Построение протоколов ключевого соглашения криптоконференции на основе k-мультилинейных отображений тема диссертации и автореферата по ВАК РФ 05.13.18, кандидат физико-математических наук Гончаров, Сергей Михайлович

Постоянно растущая информатизация и компьютеризация общества приводят к необходимости совершенствования криптографических методов и средств защиты информации. В условиях взаимного недоверия субъектов информационной системы защита обеспечивается на основе методов асимметричной криптографии [2, 3, 4, 6].

Последнее время получили широкое распространения системы группового обмена информацией: аудио- и видеоконференции, текстовгле конференции с большим количеством участников и другие. В основном такой информационный обмен происходит по открытым каналам связи. Вопрос об обеспечении безопасности информационного обмена такого рода стоит достаточно остро.

Ситуацию, когда три или более сторон совместно вырабатывают секретный ключ, используя несекретные каналы связи, часто называют ключевым соглашением конференцсвязи. В этой ситуации стороны получают возможность безопасного обмена информацией в небезопасной срсде. Противник, не имеющий доступа к секретному ключу, не сможет расшифровать сообщения. Ключевое соглашение -один из фундаментальных криптографических примитивов после шифрования и цифровой подписи. Оно требуется в ситуациях, когда две или более сторон хотят обеспечить безопасную связь друг с другом.

С развитием глобальных компьютерных сетей возникла необходимость обеспечения безопасности конференцсвязи для динамически изменяющихся групп с большим количеством участников. Все вышесказанное потребовало развития теории и практики протоколов группового ключевого соглашения [1].

Протоколы ключевого соглашения делятся на два класса - с аутентификацией и без. Впервые протокол двустороннего ключевого соглашения был введен Диффи и Хеллманом в их оригинальной работе [41]. Это неаутентифицированный протокол в том смысле, что противник, который контролирует канал связи, может использовать атаку «человек в середине» для выработки двух раздельных ключей для двух пользователей, и пользователи не будут осведомлены об этом. Эта ситуация обычно исправляется добавлением в протокол какого либо механизма аутентификации.

Протоколы неаутентифицированного ключевого соглашения предполагают, что противник пассивен, то есть противник может осуществлять перехват трафика сети, но не может изменять его. С другой стороны, протокол аутентифицированного ключевого соглашения предполагает активного противника, то есть противник может изменять и перемещать сообщения в сети. Таким образом, требования к безопасности для аутентифицированного ключевого соглашения более строги. Вот некоторые из желаемых свойств в аутентифицированном ключевом соглашении:

- обоюдная неявная ключевая аутентификация;

- известная ключевая безопасность;

- «безопасность будущего»;

- отсутствие деперсонализации ключевой компрометации;

- ключевой контроль.

Помимо аутентификации другими аспектами протоколов ключевого соглашения являются вычислительная и связная эффективность. Когда количество сторон больше двух, протокол обычно является многораундовым. В каждом раунде все или некоторые пользователи посылают сообщения другим пользователям и в конце всех раундов все пользователи должны совместно выработать общий ключ. Общее количество бит, обмениваемых в протоколе, является критическим параметром и позволяет судить об эффективности протокола.

Предыдущие результаты: как упоминалось ранее, первый двусторонний протокол неаутентифицированного ключевого соглашения был предложен Диффи-Хеллманом в их оригинальной работе [41]. Он был модифицирован в протокол аутентифицированного ключевого соглашения в работе Мацумото, Такшима и Имаи [61]. Позже, в [57] показано, что некоторые из протоколов, описанных в [61], небезопасны и предложен новый протокол аутентифицированного ключевого соглашения. В дальнейшем последовал ряд предложений для аутентифицированного и неаутентифицированного ключевого соглашения [64, 73, 36].

