JPH09500977A - 制限付きブラインド署名 - Google Patents

Abstract

(57)【要約】 プライバシーを守りつつ認証済み情報を転送する電子システムにおける三種の関係者のための暗号装置と手段を開示している。本発明は、このようなシステムにおける効率と安全性とを改善したプロトコルを明らかにしていると共に、種々の有用な機能拡張が難なく行えるようにしている。これは、制限付きブラインド署名プロトコルに検証プロトコルを用いることにより達成できる。制限付きブラインド署名プロトコルでは、認証側当事者がデータを認証済み情報に暗号化して受信当事者に転送するようにしているので、受信側当事者では改京できないようになっている。検証プロトコルでは、認証済み情報における暗号化データについての種々の特性を関係当事者が検証できるようにしている。

Description

【発明の詳細な説明】 制限付きブラインド署名 １．発明の背景 本発明は、デジタル取引システム、詳述すれば、認証済み電子情報を公開鍵暗 号法に基づいてプライバシーを守りつつ転送する安全なシステムに関する。 ２．従来技術の説明 本発明は、認証済み情報をプライバシーを保護しながら転送する電子システム に関する。 従来では、三者、即ち、情報を認証する「認証側」当事者と、認証済み情報を 利用する「ユーザー」と、認証済み情報が提示される「組織」を利用してそのよ うなシステムをモデル化するのが一般的である。一般に、システムは、いく人の ユーザーと組織、そして恐らくは認証側当事者をも含めて構成されている。また 、一人の関係者が一つの役割だけでなくて、例えば認証側当事者と組織、或いは 、ユーザーと組織といった具合に複数の役割を果たすこともあり得る。各関係者 が、例えばスマートカードや、パームトップ型コンピューター、パソコンの如く の記憶能力のある電子演算装置にアクセスできる。認証済み情報は、数のベクト ルとして表されるから、電子手段で転送できる。この意味で、ベクトルとは一つ かそれ以上の数の順序付けられた集合である。 このようなシステムの一例として電子キャッシュシステムがある。認証側当事 者は銀行で、現金を発行する。ユーザーは口座所有者であって、銀行で電子現金 を引き出す。組織としては店やそのようなものであり、システムの規則によれば 、商品や労役提供に対する支払いの手段として認証済み情報を受け取ることにな っている。言うまでもないことではあるが、このようなシステムを実際に実施す るとなると、複数の銀行や手形交換所の如くのその他の組織が絡んでいる。 一般に、自動化の対象となり得る取引システムは、このシステムが利用できる 一例である。投票権や、証明書ないし免状、コイン、自動車運転免許証、医師の 承認書、生誕証明書、国籍証明書、税金関係データーなど、非常に沢山の種類の 認証済み情報を転送するシステムを思い浮かべればよい。 従来より電子情報を認証するのに、デジタル署名が使われているのが知られて いる。この暗号法は、認証側当事者が、一つが公衆側に公開されるようになって いる二つのアルゴリズムないし鍵を発生させることからなる。数のベクトルを認 証するには、認証側当事者が、秘匿アルゴリズムを適用することにより、第２の 数ベクトル（デジタル署名）を発生させるが、この第２の数ベクトルは、認証す べき数ベクトルとある数理的な関係を有している。この関係を有する二つの数ベ クトルは、誰かが秘匿アルゴリズムを知っておれば、効率的に復号できる。公衆 側に公開されているアルゴリズムは、二つの数ベクトルが互いに前述の如くの関 係を有しているかどうかを確かめるのに使われるだけである。従って、第２ベク トルが第１ベクトルについてのデジタル署名として使われる。これらの二つの数 のベクトルは、認証済み情報の一部を構成しており、認証側当事者の署名を表し ている一つのベクトルと見ることができる。 デジタル署名が他の特徴を伴わずに使われると、ユーザーのプライバシーを守 ることができない。このようなデジタル署名を、通常のデジタル署名と称するこ とにする。ユーザーが異なった組織に対して提示した情報は連携させることがで きる。即ち、認証側当事者は、どのユーザーがどの数の認証済みベクトルを受け 取ったのか、また、認証済み情報の転送先である組織が同じ数のベクトルを確実 に見ているかどうかを知ることができる。 