1の場合、検証者アルゴリズムVは、(w”,z’)←σとする。さらに、検証者アルゴリズムVは、F'''←G(w”)を計算する。そして、検証者アルゴリズムVは、c1,i=H(F'''(z’),z’)の等号が成り立つか否かを検証する。また、検証者アルゴリズムVは、c=H(w”)の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
=2の場合、検証者アルゴリズムVは、(F'''',z’)←σとする。そして、検証者アルゴリズムVは、c1,i=H(F''''(z’)−y,z’)の等号が成り立つか否かを検証する。さらに、検証者アルゴリズムVは、c3,i=H(F''''(x))の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
以上、本手法の対話プロトコルを並列的に実行する方法について説明した。上記のように、本手法の対話プロトコルを繰り返し実行することにより、偽証が成功する確率を無視できる程度まで低減させることが可能になる。
なお、上記のStep.1の後、(c1,1,c1,2,c1,3,…,cN,1,cN,2,cN,3)を検証者に送信する代わりに,これらをハッシュ値H(c1,1,c1,2,c1,3,…,cN,1,cN,2,cN,3)にまとめて送信してもよい。この構成を適用すると、1パス目で送るメッセージが1つのハッシュ値だけとなり、大幅に通信量を削減することが可能になる。但し、このハッシュ値、及び証明者から送られるチャレンジに対する回答から復元できないハッシュ値については、回答と併せて証明者から送ってもらうようにする。この構成によると、N回の並列的繰り返し構成の場合、送るべき情報の数を2N−1個削減することが可能になる。
(好適なパラメータの設定方法について)
さて、本実施形態に係る対話プロトコルは、受動的攻撃に対する安全性レベルを保証している。しかし、この対話プロトコルを並列的に繰り返し実行する上記の方法を適用した場合、能動的攻撃に対する安全性レベルが確実に保証されているということを保証するには、以下で説明するような条件が必要になる。
上記の対話プロトコルは、1組の鍵ペア(公開鍵y、秘密鍵s)を用いて「yについてy=F(s)となるsを知っていること」を証明者が検証者に対して証明する方式であった。そのため、検証で受理される対話を行った場合、「対話の際に証明者がsを用いた」という情報を検証者に知られてしまう可能性が否定できない。また、上記のFには衝突困難性が保証されてない。そのため、上記の対話プロトコルを並列的に繰り返し実行する場合について、能動的攻撃に対する安全性レベルが確実に保証されているということを無条件で証明することは難しいのである。
そこで、本件発明者は、検証で受理される対話を行った場合においても、「対話の際に証明者がsを用いた」という情報を検証者に知られないようにする方法について検討した。そして、本件発明者は、上記の対話プロトコルを並列的に繰り返し実行する場合においても、能動的攻撃に対する安全性を保証することが可能になる方法を考案した。この方法は、公開鍵として用いるn変数多次多項式f,…,fの数mをその変数の数nよりも十分に小さな値に設定するというものである。例えば、2m−n≪1となるようにm及びnが設定される(例えば、n=160、m=80の場合2−80≪1である。)。
上記のような多次多変数方程式の求解問題に対する解答の困難性に安全性の根拠をおく方式において、秘密鍵sと、それに対応する公開鍵pkとが与えられても、その公開鍵pkに対応する別の秘密鍵sを生成することは難しい。そのため、公開鍵pkに対する秘密鍵sが2つ以上存在することを保証すれば、検証で受理される対話を行った場合においても、「対話の際に証明者がsを用いた」という情報を検証者に知られないようにすることが可能になる。つまり、この保証が成り立てば、対話プロトコルを並列的に繰り返し実行する場合においても、能動的攻撃に対する安全性を保証することが可能になる。
図28を参照しながら、m本のn次多変数多項式で構成される関数F:K→Kについて考えると(但し、n>m)、2つ目の原像を持たない定義域の要素数は、最大で|K|−1個しか存在しない。そのため、|K|m−nを十分に小さくすると、2つ目の原像を持たない定義域の要素が選択される確率を無視できる程度まで小さくすることができる。つまり、n変数多次多項式f,…,fの数mがその変数の数nよりも十分に小さな値に設定されていれば、公開鍵pkに対して2つ以上の秘密鍵sが存在することを保証できる。その結果、検証で受理される対話を行った場合においても、「対話の際に証明者がsを用いた」という情報を検証者に知られないようにすることが可能になり、対話プロトコルを並列的に繰り返し実行する場合においても、能動的攻撃に対する安全性が保証される。
以上説明したように、n変数多次多項式f,…,fの数mがその変数の数nよりも小さな値(n>m;好ましくは2m−n≪1)に設定する方法を適用することで、対話プロトコルを並列的に繰り返し実行する場合の安全性を向上させることが可能になる。
[2−4:非対話型アルゴリズム]
これまで3パスの公開鍵認証方式について説明してきた。しかし、本手法においては、2パス目で検証者から証明者に送られる情報が検証パターンを示す要求d(実際には単なる乱数を用いることが多い。)だけであるため、1パスの公開鍵認証方式(以下、非対話型方式)に変形することができる。なお、非対話型方式に係る各アルゴリズムの内容を図7に示した。以下、図7を参照しながら、非対話型方式に係る各アルゴリズムの内容について説明する。
(鍵生成アルゴリズムGen)
鍵生成アルゴリズムGenは、環K上で定義されるm本のn変数多次多項式f(x,…,x),…,f(x,…,x)と、ベクトルs=(s,…,s)∈Kを生成する。次に、鍵生成アルゴリズムGenは、y=(y,…,y)←(f(s),…,f(s))を計算する。そして、鍵生成アルゴリズムGenは、(f,…,f,y)を公開鍵pkに設定し、sを秘密鍵に設定する。なお、以下では、n変数のベクトル(x,…,x)をxと表記し、m本のn変数多次多項式(f(x),…,f(x))をF(x)と表記する。
(証明者アルゴリズムP、検証者アルゴリズムV)
次に、図7を参照しながら、対話プロトコルにおける証明者アルゴリズムPと検証者アルゴリズムVによる処理について説明する。この対話プロトコルは、「証明者がy=F(s)を満たすsを知っていること」をsの情報を検証者に一切漏らさずに、検証者に証明させるものである。なお、鍵生成アルゴリズムGenにより生成された公開鍵pkは、証明者と検証者の間で共有されているものとする。また、鍵生成アルゴリズムGenにより生成された秘密鍵sは、証明者により秘密に管理されているものとする。
Step.1:
まず、証明者アルゴリズムPは、i=1〜Nについて、以下の処理(1)〜処理(8)を実行する。(処理(1))証明者アルゴリズムPは、任意に数wを選択する。(処理(2))証明者アルゴリズムPは、擬似乱数生成器Gに数wを適用してベクトルr∈Kと数w’を生成する。つまり、証明者アルゴリズムPは、(r,w’)←G(w)を計算する。(処理(3))証明者アルゴリズムPは、擬似乱数生成器Gに数w’を適用してn変数多項式の組F’(x)を生成する。つまり、証明者アルゴリズムPは、F’←G(w’)を計算する。
Step.1(続き):
(処理(4))証明者アルゴリズムPは、z←s−rを計算する。この計算は、秘密鍵sをベクトルrによりマスクする操作に相当する。(処理(5))証明者アルゴリズムPは、F”(x)←F(x+r)+F’(x)を計算する。この計算は、xについての多項式の組F(x+r)を多項式の組F’(x)によりマスクする操作に相当する。
Step.1(続き):
(処理(6))証明者アルゴリズムPは、F”(z)とzのハッシュ値c1,iを生成する。つまり、証明者アルゴリズムPは、c1,i←H(F”(z),z)を計算する。(処理(7))証明者アルゴリズムPは、数w’のハッシュ値c2,iを生成する。つまり、証明者アルゴリズムPは、c2,i←H(w’)を計算する。(処理(8))証明者アルゴリズムPは、多項式の組F”のハッシュ値c3,iを生成する。つまり、証明者アルゴリズムPは、c3,i←H(F”)を計算する。なお、上記のH(…)、H(…)、H(…)は、ハッシュ関数である。また、ハッシュ値(c1,i、c2,i、c3,i)はメッセージである。
Step.2:
次に、証明者アルゴリズムPは、乱数Rを選択する。次いで、証明者アルゴリズムPは、i=1〜Nについて、乱数RとStep.1で生成したメッセージ(c1,i、c2,i、c3,i)をハッシュ関数Hに適用してd=(d,…,d)を生成する。
Step.3:
次に、証明者アルゴリズムPは、生成したdに応じて検証者に送り返す情報σを生成する。ここで、証明者アルゴリズムPは、i=1〜Nについて、以下の処理(1)〜(3)を実行する。(処理(1))d=0の場合、証明者アルゴリズムPは、情報σ=wを生成する。(処理(2))d=1の場合、証明者アルゴリズムPは、情報σ=(w’,z)を生成する。(処理(3))d=2の場合、証明者アルゴリズムPは、情報σ=(F”,z)を生成する。上記の処理(1)〜(3)の判定及び処理が実行された後、乱数R、メッセージ(c1,i,c2,i,c3,i)及び情報σ(i=1〜N)は、証明者アルゴリズムPにより検証者に送られる。
Step.4:
検証者アルゴリズムVは、まず、証明者から受け取った乱数R、メッセージ(c1,i,c2,i,c3,i)及び情報σ(i=1〜N)をハッシュ関数Hに適用してd=(d,…,d)を生成する。次いで、検証者アルゴリズムVは、情報σ(i=1〜N)を利用して以下の検証処理を実行する。なお、以下の処理は、i=1〜Nについて実行される。
=0の場合、検証者アルゴリズムVは、(r’,w”)←G(σ)を計算する。さらに、検証者アルゴリズムVは、F'''←G(w”)を計算する。そして、検証者アルゴリズムVは、c2,i=H(w”)の等号が成り立つか否かを検証する。また、検証者アルゴリズムVは、c3,i=H(F(x+r’)+F'''(x))の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
=1の場合、検証者アルゴリズムVは、(w”,z’)←σとする。さらに、検証者アルゴリズムVは、F'''←G(w”)を計算する。そして、検証者アルゴリズムVは、c1,i=H(F'''(z’),z’)の等号が成り立つか否かを検証する。また、検証者アルゴリズムVは、c=H(w”)の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
=2の場合、検証者アルゴリズムVは、(F'''',z’)←σとする。そして、検証者アルゴリズムVは、c1,i=H(F''''(z’)−y,z’)の等号が成り立つか否かを検証する。さらに、検証者アルゴリズムVは、c3,i=H(F'''')の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
以上、非対話型方式に係る各アルゴリズムの内容について説明した。上記の通り、非対話型方式は、検証者が検証パターンを選択するために乱数dを証明者に送る代わりに、証明者アルゴリズムPがメッセージ(c1,i、c2,i、c3,i)を利用してdを生成するというものである。理想的なハッシュ関数Hを仮定すれば、ハッシュ値dがランダムに振る舞うため、証明者に都合の良いハッシュ値dが出ることはない。そのため、上記のような変形を行っても、十分な安全性が確保される。なお、このような変形は、拡張方式などに対しても同様に適用することが可能である。
[2−5:電子署名方式への変形]
ここで、本手法を電子署名方式へと変形する方法について説明する。なお、ここでは簡単のために、上記の非対話型方式を電子署名方式に変形する方法について述べる。上記の非対話型方式における証明者と検証者を電子署名方式における署名者と検証者に対応させると、証明者のみが検証者を納得させられるという点において、電子署名方式のモデルと類似していることが分かるであろう。こうした考えをもとに、非対話型方式に基づく電子署名方式のアルゴリズム構成について詳細に説明する。
(鍵生成アルゴリズムGen)
鍵生成アルゴリズムGenは、環K上で定義されるm本のn変数多次多項式f(x,…,x),…,f(x,…,x)と、ベクトルs=(s,…,s)∈Kを生成する。次に、鍵生成アルゴリズムGenは、y=(y,…,y)←(f(s),…,f(s))を計算する。そして、鍵生成アルゴリズムGenは、(f,…,f,y)を公開鍵pkに設定し、sを秘密鍵に設定する。なお、以下では、n変数のベクトル(x,…,x)をxと表記し、m本のn変数多次多項式(f(x),…,f(x))をF(x)と表記する。
(署名生成アルゴリズムSig)
署名生成アルゴリズムSigは、i=1〜Nについて、以下の(処理1)〜(処理15)を実行する。なお、署名生成アルゴリズムSigには、署名鍵sk=(s,…,s)と文書Mが入力されているものとする。
(処理1)署名生成アルゴリズムSigは、任意に数wを選択する。(処理2)署名生成アルゴリズムSigは、擬似乱数生成器Gに数wを適用してベクトルr∈Kと数w’を生成する。つまり、署名生成アルゴリズムSigは、(r,w’)←G(w)を計算する。(処理3)署名生成アルゴリズムSigは、擬似乱数生成器Gに数w’を適用してm本のn変数多項式F’(x)=(f’1,i(x),…,f’m,i(x))を生成する。つまり、署名生成アルゴリズムSigは、F’←G2(w’)を計算する。
(処理4)署名生成アルゴリズムSigは、z←s−rを計算する。この計算は、秘密鍵sをベクトルrによりマスクする操作に相当する。(処理5)署名生成アルゴリズムSigは、F”(x)←F(x+r)+F’(x)を計算する。この計算は、xについての多項式の組F(x+r)を多項式の組F’(x)によりマスクする操作に相当する。
(処理6)署名生成アルゴリズムSigは、F”(z)とzのハッシュ値c1,iを生成する。つまり、署名生成アルゴリズムSigは、c1,i←H(F”(z),z)を計算する。(処理7)署名生成アルゴリズムSigは、数w’のハッシュ値c2,iを生成する。つまり、署名生成アルゴリズムSigは、c2,i←H(w’)を計算する。(処理8)署名生成アルゴリズムSigは、多項式の組F”のハッシュ値c3,iを生成する。つまり、署名生成アルゴリズムSigは、c3,i←H(F”)を計算する。なお、上記のH(…)、H(…)、H(…)は、ハッシュ関数である。
(処理9)署名生成アルゴリズムSigは、乱数Rを選択する。(処理10)署名生成アルゴリズムSigは、i=1〜Nについて、文書M、乱数R、及びハッシュ値(c1,i,c2,i,c3,i)をハッシュ関数Hに適用してd=(d,…,d)を生成する。つまり、署名生成アルゴリズムSigは、d=(d,…,d)←H(R,M,c1,1,…,c3,N)を計算する。(処理11)署名生成アルゴリズムSigは、生成したdに応じて情報σを生成する。
ここで、署名生成アルゴリズムSigは、i=1〜Nについて、以下の(処理12)〜(処理14)を実行する。(処理12)d=0の場合、署名生成アルゴリズムSigは、情報σ=wを生成する。(処理13)d=1の場合、署名生成アルゴリズムSigは、情報σ=(w’,z)を生成する。(処理14)d=2の場合、署名生成アルゴリズムSigは、情報σ=(F”,z)を生成する。
(処理15)i=1〜Nについて、上記(処理12)〜(処理14)の判定及び処理が実行された後、署名生成アルゴリズムSigは、乱数R、メッセージ(c1,i、c2,i、c3,i)及び情報σ(i=1〜N)を含む電子署名σ=(R,c1,i、c2,i、c3,i,σ,…,σ)を出力する。
(署名検証アルゴリズムVer)
署名検証アルゴリズムVerは、i=1〜Nについて、以下の全ての検証を通過すれば、電子署名σを受理し、1つでも検証を通過しなかった場合には電子署名σを拒否する。なお、署名検証アルゴリズムVerには、電子署名σと文書Mが入力されているものとする。まず、署名検証アルゴリズムVerは、d=(d,…,d)←H(R,M,c1,1,…,c3,N)を計算する。次いで、署名検証アルゴリズムVerは、i=1〜Nについて、以下の(検証1)〜(検証3)を実行する。
(検証1)d=0の場合、署名検証アルゴリズムVerは、(r’,w”)←G(σ)を計算する。次いで、署名検証アルゴリズムVerは、F'''←G(w”)を計算する。そして、署名検証アルゴリズムVerは、c2,i=H(w”)の等号が成り立つか否かを検証する。また、署名検証アルゴリズムVerは、c3,i=H(F(x+r’)+F'''(x))の等号が成り立つか否かを検証する。署名検証アルゴリズムVerは、これらの検証が全て成功した場合に電子署名σの受理を示す値1を出力し、検証に失敗があった場合に電子署名σの拒否を示す値0を出力する。
(検証2)d=1の場合、署名検証アルゴリズムVerは、(w”,z’)←σを計算する。次いで、署名検証アルゴリズムVerは、F'''←G(w”)を計算する。そして、署名検証アルゴリズムVerは、c1,i=H(F'''(z’),z’)の等号が成り立つか否かを検証する。また、署名検証アルゴリズムVerは、c=H(w”)の等号が成り立つか否かを検証する。署名検証アルゴリズムVerは、これらの検証が全て成功した場合に電子署名σの受理を示す値1を出力し、検証に失敗があった場合に電子署名σの拒否を示す値0を出力する。
