JP2005242356A - 秘密鍵暗号方式を用いてメッセージの匿名通信を行うためのシステム - Google Patents
秘密鍵暗号方式を用いてメッセージの匿名通信を行うためのシステム Download PDFInfo
- Publication number
- JP2005242356A JP2005242356A JP2005048570A JP2005048570A JP2005242356A JP 2005242356 A JP2005242356 A JP 2005242356A JP 2005048570 A JP2005048570 A JP 2005048570A JP 2005048570 A JP2005048570 A JP 2005048570A JP 2005242356 A JP2005242356 A JP 2005242356A
- Authority
- JP
- Japan
- Prior art keywords
- key
- trustee
- column
- message
- agent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 9
- 238000012545 processing Methods 0.000 claims description 3
- 239000003795 chemical substances by application Substances 0.000 description 166
- 230000008520 organization Effects 0.000 description 20
- 239000011159 matrix material Substances 0.000 description 10
- 238000000034 method Methods 0.000 description 7
- 230000009931 harmful effect Effects 0.000 description 6
- 239000000543 intermediate Substances 0.000 description 6
- 239000000203 mixture Substances 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 239000000969 carrier Substances 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- OKUGPJPKMAEJOE-UHFFFAOYSA-N S-propyl dipropylcarbamothioate Chemical compound CCCSC(=O)N(CCC)CCC OKUGPJPKMAEJOE-UHFFFAOYSA-N 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 239000011248 coating agent Substances 0.000 description 1
- 238000000576 coating method Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
- H04L63/064—Hierarchical key distribution, e.g. by multi-tier trusted parties
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0827—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/42—Anonymization, e.g. involving pseudonyms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/46—Secure multiparty computation, e.g. millionaire problem
- H04L2209/463—Electronic voting
Abstract
【課題】複数の送信者から受信者に送られるメッセージの匿名通信を行うためのシステムを提供すること。
【解決手段】送信者から送られるメッセージは、複数のトラスティの鍵を組み合わせることによって得られた送信者鍵を用いて暗号化される。トラスティは、各列jがk+1−j(kは、列1のトラスティの数)個のトラスティを有するk−1個の列に編成され、トラスティの合計数は(k−1)(k+2)/2人に等しくなる。列j−1中の同じ行の対応するトラスティに特有な鍵を送るとともに列j−1中の行k+2−1のトラスティに特有の鍵を送る行k+1−jのトラスティを除き、列jの各トラスティは、列j−1中の同じ行の対応するトラスティに特有な鍵を送り、それによって、送信者は、列1のk個の各トラスティから鍵を受け取り、送信者の鍵が第1列のトラスティから受け取ったすべての鍵の組合せであるようにする。
【選択図】図5
【解決手段】送信者から送られるメッセージは、複数のトラスティの鍵を組み合わせることによって得られた送信者鍵を用いて暗号化される。トラスティは、各列jがk+1−j(kは、列1のトラスティの数)個のトラスティを有するk−1個の列に編成され、トラスティの合計数は(k−1)(k+2)/2人に等しくなる。列j−1中の同じ行の対応するトラスティに特有な鍵を送るとともに列j−1中の行k+2−1のトラスティに特有の鍵を送る行k+1−jのトラスティを除き、列jの各トラスティは、列j−1中の同じ行の対応するトラスティに特有な鍵を送り、それによって、送信者は、列1のk個の各トラスティから鍵を受け取り、送信者の鍵が第1列のトラスティから受け取ったすべての鍵の組合せであるようにする。
【選択図】図5
Description
本発明は、何人かの送信者が受信者にメッセージを送信し、そのメッセージが秘密であり匿名であるデータ伝送システムに関し、詳細には、秘密鍵暗号方式を用いてメッセージの匿名通信を行うためのシステムに関する。
現在提案されている秘密通信システムは、秘密鍵(対称鍵とも呼ばれる)暗号か公開鍵(非対称とも呼ばれる)暗号化のいずれかによって、あるいはより高い頻度でこの2つの組合せによってセキュリティ保護される。一方の公開鍵暗号方式によると、公開鍵を配布し公開も可能であるが、復号(および署名)の可能性は秘密鍵の所有者だけに限定される。他方の秘密鍵通信は、計算上はるかに効率的である。また、ワンタイム・パッドと呼ばれる特定のタイプの秘密鍵暗号方式は、鍵が秘密のままである限り、(暗号方式の観点から)無条件に安全である。
上記の2方式を用いればメッセージの秘匿性が確保される。しかし、選挙システムまたは匿名の決済システムのようないくつかの状態では、通信内容だけではなく各参加者の識別もセキュリティ保護されなければならない。例えば、メッセージの受信者は、(送信者以外に)そのメッセージを復号化できる唯一の人間であるが、その受信者に誰がメッセージを送ったのかを知ることができないようにすべきである。
一般的な問題は、送信者についての情報をメッセージの内容それ自体から分離するのが困難なことであり、そのように分離することによって、メッセージが受信者に対して匿名になると同時に、中間の人間に対しても秘密になる。
従来の対称暗号化の場合では、鍵は他方の参加者にも安全に配布され、両方の参加者が同じ鍵の複製を保有する。送信者はその鍵を用いてメッセージを暗号化し、暗号化されたメッセージを受信者に送る。次いで、受信者はその鍵を用いてメッセージを復号化する。この方式における大きな問題は、受信者がメッセージの送信者は誰なのかを知っていることである。したがって、メッセージが投票である場合、受信者は投票者とその投票をリンクさせる十分な情報を有しているため、その投票は受信者にとって秘密にはならない。
したがって、中間的なエージェントを有することが必要である。公開鍵暗号方式に基づくこのようなシステムは、デビッド・チャウム(David Chaum)の論文、「追跡不能の電子メール、戻りアドレス、およびデジタル偽名(Untraceableelectronic Mail, Return Addresses and Digital Pseudonyms)」、コミュニケーションズ・オブACM(Comm ACM) 24巻、No.2、1981年2月、84〜88頁に述べられており、そこで著者は、受信者を異なるエージェントに分割することを提案している。例えば、2つのエージェントの場合、送信者は一連の公開鍵を用いて暗号化した自分の暗号化メッセージをエージェント1に送信し、エージェント1が自分の秘密鍵だけでそれを復号化し、送信者の識別を伝えずに(図0.3に示すように)その結果をエージェント2に送る。
同じ方針を多くのエージェントに拡張することが可能である。中間のエージェントはメッセージを復号化することができず、単に公開鍵を送信者に渡すことができるだけであるため、そのシステムは、すべてのエージェントが共謀しない限り匿名性を達成する。しかし、このシステムはまた、公開鍵暗号化の典型的な限界を有する。すなわち、
・無条件に安全であるプロトコルに欠ける(これは、選挙用としては問題である)
・計算上の要求が厳しい
・したがって自分の投票を証明できるので投票の買収を防ぐことができない
