@techreport{oai:ipsj.ixsq.nii.ac.jp:00237198,
 author = {坂井, 祐介 and 藤田, 祐輝 and 山下, 恭佑 and 花岡, 悟一郎 and Yusuke, Sakai and Yuuki, Fujita and Kyosuke, Yamashita and Goichiro, Hanaoka},
 issue = {77},
 month = {Jul},
 note = {本稿では，Boneh-Gentry-Lynn-Shacham（BGLS）署名に対する鍵代替攻撃を考察する．まず集約署名に対する鍵代替攻撃を定式化したのちに，BGLS 署名が鍵代替攻撃に対して安全でないことを示す．次に，BGLS 署名に修正を加えることで，ダブルペアリング仮定（Abe ら，CRYPTO’10）のもとで鍵代替攻撃に対して安全な方式が構成できることを示す．具体的な修正としては，(i) 公開鍵において自明な鍵を禁ずる (ii) 署名生成時のハッシュ関数に，メッセージだけでなく公開鍵も入力する (iii) 公開鍵に対する所有証明（proof of possession）を加える，というものである．本稿で提案する構成はダブルペアリング仮定の下で安全性が示されるが，これは decision Diffie-Hellman 仮定から導かれるものであるため，標準的な仮定であると言える．, This paper considers security of the Boneh-Gentry-Lynn-Shacham (BGLS) aggregate signature scheme against key substitution attack. We first show that the BGLS signature scheme is insecure against key substitution attack in its original form. Then, we demonstrate that we can modify the BGLS signature scheme so that it is secure against the attack, under the double pairing assumption. Technically, we modify the BGLS signature scheme so that (i) it does not allow a trivial public key, (ii) a message and a public key are hashed during the creation of a signature, whereas only a message is hashed in the original scheme, nd (iii) it uses proof of possession to prove the security in the type-III setting, which is known as the most efficient setting. While we put an additional assumption (i.e., the double pairing assumption), we believe that it is a mild one because the double pairing assumption is implied by the decision Diffie-Hellman assumption (Abe et al. CRYPTO’10).},
 title = {BGLS署名に対する鍵代替攻撃の検討},
 year = {2024}
}