暗号を用いるという考えは、そのようなシステムでのプライバシーを保証する ために工夫されたものである（チャーム(Chaum)に付与された米国特許第4,759,0 63号を参照のこと）。この考えは、認証側当事者とユーザーとの間での所謂「ブ ラインド」（blind）署名プロトコルに基づいている。このようなプロトコルで は、ユーザーは、プロトコルの一方側の認証側当事者にはユーザーが所有する数 のベクトルについての手がかりが一切ないと確信することができる。しかも、認 証側当事者は、プロトコル開始時に例えばコインや自動車運転免許証の如くの特 定種の認証済み情報を有していることを確実に知っている。 認証済み情報を転送するに当たってユーザーのプライバシーを保証する暗号化 法には、もう一つ知られている。この二つ目の暗号化法では、一人のユーザーが 異なった組織では異なった仮り名、それも互いに連携のない仮り名で知られてい るようにしている。原理的には、ユーザーは自分の仮り名の間で認証済み情報を 転送することもあり得る。この暗号化法では、ブラインド署名プロトコルを必ず 利用している。即ち、各ユーザーは、ブラインド署名プロトコルでの仮り名を持 っていなければならない。暗号化プロトコルでは、ユーザーがどれか一つの仮り 名での通常のデジタル署名（この仮り名が登録されている組織が作成する。尚、 これは組織が認証側当事者ともなっている場合での一例である。）を、残りの仮 り名での各デジタル署名に変えることができるようになっている。このようにし て、一つの特定の組織が認証した情報が、ユーザーが仮り名を所有している残り の組織に対して示されるが、これらの組織は転送された情報を連携させることは できない。このように互いに連携のない仮り名を利用するが、仮り名の間で資格 認証（credential）が移送されるようにしたシステムは、資格認証機構（creden tial mechanism）として知られている。 現金システムでのコインの如くのある種の認証済み情報は、一回だけ提示され る。ブラインド署名を利用したシステムのユーザーが、自分の身元（identifica tion）を明らかにしなくとも、そのような情報を何回も異なった組織に対して提 示してしまうのを防ぐために、「一回提示」（one-show）ブラインドプロトコル として知られている特殊なブラインド署名を用いた暗号化法が知られている（チ ャームに付与された米国特許第4,914,698号を参照のこと）。この一回提示ブラ インドプロトコルでは、認証側当事者は、関係ユーザーに関する情報が、当該ユ ーザーが得る認証済み情報に暗号化されていることを確実に知っている。その上 で、認証済み情報が提示される組織により当該認証済み情報が「検証」されなけ ればならないようになっているが、この検証では二回検証して暗号化情報が算定 されるようになっている。 プライバシー保証システムで組織及び認証側当事者に対して、ユーザーが認証 済み情報をどうするかについて一層管理できるように保証したものとして、もう 一つの暗号化法が知られている（チャームに付与された米国特許第4,926,480号 を参照のこと）。この方法では、改竄防止型(tamper-resistant)演算装置をユー ザの装置に「埋込み(embedding)」することよりなる。この埋込みは、言葉通り の意味と介すべきではなく、構成としては、ユーザーのパソコンのパラレルポー トと接続した、いわば改竄防止装置を利用している。この改竄防止装置は、認証 側当事者や組織の何れか一方、又は両方の利益ために用いられている。原理的に は、暗号化プロトコルで、ユーザーの装置は、埋込み型改竄防止装置と協働して こそ、認証済み情報を提示したり、削除できると、保証している。この埋込みが ために、ユーザーのモジュールは、個人識別に関する情報が埋込み装置により、 或いは埋込み装置へともれるようなことがないように監視しているから、プライ バシーが保護されていることを保証している。 ところがこれらの方法を実現するとなると、著しい問題点が浮上してくる。こ の中で実現されているものとして知られているのは、仮り名（提案されている若 干の変更点は考慮しない）の間で資格情報を移送する資格認証機構だけである。 この機構では、ユーザーは幾つかの仮り名の内の一つでの署名を、残りの仮り名 での署名に移送することができ、限られた回数だけ利用できる資格の仮り名の間 での移送についての規定はない。