このように、従来の電子入札方法では、匿名通信路を用いることや入札機関が信頼性できるという仮定を考慮しなければ、談合を防止し、また、入札者のプライバシを保護することができない。また、秘密分散法を用いた場合でも必ずしも入札者プライバシ保護は完全ではない。
さらに、匿名通信路や秘密分散法を用いる電子入札システムでは、システム全体が複雑化し、実装を容易にすることが困難である。なお、これらの事情は電子入札システムに限らず、デジタル署名システムでも同様である。
本発明は、このような実情を考慮してなされたもので、その第1の目的は、入札者や署名者のプライバシを保護し談合を防止して依頼者利益を保護することができる電子入札方法、デジタル署名方法及び記録媒体を提供することにある。
また、第2の目的は、プライバシ保護及び談合防止を図りつつ、入札機関並びに第一検証者装置の信頼性や匿名通信路といった仮定には依存せずに、一般的な暗号技術のみでシステム構築可能として実装を容易にすることができる電子入札方法、デジタル署名方法及び記録媒体を提供することにある。
さらに、第3の目的は、複数の選択情報がある場合に、その何れを選択したかを、当該選択内容を開示することなく証明することを可能とした情報証明方法を提供することにある。
上記課題を解決するためになされた第1の発明は、電子的な通信経路を介し、入札者装置とオークション主催者装置との間で情報を送受信することによりオークションを行う電子入札方法についてなされたものである。
本発明にて、まず、入札ステップにおいて、選択的な入札金額のうち何れかを選択し、その選択した入札金額情報を暗号化して入札者装置からオークション主催者装置に送信する。
次に、確認ステップにおいて、すべての入札者装置が暗号化された入札金額情報を送信した後に、選択可能な最高若しくは最低入札金額から金額を指定し、オークション主催者装置から入札者装置に対し指定金額で入札したか否かを確認する。さらに、指定金額で入札したことが何れかの入札者装置から確認されるまで当該指定金額を順次下げ若しくは上げていく。
そして、落札決定ステップにおいて、確認ステップにて、指定金額で入札した入札者装置が確認された場合には当該入札者装置からの入札で落札するよう決定する。
したがって、入札者のプライバシを保護し談合を防止して依頼者利益を保護することができ、入札機関の信頼性や匿名通信路といった仮定には依存せずに、一般的な暗号技術のみでシステム構築可能として実装を容易にすることができる。
次に、課題解決のための第2の発明は、上記第1の発明の電子入札方法において、入札ステップにおいては、暗号化入札金額情報を、非暗号化状態の入札金額を非添付とした否認不可署名として送付するとともに、確認ステップにおいては、否認不可署名に含まれる離散対数の等価・非等価を証明することにより指定金額での入札有無を確認する。
したがって、入札者の発信する情報の秘匿性が強化され、この結果、プライバシ保護や談合防止が一層強化される。
次に、課題解決のための第3の発明は、上記第1の発明の電子入札方法において、前記落札決定ステップにおいては、落札決定した後に、その落札された暗号化入札金額情報を復号して確認可能な状態とする電子入札方法である。
したがって、第三者は、落札後にその落札金額を確認することができる。
次に、課題解決のための第4の発明は、上記第1の発明の電子入札方法において、前記入札ステップにおいては、前記選択した入札金額情報を各々暗号化して互いに異なる第1及び第2の暗号化入札金額情報を作成するステップと、前記第1の暗号化入札金額情報をオークション主催者装置に送信すると共に、入札者装置の属するグループの秘密鍵と前記第2の暗号化入札金額情報とを用いたグループ署名を当該入札者装置からオークション主催者装置に送信するグループ署名送信ステップとを含み、前記選択決定ステップにおいては、落札決定した後に、前記グループ署名内の第2の暗号化入札金額情報に含まれる入札金額情報を他の入札者装置から確認可能な状態とする。
従って、グループ署名を用いたことにより、落札決定した後に、当該入札者装置に関する公開鍵等の情報を漏らさずに、他の入札者装置にその落札金額を確認させることができる。
次に、課題解決のための第5の発明は、上記第4の発明の電子入札方法において、前記入札ステップにおいては、入札者装置が前記オークション主催者装置にとって未知のデータを当該未知のデータ自身を変数に用いた暗号化により暗号化未知データに変換し、この暗号化未知データを用いて前記第1の暗号化入札金額情報を作成する第1の秘匿ステップと、当該入札者装置が前記未知のデータを用いて前記第2の暗号化入札金額情報を作成する第2の秘匿ステップとを含み、前記確認ステップにおいては、前記指定金額での入札を確認する際に、入札者装置が前記未知のデータを前記オークション主催者装置に送信するステップと、この未知のデータを用いて前記オークション主催者装置が第1の暗号化入札金額情報に含まれる入札金額情報を確認するステップと、当該未知データを用いて前記オークション主催者装置が前記グループ署名内の第2の暗号化入札金額情報に含まれる入札金額情報を確認するステップとを含んでいる。
従って、未知のデータによる第1及び第2の秘匿ステップを用いたことにより、悪意のオークション主催者装置による総当り的な攻撃アルゴリズムの適用を阻止することができる。
次に、課題解決のための第6の発明は、上記第1の発明の電子入札方法において、入札者装置が送信した暗号化入札金額情報を公開的な電子掲示板装置に掲示する入札公開ステップを有する。
また、確認ステップにおいては、入札者装置からの当該暗号化入札金額情報が前記電子掲示板装置にすべて掲示された後に、指定金額の指定が開始される。
さらに、落札決定ステップにおいては、落札決定した後に、その落札された暗号化入札金額情報を復号して前記電子掲示板装置に掲示する。
次に、課題解決のための第7の発明は、上記第6の発明の電子入札方法において、入札ステップにおいては、暗号化入札金額情報を、非暗号化状態の入札金額を非添付とした否認不可署名として送付するとともに、確認ステップは、否認不可署名に含まれる離散対数の等価・非等価を証明することにより指定金額での入札有無を確認すると共に、落札決定した後に、その落札された暗号化入札金額情報を否認不可署名からデジタル署名に変換して電子掲示板装置に掲示する。
次に、課題解決のための第8の発明は、上記第7の発明の電子入札方法において、確認ステップ開始前に、電子掲示板装置に掲示された自己の暗号化入札金額情報が正しいか否かを各入札者装置に確認させ、当該情報が正しい場合にはその確認のデジタル署名を入札者装置に送信させる入札情報確認ステップを有する。
次に、課題解決のための第9の発明は、上記第8の発明の電子入札方法において、入札情報確認ステップにおいては、署名に用いる鍵を、オークション主催者装置から与えられ、かつ複数の入札者装置にて共通して使用される鍵とする。
次に、課題解決のための第10の発明は、電子的な通信経路を介し、入札者装置とオークション主催者装置との間で情報を送受信することによりオークションを行う電子入札システムにおける主催者装置を制御するプログラムを格納する記録媒体についてなされたものである。この記録媒体に格納されたプログラムは、次の手段としてコンピュータを機能させる。
すなわちまず、選択的な入札金額を提示させるとともに、入札者装置が選択しかつ暗号化した入札金額情報を受信する入札手段として機能させる。
また、すべての暗号化入札金額情報を受信した後に、選択可能な最高若しくは最低入札金額から金額を指定させ、入札者装置に対し指定金額で入札したか否かを確認させる。さらに、指定金額で入札したことが何れかの入札者装置から確認されるまで当該指定金額を順次下げさせ若しくは上げさせる。さらに、指定金額で入札した入札者装置が確認された場合には当該入札者装置からの入札で落札させる落札手段としてコンピュータを機能させる。
次に、課題解決のための第11の発明は、上記第10の発明の記録媒体において、入札手段は、暗号化入札金額情報を、非暗号化状態の入札金額を非添付とした否認不可署名として受信させるとともに、入札手段は、否認不可署名に含まれる離散対数の等価・非等価を証明させることにより指定金額での入札有無を確認させる。
次に、課題解決のための第12の発明は、上記第10の発明の記録媒体において、前記入札手段は、前記入札者装置が選択しかつ各々暗号化した第1及び第2の暗号化入札金額情報のうち、第1の暗号化入札金額情報を受信するとともに、第2の暗号化入札金額情報を含むグループ署名を受信し、前記落札手段は、落札決定した後に、前記グループ署名内の第2の暗号化入札金額情報に含まれる入札金額情報を他の入札者装置から確認可能な状態とする。
次に、課題解決のための第13の発明は、上記第12の発明の記録媒体において、前記落札手段は、前記指定金額での入札を確認する際に、入札者装置から前記第1及び第2の暗号化入札金額情報の作成に用いた未知のデータを受信すると、この未知のデータを用いて第1の暗号化入札金額情報に含まれる入札金額情報を確認するとともに、当該未知データを用いて前記グループ署名内の第2の暗号化入札金額情報に含まれる入札金額情報を確認する。
次に、課題解決のための第14の発明は、電子的な通信経路を介し、入札者装置とオークション主催者装置との間で情報を送受信することによりオークションを行う電子入札システムにおける入札者装置を制御するプログラムを格納する記録媒体についてなされたものである。この記録媒体に格納されたプログラムは、次の手段としてコンピュータを機能させる。
まず、提示された選択的な入札金額のうち何れかを選択させ、その選択した入札金額情報を暗号化させてオークション主催者装置に送信させる入札手段として機能させる。
また、オークション主催者装置から指定金額で入札したか否かの確認を求められたときに、その確認に必要な情報を当該主催者装置に送信させる確認手段としてコンピュータを機能させる。
次に、課題解決のための第15の発明は、上記第14の発明の記録媒体において、入札ステップは、暗号化入札金額情報を、非暗号化状態の入札金額を非添付とした否認不可署名として送信させるとともに、確認手段は、否認不可署名に含まれる離散対数の等価・非等価を証明させるための情報を送信させる。
次に、課題解決のための第18の発明は、公開的な電子掲示板装置を備えるとともに、電子的な通信経路を介して暗号化した情報の証明要求装置への送付を行なう証明側装置と、前記電子掲示板装置を参照可能な前記証明要求装置との間で、情報を送受信することにより情報証明を行う情報証明方法についてなされたものである。
この方法では、情報提出ステップにおいては、前記証明側装置が、前記電子掲示板装置に掲示された選択的な情報のうち何れかを選択し、その選択情報を非暗号化状態では添付せずかつ否認不可署名に含めて前記証明要求装置に送信する。
また、情報証明ステップにおいては、前記証明要求装置が、前記証明側装置からの前記否認不可署名を前記電子掲示板装置に掲示して、当該否認不可署名に含まれる離散対数の等価・非等価を証明することにより、選択情報を非開示としつつ、ある情報を選択したか否かを証明する。
したがって、複数の選択情報がある場合に、その何れを選択したかを、当該選択内容を開示することなく証明することができる。
次に、課題解決のための第19の発明は、電子的な通信経路を介し、入札者装置とオークション主催者装置との間で情報を送受信することによりオークションを行う電子入札方法についてなされたものである。
この方法においては、まず、入札者に入札金額情報の入力を促す。
次に、確認段階においては、所定の金額を指定し、オークション主催者装置から入札者装置に対し当該指定金額で入力したか否かの確認を促し、入札者装置から当該指定金額で入力したとの確認がなされない場合には当該指定金額を変更する。
そして、落札決定段階においては、指定金額で入札した入札者装置が確認された場合には当該入札者装置からの入札で落札するよう決定する。
次に、課題解決のための第20の発明は、電子的な通信経路を介し、入札者装置とオークション主催者装置との間で情報を送受信することによりオークションを行う電子入札方法についてなされたものである。
この方法においては、まず、入札者に入札金額情報の入力を促す。
次に、確認段階においては、所定の金額を指定し、オークション主催者装置から入札者装置に対し当該指定金額で入力したか否かの確認を促し、入札者装置から当該指定金額で入力したとの確認がなされない場合には当該指定金額を順次上げ又は順次下げていく。
そして、指定金額で入札した入札者装置が確認された場合には当該入札者装置からの入札で落札するよう決定する。
次に、課題解決のための第21の発明は、第19又は第20の発明において、入力を促す段階の後に、暗号化された入札金額情報を受け付ける段階を有する。
次に、課題解決のための第22の発明は、第21の発明において、落札決定段階においては、落札決定した後に、その落札された暗号化入札金額情報を復号して確認可能な状態とする。
次に、課題解決のための第23の発明は、電子的な通信経路を介し、署名者装置と第一検証者装置との間で情報を送受信することにより、前記署名者装置がメッセージを選択してデジタル署名を行ない、この選択内容を前記第一検証者装置が確認するデジタル署名方法についてなされたものである。
まず、受付ステップにおいて、選択的なメッセージのうち何れかを選択し、その選択したメッセージ情報を暗号化して署名者装置から第一検証者装置に送信する。
次に、確認ステップにおいて、署名者装置が暗号化されたメッセージ情報を送信した後に、選択可能な複数のメッセージのうち、いずれかのメッセージを指定し、第一検証者装置から署名者装置に対し指定メッセージを選択したか否かを確認するとともに、指定メッセージを選択したことが何れかの署名者装置から確認されるまで当該指定メッセージを順次、選択可能な他のメッセージに変更していく。
また、前記確認ステップにおける選択決定ステップにおいて、指定メッセージを選択した署名者装置が確認された場合には当該署名者装置からの選択内容を確定するよう決定する。
従って、署名者のプライバシを保護し談合を防止して依頼者利益を保護することができ、第一検証者装置の信頼性や匿名通信路といった仮定には依存せずに、一般的な暗号技術のみでシステム構築可能として実装を容易にすることができる。
次に、課題解決のための第24の発明は、上記第23の発明のデジタル署名方法において、前記受付ステップにおいては、暗号化メッセージ情報を、非暗号化状態のメッセージを非添付とした否認不可署名として送付するとともに、前記確認ステップにおいては、前記否認不可署名に含まれる離散対数の等価・非等価を証明することにより指定メッセージの選択有無を確認する。
従って、署名者の発信する情報の秘匿性が強化され、この結果、プライバシ保護や談合防止が一層強化される。
次に、課題解決のための第25の発明は、上記第23の発明のデジタル署名方法において、前記選択決定ステップにおいては、選択内容が確定した後に、その確定された暗号化メッセージ情報を復号して確認可能な状態とする。
従って、第三者は、選択内容の確定した後に、その選択されたメッセージを確認することができる。
次に、課題解決のための第26の発明は、上記第23の発明のデジタル署名方法において、前記受付ステップにおいては、前記選択したメッセージ情報を各々暗号化して互いに異なる第1及び第2の暗号化メッセージ情報を作成するステップと、前記第1の暗号化メッセージ情報を第一検証者装置に送信すると共に、署名者装置の属するグループの秘密鍵と前記第2の暗号化メッセージ情報とを用いたグループ署名を当該署名者装置から第一検証者装置に送信するグループ署名送信ステップとを含み、前記選択決定ステップにおいては、確定した後に、前記グループ署名内の第2の暗号化メッセージ情報に含まれるメッセージ情報を第二検証者装置から確認可能な状態とする。
従って、グループ署名を用いたことにより、確定した後に、当該署名者装置に関する公開鍵等の情報を漏らさずに、第二検証者装置にそのメッセージ情報を確認させることができる。
次に、課題解決のための第27の発明は、上記第23の発明のデジタル署名方法において、前記受付ステップにおいては、署名者装置が前記第一検証者装置にとって未知のデータを当該未知のデータ自身を変数に用いた暗号化により暗号化未知データに変換し、この暗号化未知データを用いて前記第1の暗号化メッセージ情報を作成する第1の秘匿ステップと、当該署名者装置が前記未知のデータを用いて前記第2の暗号化メッセージ情報を作成する第2の秘匿ステップとを含み、前記確認ステップにおいては、前記指定メッセージの選択を確認する際に、署名者装置が前記未知のデータを前記第一検証者装置に送信するステップと、この未知のデータを用いて前記第一検証者装置が第1の暗号化メッセージ情報に含まれるメッセージ情報を確認するステップと、当該未知のデータを用いて前記第一検証者装置が前記グループ署名内の第2の暗号化メッセージ情報に含まれるメッセージ情報を確認するステップとを含んでいる。
従って、未知のデータによる第1及び第2の秘匿ステップを用いたことにより、悪意の第一検証者装置による総当り的な攻撃アルゴリズムの適用を阻止することができる。
次に、課題解決のための第28の発明は、電子的な通信経路を介し、署名者装置と第一検証者装置との間で情報を送受信することにより、前記署名者装置がメッセージを選択してデジタル署名を行ない、この選択内容を前記第一検証者装置が確認するデジタル署名システムに使用されるコンピュータ読取り可能な記録媒体についてなされたものである。この記録媒体に格納されたプログラムは、次の各手段として第一検証者装置のコンピュータを機能させる。
すなわち、まず、前記第一検証者装置のコンピュータを、選択的なメッセージを提示させるとともに、前記署名者装置が選択しかつ暗号化したメッセージ情報を受信する受付手段として機能させる。
次に、すべての暗号化メッセージ情報を受信した後に、選択可能な複数のメッセージのうち、いずれかのメッセージを指定させ、署名者装置に対し指定メッセージを選択したか否かを確認させるとともに、指定メッセージを選択したことが何れかの署名者装置から確認されるまで当該指定メッセージを順次、選択可能な他のメッセージに変更させ、かつ、前記指定メッセージを選択した署名者装置が確認された場合には当該署名者装置からの選択内容を確定させる確認手段として第一検証者装置のコンピュータを機能させる。
次に、課題解決のための第29の発明は、上記第28の発明の記録媒体において、前記受付手段は、前記暗号化メッセージ情報を、非暗号化状態のメッセージを非添付とした否認不可署名として受信させるとともに、前記確認手段は、前記否認不可署名に含まれる離散対数の等価・非等価を証明させることにより指定メッセージの選択有無を確認させる。
次に、課題解決のための第30の発明は、上記第28の発明の記録媒体において、前記受付手段は、前記署名者装置が選択しかつ各々暗号化した第1及び第2の暗号化メッセージ情報のうち、第1の暗号化メッセージ情報を受信するとともに、第2の暗号化メッセージ情報を含むグループ署名を受信し、前記確認手段は、確定した後に、前記グループ署名内の第2の暗号化メッセージ情報に含まれるメッセージ情報を第二検証者装置から確認可能な状態とする。
次に、課題解決のための第31の発明は、上記第30の発明の記録媒体において、前記確認手段は、前記指定メッセージの選択を確認する際に、署名者装置から前記第1及び第2の暗号化メッセージ情報の作成に用いた未知のデータを受信すると、この未知のデータを用いて第1の暗号化メッセージ情報に含まれるメッセージ情報を確認するとともに、当該未知データを用いて前記グループ署名内の第2の暗号化メッセージ情報に含まれるメッセージ情報を確認する。
次に、課題解決のための第32の発明は、電子的な通信経路を介し、署名者装置と第一検証者装置との間で情報を送受信することにより、前記署名者装置がメッセージを選択してデジタル署名を行ない、この選択内容を前記第一検証者装置が確認するデジタル署名システムに使用されるコンピュータ読取り可能な記録媒体についてなされたものである。この記録媒体に格納されたプログラムは、次の各手段として署名者装置のコンピュータを機能させる。
すなわち、まず、前記署名者装置のコンピュータを、提示された選択的なメッセージのうち何れかを選択させ、その選択したメッセージ情報を暗号化させて第一検証者装置に送信させる受付手段として機能させる。
