特許ウォッチ

公開番号2025091630
公報種別公開特許公報(A)
公開日2025-06-19
出願番号2023206988
出願日2023-12-07
発明の名称デジタル署名システム、方法並びに記録媒体
出願人日本電気株式会社
代理人個人,個人
主分類H04L 9/32 20060101AFI20250612BHJP(電気通信技術)
要約【課題】デジタル署名における鍵の紛失と漏洩の両方のリスクを同時に軽減するシステム、方法及びプログラム記録媒体を提供する。
【解決手段】システム100は、エンティティAとエンティティBを備える。エンティティAは、第1の署名鍵と第1の生体情報とを用いて作成された第1の補助データを受け取り記憶部に登録する。エンティティBは、第2の生体情報を取得し、第2の分散鍵を生成し、署名対象のメッセージを取得し、第2の生体情報と第2の分散鍵から第2の補助データを生成し、メッセージと第2の補助データをエンティティAへ送信する。エンティティAは、第1の補助データと第2の補助データとを用いて第1の分散鍵を生成する。エンティティAとエンティティBは、第1の分散鍵と第2の分散鍵とを用いて二者分散署名生成処理を実行しメッセージに対する署名を生成する。
【選択図】図1
特許請求の範囲【請求項１】
各々が少なくともプロセッサと通信インタフェースを備え、互いに通信接続される第１の署名生成装置と第２の署名生成装置とを備え、
前記第１の署名生成装置は、
第１の署名鍵と第１の生体情報とを用いて作成された第１の補助データを受け取り記憶部に登録する処理を実行し、
前記第２の署名生成装置は、
第２の生体情報を取得し、第２の分散鍵を生成し、署名対象のメッセージを取得し、
前記第２の生体情報と前記第２の分散鍵から第２の補助データを生成し、
前記メッセージと前記第２の補助データを前記第１の署名生成装置へ送信する、
処理を実行し、
前記第１の署名生成装置は、
前記第１の補助データと前記第２の補助データとを用いて第１の分散鍵を生成する処理を実行し、
前記第１の署名生成装置と前記第２の署名生成装置は、
少なくとも前記第１の分散鍵と前記第２の分散鍵とを用いて分散署名生成処理を実行し、前記メッセージに対する署名を生成する、デジタル署名システム。
続きを表示（約 2,700 文字）【請求項２】
前記第１の補助データは、署名鍵を符号化した値と前記第１の生体情報とを合成したものであり、
前記第２の補助データは、前記第２の分散鍵を符号化した値と前記第２の生体情報とを、前記第１の補助データで用いた前記合成と同一の演算により合成したものである、請求項１記載のデジタル署名システム。
【請求項３】
前記第１の署名生成装置は、前記第１の補助データと前記第２の補助データの差分を復号することで、前記第１の分散鍵を生成する、請求項１記載のデジタル署名システム。
【請求項４】
前記第１の署名生成装置と前記第２の署名生成装置で行う前記分散署名生成処理では、
前記第１の分散鍵と前記第２の分散鍵の和を署名鍵とした前記署名を生成し、
前記第１の署名生成装置又は前記第２の署名生成装置は、
前記分散署名生成処理で生成した前記署名を、署名検証先に送信する、請求項１記載のデジタル署名システム。
【請求項５】
前記分散署名生成処理において、
前記第２の署名生成装置は、
前記第２の分散鍵を公開鍵で暗号化して前記第１の署名生成装置に送信し、
前記第１の署名生成装置は、
前記メッセージを取得し、ECDSA(Elliptic Curve Digital Signature Algorithm)アルゴリズムに従い、前記第２の分散鍵を暗号化したまま、準同型暗号演算により、前記第１の分散鍵と前記第２の分散鍵の和による、前記メッセージに対する署名の一部を前記公開鍵で暗号化した値を求め、前記第１の署名生成装置に送信する処理を実行し、
前記第２の署名生成装置は、
前記第１の署名生成装置で生成された前記署名の一部を暗号化した値を受け取ると、前記公開鍵に対応する秘密鍵を用いて前記署名の一部を暗号化した値を復号し、
前記ECDSAアルゴリズムに従い前記復号した値を用いて、前記署名を完成する処理を実行する、請求項１記載のデジタル署名システム。