何故なら、仮り名で署名するのに通常のデジタ ル署名が使われるからである。それに、ユーザーに対してブラインド法で仮り名 を発行するプロトコルを実施することは、所謂「カット・選択(cut-and-choose) 」法が使われていることから、通信、演算、記憶の機能が絡み合っているところ では効率的なものではないといった問題もある。更に、もう一つの懸念として、 このプロトコル、即ちシステム全体のの安全性に疑問がある。その上、認証側当 事者や組織、改竄防止装置がプロトコル時にこれらの当事者の内の少なくとも二 者に知られいる乱数を作れないようにするとか、従来知られているものの中でも 最も厳しいプライバシー保護基準の下で埋込み型改竄防止装置を実現するプロト コルは知られていない。複数のユーザーの資格の全体(ensemble)がある要件を満 たしていることを当該ユーザーが証明するものは何もないようである。また、ユ ーザーが、この仮り名が自分のものであることを、自分の複数の仮り名のどれか 一つによる署名を得ないで他の方法で証明できないようになっているところにも 問題点がある。更にもう一つの問題点として、ある人が複数の資格のある組合せ を有していると証明するのに利用できる効率的なプロトコルもないところにある 。また、年齢や収入などの如くの数値データを伴う資格についての規則もなく、 従って、数値データそのものを明らかにしないで数々の数値データの関係を証明 する規則もないし、以前の数値データを知らないで認証側当事者がそのような資 格を認証すべくもない。 オフライン式電子キャッシュシステムの特定の場合に当てはまる着想を実現し たものとして幾つかが知られている。これらのシステムでは、仮り名の間で一回 提示資格が移送されるようなことはなく、口座所有者は店に対する仮り名を使う ことはない。その上、この種のシステムは資格認証機構と呼ばれている。兎も角 、文献で知られている限りのキャッシュシステムはどれも、従来公知の資格認証 機構の特定の例でもない、即ち、資格認証機構を実現するのに用いた同一汎用技 術を用いることで派生したものではない。それどころか、一回提示ブラインド署 名（コインは、一回限り提示される資格であるから）のアイデアを実現するのに 、専らそのための構成と思われるものを使っているだけである。それがために、 安全性について疑問の余地が残されており、また、後日に拡張機能を追加すると きに変更しないで済む簡単で身軽かつ効率的なソフトのカーネルに依る効果的な 実施を妨げている。更に、一回提示システムを実現するものと知られている引出 しプロトコルでは、カット・選択法を利用しているから、通信、演算、記憶など が絡み合ったところでは効率的なものとはなり得ない。プロトコルで専用構成を 用いていることから、システムの機能を拡張することは非常に難しく、やれたと しても安全性と効率性に関する問題点が更に悪くなるだけである。 小切手の発行を行えるようにした拡張機能が提案されている。しかし、これで も安全性に疑問の余地があり、また、効率も良くない。銀行による仕掛け（コイ ンを二重払いしたと偽って銀行が口座所有者を告発することを意味する）にたい する保護策を取り入れた汎用技術も知られている。しかし、この技術では、ユー ザーの演算装置のための収納要件が無視できないほど増大するし、また、銀行側 の演算能が限られている場合に保護されるにすぎない。他の問題点としては、期 限や金種などの別の情報を記号化するには、各価値ごとに異なった署名を使って 行うより他にはなすべくもないようである。支払追跡を行わないでコインが一回 以上使われるのを銀行として認めることが提案されているが、これが効果的に実 施されている例はない。前述の最も厳しいプライバシー保護要件の下で埋込み型 改竄防止装置を用いたアイデアを実現させるシステムは知られていないし、それ ほど厳しくはない基準に合致した拡張機能を有する幾つかの既知のシステムでは 安全性に問題がある。もう一つの懸念されている点は、この拡張機能での「停止 チャンネル(halting channel)」を充分防ぐ方法がないことが挙げられる。停止 チャンネルに関する問題は、改竄防止装置がある時点でプロトコルの拡張機能を 停止する、或いは、停止しないだけで、認証側当事者に対して少なくとも１ビッ トの情報を漏らすことを意味する。