技術領域

本發明涉及一種簽名與檢驗方法以及簽名與檢驗裝置，特別是一種在多個簽名裝置進行簽名的狀況下的、簽名長度不依賴于簽名裝置數目的、簽名與檢驗方法以及簽名與檢驗裝置。

背景技術

伴隨著計算機與互聯網環境的普及，電子發送接收消息的機會也在增加。這種情況下，為了防止在發送消息的過程中消息被篡改，希望在消息中添加電子簽名。

但是在使用稱作RSA或DSA的公知的簽名方式，由多個簽名裝置進行了簽名的情況下，為了表示全體都已進行了簽名，需要由全簽名裝置分別生成簽名句，并將這些簽名句都保存起來。因此，簽名句的數據長度的合計值與簽名裝置的臺數成比例，在簽名裝置數目較多的情況下，效率不高。

作為解決這樣的問題的簽名方式之一，提出了非專利文獻1中所述的簽名方式。圖11中示出了該以往的簽名方式的順序。

另外，本說明書中所使用的簽名的意義，這里進行了定義。“‖”表示位列彼此的連接。“○”表示每一位的“異或”。“^”表示以右邊的被算符為指數計算出左邊的被算符的冪的算數算符。例如，f^{-1}為f^-1。「_{x}」表示x為腳標。例如，u_{i}為u_i。

參照圖11，一旦輸入了成為簽名對象的簽名文字u_{i_{m-1}}(S3F100)，便在進行了所具有的密鑰的合法性檢驗(S3F101)與簽名句u_{i_{m-1}}的合法性的檢驗(S3F102)之后，計算出將本簽名裝置的公開密鑰與已經簽名了的簽名裝置的公開密鑰連接起來的T_{m}(S3F103)。接下來，計算出T_{m}的散列值與簽名句u_{i_{m-1}}的異或U(S3F104)，設U的位列中第一個安全參數k位為a，剩下的為s(S3F105)。接下來，比較a與本簽名裝置的RSA模量n_{i_{m}}(S3F106)，在a小于RSA模量n_{i_{m}}時，通過秘密密鑰d_{i_{m}}對a計算出以RSA方式為準據的簽名句u_{i_{m}}(S3F107)，并輸出(S3F109)。此時給s添加1位的信息0作為控制信息。另外，在a大于RSA模量n_{i_{m}}時，對于大于模量的數，由于無法計算RSA簽名，因此對將a減去了n_{i_{m}}之后的值計算出簽名句u_{i_{m}}(S3F108)并輸出(S3F109))。此時給s添加1位的信息1作為控制信息。

這樣，在RSA的情況下，對于大于簽名裝置的RSA模量n_{i_{m}}的數，由于無法計算簽名，因此基于非專利文獻1的以往技術中，在較大的情況下，減去模量n_{i_{m}}之后再添加簽名。此時，為了之后的檢驗能夠進行，在其后添加1bit的控制信息(超過了模量的情況下添加1，此外添加0)。簽名句u_{i_{m}}的檢驗時，使用與簽順序與相反的順序對簽名裝置的公開密鑰反復進行檢驗，最終追溯到得到預定的初始值，通過這樣，判斷是正確的簽名。

非專利文獻1：Anna?Lysyanskaya，Silvio?Micali，Leonid?Reyzin，HovavShacham.Sequential?Aggregate?Signatures?from?Trapdoor?Permutations.InAdvances?in?Cryptology--EUROCRYPT?2004，vol.3027?of?LNCS，pp.74-90.Springer-Verlag，2004.

根據非專利文獻1中所述的以前的簽名方式，由于即使多個簽名裝置順次進行簽名，簽名句的數據長度的合計值也不與簽名裝置的臺數成比例，因此在存儲簽名句的情況下，能夠削減存儲量，在進行通信的情況下，能夠削減通信量。但是，存在如下問題：即簽名長為固定值+簽名次數，存在如果簽名次數增加，簽名長度也稍有延長。

發明內容

本發明的目的在于，改善所述以前的簽名方式所具有的問題點，使得簽名長度與簽名裝置的數目無關，為一定值。

本發明第1項涉及一種簽名方法，是一種將初始值或其他多個簽名裝置順次進行簽名操作所生成的簽名句、消息、以及本簽名裝置的秘密密鑰作為輸入，輸出與輸入相同長度的簽名句的簽名裝置的簽名方法，其特征在于：

所述所輸出的簽名句，表示：該所述所輸出的簽名句的生成所述涉及的簽名裝置，在輸入到了各個簽名裝置的所述消息中，已經進行了簽名。