JP4835886B2 - 電子投票システム - Google Patents
電子投票システム Download PDFInfo
- Publication number
- JP4835886B2 JP4835886B2 JP2009291006A JP2009291006A JP4835886B2 JP 4835886 B2 JP4835886 B2 JP 4835886B2 JP 2009291006 A JP2009291006 A JP 2009291006A JP 2009291006 A JP2009291006 A JP 2009291006A JP 4835886 B2 JP4835886 B2 JP 4835886B2
- Authority
- JP
- Japan
- Prior art keywords
- voting
- vote
- management unit
- data
- voter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004891 communication Methods 0.000 claims description 33
- 238000012795 verification Methods 0.000 claims description 12
- 230000001186 cumulative effect Effects 0.000 claims description 5
- 238000000034 method Methods 0.000 description 19
- 238000012545 processing Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 5
- 230000010365 information processing Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C13/00—Voting apparatus
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/26—Government or public services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/067—Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/46—Secure multiparty computation, e.g. millionaire problem
- H04L2209/463—Electronic voting
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- Economics (AREA)
- Human Resources & Organizations (AREA)
- Tourism & Hospitality (AREA)
- General Physics & Mathematics (AREA)
- Strategic Management (AREA)
- Computer Hardware Design (AREA)
- General Business, Economics & Management (AREA)
- Entrepreneurship & Innovation (AREA)
- Marketing (AREA)
- Theoretical Computer Science (AREA)
- Development Economics (AREA)
- Educational Administration (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Primary Health Care (AREA)
- Game Theory and Decision Science (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Time Recorders, Dirve Recorders, Access Control (AREA)
Description
本発明は、選挙やアンケートに利用可能な電子投票システムの構築および制御の技術に関する。
PC(Personal Computer)、インターネット、携帯電話等の普及により、国民の多くが情報端末を容易に操作できる環境が整ってきており、電子的な選挙やアンケートの実施が現実味を帯びてきている。
従来から各種の電子投票システムが提案されてきているが(例えば、特許文献1参照。)、情報処理システムとしての効率性に重きが置かれており、一体に構築された処理システムが投票者からの投票内容をネットワーク経由で受け付けて処理を行う形態となっているものが多い。
従来の紙ベースの投票から電子的な投票へと円滑な移行を図るためには、名簿管理局、投票所、開票所といった従来から存在する機能分担を重視し、システム上でも同機能に対応する役割を維持することが必要である。
この場合に、電子投票システムに必要とされる要件としては、次のようなものが考えられる。
(1)開票されるまで、誰も投票結果を知ることができない。
(2)投票者は登録済で、1回のみの投票である。
(3)誰が誰に投票したか分からない。
(4)投票者は誰に投票したかの証拠を示すことができない。
(5)強制的に介入する攻撃者に対しても、投票者は誰に投票したかの証拠を示すことができない。
(6)投票者は自分の投票がカウントされていることを検証することができる。
(7)最終的に公開された結果が全ての投票を正しくカウントしていることを検証することができる。