このような諸問題点かあることから、これら の全ての拡張機能を組み込んだシステムが今まで提案されなかったとしても、驚 くに当たらない。 実用性のありそうな公知の資格認証機構やオフライン式キャッシュシステムは 、当業界ではよく知られている所謂ＲＳＡ問題（1978年２月発行のCommunicatio ns of the ACMの第１２０頁から第１２６頁に掲載のリヴェスト(Rivest)等によ る「A method of obtaining digital signatures and public-key cryptosystem s（デジタル署名を得る方法と公開鍵式暗号システム）」を参照のこと）が突破 される(break)と、これもまた突破される(break)ことになる。ＲＳＡ問題が突破 されたとしても、安全のままでいるシステムは今の所知られていない。 発明の目的 従って、本発明の目的は、 以後、制限付きブラインド署名プロトコルと呼ぶ特殊ブラインド署名プロトコ ルを導入することにより、電子情報を転送するシステムの機能における効率と安 全性と拡張性とを増加すること、 限定された回数だけ提示し得る資格が、仮り名で署名する制限付きブラインド 署名プロトコルを利用することにより、仮り名の間で移送できるようにすること 、 従来より知られているプロトコルのそれと直接関係のある安全性を有する制限 付きブラインド署名プロトコルを実現することで、資格認証機構の安全性を向上 すること、 特定種の個人識別及び署名に基づいて制限付きブラインド署名プロトコルを構 成する二つの技法を提供することにより、当該制限付きブラインド署名プロトコ ルを効率的、かつ、安全に実現すること、 制限付きブラインド署名に基づいた適当なプロトコルを提供することにより、 埋込み型改竄防止装置を利用したシステムにおけるユーザーのプライバシー保護 を向上させること、 複数の資格を有していることを一つのプロトコルだけを用いて効率的に証明で きるようにすること、 各資格ごとに別々のデジタル署名を要するのを防ぐこと、 ユーザーが複数の資格を保持するのを許容して、一つの対応するデジタル署名 で充分にすること、 各数値データごとに異なった種類の署名を要することなく、数値データを示す 資格を認めること、 ユーザーが既得している資格を知ることなく、組織がユーザーの資格を更新で きるようにすること、 別に情報を明らかにしなくとも、一つの簡単なプロトコルでユーザーの複数の 資格の間での種々の数理的関係をユーザーが証明できるようにすること、 限定された回数に亙って提示される資格を効率的に実現すること、 制限付きブラインド署名プロトコルを利用することにより、オフライン電子キ ャッシュシステムで匿名口座が開設できるようにすること、 専用構成を避けることにより、オフライン電子キャッシュシステムの安全性を 向上させること、 制限付きブラインド署名プロトコルを利用することにより、現金引出しのため のオフラインキャッシュシステムの効率を向上させること、 オフライン電子キャッシュシステムにおいての効率的かつ安全に小切手の発行 ができるようにすること、 一般的な資格認証機構で用いられている技法だけに基づいてオフライン電子キ ャッシュシステムができるようにすること、 ユーザーの演算装置と外部当事者との間に唯一の交信を必要とするプロトコル を構築することにより、改竄防止装置から外部当事者への停止チャンネルを防ぐ こと、 そのようなプロトコルにおいて同様な方法で、外部当事者から改竄防止装置へ の停止チャンネルを防ぐこと、 固定値に対してユーザーがランダム選択する数の部分集合(subset)を設定して 、ユーザーでなくてむしろ認証側当事者にこれらの部分集合における数に関係す る演算をやらせることにより、資格認証機構の機能拡張が簡単にオフに切り替え られるようにすること、 斯かるシステムでの種々の拡張機能の数や種類に係わらず利用できるデータ構 造と基本アルゴリズムの高度にコンパクトな集合を用いた斯かるシステムを実施 すること、 記憶能力に影響のない簡単な方法で仕掛けから保護すること、 認証側当事者が、安全性に影響のない効率的な方法で別の情報を資格に復元で きるようにすること、 システム全体のコンパクトで均質なアルゴリズムの集合を提供することにより 、効率と安全性に否定的な影響を及ぼすことなく、前述の諸目的を達成すること 、 改竄防止装置をして、従来公知の特殊な個人識別プロトコルを引出し支払いプ ロトコルの全体(ensemble)において実行させることにより、埋込み型改竄防止装 置を用いたオフライン電子キャッシュシステムにおける認証側当事者と組織の安 全性を増大させること、 改竄防止装置での必要な記憶容量と演算能力とを少なくして、現在利用されて いるスマートカードの如くの小型演算装置を用いることで実現できるようにする こと、そして 前述の諸目的を効率的かつ経済的、実用的に達成することなどにある。 