【特許請求の範囲】
1.第1の利用者と第2の利用者の間の情報認証用プロトコルを提供する方法
であって、数ベクトルの関数の逆関数は、該関数が第1の通信装置について逆関
数化するのが実質的に困難である場合に、該関数に関する数ベクトルの表現と呼
ばれており、該方法は以下のステップを備える:
第1の利用者に知られている第1の数ベクトルを、第2の利用者が第1数ベク
トルの不等関数(non-constant function)f1、該関数は身元確認関数でありう
る、を知っているように決定する;
第1の数ベクトルを第1の利用者によって第2の数ベクトルに変換する、該変
換は第1の利用者がランダムに選んだ数を含んでおり、第1の利用者はある関数
f2に関して第2の数ベクトルの表現を知っている;
第1の数ベクトルの関数f1を第2の利用者によって第3の数ベクトルに変換す
る、該変換は第2の利用者の秘密キイを含み、該変換は第1の利用者との相互作
用(interaction)を必要とする;
第3の数ベクトルを第2の利用者によって第1の利用者に送信する;及び
第1の利用者によって第3の数ベクトルを第4の数ベクトルに、第4の数ベク
トルが、第2の利用者の秘密キイに対応する公開キイを含む関係に従って第2の
数ベクトルに対応するように変換する、ここで、
第1の数ベクトルの不等関数I1は、第1の数ベクトルの第2の数ベクトルへ
の変換において第1の利用者により行われたランダムな選択にも拘わらず、第1
の利用者によって知られている第2の関数f2に関しての第2の数ベクトルの表現
の不等関数I2に等しい;
実質的に各第1の数ベクトルについて及び実質的に各第2の数ベクトル及び第
2の利用者の公開キイを含む関係に従って第2の数ベクトルに対応する第4の数
ベクトルについて、第1の数ベクトルの第2の数ベクトルへの変換における第1
の利用者の少なくとも1セットのランダム選択が存在し、第1の利用者は、第1
の数ベクトルの第2の数ベクトルへの変換における少なくとも1セットのランダ
ム選択を適用した場合に第2,第4の数ベクトルを知りうるようになっている;
及び
第1の利用者が、第2の利用者の協力なしに、関数f2に関しての表現を第1の
利用者が知っている数ベクトルと、第2の利用者の公開キイを含む関係に従って
該数ベクトルに対応する数ベクトルを生成することは実質的に不可能であるよう
になっている。
2.第1の利用者は、第2の利用者の協力なしに、第2の数ベクトルおよび第
2の利用者の公開キイを含む関係に従って第2の数ベクトルに対応する第4の数
ベクトルを実行的に生成することができる、請求項1記載の方法。
3.プロトコルの新たな実行のための第1の数ベクトルは、第1の利用者に知
られている、上記関数f2について少なくとも1つの第2の数ベクトルの表現の不
等関数として決定され、上記少なくとも1つの第2の数ベクトルは、プロトコル
の先の実行において第1の利用者により知られている、請求項1記載の方法。
4.第2の数ベクトルが第1の利用者によってある仮り名として用いられるの
で、上記プロトコルは仮り名発行プロトコルと称される、請求項1記載の方法。
5.第1の利用者に知られている関数f2に関しての第2の数ベクトルの表現の
関数I2は、第1の利用者の資格認証(credentials)の特定のセットを表すので
、第1の利用者は、第2の数ベクトルにおいて、資格認証のセットを保持する、
請求項1記載の方法。
6.第1の数ベクトルは、第1の数ベクトルの関数I1が、第2の利用者が第
1の利用者に対して発行する資格認証のセットを特定するように決定されるので
、第2の利用者により、資格認証のセットが第2の数ベクトルに備え付けられて
いる、請求項1記載の方法。
7.プロトコルの新たな実行における第1の数ベクトルは、第1の利用者の資
格認証が更新される値を特定する数ベクトルと、第1の利用者に知られている関
数f2に関する第2の数ベクトルの表現との関数として決定されるので、第2の数
ベクトルにおいて第1の利用者により保持されている資格認証のセットは、新た
なプロトコルの実行において更新される、請求項5記載の方法。
8.第2の利用者は、第1の利用者により、第2の数ベクトルに保持された資
格認証のセットを知らない、請求項7記載の方法。
9.第2の利用者は、第1の利用者の資格認証が更新される数値を特定する数
ベクトルを知らない請求項7又は8記載の方法。
10.第1の利用者は、関数f2に関して第2の数ベクトルの表現を知るために
必然的に協同しなければならない少なくとも2つの利用者からなる、請求項1か
ら7のいずれか1つに記載の方法。
ak+1 νが数ベクトル(m0,B1,...,Bl)の不等関数f3に等しくなるような数ベク
トル(a1,...,ak;ak+1)である、ここで、
数kと1は0に等しいか0より大きい;
f3(m0,B1,...,Bl)は、Zn *で表され、整数モジュロnの有限群と呼ばれる
、数学構造体の1要素である;
数nは少なくとも2つの大きな素数の積である;
数Y1,...,Ykは有限群Zn *の要素である;
数νは正の整数である;
数a1,...,akは、Zνで表され、整数モジュロνの環と呼ばれる数学構造体
の要素である;及び
数ak+1はZn *の要素である。
12.数νは有限群Zn *の要素の数に対して共役素数である請求項11記載の
方法。
13.数νは偶数である請求項11記載の方法。
14.m0は有限群Zn *の要素であり、f3(m0,B1,...,Bl)はm0に等しい請求項
11記載の方法。
15.第2の利用者の公開キイは、有限群Zn *からの数Xとハッシュ関数Hか
らなり、第2の利用者の秘密キイは、数X,Y1,...,Ykもしくは数nの素因数分
解の各々のモデュロnのν乗根からなり、第2の利用者を含む関係が、その関係
にしたがって第4の数ベクトルが第2の数ベクトルに対応し、bν=(Xm)caもし
くはbν=Xm(a)cの関係が成立すると満足される;
ここで、aとbは有限群Zn *の数であり;
cはH(m0,B1,...,Bl,a)を表し、(m0,B1,...,Bl)は第2の数ベクトルを
示し;及び
mはf3(m0,B1,...,Bl)を表す、請求項11記載の方法。
16.第2の利用者の公開キイは、有限群Zn *からの数Xとハッシュ関数Hか
らなり、第2の利用者の秘密キイは、数X,Y1,...,Yk又は数nの素因数分解の
各々のモジュロnのν乗根からなり、第2の利用者の公開キイを含む関係が、そ
の関係に従って第4の数ベクトルが第2の数ベクトルに対応しており、bν=(X
a)cm又はbν=Xa(m)cの関係が成立したときに、満足される、
ここで、
aとbは有限群Zn *の数であり;
cはH(m0,B1,...,Bl,a)を表し、(m0,B1,...,Bl)は第2の数ベクトルを
表し;
mはf3(m0,B1,...,Bl)である、
請求項11記載の方法。
17.第2の利用者の公開キイは、有限群Zn *からの数Xとハッシュ関数Hと
からなり;
第2の利用者の秘密キイは、数Y1,...,Ykの各々のν乗根と数ベクトル(s1,
.
数s1,...,sjは環Zνの要素であり;
数Sj+1は有限群Zn *の要素であり;
数Z1,...,Zjは有限群Zn *の要素であり;及び
数jは1に等しいかそれより大きい、
又は、第2の利用者の秘密キイは、数nの素因数分解であり;及び
第2の利用者の公開キイを含む関係は、その関係に従って第4の数ベクトルが
aとbj+1は有限群Zn *の数であり;
b1,...,bjは環Zνの数であり;
cはH(m0,B1,...,Bl,a)を示す、(m0,B1,...,Bl)は第2の数ベクトルを
示し;及び
mはf3(m0,B1,...,Bl)を示している、請求項11記載の方法。
18.第2の利用者の公開キイは、有限群Zn *からの数Xとハッシュ関数Hと
からなり;
第2の利用者の秘密キイは、数Y1,...,Ykの各々のν乗根と数ベクトル(s1,
.
数s1,...,sjは環Zνの要素であり;
数sj+1は有限群Zn *の要素であり;
数Z1,...,Zjは有限群Zn *の要素であり;及び
数jは1に等しいかそれより大きい、
又は、第2の利用者の秘密キイは、数nの素因数分解であり;及び
第2の利用者の公衆キイを含む関係は、その関係に従って第4の数ベクトルが
aとbj+1は有限群Zn *の数であり;
b1,...,bjは環Zνの数であり;
cはH(m0,B1,...,Bl,a)を示す、(m0,B1,...,Bl)は第2の数ベクトルを
示し;及び
mはf3(m0,B1,...,Bl)を示している、請求項11記載の方法。
数ベクトル(m0,B1,...,Bl)の不等関数f3に等しくなる(a1,...,ak)の数ベ
クトルであり、ここで、
数1は0か0より大きく;
数kは1か1より大きく;
f3(m0,B1,...,Bl)は、q個の要素を持ち、Gqで表され、次数qの有限群と
称される数学構造体の要素であり;
数g1,...,gkはGqの要素であり;及び
数a1,...,akは、Zqで表され、整数モジュロqの環と称される数学構造体の
要素である、
請求項1記載の方法。
20.数qは素数である請求項19記載の方法。
21.Gqは有限群Zp *の部分群であり;
数pは、(p−1)が少なくとも2個の大きな素数を有し、そのうちの1つはqに
等しい;
第1の利用者が、数(p−1)の素数を決定することは不可能であり;及び
環Zq内の数の線形結合は、第1の利用者による計算されたモジュロ(p−1)
である、請求項20に記載の方法。
22.m0は有限群Gqの要素であり、f3(m0,B1,...,Bl)はm0に等しい、請求
項19に記載の方法。
23.第2の利用者の公開キイは、有限群Zqからの2つの数gとh及びハッシ
ュ関数Hからなり;
第2の利用者の秘密キイは、数gに関して数hの環Zqにおける離散対数からな
り;及び
第2の利用者の公開キイを含む関係は、その関係にしたがって、第4の数ベク
トルが第2の数ベクトルに対応しており、gγ=(hm)ca又はgγ=hm(a)cが成立す
ると満足され、ここで、
aは有限群Gq内の数であり;
cはH(m0,B1,...,Bl,a)を表し、(m0,B1,...,Bl)は第2の数ベクトルを
表し;
γは環Zq内の数であり;及び
mはf3(m0,B1,...,Bl)を表す、
請求項19に記載の方法。
24.第2の利用者の公開キイは、有限群Zqからの2つの数gとh及びハッシ
ュ関数Hからなり;
第2の利用者の秘密キイは、数gに関して数hの環Zqにおける離散対数からな
り;及び
第2の利用者の公衆キイを含む関係は、その関係にしたがって、第4の数ベク
トルが第2の数ベクトルに対応しており、gγ=(ha)cm又はgγ=ha(m)cが成立す
ると満足され、ここで、
aは有限群Gq内の数であり;
cはH(m0,B1,...,Bl,a)を表し、(m0,B1,...,Bl)は第2の数ベクトルを
表し;
γは環Zq内の数であり;及び
mはf3(m0,B1,...,Bl)を表す、
請求項19に記載の方法。
25.第2の利用者の公開キイは、有限群Zqからの2つの数gとh及びハッシ
ュ関数Hからなり;
第2の利用者の秘密キイは、数gに関して数hの環Zqにおける離散対数からな
り;及び
第2の利用者の公開キイを含む関係は、その関係にしたがって、第4の数ベク
トルが第2の数ベクトルに対応しており、gγ=hca及びmγ=zcbの両方又はgγ
=hac及びmγ=zacの両方が成立すると満足され、ここで、
cはH(m0,B1,...,Bl,a)を表し、(m0,B1,...,Bl)は第2の数ベクトルを
表し;
γは環Zq内の数であり;及び