ここで、(1)は開票所の独立性・安全性を担保するための要件である。(2)は投票者の適格性を担保するための要件である。(3)〜(5)は投票者の匿名性ないし票強要防止性を担保するための要件である。(6)および(7)は投票結果の検証性を担保するための要件である。
従来、かかる要件を充分に満たした電子投票システムは知られておらず、その提供が待たれていた。
本発明は上記の従来の問題点に鑑み提案されたものであり、その目的とするところは、名簿管理局、投票所、開票所といった従来から存在する機能分担を重視し、上述した要件の一部もしくは全部を満たすことのできる実現可能性の高い電子投票システムを提供することにある。
上記の課題を解決するため、本発明にあっては、請求項1に記載されるように、互いにセキュリティの確保された通信を行う投票部、名簿管理部、投票管理部および開票管理部を備え、前記投票管理部は、前記投票部から一時鍵により暗号化された暗号化投票内容データを受信した際に、前記名簿管理部に対して前記暗号化投票内容データの同一性を特定可能な照合値を生成して送信し、前記名簿管理部は、前記投票部から前記一時鍵と前記暗号化投票内容データの照合値と投票者を特定する投票者特定データを受信し、前記投票部から受信した照合値と前記投票管理部から受信した照合値とが一致し、かつ前記投票者特定データにより特定される投票者が名簿データから適格である場合に有効な投票と判定し、前記投票管理部に前記暗号化投票内容データの照合値を有効投票通知として送信するとともに、前記開票管理部に前記一時鍵と前記照合値とを送信し、前記投票管理部は、所定のタイミングで前記開票管理部に前記暗号化投票内容データと当該暗号化投票内容データの照合値とを送信し、前記開票管理部は、前記名簿管理部および前記投票管理部から受信したデータのうち、前記照合値の一致する前記一時鍵と前記暗号化投票内容データとから、前記一時鍵に基づいて前記暗号化投票内容データを復号して投票内容データを得る電子投票システムを要旨としている。
また、請求項2に記載されるように、請求項1に記載の電子投票システムにおいて、前記名簿管理部は、有効な投票と判定した場合に、投票者の分類情報を取得し、前記照合値と対応付けて前記開票管理部に送信するようにすることができる。
また、請求項3に記載されるように、請求項1または2のいずれか一項に記載の電子投票システムにおいて、前記投票者特定データは、投票者の秘密鍵による電子署名であるものとすることができる。
また、請求項4に記載されるように、請求項1乃至3のいずれか一項に記載の電子投票システムにおいて、前記名簿管理部は、前記投票者特定データにより特定される投票者が、名簿データに存在し、かつ、1回目の投票である場合に有効な投票と判定するようにすることができる。
また、請求項5に記載されるように、請求項1乃至4のいずれか一項に記載の電子投票システムにおいて、前記名簿管理部は、有効な投票と判定した場合に、投票の行われた時刻と累積投票番号を発行して前記投票部に返送するようにすることができる。
また、請求項6に記載されるように、請求項1乃至5のいずれか一項に記載の電子投票システムにおいて、前記名簿管理部は、前記一時鍵と、有効な投票と判定した場合に発行する投票の行われた時刻および累積投票番号とを前記照合値と対応付けて記録し、前記投票管理部は、前記暗号化投票内容データと照合値生成式を記録するようにすることができる。
本発明の電子投票システムにあっては、名簿管理局、投票所、開票所といった従来から存在する機能分担を重視し、実現可能性の高い電子投票システムを提供することができる。
以下、本発明の好適な実施形態につき説明する。
<構成>
図1は本発明の一実施形態にかかるシステムの構成例を示す図である。
図1は本発明の一実施形態にかかるシステムの構成例を示す図である。
図1において、本システムは、投票者装置(投票部)Aと、投票所装置(投票管理部)Bと、名簿管理局装置(名簿管理部)Cと、開票所装置(開票管理部)Eと、鍵管理装置(鍵管理部)Fとが、互いにネットワーク等を介して接続されている。
投票者装置Aは、投票者により操作されるPC、携帯電話等の情報端末装置である。投票者装置Aは、投票者が所有する場合と、選挙等の運営者側が投票所等に設置する場合とが考えられる。投票者が所有する情報端末装置である場合、本人でない者が不正に投票を行えないよう、生体認証や写真撮影を行う等の本人特定の処理を投票者装置A側において行うことが望ましい。
処理に用いられるデータとして、投票者装置Aの秘密鍵SKaと、後述する照合値データを生成するためのハッシュ演算式等の照合値生成式とが使用されるとともに、後述する種々の一時データが存在する。秘密鍵SKaは、投票者の特定のための署名に用いられるとともに、通信の秘密化のために用いられている。投票者の特定や通信の秘密化は他の手法によって行ってもよい。
投票所装置Bは、投票者装置Aからの投票を受け付けるサーバ装置、PC等の情報処理装置である。処理に用いられるデータとして、投票所装置Bの秘密鍵SKbと、照合値データを生成するためのハッシュ演算式等の照合値生成式と、共通鍵Zとが使用されるとともに、後述する種々の一時データが存在する。秘密鍵SKb、Zは通信の秘密化のために用いられるものであり、他の手法により秘密化が行われる場合は不要である。また、処理の記録として、後述する暗号化投票内容データ「[D]R」とが残される。照合値データ「([D]R)」は暗号化投票内容データ「[D]R」と照合値生成式とから導出することができる。照合値生成式は別途に管理されるか、投票所装置Bの記録として管理される。
名簿管理局装置Cは、投票者の適格性を判断する名簿データを管理するサーバ装置、PC等の情報処理装置である。処理に用いられるデータとして、名簿データのほか、名簿管理局装置Cの秘密鍵SKcが使用されるとともに、後述する種々の一時データが存在する。秘密鍵SKcは通信の秘密化のために用いられるものであり、他の手法により秘密化が行われる場合は不要である。また、処理の記録として、後述するタイムスタンプTと投票番号#と一時鍵Rと照合値データ「([D]R)」とが残される。