本発明のその他の特長や目的、利点などについては、図面を参照しながら説明 と請求の範囲を読めば明らかになるであろう。 図面の簡単な説明 第１図は、本発明の教示にかかるワークステーション、外部システム、および 随意の改竄等の不正に対抗する計算デバイスを含む好ましい実施形態のブロック ダイヤグラムである。 第２図は、本発明の教示にかかる第１の好ましい実施形態のための制限付ブラ インド署名プロトコルのフローチャートを示す。 第３図は、本発明の教示にかかる第１の好ましい実施形態のためのいま一つの 制限付ブラインド署名プロトコルのフローチャートを示す。 第４図は、本発明の教示にかかる第１の好ましい実施形態のための第３の制限 付ブラインド署名プロトコルのフローチャートを示す。 第５図は、本発明の教示にかかる第１の好ましい実施形態のための数字Ａを標 記する知識を証明するフローチャートを示す。 第６図は、本発明に教示にかかる第１の好ましい実施形態のための仮り名を作 るためのプロトコルのフローチャートを示す。 第７図は、本発明の教示にかかる第１の好ましい実施形態のキャッシュシステ ムにおけるコイン（ｃｏｉｎ）の引出しプロトコルのフローチャートである。 第８図は、本発明の教示にかかる第１の好ましい実施形態のコインの支払いプ ロトコルのフローチャートである。 第９図は、不正対抗型デバイスがユーザの計算デバイスと共動しなければなら ないときの、本発明の教示にかかる第１の好ましい実施形態のコインの引出しプ ロトコルのフローチャートを示す。 第１０図は、不正対抗型デバイスがユーザの計算デバイスと共動しなければな らないときの、本発明の教示にかかる第１の好ましい実施形態のコインの支払い プロトコルとフローチャートを示す。 第１１図は、本発明の教示にかかる第１の好ましい実施形態の小切手引出プロ トコルのフローチャートを示す。 第１２図は、本発明の教示にかかる第１の好ましい実施形態の小切手支払いプ ロトコルのフローチャートを示す。 第１３図は、本発明の教示にかかる第１の好ましい実施形態の小切手払い戻し プロトコルのフローチャートである。 第１４図は、本発明の教示にかかる第２の好ましい実施形態の制限付ブライン ド署名プロトコルのフローチャートを示す。 第１５図は、本発明の教示にかかる第２の好ましい実施形態のいま一つの制限 付ブラインド署名プロトコルのフローチャートを示す。 第１６図は、本発明の教示にかかる第２の好ましい実施形態の第３の制限付ブ ラインド署名プロトコルのフローチャートを示す。 第１７図は、本発明の教示にかかる第２の好ましい実施形態のさらにいま一つ の制限付ブラインド署名プロトコルのフローチャートを示す。 第１８図は、本発明の教示にかかる第２の実施形態の数字Ａを標記する知識を 確認するフローチャートを示す。 第１９図は、本発明の教示にかかる第２の好ましい実施形態のキャッシュシス テムにおけるコインの引出プロトコルのフローチャートを示す。 第２０図は、本発明の教示にかかる第２の好ましい実施形態のコイン支払いプ ロトコルのフローチャートを示す。 第２１図は、不正対抗型デバイスがユーザの計算デバイスと共動しなければな らないときの、本発明の教示にかかる第２の好ましい実施形態のコイン引出プロ トコルのフローチャートを示す。 第２２図は、不正対抗型デバイスがユーザの計算デバイスと共動しなければな らないときの、本発明の教示にかかる第２の好ましい実施形態のコイン支払いプ ロトコルのフローチャートを示す。 第２３図は、本発明の教示にかかる第２の好ましい実施形態のさらにいま一つ の制限付ブラインド署名プロトコルのフローチャートを示す。 第２４図は、本発明の教示にかかる第２の好ましい実施形態の改変されたキャ ッシュシステムにおけるコイン引出プロトコルのフローチャートを示す。 