WO2009087939A1

WO2009087939A1 - 秘匿通信方法

Info

Publication number: WO2009087939A1
Application number: PCT/JP2008/073878
Authority: WO
Inventors: Haruaki Yamazaki; Hidetoshi Mino; Yoshimichi Watanabe
Original assignee: University Of Yamanashi
Priority date: 2008-01-04
Filing date: 2008-12-30
Publication date: 2009-07-16
Also published as: US8370627B2; EP2239882A1; US20100281257A1; EP2239882A4

Abstract

　秘匿通信方法として用いられるオニオンルーティングが有する、通信ルート内のコンピュータにシステムダウンがあるとその先へ一切継続されなくなるという問題や、多重暗号化を使用することでシステムやトラフィックが遅くなるといった問題を解決することを課題とする。　情報提供元のクライアントは、自らが接続している情報サーバ、送りたい先の機能サーバ、機能サーバが接続している情報サーバのそれぞれの公開鍵を使用して、乱数の暗号化とそのハッシュ値算出を行い、各々のサーバは、自らの秘密鍵を使って解読してハッシュ値との比較を行うことで、自分に関係するルートであるか否かを判断する通信方法であり、これにより、情報提供元や情報提供先を秘匿したまま情報提供できるだけでなく、情報提供先である機能サーバから提供内容に対する応答も匿名を維持したまま可能とする。

Description

秘匿通信方法

　本発明は、情報を提供する提供元を秘匿したまま提供先に内容を秘密裏に受け渡す技術であって、さらには受け取った提供先が提供元を知らないままで、応答を提供元に返すことを可能とする秘匿通信方法に関する。

　情報提供者が匿名性を保ったまま情報提供先である例えば調査会社にコンピュータシステムを利用して情報を提供する匿名情報提供方法（情報提供元を秘匿した通信方法）としては、従来、情報提供者の本人確認を行うための第三者として信頼性確認者を設定するとともに、また保存情報の公開サービスを行うＢＢＳ（保存情報公開サービス）を設定し、情報提供者から信頼性確認者に情報提供者の本人確認を依頼して本人確認を行った後、情報提供者が匿名通信路を介して調査会社に情報を送信し、調査会社では情報提供者からの情報を受信した後において、情報提供者を特定する必要がある場合、信頼性確認者に情報提供者の身元確認のための問い合わせを行い、これにより情報提供者を特定することができるものが一般的に用いられてきている。

　しかしながらこの方法では、信頼できる第三者を構築することに困難があるため、実際の運用上では大きな問題となっている。
　インターネットの普及に伴い、悪意あるユーザの盗聴、改ざん等から通信内容を保全する様々な提案や製品開発がなされている。

　一方、通信内容のみならず、宛先や発信元を秘匿することの必要性もしばしば指滴されるところである。宛先や発信元のアドレスはヘッダ情報を盗聴したり、経由したルータの情報をトレースしたりすることで突き止めることができる。
　したがってＩＰアドレス等のヘッダ情報を秘匿する必要性が生ずるが、暗号化等の秘匿手法をヘッダに直接的に適用すると、ルータ等の通信機器を経由することができなくなってしまう。このような間題点を解決すべく、様々な手法が最近提案されるようになってきている。

　そこで編み出された代表的な方法として、オニオンルーティングを用いた匿名通信方法が提案されている（特許文献１）。以下簡単にこの方法を説明する。
　図１はオニオンルーティングを用いた匿名通信方法を説明するフローチャートである。各ステップのＳ０からＳ５で用いられているＡｄｒ１からＡｄｒＮ－１は情報提供者と情報提供先とをつなぐ経路での通信装置（以下サーバとする）のアドレス(宛先)である。そして情報提供元がＡｄｒ０であり、情報提供先がＡｄｒＮである。

　この図において（）でくくられている内容が暗号化されており、その（）内の暗号化を解くことができる鍵を各サーバが有している。この鍵をＫｙＪとした。なお、ＩとＪはこのフローチャートを説明するためのカウンターであり、実際の通信に必要なものではない。

　ステップＳ０において、Ａｄｒ０のアドレス（宛先）は情報提供元のものである。情報提供元から最初に送るアドレスＡｄｒ１のサーバに対して、オニオンルーティング情報である（Ａｄｒ２（Ａｄｒ３・・・（ＡｄｒＮ）・・・））を情報提供先へ提供したい提供情報と一緒に送信する。

　ステップＳ１の最初であるＩ＝Ｎ－１、Ｊ＝１の状態では、宛先がアドレスＡｄｒ１のサーバであって、Ａｄｒ１サーバでは解除キーＫｙ１を有しており、このＫｙ１を用いて（）内の暗号化を解除してＡｄｒ２が次の宛先であること取得する。

