[go: up one dir, main page]

JP4190713B2 - Signature generation device, signature verification device, and signature generation auxiliary device - Google Patents

Signature generation device, signature verification device, and signature generation auxiliary device Download PDF

Info

Publication number
JP4190713B2
JP4190713B2 JP2000284052A JP2000284052A JP4190713B2 JP 4190713 B2 JP4190713 B2 JP 4190713B2 JP 2000284052 A JP2000284052 A JP 2000284052A JP 2000284052 A JP2000284052 A JP 2000284052A JP 4190713 B2 JP4190713 B2 JP 4190713B2
Authority
JP
Japan
Prior art keywords
signature
information
temporary
verification
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2000284052A
Other languages
Japanese (ja)
Other versions
JP2002091302A (en
Inventor
芳夫 高橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Group Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP2000284052A priority Critical patent/JP4190713B2/en
Publication of JP2002091302A publication Critical patent/JP2002091302A/en
Application granted granted Critical
Publication of JP4190713B2 publication Critical patent/JP4190713B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/30Writer recognition; Reading and verifying signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Theoretical Computer Science (AREA)

Description

【0001】
【発明の属する技術分野】
この発明は、電子署名を生成するための秘密鍵の安全な使用方法、署名生成装置および署名検証装置、署名生成補助装置に関するものである。
【0002】
【従来の技術】
従来、電子署名を行うための署名用秘密鍵をICカードのような耐タンパー性のある特殊な装置に保管、使用する場合には、PIN(個人識別番号)による持ち主の認証、認証局の管理するCRLによる紛失・盗難時の不正対策が行われていた。
【0003】
【発明が解決しようとする課題】
しかしながら、従来のICカードには、通常、表示機能がないため、利用者が店頭で契約書などに署名する場合には、契約書の文書内容を店舗のディスプレイで確認したとしても、実際にICカードが署名する契約書の文書とディスプレイに表示されている文書が同一である保証はない。従って、利用者は、何に署名をしているのかを確認できないという問題があった。
この問題点を解決するために、ディスプレイ付のICカードが提案されているが、ICカードの製造コストの増加や、ICカードと他の端末機器との互換性が悪いという問題点があった。また、ICカードに設けられたディスプレイでは、画面が小さすぎ、文書を確認することが困難であった。
【0004】
また、契約書の内容を確認するために、利用者が契約書に関する情報を記録媒体に記録して自宅に持ち帰り、自宅のコンピュータによって確認した後、署名をすれば安全であるが、その場(店頭など)において契約せずに自宅に戻ってから署名を送信するのでは、その間に他の顧客が先に予約を行ってしまうことによって損をする可能性があり、利用者としては、安全性を選択するか契約を急ぐかを選択しなければならないという問題があった。
さらに、ICカードに秘密鍵を格納して持ち歩く場合、ICカードの紛失、盗難、あるいは利用者が気づかない間に秘密鍵の情報が盗まれる可能性があり、秘密鍵を安全に管理する必要性がある。
【0005】
本発明はこのような事情に鑑みてなされたもので、その目的は、店頭でタイムリーに仮署名を行い、署名する契約内容を確認した後に正式な電子署名を行うことができるICカード、店舗端末を提供することにある。
【0006】
【課題を解決するための手段】
上記目的を達成するために、本発明は、署名検証装置に対して電子署名によって署名を行うための情報を送受信する通信手段を有する署名生成装置において、前記署名を行うための情報となる秘密鍵情報を記憶する記憶手段と、前記記憶手段に記憶される秘密鍵情報と前記通信手段によって前記署名検証装置から受信する電子署名を行う文書の内容に関する情報となるメッセージとを用いて前記メッセージに仮署名を行うための情報である仮署名情報と前記仮署名を署名に変換するための情報である変換データを演算する演算手段とを有し、前記通信手段によって仮署名情報を前記署名検証装置に送信した後に、前記変換データを前記署名検証装置に送信して電子署名によって署名を行うことを特徴とする。
【0007】
また、本発明は、署名生成装置に対して電子署名によって署名を行うための情報を送受信する通信手段を有する署名検証装置において、前記電子署名によって署名を行う文書の内容に関する情報となるメッセージを生成するメッセージ生成手段と、前記署名生成装置に記憶される秘密鍵情報と前記メッセージとに基づいて、前記メッセージに仮署名を行うための情報である仮署名情報が演算されたか否かを、前記秘密鍵情報に対応する公開鍵情報と前記メッセージとを用いて検出する検証手段と、前記検証手段によって、前記仮署名情報が演算されたことが検出された場合に、前記メッセージに対する仮契約として設定する制御手段と、前記制御手段によって仮契約が設定された後に、前記署名生成装置から送信される変換データに基づいて、前記仮署名情報から署名情報を演算する署名生成手段と、を有することを特徴とする。
【0008】
また、本発明は、署名検証装置に通信手段によって接続されるとともに、前記署名検証装置と通信を行う署名生成装置に通信手段によって接続され、前記署名検証装置と前記署名生成装置とに対して、電子署名によって署名を行うため情報を送受信する署名生成補助装置において、前記署名を行うための情報となる秘密鍵情報が部分秘密鍵情報として2分割され、分割された一方の部分秘密鍵情報を記憶する記憶手段と、前記記憶手段に記憶される部分秘密鍵情報と前記署名検証装置から送信される前記電子署名によって署名を行う文書の内容に関する情報となるメッセージとに基づいて、前記メッセージに仮署名を行うための情報である仮署名情報と前記仮署名を署名に変換するための情報である変換データを演算する演算手段とを有し、前記通信手段によって仮署名情報を前記署名検証装置に送信した後に、前記変換データを前記署名検証装置に送信して電子署名によって署名を行うことを特徴とする。
【0009】
また、本発明は、署名生成補助装置に通信手段によって接続されるとともに、前記署名生成補助装置と通信を行う署名生成装置に通信手段によって接続され、前記署名生成補助装置と前記署名生成装置とに対して、電子署名によって署名を行うため情報を送受信する署名検証装置において、前記電子署名によって署名を行う文書の内容に関する情報となるメッセージを生成するメッセージ生成手段と、前記メッセージを前記署名生成装置に送信した後、前記署名生成装置から送信される部分署名情報を記憶する記憶手段と、前記メッセージを前記署名生成補助装置に送信した後、前記署名生成補助装置に記憶される部分秘密鍵情報と前記メッセージとに基づいて、前記メッセージに仮署名を行うための情報である仮署名情報が演算されたか否かを、前記分割された秘密鍵情報に対応する公開鍵情報と前記メッセージと前記部分署名情報とを用いて検出する検証手段と、前記検証手段によって、前記仮署名情報が演算されたことが検出された場合に、前記メッセージに対する仮契約として設定する制御手段と、前記制御手段によって仮契約が設定された後に、前記署名生成補助装置から送信される変換データに基づいて、前記仮署名情報から署名情報を演算する署名生成手段とを有することを特徴とする。
【0010】
また、本発明は、署名検証装置に対して電子署名によって署名を行うための情報を送受信する通信手段を有する署名生成装置における電子署名生成プログラムを記憶した記録媒体において、前記記録媒体は、前記署名を行うための情報となる秘密鍵情報を記憶する記憶ステップと、前記記憶ステップによって記憶される秘密鍵情報と前記通信手段によって前記署名検証装置から受信する電子署名を行う文書の内容に関する情報となるメッセージとを用いて前記メッセージに仮署名を行うための情報である仮署名情報と前記仮署名を署名に変換するための情報である変換データを演算する演算ステップとを有し、前記通信手段によって仮署名情報を前記署名検証装置に送信した後に、前記変換データを前記署名検証装置に送信して電子署名によって署名を行う送信ステップとをコンピュータに行わせることを特徴とする。
【0011】
また、本発明は、署名生成装置に対して電子署名によって署名を行うための情報を送受信する通信手段を有する署名検証装置における署名生成プログラムを記憶した記録媒体において、前記記録媒体は、前記電子署名によって署名を行う文書の内容に関する情報となるメッセージを生成するメッセージ生成ステップと前記署名生成装置に記憶される秘密鍵情報と前記メッセージとに基づいて、前記メッセージに仮署名を行うための情報である仮署名情報が演算されたか否かを、前記秘密鍵情報に対応する公開鍵情報と前記メッセージとを用いて検出する検証ステップと、前記検証ステップによって、前記仮署名情報が演算されたことが検出された場合に、前記メッセージに対する仮契約として設定する制御ステップと、前記制御ステップによって仮契約が設定された後に、前記署名生成装置から送信される変換データに基づいて、前記仮署名情報から署名情報を演算する署名生成ステップとをコンピュータに行わせることを特徴とする。
【0012】
また、本発明は、署名検証装置に通信手段によって接続されるとともに、前記署名検証装置と通信を行う署名生成装置に通信手段によって接続され、前記署名検証装置と前記署名生成装置とに対して、電子署名によって署名を行うため情報を送受信する署名生成補助装置における署名生成プログラムを記憶した記録媒体において、前記記録媒体は、前記署名を行うための情報となる秘密鍵情報が部分秘密鍵情報として2分割され、分割された一方の部分秘密鍵情報を記憶する記憶ステップと、前記記憶ステップによって記憶される部分秘密鍵情報と前記署名検証装置から送信される前記電子署名によって署名を行う文書の内容に関する情報となるメッセージとに基づいて、前記メッセージに仮署名を行うための情報である仮署名情報と前記仮署名を署名に変換するための情報である変換データを演算する演算ステップと、前記通信手段によって仮署名情報を前記署名検証装置に送信した後に、前記変換データを前記署名検証装置に送信して電子署名によって署名を行う送信ステップとをコンピュータに行わせることを特徴とする。
【0013】
また、本発明は、署名生成補助装置に通信手段によって接続されるとともに、前記署名生成補助装置と通信を行う署名生成装置に通信手段によって接続され、前記署名生成補助装置と前記署名生成装置とに対して、電子署名によって署名を行うため情報を送受信する署名検証装置における署名生成プログラムを記録した記録媒体において、前記記録媒体は、前記電子署名によって署名を行う文書の内容に関する情報となるメッセージを生成するメッセージ生成ステップと、前記メッセージを前記署名生成装置に送信した後、前記署名生成装置から送信される部分署名情報を記憶する記憶ステップと、前記メッセージを前記署名生成補助装置に送信した後、前記署名生成補助装置に記憶される部分秘密鍵情報と前記メッセージとに基づいて、前記メッセージに仮署名を行うための情報である仮署名情報が演算されたか否かを、前記分割された秘密鍵情報に対応する公開鍵情報と前記メッセージと前記部分署名情報とを用いて検出する検証ステップと、前記検証ステップによって、前記仮署名情報が演算されたことが検出された場合に、前記メッセージに対する仮契約として設定する制御ステップと、前記制御ステップによって仮契約が設定された後に、前記署名生成補助装置から送信される変換データに基づいて、前記仮署名情報から署名情報を演算する署名生成ステップとをコンピュータに行わせることを特徴とする。
【0014】
【発明の実施の形態】
以下、本発明の一実施形態によるICカードおよび店舗端末を図面を参照して説明する。ここでは、ICカードを所有する利用者が、店舗に出向き、電子署名によって取引の契約を行う場合を例として説明する。図1は、この発明の一実施形態による電子署名システムの構成を示す概略ブロック図である。この図において、電子署名システムは、利用者端末100と、店舗端末300と、ネットワーク400と、ICカード500とによって構成される。
【0015】
利用者端末100は、記憶部110と、入力部120と、通信部150とがバス160によって接続され、装置各部間で各種データが制御部130の制御に基づいてバス160を介して転送される。この利用者端末100は、例えば、利用者の自宅に設けられる。
記憶部110は、電子署名を生成するための鍵情報となる秘密鍵SKと、秘密鍵SKに対応する鍵情報である公開鍵(e,n)と、認証局(CA)が発行する公開鍵(e,n)の所持者を証明するデータとなる公開鍵証明書情報Certとを記憶する。また、記憶部110は、各種データを記憶する。
通信部150は、ネットワーク400を介して店舗端末300と通信を行う。入力部120は、利用者端末100を使用する利用者からの入力に応じた信号を出力する。
【0016】
さらに、利用者端末100の外部には、ICカード500とバス160の間のデータの送受信を行う入出力装置(以下、「R/W」と称す)170が接続される。さらに、利用者端末100は、周辺機器として表示装置(図示せず)が接続されるものとする。ここで、表示装置とはCRT(Cathode Ray Tube)や液晶表示装置等のことをいう。
【0017】
店舗端末300は、制御部310と、記憶部320と、MSG生成部330と、指示部340と、署名生成部350と、検証部360と、通信部370と、バス380とによって構成される。店舗端末300の各部は、バス380によって接続され、制御部310によってデータの転送が制御される。この店舗端末300は、例えば、商品の販売店や、金融機関などの店舗に設けられる。
【0018】
記憶部320は、公開鍵(e,n)、部分秘密鍵SKbiを記憶する。また、記憶部320は、各種データを記憶する。MSG生成部330は、契約者となる利用者と契約を結ぶための契約書となるメッセージ(以下、「MSG」と称す)を生成する。指示部340は、バス380とR/W390を介してICカード500に「0」または「1」の指示を行う。この「0」または「1」の指示は、ランダムに決定される。
【0019】
検証部360は、ICカード500から送信される乱数riと乱数データRiに基づいて、以下に示すフォーマット関数を用いた(1)式が成立するか否かを検出する。
F(rie=Rimod(n)……(1)
ただし、F(ri)は、フォーマット関数であり、識別情報IDなど、固定値や、日付、0と1の連続あるいは繰り返しパターンなどからなるテンプレートに入力データを設定し、冗長性を持たせたものである。このフォーマット関数に、さらに、チェックサムや、CRC等のコードを追加したものであってもよい。
【0020】
また、検証部360は、ICカード500から送信される署名yとMSG生成部330によって生成されるMSGと、公開鍵eに基づいて、以下に示す(2)式が成立するか否かを検出する。
=Rh(MSG)mod(n)……(2)
ここで、この実施形態において用いられるハッシュ関数は、一方向性ハッシュ関数が使用される。このハッシュ関数のほか、パディング処理などの処理をあわせて行ってもよい。
【0021】
署名生成部350は、ICカード500から送信される署名yと乱数rに基づいて、以下に示す(3)式によって署名Sを生成する。
S=y/F(r)mod(n)……(3)
また、署名生成部350は、生成した署名SをMSGと公開鍵eに基づいて、以下に示す(4)式が成立するか否かを検出し、署名Sの検証を行う。
=h(MSG)mod(n) ……(4)
【0022】
通信部370は、ネットワーク400を介して利用者端末100と通信を行う。さらに、店舗端末300の外部には、バス380とICカード500との間のデータの送受信を行うR/W390が接続される。
また、店舗端末300は、周辺機器として入力装置、表示装置等(いずれも図示せず)が接続されるものとする。ここで、入力装置とはキーボード、マウス等の入力デバイスのことをいう。表示装置とはCRT(Cathode Ray Tube)や液晶表示装置等のことをいう。
【0023】
ICカード500は、通信部510と、制御部520と、記憶部530と、演算部540と、乱数生成部550、バス560とによって構成される。通信部510は、R/W170を介して利用者端末100と通信を行う。また、通信部510は、R/W390を介して店舗端末300と通信を行う。記憶部530は、利用者端末100から送信される秘密鍵SKを記憶する。また、記憶部530は、乱数 が乱数生成部550によって生成される毎に記憶する。演算部540は、店舗端末300から送信されるMSGと記憶部530に記憶される秘密鍵SKとに基づいて、以下に示す(5)式によって署名Sを演算する。
S=h(MSG)SKmod(n)……(5)
【0024】
また、演算部540は、署名Sと乱数生成部550によって生成される乱数riとに基づいて、以下に示す(6)式によって仮署名yiを演算する。
i=F(ri)S×mod(n)……(6)
【0025】
また、演算部540は、乱数生成部550によって生成される乱数riと公開鍵eとに基づいて、以下に示す(7)式によって乱数データRiを演算する。
i=F(riemod(n)……(7)
乱数生成部550は、乱数riを生成する。
【0026】
制御部520は、ICカード500内の各部の間のデータをバス560を介して転送する制御を行う。また、制御部520は、店舗端末300に乱数データRを送信した後に、店舗端末300から「0」が指示された場合に、乱数 を店舗端末300に送信する制御を行うとともに、店舗端末300から「1」が指示された場合に、演算部540によって生成されて仮署名yを店舗端末300に送信する制御を行う。
【0027】
次に、図1の構成における電子署名システムの動作について図2のフローチャートを用いて説明する。まず、利用者は、ICカード500をR/W170に挿入した後に記憶部110に記憶されている公開鍵(e,n)、秘密鍵SK、公開鍵証明書情報Certとを転送してICカード500の記憶部530に記憶する。そして、利用者は、ICカード500を携帯して店舗端末300が設置された店舗に出向き、店舗の従業員と取引を行い、契約を行う場合に、契約を行う内容の情報となるメッセージの送信を従業員に依頼する。
【0028】
次に、従業員は、契約を行う内容の情報となるMSGを生成する指示を店舗端末300に入力する。店舗端末300のMSG生成部330は、MSGの生成指示をうけて、MSGを生成し、生成したMSGを記憶部530に記憶する。制御部310は、MSG生成部330によって生成されたMSGを表示装置に表示する制御を行う。
【0029】
次に、利用者によって表示装置に表示されたMSGを確認した後、ICカード500をR/W390に挿入する。ICカード500がR/W390に挿入されると、制御部310は、ICカード500の記憶部530に記憶されている公開鍵(e,n)と公開鍵証明書情報Certとを読み出す(ステップS1)。そして、店舗端末300は、読み出した公開鍵(e,n)と公開鍵証明書情報Certとを記憶部320に記憶した後、表示装置に表示する。従業員は、表示装置に表示された公開鍵(e,n)と公開鍵証明書情報Certとによって公開鍵(e,n)を確認した後(ステップS2)、入力装置からMSGを送信する指示を入力する。MSGの送信指示が入力されると、制御部310は、記憶部320に記憶されたMSGを読み出し、ICカード500へ転送する(ステップS3)。
【0030】
ICカード500に転送されたMSGは、記憶部530に記憶される。MSGが記憶されると、演算部540は、MSGと記憶部530に記憶される秘密鍵SKとに基づいて、(5)式によって署名Sを生成する(ステップS4)。次に、演算部540は、乱数生成部550に乱数riの生成を指示する。乱数生成部550は、演算部540からの指示に応じて乱数riを生成し(ステップS5)、演算部540に出力するとともに、生成された回数との乱数riを記憶部530に記憶する。
【0031】
演算部540は、乱数生成部550から乱数riが出力されると、この乱数riと署名Sとに基づいて、(6)式によって仮署名yiを生成するとともに(ステップS6)、公開鍵eと乱数riとに基づいて、(7)式によって乱数データRiを生成し(ステップS7)、生成した仮署名yiと乱数データRiとを一時保持する。そして、演算部540は、生成した乱数データRiを通信部510によって店舗端末300に送信する(ステップS8)。
【0032】
店舗端末300は、ICカード500から送信される乱数データRiを受信し、記憶部320に記憶する。乱数データRiが記憶された後、指示部340は、「0」または「1」をICカード500に指示する。
指示部340から「0」が指示された場合、ICカード500の制御部520は、記憶部320に記憶されている乱数riを読み出して通信部510によって店舗端末300に出力する制御を行う。通信部510は、制御部520からの指示に応じて、乱数riを店舗端末300に送信する(ステップS10)。
【0033】
店舗端末300は、乱数riを受信すると、検証部360によって、乱数riと記憶部320に記憶されている乱数データRiに基づいて、上述の(1)式が成立するか否かを検出する(ステップS11)。検証部360は、(1)が成立する場合に、ICカード500が正しい秘密鍵SKを用いて演算したことを検出する。
【0034】
一方、指示部340から「1」が指示された場合、ICカード500の制御部520は、演算部540に保持されている仮署名yiを読み出して通信部510によって店舗端末300に出力する制御を行う。通信部510は、制御部520からの指示に応じて、仮署名yiを店舗端末300に送信する(ステップS12)。
【0035】
店舗端末300は、仮署名yiを受信すると、記憶部320に記憶したのち、検証部360によって、仮署名yiと記憶部320に記憶されている公開鍵eとMSGと乱数データRiに基づいて、上述の(2)式が成立するか否かを検出する(ステップS12)。検証部360は、(2)が成立する場合に、ICカード500が正しい秘密鍵SKを用いて演算したことを検出する(ステップS13)。
【0036】
そして、制御部310は、正しい秘密鍵SKを用いて演算されたことが検証部360によって検出されると、さらに、ステップS5からステップS13までの処理動作をk回繰り返す制御を行う。k回繰り返した後、常に正しい秘密鍵SKを用いて演算されたことが検出された場合、制御部310は、i回(1≦i≦k)に送信された仮署名yiを署名Sを生成するための情報として記憶部320から抽出し、公開鍵(e,n)、公開鍵証明書情報Cert、MSGを関連づけて記憶部320に記憶する(ステップS15)。そして、制御部310は、抽出された仮署名yiに対応する回数を示す回数情報iをICカード500に出力する(ステップS16)。
【0037】
ICカード500は、店舗端末300から出力された回数情報iを記憶部530に記憶する(ステップS17)。
そして、回数情報が記憶された後、利用者は、ICカード500をR/W390から取り出し、自宅へ戻った後、利用者端末100によってICカード500に記憶されているMSGを表示装置に表示させ、MSGの内容を再度確認する(ステップS18)。そして、利用者によってMSGの内容が確認された後、利用者からの送信指示に応じて、通信部150は、ネットワーク400を介してICカード500の記憶部530に記憶されている、回数情報iに対応する回数の乱数riを変換データとして店舗端末300に送信する(ステップS19)。
【0038】
ICカード500から送信される乱数rを受信すると、店舗端末300は、署名生成部350によって、ICカード500から送信される署名yと乱数rに基づいて、上述の(3)式によって署名Sを生成する。次いで、署名生成部350は、生成した署名SをMSGと公開鍵eに基づいて、上述の(4)式を用いて署名Sの検証を行う。
【0039】
上述したように、検証部360が上述の(1)式と(2)式とが成立するか否かを検出することによって、店舗端末300は、ICカード500から署名Sそのものを受信することなく、利用者が秘密鍵SKを持っていることの確認と、利用者がMSGに対して仮署名のデータを生成していることの確認を行うことができる。これらの確認を行うことによって、仮署名を行い、利用者がMSGを確認した後に、乱数riを送信して、仮署名yiを署名Sに変換することができる。
【0040】
なお、ここで生成される仮署名yiは、第三者にとって正当なものであるか否かを判断できないので、正式な電子署名として成立しないので、利用者のリスクを利用者および店舗側に限定できる。
【0041】
ここで、図3を用いて、仮署名yiについて説明する。従来のRSA署名の方法を用いると、Se=h(MSG)となるが、上記の方法によれば、仮署名yiは、yi e=Ri×h(MSG)となる。従って、仮署名yiを乱数を用いて生成した場合、Ri=h(MSG)/yi eとして乱数データRiを演算すると、秘密鍵SKを有していない第三者が仮署名yiを生成することが可能となるり、第三者が利用者になりすますことが可能となってしまう。
【0042】
一方、ICカード500は、店舗端末300から指定される「0」または「1」を予測することができない。もし、店舗端末300から「1」が指示されることが予測できるのであれば、上記のように、予め仮署名yiを乱数を用いて生成して乱数データRiを演算し、そして乱数データRiを送信し、店舗端末300から「1」が指示された後に乱数を用いて生成した仮署名yiを送信することによって、店舗端末300における検証が成立する(符号600)。
【0043】
しかし、店舗端末300から「0」が指示された場合、乱数データRiに対応する乱数riを送信しなければ、店舗端末300の検証が成立しない。この場合、F(rie=Riを満たす乱数riを計算することになるが、この乱数riを求めるには、ri=F´(Ri SK)という演算を行う必要があり、秘密鍵SKがないと、乱数riを演算できない。従って、ICカード500において「1」が指示されることを予測して乱数riと乱数データRiを生成していた場合、秘密鍵SKがないと乱数riを演算できないので、検証部360の検証によって、なりすましを検出することが可能である(符号601)。(ただし、F´()は、、F()の逆関数)
【0044】
他方、店舗端末300から「0」が指示されることを予測して乱数riを生成して乱数データRiをRi=F(rieによって生成しておき、乱数データRiを店舗端末300に送信した後に、予測どおり店舗端末300から「0」が指示された場合、乱数riを送信すれば、検証部360における検証が成立し、秘密鍵SKを有していない第三者が成りすますことが可能である(符号602)。
【0045】
しかし、この場合、店舗端末300から「1」が指示されると、仮署名yiを送信しなければならないが、このとき、仮署名yiを生成するには、秘密鍵SKか必要となり、秘密鍵SKを有していない第3者は、検証を成立させるための仮署名yiを生成することができない(符号603)。従って、検証部360によって、秘密鍵SKを有していない第3者の成りすましを検出することが可能である。
【0046】
このように、店舗端末300は、乱数データRiを受信した後に「0」または「1」を指示することによって、秘密鍵SKを有する利用者であるか否かを検出することができる。このとき、上述した「0」または「1」の指示を行って、送信されるデータを検証することによって、1回あたり1/2の確率で秘密鍵SKを有していない第3者の成りすましを検出することが可能であるので、「0」または「1」の指示を行う処理をk回繰り返して行うことによって、(1/2)kの確率で秘密鍵SKを有していない第3者の成りすましを検出することが可能であるので、店舗端末300は、圧倒的な確率で仮署名yiが正しいことを確認することが可能である。従って、店舗端末300は、署名SそのものをICカード500から送信されなくても、秘密鍵SKを有する利用者であることが確認できる。
【0047】
店舗端末300における店舗が不正をして仮署名yiを偽造した場合、利用者は、仮署名の検証処理を行うことによって仮署名yiが偽造されたものであるか否かを検証することが可能である。この検証処理は、例えば、MSGと検証する仮署名yiとを入力として、T=yi÷h(MSG)SKmod(n)なる式によって、仮署名yiがF()のフォーマット関数に適合するか否かを検証を行う。このフォーマット関数には冗長性があるので、仮署名yiが偽造されている場合、圧倒的に高い確率でフォーマットに適合せず、仮署名yiの検証を行うことが可能である。ただし、この検証処理を行う場合、TからMSGに対する署名Sを演算できるため、店舗端末300に直接Tを渡すのではなく、信頼できる第三者がTを確認するようにすることが望ましい。
【0048】
次に、第2の実施形態について説明する。図4は、第2の実施形態における電子署名システムの構成を示す概略ブロック図である。この図において、図1の各部に対応する部分には同一の符号を付け、その説明を省略する。
利用者端末100の分散部140は、秘密鍵SKを部分秘密鍵SK1と部分秘密鍵SK2とに分割する。乱数生成部180は、乱数riを生成する。演算部190は、図1の演算部540と同様に演算を行い、部分署名S1、乱数データRi、仮署名yiを算出する。
【0049】
ICカード500の演算部541は、店舗端末300から送信されるMSGと記憶部530に記憶される秘密鍵SK2とに基づいて、以下に示す(8)式によって部分署名S2を演算する
S2=h(MSG)SK2mod(n)……(8)
ここで、部分署名とは、部分署名Snを2つすなわち部分署名S1と部分署名S2とを集めた場合に、署名Sが生成されるものである。
【0050】
次に、図4の構成における装置の動作について、図5のフローチャートを用いて説明する。まず、利用者は、ICカード500をR/W170に挿入した後に記憶部110に記憶されている公開鍵(e,n)、公開鍵証明書情報Certとを転送してICカード500の記憶部530に記憶する(ステップS48)。次いで、利用者は、入力部120から秘密鍵SKを分割する指示を入力する。分散部140は、入力部120から入力される指示に応じて、記憶部110から秘密鍵SKを読み出し、秘密鍵SK1と秘密鍵SK2とに分割し(ステップS49)、分割した秘密鍵SK1と秘密鍵SK2とを記憶部110に記憶する。分散部140によって秘密鍵SKが分割されると、分割された秘密鍵SK2をICカード500の記憶部530に記憶する(ステップS50)。
【0051】
そして、利用者は、ICカード500を携帯して店舗端末300が設置された店舗に出向き、店舗の従業員と取引を行い、契約を行う場合に、契約を行う内容の情報となるメッセージの送信を従業員に依頼する。
そして、図2におけるステップS1〜ステップS3と同様に、ICカード500から公開鍵(e,n)と公開鍵証明書情報Certとが店舗端末300に送信され(ステップS51)、店舗端末300において公開鍵(e,n)の確認がなされた後(ステップS52)、MSGが生成され、ICカード500に送信される(ステップS53)。
【0052】
演算部540は、店舗端末300から送信されるMSGと記憶部530に記憶される秘密鍵SK2とに基づいて、S2=h(MSG)SK2mod(n)なる式によって部分署名S2を演算し、記憶部530に記憶する。記憶部530に記憶された後、制御部520は、通信部510によって部分署名S2を店舗端末300送信する(ステップS54)。店舗端末300は、ICカード500から送信される部分署名S2を記憶部530に記憶する。
【0053】
部分署名S2が記憶された後、店舗端末300は、MSGを利用者端末100に送信する(ステップS55)。利用者端末100は、演算部190によって部分署名S1をS1=h(MSG)SK1mod(n)なる式によって生成し(ステップS56)、記憶部110に記憶する。次いで、利用者端末100は、乱数生成部180によって乱数riを発生させた後、記憶部110に記憶するとともに、演算部190によって仮署名yiと乱数データRiと生成して記憶部530に記憶した後、乱数データRiを店舗端末300に送信する(ステップS57)。
【0054】
店舗端末300は、乱数データRiを受信して記憶部320に記憶した後、指示部340によって「0」または「1」を利用者端末100に指示する(ステップS58)。利用者端末100は、店舗端末300から「0」が指示された場合に乱数riを店舗端末300に送信し、「1」が指示された場合に仮署名yiを店舗端末300に送信する(ステップS59)。
【0055】
店舗端末300は、検証部360によって利用者端末100から送信されるデータに応じて、乱数riまたは仮署名yiを検証する(ステップS60)。そして、上述のステップS57からステップS60までの処理をk回繰り返す(ステップS61)。このとき、店舗端末300は、仮署名yiと公開鍵(e,n)と公開鍵証明書情報CertとMSGと部分署名S2とを繰り返した回数i(1≦i≦k)に関連づけて記憶部320に記憶する(ステップS61)。そして、店舗端末300は、回数iを回数情報iとして利用者端末100に送信する(ステップS62)。利用者端末100は、店舗端末300から回数情報iを受信すると、回数情報iを記憶部110に記憶する(ステップS63)。
【0056】
そして、利用者は、ICカード500を自宅に持ち帰った後、利用者端末100の表示装置にMSGの内容を表示させ、MSGの内容を確認した後、MSGに問題がなければ、回数情報iに対応する乱数riを変換データとして店舗端末300に送信する(ステップS64)。店舗端末300は、署名生成部350によって利用者端末100から送信された乱数riを用いてS=(yi×S2)÷F(ri)mod(n)なる式によって署名Sを生成し、この署名Sを検証部360によって検証する(ステップS65)。
【0057】
なお、上記実施形態において、仮署名の生成と乱数riとの送信において、ICカード500にPINを設定してもよく、また、このPINをそれぞれ別のデータを設定するようにしてもよい。また、仮署名生成時においてはPINを設定せず、乱数riの送信時においてPINを入力するように設定してもよい。このように、ICカード500のアクセス制御機能を利用して、異なったレベルの制限を設定し、仮署名時に店舗端末300によって乱数riを密か取り出されることを防止することが好ましい。
【0058】
なお、上記実施形態において、利用者が乱数riを所定の期間内に送信しなかった場合、店舗端末300は、仮署名yiによる仮契約を取り消すようにしてもよい。
また、上記実施形態において、「0」または「1」を指示して検証部360によって検証を行う処理をk回繰り返すようにしたが、一度にk個のデータを送受信するようにしてもよい。
【0059】
また、上記実施形態において、乱数riを生成する場合に、まず乱数r0を生成し、ri=h(r0‖i)として生成するようにしてもよい。これにより、1つの乱数r0と回数情報iを記憶しておくことによって、乱数riを算出することが可能であるので、乱数riを生成する毎に記憶する必要がなくなる。これにより、必要な記憶領域の増加を抑えることが可能である。
【0060】
さらに、上述した実施形態によれば、従来のRSA署名による方法とほぼ同じ処理を実装すればよいので、ICカードにおける処理を増加させることがなく、これにより、従来のICカードに本発明を適用することができる。
【0061】
また、乱数riをri´=h(ri)なる式に代入し、算出される乱数ri´を新たな乱数riとして、再度上記の式を用いてさらにri´を算出するようにしてもよい。また、乱数riの生成は、上述の方法以外によって生成するようにしてもよい。
【0062】
なお、上述の第2の実施形態において、秘密鍵SKを2つに分割したが、シークレットシェアを用いて分割するようにしてもよい。ここでいうシークレットシェアは、秘密鍵SKを、しきい値kでn個の部分秘密鍵SK1〜SKnに分散し、分散された部分秘密鍵SK1〜SKnとMSGとに基づいて、部分署名S1〜Snが生成する。そして、部分署名S1〜Snのうち、任意の部分署名Snがk個集まった場合に、署名Sが生成されるものである。
【0063】
さらに、上述の第2の実施形態において、秘密鍵SKを2つに分割し、ICカード500と利用者端末100とに記憶するようにしたので、ICカード500に紛失、盗難される等の場合が発生しても、利用者端末100によって秘密鍵SKから新たな秘密鍵SK1´と秘密鍵SK2´を生成し、利用者端末100に秘密鍵SK1´を設定すれば、第三者が紛失したICカード500を悪用しようとしても、使用できなくなる効果が得られる。
【0064】
さらに、上述の第2の実施形態において、秘密鍵SKを2つに分割した場合を一例として説明したが、秘密鍵SKを秘密鍵SK1と秘密鍵SK2と秘密鍵SK3に分割し、秘密鍵SK1を利用者端末100、秘密鍵SK2をICカード500、秘密鍵SK3を店舗端末300に記憶させ、これら3つの秘密鍵が集まったときに署名Sを生成できるようにしてもよい。
【0065】
さらに、上述の第2の実施形態において、秘密鍵SK2が利用者が気づかないうちに第三者にコピーされたとしても、利用者端末100から乱数riを送信しない限り、契約が成立しないので、悪意ある第三者の悪用を防ぐことが可能である。
【0066】
また、図1における各部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより電子署名生成管理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フロッピーディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含むものとする。また上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであっても良い。
以上、この発明の実施形態を図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【0067】
【発明の効果】
以上説明したように、この発明によれば、仮署名情報によって仮契約を行った後に仮署名情報を署名情報に変換する変換データを送信するようにしたので、仮署名を行うことによって秘密鍵が利用者の公開鍵に対応するものであることが確認でき、これにより、契約時に、利用者が実際に契約する本人であることの証明と、仮に契約を結ぶ仮契約を行うことができる効果が得られる。そして、利用者から店舗に変換データを送信することによって仮署名情報を電子署名に変換して契約を行うことができる、店頭でタイムリーに仮署名を行い、署名する契約内容を確認した後に正式な電子署名を行うことができる効果が得られる。
【0068】
また、この発明によれば、仮署名した後に電子署名を行うようにしたので、ICカードにディスプレイ等を設けることなくメッセージを確認することができるので、ICカードの製造コストの増加を抑えることができる。
また、この発明によれば、仮署名した後に電子署名を行うようにした。従って、電子署名を生成した後は、従来の電子署名情報と同様に扱うことができるので、ICカードと他の端末機器との互換性を低下させることがなく電子署名を行うことができる効果が得られる。
【0069】
また、この発明によれば、秘密鍵情報を2つに分割し、ICカードと利用者端末とに記憶するようにしたので、ICカード500に紛失、盗難等が発生した場合に、ICカードの部分秘密鍵が利用者が気づかないうちに第三者にコピーされたとしても、利用者端末から変換データを送信しない限り、契約が成立しないので、秘密鍵情報の機密性を向上させることができる効果が得られる。
【図面の簡単な説明】
【図1】 この発明の一実施形態による電子署名システムの構成を示す概略ブロック図である。
【図2】 図1の構成における電子署名システムの動作について説明するためのフローチャートである。
【図3】 仮署名yiについて説明するための図面である。
【図4】 第2の実施形態における電子署名システムの構成を示す概略ブロック図である。
【図5】 図4の構成における電子署名システムの動作について説明するためのフローチャートである。
【符号の説明】
100 利用者端末、 110 記憶部、
130、310、520 制御部、 140 分散部、
150、370、510 通信部、 180 乱数生成部、
190 演算部、 300 店舗端末、 320 記憶部、
330 MSG生成部、 340 指示部、 350 署名生成部、
360 検証部、 500 ICカード、 530 記憶部、
540、541 演算部、 550 乱数生成部[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a method for securely using a private key for generating an electronic signature, a signature generation apparatus, a signature verification apparatus, and a signature generation auxiliary apparatus.
[0002]
[Prior art]
Conventionally, when storing and using a signature private key for electronic signature in a special tamper-resistant device such as an IC card, owner authentication by PIN (personal identification number), management of certificate authority In the case of loss or theft by the CRL, a countermeasure against fraud was taken.
[0003]
[Problems to be solved by the invention]
However, since conventional IC cards usually do not have a display function, when a user signs a contract or the like at the store, even if the document content of the contract is confirmed on the store display, the IC card is actually used. There is no guarantee that the contract document signed by the card and the document displayed on the display are identical. Therefore, there is a problem that the user cannot confirm what is signed.
In order to solve this problem, an IC card with a display has been proposed. However, there are problems that the manufacturing cost of the IC card is increased and the compatibility between the IC card and other terminal devices is poor. Further, the screen provided on the IC card is too small to check the document.
[0004]
In order to confirm the contents of the contract, it is safe if the user records the information about the contract on a recording medium, takes it home, confirms it with a home computer, and then signs it. Sending a signature after returning home without contracting at a store, etc.) may result in loss due to another customer making a reservation in the meantime, and as a user, safety There was a problem that you had to choose between choosing or rushing the contract.
Furthermore, when a private key is stored in an IC card and carried around, there is a possibility that the information of the private key may be stolen without the IC card being lost or stolen or being noticed by the user. There is.
[0005]
The present invention has been made in view of such circumstances, and an object of the present invention is to provide an IC card and a store that can perform a temporary signature in a timely manner at a store and confirm a contract content to be signed, and then a formal electronic signature To provide a terminal.
[0006]
[Means for Solving the Problems]
To achieve the above object, the present invention provides a secret key serving as information for performing signature in a signature generation apparatus having communication means for transmitting and receiving information for performing signature by electronic signature to a signature verification apparatus. The message is temporarily stored using storage means for storing information, private key information stored in the storage means, and a message serving as information relating to the contents of the electronic signature received by the communication means from the signature verification apparatus. Provisional signature information that is information for signing and computing means for computing conversion data that is information for converting the temporary signature into a signature, and the communication means sends the temporary signature information to the signature verification device. After the transmission, the converted data is transmitted to the signature verification device, and a signature is made by an electronic signature.