Среди известных многосторонних протоколов ключевого соглашения только два протокола имеют количество раундов меньшее, чем у предлагаемого в диссертации протокола. Боне и Силверберг [29], предложили однораундовый протокол многостороннего ключевого соглашения. Этот протокол основан на существовании п-мультилинейных отображений для больших значений «п» («п» определяется размером группы и может достигать до нескольких тысяч). Предполагается маловероятным появление алгоритмов генерации п-мультилинейных отображений для таких значений п в ближайшие годы. Другой протокол, требующий меньшее количество раундов, предложен Бурмейстером и Десмедтом [34]. Это неаутентифицированный протокол, требующий два раунда. Однако, его вычислительная сложность высока и общее количество возведений в степень составляет порядка п2. Также авторы указывают, что техника доказательства нулевого разглашения требует преобразования этого протокола в аутентифицированный протокол. В 2003 году Кац и Юнг разработали 3-раундовую версию протокола Бурмейстера-Десмедта и доказали ее безопасность [52]. Поэтому на данный момент протокол Бурмейстера-Десмедта (в дальнейшем будем обозначать его протокол ВО) может считаться полноценным лидером по связной эффективности.

Одним из важных направлений развития теории протоколов группового ключевого соглашения является разработка протоколов со структурой дерева. Первоначально разрабатывались протоколы группового ключевого соглашения на основе двоичного дерева с использованием в качестве базового подпротокола модификаций протокола Диффи-Хеллмана [54, 55, 56].

В 2000 году Джо предложил однораундовый трехсторонний протокол ключевого соглашения [50]. Естественным развитием этого революционного результата являются следующие 2 направления.

1. Протокол Джо - аналог протокола Диффи-Хеллмана, но вычисляет общий ключ не для двух, а для трех корреспондентов. Использование этого преимущества при построении протокола многостороннего ключевого соглашения - первое направление. В 2003 представлен первый вариант такого протокола - протокол группового ключевого соглашения на основе троичного дерева [18].

2. В протоколе Джо используются билинейные отображения. Наличие практических алгоритмов для построения п-мультилинейных форм позволило бы построить однораундовый протокол (п+1)-стороннего ключевого соглашения. В 2002 году Боне и Сильверберг [29] описали такой протокол, а несколько позже корейские авторы [58] предложили аутентифицированную версию такого протокола.

Однако задача построения п-мультилинейных отображений в настоящий момент является открытой проблемой. Предполагается маловероятным появление таких алгоритмов для больших значений п в ближайшие годы (напомним, что в нашем случае значение п определяется размером группы, а группы могут быть значительных размеров). В тоже время представляется вполне реальным появление конкретных п-мультилинейных преобразований для малых значений п (п=3,4,5),

В связи с этим возникает задача разработки протоколов Мультилинейного Группового Ключевого Соглашения со Структурой Дерева (МГКССД), реализующих преимущества к-мультилииейных отображений для малых значений к, которая и решается в данной диссертационной работе.

Целью диссертационной работы является разработка семейства протоколов группового ключевого соглашения с использованием преимуществ, которые дает существование к-мультилинейного отображения для малых значений к.

Для достижения поставленной цели решались следующие задачи.

1. Разработка базового алгоритма со структурой дерева, обеспечивающего неаутентифицированное ключевое соглашение с использованием к-мультилинейного отображения.

2. Разработка аутентифицированных версий базового протокола различного уровня сложности и, соответственно, обеспечивающих безопасность для различных условий и требований.

3. Разработка необходимых понятий, схем и протоколов для случая к-мультилинейных отображений.

4. Доказательство безопасности всех версий разработанного протокола в условиях различных моделей противника.

5. Исследование эффективности разработанных протоколов и их сравнение с протоколами, известными ранее.

На защиту выносятся следующие положения.

1. Алгоритм базового неаутентифицированного протокола группового соглашения со структурой дерева (МГКССД), реализующий преимущества использования к-мультилинейных отображений и безопасный по отношению к атакам пассивного противника.

2. Элементы теории мультилинейной криптографии (с использованием к-мультилинейных отображений), включающие:

- схему мультиподписи;

- схему объединенной подписи;

- криптосистему на основе идентификационных данных (КСОИД);

- обобщение протокола Ченга-Лиу-Кима.

3. Доказуемо безопасная в условиях стандартной модели безопасности аутентифицированная версия протокола МГКССД с использованием мультилинейной объединенной подписи.

4. Аутентифицированная версия протокола МГКССД в условиях мультилинейной криптосистемы на основе идентификационных данных.

Научная новизна работы

1. Разработан оригинальный протокол Мультилинейного Группового Ключевого Соглашения со Структурой Дерева (МГКССД), использующий преимущества к-мультилинейных отображений для малых значений к и обладающий более высокой связной эффективностью по сравнению с протоколами соответствующего класса.

2. Разработаны для случая к-мультилинейных отображений: схемы мультиподписи и объединенной подписи, криптосистемы на основе идентификационных данных (КСОИД), обобщения протокола Ченга-Лиу-Кима.

3. Разработана аутентифицированная версия протокола МГКССД с использованием описанной мультилинейной КСОИД.

4. Разработана доказуемо безопасная в условиях стандартной модели безопасности версия протокола МГКССД с использованием описанной схемы мультилинейной объединенной подписи.

ЗАКЛЮЧЕНИЕ

В диссертации разработан необходимый аппарат, позволяющий реализовывать преимущества А-мультилинейных отображений для малых значений к при обеспечении безопасности конференцсвязи. Описан неаутентифицированный протокол многостороннего ключевого соглашения на основе (к+1)-ичного дерева (МГКССД) с использованием к-мультилинейцого отображения, а также его аутентифицироваиные версии. Протокол МГКССД имеет преимущества в связной эффективности по сравнению с известными протоколами ключевого соглашения со структурой дерева. Для частного случая к=2 протокол МГКССД дает сокращение до

40 % от суммарного объема передаваемой по каналам связи информации и проводимых экспоненциирований по сравнению с единственным описанным на настоящий момент протоколом конференцсвязи, использующим билинейные спаривания (протокол Баруа-Дутта-Саркара - «БОБ»), Эффективность протокола МГКССД при к>2 определяется сложностью вычисления конкретных реализаций к-мультилинейного отображения. С учетом предложенной процедуры действий участников при динамическом изменении состава группы, а также возможностей, которые дает структура (к+1)-ичного дерева, протокол МГКССД может дать преимущества в сравнении с любым известным протоколом группового ключевого соглашения. Разработанный в диссертации аппарат, касающийся использования мультилинейных отображений в криитографии, имеет самостоятельное значение и может быть использован для дальнейших разработок в области информационной безопасности. Ниже перечислены основные результаты диссертационной работы:

1. Разработан алгоритм базового неаутентифицированного протокола группового соглашения со структурой дерева (МГКССД), реализующий преимущества использования к-мультилинейных отображений. Доказана безопасность данного протокола по отношению к атакам пассивного противника при условии сложности ВНМОН-проблемы в используемой структуре.

2.Для случая к-мультилинейных отображений разработаны следующие схемы, криптосистемы и алгоритмы:

- схема мультиподписи;

- схема объединенной подписи;

- криптосистемы на основе идентификационных данных (КСОИД);

- обобщение протокола Ченга-Лиу-Кима;

3.Разработана аутентифицированная версия протокола МГКССД с использованием мультилинейной объединенной подписи. Доказана безопасность данного протокола в условиях стандартной модели безопасности.

4. Разработана аутентифицированная версия протокола МГКССД в условиях мультилинейной КСОИД. Показано, что данная версия протокола удовлетворяет всем основным свойствам безопасного протокола группового ключевого соглашения.

На момент завершения исследований описанный в диссертации протокол МГКССД может быть реализован при разработке систем закрытой конференцсвязи лишь в частном случае при к=2 с использованием билинейных спариваний на эллиптических кривых. При этом протокол МГКССД дает увеличение связной и вычислительной эффективности до 40 % по сравнению с другими протоколами аналогичного класса. При появлении эффективно вычислимых к-мультилинейных отображений для к>2 протокол МГКССД может быть использован на практике в общем случае, позволяя реализовывать преимущества протокола МГКССД в полном объеме. В наибольшей степени преимущества протокола МГКССД проявляются при создании систем конференцсвязи для больших (>100 участников) групп с динамически изменяемым составом.

Отдельно отметим перспективность использования аутентифицированной версии протокола МГКССД в условиях криптосистемы на основе идентификационных данных (КСОИД). Преимуществом КСОИД по сравнению с традиционными асимметричными криптосистемами является отсутствие инфраструктуры открытых ключей, что ведет к упрощению и удешевлению функционирования таких систем. При этом проблема, связанная с доверием участников КСОИД к Центрам генерации ключей, для систем, обеспечивающих связью государственные структуры, значительно ослабляется.

1. Алферов А.П., Зубов А.10.,Кузьмин А.С.,Черемушкин A.B. Основы криптографии. М.: Гелиос АРВ, 2001.

2. Гончаров С.М., Коршошин П.Н. О методах асимметричного шифрования перспективных для малоресурсной криптографии // Материалы XLVI Всероссийской межвузовской научно-технической конференции. Владивосток, ТОВМИ, 2003.-Т. 1.-С.51-54.

3. Гончаров С.М., Коршошин П.Н. О перспективах криптосистемы «NTRU» // Материалы XLVI Всероссийской межвузовской научно-технической конференции. Владивосток, ТОВМИ, 2003.-Т.1.- С.55-57.

4. Гончаров С.М., Корнюшин П.Н. О преимуществах криптосистемы «XTR» // Материалы XLVI Всероссийской межвузовской научно-технической конференции. Владивосток, ТОВМИ, 2003.-Т. 1,- С.61-62.

5. Гончаров С.М., Корнюшин П.Н. Алгоритмы решения проблемы дискретного логарифмирования на эллиптической кривой // Материалы XLVI Всероссийской межвузовской научно-технической конференции. Владивосток, ТОВМИ, 2003.-Т.1.-С.58-59.

6. Гончаров С.М., Косолапов Д.О., Корнюшин П.Н. Хеш-цепи в многосторонних платежах. // Материалы XLVIII Всероссийской межвузовской научно-технической конференции. Владивосток, ТОВМИ, 2005, стр.75-76.

7. Гончаров М.С., Гончаров С.М. Криптосистемы на основе идентификационных данных// Региональная конференция студентов, аспирантов и молодых ученых по физике. Тезисы докладов. Владивосток, 2003.- С.62.

8. Гончаров М.С., Гончаров С.М. Мультилинейные криптосистемы на основе идентификационных данных// Региональная конференция студентов, аспирантов и молодых ученых по физике. Тезисы докладов. Владивосток, 2004.- С. 109.

9. Гончаров С.М., Корнюшин П.Н. Совместная выработка ключа криптоконференции на основе k-мультилинейных отображений // Материалы XLVI1 Всероссийской межвузовской научно-технической конференции. Владивосток, ТОВМИ, 2004.-Т.1,- С.43-45.

10. Гончаров С.М., Корнюшин П.Н. Динамическое изменение состава группы для протокола МГКССД // Материалы XLVII Всероссийской межвузовской научно-технической конференции. Владивосток, ТОВМИ, 2004.-Т.1.- С.46-47.

11. И. Гончаров С.М., Корнюшин П.Н. Доказуемо безопасный протокол мультилинейного группового ключевого соглашения со структурой дерева// Материалы XLVII Всероссийской межвузовской научно-технической конференции. Владивосток, ТОВМИ, 2004.-Т.1.- С.48-49.

12. Гончаров С.М. Мультиподпись на основе к-мультилинейных отображений. // XIII Всероссийская научная конференция «Проблемы информационной безопасности в системе высшей школы». Сборник научных трудов. М: МИФИ, 2006., стр.40-42.

13. Гончаров С.М. О перспективах развития асимметричных криптосистем с упрощенной инфраструктурой. // XIII Всероссийская научная конференция

14. Проблемы информационной безопасности в системе высшей школы». Сборник научных трудов. М: МИФИ, 2006., стр.43-44.

15. М. Abdalla, М. Bellare and P. Rogaway. DHIES: An encryption scheme based on the Diffie-Hellman problem, CT-RSA 2001, p. 143-158.

16. G. Ateniese, M. Steiner, and G. Tsudik. New Multiparty Authenticated Services and Key Agreement Protocols, Journal of Selected Areas in Communications, 2000, p. 1-13.

17. R. Barua, R. Dutta, P. Sarkar. Extending Joux's Protocol to Multi Party Key Agreement. Report 2003/062, http://eprint.iacr.org, 2003

18. R. Barua, R. Dutta, P. Sarkar. Pairing-Based Cryptography: A Survey, available at http://eprint.iacr.org/2004/064.

19. R. Barua, R. Dutta, P. Sarkar. Provably Secure Authenticated Tree Based Group Key Agreement Protocol using Pairing . available at http://eprint.iacr.org/2004/090.

20. M. Bellare and P. Rogaway. Entity Authentication and Key Distribution. Advances in Cryptology CRYPTO '93, LNCS Vol. 773, Springer-Verlag, 1994, pp. 231-249.

21. M. Bellare, P. Rogaway, Random oracles are practical: a paradigm for designing efficient protocols, in ACM Conference on Computers and Communication Security (1993), 62-73.

22. A. Boldyreva. Efficient threshold signature, multisignature and blind signature schemes based on the Gap-Difile-Hellman-group signature scheme Report 2002/118, http://eprint.iacr.org, 2002

23. D. Boneh, The decision Diffie-Hellman problem. Proc. ANTS III, Lecture Notes in Computer Science 1423 (1998), Springer, 48-63.

24. D. Boneh and M. Franklin. Identity-Based Encryption from the Weil Pairing. In Advances in Cryptology- CRYPTO '01, LNCS 2139, pages 213-229, Springer, 2001.

25. D. Boneh, C. Gentry, B. Lynn and H. Shacham. Aggregate and Verifiably Encrypted Signature from Bilinear Maps. Eurocrypt 2003, LNCS 2248, pp. 514-532, Springer-Verlag, 2003.(TaioKe http://eprint.iacr.org, 2002/175)

26. D. Boneh, B. Lynn, and H. Shacham. Short Signature from Weil Pairing, Proc. of Asiacrypt 2001, LNCS, Springer, pp. 213-229, 2001.

27. D. Boneh and A. Silverberg. Applications of Multilinear forms to Cryptography, Report 2002/080, http://eprint.iacr.org, 2002.

28. B] C. Boyd. Digital multisignatures, Cryptography and Coding, 1986

29. E. Bresson, O. Chevassut, and D. Pointcheval. Provably Authenticated Group Diffie-Hellman Key Exchange The Dynamic Case. Advances in Cryptology - Asiacrypt 2001, LNCS vol. 2248, Springer-Verlag, 2001, pp. 290-309.

30. E. Bresson, O. Chevassut, D. Pointcheval, and J. J. Quisquater. Provably Authenticated Group Diffie-Hellman Key Exchange. Proc. 8th Annual ACM Conference on Computer and Communications Security, ACM, 2001, pp. 255-264.

31. E. Bresson, O. Chevassut, and D. Pointcheval. Dynamic Group Diffie-Hellman Key Exchange under Standerd Assumptions. Advances in Cryptology Eurocrypt '02, LNCS 2332, L. Knudsen ed., Springer-Verlag, 2002, pp. 321-336.

32. M. Burmester and Y. Desmedt. A Secure and Efficient Conference Key Distribution System. Advances in Cryptology EUROCRYPT '94, LNCS 950, pp. 275-286, SpringerVerlag, 1995.

33. J. C. Cha, J.H.Cheon. An Identity-Based Signature from Gap Diffie-Hellman Groups. Report 2002/018, http://eprint.iacr.org, 2002

34. L. Chen, C. Kudla. Identity Based Authenticated Key Agreement from Pairings Report 2002/184, http://eprint.iacr.org, 2002

35. J.H. Cheon, D.H. Lee. Diffie-Hellman Problems and Bilinear Maps. Report 2002/117, http://eprint.iacr.org, 2002

36. K. Y. Choi, J. Y. Hwang and D. H. Lee. Efficient ID-based Group Key Agreement with Bilinear Maps, 2004 International Workshop on Practice and Theory in Public Key Cryptography (PKC2004, IACR).

37. C. Cocks. An Identity Based Encryption Schcme based on Quadratic Residues. In Cryptography and Coding, LNCS 2260, pp. 360-363, Springer-Verlag, 2001.

38. R.Cramer , V. Shoup. A practical public key cryptosystem provably secure against adaptive chjsen ciphertext attack. Advances in Cryptology, Crypto '98, LNCS Vol. 1462, Springer-Verlag, 1998.

39. W. Diffie and M. Hellman. New Directions In Cryptography. IEEE Transactions on Information Theory, IT-22(6): 644-654, November 1976.

40. I. Duursma, H. S. Lee. Tate-pairing implementations for tripartite key agreement. Report 2003/053, http://eprint.iacr.org, 2003

41. X. Du, Y. Wang, J. Ge, Y. Wang. An Improved ID-based Authenticated Group Key Agreement Scheme. Report 2003/260, http://eprint.iacr.org, 2003

42. X. Du, Y. Wang, J. Ge, Yumin Wan. ID-based Authenticated Two Round MultiParty Key Agreement. Report 2003/247, http://eprint.iacr.org, 2003

43. G. Frey, H-G. Ruck. A remark concerning m-divisibility and the discrete logarithm in the divisor class group of curves, Math. Comp. 62 (1994), 865-874.

44. S. Galbraith, K. Harrison and D. Soldera. Implementing the Tate Pairing. Algorithm Number Theory Symposium ANTS V, LNCS 2369, Springer- Verlag (2002), pp. 324-337.

45. C. Gentry, A. Silverberg. Hierarchical ID-Based Cryptography. Report 2002/056, http://eprint.iacr.org, 2002

46. S. Goldwasser, S. Micali, R. Rivest. A digital signature scheme secure against adaptive chosen message attacks, SIAM J. of Computing, 17, No. 2 (1988), 281-308.

47. K. Itakura and K. Nakamura, A public key cryptosystem suitable for digital multisignatures, NEC Research & Development, 71:1-8, 1983.

48. A. Joux. A One Round Protocol for Tripartite Diffie-Hcllman. ANTS IV, LNCS 1838, pp. 385-394, Springer-Verlag, 2000.

49. A. Joux and K. Nguyen. Separating Decision Diffie-Hellman from Diffie-Hellman in cryptographic groups. Report 2001/003, http://eprint.iacr.org, 2001.

50. J. Katz, M. Yung. Scalable protocols for authenticated group key exchange. Report 2003/171, http://eprint.iacr.org, 2003

51. K. Kim, S. Liu , F. Zhang. ID-Based One Round Authenticated Tripartite Key Agreement Protocol with Pairings. Report 2002/122, http://eprint.iacr.org, 2002

52. Y. Kim, A. Perrig, and G. Tsudik. Simple and Fault-tolerant Key Agreement for Dynamic Collaborative Groups. 7th ACM Conference on Computation and Communication Security, pages 235-244, Athens, Greece, Nov. 2000, ACM press.

53. Y. Kim, A. Perrig, and G. Tsudik. Tree based Group Key Agreement. Report 2002/009, http://eprint.iacr.org, 2002.

54. Y. Kim, A. Perrig, and G. Tsudik. Communication-efficient Group Key Agreement. In information systems security, Proceedings of the 17th International Information Security Conference, IFIP SEC '01, 2001.

55. L. Law, A. Menezes, M. Qu, J. Solinas, S. Vanstone. An efficient protocol for authenticated key agreement. Tec. Report CORR 98-05, Department of C&O, University of Waterloo, 1998. Avalable at citeseer.nj.nec.com/law98efficient.

56. H. K. Lee and H. S. Lee and Y. R. Lee. Multi-Party Authenticated Key Agreement Protocols from Multilinear Forms. Report 2002/166, http://eprint.iacr.org, 2002

57. C.Y. Lin, T.C. Wu, F. Zhang. A Structured Multisignature Scheme from the Gap Diffie-Hellman Group. Report 2003/090, http://eprint.iacr.org, 2003

58. A. Lysyanskaya. Unique signatures and verifiable random functions from DH-DDH separation, in Proc. Crypto 2002, Lecture Notes in Computer Science 2442 (2002), Springer, 597-612.

59. T. Matsumoto, Y. Takashima and H. Imai. On seeking smart public-key distribution systems //Trans, of the IECE of Japan.-1986.-E69.-p.99-106.

60. A. Menezes. Elliptic curve public key cryptosystems, Kluwer Academic Publishers, Boston, MA, 1993.

61. A. Menezes, T. Okamoto, S. Vanstone. Reducing elliptic curve logarithms to logarithms in a finite field, IEEE Transactions on Information Theory 39 (1993), 16391646.

62. A. Menezes, P. van Oorschot, S. Vanstone. Handbook of Applied Cryptography. -CRC Press, Boca Raton, 1997

63. S. Micali, K. Ohta and L. Rcyzin, Accountable-subgroup multisignatures, ACM Conference on Computer and Communications Security, 2001.

64. D.Nalla, K.C.Reddy. ID-based tripartite Authenticated Key Agreement Protocols from pairings. Report 2003/004, http://eprint.iacr.org, 2003

65. T. Okamoto. A digital multisignature schema using bijective public-key cryptosystems, ACM Transaction on Computer Systems, 6(4): 432-441, 1988.

66. K. Ohta and T. Okamoto. A digital multisignature scheme based on the Fiat-Shamir scheme, Advances in Cryptology, ASIACRYPT '91, LNCS Vol. 739, H. Imai, R. Rivest and T. Matsumoto ed., Springer-Verlag, 1991.

67. K. Ohta and T. Okamoto. Multi-signature scheme secure against active insider attacks, IEICE Transactions on Fundamentals of Electronics Communications and Computer Sciences, E82-A(l):21-31, 1999.

68. T. Okamoto and D. Pointcheval. The gap problem: A new class of problem for the security of cryptographic primitives. In Proc. PKC 2001, LNCS Vol. 1992, pages 104-118, Springer-Verlag, 2001.

69. S. Pohlig, M. Hellman. An improved algorithm for computing discrete logarithms over GF(p) and its cryptographic significance, IEEE Transactions on Information Theory 24 (1978), 106-110.

70. A. Shamir. Identity-based Cryptosystems and Signature Schemes. In Advances in Cryptology CRYPTO '84, LNCS 196, pages 47-53, Springer-Verlag, 1984.

71. N.P. Smart. An identity based authenticated key agreement protocol based on the Weil pairing. Electronic letters, 38 : 630-632, 2002.

72. M. Steiner, G. Tsudik, M. Waidner. Diffie-IIellman key distribution extended to group communication, in Proc. 3rd ACM Conference on Communications Security (1996), 31-37.