JP2666191B2 - データ交換システムにおける加入者相互のアイデンテイフイケーシヨンならびに署名の発生および確認のための方法 - Google Patents

Description

【発明の詳細な説明】 〔産業上の利用分野〕 この発明はデータ交換システムにおける加入者のアイ
デンティフィケーションおよび電子的署名の発生および
確認のための方法に関するものである。

〔従来の技術〕

最近の通信システムにおけるデータセキュリティのた
めの重要な前提条件は、 ａ）システムに加入している通信パートナーの相互のア
イデンティフィケーション ｂ）伝達かつ記憶されたデータの真正認証 ｃ）伝達かつ記憶されるデータの暗号化および ｄ）伝達されたデータが本人によるものであることの検
査である。

高度のデータセキュリティは周知のように、メッセー
ジ、加入者および機器のアイデンティフィケーションお
よび真正認証を疑いなく可能にする暗号法の採用によっ
てのみ達成される。暗号法（クリフトグラフィ）とは一
般に秘密保持のためのデータの暗号化をいう。しかし、
この疑いなく重要な暗号機能とならんで、他の機能、特
に真正認証および本人によるものであることの検査また
は電子的署名の発生がますます重要になってきた。

暗号機能を実現するためには対称または非対称な暗号
化アルゴリズムが使用され得る。対称なアルゴリズム、
たとえばDESアルゴリズム（データ−エンクリプション
−スタンダード）では、暗号化および暗号解読のために
同一の鍵が使用される。対称な鍵システムはなかんず
く、より大きいデータ量がより高い速度で伝達されなけ
ればならないときに適している。それに対して欠点は、
鍵管理が比較的困難であることにより生ずる。なぜなら
ば、送信者および受信者が同一の鍵を有していなければ
ならず、またそれぞれ使用される鍵の伝達のために１つ
の確実なチャネルが必要とされるからである。

非対称な鍵システムでは、暗号化および暗号解読のた
めに異なる鍵が使用される。たとえば暗号化のためには
公開の鍵が、暗号解読のためには秘密の鍵が使用され
る。後者は受信者にのみ知られている。１つの非対称な
鍵システムはたとえば発明者リベスト（Rivest）、シャ
ミル（Shamir）およびアドレマン（adlemann）にちなん
で名付けられたRSAアルゴリズムである。このアルゴリ
ズムは比較的高い技術的費用と、使用される鍵長さに応
じて相応に長い通過時間とを必要とするが、特別な鍵シ
ステムにより高いセキュリティ要求を満足する。理想的
に非対称鍵システムは伝達すべきメッセージの署名に適
している。その際に、署名すべきメッセージは署名者の
秘密鍵により暗号化され、また公開鍵を知っている誰か
らも暗号解読され得る。この“電子的署名”は署名者の
個人的特徴（秘密鍵の所有）を含んでいるだけでなく、
署名された文書をも含んでおり、その結果、文書のあら
ゆる変更が受信者により認識される。それによってメッ
セージおよび署名は鍵−アルゴリズムを介して変更不可
能に結び付けられている。

最近の暗号手段の採用はいわゆる多機能プロセッサ−
チップカードの導入と密に関連している。プロセッサ−
チップカードは多面的な応用を可能にするだけでなく、
利用者のアイデンティフィケーションならびにカードお
よび交換されるメッセージの確実な真正認証を保証する
ため、必要なセキュリティ構成要素（秘密鍵および暗号
アルゴリズム）を収容するべく考慮されている。

電子的署名のためのこのような公知のアルゴリズム、
特にRSAアルゴリズム（米国特許第A4405829号明細書参
照）およびエイ．フィアット（A.Fiat）およびエイ．シ
ャミル（A.Scamir）により開発されたアルゴリズム（ヨ
ーロッパ特許第A0252499号明細書参照）は高いメモリ費
用を必要とし、もしくは、それが特にチップ内に収納さ
れ得るかぎり、広範で複雑な計算操作、特に乗算のため
に、非常に長い時間を必要とするので、チップカードに
組み入れるのには制限付きでしか適していない。