(検証3)d=2の場合、署名検証アルゴリズムVerは、(F'''',z’)←σを計算する。次いで、署名検証アルゴリズムVerは、c1,i=H(F''''(z’)−y,z’)の等号が成り立つか否かを検証する。さらに、署名検証アルゴリズムVerは、c3,i=H(F'''')の等号が成り立つか否かを検証する。署名検証アルゴリズムVerは、これらの検証が全て成功した場合に電子署名σの受理を示す値1を出力し、検証に失敗があった場合に電子署名σの拒否を示す値0を出力する。
以上、本手法に基づく電子署名方式の各アルゴリズム構成について説明した。同様にして、上記の拡張方式に基づく電子署名方式を構築することも可能である。
[2−6:具体例]
次に、図8を参照しながら、本手法を実施する際に想定される具体的なアルゴリズム構成について説明する。図8は、本手法の具体例を説明するための説明図である。
(鍵生成アルゴリズムGen)
鍵生成アルゴリズムGenは、環K上で定義されるm本のn変数2次多項式f(x,…,x),…,f(x,…,x)と、ベクトルs=(s,…,s)∈Kを生成する。次に、鍵生成アルゴリズムGenは、y=(y,…,y)←(f(s),…,f(s))を計算する。そして、鍵生成アルゴリズムGenは、(f,…,f,y)を公開鍵pkに設定し、sを秘密鍵に設定する。なお、以下では、n変数のベクトル(x,…,x)をxと表記し、m本のn変数2次多項式(f(x),…,f(x))をF(x)と表記する。但し、n変数2次多項式f(x,…,x)は、下記の式(10)のように表現される。
Figure 0005736816
(証明者アルゴリズムP、検証者アルゴリズムV)
次に、図8を参照しながら、対話プロトコルにおける証明者アルゴリズムPと検証者アルゴリズムVによる処理について説明する。この対話プロトコルは、「証明者がy=F(s)を満たすsを知っていること」をsの情報を検証者に一切漏らさずに、検証者に証明させるものである。なお、鍵生成アルゴリズムGenにより生成された公開鍵pkは、証明者と検証者の間で共有されているものとする。また、鍵生成アルゴリズムGenにより生成された秘密鍵sは、証明者により秘密に管理されているものとする。
Step.1:
まず、証明者アルゴリズムPは、任意に数wを選択する。次いで、証明者アルゴリズムPは、擬似乱数生成器Gに数wを適用してベクトルr∈Kと数w’を生成する。つまり、証明者アルゴリズムPは、(r,w’)←G(w)を計算する。次いで、証明者アルゴリズムPは、擬似乱数生成器Gに数w’を適用してm本の1次多項式の組f’(x,…,x),…,f’(x,…,x)を生成する。つまり、証明者アルゴリズムPは、(f’,…,f’)←G(w’)を計算する。但し、1次多項式f’(x,…,x)は、下記の式(11)のように表現される。また、m本の1次多項式の組(f’(x),…,f’(x))をF’(x)と表記する。
Figure 0005736816
Step.1(続き):
次いで、証明者アルゴリズムPは、z←s−rを計算する。この計算は、秘密鍵sをベクトルrによりマスクする操作に相当する。さらに、証明者アルゴリズムPは、F”(x)←F(x+r)+F’(x)を計算する。この計算は、xについての多項式F(x+r)を多項式F’(x)によりマスクする操作に相当する。ここで、F(x+r)の中にはrに関する情報がxの1次の項にしか現れないため、rに関する情報は全てF’(x)によりマスクされている点に注意されたい。
Step.1(続き):
次いで、証明者アルゴリズムPは、F’(z)とzのハッシュ値cを生成する。つまり、証明者アルゴリズムPは、c←H(F’(z),z)を計算する。また、証明者アルゴリズムPは、数w’のハッシュ値cを生成する。つまり、証明者アルゴリズムPは、c←H(w’)を計算する。さらに、証明者アルゴリズムPは、多項式F”のハッシュ値cを生成する。つまり、証明者アルゴリズムPは、c←H(F”)を計算する。なお、上記のH(…)、H(…)、H(…)は、ハッシュ関数である。また、ハッシュ値(c、c、c)はメッセージである。
Step.1で生成されたメッセージ(c、c、c)は、検証者に送られる。
Step.2:
検証者アルゴリズムVは、3つの検証パターンのうち、どの検証パターンを利用するかを選択する。次いで、検証者アルゴリズムVは、選択した検証パターンを表す要求d∈{0,1,2}を証明者に送る。
Step.3:
証明者アルゴリズムPは、検証者から受けた要求dに応じて検証者に送り返す情報σを生成する。もしd=0の場合、証明者アルゴリズムPは、情報σ=wを生成する。また、d=1の場合、証明者アルゴリズムPは、情報σ=(w’,z)を生成する。そして、d=2の場合、証明者アルゴリズムPは、情報σ=(F”,z)を生成する。このようにして生成された情報σは、証明者アルゴリズムPにより検証者に送られる。
Step.4:
検証者アルゴリズムVは、証明者から受け取った情報σを利用して以下の検証処理を実行する。
d=0の場合、検証者アルゴリズムVは、(r’,w”)←G(σ)を計算する。さらに、検証者アルゴリズムVは、f'''←G(w”)を計算する。そして、検証者アルゴリズムVは、c=H(w”)の等号が成り立つか否かを検証する。また、検証者アルゴリズムVは、c=H(F(x+r’)+F'''(x))の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
d=1の場合、検証者アルゴリズムVは、(w”,z’)←σとする。さらに、検証者アルゴリズムVは、F'''←G(w”)を計算する。そして、検証者アルゴリズムVは、c=H(F'''(z’),z’)の等号が成り立つか否かを検証する。また、検証者アルゴリズムVは、c=H(w”)の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
d=2の場合、検証者アルゴリズムVは、(F''',z’)←σを計算する。そして、検証者アルゴリズムVは、c=H(F'''(z’)−y,z’)の等号が成り立つか否かを検証する。さらに、検証者アルゴリズムVは、c=H(F''')の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
以上、本手法を実施する際に想定される具体的なアルゴリズム構成について説明した。
[2−7:効率的なアルゴリズム]
m本のn変数2次多項式の組(f(x),…,f(x))は、下記の式(12)のように表現することができる。但し、x=(x,…,x)は、n個の変数を表すベクトルである。また、A,…,Aは、n×n行列である。さらに、b,…,bはn×1ベクトルである。そして、cは、m×1ベクトルである。
Figure 0005736816
この表現を用いると、多項式の組Fは、下記の式(13)及び式(14)のように表現することができる。この表現が成り立つことは、下記の式(15)から容易に確認することができる。
Figure 0005736816
Figure 0005736816
このようにF(x+x)をxに依存する部分と、xに依存する部分と、x,xの両方に依存する部分の3つに分けたとき、xとxの両方に依存する部分F(x,x)は、x,xについて双線形写像になる。この性質を利用すると、効率的な方式を実現することが可能になる。
例えば、本手法において、xに関する多項式の組F(x+r)をマスクするために利用する多項式の組F’(x)を、ベクトルt∈K、e∈Kを用いてF’(x)=F(x,t)+eとする変形について考えてみたい。この変形を行うと、xに関する多項式の組F(x+r)、F’(x)の和は、下記の式(16)のように表現することができる。ここで、t’=r+t、e’=F(r)−c+eとおけば、xに関する多項式F”(x)は、ベクトルt’∈K、e’∈Kにより表現することができる。これらの理由から、F’(x)=F(x,t)+eに設定すれば、F’とF”の表現がK上のベクトルとK上のベクトルにより表現することが可能になり、通信に必要なデータサイズを大幅に減らすことができる。
Figure 0005736816
また、上記の変形により、F”(又はF’)からrに関する情報が一切漏れることはない。例えば、e’,t’(又はe,t)を与えられても、e,t(又はe’,t’)を知らない限り、rの情報を一切知ることはできない。従って、上記の変形を施した本手法は、零知識性が担保された公開鍵認証方式である。以下、図9〜図11を参照しながら、上記の変形を施した本手法に係る効率的なアルゴリズムについて、より詳細に説明する。なお、鍵生成アルゴリズムGenの構成については先に説明した本手法と実質的に同じであるため、詳細な説明を省略する。
Step.1:
まず、証明者アルゴリズムPは、任意に数wを選択する。次いで、証明者アルゴリズムPは、擬似乱数生成器Gに数wを適用してベクトルr∈Kと数w’を生成する。つまり、証明者アルゴリズムPは、(r,w’)←G(w)を計算する。次いで、証明者アルゴリズムPは、擬似乱数生成器Gに数w’を適用して2つのベクトルt∈K、e∈Kを生成する。つまり、証明者アルゴリズムPは、(t,e)←G(w’)を計算する。次いで、証明者アルゴリズムPは、z←s−rを計算する。この計算は、秘密鍵sをベクトルrによりマスクする操作に相当する。さらに、証明者アルゴリズムPは、t’←r+tを計算する。次いで、証明者アルゴリズムPは、e’←F(r)−c+eを計算する。
Step.1(続き):
次いで、証明者アルゴリズムPは、上記の式(16)に基づいてF(z,t)を算出し、F(z,t)+eとzのハッシュ値cを生成する。つまり、証明者アルゴリズムPは、c←H(F(z,t)+e,z)を計算する。また、証明者アルゴリズムPは、数w’のハッシュ値cを生成する。つまり、証明者アルゴリズムPは、c←H(w’)を計算する。さらに、証明者アルゴリズムPは、2つのベクトルt’とe’のハッシュ値cを生成する。つまり、証明者アルゴリズムPは、c←H(t’,e’)を計算する。なお、上記のH(…)、H(…)、H(…)は、ハッシュ関数である。また、ハッシュ値(c,c,c)はメッセージである。
Step.1で生成されたメッセージ(c,c,c)は、検証者に送られる。
Step.2:
検証者アルゴリズムVは、3つの検証パターンのうち、どの検証パターンを利用するかを選択する。次いで、検証者アルゴリズムVは、選択した検証パターンを表す要求d∈{0,1,2}を証明者に送る。
Step.3:
証明者アルゴリズムPは、検証者から受けた要求dに応じて検証者に送り返す情報σを生成する。もしd=0の場合、証明者アルゴリズムPは、情報σ=wを生成する。また、d=1の場合、証明者アルゴリズムPは、情報σ=(w’,z)を生成する。そして、d=2の場合、証明者アルゴリズムPは、情報σ=(t’,e’,z)を生成する。このようにして生成された情報σは、証明者アルゴリズムPにより検証者に送られる。
Step.4:
検証者アルゴリズムVは、証明者から受け取った情報σを利用して以下の検証処理を実行する。
d=0の場合、検証者アルゴリズムVは、(r’,w”)←G(σ)を計算する。さらに、検証者アルゴリズムVは、(t”,e”)←G(w”)を計算する。そして、検証者アルゴリズムVは、c=H(w”)の等号が成り立つか否かを検証する。また、検証者アルゴリズムVは、c=H(r’+t”,F(r’)−c+e”)の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
d=1の場合、検証者アルゴリズムVは、(w”,z’)←σとする。さらに、検証者アルゴリズムVは、(t”,e”)←G(w”)を計算する。そして、検証者アルゴリズムVは、c=H(F(z’,t”)+e”,z’)の等号が成り立つか否かを検証する。また、検証者アルゴリズムVは、c=H(w”)の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
d=2の場合、検証者アルゴリズムVは、(t''',e''',z’)←σとする。そして、検証者アルゴリズムVは、c=H(F(z’)+F(z’,t''')+e'''−y,z’)の等号が成り立つか否かを検証する。さらに、検証者アルゴリズムVは、c=H(t''',e''')の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
以上、本手法の効率的なアルゴリズムについて説明した。この効率的なアルゴリズムを利用することにより、通信に必要なデータサイズを大幅に削減することができる。また、対話プロトコルの中で、x+rを多項式Fに代入し、xについて整理しなおす計算(F(x+r)の計算)が必要なくなるため、計算効率も向上する。
(効率的なアルゴリズムの変形例について)
さて、図9に示した本手法の効率的なアルゴリズムは、その計算効率を維持しながら、図10、図11に示すようなアルゴリズムに変形することが可能である。
(変形例A:図10に示すアルゴリズム)
例えば、図9に示した効率的なアルゴリズムのStep.1において、e’←F(r)−c+eという計算を行っているが、この計算を図10に示すようにe’←F(r)+eという計算に変形してもよい。但し、この変形を行う場合には、Step.4において検証者が行う検証内容の一部を変形する必要がある。具体的には、Step.4においてd=0の場合に検証者が行う検証内容のうち、c=H(r’+t”,F(r’)−c+e”)の検証をc=H(r’+t”,F(r’)+e”)の検証に置き換える必要がある。また、Step.4においてd=2の場合に検証者が行う検証内容のうち、c=H(F(z’)+F(z’,t’’’)+e’’’−y,z’)の検証をc=H(F(z’)+F(z’,t’’’)−c+e’’’−y,z’)の検証に置き換える必要がある。
(変形例B:図11に示すアルゴリズム)
また、図10に示したアルゴリズムのStep.3において、d=0の場合にσをwに設定しているが、d=0の場合に設定されるσは、(r,t,e)が復元できる情報であればどのような情報でもよい。例えば、図11に示すように、Step.3においてd=0の場合に設定されるσの内容を(w’,t’)にしてもよい。但し、この変形を行う場合には、Step.4において検証者が行う検証内容の一部を変形する必要がある。具体的には、Step.4においてd=0の場合に検証者が行う検証内容のうち、c=H(r’+t”,F(r’)+e”)の検証をc=H(t’,F(t’−t)+e”)の検証に置き換える必要がある。
上記のように、Step.1において証明者により行われるe’←F(r)−c+eという計算をe’←F(r)+eという計算に変更することができる(変形例A)。また、Step.3においてd=0の場合に証明者により設定されるσの内容を(w’,t’)などに変更することができる(変形例B)。図11には、変形例Aに係る変形と変形例Bに係る変形を共に図9の効率的なアルゴリズムに対して適用したアルゴリズムを示したが、変形例Bに係る変形だけを図9の効率的なアルゴリズムに対して適用することも可能である。つまり、変形例Aの変形内容及び変形例Bの変形内容は、それぞれ単独で図9のアルゴリズムに適用してもよいし、両者を組み合わせて図9のアルゴリズムに適用してもよい。
[2−8:多次多変数連立方程式の形式]
これまで説明してきたように、本手法は、多次多変数連立方程式の求解問題に対する解答の困難性に安全性の根拠をおく方式である。また、本手法は、複雑な多次多変数連立方程式を利用可能な点に特徴がある。ここまでの説明においては多次多変数連立方程式の形式に特別な限定を行ってこなかったが、例えば、十分に困難性が補償されている暗号要素技術を表現した多次多変数連立方程式を利用することが好ましい。以下、本手法に適用可能な多次多変数連立方程式の具体例を紹介する。
(2−8−1:共通鍵ブロック暗号に関する形式)
AES、DES、KATANなどの共通鍵ブロック暗号技術は、よく解析され、安全性及び信頼性が高い要素技術である。これらの共通鍵ブロック暗号は、共通鍵ブロック暗号の鍵、平文、暗号文を変数とする多次多変数連立方程式により表現することができる。この多次多変数連立方程式において平文と暗号文を表現する変数に値を与えると、この多次多変数連立方程式は、鍵を表現する変数だけを変数に持つ方程式になる。
このような共通鍵ブロック暗号を表現した多次多変数連立方程式の解を求めることは、平文と暗号文から共通鍵ブロック暗号の鍵を復元することに相当する。つまり、その共通鍵ブロック暗号の安全性が維持されている限りにおいて、その共通鍵ブロック暗号を表現した多次多変数連立方程式の求解困難性は担保される。そのため、ある共通鍵ブロック暗号方式を表現する多次多変数連立方程式を本手法に適用するならば、共通鍵ブロック暗号方式の安全性と同等の安全性を具備した公開鍵認証方式が実現される。
但し、共通鍵ブロック暗号を、鍵、平文、暗号文を変数とする多次多変数連立方程式で表現した場合、多項式の次数が大きくなるため、連立方程式を表現するためのデータサイズが増大してしまう。そこで、鍵、平文、暗号文に加え、それぞれのラウンドにおける内部状態を表現するための変数を導入する。この変数を導入すれば、共通鍵ブロック暗号を表現する多次多変数連立方程式の次数を小さくすることができる。例えば、平文と暗号文を表現する変数に適当な値を代入し、鍵と内部状態を表現するための変数に関する連立方程式を導入する。このような方法を採用することにより、変数の数は増加するが、次数が下がるため、連立方程式の表現はコンパクトになる。