第２５図は、本発明の教示にかかる第２の好ましい実施形態のコイン支払いプ ロトコルのフローチャートを示す。 第２６図は、本発明の教示にかかる第２の好ましい実施形態のフレーミング化 に対抗する無条件保護を有する引出プロトコルのフローチャートを示す。 第２７図は、本発明の教示にかかる第２の好ましい実施形態のフレーミング化 に対抗する無条件保護を有する支払いプロトコルのフローチャートを示す。 第２８図は、不正対抗型デバイスがユーザの計算デバイスと共動しなければな らないときに、本発明の教示にかかる第２の好ましい実施形態の口座開設プロト コルのフローチャートを示す。 第２９図は、不正対抗型デバイスがユーザの計算デバイスと共動しなければな らないときに、本発明の教示にかかる第２の好ましい実施形態のコイン引出プロ トコルのフローチャートを示す。 第３０図は、不正対抗型デバイスがユーザの計算デバイスと共動しなければな らないときに、本発明の教示にかかる第２の好ましい実施形態のコイン支払いプ ロトコルのフローチャートを示す。 第３１図は、本発明の教示にかかる第２の好ましい実施形態の小切手引出プロ トコルのフローチャート示す。 第３２図は、本発明の教示にかかる第２の好ましい実施形態の小切手支払いプ ロトコルのフローチャートを示す。 第３３図は、本発明の教示にかかる第２の好ましい実施形態の小切手払い戻し プロトコルのフローチャートを示す。 第３４図は、本発明の教示にかかる第２の好ましい実施形態の仮り名発行プロ トコルのフローチャートを示す。 発明の要約 本発明のこれらおよび他の目的に鑑み、本発明の簡単な要約が与えられている 。以下の要約では、いくつかの単純化および省略がなされているが、以下の要約 は本発明のいくつかの観点を強調して紹介することを意図するものであって、そ の範囲を限定するものではない。当業者が本発明品を製作して使用するのに適し た２つの好ましい実施形態の詳細な説明は、後に与えられるであろう。 計算デバイスは、その内部動作を（殆ど）完全に制御することができるユーザ により保持される。上記ユーザは、１以上の認証側と組織側との間で認証された 電気情報を伝送することにより取引業務を行なう。 必要に応じて、かかる伝送をうまく行なうために上記ユーザの計算デバイスは 改竄等の不正対抗型計算デバイスの補助を必要とする。上記不正対抗型デバイス は認証側の利害を代表し、多分また組織側を代表することもある。上記不正対抗 部分がその所有者により行われた取引業務の追跡不可能性に妥協しないことを保 証するために、上記不正対抗部分がその所有者に単に情報を送信することができ るとともに、同様に、その所有者からのみ情報を受信することができるような物 理的構成を有している。唯一の例外は、認証側と組織側の両方またはその一方が 場合によっては時々、またはユーザに装置を渡す前に少なくとも一度、ユーザが 認証された情報をその助けなしに伝送するために必要とする秘密キーのような（ 追加の）情報を不正対抗部分に蓄積してもよいことである。 図２，図３，図４，図１４，図１５，図１６，図１７，および図２３は、制限 付ブラインド署名プロトコルと呼ばれる第１および第２の好ましい実施形態のた めの特別の例を示している。本発明の技術思想は認証された情報が隠された状態 で得られ、さらに上記プロトコルに対する入力として使用されたメッセージのあ る種の構成がまだ、ユーザによりそれに印加される隠し変換にかかわらず、その 隠された形態（それに対して署名が上記プロトコルの終わりにユーザにより計算 される）で存在することを保証する。すなわち、上記ユーザは見えないフォーム とそれに対応する署名が十分追跡されない、しかも入力に含まれているある情報 を削除できないように、プロトコルの入力メッセージを見えないようにすること ができる。 全てのこれらのフローチャートは、当業者には容易に分かるように、同じ構成 を有している。発明の詳細な説明の節において詳細に説明するように、それらは 全て従来周知の特定のタイプの同定プロトコルに基づいてかかるプロトコルを構 成するための２つの発明技術のうちの一つにより構成されている。フローチャー トは認証側Ｐを示しており、彼の秘密キーにより定義されるとともにユーザＲの 要求に応答する上記プロトコルへの入力ｍの変換を実行する。