[发明专利]署名生成装置、署名验证装置、它们的方法及程序

摘要

将x设为署名生成装置的秘密密钥，将mrec∈{0，1}M设为恢复消息，将k设为任意值，将g设为位数q的循环群G的生成源，将R设为gk∈G，将H1设为散列函数H1：{0，1}*→{0，1}L，将H2设为输出可变长度的散列函数H2：{0，1}*→{0，1}M，将H3设为散列函数H3：{0，1}*→Zq，并设为r＝H1(R，mrec)|mrec(+)H2(R，H1(R，mrec))((+)设为异或运算符)，对依赖于r的γ设为t＝H3(γ)，设为s＝k-t·x∈Z，将署名设为σ＝(r，s)。

主权项

一种署名生成装置，包括：第1存储单元，存储整数的秘密密钥x；第2存储单元，存储M比特的恢复消息mrec{0，1}M；任意值生成单元，生成整数的任意值k；群运算单元，构成为计算将位数q的循环群设为G，并将该循环群G的生成源设为g的情况下的R＝gk∈G，并输出该运算结果R；第1散列运算单元，构成为将对输入值输出L比特的散列值的散列函数H1：{0，1}*→{0，1}L，作用于依赖上述运算结果R和恢复消息mrec的值α，并输出作为其运算结果的L比特的散列值h＝H1(α)∈{0，1}L，其中，L是与署名验证装置共享的正整数；第2散列运算单元，构成为将输出比特长度根据上述恢复消息mrec的比特长度M而决定为M比特的散列函数H2：{0，1}*→{0，1}M，作用于依赖上述运算结果R和上述散列值h的值β，并输出作为其运算结果的M比特的散列值u＝H2(β)∈{0，1}M；第1异或运算单元，构成为计算上述恢复消息mrec和上述散列值u的异或w＝mrec(+)u∈{0，1}M，并输出该异或值w，其中，(+)是异或运算符；r值运算单元，构成为计算依赖将上述散列值h∈{0，1}L配置在第1比特位置上，将上述异或值w∈{0，1}M配置在第2比特位置上的L+M比特的比特结合值h|w∈{0，1}L+M的值r，该值r可复原上述散列值h和上述异或值w，并输出该值r；第3散列运算单元，构成为将对输入值输出整数的散列函数H3：{0，1}*→Z，作用于依赖上述值r的值γ，并输出作为其运算结果的散列值t＝H3(γ)∈Z，Z为整数；整数运算单元，计算s＝k-t·x∈Z，并输出该运算结果s；以及署名输出单元，构成为输出署名σ＝(r，s)。