〔発明が解決しようとする課題〕

従って、本発明の課題は、１つのデータ交換システム
の加入者相互のアイデンティフィケーションのため、ま
た署名の発生のための方法であって、ほぼ等しいセキュ
リティ保証においてより簡単な計算操作に基づいて公知
の暗号法に比較してより短い通過時間を可能にする方法
を提供することである。

〔課題を解決するための手段〕

この課題は、本発明によれば、請求項１または２また
は３の特徴により解決される。本発明の有利は構成はそ
の他の従属請求項にあげられている。このことは特に請
求項４に当てはまる。請求項４による方法では、１つの
前プロセスで計算されかつ中間記憶される離散的対数に
より本発明による方法が加速され得る。その際に、いっ
たん利用された値が１つの更新プロセスで他の離散的対
数とランダムな仕方で組み合わされる。請求項２により
発生された署名の確認のための方法は請求項10にあげら
れている。

本発明において解決すべき問題は、離散的対数を計算
する困難にある。この理由に他の既に知られている非対
称暗号法が基づいている。（ティー．エルガマル（T.EL
GAMAL）：“離散的対数に基づくパブリック・キー暗号
システムおよびシグナチュア・シェーマ”、IEEE論文集
情報理論編、31（1985）、第469〜472頁；ディー．チャ
ウム（D.CHAUM）、ジェイ．エイチ．エバーツェ（J.H.E
VERTSE）、ジェイ．バンデグラフ（J.vande GRAAF）：
“離散的対数のデモンストレーションポゼッションに対
する改良されたプロトコルおよびいくつかの一般化”、
Eurocrypt87論文集、コンピュータサイエンスの講義ノ
ート304、（1988）、第127〜141頁；ティー．ベス（T.B
ETH）：“エルガマルのシェーマに対するフィアット−
シャミルに類似の真正認証プロトコル”、Eurocrypt88
アブストラクト、第41〜47頁）本発明は、公知の暗号法
にくらべて、計算操作がチップカードのなかで比較的簡
単に実行され得るという利点を有する。これは特に前記
の前プロセスにより行われる。この前プロセスはエルガ
マル、チャウム−エバーツェ−バンデグラフおよびベス
の前記の暗号法とも組み合わされ得る。さらに、本発明
により、特に短い署名が発生され得る。

〔実施例〕

以下、本発明による方法を、部分的に図面により、一
層詳細に説明する。

第１図に示されている原理図により例として、第１の
加入者Ａ、たとえばこの加入者に属するチップカードが
第２の加入者Ｂ、たとえばチップカード−ターミナルに
対してそのアイデンティティをいかにして証明するかが
示されている。チップカードにより動作するデータ交換
システムではそれぞれ利用者に関するチップカードが１
つまたは場合によっては複数の秘密センター（政府代表
部、クレジットカード会社など）から発行され、その際
にチップカードの発行はそのつどの利用者のアイデンテ
ィティが検査されたときに初めて行われる。センターは
１つの適格とされた利用者に１つの個人アイデンティフ
ィケーション−ストリングＩ（名前、アドレス、ID番号
など）を準備し、このアイデンティフィケーション−ス
トリングＩに場合によっては利用者自体により発生され
ている利用者に関する公開の鍵を付加し、またアイデン
ティフィケーション−ストリングＩおよび公開鍵ｖから
形成された対を１つの公開リストのなかに公開する。セ
ンターは秘密鍵自体を見ず、従ってまたそれを漏らすこ
とはできない。アイデンティフィケーション−ストリン
グＩ、公開鍵ｖおよび秘密鍵ｓならびに取り決められた
素数ｐはカード発行者によりチップカードのなかに記憶
される。

１つの公開リストの使用の代わりにセンターは各対
Ｉ、ｖを署名し得る。この署名はチップカードの中に記
憶されており、またセンターの公開鍵により容易に事後
検査され得る。チップカードおよび（または）公開リス
トが発行された後に、センターとのその後の相互作用は
署名およびアイデンティティの発生のためにも検査のた
めにも必要ではない。

アイデンティフィケーションはいわゆる初期化で開始
する。その際に加入者Ａまたはチップカードは１つのア
イデンティフィケーション−ストリングＩおよび公開鍵
ｖを、アイデンティティを確認する加入者Ｂまたは付属
のターミナルに送る。公知の暗号法と異なり、公開鍵は
ターミナルのなかで確認される。すなわち、ターミナル
が公開鍵ｖとアイデンティフィケーション−ストリング
Ｉとの間の関係を検査し、またこうしてセンターの署名
をチェックする。公開鍵ｖ＝（v₁…v_k）は秘密鍵ｓ（s₁
…s_k）と論理的関係があり、 v_j＝2^-sj（mod p）ｊ＝1,…,k として定義されている。その際にｐは少なくとも512ビ
ット長さの１つの素数である。秘密鍵ｓが選定されると
直ちに、相応の公開鍵ｖを容易に計算し得る。従って、
秘密鍵ｓを公開鍵ｖから計算する逆のプロセスは実行可
能でない。なぜならば、このような大きい素数ｐに対す
る離散的対数modulo ｐの計算は現在のコンピュータお
よびアルゴリズムの手の届く範囲の外にあるからであ
る。秘密鍵の構成要素s_jはv_j ^-1の離散的対数modulo ｐ
である。すなわち s_j＝−log₂v_j（mod p−１）ｊ＝1,…,k すべての離散的対数は群 （乗算的群modulo ｐ）に関係があり、また別に指定さ
れないかぎり、２を底としている。群 の次数はｐ−１であるから、離散的対数は値1,2,…ｐ−
１をとる。

剰余類形成によりmodulo ｐが生ずる有限の群の代わ
りに、離散的対数を形成するために、たとえば数ｎに対
して素数の剰余類の１つの単位群 １つの有限の体の１つの単位群、１つの有限の体にわた
る１つの楕円曲線などのような他の有限の群が使用され
得る。１つの任意の有限な群への方法の転用のために群
次数の知識は必要でない。たとえば群次数2¹⁴⁰の離散的
対数により計算すれば十分である。

初期化の後に第２のステップとして加入者Ａにおいて
１つの乱数ｒ ｒ∈（1,…,p−１）， の発生が行われ、それから下記の指数値が計算される。

x:＝2^r（mod p） 逆計算プロセス、すなわちｘ値から乱数ｒを計算する
プロセスは、ｐが十分に大きいぎり、非常に困難であ
る。従って、加入者Ｂは実際上、自由になる時間のうち
に乱数ｒを探し出す可能性を有していない。加入者Ａに
おいて計算されたこのｘ値は加入者Ｂに、すなわちター
ミナルに伝達される。乱数ｒは、前記の秘密鍵s_jのよう
に、１つの離散的対数である。その結果、チップカード
側では離散的対数により、反対側、すなわち加入者Ｂの
ターミナル内ではそのつどの指数値により計算される。

乱数ｒおよびそれから導き出される指数関数 x:＝2^r（mod p） の発生はいま有利な仕方で、チップカードのなかで各１
つの乱数ｒおよびそれに付属のｘ値から成る複数の対の
ストックを準備しかつ更新する前プロセスにより加速さ
れ得る。このストックはチップカード自体のなかに置か
れ、または外部からチップカードへロードされ得る。従
って、１つの初期化されたアイデンティフィケーション
−プロセスでは直ちにこれらの対の１つにアクセスされ
得るので、そのつどのｘ値が遅れなしに加入者Ｂに伝達
され得る。

その次のステップでは加入者Ｂが１つのランダム−ビ
ット列 e:＝（ｅ_1,1，…,e_t,k）∈｛0,1｝^kt を加入者Ａまたはチップカードに送る。

ランダム−ビット列ｅの受信の後にチップカードは、
そこに記憶された秘密鍵s_jの、ランダム−ビット列ｅの
ビットに関係する線形組み合わせを送り、それに現在の
乱数ｒを加え、またこうして形成された数値ｙ を加入者Ｂに送る。

加入者Ｂはいま、それに送られたｙ値が、加入者Ａが
ランダム−ビット列ｅの送信により行なった質問への正
しい解答であるか否かを検査する。この検査の際に加入
者Ｂは下記の式の右部を計算する。

そして比較により、計算された数値ｘが既に前もって
加入者Ａから得られたｘ値と合致するか否かを確認す
る。加入者Ｂにおいて行うべきこの計算プロセスは確か
に比較的費用がかかるが、ターミナルに常に十分に存在
している計算能力により比較的短時間で実行可能であ
る。それによってアイデンティフィケーション検査は終
了され、従って、加入者Ｂにおいて両ｘ値の合致が確認
されているかぎり、加入者Ａの側からその後の措置が開
始され得る。

加入者Ａの前記のアイデンティフィケーションは１つ
のメッセージｍの組み入れによりメッセージｍの下の加
入者Ａの電子的に発生される署名に拡張され得る。この
電子的著名は加入者ＢにＡのアイデンティティを第三者
に、たとえば裁判官に証明することを許す。それはさら
に加入者Ａが疑いなくメッセージｍを署名したという証
明を許す。加入者Ａに、すなわちチップカードのなかに
記憶された秘密鍵s_jの利用のもとに１つのメッセージｍ
を署名するため、下記のステップを行う必要がある（第
２図参照）。

1.加入者Ａが再び１つの乱数ｒを選定し、またそれか
ら、既にアイデンティフィケーション検査と関連して説
明したように、１つのｘ値を関係式 x:＝2^r（mod p） に従って計算する。ここでも、もちろん、記憶されたス
トックにアクセスし、また乱数ｒおよび付属のｘ値を直
接に呼び出す可能性が存在する。

2.加入者Ａがいま１つのハッシュ値ｅをメッセージｍお
よび求められた、またはストックから取り出されたｘ値
から関係式 e:＝ｈ（x,m）∈｛0,1｝^kt に従って形成する。ここでｈは｛0,1｝^ktのなかの値を
有する公開のハッシュ関数である。

3.最後に加入者Ａが構成要素；秘密鍵s_j、ランダム−ビ
ット列またはハッシュ値ｅおよび乱数ｒから１つのｙ値
を関係式 に従って計算する。

数値対x,yは次いでメッセージｍに対するいわゆる電
子的署名を生ずる。両セキュリティ数ｋおよびｔは好ま
しくは１と20との間の範囲内にある。それらはセキュリ
ティ−レベル2^ktを生ずる。すなわち、少なくとも2^ktの
乗算（modulo p）が署名またはアンデイティティの誤り
のために必要である。たとえばｋ＝４およびｔ＝18は署
名に対して十分なセキュリティ−レベル2⁷²を生ずる。

数ｘおよびｙ（ここで両数は少なくとも512ビット長
さである）により形成されるこの署名から出発して、署
名短縮の種々の可能性が生ずる。可能性の１つは、数ｘ
を、72ビット長さしか有していないハッシュ値ｅ＝ｈ
（x,m）により置換することである。その場合、署名は
ｙおよびｅからのみ成っている（第４図参照）。その次
のステップは、数y,r,s_jをもはやモジュールｐの大きさ
にとらず、y,r,s_jに対して小さい数のみ、ただしセキュ
リティ−レベル2⁷²に対して少なくとも140ビット長さで
ある数を用いることにある。短い署名を達成する１つの
特に簡単な可能性は、素数−モジュールｐを、第２の素
数ｐを、第２の素数ｑで値（ｐ−１）が割り切れるよう
に選定することにある。ここでｑ＝140ビット長さであ
る。次いで底２を数αにより置き換えると、 α^ｑ＝１（mod p），α≠１（mod p） である。その結果、すべての離散的対数modulo ｑが計
算され得る。すなわち、選定された数αを底とする対数
が計算され、その際にすべての対数は１ないしｑの範囲
内にある。これは、署名のｙ値に対してｑよりも小さい
１つの数が生ずるという利点を有する。１つの乱数ｒ ｒ∈（1,…,q−１）， と、それから計算された x:＝α^ｒ（mod p） と、ランダム−ビット列 e:＝ｈ（x,m）∈｛0,1｝^kt と、それから計算された とから出発して、いま数ｙおよびｅから形成されたｙ＝
140ビットおよびｅ＝72ビットを有する署名に対して全
体として212ビットの長さが生ずる。１つのこのような
短縮された署名はセキュリティ−レベル2⁷²を有する。
すなわち、署名を偽造するためには、2⁷²乗算modulo
ｐが必要である。

数ｘ、ｙから成る署名の確認のためには加入者Ｂで、
すなわちターミナルで下記のステップが行われる。先
ず、第３図に示すように、 e:＝ｈ（x,m）∈｛0,1｝^kt が計算され、また次いで同一性検査が、関係式 に従って計算された値が署名のｘ値と比較されるよう
に実行される。

ｘがｅにより置き換えられる短縮された署名では、確
認は第５図に従って、先ず を計算し、また次いで数が正しいｅ値を与えるか否か
を検査するという仕方で行われる。後者は、ハッシュ値
ｈ（、ｍ）が値ｅと合致するか否かを検査することに
より行われる。

アイデンティフィケーション−プロトコルの際にも署
名プロトコルの際にもチップカードのなかの計算能力を
比較的わずかですます必要がある。数ｙの計算の際には
秘密鍵s_jになお比較的小さい数を乗算する必要がある
が、この乗算は簡単な加算およびシフト過程に分解され
得る。その際にs_jおよびe_ijの積がｉ−１ポジションだ
け左へシフトされればよい。この中間結果に最後になお
乱数ｒを加算により加える必要がある。

数 x:＝2^r（mod p） の計算は確かに費用がかかるが、いくつかの乱数に対し
て相応のｘ値が予め計算され、またｒおよびｘ値から成
る複数の対がストックとして蓄積されるならば、前記の
前プロセスにより時間費用から実際上無視され得る。

規則的な間隔の対の１つの制限された数において常に
再び等しい数対が用いられることを回避するため、各対
が利用の後に続いて他の場合によってはストックのすべ
ての対と再びランダムな仕方で組み合わされるかぎりに
おいて、１つの更新が行われる。その結果、ストックは
次第に常に再び更新かつ変更される。

このような更新プロセスの例として、ｉ＝1,…，に
対して数対（r_i,x_i）の１つのストックが存在すると
仮定する。対（ｒ_ν,x_ν）を更新するためにはたとえば
ランダム−インデックスａ（１），…,a（−１）∈
｛1,…，｝ならびに１つのまさに更新された対
（ｒ_μ,x_μ）を選定し、またａ（）＝μにより新しい
対（ｒ_ν,x_ν）を規則 に従って計算する。

新しい対（ｒ_ν,x_ν）に対して再び関係式ｘ＝２^ｒν
（mod ｐ）が有効である。新しい数ｒ_νは加算によ
り、また新しい数ｘ_νは乗算により計算する。対（ｒ
_ν,x_ν）の１つの他の更新は規則 に従って可能である。

新しい値ｒ_νの計算はここで加算およびシフトに
向かう。新しい値ｘ_νは２乗算により計算し得る。そ
のためｚ＝１で初めてステップ z:＝ｚ x_a(i)（mod p）,z:＝z²（mod p）， をから１へ上昇するインデックスｉで実行する。

新しい値ｘ_νは古い値と最後に計算された数ｚとの積
として、すなわち規則 に従って得られる。

この更新の際に値ａ（）＝μの結果として、まさに
更新されたｒ_μが最高２の冪により乗算される。これは
ストックの有効な更新に通ずる。署名に対して、まさに
記憶された対のランダムな組み合わせとして形成される
１つの対（r,x）を使用することは目的にかなってい
る。よく適しているのは、ｒ_ν,x_νの更新の際にいずれ
にせよ生ずる中間値である。

もちろん対（ｒ_ν,x_ν）に対するこの更新プロセスは
組み合わされ、またに変更され得る。更新ができるかぎ
り迅速に進行し、またリストに登録された署名から模倣
可能でないことのみが重要である。すなわち１つの小さ
い数が利用されることが目的にかなっている。更新
は、数対におけるストック、すなわち数、が十分に大
きいならば、探り出し不可能にとどまる。更新の際に鍵
対s_j,v_jを共に利用することは有利である。たとえば１
つの対（r_a(i),x_a(i)）に対して１つの鍵対（s_j,v_j）を
選定し得る。＝６および＝10では１つの鍵対の更新
は、たとえばターミナル内で他の計算操作が実行される
べきときに多かれ少なかれ付随的に実行され得る６また
は12の乗算しか必要としない。

数対（ｒ_ν,x_ν）を更新する多面的な可能性は各チッ
プカードのなかで他の方法で利用され得る。たとえばイ
ンデックスａ（１），…,a（−１）およびストックの
鍵対の組み合わせは各チップカードのなかで他の方法で
形成され得る。こうして更新プロセスの探り出しは実際
上不可能である。

短縮された署名の場合には乱数r^qは、署名のｙ部も小
さくとどまるように、小さくなければならない。これ
は、140ビット長さの素数ｑが存在するような、すなわ
ちα^ｑ＝１（mod p）であるような１つの底αを離散的
対数に対して選定することにより簡単に達成される。乱
数r_iの更新の際にもちろんmodulo ｑが計算される。す
なわちｐ−１がｇにより置き換えられる。

【図面の簡単な説明】

第１図は１つの加入者の本発明によるアイデンティフィ
ケーションの際の原理的過程を示す図、第２図は伝達す
べきメッセージに対する署名の発生の際の本発明による
方法のステップを示す図、第３図は第２図により発生さ
れた署名の検査ステップを示す図、第４図は短縮された
署名の発生の際の本発明による方法のステップを示す
図、第５図は第４図による短縮された署名の検査ステッ
プを示す図である。 Ａ……第１の加入者、Ｂ……第２の加入者

Claims (11)

(57)【特許請求の範囲】
1. 【請求項１】プロセッサ−チップカードにより動作する
   データ交換システムにおける加入者相互のアイデンティ
   フィケーションのための方法であって、センターで加入
   者に関する公開鍵により暗号化されチップカード内に記
   憶されたアイデンティフィケーションデータと、これら
   の公開鍵と論理的関係にある秘密鍵とが使用され、交互
   に加入者間で乱数に関係する検査データが交換されるア
   イデンティフィケーションのための方法において、 ａ）チップカードによりアイデンティティを証明する第
   １の加入者が、暗号化されたアイデンティフィケーショ
   ンデータ（Ｉ、ｖ）を、センターの署名と共に、チップ
   カードにより情報交換に入る第２の加入者に送り、第２
   の加入者が暗号化されたアイデンティフィケーションデ
   ータ（Ｉ、ｖ）の正しさを公開リストまたはセンターの
   署名により検査する過程と、 ｂ）チップカードにおいて、乱数ｒ（1,…,p−１）（こ
   こでｐは１つの取り決められた素数）から、１つのｘ値
   を規則 x:＝2^r（mod p） に従って形成し、次いでこのｘ値を第２の加入者に送る
   過程と、 ｃ）第２の加入者がランダムなビット列 e:＝（ｅ_1,1，…,e_t,k）∈｛0,1｝^kt （ｋ、ｔはセキュリティ数） を第１の加入者に送る過程と、 ｄ）第１の加入者のチップカードが、同じく離散的対数
   を表す記憶された秘密鍵s_j（ｊは秘密鍵の構成要素）と
   第２の加入者から第１の加入者のチップカードに伝達さ
   れたランダムなビット列ｅのビットから形成された２進
   数との乗算及び先に伝達されたｘ値に対応する乱数ｒの
   加算により、１つの数ｙを規則 （ｉは整数１〜ｔ、ｊは秘密鍵の構成要素） に従って計算し、この数ｙを第２の加入者に伝達する過
   程と、 ｅ）第２の加入者が第２の加入者に伝達された数ｙによ
   り１つの数ｘを規則 に従って計算し、第１の加入者のアイデンティティを計
   算された数ｘと先に第２の加入者に伝達されたｘ値との
   間の比較により検査する過程と を含んでいることを特徴とするデータ交換システムにお
   ける加入者相互のアイデンティフィケーションのための
   方法。
2. 【請求項２】プロセッサ−チップカードにより動作する
   データ交換システムにおける第１の加入者から第２の加
   入者へ伝達すべきメッセージに対する署名の発生のため
   の方法であって、センターで加入者に関する公開鍵によ
   り暗号化されチップカード内に記憶されたアイデンティ
   フィケーションデータと、これらの公開鍵と論理的関係
   にある秘密鍵とが使用され、交互に加入者間で乱数に関
   係する検査データが交換される署名の発生のための方法
   において、 ａ）署名を行う第１の加入者が、そのチップカードによ
   りチップカード内で発生された１と素数（ｐ−１）との
   間の範囲内に位置する乱数ｒから１つのｘ値を規則 x:＝2^r（mod p） に従って計算する過程と、 ｂ）第１の加入者のチップカードがｘ値、メッセージｍ
   および取り決められたハッシュ関数ｈの関数として１つ
   のランダム−ビット列ｅを規則 e:＝ｈ（x,m）∈｛0,1｝^kt （ｋ、ｔはセキュリティ数） に従って計算する過程と、 ｃ）第１の加入者のチップカードが乱数ｒ、チップカー
   ド内に記憶された秘密鍵s_j（ｊは秘密鍵の構成要素）お
   よびランダム−ビット列ｅから１つのｙ値を規則 （ｉは整数１〜ｔ、ｊは秘密鍵の構成要素） に従って計算する過程と、 ｄ）チップカードがメッセージｍ並びに値ｘおよびｙか
   ら形成された署名をそれとメッセージ交換関係にある第
   ２の加入者に送る過程と を含んでいることを特徴とするデータ交換システムにお
   ける伝達すべきメッセージに対する署名の発生のための
   方法。
3. 【請求項３】プロセッサ−チップカードにより動作する
   データ交換システムにおける第１の加入者から第２の加
   入者へ伝達すべきメッセージに対する短縮された署名の
   発生のための方法であって、センターでそれぞれ加入者
   に関する公開鍵により暗号化されチップカード内に記憶
   されたアイデンティフィケーションデータと、これらの
   公開鍵と論理的関係にある秘密鍵とが使用され、交互に
   加入者間で乱数に関係する検査データが交換される短縮
   された署名の発生のための方法において、 ａ）短縮された署名を行う第１の加入者がそのチップカ
   ードによりチップカード内で発生された１と素数（ｐ−
   １）との間の範囲内に位置する乱数ｒから１つのｘ値を
   規則 x:＝2^r（mod p） に従って計算する過程と、 ｂ）第１の加入者のチップカードがｘ値、メッセージｍ
   および取り決められたハッシュ関数ｈの関数として１つ
   のランダム−ビット列ｅを規則 e:＝ｈ（x,m）∈｛0,1｝^kt （ｋ、ｔはセキュリティ数） に従って計算する過程と、 ｃ）第１の加入者のチップカードが乱数ｒ、秘密鍵s
   _j（ｊは秘密鍵の構成要素）およびランダム−ビット列
   ｅから１つのｙ値を規則 （ｉは整数１〜ｔ、ｊは秘密鍵の構成要素） に従って計算する過程と、 ｄ）第１の加入者のチップカードがメッセージｍおよび
   値ｅおよびｙから形成された署名をそれとメッセージ交
   換関係にある第２の加入者に送る過程と を含んでいることを特徴とするデータ交換システムにお
   ける伝達すべきメッセージに対する短縮された署名の発
   生のための方法。
4. 【請求項４】第１の加入者のチップカード内に複数個の
   乱数ｒおよび前プロセスで各乱数に対し計算されたｘ値
   が対として記憶され、アイデンティフィケーションおよ
   び（または）署名手続きの際に使用される対（r,x）
   が、使用された乱数ｒが使用後にその他の記憶されてい
   る乱数からランダムに選択された乱数と組み合わされる
   ように変更され、更新された乱数に対してｘ値が計算さ
   れ、更新された乱数ｒと共に更新された対として記憶さ
   れることを特徴とする請求項１ないし３のいずれか１つ
   に記載の方法。
5. 【請求項５】第１の加入者のチップカード内に複数個の
   乱数r₁,…,r_kおよびｘ値、ｘ_ν＝２^ｒν（mod ｐ）が
   記憶され、アイデンティフィケーションおよび（また
   は）署名手続きの際に使用される対（r,x）が対のｉ＝
   1,…,t（ｔはセキュリティ数）に対するランダムな選定
   （ｒ_ａ（ｉ）,x_ａ（ｉ））により のように更新されることを特徴とする請求項４記載の方
   法。
6. 【請求項６】素数ｐは（ｐ−１）が素数ｑにより割り切
   れるように選定されており、離散的対数の底αが α^ｑ＝１（mod,p），α≠１（mod p） であるように選定されており、乱数ｒのｙ値、秘密鍵sj
   により、modulo ｑが計算され、秘密鍵s_jの構成要素s_j
   からの公開鍵v_jの構成要素v_jが式v_j＝α^-sj（mod ｐ）
   により形成されることを特徴とする請求項１ないし５の
   いずれか１つに記載の方法。
7. 【請求項７】秘密鍵s_j,乱数ｒおよびｙ値のビット長さ
   がそれぞれ素数ｐの全長よりも短いように秘密鍵（s_j）
   および乱数（ｒ）が選定されていることを特徴とする請
   求項１ないし６のいずれか１つに記載の方法。
8. 【請求項８】剰余類形成によりmodulo ｐが生ずる有限
   の群の代わりに、離散的対数を形成するために他の有限
   の群が使用されることを特徴とする請求項１ないし７の
   いずれか１つに記載の方法。
9. 【請求項９】有限の群として数ｎに対して素数の剰余類
   の単位群 有限の体の単位群、有限の体にわたる楕円曲線などが用
   いられることを特徴とする請求項８記載の方法。
10. 【請求項１０】請求項２による方法により発生された署
    名（x,y）を、署名されたメッセージｍを受信する第２
    の加入者において確認するための方法において、 ａ）メッセージｍおよび署名のｘ値からランダム−ビッ
    ト列ｅが規則 e:＝ｈ（x,m）∈｛0,1｝^kt に従って計算される過程と、 ｂ）ランダム−ビット列ｅ、公開鍵ｖおよび署名のｙ値
    から一つのｘ値が規則 に従って計算され、また計算されたｘ値が署名のｘ値と
    合致するか否かが検査される過程と を含んでいることを特徴とするデータ交換システムにお
    ける署名の確認方法。
11. 【請求項１１】請求項３による方法により発生された短
    縮された署名を、署名されたメッセージｍを受信する第
    ２の加入者において確認するための方法において、 ａ）伝達されたメッセージｍおよび署名（e,y）から１
    つ数ｘが規則 に従って計算される過程と、 ｂ）署名のｅ値がｈ（x,m）と合致するか否かが検査さ
    れる過程と を含んでいることを特徴とするデータ交換システムにお
    ける短縮された署名の確認方法。