z,aおよびbは有限群Gq内の数であり;
mはf3(m0,B1,...,Bl)を表す、
請求項19に記載の方法。
26.第2の利用者の公開キイは、有限群Gqからの数hとハッシュ関数Hから
なり;
に等しく、ここで、
数s1,...,sjは環Zqの要素であり;
数f1,...,fjは有限群Gqの要素であり;及び
数jは2に等しいかそれ以上であり;及び
第2の利用者の公開キイを含む関係は、その関係に従って第4の数ベクトルが
したときに満足される、ここで
aは有限群Gq内の数であり;
cはH(m0,B1,...,Bl,a)を表し、(m0,B1,...,Bl)は第2の数ベクトルを
示し;
γ1,...,γjは環Zq内の数であり;及び
mはf3(m0,B1,...,Bl)を表す、
請求項19に記載の方法。
27.第2の利用者の公開キイは、有限群Gqからの数hとハッシュ関数Hから
なり;
に等しく、ここで、
数s1,...,sjは環Zqの要素であり;
数f1,...,fjは有限群Gqの要素であり;及び
数jは2に等しいかそれ以上であり;及び
第2の利用者の公開キイを含む関係は、その関係に従って第4の数ベクトルが
したときに満足される、ここで
aは有限群Gq内の数であり;
cはH(m0,B1,...,Bl,a)を表し、(m0,B1,...,Bl)は第2の数ベクトルを
示し;
γ1,...,γjは環Zq内の数であり;及び
mはf3(m0,B1,...,Bl)を表す、
請求項19に記載の方法。
28.第1の利用者と第3の利用者との間のプロトコルを与え、第1の利用者
に知られている、関数f0に関して第1の数ベクトルの表現の記述(predicate)
を試験する方法であって、数ベクトルの関数の逆関数が、その関数が少なくとも
第1の利用者について逆関数化するのが実質的に困難であるときに、その関数に
関する数ベクトルの表現と称され、該方法は以下のステップからなる:
第3の利用者に対し、第1の利用者が、第2の利用者の公開キイを含む関係
に従って第2の数ベクトルが第1の数ベクトルに対応していることを知っている
ことを証明する、この証明は、単に第2の数ベクトルを知らせることによって達
成される;及び
第3の利用者に対し、第1の利用者が、関数f2に関して第1の数ベクトルの
関数f1の表現を知っていることを証明する;
ここで、試験は第1の利用者と第3の利用者との間の以下のような相互作用を
必要とする、
第1の利用者に知られている、第3の利用者によって試験される関数f0に関
する第1の数ベクトルの表現の特定の記述を関数f1とf2が決定し;及び
第1と第2の数ベクトルが第2の利用者の協力で得られたときにのみ、第1
の利用者が第1の数ベクトルの試験を合格させることができる。
29.第3の利用者による第1の数ベクトルの繰返しの試験は、第3の利用者
をして、第1の利用者に知られている、関数f0に関する第1の数ベクトルについ
ての表現又はその表現の不等関数を決定することを不可能とする、請求項28に
記載の方法。
30.第1の数ベクトルが第3の利用者によって試験される回数が、1回もし
くはそれ以上である所定の回数を越えた場合、第1の利用者に知られた、関数f0
に関する第1の数ベクトルの表現の不等関数は、第3の利用者によって効率的に
演算されうる、請求項28に記載の方法。
31.第1の利用者に知られている、関数f0に関する第1の数ベクトルの表現
の不等関数は、第1の利用者により、プロトコルの第1回の実行中に第3の利用
者に告知される;及び
第1回のプロトコルの実行中にいかなる関連情報も第3の利用者に対して告知
されない関数に関する第1の数ベクトルについての表現の不等関数が存在する、
請求項28に記載の方法。
32.第1の利用者が、第1の数ベクトルの試験を合格させるために、必然的
に協力しなければならない少なくとも2つの利用者からなる、請求項28に記載
の方法。
33.第1の利用者は、第2の利用者の協力なしに、第1の数ベクトルと、第
2の利用者の公開キイを含む関係に従って第1の数ベクトルに対応する第2の数
ベクトルとを容易に生成することができる、請求項28に記載の方法。
34.プロトコルの実行中に第3の利用者からみて、発せられたメッセージの
セットが、第2の利用者を巻込むことなしに、第2の利用者が第1,第2の数ベ
クトルの生成に関与したときの確率分布とは明確に区別できる確率分布で容易に
生成される、請求項33に記載の方法。
35.第1の利用者に知られている、関数f0に関する第1の数ベクトルの表現
の不等関数は、第2の利用者により第1の利用者に対して発行された信用状のセ
ットを表している;及び
関数f1とf2が、第3の利用者によって試験される第1の利用者の資格認証の特
定の記述を特定する、請求項28から34の一つに記載の方法。
ak+1 νが数ベクトル(m0,B1,...,Bl)の不等関数f3に等しくなるような数ベク
トル(a1,...,ak;ak+1)であり、ここで、
数kと1は0に等しいか0より大きく;
f3(m0,B1,...,Bl)は、Zn *で表され、整数モジュロnの有限群と称される
数学構造体の要素であり;
数nは、少なくとも2つの大きな素数の積であり;
数Y1,...,Ykは有限群Zn *の要素であり;
数νは正の整数であり;
数a1,...,akは、Zνで表され、整数モジュロνの環と称される数学構造体
の
要素であり;及び
数ak+1はZn *の要素である、
請求項28に記載の方法。
37.数νは、有限群Zn *の要素の数に対して共役素数(co-prime)である、
請求項36に記載の方法。
38.数νは偶数である、請求項36に記載の方法。
39.m0は有限群Zn *の要素であり、f3(m0,B1,...,Bl)はm0に等しい、請求
項36に記載の方法。
40.第1の利用者が、第3の利用者に対して、関数f2に関する数ベクトル(
m0,B1,...,Bl)の表現(a1,...,ak;ak+1)を知っていることを以下の方法に
より証明する;
それについて数ベクトル(b1,...,bk;bk+1)を知っている、有限群Zn *内
k+1)は第3の利用者にとって予測不可能である;
環Zν内の挑戦数(challenge number)cに対応するk個の応答数(response
number)γ1,...,γkを告知する、γiは1≦i≦kのときcai+bi mod νに等しい
;及び
数γk+1を告知する、
請求項36に記載の方法。
,Zjは第2の利用者によって決定された有限群Zn *の要素である;及び
0に等しいかそれより大きいkについて、数Y1,...,Ykの各々は、集合{Z1,
...,Zj}内の数のべき乗とそれらの逆数との積である、
請求項36に記載の方法。
42.関数f2に関する数ベクトル(m0,B1,...,Bl)の表現は数ベクトル(a1
,
しい、
ここで、
数1は0に等しいか0より大きく;
数kは1に等しいか1より大きく;
f3(m0,B1,...,Bl)は、Gqで表され、次数qの有限群と称される、q個の要
素を有する数学構造体の要素であり;
数g1,...,gkはGqの要素であり;及び
数a1,...,akはZqで表され、整数モジュロqの環と称される数学構造体の要
素である、
請求項28に記載の方法。
43.数qは素数である、請求項42に記載の方法。
44.Gqは有限群Zp *の部分群であり;
数pは(p−1)がそのうちの一つがqに等しい少なくとも2つの大きい素数を
有する素数であり;
第1の利用者が数(p−1)の素因数分解を決定することが不可能であり;及
び環Zq内の数の線形結合が第1の利用者により演算されたモジュロ(p−1)で
ある、
請求項43に記載の方法。
45.m0が有限群Gqの要素であり、f3(m0,B1,...,Bl)がm0に等しい、請求
項42に記載の方法。
46.関数f2に関する数ベクトル(m0,B1,...,Bl)の表現(a1,...,ak)を
知っていることを第1の利用者が第3の利用者に以下の方法で証明する、
それについて数ベクトル(b1,...,bk)を知っている有限群Gq内の数Bを与
不可能である;及び
γiが1≦i≦kのときcai+bi mod qに等しいような、環Zq内の挑戦数cに対
応するk個の応答数γ1,...,γkを告知する、
請求項42に記載の方法。
の利用者によって決定された、有限群Gqの要素であり;及び
1に等しいかそれより大きいkについて、数g1,...,gkの各々は、集合{e1,.
..,ej}内の数のべき乗とそれらの逆数との積である、
請求項42に記載の方法。
48.第1の利用者が、第2の利用者に対し、数ベクトルについてのいかなる
付加情報なしに、ある数ベクトルを証明するプロトコルを与える方法であって、
ここで、
数ベクトルは、kが1に等しいかより大きい整数であるとして、(u1,...,uk
)で表され;
数u1,...,ukの各々は、νが正の整数であるとして、整数モジュロνの環と
呼ばれ、Zνで表される数学構造体の要素であり;
数ベクトル(Z1,...,Zk)は第1の利用者と第2の利用者に知られており
;
数Z1,...,Zkの各々は、nが少なくとも2つの素数の積であるとして、整数
モジュロnの有限群と呼ばれ、Zn *で表される数学構造体の要素であり;及び
第1の利用者は、uk+1が有限群Zn *の要素であるとして、Aで表されるべ
uk)に拘束されており、
該方法は、以下のステップを含む:
第1の利用者によって、第2の利用者に対し、Aの関数f1がべき乗の積Y1
ていることを証明する、
ここで、
1に等しいか1より大きい1について、数Y1,...,Ylの各々が、集合{Z1,
...,Zk}内の数のべき乗とそれらの逆数との積であり;
Aの関数f1は、集合{A1,Z1,...,Zk}内の数のべき乗とそれらの逆数と
の積であり;及び
ベクトル(Y1,...,Yl)と関数f1は、第1の利用者が証明する数ベクトル
(u1,...,uk)についての記述を一緒に特定する。
49.第1の利用者が、第2の利用者に対し、数ベクトル(a1,...,al;al+1
)を知っていることを以下によって証明する;
有限群Zn *について第1の利用者が数ベクトル(b1,...,bl;bl+1)を知っ
しく、かつ(b1,...,bl;bl+1)は第2の利用者にとって実質的に予測できない
;
1≦i≦1について、γiがcai+bi mod νに等しいような、環Zν内のチャレ
ンジ数cに対応する1個の応答数γ1,...,γlを告知する;及び
数γl+1を告知する。
50.第1の利用者が、第2の利用者に対し、数ベクトルについてのいかなる
付加情報なしに、ある数ベクトルを証明するプロトコルを与える方法であって、
kが1か1より大きい整数であるとして、数ベクトルが(u1,...,uk)で表さ
れ;
数u1,...,ukの各々は、qが正の整数であるとして、整数モジュロqの環と呼
ばれ、Zqで表される数学構造体の要素であり;
数ベクトル(e1,...,ek)は、第1の利用者と第2の利用者に知られており
;
数e1,...,ekの各々は、qが正の整数であるとして、次数qの有限群と呼ばれ
、Gqで表される数学構造体の要素であり;及び
て数ベクトルに拘束される、
該方法は、以下のステップを含む:
する、
ここで、
0に等しいか0より大きい1について、数g1,...,glの各々が、集合{e1,...
,ek}内の数のべき乗とそれらの逆数との積である;及び
ベクトル(g1,...,gl)と関数f1とは、一緒に、第1の利用者が証明する数
ベクトル(u1,...,uk)の記述を特定する方法。
51.第1の利用者が、第2の利用者に対し、以下により、数ベクトル(a1,.
..,al)を知っていることを証明する、請求項50に記載の方法:
有限群Zn *について、第1の利用者が、数ベクトル(b1,...,bl)を知って
bl)が第2の利用者にとって実質的に予測不可能である;及び
1≦i≦1についてγiがcai+bi mod qに等しいような、環Zq内のチャレンジ
数に対応する1個の応答数γ1,...,γlを告知する。
52.少なくとも一つの第1の利用者と少なくとも一つの第2の利用者との間
で認証された情報の電子転送を実行する方法であって、少なくとも一つの第3の
利用者は情報認証用の第1のプロトコルと認証された情報を試験するための第2
のプロトコルを使用し、ここで、数ベクトルの関数を逆関数化することが、少な
くとも第1の利用者にとって実質的に困難であるならば、数ベクトルの関数の逆
関数が、該関数に関する数ベクトルの表現と呼ばれる、
該方法は、以下のステップからなる:
第2の利用者は、第1の数ベクトルの不等関数f1(これは身元確認関数でも
よい)を知っているような、第1の利用者に知られている第1の数ベクトルを第
1のプロトコル内において決定する;
第1の利用者により、第1のプロトコル内において第1の数ベクトルを第2
の数ベクトルに変換する、該変換は、第1の利用者が、関数f2に関する第2の数
ベクトルの表現を知っているような、第1の利用者によりランダムに選ばれる数
を含んでいる;
第2の利用者により、第1のプロトコルにおいて第1の数ベクトルの関数f1
を第3の数ベクトルに変換する、該変換は、第2の利用者の秘密キイを含み、第
1の利用者との相互作用を要求することができる;
第2の利用者によって、第1のプロトコルにおいて、第3の数ベクトルを第
1の利用者に通信する;
第1の利用者によって、第1のプロトコルにおいて、第3の数ベクトルを第
4の数ベクトルに変換する、ここで、第4の数ベクトルは、第2の利用者の秘密
キイに対応する公開キイを含む関係に従って第2の数ベクトルに対応する;
第1の利用者により、第2の利用者の公開キイを含む関係に従って第2の数
ベクトルに対応する数ベクトルを知っているということを、第2のプロトコルに
おいて第3の利用者に対し証明する、ここで、証明は単に第4の数ベクトルを告
知することによって実行することができる;及び
第1の利用者により、関数f4に関する第2の数ベクトルの関数f3の表現を知
っているということを、第2のプロトコルにおいて、第3の利用者に対し証明す
る;
ここで、
第1の数ベクトルの不等関数I1は、第1の数ベクトルの第2の数ベクトル
への変換において、第1の利用者により行われたランダムな選択に関係なしに、
第1の利用者に知られた、関数f2に関する第2の数ベクトルの表現の不等関数I2
に等しく;
第2のプロトコルにおいて、第3の利用者により試験される関数f2に関する
、第1の利用者に知られている、第2の数ベクトルの表現の関数I2の関数の特
定の記述を関数f3とf4が決定する;
第2のプロトコルの第1回の実行中に第3の利用者に告知された情報は、第
2のプロトコルの第1回の実行中に試験される第2の数ベクトルを得る第1のプ
ロトコルの実行中に第1の利用者が使用した特定の第1の数ベクトルの関数f1と
の一意対応関係に持ち込まれ得ない;及び
第2と第4の数ベクトルが、第1のプロトコルの実行中に得られたときにの
み、第1の利用者が第2のプロトコルにおいて第2の数ベクトルの試験を合格さ
せることができる。
53.第2のプロトコルの実行中に、第3の利用者により任意の多数回、第2
の数ベクトルが試験されたとしても、第2のプロトコルの実行中において第3の
利用者に対して告知された情報を、第1の数ベクトルの関数f1と一意対応関係に
持ち込むことが実質的に実行不可、即ち不可能のままである、請求項52に記載
の方法。
54.第3の利用者により、第2のプロトコルの実行中に第2の数ベクトルが
試験される回数が、1か1より大きい所定の境界を越えたならば、第2の数ベク
トルは第1の数ベクトルの関数と一意対応関係に持ち込まれる、請求項52に記
載の方法。
55.第3の利用者により、第2のプロトコルの実行中に第2の数ベクトルが
試験される回数が、1か1より大きい所定の境界を越えたならば、第2の数ベク
トルは第1の数ベクトルと一意対応関係に持ち込まれる、請求項52に記載の方
法。
56.第1の数ベクトルの関数のみが与えられた第2の利用者と、第1のプロ
トコルの実行中に第1の利用者により告知された情報によって、第1の数ベクト
ルを決定することは、実質的に実行不能、即ち不可能であるため、第2の利用者
による第1の数ベクトルの知識は、公平な利用者にとって、第2の数ベクトルが
所定の境界を越える回数試験されたことの正当な証明とすることができる、請求
項55に記載の方法。
57.第2の数ベクトルが、第3の利用者を相手とした第1の利用者の仮り名
として用いられる、請求項52に記載の方法。
58.第1のプロトコルの新規の実行のための第1の数ベクトルは、第1の利
用者に知られた、関数f2に関する少なくとも1つの第2の数ベクトルの表現の不
等関数として決定され、ここで、少なくとも1つの第2の数ベクトルは、第1の
プロトコルの先の実行中に第1の利用者により獲得されている、請求項52に記
載の方法。
59.第1のプロトコルが少なくとも2回実行され、第1のプロトコルの先の
実行中に得られた少なくとも1つの第2の数ベクトルが、第3の利用者を相手と
した第1の利用者の仮り名として用いられ、第2のプロトコル中に第1の利用者
は、第1のプロトコルの新規の実行中にその仮り名の1にのみ対応し、かつ第1
の他の利用者の仮り名に対応することなく、得られる第2の数ベクトルの試験を
、以下の理由により、合格させることができる;
第1の利用者は、第1の数ベクトルを第2の数ベクトルに変換するときに、
第1のプロトコルの新規の実行において既に上記仮り名に拘束されていなければ
ならない;及び
関数f3は第1のプロトコルの新規の実行において得られる第2の数ベクトル
のみならず、第1の利用者が第1のプロトコルの新規の実行において拘束されて
いることを主張する仮り名にも作用する、
請求項52に記載の方法。
60.第1のプロトコルが少なくとも2回実行され、第1のプロトコルの先の
実行中に得られた少なくとも1つの第2の数ベクトルが、第3の利用者を相手と
した第1の利用者の仮り名として用いられ、第2のプロトコルの実行中に、第1
の利用者は、第1のプロトコルの新規の実行中に、その仮り名の1つのみに対応
し、かつ第1の他の利用者の仮り名に対応することなく得られる第2の数ベクト
ルの試験を、以下の理由により合格させる、
ここで、第1の利用者が、第2のプロトコルの実行において第4の数ベクト
ルを第3の利用者に転送すれば足りる:
第1の利用者は、第1のプロトコルの新規の実行において、第1の数ベクト
ルを上記仮り名の不等関数に変換する、ここで、該関数は第2の利用者に知られ
ている;及び
第3の利用者は第2のプロトコルにおいて、第1の利用者が転送した数ベク
トルが第2の利用者の公開キイを含む関係に従って上記仮り名の関数に対応する
、
請求項52に記載の方法。
61.第1のプロトコルは、少なくとも2回実行され、ここで、第1のプロト
コルの先の実行で得られた少なくとも1つの第2の数ベクトルが第3の利用者を
相手として第1の利用者の仮り名として使用され、第1の利用者は、第3の利用
者を相手とするいずれか一つの仮り名に対応し、かつ第1の他の利用者の仮り名
に対応することなく、第1のプロトコルの新規の実行において得た第2の数ベク
トルの試験を第2のプロトコルにおいて合格させる;それは関数f3が第1プロト
コルの新規の実行において得られた第2の数ベクトルのみならず、第1の利用者
が所有者であると主張するいずれかの仮り名にも作用するという理由による、請
求項52に記載の方法。
62.第1の利用者に知られた、関数f2に関する第2の数ベクトルの表現の関
数I2は、第1の利用者の資格認証(credentials)の特定のセットを表すので、
第1の利用者は、あるセットの資格認証を第2の数ベクトル内に保持していると
いわれる、請求項52に記載の方法。
63.第1の数ベクトルの関数I1は、第2の利用者が第1の利用者に対して
発行する資格認証のセットを特定するので、資格認証のセットは、第2の利用者
によって第2の数ベクトル内に備え付けられているといわれる、請求項62に記
載の方法。
64.第1のプロトコルの新規の実行における第1の数ベクトルは、
それによって第1の利用者の資格認証が更新される値を特定する数ベクトル
と、第1の利用者に知られている、関数f2に関する第2の数ベクトルの表現との
不等関数として決定されるので、
第2の数ベクトル内に第1の利用者によって保持されている資格認証のセッ
トは第1のプロトコルの新規の実行において更新されるといわれる、
請求項62に記載の方法。
65.第2の利用者は、第1の利用者によって第2の数ベクトル内に保持され
ている資格認証のセットを知らない、請求項64に記載の方法。
66.第2の利用者は、それによって第1の利用者の資格認証が更新される値
を特定する数ベクトルを知らない、請求項64に記載の方法。
67.第1のプロトコルにおいて第2の利用者により計算される変換は、少な
くとも2つの異なる秘密キイの1つを含んでおり、第2の利用者によって使用さ
れる特定の秘密キイは、第2の数ベクトル内に保持された資格認証のセットが、
どの範ちゅうに関係するかを特定するので、第1の利用者は、異なる第2の数ベ
クトル内に、異なる範ちゅうに属する複数の資格認証のセットを保持することが
できる、請求項62に記載の方法。
68.第1の利用者は、各々が異なる範ちゅうに属するとともにそれ自身の第
2の数ベクトル内に保持される少なくとも2つの資格認証のセットを保持し、第
1の利用者は、第2のプロトコルにおいて、少なくとも2つの異なる範ちゅうに
属する資格認証を、対応する全ての第2の数ベクトルに作用する関数f3を特定す
ることにより試験する、請求項67に記載の方法。
69.第1の利用者は、第2のプロトコルにおける第2の数ベクトルの試験を
合格させるために、第1と第2のプロトコルにおいて必然的に協力しなければな
らない少なくとも2つの利用者からなる、請求項52に記載の方法。
70.第1の利用者を構成する利用者の少なくとも1つは、第2又は第3の少
なくとも1つの利用者の関与において行動し(acts in the interest);及び
第2のプロトコルにおいて選ばれた利用者(これらの利用者)は第1の利用者
を構成するいま一つの利用者(複数の利用者)に情報を転送することのみができ
る、請求項69に記載の方法。
71.第1及び第2のプロトコルにおいて選ばれた利用者(複数の利用者)が
、第1の利用者を構成するいま一方の利用者(複数の利用者)から受取り、それ
に送信する情報及び選ばれた利用者(複数の利用者)に知られている、それを(
それらを)同定するために使用されうるいかなる情報は、第1の利用者を構成す
るいま一方の利用者(複数の利用者)が第2のプロトコルにおいて第3の利用者
に送信し、それから受信する情報とは実質的に統計的に独立である、請求項70
に記載の方法。
72.第1の利用者は、丁度2つの利用者からなり、
第1の利用者を構成する2つの利用者の夫々は、他の利用者にとって実質的
に予測不可能な数ベクトルを知っており、ここで、第1の利用者を構成する各利
用者に知られている数ベクトルはその利用者の初期数ベクトルとして参照される
;
第1のプロトコル内の第1の数ベクトルは、たかだか第2の利用者と第2又
は第3の利用者のために行動する選ばれた利用者とが第1の数ベクトルを知って
いるように、第1の利用者を構成する2つの利用者に知られている上記初期数ベ
クトルの不等関数として決定される;
選ばれた利用者は、第1のプロトコルにおいて、ランダム数ベクトルとして
参照される数ベクトルを、第1の利用者を構成するいま一方の利用者に渡す、こ
こで、上記ランダム数ベクトルは、選ばれた利用者が実質的にランダムに選ばれ
た関数f2に関するランダム数ベクトルの表現を知っている;
第1の利用者を構成するいま一方の利用者により適用される第1のプロトコ
ルにおける第1の数ベクトルの第2の数ベクトルへの変換は、選ばれた利用者が
それに移したランダム数ベクトルを巻込む;及び
第2のプロトコルにおいて、選ばれた利用者は応答ベクトルとして参照され
る数ベクトルを、第1の利用者を構成するいま一方の利用者に渡し、応答ベクト
ルは、上記いま一方の利用者により選ばれた利用者に譲渡され、呼びかけベクト
ルとして参照される数ベクトルに応答する、選ばれた利用者の初期数ベクトルと
そのランダム数ベクトルとの不等関数である、
請求項70に記載の方法。
73.仮り名は、第1の利用者が、関数f2に関する仮り名の表現を知るために
必然的に協力しなければならない少なくとも2つの利用者により構成されるので
、集合的仮り名と言われる、請求項59又は61に記載の方法。
74.本方法は電子支払いに用いられる:
第1の利用者は消費者などの支払う側である;
第2の利用者は現金を発行する銀行の如き金融機関である;
第3の利用者は商店などのサービス機関である;
第1の利用者は、第2の利用者を相手に引き出しプロトコルと呼ばれる第1
のプロトコルを実行することによってお金を引き出し、第3の利用者を相手にし
て、支払いプロトコルと呼ばれる第2のプロトコルを実行することにより、第3
の利用者でお金を使う;及び
第3の利用者は、第2の利用者から自らの口座にお金が振り込まれるように
、支払いプロトコルの実行の写しを送る、
請求項52から72の1つに記載の方法。
75.第1の利用者の所持金額は、第1の利用者が保持しているが制御下には
ないカウンタの値で指示され、
引き出しプロトコルにおいて、第1の利用者によって引き出された額だけカ
ウンタの値は増加される;及び
支払いプロトコルにおいて、第1の利用者が使った額だけカウンタの値は減
少される、
請求項74に記載の方法。
76.第1の数ベクトルの関数f1が、第2の利用者によって第1の利用者の身
元に唯一無二の方法で関連付けられているので、第1の利用者が、所定の値を越
える回数試験された第2の数ベクトルを有している場合にのみ、第1の利用者の
身元が確認される、追跡不能な電子キャッシュシステムを実施するための、請求
項54に記載の方法。
77.選ばれた利用者(利用者達)によって保持される情報が、第1の利用者
を構成する他の利用者(利用者達)にとって享受することができるようになり、
かつ、詐欺があったとしても、その後、第2の利用者によって第1の利用者の身
元を追跡できる場合にのみ、第2の数ベクトルを1に等しいかそれより大きい境
界値を越える回数使うことができる追跡不可能な電子キャッシュシステムを実施
するための、請求項70から72の1つに記載の方法。
78.第2の利用者が誤って所定の境界値を越える回数第2の数ベクトルを使
った第1の利用者を告発するといった第2の利用者の故意の企みに対して第1の
利
用者を法的に保護するための機構を、追跡不可能な電子キャッシュシステムにお
いて実現するための請求項56に記載の方法。
79.取り下げられた各第2の数ベクトルは、1つの特定の仮り名のもとでの
み使うことができる、追跡不可能な電子キャッシュシステムを実現するための請
求項59に記載の方法。
80.電子小切手を送ることができ、ここで、
第1の数ベクトルの関数I1は、実質的にランダムで第2の利用者に知られ
ないように選ばれた数を含んでおり;
第1の利用者は、自らが知っている関数f2に関する第2の数ベクトルの表現
の関数I2内の数のサブセットを告知し、告知された特定のサブセットは電子小
切手によって支払われた額を指示する;及び
第1の利用者は、第1の数ベクトルの関数I1に含まれ、実質的にランダム
に選ばれた数のサブセットを第2の利用者に告知することにより、使われなかっ
た小切手の部分について、第2の利用者から払いもどしを受けることができ、上
記サブセットは、第2のプロトコルにおいて第3の利用者に告知した数のサブセ
ットと相補的である、
追跡不可能な電子キャッシュシステムを実現する、請求項54に記載の方法。
81.第1のプロトコルが少なくとも2回実行され、
第1のプロトコルの第1回の実行における第1の数ベクトルの関数f1は、第
2の利用者により、第1の利用者の身元と唯一無二の方法で関連付けられる;
第1のプロトコルの第1回の実行において第1の利用者が獲得した第2の数
ベクトルは第2の利用者を相手とした第1の利用者の仮り名として用いられる;
第1のプロトコルの相続く実行における第1の数ベクトルの関数f1は第2の
利用者を相手とした第1の利用者の仮り名に等しい;及び
第2のプロトコルの対応する実行において第1の利用者が告知した情報は、
第2の利用者が、第1のプロトコルの第1回目の実行において用いられた第
1の数ベクトルの関数f1を計算することを可能とするので、第1の利用者の身元
は、第1の利用者が、第1のプロトコルの相続く実行の1つで獲得した第2の数
ベクトルを1に等しいかそれより多い所定の境界値を越える回数使用したときに
決定されうる、
匿名銀行口座を備える追跡不可能な電子キャッシュシステムを実現する、請求項
58に記載の方法。
ak+1 νが数ベクトル(m0,B1,...,Bl)の不等関数f3に等しくなるような数ベク
トル(a1,...,ak;ak+1)であり、ここで、
数kと1は0に等しいかそれより大きい;
f3(m0,B1,...,Bl)はZn *で表され、整数モジュロnの有限群と呼ばれる数
学構造体の要素である;
数nは少なくとも2つの大きな素数の積である;
数Y1,...,Ykは有限群Zn *の要素である;
数νは正の整数である;
数a1,...,akはZνで表され、整数モジュロνの環と呼ばれる数学構造体の
要素である;及び
数ak+1はZn *の要素である、
請求項52に記載の方法。
ak+1 νが数ベクトル(m0,B1,...,Bl)の不等関数f3に等しくなる数ベクトル(
a1,...,ak;ak+1)であり、ここで、
数kと1は0に等しいかそれより大きい;
f3(m0,B1,...,Bl)はZn *で表され、整数モジュロnの有限群と呼ばれる数
学構造体の要素である;
数nは少なくとも2つの大きな素数の積である;
数Y1,...,Ykは有限群Zn *の要素である;
数νは正の整数である;
数a1,...,akはZνで表され、整数モジュロνの環と呼ばれる数学構造体の
要素である、
及び
第1の利用者を構成する選ばれた利用者に知られた初期数ベクトルは(o1,
..,ok;ok+1)で記述され、o1,...,okは環Zνの要素であり、ok+1は有限
群Zn *の要素である;
選ばれた利用者が第1のプロトコルにおいて第1の利用者を構成する他の利
u1,...,ukは環Zνの要素であり、uk+1は有限群Zν *の要素である;
第1の利用者を構成する他の利用者が選ばれた利用者に渡した呼びかけベク
トルは、環Zν内の数cである;及び
選ばれた利用者が第2のプロトコルにおいて第1の利用者を構成する他の利
用者に渡した、(γ1,...,γk;γk+1)で表される数ベクトルは、1≦i≦kに
ν)・ok+1 cuk+1に等しい、
請求項72に記載の方法。
数ベクトル(m0,B1,...,Bl)の公開された不等関数f3に等しくなるような数ベ
クトル(a1,...,ak)であり、ここで、
数1は0に等しいかそれより大きい;
数kは1に等しいかそれより大きい;
f3(m0,B1,...,Bl)はq個の要素を持ち、Gqで表され、次数qの有限群と呼
ばれる数学構造体の要素である;
数g1,...,gkはGqの要素である;及び
数a1,...,akは、Zqで表され、整数モジュロqの環と呼ばれる数学構造体の
要素である、
請求項52に記載の方法。
数ベクトル(m0,B1,...,Bl)の公開された不等関数f3に等しくなるような数ベ
クトル(a1,...,ak)であり、ここで、
数1は0かそれより大きい;
数kは1かそれより大きい;
f3(m0,B1,...,Bl)はq個の要素を持ち、Gqで表され、位数qの有限群と呼
ばれる数学構造体の要素である;
数g1,...,gkはGqの要素である;及び
数a1,...,akは、Zqで表され、整数モジュロqの環と呼ばれる数学構造体の
要素である、
及び
第1の利用者を構成する、選ばれた利用者に知られている初期数ベクトルは
(o1,...,ok)で記述され、ここでo1,...,okは環Zqの要素である;
選ばれた利用者が、第1のプロトコルにおいて、第1の利用者を構成する他
は環Zqの要素である;
第1の利用者を構成する他の利用者により、選ばれた利用者に渡された呼び
かけベクトルは、環Zq内の数cである;及び
選ばれた利用者が、第2のプロトコルにおいて、第1の利用者を構成する他
の利用者に渡した、(γ1,...,γk)で表される数ベクトルは、1≦i≦kについて
、各γiがcoi+ui mod νに等しい、
請求項72に記載の方法。
86.第1の利用者と第2の利用者との間における情報を証明するためのプロ
トコルを実施するための装置であり、ここで、ある関数が少なくとも第1の利用
者について逆関数化することが実質的に困難であるときに、その数ベクトルの関
数の逆関数は、当該関数に関する数ベクトルの表現と呼ばれ、該装置は以下のも
のからなる:
第1の利用者に保持される第1情報処理手段;
第2の利用者の制御下にあり、第1の利用者の制御が及ばない第2情報処理
手段;
第1情報処理手段と第2情報処理手段との間にあって両者間の情報の交換を
可能とするインターフェース手段;
第1情報処理手段にとって入手することができる第1の数ベクトルを、第1
の数ベクトルの不等関数f1、ここでf1は身元確認関数、へのアクセスを、第2の
情報処理手段が有するように決定する手段;
第1の数ベクトルを第2の数ベクトルに変換する、第1情報処理手段内の手
段、該変換は、第1情報処理手段が、関数f2に関する第2の数ベクトルの表現へ
のアクセスを有するように、第1情報処理手段によりランダムに発生されうる数
を含んでいる;
第1の数ベクトルの関数f1を第3の数ベクトルに変換する、第2情報処理手
段内の手段、該変換は、第2の利用者の秘密キイを含んでおり、インターフェー
ス手段を通じて第1情報処理手段との相互作用を要求する;
インターフェース手段を通じて第2情報処理手段により第3の数ベクトルを
第1情報処理手段に渡す手段;及び
第4の数ベクトルが、第2の利用者の秘密キイに対応する公開キイを巻き込
む関係にしたがって第2の数ベクトルに対応するように、第3の数ベクトルを第
4の数ベクトルに変換する、第1情報処理手段内の手段;
ここで、
第1の数ベクトルの不等関数I1は、第1の数ベクトルの第2の数ベクトル
への変換において第1情報処理手段により実行されたランダムな選択に無関係に
、第1情報処理手段にアクセスしうる、関数f3に関する第2の数ベクトルの表現
の不等関数に等しい;
各第1の数ベクトル、各第2の数ベクトル及び第2の利用者の公開キイを巻
き込む関係に従って第2の数ベクトルに対応する第4の数ベクトルについて、第
1の数ベクトルの第2の数ベクトルへの変換において、少なくとも1つのランダ
ム選択のセットが以下のように存在する、即ち、第1情報処理手段が、第1の数
ベクトルの第2の数ベクトルへの変換において上記少なくとも1つ
のランダム選択のセットを応用すれば、第1情報処理手段が、第2及び第4の数
ベクトルを獲得する;及び
第1の利用者が、関数f2に関する数ベクトルの表現及び第2の利用者の公開
キイを巻き込む関係に従ってこの数ベクトルに対応する数ベクトルを知っていて
も、第1の利用者は、第2情報処理手段の協力なしには上記数ベクトルを生成す
ることができない。
87.第1の利用者は、第2の数ベクトル及び第2の利用者の公開キイを巻き
込む関係にしたがって第2の数ベクトルに対応する第4の数ベクトルを、第2情
報処理手段の協力なしに生成することができる、請求項86に記載の装置。
88.プロトコルの新規の実行のための第1の数ベクトルは、第1情報処理手
段にアクセスされる、関数f2に関する少なくとも1つの第2の数ベクトルの表現
の不等関数として決定され、ここで上記少なくとも1つの第2の数ベクトルは、
プロトコルの先の実行において第1情報処理手段により獲得されている、請求項
86に記載の装置。
89.プロトコルは、第2の数ベクトルが第1の利用者により仮り名として使
用されるので、仮り名発行プロトコルと呼ばれる、請求項86に記載の装置。
90.第1情報処理手段にアクセスされうる、関数f2に関する第2の数ベクト
ルについての表現の関数I2が、第1の利用者の資格認証の特定のセットを表す
ので、第1の利用者は、第2の数ベクトル内に資格認証のセットを保持するとい
われる、請求項86に記載の装置。
91.第1の数ベクトルは、第1の数ベクトルの関数I1が、第2の利用者が
第1の利用者に対し発行した資格認証のセットを特定するので、資格認証のセッ
トが、第2の利用者によって第2の数ベクトル内に仕込まれているといわれる、
請求項90に記載の装置。
92.第1の数ベクトルは、プロトコルの新規の実行において
第1の利用者の資格認証がそれによって更新される値を特定する数ベクトル
と、第1情報処理手段にアクセスされる、関数f2に関する第2の数ベクトルの表
現との、
不等関数として決定されるので、第1の利用者により第2の数ベクトル内に保持
される資格認証のセットはプロトコルの新規の実行において更新されるといわれ
る、請求項90に記載の装置。
93.第2の利用者は、第1の利用者により第2の数ベクトル内に資格認証の
セットが保持されていることを知らない、請求項92に記載の装置。
94.第2の利用者は、それによって第1の利用者の資格認証がそれによって
更新される値を特定する数ベクトルを知らない、請求項92又は93に記載の装
置。
95.第1情報処理手段は、各々それ自身のメモリ手段を有する少なくとも2
つの別個の情報処理手段からなり、両方の情報処理手段は、関数f2に関する第2
の数ベクトルの表現へのアクセスをもつために必然的に協力しなければならない
、請求項86から93の1つに記載の装置。
ak+1 νが数ベクトル(m0,B1,...,Bl)の不等関数f3に等しくなるような数ベク
トル(a1,...,ak;ak+1)である、ここで、
数kと1は0に等しいか0より大きい;
f3(m0,B1,...,Bl)は、Zn *で表され、整数モジュロnの有限群と呼ばれる
、数学構造体の1要素である;
数nは少なくとも2つの大きな素数の積である;
数Y1,...,Ykは有限群Zn *の要素である;
数νは正の整数である;
数a1,...,akは、Zνで表され、整数モジュロνの環と呼ばれる数学構造体
の要素である;及び
数ak+1はZn *の要素である、
請求項86に記載の装置。
97.数νは有限群Zn *の要素の数に対して共役素数(co-prime)である請求
項96に記載の装置。
98.数νは偶数である請求項96に記載の装置。
99.m0は有限群Zn *の要素であり、f3(m0,B1,...,Bl)はm0に等しい請求項
96に記載の装置。
100.第2の利用者の公開キイは、有限群Zn *からの数Xとハッシュ関数H
からなり、第2の利用者の秘密キイは、数X,Y1,...,Ykもしくは数hの素因数
分解の各々のモデュロnのν乗根からなり、第2の利用者を含む関係が、その関
係にしたがって第4の数ベクトルが第2の数ベクトルに対応し、bν=(Xm)caも
しくはbν=Xm(a)cの関係が成立すると満足される;
ここで、aとbは有限群Zn *の数であり;
cはH(m0,B1,...,Bl,a)を表し、(m0,B1,...,Bl)は第2の数ベクトルを
示し;及び
mはf3(m0,B1,...,Bl)を表す、請求項96に記載の装置。
101.第2の利用者の公開キイは、有限群Zn *からの数Xとハッシュ関数H
からなり、第2の利用者の秘密キイは、数X,Yl,...,Yk又は数nの素因数分解
の各々のモジュロnのν乗根からなり、第2の利用者の公開キイを巻き込む関係
が、その関係に従って第4の数ベクトルが第2の数ベクトルに対応しており、bν
=(Xa)cm又はbν=Xa(m)cの関係が成立したときに、満足される、
ここで、
aとbは有限群Zn *の数であり;
cはH(m0,B1,...,Bl,a)を表し、(m0,B1,...,Bl)は第2の数ベクトルを
表し;
mはf3(m0,B1,...,Bl)である、
請求項96に記載の装置。
102.第2の利用者の公開キイは、有限群Zn *からの数Xとハッシュ関数H
とからなり;
第2の利用者の秘密キイは、数Y1,...,Ykの各々のν乗根と数ベクトル(s1,
.
数s1,...,sjは環Zνの要素であり;
数sj+1は有限群Zn *の要素であり;
数Z1,...,Zjは有限群Zn *の要素であり;及び
数jは1に等しいかそれより大きい、
又は、第2の利用者の秘密キイは、数nの素因数分解であり;及び
第2の利用者の公開キイを巻き込む関係は、その関係に従って第4の数ベクト
aとbj+1は有限群Zn *の数であり;
b1,...,bjは環Zνの数であり;
cはH(m0,B1,...,Bl,a)を示し、(m0,B1,...,Bl)は第2の数ベクトルを
示し;及び
mはf3(m0,B1,...,Bl)を示している、請求項96に記載の装置。
103.第2の利用者の公開キイは、有限群Zn *からの数Xとハッシュ関数H
とからなり;
第2の利用者の秘密キイは、数Y1,...,Ykの各々のν乗根と数ベクトル(s1,
.
数s1,...,sjは環Zνの要素であり;
数sj+1は有限群Zn *の要素であり;
数Z1,...,Zjは有限群Zn *の要素であり;及び
数jは1に等しいかそれより大きい、
又は、第2の利用者の秘密キイは、数nの素因数分解であり;及び
第2の利用者の公開キイを巻き込む関係は、その関係に従って第4の数ベクト
aとbj+1は有限群Zn *の数であり;
b1,...,bjは環Zνの数であり;
cはH(m0,B1,...,Bl,a)を示し、(m0,B1,...,Bl)は第2の数ベクトルを
示し;及び
mはf3(m0,B1,...,Bl)を示している、請求項96に記載の装置。
が数ベクトル(m0,B1,...,Bl)の不等関数f3に等しくなる(a1,...,ak)の数
ベクトルであり、ここで、
数1は0か0より大きく;
数kは1か1より大きく;
f3(m0,B1,...,Bl)は、q個の要素を持ち、Gqで表され、次数qの有限群と
称される数学構造体の要素であり;
数g1,...,gkはGqの要素であり;及び
数a1,...,akは、Zqで表され、整数モジュロqの環と称される数学構造体の
要素である、
請求項86に記載の装置。
105.数qは素数である、請求項104に記載の装置。
106.Gqは有限群Zq *の部分群(subgroup)であり;
数pは、(p−1)が少なくとも2個の大きな素数を有し、そのうちの1つはqに等
しい;
第1の利用者が、数(p−1)の素数を決定することは不可能であり;及び
環Zq内の数の線形結合は、第1の利用者による計算されたモジュロ(p−1)
である、請求項105に記載の装置。
107.m0は有限群Gqの要素であり、f3(m0,B1,...,Bl)はm0に等しい、請
求項104に記載の装置。
108.第2の利用者の公開キイは、有限群Zqからの2つの数gとh及びハッ
シュ関数Hからなり;
第2の利用者の秘密キイは、数gに関して数hの環Zqにおける離散対数からな
り;及び
第2の利用者の公開キイを巻き込む関係は、その関係にしたがって、第4の数
ベクトルが第2の数ベクトルに対応しており、gγ=(hm)ca又はgγ=hm(a)cが成
立すると満足され、ここで、
aは有限群Gq内の数であり;
cはH(m0,B1,...,Bl,a)を表し、(m0,B1,...,Bl)は第2の数ベクトルを
表し;
γは環Zq内の数であり;及び
mはf3(m0,B1,...,Bl)を表す、
請求項104に記載の装置。
109.第2の利用者の公開キイは、有限群Zqからの2つの数gとh及びハッ
シュ関数Hからなり;
第2の利用者の秘密キイは、数gに関して数hの環Zqにおける離散対数からな
り;及び
第2の利用者の公開キイを巻き込む関係は、その関係にしたがって、第4の数
ベクトルが第2の数ベクトルに対応しており、gγ=(ha)cm又はgγ=ha(m)cが成
立すると満足され、ここで、
aは有限群Gq内の数であり;
cはH(m0,B1,...,Bl,a)を表し、(m0,B1,...,Bl)は第2の数ベクトルを
表し;
γは環Zq内の数であり;及び
mはf3(m0,B1,...,Bl)を表す、
請求項104に記載の装置。
110.第2の利用者の公開キイは、有限群Zqからの2つの数gとh及びハッ
シュ関数Hからなり;
第2の利用者の秘密キイは、数gに関して数hの環Zqにおける離散対数からな
り;及び
第2の利用者の公開キイを巻き込む関係は、その関係にしたがって、第4の数
ベクトルが第2の数ベクトルに対応しており、gγ=hca及びmγ=zcbの両方又は
gγ=hac及びmγ=zacの両方が成立すると満足され、ここで、
cはH(m0,B1,...,Bl,a)を表し、(m0,B1,...,Bl)は第2の数ベクトルを
表し;
γは環Zq内の数であり;
z,aおよびbは有限群Gq内の数であり;及び
mはf3(m0,B1,...,Bl)を表す、
請求項104に記載の装置。
111.第2の利用者の秘密キイは、有限群Gqからの数hとハッシュ関数Hか
らなり;
に等しく、ここで、
数s1,...,sjは環Zqの要素であり;
数f1,...,fjは有限群Gqの要素であり;及び
数jは2に等しいかそれ以上であり;及び
第2の利用者の公開キイを巻き込む関係は、その関係に従って第4の数ベクト
成立したときに満足される、ここで
aは有限群Gq内の数であり;
cはH(m0,B1,...,Bl,a)を表し、(m0,B1,...,Bl)は第2の数ベクトルを
示し;
γ1,...,γjは環Zq内の数であり;及び
mはf3(m0,B1,...,Bl)を表す、
請求項104に記載の装置。
112.第2の利用者の公開キイは、有限群Gqからの数hとハッシュ関数Hか
らなり;
に等しく、ここで、
数s1,...,sjは環Zqの要素であり;
数f1,...,fjは有限群Gqの要素であり;及び
数jは2に等しいかそれ以上であり;及び
第2の利用者の公開キイを巻き込む関係は、その関係に従って第4の数ベクト
成立したときに満足される、ここで
aは有限群Gq内の数であり;
cはH(m0,B1,...,Bl,a)を表し、(m0,B1,...,Bl)は第2の数ベクトルを
示し;
γ1,...,γjは環Zq内の数であり;及び
mはf3(mo,B1,...,Bl)を表す、
請求項104に記載の装置。
113.第1情報処理手段にアクセス可能で、第1の利用者により保持されて
いる、関数f0に関する第1の数ベクトルの表現の記述を試験するための第1の利
用者と第2の利用者との間のプロトコルを実施する装置であり、ここで、ある数
ベクトルの関数の逆関数は、その関数が少なくとも第1の利用者にとって逆関数
化することが困難である場合には、関数の数ベクトルの表現と呼ばれ、
該装置は以下の手段からなる:
第1情報処理手段;
第3の利用者により保持された第2情報処理手段;
第1情報処理手段と第2情報処理手段との間で情報交換を可能とする両手段
間のインターフェース手段;
第2の利用者の公開キイを巻き込む関係に従って第1の数ベクトルに対応す
る第2の数ベクトルへのアクセスを持っていることを、第2情報処理手段に証明
する、第1情報処理手段内の手段、ここで、証明は、単に第2の数ベクトルを第
2情報処理手段に告知することによって行われる;及び
関数f2に関する第1の数ベクトルの関数f1の表現へのアクセスを持っている
ことを第2情報処理手段に対して証明する、第1情報処理手段内の手段、
ここで、試験は、インターフェース手段を通じた、第1と第2の情報処理手段の
間の以下の如き相互作用を要求する、
関数f1とf2は、第2情報処理手段により試験される関数f0に関する第1の数
ベクトルについての、第1情報処理手段へのアクセスが可能な表現の特定の記述
を決定する;及び
第1及び第2の数ベクトルが第2の利用者の協力によって得られたときにの
み、第1の利用者が第1の数ベクトルの試験を合格させることができる。
114.第3の利用者の情報処理手段の繰返し試験は、第3の利用者が、第1
の情報処理手段にアクセスすることができる、関数f0に関する第1の数ベクトル
の表現又はその不等関数を決定することを不可能とする、請求項113に記載の
装置。
115.第1の数ベクトルが第2の情報処理手段によって試験される回数が、
1回もしくはそれ以上である所定の回数を越えた場合、第1の情報処理手段にア
クセス可能な関数f0に関する第1の数ベクトルの表現の不等関数は、第3の利用
者によって効率的に演算されうる、請求項113に記載の装置。
116.第1情報処理手段にアクセスできる、関数f0に関する第1の数ベクト
ルの表現の不等関数は、プロトコルの第1回目の実行において、第1情報処理手
段によって第2情報処理手段に告知される;及び
第1情報処理手段にアクセスできる、関数f0に関する第1の数ベクトルの表
現の不等関数が存在し、それについての情報はプロトコルの第1回目の実行にお
いて第2情報処理手段に告知されない、
請求項113に記載の装置。
117.第1情報処理手段は、夫々が自身のメモリ手段を含む少なくとも2つ
の別個の情報処理手段からなり、第1情報処理手段の両方の情報処理手段は、第
1の数ベクトルの試験を合格させるために必然的に協力しなければならない、請
求項113に記載の装置。
118.第1の利用者は、第2の利用者の協力なしに、第1の数ベクトルと、
第2の利用者の公開キイを巻き込む関係に従って第1の数ベクトルに対応する第
2の数ベクトルとを容易に生成することができる、請求項113に記載の装置。
119.プロトコルは知識ゼロである、即ち発行されたメッセージのセットは
、プロトコルの実行において第2情報処理手段からみると、第2の利用者のいか
なる関与なしに、第2の利用者が第1及び第2の数ベクトルの生成に関与したと
き
に適用される確率分布とは識別できない確率分布を用いて生成することができる
、請求項118に記載の装置。
120.第1情報処理手段にアクセスできる、関数f0に関する第1の数ベクト
ルの表現の不等関数は、第2の利用者によって第1の利用者に対し発行された資
格認証のセットを表している;及び
関数f1とf2は、第2情報処理手段によって試験された、第1の利用者の資格
認証の特定の記述を特定する、
請求項113から119の1つに記載の装置。
クトル(a1,...,ak;ak+1)であり、ここで、
数kと1は0に等しいか0より大きく;
f3(m0,B1...,Bl)は、Zn *で表され、整数モジュロnの有限群と称される数
学構造体の要素であり;
数nは、少なくとも2つの大きな素数の積であり;
数Y1,...,Ykは有限群Zn *の要素であり;
数νは正の整数であり;
数a1,...,akは、Zνで表され、整数モジュロνの環と称される数学構造体
の要素であり;及び
数ak+1はZn *の要素である、
請求項113に記載の装置。
122.数νは、有限群Zn *の要素の数に対して共役素数(co-prime)である
、請求項121に記載の装置。
123.数νは偶数である、請求項121に記載の装置。
124.m0は有限群Zn *の要素であり、f3(m0,B1,...,Bl)はm0に等しい、請
求項121に記載の装置。
125.関数f2に関する数ベクトル(m0,B1,...,Bl)の表現へのアクセスを
有することを第2情報処理手段に対し証明することができる第1情報処理手段内
の手段は、以下の手段からなる:
有限群Zn *内の数Bに委任する(comit)手段、該手段は、数ベクトル(b1,
1,...,bk;bk+1)は第3の利用者にとって予測不可能である;
環Zν内の呼びかけ数cに対応するk個の数γ1,...,γkを計算し、インター
フェース手段を通じて送る手段、γiは1≦i≦kについてcai+bi mod νに等しい
;及び
算し、インターフェース手段を通じて送る手段、
請求項121に記載の装置。
..,Zjは第2の利用者によって決定された有限群Zn *の要素である;及び
0に等しいかそれより大きいkについて、数Y1,...,Ykの各々は、集合{Z1,
...,Zj}内の数のべき乗とそれらの逆数との積である、
請求項121に記載の装置。
127.関数f2に関する数ベクトル(m0,B1,...,Bl)の表現は数ベクトル(
a
等しい、
ここで、
数1は0に等しいか0より大きく;
数kは1に等しいか1より大きく;
f3(m0,B1,...,Bl)は、Gqで表され、位数qの有限群と称される、q個の要
素を有する数学構造体の要素であり;
数g1,...,gkはGqの要素であり;及び
数a1,...,akはZqで表され、整数モジュロqの環と称される数学構造体の要
素である、
請求項113に記載の装置。
128.数qは素数である、請求項127に記載の装置。
129.Gqは有限群Zp *の部分群(subgroup)であり;
数pは(p−1)がそのうちの一つがqに等しい少なくとも2つの大きい素数を
有する素数であり;
第1の利用者が数(p−1)の素因数分解を決定することが不可能であり;及
び環Zq内の数の線形結合が第1情報処理手段により演算されたモジュロ(p−1
)である、
請求項128に記載の装置。
130.m0が有限群Gqの要素であり、f3(m0,B1,...,Bl)がm0に等しい、請
求項127に記載の装置。
131.関数f2に関する数ベクトル(m0,B1,...,Bl)の表現(a1,...,ak)
に対するアクセスを有することを第2情報処理手段に対して証明することができ
る第1情報処理手段内の手段は、以下の手段からなる:
数ベクトル(b1,...,bk)に対するアクセスを有する、有限群Gq内の数Bに
第3の利用者にとって実質的に予測不可能である;及び
1≦i≦kについてγiがcai+bi mod qに等しい、環Zq内の呼びかけ数cに対
応するk個の応答数γ1,...,γkを計算し、インターフェース手段を通じて送る手
段、
請求項127に記載の装置。
の利用者によって決定された、有限群Gqの要素であり;及び
1に等しいかそれより大きいkについて、数g1,...,gkの各々は、集合{e1,.
..,ej}内の数のべき乗とそれらの逆数との積である、
請求項127に記載の装置。
133.第1の利用者に保持された第1情報処理手段が、第2の利用者に保持
された第2情報処理手段に対して、数ベクトルの記述を、数ベクトルについての
いかなる付加情報を告知することなしに、証明するプロトコルを実施するための
装置、ここで、
数ベクトルは、kが1に等しいか大きい整数として、(u1,...,uk)で表さ
れ;
数u1,...,ukの各々が、νを正の整数として、整数モジュロνの環と呼ば
れ、Zvで表される数学構造体の要素であり;
数ベクトル(Z1,...,Zk)は第1及び第2情報処理手段の両方にアクセス
可能である;
数Z1,...,Zkの各々は、nを少なくとも2個の素数の積として、整数モジュ
ロnの有限群と呼ばれ、Zn *で表される数学構造体の要素であり;及び
第1情報処理手段は、uk+1を有限群Zn *の要素とし、Aで表されるべき乗
に委任している、
該装置は以下の手段を備えている:
第1情報処理手段と第2情報処理手段との間にあって両者間の情報交換を可
能とするインターフェース手段;
al+1)へのアクセスを有することを第1の情報処理手段により第2の情報処理手
段に対して証明する手段;
ここで、
lを1に等しいか大きい数として、数Y1,...,Ylの各々が、集合{Z1,...,
Zk}内の数のべき乗とそれらの逆数との積であり;
Aの関数f1は集合{A,Z1,...,Zk}内の数のべき乗とそれらの逆数との積
であり;及び
ベクトル(Y1,...,Yl)と関数f1は、一緒に、第1情報処理手段が証明す
る数ベクトル(u1,...,uk)の記述を特定する。
134.第1情報処理手段が第2情報処理手段に対して、数ベクトル(a1,...
,al;al+1)へのアクセスを有することを証明することができる第1情報処理手
段
内の手段は、以下の手段からなる:
数ベクトル(b1,...,bl;bl+1)に対するアクセスを有する、有限群Zn *内
,bl;bl+1)は第2の利用者にとって予測不可能である;
1≦i≦lなるiについてγiがcai+bi mod νに等しい、環Zν内の呼びかけ
数cに対応する1個の応答数γ1,...,γlを計算し、インターフェース手段を介し
て送る手段;及び
1を計算し、インターフェース手段を介して送る、
請求項133に記載の装置。
135.第1の利用者が、第2の利用者に対し、数ベクトルについてのいかな
る付加情報なしに、ある数ベクトルを証明するプロトコルを与える方法であって
、
kが1か1より大きい整数であるとして、数ベクトルが(u1,...,uk)で表さ
れ;
数u1,...,ukの各々は、qが正の整数であるとして、整数モジュロqの環と呼
ばれ、Zqで表される数学構造体の要素であり;
数ベクトル(e1,...,ek)は、第1の利用者と第2の利用者に知られており
;
数e1,...,ekの各々は、qが正の整数であるとして、次数qの有限群と呼ばれ
、Gqで表される数学構造体の要素であり;及び
て数ベクトルに拘束される、
該方法は、以下のステップを含む:
する、
ここで、
0に等しいか0より大きい1について、数g1,...,glの各々が、集合{e1,...,
ek}内の数のべき乗とそれらの逆数との積である;及び
ベクトル(g1,...,gl)と関数f1とは、一緒に、第1の利用者が証明する数
ベクトル(u1,...,uk)の記述を特定する方法。
136.第1情報処理手段が、第2情報処理手段に対し、数ベクトル(a1,...
,al)へのアクセスを有することを証明することができる第1情報処理手段内の
手段は以下の手段からなる;
数ベクトル(b1,...,bl)へのアクセスを有する、有限群Zn *内のBに委任
することができない;及び
1≦i≦lなるiについてγiがcai+bi mod qに等しい、環Zq内のチャレンジ
数cに対応する1個の応答数γ1,...,γlを計算し、インターフェース手段を介し
て送る手段、
請求項135に記載の装置。
137.少なくとも一つの第1の利用者と少なくとも一つの第2の利用者との
間で認証された情報の電子転送を実行する方法であって、少なくとも一つの第3
の利用者は情報認証用の第1のプロトコルと認証された情報を検査するための第
2のプロトコルを使用し、ここで、数ベクトルの関数を逆関数化することが、少
なくとも第1の利用者にとって実質的に困難であるならば、数ベクトルの関数の
逆関数が、該関数に関する数ベクトルの表現と呼ばれる、
該装置は、以下の手段を備える:
第1の利用者に保持される第1情報処理手段;
第2の利用者の制御下にあり、第1の利用者からは制御できない第2情報
処理手段;
第3の利用者に保持される第2情報処理手段;
第1情報処理手段と第2情報処理手段との間にあって第1プロトコルにお
ける両手段間の情報交換を可能にする第1インターフェース手段;
第1情報処理手段と第3情報処理手段との間にあって第2プロトコルにお
ける両手段間の情報交換を可能にする第2インターフェース手段;
第1プロトコルにおいて第1情報処理手段にアクセス可能な第1の数ベク
トルを決定する手段、
該第1の数ベクトルの不等関数f1に対するアクセスを、第2情報処理手
段が有しており、ここで、関数f1は身元確認関数でありうる;
第1プロトコルにおいて第1の数ベクトルを第2の数ベクトルに変換する
第1情報処理手段内の手段、該変換は第1情報処理手段によりランダムに発生さ
れうる数を含み、第1情報処理手段は関数f2に関する第2の数ベクトルの表現
に対するアクセスを有している;
第1のプロトコルにおいて、第1の数ベクトルの関数f1を第3の数ベク
トルに変換する第2情報処理手段内の手段、該変換は第2の利用者の秘密キイを
含んでおり、ここで、変換は第1インターフェース手段を通じてのこの第1情報
処理手段との相互作用を要求する;
第1のプロトコルにおいて、第2情報処理手段により第3の数ベクトルを
第1インターフェース手段を介して第1情報処理手段に渡す手段;
第1のプロトコルにおいて第3の数ベクトルを第4の数ベクトルに変換す
る第1情報処理手段内の手段、該第4の数ベクトルは第2の利用者の秘密キイに
対応する公開キイを含む関係に従って、第2の数ベクトルに対応する;
第2のプロトコルにおいて、第2の利用者の公開キイを含む関係にしたが
って第2の数ベクトルに対応する数ベクトルに対するアクセスを有することを、
第2のインターフェース手段を介して、第3情報処理手段に対して証明する第1
情報処理手段内の手段、証明は単に第4の数ベクトルを第3情報処理手段に対し
告知することにより行われる;及び
第2のプロトコルにおいて、関数f4に関する第2の数ベクトルの関数f3
の表現に対するアクセスを有することを、第2インターフェース手段を介して第
3情報処理手段に対し証明する第1情報処理手段内の手段;
ここで、
第1の数ベクトルの不等関数I1は、第1情報処理手段による第1の数ベ
クトルの第2の数ベクトルへの変換において適用されたランダムな選択に無関係
に、第1情報処理手段にとってアクセス可能な関数f2に関する第2の数ベクト
ルの表現の不等関数I2に等しく;
関数f3とf4は、第2のプロトコルにおいて第3情報処理手段により試験
される関数f2に関する第2の数ベクトルの表現の関数I2の特定の記述を決定す
る;
第2のプロトコルの第1回目の実行において、第3情報処理手段に告知さ
れた情報は、第2のプロトコルの第1回目の実行において、試験される第2の数
ベクトルを得る第1のプロトコルの実行において第1情報処理手段が使用する特
定の第1の数ベクトルの関数f1と唯一無二の対応関係に持ち込むことができな
い;及び
第1の利用者は、第1のプロトコルの実行において第2及び第4の数ベク
トルが得られたときにのみ、第2のプロトコルにおいて、第2の数ベクトルの試
験を合格させることができる。
138.第2のプロトコルの実行中に、第3の利用者の情報処理手段により任
意の多数回、第2の数ベクトルが検査されたとしても、第2のプロトコルの実行
中において第3の利用者の情報処理手段に対して告知された情報を、第1の数ベ
クトルの関数f1と一意対応関係に持ち込むことが実質的に実行不可、即ち不可能
のままである、請求項137に記載の方法。
139.第3の利用者の情報処理手段により、第2のプロトコルの実行中に第
2の数ベクトルが検査される回数が、1か1より大きい所定の境界を越えたなら
ば、第2の数ベクトルは第1の数ベクトルの関数と一意対応関係に持ち込まれる
、請求項137に記載の方法。
140.第3の利用者の情報処理手段により、第2のプロトコルの実行中に第
2の数ベクトルが検査される回数が、1か1より大きい所定の境界を越えたなら
ば、第2の数ベクトルは第1の数ベクトルと一意対応関係に持ち込まれる、請求
項137に記載の方法。
141.第1の数ベクトルの関数と、第1のプロトコルの実行中に第1の利用
者により告知された情報によって、第2の利用者が第1の数ベクトルを決定する
ことは、実質的に実行不能、即ち不可能であるため、第2の利用者による第1の
数ベクトルの知識は、公平な利用者にとって、第2の数ベクトルが所定の境界を
越える回数検査されたことの正当な証明とすることができる、請求項140に記
載の方法。
142.第2の数ベクトルが、第3の利用者を相手とした第1の利用者の仮り
名として用いられる、請求項137に記載の方法。
143.第1のプロトコルの新規の実行のための第1の数ベクトルは、第1の
情報処理手段にアクセス可能な、関数f。に関する少なくとも1つの第2の数ベ
クトルの表現の不等関数として決定され、ここで、少なくとも1つの第2の数ベ
クトルは、第1のプロトコルの先の実行中に第1の利用者により獲得されている
、請求項137に記載の方法。
144.第1のプロトコルが少なくとも2回実行され、第1のプロトコルの先
の実行中に得られた少なくとも1つの第2の数ベクトルが、第3の利用者を相手
とした第1の利用者の仮り名として用いられ、第2のプロトコル中に第1の利用
者は、第1のプロトコルの新規の実行中にその仮り名の1にのみ対応し、かつ第
1の他の利用者の仮り名に対応することなく、得られる第2の数ベクトルの検査
を、以下の理由により、合格させることができる;
第1の情報処理手段は、第1の数ベクトルを第2の数ベクトルに変換すると
きに、第1のプロトコルの新規の実行において既に上記仮り名に拘束されていな
ければならない;及び
関数f3は第1のプロトコルの新規の実行において得られる第2の数ベクトル
のみならず、第1の情報処理手段が第1のプロトコルの新規の実行において恐ら
くコミットした(commit)仮り名にも作用する、
請求項137に記載の方法。
145.第1のプロトコルが少なくとも2回実行され、第1のプロトコルの先
の実行中に得られた少なくとも1つの第2の数ベクトルが、第3の利用者を相手
とした第1の利用者の仮り名として用いられ、第2のプロトコルの実行中に、第
1の利用者は、第1のプロトコルの新規の実行中に、その仮り名の1つのみに対
応し、かつ第1の他の利用者の仮り名に対応することなく得られる第2の数ベク
トルの検査を、以下の理由により合格させる、
ここで、第1の情報処理手段が、第2のプロトコルの実行において第4の数
ベクトルを第3の情報処理手段に転送すれば足りる:
第1の情報処理手段は、第1のプロトコルの新規の実行において、第1の数
ベクトルを上記仮り名の不等関数に変換する、ここで、該関数は第2の情報処理
手段にアクセス可能である;及び
第3の情報処理手段は第2のプロトコルにおいて、第1の情報処理手段が転
送した数ベクトルが第2の利用者の公開キイを含む関係に従って上記仮り名の関
数に対応する、
請求項137に記載の方法。
146.第1のプロトコルは、少なくとも2回実行され、ここで、第1のプロ
トコルの先の実行で得られた少なくとも1つの第2数ベクトルが第3の利用者を
相手として第1の利用者の仮り名として使用され、第1の利用者は、第3の利用
者を相手とするいずれか一つの仮り名に対応し、かつ第1の他の利用者の仮り名
に対応することなく、第1のプロトコルの新規の実行において得た第2の数ベク
トルの試験を第2のプロトコルにおいて合格させる;それは関数f3が第1プロト
コルの新規の実行において得られた第2の数ベクトルのみならず、第1の利用者
が所有者であると主張するいずれかの仮り名にも作用するという理由による、請
求項137に記載の方法。
147.第1の情報処理手段にアクセス可能な、関数f2に関する第2の数ベク
トルの表現の関数I2は、第1の利用者の資格認証(credentials)の特定のセッ
トを表すので、第1の利用者は、あるセットの資格認証を第2の数ベクトル内に
保持しているといわれる、請求項137に記載の方法。
148.第1の数ベクトルの関数I1は、第2の利用者が第1の利用者に対し
て発行する資格認証のセットを特定するので、資格認証のセットは、第2の利用
者によって第2の数ベクトル内に備え付けられているといわれる、請求項147
に記載の方法。
149.第1のプロトコルの新規の実行における第1の数ベクトルは、
それによって第1の利用者の資格認証が更新される値を特定する数ベクトル
と、第1の情報処理手段にアクセス可能な、関数f2に関する第2の数ベクトルの
表現との
不等関数として決定されるので、
第2の数ベクトル内に第1の利用者によって保持されている資格認証のセッ
トは第1のプロトコルの新規の実行において更新されるといわれる、
請求項147に記載の方法。
150.第2の利用者は、第1の利用者によって第2の数ベクトル内に保持さ
れている資格認証のセットを知らない、請求項149に記載の方法。
151.第2の利用者は、それによって第1の利用者の資格認証が更新される
値を特定する数ベクトルを知らない、請求項149に記載の方法。
152.第1のプロトコルにおいて第2の情報処理手段により計算される変換
は、少なくとも2つの異なる秘密キイの1つを含んでおり、第2の情報処理手段
によって使用される特定の秘密キイは、第2の数ベクトル内に保持された資格認
証のセットが、どの範ちゅうに関係するかを特定するので、第1の利用者は、異
なる第2の数ベクトル内に、異なる範ちゅうに属する複数の資格認証のセットを
保持することができる、請求項147に記載の方法。
153.第1の利用者は、各々が異なる範ちゅうに属するとともにそれ自身の
第2の数ベクトル内に保持される少なくとも2つの資格認証のセットを保持し、
第1の利用者は、第2のプロトコルにおいて、少なくとも2つの異なる範ちゅう
に属する資格認証を、対応する全ての第2の数ベクトルに作用する関数f3を特定
することにより試験する、請求項152に記載の方法。
154.第1の情報処理手段は夫々メモリ手段を有する少なくとも2つの別個
の情報処理手段からなり、第1情報処理手段内に設けられた両方の情報処理手段
は、第2のプロトコルにおける第2の数ベクトルの試験を合格させるために、第
1と第2のプロトコルにおいて必然的に協力しなければならない、請求項137
に記載の方法。
155.第1情報処理手段は各々それ自身のメモリ手段を含む2つの情報処理
手段からなる;
第1情報処理手段を構成ずる一方の情報処理手段は、不正に対抗的であっ
て、そのメモリ手段は第1の利用者に対しアクセスすることができない;
不正に対抗的な情報処理手段は、第1及び第2インターフェース手段に対
するアクセスを持たない;
第1情報処理手段を構成する他方の情報処理手段は第1の利用者の制限下
にあって、第1及び第2インターフェース手段へのアクセスを有する;
不正に対抗的な情報処理手段及び第1の利用者の制御下にある情報処理手
段は、両処理手段間の情報交換を可能とする第3のインターフェース手段を含む
;及び
不正に対抗的な情報処理手段と第1の利用者の制御下にある情報処理手段
とは、不正に対抗的な情報処理手段が第3情報処理手段と直接に通信できな
いように構成されているので、不正に対抗的な情報処理手段は、第2のプロトコ
ルにおいて、第1の利用者の制御下にある情報処理手段に情報を送ることのみが
できる、
請求項154に記載の装置。
156.不正に対抗的な情報処理手段が、第1及び第2プロトコルにおいて、
第1の利用者の制御下にある情報処理手段から受信し、或はそこに送信する情報
及び不正に対抗的な情報処理手段にとってアクセス可能でそれを同定するのに用
いられる情報は、第1の利用者の制御下にある情報処理手段が、第2のプロトコ
ルにおいて第3情報処理手段に送信し、或はそれから受信する情報とは統計的に
独立である、請求項155に記載の装置。
157.第1情報処理手段を構成する2つの情報処理手段の各々は、第1情報
処理手段を構成する他方の情報処理手段にアクセスできない数ベクトルに対する
アクセスを有し、第1情報処理手段を構成する各情報処理手段にアクセス可能な
数ベクトルはその情報処理手段の初期数ベクトルとして参照され;
第1のプロトコルにおいて第1の数ベクトルは、第1情報処理手段を構成
する2つの情報処理手段に知られた初期数ベクトルの不等関数として決定され、
第2情報処理手段と不正に対抗的な情報処理手段とは、第1の数ベクトルに対す
るアクセスを有する;
不正に対抗的な情報処理手段は、第1プロトコルにおいて、ランダム数ベ
クトルとして参照される数ベクトルを第1の利用者の制御下にある情報処理手段
に送る、ここでランダム数ベクトルは不正に対抗的な情報処理手段が関数f2に
関するランダム数ベクトルについてのランダムに選んだ表現に対するアクセスを
有するものである;
第1の利用者の制御下にある情報処理手段により第1プロトコルにおいて
行われる、第1の数ベクトルから第2の数ベクトルへの変換は、不正に対抗的な
情報処理手段が上記情報処理手段に送ったランダム数ベクトルを含んでいる;及
び
第2プロトコルにおいて、不正に対抗的な情報処理手段は、応答ベクトル
として参照される数ベクトルを第1の利用者の制御下にある情報処理手段に送る
、上記応答ベクトルは、第1の利用者の制御下にある情報処理手段によってそれ
に送られた、呼びかけベクトルとして参照される数ベクトルに対応する、不正に
対抗的な情報処理手段の初期数ベクトルとそのランダム数ベクトルの不等関数で
ある、
請求項155に記載の装置。
158.仮り名は、第1の利用者が、関数f2に関する仮り名の表現を知るため
に必然的に協力しなければならない少なくとも2つの利用者により構成されるの
で、集合的仮り名と言われる、請求項144又は146に記載の方法。
159.本方法は電子支払いに用いられる:
第1の利用者は消費者などの支払う側である;
第2の利用者は現金を発行する銀行の如き金融機関である;
第3の利用者は商店などのサービス機関である;
第1の利用者は、第2の利用者を相手に引き出しプロトコルと呼ばれる第1
のプロトコルを実行することによってお金を引き出し、第3の利用者を相手にし
て、支払いプロトコルと呼ばれる第2のプロトコルを実行することにより、第3
の利用者でお金を使う;及び
第3の利用者は、第2の利用者から自らの口座にお金が振り込まれるように
、支払いプロトコルの実行の写しを送る、
請求項137から157のいずれか1つに記載の方法。
160.第1の利用者の所持金額は第1情報処理手段内に設けられたカウンタ
の値によって指示されており、
第1情報処理手段は不正に対抗することができ、第1の利用者にとってアク
セス不可能なメモリ手段を含んでいる;
第1情報処理手段は上記カウンタをアップさせダウンさせる手段を含んでい
る;
第1情報処理手段は、引き出しプロトコルにおいて、第1の利用者により引
き出された金額だけカウンタをアップする;及び
第1情報処理手段は、第1の利用者により使われた金額だけ、支払いプロト
コルにおいてカウンタをダウンする、
請求項159に記載の装置。
161.第1の利用者の所持金額が第1情報処理手段内に設けられたカウンタ
の値によって指示されており、
第1情報処理手段は2つの情報処理手段からなり;
第1情報処理手段を構成する一方の情報処理手段は不正に対抗的で第1の利
用者にとってアクセスできないメモリ手段を含み、さらに、第1及び第2のイン
ターフェース手段に対するアクセスを持っておらず;
不正に対抗的な情報処理手段は上記カウンタを有しており、それをアップ・
ダウンする手段を有し;
第1情報処理手段を構成する他方の情報処理手段は第1の利用者の制御下に
あり、第1及び第2インターフェース手段に対するアクセスを有し、メモリ手段
を含んでおり;
不正に対抗的な情報処理手段と第1の利用者の制御下にある情報処理手段と
は、両者間の情報交換を可能とする第3インターフェース手段を含んでおり;
不正に対抗的な情報処理手段と第1の利用者の制御下にある情報処理手段と
は、不正に対抗的な情報処理手段は第3情報処理手段と直接に交信できないよう
に構成されているので、支払いプロトコルにおいて、不正に対抗的な情報処理手
段は、第3インターフェース手段を介して、第1の利用者の制御下にある情報処
理手段に情報を送ることができるのみであり;
不正に対抗的な情報処理手段は、引き出しプロトコルにおいて、第1の利用
者により引き出された金額だけカウンタをアップし;及び
不正に対抗的な情報処理手段は、支払いプロトコルにおいて、第1の利用者
が使った金額だけカウンタをダウンする、
請求項159に記載の装置。
162.第1の数ベクトルの関数f1が、第2の利用者によって第1の利用者の
身元に唯一無二の方法で関連付けられているので、第1の利用者が、所定の値を
越える回数第2の数ベクトルを用いた場合にのみ、第1の利用者の身元が確認さ
れる、追跡不能な電子キャッシュシステムを実施するための、請求項139に記
載の方法。
163.不正に対抗的な利用者によって保持される情報が、第1の利用者を構
成する他の利用者(利用者達)にとってアクセスすることができるようになり、
かつ、詐欺があったとしても、その後、第2の利用者によって第1の利用者の身
元を追跡できる場合にのみ、第2の数ベクトルを1に等しいかそれより大きい境
界値を越える回数使うことができる追跡不可能な電子キャッシュシステムを実施
するための、請求項155から157の1つに記載の方法。
164.第2の利用者が誤って所定の境界値を越える回数第2の数ベクトルを
使った第1の利用者を告発するといった第2の利用者の故意の企みに対して第1
の利用者を法的に保護するための機構を、追跡不可能な電子キャッシュシステム
において実現するための請求項141に記載の方法。
165.取り下げられた各第2の数ベクトルは、1つの特定の仮り名のもとで
のみ使うことができる、追跡不可能な電子キャッシュシステムを実現するための
請求項144に記載の方法。
166.電子小切手を送ることができ、ここで、
第1の数ベクトルの関数I1は、実質的にランダムで第2の利用者に知られ
ないように選ばれた数を含んでおり;
第2プロトコルにおいて、第1の情報処理手段は、アクセス可能な関数f2に
関する第2の数ベクトルの表現の関数I2内の数のサブセットを告知し、告知さ
れた特定のサブセットは電子小切手によって支払われた額を指示する;及び
第1の利用者は、第1の数ベクトルの関数I1に含まれ、実質的にランダム
に選ばれた数のサブセットを、第1情報処理手段により第2の利用者に告知する
ことにより、使われなかった小切手の部分について、第2の利用者から払いもど
しを受けることができ、上記サブセットは、第2のプロトコルにお
いて第3の利用者に告知した数のサブセットと相補的である、
追跡不可能な電子キャッシュシステムを実現する、請求項139に記載の方法。
167.第1のプロトコルが少なくとも2回実行され、
第1のプロトコルの第1回の実行における第1の数ベクトルの関数f1は、第
2の利用者により、第1の利用者の身元と唯一無二の方法で関連付けられる;
第1のプロトコルの第1回の実行において第1の情報処理手段が獲得した第
2の数ベクトルは第2の利用者を相手とした第1の利用者の仮り名として用いら
れる;
第1のプロトコルの相続く実行における第1の数ベクトルの関数f1は第2の
利用者を相手とした第1の利用者の仮り名に等しい;及び
第2のプロトコルの対応する実行において第1の情報処理手段が告知した情
報は、第2の利用者が、第1のプロトコルの第1回目の実行において用いられた
第1の数ベクトルの関数f1を計算することを可能とするので、第1の利用者の身
元は、第1の利用者が、第1のプロトコルの相続く実行の1つで獲得した第2の
数ベクトルを所定の境界値を越える回数使用したときに決定されうる、
匿名銀行口座を備える追跡不可能な電子キャッシュシステムを実現する、請求項
143に記載の方法。
168.関数f2に関する数ベクトル(m0,B1,...,Bl)の表現が、Y1 a1・・・Yk ak
ak+1 νが数ベクトル(m0,B1,...,Bl)の不等関数f3に等しくなるような数
ベクトル(a1,...,ak;ak+1)であり、ここで、
数kと1は0に等しいかそれより大きい;
f3(m0,B1,...,Bl)はZn *で表され、整数モジュロnの有限群と呼ばれる数
学構造体の要素である;
数nは少なくとも2つの大きな素数の積である;
数Y1,...,Ykは有限群Zn *の要素である;
数νは正の整数である;
数a1,...,akはZνで表され、整数モジュロνの環と呼ばれる数学構造体の
要素である;及び
数ak+1はZn *の要素である、
請求項137に記載の方法。
169.関数f2に関する数ベクトル(m0,B1,...,Bl)の表現は、Y1 a1…Yk ak
ak+1 νが数ベクトル(m0,B1,...,Bl)の不等関数f3に等しくなる数ベクトル
(a1,...,ak;ak+1)であり、ここで、
数kと1は0に等しいかそれより大きい;
f3(m0,B1,...,Bl)はZn *で表され、整数モジュロnの有限群と呼ばれる数
学構造体の要素である;
数nは少なくとも2つの大きな素数の積である;
数Y1,...,Ykは有限群Zn *の要素である;
数νは正の整数である;
数a1,...,akはZνで表され、整数モジュロνの環と呼ばれる数学構造体の
要素である、
及び
不正に対抗的な情報処理手段にアクセス可能な初期数ベクトルは(o1,...,
ok;ok+1)で記述され、o1,...,okは環Zνの要素であり、ok+1は有限群Zn *
の要素である;
不正に対抗的な情報処理手段が第1のプロトコルにおいて第1の利用者の制
に等しく、ここで、u1,...,ukは環Zνの要素であり、uk+1は有限群Zν *の
要素である;
第1の利用者の制御下にある情報処理手段が不正に対抗的な情報処理手段に
渡した呼びかけベクトルは、環Zν内の数cである;及び
不正に対抗的な情報処理手段が第2のプロトコルにおいて第1の利用者の制
御下にある情報処理手段に渡した、(γ1,...,γk;γk+1)で表される数ベ
クトルは、1≦i≦kについて各γiがcoi+ui mod νに等しく、γk+1は(Π
請求項157に記載の方法。
170.関数f2に関する数ベクトル(m0,B1,...,Bl)の表現は、g1 a1…gk ak
が数ベクトル(m0,B1,...,Bl)の公開された不等関数f3に等しくなるような数
ベクトル(a1,...,ak)であり、ここで、
数1は0に等しいかそれより大きい;
数kは1に等しいかそれより大きい;
f3(m0,B1,...,Bl)はq個の要素を持ち、Gqで表され、位数qの有限群と呼
ばれる数学構造体の要素である;
数g1,...,gkはGqの要素である;及び
数a1,...,akは、Zqで表され、整数モジュロqの環と呼ばれる数学構造体の
要素である、
請求項137に記載の方法。
171.関数f2に関する数ベクトル(m0,B1,...,Bl)の表現は、g1 a1…gk ak
が数ベクトル(m0,B1,...,Bl)の公開された不等関数f3に等しくなるような
数ベクトル(a1,...,ak)であり、ここで、
数1は0かそれより大きい;
数kは1かそれより大きい;
f3(m0,B1,...,Bl)はq個の要素を持ち、Gqで表され、位数qの有限群と呼
ばれる数学構造体の要素である;
数g1,...,gkはGqの要素である;及び
数a1,...,akは、Zqで表され、整数モジュロqの環と呼ばれる数学構造体の
要素である、
及び
不正に対抗的な情報処理手段にアクセス可能な初期数ベクトルは、(o1,..
.,ok)で記述され、ここでo1,...,okは環Zqの要素である;
不正に対抗的な情報処理手段が、第1のプロトコルにおいて、第1の利用者
しく、u1,...,ukは環Zqの要素である;
第1の利用者の制御下にある情報処理手段により、不正に対抗的な情報処理
手段に渡された呼びかけベクトルは、環Zq内の数cである;及び
不正に対抗的な情報処理手段が、第2のプロトコルにおいて、第1の利用者
の制御下にある情報処理手段に渡した、(γ1,...,γk)で表される数ベクトル
は、1≦i≦kについて、各γiがcoi+ui mod νに等しい、
請求項157に記載の方法。