【請求項６】
前記分散署名生成処理において、
前記第２の署名生成装置は、
Schnorr署名アルゴリズムのパラメータとして第１の乱数を生成し、
前記Schnorr署名アルゴリズムにおける生成元を前記第１の乱数でべき乗した第１の値を前記第１の署名生成装置に送信する、
処理を実行し、
前記第１の署名生成装置は、
前記メッセージを取得し、前記Schnorr署名アルゴリズムのパラメータとして第２の乱数を生成し、前記生成元を前記第２の乱数でべき乗した第２の値を計算し、
さらに前記第２の値に前記第１の値を乗算した第３値と前記メッセージを用いて、前記Schnorr署名アルゴリズムの第１の署名の第１の要素を求め、
前記第１の乱数と、前記第１の署名の前記第１の要素と前記第１の分散鍵を用いて、前記第１の署名の第２の要素を求め、
前記第２の値と前記第１の署名の前記第２の要素を前記第２の署名生成装置に送信する、
処理を実行し、
前記第２の署名生成装置は、
前記第２の値に前記第１の値を乗算した値と前記メッセージを用いて前記Schnorr署名アルゴリズムの署名の第１の要素を求め、
前記第１の署名の前記第２の要素と、前記第１の乱数と、前記第２の分散鍵および前記署名の前記第１の要素を用いて、前記Schnorr署名アルゴリズムの前記署名の第２の要素を求める、
処理を実行し、
前記第２の署名生成装置で求めた前記署名は、前記第１の分散鍵と前記第２の分散鍵の和の署名鍵による前記メッセージに対する署名を構成している、請求項１記載のデジタル署名システム。
【請求項７】
少なくともプロセッサと通信インタフェースを備え、
前記第１の署名鍵と前記第１の署名鍵に対応する検証鍵とを生成し、
前記第１の生体情報を取得し、前記第１の署名鍵と前記第１の生体情報とを用いて前記第１の補助データを生成し、前記第１の補助データを前記第２の署名生成装置に送信する、処理を実行する鍵生成装置と、
少なくともプロセッサと通信インタフェースを備え、
前記第１の署名生成装置又は前記第２の署名生成装置から前記署名を取得し、前記第１の署名生成装置から前記メッセージを取得し、前記検証鍵を用いて、前記メッセージと前記第１の署名の組の正しさを検証する、処理を実行する検証装置と、
をさらに備えた請求項１記載のデジタル署名システム。
【請求項８】
前記鍵生成装置は、前記第１の署名生成装置又は前記第２の署名生成装置に前記検証鍵を送信し、
前記第１の署名生成装置又は前記第２の署名生成装置は、
前記分散署名生成処理で生成された前記署名について、前記検証鍵を用いて、前記メッセージと前記署名との組の正しさを検証し、前記署名の検証結果が受理である場合に、前記署名を、前記検証装置に送信する、請求項７記載のデジタル署名システム。
【請求項９】
互いに通信接続される第１のノードと第２のノードのうち、
前記第１のノードでは、
第１の署名鍵と第１の生体情報とを用いて作成された第１の補助データを受け取り記憶部に登録し、
前記第２のノードでは、
第２の生体情報を取得し、第２の分散鍵を生成し、署名対象のメッセージを取得し、前記第２の生体情報と前記第２の分散鍵から第２の補助データを生成し、前記メッセージと前記第２の補助データを前記第１のノードへ送信し、
前記第１のノードでは、
前記第１の補助データと前記第２の補助データとを用いて第１の分散鍵を生成し、
前記第１のノードと前記第２のノードは、
少なくとも前記第１の分散鍵と前記第２の分散鍵とを用いて分散署名生成処理を実行し前記メッセージに対する署名を生成する、デジタル署名方法。
【請求項１０】
前記第１の補助データは、署名鍵を符号化した値と前記第１の生体情報とを合成したものであり、
前記第２の補助データは、前記第１の分散鍵を前記符号化関数符号化した値と前記第２の生体情報とを、前記第１の補助データで用いた前記合成と同一の演算により合成したものである、請求項９記載のデジタル署名方法。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本開示は、デジタル署名システム、方法並びに記録媒体に関する。
続きを表示（約 1,900 文字）【背景技術】
【０００２】
デジタル署名は文書の作成者及び作成後に改ざんされていないことを確認できる技術である。
【０００３】
＜デジタル署名のアルゴリズム＞
鍵生成：署名鍵（秘密鍵）skと検証鍵（公開鍵）vkの組を生成する。
(sk, vk)←KeyGen(1
κ
) …(1)
κはセキュリティパラメータ（鍵長）である。
【０００４】
なお、鍵生成アルゴリズムが直接セキュリティパラメータを受け取る代わりに、セットアップアルゴリズムにおいてセキュリティパラメータから生成した共通（公開）パラメータを受け取り、署名鍵（秘密鍵）skと検証鍵（公開鍵）vkの組を生成する場合もある。
【０００５】
署名：署名鍵skによるメッセージ（文書）Mに対する署名σを生成する。すなわち、署名対象のメッセージMまたはメッセージMをハッシュ関数に入力して得たハッシュ値（メッセージ・ダイジェスト）に対し署名鍵（秘密鍵）skを用いて署名σを生成する。
σ←Sign(sk, M) …(2)
【０００６】
検証：検証鍵vkを用いてメッセージ（文書）Mと署名σの組の正しさを検証する。
0/1←Verify(vk, M, σ) …(3)
ここでは、受理(accept)の場合には１、不受理(reject)の場合には０としている。
【０００７】
デジタル署名では、公開鍵が公開されている場合、文書と署名の組を取得した人は誰でも検証できる。すなわち、公開鍵である検証鍵と、公開鍵に対応する秘密鍵である署名鍵を用いて、当該文書に対して生成された署名であるか否かの検証が行われる。デジタル署名は、電子メールの保護（S/MIME(Secure/Multipurpose Internet Mail Extensions)）、電子契約など様々な用途で使われている。その用途として、書面による契約書における押印の代わりに、契約書の電子データに契約者のデジタル署名を付与する。また、仮想通貨の送金では、「どのアドレス宛にいくら送金する」という情報を含むメッセージと、そのメッセージに対する送金者のデジタル署名の組をブロックチェーンに記録する。この署名が正しく検証されることで送金処理が完了する。
【０００８】
デジタル署名において、署名鍵を紛失したり盗まれたりすると安全性が失われるが、一般ユーザによる署名鍵の適切な管理は困難である。署名鍵が適切に管理されない場合、署名鍵を紛失したり、盗まれたりする危険がある。署名鍵を適切に管理できないと、「署名者」が正しい署名を生成できなくなったり（例：署名鍵を紛失した場合）、「署名者」でない人が正しい署名を生成できるようになったり（例：署名鍵を盗まれた場合）する可能性がある。
【０００９】
デジタル署名の安全性の根拠は、署名鍵が秘密に管理されていることにある。攻撃者が署名鍵を手に入れると、正しい署名を生成できる。すなわち、デジタル署名が担保することは、「署名鍵を持っている人がある文書に対して署名を付与したこと」であり、「『署名者』が署名をある文書に対して付与したこと」ではない。ユーザが管理する鍵の数が多いほど、管理の困難さが増す。マルチ署名等、鍵を分散して管理することが可能なデジタル署名として、例えば参考文献１等が参照される。
【００１０】
生体情報を用いたデジタル署名は、例えば生体署名(ファジー署名、Fuzzy signature)として提案されている（特許文献１等）。特許文献１の生体署名システムでは、署名生成端末は、生体情報を秘密鍵に埋め込んだ登録用コミットメントを生成し、メッセージを入力し生体情報を一時秘密鍵に埋め込んだ署名用コミットメントを生成し、秘密鍵を用いてメッセージに対して生成した電子署名（デジタル署名）および署名用コミットメントや一時公開鍵を含む生体署名を検証装置に送信し、検証装置では、メッセージを入力し生体署名に含まれる電子署名がメッセージに対する正しい署名であるか否かを一時公開鍵を用いて検証し、登録用コミットメントと署名用コミットメントの正当性を公開鍵と一時公開鍵を用いて検証する。
【先行技術文献】
【特許文献】
（【００１１】以降は省略されています）

関連特許