2 BLS署名の単純な集約 ● e(G 1 , G 2 ) → G T のペアリングが成立し、G 1 とG 2 の生成元をそれぞれPとQとする ● アリスとボブの鍵ペアをそれぞれ、 Y A = x A Q、Y B = x B Qとする ● 署名対象のメッセージをmとする
集約公開鍵は、Y = Y A + Y B 部分署名は、 ● σ A = x A H 1 (m) ● σ B = x B H 1 (m) 集約署名は、σ = σ A + σ B 署名の検証は、e(σ, Q) = e(H 1 (m), Y)が成立するか検証する e(σ, Q) = e(σ A + σ B , Q) = e((x A + x B )H 1 (m), Q) = e(H 1 (m), Q)(xA + xB) = e(H 1 (m), (x A + x B )Q) = e(H 1 (m), Y)
3 BLS署名の単純な集約 ● e(G 1 , G 2 ) → G T のペアリングが成立し、G 1 とG 2 の生成元をそれぞれPとQとする ● アリスとボブの鍵ペアをそれぞれ、 Y A = x A Q、Y B = x B Qとする ● 署名対象のメッセージをmとする
集約公開鍵は、Y = Y A + Y B 部分署名は、 ● σ A = x A H 1 (m) ● σ B = x B H 1 (m) 集約署名は、σ = σ A + σ B 署名の検証は、e(σ, Q) = e(H 1 (m), Y)が成立するか検証する e(σ, Q) = e(σ A + σ B , Q) = e((x A + x B )H 1 (m), Q) = e(H 1 (m), Q)(xA + xB) = e(H 1 (m), (x A + x B )Q) = e(H 1 (m), Y) Rogue-Key攻撃に対して脆弱 Y B = x B Q - Y A とした場合、 Y = Y A + Y B = x B Qとなり、 ボブのみでYに対して有効な署名を計算可能
5 Rogue-Key対策 ● 集約時の線形性の破壊 公開鍵のセットに対しL = Y 1 + … + Y N を計算し、a i = H(Y i || L)を計算する。 ○ 集約公開鍵は、 Y = a 1 Y 1 + … + a N Y N (アリスとボブの場合、Y = a 1 Y 1 + a 2 Y 2 ) ○ 集約署名は、 σ = a 1 σ 1 + … a N σ N (アリスとボブの場合、σ = a 1 σ 1 + a 2 σ 2 ) ※ 集約公開鍵の計算に、各公開鍵毎に係数を乗算しているため、
azuchi
matsujirushi
yumayabe
norimuraz
kadogen_0527
satoshirobatofujimoto
takashi1029
oracle4engineer
yu4u
iwamot
ryohatanmonolog
charmichokshi
trycycle
holman
paigeccino
maltzj
andyhume
sachag
mojombo
garrettdimon
shpigford
akmur
lara
moore
addyosmani