秘钥生成装置(10)生成包括元素s
【技术实现步骤摘要】
【国外来华专利技术】签名装置、验证装置、签名系统、签名方法、签名程序、验证方法以及验证程序
本专利技术涉及考虑量子计算机的数字签名。
技术介绍
数字签名是能够验证数据的合法性的密码技术。在经由网络进行通信时,需要确认接受的数据真的是从发送者送来的数据且接受的数据是未被篡改的数据这样的数据的合法性。通过在发送侧对数据附加签名并在接收侧验证附加到数据的签名,能够验证数据的合法性。格密码是指,使用通过线性独立的整数矢量的线性变换来表示的矢量的集合即格来实现的密码技术。关于某个格的最短矢量问题是发现包含于该格的最短的矢量的问题。格密码以求解最短矢量问题对于量子计算机来说也困难这一点为安全性的依据,所以格密码是被认为即使实现了量子计算机也是安全的密码方式之一。高效的格密码以被称为理想格的特殊的格上的最短矢量问题为安全性的依据。已知根据定义理想格的多项式即割圆多项式的性质,在特定的参数下通过量子计算机高效地解读最短矢量问题。在非专利文献1中,示出了以理想格上的最短矢量问题为安全性的依据的高效的数字签名方式。但是,非专利文献1所示的方法是以通过特定的割圆多项式定义的格上的最短矢量问题为安全性的依据的,所以存在不安全的可能性。在非专利文献2中,示出了以不依赖于特定的割圆多项式的格上的最短矢量问题为安全性的依据的高效的数字签名方式。现有技术文献非专利文献非专利文献1:LeoDucas,EikeKiltz,TancredeLepoint,VadimLyubashevsky,PeterSchwabe,GregorSeiler,andDamienStehle.CRYSTALS-Dilithium:ALattice-BasedDigitalSignatureScheme.InCHES,pages238-268,2018.非专利文献2:VadimLyubashevsky.DigitalSignaturesBasedontheHardnessofIdealLatticeProblemsinallRings.InASIACRYPT,pages196-214,2016.
技术实现思路
关于在非专利文献2中示出的数字签名方式,在如量子计算机计算散列函数这样的安全性模型中并未呈现安全性。关于以格上的最短矢量问题为安全性的依据的数字签名方式,为了生成数字签名而计算散列函数。因此,为了考虑严密的意义下的针对量子计算机的安全性,最好在如量子计算机计算散列函数那样的模型中也呈现安全性。本专利技术的目的在于能够构成针对量子计算机也能够保证安全性的数字签名方式。本专利技术所涉及的签名装置具备:签名生成部,计算消息μ的散列值c和秘密密钥的中间乘积(Middle-Product)而生成签名元素z;以及输出部,输出包括由所述签名生成部生成的所述签名元素z的签名σ。在本专利技术中,计算消息μ的散列值c和秘密密钥的中间乘积而生成签名元素z。由此,能够构成在如量子计算机计算散列函数那样的安全性模型中能够呈现安全性的数字签名方式。附图说明图1是实施方式1所涉及的签名系统1的结构图。图2是实施方式1所涉及的秘钥生成装置10的结构图。图3是实施方式1所涉及的签名装置20的结构图。图4是实施方式1所涉及的验证装置30的结构图。图5是实施方式1所涉及的秘钥生成装置10的动作的流程图。图6是实施方式1所涉及的秘钥生成处理的流程图。图7是实施方式1所涉及的签名装置20的动作的流程图。图8是实施方式1所涉及的签名生成处理的流程图。图9是实施方式1所涉及的验证装置30的动作的流程图。图10是变形例1所涉及的秘钥生成装置10的结构图。图11是变形例1所涉及的签名装置20的结构图。图12是变形例1所涉及的验证装置30的结构图。(附图标记说明)1:签名系统;10:秘钥生成装置;11:处理器;12:存储器(memory);13:存储设备(storage);14:通信接口;15:电子电路;111:受理部;112:秘钥生成部;113:发送部;131:秘钥存储部;20:签名装置;21:处理器;22:存储器;23:存储设备;24:通信接口;25:电子电路;211:受理部;212:签名生成部;213:输出部;231:秘钥存储部;30:验证装置;31:处理器;32:存储器;33:存储设备;34:通信接口;35:电子电路;311:受理部;312:验证部;331:秘钥存储部;40:通信路。具体实施方式实施方式1.***结构的说明***参照图1,说明实施方式1所涉及的签名系统1的结构。