Loading...
Ring Confidential Transactions
発表者: 田中 芳治
Outline
理論背景
Multilayered Linkable Spontaneous Anonymous Group Signatures
Ring Confidential Transaction For Monero Protocol
“Ring Confidential Transactions”,
Shen Noether, Adam Mackenzie, the Monero Research Lab
http://ledgerjournal.org/ojs/index.php/ledger/article/view/34/61
理論背景
デジタル署名の基本アイデア
記号
秘密鍵
u
∈
F
q
u \in \mathbb{F}_q
u
∈
F
q
公開鍵
P
=
f
(
u
)
P=f(u)
P
=
f
(
u
)
(準同型暗号化関数
f
:
F
q
↦
G
f:\mathbb{F}_q \mapsto \mathbb{G}
f
:
F
q
↦
G
)
メッセージ
m
∈
M
\mathfrak{m}\in \mathcal{M}
m
∈
M
署名
σ
=
(
σ
1
,
σ
2
,
…
,
σ
N
)
∈
S
N
\sigma = (\sigma_1, \sigma_2, \ldots,\sigma_N)\in \mathcal{S}^N
σ
=
(
σ
1
,
σ
2
,
…
,
σ
N
)
∈
S
N
\beSit
デジタル署名の基本アイデア
ある写像
F
:
M
×
S
N
×
G
↦
N
F:\mathcal{M}\times\mathcal{S}^N\times\mathbb{G} \mapsto \mathbb{N}
F
:
M
×
S
N
×
G
↦
N
は,次の条件を全て満たすと仮定する.
任意の
m
∈
M
\mathfrak{m}\in \mathcal{M}
m
∈
M
と任意の
P
P
P
に対して,等式
F
(
m
,
σ
,
P
)
=
0
F(\mathfrak{m}, \sigma,P)=0
F
(
m
,
σ
,
P
)
=
0
を満たす
σ
\sigma
σ
が存在する.
m
≠
m
′
\mathfrak{m}\neq\mathfrak{m}'
m
≠
m
′
であるならば,
F
(
m
,
σ
,
P
)
≠
F
(
m
′
,
σ
,
P
)
F(\mathfrak{m}, \sigma,P)\neq F(\mathfrak{m}', \sigma,P)
F
(
m
,
σ
,
P
)
≠
F
(
m
′
,
σ
,
P
)
ある
m
\mathfrak{m}
m
と
P
P
P
が与えられた時,上の等式を満たす
σ
\sigma
σ
を求めるための有効なアルゴリズムは存在しない.
秘密鍵
u
u
u
を知っているならば,改竄検証可能な署名データ
σ
\sigma
σ
を求めることができる.
秘密鍵を知らない人でも,
(
m
,
σ
,
P
)
(\mathfrak{m},\sigma, P)
(
m
,
σ
,
P
)
が与えられた時,
F
F
F
の値が
0
0
0
になっているかどうかを計算により確かめることができる.
署名作成アルゴリズム
秘密鍵
u
u
u
を知っているならば,改竄検証可能なデータ
σ
1
,
σ
2
,
…
,
σ
N
\sigma_1,\sigma_2, \ldots, \sigma_N
σ
1
,
σ
2
,
…
,
σ
N
を求めることができるとき,アルゴリズム
S
I
G
(
m
,
u
,
P
)
↦
σ
\mathrm{SIG}(\mathfrak{m},u,P)\mapsto \sigma
S
I
G
(
m
,
u
,
P
)
↦
σ
を署名作成アルゴリズムといい,
σ
=
(
σ
1
,
σ
2
,
…
,
σ
N
)
\sigma=(\sigma_1,\sigma_2, \ldots, \sigma_N)
σ
=
(
σ
1
,
σ
2
,
…
,
σ
N
)
を
m
\mathfrak{m}
m
の署名と呼ぶ.
検証アルゴリズム
F
(
m
,
σ
,
P
)
=
0
F(\mathfrak{m}, \sigma,P)=0
F
(
m
,
σ
,
P
)
=
0
を確認して,改竄判定をするアルゴリズム
V
E
R
(
m
,
σ
,
P
)
↦
0
o
r
1
\mathrm{VER}(\mathfrak{m},\sigma,P)\mapsto 0 \mathrm{\ or \ } 1
V
E
R
(
m
,
σ
,
P
)
↦
0
o
r
1
を検証アルゴリズムとする.
リング署名のアイデア
リング署名に必要な人数
n
n
n
インデックス
i
=
1
,
2
,
…
,
n
i=1,2,\ldots,n
i
=
1
,
2
,
…
,
n
秘密鍵とそれに対応する公開鍵
u
i
,
P
i
u_i, P_i
u
i
,
P
i
任意のインデックス
i
i
i
に対して,判定条件式
F
(
m
,
σ
,
P
1
,
…
,
P
n
)
=
0
F(\mathfrak{m},\sigma, P_1,\ldots,P_n)=0
F
(
m
,
σ
,
P
1
,
…
,
P
n
)
=
0
を満たすような署名アルゴリズム
S
I
G
(
m
,
u
i
,
P
1
,
…
,
P
n
)
↦
σ
(
i
)
\mathrm{SIG}(\mathfrak{m},u_i,P_1,\ldots,P_n)\mapsto \sigma^{(i)}
S
I
G
(
m
,
u
i
,
P
1
,
…
,
P
n
)
↦
σ
(
i
)
を考える
ただし,署名
σ
(
π
)
\sigma^{(\pi)}
σ
(
π
)
とその他の公開データから署名者
π
\pi
π
を特定する有効なアルゴリズムが存在しない.
σ
=
(
c
1
,
c
2
,
…
,
c
n
)
\sigma=(c_1,c_2,\ldots,c_n)
σ
=
(
c
1
,
c
2
,
…
,
c
n
)
とし,
Please turn on JavaScript to use Paper in all of its awesomeness. ^_^
Outline
理論背景
デジタル署名の基本アイデア
リング署名のアイデア