G T のペアリングが成立し、G 1 とG 2 の生成元をそれぞれPとQとする
• アリスとボブの鍵ペアをそれぞれ、 Y A = x A Q、Y B = x B Qとする
• 署名対象のメッセージをmとする
集約公開鍵は、Y = Y A + Y B
部分署名は、
• σ A = x A H 1 (m)
• σ B = x B H 1 (m)
集約署名は、σ = σ A + σ B
署名の検証は、e(σ, Q) = e(H 1 (m), Y)が成立するか検証する
e(σ, Q) = e(σ A + σ B , Q) = e((x A + x B )H 1 (m), Q)
= e(H 1 (m), Q)(xA + xB) = e(H 1 (m), (x A + x B )Q) = e(H 1 (m), Y)
Rogue-Key攻撃に対して脆弱
Y B = x B Q - Y A とした場合、
Y = Y A + Y B = x B Qとなり、
ボブのみでYに対して有効な署名を計算可能