| 研究概要 |
通常のデジタル署名方式とは異なり、万人が筆跡鑑定の素人となるような署名方式を否認不可署名方式という。すなわち、万人検証性が成り立たない。その代わり、署名者アリスは、正当な検証者ボブに対してのみ、確認プロトコルを走らせることにより(m,σ)の正当性を証明し、否定プロトコルを走らせることにより(m,σ)の非正当性を証明する。しかし、否認不可署名方式の安全性をどう定義するかについて、従来、十分な研究が行われていなかった。
本研究では、従来より自然でかつ有用な定義を2つ与え、ついで両者の等価性を証明した。まず、否認不可署名方式の汎用結合安全性を定義した。汎用結合安全性とは、否認不可署名方式が複雑なプロトコルの中にどのように組み込まれようとも、その安全性が保証されるような安全性の定義であり、Canettiにより導入された。従来、デジタル署名の汎用結合安全性の定義は知られているが、否認不可署名方式の汎用結合安全性の定義は知られていなかった。次に、この汎用結合安全性の定義は満たすが、従来のDamgard and Pedersenの定義は満たさないような否認不可署名方式が存在することを示した。この結果をふまえ、より広範囲の方式を包含するような、彼等の定義よりもより自然な安全性の定義を示した。最後に、汎用結合安全性と上記の安全性は等価であることを証明した。ただし、零知識証明に関する理想的なfunctionalityを仮定する。この等価性は、従来知られている全ての否認不可署名方式は、汎用結合安全性を満たすことを意味している。特に、従来よく知られているChaumの否認不可署名方式は、ランダムオラクルモデルにおいて汎用結合安全性を満たす、という結果が得らることになる。
|
