この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
3 用語と定義
この文書の目的上、次の用語と定義が適用されます。
3.1
データ入力
メッセージ全体またはメッセージの一部に依存し、署名生成プロセスへの入力の一部を形成するオクテット文字列
3.2
パラメーター
ドメイン内のすべてのエンティティに共通であり、それらが知っているか、またはアクセスできるデータ項目
[出典:ISO/IEC 14888-1:1998]
注1: ドメイン・パラメータのセットには、ハッシュ関数識別子、ハッシュ・トークンの長さ、メッセージの回復可能な部分の最大長、有限体パラメータ、楕円曲線パラメータ、またはドメイン内のセキュリティ・ポリシーを指定するその他のパラメータなどのデータ項目が含まれる場合があります。
3.3
楕円曲線
点の集合P = (x ,y )ここで, x とy 明示的に与えられた有限体の要素であり、特異点のない 3 次方程式を満たし、 O で示される「無限遠点」を満たします。
[出典:ISO/IEC 15946-1:2002]
注記 1: 明示的に与えられた有限体上の楕円曲線の数学的定義については、A.4 項を参照。
3.4
与えられた有限体
[0,p - 1]ここで, p は素数でe ≥ 1上のすべてのe タプルのセットと「乗算表」
注記 1: 明示的に与えられた有限体の数学的定義については、A.3 項を参照。
注記 2:有限体に関する詳細については、ISO/IEC 15946-1:2002 を参照。
3.5
ハッシュコード
ハッシュ関数の出力であるオクテットの文字列
注記 1: ISO/IEC 10118-1:2000 から適応。
3.6
ハッシュ関数
- 特定の出力に対して、この出力にマップする入力を見つけることは計算上不可能です。
- 特定の入力に対して、同じ出力にマップされる 2 番目の入力を見つけることは計算上不可能です。
注記 1: ISO/IEC 10118-1:2000 から適応。
注記 2: 計算上の実現可能性は、特定のセキュリティ要件および環境によって異なります。
- ISO/IEC 10118 で説明されているハッシュ関数はビット文字列をビット文字列にマッピングしますが、ISO/IEC 9796 のこの部分では、オクテット文字列をオクテット文字列にマッピングします。したがって、ISO/IEC 10118-2 または ISO/IEC 10118-3 のハッシュ関数は、出力のビット長が8の倍数である場合にのみ ISO/IEC 9796 のこの部分で許可されます。この場合、オクテット文字列とビット文字列間のマッピングは関数OS2BSPおよびBS2OSPの影響を受けます。
3.7
ハッシュトークン
ハッシュ コードとオプションの制御フィールドの連結。ハッシュ関数とパディング方法を識別するために使用できます。
[出典:ISO/IEC 14888-1:1998]
注 1: ハッシュ関数が署名メカニズムまたはドメイン・パラメーターによって一意に決定されない限り、ハッシュ関数識別子を含む制御フィールドは必須です。
3.8
メッセージ
任意の長さのオクテットの文字列
3.9
パラメータ生成プロセス
出力ドメインパラメータとユーザーキーとして与えるプロセス
3.10
事前署名
署名生成プロセスで計算されるオクテット文字列。ランダマイザーの機能ですが、メッセージとは独立しています。
注記 1: ISO/IEC 14888-1:1998 から適応。
3.11
秘密署名キー
エンティティに固有であり、署名生成プロセスでこのエンティティのみが使用できるデータ項目
3.12
公開検証キー
秘密署名キーに数学的に関連しており、すべてのエンティティが知っているか、アクセスできるデータ項目で、署名検証プロセスで検証者によって使用されます。
3.13
ランダム化された
ランダマイザーに依存する
[出典:ISO/IEC 14888-1]
3.14
ランダマイザー
署名前の生成プロセスで署名エンティティによって生成され、他のエンティティによって予測できない秘密の整数
注記 1: ISO/IEC 14888-1:1998 から適応。
3.15
サイン
署名生成プロセスで生成される、認証を提供するためのオクテット文字列と整数のペア
注記 1: ISO/IEC 14888-1:1998 から適応。
3.16
署名生成プロセス
メッセージ、署名キー、ドメインパラメータを入力として受け取り、出力として署名を与えるプロセス
注記 1: ISO/IEC 14888-1:1998 の 署名プロセス の定義を基に作成。
3.17
署名検証プロセス
このプロセスは、署名されたメッセージ、検証キー、およびドメイン パラメーターを入力として受け取り、有効であれば復元されたメッセージを出力として返します。
注記 1: ISO/IEC 14888-1:- 1)の 検証プロセス の定義から適応。
3.18
署名付きメッセージ
署名、署名から復元できないメッセージの部分、およびオプションのテキスト フィールドで構成されるデータ項目のセット
[出典:ISO/IEC 14888-1:1998]
3.19
ユーザーキー
秘密署名鍵と公開検証鍵のセットのデータ項目
参考文献
| 1 | ISO/IEC 14888-1, 情報技術 - セキュリティ技術 - 付録付きデジタル署名 - Part 1: 一般 |
| 2 | M A be および T O kamoto 、「離散対数と同じくらい安全なメッセージ回復を伴う署名スキーム」、 Advances in Cryptology — Asiacrypt'99 、Lecture Notes in Computer Science 1716, pp. 378-389, Springer-Verlag, 1999 |
| 3 | ANSI X9.62-1999, 金融サービス業界向けの公開キー暗号化: 楕円曲線デジタル署名アルゴリズム (ECDSA)、 1999 年 |
| 4 | ANSI X9.63-1999, 金融サービス業界向けの公開キー暗号化: 楕円曲線キーの合意とトランスポート プロトコル、 1999 年 |
| 5 | IEEE Std 1363-2000, 公開キー暗号化の IEEE 標準仕様 |
| 6 | CHL imおよび PJ ee 、「提案されている韓国のデジタル署名アルゴリズムに関する研究」、 Advances in Cryptology — Asiacrypt'98 、Lecture Notes in Computer Science 1514, pp. 175-186, Springer-Verlag, 1998 |
| 7 | AJ Menezes 、PC vanOorschot 、SA Vanstone 、「応用暗号技術ハンドブック」、CRC Press, 1997 |
| 8 | 宮地 章「メッセージ回復署名をめぐる偽造へのもう一つの対策」、電子情報通信学会論文誌基礎編、vol. E80-A, No.11, pp.2192-2200, 1997 |
| 9 | K. N ybergおよび RA Rueppel 、「離散対数問題に基づく署名スキームのメッセージ回復」、 Designs, Codes and Cryptography 、7, 61-81 ページ、1996 |
| 10 | L Pintsovおよび S Vanstone 、「デジタル時代の郵便収入徴収」、第 4 回国際金融暗号会議議事録、2000 年 |
| 11 | DH Yum 、SG Simおよび PJ L ee 、「EC-KCDSA に基づくメッセージ回復を提供する新しい署名スキーム」、第 12 回情報セキュリティと暗号化会議 (CISC) の議事録、 595 ~ 597 ページ、2002 |
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1
data input
octet string which depends on the entire message or a portion of the message and which forms a part of the input to the signature generation process
3.2
domain parameter
data item which is common to and known by or accessible to all entities within the domain
[SOURCE:ISO/IEC 14888-1:1998]
Note 1 to entry: The set of domain parameters may contain data items such as hash-function identifier, length of the hash-token, maximum length of the recoverable part of the message, finite field parameters, elliptic curve parameters, or other parameters specifying the security policy in the domain.
3.3
elliptic curve
set of points P= (x,y) ここで, x and y are elements of an explicitly given finite field, that satisfy a cubic equation without any singular point, together with the “point at infinity” denoted by O
[SOURCE:ISO/IEC 15946-1:2002]
Note 1 to entry: For a mathematical definition of an elliptic curve over an explicitly given finite field, see Clause A.4.
3.4
explicitly given finite field
set of all e -tuples over [0,p- 1] ここで, p is prime and e≥ 1, along with a “multiplication table”
Note 1 to entry: For a mathematical definition of an explicitly given finite field, see Clause A.3.
Note 2 to entry: For more detailed information on finite fields, see ISO/IEC 15946-1:2002.
3.5
hash-code
string of octets which is the output of a hash-function
Note 1 to entry: Adapted from ISO/IEC 10118-1:2000.
3.6
hash-function
- for a given output, it is computationally infeasible to find an input which maps to this output;
- for a given input, it is computationally infeasible to find a second input which maps to the same output.
Note 1 to entry: Adapted from ISO/IEC 10118-1:2000.
Note 2 to entry: Computational feasibility depends on the specific security requirements and environment.
- The hash-functions described in ISO/IEC 10118 map bit strings to bit strings, whereas in this part of ISO/IEC 9796, they map octet strings to octet strings. Therefore, a hash-function in ISO/IEC 10118-2 or ISO/IEC 10118-3 is allowed in this part of ISO/IEC 9796 only if the length in bits of the output is a multiple of 8, in which case the mapping between octet strings and bit strings is affected by the functions OS2BSP and BS2OSP.
3.7
hash-token
concatenation of a hash-code and an optional control field which can be used to identify the hash-function and the padding method
[SOURCE:ISO/IEC 14888-1:1998]
Note 1 to entry: The control field with the hash-function identifier is mandatory unless the hash-function is uniquely determined by the signature mechanism or by the domain parameters.
3.8
message
string of octets of any length
3.9
parameter generation process
process which gives as its output domain parameter and user keys
3.10
pre-signature
octet string computed in the signature generation process which is a function of the randomizer but which is independent of the message
Note 1 to entry: Adapted from ISO/IEC 14888-1:1998.
3.11
private signature key
data item specific to an entity and usable only by this entity in the signature generation process
3.12
public verification key
data item which is mathematically related to a private signature key and is known by or accessible to all entities and which is used by the verifier in the signature verification process
3.13
randomized
dependent on a randomizer
[SOURCE:ISO/IEC 14888-1]
3.14
randomizer
secret integer produced by the signing entity in the pre-signature production process, and not predictable by other entities
Note 1 to entry: Adapted from ISO/IEC 14888-1:1998.
3.15
signature
pair of an octet string and an integer for providing authentication, generated in the signature generation process
Note 1 to entry: Adapted from ISO/IEC 14888-1:1998.
3.16
signature generation process
process which takes as inputs the message, the signature key and the domain parameters, and which gives as output the signature
Note 1 to entry: Adapted from the definition of signature process in ISO/IEC 14888-1:1998.
3.17
signature verification process
process, which takes as its input the signed message, the verification key and the domain parameters, and which gives as its output the recovered message if valid
Note 1 to entry: Adapted from the definition of verification process in ISO/IEC 14888-1:- 1) .
3.18
signed message
set of data items consisting of the signature, the part of the message which cannot be recovered from the signature, and an optional text field
[SOURCE:ISO/IEC 14888-1:1998]
3.19
user keys
data item of a set of private signature key and public verification key
Bibliography
| 1 | ISO/IEC 14888-1, Information technology — Security techniques — Digital signatures with appendix — Part 1: General |
| 2 | M. Abe and T. Okamoto, “A signature scheme with message recovery as secure as discrete logarithm,” Advances in Cryptology — Asiacrypt’99, Lecture Notes in Computer Science 1716, pp. 378-389, Springer-Verlag, 1999 |
| 3 | ANSI X9.62-1999, Public Key Cryptography For The Financial Services Industry: The Elliptic Curve Digital Signature Algorithm (ECDSA), 1999 |
| 4 | ANSI X9.63-1999, Public Key Cryptography For The Financial Services Industry: Elliptic Curve Key Agreement and Transport Protocols, 1999 |
| 5 | IEEE Std 1363-2000, IEEE Standard Specifications for Public-Key Cryptography |
| 6 | C. H. Lim and P. J. Lee, “A study on the proposed Korean digital signature algorithm,” Advances in Cryptology — Asiacrypt’98, Lecture Notes in Computer Science 1514, pp. 175-186, Springer-Verlag, 1998 |
| 7 | A. J. Menezes, P. C. van Oorschot and S. A. Vanstone, “Handbook of applied cryptography,” CRC Press, 1997 |
| 8 | A. Miyaji, “Another Countermeasure to Forgeries over Message Recovery Signature,” IEICE Trans., Fundamentals, vol. E80-A, No.11, pp. 2192-2200, 1997 |
| 9 | K. Nyberg and R. A. Rueppel, “Message recovery for signature schemes based on the discrete logarithm problem,” Designs, Codes and Cryptography, 7, pp. 61-81, 1996 |
| 10 | L. Pintsov and S. Vanstone, “Postal Revenue Collection in the Digital Age,” Proceedings of the Fourth International Financial Cryptography Conference, 2000 |
| 11 | D. H. Yum, S. G. Sim and P. J. Lee, “New Signature Schemes Giving Message Recovery Based on EC-KCDSA,” Proceedings of the 12th Conference on Information Security and Cryptology (CISC), pp. 595-597, 2002 |