本資料について

1

本資料について

 本資料は下記論文を基にして作成されたものです。文章の 内容の正確さは保障できないため、正確な知識を求める方 は原文を参照してください。

 題目：署名生成事実のない利用者は否認できるリング署名方式

 著者：駒野 雄一, 加藤 岳久,新保 淳,太田 和夫（電気通信大学）

 出展：東芝レビュー Vol.63 No.1

 発表日：2008年

 題目：リング署名における署名者の証明と匿名性破棄プロトコル

 著者：菊池 浩明,多田 美奈子,中西 祥八郎（東海大学）

 出展：情報処理学会論文誌 Vol.45 No.8

 発表日： 2004年 8月

署名者の開示が可能なリング署名方式

名城大学理工学部 渡邊研究室 川島隆太

リング署名



匿名署名方式

 グループを構成して署名することで、署名した人が所 属するグループは検証できるが、署名をした人を特 定できない

3 メンバーA

メンバーB

メンバーC

グループ構成

文章などの情報

メンバー:A, B, C リング署名

署名方法



署名者がリング署名方式の利用者を自由に指 定してグループを構成



署名者自身の秘密鍵とグループメンバーの公開 鍵を利用してリング署名を行う

 各メンバーは認証局に公開鍵を登録し、署名者は認 証局から他のメンバーの公開鍵を入手する

 PKIの上でグループに対応する匿名署名を生成可能

リング署名の利用例



匿名通報者保護システム

 組織に所属している者が内部告発などを行う際に、

通報者が特定できないように匿名性を保証する目的 で利用

5

リング署名の問題点



安全な匿名性に起因して、署名者を特定するこ とができない

 保護システムでは、自分が通報したと証明できないた め、保護対象であることを証明できない

 リング署名の他のメンバーが通報者として疑われたと しても、署名者を特定できないため、疑いをはらすこと ができない

 保護を受けることで補償など利益がある場合に通報

署名者の開示



署名者の証明

 署名者自身が自分が署名したリング署名の署名者で あることを第三者に証明する



管理者による匿名性破棄

 信頼できる管理者が署名者の協力なく、与えられた 署名の匿名性を破棄して署名者を特定する

7

開示に伴い要求される安全性



匿名性

 第三者が証明者を特定できないこと



偽造不可性

 リング署名を構成するグループのメンバー以外が署 名の偽造をできないこと



自己開示性

 正しい署名者ならば、その人に限り、自分が署名した リング署名から署名者であることを証明できること

開示に伴い要求される安全性



ぬれ衣不能性

 署名者が他のメンバーが署名したようにみせかける のをできなくすること



追跡可能性

 信頼できる管理者のもとで、署名者の同意なくリング 署名からその署名者を追跡できること

9

否認機能を持つリング署名



リング署名方式に検証者と署名者及び利用者 の対話による確認・否認処理機能を持たせる

 署名者は確認処理を実行することで検証者に署名し たことを証明（自己開示性、追跡可能性）

 利用者は否認処理を実行することで検証者に署名し ていないことを証明（ぬれ衣不能性）

 署名者とひとり以上の利用者が確認・否認処理を実 行しない限り、署名者を特定できない（匿名性）

否認機能を持つリング署名



開示の流れ

11

否認機能を持つリング署名の利用例



匿名通報者保護システム

 通報者が保護を求める場合に否認機能を利用

否認機能を持つリング署名の利用例



電子オークションシステム

 落札するまでは自分が入札者であることを秘密にで き、落札後に自分が落札者であると名乗りでることが できる

13

まとめ



匿名性を持つ署名技術に特有の署名者の開示 の問題点を指摘



署名者の開示を目的とした機能を提案



開示を行えるようにすることで、リング署名の利

用がしやすくなった

補足資料



リング署名の基本プロトコル

15

ッシュ関数とする を一方向性セキュアハ

ここで

これを署名とする

し、

を秘密にしたまま証明 を知っていることを

対応する秘密鍵

に つのある のうち、少なくとも

個の公開鍵 は、

署名者

を公開する

、 を公開鍵として生成し

を秘密鍵、

は ープメンバー

また、これを元にグル

を公開する を生成し、

成元となる の位数ｑの部分群の生

と を満たす大きな素数

グループメンバーは 署名者

に属するメンバー 合 グループメンバーの集

H

i x

y y

n U

y p

g y

Z x

U

g q p g

Z

q p p

q U

n j

G U

G

i

i j

i

j x

j

q j

j p

i j

j

1 mod

, , , 1

| :

) ,..., 1 (

: :









補足資料

をランダムに選び 　　　　　　　

について 　

とする ただし、

を求める 　　　　　　　

について 　

署名生成

)

||

(

mod 1 ,..., 1 , ,..., 1 :

2

)

||

( mod :

) (

1

1 1

T m H c

p y

g T

Z s

i n

i j Step

Z T m H c

p g

T i Step

j j

c j s j

q U j

q U

i i

i

j j





























リング署名の基本プロトコル

補足資料

17

なければ棄却する ならば受理し、そうで

まで以下を繰り返す 署名検証

である 　　　　　　　

は に対する署名

を計算する 　　　　　　

について 　　　

1 1

1

2 1 1

)

||

(

mod ,...,

1 :

) (

4

) ,..., ,

, ( ] [

] [ mod :

3



















n

j j

c j s j

n i

i i

c c

T m H c

p y

g T

n j

Step

s s

s c m

m m

q c

x s

i Step

j j









リング署名の基本プロトコル

補足資料



自己開示可能なリング署名のプロトコル

を安全に管理しておく また

を同様に計算する

、 を定め、

を選び、それを用いて 乱数

について、

において、

は 署名者

ロトコル同様 ラメータなどは基本プ

他のエンティティ、パ

定義する 安全なハッシュ関数と

質を満たす 逆性、衝突困難性の性

を一方向性、二次不可 署名生成

j j

j j j

j i

c T

c r H s

r

i n

i j Step

U H

) , (

1 ,..., 1 , ,..., 1 2

. 1

1 2

2











補足資料

19



自己開示可能なリング署名のプロトコル

る そうでなければ棄却す

を受理し ならば、署名者の証明

を計算し、

について 検証者は

を示す

は問題の署名について 署名者

署名者の証明

j j

j j j

n i

i

i

s s

c r H s

n i

i j

r r

r r

U

 

 











) , (

,..., 1 ,

1 ,..., 1 ,..., ,

,....

. 2

2 1 1 1

補足資料



追跡可能なリング署名のプロトコル

様 他は基本プロトコル同

を秘密に分散する ヘシェア

各

を公開し を作り、公開鍵

次多項式

法で 人で協力して安全な方 人中、

失効管理者は

を設ける して失効管理者

新しいエンティティと

) ( ) ( 1

,...,

) 0 (

1

i f RM

g h

x f k

k l

RM RM

i

f

l





補足資料

21



追跡可能なリング署名のプロトコル

とする 署名は

ルと同様 その他は基本プロトコ

とする ただし

を求める

を用いて また同じ

について は

署名者

署名生成

) , ,..., ,

( mod

)

||

( mod .

1

1 1 1

U s s

c

Z p h

U

T m H c

p g

T

i U

n q U

i i

i

i



















補足資料



追跡可能なリング署名のプロトコル

として れを知識の証明

であることを示し、こ

り 後、ゼロ知識証明によ リング署名を生成した

だことの証拠として 正しく情報を埋め込ん

知識証明

SK U

T

U T

U T

h n

g

h g

h g

log log

log log

log log

. 2

2 1













補足資料

23



追跡可能なリング署名のプロトコル

　　　　　とする 　　　　　

を選び については、乱数

署名の 　　　　　また、真の

　　　　　を求める 　　　　　

を生成し ータ

はセキュリティパラメ 　　　　　　

と 　　　　　乱数

について 　　

i i

j j

j j

r i

r i

i e

j z j

e j z j

u j

q U j

h b

g a

r i

U h b

T g a

u

e Z z

n i

i j

Step



















) (

} 1 , 0 { ,..., 1 ,

1 ,..., 1 :

1

補足資料



追跡可能なリング署名のプロトコル

についての書名は

、 　　　　　結果として

とする 　　　　　

を計算する について、

　　　　　を求める 　　　　　

を用い 　　　　　

シュ関数 一方向性セキュアハッ

) , , , ,..., ,

, , , (

mod :

3

)

||

||

||

||

||

||

||

(

} 1 , 0 { }

1 , 0 { : :

2

1 1 1 1

}

\{

1 1

*

m

z b a e z

b a e e SK

q e

r z

i Step

e e

e

b a

b a h g m F e

F Step

n n n n i i

i j i G j i

n n

u









 













補足資料

25



追跡可能なリング署名のプロトコル

失敗した場合棄却する

理し た場合のみ、署名を受 すべての検証が成功し

を行う

について ここで、

の証明を示す

本プロトコル同様 署名本体の検証は、基

署名検証

j j

j j

e j z j

e j z j

n

n n

U h b

T g a

n j

e e

b a b

a h g m F e SK

?

? 1

?

1 1

,..., 1

)

||

||

||

||

||

||

||

( .

3



















補足資料



追跡可能なリング署名のプロトコル

をさがす を持つ

が成り立つ

を求め の補間法を用いて

人が協力して 人中の任意の

後に共有する を求めてコミットした

について

を用いて は自分の持つ分散情報

管理者

署名開示

j f

j

f j i

f j i

U j

p T

U

T Lagrange

k l

T n

j

i f RM

mod ,...,

1

) ( .

4

) 0 (

) 0 ( )

(





補足資料

27



追跡可能なリング署名のプロトコル

が署名者である を持つ

が成り立つ このうち とする

を求め

について は、

j f

j

i i k i

k i

i i f j f

j

k

U j

p T

U

i q i i i

T T

n j

RM RM

mod

mod )

(

,..., 1 ,...,

) 0

? (

, 1

1

) ( ) ( )

0 (

1





 























補足資料



各プロトコルの効率

 これらのプロトコルは組み合わせて用いることが可能

 自己開示と追跡可能のどちらかだけを用いることも 可能