[发明专利]群签名系统、装置以及程序

说明书

技术领域

本发明涉及群签名系统、装置以及程序，例如涉及能够减少计算量来提高计算速度的群签名系统、装置以及程序。

背景技术

群签名方式，作为具有匿名性的电子签名，在1991年由Chaum等提出。在通常的电子签名方式中，用于验证签名的公开密钥和用于生成签名的私密密钥一一对应，因此不具有签名生成者的匿名性。

与此相对，在群签名方式中，用于验证签名的群公开密钥和用于生成签名的成员私密密钥以1对n的方式对应，因此具有签名生成者的匿名性。即，群签名方式中，1个群公开密钥和n个成员私密密钥对应，因此具有当验证签名时无法确定签名生成者的性质。另外，群签名方式具有仅作为特权者的群管理者可以确定签名者的性质。

但是，最初的群签名方式，签名长度或签名生成计算量与成员数量成比例，因此具有大量成员的群中的效率非常低，不适合运用。

与此相对，1997年由Camenisch等人提出了效率不取决于成员数量的群签名方式。在该方式中，把与成员私密密钥对应的群管理者的签名用作成员证书(membership certificate)。在群签名中包含：通过群管理者的公开密钥被加密的成员证书(或其一部分)；和表示成员证书被正确地加密、以及保持成员私密密钥以及成员证书的非对话的知识证明。签名验证者通过非对话的知识证明的验证，可以验证是成员的签名。而且，群管理者通过成员证书的解密，可以确定签名者。使用这样的成员证书的概念，是成为此后的群签名方式的基础的重要概念。

但是，该Camenisch等人的方式，尽管效率不取决于成员数量，但从实用的观点来看是低效率的方式。

高效的(practical)的最初的群签名方式，是2000年由Ateniese等人提出的方式(以下称为[ACJT00]方式)。Ateniese的群签名方式大幅度地被高效化，故此就能够研究实用化。Ateniese的群签名方式，当生成签名时需要RSA签名生成的200倍左右的计算量，因此继续研究改良。Ateniese的方式的安全性基于强RSA问题(strong-RSA problem)。

现在已知的高速群签名方式为以下三种方式。一个是2004年由Camenisch等人提出的方式(例如参照J.Camenisch and J.Groth，“Group Signatures：BetterEfficiency and New Theoretical Aspects”Forth Int.Conf.on Security inCommunication Networks-SCN2004，LNCS3352，pp.120-133，2005.。以下称为[CG04]方式。全文能够从以下URL取得(2008年3月当前)http://www.brics.dk/～jg)。[CG04]方式的签名生成计算量减少到RSA签名生成的8倍左右。[CG04]方式的安全性也基于强RSA问题。第二个是2005年由古川等人提出的方式(例如参照J.Furukawa and H.Imai，“An Efficient GroupSignature Scheme from Bilinear Maps，”ACISP 2005，LUCS3574，PP.455-467，2005.。以下称为[FI05]方式。)。第三个是由Delerablee等人提出的方式(例如参照C.Delerablee and D.Pointcheval，“Dynamic Fully AnonymousShort Group Signatures”VIETCRYPT，LNCS 4341，pp193-210，2006.。以下称为[DP06]方式)。[FI05]方式和[DP06]方式利用双线性映射，其安全性基于双线性群中的假设。

群签名在高速化方面取得进步，另一方面，高功能化也取得进步。重要的功能之一考虑到撤销功能。在开展利用了群签名的服务的方面，作为用于实现成员从服务的退会或强制排除不正当的成员的功能，插销是非常重要的。上述[CG04]方式、[FI05]方式和[DG06]方式都具有撤销功能。

作为用于实现更高安全性和灵活的群管理的方法，也研究了可以针对每种群管理功能改变进行处理的秘密信息来分割权限的方式。具体来说，以往考虑了分割给担当全部由群管理者进行的成员私密密钥生成、签名者确定、撤销的各个功能的成员密钥生成者、签名者确定者、撤销管理者的方式。

另外，也考虑到验证者可以确认由群管理者和签名者确定者恰当地进行了签名者确定的、被称为不可陷害性(Non-Frameability)的性质。