[发明专利]署名生成装置、署名验证装置、它们的方法及程序

说明书

技术领域

本发明涉及信息安全性技术的应用技术，特别涉及能够从署名复原消息的消息复原署名。 

背景技术

作为消息复原署名的以往技术，有在非专利文献1中示出的技术。该方式是在随机预言模型(random Oracle model)中证明了安全性的方式。以下，示出该方式的概要。 

在该方式中，设为 

消息m∈{0，1}^k2

函数F₁：{0，1}^k2→{0，1}^k1

函数F₂：{0，1}^k1→{0，1}^k2

函数H：{0，1}^k1+k2→{0，1}^k

E：在有限域F_q上定义的椭圆曲线 

P：对椭圆曲线E上的点R满足p·R＝O(O是无限远点)的质数 

G1：椭圆曲线E上的位数p的部分集合的点 

w∈Z/pZ 

秘密密钥：x∈Z/pZ 

公开密钥：(F_q，E，G1，Y)(Y＝-x·G1(∈E))。 

另外，{0，1}^δ表示2进δ位的比特数据，{0，1}^δ→{0，1}^ε表示从2进δ位的比特数据到2进ε位的比特数据的映射的函数。 

<署名生成(signature generation)> 

如下进行署名生成。其中，R_x表示点R∈E的x坐标，(+)表示异或运算符。 

m’＝F₁(m)|(F₂(F₁(m))(+)m)......(1) 

R_x＝(w·G1)_x

r＝R(+)m’......(2) 

c＝H(r) 

z＝w+c·x mod p 

署名σ＝(r，z)。 

<署名验证> 

如下进行署名验证。其中，[m’]^k1表示m’的开头k1比特，[m’]^k2表示m’的余数的k2比特。 

m’＝r(+)(z·G1+H(r)·Y)_x

m＝[m’]^k2(+)F₂([m’]^k1) 

若[m’]^k1＝F₁(m)，则验证合格。 

非专利文献1：Masayuki Abe，Tatsuaki Okamoto，“A Signature Schemewith Message Recovery as Secure as Discrete Logarithm，”ASIACRYPT 1999，pp.378-389 

发明内容

发明要解决的课题 

但是，在非专利文献1的方式中，式(1)的(F₂(F₁(m))和式(2)的R_x的比特长度为固定长度，消息m的比特长度也必须是固定长度。 

因此，即使在消息m的长度比固定长度短的情况下，也不能相应地缩短署名σ的一部分r的比特长度，没有效率。此外，在消息m的比特长度比固定长度长的情况下，只能将消息m的一部分代入到式(1)中，不能构成将消息m的全部比特设为对象的消息复原署名。 

用于解决课题的手段 

本发明的署名生成装置如下进行署名生成。