開票所装置Eは、開票処理を行うサーバ装置、PC等の情報処理装置である。処理に用いられるデータとして、開票所装置Eの秘密鍵SKeと共通鍵Zが使用されるとともに、後述する種々の一時データが存在する。秘密鍵SKe、Zは通信の秘密化のために用いられるものであり、他の手法により秘密化が行われる場合は不要である。また、処理の記録として、最終的に取得した投票内容D、分類情報I、照合値データ「([D]R)」が残される。
鍵管理装置Fは、公開鍵方式により予め各装置に発行した公開鍵をアクセス可能に保持するサーバ装置、PC等の情報処理装置である。各装置の公開鍵PKa、PKb、PKc、PKeを有している。
投票所装置B、名簿管理局装置Cおよび開票所装置Eは、地理的に離れた場所に設置されるものであってもよいし、同一の場所に設置されるものであってもよい。また、物理的に異なる装置で構成されてもよいし、一つの装置内にソフトウェア的に構築されるものであってもよい。
図2は各装置のハードウェア構成例を示す図である。
図2において、各装置100は、システムバス101に接続されたCPU102、ROM103、RAM104、NVRAM(Non-Volatile Random Access Memory)105、I/F(Interface)106と、I/F106に接続された、キーボード、マウス、モニタ、CD/DVD(Compact Disk/Digital Versatile Disk)ドライブ等のI/O(Input/Output Device)107、HDD(Hard Disk Drive)108、NIC(Network Interface Card)109等を備えている。Mはプログラムもしくはデータが格納されたCD/DVD等のメディア(記録媒体)である。
<動作>
以下、上記の実施形態の動作について説明する。なお、以下の説明において、「SKx」は装置Xの秘密鍵(Secret Key)、「PKx」は装置Xの公開鍵(Public Key)、「(Y)」はデータYのダイジェスト値、「[Y]K」は暗号鍵KによるデータYの暗号化データを表すものとする。ダイジェスト値とは、ハッシュ演算等により元データから変換を行った値であり、元データが異なれば異なる値になって元データの同一性の判断に用いることができるとともに、ダイジェスト値から元データに復元することが非常に困難となる値である。
以下、上記の実施形態の動作について説明する。なお、以下の説明において、「SKx」は装置Xの秘密鍵(Secret Key)、「PKx」は装置Xの公開鍵(Public Key)、「(Y)」はデータYのダイジェスト値、「[Y]K」は暗号鍵KによるデータYの暗号化データを表すものとする。ダイジェスト値とは、ハッシュ演算等により元データから変換を行った値であり、元データが異なれば異なる値になって元データの同一性の判断に用いることができるとともに、ダイジェスト値から元データに復元することが非常に困難となる値である。
図3および図4は上記の実施形態の処理例を示すシーケンス図である。
図3において、投票者が投票者装置Aを操作して投票内容Dを入力すると(ステップS101)、投票者装置Aは一時鍵Rをランダムに生成し(ステップS102)、暗号化投票内容データ「[D]R」を生成し(ステップS103)、投票者装置Aから投票所装置Bに送信する(ステップS104)。
次いで、投票者装置Aは、所定の照合値生成式に基づいて、暗号化投票内容データ「[D]R」からそのダイジェスト値である照合値データ「([D]R)」を生成する(ステップS105)。
次いで、投票者装置Aは、既に生成してある一時鍵Rおよび照合値データ「([D]R)」に対して投票者の秘密鍵SKaにより電子署名を行い、これに公開鍵PKaを付加し、投票者署名付き鍵・照合値データ「[R,([D]R)]SKa,PKa」を生成する(ステップS106)。なお、投票者署名付き鍵・照合値データに公開鍵PKaを含めているのは、受信側で署名の確認を高速に行うためであり、他の手法により公開鍵を特定できる場合には不要である。また、投票者の秘密鍵SKaによる電子署名によらず、投票者を特定することができれば他の投票者特定データに代えてもよい。
次いで、投票者装置Aは、投票者署名付き鍵・照合値データ「[R,([D]R)]SKa,PKa」に宛先となる名簿管理局装置Cの公開鍵PKcを適用した秘密通信データ「[[R,([D]R)]SKa,PKa]PKc」を生成し(ステップS107)、投票者装置Aから名簿管理局装置Cへ送信する(ステップS108)。なお、投票者装置Aと名簿管理局装置Cとが専用線で接続されている等により、通信の秘密が保たれる環境では、投票者署名付き鍵・照合値データ「[R,([D]R)]SKa,PKa」をそのまま送信することができる。また、公開鍵による暗号化に代えて他の秘密通信の手法を用いることもできる。
一方、投票者装置Aから暗号化投票内容データ「[D]R」を受信した投票所装置Bは、所定の照合値生成式に基づいて、暗号化投票内容データ「[D]R」から照合値データ「([D]R)」を生成し(ステップS109)、自己の署名となる秘密鍵SKbと宛先となる名簿管理局装置Cの公開鍵PKcを適用した秘密通信データ「[[([D]R)]SKb]PKc」を生成し(ステップS110)、投票所装置Bから名簿管理局装置Cへ送信する(ステップS111)。なお、投票所装置Bと名簿管理局装置Cが一つの装置内に存在する場合や、別の装置に存在する場合であっても専用線で接続されている等により、通信の秘密が保たれ、通信の相手方の確認も行える環境では、照合値データ「([D]R)」をそのまま送信することができる。また、秘密鍵と公開鍵による暗号化に代えて他の秘密通信の手法を用いることもできる。
投票者装置Aと投票所装置Bからデータを受信した名簿管理局装置Cは、両データに含まれている値の抽出を行う(ステップS112)。すなわち、投票者装置Aから受信した秘密通信データ「[[R,([D]R)]SKa,PKa]PKc」に自己の秘密鍵SKcを適用してデータ「[R,([D]R)]SKa,PKa」を復号し、更に投票者装置Aの公開鍵PKaを適用して一時鍵Rと照合値データ「([D]R)」を復号する。また、投票所装置Bから受信した秘密通信データ「[[([D]R)]SKb]PKc」に自己の秘密鍵SKcを適用してデータ「[([D]R)]SKb」を復号し、これに投票所装置Bの公開鍵PKbを適用して照合値データ「([D]R)」を復号する。
次いで、名簿管理局装置Cは、投票者装置A経由のデータから取得した照合値データ「([D]R)」と投票所装置B経由のデータから取得した照合値データ「([D]R)」とを比較し、一致を確認する(ステップS113)。
そして、名簿管理局装置Cは、一致が確認されたデータの復号に用いた公開鍵PKa等の投票者特定データに基づいて名簿データを参照し、その投票者特定データが名簿に存在し、かつ、1回目の投票であることを確認する(ステップS114)。1回目の投票であるか否かは、判定が終わった投票者について名簿データと関連付けて投票済を記録し、新たな投票については投票済となっていない場合に1回目の投票であると判定することができる。また、判定が終わった投票済の投票者の投票者特定データを名簿データとは別に記録しておき、新たな投票者の公開鍵がその記録に含まれない場合は1回目の投票であると判定することができる。
そして、名簿に存在し1回目の投票であることが確認された場合、名簿管理局装置Cは、名簿データから性別、年齢、所属地域等の分類情報Iを取得し、それを含ませた照合値データ「([D]R),I」を内容とする有効票通知データを取りまとめ(ステップS115)、自己の署名となる秘密鍵SKcと宛先となる投票所装置Bの公開鍵PKbを適用した秘密通信データ「[[([D]R),I]SKc]PKb」を生成し(ステップS116)、名簿管理局装置Cから投票所装置Bへ送信する(ステップS117)。なお、名簿管理局装置Cと投票所装置Bが一つの装置内に存在する場合や、別の装置に存在する場合であっても専用線で接続されている等により、通信の秘密が保たれ、通信の相手方の確認も行える環境では、有効票通知データ「([D]R)」をそのまま送信することができる。また、秘密鍵と公開鍵による暗号化に代えて他の秘密通信の手法を用いることもできる。
次いで、図4において、名簿管理局装置Cは、既に取得してあるデータに基づいて有効票鍵データ「R,([D]R)」を取りまとめ(ステップS118)、自己の署名となる秘密鍵SKcと宛先となる開票所装置Eの公開鍵PKeを適用した秘密通信データ「[[R,([D]R)]SKc]PKe」を生成し(ステップS119)、名簿管理局装置Cから開票所装置Eへ送信する(ステップS120)。なお、名簿管理局装置Cと開票所装置Eが一つの装置内に存在する場合や、別の装置に存在する場合であっても専用線で接続されている等により、通信の秘密が保たれ、通信の相手方の確認も行える環境では、有効票鍵データ「R,([D]R)」をそのまま送信することができる。また、秘密鍵と公開鍵による暗号化に代えて他の秘密通信の手法を用いることもできる。
次いで、名簿管理局装置Cは、現在時刻(名簿管理局装置Cを構成するコンピュータのオペレーティングシステムが管理)からタイムスタンプTを発行し、累積投票番号である直前の投票番号#から新たな投票番号#を発行し、一時鍵Rおよび照合値データ「([D]R)」と対応付けて記録する(ステップS121)。なお、これらの記録は名簿データとは対応付けない。
次いで、名簿管理局装置Cは、タイムスタンプTと投票番号#に、自己の署名となる秘密鍵SKcと宛先となる投票者装置A(投票者)の公開鍵PKaを適用した秘密通信データ「[[T,#]SKc]PKa」を生成し(ステップS122)、名簿管理局装置Cから投票者装置Aへ送信する(ステップS123)。なお、名簿管理局装置Cと投票者装置Aとが専用線で接続されている等により、通信の秘密が保たれる環境では、タイムスタンプTと投票番号#をそのまま送信することができる。また、秘密鍵と公開鍵による暗号化に代えて他の秘密通信の手法を用いることもできる。
一方、投票所装置Bは、既に取得してあるデータに基づいて照合値付き投票内容暗号化データ「[D]R,([D]R),I」を取りまとめ、暗号化投票内容データ[D]Rを記録する(ステップS124)。なお、照合値付き投票内容暗号化データ「[D]R,([D]R),I」全体については後の処理のために一時蓄積する。
また、開票所装置Eは、名簿管理局装置Cから受信した秘密通信データ「[[R,([D]R)]SKc]PKe」から一時鍵Rと照合値データ「([D]R)」を抽出し、一時蓄積する(ステップS125)。すなわち、秘密通信データ「[[R,([D]R)]SKc]PKe」に自己の秘密鍵SKeを適用してデータ「[R,([D]R)]SKc」を復号し、更に名簿管理局装置Cの公開鍵PKcを適用して有効票鍵データ「R,([D]R)」を復号し、これらを記録する。
上記の動作を異なる投票者装置Aから投票が行われる毎に繰り返す。なお、同じ投票者装置Aから投票が行われた場合は、名簿データの確認(ステップS114)により1回目の投票ではないと判断されるため、無効な投票と扱われ、その後の処理は行われない。
その後、投票所装置Bは、所定の時刻の到来あるいは運用者の指示により、投票締切を確認すると(ステップS126)、一時蓄積してあった全ての投票に対する照合値付き投票内容暗号化データ「[D]R,([D]R),I」から、自己の署名となる秘密鍵SKbと投票所装置Bと開票所装置Eの間で予め定められた共通暗号鍵Zを適用して秘密通信データ「[[D]R,[([D]R),I]SKb]Z」を生成し(ステップS127)、投票所装置Bから開票所装置Eへ送信する(ステップS128)。なお、投票所装置Bと開票所装置Eが一つの装置内に存在する場合や、別の装置に存在する場合であっても専用線で接続されている等により、通信の秘密が保たれ、通信の相手方の確認も行える環境では、照合値付き投票内容暗号化データ「[D]R,([D]R),I」をそのまま送信することができる。また、秘密鍵と共通暗号鍵による暗号化に代えて他の秘密通信の手法を用いることもできる。
投票所装置Bから秘密通信データ「[[D]R,[([D]R),I]SKb]Z」を受信した開票所装置Eは、共通暗号鍵Zを適用して「[D]R,[([D]R),I]SKb」を復号し、更に名簿管理局装置Cの公開鍵PKcを適用して照合値付き投票内容暗号化データ「[D]R,([D]R),I」を復号し、一時蓄積する(ステップS129)。
次いで、開票所装置Eは、名簿管理局装置Cからのルートで取得して一時蓄積していた有効票鍵データ「R,([D]R)」と、投票所装置Bからのルートで取得して一時蓄積していた照合値付き投票内容暗号化データ「[D]R,([D]R),I」との、それぞれに含まれる照合値データ「([D]R)」を比較し、それが一致する暗号化投票内容データ「[D]R」と一時鍵Rから投票内容Dを復号する(ステップS130)。そして、開票所装置Eは、復号した投票内容Dと分類情報Iと照合値データ「([D]R)」を記録する(ステップS131)。
開票所装置Eは、全ての有効票鍵データ「R,([D]R)」と照合値付き投票内容暗号化データ「[D]R,([D]R),I」について処理を終了した場合、開票の処理を終了する。
後の検証のために記録したデータ以外の一時的なデータは各装置において消去する。
<変形例>
上述した実施形態では投票締切を確認した後に投票所装置Bから開票所装置Eへ全ての投票に対する照合値付き投票内容暗号化データ「[D]R,([D]R)」を送信している(図4のステップS128)。しかし、アンケートのように逐次開票することが投票を促すような場合にあっては、逐次に投票所装置Bから開票所装置Eへ照合値付き投票内容暗号化データ「[D]R,([D]R)」を送信するようにしてもよい。
上述した実施形態では投票締切を確認した後に投票所装置Bから開票所装置Eへ全ての投票に対する照合値付き投票内容暗号化データ「[D]R,([D]R)」を送信している(図4のステップS128)。しかし、アンケートのように逐次開票することが投票を促すような場合にあっては、逐次に投票所装置Bから開票所装置Eへ照合値付き投票内容暗号化データ「[D]R,([D]R)」を送信するようにしてもよい。
また、上述した実施形態では名簿管理局装置Cから投票所装置Bを経由して開票所装置Eに性別、年齢、所属地域等の分類情報Iを含めて送信しているが(図3のステップS117、図4のステップS128)、名簿管理局装置Cから開票所装置Eへ有効票鍵データを送信する際(図4のステップS120)に分類情報Iを含めて送信するようにしてもよい。これにより、投票者個人を特定することなく、分類情報を加えた集計が可能になる。
また、上述した実施形態では電子投票による処理のみを説明したが、従前からの手書き投票と共存させてもよい。この場合、投票者は物理的な投票所において手書き投票を行う。手書き投票の結果は、電子投票による結果と統合される。
<総括>
以上説明したように、本実施形態によれば、次のような利点がある。
以上説明したように、本実施形態によれば、次のような利点がある。
(1)名簿管理局装置Cから投票の都度に出力される有効票鍵データ「R,([D]R)」と、投票締切等の所定のタイミングで投票所装置Bから出力される照合値付き投票内容暗号化データ「[D]R,([D]R)」とが揃う前は、誰も投票内容Dを知ることはできず、開票開始後は開票所装置Eにおいてのみ投票内容Dを知ることができるので、開票所の独立性・安全性を担保することができる。
(2)名簿管理局装置Cは、投票者が名簿データから適格者である場合に有効な投票と判定(具体的には、投票者が名簿データに存在し、かつ、1回目の投票である場合に有効な投票と判定)するので、投票者の適格性を担保することができる。
(3)開票所装置Eにおける開票において、投票内容Dと投票者との対応付けはなく、他の部分においても両者を対応付けるデータは存在しないため、投票者の匿名性ないし票強要防止性を担保することができる。
(4)名簿管理局装置Cの記録する一時鍵R、タイムスタンプT、投票番号#、照合値データ「([D]R)」と、投票所装置Bの記録する暗号化投票内容データ「[D]R」、照合値生成式とから、後に投票内容Dを求めることができるため、最終的に公開された結果が全ての投票を正しくカウントしていることの検証性を担保することができる。
(5)投票者は、名簿管理局装置Cが有効票とみなしたときに発行する投票番号とそのタイムスタンプの受信をもって、自分の投票がカウントされていることを検証することができる。
(6)誰も、投票内容が開票されるまでも開票された後においても、投票内容を知ることができず、投票番号とタイムスタンプ以上の記録を得られない投票者は、強制的に介入する攻撃者に対しても、投票内容の証拠を示すことができない。
(7)総じて、名簿管理局、投票所、開票所といった従来から存在する機能分担を重視しつつ、電子投票システムに必要とされる要件を満たすことができ、実現可能性の高い電子投票システムを提供することができる。
以上、本発明の好適な実施の形態により本発明を説明した。ここでは特定の具体例を示して本発明を説明したが、特許請求の範囲に定義された本発明の広範な趣旨および範囲から逸脱することなく、これら具体例に様々な修正および変更を加えることができることは明らかである。すなわち、具体例の詳細および添付の図面により本発明が限定されるものと解釈してはならない。
A 投票者装置
B 投票所装置
C 名簿管理局装置
E 開票所装置
F 鍵管理装置
B 投票所装置
C 名簿管理局装置
E 開票所装置
F 鍵管理装置
Claims (6)
- 互いにセキュリティの確保された通信を行う投票部、名簿管理部、投票管理部および開票管理部を備え、
前記投票管理部は、前記投票部から一時鍵により暗号化された暗号化投票内容データを受信した際に、前記名簿管理部に対して前記暗号化投票内容データの同一性を特定可能な照合値を生成して送信し、
前記名簿管理部は、前記投票部から前記一時鍵と前記暗号化投票内容データの照合値と投票者を特定する投票者特定データを受信し、前記投票部から受信した照合値と前記投票管理部から受信した照合値とが一致し、かつ前記投票者特定データにより特定される投票者が名簿データから適格である場合に有効な投票と判定し、前記投票管理部に前記暗号化投票内容データの照合値を有効投票通知として送信するとともに、前記開票管理部に前記一時鍵と前記照合値とを送信し、
前記投票管理部は、所定のタイミングで前記開票管理部に前記暗号化投票内容データと当該暗号化投票内容データの照合値とを送信し、
前記開票管理部は、前記名簿管理部および前記投票管理部から受信したデータのうち、前記照合値の一致する前記一時鍵と前記暗号化投票内容データとから、前記一時鍵に基づいて前記暗号化投票内容データを復号して投票内容データを得る
ことを特徴とする電子投票システム。 - 請求項1に記載の電子投票システムにおいて、
前記名簿管理部は、有効な投票と判定した場合に、投票者の分類情報を取得し、前記照合値と対応付けて前記開票管理部に送信する
ことを特徴とする電子投票システム。 - 請求項1または2のいずれか一項に記載の電子投票システムにおいて、
前記投票者特定データは、投票者の秘密鍵による電子署名である
ことを特徴とする電子投票システム。 - 請求項1乃至3のいずれか一項に記載の電子投票システムにおいて、
前記名簿管理部は、前記投票者特定データにより特定される投票者が、名簿データに存在し、かつ、1回目の投票である場合に有効な投票と判定する
ことを特徴とする電子投票システム。 - 請求項1乃至4のいずれか一項に記載の電子投票システムにおいて、
前記名簿管理部は、有効な投票と判定した場合に、投票の行われた時刻と累積投票番号を発行して前記投票部に返送する
ことを特徴とする電子投票システム。 - 請求項1乃至5のいずれか一項に記載の電子投票システムにおいて、
前記名簿管理部は、前記一時鍵と、有効な投票と判定した場合に発行する投票の行われた時刻および累積投票番号とを前記照合値と対応付けて記録し、
前記投票管理部は、前記暗号化投票内容データと照合値生成式を記録する
ことを特徴とする電子投票システム。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009291006A JP4835886B2 (ja) | 2009-12-22 | 2009-12-22 | 電子投票システム |
| PCT/JP2010/068793 WO2011077826A1 (ja) | 2009-12-22 | 2010-10-19 | 電子投票システム |
| US13/378,870 US20120095811A1 (en) | 2009-12-22 | 2010-10-19 | Electronic voting system |
| US13/533,657 US8983074B2 (en) | 2009-12-22 | 2012-06-26 | Input content data managing system and method of managing input content data |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009291006A JP4835886B2 (ja) | 2009-12-22 | 2009-12-22 | 電子投票システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011133983A JP2011133983A (ja) | 2011-07-07 |
| JP4835886B2 true JP4835886B2 (ja) | 2011-12-14 |
Family
ID=44195371
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009291006A Expired - Fee Related JP4835886B2 (ja) | 2009-12-22 | 2009-12-22 | 電子投票システム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20120095811A1 (ja) |
| JP (1) | JP4835886B2 (ja) |
| WO (1) | WO2011077826A1 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DK3249616T3 (da) | 2015-01-21 | 2022-01-31 | Correa Parker Cesar Ramon Juan | Elektronisk afstemningsfremgangsmåde og -system implementeret i en bærbar enhed |
| US20190371106A1 (en) * | 2017-01-30 | 2019-12-05 | EXO One Pty Ltd | Voting system and method |
| CN107590738A (zh) | 2017-08-24 | 2018-01-16 | 阿里巴巴集团控股有限公司 | 选择共识节点的处理方法、装置及服务器 |
| CN110401541A (zh) * | 2019-07-26 | 2019-11-01 | 深圳市网心科技有限公司 | 基于EC-Schnoor签名算法的门限投票方法、系统及相关设备 |
| CN110401537A (zh) * | 2019-07-26 | 2019-11-01 | 深圳市网心科技有限公司 | 基于bls签名算法的门限投票方法、系统及相关设备 |
| US11361606B1 (en) | 2020-11-29 | 2022-06-14 | Oren Zbeda | Tamper resistant public ledger voting system |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11296607A (ja) * | 1998-04-15 | 1999-10-29 | Nippon Telegr & Teleph Corp <Ntt> | 公開鍵暗号を用いた電子投票システムおよび方法と電子投票プログラムを記録した記録媒体 |
| US20030158960A1 (en) * | 2000-05-22 | 2003-08-21 | Engberg Stephan J. | System and method for establishing a privacy communication path |
| JP2001350874A (ja) * | 2000-06-09 | 2001-12-21 | Nippon Telegr & Teleph Corp <Ntt> | 匿名電子投票方法 |
| US8554607B2 (en) * | 2001-03-13 | 2013-10-08 | Science Applications International Corporation | Method and system for securing network-based electronic voting |
| US7729991B2 (en) * | 2001-03-20 | 2010-06-01 | Booz-Allen & Hamilton Inc. | Method and system for electronic voter registration and electronic voting over a network |
| JP2003067532A (ja) * | 2001-08-24 | 2003-03-07 | Nec Soft Ltd | 電子投票システム及び電子投票方法 |
| JP2003099557A (ja) * | 2001-09-25 | 2003-04-04 | Mitsubishi Electric Corp | 投票用公衆電話システム、投票用公衆電話装置、選挙管理センタ装置および投票集計センタ装置 |
| JP2004013606A (ja) * | 2002-06-07 | 2004-01-15 | Nippon Telegr & Teleph Corp <Ntt> | 電子投票方法及びシステム及び投票者装置及び管理者装置及び集計者装置及び電子投票プログラム及び電子投票プログラムを格納した記憶媒体 |
| US7694880B2 (en) * | 2004-01-26 | 2010-04-13 | Nec Corporation | Anonymous electronic voting system and anonymous electronic voting method |
| JP4523788B2 (ja) * | 2004-04-02 | 2010-08-11 | 日本電信電話株式会社 | 無証拠投票システム、管理装置、集計装置及びプログラム |
| ATE429747T1 (de) * | 2004-06-30 | 2009-05-15 | France Telecom | Elektronisches wahlverfahren und -system in einem hochsicherheitskommunikationsnetz |
| JP4056517B2 (ja) * | 2004-10-27 | 2008-03-05 | Necソフト株式会社 | 電子投票システム及び電子投票方法 |
| JP4309367B2 (ja) * | 2005-03-30 | 2009-08-05 | Necソフト株式会社 | 電子投票システム及び電子投票方法 |
| JP4630144B2 (ja) * | 2005-07-07 | 2011-02-09 | 日本電信電話株式会社 | 電子投票装置、開票装置、電子投開票システム、電子投開票方法並びにプログラム |
| GB2446199A (en) * | 2006-12-01 | 2008-08-06 | David Irvine | Secure, decentralised and anonymous peer-to-peer network |
-
2009
- 2009-12-22 JP JP2009291006A patent/JP4835886B2/ja not_active Expired - Fee Related
-
2010
- 2010-10-19 WO PCT/JP2010/068793 patent/WO2011077826A1/ja active Application Filing
- 2010-10-19 US US13/378,870 patent/US20120095811A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| US20120095811A1 (en) | 2012-04-19 |
| JP2011133983A (ja) | 2011-07-07 |
| WO2011077826A1 (ja) | 2011-06-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Heiberg et al. | Improving the verifiability of the Estonian internet voting scheme | |
| JP4776245B2 (ja) | ユニバーサルパーベイシブトランザクションフレームワークのためのオピニオン登録アプリケーション | |
| JP2021536698A (ja) | 利用者識別認証データを管理する方法および装置 | |
| JP2019053269A (ja) | 電子投票によって収集した投票者の票を判定するシステムおよび方法 | |
| EP3590223A1 (fr) | Procede et dispositif pour memoriser et partager des donnees integres | |
| Liaw | A secure electronic voting protocol for general elections | |
| JP4835886B2 (ja) | 電子投票システム | |
| JP2014527374A (ja) | 身分認証装置及びその方法 | |
| US9536366B2 (en) | Systems and methods for voting | |
| CN102510370A (zh) | 对分布式文件系统的存取验证的方法和分布式文件系统 | |
| US20150221153A1 (en) | Methods and apparatus for voter registration and voting using mobile communication devices | |
| Schneider et al. | Survey on remote electronic voting | |
| JP2005502269A (ja) | デジタル証明書を作成するための方法及び装置 | |
| Clarke et al. | E-voting in Estonia | |
| Selvarani et al. | Secure voting system through sms and using smart phone application | |
| WO2022245817A1 (en) | Using globally-unique numbers for all secure unique transactions, authentications, verifications, and messaging identities | |
| JP2002297551A (ja) | 認証システム | |
| Jambhulkar et al. | A secure approach for web based internet voting system using multiple encryption | |
| JP2003067532A (ja) | 電子投票システム及び電子投票方法 | |
| WO2024015105A1 (en) | Delivering random number keys securely for one-time pad symmetric key encryption | |
| US8983074B2 (en) | Input content data managing system and method of managing input content data | |
| JP2003224554A (ja) | 通信接続システム、方法、プログラム及び電子投票システム | |
| WO2023053339A1 (ja) | 電子投票システム、電子投票方法、および電子投票プログラム | |
| JP2006201839A (ja) | カメラ付き携帯電話を利用した電子投票システム | |
| da Silva Mendes | Trusted Civitas: Client trust in Civitas electronic voting protocol |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110701 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20110701 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20110714 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110830 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110913 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141007 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4835886 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S802 | Written request for registration of partial abandonment of right |
Free format text: JAPANESE INTERMEDIATE CODE: R311802 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |