リング署名とは？ わかりやすく解説

ウィキペディア

リング署名

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2024/10/08 11:27 UTC 版)

暗号理論においてリング署名(英: ring signature)とは、デジタル署名の一種であって、複数の鍵のうちいずれかで署名されたことは検証できるが、どの鍵を使って署名されたのか知るのが困難であるような署名方法である。リング署名はグループ署名（英語版）に似ているが、2つの重要な点で異なる。1つ目は、個々の署名の匿名性を取り消す方法がない点である。2つ目は、複数人で協力する必要がなく、1つの鍵ペアと任意の公開鍵(他人が公開しているものでよい)をいくつか準備すれば署名が作れる点である。

リング署名はロナルド・リベスト、アディ・シャミア、ヤエル・タウマン・カライ（英語版）によって発明され、2001年のASIACRYPT（英語版）で発表された^[1]。リング署名という名前は、署名アルゴリズムのリング状の構造に由来する。

定義

この節の加筆が望まれています。 主に: 定義。このセクションは現在、リング署名の一部の有用な特性を記述しているが、数学的な定義は記述していない （2022年4月）

公開鍵と秘密鍵のペア(P₁, S₁), (P₂, S₂), ..., (P_n, S_n)をそれぞれ持つエンティティの集合があると仮定する。参加者iは、入力(m, S_i, P₁, ..., P_n)に基づいて、メッセージmに対するリング署名σを計算できる。そして誰でもσ、m、および関連する公開鍵P₁, ..., P_nが与えられれば、リング署名の妥当性を確認できる。リング署名が正しく計算されていれば、チェックに合格するはずである。一方、どのようなメッセージに対しても、どのような署名者集合に関しても、その集合に含まれるいずれかの秘密鍵を知らない限り、有効なリング署名の作成は誰にとっても困難であるはずである^[2]。

応用と変種

リベスト・シャミア・タウマン リング署名スキームの動作

最初の論文で、リベスト、シャミア、タウマンは、リング署名を秘密情報を流出させる方法として説明した。たとえば、リング署名を使用して、「ホワイトハウス高官」からの匿名署名を、どの高官がメッセージに署名したのか明らかにすることなく、提供できる。リング署名は匿名性を取り消せず、また、リング署名のグループを即興で作成できるため、このような用途に適している。

元の論文で説明されているもう1つの用途は否認可能署名(英: deniable signature)である。その際、メッセージの送信者と受信者はリング署名のグループを形成する。すると署名は受信者に対しては有効であるが、他の誰かにとっては受信者と送信者のどちらが実際の署名者であるか確信が持てない。したがって、このような署名は受信者を納得させられるが、意図した受信者以外に転送できない。

リング署名に対して新しい機能を追加する研究や異なる仮定に基づく研究が存在する:

閾値リング署名(英: Threshold ring signatures)

^[3] n人のユーザのうちのt人がメッセージに署名するために協力する必要がある標準的な"t-out-of-n"閾値暗号システム（英語版）とは異なり、このリング署名の変種では、リング署名プロトコル（英語版）の下にt人のユーザが協力する必要がある。つまり、tの関係者S₁, ..., S_t ∈ {P₁, ..., P_n}は、入力(m, S₁, ..., S_t, P₁, ..., P_n)に対して、メッセージmに対する(t, n)-リング署名σを計算できる。

リンク可能リング署名(英: Linkable ring signatures)

^[4] リンク可能性という特性を持つ場合、2つの署名が同じメンバーによって(同じ秘密鍵を使って)生成されたかどうかを判断できるようになる。それでも署名者の身元は保護される。考えられる用途の1つは、オフラインデジタル通貨システムである。

追跡可能リング署名(英: Traceable ring signature)

^[5] 前のスキームに加えて、署名者の公開鍵が明らかにされる(同じ秘密鍵で複数の署名を発行した場合)。電子投票システムがこのプロトコルを使用して実装できる。

効率

提案されているアルゴリズムのほとんどは、漸近的な出力サイズが ${\displaystyle O(n)}$ This article incorporates text available under the CC BY-SA 4.0 license.

1. ^ Rivest, Ronald L.; Shamir, Adi; Tauman, Yael (2001). “How to Leak a Secret”. Advances in Cryptology — ASIACRYPT 2001. Lecture Notes in Computer Science. 2248. pp. 552–565. doi:10.1007/3-540-45682-1_32. ISBN 978-3-540-42987-6. https://doi.org/10.1007%2F3-540-45682-1_32 
2. ^ Debnath, Ashmita; Singaravelu, Pradheepkumar; Verma, Shekhar (19 December 2012). “Efficient spatial privacy preserving scheme for sensor network”. Central European Journal of Engineering 3 (1): 1–10. doi:10.2478/s13531-012-0048-7. 
3. ^ E. Bresson; J. Stern; M. Szyd lo (2002). “Threshold Ring Signatures and Applications to Ad-hoc Groups”. Advances in Cryptology — CRYPTO 2002. Lecture Notes in Computer Science. 2442. pp. 465–480. doi:10.1007/3-540-45708-9_30. ISBN 978-3-540-44050-5. https://www.di.ens.fr/~bresson/papers/BreSteSzy02.pdf 
4. ^ Liu, Joseph K.; Wong, Duncan S. (2005). “Linkable Ring Signatures: Security Models and New Schemes”. Computational Science and Its Applications – ICCSA 2005. Lecture Notes in Computer Science. 2. 614–623. doi:10.1007/11424826_65. ISBN 978-3-540-25861-2 
5. ^ ^{a b} Fujisaki, Eiichiro; Suzuki, Koutarou (2007). “Traceable Ring Signature”. Public Key Cryptography: 181–200. 
6. ^ Fujisaki, Eiichiro (2011). “Sub-linear size traceable ring signatures without random oracles”. IEICE Transactions on Fundamentals of Electronics, Communications and Computer Sciences 95 (1): 393–415. Bibcode: 2012IEITF..95..151F. doi:10.1587/transfun.E95.A.151. 
7. ^ Au, Man Ho; Liu, Joseph K.; Susilo, Willy; Yuen, Tsz Hon (2006). “Constant-Size ID-Based Linkable and Revocable-iff-Linked Ring Signature”. Progress in Cryptology - INDOCRYPT 2006. Lecture Notes in Computer Science. 4329. pp. 364–378. doi:10.1007/11941378_26. ISBN 978-3-540-49767-7. https://ro.uow.edu.au/cgi/viewcontent.cgi?article=10250&context=infopapers