このページをはてなブックマークに追加このページを含むはてなブックマーク このページをlivedoor クリップに追加このページを含むlivedoor クリップ

目次

宣伝

 当サイトにおける暗号に関するページでは、説明が足りなかったり、誤った記述をしていたりするところがあります。今後、少しずつ修正する予定です。

 暗号理論の『暗号技術のすべて』が発売されています。初心者向けの暗号本です。これまで暗号本に何度か挑戦しつつも挫折してしまった方、学校の課題で悩んでいる方、資格試験にて暗号の問題が苦手な方などにお勧めです。

『暗号技術のすべて』宣伝サイト

 興味がある方は宣伝サイトを参照してください。Amazonでも発売中です。

グループ署名とは

・1991年にChaum(チャーム)が発表した(EuroCrypt91)。

グループ署名に必要なエンティティ

 グループ署名に必要なエンティティは次の通りである。

発行者発行者用秘密鍵を用いて、署名者に対してグループ署名鍵を発行する
署名者グループ署名鍵を用いて署名を生成する
検証者グループ公開鍵を用いて署名を検証する
開示者開示者用秘密鍵を用いて署名者を特定する

 さらに、グループ公開鍵、秘密鍵を作るユーザーが必要である。

グループ署名に必要な処理

・グループ公開鍵、秘密鍵の作成
 発行者用秘密鍵、開示者用秘密鍵の作成と配布。

・署名者登録、署名鍵作成・配布
 発行者は署名鍵を知らないようにする。

・署名

・検証

・署名者開示

・署名者開示処理の正当性検証
 署名開示者を無条件に信じない。

・メンバの削除
 グループからの脱退処理。これが難しい。
 脱退者は署名鍵を持っているから脱退したまま、署名文を投げるかもしれない。

グループ署名の構成方法

署名鍵

・発行者しか作ることしかできない「特殊な関数」を持つ値。

署名

・「署名鍵を所持している」という知識の証明。

・知識の署名に、「特殊な関数」を持つ値の所持も含まれている。

・「開示用の暗号文」を含める(自分の公開鍵の暗号化)。

検証

・署名で述べた証明の検証。

開示

・署名に含まれている「開示用の暗号文」を復号する。

メンバの削除

・グループメンバを削除する。それと共に公開鍵を変更する。

ACJT00

仕様

鍵生成アルゴリズム

GK=\bigl(~n,a,a_{0},y,g,h~\bigr),y=g^x

SK=\bigl[~x_{i},A_{i},e_{i}~\bigr],~A_{i}=\bigl(~a^{x_i}a_{0}\bigr)^{1/e_{i}}

署名アルゴリズム

Sig=\bigl(~T_1;T_2;T_3;proof\bigr),~T_1=A_{i}y^{w},T_2=g^{w},T_3=g^{e{i}}h^{w}

 T1〜T3の作り方はElGamal暗号に近い。

 また、proofは証明者が持っている知識(証明したいもの)である。

検証アルゴリズム

 以下の平文とするElGamal暗号文を作る。xiは秘密。

\overline{A}~=~a^{x_{i}}a_{0}

 次に、離散対数が等しいことを証明する。Ai、eiは秘密(ElGamal暗号文のまま証明)。

Log_{A_{i}}\overline{A}=Log_{g} (T3の一部)

特徴

  • 公開鍵、署名長がグループメンバ数に依存しない。
  • SRSA,DDH仮定の下で安全。

BBS04

仕様

鍵生成アルゴリズム

GK:\bigl(~G_1,G_2~\bigr),u,v,h=\bigl(~u^{\xi_{1}}~=~v^{\xi_{2}}~\bigr)~\in~G_{1},w=g_{2}^\gamma

SK=\bigl(A_i,x_i)~\,~s.t.~\,~A_{i}={g_{1}}^{1/\bigl(\gamma+x_{i}~\bigr)

署名アルゴリズム

Sig=\bigl(~T_1,T_2,T_3,proof~\bigr)

T_1=u^\alpha,T_2=\nu^\beta,T_3=Ah^{\bigl(~\alpha~+~\beta~\bigr)}

検証アルゴリズム

 以下を満たすxiを知っていることを証明する。Aiやxiを知られないために、暗号化したまま証明する。

{A_{i}}^{x_{i}+\gamma}~=~g_{1}

 ペアリングの性質より、γを知らなくても次のことが検証できる。

e\bigl(A_{i},{wg_{2}}^{x_{i}}~\bigr)=e\bigl(~g_{1},g_{2}\bigr)

特徴

  • Bilinearペアリングを用いて、署名長を短くしたグループ署名。
  • グループメンバの追加・削除を考慮している。
  • 安全性の家庭はstrongDH、Decision Linear Prob.

参考文献

  • 授業ノート