[发明专利]签名装置、验证装置、签名系统、签名方法、签名程序、验证方法以及验证程序

说明书

秘钥生成装置(10)生成包括元素s₁的秘密密钥sk以及包括元素a和元素t₁的公开密钥pk的对。签名装置(20)计算消息μ的散列值c和秘密密钥sk的元素s₁的中间乘积，生成作为签名σ的元素的签名元素z。另外，验证装置(30)计算作为签名σ的元素的签名元素z和公开密钥pk的元素a的中间乘积，并且计算作为签名σ的元素的散列值c和公开密钥pk的元素t₁的中间乘积，验证签名σ。

技术领域

本发明涉及考虑量子计算机的数字签名。

背景技术

数字签名是能够验证数据的合法性的密码技术。

在经由网络进行通信时，需要确认接受的数据真的是从发送者送来的数据且接受的数据是未被篡改的数据这样的数据的合法性。通过在发送侧对数据附加签名并在接收侧验证附加到数据的签名，能够验证数据的合法性。

格密码是指，使用通过线性独立的整数矢量的线性变换来表示的矢量的集合即格来实现的密码技术。

关于某个格的最短矢量问题是发现包含于该格的最短的矢量的问题。格密码以求解最短矢量问题对于量子计算机来说也困难这一点为安全性的依据，所以格密码是被认为即使实现了量子计算机也是安全的密码方式之一。

高效的格密码以被称为理想格的特殊的格上的最短矢量问题为安全性的依据。已知根据定义理想格的多项式即割圆多项式的性质，在特定的参数下通过量子计算机高效地解读最短矢量问题。

在非专利文献1中，示出了以理想格上的最短矢量问题为安全性的依据的高效的数字签名方式。但是，非专利文献1所示的方法是以通过特定的割圆多项式定义的格上的最短矢量问题为安全性的依据的，所以存在不安全的可能性。

在非专利文献2中，示出了以不依赖于特定的割圆多项式的格上的最短矢量问题为安全性的依据的高效的数字签名方式。

现有技术文献

非专利文献

非专利文献1：Leo Ducas，Eike Kiltz，Tancrede Lepoint，Vadim Lyubashevsky，Peter Schwabe，Gregor Seiler，and Damien Stehle.CRYSTALS-Dilithium：A Lattice-Based Digital Signature Scheme.In CHES，pages 238-268，2018.

非专利文献2：Vadim Lyubashevsky.Digital Signatures Based on theHardness of Ideal Lattice Problems in all Rings.In ASIACRYPT，pages 196-214，2016.

发明内容

关于在非专利文献2中示出的数字签名方式，在如量子计算机计算散列函数这样的安全性模型中并未呈现安全性。关于以格上的最短矢量问题为安全性的依据的数字签名方式，为了生成数字签名而计算散列函数。因此，为了考虑严密的意义下的针对量子计算机的安全性，最好在如量子计算机计算散列函数那样的模型中也呈现安全性。

本发明的目的在于能够构成针对量子计算机也能够保证安全性的数字签名方式。

本发明所涉及的签名装置具备：

签名生成部，计算消息μ的散列值c和秘密密钥的中间乘积(Middle-Product)而生成签名元素z；以及

输出部，输出包括由所述签名生成部生成的所述签名元素z的签名σ。

在本发明中，计算消息μ的散列值c和秘密密钥的中间乘积而生成签名元素z。由此，能够构成在如量子计算机计算散列函数那样的安全性模型中能够呈现安全性的数字签名方式。