JP2004524759A - セキュリティが損なわれた投票を検知すること - Google Patents
セキュリティが損なわれた投票を検知すること Download PDFInfo
- Publication number
- JP2004524759A JP2004524759A JP2002575744A JP2002575744A JP2004524759A JP 2004524759 A JP2004524759 A JP 2004524759A JP 2002575744 A JP2002575744 A JP 2002575744A JP 2002575744 A JP2002575744 A JP 2002575744A JP 2004524759 A JP2004524759 A JP 2004524759A
- Authority
- JP
- Japan
- Prior art keywords
- vote
- confirmation
- voter
- voting
- selection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3218—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/46—Secure multiparty computation, e.g. millionaire problem
- H04L2209/463—Electronic voting
Abstract
投票者によって選択された(301)投票選択を伝送するためのメカニズムを説明する。本メカニズムは、投票選択を、クライアントだけに知られている第1の秘密で暗号化して(302)、第1の暗号化された投票構成要素を生成する。また、本メカニズムは、第1の秘密とは独立に選択されたクライアントだけに知られている第2の秘密で投票選択を暗号化して(303)、第2の暗号化された投票構成要素を生成することも行う。次に、本メカニズムは、第1の暗号化された投票構成要素と第2の暗号化された投票構成要素が同一の投票選択から暗号化されたことを示す証明を生成する(304)。本メカニズムは、第1の暗号化された投票構成要素および第2の暗号化された投票構成要素、ならびに証明を投票収集コンピュータシステムに送信する(311)。
Description
【技術分野】
【0001】
本発明は、票決自動化、および票決自動化のための暗号技術の分野を対象とする。
【背景技術】
【0002】
本出願は、2001年2月20日に出願した米国仮出願番号60/270,182の恩典を主張し、2002年2月11日に出願した米国仮出願番号 (弁理士整理番号32462−8006US02)の恩典を主張し、2000年3月24日に出願した米国特許出願番号09/534,836、2000年3月24日に出願した米国特許出願番号09/535,927、および2001年3月24日に出願した米国特許出願番号09/816,869それぞれの一部継続出願である。以上5つの出願のそれぞれは、参照により全体が組み込まれている。
【0003】
従来の手作業で行われる票決には、長年、不正確、非効率という問題が付きまとってきた。コンピュータを使用して票決をより正確に、より効率的にすることが可能であると広く提案されてきたが、コンピュータには、コンピュータ独自の落とし穴が伴う。電子データを改変するのはとても容易なので、多くの電子投票システムは、従来の投票システムでは発生する可能性がはるかに低いいくつかのタイプの障害を生じやすい。
【0004】
1つの部類のそのような障害は、投票者のコンピュータ、またはその他のコンピューティングデバイスの保全性が不明であることに関する。今日のネットワーク化されたコンピューティング環境では、どのマシンも悪意のあるソフトウェアから安全に保つことは極めて困難である。そのようなソフトウェアは、しばしば、悪意のある行為を実際に開始するまで、長期間にわたってコンピュータに隠れていることができる。その間、そのようなソフトウェアは、ネットワーク上の他のコンピュータに、またはそのネットワークと何らかの最小限のやり取りを行うコンピュータに自らを複製することができる。そのようなソフトウェアは、ユーザによって運ばれる永久媒体を介してネットワーク化されていないコンピュータに転送される可能性もある。
【0005】
電子秘密投票票決の状況では、この種の悪意のあるソフトウェアは、特に危険である。というのは、ソフトウェアの悪意のある行為が起動された際にも、その行為が依然として検知されず、したがって、放置されて、将来のさらなる票決を混乱させる可能性があるからである。制御の論理および精度試験(「L&A試験」)は、試験投票の処理を監視して、投票システムが適切に動作しているかどうかを判定し、これを使用して、投票者のコンピュータ内部に存在する悪意のあるソフトウェアの検出を試みることができる。しかし、L&A試験は、効果的に行うのが極めて困難である。というのは、悪意のあるソフトウェアは、「現実の」票と「試験」票を区別し、すべての「試験」票に影響を与えないままにすることができる可能性があるからである。投票の秘匿性の要件が、「現実の」票をセキュリティの欠損(compromise)に関して検査することを不可能にしているため、徹底的なL&A試験さえ、無駄に終わる可能性がある。この脅威と闘うという問題は、「クライアント信頼問題」として知られている。
【0006】
【特許文献1】
米国特許出願番号09/535,927
【非特許文献1】
CDS94
【非特許文献2】
CGS97
【非特許文献3】
R. Cramer, I. Damgard, B. Schoenmakers, Proofs of partial knowledge and simplified design of witness hiding protocols, Advances in Cryptology - CRYPTO '94, Lecture Notes in Computer Science, pp. 174-187, Springer-Verlag, Berlin, 1994
【発明の開示】
【発明が解決しようとする課題】
【0007】
クライアント信頼問題を解決するためのほとんどの既存の方法は、投票プラットフォームのセキュリティを確保する方法に重点を置いており、これにより、投票者のコンピュータが「クリーン」である、または「感染していない」という確実性をもたらす。残念ながら、許容可能なレベルのそのような確実性を実現するのに必要とされる専門知識と継続した念入りの作業のため、電子投票システムは、通常、コンピュータ専門家およびネットワーク専門家がクライアントコンピュータシステムを維持し、監視することが可能な投票サイトの管理された環境に押し込められている。これらの投票サイトシステムは、それでも、構成の容易さ、使用の容易さ、集計の効率、および費用の点でいくつかの利点を提供する。ただし、この手法は、電子商取引の世界で活用されている分散通信の多大な可能性を世に出すことができない。
【0008】
したがって、実質的にあらゆるコンピュータシステムをあらゆる場所で投票プラットフォームとして使用することを可能にする、投票プラットフォームを悪意のあるソフトウェアからセキュリティ保護することを必要としないクライアント信頼問題に対する解決策が、著しい有用性を有する。
【課題を解決するための手段】
【0009】
悪意のあるプログラムによってセキュリティの損なわれた投票を検知するためのソフトウェアメカニズム(「本メカニズム」)を提供する。本メカニズムによって使用される手法は、通常、投票コンピュータ上の悪意のあるソフトウェアの存在を除去しようとする試み、または防止しようとする試みを全く行わない。代わりに、この手法は、投票者が、投票者の投票の内容を、投票収集センタ自体に内容(投票選択)を明かすことなく、収集センタにおいて受け取られた際に検証する暗号法上、セキュアな方法を提供する。つまり、投票収集センタは、明確にどのような選択が受け取られたかを、その選択がどのようなものであるかを知ることなく、投票者に確証することができる。したがって、投票者は、投票者の意図する選択と、投票収集センタにおいて受け取られた実際の選択(伝送された投票済みの票のデジタルデータによって表される)の間に違いが存在すれば、それを検知することができる。さらに、各票決が、柔軟な1組のポリシー決定から選択を行い、受け取られた選択が意図する選択と異なる場合、投票者が、投票者の票を投票しなおすことが可能になる。
【0010】
本メカニズムをほぼ標準の票決設定の文脈で説明する。説明を容易にするため、本メカニズムの最初の説明は、票の上に1つの質問だけが存在し、また1組のK個の許容可能な回答α1,...,αK(そのうち1つは、「棄権」とすることが可能である)が存在するものと想定する。この状況において与えられている解決策を一般化して現実世界の票構成の大多数を扱うことは、単純明快な事柄であることが当分野の技術者には理解されよう。
【0011】
票決設定のいくつかの通常の暗号上の特徴は、以下のとおりである。
【0012】
1.票構成:1組の暗号法上の票決パラメータが前もって票決役員によって合意され、一般への公布またはその他のそのような手段によって公表される。重要なパラメータは、暗号群、ジェネレータ、票決公開鍵(election public key)、および決定符号化スキームである。より具体的には、これらは、以下のとおりである。
【0013】
(a)暗号群、Gは、pが大きい素数、または楕円曲線群であるZpであることが可能である。
【0014】
(b)ジェネレータ、g∈G。G=Zpである場合、gは、大きい素数オーダ(prime order)qを有するG*の(乗法)部分群<g>を生成しなければならない。楕円曲線の場合、<g>=Gであり、かつq=pであるものと想定する。
【0015】
(c)票決公開鍵、h∈<g>。
【0016】
(d)決定符号化スキーム:<g>の「回答代表(answer representatives)」への分割。つまり、<g>=S0∪S1∪...SKであり、ただし、Skは、<g>の2つ1組の互いに素な部分集合である。各1≦k≦Kに関して、任意のメッセージm∈Skは、αkに対する投票を表す。残りのメッセージm∈S0は、無効であると見なされる。通常、1≦k≦Kである各Skは、単一の要素μkから成る。ただし、これは、本質的には、要件ではない。ただし、スキームのセキュリティのため、μkは、何らかの公開のランダムソースを使用して、または許容可能な共有スキームによって独立にランダムに生成されることが一般に必要とされる。
【0017】
以下の説明は、統一性のために乗法群表記を使用するが、すべての構成は、楕円曲線を使用しても同等に良好に実施できることが明確であろう。
【0018】
2.投票提出:各投票者viは、自らの投票、つまり決定を、ElGamalペア
【0019】
【数1】
【0020】
として暗号化し、ただし、αi∈Zqが、投票者によってランダムに選択され、viが回答αkを選択することを所望する場合、mi∈Skである。この暗号化された値が、投票収集センタに伝送される(投票される)物であり、通常、viによって生成された付加されたデジタル署名を伴う。
【0021】
投票者viが、例えば、紙と鉛筆を使用して、以上の値を自身で計算したとすれば、秘密投票の普遍的に検証可能な票決システムを実施するのに以上のプロトコルで、基本的に十分である。(使用される集計方法に応じて、投票者の有効性の証明などのいくらかの追加の情報が必要とされる。)しかし、実際には、viは、何らかのユーザインターフェースを介して選択を行うだけであるので、投票者viが、送信されたビットの実際の値を観察し、そのビットが自身の意図する選択と矛盾していないかを調べることを当てにするのは現実的ではない。要するに、投票クライアントは、投票者が実際には「μk票」を提出することを所望したにもかかわらず、投票者の意図を無視して「μj票」を提出する可能性がある。
【0022】
投票者は、通常、投票収集センタにおいて受け取られた暗号化された投票が自身の選択と矛盾していないことを検証する何らかの手立てを必要とする。単に投票箱データを公開することは、妥当な解決策ではない。というのは、投票者ではなく、投票クライアントがαiを選択するからである。投票の秘匿性、および強制の理由から、この値は、「喪失」されなければならない。したがって、viの暗号化された票は、vi自身にも、他の人にとってと同様に不分明である。投票収集センタからの一般的な確認も、明らかに十分ではない。必要とされていることの一般的な特性は、以下の特性である。
【0023】
1.投票収集センタによって戻される確認ストリングは、受け取られたデータ(暗号化された票)に相関している必要がある。
【0024】
2.投票者および投票クライアントは、投票者が、受け取られた選択(つまり票)μkにCを排他的に結び付けることを可能にする特定の1組のステップを実行することができなければならない。
【0025】
3.投票者が「騙される」ような仕方で投票クライアントが振舞うことが不可能でなければならない。つまり、クライアントは、実際にはμ≠μkであるにもかかわらず、μkが受け取られたと投票者に思い込ませることができない。
【発明を実施するための最良の形態】
【0026】
このセクションでは、SVCと呼ぶことにするそのようなスキームを基本的な形態で提示する。後続のセクションでは、いくつかの改良形態および拡張形態を提供する。
【0027】
以下のステップが、通常、投票プロセスの一環として行われる。
【0028】
CC−1.vi「によって操作される」投票クライアントMiが、以前と同様に、viに代わって暗号化された票を生成する。この暗号化された票を、何らかの値mi∈<g>およびαi∈Zqに関して、
【0029】
【数2】
【0030】
で表す。
【0031】
CC−2.Miも、mi∈{μ1,...,μK}であることのゼロ知識の証明(zeroknowledge proof)である有効性の証明Piを構成するのに必要とされる。(そのような証明は、(例えば、非特許文献1参照)の技術を使用する離散対数(discrete logarithms)が等しいことの基本Chaum−Pederson証明から容易に構成することができる。特定の例については、(例えば、非特許文献2参照)を参照。)
CC−3.次に、Miが、Piと(署名付きの)暗号化された票(Xi,Yi)をともに投票収集センタに提出する。
【0032】
CC−4.暗号化された票を受け入れるのに先立って、投票収集センタは、まず、証明Piを検査する。Piの検証が失敗した場合、破損(corruption)が既に検知され、投票収集センタは、確認のストリングを全く発行しないか、または何らかのデフォルトのランダムなストリングを発行することができる。
