[发明专利]信息复原型署名装置

说明书

技术领域

本发明涉及采用公开密钥密码方式进行秘密通信及数字署名的装置，特别是涉及将离散对数问题作为安全性的根据的信息复原型署名装置。

背景技术

作为将离散对数问题作为安全性的根据、采用公开密钥密码方式进行的现有的信息复原型署名方式，有由Nyberg-Rueppel提出的这种署名方式(参照Nyberg和Rueppel著“A new signaturescheme based on the DSA giving message recovery”，Ist ACM Conf.on Comp.and Comm.Security，1993)。

这里，所谓“离散对数”是指有限域的对数而言。

所谓“离散对数问题”，是这样一种问题：设p为素数或素数的幂，设g为有限域GF(p)的原根，当给出不为零的任意的GF(p)的因数y、p、g时，求满足

y＝g^x    式1.1

式中  0≤x≤p-1的整数x。

所谓“将离散对数问题作为安全性的根据”，意思是说：对于指数计算容易、但大的有限域GF(p)、例如GF(2¹²⁷)，很难进行上述对数计算，即，大的有限域的对数计算，可以说相当于计算单向性函数的反函数，留作密码的安全性的根据。

所谓“公开密钥密码方式”，是指编码密钥和译码密钥不同、译码密钥是秘密的、但编码密钥是公开的密码方式而言。这是一种当通信对方多时，为了解决必须管理每个通信对方不同的密码密钥的复杂性的方式，是与多个通信对方进行通信时所不可缺少的基本技术。

所谓“信息复原型署名”，是指不能将信息置于证明自己的正当性用的署名字符中的署名而言。如果采用这种方式，则不需要单独发送署名字符和信息，能减少发送的通信量。

图11是表示上述现有技术的程序的顺序图。

该图是表示通过网络连接用户A610、中心620及用户B630，在中心620的管理下，现在，用户A610将署名作为信息发送给用户B630时的通信顺序图。

(公开密钥的生成)

作为系统条件，设p为素数，GF(p)的因数为g，其位数为q。即，q是满足

g^q＝1(mod p)   ……式1.2的最小的整数。

首先，中心620用预先通知的用户A的秘密密钥x_A，按照下面的式1，生成用户A的公开密钥y_A(S640～S641)。

y_A＝g^XA        ……式1.3

此后，中心620将用户A的公开密钥y_A与上述系统参数p、q、g一起向另一用户B630公开。

(署名和发送)

用户A610生成随机数k(S644)，按顺序计算下列各式(S645-S648)

r₁＝g^k(mod p)    ……式1.4

r₂-m/r₁(mod p)    ……式1.5

r₂’＝r₂(mod q)    ……式1.6

s＝k-r₂’x_A(mod q)    ……式1.7

将获得的s及r₂作为密码字符(r₂，s)发送给用户B(S649)。

这里，将上述r₁称为约定，将式1.5称为信息屏蔽式，将式1.7称为署名式。另外，署名式(式1.7)被一般化为以下6种形式。

ak＝b+cx_A(mod q)    ……式1.8

式中(a、b、c)用(1、r₂‘、s)置换。即

a＝1，b＝r₂’，c＝s或

a＝1，b＝s，c＝r₂‘或

a＝r₂’，b＝1，c＝s或

a＝r₂’，b＝s，c＝1或

a＝s，b＝r₂’，c＝1或

a＝s，b＝1，c＝r₂’

另外，(mod p)及(mod q)分别表示将p及q作为法则的运算。

(信息的复原)