(2−8−2:ハッシュ関数に関する形式)
同様に、SHA−1、SHA−256などのハッシュ関数に関する多次多変数連立方程式を本手法に適用することも可能である。これらのハッシュ関数は、ハッシュ関数の入力となるメッセージと出力となるハッシュ値を変数とする多次多変数連立方程式で表現することができる。この多次多変数連立方程式において、ハッシュ値を表現する変数に適当な値を与えると、対応する入力を表現した変数に関する多次多変数連立方程式が得られる。
このような多次多変数連立方程式の解を求めることは、ハッシュ値から、元になるメッセージの値を復元することに相当する。つまり、そのハッシュ関数の安全性(一方向性)が維持されている限りにおいて、そのハッシュ関数を表現した多次多変数連立方程式の求解問題に対する解答の困難性は担保される。そのため、あるハッシュ関数を表現した多次多変数連立方程式を本手法に適用すれば、ハッシュ関数の安全性に基づく公開鍵認証方式が実現される。
但し、ハッシュ関数を、入力メッセージとハッシュ値を変数とする多次多変数連立方程式で表現した場合、多項式の次数が大きくなるため、連立方程式を表現するためのデータサイズが増大してしまう。そこで、入力メッセージ、ハッシュ値に加え、内部状態を表現するための変数を導入する。この変数を導入すれば、ハッシュ関数を表現する多次多変数連立方程式の次数を小さくすることができる。例えば、ハッシュ値を表現する変数に適用な値を代入し、入力メッセージと内部状態を表現するための変数に関する連立方程式を導入する。このような方法を採用することにより、変数の数は増加するが、次数が下がるため、連立方程式の表現はコンパクトになる。
(2−8−3:ストリーム暗号に関する形式)
同様に、Triviumなどのストリーム暗号に関する多次多変数連立方程式を本手法に適用することも可能である。これらのストリーム暗号は、ストリーム暗号の初期の内部状態を表現する変数と、出力されるストリームを表現する変数に関する多次多変数連立方程式で表現することが可能である。この場合、出力ストリームを表現する変数に適当な値を与えると、対応する初期の内部状態を表現するための変数に関する多次多変数連立方程式が得られる。
このような多次多変数連立方程式の解を求めることは、出力されたストリームの値から、元になった初期の内部状態を表現する変数を復元することに相当する。つまり、そのストリーム暗号の安全性が確保されている限りにおいて、そのストリーム暗号を表現した多次多変数連立方程式の求解問題に対する解答の困難性は担保されている。そのため、あるストリーム暗号を表現した多次多変数連立方程式を本手法に適用すれば、ストリーム暗号の安全性に基づく公開鍵認証方式が実現される。
但し、ストリーム暗号を、初期の内部状態と出力ストリームを変数とする多次多変数連立方程式で表現した場合、多項式の次数が大きくなり、連立方程式を表現するサイズが増大してしまう。そこで、初期の内部状態と出力ストリームに加え、それぞれのラウンドにおける内部状態を表現するための変数を導入する。この変数を導入すれば、ストリーム暗号を表現するための多次多変数連立方程式の次数を小さくすることが可能になる。例えば、出力ストリームを表現する変数に適当な値を代入し、初期の内部状態とラウンドにおける内部状態を表現するための変数に関する連立方程式を導入する。このような方法を採用することにより、変数の数は増加するが、次数が下がるため、連立方程式の表現はコンパクトになる。
以上、本発明の第1実施形態について説明した。
<3:第2実施形態>
次に、本発明の第2実施形態について説明する。これまで3パスの公開鍵認証方式について説明してきた。本実施形態では、5パスの公開鍵認証方式(以下、本手法)について説明する。本手法は、検証者の検証パターンを2q通りにすることにより、公開鍵認証方式の健全性を確保する方式である。
なお、上記の第1実施形態に係る3パスの公開鍵認証方式は、対話プロトコル1回当たりの偽証確率が2/3であったが、本手法では、後述するように対話プロトコル1回当たりの偽証確率は1/2+1/qとなる。但し、qは、利用する環の位数である。従って、環の位数が十分に大きい場合、図27に示すように、本手法の方が1回当たりの偽証確率を低減することが可能になり、少ない対話プロトコルの実行回数で、偽証確率を十分に小さくすることができる。
5パスの公開鍵認証方式に係る対話プロトコルは、3パスの公開鍵認証方式に係る対話プロトコルよりも効率が低いように思われるかもしれない。しかし、5パスの公開鍵認証方式においては、環の位数を十分に大きくとった場合、対話プロトコル1回当たりの偽証確率が1/2に近くなるため、同じセキュリティレベルを達成するために必要な対話プロトコルの実行回数が少なくて済む。
例えば、偽証確率を1/2以下にしたい場合、3パスの公開鍵認証方式においては、n/(log3−1)=1.701n回以上、対話プロトコルを実行する必要がある。一方、5パスの公開鍵認証方式においては、n/(1−log(1+1/q))回以上、対話プロトコルを実行する必要がある。図27に示すように、例えば、q=24にすれば、同じセキュリティレベルを実現するのに必要な通信量は、3パスの公開鍵認証方式に比べ、5パスの公開鍵認証方式の方が少なくなる。
[3−1:公開鍵認証方式のアルゴリズム]
以下、図12を参照しながら、5パスの公開鍵認証方式(本手法)に係るアルゴリズム構成について説明する。図12は、本手法に係るアルゴリズムの内容について説明するための説明図である。
(鍵生成アルゴリズムGen)
鍵生成アルゴリズムGenは、環K上で定義されるm本のn変数多次多項式f(x,…,x),…,f(x,…,x)と、ベクトルs=(s,…,s)∈Kを生成する。次に、鍵生成アルゴリズムGenは、y=(y,…,y)←f(s),…,f(s)を計算する。そして、鍵生成アルゴリズムGenは、(f,…,f,y)を公開鍵pkに設定し、sを秘密鍵に設定する。なお、以下では、n変数のベクトル(x,…,x)をxと表記し、m本のn変数多次多項式(f(x),…,f(x))をF(x)と表記する。
(証明者アルゴリズムP、検証者アルゴリズムV)
次に、図12を参照しながら、対話プロトコルにおける証明者アルゴリズムPと検証者アルゴリズムVによる処理について説明する。この対話プロトコルは、「証明者がy=F(s)を満たすsを知っていること」をsの情報を検証者に一切漏らさずに、検証者に証明させるものである。なお、鍵生成アルゴリズムGenにより生成された公開鍵pkは、証明者と検証者の間で共有されているものとする。また、鍵生成アルゴリズムGenにより生成された秘密鍵sは、証明者により秘密に管理されているものとする。
Step.1:
まず、証明者アルゴリズムPは、任意に数wを選択する。次いで、証明者アルゴリズムPは、擬似乱数生成器Gに数wを適用してベクトルr∈Kと、n変数多項式の組F’(x)=(f’(x),…,f’(x))を生成する。つまり、証明者アルゴリズムPは、(r,F’)←G(w)を計算する。次いで、証明者アルゴリズムPは、z←s−rを計算する。この計算は、秘密鍵sをベクトルrによりマスクする操作に相当する。
Step.1(続き):
次いで、証明者アルゴリズムPは、F’(z)とzのハッシュ値cを生成する。つまり、証明者アルゴリズムPは、c←H(F’(z),z)を計算する。また、証明者アルゴリズムPは、数wのハッシュ値cを生成する。つまり、証明者アルゴリズムPは、c←H(w)を計算する。なお、上記のH(…)、H(…)は、ハッシュ関数である。また、ハッシュ値(c,c)はメッセージである。
Step.1で生成されたメッセージ(c,c)は、検証者に送られる。
Step.2:
検証者アルゴリズムVは、q通り存在する環Kの元から1つの乱数αを選択する。そして、検証者アルゴリズムVは、選択した乱数αを証明者に送る。
Step.3:
証明者アルゴリズムPは、F”(x)←αF(x+r)+F’(x)を計算する。この計算は、xについての多項式の組F(x+r)を多項式の組F’(x)によりマスクする操作に相当する。
Step.3で生成された多項式F”は、検証者に送られる。
Step.4:
検証者アルゴリズムVは、2つの検証パターンのうち、どちらの検証パターンを利用するかを選択する。次いで、検証者アルゴリズムVは、選択した検証パターンを表す要求d∈{0,1}を証明者に送る。
Step.5:
証明者アルゴリズムPは、検証者から受けた要求dに応じて検証者に送り返す情報σを生成する。もしd=0の場合、証明者アルゴリズムPは、情報σ=wを生成する。また、d=1の場合、証明者アルゴリズムPは、情報σ=zを生成する。このようにして生成された情報σは、証明者アルゴリズムPにより検証者に送られる。
Step.6:
検証者アルゴリズムVは、証明者から受け取った情報σを利用して以下の検証処理を実行する。
d=0の場合、検証者アルゴリズムVは、(r’,F''')←G(σ)を計算する。そして、検証者アルゴリズムVは、c=H(σ)の等号が成り立つか否かを検証する。また、検証者アルゴリズムVは、F”(x)=αF(x+r’)+F'''(x)の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
d=1の場合、検証者アルゴリズムVは、z’←σを計算する。そして、検証者アルゴリズムVは、c=H(F'''(z’)−αy,z’)の等号が成り立つか否かを検証する。検証者アルゴリズムVは、この検証が成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
(補足)
さて、上記Step.1及びStep.3において生成されたメッセージ(c,c)及び多項式の組F”を検証者に送った際、秘密鍵skに関する情報、rに関する情報、zに関する情報が検証者に一切漏れていないことに注意されたい。また、上記Step.5において生成された情報σを検証者に送った際、d=0のときにはzに関する情報が検証者に一切漏れておらず、d=1のときにはrに関する情報が検証者に一切漏れていないことに注意されたい。
(本手法における健全性について)
本手法の健全性は、証明者アルゴリズムPが1組の(c,c)、及び、検証者アルゴリズムVが選択する2通りの(α,α)について、要求d=0,1に正しく回答した場合に、その回答内容から下記の式(17)〜式(19)を満たすF''''、F''''、F'''、r’、z’を計算できるということから保証されている。
Figure 0005736816
このようなロジックが保証されることにより、多変数連立方程式の求解問題を解かない限りにおいて1/2+1/qより高い確率で偽証することは不可能であることが保証される。つまり、検証者の要求d=0,1の全てに正しく回答するためには、偽証者が上記の式(17)〜式(19)を満たすF''''、F''''、F'''、r’、z’を計算できる必要がある。言い換えると、偽証者はF(s)=yを満たすsを計算できる必要がある。従って、多変数連立方程式の求解問題を解かない限り、偽証者は、1/2+1/qより高い確率で偽証を成功させることができないのである。なお、上記の対話プロトコルを十分に多くの回数実行することにより、偽証の成功確率を無視できるほど小さくすることができる。
(変形例)
上記の鍵生成アルゴリズムGenは、y←F(s)を計算し、公開鍵を(F,y)に設定している。しかし、鍵生成アルゴリズムGenは、(y,…,y)←F(s)として、(f (x),…,f (x))←(f(x)−y,…,f(x)−y)を計算し、公開鍵を(f ,…,f )に設定するように構成されていてもよい。このように変形すると、証明者と検証者との間でy=0として対話プロトコルを実行することが可能になる。
また、証明者アルゴリズムPは、F”(z)のハッシュ値と、zのハッシュ値とを別々に計算し、それぞれをメッセージとして検証者に送るようにしてもよい。
また、上記の証明者アルゴリズムPは、数wに擬似乱数生成器Gを適用してベクトルrと数w’を生成している。そして、上記の証明者アルゴリズムPは、数w’を擬似乱数生成器Gに適用してn変数多項式F’(x)を生成している。しかし、証明者アルゴリズムPは、最初からw=(r,F’)を算出し、Gを恒等写像としてもよい。また、この場合には、数wをGに適用する必要はない。なお、Gについても同様である。
以上、本手法に係る基本的なアルゴリズム構成について説明した。
[3−2:拡張アルゴリズム]
次に、図13を参照しながら、本手法を拡張した公開鍵認証方式(以下、拡張手法)のアルゴリズムについて説明する。図13は、拡張手法に基づく対話プロトコルの流れを説明するための説明図である。この拡張手法は、3パス目に送信する多項式の組F”を1つのハッシュ値cに変換して検証者に送る方式である。このように拡張することで、対話プロトコルの中で表現サイズの大きい多項式の組F”を検証者に送る確率を半減することが可能になり、通信する平均的なデータサイズを削減することができる。以下、拡張方式における各アルゴリズムの内容について詳細に説明する。
(鍵生成アルゴリズムGen)
鍵生成アルゴリズムGenは、環K上で定義されるm本のn変数多次多項式f(x,…,x),…,f(x,…,x)と、ベクトルs=(s,…,s)∈Kを生成する。次に、鍵生成アルゴリズムGenは、y=(y,…,y)←(f(s),…,f(s))を計算する。そして、鍵生成アルゴリズムGenは、(f,…,f,y)を公開鍵pkに設定し、sを秘密鍵に設定する。なお、以下では、n変数のベクトル(x,…,x)をxと表記し、m本のn変数多次多項式(f(x),…,f(x))をF(x)と表記する。
(証明者アルゴリズムP、検証者アルゴリズムV)
次に、図13を参照しながら、対話プロトコルにおける証明者アルゴリズムPと検証者アルゴリズムVによる処理について説明する。この対話プロトコルは、「証明者がy=F(s)を満たすsを知っていること」をsの情報を検証者に一切漏らさずに、検証者に証明させるものである。なお、鍵生成アルゴリズムGenにより生成された公開鍵pkは、証明者と検証者の間で共有されているものとする。また、鍵生成アルゴリズムGenにより生成された秘密鍵sは、証明者により秘密に管理されているものとする。
Step.1:
まず、証明者アルゴリズムPは、任意に数wを選択する。次いで、証明者アルゴリズムPは、擬似乱数生成器Gに数wを適用してベクトルr∈Kと、n変数多項式の組F’(x)を生成する。つまり、証明者アルゴリズムPは、(r,F’)←G(w)を計算する。次いで、証明者アルゴリズムPは、z←s−rを計算する。この計算は、秘密鍵sをベクトルrによりマスクする操作に相当する。
Step.1(続き):
次いで、証明者アルゴリズムPは、F’(z)とzのハッシュ値cを生成する。つまり、証明者アルゴリズムPは、c←H(F’(z),z)を計算する。また、証明者アルゴリズムPは、数wのハッシュ値cを生成する。つまり、証明者アルゴリズムPは、c←H(w)を計算する。なお、上記のH(…)、H(…)は、ハッシュ関数である。また、ハッシュ値(c,c)はメッセージである。
Step.1で生成されたメッセージ(c,c)は、検証者に送られる。
Step.2:
検証者アルゴリズムVは、q通り存在する環Kの元から1つの乱数αを選択する。そして、検証者アルゴリズムVは、選択した乱数αを証明者に送る。
Step.3:
証明者アルゴリズムPは、F”(x)←αF(x+r)+F’(x)を計算する。この計算は、xについての多項式の組F(x+r)を多項式の組F’(x)によりマスクする操作に相当する。さらに、証明者アルゴリズムPは、多項式の組F”のハッシュ値cを生成する。つまり、証明者アルゴリズムPは、c←H(F”(x))を計算する。なお、上記のH(…)は、ハッシュ関数である。また、ハッシュ値cはメッセージである。
Step.3で生成されたメッセージcは、検証者に送られる。
Step.4:
検証者アルゴリズムVは、2つの検証パターンのうち、どちらの検証パターンを利用するかを選択する。次いで、検証者アルゴリズムVは、選択した検証パターンを表す要求d∈{0,1}を証明者に送る。
Step.5:
証明者アルゴリズムPは、検証者から受けた要求dに応じて検証者に送り返す情報σを生成する。もしd=0の場合、証明者アルゴリズムPは、情報σ=wを生成する。また、d=1の場合、証明者アルゴリズムPは、情報σ=(z,F”)を生成する。このようにして生成された情報σは、証明者アルゴリズムPにより検証者に送られる。
Step.6:
検証者アルゴリズムVは、証明者から受け取った情報σを利用して以下の検証処理を実行する。
d=0の場合、検証者アルゴリズムVは、(r’,F''')←G(σ)を計算する。そして、検証者アルゴリズムVは、c=H(σ)の等号が成り立つか否かを検証する。また、検証者アルゴリズムVは、c=H(αF(x+r’)+F'''(x))の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
d=1の場合、検証者アルゴリズムVは、(z’,F''')←σを計算する。そして、検証者アルゴリズムVは、c=H(F'''(z’)−αy,z’)の等号が成り立つか否かを検証する。また、検証者アルゴリズムVは、c=H(F'''(x))の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
以上、拡張方式の対話プロトコルにおける各アルゴリズムの処理について説明した。このように拡張することで、対話プロトコルの中で表現サイズの大きい多項式の組F”を検証者に送る確率を半減することが可能になり、通信する平均的なデータサイズを削減することができる。
[3−3:並列化アルゴリズム]
さて、先に述べた通り、本手法又は拡張手法に係る対話プロトコルを適用すれば、偽証が成功する確率を(1/2+1/q)以下に抑制することができる。従って、この対話プロトコルを2回実行すれば、偽証が成功する確率を(1/2+1/q)以下に抑制することができる。同様に、この対話プロトコルをN回実行すると、偽証が成功する確率は(1/2+1/q)となり、Nを十分に大きい数(例えば、N=80)にすれば、偽証が成功する確率は無視できる程度に小さくなる。例えば、本手法に係る対話プロトコルを並列的にN回実行するアルゴリズムは図14のようになる。以下、図14を参照しながら、並列的に対話プロトコルをN回実行する各アルゴリズムの内容について説明する。
(鍵生成アルゴリズムGen)
鍵生成アルゴリズムGenは、環K上で定義されるm本のn変数多次多項式f(x,…,x),…,f(x,…,x)と、ベクトルs=(s,…,s)∈Kを生成する。次に、鍵生成アルゴリズムGenは、y=(y,…,y)←(f(s),…,f(s))を計算する。そして、鍵生成アルゴリズムGenは、(f,…,f,y)を公開鍵pkに設定し、sを秘密鍵に設定する。なお、以下では、n変数のベクトル(x,…,x)をxと表記し、m本のn変数多次多項式(f(x),…,f(x))をF(x)と表記する。
(証明者アルゴリズムP、検証者アルゴリズムV)
次に、図14を参照しながら、対話プロトコルにおける証明者アルゴリズムPと検証者アルゴリズムVによる処理について説明する。この対話プロトコルは、「証明者がy=F(s)を満たすsを知っていること」をsの情報を検証者に一切漏らさずに、検証者に証明させるものである。なお、鍵生成アルゴリズムGenにより生成された公開鍵pkは、証明者と検証者の間で共有されているものとする。また、鍵生成アルゴリズムGenにより生成された秘密鍵sは、証明者により秘密に管理されているものとする。
Step.1:
まず、証明者アルゴリズムPは、i=1〜Nについて、以下の処理(1)〜処理(5)を実行する。(処理(1))証明者アルゴリズムPは、任意に数wを選択する。(処理(2))証明者アルゴリズムPは、擬似乱数生成器Gに数wを適用してベクトルr∈Kと多項式の組F’(x)を生成する。つまり、証明者アルゴリズムPは、(r,F’)←G(w)を計算する。(処理(3))証明者アルゴリズムPは、z←s−rを計算する。この計算は、秘密鍵sをベクトルrによりマスクする操作に相当する。
Step.1(続き):
(処理(4))証明者アルゴリズムPは、F’(z)とzのハッシュ値c1,iを生成する。つまり、証明者アルゴリズムPは、c1,i←H(F’(z),z)を計算する。(処理(5))証明者アルゴリズムPは、数w’のハッシュ値c2,iを生成する。つまり、証明者アルゴリズムPは、c2,i←H(w’)を計算する。
i=1〜Nについて、上記の処理(1)〜(5)が実行された後、Step.1で生成されたメッセージ(c1,i,c2,i)(i=1〜N)は、検証者に送られる。
Step.2:
検証者アルゴリズムVは、q通り存在する環Kの元からN個の乱数α,…,αを選択する。そして、検証者アルゴリズムVは、選択した乱数α,…,αを証明者に送る。
Step.3:
検証者アルゴリズムVは、i=1〜Nについて、F”(x)←αF(x+r)+F’(x)を計算する。この計算は、xについての多項式の組F(x+r)を多項式の組F’(x)によりマスクする操作に相当する。そして、検証者アルゴリズムVは、多項式の組F”,…,F”を検証者に送る。
Step.4:
検証者アルゴリズムVは、i=1〜Nのそれぞれについて、2つの検証パターンのうち、どちらの検証パターンを利用するかを選択する。次いで、検証者アルゴリズムVは、選択した検証パターンを表す要求d∈{0,1}(i=1〜N)を証明者に送る。
Step.5:
証明者アルゴリズムPは、検証者から受けた要求dに応じて検証者に送り返す情報σを生成する。ここで、証明者アルゴリズムPは、i=1〜Nについて、以下の(処理1)又は(処理2)を実行する。(処理1)d=0の場合、証明者アルゴリズムPは、情報σ=wを生成する。(処理2)d=1の場合、証明者アルゴリズムPは、情報σ=zを生成する。上記(処理1)又は(処理2)の判定及び処理が実行された後、情報σ(i=1〜N)は、証明者アルゴリズムPにより検証者に送られる。
Step.6:
検証者アルゴリズムVは、証明者から受け取った情報σ(i=1〜N)を利用して以下の検証処理を実行する。なお、以下の処理は、i=1〜Nについて実行される。
=0の場合、検証者アルゴリズムVは、(r’,F''')←G(σ)を計算する。そして、検証者アルゴリズムVは、c2,i=H(σ)の等号が成り立つか否かを検証する。また、検証者アルゴリズムVは、F”(x)=αF(x+r’)+F'''(x)の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
=1の場合、検証者アルゴリズムVは、z’←σを計算する。そして、検証者アルゴリズムVは、c1,i=H(F'''(z’)−αy,z)の等号が成り立つか否かを検証する。検証者アルゴリズムVは、この検証が成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
以上、本手法の対話プロトコルを並列的に実行する方法について説明した。上記のように、本手法の対話プロトコルを繰り返し実行することにより、偽証が成功する確率を無視できる程度まで低減させることが可能になる。なお、拡張方式についても同様にして並列化することが可能である。拡張方式について並列化した対話プロトコルのアルゴリズム構成を図15に示した。
なお、上記のStep.1の後、(c1,1,c1,2,…,cN,1,cN,2)を検証者に送信する代わりに,そのハッシュ値H(c1,1,c1,2,…,cN,1,cN,2)にまとめて送信してもよい.この構成を適用すると、1パス目で送るメッセージが1つのハッシュ値だけとなり、大幅に通信量を削減することが可能になる。但し、このハッシュ値、及び証明者から送られるチャレンジに対する回答から復元できないハッシュ値については、回答と併せて証明者から送ってもらうようにする。この構成によると、N回の並列的繰り返し構成の場合、送るべき情報の数をN−1個削減することが可能になる。
(拡張方式に係る並列化アルゴリズムについて)
以下、図15を参照しながら、拡張方式に係る並列化アルゴリズムの内容について説明する。なお、鍵生成アルゴリズムGenの構成については本手法に係る並列化アルゴリズムと同じであるため、詳細な説明を省略する。
Step.1:
まず、証明者アルゴリズムPは、i=1〜Nについて、以下の処理(1)〜処理(5)を実行する。(処理(1))証明者アルゴリズムPは、任意に数wを選択する。(処理(2))証明者アルゴリズムPは、擬似乱数生成器Gに数wを適用してベクトルr∈Kと多項式の組F’(x)を生成する。つまり、証明者アルゴリズムPは、(r,F’)←G(w)を計算する。(処理(3))証明者アルゴリズムPは、z←s−rを計算する。この計算は、秘密鍵sをベクトルrによりマスクする操作に相当する。
Step.1(続き):
(処理(4))証明者アルゴリズムPは、F’(z)とzのハッシュ値c1,iを生成する。つまり、証明者アルゴリズムPは、c1,i←H(F’(z),z)を計算する。(処理(5))証明者アルゴリズムPは、数wのハッシュ値c2,iを生成する。つまり、証明者アルゴリズムPは、c2,i←H(w)を計算する。
i=1〜Nについて、上記の処理(1)〜(5)が実行された後、Step.1で生成されたメッセージ(c1,i,c2,i)(i=1〜N)は、検証者に送られる。
Step.2:
検証者アルゴリズムVは、q通り存在する環Kの元からN個の乱数α,…,αを選択する。そして、検証者アルゴリズムVは、選択した乱数α,…,αを証明者に送る。
Step.3:
検証者アルゴリズムVは、i−1〜Nについて、F”(x)←αF(x+r)+F’(x)を計算する。この計算は、xについての多項式の組F(x+r)を多項式の組F’(x)によりマスクする操作に相当する。次いで、検証者アルゴリズムVは、多項式の組F”,…,F”のハッシュ値cを生成する。つまり、証明者アルゴリズムPは、c←H(F”,…,F”)を計算する。なお、上記のH(…)は、ハッシュ関数である。また、ハッシュ値cはメッセージである。
Step.3で生成されたメッセージcは、検証者に送られる。
Step.4:
検証者アルゴリズムVは、i=1〜Nのそれぞれについて、2つの検証パターンのうち、どちらの検証パターンを利用するかを選択する。次いで、検証者アルゴリズムVは、選択した検証パターンを表す要求d∈{0,1}(i=1〜N)を証明者に送る。
Step.5:
証明者アルゴリズムPは、検証者から受けた要求dに応じて検証者に送り返す情報σを生成する。ここで、証明者アルゴリズムPは、i=1〜Nについて、以下の(処理1)又は(処理2)を実行する。(処理1)d=0の場合、証明者アルゴリズムPは、情報σ=wを生成する。(処理2)d=1の場合、証明者アルゴリズムPは、情報σ=(z,F”)を生成する。上記(処理1)又は(処理2)の判定及び処理が実行された後、情報σ(i=1〜N)は、証明者アルゴリズムPにより検証者に送られる。
Step.6:
検証者アルゴリズムVは、証明者から受け取った情報σ(i=1〜N)を利用して以下の検証処理を実行する。なお、以下の処理は、i=1〜Nについて実行される。
=0の場合、検証者アルゴリズムVは、(r’,F''')←G(σ)を計算する。さらに、検証者アルゴリズムVは、F''''←αF(x+r’)+F'''(x)を計算する。そして、検証者アルゴリズムVは、c2,i=H(σ)の等号が成り立つか否かを検証する。また、検証者アルゴリズムVは、c=H(F'''',…,F'''')の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
=1の場合、検証者アルゴリズムVは、(z’,F'''')←σとする。そして、検証者アルゴリズムVは、c1,i=H(F''''(z’)−αy,z’)の等号が成り立つか否かを検証する。さらに、検証者アルゴリズムVは、c=H(F'''',…,F'''')の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
以上、拡張方式に係る並列化アルゴリズムの内容について説明した。
(好適なパラメータの設定方法について)
さて、上記の第1実施形態に係る対話プロトコルと同様、本実施形態に係る対話プロトコルは、受動的攻撃に対する安全性レベルを保証している。しかし、この対話プロトコルを並列的に繰り返し実行する上記の方法を適用した場合、能動的攻撃に対する安全性レベルが確実に保証されているということを保証するには、以下で説明するような条件が必要になる。
上記の対話プロトコルは、1組の鍵ペア(公開鍵y、秘密鍵s)を用いて「yについてy=F(s)となるsを知っていること」を証明者が検証者に対して証明する方式であった。そのため、検証で受理される対話を行った場合、「対話の際に証明者がsを用いた」という情報を検証者に知られてしまう可能性が否定できない。また、上記のFには衝突困難性が保証されてない。そのため、上記の対話プロトコルを並列的に繰り返し実行する場合について、能動的攻撃に対する安全性レベルが確実に保証されているということを無条件で証明することは難しいのである。
そこで、本件発明者は、検証で受理される対話を行った場合においても、「対話の際に証明者がsを用いた」という情報を検証者に知られないようにする方法について検討した。そして、本件発明者は、上記の対話プロトコルを並列的に繰り返し実行する場合においても、能動的攻撃に対する安全性を保証することが可能になる方法を考案した。この方法は、公開鍵として用いるn変数多次多項式f,…,fの数mをその変数の数nよりも十分に小さな値に設定するというものである。例えば、2m−n≪1となるようにm及びnが設定される(例えば、n=160、m=80の場合2−80≪1である。)。
上記のような多次多変数方程式の求解問題に対する解答の困難性に安全性の根拠をおく方式において、秘密鍵sと、それに対応する公開鍵pkとが与えられても、その公開鍵pkに対応する別の秘密鍵sを生成することは難しい。そのため、公開鍵pkに対する秘密鍵sが2つ以上存在することを保証すれば、検証で受理される対話を行った場合においても、「対話の際に証明者がsを用いた」という情報を検証者に知られないようにすることが可能になる。つまり、この保証が成り立てば、対話プロトコルを並列的に繰り返し実行する場合においても、能動的攻撃に対する安全性を保証することが可能になる。
図28を参照しながら、m本のn次多変数多項式で構成される関数F:K→Kについて考えると(但し、n>m)、2つ目の原像を持たない定義域の要素数は、最大で|K|−1個しか存在しない。そのため、|K|m−nを十分に小さくすると、2つ目の原像を持たない定義域の要素が選択される確率を無視できる程度まで小さくすることができる。つまり、n変数多次多項式f,…,fの数mがその変数の数nよりも十分に小さな値に設定されていれば、公開鍵pkに対して2つ以上の秘密鍵sが存在することを保証できる。その結果、検証で受理される対話を行った場合においても、「対話の際に証明者がsを用いた」という情報を検証者に知られないようにすることが可能になり、対話プロトコルを並列的に繰り返し実行する場合においても、能動的攻撃に対する安全性が保証される。
以上説明したように、n変数多次多項式f,…,fの数mがその変数の数nよりも小さな値(n>m;好ましくは2m−n≪1)に設定する方法を適用することで、対話プロトコルを並列的に繰り返し実行する場合の安全性を向上させることが可能になる。
[3−4:非対話型アルゴリズム]
これまで5パスの公開鍵認証方式について説明してきた。しかし、本手法においては、検証者から証明者に送られる情報が実際には単なる乱数だけであるため、1パスの公開鍵認証方式(以下、非対話型方式)に変形することができる。なお、非対話型方式に係る各アルゴリズムの内容を図16に示した。以下、図16を参照しながら、非対話型方式に係る各アルゴリズムの内容について説明する。
(鍵生成アルゴリズムGen)
鍵生成アルゴリズムGenは、環K上で定義されるm本のn変数多次多項式f(x,…,x),…,f(x,…,x)と、ベクトルs=(s,…,s)∈Kを生成する。次に、鍵生成アルゴリズムGenは、y=(y,…,y)←(f(s),…,f(s))を計算する。そして、鍵生成アルゴリズムGenは、(f,…,f,y)を公開鍵pkに設定し、sを秘密鍵に設定する。なお、以下では、n変数のベクトル(x,…,x)をxと表記し、m本のn変数多次多項式(f(x),…,f(x))をF(x)と表記する。
(証明者アルゴリズムP、検証者アルゴリズムV)
次に、図16を参照しながら、対話プロトコルにおける証明者アルゴリズムPと検証者アルゴリズムVによる処理について説明する。この対話プロトコルは、「証明者がy=F(s)を満たすsを知っていること」をsの情報を検証者に一切漏らさずに、検証者に証明させるものである。なお、鍵生成アルゴリズムGenにより生成された公開鍵pkは、証明者と検証者の間で共有されているものとする。また、鍵生成アルゴリズムGenにより生成された秘密鍵sは、証明者により秘密に管理されているものとする。
Step.1:
まず、証明者アルゴリズムPは、i=1〜Nについて、以下の処理(1)〜処理(5)を実行する。(処理(1))証明者アルゴリズムPは、任意に数wを選択する。(処理(2))証明者アルゴリズムPは、擬似乱数生成器Gに数wを適用してベクトルr∈Kと多項式の組F’(x)を生成する。つまり、証明者アルゴリズムPは、(r,F’)←G(w)を計算する。(処理(3))証明者アルゴリズムPは、z←s−rを計算する。この計算は、秘密鍵sをベクトルrによりマスクする操作に相当する。
Step.1(続き):
(処理(4))証明者アルゴリズムPは、F(z)とzのハッシュ値c1,iを生成する。つまり、証明者アルゴリズムPは、c1,i←H(F(z),z)を計算する。(処理(5))証明者アルゴリズムPは、数wのハッシュ値c2,iを生成する。つまり、証明者アルゴリズムPは、c2,i←H(w)を計算する。
Step.1(続き):
次に、検証者アルゴリズムVは、乱数R,Rを選択する。そして、検証者アルゴリズムVは、乱数Rと上記の処理(4)及び(5)で計算されたハッシュ値c1,i,c2,iをハッシュ関数Hに適用してハッシュ値α,…,αを生成する。つまり、検証者アルゴリズムVは、(α,…,α)←H(R,c1,1,…,c2,N)を計算する。
Step.1(続き):
次に、検証者アルゴリズムVは、i=1〜Nについて、以下の処理(1)及び(2)を実行する。(処理(1))証明者アルゴリズムPは、F”(x)←αF(x+r)+F’(x)を計算する。この計算は、xについての多項式の組F(x+r)を多項式の組F’(x)によりマスクする操作に相当する。(処理(2))証明者アルゴリズムPは、i=1〜Nについて、乱数R,R、ハッシュ値(c1,i、c2,i)、α,F”をハッシュ関数Hに適用してd=(d,…,d)を生成する。つまり、証明者アルゴリズムPは、(d,…,d)←H(R,R,c1,1,…,c2,N,α,…,α,F”,…,F”)を計算する。
Step.1(続き):