签名系统1具备秘钥生成装置10、签名装置20、以及验证装置30。秘钥生成装置10、签名装置20、以及验证装置30经由因特网这样的通信路40连接。通信路40不限于因特网,也可以是LAN(LocalAreaNetwork,局域网)这样的其他类别的通信路。秘钥生成装置10是PC(PersonalComputer,个人计算机)这样的计算机。秘钥生成装置10生成在加密中利用的公开密钥以及秘密密钥,经由通信路40,将秘密密钥发送给签名装置20,并且将公开密钥发送给验证装置30。签名装置20是PC(PersonalComputer,个人计算机)这样的计算机。签名装置20针对在计算机内部保存的文档数据等明文数据,用保管的秘密密钥生成签名,由此生成签名数据,并将签名数据和明文数据发送给验证装置30。验证装置30是PC(PersonalComputer,个人计算机)这样的计算机。验证装置30使用从签名装置20接受的明文数据以及签名数据、和从秘钥生成装置10接受的公开密钥,生成关于明文数据的签名数据的验证结果数据。此外,也可以在相同的计算机内,同时包括秘钥生成装置10、签名装置20、以及验证装置30中的任意2个以上。参照图2,说明实施方式1所涉及的秘钥生成装置10的结构。秘钥生成装置10具备处理器11、存储器12、存储设备13、以及通信接口14的硬件。处理器11经由信号线与其他硬件连接,控制这些其他硬件。在秘钥生成装置10中,作为功能构成元素,具备受理部111、秘钥生成部112、以及发送部113。秘钥生成装置10的各功能构成元素的功能通过软件实现。在存储设备13中,储存有实现秘钥生成装置10的各功能构成元素的功能的程序。该程序由处理器11读入到存储器12,由处理器11执行。由此,实现秘钥生成装置10的各功能构成元素的功能。存储设备13实现秘钥存储部131的功能。参照图3,说明实施方式1所涉及的签名装置20的结构。签名装置20具备处理器21、存储器22、存储设备23、以及通信接口24的硬件。处理器21经由信号线与其他硬件连接,控制这些其他硬件。在签名装置20中,作为功能构成元素,具备受理部211、签名生成部212、以及本文档来自技高网...
【技术保护点】
1.一种签名装置,具备:/n签名生成部,计算消息μ的散列值c和秘密密钥的中间乘积而生成签名元素z;以及/n输出部,输出包括由所述签名生成部生成的所述签名元素z的签名σ。/n
【技术特征摘要】
【国外来华专利技术】1.一种签名装置,具备:
签名生成部,计算消息μ的散列值c和秘密密钥的中间乘积而生成签名元素z;以及
输出部,输出包括由所述签名生成部生成的所述签名元素z的签名σ。
2.根据权利要求1所述的签名装置,其中,
所述签名生成部对计算散列值c和秘密密钥的中间乘积而得到的值加上具有小的系数的随机的值y,生成所述签名元素z。
3.根据权利要求2所述的签名装置,其中,
所述签名生成部生成包括式1所示的签名元素h、所述签名元素z以及所述散列值c的签名σ,
[式1]
h:=MakeHintq(-c⊙dt0,w-c⊙ds2+c⊙dt0,2β′),
z:=c⊙n+d-1s1+y,
c:=H(w1,μ)
此处,
n,d,β′是根据安全性设定的值,
y是随机数,
a,s1,s2,t0是秘密密钥的元素,
w:=a⊙dy,
w1:=HighBitsq(w,2β′)
μ是消息,
H是散列函数。
4.一种验证装置,具备:
受理部,受理包括签名元素z的签名σ;以及
验证部,计算由所述受理部受理的所述签名元素z和公开密钥的中间乘积,验证所述签名σ。
5.根据权利要求4所述的验证装置,其中,
所述受理部受理签名σ,该签名σ包括计算消息μ的散列值c和秘密密钥的中间乘积而生成的所述签名元素z和所述散列值c,
所述验证部将计算所述签名元素z和公开密钥的中间乘积而得到的值w’1和所述消息μ作为输入,计算散列值c’,判定计算的散列值c’和包含于所述签名数据的散列值c是否一致,从而验证所述签名σ。
6.根据权利要求4或者5所述的验证装置,其中,
所述公开密钥是计算随机的多项式a和秘密密钥的中间乘积而生成的。
7.根据权利要求5所述的验证装置,其中,
所述受理部受理包括式2所示的签名元素h、所述签名元素z以及所述散列值c的所述签...
【专利技术属性】
技术研发人员:广政良,
申请(专利权)人:三菱电机株式会社,
类型:发明
国别省市:日本;JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。