| 研究概要 |
サービス提供者によるユーザのプライバシー侵害を防止するために,ユーザの匿名性を維持しながら登録グループへの所属を確認できるグループ署名に注目が集まっており,方式の提案,応用プロトコルの提案が多数行われてきている.従来,グループサイズに署名効率が依存しない方式が様々提案されている.これらの方式では,所属証明書が登録時にグループ管理者から発行され,グループ署名時には,その証明書の所有をゼロ知識で行う.しかし,この場合所属の無効化を行うのは容易ではなく,いくつかの解決策が提案されてきているが,各解決方式ともに,無効化されたユーザの数に比例した通信量もしくは計算量を要する.
本研究では,前年度において,1000人程度の中規模なグループに対して,現在所属しているかどうかをグループサイズに依存せずに証明可能なグループ署名の構成を行った.従来法(Camenisch, Lysyanskaya, CRYPTO2002)と比較して,公開情報のサイズが1000分1程度にまで削減されており,通信量の点で非常に効率的である.一方,計算量に関しては,従来法と比較して,その増加を2倍程度に抑えている.この提案方式に対して,本年度は,以下の結果を得た.
1.計算時間における実用性を明らかにするため,PC上でプロトタイプ実装を行なった.CPUがPentium4 2GHz,メモリが512MB,OSがFreeBSDのPCで実行時間を計測したところ,100回の平均で署名に0.643秒,検証に0.523秒を要した.これらは十分に実用的な値であり,提案方式の実用性が確認できた.
2.提案方式で所属証明書として利用しているディジタル署名では,ある署名が与えられると同一メッセージの署名を偽造できるという性質をもつ.前年度に構成したグループ署名方式では,所属証明書を署名者の追跡情報として用いていたが,この証明書は(同じ秘密鍵に対するものであるものの)偽造できてしまうため,追跡情報としては不十分である.そこで,秘密鍵に対する離散対数型の一方向性関数値を追跡情報として利用することにより,偽造の問題を回避した方式へと拡張を行ない,その安全性の証明を行なった.
これらの結果については,国際会議に投稿中であり,学術雑誌にも投稿の予定である.
|