・人間だけでそのシステムを実施できない、言い換えると、すべての環境において電子装置の使用が必要になる。
・無条件に安全であるプロトコルに欠ける(これは、選挙用としては問題である)
・計算上の要求が厳しい
・したがって自分の投票を証明できるので投票の買収を防ぐことができない
・人間だけでそのシステムを実施できない、言い換えると、すべての環境において電子装置の使用が必要になる。
逆に、秘密鍵が使用された場合、受信者には送信者の識別は分らないが中間エージェントが復号できないメッセージをその受信者が復号できるように送信者鍵を与える問題がやはり残る。したがって、エージェントが2つである場合、第1のエージェントが第2のエージェントに鍵を与え、次いで第2のエージェントが自分自身の鍵を追加して、その鍵をユーザに送る。次いで、ユーザは自分の投票を2回暗号化する。すなわち、第1のエージェントの鍵を用いて1回行い、その結果を第2のエージェントの鍵を用いて再暗号化し、最後にその2回暗号化したメッセージを第2のエージェントに送る。次に、第2のエージェントは両方の鍵を送っているので、その2つの鍵を用いてその結果を復号化し、したがって、コンテンツと送信者の間をリンクさせることができる。暗号方式以外で秘匿性が確保できる場合以外は、秘密鍵暗号化および投票にとってこれは大きな問題である。
上記の問題を回避するために、両方のエージェントがそれぞれの鍵をユーザに別々に送ることもできる。送信者は、自分のメッセージを両方の鍵で暗号化し、その暗号化されたメッセージをまず第1のエージェントに送り、次いで第1のエージェントは自分の鍵で復号化し、次いでその部分的に復号化されたメッセージを第2のエージェントに送り、次いで第2のエージェントはメッセージを復号化し読み取る。残念ながら、プライバシー問題はまだ解決されておらず、(自分で復号化した)メッセージおよび(前に自分の鍵を送った)送信者の両方を知っている第2のエージェントに問題が移動しただけである。
デビッド・チャウム(David Chaum)、「追跡不能の電子メール、戻りアドレス、およびデジタル偽名(Untraceableelectronic Mail, Return Addresses and Digital Pseudonyms)」、コミュニケーションズ・オブACM(Comm ACM)24巻、No.2、1981年2月、84〜88頁
デビッド・チャウム(David Chaum)、「追跡不能の電子メール、戻りアドレス、およびデジタル偽名(Untraceableelectronic Mail, Return Addresses and Digital Pseudonyms)」、コミュニケーションズ・オブACM(Comm ACM)24巻、No.2、1981年2月、84〜88頁
したがって、本発明の主な目的は、何人かの送信者から受信者へ送るメッセージの匿名通信を行うことを可能にするシステムを提供することである。本発明の他の目的は、投票を受信する受信者に対して、複数のトラスティ(鍵を管理するシステム)により各投票者の匿名性が保たれる、選挙に適合するシステムを提供することである。
したがって、本発明は、複数の送信者から受信者へ送るメッセージの匿名通信を行うためのシステムに関し、送信者から送られるメッセージが、送信者と受信者の間に配置される複数のトラスティ(中間トラスティ)の鍵を組み合わせることによって得られる送信者鍵で暗号化される。ここで、トラスティとは、暗号処理を実施できる限り、通常のコンピュータ・システムを用いて良い。中間トラスティは、各列jがk+1−j個(kは、列1のトラスティの数)のトラスティを有するk−1個の列に編成され、その結果、合計のトラスティ数は(k−1)(k+2)/2個となる。列j−1中の同じ行の対応するトラスティに特有の鍵を送ると共に列j−1中の行k+2−jのトラスティに特有の鍵を送る行k+1−jのトラスティを除いて、列jの各トラスティは、列j−1中の同じ行の対応するトラスティに特有の鍵を送り、それによって、送信者は、列1のk個のトラスティの中の各トラスティから1つの鍵を受け取り、その送信者鍵が、第1列のトラスティから受け取ったすべての鍵の組合せとなるようにする。ここで、行および列は、物理的な意味に必ずしも用いられているのではなく、論理的な意味に解しても良い。
本発明の上記および他の目的、特徴および利点は、添付の図面を、以下のより詳細な本発明の説明と併せて読めばよりよく理解されよう。
本発明の原理は、トラスティおよび最終受信者をトラスティの行および列に編成することである。メッセージは、他の行またはトラスティからの鍵でまだ暗号化されたままであり、したがって、どのトラスティもメッセージ中の平文にアクセスすることができず、そのため匿名の要件が満たされるようになる。
以下の説明では、記号「°」は、式の第2の部分を構成する鍵による、式の第1の部分の対称暗号化を示す。好ましい実施形態では、鍵による暗号化は桁ごとに単純に加算するモジュロ10演算であり、それは可換性の利点を有する。この場合、復号化は単純に減算するモジュロ10演算である。しかし、本発明は、可換性のあるすべての暗号化、例えばバーナム(Vernam)暗号におけるXOR機能にも同様な方式で適用される。(DESおよびAESのように)可換性のない対称暗号化も使用することができるが、ユーザはすべての対称鍵を正しい順番で使用して自分のメッセージを暗号化する必要がある。
3個のトラスティを有するシステム
図1に示すように、メッセージの受信者であるエージェント3は、エージェント1およびエージェント2それぞれに各鍵に対応するインデックスと共に、別々に鍵を配布する。次いで、エージェント1およびエージェント2は、ランダムに生成した自分自身の鍵を、エージェント3から受け取ったものと組み合わせ(これは、桁ごとに加算するモジュロ10演算とすることができる)、次いで市民(ユーザ)にその結果を別々に送る。エージェントは、エージェント3から受け取ったインデックスと共に自分の鍵をデータベースに保有する。
図1に示すように、メッセージの受信者であるエージェント3は、エージェント1およびエージェント2それぞれに各鍵に対応するインデックスと共に、別々に鍵を配布する。次いで、エージェント1およびエージェント2は、ランダムに生成した自分自身の鍵を、エージェント3から受け取ったものと組み合わせ(これは、桁ごとに加算するモジュロ10演算とすることができる)、次いで市民(ユーザ)にその結果を別々に送る。エージェントは、エージェント3から受け取ったインデックスと共に自分の鍵をデータベースに保有する。
この場合、そのフローは、
・エージェント3→エージェント1: 鍵3a、インデックス鍵3a
・エージェント3→エージェント2: 鍵3b、インデックス鍵3b
・エージェント1→市民: 鍵A=鍵3a°鍵1
・エージェント2→市民: 鍵B=鍵3b°鍵2
・エージェント3→エージェント1: 鍵3a、インデックス鍵3a
・エージェント3→エージェント2: 鍵3b、インデックス鍵3b
・エージェント1→市民: 鍵A=鍵3a°鍵1
・エージェント2→市民: 鍵B=鍵3b°鍵2
市民は、ちょうど2つの鍵を受け取っていることに留意されたい。その市民が、各鍵が実際は異なるエージェントから送られた鍵の組合せであることに気付く必要もない。
市民は、自分のメッセージ(本実施形態では「投票」とする)を両方の鍵で暗号化する。
暗号化された投票=投票°鍵A°鍵B=投票°鍵3a°鍵1°鍵3b°鍵2
(式1.a)
暗号化された投票=投票°鍵A°鍵B=投票°鍵3a°鍵1°鍵3b°鍵2
(式1.a)
復号化のフローを図2に示す。まず、市民は、自分の暗号化された投票(式1.a参照)をエージェント1に送る。エージェント1は、そのメッセージに自分の鍵、鍵1だけを適用(=減算)し、鍵3aのインデックスを添付し、その結果をその市民の識別と共にエージェント2に送る。エージェント2は、そのメッセージに自分の鍵2だけを適用し、鍵3bのインデックスを添付し、市民の識別を削除し、その結果をエージェント3に送る。エージェント3は、メッセージ中のインデックスを用いて鍵、すなわち鍵3aと鍵3bを参照し、次いで最終のメッセージを復号化する。
より正式には、
・市民→エージェント1: 投票°鍵3a°鍵1°鍵3b°鍵2、および市民の識別も含む
・エージェント1→エージェント2: 投票°鍵3a°鍵3b°鍵2、および市民の識別とインデックス鍵3aも含む
・エージェント2→エージェント3: 投票°鍵3a°鍵3b、およびインデックス鍵3aとインデックス鍵3b、市民の識別はなし
・市民→エージェント1: 投票°鍵3a°鍵1°鍵3b°鍵2、および市民の識別も含む
・エージェント1→エージェント2: 投票°鍵3a°鍵3b°鍵2、および市民の識別とインデックス鍵3aも含む
・エージェント2→エージェント3: 投票°鍵3a°鍵3b、およびインデックス鍵3aとインデックス鍵3b、市民の識別はなし
投票が秘匿されたままでいるための条件は、その3つのエージェントのうちの2つさえ自分のデータを適切に保護すればよいということである。3つ目のエージェントは自分のデータすべてを公開することもできる。その極端な場合であっても、その他のエージェントによってなお外部に対する機密性を保護することができる。