【0033】
CC−5.Piの検証が成功したものと想定すると、投票収集センタは、値WiおよびUiを以下のとおり計算する。
【0034】
【数3】
ただし、Ki∈Gおよびβi∈Zqは、ランダムに独立に生成される(投票者ごとに)。
【0035】
CC−6.投票収集センタは、次に、(Ui,Wi)をMiに戻す。
【0036】
CC−7.クライアントMiが、
【0037】
【数4】
を計算し、このストリング(または、より高い可能性として、このストリングのハッシュH(Ci))を投票者viに表示する。
【0038】
投票者は、どの確認ストリングを探すべきかを知っている必要がある。これは、2つの異なる仕方で達せられる。最も単純明快なのは、投票者viが、投票収集センタからKiおよびβiを獲得するようにさせることである。これは、実行可能であり、ほとんどデータが転送されることを必要とせず、一部の実施形態によく適している可能性がある。しかし、他の状況では、Ci(またはH(Ci))を計算しなければならないため、魅力のない手法である可能性がある。この計算を行うようにMiに求めることは、本スキームのセキュリティを破壊するので、viは、さらなるコンピューティングデバイスにアクセスを有し、また独立の通信チャネルにもアクセスを有さなければならない。
【0039】
別法は、投票収集センタが、viに関するすべての可能な確認ストリングを計算し、独立したチャネルを介して確認辞書に相当する物をviに送信するようにさせることである。一般に、投票者viに関する確認辞書は、任意の妥当なフォーマットでレイアウトされた以下のテーブルから成る。
【0040】
【表1】
【0041】
ただし、Hは、票決の公開(公表された)ハッシュ関数(場合により、恒等関数)であり、
【0042】
【数5】
【0043】
である。
【0044】
もちろん、独立したチャネルが本当に独立していることを確実にするように、独立のチャネルを設計する際に注意が払われなければならない。理想的には、独立したチャネルは、投票ネットワークに接続されたデバイスからはアクセス不可能でなければならない。ただし、解決策が用意されている。Kiおよびβiは、票決に先立って生成することができるので、陸上便(surface mail)などの遅い配達方法さえ、辞書を伝送するのに使用することができる。
【0045】
本メカニズムをより完全に説明するため、本メカニズムの実施形態の一部の動作を示す例を説明する。以下は、秘密値確認交換(Secret Value Confirmation exchange)の詳細な例である。
【0046】
この例を最大限に明確にするため、使用するいくつかの基本的なパラメータ、例えば、票の上の質問の数や暗号パラメータのサイズは、実際に、通常、使用されるパラメータよりも相当に少ない。また、例示的な交換の態様を特定の順序で以下に説明するが、これらの態様は、様々な他の順序で行ってもよいことが、当分野の技術者には理解されよう。
【0047】
一部の電子票決プロトコルは、以下のような追加の特徴を含む。すなわち、
認証および監査のための投票者と当局の証明書(公開鍵)情報、
票ページスタイルパラメータ、
データ符号化の標準、
集計プロトコルおよび集計パラメータである。
【0048】
以上の特徴は、秘密値確認の実施とは独立なので、以上の特徴の詳細な説明は、この例には含めない。
【0049】
この例は、投票者の応答(回答)を単一のElGamalペアとして符号化する票決プロトコルを想定する。ただし、本明細書で見られる説明から、投票された票に対してELGamal暗号化を使用する他の票決プロトコルに合った秘密値確認交換を構成することも、自明な事柄である。例えば、本メカニズムの一部の実施形態は、(例えば、特許文献1参照)に説明される準同形の票決プロトコルを組み込んでいる。そのプロトコルでは、投票者の応答は、複数のElGamalペアによって表される。この例で使用される確認辞書は、それぞれの確認ストリングの連結を表示するように、または確認ストリングのシーケンスのハッシュを表示するように容易に変更される。
【0050】
管轄機関(jurisdiction)はまず、票決初期設定データについて合意しなければならない。票決初期設定データは、少なくとも、基本暗号化数値パラメータ、票(すなわち、1組の質問と許容可能な回答等)、および決定符号化スキームを含む。(使用される特定の票決プロトコルに妥当な追加のデータも含まれることが可能である。)
暗号パラメータ
群の算法(Group Arithmetic):整数乗算的なモジュラー算法(Integer multiplicative modular arithmetic)
素数モジュラス:p=47
部分群モジュラス:q=23
ジェネレータ:g=2
公開鍵:h=gs、ただし、sは秘密である。当該の例では、h=g12=7であるものとする。
【0051】
票
1つの質問
質問1テキスト:我々の旗をどの色にするべきですか(1つだけ選択してください)
回答/選択の数:4
*回答1テキスト:青
*回答2テキスト:緑
*回答3テキスト:赤
*回答4テキスト:私は棄権します
決定符号化スキーム
【0052】
【表2】
【0053】
確認を発行するのに先立ち、投票者に確認辞書を配布するのに先立つ何らかの時点で、投票収集センタ(または代理)が、各投票者Viに関してランダムで独立したβiおよびKiを生成する。確認辞書が、票の受取りより後に送られる場合、以上のパラメータは、投票者ごとに、それぞれの投票された票が受理された直後に生成されることが可能である。代替として、以上のパラメータは、票決に先立って生成されることが可能である。この例では、票収集代理が、投票された票を受理した直後と、それぞれの投票者の確認辞書を送る直前の両方で、以上のパラメータにアクセスを有する。
【0054】
公式の投票時間中の何らかの時点で、各投票者Vが、前述した票決初期設定データを獲得し、認証する。票決初期設定データは、何らかの票サーバに「票要求」を提出することによって獲得することができる。代替として、管轄機関は、票決初期設定データを「公表する」、つまり票決初期設定データがすべての投票者に都合よく利用可能であるようにする何らかの好都合な手段を有することが可能である。
【0055】
票決初期設定データから、Vは、期待されている応答が、2つの別個のデータ要素の特定のシーケンスの標準の符号化であることを決定することができる。2つの別個のデータ要素は、以下のとおりである(厳密な順序で)。
【0056】
選択暗号化
投票者の選択、つまり回答を示す(暗号化された形態で)0≦X、Y<47である1対の整数(X,Y)。回答は、妥当であるには、0≦α<23であり、かつμ∈{9,21,36,17}である(X,Y)=(2α,7αμ)の形態になっていなければならない。
【0057】
有効性の証明
(X,Y)が、前述した選択暗号化ステップにおいて説明した形態になっていることを示す有効性の証明。(この例では、この証明は、特定のシーケンスに配列された15個のモジュラー整数から成ることを以下に見る。)
この例では、Vは、「緑」に票を投じることを所望しているものと想定する。
【0058】
1.Vは、α∈Z23をランダムに生成する。この例では、α=5である。「緑」の符号化は21であるので、Vの選択の暗号化は、以下のとおり計算される。
【0059】
【数6】
このペアが、投票収集センタに送られなければならない物である。潜在的な脅威は、Vのコンピュータが、これらの値を改変しようと試みる可能性があることである。
【0060】
投票者V(または、より正確には、Vのコンピュータ)は、以下の条件のうちどれが実際に成立するかを明らかにすることなく、αの何らかの不特定の値に関して、以下の条件のうち1つが成立することを証明しなければならない。
【0061】
1.(X,Y)=(2α,7α×9)、すなわち、選択(投じられた票)が「青」である
2.(X,Y)=(2α,7α×21)、すなわち、選択(投じられた票)が「緑」である
3.(X,Y)=(2α,7α×36)、すなわち、選択(投じられた票)が「赤」である
4.(X,Y)=(2α,7α×17)、すなわち、選択(投じられた票)が「私は棄権します」である
これを達するのに使用することができる様々な標準の方法が存在する。例えば、(例えば、非特許文献3参照)を参照されたい。本メカニズムによって使用される秘密値確認技術は、前段落の抽象基準を満たすいずれの方法を使用しても同等に良好に機能する。そのような有効性証明方法の詳細を以下に提供しているが、本メカニズムの実施形態は、以下のタイプ以外のタイプの有効性証明を使用することも可能である。
【0062】
有効性証明の構成
(以下で、Vが行う必要があるそれぞれの行為または計算が、実際には、Vのコンピュータによって行われる。)
1.Vが、α2=α=5に設定する。
【0063】
2.Vが、ω2∈RZ23,r1,r3,r4∈RZ23,s1,s3,s4∈RZ23をすべてランダムに、独立に生成する。この例の場合、
【0064】
【数7】
であるものとする。
【0065】
3.Vが、対応する値を計算する。
【0066】
【数8】
【0067】
【数9】
4.Vが、公に指定されたハッシュ関数Hを使用してc∈Z23を以下のとおり計算する。
【0068】
【数10】
ハッシュ関数の多くの選択が可能であるため、この例では、単にランダムな値、例えば、
【0069】
【数11】
を選択することができる。(実際には、SHA1、またはMD5、または他のそのような標準のセキュアなハッシュ関数を使用してHを計算することができる。)
5.Vが、次数4−1=3の補間の多項式P(x)を計算する。Pを規定する特性は以下のとおりである。
【0070】
【数12】
【0071】
【数13】
【0072】
は、標準の多項式補間理論を使用して計算され、以下がもたらされる。
【0073】
【数14】
または
【0074】
【数15】
6.Vが、以下の値を計算する。
【0075】
【数16】
7.Vの有効性証明は、以下の12個の数
【0076】
【数17】
と以下の3つの数、
【0077】
【数18】
の厳密なシーケンスから成る。(Z0は、提出される必要がない。というのは、Z0は、公開のハッシュ関数Hを使用して提出されたその他のデータ要素から計算可能なためである。)
必要とされる選択暗号化(X,Y)、および対応する有効性の証明を計算した後、Vは、以上の要素を、標準の符号化フォーマットによって規定されるとおり、シーケンスで符号化する。結果のシーケンスが、Vの投票された票を形成する。(票を改変できないようにし、争う余地のないようにするため、Vは、自身の秘密署名鍵を使用してこの投票された票にデジタル署名を行うこともできる。Vの投票された票とVのデジタル署名の結果の組合せ(より正確には、これら2つの要素の標準の符号化)が、Vの署名済みの投票された票を形成する。最後に、各投票者が、自身の(オプションとして署名付きの)投票された票を、票を収集するデータセンタに返送する。
【0078】
前述したとおり、V(βおよびK)に関する投票者特有のランダムなパラメータが、投票収集センタにおいて用意されている。この例では、ランダムなパラメータは、以下のとおりである。
【0079】
【数19】
投票者の(オプションとして署名付きの)投票された票が投票収集センタにおいて受け取られた際、以下のステップが実行される。
【0080】
1.デジタル署名が検査されて、票の真正性、ならびに投票者の適格性が判定される。
【0081】
2.ステップ1において署名が正しく検証された場合、投票収集センタは、有効性の証明を検証する。この例で使用することを選択した特定のタイプの有効性証明の場合、この検証は、以下により構成される。
【0082】
(a)公開ハッシュ関数Hを使用してP(0)=Z0の値を計算する。
【0083】
【数20】
(Pの残りの係数z1,z2,z3は、Vの(オプションとして署名付きの)投票された票の提出の一部であることを思い起されたい。)
(b)各1≦j≦4に関して、以下の数式
【0084】
【数21】
の両辺が評価される。(この場合、前述したとおり、μjは、決定符号化スキームからとられる。)以上のいずれかが等しくないとき、検証は失敗である。その票は、受理されず、何らかの任意の拒否ストリング(指示)がVに送り返される。
【0085】
3.先行するステップが成功裡に行われたものと想定すると、返答ストリング(W,U)は、以下のとおり計算される。
【0086】
【数22】
このシーケンスにされたペアは、公開符号化フォーマットによって規定されるとおりに符号化され、Vに戻される。
【0087】
4.Vのコンピュータが、
【0088】
【数23】
を計算し、そのストリングをVに表示する。(代替として、プロトコルは、公開ハッシュ関数がCに対して計算され、結果のハッシュ値が表示されることを指定することができる。この例では、C自体が表示される。)Vのコンピュータが、「緑」以外の選択を提出しようと試みた場合、以上で計算されたCの値は、異なる物になる。さらに、Cの正しい値は、ディフィ−ヘルマン(Diffie−Hellman)問題を解決せずに、誤った値から計算することはできない。(本明細書で使用したpおよびqの小さい値の場合、その計算は可能である。ただし、「現実の」暗号パラメータの場合、Vのコンピュータは、その計算を行うことができない。)したがって、Vのコンピュータが、Vの選択に対応しない暗号化された票を提出した場合、Vのコンピュータが、確認を表示するものと予期される時点で行うことができるのは、2つのことだけである。コンピュータは、何かを表示するか、または何も表示しないことが可能である。何も表示されない場合、Vは、それを票が破損を生じたことの指示として受け止めることができる。何かが表示される場合、表示される物は、ほぼ確実に誤っており、この場合も、Vは、それを票が破損を生じたことの指示として受け止めることができる。
【0089】
5.次に、Vは、表示されたCの値を、選択「緑」(Vの意図する選択)に対応してVの確認辞書の中で見出される値と比較する。この時点で、Vは、自分の確認辞書をあらかじめ既に受け取っていること、または任意の独立したチャネルを介してコピーを獲得することが可能である。そのようなチャネルの例が、ファックス装置を使用することである。表示された値が、確認辞書の中の対応する確認ストリングに一致しない場合、破損が検知され、票決特有のポリシーに従って票が「投票しなおされる」ことが可能である。
【0090】
各投票者確認辞書は、投票収集センタによって計算される。というのは、前述したとおり、投票収集センタは、αおよびKという投票者特有の値の知識を有するエンティティだからである。考慮してきた投票者Vのケースでは、辞書は、以下のとおり計算される。
【0091】
【表3】
【0092】
SVCスキームを使用する際に本メカニズムによって提供されるセキュリティのレベルについて以下に説明する。Aを投票クライアント敵対者とし、∈0を、任意の所与のμ1,...,μKに関してAが有効性証明を偽造することができる確率の上限とする。(∈0は、取るに足らないことが分かっている。)
定理1 SVCスキームが、H=Idで実行されたものと想定する。1≦k1≠k2≦Kに設定する。何らかの∈>0に関して、Aが、確率∈で、
【0093】
【数24】
【0094】
を提出し、
【0095】
【数25】
【0096】
を表示し、ただし、この確率は、μ1,...,μK,g,h,βiおよびKiに関する値のすべての組合せを対象に一様にとられているものと想定する。すると、Aは、確率∈で、O(K)のさらなる作業によりディフィ−ヘルマン問題のランダムな実例を解決することができる。
【0097】
証明:Aに、X,Y,Z∈R<g>が与えられているものと想定する。Aは、すべてのk≠k2に関してCik1∈<g>およびμk∈<g>を独立に、ランダムに選び、
【0098】
【数26】
【0099】
およびμk2=μk1Zに設定することにより、票決およびSVC交換をシミュレートすることができる。票決パラメータおよび
【0100】
【数27】
【0101】
の上の結果の分布は、明らかに現実の票決から生じる分布と同一である。確率∈で、Aは、
【0102】
【数28】
【0103】
を表示することができ、したがって、
【0104】
【数29】
を計算することができる。したがって、logXC=βiloghZ=logXYlogXZおよびCが、トリプル(X,Y,Z)によって与えられるディフィ−ヘルマン問題の実例に対する解である。
【0105】
系1 やはり、SVCスキームがH=Idで実行されるものと想定する。
【0106】
【数30】
【0107】
と定める。何らかの∈1>0に関して、Aが、確率∈1で、k1≠k2を選択し、
【0108】
【数31】
【0109】
を提出し、
【0110】
【数32】
【0111】
を表示し、ただし、この確率は、μ1,...,μK,g,h,βiおよびKiに関する値のすべての組合せを対象に一様にとられているものと想定する。すると、Aは、確率∈1/(K−1)で、O(K)のさらなる作業によりディフィ−ヘルマン問題のランダムな実例を解決することができる。
【0112】
証明:定理1の論証に従うが、K−1個の独立したディフィ−ヘルマン問題の少なくとも1つに対する解を見出す問題と比較する。
【0113】
系2 ∈DHをAがランダムなディフィ−ヘルマンの実例を解決することができる確率の上限とする。すると、H=Idである場合、Aが投票者の選択とは異なる票を提出するが、正しい確認ストリングを表示することができる確率の上限は、∈0+(K−1)∈DHである。
【0114】
ハッシュ関数Hが自明ではない場合、Hの特性についての相当な特定の知識なしに、計算上のディフィ−ヘルマン問題と比較することができる望みはない。Hの特定の選択でスキームのセキュリティを考慮するのではなく、Hは無視できるほどの衝突確率しか有さないものと想定し、代わりに、セキュリティを決定ディフィ−ヘルマン問題(Decision Diffie−Hellman Problem)と比較する。考慮するこの問題の変種は、次のとおりである。Aにタプルのシーケンス(Xn,Yn,Zn,Cn)が与えられ、ただし、Xn,Yn,Znは、独立にランダムに生成される。確率1/2で、Cnは、ディフィ−ヘルマンの実例(Xn,Yn,Zn)に対する解であり、確率1−1/2=1/2で、Cnは、ランダムに、独立に生成される。Aは、確率1/2+∈で、質問
【0115】
【数33】
【0116】
に回答できる場合、∈−DDHのアドバンテージを有するものとされる。
【0117】
定理1、ならびに系1および2は、H≠Idであるケースにおいて明白な類似物を有する(Hは無視できるほどの衝突確率しか有さないものとだけ想定して)。言明と証明はともに、わずかな違いだけで構成され、したがって、以下のとおりにだけ要約する。
【0118】
系3 ∈DDHをAのDDHアドバンテージの上限とする。すると、Hが無視できるほどの衝突確率しか有さない任意のハッシュ関数である場合、Aが、投票者の選択とは異なる票を提出するが、正しい確認ストリングを表示することができる確率の上限は、∈0+(K−1)∈DDHである。
【0119】
SVCは、敵対者Aが、投票収集センタも支配している場合、全く保護を提供しない可能性がある。これが該当する場合、Aは、Kiおよびβiにアクセスを有し、したがって、自ら選んだ任意の有効な確認ストリングを容易に表示することができる。これが生じる可能性は低いように思われる。というのは、投票収集センタは、そのような活動が露顕した場合、否認しがたく連座させられるからである。しかしながら、この点で投票収集センタを信頼することが容認できない場合、「確認の責任」を不定の多数の権限者の間で配分することが可能である。
【0120】
確認の責任を配分するのに、1≦j≦Jである各権限者Ajが、(投票者viに関して
)独立したランダムなKijおよびβijを生成する。権限者は、独立したランダムなK
ijおよびβijを2つの一般的な方法によって結合することができる。
【0121】
1.連結 投票者の確認ストリングが、J名の権限者の各名に対応する個々の確認ストリング(前のセクションの場合と同様に別々に計算された)のあらかじめ指定された順序の連結として計算される。この場合、確認は、サブストリングのすべてが正しく検証された場合にだけ、成功である。
【0122】
2.信頼されるサーバまたは信頼されるプリンタ 単一の集中サーバ、または単一の集中プリンタを信頼することが容認できる場合、複数の確認ストリングを単に計算することによって結合し、同一サイズの1つの確認ストリングにすることができる。
【0123】
【数34】
これは、投票者に伝送されなければならない確認データの量を削減するという利点を有するが、システムに関して攻撃の集中ポイントを生じさせるという代償を払う。
【0124】
独立したチャネルを介して投票者に送信されなければならないデータのサイズを小さくすることは、常に望ましい。セクション3で説明したとおり、確認辞書は、最新の通信技術の標準に照らして既に小さいが、伝送されるデータをさらに減らすことができれば、費用の点で有利である可能性がある。前述したとおり、1つの手法は、秘密のKiおよびβiを投票者に直接に送ることであるが、これは、「投票者の頭脳で」または「紙の上で」実行されるには重すぎる計算上の負担を投票者に負わせるという欠点を有する。SVCスキームの以下の変種は、両方の目標、すなわち、独立した通信チャネルを介するデータと、投票者による「頭の中での計算」をともに少なくすることを達する。これには、代償、すなわち、クライアントの敵対者が投票者を欺くことができる確率が高まることが伴うが、これは、全体的な票決の観点からは全く容認できる可能性がある。敵対者が検知されない確率が、例えば、1/2である場合でも、敵対者が投票のかなりの割合を変更するには、統計的に有意な割合の投票者によって敵対者が検知される確率は、非常に高くなる。序論で説明したとおり、是正措置が可能である。
【0125】
その考えは、疑いのあるクライアントを介して投票者に確認ストリングの完全なセットを送り届けるが、ランダムに置換された順序でこれを行うことである。すると、投票者が必要とする追加の情報は、使用された順列だけである。これでは、このシナリオでは、完全に十分ではない。というのは、すべての確認ストリングが用意されているので、敵対者は、単に消去のプロセスによっていくらかのアドバンテージを得ることができる。(K=2であるケースを考慮するのが特に役立つ。)セキュリティを高めるため、やはり置換されたいくつかのランダムな確認ストリングを辞書に含める。
【0126】
サブセクション3.1におけるステップは、前の場合と同様に実行される。さらに、投票収集が、クライアントMiに「ランダム化された辞書」Diを送る。以上は、投票収集センタCによって以下のとおり生成される。
【0127】
RD−1.K(投票者特有の)確認ストリング
【0128】
【数35】
は、前の場合と同様に計算される。
【0129】
RD−2.さらに、L個の追加のストリングが以下のとおり生成され、
【0130】
【数36】
ただし、e1,...,eLは、Zqにおいて独立に、ランダムに生成される。
【0131】
RD−3.ランダムな順列、σi∈ΣK+Lが生成される。
【0132】
RD−4.Cが、1≦j≦K+Lに関して、Qij=Siσi(j)に設定し、Diをストリングのシーケンス(Qi1,...Qi(K+L))になるように設定する。
【0133】
Cが、独立したチャネルを介して、σiの何らかの「人間が読むことができる」表現をviに送った場合、viは、単に適切な索引で確認ストリングを見つけることによって自身の票を検証することができる。このスキームをSVCOで表す。
【0134】
SVCOのセキュリティのレベルに関して、次の形態のディフィ−ヘルマン決定問題を考慮されたい。Aに、タプルのシーケンス(Xn,Yn,Zn,Cn,Dn)が与えられ、ただし、Xn,Yn,Znは、独立にランダムに生成される。Rnが、独立にランダムに生成されるものとし、またOnを
【0135】
【数37】
【0136】
に対する解とする。確率1/2で、(Cn,Dn)=(On,Rn)であり、また確率1−1/2=1/2で、(Cn,Dn)=(Rn,On)である。Aは、確率1/2+∈で、質問
【0137】
【数38】
【0138】
に回答することができる場合、∈−DDHPのアドバンテージを有するとされる。つまり、Aは、問題の最初のバージョンと同じ質問に回答しなければならないが、より多くの情報を利用できるため、問題はより容易である可能性がある。
【0139】
定理2 ∈DDHPをAのDDHPアドバンテージの上限とし、またHを無視できるほどの衝突確率しか有さない任意のハッシュ関数とする。SVCOスキームの下で、Aが、投票者の選択とは異なる票を提出するが、正しい確認ストリングを表示することができる確率の上限は、以下のとおりである。
【0140】
【数39】
証明:定理1の証明の場合と同様に、Aは、票決およびSVCO交換をシミュレートすることができる。ただし、この場合、Aは、SVCスキームにおいては用意されていなかった確認ストリングのリストもシミュレートしなければならない。固定されたk1、k2に関して、Aは、
【0141】
【数40】
【0142】
をランダムに選ぶことができ、またすべてのk≠k2に関して、θk∈Zqを独立にランダムに選ぶことができる。次に、Aは、
【0143】
【数41】
【0144】
に設定する。k≠k1,k2に関して、Aは、
【0145】
【数42】
【0146】
に設定する。Aは、
【0147】
【数43】
【0148】
に設定し、L個の追加のランダムなμlおよびl−1個の追加のCilをランダムに生成する。最後に、Aは、
【0149】
【数44】
【0150】
に設定し、最後に残っている
【0151】
【数45】
【0152】
に設定する。前の場合と同様に、正しい確認ストリングを見出すことは、値Cn、Dnのどれが正しいディフィ−ヘルマン解であるかを決定することと等価である。すべての順列を一様の確率で平均すると、次の結果がもたらされる。
【0153】
以下に、以上に説明した秘密投票確認スキームに対する1つの可能な代案を説明する。2つのスキーム間のセキュリティのレベルは基本的に等価である。
【0154】
1.票決公開鍵hに加えて、投票収集が、
【0155】
【数46】
【0156】
の形態の別の公開鍵を公表し、ただし、d∈Zqは、投票収集センタだけに知られている秘密である。
【0157】
2.クライアントMiが、前の場合と同様に、viに代わって暗号化された票を提出するが、票は、hと
【0158】
【数47】
【0159】
で冗長に暗号化される。第2の暗号化を
【0160】
【数48】
で表す。ただし、
【0161】
【数49】
【0162】
は、αiとは独立に選択される。
【0163】
3.Miは、2つが同一の値の暗号化であることの有効性の単純な証明(基本的に、単一のChaum−Pedersen証明)も構成する。
【0164】
4.有効性の証明が投票収集センタにおいて合格しなかった場合、前の場合と同様に破損が検知される。
【0165】
5.投票収集センタが、ランダムなKi∈<g>を選択し、βi∈Zqであり、以下を計算する。
【0166】
【数50】
6.投票収集センタが、
【0167】
【数51】
【0168】
およびViをMiに戻す。
【0169】
7.Miが、
【0170】
【数52】
【0171】
を以下の数式
【0172】
【数53】
によって計算し、その値(またはH(Si))を投票者viに表示する。
【0173】
8.投票者が、前の場合と同様に確認辞書を要求し、表示された値に照らしてチェックする。
【0174】
破損が検知された場合、前の場合と同様に是正措置がとられる。
【0175】
前記の本メカニズムの説明は、すべての投票者に関して単一のd(したがって、単一の
【0176】
【数54】
【0177】
)を使用し、票決に先立ってこの値を公表することを述べている。
【0178】
代替として、投票収集センタ(または分散した1組の「確認権限者」)が、各投票者viに関して独立したランダムなdi(また、したがって、
【0179】
【数55】
【0180】
も)発行する。値diは、常に秘密にしておかれるが、値
【0181】
【数56】
【0182】
は、viに伝えられる。
【0183】
一実施形態では、本メカニズムは、
【0184】
【数57】
【0185】
を以下のとおりviに伝える。
【0186】
A−1 viが、投票収集センタに接触し、vi自身を認証する。
【0187】
A−2 認証が成功したものと想定すると、投票収集センタは、
1.diをランダムに生成し、
2.
【0188】
【数58】
【0189】
を計算し、
3.
【0190】
【数59】
【0191】
をviに送る。
【0192】
A−3 次に、投票者viが、
【0193】
【数60】
【0194】
の代わりに
【0195】
【数61】
【0196】
を使用して前述したとおりに事を進める。
【0197】
別の実施形態では、本メカニズムは、
【0198】
【数62】
【0199】
を以下のとおりviに伝える。
【0200】
B−1 viが、投票収集センタに接触する(また、オプションとして、vi自らを認証する)
B−2 viが、投票選択miを行い、暗号化された票
【0201】
【数63】
【0202】
を戻す。
【0203】
B−3 投票収集センタが、この時点で、
1.diをランダムに生成し、
2.
【0204】
【数64】
【0205】
を計算し、
3.
【0206】
【数65】
【0207】
をviに送る。
【0208】
B−4 次に、投票者viが、
1.miの第2の暗号化を
【0209】
【数66】
【0210】
として生成し、
2.第1の暗号化および第2の暗号化が同一の投票選択miの暗号化であることを示す同じ有効性の証明を生成し、
3.第2の暗号化と有効性の証明をともに投票収集代理に送る。
【0211】
B−5 確認プロセスの残りは、前述したのと同様に進められる。
【0212】
図1〜3は、本メカニズムのある態様を示している。図1は、本メカニズムが動作する通常の環境を示す高レベルブロック図である。このブロック図は、いくつかの投票者コンピュータシステム110を示しており、コンピュータシステム110のそれぞれが、投票者により、票を提出し、票の破損されていない受領を検証するのに使用されることが可能である。投票者コンピュータシステムのそれぞれは、インターネット120を介して投票収集センタコンピュータシステム150に接続される。ただし、投票者コンピュータシステムは、インターネット以外のネットワークによって投票収集センタコンピュータシステムに接続することも可能であることが、当分野の技術者には理解されよう。本メカニズムは、投票者コンピュータシステムからの票を投票収集センタコンピュータシステムに伝送し、投票収集センタコンピュータシステムは、暗号化された投票確認を戻す。各投票者コンピュータシステムにおいて、本メカニズムは、この暗号化された投票確認を使用して、提出された票が破損しているかどうかを判定する。好ましい実施形態を前述した環境に関して説明しているが、本メカニズムは、単一のモノリシック(monolithic)コンピュータシステム、ならびに様々な仕方で接続されたコンピュータシステム群または同様のデバイス群の様々な他の組合せを含む様々な他の環境においても実施できることが、当分野の技術者には理解されよう。
【0213】
図2は、コンピュータシステム110および130などの、本メカニズムを実行するコンピュータシステムおよびその他のデバイスの少なくともいくつかに、通常、組み込まれる構成要素のいくつかを示すブロック図である。これらのコンピュータシステムおよびデバイス200は、コンピュータプログラムを実行するための1つまたは複数の中央処理装置(「CPU」)201と、プログラムおよびデータが使用されている間、そのプログラムおよびデータを記憶するためのコンピュータメモリ202と、プログラムおよびデータを持続的に記憶するためのハードドライブなどの持続記憶デバイス203と、コンピュータ可読媒体上に記憶されたプログラムおよびデータを読み取るためのCD−ROMドライブなどのコンピュータ可読媒体ドライブ204と、インターネットを介するなどしてコンピュータシステムを他のコンピュータシステムに接続するためのネットワーク接続205とを含む。前述したとおりに構成されたコンピュータシステムが、好ましくは、本メカニズムの動作をサポートするのに使用されるが、本メカニズムは、様々なタイプおよび様々な構成の、様々な構成要素を有するデバイスを使用して実施できることが、当分野の技術者には理解されよう。
【0214】
図3は、セキュリティが損なわれた票を検知するために本メカニズムによって通常、行われるステップを示す流れ図である。本メカニズムは、これらのステップの適切なスーパーセットおよびサブセット、これらのステップの並べ替え、およびいくつかのステップが他のコンピューティングデバイスによって行われるセットのステップを含め、図示したステップとは相違する1組のステップを行うことも可能であることが、当分野の技術者には理解されよう。
【0215】
ステップ301で、投票者コンピュータシステム上で、本メカニズムは、票を形成するために、投票者によって選択された投票選択を符号化する。ステップ302で、本メカニズムは、この票を暗号化する。いくつかの実施形態では、暗号化された票は、票決公開鍵、および投票者コンピュータシステム上に保持される秘密を使用して生成されるElGamalペアである。ステップ303で、本メカニズムは、オプションとして、投票者に所属する秘密鍵で票に署名する。ステップ304で、本メカニズムは、暗号化された票が、有効な投票選択が選択された票の暗号化であることを示す有効性証明を構成する。ステップ305で、本メカニズムは、暗号化された署名付きの票、および有効性証明を投票収集センタコンピュータシステムに伝送する。
【0216】
ステップ321で、本メカニズムは、投票収集センタコンピュータシステムにおいてこの伝送を受信する。ステップ322で、本メカニズムは、受信された有効性証明を検証する。ステップ323で、有効性証明が成功裡に検証された場合、本メカニズムは、324に進み、成功裡に検証されなかった場合、本メカニズムは、ステップ324に進まない。ステップ324で、本メカニズムは、暗号化された票の暗号化された確認を生成する。本メカニズムは、票を解読することなく、この確認を生成する。票を解読することは、票を暗号化するのに使用された秘密が利用できない投票収集センタコンピュータシステムにおいては、通常、不可能である。ステップ325で、本メカニズムは、暗号化された確認331を投票者コンピュータシステムに伝送する。
【0217】
ステップ341で、本メカニズムは、投票者コンピュータシステムにおいて暗号化された投票確認を受信する。ステップ342で、本メカニズムは、投票者コンピュータシステム上に保持される秘密を使用して、暗号化された投票確認を解読する。ステップ343で、本メカニズムは、解読された投票確認をユーザが閲覧するために表示する。ステップ344で、表示された投票確認が、投票者が所有する確認辞書によって投票者が選択した投票選択に翻訳された場合、本メカニズムは、ステップ345に進み、翻訳されなかった場合、本メカニズムは、ステップ346に進む。ステップ345で、本メカニズムは、投票者の票が破損していないと判定し、一方、ステップ346で、本メカニズムは、投票者の票が破損していると判定する。破損している場合、本メカニズムの実施形態は、ユーザが、投票者の票を取り消し、提出しなおすのを助ける。
【0218】
前述した本メカニズムは、様々な仕方で簡単に適合させること、または拡張することが可能であることが、当分野の技術者には理解されよう。以上の説明は、好ましい実施形態を参照しているが、本発明の範囲は、特許請求の範囲、および特許請求の範囲に記載される構成要件だけによって規定される。
【図面の簡単な説明】
【0219】
【図1】本メカニズムが動作する通常の環境を示す高レベルブロック図である。
【図2】本メカニズムが実行されるコンピュータシステムおよびその他のデバイスの少なくともいくつかに、通常、組み込まれる構成要素のいくつかを示すブロック図である。
【図3】セキュリティが損なわれた票を検知するために本メカニズムによって通常、行われるステップを示す流れ図である。
【0001】
本発明は、票決自動化、および票決自動化のための暗号技術の分野を対象とする。
【背景技術】
【0002】
本出願は、2001年2月20日に出願した米国仮出願番号60/270,182の恩典を主張し、2002年2月11日に出願した米国仮出願番号 (弁理士整理番号32462−8006US02)の恩典を主張し、2000年3月24日に出願した米国特許出願番号09/534,836、2000年3月24日に出願した米国特許出願番号09/535,927、および2001年3月24日に出願した米国特許出願番号09/816,869それぞれの一部継続出願である。以上5つの出願のそれぞれは、参照により全体が組み込まれている。
【0003】
従来の手作業で行われる票決には、長年、不正確、非効率という問題が付きまとってきた。コンピュータを使用して票決をより正確に、より効率的にすることが可能であると広く提案されてきたが、コンピュータには、コンピュータ独自の落とし穴が伴う。電子データを改変するのはとても容易なので、多くの電子投票システムは、従来の投票システムでは発生する可能性がはるかに低いいくつかのタイプの障害を生じやすい。
【0004】
1つの部類のそのような障害は、投票者のコンピュータ、またはその他のコンピューティングデバイスの保全性が不明であることに関する。今日のネットワーク化されたコンピューティング環境では、どのマシンも悪意のあるソフトウェアから安全に保つことは極めて困難である。そのようなソフトウェアは、しばしば、悪意のある行為を実際に開始するまで、長期間にわたってコンピュータに隠れていることができる。その間、そのようなソフトウェアは、ネットワーク上の他のコンピュータに、またはそのネットワークと何らかの最小限のやり取りを行うコンピュータに自らを複製することができる。そのようなソフトウェアは、ユーザによって運ばれる永久媒体を介してネットワーク化されていないコンピュータに転送される可能性もある。
【0005】
電子秘密投票票決の状況では、この種の悪意のあるソフトウェアは、特に危険である。というのは、ソフトウェアの悪意のある行為が起動された際にも、その行為が依然として検知されず、したがって、放置されて、将来のさらなる票決を混乱させる可能性があるからである。制御の論理および精度試験(「L&A試験」)は、試験投票の処理を監視して、投票システムが適切に動作しているかどうかを判定し、これを使用して、投票者のコンピュータ内部に存在する悪意のあるソフトウェアの検出を試みることができる。しかし、L&A試験は、効果的に行うのが極めて困難である。というのは、悪意のあるソフトウェアは、「現実の」票と「試験」票を区別し、すべての「試験」票に影響を与えないままにすることができる可能性があるからである。投票の秘匿性の要件が、「現実の」票をセキュリティの欠損(compromise)に関して検査することを不可能にしているため、徹底的なL&A試験さえ、無駄に終わる可能性がある。この脅威と闘うという問題は、「クライアント信頼問題」として知られている。
【0006】
【特許文献1】
米国特許出願番号09/535,927
【非特許文献1】
CDS94
【非特許文献2】
CGS97
【非特許文献3】
R. Cramer, I. Damgard, B. Schoenmakers, Proofs of partial knowledge and simplified design of witness hiding protocols, Advances in Cryptology - CRYPTO '94, Lecture Notes in Computer Science, pp. 174-187, Springer-Verlag, Berlin, 1994
【発明の開示】
【発明が解決しようとする課題】
【0007】
クライアント信頼問題を解決するためのほとんどの既存の方法は、投票プラットフォームのセキュリティを確保する方法に重点を置いており、これにより、投票者のコンピュータが「クリーン」である、または「感染していない」という確実性をもたらす。残念ながら、許容可能なレベルのそのような確実性を実現するのに必要とされる専門知識と継続した念入りの作業のため、電子投票システムは、通常、コンピュータ専門家およびネットワーク専門家がクライアントコンピュータシステムを維持し、監視することが可能な投票サイトの管理された環境に押し込められている。これらの投票サイトシステムは、それでも、構成の容易さ、使用の容易さ、集計の効率、および費用の点でいくつかの利点を提供する。ただし、この手法は、電子商取引の世界で活用されている分散通信の多大な可能性を世に出すことができない。
【0008】
したがって、実質的にあらゆるコンピュータシステムをあらゆる場所で投票プラットフォームとして使用することを可能にする、投票プラットフォームを悪意のあるソフトウェアからセキュリティ保護することを必要としないクライアント信頼問題に対する解決策が、著しい有用性を有する。
【課題を解決するための手段】
【0009】
悪意のあるプログラムによってセキュリティの損なわれた投票を検知するためのソフトウェアメカニズム(「本メカニズム」)を提供する。本メカニズムによって使用される手法は、通常、投票コンピュータ上の悪意のあるソフトウェアの存在を除去しようとする試み、または防止しようとする試みを全く行わない。代わりに、この手法は、投票者が、投票者の投票の内容を、投票収集センタ自体に内容(投票選択)を明かすことなく、収集センタにおいて受け取られた際に検証する暗号法上、セキュアな方法を提供する。つまり、投票収集センタは、明確にどのような選択が受け取られたかを、その選択がどのようなものであるかを知ることなく、投票者に確証することができる。したがって、投票者は、投票者の意図する選択と、投票収集センタにおいて受け取られた実際の選択(伝送された投票済みの票のデジタルデータによって表される)の間に違いが存在すれば、それを検知することができる。さらに、各票決が、柔軟な1組のポリシー決定から選択を行い、受け取られた選択が意図する選択と異なる場合、投票者が、投票者の票を投票しなおすことが可能になる。
【0010】
本メカニズムをほぼ標準の票決設定の文脈で説明する。説明を容易にするため、本メカニズムの最初の説明は、票の上に1つの質問だけが存在し、また1組のK個の許容可能な回答α1,...,αK(そのうち1つは、「棄権」とすることが可能である)が存在するものと想定する。この状況において与えられている解決策を一般化して現実世界の票構成の大多数を扱うことは、単純明快な事柄であることが当分野の技術者には理解されよう。
【0011】
票決設定のいくつかの通常の暗号上の特徴は、以下のとおりである。
【0012】
1.票構成:1組の暗号法上の票決パラメータが前もって票決役員によって合意され、一般への公布またはその他のそのような手段によって公表される。重要なパラメータは、暗号群、ジェネレータ、票決公開鍵(election public key)、および決定符号化スキームである。より具体的には、これらは、以下のとおりである。
【0013】
(a)暗号群、Gは、pが大きい素数、または楕円曲線群であるZpであることが可能である。
【0014】
(b)ジェネレータ、g∈G。G=Zpである場合、gは、大きい素数オーダ(prime order)qを有するG*の(乗法)部分群<g>を生成しなければならない。楕円曲線の場合、<g>=Gであり、かつq=pであるものと想定する。
【0015】
(c)票決公開鍵、h∈<g>。
【0016】
(d)決定符号化スキーム:<g>の「回答代表(answer representatives)」への分割。つまり、<g>=S0∪S1∪...SKであり、ただし、Skは、<g>の2つ1組の互いに素な部分集合である。各1≦k≦Kに関して、任意のメッセージm∈Skは、αkに対する投票を表す。残りのメッセージm∈S0は、無効であると見なされる。通常、1≦k≦Kである各Skは、単一の要素μkから成る。ただし、これは、本質的には、要件ではない。ただし、スキームのセキュリティのため、μkは、何らかの公開のランダムソースを使用して、または許容可能な共有スキームによって独立にランダムに生成されることが一般に必要とされる。
【0017】
以下の説明は、統一性のために乗法群表記を使用するが、すべての構成は、楕円曲線を使用しても同等に良好に実施できることが明確であろう。
【0018】
2.投票提出:各投票者viは、自らの投票、つまり決定を、ElGamalペア
【0019】
【数1】
として暗号化し、ただし、αi∈Zqが、投票者によってランダムに選択され、viが回答αkを選択することを所望する場合、mi∈Skである。この暗号化された値が、投票収集センタに伝送される(投票される)物であり、通常、viによって生成された付加されたデジタル署名を伴う。
【0021】
投票者viが、例えば、紙と鉛筆を使用して、以上の値を自身で計算したとすれば、秘密投票の普遍的に検証可能な票決システムを実施するのに以上のプロトコルで、基本的に十分である。(使用される集計方法に応じて、投票者の有効性の証明などのいくらかの追加の情報が必要とされる。)しかし、実際には、viは、何らかのユーザインターフェースを介して選択を行うだけであるので、投票者viが、送信されたビットの実際の値を観察し、そのビットが自身の意図する選択と矛盾していないかを調べることを当てにするのは現実的ではない。要するに、投票クライアントは、投票者が実際には「μk票」を提出することを所望したにもかかわらず、投票者の意図を無視して「μj票」を提出する可能性がある。
【0022】
投票者は、通常、投票収集センタにおいて受け取られた暗号化された投票が自身の選択と矛盾していないことを検証する何らかの手立てを必要とする。単に投票箱データを公開することは、妥当な解決策ではない。というのは、投票者ではなく、投票クライアントがαiを選択するからである。投票の秘匿性、および強制の理由から、この値は、「喪失」されなければならない。したがって、viの暗号化された票は、vi自身にも、他の人にとってと同様に不分明である。投票収集センタからの一般的な確認も、明らかに十分ではない。必要とされていることの一般的な特性は、以下の特性である。
【0023】
1.投票収集センタによって戻される確認ストリングは、受け取られたデータ(暗号化された票)に相関している必要がある。
【0024】
2.投票者および投票クライアントは、投票者が、受け取られた選択(つまり票)μkにCを排他的に結び付けることを可能にする特定の1組のステップを実行することができなければならない。
【0025】
3.投票者が「騙される」ような仕方で投票クライアントが振舞うことが不可能でなければならない。つまり、クライアントは、実際にはμ≠μkであるにもかかわらず、μkが受け取られたと投票者に思い込ませることができない。
【発明を実施するための最良の形態】
【0026】
このセクションでは、SVCと呼ぶことにするそのようなスキームを基本的な形態で提示する。後続のセクションでは、いくつかの改良形態および拡張形態を提供する。
【0027】
以下のステップが、通常、投票プロセスの一環として行われる。
【0028】
CC−1.vi「によって操作される」投票クライアントMiが、以前と同様に、viに代わって暗号化された票を生成する。この暗号化された票を、何らかの値mi∈<g>およびαi∈Zqに関して、
【0029】
【数2】
で表す。
【0031】
CC−2.Miも、mi∈{μ1,...,μK}であることのゼロ知識の証明(zeroknowledge proof)である有効性の証明Piを構成するのに必要とされる。(そのような証明は、(例えば、非特許文献1参照)の技術を使用する離散対数(discrete logarithms)が等しいことの基本Chaum−Pederson証明から容易に構成することができる。特定の例については、(例えば、非特許文献2参照)を参照。)
CC−3.次に、Miが、Piと(署名付きの)暗号化された票(Xi,Yi)をともに投票収集センタに提出する。
【0032】
CC−4.暗号化された票を受け入れるのに先立って、投票収集センタは、まず、証明Piを検査する。Piの検証が失敗した場合、破損(corruption)が既に検知され、投票収集センタは、確認のストリングを全く発行しないか、または何らかのデフォルトのランダムなストリングを発行することができる。
【0033】
CC−5.Piの検証が成功したものと想定すると、投票収集センタは、値WiおよびUiを以下のとおり計算する。
【0034】
【数3】
【0035】
CC−6.投票収集センタは、次に、(Ui,Wi)をMiに戻す。
【0036】
CC−7.クライアントMiが、
【0037】
【数4】
【0038】
投票者は、どの確認ストリングを探すべきかを知っている必要がある。これは、2つの異なる仕方で達せられる。最も単純明快なのは、投票者viが、投票収集センタからKiおよびβiを獲得するようにさせることである。これは、実行可能であり、ほとんどデータが転送されることを必要とせず、一部の実施形態によく適している可能性がある。しかし、他の状況では、Ci(またはH(Ci))を計算しなければならないため、魅力のない手法である可能性がある。この計算を行うようにMiに求めることは、本スキームのセキュリティを破壊するので、viは、さらなるコンピューティングデバイスにアクセスを有し、また独立の通信チャネルにもアクセスを有さなければならない。
【0039】
別法は、投票収集センタが、viに関するすべての可能な確認ストリングを計算し、独立したチャネルを介して確認辞書に相当する物をviに送信するようにさせることである。一般に、投票者viに関する確認辞書は、任意の妥当なフォーマットでレイアウトされた以下のテーブルから成る。
【0040】
【表1】
ただし、Hは、票決の公開(公表された)ハッシュ関数(場合により、恒等関数)であり、
【0042】
【数5】
である。
【0044】
もちろん、独立したチャネルが本当に独立していることを確実にするように、独立のチャネルを設計する際に注意が払われなければならない。理想的には、独立したチャネルは、投票ネットワークに接続されたデバイスからはアクセス不可能でなければならない。ただし、解決策が用意されている。Kiおよびβiは、票決に先立って生成することができるので、陸上便(surface mail)などの遅い配達方法さえ、辞書を伝送するのに使用することができる。
【0045】
本メカニズムをより完全に説明するため、本メカニズムの実施形態の一部の動作を示す例を説明する。以下は、秘密値確認交換(Secret Value Confirmation exchange)の詳細な例である。
【0046】
この例を最大限に明確にするため、使用するいくつかの基本的なパラメータ、例えば、票の上の質問の数や暗号パラメータのサイズは、実際に、通常、使用されるパラメータよりも相当に少ない。また、例示的な交換の態様を特定の順序で以下に説明するが、これらの態様は、様々な他の順序で行ってもよいことが、当分野の技術者には理解されよう。
【0047】
一部の電子票決プロトコルは、以下のような追加の特徴を含む。すなわち、
認証および監査のための投票者と当局の証明書(公開鍵)情報、
票ページスタイルパラメータ、
データ符号化の標準、
集計プロトコルおよび集計パラメータである。
【0048】
以上の特徴は、秘密値確認の実施とは独立なので、以上の特徴の詳細な説明は、この例には含めない。
【0049】
この例は、投票者の応答(回答)を単一のElGamalペアとして符号化する票決プロトコルを想定する。ただし、本明細書で見られる説明から、投票された票に対してELGamal暗号化を使用する他の票決プロトコルに合った秘密値確認交換を構成することも、自明な事柄である。例えば、本メカニズムの一部の実施形態は、(例えば、特許文献1参照)に説明される準同形の票決プロトコルを組み込んでいる。そのプロトコルでは、投票者の応答は、複数のElGamalペアによって表される。この例で使用される確認辞書は、それぞれの確認ストリングの連結を表示するように、または確認ストリングのシーケンスのハッシュを表示するように容易に変更される。
【0050】
管轄機関(jurisdiction)はまず、票決初期設定データについて合意しなければならない。票決初期設定データは、少なくとも、基本暗号化数値パラメータ、票(すなわち、1組の質問と許容可能な回答等)、および決定符号化スキームを含む。(使用される特定の票決プロトコルに妥当な追加のデータも含まれることが可能である。)
暗号パラメータ
群の算法(Group Arithmetic):整数乗算的なモジュラー算法(Integer multiplicative modular arithmetic)
素数モジュラス:p=47
部分群モジュラス:q=23
ジェネレータ:g=2
公開鍵:h=gs、ただし、sは秘密である。当該の例では、h=g12=7であるものとする。
【0051】
票
1つの質問
質問1テキスト:我々の旗をどの色にするべきですか(1つだけ選択してください)
回答/選択の数:4
*回答1テキスト:青
*回答2テキスト:緑
*回答3テキスト:赤
*回答4テキスト:私は棄権します
決定符号化スキーム
【0052】
【表2】
確認を発行するのに先立ち、投票者に確認辞書を配布するのに先立つ何らかの時点で、投票収集センタ(または代理)が、各投票者Viに関してランダムで独立したβiおよびKiを生成する。確認辞書が、票の受取りより後に送られる場合、以上のパラメータは、投票者ごとに、それぞれの投票された票が受理された直後に生成されることが可能である。代替として、以上のパラメータは、票決に先立って生成されることが可能である。この例では、票収集代理が、投票された票を受理した直後と、それぞれの投票者の確認辞書を送る直前の両方で、以上のパラメータにアクセスを有する。
【0054】
公式の投票時間中の何らかの時点で、各投票者Vが、前述した票決初期設定データを獲得し、認証する。票決初期設定データは、何らかの票サーバに「票要求」を提出することによって獲得することができる。代替として、管轄機関は、票決初期設定データを「公表する」、つまり票決初期設定データがすべての投票者に都合よく利用可能であるようにする何らかの好都合な手段を有することが可能である。
【0055】
票決初期設定データから、Vは、期待されている応答が、2つの別個のデータ要素の特定のシーケンスの標準の符号化であることを決定することができる。2つの別個のデータ要素は、以下のとおりである(厳密な順序で)。
【0056】
選択暗号化
投票者の選択、つまり回答を示す(暗号化された形態で)0≦X、Y<47である1対の整数(X,Y)。回答は、妥当であるには、0≦α<23であり、かつμ∈{9,21,36,17}である(X,Y)=(2α,7αμ)の形態になっていなければならない。
【0057】
有効性の証明
(X,Y)が、前述した選択暗号化ステップにおいて説明した形態になっていることを示す有効性の証明。(この例では、この証明は、特定のシーケンスに配列された15個のモジュラー整数から成ることを以下に見る。)
この例では、Vは、「緑」に票を投じることを所望しているものと想定する。
【0058】
1.Vは、α∈Z23をランダムに生成する。この例では、α=5である。「緑」の符号化は21であるので、Vの選択の暗号化は、以下のとおり計算される。
【0059】
【数6】
【0060】
投票者V(または、より正確には、Vのコンピュータ)は、以下の条件のうちどれが実際に成立するかを明らかにすることなく、αの何らかの不特定の値に関して、以下の条件のうち1つが成立することを証明しなければならない。
【0061】
1.(X,Y)=(2α,7α×9)、すなわち、選択(投じられた票)が「青」である
2.(X,Y)=(2α,7α×21)、すなわち、選択(投じられた票)が「緑」である
3.(X,Y)=(2α,7α×36)、すなわち、選択(投じられた票)が「赤」である
4.(X,Y)=(2α,7α×17)、すなわち、選択(投じられた票)が「私は棄権します」である
これを達するのに使用することができる様々な標準の方法が存在する。例えば、(例えば、非特許文献3参照)を参照されたい。本メカニズムによって使用される秘密値確認技術は、前段落の抽象基準を満たすいずれの方法を使用しても同等に良好に機能する。そのような有効性証明方法の詳細を以下に提供しているが、本メカニズムの実施形態は、以下のタイプ以外のタイプの有効性証明を使用することも可能である。
【0062】
有効性証明の構成
(以下で、Vが行う必要があるそれぞれの行為または計算が、実際には、Vのコンピュータによって行われる。)
1.Vが、α2=α=5に設定する。
【0063】
2.Vが、ω2∈RZ23,r1,r3,r4∈RZ23,s1,s3,s4∈RZ23をすべてランダムに、独立に生成する。この例の場合、
【0064】
【数7】
【0065】
3.Vが、対応する値を計算する。
【0066】
【数8】
【数9】
【0068】
【数10】
【0069】
【数11】
5.Vが、次数4−1=3の補間の多項式P(x)を計算する。Pを規定する特性は以下のとおりである。
【0070】
【数12】
【数13】
は、標準の多項式補間理論を使用して計算され、以下がもたらされる。
【0073】
【数14】
【0074】
【数15】
【0075】
【数16】
【0076】
【数17】
【0077】
【数18】
必要とされる選択暗号化(X,Y)、および対応する有効性の証明を計算した後、Vは、以上の要素を、標準の符号化フォーマットによって規定されるとおり、シーケンスで符号化する。結果のシーケンスが、Vの投票された票を形成する。(票を改変できないようにし、争う余地のないようにするため、Vは、自身の秘密署名鍵を使用してこの投票された票にデジタル署名を行うこともできる。Vの投票された票とVのデジタル署名の結果の組合せ(より正確には、これら2つの要素の標準の符号化)が、Vの署名済みの投票された票を形成する。最後に、各投票者が、自身の(オプションとして署名付きの)投票された票を、票を収集するデータセンタに返送する。
【0078】
前述したとおり、V(βおよびK)に関する投票者特有のランダムなパラメータが、投票収集センタにおいて用意されている。この例では、ランダムなパラメータは、以下のとおりである。
【0079】
【数19】
【0080】
1.デジタル署名が検査されて、票の真正性、ならびに投票者の適格性が判定される。
【0081】
2.ステップ1において署名が正しく検証された場合、投票収集センタは、有効性の証明を検証する。この例で使用することを選択した特定のタイプの有効性証明の場合、この検証は、以下により構成される。
【0082】
(a)公開ハッシュ関数Hを使用してP(0)=Z0の値を計算する。
【0083】
【数20】
(b)各1≦j≦4に関して、以下の数式
【0084】
【数21】
【0085】
3.先行するステップが成功裡に行われたものと想定すると、返答ストリング(W,U)は、以下のとおり計算される。
【0086】
【数22】
【0087】
4.Vのコンピュータが、
【0088】
【数23】
【0089】
5.次に、Vは、表示されたCの値を、選択「緑」(Vの意図する選択)に対応してVの確認辞書の中で見出される値と比較する。この時点で、Vは、自分の確認辞書をあらかじめ既に受け取っていること、または任意の独立したチャネルを介してコピーを獲得することが可能である。そのようなチャネルの例が、ファックス装置を使用することである。表示された値が、確認辞書の中の対応する確認ストリングに一致しない場合、破損が検知され、票決特有のポリシーに従って票が「投票しなおされる」ことが可能である。
【0090】
各投票者確認辞書は、投票収集センタによって計算される。というのは、前述したとおり、投票収集センタは、αおよびKという投票者特有の値の知識を有するエンティティだからである。考慮してきた投票者Vのケースでは、辞書は、以下のとおり計算される。
【0091】
【表3】
SVCスキームを使用する際に本メカニズムによって提供されるセキュリティのレベルについて以下に説明する。Aを投票クライアント敵対者とし、∈0を、任意の所与のμ1,...,μKに関してAが有効性証明を偽造することができる確率の上限とする。(∈0は、取るに足らないことが分かっている。)
定理1 SVCスキームが、H=Idで実行されたものと想定する。1≦k1≠k2≦Kに設定する。何らかの∈>0に関して、Aが、確率∈で、
【0093】
【数24】
を提出し、
【0095】
【数25】
を表示し、ただし、この確率は、μ1,...,μK,g,h,βiおよびKiに関する値のすべての組合せを対象に一様にとられているものと想定する。すると、Aは、確率∈で、O(K)のさらなる作業によりディフィ−ヘルマン問題のランダムな実例を解決することができる。
【0097】
証明:Aに、X,Y,Z∈R<g>が与えられているものと想定する。Aは、すべてのk≠k2に関してCik1∈<g>およびμk∈<g>を独立に、ランダムに選び、
【0098】
【数26】
およびμk2=μk1Zに設定することにより、票決およびSVC交換をシミュレートすることができる。票決パラメータおよび
【0100】
【数27】
の上の結果の分布は、明らかに現実の票決から生じる分布と同一である。確率∈で、Aは、
【0102】
【数28】
を表示することができ、したがって、
【0104】
【数29】
【0105】
系1 やはり、SVCスキームがH=Idで実行されるものと想定する。
【0106】
【数30】
と定める。何らかの∈1>0に関して、Aが、確率∈1で、k1≠k2を選択し、
【0108】
【数31】
を提出し、
【0110】
【数32】
を表示し、ただし、この確率は、μ1,...,μK,g,h,βiおよびKiに関する値のすべての組合せを対象に一様にとられているものと想定する。すると、Aは、確率∈1/(K−1)で、O(K)のさらなる作業によりディフィ−ヘルマン問題のランダムな実例を解決することができる。
【0112】
証明:定理1の論証に従うが、K−1個の独立したディフィ−ヘルマン問題の少なくとも1つに対する解を見出す問題と比較する。
【0113】
系2 ∈DHをAがランダムなディフィ−ヘルマンの実例を解決することができる確率の上限とする。すると、H=Idである場合、Aが投票者の選択とは異なる票を提出するが、正しい確認ストリングを表示することができる確率の上限は、∈0+(K−1)∈DHである。
【0114】
ハッシュ関数Hが自明ではない場合、Hの特性についての相当な特定の知識なしに、計算上のディフィ−ヘルマン問題と比較することができる望みはない。Hの特定の選択でスキームのセキュリティを考慮するのではなく、Hは無視できるほどの衝突確率しか有さないものと想定し、代わりに、セキュリティを決定ディフィ−ヘルマン問題(Decision Diffie−Hellman Problem)と比較する。考慮するこの問題の変種は、次のとおりである。Aにタプルのシーケンス(Xn,Yn,Zn,Cn)が与えられ、ただし、Xn,Yn,Znは、独立にランダムに生成される。確率1/2で、Cnは、ディフィ−ヘルマンの実例(Xn,Yn,Zn)に対する解であり、確率1−1/2=1/2で、Cnは、ランダムに、独立に生成される。Aは、確率1/2+∈で、質問
【0115】
【数33】
に回答できる場合、∈−DDHのアドバンテージを有するものとされる。
【0117】
定理1、ならびに系1および2は、H≠Idであるケースにおいて明白な類似物を有する(Hは無視できるほどの衝突確率しか有さないものとだけ想定して)。言明と証明はともに、わずかな違いだけで構成され、したがって、以下のとおりにだけ要約する。
【0118】
系3 ∈DDHをAのDDHアドバンテージの上限とする。すると、Hが無視できるほどの衝突確率しか有さない任意のハッシュ関数である場合、Aが、投票者の選択とは異なる票を提出するが、正しい確認ストリングを表示することができる確率の上限は、∈0+(K−1)∈DDHである。
【0119】
SVCは、敵対者Aが、投票収集センタも支配している場合、全く保護を提供しない可能性がある。これが該当する場合、Aは、Kiおよびβiにアクセスを有し、したがって、自ら選んだ任意の有効な確認ストリングを容易に表示することができる。これが生じる可能性は低いように思われる。というのは、投票収集センタは、そのような活動が露顕した場合、否認しがたく連座させられるからである。しかしながら、この点で投票収集センタを信頼することが容認できない場合、「確認の責任」を不定の多数の権限者の間で配分することが可能である。
【0120】
確認の責任を配分するのに、1≦j≦Jである各権限者Ajが、(投票者viに関して
)独立したランダムなKijおよびβijを生成する。権限者は、独立したランダムなK
ijおよびβijを2つの一般的な方法によって結合することができる。
【0121】
1.連結 投票者の確認ストリングが、J名の権限者の各名に対応する個々の確認ストリング(前のセクションの場合と同様に別々に計算された)のあらかじめ指定された順序の連結として計算される。この場合、確認は、サブストリングのすべてが正しく検証された場合にだけ、成功である。
【0122】
2.信頼されるサーバまたは信頼されるプリンタ 単一の集中サーバ、または単一の集中プリンタを信頼することが容認できる場合、複数の確認ストリングを単に計算することによって結合し、同一サイズの1つの確認ストリングにすることができる。
【0123】
【数34】
【0124】
独立したチャネルを介して投票者に送信されなければならないデータのサイズを小さくすることは、常に望ましい。セクション3で説明したとおり、確認辞書は、最新の通信技術の標準に照らして既に小さいが、伝送されるデータをさらに減らすことができれば、費用の点で有利である可能性がある。前述したとおり、1つの手法は、秘密のKiおよびβiを投票者に直接に送ることであるが、これは、「投票者の頭脳で」または「紙の上で」実行されるには重すぎる計算上の負担を投票者に負わせるという欠点を有する。SVCスキームの以下の変種は、両方の目標、すなわち、独立した通信チャネルを介するデータと、投票者による「頭の中での計算」をともに少なくすることを達する。これには、代償、すなわち、クライアントの敵対者が投票者を欺くことができる確率が高まることが伴うが、これは、全体的な票決の観点からは全く容認できる可能性がある。敵対者が検知されない確率が、例えば、1/2である場合でも、敵対者が投票のかなりの割合を変更するには、統計的に有意な割合の投票者によって敵対者が検知される確率は、非常に高くなる。序論で説明したとおり、是正措置が可能である。
【0125】
その考えは、疑いのあるクライアントを介して投票者に確認ストリングの完全なセットを送り届けるが、ランダムに置換された順序でこれを行うことである。すると、投票者が必要とする追加の情報は、使用された順列だけである。これでは、このシナリオでは、完全に十分ではない。というのは、すべての確認ストリングが用意されているので、敵対者は、単に消去のプロセスによっていくらかのアドバンテージを得ることができる。(K=2であるケースを考慮するのが特に役立つ。)セキュリティを高めるため、やはり置換されたいくつかのランダムな確認ストリングを辞書に含める。
【0126】
サブセクション3.1におけるステップは、前の場合と同様に実行される。さらに、投票収集が、クライアントMiに「ランダム化された辞書」Diを送る。以上は、投票収集センタCによって以下のとおり生成される。
【0127】
RD−1.K(投票者特有の)確認ストリング
【0128】
【数35】
【0129】
RD−2.さらに、L個の追加のストリングが以下のとおり生成され、
【0130】
【数36】
【0131】
RD−3.ランダムな順列、σi∈ΣK+Lが生成される。
【0132】
RD−4.Cが、1≦j≦K+Lに関して、Qij=Siσi(j)に設定し、Diをストリングのシーケンス(Qi1,...Qi(K+L))になるように設定する。
【0133】
Cが、独立したチャネルを介して、σiの何らかの「人間が読むことができる」表現をviに送った場合、viは、単に適切な索引で確認ストリングを見つけることによって自身の票を検証することができる。このスキームをSVCOで表す。
【0134】
SVCOのセキュリティのレベルに関して、次の形態のディフィ−ヘルマン決定問題を考慮されたい。Aに、タプルのシーケンス(Xn,Yn,Zn,Cn,Dn)が与えられ、ただし、Xn,Yn,Znは、独立にランダムに生成される。Rnが、独立にランダムに生成されるものとし、またOnを
【0135】
【数37】
に対する解とする。確率1/2で、(Cn,Dn)=(On,Rn)であり、また確率1−1/2=1/2で、(Cn,Dn)=(Rn,On)である。Aは、確率1/2+∈で、質問
【0137】
【数38】
に回答することができる場合、∈−DDHPのアドバンテージを有するとされる。つまり、Aは、問題の最初のバージョンと同じ質問に回答しなければならないが、より多くの情報を利用できるため、問題はより容易である可能性がある。
【0139】
定理2 ∈DDHPをAのDDHPアドバンテージの上限とし、またHを無視できるほどの衝突確率しか有さない任意のハッシュ関数とする。SVCOスキームの下で、Aが、投票者の選択とは異なる票を提出するが、正しい確認ストリングを表示することができる確率の上限は、以下のとおりである。
【0140】
【数39】
【0141】
【数40】
をランダムに選ぶことができ、またすべてのk≠k2に関して、θk∈Zqを独立にランダムに選ぶことができる。次に、Aは、
【0143】
【数41】
に設定する。k≠k1,k2に関して、Aは、
【0145】
【数42】
に設定する。Aは、
【0147】
【数43】
に設定し、L個の追加のランダムなμlおよびl−1個の追加のCilをランダムに生成する。最後に、Aは、
【0149】
【数44】
に設定し、最後に残っている
【0151】
【数45】
に設定する。前の場合と同様に、正しい確認ストリングを見出すことは、値Cn、Dnのどれが正しいディフィ−ヘルマン解であるかを決定することと等価である。すべての順列を一様の確率で平均すると、次の結果がもたらされる。
【0153】
以下に、以上に説明した秘密投票確認スキームに対する1つの可能な代案を説明する。2つのスキーム間のセキュリティのレベルは基本的に等価である。
【0154】
1.票決公開鍵hに加えて、投票収集が、
【0155】
【数46】
の形態の別の公開鍵を公表し、ただし、d∈Zqは、投票収集センタだけに知られている秘密である。
【0157】
2.クライアントMiが、前の場合と同様に、viに代わって暗号化された票を提出するが、票は、hと
【0158】
【数47】
で冗長に暗号化される。第2の暗号化を
【0160】
【数48】
【0161】
【数49】
は、αiとは独立に選択される。
【0163】
3.Miは、2つが同一の値の暗号化であることの有効性の単純な証明(基本的に、単一のChaum−Pedersen証明)も構成する。
【0164】
4.有効性の証明が投票収集センタにおいて合格しなかった場合、前の場合と同様に破損が検知される。
【0165】
5.投票収集センタが、ランダムなKi∈<g>を選択し、βi∈Zqであり、以下を計算する。
【0166】
【数50】
【0167】
【数51】
およびViをMiに戻す。
【0169】
7.Miが、
【0170】
【数52】
を以下の数式
【0172】
【数53】
【0173】
8.投票者が、前の場合と同様に確認辞書を要求し、表示された値に照らしてチェックする。
【0174】
破損が検知された場合、前の場合と同様に是正措置がとられる。
【0175】
前記の本メカニズムの説明は、すべての投票者に関して単一のd(したがって、単一の
【0176】
【数54】
)を使用し、票決に先立ってこの値を公表することを述べている。
【0178】
代替として、投票収集センタ(または分散した1組の「確認権限者」)が、各投票者viに関して独立したランダムなdi(また、したがって、
【0179】
【数55】
も)発行する。値diは、常に秘密にしておかれるが、値
【0181】
【数56】
は、viに伝えられる。
【0183】
一実施形態では、本メカニズムは、
【0184】
【数57】
を以下のとおりviに伝える。
【0186】
A−1 viが、投票収集センタに接触し、vi自身を認証する。
【0187】
A−2 認証が成功したものと想定すると、投票収集センタは、
1.diをランダムに生成し、
2.
【0188】
【数58】
を計算し、
3.
【0190】
【数59】
をviに送る。
【0192】
A−3 次に、投票者viが、
【0193】
【数60】
の代わりに
【0195】
【数61】
を使用して前述したとおりに事を進める。
【0197】
別の実施形態では、本メカニズムは、
【0198】
【数62】
を以下のとおりviに伝える。
【0200】
B−1 viが、投票収集センタに接触する(また、オプションとして、vi自らを認証する)
B−2 viが、投票選択miを行い、暗号化された票
【0201】
【数63】
を戻す。
【0203】
B−3 投票収集センタが、この時点で、
1.diをランダムに生成し、
2.
【0204】
【数64】
を計算し、
3.
【0206】
【数65】
をviに送る。
【0208】
B−4 次に、投票者viが、
1.miの第2の暗号化を
【0209】
【数66】
として生成し、
2.第1の暗号化および第2の暗号化が同一の投票選択miの暗号化であることを示す同じ有効性の証明を生成し、
3.第2の暗号化と有効性の証明をともに投票収集代理に送る。
【0211】
B−5 確認プロセスの残りは、前述したのと同様に進められる。
【0212】
図1〜3は、本メカニズムのある態様を示している。図1は、本メカニズムが動作する通常の環境を示す高レベルブロック図である。このブロック図は、いくつかの投票者コンピュータシステム110を示しており、コンピュータシステム110のそれぞれが、投票者により、票を提出し、票の破損されていない受領を検証するのに使用されることが可能である。投票者コンピュータシステムのそれぞれは、インターネット120を介して投票収集センタコンピュータシステム150に接続される。ただし、投票者コンピュータシステムは、インターネット以外のネットワークによって投票収集センタコンピュータシステムに接続することも可能であることが、当分野の技術者には理解されよう。本メカニズムは、投票者コンピュータシステムからの票を投票収集センタコンピュータシステムに伝送し、投票収集センタコンピュータシステムは、暗号化された投票確認を戻す。各投票者コンピュータシステムにおいて、本メカニズムは、この暗号化された投票確認を使用して、提出された票が破損しているかどうかを判定する。好ましい実施形態を前述した環境に関して説明しているが、本メカニズムは、単一のモノリシック(monolithic)コンピュータシステム、ならびに様々な仕方で接続されたコンピュータシステム群または同様のデバイス群の様々な他の組合せを含む様々な他の環境においても実施できることが、当分野の技術者には理解されよう。
【0213】
図2は、コンピュータシステム110および130などの、本メカニズムを実行するコンピュータシステムおよびその他のデバイスの少なくともいくつかに、通常、組み込まれる構成要素のいくつかを示すブロック図である。これらのコンピュータシステムおよびデバイス200は、コンピュータプログラムを実行するための1つまたは複数の中央処理装置(「CPU」)201と、プログラムおよびデータが使用されている間、そのプログラムおよびデータを記憶するためのコンピュータメモリ202と、プログラムおよびデータを持続的に記憶するためのハードドライブなどの持続記憶デバイス203と、コンピュータ可読媒体上に記憶されたプログラムおよびデータを読み取るためのCD−ROMドライブなどのコンピュータ可読媒体ドライブ204と、インターネットを介するなどしてコンピュータシステムを他のコンピュータシステムに接続するためのネットワーク接続205とを含む。前述したとおりに構成されたコンピュータシステムが、好ましくは、本メカニズムの動作をサポートするのに使用されるが、本メカニズムは、様々なタイプおよび様々な構成の、様々な構成要素を有するデバイスを使用して実施できることが、当分野の技術者には理解されよう。
【0214】
図3は、セキュリティが損なわれた票を検知するために本メカニズムによって通常、行われるステップを示す流れ図である。本メカニズムは、これらのステップの適切なスーパーセットおよびサブセット、これらのステップの並べ替え、およびいくつかのステップが他のコンピューティングデバイスによって行われるセットのステップを含め、図示したステップとは相違する1組のステップを行うことも可能であることが、当分野の技術者には理解されよう。
【0215】
ステップ301で、投票者コンピュータシステム上で、本メカニズムは、票を形成するために、投票者によって選択された投票選択を符号化する。ステップ302で、本メカニズムは、この票を暗号化する。いくつかの実施形態では、暗号化された票は、票決公開鍵、および投票者コンピュータシステム上に保持される秘密を使用して生成されるElGamalペアである。ステップ303で、本メカニズムは、オプションとして、投票者に所属する秘密鍵で票に署名する。ステップ304で、本メカニズムは、暗号化された票が、有効な投票選択が選択された票の暗号化であることを示す有効性証明を構成する。ステップ305で、本メカニズムは、暗号化された署名付きの票、および有効性証明を投票収集センタコンピュータシステムに伝送する。
【0216】
ステップ321で、本メカニズムは、投票収集センタコンピュータシステムにおいてこの伝送を受信する。ステップ322で、本メカニズムは、受信された有効性証明を検証する。ステップ323で、有効性証明が成功裡に検証された場合、本メカニズムは、324に進み、成功裡に検証されなかった場合、本メカニズムは、ステップ324に進まない。ステップ324で、本メカニズムは、暗号化された票の暗号化された確認を生成する。本メカニズムは、票を解読することなく、この確認を生成する。票を解読することは、票を暗号化するのに使用された秘密が利用できない投票収集センタコンピュータシステムにおいては、通常、不可能である。ステップ325で、本メカニズムは、暗号化された確認331を投票者コンピュータシステムに伝送する。
【0217】
ステップ341で、本メカニズムは、投票者コンピュータシステムにおいて暗号化された投票確認を受信する。ステップ342で、本メカニズムは、投票者コンピュータシステム上に保持される秘密を使用して、暗号化された投票確認を解読する。ステップ343で、本メカニズムは、解読された投票確認をユーザが閲覧するために表示する。ステップ344で、表示された投票確認が、投票者が所有する確認辞書によって投票者が選択した投票選択に翻訳された場合、本メカニズムは、ステップ345に進み、翻訳されなかった場合、本メカニズムは、ステップ346に進む。ステップ345で、本メカニズムは、投票者の票が破損していないと判定し、一方、ステップ346で、本メカニズムは、投票者の票が破損していると判定する。破損している場合、本メカニズムの実施形態は、ユーザが、投票者の票を取り消し、提出しなおすのを助ける。
【0218】
前述した本メカニズムは、様々な仕方で簡単に適合させること、または拡張することが可能であることが、当分野の技術者には理解されよう。以上の説明は、好ましい実施形態を参照しているが、本発明の範囲は、特許請求の範囲、および特許請求の範囲に記載される構成要件だけによって規定される。
【図面の簡単な説明】
【0219】
【図1】本メカニズムが動作する通常の環境を示す高レベルブロック図である。
【図2】本メカニズムが実行されるコンピュータシステムおよびその他のデバイスの少なくともいくつかに、通常、組み込まれる構成要素のいくつかを示すブロック図である。
【図3】セキュリティが損なわれた票を検知するために本メカニズムによって通常、行われるステップを示す流れ図である。
Claims (36)
- 投票者によって選択された投票選択の受領を確認するためのコンピューティングシステムにおける方法であって、
投票収集機関によって前記投票者に関して受領された投票選択の識別を確認する内容の第1の確認メッセージを第1のパーティから受信するステップと、
前記投票収集機関によって前記投票者に関して受領された前記投票選択の識別を独立に確認する内容の第2の確認メッセージを前記第1のパーティとは独立の第2のパーティから受信するステップと
を含むことを特徴とする方法。 - 前記第1の確認メッセージの内容および前記第2の確認メッセージの内容を表示して、当該表示された第1の確認メッセージと前記表示された第2の確認メッセージとともに、前記投票者によって、前記投票者が選択した前記投票選択に対して予期される投票確認メッセージとを比較し、前記投票者が選択した前記投票選択以外の投票選択が、前記投票者に関して前記投票収集機関によって受領されたかどうかを判定可能なステップをさらに含むことを特徴とする請求項1に記載の方法。
- 前記第1の確認メッセージの内容と前記第2の確認メッセージの内容を結合して結合された確認メッセージを得るステップと、
前記結合された確認メッセージを表示し、前記表示された結合された確認メッセージを、前記投票者によって、前記投票者が選択した前記投票選択に対して予期される結合された投票確認メッセージと比較して、前記投票者が選択した前記投票選択以外の投票選択が、前記投票者に関して前記投票収集機関によって受領されたかどうかを判定可能なステップをさらに含むことを特徴とする請求項1に記載の方法。 - 前記結合された確認メッセージが、前記第1の確認メッセージおよび前記第2の確認メッセージのそれぞれからの連結内容を使用して得られることを特徴とする請求項3に記載の方法。
- 前記結合された確認メッセージが、しきい値秘密再構成技術を使用して得られることを特徴とする請求項3に記載の方法。
- 前記第1の確認メッセージおよび前記第2の確認メッセージのそれぞれは、値を含み、前記結合された確認メッセージが、前記第1の確認値に含まれる前記値と前記第2の確認値に含まれる前記値の積を決定することによって得られることを特徴とする請求項1に記載の方法。
- 前記第1の確認メッセージおよび前記第2の確認メッセージのそれぞれは、第1の値および第2の値を含み、前記結合された確認メッセージが、
前記第1の確認メッセージに含まれる前記第1の値と前記第2の確認メッセージに含まれる前記第1の値の積を特定するステップ、および
前記第1の確認メッセージに含まれる前記第2の値と前記第2の確認メッセージに含まれる前記第2の値の積を特定するステップ
によって得られることを特徴とする請求項1に記載の方法。 - 前記投票収集機関によって前記投票者に関して受領された前記投票選択の識別を独立に確認する内容の第3の確認メッセージを前記第1のパーティおよび前記第2のパーティとは独立の第3のパーティから受信するステップをさらに含むことを特徴とする請求項1に記載の方法。
- コンピューティングシステムが、
投票収集機関によって投票者に関して受領された投票選択の識別を確認する内容の第1の確認メッセージを第1のパーティから受信するステップ、および
前記投票収集機関によって前記投票者に関して受領された前記投票選択の識別を独立に確認する内容の第2の確認メッセージを前記第1のパーティとは独立の第2のパーティから受信するステップによって前記投票者が選択した前記投票選択の受領を確認するようにさせる内容を有することを特徴とするコンピュータ可読媒体。 - 投票者が選択した投票選択の受領を確認するためのコンピューティングシステムであって、
投票収集機関によって前記投票者に関して受領された投票選択の識別を内容がそれぞれ独立に確認する第1のパーティからの第1の確認メッセージと、前記第1のパーティとは別個の第2のパーティからの第2の確認メッセージをともに受信する確認受信サブシステムを含むことを特徴とするコンピューティングシステム。 - 投票者が選択した投票選択の受領を確認するためのデータ構造を含む投票者の制御下にあるコンピュータメモリデバイスであって、
投票収集機関によって前記投票者に関して受領された投票選択の識別を確認する内容の第1のパーティから受信された第1の確認メッセージと、
前記投票収集機関によって前記投票者に関して受領された前記投票選択の識別を独立に確認する内容の前記第1のパーティとは独立の第2のパーティから受信された第2の確認メッセージとを含むことを特徴とするデバイス。 - 投票者が選択した投票選択の受領を確認するためのコンピューティングシステムにおける方法であって、
第1の順序に配列された投票選択確認メッセージのリストを含む第1の投票者向けの確認辞書を第1の通信チャネルを介して第1の受け手に送信するステップと、
複数の有効な投票選択のそれぞれに関して、前記有効な投票選択に対応する投票選択確認メッセージを含む前記第1の順序における位置を示す前記第1の投票者向けの確認辞書ガイドを前記第1の通信チャネルとは別個の第2の通信チャネルを介して前記第1の受け手に送信し、前記第1の受け手が、前記第1の投票者が選択した前記投票選択の識別を前記確認辞書ガイドとともに使用して、前記投票者が選択した前記投票選択に対応する前記投票選択確認メッセージを前記確認辞書の中で特定することができるようにするステップとを含むことを特徴とする方法。 - 前記第1の受け手は、前記第1の投票者であることを特徴とする請求項12に記載の方法。
- 前記第1の順序をランダムに選択するステップをさらに含むことを特徴とする請求項12に記載の方法。
- 第2の順序に配列された投票選択確認メッセージのリストを含む第2の投票者向けの第2の確認辞書を前記第1の通信チャネルを介して第2の受け手に送信するステップであって、
前記第2の投票者は、前記第1の投票者とは別個であり、前記第2の受け手は、前記第1の受け手とは別個であり、前記第2の順序は、前記第1の順序とは別個であるステップをさらに含むことを特徴とする請求項12に記載の方法。 - 前記第2の受け手は、前記第2の投票者であることを特徴とする請求項15に記載の方法。
- 前記確認辞書に含まれる投票選択確認メッセージの前記リストは、いずれの有効な投票選択にも対応しない投票選択確認メッセージを含むことを特徴とする請求項12に記載の方法。
- 前記確認辞書に含まれる投票選択確認メッセージの前記リストは、区別された複数の投票選択確認メッセージを含み、前記区別された複数の投票選択確認メッセージのいずれも、有効な投票選択に全く対応しないことを特徴とする請求項12に記載の方法。
- 投票収集エンティティにおいて前記投票者に関して受領された投票選択に対応する投票選択確認メッセージを受信するステップと、
前記受信された投票選択確認メッセージを表示して、前記受け手が、前記表示された投票選択確認メッセージを、前記投票者が選択した前記投票選択に対応する物として前記確認辞書の中で特定された投票選択確認メッセージと比較可能なステップとをさらに含むことを特徴とする請求項12に記載の方法。 - コンピューティングシステムが、
第1の順序で配列された投票選択確認メッセージのリストを含む確認辞書を第1の通信チャネルを介して受け手に送信するステップ、および
複数の有効な投票選択のそれぞれに関して、前記有効な投票選択に対応する投票選択確認メッセージを含む前記第1の順序における位置を示す確認辞書ガイドを前記第1の通信チャネルとは別個の第2の通信チャネルを介して前記受け手に送信し、前記受け手が、投票者が選択した前記投票選択の識別を前記確認辞書ガイドとともに使用して、前記投票者が選択した前記投票選択に対応する前記投票選択確認メッセージを前記確認辞書の中で特定することができるようにするステップによって前記投票者が選択した前記投票選択の受領を確認するようにさせる内容を有することを特徴とするコンピュータ可読媒体。 - コンピュータシステムが、
投票収集エンティティにおいて前記投票者に関して受領された投票選択に対応する投票選択確認メッセージを受信し、
前記受信された投票選択確認メッセージを表示して、前記受け手が、前記表示された投票選択確認メッセージを、前記投票者が選択した前記投票選択に対応する物として前記確認辞書の中で特定された投票選択確認メッセージと比較可能にすることをさらに行うようにさせる内容を有することを特徴とする請求項18に記載のコンピュータ可読媒体。 - 投票者が選択した投票選択の受領を確認するためのコンピューティングシステムであって、
第1の順序に配列された投票選択確認メッセージのリストを含む確認辞書を第1の通信チャネルを介して受け手に送信するように結合された第1の伝送システムと、
複数の有効な投票選択のそれぞれに関して、前記有効な投票選択に対応する投票選択確認メッセージを含む前記第1の順序における位置を示す確認辞書ガイドを前記受け手に送信する前記第1の通信チャネルとは別個の第2の通信チャネルに結合され、前記第受け手が、前記投票者が選択した前記投票選択の識別を前記確認辞書ガイドとともに使用して、前記投票者が選択した前記投票選択に対応する前記投票選択確認メッセージを前記確認辞書の中で特定することができるようにする第2の伝送システムとを含むことを特徴とするコンピューティングシステム。 - 前記第2の伝送システムは、音声メッセージを介して前記確認辞書ガイドを送信することを特徴とする請求項22に記載のコンピューティングシステム。
- 前記第2の伝送システムは、郵便メールメッセージを介して前記確認辞書ガイドを送信することを特徴とする請求項22に記載のコンピューティングシステム。
- 異なる有効な投票選択にそれぞれが対応する投票確認ストリングのサブセットである前記投票確認ストリングのシーケンスを含むランダム化された確認辞書データ構造を集合として伝える1つまたは複数の生成されたデータ信号であって、
前記投票ストリングが前記シーケンスの中で出現する順序が、前記シーケンスの中の前記投票確認ストリングのどれがどの有効な投票選択に対応するかの別個の確認辞書ガイドなしには、特定することができないように、ランダムに選択されることを特徴とするデータ信号。 - 有効な投票選択に対応する前記投票確認ストリングは、前記シーケンスの中の前記投票確認ストリングの適切なサブセットであることを特徴とする請求項25に記載の生成されたデータ信号。
- 投票者が選択した投票選択を送付するためのコンピューティングシステムにおける方法であって、
クライアントコンピュータシステムにおいて、
クライアントだけに知られている第1の秘密で前記投票選択を暗号化して第1の暗号化された投票構成要素を生成するステップと、
前記第1の秘密とは独立に選択されたクライアントだけに知られている第2の秘密で前記投票選択を暗号化して第2の暗号化された投票構成要素を生成するステップと、
前記第1の暗号化された投票構成要素と前記第2の暗号化された投票構成要素が同一の投票選択から暗号化されたことを示す証明を生成するステップと、
前記第1の投票構成要素および前記第2の投票構成要素、ならびに前記証明を投票収集コンピュータシステムに送信するステップと、
前記投票収集コンピュータシステムにおいて、
前記第1の暗号化された投票構成要素と前記第2の暗号化された投票構成要素が同一の投票選択から暗号化されたことを前記証明が示すかどうかを判定するステップと、
前記第1の暗号化された投票構成要素と前記第2の暗号化された投票構成要素が同一の投票選択から暗号化されたことを前記証明が示す場合にだけ、前記投票選択を受け入れるステップとを含むことを特徴とする方法。 - 前記第1の暗号化された投票構成要素が、gαおよびhαmを評価することによって生成され、ただし、pは素数であり、qがp−1の重複度1の除数であるという特性を有する素数乗法オーダ(prime multiplicative order)qを有するg∈Zpであり、h∈<g>であり、α∈Zpが投票ノードにおいてランダムに選択され、mは、前記投票選択であり、また前記第2の暗号化された投票構成要素が、数式
- 前記投票収集コンピュータシステムにおいて、前記第1の暗号化された投票構成要素および前記第2の暗号化された投票構成要素に基づいて投票確認を前記クライアントコンピュータシステムに送信するステップと、
前記クライアントコンピュータシステムにおいて、前記第1の秘密および前記第2の秘密を使用して前記投票確認を解読するステップとをさらに含むことを特徴とする請求項27に記載の方法。 - pは素数であり、qがp−1の重複度1の除数であるという特性を有する素数乗法オーダqを有するg∈Zpであり、h∈<g>であり、
数式
- pは素数であり、qがp−1の重複度1の除数であるという特性を有する素数乗法オーダqを有するg∈Zpであり、h∈<g>であり、
- 投票者が選択した投票選択を伝送するためのコンピューティングシステムにおける方法であって、
クライアントだけに知られている第1の秘密で前記投票選択を暗号化して第1の暗号化された投票構成要素を生成するステップと、
前記第1の秘密とは独立に選択された前記クライアントだけに知られている第2の秘密で前記投票選択を暗号化して第2の暗号化された投票構成要素を生成するステップと、
前記第1の暗号化された投票構成要素と前記第2の暗号化された投票構成要素が同一の投票選択から暗号化されたことを示す証明を生成するステップと、
前記第1の暗号化された投票構成要素および前記第2の暗号化された投票構成要素、ならびに前記証明を投票収集コンピュータシステムに送信するステップと
を含むことを特徴とする方法。 - コンピューティングシステムが、
クライアントだけに知られている第1の秘密で投票選択を暗号化して第1の暗号化された投票構成要素を生成するステップ、
前記第1の秘密とは独立に選択されたクライアントだけに知られている第2の秘密で前記投票選択を暗号化して第2の暗号化された投票構成要素を生成するステップ、
前記第1の暗号化された投票構成要素と前記第2の暗号化された投票構成要素が同一の投票選択から暗号化されたことを示す証明を生成するステップ、および
前記第1の投票構成要素および前記第2の投票構成要素、ならびに前記証明を投票収集コンピュータシステムに送信するステップ
によって投票者が選択した前記投票選択を提出するようにさせる内容を有することを特徴とするコンピュータ可読媒体。 - 暗号化された投票データ構造を共同で伝送する1つまたは複数の生成されたデータ信号であって、
第1の暗号化された投票構成要素を生成するようにクライアントコンピュータシステムだけに知られている第1の秘密で暗号化された第1の暗号化された投票選択と、
前記第1の秘密とは独立に選択された前記クライアントコンピュータシステムだけに知られている第2の秘密で暗号化された第2の暗号化された投票選択と、
証明と
を含み、前記暗号化された投票データ構造によって表される投票が、前記第1の暗号化された投票選択と前記第2の暗号化された投票選択が同一の投票選択の暗号化であることを前記証明が示す場合にだけカウントされることが可能であるようにすることを特徴とするデータ信号。 - 投票者が選択した投票選択を受領するためのコンピューティングシステムにおける方法であって、
第1の暗号化された投票構成要素を生成するようにクライアントだけに知られている第1の秘密で暗号化された第1の暗号化された投票選択、
前記第1の秘密とは独立に選択されたクライアントだけに知られている第2の秘密で暗号化された第2の暗号化された投票選択、および
証明をクライアントコンピュータシステムから受領するステップと、前記第1の暗号化された投票選択および前記第2の暗号化された投票選択が同一の投票選択の暗号化であることを前記証明が示す場合にだけ、前記投票選択を受理するステップとを含むことを特徴とする方法。 - コンピューティングシステムが、
第1の暗号化された投票構成要素を生成するようにクライアントだけに知られている第1の秘密で暗号化された第1の暗号化された投票選択、
前記第1の秘密とは独立に選択された前記クライアントだけに知られている第2の秘密で暗号化された第2の暗号化された投票選択、および
証明をクライアントコンピュータシステムから受領するステップと、前記第1の暗号化された投票選択と前記第2の暗号化された投票選択が同一の投票選択の暗号化であることを前記証明が示す場合にだけ、投票選択を受理するステップと
によって投票者が選択した前記投票選択を受領するようにさせる内容を有することを特徴とするコンピュータ可読媒体。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US27018201P | 2001-02-20 | 2001-02-20 | |
| US09/816,869 US6950948B2 (en) | 2000-03-24 | 2001-03-24 | Verifiable, secret shuffles of encrypted data, such as elgamal encrypted data for secure multi-authority elections |
| US35585702P | 2002-02-11 | 2002-02-11 | |
| PCT/US2002/005969 WO2002077754A2 (en) | 2001-02-20 | 2002-02-20 | Detecting compromised ballots |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004524759A true JP2004524759A (ja) | 2004-08-12 |
| JP2004524759A5 JP2004524759A5 (ja) | 2005-12-22 |
Family
ID=27402264
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002575744A Pending JP2004524759A (ja) | 2001-02-20 | 2002-02-20 | セキュリティが損なわれた投票を検知すること |
Country Status (7)
| Country | Link |
|---|---|
| EP (1) | EP1371169A2 (ja) |
| JP (1) | JP2004524759A (ja) |
| CN (1) | CN1513241A (ja) |
| AU (1) | AU2002306602A1 (ja) |
| CA (1) | CA2439093A1 (ja) |
| RU (1) | RU2272322C2 (ja) |
| WO (1) | WO2002077754A2 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103903325A (zh) * | 2013-07-08 | 2014-07-02 | 苏州大学 | 一种基于身份签名的安全电子投票系统 |
| JP2019053712A (ja) * | 2017-09-15 | 2019-04-04 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 電子投票システム、及び、制御方法 |
| JP2019053269A (ja) * | 2017-07-17 | 2019-04-04 | エーオー カスペルスキー ラボAO Kaspersky Lab | 電子投票によって収集した投票者の票を判定するシステムおよび方法 |
| JP2019053713A (ja) * | 2017-09-15 | 2019-04-04 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 電子投票システム、及び、制御方法 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112118046B (zh) * | 2020-09-22 | 2021-08-24 | 中国科学院半导体研究所 | 基于室内led可见光通信的加密电子投票选举系统及方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| NL9301348A (nl) * | 1993-08-02 | 1995-03-01 | Stefanus Alfonsus Brands | Elektronisch betalingssysteem. |
| EP0695056B1 (en) * | 1994-07-29 | 2005-05-11 | Canon Kabushiki Kaisha | A method for sharing secret information, generating a digital signature, and performing certification in a communication system that has a plurality of information processing apparatuses and a communication system that employs such a method |
-
2002
- 2002-02-20 WO PCT/US2002/005969 patent/WO2002077754A2/en not_active Application Discontinuation
- 2002-02-20 CA CA002439093A patent/CA2439093A1/en not_active Abandoned
- 2002-02-20 AU AU2002306602A patent/AU2002306602A1/en not_active Abandoned
- 2002-02-20 RU RU2003128316/09A patent/RU2272322C2/ru not_active IP Right Cessation
- 2002-02-20 JP JP2002575744A patent/JP2004524759A/ja active Pending
- 2002-02-20 CN CNA028085205A patent/CN1513241A/zh active Pending
- 2002-02-20 EP EP02753759A patent/EP1371169A2/en not_active Withdrawn
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103903325A (zh) * | 2013-07-08 | 2014-07-02 | 苏州大学 | 一种基于身份签名的安全电子投票系统 |
| CN103903325B (zh) * | 2013-07-08 | 2016-02-24 | 苏州大学 | 一种基于身份签名的安全电子投票系统 |
| JP2019053269A (ja) * | 2017-07-17 | 2019-04-04 | エーオー カスペルスキー ラボAO Kaspersky Lab | 電子投票によって収集した投票者の票を判定するシステムおよび方法 |
| JP2019053712A (ja) * | 2017-09-15 | 2019-04-04 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 電子投票システム、及び、制御方法 |
| JP2019053713A (ja) * | 2017-09-15 | 2019-04-04 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 電子投票システム、及び、制御方法 |
| JP7064947B2 (ja) | 2017-09-15 | 2022-05-11 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 電子投票システム、及び、制御方法 |
| JP7064950B2 (ja) | 2017-09-15 | 2022-05-11 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 電子投票システム、及び、制御方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2002306602A1 (en) | 2002-10-08 |
| RU2272322C2 (ru) | 2006-03-20 |
| WO2002077754A2 (en) | 2002-10-03 |
| CN1513241A (zh) | 2004-07-14 |
| EP1371169A2 (en) | 2003-12-17 |
| CA2439093A1 (en) | 2002-10-03 |
| RU2003128316A (ru) | 2005-03-27 |
| WO2002077754A3 (en) | 2003-01-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20070189519A1 (en) | Detecting compromised ballots | |
| Syta et al. | Keeping authorities" honest or bust" with decentralized witness cosigning | |
| JP4639084B2 (ja) | セキュア認証の暗号方法および暗号装置 | |
| Clarkson et al. | Civitas: Toward a secure voting system | |
| Joaquim et al. | REVS–a robust electronic voting system | |
| JP2006115550A (ja) | 安全な複数オーソリティ選挙のためのエルガマル暗号化データのように暗号化されたデータの検証可能な秘密シャッフル | |
| KR100856007B1 (ko) | 암호화 기기의 동작 검증 방법 및 이를 이용한 전자투표검증 시스템 | |
| JPH08263575A (ja) | 匿名メッセージ伝送方式および投票方式 | |
| KR102357460B1 (ko) | 동형 암호 기술 기반 전자 투표 시스템 및 그 방법 | |
| Fouard et al. | Survey on electronic voting schemes | |
| US20060085647A1 (en) | Detecting compromised ballots | |
| EP1361693B1 (en) | Handle deciphering system and handle deciphering method, and program | |
| CN1241353C (zh) | 自动可恢复自动可认证密码系统 | |
| JP3513324B2 (ja) | ディジタル署名処理方法 | |
| US20030028423A1 (en) | Detecting compromised ballots | |
| Zwierko et al. | A light-weight e-voting system with distributed trust | |
| JP2004524759A (ja) | セキュリティが損なわれた投票を検知すること | |
| Haghighat et al. | An efficient and provably-secure coercion-resistant e-voting protocol | |
| JP2004192029A (ja) | 電子投票システム、投票データ生成サーバ、端末装置、及び、集計サーバ、ならびに、コンピュータプログラム | |
| KR100556055B1 (ko) | 훼손된 투표들의 검출 | |
| WO2002067174A2 (en) | Detecting compromised ballots | |
| Andrew et al. | Civitas: Toward a Secure Voting System | |
| McMurtry | Verifiable Vote-by-mail | |
| Goulet et al. | Surveying and improving electronic voting schemes | |
| Buck | Security analysis of the Russian federal remote e-voting scheme |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050204 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050204 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070713 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20071012 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20071019 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20071113 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20071120 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080307 |