グループ署名の効率化に関する研究

現在の発達したネットワーク上では,さまざまな情報が電子化され,電子データのやりとりが行われている.この背景の下,通信相手やデータの正統性を保証する情報セキュリティ技術は必須である.
情報セキュリティ技術の中にディジタル署名がある.ディジタル署名は電子データに対して,そのデータが正当な発信者から発信され,受信されるまでの間に改ざんされていないかを確認することが可能である.署名者は秘密鍵と秘密鍵に対応する公開鍵を作成し,秘密鍵を署名生成に使用する.検証者は公開鍵を使用することにより,署名の正統性を検証することができる.また,情報の正統性を保証するという性質より,ディジタル署名は本人認証に応用が可能である.
しかし,プライバシー保護を考慮した認証が求められることもある.例えば,マンションのエントランスで認証を行う場合である.認証する側としては許可された人以外は立ち入れないようにしたいが,認証される側としては,外出時間や帰宅時間を他人に知られたくはないだろう.しかし,問題が生じた場合には,認証した相手を特定する必要がある.この問題点を解消するため,グループ署名という概念が提案された.グループ署名はグループに所属しているメンバーが,グループに所属していることのみを認証することができる.グループ署名では,その署名が正当なグループメンバーによって生成されたものであるかを誰でも検証できる.署名からはグループのメンバーによって生成されたことのみが検証できるが,グループメンバーを特定することはできない.しかし,問題が生じた場合は管理者のみが署名者を特定できる.また,グループ管理者はメンバーの追加や削除が可能である.グループ署名は,グループのメンバーが匿名でグループの一員として署名できるという性質より,プライバシーの保護を考慮した認証に対して有効である.例えば,前述のマンションのエントランスでの認証や,定額制の有料サービス利用時の認証などに応用できる.

グループ署名の満たすべき性質は次の通りである.

  • 正当性:グループの正当なメンバーによって作られたグループ署名は必ず受理される.
  • 偽造不可能性:グループのメンバー以外が生成したグループ署名は検証を通らない.
  • 匿名性:正当なグループ署名が与えられたとき,グループ管理者以外が署名生成者を特定することはできない.
  • 関連付け不可能性・2つのグループ署名が与えられたとき,同じグループメンバーによって生成された署名であるかを決定することはできない.
  • 追跡可能性:グループ管理者は,いつでも正当なグループ署名から署名生成者を特定することができる.

グループ署名には,RSA署名をベースにする方式と双線形写像を利用する方式がある.RSA署名ベースでは知識証明が複雑になり,署名長が長くなるという問題があるため,近年は双線形写像を用いたグループ署名方式が多く提案されている.双線形写像を用いたグループ署名方式は,知識証明が簡単になり,署名長が短くなるという利点がある.

グループ署名において,グループからメンバーを削除する方法として主に鍵更新型と証明書削除リスト公開型がある.鍵更新型は,グループの公開鍵とそれに対応するメンバーの秘密鍵を更新する.この方法は,削除メンバーが生じるたびに正規メンバーの鍵を更新する必要がある.一方,証明書削除リスト公開型は,公開情報としてメンバーの削除リストを作成し,そこに署名者の情報が公開されていないかどうかを検証する.この方法は,削除メンバーが生じた時は証明書削除リストを更新するだけであるが,署名検証時に署名者が削除されたメンバーかどうかを検証する必要がある.鍵更新型はグループ管理者やグループメンバーに負荷がかかるが,検証者には負荷がかからない,また,証明書削除リスト公開型はグループメンバーには負荷がかからないが,検証者に負荷がかかるというトレードオフの関係にある.

鍵更新型のメンバー削除方法の1つとして,Accumulatorと呼ばれるデータを公開する方法がある.この方法は,メンバーの更新があった場合にグループ管理者がAccumulatorを更新し,更新された公開データと削除されたメンバーの所属証明書を公開する.その後,グループメンバーは更新された公開データと削除されたメンバーの所属証明書を用いて,自らの所属証明書を更新する.また,証明書削除リスト公開型のメンバー削除方法の1つとして,Verifier - Local Revocation であるグループ署名方式がある.この方式は,特定の検証者と署名者のみが,削除メンバーリストを保持し,メンバー削除時にユーザに通知する必要がなく,また,メンバー削除時にはグループ管理者は削除メンバーリストのみを更新すればよい方式である.しかし,削除メンバーリストを公開すると,リストから削除メンバーが特定できるため,削除されたメンバーの匿名性が保たれない.所属証明書にはメンバーの秘密鍵が含まれているので,秘密鍵を再利用したい場合には,削除メンバーの所属証明書を公開せず,匿名性を保つことが望ましい.

本稿では,効率的な鍵更新型の削除機能を持つグループ署名方式を提案する.提案方式は,双線形写像を用いており,削除メンバーリストは非公開とする.全正規メンバーの秘密情報から生成したデータを公開鍵とし,メンバー削除時にはこのデータのみを更新する.このことにより,グループ管理者には負荷がかかるが,グループメンバーと検証者には負荷をかけない.さらに,メンバーの所属証明書を公開せず,削除メンバーの匿名性を保つので,秘密鍵を更新せずに一定期間のみメンバーのグループ権限を失効する場合などに有効である.

Top