[0007]
According to another aspect of the present invention, there is provided a signature verification apparatus having a communication unit that transmits and receives information for signing with a digital signature to the signature generation apparatus, and generates a message that is information relating to a content of the document to be signed with the digital signature. Whether or not provisional signature information, which is information for performing a provisional signature on the message, is calculated based on the message generation means, the secret key information stored in the signature generation apparatus, and the message. A verification unit that detects public key information corresponding to key information and the message; and when the verification unit detects that the temporary signature information is calculated, the verification unit sets the temporary contract for the message. And a conversion means transmitted from the signature generation apparatus after the provisional contract is set by the control means. And having a signature generating means for calculating a signature information from the temporary signature information.
[0008]
In addition, the present invention is connected to the signature verification apparatus by communication means and connected to the signature generation apparatus that communicates with the signature verification apparatus by communication means, and for the signature verification apparatus and the signature generation apparatus, In a signature generation auxiliary device that transmits / receives information for signing with an electronic signature, the secret key information that is information for performing the signature is divided into two as partial secret key information, and one of the divided partial secret key information is stored Based on the partial secret key information stored in the storage unit and a message serving as information relating to the content of the document to be signed by the electronic signature transmitted from the signature verification device. And provisional signature information that is information for performing the calculation and conversion means that calculates conversion data that is information for converting the temporary signature into a signature, After sending the temporary signature information to the signature verification device by serial communication means, and performs signature by an electronic signature and transmits the converted data to the signature verification device.
[0009]
In addition, the present invention is connected to the signature generation assisting device by communication means and connected to the signature generation device that communicates with the signature generation assisting device by communication means, and the signature generation assisting device and the signature generating device are connected to each other. On the other hand, in a signature verification apparatus that transmits and receives information for signing with an electronic signature, message generation means for generating a message that is information about the contents of a document that is signed with the electronic signature, and the message to the signature generation apparatus Storage means for storing partial signature information transmitted from the signature generation apparatus after transmission; partial secret key information stored in the signature generation auxiliary apparatus after transmitting the message to the signature generation auxiliary apparatus; and Whether or not provisional signature information, which is information for provisionally signing the message, is calculated based on the message Is detected by using public key information corresponding to the divided secret key information, the message, and the partial signature information, and the verification means detects that the temporary signature information has been calculated. Control means for setting as a temporary contract for the message, and after the temporary contract is set by the control means, the signature information is obtained from the temporary signature information based on the conversion data transmitted from the signature generation auxiliary device. And signature generating means for calculating.
[0010]
The present invention also provides a recording medium storing an electronic signature generation program in a signature generation apparatus having a communication unit that transmits and receives information for performing signature with the electronic signature to the signature verification apparatus, wherein the recording medium includes the signature A storage step for storing secret key information that is information for performing the information, a secret key information stored by the storage step, and information relating to the contents of the document to be digitally received by the communication means from the signature verification device A calculation step for calculating temporary signature information, which is information for performing a temporary signature on the message using a message, and conversion data, which is information for converting the temporary signature into a signature, by the communication means After the temporary signature information is transmitted to the signature verification device, the converted data is transmitted to the signature verification device, and the electronic signature is used. Possible to perform a transmission step of signing computer Te characterized.
[0011]
The present invention also provides a recording medium storing a signature generation program in a signature verification apparatus having a communication unit that transmits and receives information for performing a signature with an electronic signature to the signature generation apparatus, the recording medium including the electronic signature Information for performing a provisional signature on the message on the basis of a message generation step for generating a message as information on the contents of the document to be signed by the secret key information stored in the signature generation device and the message A verification step for detecting whether or not provisional signature information has been calculated using public key information corresponding to the secret key information and the message, and detecting that the provisional signature information has been calculated by the verification step A control step for setting as a temporary contract for the message, and Te after the temporary contract is set, based on the converted data to be transmitted from the signature generation apparatus, characterized in that to perform the signature generating step in a computer for calculating the signature information from the temporary signature information.
[0012]
In addition, the present invention is connected to the signature verification apparatus by communication means and connected to the signature generation apparatus that communicates with the signature verification apparatus by communication means, and for the signature verification apparatus and the signature generation apparatus, In a recording medium storing a signature generation program in a signature generation auxiliary device that transmits and receives information for performing a signature by using an electronic signature, the recording medium has private key information as information for performing the signature as partial secret key information. A storage step of storing one of the divided partial secret key information, a partial secret key information stored by the storage step, and a content of a document to be signed by the electronic signature transmitted from the signature verification device Based on the information message, provisional signature information, which is information for provisionally signing the message, and the provisional signature information A calculation step of calculating conversion data that is information for converting a name into a signature; and after transmitting temporary signature information to the signature verification apparatus by the communication means, the conversion data is transmitted to the signature verification apparatus to be electronic A transmission step of performing signature by signature is performed by a computer.
[0013]
In addition, the present invention is connected to the signature generation assisting device by communication means and connected to the signature generation device that communicates with the signature generation assisting device by communication means, and the signature generation assisting device and the signature generating device are connected to each other. On the other hand, in a recording medium that records a signature generation program in a signature verification apparatus that transmits and receives information for signing with an electronic signature, the recording medium generates a message that is information about the content of the document to be signed with the electronic signature. A message generation step, a storage step of storing partial signature information transmitted from the signature generation device after transmitting the message to the signature generation device, and after transmitting the message to the signature generation auxiliary device, Based on the partial secret key information stored in the signature generation auxiliary device and the message, the previous Verification that detects whether or not provisional signature information, which is information for performing provisional signature on a message, is calculated using public key information corresponding to the divided secret key information, the message, and the partial signature information A control step for setting a temporary contract for the message when the verification step detects that the temporary signature information has been calculated; and after the temporary contract is set by the control step, the signature A signature generation step of calculating signature information from the provisional signature information is performed by a computer based on the conversion data transmitted from the generation auxiliary device.
[0014]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, an IC card and a store terminal according to an embodiment of the present invention will be described with reference to the drawings. Here, a case where a user who owns an IC card goes to a store and makes a transaction contract using an electronic signature will be described as an example. FIG. 1 is a schematic block diagram showing a configuration of an electronic signature system according to an embodiment of the present invention. In this figure, the electronic signature system includes a user terminal 100, a store terminal 300, a network 400, and an IC card 500.
[0015]
In the user terminal 100, a storage unit 110, an input unit 120, and a communication unit 150 are connected by a bus 160, and various data are transferred between the various units of the apparatus via the bus 160 based on control of the control unit 130. . The user terminal 100 is provided at the user's home, for example.
The storage unit 110 includes a secret key SK that is key information for generating an electronic signature, a public key (e, n) that is key information corresponding to the secret key SK, and a public key issued by a certificate authority (CA). Public key certificate information Cert serving as data for certifying the owner of (e, n) is stored. The storage unit 110 stores various data.
The communication unit 150 communicates with the store terminal 300 via the network 400. The input unit 120 outputs a signal corresponding to an input from a user who uses the user terminal 100.
[0016]
Further, an input / output device (hereinafter referred to as “R / W”) 170 that transmits and receives data between the IC card 500 and the bus 160 is connected to the outside of the user terminal 100. Further, the user terminal 100 is connected to a display device (not shown) as a peripheral device. Here, the display device refers to a CRT (Cathode Ray Tube), a liquid crystal display device, or the like.
[0017]
The store terminal 300 includes a control unit 310, a storage unit 320, an MSG generation unit 330, an instruction unit 340, a signature generation unit 350, a verification unit 360, a communication unit 370, and a bus 380. Each unit of the store terminal 300 is connected by a bus 380, and data transfer is controlled by the control unit 310. The store terminal 300 is provided in a store such as a merchandise store or a financial institution, for example.
[0018]
The storage unit 320 stores a public key (e, n) and a partial secret key SKbi. The storage unit 320 stores various data. The MSG generation unit 330 generates a message (hereinafter referred to as “MSG”) which is a contract for making a contract with a user who is a contractor. The instruction unit 340 instructs the IC card 500 to “0” or “1” via the bus 380 and the R / W 390. The instruction of “0” or “1” is randomly determined.
[0019]
The verification unit 360 uses a random number r transmitted from the IC card 500.iAnd random number data RiBased on the above, it is detected whether or not the expression (1) using the format function shown below is satisfied.
F (ri)e= Rimod (n) (1)
However, F (ri) Is a format function, in which input data is set in a template including a fixed value such as an identification information ID, a date, a continuous or repeated pattern of 0 and 1, and the like are provided with redundancy. A code such as a checksum or CRC may be further added to this format function.
[0020]
  The verification unit 360 is transmitted from the IC card 500.ProvisionalSignature yiBased on the MSG generated by the MSG generation unit 330 and the public key e, it is detected whether the following expression (2) is satisfied.
yi e= Rih (MSG) mod (n) (2)
Here, a one-way hash function is used as the hash function used in this embodiment. In addition to this hash function, processing such as padding processing may be performed together.
[0021]
  The signature generation unit 350 is transmitted from the IC card 500.ProvisionalSignature yiAnd random number riBased on the above, the signature S is generated by the following equation (3).
S = yi/ F (ri) Mod (n) (3)
Further, the signature generation unit 350 verifies the signature S by detecting whether or not the following expression (4) holds for the generated signature S based on the MSG and the public key e.
Se= H (MSG) mod (n) (4)
[0022]
The communication unit 370 communicates with the user terminal 100 via the network 400. Further, an R / W 390 that transmits and receives data between the bus 380 and the IC card 500 is connected to the outside of the store terminal 300.
In addition, the store terminal 300 is connected to an input device, a display device, and the like (none of which are shown) as peripheral devices. Here, the input device refers to an input device such as a keyboard and a mouse. The display device refers to a CRT (Cathode Ray Tube), a liquid crystal display device, or the like.
[0023]
  The IC card 500 includes a communication unit 510, a control unit 520, a storage unit 530, a calculation unit 540, a random number generation unit 550, and a bus 560. The communication unit 510 communicates with the user terminal 100 via the R / W 170. The communication unit 510 communicates with the store terminal 300 via the R / W 390. The storage unit 530 stores the secret key SK transmitted from the user terminal 100. The storage unit 530 stores random numbers.r iIs stored every time the random number generation unit 550 generates. Based on the MSG transmitted from the store terminal 300 and the secret key SK stored in the storage unit 530, the calculation unit 540 calculates the signature S according to the following equation (5).
S = h (MSG)SKmod (n) (5)
[0024]
In addition, the calculation unit 540 generates a signature S and a random number r generated by the random number generation unit 550.iBased on the above, the provisional signature yiIs calculated.
yi= F (ri) S x mod (n) (6)
[0025]
In addition, the calculation unit 540 generates a random number r generated by the random number generation unit 550.iAnd the public key e, the random number data R according to the following equation (7)iIs calculated.
Ri= F (ri)emod (n) (7)
The random number generator 550 generates a random number riIs generated.
[0026]
  The control unit 520 performs control to transfer data between each unit in the IC card 500 via the bus 560. In addition, the control unit 520 sends the random number data R to the store terminal 300.iWhen “0” is instructed from the store terminal 300 after sendingr iIs transmitted to the store terminal 300, and when “1” is instructed from the store terminal 300, the temporary signature y is generated by the calculation unit 540.iIs transmitted to the store terminal 300.
[0027]
  Next, the operation of the electronic signature system in the configuration of FIG. 1 will be described using the flowchart of FIG. First, after the user inserts the IC card 500 into the R / W 170, the storage unit110The public key (e, n), secret key SK, and public key certificate information Cert stored in the IC card 500 are transferred and stored in the storage unit 530 of the IC card 500. Then, when the user goes to the store where the store terminal 300 is installed with the IC card 500 and conducts a transaction with an employee of the store and makes a contract, the user transmits a message as information on the content of the contract. Ask the employee to
[0028]
Next, the employee inputs to the store terminal 300 an instruction to generate an MSG that is information about the contents of the contract. The MSG generation unit 330 of the store terminal 300 receives the MSG generation instruction, generates the MSG, and stores the generated MSG in the storage unit 530. The control unit 310 performs control to display the MSG generated by the MSG generation unit 330 on the display device.
[0029]
Next, after confirming the MSG displayed on the display device by the user, the IC card 500 is inserted into the R / W 390. When the IC card 500 is inserted into the R / W 390, the control unit 310 reads out the public key (e, n) and the public key certificate information Cert stored in the storage unit 530 of the IC card 500 (step S1). ). Then, the store terminal 300 stores the read public key (e, n) and the public key certificate information Cert in the storage unit 320 and then displays them on the display device. The employee confirms the public key (e, n) with the public key (e, n) and the public key certificate information Cert displayed on the display device (step S2), and then instructs the MSG to be transmitted from the input device. Enter. When an MSG transmission instruction is input, control unit 310 reads MSG stored in storage unit 320 and transfers it to IC card 500 (step S3).
[0030]
The MSG transferred to the IC card 500 is stored in the storage unit 530. When the MSG is stored, the calculation unit 540 generates a signature S according to equation (5) based on the MSG and the private key SK stored in the storage unit 530 (step S4). Next, the calculation unit 540 sends a random number r to the random number generation unit 550.iInstruct the generation of. The random number generation unit 550 generates a random number r in response to an instruction from the calculation unit 540.iIs generated (step S5), output to the calculation unit 540, and a random number r with the number of times generated.iIs stored in the storage unit 530.
[0031]
The calculation unit 540 receives the random number r from the random number generation unit 550.iIs output, this random number riAnd the signature S, the provisional signature yi(Step S6), and public key e and random number riBased on the above, the random number data R according to the equation (7)iIs generated (step S7), and the generated temporary signature y is generated.iAnd random number data RiAnd temporarily hold. Then, the calculation unit 540 generates the generated random number data RiIs transmitted to the store terminal 300 by the communication unit 510 (step S8).
[0032]
Store terminal 300 uses random number data R transmitted from IC card 500.iIs stored in the storage unit 320. Random number data RiIs stored, the instruction unit 340 instructs the IC card 500 to “0” or “1”.
When “0” is instructed from the instruction unit 340, the control unit 520 of the IC card 500 stores the random number r stored in the storage unit 320.iIs read out and output to the store terminal 300 by the communication unit 510. The communication unit 510 receives a random number r in response to an instruction from the control unit 520.iIs transmitted to the store terminal 300 (step S10).
[0033]
The store terminal 300 has a random number riIs received by the verification unit 360.iAnd random number data R stored in the storage unit 320iBased on the above, it is detected whether or not the above equation (1) is established (step S11). When (1) is established, the verification unit 360 detects that the IC card 500 has calculated using the correct secret key SK.
[0034]
On the other hand, when “1” is instructed from the instruction unit 340, the control unit 520 of the IC card 500 displays the temporary signature y held in the calculation unit 540.iIs read out and output to the store terminal 300 by the communication unit 510. In response to an instruction from the control unit 520, the communication unit 510 receives the temporary signature yiIs transmitted to the store terminal 300 (step S12).
[0035]
The store terminal 300 has a temporary signature yiIs stored in the storage unit 320, and then is verified by the verification unit 360.iAnd the public key e, MSG, and random number data R stored in the storage unit 320iBased on the above, it is detected whether or not the above equation (2) is established (step S12). When (2) is established, the verification unit 360 detects that the IC card 500 has been calculated using the correct secret key SK (step S13).
[0036]
Then, when the verification unit 360 detects that the calculation is performed using the correct secret key SK, the control unit 310 further performs control to repeat the processing operation from step S5 to step S13 k times. When it is detected that the calculation is always performed using the correct secret key SK after repeating k times, the control unit 310 determines that the temporary signature y transmitted i times (1 ≦ i ≦ k)iIs extracted from the storage unit 320 as information for generating the signature S, and the public key (e, n), public key certificate information Cert, and MSG are associated and stored in the storage unit 320 (step S15). The control unit 310 then extracts the extracted temporary signature yiIs output to the IC card 500 (step S16).
[0037]
The IC card 500 stores the number-of-times information i output from the store terminal 300 in the storage unit 530 (step S17).
After the count information is stored, the user takes out the IC card 500 from the R / W 390, returns to the home, and then causes the user terminal 100 to display the MSG stored in the IC card 500 on the display device. The contents of MSG are confirmed again (step S18). After the content of the MSG is confirmed by the user, the communication unit 150 responds to a transmission instruction from the user, and the communication unit 150 stores the frequency information i stored in the storage unit 530 of the IC card 500 via the network 400. Random number r corresponding toiIs transmitted to the store terminal 300 as converted data (step S19).
[0038]
  Random number r transmitted from IC card 500iIs received from the IC card 500 by the signature generation unit 350.ProvisionalSignature yiAnd random number riBased on the above, the signature S is generated by the above-described equation (3). Next, the signature generation unit 350 verifies the signature S using the above-described equation (4) based on the generated signature S and the public key e.
[0039]
As described above, the verification unit 360 detects whether or not the expressions (1) and (2) are established, so that the store terminal 300 does not receive the signature S itself from the IC card 500. It is possible to confirm that the user has the secret key SK and confirm that the user has generated temporary signature data for the MSG. By performing these confirmations, a temporary signature is performed, and after the user confirms the MSG, the random number riSend a temporary signature yiCan be converted into a signature S.
[0040]
The temporary signature y generated hereiSince it is not possible to determine whether or not it is legitimate for a third party, it is not established as a formal electronic signature, so that the user's risk can be limited to the user and the store side.
[0041]
Here, with reference to FIG.iWill be described. Using the conventional RSA signature method, Se= H (MSG), but according to the above method, the temporary signature yiIs yi e= RiXh (MSG). Therefore, the temporary signature yiIs generated using random numbers, Ri= H (MSG) / yi eRandom number data RiIs calculated by a third party who does not have the private key SK.iCan be generated, or a third party can impersonate the user.
[0042]
On the other hand, the IC card 500 cannot predict “0” or “1” designated from the store terminal 300. If it can be predicted that “1” will be instructed from the store terminal 300, the temporary signature y is previously set as described above.iIs generated using random numbers and random number data RiAnd random number data RiThe temporary signature y generated using a random number after “1” is instructed from the store terminal 300iIs verified in the store terminal 300 (reference numeral 600).
[0043]
However, when “0” is instructed from the store terminal 300, the random number data RiRandom number r corresponding toiIs not transmitted, the verification of the store terminal 300 is not established. In this case, F (ri)e= RiRandom number r satisfyingiThis random number r is calculated.iTo find ri= F '(Ri SK), And if there is no secret key SK, the random number riCannot be computed. Accordingly, it is predicted that “1” is instructed in the IC card 500, and the random number riAnd random number data RiIf there is no secret key SK, the random number riCan not be calculated, it is possible to detect impersonation by the verification of the verification unit 360 (reference numeral 601). (However, F '() is the inverse function of F ())
[0044]
On the other hand, a random number r is predicted by predicting that “0” is instructed from the store terminal 300.iGenerate random number data RiRi= F (ri)eRandom number data RiWhen “0” is instructed from the store terminal 300 as predicted after transmitting to the store terminal 300, the random number riCan be verified by the verification unit 360, and a third party who does not have the secret key SK can be impersonated (reference numeral 602).
[0045]
However, in this case, when “1” is instructed from the store terminal 300, the temporary signature yiAt this time, but the temporary signature yiTo generate a secret key SK, and a third party who does not have the secret key SK can use the temporary signature y for establishing verification.iCannot be generated (reference numeral 603). Therefore, the verification unit 360 can detect impersonation of a third party who does not have the secret key SK.
[0046]
In this way, the store terminal 300 uses the random number data RiIt is possible to detect whether or not the user has the secret key SK by instructing “0” or “1” after receiving the password. At this time, the above-mentioned instruction “0” or “1” is performed to verify the data to be transmitted, thereby impersonating a third party who does not have the secret key SK with a probability of 1/2. Since it is possible to detect “0” or “1” by repeating the process of instructing k times k times, (1/2)kSince it is possible to detect impersonation of a third party who does not have the secret key SK, the store terminal 300 uses the provisional signature y with an overwhelming probability.iIt is possible to confirm that is correct. Therefore, the store terminal 300 can confirm that the user has the secret key SK even if the signature S itself is not transmitted from the IC card 500.
[0047]
The store at the store terminal 300 is illegal and the provisional signature is yiWhen the user forges the temporary signature y by performing verification processing of the temporary signatureiIt is possible to verify whether is forged. This verification processing is performed by, for example, provisional signature y verified with MSGiAnd T = yi÷ h (MSG)SKThe temporary signature y is given by the equation mod (n).iIt is verified whether or not conforms to the format function of F (). Since this format function is redundant, the provisional signature yiIf it is counterfeited, it will not conform to the format with an overwhelmingly high probability.iCan be verified. However, when this verification process is performed, since the signature S for MSG can be calculated from T, it is desirable that a reliable third party confirm T instead of handing T directly to the store terminal 300.
[0048]
Next, a second embodiment will be described. FIG. 4 is a schematic block diagram showing the configuration of the electronic signature system in the second embodiment. In this figure, parts corresponding to those in FIG. 1 are denoted by the same reference numerals, and description thereof is omitted.
The distribution unit 140 of the user terminal 100 divides the secret key SK into a partial secret key SK1 and a partial secret key SK2. The random number generator 180 generates a random number riIs generated. The calculation unit 190 performs a calculation in the same manner as the calculation unit 540 in FIG. 1, and performs partial signature S1 and random number data R.i, Provisional signature yiIs calculated.
[0049]
  The computing unit 541 of the IC card 500 computes the partial signature S2 by the following equation (8) based on the MSG transmitted from the store terminal 300 and the secret key SK2 stored in the storage unit 530..
S2 = h (MSG)SK2mod (n) (8)
Here, the partial signature is a signature S that is generated when two partial signatures Sn, that is, the partial signature S1 and the partial signature S2 are collected.
[0050]
  Next, the operation of the apparatus in the configuration of FIG. 4 will be described using the flowchart of FIG. First, after the user inserts the IC card 500 into the R / W 170, the storage unit110The public key (e, n) and the public key certificate information Cert stored in are stored in the storage unit 530 of the IC card 500 (step S48). Next, the user inputs an instruction to divide the secret key SK from the input unit 120. The distribution unit 140 reads the secret key SK from the storage unit 110 in accordance with an instruction input from the input unit 120, divides it into the secret key SK1 and the secret key SK2 (step S49), and the divided secret key SK1 and secret The key SK2 is stored in the storage unit 110. When the secret key SK is divided by the distribution unit 140, the divided secret key SK2 is stored in the storage unit 530 of the IC card 500 (step S50).
[0051]
Then, when the user goes to the store where the store terminal 300 is installed with the IC card 500 and conducts a transaction with an employee of the store and makes a contract, the user transmits a message as information on the content of the contract. Ask the employee to
2, the public key (e, n) and the public key certificate information Cert are transmitted from the IC card 500 to the store terminal 300 (step S51), and are made public at the store terminal 300. After confirmation of the key (e, n) (step S52), an MSG is generated and transmitted to the IC card 500 (step S53).
[0052]
  Based on the MSG transmitted from the store terminal 300 and the secret key SK2 stored in the storage unit 530, the calculation unit 540 is S2 = h (MSG)SK2The partial signature S <b> 2 is calculated by the equation mod (n) and stored in the storage unit 530. After being stored in the storage unit 530, the control unit 520 transmits the partial signature S2 by the communication unit 510 to the store terminal 300 (step S54). Store terminal 300 stores partial signature S <b> 2 transmitted from IC card 500 in storage unit 530.
[0053]
  After the partial signature S2 is stored, the store terminal 300 transmits MSG to the user terminal 100 (step S55). The user terminal 100 sends the partial signature S1 to S1 = h (MSG) by the calculation unit 190.SK1It is generated by the equation mod (n) (step S56) and stored in the storage unit 110. Next, the user terminal 100 generates the random number ri by the random number generation unit 180 and then stores the random number ri in the storage unit 110, and also generates the temporary signature yi and the random number data Ri by the calculation unit 190 and stores them in the storage unit 530. Thereafter, the random number data Ri is transmitted to the store terminal 300 (step S57).
[0054]
Store terminal 300 uses random number data RiAnd stored in the storage unit 320, the instruction unit 340 instructs the user terminal 100 to “0” or “1” (step S58). The user terminal 100 receives a random number r when “0” is instructed from the store terminal 300.iIs sent to the store terminal 300, and when “1” is instructed, a temporary signature yiIs transmitted to the store terminal 300 (step S59).
[0055]
The store terminal 300 generates a random number r according to the data transmitted from the user terminal 100 by the verification unit 360.iOr temporary signature yiIs verified (step S60). Then, the processes from step S57 to step S60 are repeated k times (step S61). At this time, the store terminal 300 receives the temporary signature yi, Public key (e, n), public key certificate information Cert, MSG, and partial signature S2 are stored in the storage unit 320 in association with the number of times i (1 ≦ i ≦ k) (step S61). And the shop terminal 300 transmits the frequency | count i to the user terminal 100 as frequency information i (step S62). When receiving the number-of-times information i from the store terminal 300, the user terminal 100 stores the number-of-times information i in the storage unit 110 (step S63).
[0056]
Then, after the user brings the IC card 500 home, the content of the MSG is displayed on the display device of the user terminal 100, and after confirming the content of the MSG, if there is no problem with the MSG, the count information i Corresponding random number riIs transmitted as conversion data to the store terminal 300 (step S64). The store terminal 300 uses the random number r transmitted from the user terminal 100 by the signature generation unit 350.iS = (yi× S2) ÷ F (ri) A signature S is generated by the equation mod (n), and the signature S is verified by the verification unit 360 (step S65).
[0057]
In the above embodiment, the generation of a temporary signature and the random number riIn the transmission, a PIN may be set for the IC card 500, or different data may be set for the PIN. Also, when generating a temporary signature, the PIN is not set and the random number riIt may be set so that a PIN is input when transmitting. In this way, different levels of restrictions are set using the access control function of the IC card 500, and the store terminal 300 generates a random number r at the time of provisional signature.iIt is preferable to prevent the material from being taken out secretly.
[0058]
In the above embodiment, the user uses a random number r.iIs not transmitted within a predetermined period, the store terminal 300 displays the temporary signature yiYou may make it cancel the temporary contract by.
In the above embodiment, the process of instructing “0” or “1” and performing verification by the verification unit 360 is repeated k times. However, k data may be transmitted and received at a time.
[0059]
In the above embodiment, the random number riWhen generating a random number r0And ri= H (r0You may make it produce | generate as (ii). Thus, one random number r0And the number information i are stored in a random number riSince it is possible to calculate the random number riNeed not be memorized every time As a result, it is possible to suppress an increase in necessary storage area.
[0060]
Furthermore, according to the above-described embodiment, it is only necessary to implement almost the same processing as the method using the conventional RSA signature, so that the processing in the IC card is not increased, thereby applying the present invention to the conventional IC card. can do.
[0061]
The random number riRi'= H (ri), And the calculated random number ri'Is a new random number riAnd again using the above equation, ri′ May be calculated. The random number riYou may make it produce | generate by methods other than the above-mentioned method.
[0062]
In the above-described second embodiment, the secret key SK is divided into two, but may be divided using a secret share. The secret share here means that the secret key SK is distributed to n partial secret keys SK1 to SKn with a threshold value k, and based on the distributed partial secret keys SK1 to SKn and MSG, the partial signatures S1 to S1 are distributed. Sn is generated. A signature S is generated when k arbitrary partial signatures Sn are collected from the partial signatures S1 to Sn.
[0063]
Furthermore, in the second embodiment described above, the secret key SK is divided into two and stored in the IC card 500 and the user terminal 100, so that the IC card 500 is lost or stolen. If a new secret key SK1 ′ and a secret key SK2 ′ are generated from the secret key SK by the user terminal 100 and the secret key SK1 ′ is set in the user terminal 100, the third party is lost. Even if the IC card 500 is to be abused, the effect that it cannot be used is obtained.
[0064]
Furthermore, in the above-described second embodiment, the case where the secret key SK is divided into two has been described as an example. However, the secret key SK is divided into the secret key SK1, the secret key SK2, and the secret key SK3, and the secret key SK1 May be stored in the IC terminal 500, the secret key SK3 is stored in the store terminal 300, and the signature S may be generated when these three secret keys are collected.
[0065]
Furthermore, in the above-described second embodiment, even if the secret key SK2 is copied to a third party without the user's knowledge, the random number r is received from the user terminal 100.iUnless the message is transmitted, the contract is not established, so that it is possible to prevent misuse of a malicious third party.
[0066]
1 is recorded on a computer-readable recording medium, and the program recorded on the recording medium is read into a computer system and executed to execute digital signature generation management. You may go. Here, the “computer system” includes an OS and hardware such as peripheral devices.
Further, the “computer system” includes a homepage providing environment (or display environment) if a WWW system is used.
The “computer-readable recording medium” refers to a portable medium such as a floppy disk, a magneto-optical disk, a ROM, or a CD-ROM, and a storage device such as a hard disk built in the computer system. Furthermore, the “computer-readable recording medium” dynamically holds a program for a short time like a communication line when transmitting a program via a network such as the Internet or a communication line such as a telephone line. In this case, a volatile memory in a computer system serving as a server or a client in that case, and a program that holds a program for a certain period of time are also included. The program may be a program for realizing a part of the functions described above, and may be a program capable of realizing the functions described above in combination with a program already recorded in a computer system.
The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to this embodiment, and includes design and the like within a scope not departing from the gist of the present invention.
[0067]
【The invention's effect】
As described above, according to the present invention, after the provisional contract is made with the temporary signature information, the conversion data for converting the temporary signature information into the signature information is transmitted. It can be confirmed that it corresponds to the user's public key, and at the time of the contract, the proof that the user is the person who actually contracts and the provisional contract that tentatively concludes the contract can be performed. can get. By sending conversion data from the user to the store, the temporary signature information can be converted into an electronic signature and a contract can be made. After the temporary signature is confirmed at the store and the contents of the contract to be signed are confirmed, The effect that an electronic signature can be performed is obtained.
[0068]
In addition, according to the present invention, since the electronic signature is performed after the provisional signature, the message can be confirmed without providing a display or the like on the IC card, thereby suppressing an increase in manufacturing cost of the IC card. it can.
Further, according to the present invention, the electronic signature is performed after the provisional signature. Therefore, after the electronic signature is generated, it can be handled in the same manner as conventional electronic signature information, so that the electronic signature can be performed without reducing the compatibility between the IC card and other terminal devices. can get.
[0069]
Further, according to the present invention, since the secret key information is divided into two and stored in the IC card and the user terminal, if the IC card 500 is lost or stolen, the IC card Even if the partial secret key is copied to a third party without the user's knowledge, the contract is not established unless the conversion data is sent from the user terminal, so the confidentiality of the secret key information can be improved. An effect is obtained.
[Brief description of the drawings]
FIG. 1 is a schematic block diagram showing a configuration of an electronic signature system according to an embodiment of the present invention.
FIG. 2 is a flowchart for explaining the operation of the electronic signature system in the configuration of FIG. 1;
[Figure 3] Temporary Signature yiIt is drawing for demonstrating.
FIG. 4 is a schematic block diagram illustrating a configuration of an electronic signature system according to a second embodiment.
FIG. 5 is a flowchart for explaining the operation of the electronic signature system in the configuration of FIG. 4;
[Explanation of symbols]
100 user terminals, 110 storage units,
130, 310, 520 control unit, 140 distribution unit,
150, 370, 510 communication unit, 180 random number generation unit,
190 calculation unit, 300 store terminal, 320 storage unit,
330 MSG generation unit, 340 instruction unit, 350 signature generation unit,
360 verification unit, 500 IC card, 530 storage unit,
540, 541 arithmetic unit, 550 random number generator

Claims (10)

署名検証装置に対して電子署名によって署名を行うための情報を送受信する通信手段を有する署名生成装置において、
前記署名を行うための情報となる公開鍵情報及び秘密鍵情報を記憶する記憶手段と、
前記記憶手段に記憶される秘密鍵情報と前記通信手段によって前記署名検証装置から受信する電子署名を行う文書の内容に関する情報となるメッセージとを用いた仮署名と、前記仮署名を署名に変換するための情報である変換データを演算する演算手段とを有し、
前記通信手段によって、前記公開鍵情報及び前記仮署名を前記署名検証装置に送信した後に、該署名検証装置において前記仮署名を電子署名に変換する前記変換データを前記署名検証装置に送信することを特徴とする署名生成装置。In a signature generation apparatus having communication means for transmitting and receiving information for performing a signature with an electronic signature to a signature verification apparatus,
Storage means for storing public key information and secret key information to be information for performing the signature;
A temporary signature using secret key information stored in the storage means and a message that is information about the contents of a document to be digitally received from the signature verification apparatus by the communication means, and the temporary signature is converted into a signature. Calculation means for calculating conversion data which is information for
By said communication means to transmit the public key information and the temporary signature after sending the signature verification apparatus, the conversion data for converting the temporary signatures in the digital signature in the signing verification apparatus to the signature verification device A signature generation apparatus characterized by the above. 署名検証装置に対して電子署名によって署名を行うための情報を送受信する通信手段を有する署名生成装置において、
前記署名を行うための情報となる公開鍵情報及び秘密鍵情報を記憶する記憶手段と、
乱数を発生する乱数生成部と、
前記署名検証装置から受信する電子署名を行う文書の内容に関する情報となるメッセージと秘密鍵情報とから署名情報を生成し、該署名情報と前記乱数とから仮署名を生成し、前記公開鍵情報と前記乱数とから乱数データを演算する演算手段と、
前記通信手段によって、前記公開鍵情報を前記署名検証装置に送信し、前記乱数データを前記署名検証装置に送信した後に、該署名検証装置から送信される「0」または「1」のデータに対応して、予め対応付けられた前記乱数または前記仮署名を、「0」または「1」が入力される毎に送信することを特徴とする署名生成装置。In a signature generation apparatus having communication means for transmitting and receiving information for performing a signature with an electronic signature to a signature verification apparatus,
Storage means for storing public key information and secret key information to be information for performing the signature;
A random number generator for generating random numbers;
Generating signature information from a message and private key information, which is information relating to the content of the electronic signature received from the signature verification device, generating a temporary signature from the signature information and the random number, and the public key information A computing means for computing random number data from the random number;
Corresponding to the data “0” or “1” transmitted from the signature verification device after transmitting the public key information to the signature verification device and transmitting the random number data to the signature verification device by the communication means. Then, the random number or the temporary signature associated in advance is transmitted every time “0” or “1” is input. 署名生成装置に対して電子署名によって署名を行うための情報を送受信する通信手段を有する署名検証装置において、
前記電子署名によって署名を行う文書の内容に関する情報となるメッセージを生成するメッセージ生成手段と、
前記署名生成装置に記憶される秘密鍵情報と前記メッセージとを用いた仮署名が演算されたか否かを、前記秘密鍵情報に対応する公開鍵情報と前記メッセージとを用いて検出する検証手段と、
前記検証手段によって、前記仮署名が演算されたことが検出された場合に、前記メッセージに対する前記仮署名を設定する制御手段と、
前記制御手段によって前記仮署名が設定された後に、前記署名生成装置から前記署名生成装置において生成された変換データの送信があった場合に、当該変換データに基づいて、前記仮署名から署名情報を演算する署名生成手段と、
を有し、
前記署名生成手段が前記署名情報と、メッセージ及び公開鍵から比較署名情報とを生成し、前記検証手段が前記署名情報と前記比較署名情報とを比較して署名の検証を行うことを特徴とする署名検証装置。In a signature verification apparatus having communication means for transmitting and receiving information for performing a signature with an electronic signature to a signature generation apparatus,
Message generating means for generating a message which is information relating to the contents of the document to be signed by the electronic signature;
Verification detected using the public key information and the message provisional signature using said message and secret key information stored in the signature generation device whether or not a computation, corresponding to the secret key information Means,
By said verification means, in the case where the temporary signed is detected to have been computed, and control means for setting the temporary signature for said message,
After the temporary signed is set by said control means, when said from the signature generating device had sent the converted data generated in the signature generation apparatus, based on the converted data, the temporary signature or al Signature generation means for calculating signature information;
Have
The signature generation unit generates the signature information and comparison signature information from a message and a public key, and the verification unit compares the signature information with the comparison signature information to verify the signature. Signature verification device. 署名生成装置に対して電子署名によって署名を行うための情報を送受信する通信手段を有する署名検証装置において、
前記電子署名によって署名を行う文書の内容に関する情報となるメッセージを生成するメッセージ生成手段と、
前記署名生成装置に記憶される秘密鍵情報と前記メッセージとを用いて仮署名が演算されたか否かを、前記秘密鍵情報に対応する公開鍵情報と前記メッセージとを用いて検出する検証手段と、
前記検証手段によって、前記仮署名が演算されたことが検出された場合に、前記メッセージに対する前記仮署名を設定する制御手段と、
前記制御手段によって前記仮署名が設定された後に、前記署名生成装置から前記署名生成装置において生成された乱数の送信があった場合に、当該乱数に基づいて、前記仮署名から署名情報を演算する署名生成手段と、
前記仮署名から署名情報を生成する情報である乱数から生成した乱数データを前記署名生成装置から受信した後、該署名生成装置に対して「0」または「1」のデータをランダムに複数回送信する指示部と
を有し、
前記検証手段が、前記指示部の送信する「0」または「1」に対応して入力される前記乱数または前記仮署名を、指定された「0」または「1」に対応して受信されているか否かを検証し、署名生成手段が仮署名及び乱数から署名情報と、メッセージ及び公開鍵から比較署名情報とを生成し、前記検証手段が前記署名情報と比較署名情報とを比較して署名の検証を行うことを特徴とする署名検証装置。In a signature verification apparatus having communication means for transmitting and receiving information for performing a signature with an electronic signature to a signature generation apparatus,
Message generating means for generating a message which is information relating to the contents of the document to be signed by the electronic signature;
Verifying means for detecting, using the public key information corresponding to the secret key information and the message, whether or not a temporary signature has been calculated using the secret key information stored in the signature generating apparatus and the message; ,
By said verification means, in the case where the temporary signed is detected to have been computed, and control means for setting the temporary signature for said message,
After the temporary signed is set by said control means, when said from the signature generating device had sent the random number generated in the signature generation apparatus, based on the random number, the temporary signatures or al signature information Signature generating means for computing
A plurality of random number data generated from the information in a random number to generate the temporary signature or et signature information after receiving from the signature generation apparatus, a data of "0" or "1" at random with respect to the signing generator And an instruction section for transmitting the message once,
The verification means, the random number or the temporary signed is input corresponds to the "0" or "1" sends the instruction unit, is received corresponding to the specified "0" or "1" and whether to validate that, compared with signature information signature generating means from the temporary signed及 beauty random number, and generates a comparison signature information from the message and the public key, the verification means and a comparison signature information and the signature information Signature verification apparatus characterized in that the signature is verified. 署名検証装置に通信手段によって接続されるとともに、前記署名検証装置と通信を行う署名生成装置に通信手段によって接続され、前記署名検証装置と前記署名生成装置とに対して、電子署名によって署名を行うため情報を送受信する署名生成補助装置において、
前記署名を行うための情報となる秘密鍵情報が部分秘密鍵情報として2分割され、分割された一方の部分秘密鍵情報を記憶する記憶手段と、
前記記憶手段に記憶される部分秘密鍵情報と前記署名検証装置から送信される前記電子署名によって署名を行う文書の内容に関する情報となるメッセージとを用いた仮名と、前記仮署名を署名に変換するための情報である変換データを演算する演算手段とを有し、
前記通信手段によって仮署名を前記署名検証装置に送信した後に、該署名検証装置において前記仮署名を電子署名に変換する前記変換データを前記署名検証装置に送信することを特徴とする署名生成補助装置。Connected to the signature verification apparatus by communication means and connected to the signature generation apparatus that communicates with the signature verification apparatus by communication means, and signs the signature verification apparatus and the signature generation apparatus with an electronic signature Therefore, in the signature generation auxiliary device that transmits and receives information,
Storage means for storing secret key information, which is information for performing the signature, into two as partial secret key information, and storing one of the divided partial secret key information;
And the temporary signature with message comprising information about the content of the document for signing by the electronic signature transmitted partial secret key information stored with in the storage means from the signature verification apparatus, the signature the temporary signature Arithmetic means for calculating conversion data that is information for conversion,
After sending the temporary signature to the signature verification device by the communication unit, the signature generation and transmits the converted data to convert the temporary signatures in the digital signature in the signing verification apparatus to the signature verification device Auxiliary device. 署名生成補助装置に通信手段によって接続されるとともに、前記署名生成補助装置と通信を行う署名生成装置に通信手段によって接続され、前記署名生成補助装置と前記署名生成装置とに対して、電子署名によって署名を行うため情報を送受信する署名検証装置において、
前記電子署名によって署名を行う文書の内容に関する情報となるメッセージを生成するメッセージ生成手段と、
前記メッセージを前記署名生成装置に送信した後、前記署名生成装置から送信される部分署名情報を記憶する記憶手段と、
前記メッセージを前記署名生成補助装置に送信した後、前記署名生成補助装置に記憶される部分秘密鍵情報と前記メッセージとに基づいた仮名が演算されたか否かを、前記分割された秘密鍵情報に対応する公開鍵情報と前記メッセージと前記部分署名情報とを用いて検出する検証手段と、
前記検証手段によって、前記仮署名が演算されたことが検出された場合に、前記メッセージに対する前記仮署名を設定する制御手段と、
前記制御手段によって前記仮署名が設定された後に、前記署名生成補助装置から前記署名生成補助装置において生成された変換データの送信があった場合に、当該変換データにに基づいて、前記仮署名から署名情報を演算する署名生成手段と、
を有し、
前記署名生成手段が前記署名情報と、メッセージ及び公開鍵から比較署名情報とを生成し、前記検証手段が前記署名情報と前記比較署名情報とを比較して署名の検証を行うことを特徴とする署名検証装置。Connected to the signature generation auxiliary device by communication means, and connected to the signature generation device that communicates with the signature generation auxiliary device by communication means, and with respect to the signature generation auxiliary device and the signature generation device by an electronic signature In a signature verification device that sends and receives information for signing,
Message generating means for generating a message which is information relating to the contents of the document to be signed by the electronic signature;
Storage means for storing partial signature information transmitted from the signature generation device after transmitting the message to the signature generation device;
After sending the message to the signature generating auxiliary device private key temporary signature to the signature generation part secret key information stored in the auxiliary device and based on said message whether computed, which is the divided Verification means for detecting using public key information corresponding to information, the message and the partial signature information;
By said verification means, in the case where the temporary signed is detected to have been computed, and control means for setting the temporary signature for said message,
After the temporary signed is set by said control means, when said from the signature generating auxiliary device had sent the converted data generated in the signature generation auxiliary device, on the basis of on the converted data, the temporary station a signature generating means for calculating a name or et signature information,
Have
The signature generation unit generates the signature information and comparison signature information from a message and a public key, and the verification unit compares the signature information with the comparison signature information to verify the signature. Signature verification device. 署名検証装置に対して電子署名によって署名を行うための情報を送受信する通信手段を有する署名生成装置における電子署名生成プログラムを記憶した記録媒体において、
前記記録媒体は、前記署名を行うための情報となる秘密鍵情報を記憶する記憶ステップと、
前記記憶ステップによって記憶される秘密鍵情報と前記通信手段によって前記署名検証装置から受信する電子署名を行う文書の内容に関する情報となるメッセージとを用いて仮名と前記仮署名を署名に変換するための情報である変換データを演算する演算ステップとを有し、
前記通信手段によって仮署名を前記署名検証装置に送信した後に、該署名検証装置において前記仮署名を電子署名に変換させる前記変換データを前記署名検証装置に送信する送信ステップと、をコンピュータに行わせることを特徴とする署名生成プログラムを記憶した記録媒体。In a recording medium storing an electronic signature generation program in a signature generation apparatus having a communication means for transmitting and receiving information for performing a signature with an electronic signature to a signature verification apparatus,
The recording medium stores a secret key information serving as information for performing the signature;
Converting the temporary signature temporary signature to signature using a message that is information about the contents of a document for performing an electronic signature received from the signature verifying device by the private key information and the communication means is stored by said storing step And a calculation step for calculating conversion data that is information for
After sending the temporary signature to the signature verification device by the communication unit, a transmitting step of transmitting the converted data to convert the temporary signatures in the digital signature in the signing verification apparatus to the signature verification device, to the computer A recording medium storing a signature generation program characterized by being executed. 署名生成装置に対して電子署名によって署名を行うための情報を送受信する通信手段を有する署名検証装置における署名検証プログラムを記憶した記録媒体において、
前記記録媒体は、前記電子署名によって署名を行う文書の内容に関する情報となるメッセージを生成するメッセージ生成ステップと、
前記署名生成装置に記憶される秘密鍵情報と前記メッセージとに基づいて仮名が演算されたか否かを、前記秘密鍵情報に対応する公開鍵情報と前記メッセージとを用いて検出する検証ステップと、
前記検証ステップによって、前記仮署名が演算されたことが検出された場合に、前記メッセージに対する前記仮署名を設定する制御ステップと、
前記制御ステップによって前記仮署名が設定された後に、前記署名生成装置から前記署名生成装置において生成された変換データの送信があった場合に、当該変換データに基づいて、前記仮署名から署名情報を演算する署名生成ステップと、
を有し、
前記署名生成手段が仮署名及び乱数から署名情報と、メッセージ及び公開鍵から比較署名情報とを生成し、前記検証手段が前記署名情報と比較署名情報とを比較して署名の検証を行うコンピュータに行わせることを特徴とする署名検証プログラムを記憶した記録媒体。In a recording medium storing a signature verification program in a signature verification apparatus having a communication means for transmitting and receiving information for performing a signature with an electronic signature to a signature generation apparatus,
The recording medium generates a message that is information about the content of the document to be signed by the electronic signature;
Verification step of detecting by using the public key information and the message whether the temporary signature based on said private key information message is computed to be stored in the signature generating apparatus, corresponding to the secret key information When,
By said verification step, when the temporary signed is detected to have been computed, and a control step of setting the temporary signature for said message,
After the temporary signed is set by said control step, when said from the signature generating device had sent the converted data generated in the signature generation apparatus, based on the converted data, the temporary signature or al A signature generation step for calculating signature information;
Have
A signature information wherein the signature generating means from the temporary signed及 beauty random number, and generates a comparison signature information from the message and the public key, verifies the signature the verification means compares the comparison signature information and the signature information A recording medium storing a signature verification program which is executed by a computer. 署名検証装置に通信手段によって接続されるとともに、前記署名検証装置と通信を行う署名生成装置に通信手段によって接続され、前記署名検証装置と前記署名生成装置とに対して、電子署名によって署名を行うため情報を送受信する署名生成補助装置における署名生成プログラムを記憶した記録媒体において、
前記記録媒体は、前記署名を行うための情報となる秘密鍵情報が部分秘密鍵情報として2分割され、分割された一方の部分秘密鍵情報を記憶する記憶ステップと、
前記記憶ステップによって記憶される部分秘密鍵情報と前記署名検証装置から送信される前記電子署名によって署名を行う文書の内容に関する情報となるメッセージとに基づいて仮署名と前記仮署名を署名に変換するための情報である変換データを演算する演算ステップと、
前記通信手段によって仮署名を前記署名検証装置に送信した後に、該署名検証装置において前記仮署名を電子署名に変換する前記変換データを前記署名検証装置に送信する送信ステップと、
をコンピュータに行わせることを特徴とする署名生成プログラムを記憶した記録媒体。Connected to the signature verification apparatus by communication means and connected to the signature generation apparatus that communicates with the signature verification apparatus by communication means, and signs the signature verification apparatus and the signature generation apparatus with an electronic signature Therefore, in a recording medium storing a signature generation program in a signature generation auxiliary device that transmits and receives information,
In the recording medium, the secret key information serving as information for performing the signature is divided into two as the partial secret key information, and a storage step of storing one of the divided partial secret key information;
Converting the signature the temporary signed the temporary signature based on the message comprising information about the content of the document for signing by the electronic signature transmitted the partial secret key information stored by the storing step from the signature verification device A calculation step for calculating conversion data, which is information for
A transmission step of transmitting the temporary signature after sending the signature verification apparatus, the conversion data for converting the temporary signatures in the digital signature in the signing verification apparatus to the signature verification device by said communication means,
A recording medium storing a signature generation program characterized by causing a computer to perform the above. 署名生成補助装置に通信手段によって接続されるとともに、前記署名生成補助装置と通信を行う署名生成装置に通信手段によって接続され、前記署名生成補助装置と前記署名生成装置とに対して、電子署名によって署名を行うため情報を送受信する署名検証装置における署名検証プログラムを記録した記録媒体において、
前記記録媒体は、前記電子署名によって署名を行う文書の内容に関する情報となるメッセージを生成するメッセージ生成ステップと、
前記メッセージを前記署名生成装置に送信した後、前記署名生成装置から送信される部分署名情報を記憶する記憶ステップと、
前記メッセージを前記署名生成補助装置に送信した後、前記署名生成補助装置に記憶される部分秘密鍵情報と前記メッセージとに基づいて仮名が演算されたか否かを、前記分割された秘密鍵情報に対応する公開鍵情報と前記メッセージと前記部分署名情報とを用いて検出する検証ステップと、
前記検証ステップによって、前記仮署名が演算されたことが検出された場合に、前記メッセージに対する前記仮署名を設定する制御ステップと、
前記制御ステップによって前記仮署名が設定された後に、前記署名生成補助装置から前記署名生成補助装置において生成された変換データの送信があった場合に、当該変換データに基づいて、前記仮署名から署名情報を演算する署名生成ステップと、
をコンピュータに行わせることを特徴とする署名検証プログラムを記憶した記録媒体。Connected to the signature generation auxiliary device by communication means, and connected to the signature generation device that communicates with the signature generation auxiliary device by communication means, and with respect to the signature generation auxiliary device and the signature generation device by an electronic signature In a recording medium that records a signature verification program in a signature verification apparatus that transmits and receives information to perform a signature,
The recording medium generates a message that is information about the content of the document to be signed by the electronic signature;
Storing the partial signature information transmitted from the signature generation device after transmitting the message to the signature generation device;
After sending the message to the signature generating auxiliary device private key temporary signature based the signature generation part secret key information stored in the auxiliary device and to said message whether computed, which is the divided A verification step of detecting using public key information corresponding to information, the message, and the partial signature information;
By said verification step, when the temporary signed is detected to have been computed, and a control step of setting the temporary signature for said message,
After the temporary signed is set by said control step, when there is transmitted from the signature generation assisting device converting data generated in the signature generation auxiliary device, based on the converted data, the temporary signature a signature generation step of calculating the pressurized et signature information,
A recording medium storing a signature verification program characterized by causing a computer to perform the above.
JP2000284052A 2000-09-19 2000-09-19 Signature generation device, signature verification device, and signature generation auxiliary device Expired - Fee Related JP4190713B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000284052A JP4190713B2 (en) 2000-09-19 2000-09-19 Signature generation device, signature verification device, and signature generation auxiliary device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000284052A JP4190713B2 (en) 2000-09-19 2000-09-19 Signature generation device, signature verification device, and signature generation auxiliary device

Publications (2)

Publication Number Publication Date
JP2002091302A JP2002091302A (en) 2002-03-27
JP4190713B2 true JP4190713B2 (en) 2008-12-03

Family

ID=18768332

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000284052A Expired - Fee Related JP4190713B2 (en) 2000-09-19 2000-09-19 Signature generation device, signature verification device, and signature generation auxiliary device

Country Status (1)

Country Link
JP (1) JP4190713B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210374718A1 (en) * 2018-09-04 2021-12-02 Sony Corporation Ic card, processing method, and information processing system

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4708713B2 (en) * 2004-02-10 2011-06-22 エヌ・ティ・ティ・コミュニケーションズ株式会社 Confidential information management system, confidential information management method, and confidential information management program
WO2005076518A1 (en) 2004-02-10 2005-08-18 Ntt Communications Corporation Secret information management scheme based on secret sharing scheme
JP4976891B2 (en) * 2007-03-15 2012-07-18 富士電機株式会社 IC card system, its division information / secret information generation terminal, program

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210374718A1 (en) * 2018-09-04 2021-12-02 Sony Corporation Ic card, processing method, and information processing system
US12147970B2 (en) * 2018-09-04 2024-11-19 Sony Corporation IC card, processing method, and information processing system

Also Published As

Publication number Publication date
JP2002091302A (en) 2002-03-27

Similar Documents

Publication Publication Date Title
CN109981582B (en) Internet of things equipment identity authentication method based on block chain
CN109409472B (en) Two-dimensional code generation method, data processing device and server
US5754656A (en) Electronic shopping method, electronic shopping system and document authenticating method relating thereto
JP4545831B2 (en) Data card verification device
JP2870163B2 (en) Key distribution method with authentication function
JP2002026899A (en) Verification system for ad hoc wireless communication
CN109150539A (en) A kind of Distributed CA System based on block chain, method and device
CN113360943B (en) Block chain privacy data protection method and device
US20030070074A1 (en) Method and system for authentication
JP2011091868A (en) Method and apparatus for verifiable generation of public keys
CN111815321A (en) Transaction proposal processing method, device, system, storage medium and electronic device
CN110233850B (en) Registration method, application server, user side and system based on alliance chain
CN109981290A (en) The communication system and method close based on no certificate label under a kind of intelligent medical environment
CN115345729A (en) Credit card issuing method and device, electronic equipment and storage medium
CN103748830A (en) Information processing device, signature-provision method, signature-verification method, program, and recording medium
JP4190713B2 (en) Signature generation device, signature verification device, and signature generation auxiliary device
JP2021100227A (en) IoT KEY MANAGEMENT SYSTEM, SECURE DEVICE, IoT DEVICE, DEVICE MANAGEMENT APPARATUS, AND METHOD FOR CREATING PUBLIC KEY CERTIFICATE OF SECURE ELEMENT
JP2001308851A (en) User authenticating method, storage medium, device and system
JP3905907B2 (en) Electronic value exchange system and electronic value exchange method
JPH0618368B2 (en) Authentication device
JP3123916B2 (en) Digital signature system
JP2011119952A (en) Apparatus for verification of communication data, and computer program for the same
JPH11234263A (en) Method and device for mutual authentication
JP2006155547A (en) User authentication system, terminal device, and server
CN116418487A (en) Method, device and node equipment for depositing certificates of key ownership

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050824

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080123

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080129

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080331

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080425

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080623

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080909

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080917

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110926

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120926

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130926

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees