[发明专利]签名生成装置、密钥生成装置和签名生成方法

说明书

技术领域

本发明涉及作为信息安全技术的加密技术，尤其涉及数字签名技术。

背景技术

作为从接收装置向发送装置发送数据时的发送者的特定和防止数据篡改用的技术，有作为公钥加密的一种的数字签名方式。若对它进行简单说明，则为发送装置对想要发送的数据使用发送装置的私钥来生成签名数据，将签名数据与想要发送的数据一起发送到接收装置，接收装置使用与发送装置的私钥对应的公钥来验证签名数据，并判断是否进行了篡改的方法(例如，参考非专利文献1)。这里，从公钥计算私钥的值很困难。

最近，作为可高速处理的公钥加密，提出了NTRU加密(例如参考非专利文献2)。由于该NTRU加密与在某个规则下进行幂乘求余运算的RSA加密和进行椭圆曲线上点的标量乘运算的椭圆曲线加密相比，可通过可进行高速运算的多项式运算来进行加密和解密，所以与现有的公钥加密相比可以进行高速处理，在软件的处理中也可在实用的时间中加以处理。

因此，在公钥加密中使用了NTRU加密的加密通信系统中，与使用了现有的公钥加密的加密通信系统相比，有可高速进行发送装置和接收装置的处理的优点。

上述提案的方式是加密数据的保密加密方式，之后，提出了NTRU加密的数字签名方式(参考非专利文献3)。对于数字签名方式，因密码分析法的出现等，改变了几次方式。下面，简单说明称作NTRUSign的数字签名方式(对于细节，参考专利文献2和非专利文献4)。

在NTRUSign签名方式的密钥生成中，将多项式X^N-1作为除数，并使用属于具有整数系数的多项式的环R的多个元和环R的理想，来生成密钥和公钥。这里，“X^a”是指X的a次幂。NTRUSign签名方式中的对消息的签名中，使用所生成的密钥和作为消息的散列值的2·N维的向量。NTRUSign签名方式中的签名验证中，使用公钥、对消息的签名和作为消息的散列值的2·N维的向量。非专利文献4和非专利文献5中对通过NTRUSign签名方式中使用的环和环的理想进行了记载，所以这里省略说明。

<NTRUSign签名方式>

(1)NTRUSign签名方式的参数

NTRUSign签名方式使用非负整数参数N、q、df、dg、Normbound。下面，说明这些参数的含义。

(1-1)参数N

NTRUSign签名方式是通过多项式运算来进行签名生成和签名验证的数字签名方式。通过NTRUSign签名方式处理的多项式的次数通过上述参数N来决定。

通过NTRUSign签名方式处理的多项式是相对上述参数N，为N-1次以下的整数系数多项式，例如，在N＝5时，为X^4+X^3+1等的多项式。另外，对多项式实施(mod X^N-1)运算，而通常算出由N-1次以下构成的整数系数多项式。这是因为通过实施(mod X^N-1)运算，X^N＝1的关系式成立，所以对N次以上的变量，通常可以变换为N-1次以下的变量。这里，可以看出通过对多项式实施(mod X^N-1)运算得到的整数系数多项式为多项式环R的元。

公钥h、签名s都表现为N-1次以下的多项式。另外，密钥是4个N-1次以下的多项式对(f，g，F，G)。即，f、g、F、G任何一个都是N-1次以下的多项式，是多项式环R的元。下面，将4个组(f，g，F，G)中两个对(f，g)、(F，G)进一步成对，有时标记为{(f，g)，(F，G)}。

并且，多项式运算对上述参数N，使用X^N＝1的关系式，进行运算，使得运算结果总是N-1次以下的多项式。例如，在N＝5的情况下，多项式X^4+X^2+1和多项式X^3+X的积在设多项式和多项式的积为×，整数和多项式的积(或整数和整数的积)为时，根据X^5＝1的关系，通常可以运算为N-1次以下的多项式，而使其为

(X^4+X^2+1)×(X^3+X)

＝X^7+2·X^5+2·X^3+X

＝X^2·1+2·1+2·X^3+X

＝2·X^3+X^2+2。

NTRUSign签名方式中，将N-1次的多项式a＝a_0+a_1·X+a_2·X^2+...+a_(N-1)·X^(N-1)看作与向量(a_0，a_1，a_2，...，a_(N-1))相同。a_0，a_1，a_2，...，a_(N-1)是多项式a的系数，是整数。

(1-2)参数q

NTRUSign签名方式中，使用为2以上的整数，作为多项式环R的理想的参数q。NTRUSign签名方式中出现的多项式的系数取以q为除数的余数。