DE60210847T2 - Verfahren und Vorrichtung zur Erzeugung von verteilten digitalen Unterschriften - Google Patents

Verfahren und Vorrichtung zur Erzeugung von verteilten digitalen Unterschriften Download PDF

Info

Publication number
DE60210847T2
DE60210847T2 DE60210847T DE60210847T DE60210847T2 DE 60210847 T2 DE60210847 T2 DE 60210847T2 DE 60210847 T DE60210847 T DE 60210847T DE 60210847 T DE60210847 T DE 60210847T DE 60210847 T2 DE60210847 T2 DE 60210847T2
Authority
DE
Germany
Prior art keywords
partial
digital
digital signature
signature
incorrect
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60210847T
Other languages
English (en)
Other versions
DE60210847D1 (de
Inventor
c/o NTT Intellectual Property Ctr. Eiichi Musashino-shi Horita
c/o NTT Intellectual Property Center Satoshi Musashino-shi Ono
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of DE60210847D1 publication Critical patent/DE60210847D1/de
Application granted granted Critical
Publication of DE60210847T2 publication Critical patent/DE60210847T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • H04L9/0836Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3255Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures

Description

  • Hintergrund der Erfindung
  • 1. Gebiet der Erfindung
  • Die vorliegende Erfindung bezieht sich auf ein Verfahren und eine Vorrichtung für die Generierung einer integrierten digitalen Signatur aus verteilten digitalen Signaturen, sowie auf ein Verfahren und eine Vorrichtung für die Generierung eines digitalen Dokuments mit einer digitalen Signatur, die in einem Service zur Generierung einer digitalen Signatur für ein digitales Dokument verwendet werden, in dem sichergestellt wird, dass die digitale Signatur nicht gefälscht ist, d.h., es wird sichergestellt, dass die digitale Signatur nicht mit anderen Mitteln erstellt wurde.
  • Im Besonderen bezieht sich die Erfindung auf ein Verfahren und eine Vorrichtung für die Generierung einer integrierten digitalen Signatur aus verteilten digitalen Signaturen und auf ein Verfahren und eine Vorrichtung für die Generierung eines digitalen Dokuments mit einer digitalen Signatur, wobei eine korrekte integrierte digitale Signatur aus digitalen Teilsignaturen generiert werden kann, selbst dann, wenn eine vorab festgelegte Anzahl von Generierungssystemen für digitale Teilsignaturen inkorrekt arbeiten.
  • Darüber hinaus bezieht sich die vorliegende Erfindung auf ein Verfahren und eine Vorrichtung für die Generierung einer integrierten digitalen Signatur aus verteilten digitalen Signaturen und auf ein Verfahren und eine Vorrichtung für die Generierung eines digitalen Dokuments mit einer digitalen Signatur, um das Risiko des Diebstahls des geheimen Schlüssels in den zentralen digitalen Signatursystemen zu vermeiden.
  • Darüber hinaus bezieht sich die vorliegende Erfindung auf ein Verfahren und eine Vorrichtung für die Generierung einer integrierten digitalen Signatur aus verteilten digitalen Signaturen und auf ein Verfahren und eine Vorrichtung für die Generierung eines digitalen Dokuments mit einer digitalen Signatur zur Verhinderung der Schwachstellen in der Robustheit gegenüber Angriffen auf die Sicherheit und der Fehlertoleranz eines herkömmlichen Generierungssystems digitaler Signaturen, in dem jede verteilte digitale Teilsignatur korrekt arbeitet, um eine integrierte digitale Signatur zu generieren.
  • 2. Beschreibung der verwandten Technik
  • Die meisten der herkömmlichen Generierungssysteme für verteilte digitale Signaturen auf der Basis des Public-Key-Verschlüsselungssystemes verwenden eine vertrauenswürdige Instanz bei der Generierung eines Signaturschlüssels für die digitale Teilsignatur. In diesem Fall besteht die Möglichkeit, dass durch diese Instanz Informationen über den Signaturschlüssel bekannt werden. Das heißt, dass ein herkömmliches Generierungssystem für verteilte digitale Signaturen eine Schwachstelle insofern aufweist, als dass die Sicherheit des Systems bedroht ist, wenn eine geheime Information durch eine Stelle im System bekannt wird. Anders ausgedrückt, weist das System eine Schwachstelle dergestalt auf, dass es einen einzigen Vergleichspunkt gibt.
  • In einem Generierungssystem für verteilte digitale Signaturen, in dem eine digitale Signatur nur dann aus digitalen Teilsignaturen generiert werden kann, wenn jedes verteilte Signatursystem die korrekte digitale Teilsignatur generiert, besteht eine Schwachstelle in der Robustheit gegenüber Angriffen auf die Sicherheit und der Fehlertoleranz darin, dass die digitale Signatur nicht generiert werden kann, wenn mindestens ein verteiltes Signatursystem in der Vielzahl der verteilten Signatursysteme nicht korrekt arbeitet.
  • Ein herkömmliches Generierungssystem für verteilte Signaturen, das die Schwachstelle bei der Preisgabe geheimer Informationen und die Schwachstelle in der Robustheit gegenüber Angriffen auf die Sicherheit und der Fehlertoleranz zu vermeiden versucht, wird offen gelegt in T. Wu et al.: "Building intrusion tolerant applications", in Proceedings of 8th UNENIX Security Symposium, USENIX, 1999. (Dies wird als erstes herkömmliches Verfahren bezeichnet.) In diesem System werden von jedem der Generierungssysteme für digitale Teilsignaturen Teilsignaturschlüssel generiert, die durch eine verteilte Verarbeitung ohne Verwendung der vertrauenswürdigen Instanz verteilt werden, und die Teilinformationen über den Teilsignaturschlüssel werden untereinander ausgetauscht. Dann kann die verteilte digitale Signatur generiert werden, wenn eine vorab festgelegte Anzahl der Generierungssysteme für digitale Teilsignaturen, die als Grenzwert bezeichnet wird, in der Gesamtheit der Generierungssystemen für digitale Teilsignaturen korrekt arbeitet.
  • Darüber hinaus wurde in S. Miyazaki, K. Sakurai, M. Yung "On threshold RSA-signing with no dealer" in Proceedings of ICISC'99, S. 197–207, Springer, 1999, ein Verfahren vorgeschlagen, das das Anwachsen der Schlüsselinformationen verhindert. (Dies wird als zweites herkömmliches Verfahren bezeichnet.)
  • Darüber hinaus wurde ein Verfahren für die Generierung einer integrierten digitalen Signatur durch die Kombination des Grenzwerts der digitalen Teilsignaturen mit Hilfe der vertrauenswürdigen Instanz und zur Behebung des Problems, dass die Schlüsselinformationen anwachsen, offen gelegt in V. Shoup "Practical threshold signatures", in Proceedings of Eurocrypto 2000". (Dies wird als drittes herkömmliches Verfahren bezeichnet.)
  • Darüber hinaus wird in der japanischen Patentanmeldung Nr. 8-351565 "Key management system having hierarchy, encryption system and distributed digital signature system" ein System für verteilte digitale Signaturen, das die Grenzwert-Verteilung von geheimen Schlüsseln mit einer hierarchischen Struktur verwendet, offen gelegt. (Dies wird als viertes herkömmliches Verfahren bezeichnet.) Das Verfahren der Grenzwert-Verteilung geheimer Schlüssel basiert auf A. Shamir "How to share a secret", in Communications of ACM, Vol. 22, S. 612–613, 1979, in dem der ursprüngliche geheime Schlüssel ein Mal mit Hilfe einer polynominalen Interpolationsgleichung für die Generierung der digitalen Signatur durch die verteilte Verarbeitung berechnet wird.
  • Darüber hinaus gibt es die japanische Patentanmeldung Nr.11-247994 "Distributed type timestamp certification apparatus and method and recording medium recording distributed timestamp certification program", die als Service der Bereitstellung eines Zeitstempels für ein digitales Dokument mit Hilfe von verteilten Verarbeitungssystemen basierend auf dem Public Key-Verschlüsselungssystem fungiert. (Dies wird als fünftes herkömmliches Verfahren bezeichnet). Die Funktion des in diesem Dokument vorgeschlagenen Systems kann mit Hilfe der Zeit als Zusatzinformation verwirklicht werden, die einem digitalen Eingabedokument hinzugefügt wird. Diese verteilt ausgelegte Vorrichtung mit Zeitzertifizierung verfügt über eine Funktion, dass jede verteilte Zeitstempelvergabeautorität einer Vielzahl von verteilten Zeitstempelvergabeautoritäten den korrekten Teilzeitstempel generieren muss, um einen integrierten Zeitstempel zu erhalten, sowie eine Funktion, dass das korrekte mit einem Zeitstempel versehene Zertifikat nicht ausgegeben werden kann, wenn ein Teil der verteilten Zeitstempelvergabeautoritäten inkorrekt ist. Auf diese Weise wird ein Mittel zur Verhinderung von Fälschungen von Zertifikaten mit Zeitstempel durch einen Teil der verteilten Zeitstempelvergabeautoritäten bereitgestellt.
  • Gemäß dem oben aufgeführten ersten herkömmlichen Verfahren ist es aber erforderlich, dass jedes System zur Generierung einer digitalen Teilsignatur einen anderen Teilsignaturschlüssel vorbereitet, je nachdem welche Gruppe unter den Gruppen, die alle den Grenzwert der Generierungssysteme für die digitale Teilsignatur enthalten, die integrierte digitale Signatur generiert. Dies führt daher zu dem Problem, dass die Schlüsselinformationen zunehmen.
  • Wenn darüber hinaus eine Gruppe versucht, eine digitale Signatur zu generieren, aber diese nicht generieren kann, da ein Teil der digitalen Teilsignatursysteme in der Gruppe nicht korrekt funktioniert, muss die Signatur von einer anderen Gruppe generiert werden. Dies führt daher zu dem anderen Problem, dass sich die zeitliche Komplexität der Generierung digitaler Teilsignaturen durch die Systeme für die Generierung digitaler Teilsignaturen und die Kommunikation zwischen einem System für die Generierung einer integrierten digitalen Signatur und den Systemen für die Generierung digitaler Teilsignaturen erhöht.
  • Bei dem zweiten herkömmlichen Verfahren ist es möglich, bei den zwei Problemen des ersten herkömmlichen Verfahrens das Problem zu lösen, dass sich die Schlüsselinformationen erhöhen. Das zweite Problem jedoch, dass sich die zeitliche Komplexität der Generierung digitaler Teilsignaturen durch die Systeme für die Generierung digitaler Teilsignaturen und die Kommunikation zwischen einem System für die Generierung einer integrierten digitalen Signatur und den Systemen für die Generierung digitaler Teilsignaturen erhöht, wenn eine Gruppe die Signatur nicht generieren kann, bleibt ungelöst. Darüber hinaus erhöht sich die zeitliche Komplexität der Generierung digitaler Signaturen aus den digitalen Teilsignaturen, wenn sich die Anzahl der Systeme für die Generierung digitaler Teilsignaturen erhöht, so dass dies zu dem Problem führt, dass der Gesamtprozess der Signaturgenerierung umfangreicher wird. Darüber hinaus ist die zeitliche Komplexität für die Überprüfung der Gültigkeit der digitalen Teilsignaturen sehr hoch. Es besteht daher das Problem, dass die zeitliche Komplexität zur Sicherstellung, dass nur korrekte Teilsignaturschlüssel zur Generierung einer integrierten digitalen Signatur kombiniert werden, hoch ist.
  • Das dritte herkömmliche Verfahren ist ein Verfahren für die Generierung der integrierten digitalen Signatur durch die Kombination des Grenzwerts der digitalen Teilsignaturen, mit dem das Problem der Zunahme der Schlüsselinformationen gelöst werden kann. Gemäß diesem Verfahren erhöht sich aber die zeitliche Komplexität der Generierung einer digitalen Signatur aus den digitalen Teilsignaturen, wenn sich die Anzahl der Systeme für die Generierung digitaler Teilsignaturen erhöht, so dass dies zu dem Problem führt, dass der Gesamtprozess der Generierung der Signatur umfangreicher wird. Es besteht darüber hinaus das Problem, dass die zeitliche Komplexität zur Sicherstellung, dass nur korrekte Teilsignaturschlüssel zur Generierung der integrierten digitalen Signatur kombiniert werden, hoch ist.
  • Da beim vierten herkömmlichen Verfahren der ursprüngliche geheime Schlüssel durch eine polynominale Interpolationsgleichung einmal berechnet wird, kann das System, das diese Berechnung ausführt, die Informationen des geheimen Schlüssels kennen. Es besteht daher die Schwachstelle, dass ein einzelner Vergleichspunkt besteht. Darüber hinaus legt dieses Dokument kein Verfahren offen, in dem, wenn eine vorab festgelegte Anzahl an Systemen mit geheimen Teilinformationen versucht, eine digitale Signatur zu generieren, und wenn ein Teil der Systeme mit Teilinformationen nicht korrekt arbeitet, wird bestimmt, welches System mit Teilinformationen nicht korrekt arbeitet, und eine digitale Signatur wird auf effiziente Weise generiert, indem nur korrekte Systeme verwendet und die inkorrekten Systeme entfernt werden.
  • Wie bei der verteilt ausgelegten Vorrichtung mit Zeitstempelzertifizierung des fünften herkömmlichen Verfahrens besteht eine Schwachstelle in der Robustheit gegenüber Angriffen auf die Sicherheit und der Fehlertoleranz, da ein Zertifikat mit einem Zeitstempel nicht generiert werden kann, wenn mindestens eine verteilte Zeitstempelvergabeautorität inkorrekt arbeitet.
  • Ein bekanntes Verfahren und eine Vorrichtung für die Generierung einer digitalen Signatur aus verteilten digitalen Teilsignaturen wird offen gelegt in Darpa Information Survivability Conference And Exposition, 2000. Discex'00. Proceedings Hilton Head, Sc, USA 25–27 Jan. 2000, Las Alamitos, Ca, USA, ieee Comput. Soc, US (25-01-2000), 74–87. Hier wird ein verteiltes System offen gelegt, in dem die Funktion eines einzigen Web-Server-Verschlüsselungsschlüssels unter vielen einzelnen, gemeinsam genutzten Servern verteilt wird, von denen jeder nur einen Teil des Verschlüsselungsschlüssels enthält. Jeder der vielen gemeinsam genutzten Server generiert eine digitale Teilsignatur mit dem entsprechenden Teil des Verschlüsselungsschlüssels. Jeder der vielen gemeinsam genutzten Server gibt eine entsprechende digitale Teilsignatur aus, und eine vorab festgelegte Anzahl an digitalen Teilsignaturen wird kombiniert, um eine vollständige integrierte digitale Signatur zu bilden. Die vorab festgelegte Anzahl der digitalen Teilsignaturen, die für die Bildung der integrierten digitalen Signatur erforderlich ist, ist kleiner als die Anzahl der vielen gemeinsam genutzten Server. Als Ergebnis der Verteilung der Teile des Verschlüsselungsschlüssel auf die vielen einzelnen gemeinsam genutzten Server kann ein Angreifer, der den Zugriff auf einen oder einige der gemeinsam genutzten Server erhält, die Verschlüsselungsschlüssel nicht erhalten.
  • Ein weiteres bekanntes Verfahren und eine Vorrichtung für das Generieren einer integrierten digitalen Signatur aus verteilten digitalen Signaturen wird in EP-A-0998074 offen gelegt. Dies legt ein Verfahren und eine Vorrichtung für die Generierung einer digitalen Signatur mit einem Verschlüsselungsschlüssel offen, der auf viele Rechner verteilt wird, die als viele Generierungsteile für digitale Teilsignaturen fungieren. Jeder Generierungsteil einer digitalen Teilsignatur generiert einen Verschlüsselungsteilschlüssel durch die Kommunikation mit den anderen Generierungsteilen der digitalen Teilsignaturen ohne eine vertrauenswürdige Instanz und generiert dann eine digitale Teilsignatur mit Hilfe des Teilsignaturschlüssels. Alle digitalen Teilsignaturen, die von den vielen Rechnern generiert werden, werden dann kombiniert, um eine integrierte digitale Signatur zu generieren.
  • Übersicht über die Erfindung
  • Der erste Gegenstand der vorliegenden Erfindung ist die Bereitstellung eines Verfahrens und einer Vorrichtung für die Generierung einer verteilten digitalen Signatur, eines Verfahrens und einer Vorrichtung für die Generierung eines digital signierten digitalen Dokuments, eines Programms für die Generierung einer verteilten digitalen Signatur und eines Speichermediums, das ein Programm für die Generierung einer verteilten digitalen Signatur speichert, um damit das oben dargelegte Problem eines einzigen Vergleichspunktes zu lösen sowie die Schwachstelle in der Robustheit gegenüber Angriffen auf die Sicherheit und der Fehlertoleranz zu beheben, bei der die digitale Signatur nicht generiert werden kann, selbst wenn nur ein digitales Teilsignatursystem inkorrekt arbeitet.
  • Ein zweiter Gegenstand der vorliegenden Erfindung ist die Bereitstellung eines Verfahrens und einer Vorrichtung für die Generierung einer verteilten digitalen Signatur, eines Verfahrens und einer Vorrichtung für die Generierung eines digital signierten digitalen Dokuments, eines Programms für die Generierung einer verteilten digitalen Signatur und eines Speichermediums, das ein Programm für die Generierung einer verteilten digitalen Signatur speichert, um das oben erwähnte Problem zu beheben, dass sich die zeitliche Komplexität bei der Generierung der digitalen Teilsignaturen durch die Systeme für die Generierung digitaler Teilsignaturen erhöht sowie die Kommunikation zwischen einem System für die Generierung einer integrierten digitalen Signatur und den Systemen für die Generierung digitaler Teilsignaturen zunimmt, wenn eine Gruppe, die den Grenzwert der digitalen Teilsignatursysteme enthält, versucht, eine digitale Signatur zu generieren, dies aber nicht gelingt.
  • Ein dritter Gegenstand der vorliegenden Erfindung ist die Bereitstellung eines Verfahrens und einer Vorrichtung für die Generierung einer verteilten digitalen Signatur, eines Verfahrens und einer Vorrichtung für die Generierung eines digital signierten digitalen Dokuments, eines Programms für die Generierung einer verteilten digitalen Signatur und eines Speichermediums, das ein Programm für die Generierung einer verteilten digitalen Signatur speichert, um das Problem zu lösen, dass die zeitliche Komplexität für die Generierung der digitalen Signatur aus den digitalen Teilsignaturen hoch ist.
  • Ein vierter Gegenstand der vorliegenden Erfindung ist die Bereitstellung eines Verfahrens und einer Vorrichtung zur Generierung einer verteilten digitalen Signatur, eines Verfahrens und einer Vorrichtung für die Generierung eines digital signierten digitalen Dokuments, eines Programms für die Generierung einer verteilten digitalen Signatur und eines Speichermediums, das ein Programm für die Generierung einer verteilten digitalen Signatur speichert, um das Problem zu lösen, dass die zeitliche Komplexität zur Sicherstellung, dass nur korrekte digitale Teilsignaturschlüssel für die Generierung einer integrierten digitalen Signatur verwendet werden, hoch ist.
  • Der obige Gegenstand kann durch ein Verfahren für die Generierung einer verteilten digitalen Signatur zur Generierung einer digitalen Signatur für ein digitales Dokument (M) erreicht werden, wobei eine Vielzahl an Generierungsteilen für digitale Teilsignaturen verwendet werden und das Verfahren zur Generierung einer verteilten digitalen Signatur Folgendes umfasst:
    einen Schritt für die Generierung einer digitalen Teilsignatur, in dem jeder der Generierungsteile der digitalen Teilsignaturen einen Teilsignaturschlüssel durch Kommunikation untereinander ohne eine vertrauenswürdige Instanz generiert, wobei eine digitale Teilsignatur unter Verwendung des Teilsignaturschlüssels für einen Hash-Wert (H(M)) eines digitalen Eingabedokuments (M) generiert wird und die digitale Teilsignatur oder ein Paar aus digitalem Dokument und digitaler Teilsignatur ausgegeben wird;
    einen Schritt für die Auswahl einer Zahlenmenge für digitale Teilsignaturen, indem jeder der digitalen Teilsignaturen eine Zahl zwischen 1 bis m zugewiesen wird, wobei m die Anzahl der digitalen Teilsignaturen ist, und eine Zahlenmenge I(i) mit den Zahlen ((i – 1) mod m) + 1, ((i – 1 + 1) mod m) + 1, ... ((i – 1 + (k – 1)) mod m) + 1 für jedes i = 1, ..., m ausgewählt wird, wobei k ein Grenzwert ist, der für die Generierung einer integrierten digitalen Signatur erforderlich ist;
    einen Schritt für die Generierung einer integrierten digitalen Signatur durch Kombination der digitalen Teilsignaturen S(i(1), M), ... S(i(k), M) für die Generierung der integrierten digitalen Signatur S(I (i), M) für alle i = 1, ..., m, wobei S(i, M) eine digitale Teilsignatur angibt, der i zugewiesen ist und in der die Elemente der Zahlenmenge I(i) die Elemente i(1), ..., i(k) sind,
    wobei der Schritt für die Generierung der integrierten digitalen Signatur enthält:
    einen Schritt zur Überprüfung der Signatur, um einen Signaturüberprüfungsprozess für die integrierte digitale Signatur S(I (i), M) für alle i = 1, ..., m durchzuführen und zu bestimmen, ob die integrierte digitale Signatur S(I (i), M) eine korrekte digitale Signatur für H(M) ist;
    einen Schritt zur Bestimmung der Existenz einer inkorrekten digitalen Teilsignatur, um zu bestimmen, dass keine inkorrekte digitale Teilsignatur in den digitalen Teilsignaturen S(i, M) (i = 1, ..., m) vorliegt, wenn S(I(i), M) als korrekte digitale Signatur für H(M) für alle i = 1, ..., m bestimmt wird, und um zu bestimmen, dass mindestens eine inkorrekte digitale Signatur existiert, wenn mindestens ein S(I(i), M) (i = 1, ..., m) als inkorrekt bestimmt wird;
    ein Schritt zur Angabe einer inkorrekten digitalen Teilsignatur, der ausgeführt wird, wenn bestimmt wird, dass mindestens eine inkorrekte digitale Teilsignatur existiert, um zu bestimmen, ob eine Menge F von i = 1, ..., m mit einer Menge F(j) (j ist ein Element aus 1, ..., m) übereinstimmt, wobei die Menge F als Menge von i = 1, ..., m dergestalt definiert ist, dass S(I(i), M) für H(M) inkorrekt ist, und wobei die Menge F(j) die Menge von i = 1, ..., m ist, durch die die Zahlenmenge I(i) j enthält, und um zu bestimmen, dass die Anzahl der inkorrekten digitalen Teilsignaturen nur eins ist, wenn es nur ein j gibt, in dem F mit der Menge F(j) übereinstimmt, und um zu bestimmen, falls dies nicht der Fall ist, dass die Anzahl der inkorrekten digitalen Teilsignaturen gleich oder größer 2 ist, und weiterhin, wenn bestimmt wird, dass die Anzahl der inkorrekten digitalen Teilsignaturen nur eins ist, das eine j zu bestimmen, in dem F mit F(j) übereinstimmt, um so anzugeben, dass die eine inkorrekte digitale Teilsignatur S(j, M) ist; und
    das Verfahren für die Generierung einer verteilten digitalen Signatur weiterhin einen Ergebnisausgabeschritt umfasst:
    wenn bestimmt wird, dass keine inkorrekte digitale Teilsignatur existiert, wird ein Bestimmungsergebnis ausgegeben, das angibt, dass keine inkorrekte digitale Teilsignatur existiert und die integrierte digitale Signatur im Signaturüberprüfungsschritt als korrekt bestimmt wird;
    wenn bestimmt wird, dass nur eine inkorrekte digitale Teilsignatur existiert, wird ein Bestimmungsergebnis ausgegeben, das angibt, dass nur eine inkorrekte digitale Teilsignatur existiert, sowie die Informationen zur Identifizierung der einen inkorrekten digitalen Teilsignatur und die integrierte digitale Signatur, die im Signaturüberprüfungsschritt als korrekt bestimmt wurde;
    wenn bestimmt wird, dass die Anzahl der inkorrekten digitalen Teilsignaturen gleich oder größer 2 ist, wird ein Bestimmungsergebnis ausgegeben, das angibt, dass die Anzahl der inkorrekten digitalen Teilsignaturen gleich oder größer 2 ist.
  • Darüber hinaus können die obigen Gegenstände auch durch eine Vorrichtung, ein Programm oder ein von einem Rechner lesbares Medium verwirklicht werden, das ein Programm speichert, das für die Ausführung des Verfahrens gemäß den Ansprüchen 3, 5, und 6 angepasst ist.
  • Kurzbeschreibung der Zeichnungen
  • Weitere Gegenstände, Funktionen und Vorteile der vorliegenden Erfindung werden durch die Lektüre der folgenden detaillierten Beschreibung in Verbindung mit den begleitenden Zeichnungen deutlich, wobei:
  • 1 eine Erklärung des Prinzips der vorliegenden Erfindung darstellt;
  • 2 ein Blockdiagramm einer Vorrichtung für die Generierung einer verteilten digitalen Signatur (erstes Beispiel) darstellt, wobei ein Grenzwert der Teilsignaturen verwendet wird;
  • 3 ein Blockdiagramm einer Vorrichtung für die Generierung einer verteilten digitalen Signatur (zweites Beispiel) darstellt, wobei ein Grenzwert der Teilsignaturen verwendet wird;
  • 4 ein Blockdiagramm einer Vorrichtung für die Generierung einer verteilten digitalen Signatur (drittes Beispiel) darstellt, wobei ein Grenzwert der Teilsignaturen verwendet wird;
  • 5 ein Ablaufdiagramm der Vorgehensweise für die Berechnung der Transformationszahl für die digitalen Teilsignaturen darstellt, die die zeitliche Komplexität gemäß einem Beispiel der vorliegenden Erfindung minimiert;
  • 6 die Erklärung eines Verfahrens zur Ermittlung einer inkorrekten digitalen Teilsignatur durch die Verwendung von Kombinationen von digitalen Teilsignaturen gemäß einem Beispiel der vorliegenden Erfindung darstellt;
  • 7 ein Flussdiagramm einer Vorgehensweise zur Beurteilung der Existenz einer inkorrekten digitalen Teilsignatur durch die Verwendung von Kombinationen von digitalen Teilsignaturen gemäß einem Beispiel der vorliegenden Erfindung darstellt;
  • 8 ein Flussdiagramm einer Vorgehensweise zur Beurteilung darstellt, ob die Anzahl der inkorrekten digitalen Teilsignaturen nur eins ist, und um die inkorrekte digitale Teilsignatur zu bestimmen;
  • 9 ist ein Blockdiagramm mit einer Vorrichtung für die Generierung eines digital signierten digitalen Dokuments, wobei eine Kombination des Grenzwerts der Teilsignaturen (erstes Beispiel) gemäß eines Beispiels der vorliegenden Erfindung verwendet wird;
  • 10 ist ein Blockdiagramm mit einer Vorrichtung für die Generierung eines digital signierten digitalen Dokuments, das eine Kombination des Grenzwerts der Teilsignaturen (zweites Beispiel) gemäß eines Beispiels der vorliegenden Erfindung verwendet;
  • 11 ist ein Blockdiagramm mit einer Vorrichtung für die Generierung eines digital signierten digitalen Dokuments, das eine Kombination des Grenzwerts der Teilsignaturen (drittes Beispiel) gemäß eines Beispiels der vorliegenden Erfindung verwendet;
  • 12 ist eine Tabelle, die die Abnahme der zeitlichen Komplexität durch die Optimierung zeigt, wenn die integrierte digitale Signatur aus den digitalen Teilsignaturen generiert wird; und
  • 13 und 14 sind Tabellen, die die Abnahme der zeitlichen Komplexität für die Überprüfung von Teilsignaturen zeigen.
  • Detaillierte Beschreibung der bevorzugten Ausführungsfformen
  • 1 zeigt das Prinzip der vorliegenden Erfindung. Gemäß dem Verfahren für die Generierung einer verteilten digitalen Signatur der vorliegenden Erfindung generieren in Schritt 1 alle Generierungsteile für digitale Teilsignaturen einen Teilsignaturschlüssel durch die Kommunikation untereinander, ohne die Verwendung einer vertrauenswürdigen Instanz. Dann generiert in Schritt 2 jeder der Generierungsteile für digitale Teilsignaturen eine digitale Teilsignatur unter Verwendung des Teilsignaturschlüssels für den Hash-Wert eines digitalen Eingabedokuments. In Schritt 3 gibt jeder der Generierungsteile für digitale Teilsignaturen die digitale Teilsignatur oder ein Paar aus digitalem Dokument und digitaler Teilsignatur aus. Danach wird eine vorab festgelegte Anzahl von digitalen Teilsignaturen, die von den digitalen Teilsignaturteilen generiert wurden, kombiniert, wobei die vorab festgelegte Anzahl den Grenzwert bildet, und ein Transformationsprozess wird für jede der vorab festgelegten Anzahl an digitalen Teilsignaturen gemäß der vorab festgelegten Anzahl der zu kombinierenden digitalen Teilsignaturen durchgeführt. Eine integrierte digitale Signatur wird in Schritt 4 aus dem Ergebnis des Transformationsprozesses generiert.
  • In der vorliegenden Erfindung werden drei Vorrichtungen für die Generierung einer mit einem Grenzwert verteilten digitalen Signatur vorgeschlagen und in 24 dargestellt.
  • 2 zeigt ein Blockdiagramm der Vorrichtung für die Generierung der mit einem Grenzwert verteilten digitalen Signatur (erstes Beispiel).
  • Wie in der Abbildung dargestellt, enthält die Vorrichtung 1 für die Generierung der verteilten digitalen Signatur eine bestimmte Anzahl an Generierungsteilen für digitale Teilsignaturen 13 und einen Generierungsteil für eine integrierte digitale Signatur 14.
  • Die Generierungsteile für digitale Teilsignaturen 13 generieren unabhängig von einander digitale Teilsignaturen S1(M), ..., Sr(M) für ein digitales Eingabedokument M.
  • Der Generierungsteil für eine integrierte digitale Signatur 14 empfängt m digitale Teilsignaturen Sr(1)(M), ..., Sr(m)(M), (k ≤ m ≤ r und 1 ≤ r(1), ..., r(m) ≤ r), die von der Vielzahl der Generierungsteile für digitale Teilsignaturen 13 auf unabhängige Weise generiert werden, und das digitale Dokument M. Dann generiert der Generierungsteil für eine integrierte digitale Signatur 14 eine oder mehrere integrierte digitale Signaturen S(M, I1), ..., S(M, Is) aus den ausgegebenen digitalen Teilsignaturen für s Mengen I1, ..., Is, wobei jede aus Identifikationskennungen von k Generierungsteilen für digitale Teilsignaturen 13 besteht, wobei s größer oder gleich 1 und k der vorab festgelegte Grenzwert ist.
  • 3 zeigt ein Blockdiagramm der Vorrichtung für die Generierung der mit einem Grenzwert verteilten digitalen Signatur der vorliegenden Erfindung (zweites Beispiel).
  • Die Gestaltung der Vorrichtung für die Generierung der digitalen Signatur 1 in 3 ist dieselbe wie die in 2 dargestellte. Die Generierungsteile für digitale Teilsignaturen 13 generieren von einander unabhängig Paare aus digitalem Dokument und der digitalen Teilsignatur (M, S1(M), ..., (M, Sr(M)) für das digitale Eingabedokument M.
  • Der Generierungsteil für eine integrierte digitale Signatur 14 empfängt m Paare (M, Sr(1)(M)), ..., (M, Sr(m)(M)) des digitalen Dokuments M und der digitalen Teilsignaturen, die durch die Generierungsteile für digitale Teilsignaturen 13 in unabhängiger Weise generiert werden, (M, Sr(1)(M)), ..., (M, Sr(m)(M)), (k ≤ m ≤ r und 1 ≤ r(1), ..., r(m) ≤ r). Dann generiert der Generierungsteil für eine integrierte digitale Signatur 14 eine oder mehrere integrierte digitale Signaturen S(M, I1 ..., S(M, Is) aus den ausgegebenen digitalen Teilsignaturen für s Mengen I1, ..., Is, wobei jede aus den Identifikationskennungen von k Generierungsteilen für digitale Teilsignaturen 13 besteht, wobei s größer oder gleich 1 und k der vorab festgelegte Grenzwert ist.
  • 4 zeigt ein Blockdiagramm der Vorrichtung für die Generierung der mit einem Grenzwert verteilten digitalen Signatur der vorliegenden Erfindung (drittes Beispiel). Wie in der Abbildung dargestellt, enthält die Vorrichtung für die Generierung der verteilten digitalen Signatur 1 eine bestimmte Anzahl an Kombinationsteilen von Zusatzinformationen 12, eine bestimmte Anzahl an Generierungsteilen für digitale Teilsignaturen 13 und einen Generierungsteil für eine integrierte digitale Signatur 14.
  • Jeder der Kombinationsteile von Zusatzinformationen 12 (die Kombinationsteile von Zusatzinformationen 12.i) generiert in unabhängiger Weise ν(i) Elemente von Zusatzinformationen α(i, 1), ..., α(i, ν(i)) für das digitale Eingabedokument M, wobei ν(i) eine Zahl größer oder gleich 1 ist, und es werden digitale Dokumente mit den Zusatzinformationen M || α(i, 1), ..., M || α(i, ν (i)) generiert, die durch die Kombination der Zusatzinformationen α(i, 1), ..., α(i, ν(i)) und dem digitalen Dokument M generiert werden. Die Generierungsteile für digitale Teilsignaturen 13i (1 ≤ i ≤ r) entsprechen jeweils den Kombinationsteilen von Zusatzinformationen 12.1, ..., 12.r. Jedes der Generierungsteile einer digitalen Signatur (der Generierungsteil der digitalen Signatur 13.i) generiert Paare aus dem digitalen Dokument mit den Zusatzinformationen und der digitalen Teilsignatur (M || α(i, 1), Si(M || α(i, 1))), ..., (M || α(i, ν(i)), Si(M || α(i, ν(i)))) für das digitale Dokument mit Zusatzinformationen, die von dem entsprechenden Kombinationsteil von Zusatzinformationen 12.i generiert wurden.
  • Der Generierungsteil der integrierten digitalen Signatur 14 wählt m Paare des digitalen Dokuments mit Zusatzinformationen M || α(i, h(i)) und der digitalen Teilsignatur (M', Sr(1)(M')), ..., (M', Sr(m), (M')) aus, wobei k ≤ m ≤ r und 1 ≤ r(1), ..., r(m) ≤ r und M' ∊ {M || α(r(i), 1), ..., M || α(r(i), ν(i))} (1 ≤ i ≤ m) gelten. Darüber hinaus wählt der Generierungsteil der integrierten digitalen Signatur 14 s Mengen I1, ..., Is ⊆ {r(1), ..., r(m)} aus, von denen jede aus Identifikationskennungen von k Generierungsteilen digitaler Teilsignaturen 13 besteht, und generiert s integrierte digitale Signaturen S (M', I1), ..., S(M', Is), wobei k der vorab festgelegte Grenzwert und s größer oder gleich 1 ist.
  • Die Zusatzinformationen, die durch den Kombinationsteil von Zusatzinformationen 12 kombiniert werden, können Identifizierungsinformationen des digitalen Signaturgenerierungssystems sein, die Bedingung für die Gültigkeit der digitalen Signatur, der Zeitpunkt der Generierung der digitalen Signatur oder eine Kombination daraus.
  • (Beispiele)
  • Im Folgenden werden Beispiele der vorliegenden Erfindung mit Bezugnahme auf die Darstellungen beschrieben.
  • Im Folgenden wird anhand von 2, 3 und 4 ein Beispiel für die Generierung einer digitalen Signatur beschrieben. In diesem Beispiel wird RSA als Beispiel eines Public Key-Verschlüsselungssystems verwendet. RSA wird beispielsweise in R.L. Rivest, A. Shamir und L. Adleman "A method for obtaining digital signature and public key cryptosystems", Communications of ACM, Vol. 21, S.120–126, 1978 beschrieben.
  • Zuerst wird eine Vorgehensweise für die Vorbereitung zwischen den Generierungsteilen für digitale Teilsignaturen zur Generierung digitaler Teilsignaturen beschrieben.
  • Es wird davon ausgegangen, dass N ein Produkt von zwei Primzahlen ist, die hinreichend groß sind, ϕ(N) die Anzahl der Ganzzahlen i ist, die zu N teilerfremd sind, mit 0 ≤ i < N. Dann wird davon ausgegangen, dass e eine Ganzzahl ist, die keinen Faktor kleiner als die Zahl r der Generierungsteile für digitale Teilsignaturen 13 besitzt und die zu ϕ(N) teilerfremd ist. Es wird davon ausgegangen, dass das Paar von N und e(N, e) der Public Key ist.
  • Eine Menge von Ganzzahlen d1, ..., dr, die e·(d1 + ...dr) ≡ 1 mod ϕ(N) erfüllt, wird unter Verwendung eines Verfahren generiert, das vorgeschlagen wurde in D. Boneh et al.: Efficient generation of shared RSA key (extended abstract), in "Proceedings Crypto'97 (Springer, 1997), dergestalt dass, jeder Generierungsteil einer digitalen Teilsignatur 13 (für jedes i = 1, ..., r) di aufweist.
  • Hier wird d = (d1 + ...dr) der geheime Schlüssel, der dem Public Key (N, e) entspricht. Jeder Generierungsteil einer digitalen Teilsignatur 13i, der in 2, 3, 4 dargestellt wird, kennt nur di, und jeder andere Generierungsteil einer digitalen Teilsignatur 13 kennt es nicht. Darüber hinaus kennt der Generierungsteil für eine integrierte Signatur 14 d nicht.
  • Jeder Generierungsteil einer digitalen Teilsignatur 13i wählt k Ganzzahlkoeffizienten ai,0 = di, ai,1, ..., ai,k-1, die hinreichend groß sind, wobei k die Mindestzahl der Teilsignaturen ist, die für die Generierung der verteilten Signatur erforderlich ist, das heißt, k ist der Grenzwert und ein polynominales fi(x) wird definiert als fi(x) = a1,0 + ai,1·x ... + ai,k-1·xk-1 (1 ≤ i ≤ r).
  • Der Generierungsteil einer digitalen Teilsignatur 13i berechnet fi(j) für jede Ganzzahl j, die 1 ≤ j ≤ r und j ≠ i erfüllt, und sendet fi(j) an einen Generierungsteil einer digitalen Teilsignatur 13j und berechnet fi(i).
  • Der Generierungsteil einer digitalen Teilsignatur 13i berechnet die Summe von fj(i), die von den anderen Generierungsteilen für digitale Teilsignaturen gesendet wird (Generierungsteil einer digitalen Teilsignatur 13j) (j ≠ i und i ≤ j ≤ r), und das von ihm selbst berechnete fi(i), und legt die Summe als D(i) fest, das heißt,
    Figure 00160001
    D(i) wird als Teilsignaturschlüssel des Generierungsteils für digitale Teilsignaturen 13i bezeichnet.
  • Als Nächstes wird eine Vorgehensweise für die Generierung einer digitalen Teilsignatur in jedem Generierungsteil einer digitalen Teilsignatur 13 beschrieben.
  • In der Gestaltung in 2 und 3 berechnet jeder Generierungsteil 13i Si(M) = H(M)D(i) mod N(1 ≤ i ≤ r) für das digitale Eingabedokument M mit Hilfe einer passenden Hash-Funktion (zum Beispiel SHA-1 und MD5), deren Bereich eingeschlossen ist in {0,1, ..., N – 1}. Si(M) wird als digitale Teilsignatur für M definiert.
  • Jeder in 4 dargestellte Generierungsteil einer digitalen Teilsignatur 13i berechnet Si(M || α(i, j)) = H(M || α(i, j))D(i) mod N für das digitale Dokument M || α(i, j) mit der Ausgabe von Zusatzinformationen aus dem Kombinationsteil von Zusatzinformationen 12 mit Hilfe einer passenden Hash-Funktion (zum Beispiel SHA-1 und MD5), deren Bereich in {0, 1, ..., N – 1} eingeschlossen ist, und definiert Si(M) als digitale Teilsignatur für M || α(i, j) (1 ≤ i ≤ r).
  • Als Nächstes wird eine Vorgehensweise für die Generierung einer integrierten digitalen Signatur im Generierungsteil für eine integrierte digitale Signatur 14 beschrieben.
  • M wird als ein digitales Dokument bezeichnet, das mit der digitalen Signatur Si(M) signiert wird, die von dem Generierungsteil einer digitalen Teilsignatur 13i generiert wird, wie in 2 und 3 dargestellt. Für die digitale Teilsignatur Si(M || α(i, j)), die durch den Generierungsteil einer digitalen Teilsignatur 13i, generiert wird, wie in 4 gezeigt, wird das digitale Dokument mit den Zusatzinformationen M || α(i, j) als digitales Dokument bezeichnet, das mit der digitalen Teilsignatur signiert wird.
  • Wird davon ausgegangen, dass 1 ≤ r(1), ..., r(k) ≤ r und r(1), ... r(k) verschieden sind und Sr(1)(M'), ..., Sr(k)(M') eine Grenzwertmenge von digitalen Teilsignaturen dergestalt sind, dass das zu signierende digitale Dokument mit M' für jede digitale Teilsignatur zusammenfällt, so lautet die Vorgehensweise für die Generierung der integrierten digitalen Signatur S(M', I) auf der Basis der digitalen Teilsignaturen Sr(1)(M'), ..., Sr(k)(M') durch den Generierungsteil für die integrierte digitale Signatur 14 wie folgt. Wenn man für jedes i ∊ I
    Figure 00170001
    wird eine positive Ganzzahl Δ(I) dergestalt ausgewählt, dass Δ(I) und e teilerfremd sind und Δ(I)·λ(I, i) für jedes i ∊ 1 eine Ganzzahl wird. Im Folgenden wird Δ(I) als Transformationszahl der digitalen Teilsignaturen für I bezeichnet. Obwohl die Transformationszahl als ((r – 1)!)2 unabhängig von I gewählt werden kann, wie beispielsweise in S. Miyazaki, K. Sakurai, M. Yung "On threshold RSA-signing with no dealer" in Proceedings of ICISC799, S.197–207, Springer, 1999, vorgeschlagen, kann eine andere Zahl dergestalt gewählt werden, dass die zeitliche Komplexität für die Generierung der integrierten digitalen Signatur gering wird, wie im Folgenden beschrieben.
  • Für jedes a ∊ I wird Λ(I, i) = Δ(I)·λ(I, i) berechnet. Dann wird die Transformationsverarbeitung für die digitale Teilsignatur durchgeführt, indem Sr(i)(M') mit Λ(I, i) mod N potenziert wird und Tr(i)(M') das Ergebnis bildet. Das heißt, Tr(i)(M') = Sr(I)(M')Λ(I,i) mod N.
  • Dann werden Tr(1)(M'), ..., Tr(k)(M') multipliziert und
    Figure 00180001
    mod N berechnet. Da A(I) und e teilerfremd sind, können die Ganzzahlen a(I) und b(I), die Δ(I)·a(I) + e·b(I) = 1 erfüllen, mit dem erweiterten euklidischen Algorithmus berechnet werden. Dann wird mit a(I), b(I), w(I) S(M', I) = w(I)a(i)·H(M')b(j) mod N als integrierte digitale Signatur für das digitale Dokument berechnet, das als M' signiert wird.
  • 5 stellt ein Ablaufdiagramm der Vorgehensweise für die Berechnung der Transformationszahl für die digitalen Teilsignaturen dar, die die zeitliche Komplexität gemäß einem Beispiel der vorliegenden Erfindung minimiert;
    Bei der Generierung der integrierten digitalen Signatur aus der digitalen Teilsignatur ist es erforderlich, eine Transformationszahl Δ(I) für jede Menge I = {r(I), ..., r(k)} einschließlich des Grenzwerts der Identifikationskennungen der Generierungsteile für digitale Teilsignaturen 13 dergestalt auszuwählen, dass die positiven Ganzzahlen Δ(I) und e teilerfremd sind und Δ(I)·λ(I, i) für jedes i ∊ I eine Ganzzahl wird. Für die Transformationszahl Δ(I) schlagen S. Miyazaki et al. in "On threshold RSA-signing with no dealer" in Proceedings of ICISC'99, LNCS Vol.1787, S. 197–207, Springer, 1999, ((r – 1)!)2 unabhängig von I vor, wobei r die Gesamtzahl der Generierungsteile für Teilsignaturen ist. 5 zeigt eine Vorgehensweise für die Berechnung der Transformationszahl, die in dem Sinne optimal ist, dass die zeitliche Komplexität für die Generierung der integrierten digitalen Signatur aus der digitalen Teilsignatur am kleinsten wird, gemäß der Menge I der Identifikationskennungen der Generierungsteile für digitale Teilsignaturen 13.
  • Angenommen, die Menge I = {r(1), ..., r(k)} der Identifikationskennungen des Grenzwerts der Generierungsteile für digitale Teilsignaturen 13 ist gegeben, so wird in Schrtt 41
    Figure 00180002
    für jedes i ∊ I berechnet.
  • Dann wird in Schritt 42 λ(I, i) für jedes i ∊ I gekürzt, und ein Absolutwert des Nenners des Ergebnisses wird als δ(I, i) dargestellt, das heißt, δ(I, i) wird dergestalt bestimmt, dass
    Figure 00190001
    wobei δ(I, i) > 0 und γ(I, i) und δ(I, i) teilerfremd sind.
  • In Schritt 43 wird das kleinste gemeinsame Vielfache Δ(I) von δ(I, r(1)), ..., δ(I, r(k)) berechnet.
  • Auf diese Weise wird die Transformationszahl Δ(I) der digitalen Teilsignatur für I erhalten. Δ(I) ist in dem Sinne optimal, dass die zeitliche Komplexität bei der Generierung der integrierten digitalen Signatur aus den digitalen Teilsignaturen durch Verwendung von Δ(I) am geringsten ist.
  • In S. Miyazaki et al. "On threshold RSA-signing with no dealer" in Proceedings of ICISC'99, LNCS Vol.1787, S. 197–207, Springer,1999, wird vorgeschlagen, ((r – 1)!)^2 als Δ(I) zu verwenden, wobei r die Gesamtzahl der digitalen Teilsignaturteile ist. Verglichen mit dem Verfahren der Verwendung von ((r – 1)!)2 als Δ(I) kann berechnet werden, dass die zeitliche Komplexität bei der Generierung der integrierten digitalen Signatur aus den digitalen Teilsignaturen auf etwa 1/6 der Zeit des herkömmlichen Verfahrens abnimmt, wenn der Grenzwert k zwischen 3 und 10 liegt und die Zahl r der Generierungsteile der Teilsignaturen 13 zwischen 5 und 19 liegt.
  • Als Nächstes wird eine Vorgehensweise für die Beurteilung der Existenz einer inkorrekten digitalen Teilsignatur beschrieben.
  • 6 ist die Erklärung eines Verfahrens zur Ermittlung einer inkorrekten digitalen Teilsignatur durch die Verwendung von Kombinationen von digitalen Teilsignaturen gemäß eines Beispiels der vorliegenden Erfindung. 7 zeigt ein Flussdiagramm eines Verfahrens zur Beurteilung der Existenz einer inkorrekten digitalen Teilsignatur durch die Verwendung von Kombinationen von digitalen Teilsignaturen gemäß eines Beispiels der vorliegenden Erfindung. 8 ist ein Flussdiagramm einer Vergehensweise für die Beurteilung, ob die Anzahl der inkorrekten digitalen Teilsignaturen nur eins ist, und um die inkorrekte digitale Teilsignatur zu bestimmen.
  • Durch Verwendung dieser Darstellungen wird die Vorgehensweise für die Beurteilung der Existenz einer inkorrekten digitalen Signatur, die von einem inkorrekten digitalen Signaturschlüssel generiert wird, und die Bestimmung der inkorrekten Teilsignatur beschrieben. Hierbei führt der Generierungsteil einer integrierten digitalen Signatur 14 die Signaturüberprüfung aus, indem der Grenzwert der Teilsignaturen in der Vorrichtung für die Generierung einer mit einem Grenzwert verteilten digitalen Signatur kombiniert wird, wie in 2, 3 und 4 dargestellt.
  • Angenommen, k ist der Grenzwert, der für die Generierung einer integrierten digitalen Signatur aus digitalen Teilsignaturen erforderlich ist, so kann der Generierungsteil für eine integrierte digitale Signatur 14, der in 2, 3 und 4 dargestellt wird, eine integrierte digitale Signatur S(M', I) aus k digitalen Teilsignaturen Sr(1)(M'), ..., Sr(k)(M') generieren, wobei jede von einem anderen Generierungsteil für Teilsignaturen 13 ausgegeben wird und jede dasselbe Dokument signiert, wobei r(1), ..., r(k) und 1 ≤ r(1), ..., r(k) ≤ r verschieden sind und M' das von Sr(k)(M') zu unterzeichnende digitale Dokument und I = {r(1), ..., r(k)} ist.
  • Für verschiedene Arten von Kombinationen, die jeweils k digitale Teilsignaturen enthalten, beurteilt der Generierungsteil für eine integrierte digitale Signatur 14, ob die generierte S(M', I) eine korrekte Signatur des zu unterzeichnenden digitalen Dokuments M' ist, indem überprüft wird, ob die Entschlüsselung von S(M', I) mit Hilfe des Public Keys (e, N) mit dem Hash-Wert H(M') des zu signierenden digitalen Dokuments übereinstimmt. Damit kann beurteilt werden, ob S(M', I) eine korrekte digitale Signatur für das anfangs bereitgestellte digitale Dokument ist.
  • Wie bereits in der Gestaltung in 2 und 3 beschrieben, ist das zu signierende digitale Dokument M' der digitalen Signatur S(M', I) das digitale Dokument M, das keine Zusatzinformationen enthält. In der Gestaltung in 4 ist das zu signierende digitale Dokument M' der digitalen Signatur S(M',I) das digitale Dokument M || α, das die Zusatzinformationen α enthält.
  • In der Gestaltung von 2 wird das zu signierende digitale Dokument M' zu Beginn in den Generierungsteil für eine integrierte digitale Signatur eingegeben. In der Gestaltung von 3 und 4, wird das zu signierende digitale Dokument M' durch die Generierungsteile für digitale Teilsignaturen 13i (1 ≤ i ≤ r) in den Generierungsteil für eine integrierte digitale Signatur 14 mit der digitalen Teilsignatur Si(M') ausgegeben, wie in 3 und 4 dargestellt.
  • Im Folgenden wird in Bezug auf 7 eine Vorgehensweise für die Beurteilung beschrieben, ob eine inkorrekte Teilsignatur in der Menge der digitalen Teilsignaturen Sr(1) (M'), ..., Sr(m)(M') existiert, deren zu signierendes digitales Dokument M' ist und die von den Generierungsteilen für digitale Teilsignaturen 13, die in 2, 3 und 4 dargestellt werden, gesendet werden. Hierbei wird diese Vorgehensweise angewendet, wenn korrekte Teilsignaturen vorliegen, deren Anzahl mindestens k – 1 ist, wobei k der Grenzwert ist, der für die Generierung einer integrierten Signatur erforderlich ist. Bei dieser Vorgehensweise wird davon ausgegangen, dass r(1), ..., r(m) verschieden sind und k + 1 ≤ m ≤ r gilt. Man geht deswegen davon aus, dass m nicht gleich r ist, da die Möglichkeit besteht, dass ein Teil der Generierungsteile für digitale Teilsignaturen nicht korrekt arbeitet und keine digitalen Teilsignaturen sendet.
  • Wie in 6 gezeigt, werden m Teilmengen I(0), ..., I(m – 1) von {r(1), ..., r(m)} dergestalt ausgewählt, dass in Schritt 61 jedes I(i) aus k Elementen und I(i) = {r(((j + i) mod m) + 1) | 0 ≤ j ≤ k – 1} (i = 0, ..., m – 1) besteht.
  • Die integrierte digitale Signatur S(M', I(i)) wird aus (Sr(j)(M')|r(j) ∊ I(i)} für alle I(i) (i = 0, ..., m – 1) in Schritt 62 generiert.
  • Dann wird geprüft, ob die Entschlüsselung S(M', I(i))e mod N der integrierten digitalen Signatur durch den Public Key (e, N) mit H(M') für jedes I(i) (i = 0, ..., m – 1) in Schritt 63 übereinstimmt.
  • Es wird in Schritt 63 überprüft, ob S(M', I(i))e mod N = H(M') für alle I(i) (i = 0, ..., m – 1) gilt. Es wird beurteilt, ob keine inkorrekte Teilsignatur in Sr(1)(M'), ..., Sr(m)(M') vorliegt. Es besteht die Möglichkeit, dass mehr als eine inkorrekte digitale Signatur in m digitalen Teilsignaturen Sr(i)(M'), ..., Sr(m)(M') vorhanden sind und die inkorrekten digitalen Signaturen ihre inkorrekten Wirkungen aufheben, indem sie so zusammenarbeiten, dass die integrierte digitale Signatur S(M', I(i)), die aus Sr(M') (r ∊ I(i)) für alle I(i) (0 ≤ i ≤ m – 1) generiert wird, eine korrekte Signatur wird. Es kann jedoch durch einen Test mit Hilfe eines Rechners überprüft werden, dass solch ein Fall nicht eintritt, wenn k + 1 ≤ r ≤ 2·k – 1 und 3 ≤ k ≤ 10 gilt.
  • Als Nächstes wird eine Vorgehensweise für die Bestimmung beschrieben, ob die Anzahl der inkorrekten digitalen Teilsignaturen nur eins ist und um diese einzige inkorrekte digitale Teilsignatur zu bestimmen.
  • Wenn es gemäß der in 8 dargestellten Vorgehensweise korrekte Teilsignaturen gibt, deren Zahl mindest der Grenzwert k in m digitalen Teilsignaturen Sr(1)(M'), ..., Sr(m)(M') ist und wenn mit Hilfe der Vorgehensweise in 7 beurteilt wird, dass es eine inkorrekte digitale Signatur in Sr(1)(M'), ..., Sr(m)(M') gibt, so wird beurteilt, ob die Anzahl der inkorrekten digitalen Teilsignaturen nur eins ist. Wenn die Zahl der inkorrekten digitalen Teilsignaturen nur eins ist, wird die inkorrekte digitale Teilsignatur bestimmt.
  • Schritt 71 bestimmt die Menge F von i (0 ≤ i ≤ m – 1), für die S(M', I(i))e mod N = H (M') nicht gilt. Diese Beurteilung wird auch in Schritt 63 in 7 durchgeführt. Dieser Schritt kann daher gleichzeitig mit Ausführung der Vorgehensweise von 7 durchgeführt werden.
  • In Schritt 72 wird F(i) als {j | 0 ≤ j ≤ m – 1 und r(i) ∊ (j) für jedes i mit 0 ≤ i ≤ m – 1 bestimmt.
  • Wenn es in Schritt 73 ein i dergestalt gibt, dass 0 ≤ i ≤ m – 1 und F = F(i) wahr sind, dann wird bestimmt, dass Sr(i)(M') die einzige inkorrekte Teilsignatur ist. Andernfalls wird beurteilt, dass zwei oder mehr inkorrekte Teilsignaturen in Sr(1)(M), ..., Sr(m)(M) bestehen.
  • Gibt es ein j (0 ≤ j ≤ m – 1), für das F = F(j) gilt, dann ist die Zahl von j maximal 1.
  • Es besteht die Möglichkeit, dass mehr als eine inkorrekte digitale Signatur in den m digitalen Teilsignaturen Sr(1)(M'), ..., Sr(m)(M') vorhanden ist, und dass deren inkorrekte digitale Signaturen die inkorrekten Wirkungen aufheben, indem sie zusammenarbeiten, so dass in Schritt 74 F = F(i) wahr ist für ein i (1 ≤ i ≤ m). Es kann jedoch durch einen Test mit Hilfe eines Rechners überprüft werden, dass solch ein Fall nicht eintritt, wenn k + 1 ≤ r ≤ 2·k – 1 und 3 ≤ k ≤ 10 gilt.
  • Im Folgenden wird die Auswertung der zeitlichen Komplexität der oben beschriebenen Vorgehensweisen dargestellt.
  • In der folgenden Auswertung wird davon ausgegangen, dass k die Anzahl der digitalen Teilsignaturen ist, die für die Generierung einer integrierten digitalen Signatur erforderlich sind, das heißt, k ist der Grenzwert, r ist die Anzahl der Generierungsteile für digitale Teilsignaturen mit 3 ≤ k ≤ 10 und r = 2·k – 1 für jedes k.
  • Beträgt die Länge des Schlüssels 2048 Bit und verwendet man die Anzahl der Multiplikationen mod N zur Auswertung der zeitlichen Komplexität für die Beurteilung, ob eine inkorrekte digitale Teilsignatur vorliegt und zur Entscheidung, ob die Anzahl der inkorrekten digitalen Teilsignaturen nur eins ist und zur Bestimmung, der einzigen digitalen Teilsignatur, so beträgt die zeitliche Komplexität das 0,12-fache der zeitlichen Komplexität der Generierung einer Teilsignatur, wenn k = 3 ist; die zeitliche Komplexität beträgt das 0,20-fache der zeitlichen Komplexität der Generierung einer Teilsignatur, wenn k = 4 ist; die zeitliche Komplexität beträgt das 0,32-fache der zeitlichen Komplexität der Generierung einer Teilsignatur, wenn k = 5 ist; die zeitliche Komplexität beträgt das 0,49-fache der zeitlichen Komplexität der Generierung einer Teilsignatur, wenn k = 6 ist; die zeitliche Komplexität beträgt das 0,75-fache der zeitlichen Komplexität der Generierung einer Teilsignatur, wenn k = 7 ist; die zeitliche Komplexität beträgt das 1,0-fache der zeitlichen Komplexität der Generierung einer Teilsignatur, wenn k = 8 ist; die zeitliche Komplexität beträgt das 1,50-fache der zeitlichen Komplexität der Generierung einer Teilsignatur, wenn k = 9 ist; die zeitliche Komplexität beträgt das 2,1-fache der zeitlichen Komplexität der Generierung einer Teilsignatur, wenn k = 10 ist.
  • In den herkömmlichen Überprüfungsverfahren, die in T. Wu et al. "Building intrusion tolerant applications", in Proceedings of 8th USENIX Security Symposium, USENIX, 1999 und in S.Miyazaki et al. "On threshold RSA-signing with no dealer" in Proceedings of ICISC'99, LNCS Vol. 1787, S. 197–207, Springer, 1999, offen gelegt wurden, ist die zeitliche Komplexität viermal so groß wie die der Generierung einer Teilsignatur, da der Generierungsteil der digitalen Teilsignatur zusätzlich zur digitalen Teilsignatur Daten zur Überprüfung der Gültigkeit einer Teilsignatur generiert, die Daten an den Generierungsteil für eine integrierte digitale Signatur sendet und der integrierte digitale Signaturteil die Gültigkeit jeder digitalen Teilsignatur überprüft. Um daher die Gültigkeit jeder Teilsignatur zu überprüfen, die von jedem Generierungsteil einer digitalen Teilsignatur gesendet wird, wird die zeitliche Komplexität gleich oder größer als das 20-fache der zeitlichen Komplexität der Generierung einer Teilsignatur, wenn k = 3 ist; die zeitliche Komplexität wird gleich oder größer als das 28-fache der zeitlichen Komplexität der Generierung einer Teilsignatur, wenn k = 4 ist; die zeitliche Komplexität wird gleich oder größer als das 36-fache der zeitlichen Komplexität der Generierung einer Teilsignatur, wenn k = 5 ist; die zeitliche Komplexität wird gleich oder größer als das 44-fache der zeitlichen Komplexität der Generierung einer Teilsignatur, wenn k = 6 ist; die zeitliche Komplexität wird gleich oder größer als das 52-fache der zeitlichen Komplexität der Generierung einer Teilsignatur, wenn k = 7 ist; die zeitliche Komplexität wird gleich oder größer als das 60-fache der zeitlichen Komplexität der Generierung einer Teilsignatur, wenn k = 8 ist; die zeitliche Komplexität wird gleich oder größer als das 68-fache der zeitlichen Komplexität der Generierung einer Teilsignatur, wenn k = 9 ist; die zeitliche Komplexität wird gleich oder größer als das 76-fache der zeitlichen Komplexität der Generierung einer Teilsignatur, wenn k = 10 ist.
  • Vergleicht man die beiden Auswertungen der zeitlichen Komplexität, kann verstanden werden, dass das Überprüfungsverfahren der vorliegenden Erfindung zur Entdeckung von inkorrekten Teilsignaturen den Vorzug aufweist, dass die zeitliche Komplexität für die oben erwähnte Schlüssellänge, die Anzahl der Grenzwerte und der Gesamtzahl der digitalen Teilsignaturteile gering ist.
  • Als Nächstes wird ein Verfahren beschrieben, dass alle verfügbaren integrierten digitalen Signaturen verwendet.
  • Ist die Zahl der Generierungsteile für digitale Teilsignaturen klein, gibt es den Fall, dass inkorrekte Teilsignaturen identifiziert werden können, selbst wenn die Zahl der inkorrekten Teilsignaturen gleich oder größer 2 ist, indem geprüft wird, ob S(M', J(i))E mod N = H(M) für alle Teilmengen J(1), ..., J(K) gilt, die aus k Elementen von {r(1), ..., r(m)} für die Menge der digitalen Signaturen Sr(1)(M'), ..., Sr(m)(M') bestehen, die unabhängig von den Generierungsteilen für digitale Teilsignaturen generiert werden und die dasselbe digitale Dokument signieren, und indem analysiert wird, inwiefern J(i) und das Testergebnis einander entsprechen. Hier ist K die Gesamtzahl der Kombinationen für die Auswahl von k Elementen aus m Elementen, das heißt, m!/(k!·(m – k)!). Wenn beispielsweise der Grenzwert für die Generierung der integrierten digitalen Signatur 3 ist, ist die Gesamtzahl der Generierungsteile für digitale Teilsignaturen 5. Es werden 5 digitale Teilsignaturen erfasst, deren zu signierende digitale Dokumente übereinstimmen. Es kann geprüft werden, dass bestimmt werden kann, welche Teilsignaturen inkorrekt sind, selbst wenn die Anzahl der inkorrekten Teilsignaturen bei Aufzählung aller Fälle maximal zwei ist.
  • Als Nächstes wird eine Vorrichtung für die Generierung eines digital signierten Dokuments mit Hilfe der Kombination des Grenzwerts der Teilsignaturen unter Verwendung von 9 und 10 beschrieben.
  • 9 ist ein Blockdiagramm, das eine Vorrichtung für die Generierung eines digital signierten digitalen Dokuments zeigt, wobei eine Kombination aus dem Grenzwert der Teilsignaturen (erstes Beispiel) gemäß einem Beispiel der vorliegenden Erfindung verwendet wird. 10 ist ein Blockdiagramm, das eine Vorrichtung für die Generierung eines digital signierten digitalen Dokuments zeigt, wobei eine Kombination aus dem Grenzwert der Teilsignaturen (zweites Beispiel) gemäß einem Beispiel der vorliegenden Erfindung verwendet wird.
  • Wie in 9 und 10 dargestellt, enthält die Vorrichtung für die Generierung der verteilten digitalen Signatur 2 eine bestimmte Anzahl an Generierungsteilen für digitale Teilsignaturen 13i , ..., 13r , einen Generierungsteil für eine integrierte digitale Signatur 14 und einen Generierungsteil eines digital signierten digitalen Dokuments 15.
  • Die Generierungsteile für digitale Teilsignaturen 13i , ... 13r generieren unabhängig von einander digitale Teilsignaturen S1(M), ..., Sr(M) für ein digitales Eingabedokument M.
  • Der Generierungsteil für eine integrierte digitale Signatur 14 empfängt m digitale Teilsignaturen Sr(1)(M), ..., Sr(m)(M), (k ≤ m ≤ r und k ≤ r(1), ..., r(m) ≤ r), die von der bestimmten Zahl der Generierungsteile für digitale Teilsignaturen 13 und dem digitalen Dokument M generiert werden. Dann generiert der Generierungsteil für eine integrierte digitale Signatur 14 eine bestimmte Zahl an integrierten digitalen Signaturen S(M, I1), ..., S(M, Is) aus der Ausgabe der digitalen Teilsignaturen für s Mengen I1, ..., Is, wobei jede aus Identifikationskennungen von k Generierungsteilen für digitale Teilsignaturen 13 besteht, wobei s größer oder gleich 1 und k der vorab festgelegte Grenzwert ist.
  • Der Generierungsteil eines digital signierten digitalen Dokuments 15 generiert ein digitales Dokument mit digitaler Signatur für ein digitales Eingabedokument, indem die generierte integrierte digitale Signatur und das digitale Dokument kombiniert werden.
  • Als Nächstes wird ein Beispiel in 9 und 10 gezeigt, in dem Kombinationsteile für Zusatzinformationen in der Gestaltung bereitgestellt werden. 11 zeigt ein Blockdiagramm der Vorrichtung für die Generierung eines digital signierten digitalen Dokuments (drittes Beispiel) mit Hilfe von Kombinationen des Grenzwerts der Teilsignaturen gemäß einem Beispiel der vorliegenden Erfindung.
  • Wie in der Abbildung dargestellt, enthält die Vorrichtung für die Generierung der verteilten digitalen Signatur 2 eine bestimmte Anzahl an Kombinationsteilen von Zusatzinformationen 12i , ..., 12r , eine bestimmte Anzahl an Generierungsteilen für digitale Teilsignaturen 13, ein Generierungsteil für eine integrierte digitale Signatur 14 und einen Generierungsteil eines digital signierten digitalen Dokuments 15.
  • Jedes der Teile für die Kombination von Zusatzinformationen 12 (das Teil für die Kombination von Zusatzinformationen 12.i) generiert in unabhängiger Weise ν(i) Elemente von Zusatzinformationen α(i, 1), ..., α(i, ν(i)) für das digitale Eingabedokument M, wobei ν(i) eine Zahl größer oder gleich 1 ist, und generiert digitale Dokumente mit den Zusatzinformationen M || α(i, 1), ..., M || α(i, ν(i)), die durch die Kombination von Zusatzinformationen α(i, 1), ..., α(i, ν(i)) und dem digitalen Dokument M generiert werden.
  • Jedes der Generierungsteile einer digitalen Signatur (der Generierungsteil der digitalen Signatur 13.i) generiert Paare aus dem digitalen Dokument mit den Zusatzinformationen und den digitalen Teilsignaturen (M || α(i, 1), Si(M || α(i, 1))), ..., (M || α(i, ν(i)), Si(M || α(i, ν(i)))) für das digitale Dokument mit Zusatzinformationen.
  • Der Generierungsteil für eine integrierte digitale Signatur 14 empfängt m Paare des digitalen Dokuments mit Zusatzinformationen und der digitalen Teilsignatur (M', Sr(1)(M')), ..., (M', Sr(m), (M')) aus, wobei k ≤ m ≤ r und 1 ≤ r(1), ..., r(m) ≤ r gilt. Dann generiert der Generierungsteil für eine integrierte digitale Signatur 14 s integrierte digitale Signaturen S(M', I1), ..., S(M', Is) aus den ausgegebenen digitalen Teilsignaturen für s Mengen Ii, ..., Is, wobei jede aus k Identifikationskennungen der Generierungsteile für digitale Teilsignaturen besteht und k der vorab festgelegte Grenzwert ist.
  • Der Generierungsteil eines digital signierten digitalen Dokuments 15 generiert ein digitales Dokument mit digitaler Signatur T für ein digitales Eingabedokument mit Zusatzinformationen, indem die generierte integrierte digitale Signatur und das digitale Dokument mit Zusatzinformationen kombiniert werden.
  • Obwohl die oben erwähnten Beispiele auf der Basis jeder Konfiguration beschrieben werden, können der Generierungsteil einer digitalen Teilsignatur, der Generierungsteil für die integrierte digitale Signatur und das Kombinationsstil für Zusatzinformationen in der Vorrichtung für die Generierung einer verteilten digitalen Signatur, wie in 24 gezeigt, durch Programme verwirklicht werden. Diese Programme können auf einem Rechner installiert und als Vorrichtung für die Generierung einer verteilten digitalen Signatur verwendet werden.
  • Darüber hinaus können die Programme auf einem Speichermedium, wie einer Festplatte, einer Diskette, einer CD-ROM und Ähnlichem gespeichert und von dem Speichermedium auf dem Rechner installiert werden.
  • Darüber hinaus können der Generierungsteil einer digitalen Teilsignatur, der Generierungsteil für die integrierte digitale Signatur, der Kombinationsteil für Zusatzinformationen und der Generierungsteil für das digital signierte digitale Dokument in dem digitalen Dokument mit der Vorrichtung für die Generierung einer verteilten digitalen Signatur, die in 10 und 11 dargestellt werden, durch Programme realisiert werden. Diese Programme können auf einem Rechner installiert und als Vorrichtung für die Generierung einer verteilten digitalen Signatur verwendet werden.
  • Darüber hinaus können die Programme auf einem Speichermedium, wie einer Festplatte, einer Diskette, einer CD-ROM und Ähnlichem gespeichert und auf dem Rechner von dem Speichermedium installiert werden.
  • (Wirkung der vorliegenden Erfindung)
  • Da wie oben erwähnt, nach dem Grenzwerttyp der Vorrichtung für die Generierung einer verteilten digitalen Signatur der vorliegenden Erfindung keine vertrauenswürdige Instanz enthalten ist, kann der einzelne Vergleichspunkt entfernt werden, durch den der geheime Schlüssel bekannt werden kann. Auf diese Weise wird die Sicherheit des Signatursystems, dessen wichtigster Teil die Sicherheit des geheimen Schlüssels ist, verbessert. Gleichzeitig kann in dem digitalen Signatursystem die Robustheit gegenüber Angriffen auf die Sicherheit und der Fehlertoleranz verbessert werden, da digitale Signaturen generiert werden dürfen, wenn nur eine vorab festgelegte Anzahl von Generierungssystemen für digitale Teilsignaturen in einer bestimmten Anzahl von Generierungssystemen für digitale Teilsignaturen korrekt arbeitet. Dementsprechend kann ein sicheres Generierungssystem für verteilte digitale Signaturen, das eine gute Robustheit gegenüber Angriffen auf die Sicherheit und Fehlertoleranz aufweist, verwirklicht werden.
  • Insbesondere kann die zeitliche Komplexität der Generierung der integrierten digitalen Signatur aus den digitalen Teilsignaturen verringert werden, wenn, gemäß der vorliegenden Erfindung, die integrierte digitale Signatur aus digitalen Teilsignaturen generiert wird, da das kleinste gemeinsame Vielfache von δ(I, r(1)), ..., δ(I, r(K)) anstatt ((r – 1)!)2 als Transformationszahl Δ(I) in Δ(I)·λ(I, i) verwendet wird.
  • Darüber hinaus kann bei der Überprüfung der digitalen Teilsignaturen die zeitliche Komplexität für die Überprüfung verringert werden, da die Überprüfung durchgeführt wird, indem m integrierte digitale Signaturen mit m Mengen I(0), ..., I(m – 1) generiert werden, die jeweils k digitale Teilsignaturen enthalten, wie in 6 dargestellt.
  • Im Folgenden werden die Abnahme der zeitlichen Komplexität, wenn die integrierte digitale Signatur aus den digitalen Teilsignaturen generiert wird, sowie die Abnahme der zeitlichen Komplexität bei der Überprüfung der digitalen Teilsignaturen beschrieben.
  • 12 zeigt die Abnahme der zeitlichen Komplexität durch die Optimierung des Prozesses, in dem die integrierte digitale Signatur aus den digitalen Teilsignaturen generiert wird. Die Anzahl der Multiplikationen mod N wird zur Auswertung der zeitlichen Komplexität herangezogen. Das andere hier zu vergleichende Verfahren wird in S. Miyazaki, K. Sakurai, M. Yung "On threshold RSA-signing with no dealer" in Proceedings of ICISC' 99, S.197–207, Springer, 1999, vorgeschlagen, bei dem ((n – 1)!)2 als Transformationszahl verwendet wird, wobei n die Gesamtzahl der Server ist (was den Generierungsteilen für digitale Teilsignaturen in den oben beschriebenen Beispielen entspricht).
  • In 12 gibt k die Zahl der für die Generierung einer Signatur erforderlichen Server an, r gibt die Gesamtzahl der Server an, A gibt die durchschnittliche Bit-Länge der Potenz-Exponenten an, die für die Berechnung von w(I) erforderlich ist, (wenn Δ(I) optimiert wird), B gibt die durchschnittliche Bit-Länge der Potenz-Exponenten an, die für die Berechnung von w(I) erforderlich ist (wenn Δ(I) = ((r – 1)!)2), und B/A gibt das abnehmende Verhältnis der zeitlichen Komplexität an.
  • 13 und 14 zeigen die Abnahme der zeitlichen Komplexität für die Überprüfung von Teilsignaturen. 13 zeigt einen Fall, bei dem die Bit-Länge des Schlüssels 1024 beträgt. 14 zeigt einen Fall, bei dem die Bit-Länge des Schlüssels 2048 beträgt. Das andere hier zu vergleichende Verfahren wird vorgeschlagen in Wu et al. "Building intrusion tolerant applications" in Proceedings of 8th USENIX, 1999.
  • In 13 und 14 gibt k die Anzahl der für die Generierung einer Signatur erforderlichen Server an, r gibt die Gesamtzahl der Server an, A gibt die Anzahl der Multiplikationen mod N an, die für die Signaturüberprüfung für eine Gruppe erforderlich sind (in 6 dargestellt, was als gleitende Gruppe bezeichnet werden kann), B gibt die Zahl der Multiplikationen mod N an, die für die Signaturüberprüfung jeder Gruppe erforderlich sind (einschließlich des Overheads, der als eine Anzahl von Multiplikationen mod N mit Hilfe des erweiterten euklidischen Algorithmus ausgewertet wird), C gibt die Anzahl der Multiplikationen mod N an, die für die Überprüfung einer der Teilsignaturen erforderlich sind, wenn das herkömmliche Verfahren von Wu et al. verwendet wird, D gibt die Anzahl der Multiplikationen mod N an, die für die Überprüfung aller Teilsignaturen (= r × C) erforderlich sind, wenn das herkömmliche Verfahren von Wu et al. verwendet wird, D/B gibt das abnehmende Verhältnis der zeitlichen Komplexität = C/A an.
  • In den in 1214 gezeigten Auswertungen wird davon ausgegangen, dass die Potenzoperation durch die Wiederholung der Multiplikation mit Quadrieren und Multiplizieren verwirklicht wird. Die Potenzoperation wird durch Multiplikationen verwirklicht, deren Anzahl das 1,5-fache der Bit-Länge des Exponenten im Durchschnitt beträgt.
  • Quadrieren und Multiplizieren wird in der Regel als Verfahren für die effiziente Durchführung von Potenzoperationen verwendet.
  • Wie in 12 gezeigt, beträgt nach dem Verfahren der vorliegenden Erfindung die zeitliche Komplexität für die Generierung der integrierten digitalen Signatur aus den digitalen Teilsignaturen etwa 1/6 der des herkömmliches Verfahrens.
  • Beträgt die Bit-Länge des Schlüssels 1024, wie in 13 dargestellt, wird darüber hinaus die zeitliche Komplexität der Überprüfung aller Teilsignaturen auf ein 1/85 erheblich verringert, wenn die Anzahl der Server 5 beträgt, und auf ein 1/18, wenn die Anzahl der Server 19 beträgt. Wenn, wie in 14 dargestellt, die Bit-Länge des Schlüssels 2048 beträgt, wird die Wirkung der Verringerung der zeitlichen Komplexität verdoppelt. In dieser Auswertung wird die zeitliche Komplexität für die Berechnung der Inversen mod N mit Hilfe des erweiterten euklidischen Algorithmus, der in die Überprüfungsverarbeitung aufgenommen wurde, auf der Basis der konkreten Messung durch ein in C erstelltes Programm ausgewertet, das den erweiterten euklidischen Algorithmus für die Berechnung von Inversen mod N implementiert. Wenn die Schlüssellänge 1024 beträgt, wird die Berechnung als das 9,3-fache einer Multiplikation mod N ausgewertet, und wenn die Schlüssellänge 2048 beträgt, wird die Berechnung als das 13-fache einer Multiplikation von mod N ausgewertet.
  • In dem Verfahren, das herkömmlicherweise vorgeschlagen wird, wird die zeitliche Komplexität der Überprüfung der Gültigkeit aller Teilsignaturen viel größer als die der Generierung der Signaturen. In dem oben erwähnten Verfahren von Wu beträgt die zeitliche Komplexität der Überprüfung einer Teilsignatur das Vierfache der Generierung der Teilsignatur, und die gesamte zeitliche Komplexität ist eins multipliziert mit der Anzahl der Server.
  • Bei der Verwendung des herkömmlichen Verfahrens ist es nicht zweckmäßig, jedes Mal die Gültigkeit aller Teilsignaturen zu überprüfen, wenn die Signatur generiert wird. So wird beispielsweise in dem System, das in dem Artikel von Wu vorgeschlagen wurde, nur dann die Überprüfung von Teilsignaturen für die Generierung der integrierten Signatur durchgeführt, wenn eine inkorrekte integrierte Signatur entdeckt wird.
  • Bei der Verwendung des Überprüfungsverfahrens der Gültigkeit von Teilsignaturen der vorliegenden Erfindung kann ein System verwirklicht werden, das bei jeder Generierung der Signatur die Gültigkeit aller Teilsignaturen überprüft, da die zeitliche Komplexität wie oben beschrieben wesentlich verringert werden kann.
  • Die vorliegende Erfindung ist nicht auf speziell offen gelegte Ausführungsformen beschränkt. Variationen und Änderungen können vorgenommen werden, ohne vom Geltungsbereich der Erfindung abzuweichen.

Claims (6)

  1. Verfahren zur Generierung einer verteilten digitalen Signatur zum Generieren einer digitalen Signatur für ein digitales Dokument (M) durch Verwendung einer Vielzahl an Generierungskomponenten digitaler Teilsignaturen, wobei das Verfahren zur Generierung einer verteilten digitalen Signatur aufweist: einen Schritt zur Generierung einer digitalen Teilsignatur, in dem jede der Generierungskomponenten der digitalen Teilsignaturen einen Teilsignaturschlüssel durch Kommunikation der Komponenten miteinander generiert, ohne dass eine vertrauenswürdige Instanz verwendet wird; wobei eine digitale Teilsignatur unter Verwendung des Teilsignaturschlüssels für einen Hash-Wert (H(M)) eines digitalen Eingabedokuments (M) generiert wird und die digitale Teilsignatur oder ein Paar aus digitalem Dokument und digitaler Teilsignatur ausgegeben wird; einen Schritt zur Auswahl einer Zahlenmenge der digitalen Teilsignatur, um jeder der digitalen Teilsignaturen eine Zahl aus 1 bis m zuzuweisen, wobei m die Anzahl der digitalen Teilsignaturen ist, und um eine Zahlenmenge I(i) mit den Zahlen ((i – 1) mod m) + 1, ((i – 1 + 1) mod m) + 1, ..., ((i – 1 + (k – 1)) mod m) + 1 für alle i = 1, ..., m auszuwählen, wobei k ein für das Generieren einer integrierten digitalen Signatur erforderlicher Grenzwert ist; einen Schritt zur Generierung einer integrierten digitalen Signatur durch Kombination der digitale Teilsignaturen S(i(1), M), ... S(i(k), M) zum Generieren der integrierten digitalen Signatur S(I(i), M) für alle i = 1, ..., m, wobei S(i, M) eine digitale Teilsignatur angibt, der i zugewiesen ist und in der die Elemente der Zahlenmenge I(i) die Elemente i(1), ..., i(k) sind, wobei der Schritt zum Generieren der integrierten digitalen Signatur aufweist: einen Schritt zur Überprüfung der digitalen Signatur zum Durchführen eines Signaturüberprüfungsprozesses für die integrierte digitale Signatur S(I(i), M) für alle i = 1, ..., m, um zu bestimmen, ob die integrierte digitale Signatur S(I(i), M) eine korrekte digitale Signatur für H(M) ist; einen Schritt zur Bestimmung der Existenz einer inkorrekten digitalen Teilsignatur, um zu bestimmen, dass keine inkorrekte digitale Teilsignatur in den digitalen Teilsignaturen S(i, M) (i = 1, ..., m) vorliegt, wenn S(I(i), M) als korrekte digitale Signatur für H(M) für alle i = 1, ..., m bestimmt wird, und um zu bestimmen, dass mindestens eine inkorrekte digitale Signatur existiert, wenn mindestens ein S(I(i), M) (i = 1, ..., m) als inkorrekt bestimmt wird; einen Schritt zur Angabe einer inkorrekten digitalen Teilsignatur, der ausgeführt wird, wenn bestimmt wird, dass mindestens eine inkorrekte digitale Teilsignatur existiert, um zu bestimmen, ob eine Menge F von i = 1, ..., m mit einer Menge F(j) (j ist ein Element aus 1, ..., m) übereinstimmt, wobei die Menge F als Menge von i = 1, ..., m dergestalt definiert ist, dass S(I(i), M) inkorrekt für H(M) ist, und wobei F(j) die Menge von i = 1, ..., m ist, wodurch die Zahlenmenge I(i) j enthält, und um zu bestimmen, dass die Anzahl der inkorrekten digitalen Teilsignaturen nur eins ist, wenn es nur ein j gibt, in dem F mit der Menge F(j) übereinstimmt, und falls dies nicht der Fall ist, zu bestimmen, dass die Anzahl der inkorrekten digitalen Teilsignaturen gleich oder größer 2 ist, und weiterhin, wenn bestimmt wird, dass die Anzahl der inkorrekten digitalen Teilsignaturen nur eins ist, das eine j zu bestimmen, in dem F mit F(j) übereinstimmt, um so anzugeben, dass die eine inkorrekte digitale Teilsignatur S(j, M) ist; und das Verfahren zur Generierung einer verteilten digitalen Signatur umfasst weiterhin einen Schritt der Ergebnisausgabe: wenn bestimmt wird, dass keine inkorrekte digitale Teilsignatur existiert, wird ein Bestimmungsergebnis ausgegeben, das angibt, dass keine inkorrekte digitale Teilsignatur existiert und die integrierte digitale Signatur im Signaturüberprüfungsschritt als korrekt bestimmt wird; wenn bestimmt wird, dass nur eine inkorrekte digitale Teilsignatur existiert, wird ein Bestimmungsergebnis ausgegeben, das angibt, dass nur eine inkorrekte digitale Teilsignatur existiert, sowie die Information zur Identifizierung der einen inkorrekten digitalen Teilsignatur und die integrierte digitale Signatur, die im Signaturüberprüfungsschritt als korrekt bestimmt wurde; wenn bestimmt wird, dass die Anzahl der inkorrekten digitalen Teilsignaturen gleich oder größer 2 ist, wird ein Bestimmungsergebnis ausgegeben, das angibt, dass die Anzahl der inkorrekten digitalen Teilsignaturen gleich oder größer 2 ist.
  2. Verfahren zur Generierung eines signierten digitalen Dokuments zum Generieren eines digitalen Dokuments mit einer digitalen Signatur (T), das ein Verfahren zur Generierung einer verteilten digitalen Signatur gemäß Anspruch 1 umfasst, sowie weiterhin den Schritt umfasst: Generieren eines digitalen Dokuments mit digitaler Signatur, wobei das digitale Dokument und die integrierte digitale Signatur enthalten sind.
  3. Vorrichtung zur Generierung einer verteilten digitalen Signatur zum Generieren einer digitalen Signatur für ein digitales Dokument (M) durch Verwendung einer Vielzahl an Generierungskomponenten digitaler Teilsignaturen, wobei: jede der Generierungskomponenten digitaler Teilsignaturen einen Teilsignaturschlüssel durch Kommunikation der Komponenten miteinander generiert, ohne dass eine vertrauenswürdige Instanz verwendet wird; wobei eine digitale Teilsignatur unter Verwendung des Teilsignaturschlüssels für einen Hash-Wert (H(M)) eines digitalen Eingabedokuments (M) generiert wird und die digitale Teilsignatur oder ein Paar aus digitalem Dokument und digitaler Teilsignatur ausgegeben wird; die Vorrichtung zur Generierung der digitalen Signatur umfasst: eine Komponente zur Generierung einer integrierten digitalen Signatur, um jeder der digitalen Teilsignaturen eine Zahl aus 1 bis m zuzuweisen, wobei m die Anzahl der digitalen Teilsignaturen ist, und um eine Zahlenmenge I(i) mit den Zahlen ((i – 1) mod m) + 1, ((i – 1 + 1) mod m) + 1, ..., ((i – 1 + (k – 1)) mod m) + 1 für alle i = 1, ..., m auszuwählen, wobei k ein für das Generieren einer integrierten digitalen Signatur erforderlicher Grenzwert ist; und zum Kombinieren der digitalen Teilsignaturen S(i(1), M), ..., S(i(k), M), um die integrierte digitale Signatur S(I(i), M) für alle i = 1, ..., m zu generieren, wobei S(i, M) eine digitale Teilsignatur angibt, der i zugewiesen ist und in der die Elemente der Zahlenmenge I(i) die Elemente i(1), ..., i(k) sind, wobei die Komponente zur Generierung der integrierten digitalen Signatur aufweist: eine Komponente zur Überprüfung der digitalen Signatur zum Durchführen eines Signaturüberprüfungsprozesses für die integrierte digitale Signatur S(I(i), M) für alle i = 1, ..., m, um zu bestimmen, ob die integrierte digitale Signatur S(I(i), M) eine korrekte digitale Signatur für H(M) ist; eine Komponente zur Bestimmung der Existenz einer inkorrekten digitalen Teilsignatur, um zu bestimmen, dass keine inkorrekte digitale Teilsignatur in den digitalen Teilsignaturen S(i, M) (i = 1, ..., m) vorliegt, wenn S(I(i), M) als korrekte digitale Signatur für H(M) für alle i = 1, ..., m bestimmt wird, und bestimmt wird, dass mindestens eine inkorrekte digitale Signatur existiert, wenn mindestens ein S(I(i), M) (i = 1, ..., m) als inkorrekt bestimmt wird; eine Komponente zur Angabe einer inkorrekten digitalen Teilsignatur, wenn bestimmt wird, dass mindestens eine inkorrekte digitale Teilsignatur existiert, um zu bestimmen, ob eine Menge F von i = 1, ..., m mit einer Menge F(j) (j ist ein Element aus 1, ..., m) übereinstimmt, wobei die Menge F als Menge von i = 1, ..., m dergestalt definiert ist, dass S(I(i), M) für H(M) inkorrekt ist, und wobei die Menge F(j) die Menge von i = 1, ..., m ist, wodurch die Zahlenmenge I(i) j enthält, und um zu bestimmen, dass die Anzahl der inkorrekten digitalen Teilsignaturen nur eins ist, wenn es nur ein j gibt, in dem F mit der Menge F(j) übereinstimmt, und um zu bestimmen, falls dies nicht der Fall ist, ob die Anzahl der inkorrekten digitalen Teilsignaturen gleich oder größer 2 ist, und weiterhin, wenn bestimmt wird, dass die Anzahl der inkorrekten digitalen Teilsignaturen nur eins ist, das eine j zu bestimmen, in dem F mit F(j) übereinstimmt, um so anzugeben, dass die eine inkorrekte digitale Teilsignatur S(j, M) ist; und die Vorrichtung zur Generierung einer verteilten digitalen Signatur weiterhin eine Ergebnisausgabekomponente aufweist, die wenn bestimmt wird, dass keine inkorrekte digitale Teilsignatur existiert, ein Bestimmungsergebnis ausgibt, das angibt, dass keine inkorrekte digitale Teilsignatur existiert und die integrierte digitale Signatur im Signaturüberprüfungsschritt als korrekt bestimmt wird; wenn bestimmt wird, dass nur eine inkorrekte digitale Teilsignatur existiert, ein Bestimmungsergebnis ausgibt, das angibt, dass nur eine inkorrekte digitale Teilsignatur existiert, sowie die Information zur Identifizierung der einen inkorrekten digitalen Teilsignatur und die integrierte digitale Signatur, die im Signaturüberprüfungsschritt als korrekt bestimmt wurde; wenn bestimmt wird, dass die Anzahl der inkorrekten digitalen Teilsignaturen gleich oder größer 2 ist, ein Bestimmungsergebnis ausgibt, das angibt, dass die Anzahl der inkorrekten digitalen Teilsignaturen gleich oder größer 2 ist.
  4. Vorrichtung zur Generierung eines signierten digitalen Dokuments zum Generieren eines digitalen Dokuments mit einer digitalen Signatur (T), das eine Vorrichtung zur Generierung einer verteilten digitalen Signatur gemäß Anspruch 3 umfasst, und weiterhin aufweist: eine Komponente (15) zum Generieren eines digitalen Dokuments mit digitaler Signatur, wobei das digitale Dokument und die integrierte digitale Signatur enthalten sind.
  5. Programm, das einen Rechner zum Generieren einer digitalen Signatur für ein digitales Dokument mit Hilfe einer Vielzahl von Generierungskomponenten digitaler Teilsignaturen veranlasst, wobei: jede der Generierungskomponenten digitaler Teilsignaturen einen Teilsignaturschlüssel durch Kommunikation der Komponenten miteinander generiert, ohne dass eine vertrauenswürdige Instanz verwendet wird; wobei eine digitale Teilsignatur unter Verwendung des Teilsignaturschlüssels für einen Hash-Wert (H(M)) eines digitalen Eingabedokuments (M) generiert wird und die digitale Teilsignatur oder ein Paar aus digitalem Dokument und digitaler Teilsignatur ausgegeben wird; wobei das Programm aufweist: eine Programmcode-Einrichtung zur Generierung einer integrierten digitalen Signatur, um jeder der digitalen Teilsignaturen eine Zahl aus 1 bis m zuzuweisen, wobei m die Anzahl der digitalen Teilsignaturen ist, und um eine Zahlenmenge I(i) mit den Zahlen ((i – 1) mod m) + 1, ((i – 1 + 1) mod m) + 1, ..., ((i – 1 + (k – 1)) mod m) + 1 für alle i = 1, ..., m auszuwählen, wobei k ein für das Generieren einer integrierten digitalen Signatur erforderlicher Grenzwert ist; und zum Kombinieren der digitalen Teilsignaturen S(i(1), M), ..., S(i(k), M), um die integrierte digitale Signatur S(I(i), M) für alle i = 1, ..., m zu generieren, wobei S(i, M) eine digitale Teilsignatur angibt, der i zugewiesen ist und in der die Elemente der Zahlenmenge I(i) die Elemente i(1), ..., i(k) sind, wobei die Programmcode-Einrichtung zum Generieren der integrierten digitalen Signatur aufweist: eine Programmcode-Einrichtung zur Überprüfung der digitalen Signatur zum Durchführen eines Signaturüberprüfungsprozesses für die integrierte digitale Signatur S(I(i), M) für alle i = 1, ..., m, um zu bestimmen, ob die integrierte digitale Signatur S(I(i), M) eine korrekte digitale Signatur für H(M) ist; eine Programmcode-Einrichtung zur Bestimmung der Existenz einer inkorrekten digitalen Teilsignatur, um zu bestimmen, dass keine inkorrekte digitale Teilsignatur in den digitalen Teilsignaturen S(i, M) (i = 1, ..., m) vorliegt, wenn S(I(i), M) als korrekte digitale Signatur für H(M) für alle i = 1, ..., m bestimmt wird, und um zu bestimmen, dass mindestens eine inkorrekte digitale Signatur vorhanden ist, wenn mindestens ein S(I(i), M) (i = 1, ..., m) als inkorrekt bestimmt wird; eine Programmcode-Einrichtung zur Angabe einer inkorrekten digitalen Teilsignatur, wenn bestimmt wird, dass mindestens eine inkorrekte digitale Teilsignatur existiert, um zu bestimmen, ob eine Menge F von i = 1, ..., m mit einer Menge F(j) (j ist ein Element aus 1, ..., m) übereinstimmt, wobei die Menge F als Menge von i = 1, ..., m dergestalt definiert ist, dass S(I(i), M) für H(M) inkorrekt ist, und wobei die Menge F(j) die Menge von i = 1, ..., m ist, wodurch die Zahlenmenge I(i) j enthält, und um zu bestimmen, dass die Anzahl der inkorrekten digitalen Teilsignaturen nur eins ist, wenn es nur ein j gibt, in dem F mit der Menge F(j) übereinstimmt, und um zu bestimmen, falls dies nicht der Fall ist, dass die Anzahl der inkorrekten digitalen Teilsignaturen gleich oder größer 2 ist, und weiterhin, wenn bestimmt wird, dass die Anzahl der inkorrekten digitalen Teilsignaturen nur eins ist, das eine j zu bestimmen, in dem F mit F(j) übereinstimmt, um so anzugeben, dass die eine inkorrekte digitale Teilsignatur S(j, M) ist; und das Programm weiterhin eine Ergebnisausgabeprogramm-Einrichtung dafür aufweist: wenn bestimmt wird, dass keine inkorrekte digitale Teilsignatur existiert, wird ein Bestimmungsergebnis ausgegeben, das angibt, dass keine inkorrekte digitale Teilsignatur existiert und die integrierte digitale Signatur im Signaturüberprüfungsschritt als korrekt bestimmt wird; wenn bestimmt wird, dass nur eine inkorrekte digitale Teilsignatur existiert, wird ein Bestimmungsergebnis ausgegeben, das angibt, dass nur eine inkorrekte digitale Teilsignatur existiert, sowie die Information zur Identifizierung der einen inkorrekten digitalen Teilsignatur und die integrierte digitale Signatur, die im Signaturüberprüfungsschritt als korrekt bestimmt wurde; wenn bestimmt wird, dass die Anzahl der inkorrekten digitalen Teilsignaturen gleich oder größer 2 ist, wird ein Bestimmungsergebnis ausgegeben, das angibt, dass die Anzahl der inkorrekten digitalen Teilsignaturen gleich oder größer 2 ist.
  6. Von einem Rechner lesbares Medium, das ein Programm speichert, das einen Rechner zum Generieren einer digitalen Signatur für ein digitales Dokument unter Verwendung einer Vielzahl von Generierungskomponenten digitaler Teilsignaturen veranlasst, wobei: jede der Generierungskomponenten digitaler Teilsignaturen einen Teilsignaturschlüssel durch Kommunikation der Komponenten miteinander generiert, ohne dass eine vertrauenswürdige Instanz verwendet wird; wobei eine digitale Teilsignatur unter Verwendung des Teilsignaturschlüssels für einen Hash-Wert (H(M)) eines digitalen Eingabedokuments (M) generiert wird und die digitale Teilsignatur oder ein Paar aus digitalem Dokument und digitaler Teilsignatur ausgegeben wird; wobei das Programm umfasst: eine Programmcode-Einrichtung zur Generierung einer integrierten digitalen Signatur, um jeder der digitalen Teilsignaturen eine Zahl aus 1 bis m zuzuweisen, wobei m die Anzahl der digitalen Teilsignaturen ist, und um eine Zahlenmenge I(i) mit den Zahlen ((i – 1) mod m) + 1, ((i – 1 + 1) mod m) + 1, ..., ((i – 1 + (k – 1)) mod m) + 1 für alle i = 1, ..., m auszuwählen, wobei k ein für das Generieren einer integrierten digitalen Signatur erforderlicher Grenzwert ist; und zum Kombinieren der digitalen Teilsignaturen S(i(1), M), ..., S(i(k), M), um die integrierte digitale Signatur S(I(i), M) für alle i = 1, ..., m zu generieren, wobei S(i, M) eine digitale Teilsignatur angibt, der i zugewiesen ist und in der die Elemente der Zahlenmenge I(i) die Elemente i(1), ..., i(k) sind, wobei die Programmcode-Einrichtung zum Generieren der integrierten digitalen Signatur aufweist: eine Programmcode-Einrichtung zur Überprüfung der digitalen Signatur zum Durchführen eines Signaturüberprüfungsprozesses für die integrierte digitale Signatur S(I(i), M) für alle i = 1, ..., m, um zu bestimmen, ob die integrierte digitale Signatur S(I(i), M) eine korrekte digitale Signatur für H(M) ist; eine Programmcode-Einrichtung zur Bestimmung der Existenz einer inkorrekten digitalen Teilsignatur, um zu bestimmen, dass keine inkorrekte digitale Teilsignatur in den digitalen Teilsignaturen S(i, M) (i = 1, ..., m) vorliegt, wenn S(I(i), M) als korrekte digitale Signatur für H(M) für alle i = 1, ..., m bestimmt wird, und um zu bestimmen, dass mindestens eine inkorrekte digitale Signatur existiert, wenn mindestens ein S(I(i), M) (i = 1, ..., m) als inkorrekt bestimmt wird; eine Programmcode-Einrichtung zur Angabe einer inkorrekten digitalen Teilsignatur, wenn bestimmt wird, dass mindestens eine inkorrekte digitale Teilsignatur existiert, um zu bestimmen, ob eine Menge F von i = 1, ..., m mit einer Menge F(j) (j ist ein Element aus 1, ..., m) übereinstimmt, wobei die Menge F als Menge von i = 1, ..., m dergestalt definiert ist, dass S(I(i), M) für H(M) inkorrekt ist, und wobei die Menge F(j) die Menge von i = 1, ..., m ist, wodurch die Zahlenmenge I(i) das Element j enthält, und um zu bestimmen, dass die Anzahl der inkorrekten digitalen Teilsignaturen nur eins ist, wenn es nur ein j gibt, in dem F mit der Menge F(j) übereinstimmt, und um zu bestimmen, falls dies nicht der Fall ist, dass die Anzahl der inkorrekten digitalen Teilsignaturen gleich oder größer 2 ist, und weiterhin, wenn bestimmt wird, dass die Anzahl der inkorrekten digitalen Teilsignaturen nur eins ist, das eine j zu bestimmen, in dem F mit F(j) übereinstimmt, um so anzugeben, dass die eine inkorrekte digitale Teilsignatur S(j, M) ist; und das Programm weiterhin eine Ergebnisausgabeprogramm-Einrichtung dafür aufweist: wenn bestimmt wird, dass keine inkorrekte digitale Teilsignatur existiert, wird ein Bestimmungsergebnis ausgegeben, das angibt, dass keine inkorrekte digitale Teilsignatur existiert und die integrierte digitale Signatur im Signaturüberprüfungsschritt als korrekt bestimmt wird; wenn bestimmt wird, dass nur eine inkorrekte digitale Teilsignatur existiert, wird ein Bestimmungsergebnis ausgegeben, das angibt, dass nur eine inkorrekte digitale Teilsignatur existiert, sowie die Information zur Identifizierung der einen inkorrekten digitalen Teilsignatur und die integrierte digitale Signatur, die im Signaturüberprüfungsschritt als korrekt bestimmt wurde; wenn bestimmt wird, dass die Anzahl der inkorrekten digitalen Teilsignaturen gleich oder größer 2 sind, wird ein Bestimmungsergebnis ausgegeben, das angibt, dass die Anzahl der inkorrekten digitalen Teilsignaturen gleich oder größer 2 ist.
DE60210847T 2001-02-22 2002-02-20 Verfahren und Vorrichtung zur Erzeugung von verteilten digitalen Unterschriften Expired - Lifetime DE60210847T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2001047338A JP3659178B2 (ja) 2001-02-22 2001-02-22 分散ディジタル署名作成方法及び装置及び分散ディジタル署名付ディジタル文書作成方法及び装置及び分散ディジタル署名作成プログラム及び分散ディジタル署名作成プログラムを格納した記憶媒体
JP2001047338 2001-02-22

Publications (2)

Publication Number Publication Date
DE60210847D1 DE60210847D1 (de) 2006-06-01
DE60210847T2 true DE60210847T2 (de) 2006-12-07

Family

ID=18908789

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60210847T Expired - Lifetime DE60210847T2 (de) 2001-02-22 2002-02-20 Verfahren und Vorrichtung zur Erzeugung von verteilten digitalen Unterschriften

Country Status (4)

Country Link
US (1) US7174460B2 (de)
EP (1) EP1235135B1 (de)
JP (1) JP3659178B2 (de)
DE (1) DE60210847T2 (de)

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020013898A1 (en) * 1997-06-04 2002-01-31 Sudia Frank W. Method and apparatus for roaming use of cryptographic values
JP2004364070A (ja) * 2003-06-06 2004-12-24 Hitachi Ltd マスキング可能な署名技術を用いた電子文書管理システム
JP2005051734A (ja) * 2003-07-15 2005-02-24 Hitachi Ltd 電子文書の真正性保証方法および電子文書の公開システム
US7409526B1 (en) * 2003-10-28 2008-08-05 Cisco Technology, Inc. Partial key hashing memory
CA2567253A1 (en) * 2004-05-18 2005-11-24 Silverbrook Research Pty Ltd Pharmaceutical product tracking
US20080253558A1 (en) * 2004-09-30 2008-10-16 Koninklijke Philips Electronics, N.V. Polynomial-Based Key Distribution System and Method
US8195947B2 (en) * 2004-11-10 2012-06-05 Cisco Technology, Inc. Method and system for conveying alternate acceptable canonicalizations of a digitally signed piece of electronic mail
CN100391144C (zh) * 2004-11-26 2008-05-28 刘昕 一种数字证件的生成方法
JP4728104B2 (ja) * 2004-11-29 2011-07-20 株式会社日立製作所 電子画像の真正性保証方法および電子データ公開システム
US7519825B2 (en) * 2005-01-17 2009-04-14 House Of Development Llc Electronic certification and authentication system
CN101300775B (zh) * 2005-10-31 2012-12-19 松下电器产业株式会社 安全处理装置、安全处理方法、加密信息嵌入方法、程序、存储介质和集成电路
JP4622811B2 (ja) * 2005-11-04 2011-02-02 株式会社日立製作所 電子文書の真正性保証システム
US8989390B2 (en) * 2005-12-12 2015-03-24 Qualcomm Incorporated Certify and split system and method for replacing cryptographic keys
JP5034498B2 (ja) * 2006-02-20 2012-09-26 株式会社日立製作所 ディジタルコンテンツの暗号化,復号方法,及び,ディジタルコンテンツを利用した業務フローシステム
JP4778361B2 (ja) 2006-05-19 2011-09-21 日立オムロンターミナルソリューションズ株式会社 認証装置及び認証システム及び認証装置の装置確認方法
JP2008027089A (ja) * 2006-07-20 2008-02-07 Hitachi Ltd 電子データの開示方法およびシステム
EP2680046B1 (de) * 2006-09-08 2015-01-21 Certicom Corp. Authentifizierte hochfrequenzidentifikation mit aggregierten signaturen und schlüsselverteilungssystem dafür
JP2008103936A (ja) * 2006-10-18 2008-05-01 Toshiba Corp 秘密情報管理装置および秘密情報管理システム
JP4270276B2 (ja) * 2006-12-27 2009-05-27 株式会社日立製作所 電子データの真正性保証方法およびプログラム
CN102592632B (zh) * 2007-02-23 2014-11-12 松下电器产业株式会社 内容提供者终端装置、认证站终端装置、内容提供方法以及程序认证方法
KR101426270B1 (ko) * 2008-02-13 2014-08-05 삼성전자주식회사 소프트웨어의 전자 서명 생성 방법, 검증 방법, 그 장치,및 그 방법을 실행하기 위한 프로그램을 기록한 컴퓨터로읽을 수 있는 기록매체
US8607066B1 (en) * 2008-08-04 2013-12-10 Zscaler, Inc. Content inspection using partial content signatures
US9130757B2 (en) * 2008-08-11 2015-09-08 International Business Machines Corporation Method for authenticated communication in dynamic federated environments
US20100037062A1 (en) * 2008-08-11 2010-02-11 Mark Carney Signed digital documents
US20100082974A1 (en) * 2008-09-26 2010-04-01 Microsoft Corporation Parallel document processing
JP5498255B2 (ja) * 2010-05-20 2014-05-21 日本電信電話株式会社 委託計算システム及び方法
WO2012039704A1 (en) * 2010-09-21 2012-03-29 Hewlett-Packard Development Company, L.P. Application of differential policies to at least one digital document
US9369285B2 (en) 2011-04-28 2016-06-14 Qualcomm Incorporated Social network based PKI authentication
US8799675B2 (en) 2012-01-05 2014-08-05 House Of Development Llc System and method for electronic certification and authentication of data
CN105095726B (zh) 2014-05-08 2018-05-11 阿里巴巴集团控股有限公司 生成验证码的方法及装置
GB201421672D0 (en) * 2014-12-05 2015-01-21 Business Partners Ltd Secure document management
US11356272B2 (en) 2016-05-19 2022-06-07 Telefonaktiebolaget Lm Ericsson (Publ) Methods and devices for handling hash-tree based data signatures
CN107070869B (zh) * 2017-01-06 2018-07-27 安徽大学 一种基于安全硬件的匿名认证方法
CN106850584B (zh) * 2017-01-06 2018-07-27 安徽大学 一种面向客户/服务器网络的匿名认证方法
JP6959155B2 (ja) * 2017-05-15 2021-11-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 検証方法、検証装置およびプログラム
CN107342859B (zh) * 2017-07-07 2018-04-20 安徽大学 一种匿名认证方法及其应用
US11621854B2 (en) * 2019-01-14 2023-04-04 Sap Se Anonymous and verifiable computer-implemented selection system
US11469903B2 (en) * 2019-02-28 2022-10-11 Microsoft Technology Licensing, Llc Autonomous signing management operations for a key distribution service
WO2021145894A1 (en) * 2020-01-17 2021-07-22 Planetway Corporation Digital signature system using reliable servers
US20230246848A1 (en) 2020-06-29 2023-08-03 J&A Garrigues, S.L.P. Methods and system for issuing an electronic signature
JP7177874B2 (ja) * 2021-03-10 2022-11-24 三菱電機インフォメーションシステムズ株式会社 組織署名システム、組織署名サーバおよび組織署名クライアント端末
JP7084525B1 (ja) * 2021-03-24 2022-06-14 三菱電機インフォメーションシステムズ株式会社 組織署名鍵共有装置、組織署名鍵共有システム、組織署名鍵共有プログラム及び方法

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4405829A (en) * 1977-12-14 1983-09-20 Massachusetts Institute Of Technology Cryptographic communications system and method
FR2596177B1 (fr) * 1986-03-19 1992-01-17 Infoscript Procede et dispositif de sauvegarde qualitative de donnees numerisees
US5825880A (en) * 1994-01-13 1998-10-20 Sudia; Frank W. Multi-step digital signature method and system
JPH08204697A (ja) * 1995-01-23 1996-08-09 Canon Inc 複数の装置を有する通信システムにおける署名生成方法
EP0695056B1 (de) * 1994-07-29 2005-05-11 Canon Kabushiki Kaisha Verfahren zur gemeinsamen Nutzung einer geheimen Information, zur Erzeugung einer digitalen Unterschrift und zur Ausführung einer Beglaubigung in einem Kommunikationssystem mit mehreren Informationsverarbeitungseinrichtungen und Kommunikationssystem zur Anwendung dieses Verfahrens
US5625692A (en) 1995-01-23 1997-04-29 International Business Machines Corporation Method and system for a public key cryptosystem having proactive, robust, and recoverable distributed threshold secret sharing
US5960086A (en) * 1995-11-02 1999-09-28 Tri-Strata Security, Inc. Unified end-to-end security methods and systems for operating on insecure networks
JPH09205422A (ja) 1996-01-16 1997-08-05 Internatl Business Mach Corp <Ibm> 順向性、ロバスト及び回復可能な分散しきい値秘密共有を有する公開キー暗号システム及びその方法
US5638447A (en) * 1996-05-15 1997-06-10 Micali; Silvio Compact digital signatures
US5610982A (en) * 1996-05-15 1997-03-11 Micali; Silvio Compact certification with threshold signatures
US6088798A (en) * 1996-09-27 2000-07-11 Kabushiki Kaisha Toshiba Digital signature method using an elliptic curve, a digital signature system, and a program storage medium having the digital signature method stored therein
JPH10198272A (ja) 1996-12-27 1998-07-31 Canon Inc 階層を有する鍵管理方法及び暗号システム、分散デジタル署名システム
JPH1198134A (ja) * 1997-09-24 1999-04-09 Nippon Telegr & Teleph Corp <Ntt> クッキーの改ざん・コピー検出処理方法およびプログラム記憶媒体
US20020076052A1 (en) * 1999-10-29 2002-06-20 Marcel M. Yung Incorporating shared randomness into distributed cryptography
DE69942386D1 (de) * 1998-10-30 2010-07-01 Hitachi Ltd Verfahren zur digitalen Unterschrift und Verfahren und Vorrichtung zur Verwaltung einer Geheiminformation
JP3635017B2 (ja) 1999-09-01 2005-03-30 日本電信電話株式会社 時刻認証システム、サーバ装置、時刻認証方法及び記録媒体
US7093133B2 (en) * 2001-12-20 2006-08-15 Hewlett-Packard Development Company, L.P. Group signature generation system using multiple primes

Also Published As

Publication number Publication date
DE60210847D1 (de) 2006-06-01
EP1235135B1 (de) 2006-04-26
EP1235135A2 (de) 2002-08-28
JP3659178B2 (ja) 2005-06-15
US7174460B2 (en) 2007-02-06
JP2002251136A (ja) 2002-09-06
US20020152389A1 (en) 2002-10-17
EP1235135A3 (de) 2004-04-28

Similar Documents

Publication Publication Date Title
DE60210847T2 (de) Verfahren und Vorrichtung zur Erzeugung von verteilten digitalen Unterschriften
DE69828787T2 (de) Verbessertes verfahren und vorrichtung zum schutz eines verschlüsselungsverfahrens mit öffentlichem schlüssel gegen angriffe mit zeitmessung und fehlereinspeisung
DE69917592T2 (de) Gegen stromverbrauchsignaturanfall beständige kryptographie
DE60102490T2 (de) Infrastruktur für öffentliche Schlüssel
EP0384475B1 (de) Verfahren zur Identifikation von Teilnehmern sowie zur Generierung und Verifikation von elektronischen Unterschriften in einem Datenaustauschsystem
DE60114833T2 (de) Überprüfbare, geheime mischung von verschlüsselten daten wie z. b. elgamal-verschlüsselte daten für gesicherte mehrinstanzwahlen
DE69534192T2 (de) Verfahren zur gemeinsamen Nutzung einer geheimen Information, zur Erzeugung einer digitalen Unterschrift und zur Ausführung einer Beglaubigung in einem Kommunikationssystem mit mehreren Informationsverarbeitungseinrichtungen und Kommunikationssystem zur Anwendung dieses Verfahrens
EP1214812B1 (de) Verfahren zum schutz von daten
DE60313519T2 (de) Verfahren zur Erzeugung eines Schlüssels, Inhaltsbereitstellungsverfahren, Entschlüsselungsverfahren für verschlüsselte Inhalte, Verfahren zur Erkennung von illegalen Benutzern, System zum Bereitstellen von Inhalten, Benutzersystem, Verfahren zur Ablaufverfolgung, Verschlüsselungsgerät, Entschlüsselungsgerät, und Computerprogramm
DE102006022960A1 (de) Verfahren zum Verschlüsseln von Eingabedaten, kryptographisches System und Computerprogrammprodukt
DE102013109513B4 (de) Verfahren und Vorrichtung zur Zertifikatverifizierung mit Privatsphärenschutz
DE19803939A1 (de) Verfahren zur Identifizierung von Zugangsbefugten
EP1368929B1 (de) Verfahren zur authentikation
DE69833352T2 (de) Vorrichtung zur Verarbeitung von Bivektoren und Verschlüsselungssystem unter Verwendung desselben
DE112012000971B4 (de) Datenverschlüsselung
DE602004006373T2 (de) Verfahren und Vorrichtungen zur Erstellung fairer Blindunterschriften
EP2684312B1 (de) Verfahren zur authentisierung, rf-chip-dokument, rf-chip-lesegerät und computerprogrammprodukte
DE60212248T2 (de) Informationssicherheitsvorrichtung, Vorrichtung und Verfahren zur Erzeugung einer Primzahl
EP1290545A2 (de) Kryptographisches verfahren und kryptographische vorrichtung
DE112011104941T5 (de) Langzeit-Signaturendgerät, Langzeit-Signaturserver, Langzeitsignaturendgeräteprogramm und Langzeit-Signaturserverprogramm
EP1590731A2 (de) Modulare exponentiation mit randomisierten exponenten
DE102017200354A1 (de) Geteilter-Schlüssel-Erzeugungsprogramm, Geteilter-Schlüssel-Erzeugungsverfahren und Informationsverarbeitungsvorrichtung
DE102006013975A1 (de) Kryptographievorrichtung und -verfahren mit Skalarmultiplikation
DE60218421T2 (de) Verfahren und Vorrichtung zur Erzeugung von Digitalsignaturen
DE10248007A1 (de) Verfahren und Vorrichtung zum Verschlüsseln von Daten

Legal Events

Date Code Title Description
8364 No opposition during term of opposition