信頼性の高い仮定に基づいた証明可能安全性を持つ軽量な集約署名方式の提案

集約署名は、複数署名者により生成される異なる文書における個別署名を、小さいサイズの署名に集約可能な暗号技術である。集約署名の概念はBonehらによって提案された。同時に彼らはペアリングという特殊な代数構造を基にした集約署名方式を提案した。この方式は定数サイズ署名長を達成可能であり、署名者間通信なしに集約可能である。一方で、安全性の基となる計算困難性の仮定は、実用化された多くの暗号技術で用いられる離散対数仮定より強い仮定であり、実用時は少々大きいパラメタを取る必要がある。またペアリング計算は計算コストが高い。このようにペアリングにはいくつかの欠点が存在する。Zhaoは初めてのペアリングフリー集約署名方式をビットコイン向けのアプリケーションとして提案した。この方式は、署名長が署名者数に線形に依存するが、軽い計算のみで構成されており、鍵設定に特に仮定を必要しない。しかし、安全性は新しく提案された計算困難性の仮定を基にしている。以上より、ペアリングフリーかつ信頼性の高い仮定に基づく安全性を担保可能な集約署名方式の構築は重要な課題である。本稿では、主に3つの研究成果について述べる。1つ目は、Zhao方式に対する任意の文書における偽装を生成可能な準指数時間攻撃者を提案する。準指数時間であるため、理論的には致命的ではないが、実装時のパラメタ設定に影響を与える。具体的には、我々の攻撃者の存在により、当初Zhaoが想定したパラメタより大きいパラメタが必要であることが明らかとなり、これはZhao方式の利点を弱める。2つ目は、新たな枠組みとして事前通信を用いる集約署名を提案し、離散対数仮定を基にした安全性を担保可能な事前通信モデルにおけるペアリングフリー集約署名方式を提案する。署名集約には署名者集約者間の通信が必要であるが、比較的小さい通信コストを達成可能である。一方で、鍵設定では各署名者が正当に鍵を生成したことを証明する必要があり、署名長は署名者数に線形に依存するが、Zhao方式より小さいサイズを達成できる。また提案方式がDrijversらの不可能性に抵触しないことの議論も行う。3つ目は、One-Time集約方式の提案である。この方式は、一度の鍵生成で一度の集約署名生成が可能な方式である。提案方式の安全性はOne-More離散対数仮定に基づいており、理論的な世界でしか存在しないランダムオラクルを用いずに安全性を証明可能である。署名長は定数サイズを達成可能であるが、信頼できる鍵生成が必要である。電気通信大学202

More Efficient Two-Round Multi-Signature Scheme with Provably Secure Parameters

In this paper, we propose the first two-round multi-signature scheme that can guarantee 128-bit security under a standardized EC in concrete security without using the Algebraic Group Model (AGM). To construct our scheme, we introduce a new technique to tailor a certain special homomorphic commitment scheme for the use with the Katz-Wang DDH-based signature scheme. We prove that an EC with at least a 321-bit order is sufficient for our scheme to have the standard 128-bit security. This means that it is easy for our scheme to implement in practice because we can use the NIST-standardized EC P-384 for 128-bit security. The signature size of our proposed scheme under P-384 is 1152 bits, which is the smallest size among the existing schemes without using the AGM. Our experiment on an ordinary machine shows that for signing and verification, each can be completed in about 65 ms under 100 signers. This shows that our scheme has sufficiently reasonable running time in practice