　そしてステップＳ２で、次のＡｄｒ２サーバに対して、次のオニオンルーティング情報である（Ａｄｒ３（Ａｄｒ４・・・（ＡｄｒＮ）・・・））を受け取った提供情報とともに送る。ステップＳ３とステップＳ４はこのフローチャートの説明のために設置したカウンター加減算とその判定である。

　このように、以下順次Ａｄｒ３、Ａｄｒ４へと送られてアドレスＡｄｒＮの装置へ提供情報が伝達される。このときＡｄｒ１からＡｄｒＮは、それぞれ解除キーＫｙ１からＫｙＮで暗号化が解けるように暗号化されている。
　このような情報伝達を行うことにより、途中のサーバではその前後のサーバのアドレスしかわからない。情報提供元のＡｄｒ０を特定するためには、すべてのサーバから情報を取得しなければならず、その結果として情報提供元が秘匿される。
特開２００４－２２９０７１

　この方法では、順次解読により宛先を特定していき、何回目かに目的とする宛先に届くよう宛先が多重暗号化されているため、その繰り返しの中で経由するコンピュータのどれかひとつでもダウンしていると進まなくなる。また頻繁に往復する情報授受は、各ノードの処理に負荷がかかり、ネットワークの通信速度が遅くなってトラフィック障害を生じる恐れがある。また、障害時に備え、情報提供元で使用する装置、またはそれに接続しているサーバ等、すべてのサーバの鍵に対応した暗号を知っておく必要があるため、情報の漏えいの面でも問題がある。

　本発明の方法はこのような課題を解決するもので、送信元のアドレス秘匿を受信者に対しても行うことができることを目的とする。さらに送信元を秘匿したうえで、受信者からの応答の受信を可能にすることを目的とする。

　上記の目的を達成するために、請求項１に記載の発明は、あらかじめ定めたルールによりメッセージを回送させるループネットワークに、自分の公開鍵を公開する複数の通信サーバと、前記通信サーバにそれぞれ接続する自分の公開鍵を公開する複数のクライアントとが接続する通信ネットワークを介して、前記クライアントのいずれかと他のクライアントとが、匿名でメッセージを送受信する秘匿通信方法において、前記メッセージを送信するクライアントは、ランダムビット列Ｒを生成し、該Ｒを、前記メッセージを受信するクライアントの公開鍵により暗号化した符号列ＫＸ１と、前記Ｒのハッシュ値Ｈを生成し、前記ＫＸ１と前記Ｈとを前記メッセージを受信するクライアントの秘匿アドレス１（ＫＸ１，Ｈ）とし、前記メッセージを受信するクライアントが接続する通信サーバの公開鍵により、前記Ｒを暗号化した符号列ＴＸ１を生成し、前記ＴＸ１と前記Ｈとにより秘匿アドレス２（ＴＸ１，Ｈ）を生成し、前記秘匿アドレス１（ＫＸ１，Ｈ）と前記秘匿アドレス２（ＴＸ１，Ｈ）とを含む前記メッセージを、自分が接続する通信サーバに送信し、各通信サーバは回送されてくる前記メッセージ中のＴＸ１を自分の秘密鍵により復号化し、そのハッシュ値と前記Ｈとを比較し、一致した場合は、配下のクライアントとに前記メッセージを送信し、前記配下のクライアントは、前記メッセージ中の前記ＫＸ１を自分の秘密鍵により復号化し、そのハッシュ値と前記Ｈとを照合し、一致した場合は自分宛のメッセージであるとして受信することを特徴とする。これにより、情報提供者が誰であって、情報提供先がどこであるかを秘匿したままでの情報提供が可能となる。

　請求項２に記載の発明は、請求項１に記載の秘匿通信方法であって、前記メッセージを送信するクライアントは、前記メッセージを送信する際に前記Ｒを自分の公開鍵で暗号化した符号列ＣＸ１を生成し、前記ＣＸ１と前記Ｈとからなる秘匿アドレス３（ＣＸ１，Ｈ）と、自分が接続する通信サーバの公開鍵で前記Ｒを暗号化し、符号列ＴＸ２を生成し、前記ＴＸ２とＨとからなる秘匿アドレス４（ＴＸ２，Ｈ）とを生成し、前記秘匿アドレス３（ＣＸ１，Ｈ）と前記秘匿アドレス４（ＴＸ２，Ｈ）とを前記メッセージに含めて送信することを特徴とする。これにより、情報提供者を秘匿したまま応答を返すことができる。

　請求項３に記載の発明は、請求項１又は２に記載の秘匿通信方法であって、前記メッセージを送信するクライアントは、前記メッセージを送信する際に、伝達内容であるメッセージ本文を、前記メッセージを受信するクライアントの公開鍵により暗号化するとともに、前記メッセージ本文のパスワードを暗号化し、前記暗号化されたパスワードＰＸ１を前記メッセージに含めて送信することを特徴とする。

　請求項４に記載の発明は、請求項１から３のいずれかに記載の秘匿通信方法であって、前記メッセージを受信するクライアントは、自分宛のメッセージを受信した際に、前記ＰＸ１を自分の秘密鍵で復号化し、前記メッセージ本文を解読することを特徴とする。これにより、例えば相談したい内容が、当事者以外に洩れることを防止できる。

　請求項５に記載の発明は、請求項１から４のいずれかに記載の秘匿通信方法であって、前記メッセージを受信したクライアントは、前記メッセージに応答する応答メッセージを送信する際に、その伝達内容である応答メッセージ本文を、前記メッセージを送信したクライアントの公開鍵により暗号化するとともに、前記応答メッセージ本文のパスワードを暗号化し、前記暗号化されたパスワードＰＸ２を前記応答メッセージに含めて送信することを特徴とする。これにより、例えば相談内容に対する回答が当事者以外に洩れることを防止することができる。

　請求項６に記載の発明は、請求項１から５のいずれかに記載の秘匿通信方法であって、前記クライアントは、自分が接続する通信サーバに対し、定期的にメッセージの取得を実行することを特徴とする。これにより、オンデマンドでメッセージを送受信することができる。

　本発明によれば、情報提供者であるクライアントが特定されることなく、また、相談窓口や掲示板などの機能提供を行う、どの機能サーバに情報提供したのかも秘匿されたまま、メッセージ授受を行うことができる。さらに、誰から情報提供されたのかを知らないままに、提供された情報へ応答することもでき、すべての情報の授受を秘匿できる。

従来のオニオンルーティングを利用した方法を説明するフローチャートである。本発明の一実施形態であるシステム構成を説明する図である。本実施形態における秘匿アドレスの受け渡し原理を説明する図である。本実施形態におけるデータ構造を説明する図である。本実施形態における未読メッセージの処理時間を測定した結果を示すグラフである。本発明の公開掲示板への適用例を示す図である。本発明の投票システムへの適用例を示す図である。本発明の変形例を示す図である。

符号の説明

ＣＬ　通信サーバにサブスクライバとして接続されたクライアント
ＣＬ１　送信元であるクライアント
ＦＳ　送信先となる機能サーバ（クライアントのひとつ）
ＣＳ１　サブスクライバとしてクライアントを持つ通信サーバ１
ＣＳ２　サブスクライバとしてクライアントを持つ通信サーバ２
ＣＳ３　サブスクライバとしてクライアントを持つ通信サーバ３
ＣＳ４　サブスクライバとして機能サーバＦＳを含むクライアントを持つ通信サーバ４
ＣＳ５　サブスクライバとしてクライアントを持つ通信サーバ５
ＬＧ１　通信サーバ１に接続されるローカルグループ
ＬＧ２　通信サーバ２に接続されるローカルグループ
ＬＧ３　通信サーバ３に接続されるローカルグループ
ＬＧ４　通信サーバ４に接続されるローカルグループ
ＬＧ５　通信サーバ５に接続されるローカルグループ
ＬＮＷ　通信サーバがループ（リング）状に接続されたネットワーク（ループネットワーク）
Ｒ　ランダムビット列
ＦＳＯＫ　機能サーバＦＳの公開鍵
ＦＳＳＫ　機能サーバＦＳの秘密鍵
ＫＸ１　公開鍵ＦＳＯＫでＲを暗号化した符号列
Ｈ　Ｒのハッシュ値
ＡＲ１　ＫＸ１とＨから成る機能サーバＦＳへ送るための、秘匿アドレス１（ＫＸ１，Ｈ）
ＣＳＯＫ　通信サーバＣＳの公開鍵
ＣＳＳＫ　通信サーバＣＳの秘密鍵
ＣＳ４ＯＫ　通信サーバＣＳ４の公開鍵
ＣＳ４ＳＫ　通信サーバＣＳ４の秘密鍵
ＴＸ１　ＣＳ４ＯＫでＲを暗号化した符号列
ＡＲ２　ＴＸ１とＨから成る通信サーバＣＳ４へつなぐための、秘匿アドレス２（ＴＸ１，Ｈ）
ＣＬ１ＯＫ　クライアントＣＬ１の公開鍵
ＣＸ１　ＣＬ１ＯＫでＲを暗号化した符号列
ＡＲ３　機能サーバＦＳからクライアントＣＬ１へ応答するための秘匿アドレス３（ＣＸ１，Ｈ）
ＴＸ２　ＣＳ２ＯＫでＲを暗号化した符号列
ＡＲ４　機能サーバＦＳから通信サーバＣＳ２へ応答をつなぐための秘匿アドレス４（ＴＸ２，Ｈ）
ＭＳ　通信データであって、ＴＣＰヘッダ、秘匿アドレス群、暗号化メッセージ本文などからなるメッセージ
ＰＸ１　メッセージ本文を暗号化するパスワード
Ｂ　公開掲示板
Ｔ１　情報サーバに接続された情報入力ターミナル
Ｔ２　機能サーバに接続された情報入力ターミナル

　次に図２、図３、図４を用いて、本発明のシステムと通信手順の概略を説明する。通信データである本実施の形態における秘匿メッセージ（ＭＳともいう）の構成については後述する。

　（システム概要）
　本発明は、ブロードキャスト通信、又はオンデマンド通信と公開鍵、秘密鍵等からなる暗号を組み合わせて構成するシステムである。本発明の特徴とするところは、公開鍵によって暗号化されたフィールドを、アドレスとして用いるところにある。本発明におけるシステムでは、ブロードキャスト通信、又はオンデマンド通信を効率的に行うために、アプリケーションレベルでのルーティングとして、論理的なループをあらかじめ形成しておくことが好ましい。なお、本発明の実装においては、ブロードキャスト通信と論理的には等価であるオンデマンド通信を利用してもよい。

　（構成要素）
　本実施の形態におけるネットワークの構成要素は次の通りである。
　（１）一般ユーザ：家庭、オフィスから秘匿通信を利用するユーザ。図２におけるクライアント（以下、ＣＬ）である。本実施の形態における秘匿メッセージの送信者はクライアント（以下、ＣＬ１）という。
　（２）通信サーバ：ＣＬ１からの秘匿メッセージを受け付け、送信するサーバである。また、ＣＬヘ送信する秘匿メッセージを受信、蓄積するサーバである。また、通信サーバ間に論理的なループ（ループネットワーク）を形成するサーバである。図２においてはＣＳ（ＣＳ１～ＣＳ５）と示している。

　（３）２次、３次通信サーバ：ＣＳの障害発生時に、代わりの通信サーバとなりうるサーバである。図２においては、例えばＣＳ４がダウンした場合に、ＣＳ３が、ＣＳ４のクライアントすべてを自分のサブスクライバに追加して管理する。この多重化手段は一般的なネットワーク管理手段により容易に実現できる。
　（４）機能サーバ：一般ユーザにサービスを提供するサイトなどで、相談窓口、健康相談カウンセラー、苦情受け付け窓口の機能を備えたサーバである。図２においては、例えばＣＳ４に接続するＦＳがこれに該当する。
　（５）サブスクライバ：図２におけるＣＳ配下のクライアントＣＬ、ＦＳをいう。匿名性を保持するため、ＦＳとＣＳとは物理的に分離されていることが好ましい。

　（前提条件）
　図２に示すシステムの前提条件を以下に示す。
　（１）ＣＳ１～ＣＳ５の間で秘匿メッセージが伝送される順序はあらかじめ決められている。図２においては、各ＣＳがループ状に接続されたループネットワーク、又はリングネットワーク（以下、ＬＮＷ）となっている。
　（２）ＣＳは、自分のＩＰアドレスと公開鍵、例えばＣＳ４の公開鍵はＣＳ４ＯＫであるが、これらをＣＳ３（秘匿メッセージを送信してくる上流のサーバ）にあらかじめ通知しておく。

　（３）ＦＳは受信した秘匿メッセージの内容と、そのＦＳが属するＣＳの公開鍵であるＣＳＯＫと、自分の公開鍵ＦＳＯＫを公開する。
　（４）ＣＬ、ＦＳは、ＣＳに接続されるローカルグループ（ＬＧ１～ＬＧ５）のいずれかに登録される。

　（ＣＬ１からＣＳ４への送信手順）
　図２により、ＣＬ１からＦＳに秘匿メッセージを送信する手順について説明する。
　（１）ＣＬ１は、秘匿メッセージの送信先であるＦＳの公開鍵（ＦＳＯＫ）と、ＦＳが属するＣＳ４の公開鍵（ＣＳ４ＯＫ）を入手する。
　（２）ＣＬ１は、ＣＳ４ＯＫ、ＦＳＯＫで所定の情報を暗号化し、秘匿メッセージ（ＭＳともいう）を作成する。秘匿メッセージのデータ構造は、図４に示す通りである。
　（３）ＣＳ２は、送信バッファに秘匿メッセージを蓄積する。
　（４）ＣＳ２は、ＣＳ３に秘匿メッセージを送信する。

　（５）秘匿メッセージを受信したＣＳ３は、その秘匿メッセージをコピー、蓄積してＣＳ４に送信する。以降、同様にＣＳ５はＣＳ１に、ＣＳ１はＣＳ２に秘匿メッセージを送信する。
　（６）ＣＳ２がＣＳ１から秘匿メッセージを受け取った時点で、ＣＳ２は秘匿メッセージを蓄積したバッファから削除する。

　（７）ＣＳ１～ＣＳ５は蓄積した秘匿メッセージを、それぞれの秘密鍵であるＣＳＳＫで解読を試みる。本実施の形態においては、秘匿メッセージはＣＳ４ＯＫで暗号化されている。従って、ＣＳ４のみがその秘匿メッセージを解読でき、ＣＳ４はその秘匿メッセージを保存する。ＣＳ４以外のＣＳは、その秘匿メッセージを解読できなかった時点で、その秘匿メッセージを蓄積したバッファから削除する。

　（ＣＳ４からＦＳへの送信及びＦＳの受信手順）
　（１）図２において、ＣＳ４にはＦＳ、及び２つのＣＬが接続されている。各ＣＬとＦＳは、ＣＳ４からブロードキャスト、又はＣＳ４に対しオンデマンドによりＣＳ４に蓄積された秘匿メッセージを受信する。そして、ＦＳは、図４に示す特定フィールドであるＡＲ１を自分の秘密鍵であるＦＳＳＫで解読を試み、解読できなければ自分宛の秘匿メッセージではないと判断する。
　（２）解読できた場合、ＦＳは、自分宛の秘匿メッセージであると判断し、これを取り込む。

　（３）秘匿メッセージは、例えば一定時間を経過した時点で、ＣＳ４から削除することが好ましい。なお、ＦＳ以外は、受け取ったメッセージ本文を解読できないことが好ましい。そのためには、秘匿メッセージの伝達内容であるメッセージ本文をＦＳの公開鍵であるＦＳＯＫにより暗号化し、それとともに暗号パスワードＰＸ１を生成し、前記メッセージに含めて送信することが好ましい。

　（送信元（ＣＬ１）への応答手順）
　本実施の形態であるＣＬ１に対する応答メッセージの送信手順は以下の通りである。
　秘匿メッセージに対し応答を必要とする場合は次のようにして行う。図４の秘匿メッセージのデータ構造に示す通り、秘匿メッセージの送信者であるＣＬ１は自分の秘匿アドレス（図４に示すＡＲ３）として、乱数ビット列（ランダムビット列）Ｒを自らの公開鍵ＣＬ１ＯＫにより暗号化し、秘匿メッセージ中に挿入している。また、ＣＬ１は自分が接続しているＣＳ２の秘匿アドレス（図４に示すＡＲ４）として、乱数ビット列Ｒを公開鍵ＣＳ２ＯＫにより暗号化し、秘匿メッセージ中に挿入している。

　なお、ＦＳは、ＣＬ１の秘匿アドレスＡＲ３（ＣＸ１，Ｈ）と、ＣＳ２の公開鍵であるＣＳ２ＯＫで乱数ビット列Ｒを暗号化し、符号列ＴＸ２を生成し、このＴＸ２とハッシュ値Ｈとからなる秘匿アドレスＡＲ４（ＴＸ２，Ｈ）を生成してもよい。

　以上により、匿名性を確保したまま応答先を指定することができる。また、ＣＬ１の送信したメッセージ本文に対する応答メッセージ本文を秘匿するには、ＣＬ１が送信してきたＰＸ１と同様に、例えば乱数によるパスワード作成し、それと応答メッセージ本文をＣＬ１ＯＫにより暗号化し、暗号化されたパスワードＰＸ２を応答メッセージに含めて送信すればよい。

　図２においては、応答メッセージはＦＳからＣＳ４に送信され、ＣＳ４によりＬＮＷを介して、ＣＳ２に送られる。
　ＣＳ２は、秘匿アドレスＡＲ４を自分の秘密鍵であるＣＳ２ＳＫで解読できる。その結果、応答メッセージは、ＣＳ２に接続するいずれかのＣＬ宛てであることがわかる。そこで、ＣＳ２は、ブロードキャスト、又はＣＳ２に接続する各ＣＬからのオンデマンドにより、応答メッセージを送信する。ＣＬ１は、秘匿アドレスＡＲ３を自分の公開鍵であるＣＬ１ＯＫで解読できることから自分宛の応答メッセージであると判断できる。

　（秘匿アドレス生成）
　以下に、図３によりＣＬ１からＦＳに送信する秘匿メッセージ中の秘匿アドレスＡＲ１、及びＦＳが接続するＣＳ４に対する秘匿アドレスＡＲ２の生成方法について説明する。

　まず、秘匿アドレスＡＲ１を次のように生成する。
　（１）使い捨てのランダムビット列Ｒを用意する。
　（２）ＭＤ５などの方法を用いて、ランダムビット列Ｒのハッシュ値Ｈを作成する。
　（３）ランダムビット列Ｒを送信先（受信者）であるＦＳの公開健ＦＳＯＫで暗号化し、それをＫＸ１とする。
　（４）ＫＸ１とＨとを組にして、秘匿アドレスＡＲ１=（ＫＸ１，Ｈ）とする。

　秘匿アドレスであるＡＲ１を受信者は解読できるが、受信者以外は解読できない。ＦＳは、以下の手順で自分が受信者であることを知る。
　(１）ＡＲ１中のＫＸ１を自分の秘密鍵で解読し、解読乱数ＲＤを得る。
　(２）その結果のハッシュ値ＨＤを求める。
　(３）ＡＲ１中のハッシュ値Ｈと上記ハッシュ値ＨＤが等しければ自分宛とみなす。

　図４に示すデータ構造では、ＴＣＰプロトコルに対応するＴＣＰヘッダの他に、可変長フィールドに対応するため、すべてのフィールドにフィールド長が宣言されていることが好ましい。

　各フィールドには、ＣＬ１からＣＳ４へ秘匿メッセージを渡すために必要となる秘匿アドレスであるＡＲ２（ＴＸ１，Ｈ）、送信先（受信者であるＦＳ）の秘匿アドレスであるＡＲ１（ＫＸ１，Ｈ）が挿入されている。また、ＦＳからＣＬ１に応答メッセージを戻すために、ＣＬ１が接続するＣＳ２の秘匿アドレスであるＡＲ４（ＴＸ２，Ｈ）、ＣＬ１に応答メッセージを渡すために必要な秘匿アドレスであるＡＲ３（ＣＸ１，Ｈ）が挿入されている。

　応答メッセージの応答メッセージ本文（ＣＬ１の送信メッセージ本文に対する回答）を、解読用のパスワードＰＸ１とともにＦＳの公開鍵ＦＳＯＫで暗号化することは好ましい。以上、ＣＬ１とＦＳとの秘匿メッセージの送受信について説明したが、ＦＳではなくＣＳ４に接続するＣＬとの秘匿メッセージの送受信であっても、上述した方法と同様の方法により、秘匿通信を行うことができる。

　（通信実験）
　図５は、本発明の実施の形態において、ＣＳより未読のメッセージのすべてをインターネットを介してＣＬに送信し、ＣＬが自分宛か否かを解読するために要した時間を測定した結果を示したグラフである。より具体的には、ＣＳに１０００通までの未読メッセージを蓄積し、ＣＬがこれを解読するのに要した時間を測定した結果である。以下に実験環境と測定結果を示す。

　（通信速度評価）
　インターネットを介した秘匿メッセージの送信から受信までのターンアラウンドメッセージ数を１０００通まで増加させていった場合の受信処理時間は、図５に示す通りである。

　（実験環境）
　（暗号化条件）
　暗号化方式ＲＳＡ（鍵長は１０２４ビット）。ハッシュアルゴリズムＳＨＡ１。
　メッセージ長暗号化前は１０３バイト、暗号化後は１１２バイト。
　メッセージの暗号化方式ＡＥＳ（鍵長は２５６ビット）。

　（ＰＣ等能力）
　クライアントＰＣ・ＮＥＣ・ＶｅｒｓａＰｒｏ（登録商標）
　ＣＰＵ　Ｐｅｎｔｉｕｍ（登録商標）Ｍ７４０　１．７３ＧＨｚ
　メモリ　ＥＣＣ無しＤＤＲ２－ＳＤＲＡＭ　ＰＣ２－４２００　１２８０ＭＢ
　ＯＳ　Ｗｉｎｄｏｗｓ（登録商標）Ｐｒｏｆｅｓｓｉｏｎａｌ（ＳＰ２）
　ＮＩＣ　１０００ＢＡＳＥ－Ｔ／１００ＢＡＳＥ－Ｔｘ／１０ＢＡＳＥ
　通信サーバ　Ｄｅ１１（登録商標）Ｄｉｍｅｎｓｉｏｎ１１００
　ＣＰＵ　Ｉｎｔｅｌ（登録商標）Ｐｅｎｔｉｕｍ（登録商標）４
　メモリ　ＤＤＲＳＤＲＡＭ　ＰＣ３２００
　０Ｓ　ＵｂｕｎｔｕＬｉｎｕｘ７．０４（登録商標）
　ＮＩＣ　１００ＢＡＳＥ－Ｔｘ／１０ＢＡＳＥ－Ｔ
　ネットワーク（ＨＵＢ）１００ＢＡＳＥ－ＴＸ

　（実験結果）
　図５の破線Ｌ１は、１０通中９通が自分宛のメッセージであった場合、実線Ｌ２は、１０通中１通が自分宛のメッセージであった場合を示す。処理時間は、メッセージ数の増加に比例して増加していく傾向が見られた。また、１０００通中１００通のメッセージが自分宛てであった場合でも、処理時間は最大約４秒であり、十分実用に耐えうることが判明した。

　（応用例１）
　本発明の第１の応用例として、公開掲示板システムへの応用が挙げられる。本応用例は、秘匿通信システムの応用として、掲示板システムヘ適用し本音で語ることができるようにしたシステムである。これは掲示板の管理者であっても掲示板への書き込みを行ったＣＬを特定できなくしたもので、例えば就職活動等を行う学生の企業への本音の意見、採用面接に対するクレーム等を扱う秘匿通信システムとして好適である。

　本応用例のシステムの概要を図６に示す。ここでＣＬは、学生、企業の担当者等に相当し、メール受付窓口となるＦＳは学生の就職活動、企業の採用活動を支援する組織に相当する。

　図６の公開掲示板Ｂに書き込まれた内容は、匿名でメール受付窓口（ＦＳに相当）に送られる。書き込まれた内容に問題がない場合はメッセージ番号とともに公開掲示板Ｂに掲示される。

　公開掲示板Ｂを見たＣＬは、非公開の質問、反対意見等を、メールにより公開されたメッセージ番号に対して送る。メッセージの内容に問題がなければ、そのメールは掲示される。しかし、問題がある場合は元のメッセージを送信者であるＣＬに、本発明の方法に基づいてＣＳを経由して返信され、メッセージの掲示は行われない。

　（応用例２）
　本発明の第２の応用例として、電子投票システムヘの応用が挙げられる。大規模な電子投票のシステムとしてはブラインド署名による方法が有望であるが、この方法では通信の匿名性を別途確保する必要がある。本発明の方法をブラインド署名と組み合わせれば、実用的な大規模電子投票システムが実現できる。図７に本発明の方法を適用した電子投票システムの概要を示す。従来から提案されているシステムは、図中に実線矢印で示した以下の手順からなる。

　（１）投票者は自らの投票内容を乱数でマスクした上で認証者に提出する（ルート３）。
　（２）認証者は投票者を認証した上で、投票内容に署名を施して返送する（ルート４）。
　（３）投票者は認証者から得た署名のマスクを取り外し、投票内容とともに投票管理者に提出する（ルート５）。ルート５においては、匿名性の確保が必要であり、このルートに本発明の方法を適用することができる。さらに本発明の匿名性を確保して情報の送受信ができるという特徴を活用すれば、以下のように投票方法を改善できる（図７の破線矢印を参照）。

　（４）投票時に投票確認を受け取ることができる（ルート６）。
　これによって、実際には投票を保留しながら締切後に「投票が受け付けられていない」と申し立てるような投票の成立妨害を防ぐことができる。投票結果の検証を締切後に行なえるため、投票の途中経過を公表する必要はなくなる。
　また、投票集計に不正があった場合、投票者の対応としては、受け取った投票確認を何らかの方法で公開（ルート７）すればよく、投票の秘密を侵される危険が少ない。

　（５）２重投票の検出において偶然による誤検出を避けるには、一意的な情報の振出しが必要になるが、本提案によれば、匿名性を保ちつつこれを実現できる（ルート１，ルート２）。

　なお、本発明の応用例は、インターネットなどの汎用回線に限定されるものではない。例えば、図５ではインターネットに適用する例としてＴＣＰヘッダを記載しているが、これに限定されるものではない。また、携帯電話のプロトコルなどへも原理的に応用可能であって、公開鍵、秘密鍵の組み合わせを利用することは、回線の種類に関係なく可能である。

　（変形例）
　本発明の方法では、すべてがネットワークで繋がれている必要はない。図８を例に説明する。図８は、基本的に図２と同じ構成であるが、違いはＣＳ４に情報入力ターミナルであるＴ１が接続されている点である。なお、ＦＳに情報入力ターミナルであるＴ２が接続される構成であってもよい。

　Ｔ１又はＴ２はオフライン用入力端末装置であって、フレキシブルディスク、メモリスティック、場合によってはキー入力など、情報提供者自らが訪れて提供したい情報とともに応答に必要な情報を入力するための端末装置である。

　情報入力ターミナルを、ネットワークと接続しないキャッシュディスペンサ、「赤ちゃんポスト」に設置すれば、匿名性を確保したまま、様々な問題に対し応答可能なシステムを構築することが可能である。

　本明細書は、２００８年１月４日出願の特願２００８－０００２１１に基づく。この内容はすべてここに含めておく。

Claims

　あらかじめ定めたルールによりメッセージを回送させるループネットワークに、自分の公開鍵を公開する複数の通信サーバと、前記通信サーバにそれぞれ接続する自分の公開鍵を公開する複数のクライアントとが接続する通信ネットワークを介して、前記クライアントのいずれかと他のクライアントとが、匿名でメッセージを送受信する秘匿通信方法において、
　前記メッセージを送信するクライアントは、ランダムビット列Ｒを生成し、該Ｒを、前記メッセージを受信するクライアントの公開鍵により暗号化した符号列ＫＸ１と、前記Ｒのハッシュ値Ｈを生成し、前記ＫＸ１と前記Ｈとを前記メッセージを受信するクライアントの秘匿アドレス１（ＫＸ１，Ｈ）とし、前記メッセージを受信するクライアントが接続する通信サーバの公開鍵により、前記Ｒを暗号化した符号列ＴＸ１を生成し、前記ＴＸ１と前記Ｈとにより秘匿アドレス２（ＴＸ１，Ｈ）を生成し、前記秘匿アドレス１（ＫＸ１，Ｈ）と前記秘匿アドレス２（ＴＸ１，Ｈ）とを含む前記メッセージを、自分が接続する通信サーバに送信し、
　各通信サーバは回送されてくる前記メッセージ中のＴＸ１を自分の秘密鍵により復号化し、そのハッシュ値と前記Ｈとを比較し、一致した場合は、配下のクライアントとに前記メッセージを送信し、
　前記配下のクライアントは、前記メッセージ中の前記ＫＸ１を自分の秘密鍵により復号化し、そのハッシュ値と前記Ｈとを照合し、一致した場合は自分宛のメッセージであるとして受信することを特徴とする秘匿通信方法。
　前記メッセージを送信するクライアントは、前記メッセージを送信する際に前記Ｒを自分の公開鍵で暗号化した符号列ＣＸ１を生成し、前記ＣＸ１と前記Ｈとからなる秘匿アドレス３（ＣＸ１，Ｈ）と、自分が接続する通信サーバの公開鍵で前記Ｒを暗号化し、符号列ＴＸ２を生成し、前記ＴＸ２とＨとからなる秘匿アドレス４（ＴＸ２，Ｈ）とを生成し、前記秘匿アドレス３（ＣＸ１，Ｈ）と前記秘匿アドレス４（ＴＸ２，Ｈ）とを前記メッセージに含めて送信することを特徴とする請求項１に記載の秘匿通信方法。
　前記メッセージを送信するクライアントは、前記メッセージを送信する際に、伝達内容であるメッセージ本文を、前記メッセージを受信するクライアントの公開鍵により暗号化するとともに、前記メッセージ本文のパスワードを暗号化し、前記暗号化されたパスワードＰＸ１を前記メッセージに含めて送信することを特徴とする請求項１又は２に記載の秘匿通信方法。
　前記メッセージを受信するクライアントは、自分宛のメッセージを受信した際に、前記ＰＸ１を自分の秘密鍵で復号化し、前記メッセージ本文を解読することを特徴とする請求項１から３のいずれかに記載の秘匿通信方法。
　前記メッセージを受信したクライアントは、前記メッセージに応答する応答メッセージを送信する際に、その伝達内容である応答メッセージ本文を、前記メッセージを送信したクライアントの公開鍵により暗号化するとともに、前記応答メッセージ本文のパスワードを暗号化し、前記暗号化されたパスワードＰＸ２を前記応答メッセージに含めて送信することを特徴とする請求項１から４のいずれかに記載の秘匿通信方法。
　前記クライアントは、自分が接続する通信サーバに対し、定期的にメッセージの取得を実行することを特徴とする請求項１から５のいずれかに記載の秘匿通信方法。