エージェントは、そのセキュリティ・インフラストラクチャによってのみ選ばれるのではなく、共謀することがないという評判によっても選ぶべきである。公に保証する方法としては、すべてのトラスティを十分な数の監査者がいる1箇所に配置し、使用したハードウェアを封印(シール)し、またはデータを適切なときに消去することである。
6個のトラスティを有するシステム
図3では、6つのエージェントを有するモデルの一実施例においてどのように鍵が配布されるかが示してある。それは、最初のエージェントが3行および3列で構成されているマトリックスを示しているが、k−j+1がiより小さいインデックス(i、j)のすべてのエージェントは削除されている。この削除は有効性のために必要である。例えば、位置(k、k−1)のエージェントはメッセージの最終受信者(位置(1、k)の「エージェント」)と直接共謀することもできる。こうすると、位置(1、k)より下のすべてのエージェントがほとんど無用なものになってしまう。
図3では、6つのエージェントを有するモデルの一実施例においてどのように鍵が配布されるかが示してある。それは、最初のエージェントが3行および3列で構成されているマトリックスを示しているが、k−j+1がiより小さいインデックス(i、j)のすべてのエージェントは削除されている。この削除は有効性のために必要である。例えば、位置(k、k−1)のエージェントはメッセージの最終受信者(位置(1、k)の「エージェント」)と直接共謀することもできる。こうすると、位置(1、k)より下のすべてのエージェントがほとんど無用なものになってしまう。
図3の説明は、前記の3個による実施形態に類似する。その手順は、以下の通りである。
・エージェントf→エージェントd: 鍵_fd、インデックス鍵_fd
・エージェントf→エージェントe: 鍵_fe、インデックス鍵_fe
・エージェントd→エージェントa: 鍵_fd°鍵_da、インデックス鍵_da
・エージェントe→エージェントb: 鍵_fe°鍵_eb、インデックス鍵_eb
・エージェントe→エージェントc: 鍵_fe°鍵_ec、インデックス鍵_ec
・エージェントa→市民: 鍵A=鍵_fd°鍵_da°鍵_a
・エージェントb→市民: 鍵B=鍵_fe°鍵_eb°鍵_b
・エージェントc→市民: 鍵C=鍵_fe°鍵_ec°鍵_c
・エージェントf→エージェントe: 鍵_fe、インデックス鍵_fe
・エージェントd→エージェントa: 鍵_fd°鍵_da、インデックス鍵_da
・エージェントe→エージェントb: 鍵_fe°鍵_eb、インデックス鍵_eb
・エージェントe→エージェントc: 鍵_fe°鍵_ec、インデックス鍵_ec
・エージェントa→市民: 鍵A=鍵_fd°鍵_da°鍵_a
・エージェントb→市民: 鍵B=鍵_fe°鍵_eb°鍵_b
・エージェントc→市民: 鍵C=鍵_fe°鍵_ec°鍵_c
ただし、
鍵_xy: エージェントxからエージェントyに送る(または送った)鍵、
インデックス鍵_xy: 鍵_xyと共にエージェントyに送られた、xのデータベース中の鍵_xyのインデックス
鍵_xy: エージェントxからエージェントyに送る(または送った)鍵、
インデックス鍵_xy: 鍵_xyと共にエージェントyに送られた、xのデータベース中の鍵_xyのインデックス
市民は、エージェントbを介して1回、もう1回はエージェントcを介して、鍵_feを2回受け取っていることに留意されたい。そのため、復号化段階では、後で複製される鍵を受け取った各エージェントは冗長な鍵を除去すべきであり、その列の次のエージェントにはその鍵で1回だけ暗号化されているメッセージを送ることが要求される。
図4は、6個のトラスティを含む実施例で市民からのメッセージがどのようにして復号化されるかを示す。この説明は、3個のトラスティを含む第1の実施形態に基づいて説明したものと類似している。手順は以下の通りである。
・市民→エージェントa: 投票°鍵A°鍵B°鍵C°、および市民の識別も含む
・エージェントa→エージェントb: 投票°鍵_fd°鍵_da°鍵B°鍵C、インデックス鍵_da、および市民の識別も含む
・エージェントb→エージェントc: 投票°鍵_fd°鍵_da°鍵_fe°鍵_eb°鍵C、インデックス鍵_da、インデックス鍵_ebおよび市民の識別も含む
・エージェントc→エージェントe: 投票°鍵_fd°鍵_da°鍵_fe°鍵_eb°鍵_fe°鍵_ec、インデックス鍵_da、インデックス鍵_eb、インデックス鍵_ec(市民の識別を含まない)
・エージェントe→エージェントd: 投票°鍵_fd°鍵_da°鍵_fe、インデックス鍵_da、インデックス鍵_fe(警告:エージェントeは、鍵_feを用いて1回復号化することが必要である。実際に、エージェントeに渡されたメッセージは、同じ鍵、鍵_feで2度暗号化されている。そのエージェントがそれを変更しないままでいた場合は、それにより、投票についてエージェントdが何かを知り得たかもしれない。最も明白な実施例は、暗号化として加算モジュロ2(XOR)演算が使用された場合である。その場合、「鍵_fe°鍵_fe」は常にゼロになる。したがって、エージェントdは単に「投票°鍵_fd」を受け取ることになり、そのエージェントは鍵_fdを知っているので、エージェントfに届く前に投票を復号化することができるはずである)。
・エージェントd→エージェントf: 投票°鍵_fd°鍵_fe、インデックス鍵_fe、インデックス鍵_fd
エージェントfは上式中のすべての鍵を参照することができ、したがって、メッセージを復号化し投票を取得することができる。
・エージェントa→エージェントb: 投票°鍵_fd°鍵_da°鍵B°鍵C、インデックス鍵_da、および市民の識別も含む
・エージェントb→エージェントc: 投票°鍵_fd°鍵_da°鍵_fe°鍵_eb°鍵C、インデックス鍵_da、インデックス鍵_ebおよび市民の識別も含む
・エージェントc→エージェントe: 投票°鍵_fd°鍵_da°鍵_fe°鍵_eb°鍵_fe°鍵_ec、インデックス鍵_da、インデックス鍵_eb、インデックス鍵_ec(市民の識別を含まない)
・エージェントe→エージェントd: 投票°鍵_fd°鍵_da°鍵_fe、インデックス鍵_da、インデックス鍵_fe(警告:エージェントeは、鍵_feを用いて1回復号化することが必要である。実際に、エージェントeに渡されたメッセージは、同じ鍵、鍵_feで2度暗号化されている。そのエージェントがそれを変更しないままでいた場合は、それにより、投票についてエージェントdが何かを知り得たかもしれない。最も明白な実施例は、暗号化として加算モジュロ2(XOR)演算が使用された場合である。その場合、「鍵_fe°鍵_fe」は常にゼロになる。したがって、エージェントdは単に「投票°鍵_fd」を受け取ることになり、そのエージェントは鍵_fdを知っているので、エージェントfに届く前に投票を復号化することができるはずである)。
・エージェントd→エージェントf: 投票°鍵_fd°鍵_fe、インデックス鍵_fe、インデックス鍵_fd
エージェントfは上式中のすべての鍵を参照することができ、したがって、メッセージを復号化し投票を取得することができる。
複数のトラスティを有するシステム
図5では、6個を超えるトラスティまたはエージェントを有する一般的なシステムを示す。ただし、エージェントi、jは、1≦i、j≦kである行iと列j上のエージェントである。
図5では、6個を超えるトラスティまたはエージェントを有する一般的なシステムを示す。ただし、エージェントi、jは、1≦i、j≦kである行iと列j上のエージェントである。
j=kである各エージェントi、jは(図5の3角形マトリクスでは、最も右の列中にだけこのようなエージェント、すなわちエージェント1、kがいる)、ランダムに鍵を生成し、その隣のエージェントi、k−1にそれを渡す。その最右列の最も下のエージェント(すでに述べたように、それはエージェント1、kである)は、ランダムに別の鍵を生成し、3角形マトリクス中ではエージェント2、k−1であるエージェントi+1、k−1を介してそれを送る。鍵はそのインデックスと共に送達される。さらに、受信者に加えて(k−1)(k+2)/2個の中間トラスティがいることに留意されたい。
1およびkとは異なるjを有する各エージェントi、jは、
1)その隣のエージェントi、j+1から鍵(i、j+1)およびインデックス(i、j+1)を受け取り、受け取ったインデックス(i、j+1)を記憶する。
2)ランダムに新しい鍵、すなわち鍵*(i、j)を生成する。
3)インデックス(i、j)を鍵*(i、j)に付し(attribute)、そのインデックスを記憶する。
4)鍵*(i、j)を鍵(i、j+1)に加算し、その結果の 鍵(i、j)=鍵(i、j+1)°鍵*(i、j) をその鍵のインデックス(i、j)と共にエージェントi、j−1に渡す。
1)その隣のエージェントi、j+1から鍵(i、j+1)およびインデックス(i、j+1)を受け取り、受け取ったインデックス(i、j+1)を記憶する。
2)ランダムに新しい鍵、すなわち鍵*(i、j)を生成する。
3)インデックス(i、j)を鍵*(i、j)に付し(attribute)、そのインデックスを記憶する。
4)鍵*(i、j)を鍵(i、j+1)に加算し、その結果の 鍵(i、j)=鍵(i、j+1)°鍵*(i、j) をその鍵のインデックス(i、j)と共にエージェントi、j−1に渡す。
3角形のマトリクスでは、最も下のエージェントがランダムに別の鍵を生成し、上記のステップ2〜4で説明したように、エージェントi+1、j−1を介してそれを送る。
j=1である各エージェントi、jは、
・上記のステップ1〜3を実施する。
・インデックス(i、j)、すなわちインデックス(i、2)を市民の識別にマップし、あるいは最終的に市民にマップされるシリアル番号にマップする。
・鍵(i、2)に鍵*(i、1)を加算し、その結果の 鍵(i、j)=鍵*(i、1)°鍵(i、2) を安全で認証された方式でユーザに渡す。
j=1である各エージェントi、jは、
・上記のステップ1〜3を実施する。
・インデックス(i、j)、すなわちインデックス(i、2)を市民の識別にマップし、あるいは最終的に市民にマップされるシリアル番号にマップする。
・鍵(i、2)に鍵*(i、1)を加算し、その結果の 鍵(i、j)=鍵*(i、1)°鍵(i、2) を安全で認証された方式でユーザに渡す。
図6は、同じ複数のエージェントを有するシステムでどのようにメッセージを復号化するかを示す。最も左の列(そのカスタマーであるユーザに直接その特有の鍵を送達したエンティティ)、言い換えるとj=1である各エージェントi、jは、
・市民の識別を使用して鍵*(i、j)を参照する。
・鍵*(i、1)のみを用いて暗号化されたメッセージを復号化する。
・市民の識別を使用して、配布段階で鍵をこのエージェントに渡した列2のエージェントのインデックス(たいていの場合、これはインデックス(i、2)である)を参照する。
・参照したインデックスをメッセージに添付する。
・その結果のメッセージをその列の次のエージェントに渡し、あるいは列の最後に達している場合は市民の識別を削除しその結果のメッセージを第2列中のエージェントに渡す。
・市民の識別を使用して鍵*(i、j)を参照する。
・鍵*(i、1)のみを用いて暗号化されたメッセージを復号化する。
・市民の識別を使用して、配布段階で鍵をこのエージェントに渡した列2のエージェントのインデックス(たいていの場合、これはインデックス(i、2)である)を参照する。
・参照したインデックスをメッセージに添付する。
・その結果のメッセージをその列の次のエージェントに渡し、あるいは列の最後に達している場合は市民の識別を削除しその結果のメッセージを第2列中のエージェントに渡す。
jがkおよび1とは異なる各エージェントi、jは、
・メッセージからインデックス(i、j)を抽出して鍵*(i、j)を参照する。
・鍵*(i、j)のみを用いて暗号化されたメッセージを復号化する。
・そのエージェントが列j−1の2つのエージェントに特有の鍵を送った場合にのみ、受信した第2のインデックス(i、j)を用いて上記の2つのステップを繰り返す。
・インデックス(i、j)を用いて、鍵配布段階で鍵をこのエージェントに渡した次の列j+1のエージェントのインデックス(たいていの場合、これはインデックス(i、j+1)である)を参照する。
・参照した(列j+1のエージェント用の)インデックスをメッセージに添付する。
・メッセージからインデックス(i、j)を削除する。
・そのエージェントが列j−1の2つのエージェントに特有の鍵を送った場合にのみ、前に説明したように、同じ鍵で2回暗号化されたメッセージを送るのを回避するために、列j+1から受け取った鍵を用いて1回だけメッセージを復号化する。
・その結果のメッセージをその列の次のエージェントに渡す、あるいは列の最後に達していた場合、次の列j+1のエージェントにその結果のメッセージを渡す。
・メッセージからインデックス(i、j)を抽出して鍵*(i、j)を参照する。
・鍵*(i、j)のみを用いて暗号化されたメッセージを復号化する。
・そのエージェントが列j−1の2つのエージェントに特有の鍵を送った場合にのみ、受信した第2のインデックス(i、j)を用いて上記の2つのステップを繰り返す。
・インデックス(i、j)を用いて、鍵配布段階で鍵をこのエージェントに渡した次の列j+1のエージェントのインデックス(たいていの場合、これはインデックス(i、j+1)である)を参照する。
・参照した(列j+1のエージェント用の)インデックスをメッセージに添付する。
・メッセージからインデックス(i、j)を削除する。
・そのエージェントが列j−1の2つのエージェントに特有の鍵を送った場合にのみ、前に説明したように、同じ鍵で2回暗号化されたメッセージを送るのを回避するために、列j+1から受け取った鍵を用いて1回だけメッセージを復号化する。
・その結果のメッセージをその列の次のエージェントに渡す、あるいは列の最後に達していた場合、次の列j+1のエージェントにその結果のメッセージを渡す。
j=kである各エージェントi、j(図6の3角形マトリックスでは、このようなエージェントが1つ、すなわちエージェント1、kだけがいる)は、
・メッセージからインデックス(i、k)を抽出して、鍵*(i、k)を参照する。
・鍵*(i、k)を用いて暗号化されたメッセージを復号化する。
・エージェントが列k−1の2つのエージェントに特有の鍵を送った場合(それは、まさに3角形マトリクスにおける場合であるが)、他のインデックス(i+1、k)も用いて上記の2ステップを繰り返し、平文のメッセージまたは投票を取得する。
・メッセージからインデックス(i、k)を抽出して、鍵*(i、k)を参照する。
・鍵*(i、k)を用いて暗号化されたメッセージを復号化する。
・エージェントが列k−1の2つのエージェントに特有の鍵を送った場合(それは、まさに3角形マトリクスにおける場合であるが)、他のインデックス(i+1、k)も用いて上記の2ステップを繰り返し、平文のメッセージまたは投票を取得する。
信用の成立要件
信頼できるためには、本発明によるシステムは、誰かが平文メッセージとその送信者の間をリンクさせることができるのを回避する必要がある。以下では、エージェントによるどのような共謀がシステムを破綻(break)させ、どのような共謀がシステムを破綻させるには不十分であるかを示す。共謀を説明するためにこの章で用いられるシステムは、6個のトラスティまたはエージェントによるシステムであるが、その原理は任意の数のエージェントによるシステムに拡張できることは明らかである。以下の図では、灰色のボックス中のエージェント同士で共謀がある。
信頼できるためには、本発明によるシステムは、誰かが平文メッセージとその送信者の間をリンクさせることができるのを回避する必要がある。以下では、エージェントによるどのような共謀がシステムを破綻(break)させ、どのような共謀がシステムを破綻させるには不十分であるかを示す。共謀を説明するためにこの章で用いられるシステムは、6個のトラスティまたはエージェントによるシステムであるが、その原理は任意の数のエージェントによるシステムに拡張できることは明らかである。以下の図では、灰色のボックス中のエージェント同士で共謀がある。
図7では、最も左の列のエージェント間で共謀がある。この最左列のエージェントはユーザに送られた鍵を知っており、したがって、彼らは共にメッセージを復号化することができ、ユーザにリンクさせることができる。
図8では、最も左の列で1つを除くすべてのエージェント(エージェントbとc)同士で共謀がある。このような場合はまだ、彼らはメッセージを復号化するために必要な最後の鍵を欠いている。
図9では、最も左の列の1つを除くすべてのエージェントと、位置1、2のエージェント(エージェントd)の間で共謀がある。最左列では、すべてのエージェントが自分の受け取った鍵を知っている。位置1、2のエージェントは、位置1、1のエージェントに送る必要のあるものを知っている。彼らは協力して以下のようにメッセージを復号化することができる。
・エージェントbが、鍵_fe°鍵_ebを取り込む。
・エージェントcが、鍵_fe°鍵_ecを取り込む。
・エージェントdが、鍵_fd°鍵_daを取り込む。
・エージェントcがエージェントeに以下の情報を送る。
・投票°鍵_fe°鍵_eb°鍵_fe°鍵_ec°鍵_fd°鍵_da、したがって、彼らは、自分たちが取り込んでおいたものを用いて復号化し、投票を得ることができる。その上、エージェントbとエージェントcはどちらも市民の名前を知っており、したがって、投票と市民の間をリンクさせることもできる。
・エージェントcが、鍵_fe°鍵_ecを取り込む。
・エージェントdが、鍵_fd°鍵_daを取り込む。
・エージェントcがエージェントeに以下の情報を送る。
・投票°鍵_fe°鍵_eb°鍵_fe°鍵_ec°鍵_fd°鍵_da、したがって、彼らは、自分たちが取り込んでおいたものを用いて復号化し、投票を得ることができる。その上、エージェントbとエージェントcはどちらも市民の名前を知っており、したがって、投票と市民の間をリンクさせることもできる。
図10では、最も左のエンティティのうちの1つを除くすべてのエンティティと、位置(m、2)のエンティティの間に共謀がある。ただし(m、1)は、信頼できない最も左のエンティティのうちの1つの位置とする。この場合はまだ、自分の秘密を何も開示していないエンティティが全部を占めている行がある。したがって、メッセージはいつでも、鍵_fd°鍵_daまたは鍵_daで(信頼できない者に関して)暗号化されたままになる。
図11では、完全であった行が危殆化(compromise)している。したがって、ユーザとそのメッセージの間のリンクは、インデックスを介して簡単に行うことができる。
図12では、最左列を除くすべてのエージェントが危殆化している。しかし、その誰もユーザの識別を知らないので、メッセージとユーザの間をリンクさせることはできない。
上記によると、本システムの利点は、対称鍵を使用できる可能性を有すると共に、前述した特有のかつ十分大きな組合せでなければ、無条件に(ある種の組合せの)エンティティを信用する必要がなく、一方ではユーザと接触しユーザを知っている者と、他方では最終メッセージを復号化できる者にエンティティを分割することができる可能性にあることは明らかである。こうすることによって、システムは、(単なるバッチとは対照的に)メッセージの「実時間」での匿名性にも適することができる。
総選挙のための実施形態
図13に示す、総選挙で本発明によるシステムを使用するための概要は、3つのステップを含む。
・上記のマトリクスによる鍵の配布
・投票者による投票の暗号化および送信
・上記のマトリクスによる投票の復号化
図13に示す、総選挙で本発明によるシステムを使用するための概要は、3つのステップを含む。
・上記のマトリクスによる鍵の配布
・投票者による投票の暗号化および送信
・上記のマトリクスによる投票の復号化
鍵の秘密性を保証するための1つの要件は、鍵がランダムに生成されることである。秘密性を高めるために、いくつかのシリーズの鍵を生成し、暗号的にまたは物理的にあるいはその両方でシールすることもできる。その場合、何人かの監査者が加わって最終的にそのシリーズの中のどの1つを送信するかランダムに選択することもできる。その場合、そのシリーズは秘密に保つべきであるが、他のシリーズは検証のためにオープン/公開することになる。
鍵の送信は、シールされた文書と同様に盗み見することができないチャネルを介して行うことも、あるいはJava(登録商標)Cardを含めたスマートカード上にロードすることもできる。
周知のように、シールされた文書は、秘密鍵がまだ公にされていないことをユーザが検証できるように適切なコーティング(coating)を含むこともできる。自分の投票であることを投票者が証明できないようにするために、正しい鍵が1つだけに含まれている、1山のとじていないシート上でいくつかの鍵をその人に送ることもできる。どのシートに正しい鍵が含まれているかは、別のシート上で示すことができる。これはすべて1つまたは複数のシールされた封筒に入れて送ることができる。シートはいつでも順序を変えることができるので、強制者(coercer)がシールされた封筒を開けた時点からずっと物理的に存在することでもない限り、誰も自分の投票を証明することができなくなる(これは1つの利点である)。
投票者は、ワンタイム・パッドまたは他の対称暗号化技法を介して投票を暗号化することができる。次いで、投票者は、認証と共に自分の暗号化した投票を第1のトラスティに送る。暗号化された投票は、投票者がその投票が正しく到着したことを検証できるように公開することができることに留意されたい。
復号化は、十分な人数の監査者によって集中的に監視される1箇所に集められたトラスティを介してメッセージを流すことにより実施することができる。あるいは、3個のトラスティを例に取ると、エージェント1とエージェント2は投票所とし、エージェント3は集計所とする。エージェントの間を通って流れる情報は、秘密であり完全なままでなければならない。それを確保するための手段は、何といっても物理的にシールされたCD−ROMと同様のシールされたデ−タ・キャリアを使用することである。ハードウェアが監視されないままである場合は、誰かがデータを修正または読み取ることを防ぐためにハードウェアもシールすることができる。
以下の実施例では、3つのエージェントまたはトラスティ、すなわち集計所(エージェント1)、国際機関(エージェント2)、地方自治体(エージェント3)と、投票者によって暗号化された投票を制御する公開掲示板(public board)とがある。
ステップ1
集計所はランダムかつ秘密に鍵3aと、5人の投票者の場合に用いることができるインデックス3aとを生成する。
集計所はランダムかつ秘密に鍵3aと、5人の投票者の場合に用いることができるインデックス3aとを生成する。
集計所は修正できないデータ・キャリアにこのテーブルを記憶しかつシールし、複製を国際機関に送る。修正できないデータ・キャリアには、シール形式の紙への印刷物、またはCD−ROMに記憶しその後それをシールするものも含めることができる。
ステップ2
国際機関は、自分の鍵2およびインデックス2をランダムにかつ秘密に生成する。
国際機関は、自分の鍵2およびインデックス2をランダムにかつ秘密に生成する。
国際機関は、修正できないデータ・キャリアにこのテーブルを記憶しかつシールする。
ステップ3
次いで、以下のように、国際機関は自分の鍵のミックスを集計所から受け取った(ミックス済のまたはミックスされていない)テーブルと組み合わせる。
国際機関のミックスされたテーブル + 集計所のテーブル(やはりここでミックスされる)=
次いで、以下のように、国際機関は自分の鍵のミックスを集計所から受け取った(ミックス済のまたはミックスされていない)テーブルと組み合わせる。
国際機関のミックスされたテーブル + 集計所のテーブル(やはりここでミックスされる)=
この最後のテーブルには、最終的に以下の実施例で示すように最終ユーザの識別を先頭につけるようにする。
多くの実施形態では、自分の鍵を解放したユーザに対処するために、インデックス2はシリアル番号の役割を果たすことになる。この実施形態では、生成された鍵の数は、ユーザの数より多くなる。各ユーザは1つのシリアル番号に関連付けられる。ユーザが自分の鍵を解放してしまった場合、ユーザは他のシリアル番号と関連付けられることになる。
次に鍵はユーザに送られる。これを行うために、例えば鍵はシールされ認証された封筒中に印刷されて送られ、あるいは、例えば鍵をその上に含むスマートカードを発行することができる。
・Janssens夫人は、国際機関から「鍵:0」を得る。
・Peeters氏は、国際機関から「鍵:2」を得る。
・Grosjean氏は、国際機関から「鍵:6」を得る。
・Petitbois夫人は、国際機関から「鍵:3」を得る。
・Van Peteghem夫人は、国際機関から「鍵:0」を得る。
・Peeters氏は、国際機関から「鍵:2」を得る。
・Grosjean氏は、国際機関から「鍵:6」を得る。
・Petitbois夫人は、国際機関から「鍵:3」を得る。
・Van Peteghem夫人は、国際機関から「鍵:0」を得る。
このステップで上記のデータから、鍵2+3aの列を削除することもできる。その他のデータは、シールされ修正のできないデータ・キャリアに記憶すべきである。
ステップ4
集計所は、鍵3bとインデックス3bをランダムにかつ秘密に生成する。
集計所は、鍵3bとインデックス3bをランダムにかつ秘密に生成する。
集計所は、このテーブルを安全に記憶し、複製を地方自治体に送る。
ステップ5
地方自治体は、自分の鍵1とインデックス1をランダムにかつ秘密に生成する。
地方自治体は、自分の鍵1とインデックス1をランダムにかつ秘密に生成する。
ステップ6
次いで、以下のように、地方自治体は自分の鍵のミックスを集計所から受け取った(ミックス済のあるいはミックスされていない)テーブルと組み合わせる。
地方自治体のテーブル + 集計所のテーブル=
次いで、以下のように、地方自治体は自分の鍵のミックスを集計所から受け取った(ミックス済のあるいはミックスされていない)テーブルと組み合わせる。
地方自治体のテーブル + 集計所のテーブル=
この最後のテーブルには、最終的に以下の実施例で示すように最終ユーザの識別を先頭につけるようにする。
この場合も、ステップ3に基づいて前に説明したように、インデックス1のインデックスはシリアル番号として使用することができる。
次に、ステップ2に基づいて前に説明したように、特有の鍵をユーザに送る。
・Janssens夫人は、地方自治体から「鍵:6」を得る。
・Peeters氏は、地方自治体から「鍵:2」を得る。
・Grosjean氏は、地方自治体から「鍵:9」を得る。
・Petitbois夫人は、地方自治体から「鍵:9」を得る。
・Van Peteghem夫人は、地方自治体から「鍵:1」を得る。
・Peeters氏は、地方自治体から「鍵:2」を得る。
・Grosjean氏は、地方自治体から「鍵:9」を得る。
・Petitbois夫人は、地方自治体から「鍵:9」を得る。
・Van Peteghem夫人は、地方自治体から「鍵:1」を得る。
このステップで、上記のデータから、鍵1+3aの列を削除することもできる。そのほかのデータは、シールされ修正のできないデータ・キャリアに記憶すべきである。
ステップ7
ユーザは、ステップ3およびステップ6の最後で述べたように鍵を得る。例えば、Janssens夫人は国際機関から「鍵=0」を受け取り、地方自治体からは「鍵=6」を受け取る。
ユーザは、ステップ3およびステップ6の最後で述べたように鍵を得る。例えば、Janssens夫人は国際機関から「鍵=0」を受け取り、地方自治体からは「鍵=6」を受け取る。
ステップ8
ユーザは、自分の暗号化される投票を遠隔で計算する。
4人の候補者がいるものとする。
ユーザは、自分の暗号化される投票を遠隔で計算する。
4人の候補者がいるものとする。
1.Jan Jannsen
2.Peter Persen
3.Bernard Bernardsen
4.Julie Junesco
2.Peter Persen
3.Bernard Bernardsen
4.Julie Junesco
Janssens夫人、Peeters氏、およびGrosjean氏は、2番目の候補者、Peter Persenに投票したい。その他の2人の投票者は、4番目の候補者、Julie Junescoに投票したい。
PCを使用する場合、Janssens夫人は、(java(登録商標)scriptを含む)ウェブ・ページにログオンし、2番目の候補者を選択し、受け取っている2つの鍵とここでの認証情報とを入力する。java(登録商標)scriptは、(候補者用の)2プラス(国際機関から得た鍵である)0プラス(地方自治体から得た鍵である)6モジュロ10をローカルに計算し、8が得られる。8は、Janssens夫人の暗号化された投票であり、夫人はそれを公開電子掲示板(public bulletin board)ウェブ・サイトにサブミットする。
Peeters氏は、PCへのアクセスを有していないので、手作業で自分の投票を計算する。
2+2+2mod10=6
Peeters氏は、簡単な電話(音声応答の)アプリケーションにアクセスし、(ワンタイム・パスワードまたは声紋あるいはその両方を用いて)認証し、自分の暗号化された投票6を送信する。
2+2+2mod10=6
Peeters氏は、簡単な電話(音声応答の)アプリケーションにアクセスし、(ワンタイム・パスワードまたは声紋あるいはその両方を用いて)認証し、自分の暗号化された投票6を送信する。
Grosjean氏もPCへのアクセスを有していない。彼も自分の投票を手作業で計算する。
2+6+9mod10=7
Grosjean氏は、自分のユーザIDおよびワンタイム・パスワードを、続いて暗号化済み投票7を含むSMSを送る。
2+6+9mod10=7
Grosjean氏は、自分のユーザIDおよびワンタイム・パスワードを、続いて暗号化済み投票7を含むSMSを送る。
Petitbois夫人は、Janssens夫人と同様にPCを使用して投票し、認証後、
4(候補者番号)+3+9mod10=6
をサブミットする。
4(候補者番号)+3+9mod10=6
をサブミットする。
Van Peteghem夫人もPCを使用して投票し、認証後、
4(候補者番号)+0+1mod10=5
をサブミットする。
4(候補者番号)+0+1mod10=5
をサブミットする。
音声応答システム、ウェブ・サイト、およびSMSゲートウェイはすべて同じ公開電子掲示板を更新する。
ステップ9と10
公開電子掲示板は、以下の投票を収集する。
公開電子掲示板は、以下の投票を収集する。
市民は、暗号化された投票が、ウェブ・サイト、音声サーバ、SMSによる要求など、様々な方式中で正しくリストされていることを検証することができる。本明細書では、それを検証するための認証は本質的なものではない。
ステップ11
地方自治体の場所で、鍵1が参照される。
地方自治体の場所で、鍵1が参照される。
Van Peteghem夫人に対しては、インデックス1=5 → 鍵1=7。
5(暗号化された投票)−7(鍵)mod10=8。 8が部分的に復号化された投票である。
5(暗号化された投票)−7(鍵)mod10=8。 8が部分的に復号化された投票である。
地方自治体はまた、Van Peteghem夫人に対して、インデックス3b=1であることを参照する。
したがって、Van Peteghem夫人に対して以下のデータを記憶する。
Van Peteghem夫人、8、インデックス3b=1
したがって、Van Peteghem夫人に対して以下のデータを記憶する。
Van Peteghem夫人、8、インデックス3b=1
同様に、そのほかの投票者の以下のデータを記憶する。
・Petitbois夫人、8、インデックス3b=2
・Grosjean氏、6、インデックス3b=5
・Janssens夫人、4、インデックス3b=4
・Peeters氏、2、インデックス3b=3
・Petitbois夫人、8、インデックス3b=2
・Grosjean氏、6、インデックス3b=5
・Janssens夫人、4、インデックス3b=4
・Peeters氏、2、インデックス3b=3
結果: 地方自治体は、国際機関に以下のデータを秘密に送る。
地方自治体は、投票の意図については何も知らないことに留意されたい。投票が部分的に復号化されていても地方自治体には解読できないままである。実際、この部分的に復号化されたメッセージを暗号化している鍵のうちの1つは鍵3aであるが、地方自治体は決してそれにアクセスすることができない。
ステップ12
国際機関の場所で鍵2が参照される。
国際機関の場所で鍵2が参照される。
Van Peteghem夫人に対しては、インデックス2=4 → 鍵2=0。
8(地方自治体からの部分的に暗号化された投票)−0mod10=8。 8は、国際機関によって復号化された後の部分的に復号化された投票である。国際機関はまた、その記憶されたテーブルを調べ、インデックス3a=2であることを見つける。
結果:国際機関は、次のメッセージをVan Peteghem夫人のために集計所に送る。
8、インデックス3b=1、インデックス3a=2
夫人の名前を伝えることなく、またメッセージの順序をミックスして送るので、行番号を見ることにより投票者の識別を推定することはできない。
8(地方自治体からの部分的に暗号化された投票)−0mod10=8。 8は、国際機関によって復号化された後の部分的に復号化された投票である。国際機関はまた、その記憶されたテーブルを調べ、インデックス3a=2であることを見つける。
結果:国際機関は、次のメッセージをVan Peteghem夫人のために集計所に送る。
8、インデックス3b=1、インデックス3a=2
夫人の名前を伝えることなく、またメッセージの順序をミックスして送るので、行番号を見ることにより投票者の識別を推定することはできない。
行をミックスする方式はまた、後の監査のために修正できないデータ・キャリアに記憶されシールされる。
ここで、国際機関に対するこのようなミックスの一実施例を示す。
このミックスの後、国際機関は以下のメッセージを集計所に送る。
国際機関は、投票の意図についてはやはり何も知らないことに留意されたい。投票が部分的に復号化されていても国際機関には解読できないままである。国際機関は、現在インデックス3bを知っているが、鍵3bそれ自体を知らない。
ステップ13
上記のメッセージは、名前が添付されずに集計所に到着する。
上記のメッセージは、名前が添付されずに集計所に到着する。
第1のメッセージに対して、集計所は、インデックス3b=5の鍵を参照し、8を得る。次いで、インデックス3a=1の鍵を参照し、3を得る。
3−8−3mod10=2
同様に、その他のメッセージは、以下のように生成する。
3−1−8mod10=4
3−2−9mod10=2
8−4−0mod10=4
7−8−7mod10=2
3−8−3mod10=2
同様に、その他のメッセージは、以下のように生成する。
3−1−8mod10=4
3−2−9mod10=2
8−4−0mod10=4
7−8−7mod10=2
したがって、誰が何に投票したか知られることなく投票の意図は復号化される。
上記の最終結果を公開する前に、再度、行がランダムにミックスされる。
例えばミキシング(mixing)が以下の通りであった場合、
例えばミキシング(mixing)が以下の通りであった場合、
上記ミキシング・テーブルは秘密に記憶され、最終的にリリースされ復号化された投票は、次のようになる。
一般に、鍵、インデックス、および各部分的な復号化ステップ、ならびに各ミキシングに関するデータは、修正のできないシールされたデータ支持体に書き込まれ、後で監査ができるようにする。
ステップ14
上記の結果は集計され、以下の結果を生成する。
1.Jan Jannsen:0票
2.Peter Persen:3票
3.Bernard Bernardsen:0票
4.Julie Junesco:2票
上記の結果は集計され、以下の結果を生成する。
1.Jan Jannsen:0票
2.Peter Persen:3票
3.Bernard Bernardsen:0票
4.Julie Junesco:2票
監査は、以下のいずれかをランダムに選択することによって行うことができる。
すなわち、国際機関のデータにも集計所のデータにもアクセスできない監査者に、
・地方自治体で記憶されている鍵の鍵1およびインデックスと、
・国際機関に送られたメッセージと
を明らかにする、または
すなわち、国際機関のデータにも集計所のデータにもアクセスできない監査者に、
・地方自治体で記憶されている鍵の鍵1およびインデックスと、
・国際機関に送られたメッセージと
を明らかにする、または
地方自治体のデータにも集計所のデータにもアクセスできない監査者に、
・地方自治体から受け取ったメッセージと、
・国際機関に記憶されている鍵の鍵2およびインデックスと、
・国際機関のミキシング・テーブルと、
・集計所に送られたメッセージと
を明らかにする、または
・地方自治体から受け取ったメッセージと、
・国際機関に記憶されている鍵の鍵2およびインデックスと、
・国際機関のミキシング・テーブルと、
・集計所に送られたメッセージと
を明らかにする、または
地方自治体のデータにも国際機関のデータにもアクセスできない監査者に、
・国際機関から受け取ったメッセージと、
・集計所に記憶されている鍵3a、3bおよびインデックスと、
・公開され復号化された投票の最終リストと比較するための集計所のミキシング・テーブルと
を明らかにする。
・国際機関から受け取ったメッセージと、
・集計所に記憶されている鍵3a、3bおよびインデックスと、
・公開され復号化された投票の最終リストと比較するための集計所のミキシング・テーブルと
を明らかにする。
Claims (9)
- メッセージの匿名通信を行うためのシステムであって、
送信者と受信者の間に配置される複数のトラスティを含み、
前記トラスティは、各列jがk+1−j個(kは、列1のトラスティの数)のトラスティを有するk−1個の列を編成する、(k−1)(k+2)/2個の中間トラスティを含み、
列j−1中の同じ行の対応するトラスティと列j−1中の行k+2−jのトラスティの双方に特有の鍵を送る行k+1−jのトラスティを除き、列jの各トラスティは、列j−1中の同じ行の対応するトラスティに特有の鍵を送り、
列1の各トラスティから前記送信者に送られたすべての鍵を組合わせて得られた送信者鍵を用いてメッセージが暗号化されることを特徴とするシステム。 - 列jのトラスティから列j−1のトラスティに送られた前記特有の鍵が、列j+1のトラスティから受け取った鍵と、ランダムに生成された鍵の組合せであり、前記特有の鍵が送られる際、インデックスも送られ、当該特有の鍵およびその対応するインデックスが各トラスティのデータベースに記憶される、請求項1に記載のシステム。
- 前記送信者が前記送信者鍵を用いて暗号化されたメッセージを前記列1の第1のトラスティに送ることに応じて、当該第1のトラスティが当該メッセージを、当該第1のトラスティによって記憶されていた特有の鍵を用いて復号化すること、
前記第1のトラスティによって復号化されたメッセージが同じ列の第2のトラスティに送られることに応じて、当該第2のトラスティが当該メッセージを、当該第2のトラスティによって記憶されていた特有の鍵を用いて復号化し、当該2回復号化されたメッセージが後続の同じ列のトラスティに送られることに応じて、当該トラスティは自分の特有の鍵を用いて当該メッセージを復号化し、同様の処理が列1の最後のトラスティまで繰り返されること、ならびに
前記列1の最後のトラスティが、自分の特有の鍵を用いて復号化したメッセージを最後の列以外の列の最後のトラスティに送り、同様の処理が同じ列の最初のトラスティまで続けられ、当該トラスティは自分の鍵を用いて復号化したメッセージを次の列のトラスティに送り、以下同様にして復号化されたメッセージが自分の特有の鍵を用いてそれを復号化する前記受信者に送られること
を特徴とする、請求項2に記載のシステム。 - 送信者の識別が、列1のトラスティによって復号化されたメッセージと共に、同じ列の隣のトラスティに送られる、請求項3に記載のシステム。
- 特有の鍵と関連付けられたインデックスが、前記最後の列を除く各列の各トラスティによって復号化されたメッセージと共に、同じまたは隣の列のトラスティに送られる、請求項4に記載のシステム。
- 前記特有の鍵の組合せが、桁ごとに加算するモジュロ10演算である、請求項1ないし5のいずれかに記載のシステム。
- メッセージを各トラスティが自分の特有の鍵を用いて復号化することは、前記メッセージから前記特有の鍵を桁ごとに減算するモジュロ10演算である、請求項6に記載のシステム。
- 前記システムが選挙に使用されるシステムであり、前記送信者が、投票を前記受信者にメッセージとして送る投票者である、請求項1ないし7のいずれかに記載のシステム。
- 前記受信者から特有の鍵を受け取り、前記受信者から受け取った前記特有の鍵と自分自身の鍵を組み合わせた鍵を前記投票者に提供する2個のトラスティがあり、前記投票者の投票が前記2個のトラスティから受け取った前記特有の鍵の組合せを用いて暗号化される、請求項8に記載のシステム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP04368014 | 2004-02-27 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005242356A true JP2005242356A (ja) | 2005-09-08 |
| JP4038213B2 JP4038213B2 (ja) | 2008-01-23 |
Family
ID=34878344
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005048570A Active JP4038213B2 (ja) | 2004-02-27 | 2005-02-24 | 秘密鍵暗号方式を用いてメッセージの匿名通信を行うためのシステム |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7564977B2 (ja) |
| EP (1) | EP1569380B1 (ja) |
| JP (1) | JP4038213B2 (ja) |
| CN (1) | CN100488096C (ja) |
| AT (1) | ATE398866T1 (ja) |
| DE (1) | DE602005007526D1 (ja) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7490768B2 (en) | 2004-07-05 | 2009-02-17 | International Business Machines Corporation | Election system enabling coercion-free remote voting |
| JP2008158861A (ja) * | 2006-12-25 | 2008-07-10 | Neocsm Corp | 受付システムおよびプログラム |
| CN101399767B (zh) * | 2007-09-29 | 2011-04-20 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
| CN101414903B (zh) * | 2007-10-16 | 2011-12-21 | 吴显平 | 一种共享密钥生成方法和加解密方法 |
| US8634553B2 (en) | 2007-11-05 | 2014-01-21 | Sumitomo Electric Industries, Ltd. | Encryption key generation device |
| US20090257593A1 (en) * | 2008-04-10 | 2009-10-15 | Comverse Ltd. | Method and apparatus for secure messaging |
| JP5269984B2 (ja) * | 2009-04-28 | 2013-08-21 | 住友電気工業株式会社 | 暗号鍵生成装置 |
| CN102333096B (zh) * | 2011-10-18 | 2014-03-12 | 清华大学 | 匿名通信系统的信誉度控制方法及系统 |
| US8943331B2 (en) * | 2012-12-28 | 2015-01-27 | Alcatel Lucent | Privacy-preserving database system |
| ES2556681B1 (es) * | 2014-06-17 | 2017-01-25 | Juan José BERMÚDEZ PÉREZ | Sistema de voto electrónico anónimo y seguro en redes abiertas |
| US10666584B2 (en) * | 2018-10-06 | 2020-05-26 | Jiazheng Shi | Method and system for protecting messenger identity |
| CN111355680B (zh) * | 2018-12-04 | 2022-10-21 | 李舒云 | 密钥的分发、领取方法、电子终端及存储介质 |
| US11159497B2 (en) * | 2020-01-29 | 2021-10-26 | Citrix Systems, Inc. | Secure message passing using semi-trusted intermediaries |
| US11750572B2 (en) | 2020-08-12 | 2023-09-05 | Capital One Services, Llc | System, method, and computer-accessible medium for hiding messages sent to third parties |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7254232B2 (en) * | 2001-02-14 | 2007-08-07 | Copytele, Inc. | Method and system for selecting encryption keys from a plurality of encryption keys |
| US7181017B1 (en) * | 2001-03-23 | 2007-02-20 | David Felsher | System and method for secure three-party communications |
| US7050589B2 (en) * | 2001-08-17 | 2006-05-23 | Sun Microsystems, Inc. | Client controlled data recovery management |
| US20030046534A1 (en) * | 2001-08-31 | 2003-03-06 | Alldredge Robert L. | Method and apparatus for secured electronic commerce |
| US20060018478A1 (en) * | 2004-07-23 | 2006-01-26 | Diefenderfer Kristopher G | Secure communication protocol |
-
2005
- 2005-02-16 EP EP05101167A patent/EP1569380B1/en active Active
- 2005-02-16 DE DE602005007526T patent/DE602005007526D1/de active Active
- 2005-02-16 AT AT05101167T patent/ATE398866T1/de not_active IP Right Cessation
- 2005-02-24 CN CNB2005100509370A patent/CN100488096C/zh not_active Expired - Fee Related
- 2005-02-24 JP JP2005048570A patent/JP4038213B2/ja active Active
- 2005-02-24 US US11/065,985 patent/US7564977B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| EP1569380A1 (en) | 2005-08-31 |
| CN1661957A (zh) | 2005-08-31 |
| CN100488096C (zh) | 2009-05-13 |
| ATE398866T1 (de) | 2008-07-15 |
| EP1569380B1 (en) | 2008-06-18 |
| US7564977B2 (en) | 2009-07-21 |
| JP4038213B2 (ja) | 2008-01-23 |
| US20050190924A1 (en) | 2005-09-01 |
| DE602005007526D1 (de) | 2008-07-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4038213B2 (ja) | 秘密鍵暗号方式を用いてメッセージの匿名通信を行うためのシステム | |
| Unger et al. | SoK: secure messaging | |
| Pfitzmann et al. | Networks without user observability | |
| US7738660B2 (en) | Cryptographic key split binding process and apparatus | |
| Fumy et al. | Principles of key management | |
| WO2009087939A1 (ja) | 秘匿通信方法 | |
| JPH07245605A (ja) | 暗号化情報中継装置とそれに接続される加入者端末装置ならびに暗号通信方法 | |
| Wang et al. | Data integrity checking with reliable data transfer for secure cloud storage | |
| US20010014156A1 (en) | Common key generating method, common key generator, cryptographic communication method and cryptographic communication system | |
| CN108011885A (zh) | 一种基于群组密码体制的电子邮件加密方法与系统 | |
| Kremer et al. | Selective receipt in certified e-mail | |
| Baldwin et al. | Cryptographic protocol for trustable match making | |
| Orman | Encrypted Email: The History and Technology of Message Privacy | |
| JPH0969831A (ja) | 暗号通信システム | |
| Zwierko et al. | A light-weight e-voting system with distributed trust | |
| Anderson et al. | The GCHQ protocol and its problems | |
| US20010009583A1 (en) | Secret key registration method, secret key register, secret key issuing method, cryptographic communication method and cryptographic communication system | |
| Beskorovajnov et al. | A new security notion for PKC in the standard model: weaker, simpler, and still realizing secure channels | |
| CN1926800B (zh) | 信息的加密发送接收方法 | |
| Mutabaruka | Enhancing Data Security by Using Hybrid Encryption Technique (Advanced Encryption Standard and Rivest Shamir Adleman) | |
| JPH1155247A (ja) | 送信者匿名性確保秘密情報伝達方法、その装置及びそのプログラム記録媒体 | |
| Bosk et al. | Applying privacy-enhancing technologies: One alternative future of protests | |
| Mitchell et al. | A secure messaging architecture implementing the X. 400-1988 security features | |
| Hata et al. | Secret Sharing Deniable Encryption Technique | |
| RU2268548C1 (ru) | Способ обмена конфиденциальной информацией |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070703 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071003 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20071030 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20071102 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4038213 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101109 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101109 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111109 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111109 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121109 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121109 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131109 Year of fee payment: 6 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |