応用数学解説

文献あり

グループ署名方式

暗号技術,BBS,グループ署名

1283

この著者は初心者として投稿しています。間違いや考慮が足りていない点が含まれている可能性が高いです。見つけたらコメント欄で優しく指摘してあげましょう。

グループ署名方式とは，自分をアイデンティティを隠しながら，自分がその組織に含まれていることを証明する電子署名方式です．
本記事ではグループ署名方式の中で，特に有名なBBS方式について紹介したいと思います．

はじめに

匿名掲示板などのサービスでは，ユーザが不正を行った場合に，追跡して責任を明らかにできる必要がある．しかし安易に追跡をできることは，プライバシの懸念をもたらす．

この問題の解決のために, 以下で定義する正当性，偽造不可能，匿名・リンク不可能，追跡可能，失効可能を同時に満たしたい．

要求1. 正当性※ 正しいユーザはサービスを必ず利用できる．
要件2. 偽造不可能性※ 正しいユーザ以外は,サービスを利用できない.
要求3. 匿名性 誰もユーザを誰も特定できない．
要求4. リンク不可能性 誰もユーザを追跡（トラッキング）できない．
要求5. 追跡可能 ユーザの不正が発覚した場合，そのユーザを特定できる．

グループ証明方式

これらの要求を実現する手段に，グループ署名方式が挙げられる．

グループ署名方式とは，署名者が特定のグループに含まれることを証明するディジタル署名方式である．グループ署名方式の署名者は検証者から見て匿名であるが，署名者の不正があった際は， GM(Group Manager) が署名から署名者を追跡できる．

グループ署名方式を，以下のエンティティ，手続き，セキュリティ要件から定義する．

エンティティ

GM メンバーを管理するエンティティであり，メンバーの追加，失効，追跡を行う．
メンバー 署名を行うエンティティ
検証者 メンバーによる署名を検証するエンティティ

手続き

グループ署名方式は以下の手続きから成り立つ．

GM はグループ署名のために，必要なパラメータと公開鍵と秘密鍵を生成する．
生成したパラメータと，公開鍵は公開する．

手続き1. 登録 メンバーが GM に登録を求める． GM はメンバーを登録し，
メンバーに対して署名に必要なクレデンシャルを送信する．
手続き2. 署名メンバーは署名したいメッセージに対する署名を生成し，
メッセージとともに署名を検証者に送信する．
手続き3. 検証 検証者は公開されているパラメータ，GM の公開鍵，署名，メッセージをもとに，署名の検証を行う．
手続き4. 追跡 GM は署名をもとに，署名したメンバーを追跡する．

セキュリティ要件

グループ署名は以下のセキュリティ要件を満たす．

要件1. 正当性 メンバーが作成した署名は必ず検証者に受理される．
要件2. 偽造不可能性 メンバー以外が作成した署名は，必ず検証者に棄却される．
要件3. 匿名性 GM 以外は，署名からメンバーを特定できない
**要件4. リンク不可能性. **GM 以外は，複数の署名が同じメンバーによって署名されているかわからない．
要件5. 追跡可能性 GM は署名からメンバーを特定できる．

BBS

BBS（Boneh, Boyen, Shacham）署名法式とは，署名のサイズが小さいグループ署名方式である．BBSでは，ペアリングを用いることで署名サイズを短くしている.

この記事では,BBSの仕組みについて説明するため，以下についてそれぞれ述べる.

数学的な前提知識
BBSで提案されたゼロ知識証明※
BBSの手順

※特定の条件を持った値を保持していることを証明する技術

数学的準備

ペアリング

ペアリングは次のように定義される。
（厳密な定義ではないが、本記事を読みすすめるには問題ない。）

ペアリング

$G_{1}, G_{2}, G_{T}$ を素数位数 $q$ の巡回群とし, $g_{1}$ は $G_{1}$ の, $g_{2}$ は $G_{2}$ の生成元とする.次の性質を持つ写像 $e : G_{1} \times G_{2} \to G_{T}$ を ペアリング という.

双線形性

任意の $a \in Z$ に対し、次の式が成り立つ。

$e (g_{1}^{a}, g_{2}) = e (g_{1}, g_{2}^{a}) = e (g_{1}, g_{2})^{a}$

非退化性

次の式が成り立つ。 $1^{G_{T}}$ は $G_{T}$ の単位元である。

$e (g_{1}, g_{2}) \neq 1^{G_{T}}$

暗号学的仮定

BBSで用いられる暗号学的仮定について説明する．BBSでは，q-SDH仮定とDLIH仮定といった暗号学的仮定が用いられており，それぞれ以下のように定義する．

q-SDH仮定

準同型写像 $ψ : G_{1} \to G_{2}$ を用意し, $g_{2} = ψ (g_{1})$ とする.また $x, γ \leftarrow Z_{p}$ をそれぞれランダムに選ぶ.

その上で， $(g_{1}, g_{2}, g_{2}^{γ}, g_{2}^{γ^{2}}, \dots, g_{2}^{γ^{q}})$ が与えられた時,組 $(x, g_{2}^{\frac{1}{γ + x}})$ を見つけるのが困難とする．このような仮定をq-SDH(q-Strong Diffie-Hellman)仮定 と呼ぶ．

DLDH仮定

$a, b, c \leftarrow Z_{p}$ と $u, v, h \leftarrow G_{2}$ をそれぞれランダムに選ぶ．

$u^{a}, v^{b}, h^{c} \in G_{2}$ がそれぞれ与えられた時， $a + b = c$ が成り立つかを，正しく判別するのが困難とする．

このような仮定をDLDH(Decision Linear Diffie-Hellman)仮定 と呼ぶ．

暗号学的仮定

DLDH仮定に基づいた公開鍵暗号方式である，線形暗号について説明する．
（BBSでは，線形暗号で暗号化されたユーザのIDを復号することで，追跡機能を実現する．）

以下では線形暗号の手続きと，健全性の証明について述べる．

線形暗号（Liner Encryption）

線形暗号とは，DLDH仮定に基づいた公開鍵暗号方式である．
線形暗号の手続きを以下に示す．

鍵生成

以下の手順で鍵ペアを生成する．

$x, y \leftarrow Z_{p}$ をランダムに選ぶ．
$u = g_{2}^{y}$ ， $v = g_{2}^{x}$ ， $h = v^{x} = u^{y}$ を計算する．
秘密鍵を $s k = (x, y)$ ，公開鍵を $p k = (v, u, h)$ とする．

暗号化

以下の手順をもとに，平文 $m \in Z_{p}$ を公開鍵 $p k = (u, v, h)$ で暗号化する．

$a, b \leftarrow Z_{p}$ をランダムに選ぶ．
暗号文 $c = (T_{1}, T_{2}, T_{3}) = (u^{a}, v^{b}, m h^{a + b})$ を計算する．

復号

以下を計算することで，暗号文 $c = (T_{1}, T_{2}, T_{3})$ を秘密鍵 $s k = (x, y)$ で復号する.

$m = \frac{T_{3}}{T_{1}^{x} T_{2}^{y}}$

健全性の証明

線形暗号が正しく復号されることを，以下に証明する.

$\begin{aligned} T_{1}^{x} & = {(u^{a})}^{x} = {((g_{2}^{y})^{a})}^{x} = g_{2}^{x y a} = h^{a} \\ T_{2}^{x} & = {(v^{b})}^{y} = {((g_{2}^{x})^{b})}^{y} = g_{2}^{x y b} = h^{b} \\ \frac{T_{3}}{T_{1}^{x} T_{2}^{y}} & = \frac{m h^{a + b}}{h^{a} h^{b}} = \frac{m h^{a + b}}{h^{a + b}} = m \end{aligned}$

ゼロ知識証明

秘密の値を隠しながら，その秘密が複数の条件を満たすことを証明する，ゼロ知識証明について説明する．
またゼロ知識証明を含む電子署名である，知識の証明についても紹介する．

これらは特定の条件に当てはまる秘密の保持を証明する技術とも言える．

ゼロ知識証明

秘密の値 $a r g u m e n t s$ を隠しながら，複数の条件 $c o n d i t i o n s$ を満たす $a r g u m e n t s$ を持っていることを証明する技術が存在しており，ゼロ知識証明と呼ぶ．ゼロ知識証明は以下のように表記し，次のような要件を持つ．

表記

$P K {(a r g u m e n t s) : c o n d i t i o n s}$

要件

完全性
検証者は正しい証明を1または1に限りなく近い確率で受理する．

健全性
検証者は誤った証明を1に限りなく近い確率で棄却する．

ゼロ知識性
検証者は $a r g u m e n t s$ に関する証明以外の知識を知り得ない.

知識の証明

秘密の値 $a r g u m e n t s$ を隠し，複数の式 $c o n d i t i o n s$ を満たす $a r g u m e n t s$ を持っていることをゼロ知識証明しながら， $m$ について電子署名することを，知識の証明と呼ぶ．知識の証明は以下のように表記し,ゼロ知識証明と同じく完全性,健全性,ゼロ知識性といった要件を持つ.

$S P K {(a r g u m e n t s) : c o n d i t i o n s} (m)$

知識証明の例として,離散対数の保有を証明した知識の証明を取り上げる．

S P K {(y) : y ＝ g_{2}^{x}} (m)

秘密の値 $x$ を隠し， $y = g_{2}^{x}$ を満たす $x$ を持っていることを証明しながら， $m$ について以下のように電子署名する．詳しくはこちら．

署名

以下の手順で平文 $m$ ，秘密鍵 $x$ に対する署名 $σ$ を計算する．

$r \leftarrow Z_{p}$ を選ぶ．
以下を計算する．
1. $a = g_{2}^{r}$
2. $b = H (m, a, b, y)$
3. $c = r + b x$
署名 $σ = (b, c, y)$ とする.

検証

署名 $σ = (a, b, c, y)$ を以下の手順で検証する.

$\hat{a} = \frac{{g_{2}}^{c}}{y^{b}}$ を計算する．
以下を検証して，成り立てば1,成り立たなければ0を返す．
$c \overset{?}{=} H (m, \hat{a}, b, y)$

健全性の証明

正しい知識の証明 $c \overset{?}{=} H (m, \hat{a}, b, y)$ が成り立つことを以下に証明する．
まず, $\hat{a} = a = \frac{{g_{2}}^{c}}{y^{b}}$ が成り立つことを証明する． $\frac{{g_{2}}^{c}}{y^{b}}$ を変形すると，

$\begin{array}{r} \frac{{g_{2}}^{c}}{y^{b}} = \frac{{g_{2}}^{r + b x}}{(g_{2}^{x})^{b}} = \frac{{g_{2}}^{r + b x}}{g_{2}^{b x}} = {g_{2}}^{r} = a \end{array}$

となる．よって，

$\begin{array}{r} c = H (m, a, b, y) = H (m, \hat{a}, b, y) \end{array}$

である．

手続き

BBSの手続きについてそれぞれ述べる．次の章で詳細を述べるが，BBSはDLDH仮定のもとに，SDHのペア $(x, A_{i})$ の保持を証明する知識の証明である．

準備

GMは以下の手順で事前準備を行う．

$ξ_{1}, ξ_{2} \leftarrow Z_{p}$ をランダムに選ぶ.
$u = g_{2}^{ξ_{2}}$ ， $v = g_{2}^{ξ_{1}}$ ， $h = v^{ξ_{1}} = u^{ξ_{2}}$ を計算する．
$γ \leftarrow Z_{p}$ をランダムに選ぶ.
$ω = g_{2}^{γ}$ を計算する.

グループ全体の公開鍵を $g p k = (h, u, v, γ, ω)$ とする.

登録

GMは以下の手順で,メンバ $i$ の秘密鍵 $u s k = (x_{i}, A_{i})$ を計算する．

$x_{i} \leftarrow Z_{p}$
$A_{i} = g^{\frac{1}{γ + x_{i}}}$

メンバの秘密鍵を $u s k = (x_{i}, A_{i})$ とし，GMはメンバに $u s k$ を送信する．

署名

メンバは以下の手順でメッセージ $m \in Z_{p}$ に対する署名 $σ$ を生成する.

メンバは $A_{x}$ の暗号文 $(T_{1}, T_{2}, T_{3})$ を以下の手順で計算する.
1. $α, β \leftarrow Z_{p}$
2. $T_{1} = u^{α}, T_{2} = v^{β}, T_{3} = A_{i} h^{α + β}$
以下を計算する　
1. $δ_{1} = x_{i} α$
2. $δ_{2} = x_{i} β$
署名 $σ$ を生成するために，以下を計算する．
$\begin{aligned} σ = S P K {(x_{i}, A_{i}, α, β) : u^{α} = T_{1} \land v^{β} & = T_{2} \land T_{1}^{x_{i}} u^{- δ_{1}} = 1 \land T_{2}^{x_{i}} v^{- δ_{2}} = 1 \\ \land e (T_{3}, g_{2})^{x_{i}} e (h, ω)^{- α - β} & e (h, g_{2})^{- δ_{1} - δ_{2}} = e (g_{1}, g_{2}) / e (T_{3}, ω)} (m) \end{aligned}$
1. $r_{α}, r_{β}, r_{x}, r_{δ_{1}}, r_{δ_{2}} \leftarrow Z_{p}$ をランダムに選ぶ．
2. $R_{1} = u^{r_{α}}, R_{2} = v^{r_{β}}, R_{3} = T_{1}^{r_{x}} u^{- r δ_{1}}, R_{4} = T_{2}^{r_{x}} v^{- r δ_{2}}$
  $R_{5} = e (T_{3}, g_{2})^{r_{x}} e (h, w)^{- r_{α} - r_{β}} e (h, g_{2})^{- r_{δ_{1}} - r_{δ_{2}}}$ をそれぞれ計算する．
3. $c = H (m, T_{1}, T_{2}, T_{3}, R_{1}, R_{2}, R_{3}, R_{4}, R_{5})$ を計算する．
4. $s_{α} = r_{α} + c α, s_{β} = r_{β} + c β$
  $s_{δ_{1}} = r_{δ_{1}} + c δ_{1}, s_{δ_{2}} = r_{δ_{2}} + c δ_{2}$
  $s_{x} = r_{x} + c x$ をそれぞれ計算する．
5. 署名を $σ = (T_{1}, T_{2}, T_{3}, c, s_{α}, s_{β}, s_{x}, δ_{1}, δ_{2})$

検証

$m$ に対する署名 $σ = (T_{1}, T_{2}, T_{3}, c, s_{α}, s_{β}, s_{x}, δ_{1}, δ_{2})$ の知識証明を以下の手順で検証する.

以下を計算する
- ${\tilde{R}}_{1} = u^{s_{α}} T_{1}^{- c}$
- ${\tilde{R}}_{2} = v^{s_{β}} T_{2}^{- c}$
- ${\tilde{R}}_{3} = T_{1}^{s_{x}} u^{- s_{δ_{1}}}$
- ${\tilde{R}}_{4} = T_{2}^{s_{x}} v^{- s_{δ_{2}}}$
- ${\tilde{R}}_{5} = e (T_{3}, g_{2})^{s_{x}} e (h, ω)^{- s_{α} - s_{β}} e (h, g_{2})^{- s_{δ_{1}} - s_{δ_{2}}} (\frac{e (T_{3}, ω)}{e (g_{1}, g_{2})})^{c}$
以下を検証して，成り立てば1,成り立たなければ0を返す．
$c \overset{?}{=} H (m, T_{1}, T_{2}, T_{3}, {\tilde{R}}_{1}, {\tilde{R}}_{2}, {\tilde{R}}_{3}, {\tilde{R}}_{4}, {\tilde{R}}_{5})$

追跡

GMは以下の $A_{x}$ を持つメンバを探す.
$A_{x} = \frac{T_{3}}{T_{1}^{ξ_{1}} T_{2}^{ξ_{2}}}$

証明

BBSがグループ署名方式の要件を満たすことを証明する．

正当性

検証者が必ず正しい証明を受理することを以下に証明する．

正当性の証明

具体的には，(1)を証明するため， $(2)$ をそれぞれ証明する．

$\begin{aligned} c = H (m, T_{1}, T_{2}, T_{3}, R_{1}, R_{2}, R_{3}, R_{4}, R_{5}) & \overset{?}{=} H (m, T_{1}, T_{2}, T_{3}, {\tilde{R}}_{1}, {\tilde{R}}_{2}, {\tilde{R}}_{3}, {\tilde{R}}_{4}, {\tilde{R}}_{5}) & (1) \\ R_{i} & = {\tilde{R}}_{i} (i = 1. .5) & (2) \end{aligned}$

1. $(R_{1}, R_{2}) = ({\tilde{R}}_{1}, {\tilde{R}}_{2})$ の証明

$(R_{1}, R_{2}) = ({\tilde{R}}_{1}, {\tilde{R}}_{2})$ は次のように証明できる．

$\begin{aligned} {\tilde{R}}_{1} = u^{s_{α}} T_{1}^{- c} = u^{r_{α} + c α} {(u^{α})}^{- c} & = u^{r_{α} + c α - c α} = u^{r_{α}} = R_{1} \\ {\tilde{R}}_{2} = v^{s_{β}} T_{2}^{- c} = v^{r_{β} + c β} {(v^{β})}^{- c} & = v^{r_{β} + c β - c β} = v^{r_{β}} = R_{2} \end{aligned}$

2. $(R_{3}, R_{4}) = ({\tilde{R}}_{3}, {\tilde{R}}_{4})$ の証明

$(R_{3}, R_{4}) = ({\tilde{R}}_{3}, {\tilde{R}}_{4})$ は次のように証明できる．

$\begin{aligned} {\tilde{R}}_{3} & = T_{1}^{s_{x}} u^{- s_{δ_{1}}} \\ = (u^{α})^{s_{x}} u^{- s_{δ_{1}}} \\ = u^{α s_{x} - s_{δ_{1}}} \\ = u^{α (r_{x} + c x_{i}) - r_{δ_{1}} - c δ_{1}} \\ = u^{α (r_{x} + c x_{i}) - r_{δ_{1}} - c α x_{i}} \\ = u^{α (r_{x} + c x_{i} - c x_{i}) - r_{δ_{1}}} \\ = u^{α r_{x} - r_{δ_{1}}} \\ = u^{α r_{x}} u^{- r_{δ_{1}}} \\ = T^{r_{x}} u^{- r_{δ_{1}}} \\ = R_{3} \\ {\tilde{R}}_{4} & = T_{2}^{s_{x}} v^{- s_{δ_{2}}} \\ = (v^{β})^{s_{x}} v^{- s_{δ_{2}}} \\ = v^{β s_{x} - s_{δ_{2}}} \\ = v^{β (r_{x} + c x_{i}) - r_{δ_{2}} - c δ_{2}} \\ = v^{β (r_{x} + c x_{i}) - r_{δ_{2}} - c β x_{i}} \\ = v^{β (r_{x} + c x_{i} - c x_{i}) - r_{δ_{2}}} \\ = v^{β r_{x} - r_{δ_{2}}} \\ = v^{β r_{x}} v^{- r_{δ_{2}}} \\ = T^{r_{x}} v^{- r_{δ_{2}}} \\ = R_{4} \end{aligned}$

3. ${\tilde{R}}_{5} = R_{5}$ の証明

${\tilde{R}}_{5} = R_{5}$ は次のように証明できる．

$Z = (\frac{e (T_{3}, ω)}{e (g_{1}, g_{2})})^{c}$ とおく．

$\begin{aligned} {\tilde{R}}_{5} & = e (T_{3}, g_{2})^{s_{x}} e (h, ω)^{- s_{α} - s_{β}} e (h, g_{2})^{- s_{δ_{1}} - s_{δ_{2}}} (\frac{e (T_{3}, ω)}{e (g_{1}, g_{2})})^{c} \\ = e (T_{3}, g_{2})^{s_{x}} e (h, ω)^{- s_{α} - s_{β}} e (h, g_{2})^{- s_{δ_{1}} - s_{δ_{2}}} Z \\ = e (T_{3}, g_{2})^{r_{x} + c α} e (h, ω)^{- r_{α} - c α - r_{β} - c β} e (h, g_{2})^{- r_{δ_{1}} - c δ_{1} - r_{δ_{2}} - c δ_{2}} Z \\ = e (T_{3}, g_{2})^{r_{x}} e (T_{3}, g_{2})^{c α} e (h, ω)^{- r_{α} - c α - r_{β} - c β} e (h, g_{2})^{- r_{δ_{1}} - r_{δ_{2}}} e (h, g_{2})^{- c δ_{1} - c δ_{2}} Z \\ = e (T_{3}, g_{2})^{c x_{i}} e (h, ω)^{- c α - c β} e (h, ω)^{- r_{α} -} e (h, g_{2})^{- c δ_{1} - c δ_{2}} (e (T_{3}, g_{2})^{r_{x}} e (h, ω)^{- r_{α} - r_{β}} e (h, g_{2})^{- r_{δ_{1}} - r_{δ_{2}}}) Z \\ = e (T_{3}, g_{2})^{c x_{i}} e (h, ω)^{- c α - c β} e (h, g_{2})^{- c δ_{1} - c δ_{2}} R_{5} Z \\ = e (T_{3}, g_{2}^{x_{i}})^{c} e (h, ω)^{- c α - c β} e (h, g_{2})^{- c δ_{1} - c δ_{2}} R_{5} Z \\ = e (T_{3}, g_{2}^{x_{i}})^{c} e (h, g_{2})^{γ (- c α - c β)} e (h, g_{2})^{- c δ_{1} - c δ_{2}} R_{5} Z \\ = e (T_{3}, g_{2}^{x_{i}})^{c} e (h, g_{2})^{c γ (- α - β)} e (h, g_{2})^{c (- δ_{1} - δ_{2})} R_{5} Z \\ = e (T_{3}, g_{2}^{x_{i}})^{c} e (h, g_{2})^{c γ (- α - β)} e (h, g_{2})^{c x (- α - β)} R_{5} Z \\ = e (T_{3}, g_{2}^{x_{i}})^{c} e (h, g_{2})^{c (- α - β) (γ + x)} R_{5} Z \\ = e (T_{3}, g_{2}^{x_{i}})^{c} e (h^{- α - β}, g_{2}^{γ + x})^{c} R_{5} Z \\ = e (T_{3}, g_{2}^{x_{i}})^{c} e (h^{- α - β}, ω g_{2}^{x})^{c} R_{5} Z \\ = e (T_{3}, g_{2}^{x_{i}})^{c} e (h^{- α - β}, ω g_{2}^{x})^{c} R_{5} Z \\ = e (T_{3}, g_{2}^{x_{i}})^{c} e (h^{- α - β}, ω g_{2}^{x})^{c} e (T_{3}, ω)^{c} e (T_{3}, ω)^{- c} R_{5} Z \\ = e (T_{3}, ω)^{c} e (T_{3}, g_{2}^{x_{i}})^{c} e (h^{- α - β}, ω g_{2}^{x})^{c} e (T_{3}, ω)^{- c} R_{5} Z \\ = e (T_{3}, ω g_{2}^{x_{i}})^{c} e (h^{- α - β}, ω g_{2}^{x})^{c} e (T_{3}, ω)^{- c} R_{5} Z \\ = e (T_{3} h^{- α - β}, ω g_{2}^{x_{i}})^{c} e (T_{3}, ω)^{- c} R_{5} Z \\ = e (A h^{α + β} h^{- α - β}, ω g_{2}^{x_{i}})^{c} e (T_{3}, ω)^{- c} R_{5} Z \\ = e (A, ω g_{2}^{x_{i}})^{c} / e (T_{3}, ω)^{c} R_{5} Z \\ = e (g^{\frac{1}{γ + x}}, g_{2}^{γ + x_{i}})^{c} / e (T_{3}, ω)^{c} R_{5} Z \\ = e (g_{1}, g_{2})^{c} / e (T_{3}, ω)^{c} (\frac{e (T_{3}, ω)}{e (g_{1}, g_{2})})^{c} R_{5} \\ = R_{5} \end{aligned}$

偽装不可能性

正しい $A_{i}$ と $x$ のペアを持たない敵対者は，有効な署名を作ることができない．

※要追記

匿名性

以下の理由で，GM以外のエンティティは署名者を追跡できない．

DLDH仮定より， $T_{1}, T_{2}, T_{3}$ から， $(A_{x}, x)$ を見つけることはできない．
離散対数の保有に関する知識の証明より， $(T_{1}, T_{2}, T_{3}, c, s_{α}, s_{β}, s_{x}, δ_{1}, δ_{2})$ から， $(A_{x}, x)$ を見つけることはできない．

※要追記

リンク不可能性

以下の理由で，GM以外のエンティティは署名者の署名 $σ, σ^{'}$ を紐付けられない．

$σ = (T_{1}, T_{2}, T_{3}, c, s_{α}, s_{β}, s_{x}, δ_{1}, δ_{2})$
$σ^{'} = (T_{1}^{'}, T_{2}^{'}, T_{3}^{'}, c^{'}, s_{α}^{'}, s_{β}^{'}, s_{x}^{'}, {δ_{1}}^{'}, {δ_{2}}^{'})$

DLDH仮定より， $T_{1}^{'}, T_{2}^{'}, T_{3}^{'}$ と $T_{1}^{'}, T_{2}^{'}, T_{3}^{'}$ を紐付けることができない．
離散対数の保有に関する知識の証明より， $(T_{1}, T_{2}, T_{3}, c, s_{α}, s_{β}, s_{x}, δ_{1}, δ_{2})$ と $(T_{1}^{'}, T_{2}^{'}, T_{3}^{'}, c^{'}, s_{α}^{'}, s_{β}^{'}, s_{x}^{'}, {δ_{1}}^{'}, {δ_{2}}^{'})$ を紐付けることができない．

※要追記

追跡可能性

署名 $σ$ の $T_{1}, T_{2}, T_{3}$ は秘密鍵 $ξ_{1}, ξ_{2}$ による $A_{x}$ の暗号文である.
よってGMは署名 $σ$ から $A_{x}$ を計算することができる.

まとめ

正当性，偽造不可能，匿名・リンク不可能，追跡可能，失効可能を同時に満たすため,利用されるグループ署名方式について解説した．

参考文献

[1]

Boneh, Dan, Xavier Boyen, and Hovav Shacham, Short group signatures, Annual international cryptology conference. Springer, Berlin, Heidelberg, , 2004

投稿日：2021年12月14日

更新日：2023年12月11日

この記事を高評価した人

高評価したユーザはいません

この記事に送られたバッジ

バッジはありません。

バッチを贈って投稿者を応援しよう

バッチを贈ると投稿者に現金やAmazonのギフトカードが還元されます。

投稿者

akakou

17743

数学が…わかりません……ﾀﾞﾚｶﾀｽｹﾃｰ

他の人のコメント

コメントはありません。

読み込み中

akakou

グループ署名方式

はじめに
グループ証明方式
エンティティ
手続き
セキュリティ要件
BBS
数学的準備
手続き
証明
まとめ
参考文献

グループ署名方式

はじめに

グループ証明方式

エンティティ

手続き

セキュリティ要件

BBS

数学的準備

ペアリング

双線形性

非退化性

暗号学的仮定

暗号学的仮定

鍵生成

暗号化

復号

ゼロ知識証明

表記

要件

署名

検証

手続き

準備

登録

署名

検証

追跡

証明

正当性

1. (R1,R2)=(R~1,R~2)の証明

2. (R3,R4)=(R~3,R~4)の証明

3. R~5=R5の証明

偽装不可能性

匿名性

リンク不可能性

追跡可能性

まとめ

参考文献

この記事を高評価した人

この記事に送られたバッジ

投稿者

コメント

他の人のコメント

1. $(R_{1}, R_{2}) = ({\tilde{R}}_{1}, {\tilde{R}}_{2})$ の証明

2. $(R_{3}, R_{4}) = ({\tilde{R}}_{3}, {\tilde{R}}_{4})$ の証明

3. ${\tilde{R}}_{5} = R_{5}$ の証明