信頼性の高い仮定に基づいた証明可能安全性を持つ軽量な集約署名方式の提案

Abstract

集約署名は、複数署名者により生成される異なる文書における個別署名を、小さいサイズの署名に集約可能な暗号技術である。集約署名の概念はBonehらによって提案された。同時に彼らはペアリングという特殊な代数構造を基にした集約署名方式を提案した。この方式は定数サイズ署名長を達成可能であり、署名者間通信なしに集約可能である。一方で、安全性の基となる計算困難性の仮定は、実用化された多くの暗号技術で用いられる離散対数仮定より強い仮定であり、実用時は少々大きいパラメタを取る必要がある。またペアリング計算は計算コストが高い。このようにペアリングにはいくつかの欠点が存在する。Zhaoは初めてのペアリングフリー集約署名方式をビットコイン向けのアプリケーションとして提案した。この方式は、署名長が署名者数に線形に依存するが、軽い計算のみで構成されており、鍵設定に特に仮定を必要しない。しかし、安全性は新しく提案された計算困難性の仮定を基にしている。以上より、ペアリングフリーかつ信頼性の高い仮定に基づく安全性を担保可能な集約署名方式の構築は重要な課題である。本稿では、主に3つの研究成果について述べる。1つ目は、Zhao方式に対する任意の文書における偽装を生成可能な準指数時間攻撃者を提案する。準指数時間であるため、理論的には致命的ではないが、実装時のパラメタ設定に影響を与える。具体的には、我々の攻撃者の存在により、当初Zhaoが想定したパラメタより大きいパラメタが必要であることが明らかとなり、これはZhao方式の利点を弱める。2つ目は、新たな枠組みとして事前通信を用いる集約署名を提案し、離散対数仮定を基にした安全性を担保可能な事前通信モデルにおけるペアリングフリー集約署名方式を提案する。署名集約には署名者集約者間の通信が必要であるが、比較的小さい通信コストを達成可能である。一方で、鍵設定では各署名者が正当に鍵を生成したことを証明する必要があり、署名長は署名者数に線形に依存するが、Zhao方式より小さいサイズを達成できる。また提案方式がDrijversらの不可能性に抵触しないことの議論も行う。3つ目は、One-Time集約方式の提案である。この方式は、一度の鍵生成で一度の集約署名生成が可能な方式である。提案方式の安全性はOne-More離散対数仮定に基づいており、理論的な世界でしか存在しないランダムオラクルを用いずに安全性を証明可能である。署名長は定数サイズを達成可能であるが、信頼できる鍵生成が必要である。電気通信大学202