次に、第一検証者装置から指定メッセージを選択したか否かの確認を求められたときに、その確認に必要な情報を当該第一検証者装置に送信させる確認手段として署名者装置のコンピュータを機能させる。
次に、課題解決のための第33の発明は、上記第32の発明の記録媒体において、前記受付手段は、暗号化メッセージ情報を、非暗号化状態のメッセージを非添付とした否認不可署名として送信させるとともに、前記確認手段は、前記否認不可署名に含まれる離散対数の等価・非等価を証明させるための情報を送信させる。
次に、課題解決のための第34の発明は、上記第32の発明の記録媒体において、前記受付手段は、前記選択させたメッセージ情報を各々暗号化して互いに異なる第1及び第2の暗号化メッセージ情報を作成し、前記第1の暗号化メッセージ情報を第一検証者装置に送信させると共に、自己の署名者装置の属するグループの秘密鍵と前記第2の暗号化メッセージ情報とを用いたグループ署名を第一検証者装置に送信させる機能を含んでいる。
次に、課題解決のための第35の発明は、上記第34の発明の記録媒体において、前記受付手段は、前記第一検証者装置にとって未知のデータを当該未知のデータ自身を変数に用いた暗号化により暗号化未知データに変換し、この暗号化未知データを用いて前記第1の暗号化メッセージ情報を作成する第1の秘匿機能と、当該未知のデータを用いて前記第2の暗号化メッセージ情報を作成する第2の秘匿機能とを含み、前記確認手段は、前記指定メッセージを選択した旨を確認させる際に、前記未知のデータを前記第一検証者装置に送信させる機能を含んでいる。
以上詳記したように本発明によれば、入札者や署名者のプライバシを保護し談合を防止して依頼者利益を保護することができる電子入札方法、デジタル署名方法及び記録媒体を提供することができる。
また、本発明によれば、プライバシ保護及び談合防止を図りつつ、入札機関並びに第一検証者装置の信頼性や匿名通信路といった仮定には依存せずに、一般的な暗号技術のみでシステム構築可能として実装を容易にすることができる電子入札方法、デジタル署名方法及び記録媒体を提供することができる。
さらに、本発明によれば、複数の選択情報がある場合に、その何れを選択したかを、当該選択内容を開示することなく証明することができる情報証明方法を提供することができる。
以下、本発明の実施の形態について説明する。
(発明の第1の実施の形態)
まず、本実施形態の電子入札方法の概略を述べる。本発明では、匿名通信路といった仮定を必要とせず、従来の暗号テクニックのみでシステム構築する。また、入札・落札の正当性を全ての応札者が検証できるよう公開掲示板を用いる。この際、落札値以外の入札額は一切露呈しない。このようなシステムを実現するために、技術的にはMichelsとStadlerの否認不可署名方式(M.Michels and M.Stadler, "Efficient convertible undeniable signature schemes," Proc.4th Annual Workshop on Selected Areas in Cryptography,SAC'97,1997.)を応用する。
すなわち本実施形態の電子入札方法では、まず第1の段階において、入札者に暗号化した入札情報を提出させ、この入札情報を公開掲示板に掲載する。また、入札金額はオークション主催者が予め複数提示した金額の中から選択するものとする。このように第1段階において選択的な金額の何れかを入札者に提出させているので、この時点で実質的に落札者が決まっている。かつ、暗号情報ながらもその入札情報が公開されている。また、入札情報が暗号化されているために、この時点ではオークション主催者を含め、誰も真の落札者や落札金額を知ることができない。したがって、入札否認さえ防止できれば、不正が確実に防止されることになる。
第2の段階では、入札否認を防止しつつ、入札及び落札情報開示を行う。この段階では、いわゆるダッチオークションのように最高(最低)金額から順に入札者の有無を確認しながら、金額を順次下げて(上げて)いく。なお、本方法ではダッチオークションと異なり、入札処理に入る前に真の落札者は既に決まっている。本方法の処理は、決定している落札者を入札否認させることなく確実に確認するものである。この第2の段階において、本実施形態では上記したMichels−Stadler法の応用手法が用いられる。
そもそもMichels−Stadler法も含め、従来の否認不可署名方式では、予めメッセージと署名(の一部)をペアにして検証者に明かすものである。すなわち否認不可署名はあくまで電子署名の一種であってメッセージ自体を秘密にしようという観点はない。否認不可署名は、署名者から特定の情報を取得した者のみがメッセージ内容に関する署名確認が行える形式の電子署名である。
これに対し、本実施形態では予めメッセージを明かさず、署名をメッセージのビットコミットメントとみなす。つまり、上記暗号化された入札情報はこのような形式の否認不可署名として提出されている。各入札者は、否認不可署名の技術を用いることにより、入札処理において、その金額で入札していないことを入札金額は明かさずに証明していく。そして、落札時にのみ額を明かして入札の正当性を証明する。落札者としての容認後には、入札情報を誰もが検証可能な通常のディジタル署名に変換する。この否認不可署名技術の応用的手法により、入札額(メッセージ)を秘匿し、同時に否認不可性の条件を同時に満足することができる。
したがって、この電子入札システムにおいては、機関の信頼性や匿名通信路といった仮定には依存せず、従来の暗号テクニックのみでシステム構築できることとなる。
また、本実施形態では二つの種類の入札モデルを考える。一つは、ある商品に対して入札を行い、最も高値をつけた入札者を落札者とする入札で、これを“出品入札”と呼ぶ。一般的なオークションのモデルとして知られているものである。もう一つは、建設工事などの仕事に対し、最も低額をつけた入札者を落札者とする入札で、これを“請負入札”と呼ぶ。
上記説明では、電子入札を2段階に分けて説明したが、この電子入札方法を実現するには、より具体的には三つの段階があり、登録プロトコル、入札プロトコル、開示・落札プロトコルに分かれている。入札プロトコルでは、参加した入札者が額を秘密にして入札を行う(上記第1の段階に対応)。ある時刻をもって入札を終了し、開示・落札プロトコルで最も高値(低値)で入札した落札者を決定する(上記第2の段階に対応)。
以下、本実施形態における具体的な構成及び処理について説明する。
図1は本発明の第1の実施の形態に係る電子入札方法を適用した電子入札システムの一例を示す構成図である。
この電子入札システムは、インターネット等の公衆的なネットワーク1にオークション主催者装置2,公開掲示板装置3,登録機関装置4,複数の入札者装置5(複数のうち何れかを代表して単に入札者装置5又は入札者装置5jともいう),依頼人装置6及び監査員装置7が接続されて構成される。ここで、ネットワーク1は公衆的なシステムに限られるものではなく、専用回線を用いるものでもよい。また、各装置2〜7各々は、通信手段を備えた計算機システムであり、その制御プログラムにより以下に説明する機能を実現する。さらに、以下の説明において、装置2〜7を単にオークション主催者2あるいは主催者2,公開掲示板3,登録機関4,入札者5,5j,依頼者6及び監査員7とも呼ぶ。
これらの各装置について説明する。
図2はオークション主催者装置の構成例を示すブロック図である。
オークション主催者装置2は、依頼人6を集め、オークションを主催する。このために、入札プロトコルにおける主催者実行部分を実現する入札処理部11と開示・落札プロトコルにおける主催者実行部分を実現する開示落札処理部12とを備える。また、これらの処理部11,12により公開掲示板3を管理する。
入札処理部11は、依頼人6の出品受付を行い、また公開掲示板3に入札者5からの入札情報を書き込む。
また、開示落札処理部12は、最高(低)値が決定するまで、ある周期で公開掲示板3の金額を更新する。最高(低)値で入札した入札者5の送付情報の正当性を検証し落札者を決定する。検証情報と送付情報全てを公開掲示板3に書き込み、参加者全てにその正当性を公開する。
登録機関装置4は、入札者5の登録業務を行う。実際には入札者5の認証を行い、入札者5から送付された鍵への証明書を発行する。
依頼人は、出品入札において、芸術品やプログラムなどをオークションに出品する売り手であり、一番の高値をつけた落札者に出品物を売る。又は請負入札においては、工事やプログラムなどの仕事をオークションにかけ、一番低い金額をつけた落札者に仕事を依頼する。依頼人装置6は、ネットワーク1を介し、オークション主催者装置2を対して出品依頼を行う。
図3は入札者装置の構成例を示すブロック図である。
入札者装置5は、オークションにかけられた出品物又は仕事に対し、購入・請負の落札を実現させる。このために、ネット情報検索部21と、入札処理部22と、落札処理部23と、登録処理部24とを備えている。なお、出品入札においては最高値、請負入札においては底値を示した入札者5が落札者となる。
ネット情報検索部21は、ネットワーク1を介して公開掲示板3にアクセスし、その掲示情報を取得する。入札処理部22及び落札処理部23は、主催者装置2と通信し、それぞれ入札プロトコル及び開示・落札プロトコルにおける入札者実行部分の処理を行う。
登録処理部24は、登録プロトコルにおける入札者実行部分を処理し、オークション参加の際、鍵を生成して登録機関に鍵証明書を発行してもらう。
公開掲示板装置3は、誰もが記載データを参照できるような形式でデータ掲示を行う。ただし、データの書き込み・消去は管理者であるオークション主催者2のみが行える。主催者2は登録機関4の署名を基に登録を正規に行った参加者(入札者5)のデータのみを掲示板3に記載する。なお、公開掲示板装置3は、図1に示すシステムではオークション主催者装置2と別途の装置として示されているが、当該掲示板3は、例えばオークション主催者装置2に組み込むようにしてもよい。
監査員装置7は、図3に示すネット情報検索部21と同様な処理部を備え、公開掲示板3に記載される情報がオークション主催者2によって、途中で改竄されたり消去されていないかを観察する。オークション主催者2の不正やミスを検査・告知する。掲示板3のデータは誰でも読むことができるので、入札者5各々が監査員7を担うようにしてもよい。
次に、以上のように構成された本実施形態における電子入札システムの動作について説明する。
以下の説明では、まず、本電子入札システムにおける時系列を追った処理について説明し、それから登録、入札、開示・落札の各プロトコルの処理について詳しく説明する。
図4は本実施形態の電子入札方法における処理手順を説明する流れ図である。
まず、依頼人6からオークション出品依頼がオークション主催者2に対して行われ(s1)、この出品依頼を受け付けた主催者2により出品物の情報並びに入札用の金額選択肢が掲示される(s2)。
この掲示は一定期間行われ、その間に、入札候補者の装置(図3の示す入札者装置5の機能を有する装置)によって公開掲示板3の出品情報が検索される(s3)。ここで、入札をしたいと考える候補者により、登録機関4に対して入札者登録が要求され、その登録がなされる。(s4)
次に、入札金額等を含む入札情報にメッセージを公開しない形式の否認不可署名が施され、すなわち入札情報が事実上暗号化され、登録した入札者5からオークション主催者2に送付される。この入札情報は、主催者2により検査され、さらに公開掲示板3に掲示される。主催者2による入札打ち切りまで入札は受け入れられる(s5)。
入札がうち切られると、オークション主催者2による落札処理が開始される(s6)。この落札処理は、最高金額から順次入札者がいないか否かを確認していくことで進行し、落札者が確定するまで続けられる。
最後に、落札者の提示した入札金額等の情報が検証可能な状態で公開掲示板3に掲示され、電子入札が終了する。
次に、電子入札システムにおける登録、入札、開示・落札の各プロトコルの処理について説明する。なお、ここではまず、出品入札について説明し、請負入札については後に述べる。
[初期設定]
まず、(p,q,α)がシステムパラメータとして公開されている。p,qは大きな素数で、p=2q+1の関係が成り立っている。αは乗法群Zp* での位数がqとなるような生成器である。Hl :{0,1}* →{0,1}l を一方向性ハッシュ関数とする。
[登録プロトコル]
登録プロトコルの処理は、図4のフロー図におけるステップs4と対応する。
これは、各入札者5jは作成した鍵Pj に対し、登録機関から証明書Certjを発行してもらう処理である。
図5は本実施形態における登録プロトコルの処理を示す図である。
ステップt1:このために、各入札者5jの登録処理部24において、秘密鍵Sj ∈Zq* が生成され、公開鍵Pj =αSj(mod p)が定められる。公開鍵Pjは、身元を明かした入札者5jから登録機関4に送付される。
ステップt2:一方、登録機関4においては、入札者5jにグループの番号GIDを割り当てる。一つのグループはn人で構成される集合とする。nは入札参加人数の見積もりによって決定される。それから、(Pj ,GID)に対して署名Certj が入札者5jに返送される。なお、グループ分けを行うのは、公開掲示板3を見やすいものとし、また、入札プロトコルにおいて各グループのメンバ(入札者)に掲示板内容についての確認署名をさせることで公開掲示板に掲示された情報の証拠能力を高めるためである。
[入札プロトコル]
入札プロトコルの処理は、図4のフロー図におけるステップs1,s2,s3,s5と対応する。
入札プロトコルにおいて、入札者5はオークション主催者2の用意した複数の金額値から一つを選び(wk とする)。署名σ(wk )を計算する。それから一方向性関数fを用いて計算した関数値Y=f(wk ‖σ(wk ))を主催者に送付する。主催者はYを公開掲示板に書き込む。この手順を図6を用いて説明する。
図6は本実施形態における入札プロトコルの処理を示す図である。
ステップu1:まず、オークション主催者2の入札処理部11によって、入札金額が複数個(m個)用意される。ここでは、(w1 ,w2 ,…,wm )とする。ただし、表す金額の大小関係はw1 <w2 <…<wm となっている。
ステップu2:一方、入札者5jの入札処理部22により、出品物に対し、入札金額w
k (1
<k
<m)が選択され、さらに、乱数x,k∈Zq
* が選ばれ、以下計算がなされる。
ここで、乱数xは使い捨ての秘密鍵であり、この秘密鍵xに対応するのが使い捨ての公開鍵hである。
がオークション主催者2に送付される。金額wk を送らないことに注意する。このときにメッセージである金額wkを送らないために、否認不可署名とほとんど同じ情報を送付しつつ、署名とはなっていないのである。つまり、この情報送付の仕方により事実上の暗号情報送付となっている。なお、このとき送付される情報は金額wkが添付されていないことを除けば否認不可署名となっているため、後に秘密鍵xが与えられることにより、この時点で送付された否認不可署名形態を通常のデジタル署名に変換させることができる。これにより、金額wkの検証はその後の時点で可能となる。金額wkの検証をどのように検証するかは後述する。
ステップu3:次に、オークション主催者2により、証明書Cert
j の正当性が検証される。正当である場合、主催者2により、入札者5jについての
が公開掲示板3の該当するグループの欄に記載される。
ここまでの様子を図7によって模式的に示す。
図7は入札段階の様子を模式的に示す図である。
ステップu4:予め定めておいた時刻が来た段階で主催者2によって、入札要求が締め切られる。
ステップu5:全ての入札者5により、自分の送信した入札情報が正しく掲示されているかが確認される。正しく掲示されている場合は、各入札者5により、同じグループのn個全ての入札情報に対し署名
が施される。すなわち、入札者5jは(Pj ,GID,Certj ,σj )を主催者3に送る。
ステップu6:主催者2により、入札者5からの(Pj ,GID,Certj ,σj )の正当性が検証される。正当な場合にのみ、主催者2により入札者5jの属すグループ欄に(Pj ,GID,Certj ,σj )が記載される。
暗号情報としての入札情報が公開掲示板に公開され、さらに、その掲示情報に対する入札者5自身の確認がなされることになる。
[開示・落札プロトコル]
入札プロトコルの処理は、図4のフロー図におけるステップs6,s7と対応する。
開示・落札プロトコルにおいては、オークション主催者2は一番の高値(底値)から始め、入札者5からの通知を受信するまで、金額のカウントダウン(アップ)をある時間周期で行う。ある時点で、自分の入札した額になった時、その入札者5は主催者2にσ(wk )を暗号化して送る。主催者2は署名σ(wk )の正当性と関数値Yとの関連性を検証する。正当である場合のみ、その入札者5を落札者としオークションを終了する。σ(wk )は公開掲示板に記載されるため、全ての入札者5が落札者決定手続きの正当性を確認することができる。この手順を図8を用いて説明する。
図8は本実施形態における開示・落札プロトコルの処理を示す図である。
ステップv1:まず、オークション主催者2により、公開掲示板3における落札処理用の部分に一番高い金額wm がセットされる。
ステップv2:この金額で入札した入札者5jがいれば(v2−1)、当該入札者5jからオークション主催者2にその旨通知され、該当者がいない場合は(v2−1)、否認プロトコルによる確認が行われる(v2−2)。例えば金額w
k で入札した入札者5jは、金額w
m による入札を否認するため、以下の(y,z,β′)で否認を行う。
なお、否認プロトコルについては後に細述する。
金額wm に対してすべての入札者5についての入札否認が確認された後、次により小さい金額(wm-1 )が主催者2によって公開掲示板3にセットされる(v2−3)。そして、その金額で入札した入札者5が現れるまで、このステップv2−1〜v2−3の処理が繰り返される。
ここまでの様子を図9によって模式的に示す。
図9は落札までの様子を模式的に示す図である。
ステップv3:ある金額w
k において、入札者5jが通知を行った場合(v2−1:YES)には、確証プロトコルにより入札の正当性が検証される(v3−1)。なお、確認プロトコルについては後述する。そして、正当性が検証されたときには、当該入札者5jが落札候補者とされる。ここで落札候補者が一人である場合(v3−2)、その入札者5jが落札者とされる。この場合には、入札者5jから使い捨ての秘密鍵xが開示用情報として主催者2に送信される(v3−3)。主催者3においては、
によりその署名の正当性が検証される。さらに主催者2により
が公開掲示板3に記載され(v3−4)、オークションが終了する。なお、このとき公開掲示板3に掲示された情報は、いわゆる通常のデジタル署名となっているので、他の入札者5や監視員7,その他の第3者はその内容を検証することができる。したがって、落札価格である金額wkを確認できることになる。
ここまでの様子を図10によって模式的に示す。
図10は落札及びその検証の様子を模式的に示す図である。
ステップv4:ステップv3−2において落札候補者が複数いる場合には、以下のように取り扱われる。
(a)まず、候補者の人数が少ない場合(v4−1:NO)には、候補者5jはxを送り、主催者2は
を公開掲示板3に記載し、候補者間で同点決勝が行われる(v4−2)。
(b)また、候補者の人数が多い場合(v4−1:YES)には、wk <t<wk+1 の金額が主催者によって複数用意され、これらの金額を用いたオークションを再度行われる(v4−3)。
開示・落札プロトコルにおける処理は以上の通りであるが、上記否認プロトコル、確認プロトコル並びに否認不可署名から通常署名(デジタル署名)への変換について説明する。
すなわち本実施形態の電子入札システムは、否認不可署名方式としてMichels−Stadler法を利用するものであるが、上記したようにその利用の仕方に特徴がある。また、本実施形態では、一方向性関数として離散対数問題に基づく暗号系を選択している。
つまり、従来の否認不可署名方式では、署名の対象となるメッセージが明かされた上で署名の確証・否認を行う。これに対して、本実施形態ではメッセージは署名に添付せず、署名をメッセージ(入札価格)のビットコミットメントとみなす応用的手法を取っている。これは入札価格の秘密性と否認不可を同時に満たすためである。
以下、Michels−Stadler法による否認プロトコル及び確認プロトコル、並びに否認不可署名から通常署名への変換について説明する。
[離散対数の等価・非等価証明]
今、(p,q,α)が公開されており、pはp=2q+1を満たす大きな素数である(ただし、qは素数とする)。αは乗法群Zp* での位数がqとなるような生成器とする。Hを一方向性ハッシュ関数とする。
以下、z=β
x (mod p)とy=α
x を満たすx∈Zq
* が存在する時、log
βz=log
αyであることを証明するプロトコルを示す。これは、署名の確証プロトコルで用いられる。また逆に、否認プロトコルはlog
βz≠log
αyであることの証明である。以下に離散対数の等価性・非等価性を証明するプロトコルを示す。
[署名生成と通常署名への変換]
署名者であるアリスが否認不可署名を生成する。アリスには検証者ボブに対し、その署名の正当性を確証プロトコルと不当な署名を否認する否認プロトコルがある。更に否認不可署名を誰もが検証可能な通常のディジタル署名に変換することができる。
アリスは二つの秘密鍵x
1 ,x
2 ∈Zq を選び、y
1 =α
x1(mod p),y
2 =α
x2(mod p)を公開鍵とする。メッセージm(上記金額w
kに相当する)に対する署名を生成する時、アリスは乱数k∈Zq を生成し、r=α
k (mod p)を計算する。それから以下を計算する。
をメッセージmへの署名とする。この署名の正当性を示す際には、上記のように
であることを証明する。不当な署名の否認は、logβZ≠logαyであることを証明する。
この否認不可署名を誰もが検証可能な通常のディジタル署名を変換するには、アリスが秘密鍵x
2 を公開する。これにより、
を入手した検証者は署名の正当性を次式にて検証することができる。
[請負入札]
次に請け負い入札の場合を説明する。
請負入札プロトコルにおいても、出品入札と同様な処理が行われる。ただし、出品請負入札では最高値をつけた入札者が落札するのに対し、請負入札では最も低い金額をつけた入札者が落札者となる。そこで、開示・落札プロトコルでは一番低い金額から始めてのカウントアップ方式に変更される。つまり、図8のステップv1とステップv2が以下のように修正される。
ステップv1′:オークション主催者2は公開掲示板3を用いて、一番低い金額w1 をセットする。
ステップv2′:この金額で入札した入札者5jからオークション主催者2に通知がなされる(v2−1)。誰もいない場合は、ある時刻で次に小さい金額(w2 )にセットされる(v2−3′)。その金額で入札した入札者が現れるまで、この処理が繰り返される。その間の否認プロトコルは出品入札と同様に行われる(v2−2)。
上述したように、本発明の実施の形態に係る電子入札方法は、選択的な入札情報を予め暗号化して入札させ、その後に最高額(若しくは最低額)から順に入札有無を入札者に確認して落札を決定するようにしたので、匿名通信路といった仮定を必要とすることなく入札者のプライバシを保護し、かつ談合を防止して依頼者利益を保護することができる。
また、落札値以外の入札額は一切露呈しないようにしつつ落札情報を公開掲示板に掲示するようにしたので、入札・落札の正当性を全ての入札者が検証することができる。
このように、本発明では、入札者プライバシ保護、談合防止、公平性等が実現されるが、入札プロトコルにおいて、一方向性関数として単にハッシュ関数を選んだ場合には、入札の否認において不都合が生じる特殊なケースも考え得る。入札者が開示・落札段階で自分の入札を名乗りでないという行為によるものである。この行為を利用すると以下のような状況が生じ得る。
今、請負入札においてA社、B社が結託している。この2社は最小限の金額で落札しようと考える。この時、B社は最低と見積もられる金額Pmin で、A社は実際に落札したい金額Prealで入札する。Pmin とPrealとの間に名乗り出る応札者がいない場合には、B社は入札Pmin が否認してA社がPrealで落札する。このように応札者が結託することで、落札金額を操作し最小限のコストで仕事を請け負うことができる。
しかしながら、本実施形態では、否認不可署名技術を利用し、予めメッセージ(入札額)を明かさず、署名をメッセージのビットコミットメントとみなして主催者に送信するようにしたので、入札額を明かさずに入札確認を行い、否認プロトコルによる否認不可を行いつつ落札することができ、談合をより確実に防止できる。さらに、この否認不可署名技術を利用していることから、落札時にのみ額を明かして入札の正当性を証明するとともに、落札者としての容認後、誰もが検証可能な通常のディジタル署名に変換することができる。したがって、入札額(メッセージ)を秘匿し、同時に否認不可性の条件を同時に満足することができる。
さらに、本実施形態では、機関の信頼性や匿名通信路といった仮定には依存せず、一般的な暗号技術のみでシステム構築するようにしているので、容易に実装することができ、システム構築を容易かつ低コストのものとすることができる。
また、本実施形態の方法によれば、否認プロトコルを利用した確認を行うので、落札処理に応答しない場合には、主催者は誰が途中で降りようとしているかを特定することができる。また、否認不可署名という入札事実を示す絶対の証拠が残っているので、これを基に罰金請求や入札禁止等の種々の措置を取ることができる。したがって、談合を防止し、ひいては価格操作の不正を防止することができる。
また、落札事実の公開は、すべての入札者についての購入意思や否認証明等の情報がすべて揃った段階で行うようにすれば、意思・証明の送付順序を悪用した落札価格操作を防止することができる。
さらに、本実施形態のシステムは、上記のように構成され動作するので、以下のような特徴を備える。
入札金額の秘匿性:敗者の入札金額はビットコミットメントにより暗号化されているため、本人以外には分からず、誰にも露呈しない。オークション主催者にも露呈しない。
入札金額の健全性:入札当事者以外は正当な入札を行うための秘密鍵を知らないので、入札内容を改竄することはできない。また、開示・落札時における主催者による入札情報の改竄は、掲示板に記載されるグループの入札情報への署名にて防ぐことができる。すなわち第三者は、正規の登録を行った正式な秘密鍵所有者になりすまして入札することができず、正当な入札情報を作成することができない。
落札金額の正当性:入札の否認不可性とカウントダウン(アップ)の性質から満足される。また全ての応札者は、落札額が自分の入札価格よりも高い(低い)ことを検証することができる。すなわち落札金額が全ての入札価格の中での最高(最低)金額であることが確保される。
公平性:入札金額は本人しか知らないことと入札の否認不可性による落札額の操作防止により、他より有利な条件で入札できる応札者はいないことになる。
(発明の第2の実施の形態)
第1の実施形態においては、落札者についても公開される情報に身元を明かす情報を添付する必要がないために、他の入札者や第三者に対する一応の匿名性はある。また、第1実施形態では、仮名の概念を導入することで公開される入札情報に匿名性が持たされている。しかし、入札プロトコルにおいて各入札者は、入札情報確認のために署名を行うことから、公開鍵と応札者の関係を知っている第三者は、誰が入札を行ったか、誰が落札したかを、公開情報より把握することが可能である。
一方、前回の落札者が誰であるか、また、誰が入札を行っているかという情報がわかることを利用して、次のような談合を行うことが考えられる。すなわち談合グループは不当に低い値段で落札を続けていく。これを繰り返し根強く行ってゆくことで、他の参加希望者の応札意欲を失わせる。入札希望者は談合グループのメンバを見つけた時点で応札を諦めてしまう。このような状況を作った上で、徐々にグループ以外の参加人数を減らし、市場を独占することにより、対象物を自分たちの思うがままの値段で落札することができる。この談合方法は、入札時の入札者に関する情報公開をいわば印籠のように扱うことで、参加意欲を操作するものである。
本実施形態では、入札者が誰であるかを匿名にするべき相手を、主催者以外の全てとして、競争原理を円滑に働かせる方法について説明する。具体的には、入札プロトコルにおける入札者による入札情報確認にあたり、個人の公開鍵でなく、主催者が与えるグループ鍵を用いて署名させるものである。
図11は本発明の第2の実施形態における電子入札方法を説明する概念図である。同図(a)は、第1の実施形態の方法において公開掲示板に掲示される情報であり、同図(b)は、本実施形態の方法において公開掲示板に掲示される情報を示している。
同図(b)に示すように本実施形態では、入札プロトコル時の入札情報確認はグループ鍵によって行われ、個人情報を知るきっかけとなる公開鍵は開示されない。
また、本実施形態の電子入札システムは、このようなグループ署名が行われ、これに応じて入札プロトコル及び落札プロトコルが修正される他、第1の実施形態と同様に構成される。但し、グループ分けは任意の箇所で行なえるので、ここでは第1の実施形態での登録機関4によるグループ分けに代えて、主催者2によるグループ分けが行われる場合について述べる。
以下、修正される入札プロトコル及び落札プロトコルについて説明する。
[入札プロトコル]
主催者の処理:
主催者2は入札者5をいくつかのグループに分け、各グループJの署名用秘密鍵SGjを登録時に秘密吏に送付する。
入札者の処理:
例えばあるグループjに属す入札者5Aが入札する場合を考える。このとき、入札者5Aが属するグループの秘密鍵をSG 、公開鍵をPG =αSG(mod p)とする。また入札者5Aの常用の秘密鍵をSA 、公開鍵をPA =αSA(mod p)とする。
入札者5Aは出品物に対し、入札金額w
k (1
<k
<m)を選ぶ。次に、乱数x,k,μ∈Zq
* を選び、以下を計算する。
と現在価格w
i を用いて、第1の実施形態の場合と同様に応札者Aと主催者は否認フェーズを実行する。ここで、
とし、主催者はβと否認プロトコルでの通信データを公開掲示板に記載する。なお、Michels−Stadler否認不可署名方式では、PA を公開せずとも、離散対数の等価・非等価を検証できる。
主催者による個人署名の検証と否認フェーズの確認には、個人の公開鍵PAが使用され、落札時の署名にはグループの公開鍵PG が使用されている。つまり、公開される情報に個人を所定する情報が含まれていないこととなる。すなわち主催者以外はグループ署名である落札情報を検証する。
なお、図12にオークション主催者に与えられる情報と、公開掲示板に掲示される情報とを示す。
上述したように、本発明の実施の形態に係る電子入札方法は、入札プロトコルで入札者が入札情報を確認するときに、個人の公開鍵でなく、主催者に与えられたグループ鍵を用いて署名を行うようにしたので、各入札者個人に連結した情報が公開されることなく、入札者が誰であるかを利用した談合を防止することができる。すなわち、次回オークションへの影響をなくし市場独占を防止することができる。
例えば、譲り合いで落札している複数業者からなるグループがあるときに、一社談合に加わらない業者が存在すると、この業者が加わる入札では競争原理が働き、落札価格が予想価格を大きく下回るが、参加しない入札ではほぼ予想価格で落札されるという事例がある。この場合、ある業者による寄合からの抜けがけが市場に競争原理を働かせている。
したがって、本実施形態のように、公開情報から入札者を識別する情報がなくなれば、談合グループでの抜けがけが促進され、寄合、譲り合いによる入札形式が崩れる。これにより、自由競争による本来のオークション形態に導くことができる。つまり、本実施形態では、オークションにおける匿名性を強め、入札したことの証拠を残さないような方式としたので、談合により不正な価格操作を防止することができる。
また、本実施形態においては、Mitchels−Stadlerの否認・確証証明プロトコルを利用することで、検証者に応じて与える情報量を段階的に制御することができる。本実施形態では、この手法とグループ署名を適用することで、主催者には落札者情報まで検証できるようにし、第三者は入札者情報や落札者情報を開示せずに落札価格の検証までを行えるようにしている。
また、本実施形態は、次の条件(1)〜(3)を満足することができる。
(1)オークション主催者装置2及び他の入札者装置5は、落札した入札者装置5が落札時新規データを送らない限り、入札者がどの入札金額に署名を施したかを知ることができない。
(2)入札者装置5は、否認プロトコルにおいて、選択した入札金額に署名を施した旨を否認できない。
(3)オークション主催者装置2及び他の入札者装置5は、落札した入札者装置5の秘密鍵を知らないので、落札した入札者装置5の正当な署名及び否認付加署名を計算できない。
(発明の第3の実施の形態)
第2の実施形態では、選択する入札金額の種類が少ない場合、応札者が開示情報を送付する前に、主催者は応札者がどの入札金額に署名をしたかを所定の攻撃アルゴリズムにより察知する可能性があると、本発明者は考えた。この攻撃アルゴリズムは、入札金額w={w1,w2,…,wn}の全ての要素を逐次、検証式に入れて一致/不一致を計算する方法である。すなわち、検証式を用いる攻撃アルゴリズムによれば、入札金額の種類が少ない場合、主催者が入札金額の署名の秘匿性を打破する可能性があると、本発明者は考えた。これは、第2の実施形態の効果に記載した条件(1)に反する可能性のあることを意味している。
なお、応札価格の種類が多い場合には攻撃アルゴリズムの計算量的手間が増大し、攻撃アルゴリズムの効率が著しく低下するので、第2の実施形態でも充分な秘匿性を有する。しかしながら、応札価格の種類の多少によらず、署名作成や署名検証時の計算量が多少増えても、入札金額の署名の秘匿性が保たれる方式が望ましい状況もある。
そこで、第3の実施形態は、入札金額の種類の多少に関わらず、上記攻撃アルゴリズムを阻止し、常に上記条件(1)〜(3)を満足させるものとなっている(以下、文字r,λの上に波線“〜”を付した変数データ
を、数式領域[数n]以外の文章領域では各々r〜,λ〜のように表記しながら説明する)。
具体的には、第3の実施形態では、入札プロトコル及び落札プロトコルで用いられるデータr〜,σ,tが次のように変更されている。
すなわち、第3の実施形態は、第2の実施形態におけるr〜=rx(modp)、σ=k−cSA(mod q)、tの分母内のハッシュ関数H(Wk,r〜,λ)に代えて、攻撃アルゴリズムを阻止する観点から、それぞれr〜=(rr)x(mod p)、σ=kr−cSA(mod q)、tの分母内にてハッシュ関数H(Wk,r〜,r,λ)が使用されている。
本実施形態の電子入札システムは、このような乱数rを自己を含む二変数r,xにより秘匿する暗号化処理と、秘匿前後の乱数r,r〜に基づくグループ署名とが行なわれ、これに応じて入札プロトコル、落札プロトコルが修正される他、第2の実施形態と同様に構成される。
以下、修正される入札プロトコル及び落札プロトコルについて説明する。
[入札プロトコル]
登録時における主催者2のグループ分けの処理及び各グループJの署名用秘密鍵のS
Gjの送付処理は前述した通りである。
次に、入札者5Aは、前述同様に、出品物に対する入札金額W
k(1
<k
<m)を選択し、次に、乱数x,k,μ∈Zq
* を選び、以下を計算する。なお、以下の計算中、r
〜,σ,tのHは、第2の実施形態とは異なり、乱数rを用いた暗号化が施されている。また、rはオークション主催者装置にとって未知のデータであり、r
〜はその未知のデータrを当該r自身を用いて暗号化した暗号化未知データである。また、σは第1の暗号化入札金額情報であり、t内のH(w
k,r
〜,r,λ)は第2の暗号化入札金額情報である。
以下、前述同様に、応札者5Aは(PA,CertA,h,r〜,λ,λ〜,σ,t)を主催者2に送る。主催者2は(h,r〜,σ,t)を公開掲示板3の該当するグループ欄に記載する。
[否認プロトコル]
否認プロトコルは、第2の実施形態と同様に実行される。
[落札プロトコル]
全体の流れは第2の実施形態と同様であるが、rを用いた暗号化に伴い、各検証式がrを含む内容に変更されている。以下、前述した文脈に沿って説明する。
落札時、応札者5Aは、x,rを主催者2に送付する。主催者2は、(P
A,Cert
A,h,r
〜,λ,λ
〜,σ,t)とx,rを用いて以下の検証式により否認不可署名の正当性を検証する。
次に、λ
〜=λ
x(mod p)の一致性を検証する。これら否認不可署名が正当である時のみ、次式によりグループ署名を検証する。
主催者2は、否認不可署名r〜,λ〜と、グループ署名tとが正当である時のみ、(r,λ)を公開掲示板3に掲載する。
一般応札者は、前述同様に(r,λ,r
〜,t,W
k,P
G)を用いてグループ署名の正当性(落札価格の正当性)を次式より検証する。
なお、図13にオークション主催者2に与えられる情報と、公開掲示板3に掲示される情報とを示す。本実施形態では、前述した図12とは異なり、確証時にオークション主催者2に与えられる情報にrが追加されている。
上述したように本実施形態によれば、入札プロトコル及び落札プロトコルで用いられるデータr〜,σ,tを、乱数rを用いた暗号化処理により秘匿するので、第2の実施形態の効果に加え、主催者2が攻撃アルゴリズムを用いて総当たりで入札金額の署名の秘匿性を打破しようとしても、乱数rが未知のために打破することができない。すなわち、本実施形態によれば、入札金額の種類の多少に関わらず、攻撃アルゴリズムによる攻撃を阻止することができる。
係る作用効果を詳しく述べる。すなわち、第3の実施形態では、第2の実施形態に対し、入札金額を秘匿する乱数rを自身で暗号化する第1の秘匿処理と、グループ署名tのハッシュ関数Hに乱数rを用いる第2の秘匿処理とが付加されている。
ここで、第1の秘匿処理は、自身rを含めた2つの秘密変数r,xで乱数rをべき乗して乱数rを秘匿するものであり、暗号理論の基盤を築いている離散対数問題の困難性に匹敵する段階まで乱数rの秘匿性を高めている。
第2の秘匿処理は、グループ署名tの生成の際に、図14に示すように、主催者2の未知の乱数rを一方向性ハッシュ関数Hに入力したハッシュ値H(wk,r〜,r,λ)を用いることにより、主催者2がグループ署名tを計算することが不可能となる。なお、第2の実施形態では、図15に示すように、グループ署名tにおけるハッシュ関数Hの入力値(wk,r〜,λ)が全て主催者2に既知であるので、悪意の主催者2により、既知の情報と入札金額の種類とから入札金額が限定される可能性がある。
まとめると、第3の実施形態によれば、第1の秘匿処理でr算出の困難性を高め、第2の秘匿処理でrの算出を必須要件としたことにより、総合的に攻撃アルゴリズムの適用を不可とすることができる。
このような第3の実施形態は、入札金額の署名の完全な秘匿性が求められる環境に適している。一方、第2の実施形態は、第3の実施形態よりも計算の手間が小さいので、入札金額の種類が多い場合や入札金額の署名の秘匿性よりも処理の高速性が求められる場合に適している。このような第2及び第3の実施形態は、適用する環境に応じて、使い分けられることが望ましい。
(発明の第4の実施の形態)
第1及び第2の実施形態では、暗号化されていないメッセージを添付しない否認不可署名(メッセージ無し否認不可署名という)を用いて、入札者の入札情報を開示することなく、ある情報を選択したか否かの検証を行うことができる。また、入札者から開放用の鍵を与えることでメッセージ無し否認不可署名を通常のデジタル署名(以下、単にデジタル署名)に変換することができる。この技術を用いることにより、情報選択者が選択情報を開示することなく選択情報を証明できる情報証明システムを構築することが可能となる。本実施形態では、第1の実施形態の方法を情報証明方法に適用する場合を説明する。
図16は本発明の第4の実施形態に係る情報証明方法を適用したインターネットゲームシステムの構成例を示す図である。
同図に示すシステムは、情報証明方法をインターネットゲームシステムに適用する場合を示しており、インターネット網51に出題者装置52及び解答者装置53が接続されて構成されている。
出題者装置52は、第1実施形態における登録機関装置4とオークション主催者装置2と公開掲示板装置3とを組み合わせたものであり、登録部61、公開掲示板62、ゲーム進行部63、解答格納部64及び問題格納部65を備える。
登録部61は、第1実施形態の登録機関装置4と同様に構成され、ゲーム参加者の登録を受け付ける。また、公開掲示板62は、第1実施形態の公開掲示板装置3と同様に構成され、ゲーム進行上必要でかつ公開してもよい情報が掲示される。
ゲーム進行部63は、第1実施形態におけるオークション主催者装置2と同様に構成され、署名検証や否認・確認プロトコルを実行するための機能を備え、また、解答者装置53に対する出題や解答確認処理等を行う。
解答格納部64は、ゲーム参加者(解答者装置53)からの解答を格納する。この解答は公開掲示板62に掲示してもよい。また、問題格納部65は、ゲームに用いる問題を格納する。
一方、解答者装置53は、第1実施形態における入札者装置5と同様に構成され、登録部71、解答作成部72及び応答処理部73を備える。登録部71は、出題者装置52に対してゲーム参加登録を要求し、解答作成部72は、メッセージ無し否認不可署名を作成して出題者装置に送信する。
また、応答処理部73は、署名検証や否認・確認プロトコルを実行するための機能を備え、また、出題者装置52に対する解答や解答確認処理等を行う。
このように構成を有するインターネットゲームシステムは以下のように動作する。
まず、出題者装置52がホームページ等を通じてゲーム参加者を募集し、ゲーム参加を希望する解答者装置53はゲーム参加の登録を行う(w1)。この登録処理は第1実施形態における登録プロトコルと同様である。
ゲームが開始されると、出題者装置52からは問題が各解答者装置53に送付され(w2)、又は公開掲示板62に掲示される。ただし、問題に対する解答の候補は選択的に提示される。
解答者装置53からは、メッセージ無し否認不可署名の形式で解答が出題者装置52に送付される(w3)。このとき出題及び解答形式は、1問1答でもよく、まとめて問題を出してまとめて解答するようにしてもよい。
次に、出題者装置52からは、問題に対する正解が解答者装置53に通知される(w4)。
これに対して、解答者装置53から出題者装置52に対して正答したか否かが通知される(w5)。このとき、通知方法として、解答者がどの選択肢を選んだかをあくまで伏せたい場合には、第1実施形態の確認プロトコル及び否認プロトコルを用いる。また、実際の解答内容そのものを公開したい場合には、解答者装置53から解答開放キーを送付し、出題者装置52においてはメッセージ無し否認不可署名をデジタル署名に変換して公開する。何れにするかはゲームの性質に応じて選択できる。
上記処理を繰り返すことにより、リアルタイムでかつ、インターネットを介した不特定多数のゲーム参加希望者を解答者とし、ゲームを進行させていくことができる。
上述したように、本発明の実施の形態に係る情報証明方法は、メッセージ無し否認不可署名を用いて選択的な情報に対して解答を行うようにしたので、解答内容を伏せたままで正解か否かだけを証明することができる。
また、本実施形態はインターネットゲームに適用する場合を説明したが、この情報証明方法は種々の状況に適用することができる。
(発明の第5の実施の形態)
第2の実施形態では、入札金額の署名を秘匿する電子入札方式を開示している。しかしながら、第2の実施形態は、入札金額wk(1<k<m)及びその種類(w1,w2,…,wm)に代えて、一般的なメッセージmk(1<k<n)及びその種類(m1,m2,…,mn)を用いることにより、電子入札に限らず、その上位概念のデジタル署名方式に拡張可能であると考えられる(ここでいう入札金額wの個数mと、メッセージmの個数nとは互いに等しい)。
そこで、第5の実施形態では、第2の実施形態のプロトコルに基づくデジタル署名方式について説明する。なお、本実施形態では、第1及び第2の実施形態における名称を上位概念を表す名称に変更して用いる。例えば、前述した入札プロトコルは、内容が同じであるが、名称が受付プロトコルに変更され、且つ入札金額wは、名称がメッセージmという名称に変更されている。同様に、開示・落札プロトコルは、内容が同じであるが、名称が公開プロトコルに変更される。さらに、依頼者6によるオークション出品依頼は、名称が依頼、要求、問合せ、懸賞応募、クイズ、択一式試験、選挙、アンケート調査、予約受付、人材派遣のような履歴の登録、のように何らかの選択的なメッセージ応答を伴うものの名称に変更される。
図17は本発明の第5の実施形態に係るデジタル署名方法を適用したデジタル署名システムの一例を示す構成図であり、図1と同種の部分には同一符号にアルファベットの添字を付してその詳しい説明を省略し、異なる部分について主に述べる。なお、以下の各実施形態も同様にして重複した説明を省略する。
すなわち、本実施形態は、第2の実施形態を汎用性のあるデジタル署名方法に拡張した変形例であり、具体的には、ネットワーク1を介して複数の第一検証者装置2x、グループ鍵生成機関装置2y、複数の第二検証者装置3x、鍵登録機関装置4x及び署名者装置5xが互いに接続されている。
ここで、各第一検証者装置2xは、前述した主催者装置2の機能において、グループ鍵生成機能が省略されており、且つ公開掲示板装置3に代えて、第二検証者装置3xにデータ(h,r〜,σ,t),(r,λ)を順次与える機能をもっている。
グループ鍵生成機関装置2yは、前述した主催者装置2におけるグループ鍵生成機能を有するものであり、具体的には図18に示すように、鍵生成部2yaを備えている。
鍵生成部2yaは、受付プロトコルの実行中、署名者装置5x及び図示しない複数の第三者装置(例、他の署名者装置5x’等)をいくつかのグループに分ける機能と、各グループJに対する秘密鍵SGj∈Zq*と公開鍵PGj=αSGj(mod p)を生成する機能と、各グループJの署名用秘密鍵SGjを秘密裏に当該署名者装置5x及び各第三者装置に送る機能をもっている。
各第二検証者装置3xは、第一検証者装置2xよりも少ない情報を用いて可能な範囲(=グループ署名)の検証を行なう低レベルの検証者装置であり、前述した公開掲示板3の情報登録機能(公開機能を除く)及び前述した入札者装置5におけるグループ署名検証機能を有するものである。
鍵登録機関装置4xは、前述した登録機関装置4の機能をもつものであり、具体的には、署名者装置5xから送られた公開鍵PAを署名者の個人情報と関連付けてデータベース(図示せず)に登録する機能と、この登録後、公開鍵PAに対する鍵証明書CertAを発行して署名者装置5xに送る機能をもっている。
署名者装置5xは、前述した入札者装置5の機能を有するものであり、具体的には図18に示すように、鍵生成部5xa、署名生成部5xb、否認処理部5xc及び確証処理部5xdを備えている。
鍵生成部5xaは、署名者の秘密鍵SA∈Zq*と公開鍵PA=αSA(modp)を生成する機能と、公開鍵PAを鍵登録機関装置4xに送る機能をもっている。
署名生成部5xbは、署名者の操作により、メッセージ空間M={m1,m2,…,mn}から1つのメッセージmk(k∈M)を選択する機能と、乱数x,k,μ∈Zq*を選択し、当該乱数x,k,μに基づいて、変数データh,r,r〜,λ,λ〜,c,σ及びグループ署名tを算出する機能と、算出結果のうちのrを除くデータ(h,r〜,λ,λ〜,σ,t)、公開鍵PA及び鍵証明書CertAを第一検証者装置2xに送る機能とをもっている。
なお、署名生成部5xbは、第一検証者装置2xが第二検証者装置3xに一部のデータ(h,r〜,σ,t)を送出する機能の無い場合、算出結果のうちの当該データ(h,r〜,σ,t)を第二検証者装置3xに送る機能をもつものとなる。換言すると、データ(h,r〜,σ,t)は、署名者装置5xから第一検証者装置2xを経由して第二検証者装置3xに送られても良く、あるいは、署名者装置5xから直接に第二検証者装置3xに送られても良い。
否認処理部5xcは、前述した否認プロトコルを実行する機能を有し、各第一検証者装置2x、各第二検証者装置3x又は各第三者装置のいずれかが選択したメッセージmi∈M(i≠k)が、署名生成部5xbにて選択されたメッセージmkでないこと(mi≠mk)を示す場合、前述同様に、離散対数の非等価性logβz≠logαyを第一検証者装置2xに提示する機能をもっている。
確証処理部5xdは、前述同様の公開プロトコル(例、開示・落札プロトコル)を実行する機能を有し、各第一検証者装置2x、各第二検証者装置3x又は各第三者装置のいずれかが選択したメッセージmi∈M(i=k)が、署名生成部5xbにて選択されたメッセージmkであること(mi=mk)を示す場合、データxを第一検証者装置2xに送る機能をもっている。
次に、以上のように構成されたメッセージ選択システムの動作を説明する。なお、各プロトコルは、第2の実施形態と同様であるが、各プロトコル内の各処理を分担する装置が若干異なっている。以下、前述した文脈に沿って各プロトコル毎に説明する。
[初期設定]
初期設定は、第1及び第2の実施形態と同様である。
[登録プロトコル]
登録プロトコルは、署名者装置5xが署名者の公開鍵PA に対し、鍵登録機関装置4xから鍵証明書CertA を発行してもらう処理である。
署名者装置5xの鍵生成部5xaでは、秘密鍵SA ∈Zq* が生成され、公開鍵PA =αSA(mod p)が定められる。この公開鍵PA は、身元を明かした署名者装置5xから鍵生成部5xaにより、鍵登録機関装置4xに送られる。
一方、鍵登録機関装置4xは、この公開鍵PAを署名者の個人情報と関連付けてデータベースに登録し、しかる後、公開鍵PAに対する鍵証明書CertAを発行して署名者装置5xに送る。
[受付プロトコル]
グループ鍵生成機関装置2yの鍵生成部2yaは、受付プロトコルの実行中、署名者装置5x及び図示しない複数の第三者装置をいくつかのグループに分け、各グループJに対する秘密鍵SGj∈Zq*と公開鍵PGj=αSGj(mod p)を生成し、各グループJの署名用秘密鍵SGjを秘密裏に当該署名者装置5x及び同グループJの各第三者装置(図示せず)に送る。
次に、署名者装置5xは、、何らかの要求等に対し、前述同様に、メッセージ空間M={m
1,m
2,…,m
n}から1つのメッセージm
k(k∈M)を選択し、次に、乱数x,k,μ∈Zq
* を選び、以下を計算する。
以下、前述同様に、署名者装置5xは(PA,CertA,h,r〜,λ,λ〜,σ,t)を第一検証者装置2xに送る。第一検証者装置2xは、(h,r〜,σ,t)を第二検証者装置3xに送る。
[否認プロトコル]
否認プロトコルは、第2の実施形態と同様に実行される。すなわち、否認時、署名者装置5xの否認処理部5xcは、各第一検証者装置2x等が選択したメッセージmi∈M(i≠k)が、署名生成部5xbにて選択されたメッセージmkでないこと(mi≠mk)を示す場合、前述同様に、離散対数の非等価性logβz≠logαyを第一検証者装置2xに提示する。
[公開プロトコル]
公開時、署名者装置5xの確証処理部5xdは、各第一検証者装置2x等が選択したメッセージmi∈M(i=k)が、署名生成部5xbにて選択されたメッセージmkであること(mi=mk)を示す場合、データxを第一検証者装置2xに送る。
第一検証者装置2xは、(P
A,Cert
A,h,r
〜,λ,λ
〜,σ,t)とxを用いて以下の検証式により否認不可署名の正当性を検証する。
次に、λ
〜=λ
x(mod p)の一致性を検証する。これら否認不可署名が正当である時のみ、
第一検証者装置2xは、否認不可署名r〜,λ〜と、グループ署名tとが正当である時のみ、データ(r,λ)を第二検証者装置3xに送る。
第二検証者装置3xは、前述同様に(r,λ,r
〜,t,m
k,P
G)を用いてグループ署名の正当性を次式より検証する。
なお、図19に第一検証者装置2xに与えられる情報と、第二検証者装置3xに与えられる情報とを示す。
上述したように本実施形態によれば、電子入札方法に限らず、その上位概念のデジタル署名方法においても、第2の実施形態と同様の作用効果を得ることができる。
すなわち、署名者のプライバシを保護し談合を防止して依頼者利益を保護することができ、第一検証者装置2xの信頼性や匿名通信路といった仮定には依存せずに、一般的な暗号技術のみでシステム構築可能として実装を容易にすることができる。
また、暗号化メッセージ情報を、非暗号化状態のメッセージを非添付とした否認不可署名として送付するとともに、確認の際には、否認不可署名に含まれる離散対数の等価・非等価を証明することにより指定メッセージの選択有無を確認するので、署名者の発信する情報の秘匿性が強化され、この結果、プライバシ保護や談合防止が一層強化される。
さらに、グループ署名を用いたことにより、指定メッセージを選択した旨が確定した後に、当該署名者装置5に関する公開鍵等の情報を漏らさずに、第二検証者装置3xにそのメッセージ情報を確認させることができる。
また、本実施形態は、前述同様の条件(1x)〜(3x)を満足することができる。
(1x)第一検証者装置2x及び他の署名者装置は、署名者装置5xが確証時新規データを送らない限り、署名者がどのメッセージに署名を施したかを知ることができない。
(2x)署名者装置5xは、否認プロトコルにおいて、選択したメッセージに署名を施した旨を否認できない。
(3x)第一検証者装置2x及び他の署名者装置は、指定メッセージを選択した署名者装置5xの秘密鍵を知らないので、当該選択した署名者装置5xの正当な署名及び否認付加署名を計算できない。
(発明の第6の実施形態)
第6の実施形態は、第2の実施形態の電子入札システムを上位概念化した第5の実施形態において、主催者2(第一検証者装置2x)の攻撃アルゴリズムを阻止する第3の実施形態を適用させたものである。
以下、前述した図17及び図18を用い、第5の実施形態に対する変更部分について第3の実施形態の文脈に沿って説明する。第6の実施形態は、メッセージの種類の多少に関わらず、上記攻撃アルゴリズムを阻止し、常に上記条件(1x)〜(3x)を満足させるものとなっている。
具体的には、第6の実施形態では、受付プロトコル及び公開プロトコルで用いられるデータr〜,σ,tが次のように変更されている。
すなわち、第6の実施形態は、第5の実施形態におけるr〜=rx(modp)、σ=k−cSA(mod q)、tの分母内のハッシュ関数H(Wk,r〜,λ)に代えて、攻撃アルゴリズムを阻止する観点から、それぞれr〜=(rr)x(mod p)、σ=kr−cSA(mod q)、tの分母内にてハッシュ関数H(Wk,r〜,r,λ)が使用されている。
本実施形態のデジタル署名システムは、このような乱数rを自己を含む二変数r,xにより秘匿する暗号化処理と、秘匿前後の乱数r,r〜に基づくグループ署名とが行なわれ、これに応じて受付プロトコル、公開プロトコルが修正される他、第5の実施形態と同様に構成される。
以下、修正される受付プロトコル及び公開プロトコルについて説明する。
[受付プロトコル]
登録時におけるグループ鍵生成機関装置2yのグループ分けの処理及び各グループJの署名用秘密鍵のS
Gjの送付処理は前述した通りである。次に、署名者装置5xは、前述同様に、何らかの要求等に対し、メッセージ空間M={m
1,m
2,…,m
n}から1つのメッセージm
k(k∈M)を選択し、次に、乱数x,k,μ∈Zq
* を選び、以下を計算する。なお、以下の計算中、r
〜,σ,tのHは、第5の実施形態とは異なり、乱数rを用いた暗号化が施されている。また、rは第一検証者装置2xにとって未知のデータであり、r
〜はその未知のデータrを当該r自身を用いて暗号化した暗号化未知データである。また、σは第1の暗号化メッセージ情報であり、t内のH(w
k,r
〜,r,λ)は第2の暗号化メッセージ情報である。
以下、前述同様に、署名者装置5xは(PA,CertA,h,r〜,λ,λ〜,σ,t)を第一検証者装置2xに送る。第一検証者装置2xは(h,r〜,σ,t)を第二検証者装置3xに送る。
なお前述同様に、第一検証者装置2xが第二検証者装置3xにデータ(h,r〜,σ,t)を送出せず、署名生成部5xbが当該データ(h,r〜,σ,t)を第二検証者装置3xに送るようにしても良い。
[否認プロトコル]
否認プロトコルは、第5の実施形態と同様に実行される。
[公開プロトコル]
全体の流れは第5の実施形態と同様であるが、rを用いた暗号化に伴い、各検証式がrを含む内容に変更されている。以下、前述した文脈に沿って説明する。
落札時、署名者装置5xは、x,rを第一検証者装置2xに送付する。第一検証者装置2xは、(P
A,Cert
A,h,r
〜,λ,λ
〜,σ,t)とx,rを用いて以下の検証式により否認不可署名の正当性を検証する。
次に、λ
〜=λ
x(mod p)の一致性を検証する。これら否認不可署名が正当である時のみ、次式によりグループ署名を検証する。
第一検証者装置2xは、否認不可署名r〜,λ〜と、グループ署名tとが正当である時のみ、データ(r,λ)を第二検証者装置3xに送る。
第二検証者装置3xは、前述同様に(r,λ,r
〜,t,m
k,P
G)を用いてグループ署名の正当性を次式より検証する。
なお、図20に第一検証者装置2xに与えられる情報と、第二検証者装置3xに掲示される情報とを示す。本実施形態では、前述した図19とは異なり、第一検証者装置2xに与えられる情報にrが追加されている。
上述したように本実施形態によれば、デジタル署名方法における第5の実施形態においても、第3の実施形態と同様の作用効果を付加することができる。すなわち、第6の実施形態は、第5の実施形態の効果に加え、未知のデータによる第1及び第2の秘匿ステップを用いたことにより、悪意の第一検証者装置による総当り的な攻撃アルゴリズムの適用を阻止することができる。
なお、本発明は、上記各実施の形態に限定されるものでなく、その要旨を逸脱しない範囲で種々に変形することが可能である。また、各実施形態は可能な限り適宜組み合わせて実施してもよく、その場合組み合わされた効果が得られる。
例えば第1〜第3の実施形態においては、オークション主催者装置から選択的に入札金額が提示され、これを入札者が選択する場合を説明しているが、ここでいう選択的というのは非常に広い意味で用いている。すなわち一円単位での選択であっても選択的なのであって、このような場合にはオークション主催者装置は、最高金額又は最低金額(落札プロトコル開始金額)しか示さない場合もある。この場合は、一円単位で選択される結果となる。また、最高金額又は最低金額(落札プロトコル開始金額)すら提示不要の場合もある。この場合には、オークション主催者装置では、仮の最高金額(若しくは最低金額)を提示し、この金額以上(若しくは以下)で入札したかを否認プロトコルで確認すればよい。否認できない者がいる場合には、仮の最高金額を上げればよい。
このように、選択的な入札金額というのは本明細書では、広い意味を有するが、オークション主催者装置にて具体的に提示された有限個の金額の中から選択させるようにすると、効率的な処理を行うには好ましい。
また、実施形態に記載した手法は、計算機(コンピュータ)に実行させることができるプログラム(ソフトウエア手段)として、例えば磁気ディスク(フロッピー(登録商標)ディスク、ハードディスク等)、光ディスク(CD−ROM、DVD等)、半導体メモリ等の記憶媒体に格納し、また通信媒体により伝送して頒布することもできる。なお、媒体側に格納されるプログラムには、計算機に実行させるソフトウエア手段(実行プログラムのみならずテーブルやデータ構造も含む)を計算機内に構成させる設定プログラムをも含むものである。本装置を実現する計算機は、記憶媒体に記録されたプログラムを読み込み、また場合により設定プログラムによりソフトウエア手段を構築し、このソフトウエア手段によって動作が制御されることにより上述した処理を実行する。
なお、本願発明は、上記各実施形態に限定されるものでなく、実施段階ではその要旨を逸脱しない範囲で種々に変形することが可能である。また、各実施形態は可能な限り適宜組み合わせて実施してもよく、その場合、組み合わされた効果が得られる。さらに、上記各実施形態には種々の段階の発明が含まれており、開示される複数の構成用件における適宜な組み合わせにより種々の発明が抽出され得る。例えば実施形態に示される全構成要件から幾つかの構成要件が省略されることで発明が抽出された場合には、その抽出された発明を実施する場合には省略部分が周知慣用技術で適宜補われるものである。
その他、本発明はその要旨を逸脱しない範囲で種々変形して実施できる。