次に、証明者アルゴリズムPは、生成したdに応じて検証者に送り返す情報σを生成する。ここで、証明者アルゴリズムPは、i=1〜Nについて、以下の(処理1)又は(処理2)を実行する。(処理1)d=0の場合、証明者アルゴリズムPは、情報σ=wを生成する。(処理2)d=1の場合、証明者アルゴリズムPは、情報σ=zを生成する。上記(処理1)又は(処理2)の判定及び処理が実行された後、R、R、c1,i、c2,i、σ(i=1〜N)は、証明者アルゴリズムPにより検証者に送られる。
Step.2:
検証者アルゴリズムVは、まず、証明者から受け取ったR、c1,i、c2,iをハッシュ関数Hに適用してαを生成する。つまり、検証者アルゴリズムVは、(α,…,α)←H(R,c1,1,…,c2,N)を計算する。次いで、検証者アルゴリズムVは、d=(d,…,d)←H(R,R,c1,1,…,c2,N,α,…,α,F”,…,F”)を計算する。次いで、検証者アルゴリズムVは、情報σ(i=1〜N)を利用して以下の検証処理を実行する。なお、以下の処理は、i=1〜Nについて実行される。
=0の場合、検証者アルゴリズムVは、(r’,F''')←G(σ)を計算する。そして、検証者アルゴリズムVは、c2,i=H(σ)の等号が成り立つか否かを検証する。また、検証者アルゴリズムVは、F”(x)=αF(x+r’)+F'''(x)の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
=1の場合、検証者アルゴリズムVは、z’←σを計算する。そして、検証者アルゴリズムVは、c1,i=H(F'''(z’)−αy,z’)の等号が成り立つか否かを検証する。検証者アルゴリズムVは、この検証が成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
以上、非対話型方式に係る各アルゴリズムの内容について説明した。なお、理想的なハッシュ関数H、Hを仮定すれば、ハッシュ値α,dがランダムに振る舞うため、証明者に都合の良いハッシュ値α,dが出ることはない。そのため、上記のような変形を行っても、十分な安全性が確保される。なお、このような変形は、拡張方式などに対しても同様に適用することが可能である。
[3−5:電子署名方式への変形]
ここで、本手法を電子署名方式へと変形する方法について説明する。なお、ここでは簡単のために、上記の非対話型方式を電子署名方式に変形する方法について述べる。上記の非対話型方式における証明者と検証者を電子署名方式における署名者と検証者に対応させると、証明者のみが検証者を納得させられるという点において、電子署名方式のモデルと近似していることが分かるであろう。こうした考えをもとに、非対話型方式に基づく電子署名方式のアルゴリズム構成について詳細に説明する。
(鍵生成アルゴリズムGen)
鍵生成アルゴリズムGenは、環K上で定義されるm本のn変数多次多項式f(x,…,x),…,f(x,…,x)と、ベクトルs=(s,…,s)∈Kを生成する。次に、鍵生成アルゴリズムGenは、y=(y,…,y)←(f(s),…,f(s))を計算する。そして、鍵生成アルゴリズムGenは、(f,…,f,y)を公開鍵pkに設定し、sを秘密鍵に設定する。なお、以下では、n変数のベクトル(x,…,x)をxと表記し、m本のn変数多次多項式(f(x),…,f(x))をF(x)と表記する。
(署名生成アルゴリズムSig)
署名生成アルゴリズムSigは、i=1〜Nについて、以下の(処理1)〜(処理11)を実行する。なお、署名生成アルゴリズムSigには、署名鍵sk=sと文書Mが入力されているものとする。
(処理1)署名生成アルゴリズムSigは、任意に数wを選択する。(処理2)署名生成アルゴリズムSigは、擬似乱数生成器Gに数wを適用してベクトルr∈Kとn変数多項式の組F’(x)=(f1,1’(x),…,fm,i’(x))を生成する。つまり、署名生成アルゴリズムSigは、(r,F’)←G(w)を計算する。(処理2)署名生成アルゴリズムSigは、z←s−rを計算する。この計算は、秘密鍵sをベクトルrによりマスクする操作に相当する。
(処理3)署名生成アルゴリズムSigは、F”(z)とzのハッシュ値c1,iを生成する。つまり、署名生成アルゴリズムSigは、c1,i←H(F”(z),z)を計算する。(処理4)署名生成アルゴリズムSigは、数w’のハッシュ値c2,iを生成する。つまり、署名生成アルゴリズムSigは、c2,i←H(w’)を計算する。なお、上記のH(…)、H(…)は、ハッシュ関数である。
(処理4)署名生成アルゴリズムSigは、乱数Rを任意に選択する。(処理5)署名生成アルゴリズムSigは、α=(α,…,α)←H(R,M,c1,1,…,c2,N)を計算する。(処理6)署名生成アルゴリズムSigは、i=1〜Nについて、F”(x)=αF(x+r’)+F’(x)を計算する。(処理7)署名生成アルゴリズムSigは、乱数Rを任意に選択する。(処理8)署名生成アルゴリズムSigは、d=(d,…,d)←H(R,M,c1,1,…,c2,N,α,F”,…,F”)を計算する。
次に、署名生成アルゴリズムSigは、i=1〜Nについて、dに応じた次の(処理9)又は(処理10)を実行する。(処理9)d=0の場合、署名生成アルゴリズムSigは、σ←wを計算する。(処理10)d=1の場合、署名生成アルゴリズムSigは、σ←zを計算する。
(処理11)i=1〜Nについて、上記(処理9)又は(処理10)の判定及び処理が実行された後、署名生成アルゴリズムSigは、電子署名σ=(R,R,c1,1,…,c2,N,α,…,α,F”,…,F”,σ,…,σ)を出力する。
(署名検証アルゴリズムVer)
署名検証アルゴリズムVerは、i=1〜Nについて、以下の全ての検証を通過すれば、電子署名σを受理し、1つでも検証を通過しなかった場合には電子署名σを拒否する。なお、署名検証アルゴリズムVerには、電子署名σと文書Mが入力されているものとする。まず、署名検証アルゴリズムVerは、α=(α,…,α)←H(R,M,c1,1,…,c3,N)を計算する。次いで、署名検証アルゴリズムVerは、d=(d,…,d)←H(R,M,c1,1,…,c3,N,α,F”,…,F”)を計算する。次いで、署名検証アルゴリズムVerは、i=1〜Nについて、以下の(検証1)〜(検証3)を実行する。
(検証1)di=0の場合、署名検証アルゴリズムVerは、(r’,F”)←G(σ)を計算する。そして、署名検証アルゴリズムVerは、c2,i=H(σ)の等号が成り立つか否かを検証する。また、署名検証アルゴリズムVerは、F”(x)=αF(x+r’)+F’(x,…,x)の等号が成り立つか否かを検証する。署名検証アルゴリズムVerは、これらの検証が全て成功した場合に電子署名σの受理を示す値1を出力し、検証に失敗があった場合に電子署名σの拒否を示す値0を出力する。
(検証2)d=1の場合、署名検証アルゴリズムVerは、(z’,F''')←σを計算する。そして、署名検証アルゴリズムVerは、c1,i=H(F'''(z’),z’)の等号が成り立つか否かを検証する。署名検証アルゴリズムVerは、この検証が成功した場合に電子署名σの受理を示す値1を出力し、検証に失敗があった場合に電子署名σの拒否を示す値0を出力する。
以上、本手法に基づく電子署名方式の各アルゴリズム構成について説明した。なお、同様にして、上記の拡張方式に基づく電子署名方式を構築することも可能である。
[3−6:具体例]
次に、図17を参照しながら、本手法を実施する際に想定される具体的なアルゴリズム構成について説明する。図17は、本手法の具体例を説明するための説明図である。
(鍵生成アルゴリズムGen)
鍵生成アルゴリズムGenは、環K上で定義されるm本のn変数2次多項式f(x,…,x),…,f(x,…,x)と、ベクトルs=(s,…,s)∈Kを生成する。次に、鍵生成アルゴリズムGenは、y=(y,…,y)←(f(s),…,f(s))を計算する。そして、鍵生成アルゴリズムGenは、(f,…,f,y)を公開鍵pkに設定し、sを秘密鍵に設定する。なお、以下では、n変数のベクトル(x,…,x)をxと表記し、m本のn変数多次多項式(f(x),…,f(x))をF(x)と表記する。
(証明者アルゴリズムP、検証者アルゴリズムV)
次に、図17を参照しながら、対話プロトコルにおける証明者アルゴリズムPと検証者アルゴリズムVによる処理について説明する。この対話プロトコルは、「証明者がy=F(s)を満たすsを知っていること」をsの情報を検証者に一切漏らさずに、検証者に証明させるものである。なお、鍵生成アルゴリズムGenにより生成された公開鍵pkは、証明者と検証者の間で共有されているものとする。また、鍵生成アルゴリズムGenにより生成された秘密鍵sは、証明者により秘密に管理されているものとする。
Step.1:
まず、証明者アルゴリズムPは、任意に数wを選択する。次いで、証明者アルゴリズムPは、擬似乱数生成器Gに数wを適用してベクトルr∈Kと、n変数多項式の組F’(x)=(f’(x),…,f’(x))を生成する。つまり、証明者アルゴリズムPは、(r,F’)←G(w)を計算する。次いで、証明者アルゴリズムPは、z←s−rを計算する。この計算は、秘密鍵sをベクトルrによりマスクする操作に相当する。但し、多項式f’(x)は、下記の式(20)のように表現される。
Figure 0005736816
Step.1(続き):
次いで、証明者アルゴリズムPは、F’(z)とzのハッシュ値cを生成する。つまり、証明者アルゴリズムPは、c←H(F’(z),z)を計算する。また、証明者アルゴリズムPは、数wのハッシュ値cを生成する。つまり、証明者アルゴリズムPは、c←H(w)を計算する。なお、上記のH(…)、H(…)は、ハッシュ関数である。また、ハッシュ値(c,c)はメッセージである。
Step.1で生成されたメッセージ(c,c)は、検証者に送られる。
Step.2:
検証者アルゴリズムVは、q通り存在する環Kの元から1つの乱数αを選択する。そして、検証者アルゴリズムVは、選択した乱数αを証明者に送る。
Step.3:
証明者アルゴリズムPは、F”(x)←αF(x+r)+F’(x)を計算する。この計算は、xについての多項式の組F(x+r)を多項式の組F’(x)によりマスクする操作に相当する。
Step.3で生成された多項式F”は、検証者に送られる。
Step.4:
検証者アルゴリズムVは、2つの検証パターンのうち、どちらの検証パターンを利用するかを選択する。次いで、検証者アルゴリズムVは、選択した検証パターンを表す要求d∈{0,1}を証明者に送る。
Step.5:
証明者アルゴリズムPは、検証者から受けた要求dに応じて検証者に送り返す情報σを生成する。もしd=0の場合、証明者アルゴリズムPは、情報σ=wを生成する。また、d=1の場合、証明者アルゴリズムPは、情報σ=zを生成する。このようにして生成された情報σは、証明者アルゴリズムPにより検証者に送られる。
Step.6:
検証者アルゴリズムVは、証明者から受け取った情報σを利用して以下の検証処理を実行する。
d=0の場合、検証者アルゴリズムVは、(r’,F''')←G(σ)を計算する。そして、検証者アルゴリズムVは、c=H(σ)の等号が成り立つか否かを検証する。また、検証者アルゴリズムVは、F”(x)=αF(x+r’)+F'''(x)の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
d=1の場合、検証者アルゴリズムVは、z’←σとする。そして、検証者アルゴリズムVは、c=H(F''(z’)−αy,z’)の等号が成り立つか否かを検証する。検証者アルゴリズムVは、この検証が成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
以上、本手法を実施する際に想定される具体的なアルゴリズム構成について説明した。
[3−7:効率的なアルゴリズム]
ここで、上記の第1実施形態と同様、効率の良いアルゴリズムについて考える。例えば、xについての多項式の組F(x+r)をマスクするために用いた多項式の組F’(x)を、2つのベクトルt∈K、e∈Kを用いてF’(x)=F(x、t)+eのように表現する方法について考える。この方法を用いると、xについての多項式の組F(x+r)は、下記の式(21)のように表現される。
Figure 0005736816
そのため、t’=αr+t,e’=α(F(r)−c)+eとすれば、マスク後のxに関する多項式の組F”(x)も、2つのベクトルt’∈K、e∈Kにより表現することができる。これらの理由から、F’をF’(x)=F(x,t)+eと設定すれば、F’とF”の表現がK上のベクトルとK上のベクトルによる表現されることになり、通信に必要なデータサイズを大幅に削減することが可能になる。
また、上記の変形により、F”(又はF’)からrに関する情報が一切漏れることはない。例えば、e’,t’(又はe,t)を与えられても、e,t(又はe’,t’)を知らない限り、rの情報を一切知ることはできない。従って、上記の変形を施した本手法は、零知識性が担保された公開鍵認証方式である。以下、図18〜図25を参照しながら、上記の変形を施した本手法に係る効率的なアルゴリズムについて、より詳細に説明する。なお、鍵生成アルゴリズムGenの構成については先に説明した本手法と実質的に同じであるため、詳細な説明を省略する。
Step.1:
まず、証明者アルゴリズムPは、任意に数wを選択する。次いで、証明者アルゴリズムPは、擬似乱数生成器Gに数wを適用してベクトルr∈K、t∈K、e∈Kを生成する。つまり、証明者アルゴリズムPは、(r,t,e)←G(w)を計算する。次いで、証明者アルゴリズムPは、z←s−rを計算する。この計算は、秘密鍵sをベクトルrによりマスクする操作に相当する。
Step.1(続き):
次いで、証明者アルゴリズムPは、F(z,t)+eとzのハッシュ値cを生成する。つまり、証明者アルゴリズムPは、c←H(F(z,t)+e,z)を計算する。また、証明者アルゴリズムPは、数wのハッシュ値cを生成する。つまり、証明者アルゴリズムPは、c←H(w)を計算する。なお、上記のH(…)、H(…)は、ハッシュ関数である。また、ハッシュ値(c,c)はメッセージである。
Step.1で生成されたメッセージ(c,c)は、検証者に送られる。
Step.2:
検証者アルゴリズムVは、q通り存在する環Kの元から1つの乱数αを選択する。そして、検証者アルゴリズムVは、選択した乱数αを証明者に送る。
Step.3:
証明者アルゴリズムPは、t’←αr+tを計算する。さらに、証明者アルゴリズムPは、e’←α(F(r)−c)+eを計算する。そして、証明者アルゴリズムPは、t’,e’を検証者に送る。
Step.4:
検証者アルゴリズムVは、2つの検証パターンのうち、どちらの検証パターンを利用するかを選択する。次いで、検証者アルゴリズムVは、選択した検証パターンを表す要求d∈{0,1}を証明者に送る。
Step.5:
証明者アルゴリズムPは、検証者から受けた要求dに応じて検証者に送り返す情報σを生成する。もしd=0の場合、証明者アルゴリズムPは、情報σ=wを生成する。また、d=1の場合、証明者アルゴリズムPは、情報σ=zを生成する。このようにして生成された情報σは、証明者アルゴリズムPにより検証者に送られる。
Step.6:
検証者アルゴリズムVは、証明者から受け取った情報σを利用して以下の検証処理を実行する。
d=0の場合、検証者アルゴリズムVは、(r’,t”,e”)←G(σ)を計算する。そして、検証者アルゴリズムVは、c=H(σ)の等号が成り立つか否かを検証する。また、検証者アルゴリズムVは、t’=αr’+t”の等号が成り立つか否かを検証する。さらに、検証者アルゴリズムVは、e’=α(F(r’)−c)+e”の等号が成り立つか否かを検証する。検証者アルゴリズムVは、これらの検証が全て成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
d=1の場合、検証者アルゴリズムVは、z’←σとする。そして、検証者アルゴリズムVは、c=H(αF(z’)−y+F(z’,t’)+e’,z’)の等号が成り立つか否かを検証する。検証者アルゴリズムVは、この検証が成功した場合に認証成功を示す値1を出力し、検証に失敗があった場合に認証失敗を示す値0を出力する。
以上、本手法に係る効率的なアルゴリズム構成について説明した。この効率的なアルゴリズムを利用することにより、通信に必要なデータサイズを大幅に削減することができる。また、対話プロトコルの中で、x+rを多項式Fに代入し、xについて整理しなおす計算(F(x+r)の計算)が必要なくなるため、計算効率も向上する。
(効率的なアルゴリズムの変形例について)
さて、図18に示した本手法の効率的なアルゴリズムは、その計算効率を維持しながら、図19〜図25に示すようなアルゴリズムに変形することが可能である。
(変形例A:図19に示すアルゴリズム)
例えば、図18に示した効率的なアルゴリズムのStep.3において、e’←α(F(r)−c)+eという計算を行っているが、この計算を図19に示すようにe’←αF(r)+eという計算に変形してもよい。但し、この変形を行う場合には、Step.6において検証者が行う検証内容の一部を変形する必要がある。具体的には、Step.6においてd=0の場合に検証者が行う検証内容のうち、e’=α(F(r’)−c)+e”の検証をe’=αF(r’)+e”の検証に置き換える必要がある。また、Step.6においてd=1の場合に検証者が行う検証内容のうち、c=H(α(F(z’)−y)+F(z’,t’’’)+e’’’,z’)の検証をc=H(α(F(z’)−c−y)+F(z’,t’’’)+e’’’,z’)の検証に置き換える必要がある。
(変形例B:図20に示すアルゴリズム)
また、図19に示したアルゴリズムのStep.5において、d=0の場合にσをwに設定しているが、d=0の場合に設定されるσは、(t’,e’’)に併せて用いることで(r,t,e)が復元できるような情報であればどのような情報でもよい。例えば、図20に示すように、Step.5においてd=0の場合に設定されるσの内容をrにしてもよい。但し、この変形を行う場合には、図19に示したアルゴリズムのStep.1における計算c←H(w)をc←H(r,t,e)に変形する必要がある。また、Step.6においてd=0の場合に検証者が行う検証内容をc=H(r,t’−αr,e’−αF(r))の検証に置き換える必要がある。
(変形例C:図21に示すアルゴリズム)
また、図20に示したアルゴリズムのStep.3において、t’←αr+tという計算を行っているが、この計算を図21に示すようにt’←α(r+t)という計算に変形してもよい。但し、この変形を行う場合には、図20に示したアルゴリズムのStep.6においてd=0の場合に検証者が行う検証内容をc=H(r,α−1t’−r,e’−αF(r))の検証に置き換える必要がある。
(変形例D:図22に示すアルゴリズム)
また、図20に示したアルゴリズムのStep.3において、e’←αF(r)+eという計算を行っているが、この計算を図22に示すようにe’←α(F(r)+e)という計算に変形してもよい。但し、この変形を行う場合には、図20に示したアルゴリズムのStep.6においてd=0の場合に検証者が行う検証内容をc=H(r,t’−αr,e’−α−1e’−F(r))の検証に置き換える必要がある。
(変形例E:図23に示すアルゴリズム)
また、図20に示したアルゴリズムのStep.5において、d=0の場合にσをrに設定しているが、d=0の場合に設定されるσは、(t’,e’’)に併せて用いることで(r,t,e)が復元できるような情報であればどのような情報でもよい。例えば、図23に示すように、Step.5においてd=0の場合に設定されるσの内容をtにしてもよい。但し、この変形を行う場合には、Step.2においてαがα∈K\{0}から選ばれるようにすると共に、Step.6においてd=0の場合に検証者が行う検証内容をc=H(α−1(t’−t),t,e’−αF(α−1(t’−t)))の検証に置き換える必要がある。
(変形例F:図24に示すアルゴリズム)
また、図23に示したアルゴリズムのStep.3において、t’←αr+tという計算を行っているが、この計算を図24に示すようにt’←α(r+t)という計算に変形してもよい。但し、この変形を行う場合には、図23に示したアルゴリズムのStep.6においてd=0の場合に検証者が行う検証内容をc=H(α−1t’−t,t,e’−αF(α−1t’−t))の検証に置き換える必要がある。
(変形例G:図25に示すアルゴリズム)
また、図23に示したアルゴリズムのStep.3において、e’←αF(r)+eという計算を行っているが、この計算を図25に示すようにe’←α(F(r)+e)という計算に変形してもよい。但し、この変形を行う場合には、図23に示したアルゴリズムのStep.6においてd=0の場合に検証者が行う検証内容をc=H(α−1(t’−t),t,α−1e’−αF(α−1(t’−t)))の検証に置き換える必要がある。
上記のように、Step.3において証明者が行うe’←α(F(r)−c)+eという計算をe’←αF(r)+eという計算に変更することができる(変形例A)。また、Step.5においてd=0の場合に証明者が設定するσの内容をrやtなどに変更することができる(変形例B、E)。さらに、Step.3において証明者が行うt’←αr+tという計算をt’←α(r+t)という計算に変更することができる(変形例C、F)。また、Step.3において証明者が行うe’←αF(r)+eという計算をe’←α(F(r)+e)という計算に変更することができる(変形例D、G)。変形例Aに係る変形、変形例B、Eに係る変形、変形例C、Fに係る変形、及び変形例D、Gに係る変形は、それぞれ単独で図18に示した効率的なアルゴリズムに適用することもできるし、複数の変形を組み合わせて図18に示した効率的なアルゴリズムに適用することもできる。
以上、本発明の第2実施形態について説明した。なお、多変数連立方程式の形式については、上記の第1実施形態と同様である。
<4:効率的なアルゴリズムの一般化>
ところで、上記の第1及び第2実施形態に係る効率的なアルゴリズムは、下記の式(22)で表現される2次の多変数多項式を公開鍵(又はシステムパラメータ)として利用する構成であった。しかし、上記の効率的なアルゴリズムは、位数q=pの体上で定義される3次以上の多次多変数多項式(下記の式(23)を参照)を公開鍵(又はシステムパラメータ)として利用する構成に拡張することができる。
Figure 0005736816
上記の第1及び第2実施形態に係る効率的なアルゴリズムにおける公開鍵として多変数多項式fが利用可能となる条件は、下記の式(24)が(x,…,x)及び(y,…,y)に対して双線形になることである。上記の式(22)で表現される多変数多項式の場合、下記の式(25)に示すように容易に双線形性を確認することができる(下線部がx、yのそれぞれについて線形となっている)。また、上記の式(23)で表現される多変数多項式の場合についても同様にして、下記の式(26)に示すように双線形性を確認することができる。但し、下記の式(26)の下線部は、位数pの体GF(p)上における双線形性を示している。そのため、上記の第2実施形態に係る効率的なアルゴリズムの公開鍵として上記の式(23)で表現される多変数多項式を利用する場合、当該アルゴリズムのStep.2の後に検証者が送信するチャレンジαは、GF(p)の要素に限定する必要がある。
Figure 0005736816
このような理由から、上記の第1及び第2実施形態に係る効率的なアルゴリズムを拡張し、上記の式(23)で表現されるような3次以上の多変数多項式を公開鍵として利用するアルゴリズムを構築することが可能であると言える。
ここで、上記の式(22)で表現される多変数多項式(以下、2次多項式)と、上記の式(23)で表現される多変数多項式(以下、多次多項式)との関係について考察しておきたい。いま、位数q=pの体上で定義されるnk変数の2次多項式、及び位数q=pの体上で定義されるn変数の多次多項式について考える。この場合、mk本の2次多項式で構成される連立方程式の解答困難性は、m本の多次多項式で構成される連立方程式の解答困難性と等価である。例えば、位数2の体上で定義される80本の80変数2次多項式により構成される連立方程式と、位数2の体上で定義される10本の10変数多次多項式とは、その解答困難性が等価である。
つまり、GF(p)の要素と、GF(p)の要素とを同型写像により同一視した場合、位数q=pの体上で定義されるmk本のnk変数2次多項式の組で表現される関数と等価な、位数q=pの体上で定義されるm本のn変数多次多項式の組で表現される関数が存在する。例えば、GF(2)の要素と、GF(2)の要素とを同型写像により同一視した場合、位数2の体上で定義される80本の80変数2次多項式の組で表現される関数と等価な、位数2の体上で定義される10本の10変数多次多項式の組で表現される関数が存在する。このような理由から、上記の2次多項式を利用するか、上記の多次多項式を利用するかは、任意に選択することが可能である。
ここで、上記の2次多項式を利用する場合の計算効率と上記の多次多項式を利用する場合の計算効率について考察しておきたい。
位数2の体上で定義されるnk変数2次多項式を利用する場合、アルゴリズムに含まれる演算は、nk個の1ビット変数を対象に実行されることになる。つまり、演算の単位が1ビットとなる。一方、位数2の体上で定義されるn変数多次多項式を利用する場合、アルゴリズムに含まれる演算は、n個のkビット変数を対象に実行されることになる。つまり、演算の単位がkビットとなる。このk(k=2,3,4,…)は任意に設定することができる。そのため、実装上、都合の良い値にkを設定することにより、計算効率を向上させることが可能になる。例えば、32ビットのアーキティクチャ上にアルゴリズムを実装する場合、1ビット単位で演算を実行する構成にするよりも、32ビット単位で演算を実行する構成にする方が高い計算効率を得られる。
このように、上記の第1及び第2実施形態に係る効率的なアルゴリズムを、多次多項式を公開鍵として利用できるように拡張することで、演算の単位を実装するアーキティクチャに合わせることが可能になる。その結果、計算効率を向上させることが可能になる。
<5:ハードウェア構成例>
上記の各アルゴリズムは、例えば、図26に示す情報処理装置のハードウェア構成を用いて実行することが可能である。つまり、当該各アルゴリズムの処理は、コンピュータプログラムを用いて図26に示すハードウェアを制御することにより実現される。なお、このハードウェアの形態は任意であり、例えば、パーソナルコンピュータ、携帯電話、PHS、PDA等の携帯情報端末、ゲーム機、接触式又は非接触式のICチップ、接触式又は非接触式のICカード、又は種々の情報家電がこれに含まれる。但し、上記のPHSは、Personal Handy−phone Systemの略である。また、上記のPDAは、Personal Digital Assistantの略である。
図26に示すように、このハードウェアは、主に、CPU902と、ROM904と、RAM906と、ホストバス908と、ブリッジ910と、を有する。さらに、このハードウェアは、外部バス912と、インターフェース914と、入力部916と、出力部918と、記憶部920と、ドライブ922と、接続ポート924と、通信部926と、を有する。但し、上記のCPUは、Central Processing Unitの略である。また、上記のROMは、Read Only Memoryの略である。そして、上記のRAMは、Random Access Memoryの略である。
CPU902は、例えば、演算処理装置又は制御装置として機能し、ROM904、RAM906、記憶部920、又はリムーバブル記録媒体928に記録された各種プログラムに基づいて各構成要素の動作全般又はその一部を制御する。ROM904は、CPU902に読み込まれるプログラムや演算に用いるデータ等を格納する手段である。RAM906には、例えば、CPU902に読み込まれるプログラムや、そのプログラムを実行する際に適宜変化する各種パラメータ等が一時的又は永続的に格納される。
これらの構成要素は、例えば、高速なデータ伝送が可能なホストバス908を介して相互に接続される。一方、ホストバス908は、例えば、ブリッジ910を介して比較的データ伝送速度が低速な外部バス912に接続される。また、入力部916としては、例えば、マウス、キーボード、タッチパネル、ボタン、スイッチ、及びレバー等が用いられる。さらに、入力部916としては、赤外線やその他の電波を利用して制御信号を送信することが可能なリモートコントローラ(以下、リモコン)が用いられることもある。
出力部918としては、例えば、CRT、LCD、PDP、又はELD等のディスプレイ装置、スピーカ、ヘッドホン等のオーディオ出力装置、プリンタ、携帯電話、又はファクシミリ等、取得した情報を利用者に対して視覚的又は聴覚的に通知することが可能な装置である。但し、上記のCRTは、Cathode Ray Tubeの略である。また、上記のLCDは、Liquid Crystal Displayの略である。そして、上記のPDPは、Plasma DisplayPanelの略である。さらに、上記のELDは、Electro−Luminescence Displayの略である。
記憶部920は、各種のデータを格納するための装置である。記憶部920としては、例えば、ハードディスクドライブ(HDD)等の磁気記憶デバイス、半導体記憶デバイス、光記憶デバイス、又は光磁気記憶デバイス等が用いられる。但し、上記のHDDは、Hard Disk Driveの略である。
ドライブ922は、例えば、磁気ディスク、光ディスク、光磁気ディスク、又は半導体メモリ等のリムーバブル記録媒体928に記録された情報を読み出し、又はリムーバブル記録媒体928に情報を書き込む装置である。リムーバブル記録媒体928は、例えば、DVDメディア、Blu−rayメディア、HD DVDメディア、各種の半導体記憶メディア等である。もちろん、リムーバブル記録媒体928は、例えば、非接触型ICチップを搭載したICカード、又は電子機器等であってもよい。但し、上記のICは、Integrated Circuitの略である。
接続ポート924は、例えば、USBポート、IEEE1394ポート、SCSI、RS−232Cポート、又は光オーディオ端子等のような外部接続機器930を接続するためのポートである。外部接続機器930は、例えば、プリンタ、携帯音楽プレーヤ、デジタルカメラ、デジタルビデオカメラ、又はICレコーダ等である。但し、上記のUSBは、Universal Serial Busの略である。また、上記のSCSIは、Small Computer System Interfaceの略である。
通信部926は、ネットワーク932に接続するための通信デバイスであり、例えば、有線又は無線LAN、Bluetooth(登録商標)、又はWUSB用の通信カード、光通信用のルータ、ADSL用のルータ、又は接触又は非接触通信用のデバイス等である。また、通信部926に接続されるネットワーク932は、有線又は無線により接続されたネットワークにより構成され、例えば、インターネット、家庭内LAN、赤外線通信、可視光通信、放送、又は衛星通信等である。但し、上記のLANは、Local Area Networkの略である。また、上記のWUSBは、Wireless USBの略である。そして、上記のADSLは、Asymmetric Digital Subscriber Lineの略である。
<6:まとめ>
最後に、本発明の実施形態に係る技術内容について簡単に纏める。ここで述べる技術内容は、例えば、PC、携帯電話、携帯ゲーム機、携帯情報端末、情報家電、カーナビゲーションシステム等、種々の情報処理装置に対して適用することができる。
上記の情報処理装置の機能構成は次のように表現することができる。当該情報処理装置は、次のような鍵設定部と、メッセージ送信部と、検証パターン受信部と、回答送信部とを有する。上記の鍵設定部は、s∈Kを秘密鍵に設定し、環K上の多次多項式f(x,…,x)(i=1〜m)及びy=f(s)を公開鍵に設定するものである。i=1〜mについてy=f(s)を求める問題は、多次多変数連立方程式の求解問題に他ならない。つまり、上記の情報処理装置は、多次多変数連立方程式の求解問題に安全性の根拠をおく認証の仕組みを提供するものである。
また、上記のメッセージ送信部は、検証者に対してメッセージcを送信するものである。さらに、上記の検証パターン受信部は、1つの前記メッセージcに対するk通り(k≧3)の検証パターンの中から前記検証者により選択された1つの検証パターンの情報を受信するものである。そして、上記の回答送信部は、k通りの回答情報の中から、前記検証パターン受信部により受信された検証パターンの情報に対応する回答情報を前記検証者に送信するものである。但し、前記回答情報は、前記k通りの回答情報を用いて実施した前記メッセージcに対するk通りの検証パターンが全て成功した場合に秘密鍵sが計算可能となる情報である。
上記のメッセージcには、例えば、3つのメッセージc、c、cが含まれている。そして、各検証パターンでは、c、c、cのいずれか2つに対する検証が行われる。また、上記の回答情報は、各検証パターンに応じて、上記いずれか2つのメッセージに対する検証を行うために必要な情報である。但し、上記のメッセージcを検証者に渡しても、秘密鍵の情報が一切漏れないことが1つの条件である。もう1つの条件は、メッセージcと回答情報が揃っても秘密鍵の情報が一切漏れないことである。これらの条件を満たすメッセージcの構成、及び回答情報の構成については、図4などを参照しながら、既に具体的に説明した通りである。
(備考)
上記の鍵生成アルゴリズムGenは、鍵設定部の一例である。上記の証明者アルゴリズムPは、メッセージ送信部、検証パターン受信部、回答送信部、応答受信部、多項式生成部、多項式送信部の一例である。上記の情報σは、回答情報の一例である。上記の検証者アルゴリズムVは、メッセージ受信部、検証パターン選択部、検証パターン送信部、回答受信部、検証部、応答送信部、多項式受信部の一例である。上記の署名生成アルゴリズムSigは、メッセージ生成部、検証パターン選択部、署名生成部の一例である。
以上、添付図面を参照しながら本発明の好適な実施形態について説明したが、本発明は係る例に限定されないことは言うまでもない。当業者であれば、特許請求の範囲に記載された範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
Gen 鍵生成アルゴリズム
P 証明者アルゴリズム
V 検証者アルゴリズム
Sig 署名生成アルゴリズム
Ver 署名検証アルゴリズム

Claims (23)

  1. s∈Kを秘密鍵に設定し、環K上の多次多項式f(x,…,x)(i=1〜m)を公開鍵またはシステムパラメータ、及びy=f(s)を公開鍵に設定する鍵設定部と、
    検証装置に対してメッセージcを送信するメッセージ送信部と、
    1つの前記メッセージcに対するk通り(k≧3)の検証パターンの中から前記検証装置により選択された1つの検証パターンの情報を受信する検証パターン受信部と、
    k通りの回答情報の中から、前記検証パターン受信部により受信された検証パターンの情報に対応する回答情報を前記検証装置に送信する回答送信部と、
    を備え、
    前記回答情報は、前記k通りの回答情報を用いて実施した前記メッセージcに対するk通りの検証パターンが全て成功した場合に秘密鍵sが計算可能となる情報である、
    認証装置。
  2. 前記メッセージ送信部により単数又は複数のメッセージcを送信する第1ステップ、それぞれのメッセージcに対して前記検証パターン受信部により前記検証装置からそれぞれ検証パターンの情報を受信する第2ステップ、それぞれの検証パターンの情報に対して前記回答送信部により回答情報を送信する第3ステップを実行し、前記検証装置により全ての回答情報で検証が成功した場合に認証が成功する、
    請求項1に記載の認証装置。
  3. 前記メッセージ送信部により単数又は複数のメッセージcを送信する第1ステップ、それぞれのメッセージcに対して前記検証パターン受信部により前記検証装置からそれぞれ検証パターンの情報を受信する第2ステップ、それぞれの検証パターンの情報に対して前記回答送信部により回答情報を送信する第3ステップを実行する処理を繰り返し、
    前記第1〜第3ステップを所定回数実行した結果、前記検証装置により毎回全ての回答情報で検証が成功した場合に認証が成功する、
    請求項2に記載の認証装置。
  4. 前記メッセージcがc=(c,…,c)である場合、
    前記メッセージ送信部は、一方向性関数Hを用いて新たなメッセージc’=H(c)を算出して、前記検証装置に対してメッセージc’を送信し、
    前記回答送信部は、前記回答情報と共に、当該回答情報を利用しても前記検証装置が復元することができないメッセージcの要素を送信する、
    請求項2又は3に記載の認証装置。
  5. s∈Kが秘密鍵に設定され、環K上の多次多項式f(x,…,x)(i=1〜m)が公開鍵またはシステムパラメータ、及びy=f(s)が公開鍵に設定されており、
    証明装置からメッセージcを受信するメッセージ受信部と、
    1つの前記メッセージcに対するk通り(k≧3)の検証パターンの中から1つの検証パターンを選択する検証パターン選択部と、
    前記検証パターン選択部により選択された検証パターンの情報を前記証明装置に対して送信する検証パターン送信部と、
    k通りの回答情報の中から、前記検証パターン送信部により送信された検証パターンの情報に対応する回答情報を前記証明装置から受信する回答受信部と、
    前記メッセージ受信部により受信されたメッセージc、及び前記回答受信部により受信された回答情報を用いて前記証明装置の正当性を検証する検証部と、
    を備え、
    前記回答情報は、前記k通りの回答情報を用いて実施した前記メッセージcに対するk通りの検証パターンが全て成功した場合に秘密鍵sが計算可能となる情報である、
    認証装置。
  6. s∈Kを秘密鍵に設定し、環K上の多次多項式f(x,…,x)(i=1〜m)を公開鍵またはシステムパラメータ、及びy=f(s)を公開鍵に設定する鍵設定部と、
    検証装置に対してメッセージcを送信するメッセージ送信部と、
    前記検証装置から応答αを受信する応答受信部と、
    前記応答受信部により受信された応答αを用いて、前記メッセージcに対する検証に利用される多項式f”を生成する多項式生成部と、
    前記多項式生成部により生成された多項式f”を前記検証装置に送信する多項式送信部と、
    1つの前記メッセージcに対するk通り(k≧2)の検証パターンの中から前記検証装置により選択された1つの検証パターンの情報を受信する検証パターン受信部と、
    k通りの回答情報の中から、前記検証パターン受信部により受信された検証パターンの情報に対応する回答情報を前記検証装置に送信する回答送信部と、
    を備え、
    前記回答情報は、2通りの前記応答α、前記多項式f”及び前記k通りの回答情報を用いて実施した前記メッセージcに対する計2k通りの応答と検証パターンの組合せが全て成功した場合に秘密鍵sが計算可能となる情報である、
    認証装置。
  7. 前記メッセージ送信部により単数又は複数のメッセージcを送信する第1ステップ、それぞれのメッセージcに対して前記応答受信部から応答αを受信する第2ステップ、当該第2ステップで受信した応答αを用いて前記多項式生成部によりそれぞれ多項式f”を生成し、前記多項式送信部により当該多項式f”を送信する第3ステップ、それぞれのメッセージcに対して前記検証パターン受信部により前記検証装置からそれぞれ検証パターンの情報を受信する第4ステップ、それぞれの検証パターンの情報に対して前記回答送信部により回答情報を送信する第5ステップを実行し、前記検証装置により全ての回答情報で検証が成功した場合に認証が成功する、
    請求項6に記載の認証装置。
  8. 前記メッセージ送信部により単数又は複数のメッセージcを送信する第1ステップ、それぞれのメッセージcに対して前記応答受信部から応答αを受信する第2ステップ、当該第2ステップで受信した応答αを用いて前記多項式生成部によりそれぞれ多項式f”を生成し、前記多項式送信部により当該多項式f”を送信する第3ステップ、それぞれのメッセージcに対して前記検証パターン受信部により前記検証装置からそれぞれ検証パターンの情報を受信する第4ステップ、それぞれの検証パターンの情報に対して前記回答送信部により回答情報を送信する第5ステップを実行する処理を繰り返し、
    前記第1〜第5ステップを所定回数実行した結果、前記検証装置により毎回全ての回答情報で検証が成功した場合に認証が成功する、
    請求項7に記載の認証装置。
  9. s∈Kが秘密鍵に設定され、環K上の多次多項式f(x,…,x)(i=1〜m)が公開鍵またはシステムパラメータ、及びy=f(s)が公開鍵に設定されており、
    証明装置からメッセージcを受信するメッセージ受信部と、
    前記証明装置に対して応答αを送信する応答送信部と、
    前記応答送信部により送信された応答αを用いて前記証明装置により生成された、前記メッセージcに対する検証に利用される多項式f”を受信する多項式受信部と、
    1つの前記メッセージcに対するk通り(k≧2)の検証パターンの中から1つの検証パターンを選択する検証パターン選択部と、
    前記検証パターン選択部により選択された検証パターンの情報を前記証明装置に対して送信する検証パターン送信部と、
    k通りの回答情報の中から、前記検証パターン送信部により送信された検証パターンの情報に対応する回答情報を前記証明装置から受信する回答受信部と、
    前記メッセージ受信部により受信されたメッセージc、前記多項式受信部により受信された多項式f”、及び前記回答受信部により受信された回答情報を用いて前記証明装置の正当性を検証する検証部と、
    を備え、
    前記回答情報は、2通りの前記応答α、前記多項式f”及び前記k通りの回答情報を用いて実施した前記メッセージcに対する計2k通りの応答と検証パターンの組合せが全て成功した場合に秘密鍵sが計算可能となる情報である、
    認証装置。
  10. 前記m及びnは、m<nの関係を有する、
    請求項1、5、6、9のいずれか1項に記載の認証装置。
  11. 前記m及びnは、2m−n≪1の関係を有する、
    請求項10に記載の認証装置。
  12. s∈Kを秘密鍵に設定し、環K上の多次多項式f(x,…,x)(i=1〜m)を公開鍵またはシステムパラメータ、及びy=f(s)を公開鍵に設定する鍵設定ステップと、
    検証装置に対してメッセージcを送信するメッセージ送信ステップと、
    1つの前記メッセージcに対するk通り(k≧3)の検証パターンの中から前記検証装置により選択された1つの検証パターンの情報を受信する検証パターン受信ステップと、
    k通りの回答情報の中から、前記検証パターン受信ステップで受信された検証パターンの情報に対応する回答情報を前記検証装置に送信する回答送信ステップと、
    を含み、
    前記回答情報は、前記k通りの回答情報を用いて実施した前記メッセージcに対するk通りの検証パターンが全て成功した場合に秘密鍵sが計算可能となる情報である、
    認証方法。
  13. s∈Kが秘密鍵に設定され、環K上の多次多項式f(x,…,x)(i=1〜m)が公開鍵またはシステムパラメータ、及びy=f(s)が公開鍵に設定されており、
    証明装置からメッセージcを受信するメッセージ受信ステップと、
    1つの前記メッセージcに対するk通り(k≧3)の検証パターンの中から1つの検証パターンを選択する検証パターン選択ステップと、
    前記検証パターン選択ステップで選択された検証パターンの情報を前記証明装置に対して送信する検証パターン送信ステップと、
    k通りの回答情報の中から、前記検証パターン送信ステップで送信された検証パターンの情報に対応する回答情報を前記証明装置から受信する回答受信ステップと、
    前記メッセージ受信ステップで受信されたメッセージc、及び前記回答受信ステップで受信された回答情報を用いて前記証明装置の正当性を検証する検証ステップと、
    を含み、
    前記回答情報は、前記k通りの回答情報を用いて実施した前記メッセージcに対するk通りの検証パターンが全て成功した場合に秘密鍵sが計算可能となる情報である、
    認証方法。
  14. s∈Kを秘密鍵に設定し、環K上の多次多項式f(x,…,x)(i=1〜m)を公開鍵またはシステムパラメータ、及びy=f(s)を公開鍵に設定する鍵設定ステップと、
    検証装置に対してメッセージcを送信するメッセージ送信ステップと、
    前記検証装置から応答αを受信する応答受信ステップと、
    前記応答受信ステップで受信された応答αを用いて、前記メッセージcに対する検証に利用される多項式f”を生成する多項式生成ステップと、
    前記多項式生成ステップで生成された多項式f”を前記検証装置に送信する多項式送信ステップと、
    1つの前記メッセージcに対するk通り(k≧2)の検証パターンの中から前記検証装置により選択された1つの検証パターンの情報を受信する検証パターン受信ステップと、
    k通りの回答情報の中から、前記検証パターン受信ステップで受信された検証パターンの情報に対応する回答情報を前記検証装置に送信する回答送信ステップと、
    を含み、
    前記回答情報は、2通りの前記応答α、前記多項式f”及び前記k通りの回答情報を用いて実施した前記メッセージcに対する計2k通りの応答と検証パターンの組合せが全て成功した場合に秘密鍵sが計算可能となる情報である、
    認証方法。
  15. s∈Kが秘密鍵に設定され、環K上の多次多項式f(x,…,x)(i=1〜m)が公開鍵またはシステムパラメータ、及びy=f(s)が公開鍵に設定されており、
    証明装置からメッセージcを受信するメッセージ受信ステップと、
    前記証明装置に対して応答αを送信する応答送信ステップと、
    前記応答送信ステップで送信された応答αを用いて前記証明装置により生成された、前記メッセージcに対する検証に利用される多項式f”を受信する多項式受信ステップと、
    1つの前記メッセージcに対するk通り(k≧2)の検証パターンの中から1つの検証パターンを選択する検証パターン選択ステップと、
    前記検証パターン選択ステップで選択された検証パターンの情報を前記証明装置に対して送信する検証パターン送信ステップと、
    k通りの回答情報の中から、前記検証パターン送信ステップで送信された検証パターンの情報に対応する回答情報を前記証明装置から受信する回答受信ステップと、
    前記メッセージ受信ステップで受信されたメッセージc、前記多項式受信ステップで受信された多項式f”、及び前記回答受信ステップで受信された回答情報を用いて前記証明装置の正当性を検証する検証ステップと、
    を含み、
    前記回答情報は、2通りの前記応答α、前記多項式f”及び前記k通りの回答情報を用いて実施した前記メッセージcに対する計2k通りの応答と検証パターンの組合せが全て成功した場合に秘密鍵sが計算可能となる情報である、
    認証方法。
  16. s∈Kを秘密鍵に設定し、環K上の多次多項式f(x,…,x)(i=1〜m)を公開鍵またはシステムパラメータ、及びy=f(s)を公開鍵に設定する鍵設定機能と、
    検証装置に対してメッセージcを送信するメッセージ送信機能と、
    1つの前記メッセージcに対するk通り(k≧3)の検証パターンの中から前記検証装置により選択された1つの検証パターンの情報を受信する検証パターン受信機能と、
    k通りの回答情報の中から、前記検証パターン受信機能により受信された検証パターンの情報に対応する回答情報を前記検証装置に送信する回答送信機能と、
    をコンピュータに実現させるためのプログラムであり、
    前記回答情報は、前記k通りの回答情報を用いて実施した前記メッセージcに対するk通りの検証パターンが全て成功した場合に秘密鍵sが計算可能となる情報である、
    プログラム。
  17. s∈Kを秘密鍵に設定し、環K上の多次多項式f(x,…,x)(i=1〜m)を公開鍵またはシステムパラメータ、及びy=f(s)を公開鍵に設定する鍵設定部と、
    前記多次多項式f(x,…,x)及び前記秘密鍵sに基づいてN個のメッセージcを生成するメッセージ生成部と、
    文書M及び前記メッセージcを一方向性関数に適用して得られた情報に基づいて、k通り(k≧3)の検証パターンの中から検証パターンを選択する検証パターン選択部と、
    前記検証パターン選択部により選択された検証パターンに応じて、前記メッセージc及び前記文書Mを用いた検証を通過するような電子署名σを生成する署名生成部と、
    を備え、
    前記電子署名σは、前記(k−1)+1通りの検証パターンに対応する電子署名σを用いて実施した検証が全て成功した場合に秘密鍵sが計算可能となる情報である、
    署名生成装置。
  18. 前記メッセージ生成部により生成された単数又は複数のメッセージcを送信する第1ステップ、それぞれのメッセージcに対して前記検証パターン選択部により検証パターンを選択する第2ステップ、それぞれの検証パターンの情報に対して前記署名生成部により電子署名σを送信する第3ステップを実行し、電子署名σを用いて実施した検証が全て成功した場合に認証が成功する、
    請求項17に記載の署名生成装置。
  19. 前記m及びnは、m<nの関係を有する、
    請求項17に記載の署名生成装置。
  20. 前記多次多項式fは2次多項式である、
    請求項17に記載の署名生成装置。
  21. s∈Kを秘密鍵に設定し、環K上の多次多項式f(x,…,x)(i=1〜m)を公開鍵またはシステムパラメータ、及びy=f(s)を公開鍵に設定する鍵設定部と、
    検証装置に対してメッセージcを送信するメッセージ送信部と、
    1つの前記メッセージcに対するk通り(k≧3)の検証パターンの中から前記検証装置により選択された1つの検証パターンの情報を受信する検証パターン受信部と、
    k通りの回答情報の中から、前記検証パターン受信部により受信された検証パターンの情報に対応する回答情報を前記検証装置に送信する回答送信部と、
    を備え、
    前記回答情報は、前記秘密鍵sをr∈Kによりマスクした情報z∈Kと、前記rをt∈Kによりマスクしたt’∈Kと、前記多次多項式fに前記rを代入したf(r)をe∈Kによりマスクしたe’∈Kを用いて計算される情報である、
    認証装置。
  22. 前記メッセージ送信部により単数又は複数のメッセージcを送信する第1ステップ、それぞれのメッセージcに対して前記検証パターン受信部により前記検証装置からそれぞれ検証パターンの情報を受信する第2ステップ、それぞれの検証パターンの情報に対して前記回答送信部により回答情報を送信する第3ステップを実行し、前記検証装置により全ての回答情報で検証が成功した場合に認証が成功する、
    請求項21に記載の認証装置。
  23. 前記多次多項式fは2次多項式である、
    請求項1、5、6、9、21のいずれか1項に記載の認証装置。
JP2011026401A 2010-05-31 2011-02-09 認証装置、認証方法、プログラム、及び署名生成装置 Active JP5736816B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2011026401A JP5736816B2 (ja) 2010-05-31 2011-02-09 認証装置、認証方法、プログラム、及び署名生成装置
US13/111,696 US8522033B2 (en) 2010-05-31 2011-05-19 Authentication device, authentication method, program, and signature generation device
CN201110145023.8A CN102263638B (zh) 2010-05-31 2011-05-24 认证设备、认证方法和签名生成设备
US13/934,946 US8959355B2 (en) 2010-05-31 2013-07-03 Authentication device, authentication method, program, and signature generation device

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
JP2010125026 2010-05-31
JP2010125026 2010-05-31
JP2010224753 2010-10-04
JP2010224753 2010-10-04
JP2011026401A JP5736816B2 (ja) 2010-05-31 2011-02-09 認証装置、認証方法、プログラム、及び署名生成装置

Publications (3)

Publication Number Publication Date
JP2012098690A JP2012098690A (ja) 2012-05-24
JP2012098690A5 JP2012098690A5 (ja) 2014-03-27
JP5736816B2 true JP5736816B2 (ja) 2015-06-17

Family

ID=45010112

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011026401A Active JP5736816B2 (ja) 2010-05-31 2011-02-09 認証装置、認証方法、プログラム、及び署名生成装置

Country Status (3)

Country Link
US (2) US8522033B2 (ja)
JP (1) JP5736816B2 (ja)
CN (1) CN102263638B (ja)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5790288B2 (ja) * 2011-08-12 2015-10-07 ソニー株式会社 情報処理装置、及び情報処理方法
JP2014048414A (ja) * 2012-08-30 2014-03-17 Sony Corp 情報処理装置、情報処理システム、情報処理方法及びプログラム
JP2014050064A (ja) * 2012-09-04 2014-03-17 Sony Corp 情報処理装置、情報処理システム、情報処理方法、プログラム及びクライアント端末
JP2014090372A (ja) 2012-10-31 2014-05-15 Sony Corp 情報処理装置、情報処理システム、情報処理方法及びコンピュータプログラム
EP2930880A4 (en) 2012-12-05 2016-08-03 Sony Corp INFORMATION PROCESSOR, VERIFICATION PROCESSOR, INFORMATION PROCESSING METHOD, VERIFICATION PROCESSING METHOD, AND PROGRAM
CN103888256B (zh) * 2012-12-24 2018-01-05 国民技术股份有限公司 一种密码钥匙的认证方法及系统
JP2015033038A (ja) 2013-08-05 2015-02-16 ソニー株式会社 情報処理装置、情報処理方法及びコンピュータプログラム
JPWO2015019821A1 (ja) 2013-08-05 2017-03-02 ソニー株式会社 情報処理装置、情報処理方法及びコンピュータプログラム
CN104348624B (zh) * 2013-08-09 2018-02-02 阿里巴巴集团控股有限公司 一种哈希认证可信度的方法和装置
CN103780383B (zh) 2014-01-13 2017-05-31 华南理工大学 一种基于超球面的多变量公钥签名/验证系统及方法
JP2015194947A (ja) 2014-03-31 2015-11-05 ソニー株式会社 情報処理装置及びコンピュータプログラム
CN105100034B (zh) * 2014-05-23 2018-09-11 阿里巴巴集团控股有限公司 一种网络应用中访问功能的方法和设备
CN105701392B (zh) * 2015-12-31 2020-10-27 联想(北京)有限公司 信息处理方法及电子设备
CN105515754B (zh) * 2016-01-06 2018-10-30 飞天诚信科技股份有限公司 一种rsa-crt签名方法及装置
WO2018076377A1 (zh) * 2016-10-31 2018-05-03 华为技术有限公司 一种数据传输方法、终端、节点设备以及系统
JP6629466B2 (ja) * 2017-01-20 2020-01-15 日本電信電話株式会社 秘密計算システム、秘密計算装置、秘密計算方法、プログラム
JP7101031B2 (ja) * 2018-04-13 2022-07-14 株式会社bitFlyer Blockchain ブロックチェーン・ネットワーク及びそのための確定方法
CZ308885B6 (cs) * 2019-09-26 2021-08-04 Univerzita Tomáše Bati ve Zlíně Systém ověření identity a licencí pro práci s vysoce citlivými daty
KR102364047B1 (ko) * 2019-11-19 2022-02-16 기초과학연구원 구조화된 행렬들에 기초한 공개키 암호를 위한 방법과 장치
JP7273742B2 (ja) * 2020-02-07 2023-05-15 株式会社東芝 暗号化装置、復号装置、暗号方法、復号方法、暗号化プログラム及び復号プログラム
WO2021262716A1 (en) * 2020-06-23 2021-12-30 Ntt Research Inc. Tamper-resistant data encoding secure against unbounded polynomial size attack complexity

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3484069B2 (ja) * 1998-02-27 2004-01-06 日本電信電話株式会社 秘密情報認証方法及び合同多項式認証方法並びに当該認証プログラムを記録した記録媒体
US7308097B2 (en) * 2001-12-07 2007-12-11 Ntru Cryptosystems, Inc. Digital signature and authentication method and apparatus
JP4575283B2 (ja) * 2005-11-15 2010-11-04 株式会社東芝 暗号装置、復号装置、プログラム及び方法
FR2899702A1 (fr) * 2006-04-10 2007-10-12 France Telecom Procede et dispositif pour engendrer une suite pseudo-aleatoire
CN101277186B (zh) * 2007-03-30 2011-06-15 北京握奇数据系统有限公司 利用非对称密钥算法实现外部认证的方法

Also Published As

Publication number Publication date
CN102263638B (zh) 2016-08-10
US8959355B2 (en) 2015-02-17
CN102263638A (zh) 2011-11-30
US8522033B2 (en) 2013-08-27
JP2012098690A (ja) 2012-05-24
US20130297930A1 (en) 2013-11-07
US20110296188A1 (en) 2011-12-01

Similar Documents

Publication Publication Date Title
JP5736816B2 (ja) 認証装置、認証方法、プログラム、及び署名生成装置
JP5593850B2 (ja) 認証装置、認証方法、プログラム、及び署名生成装置
JP2013042315A (ja) 情報処理装置、及び情報処理方法
JP5790289B2 (ja) 情報処理装置、情報処理方法、プログラム、及び記録媒体
KR101986392B1 (ko) 정보 처리 장치, 정보 처리 방법, 및 기록 매체
JP5594034B2 (ja) 認証装置、認証方法、及びプログラム
JP5790291B2 (ja) 情報処理装置、署名提供方法、署名検証方法、プログラム、及び記録媒体
JP5790286B2 (ja) 情報処理装置、署名生成装置、情報処理方法、署名生成方法、及びプログラム
JP5790290B2 (ja) 情報処理装置、情報処理方法、プログラム、及びプログラムを記録したコンピュータ読み取り可能な記録媒体
JP5790288B2 (ja) 情報処理装置、及び情報処理方法
WO2013024628A1 (ja) 情報処理装置、及び情報処理方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140210

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140210

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141126

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150106

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150306

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150324

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150406

R151 Written notification of patent or utility model registration

Ref document number: 5736816

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250