Ｒの作用は出力ｍ ’に対して入力ｍを隠すのに用いられるとともに、Ｐにより供給される情報を使 用することにより対応する署名を計算するのに使用される。 図５および図１８はそれぞれ第１と第２の好ましい実施形態の、数字Ａを標記 する知識をいま一つの側に供給するためのプロトコルを示している。 他のフローチャートは、前者の出力ｍ’が後者の数字Ａとして使用され、ｍ’ に含まれる情報は実際Ｒが知識を検証していることを表している数字の関数とな るように、制限付ブラインド署名プロトコルを標記知識の確認と組み合わせるた めの種々の発明技術に基づいている。この有用性は、目隠しの間に保存されるｍ に含まれる情報であることが知られているものに資格認証を、Ｐがインストール することができるという事実を導き、ユーザが知識の証明を行うための表示がそ のときまた同じ資格認証に関連している。 詳細な説明において、これらの基本的なプロトコルがどちらの側によっても、 Ａの知られた表示における種々の種類の構成が存在することを証明するために、 どのように使用することができるかを示している。 図６は、取捨選択技術を必要とすることなく、資格認証機構で仮り名を発行す るために制限付ブラインド署名プロトコルをどのようにして使用することができ るかを示している。数字ｕ_iは認証側により入力を目隠ししている間に保存する ために知られている上記プロトコルの入力の一部に符号化されるが、この数字は 各ユーザに対して異なっている。このようにして、同じ数字ｕ_iは仮り名のＲに よって知られた表示で符号化されているので、各ユーザＲは全ての関連する組織 において使用するための多くの仮り名を得ることができる。 図７および図８、同様に図１９および図２０は、基本的なオフラインキャッシ ュシステムのための引出しプロトコルおよび支払いプロトコルを示している。後 に明らかにされるように、これらの図面には特別（ａｄ ｈｏｃ）ではない構成 が適用され、図７および図１９は要するにそれぞれ図２および図１４の各々のブ ラインド署名プロトコルを少し変更したものであって、上記支払いプロトコルは 要するに表示の知識を探るためのプロトコルを少し変更したものである。引き出 されたコインによる２回の支払いは支払いプロトコルにおいてユーザにより送信 さ れた応答からＡの表現、従って、引出しプロトコルに対する上記入力ｍに含まれ る情報の計算を可能にする。図２４および図２５は、いま一つの制限付ブライン ド署名プロトコル、すなわち図２３のものが使用されるときの、第２の好ましい 実施形態の引出しプロトコルおよび支払いプロトコルを示している。明らかに、 殆ど変更を要しない。これは他の各々のブラインド署名設計の変更および置換の 下で強力なアルゴリズムおよびデータ構成のコンパクトな集合を開発する本発明 の目的を図示している。さらに、計算デバイスのランダムな選択値を固定値に設 定することにより、プライバシ機能をオフすることができ、この場合には、銀行 Ｂはｃを計算することができ、上記引出しプロトコルの授受は不要である。後に 明らかになるように、プライバシ機能は追加のアルゴリズムもしくはデータ構造 を要することなくオプションとすることができる。 図９および図１０のプロトコル、および同様に図２１および図２２のプロトコ ルは、不正対抗型ユーザモジュールが適用される場合のオフラインキャッシュシ ステムのための引出しおよび支払いプロトコルを示している。前記のように、こ の拡張は基本的なキャッシュシステムの引出しプロトコルおよび支払いプロトコ ルに対して少し変更を加えるこどにより事実上、実現される。後に明らかになる ように、支払いプロトコルにおいて店舗Ｓは第三者が加わっているということを 意識する必要はない。明らかに、異なったプロトコルが不要であるということは 本当に有利である。同様に、銀行が上記引出しプロトコルにおいて実行しなけれ ばならないことはまた不正対抗部分が使用されているかどうかとは無関係であり 、上記銀行の動作はたった一回だけ実行する必要がある設定フェーズの上記基本 システムにおけるそれらと相違しているにすぎない。上記不正対抗部分により実 行される必要がある作用は非常に限定されている。実際、引出しおよび支払いプ ロトコルの集合において、不正対抗部分の作用は正に同定構成のそれらであって 、引出しプロトコルを基礎としている制限付ブラインド署名プロトコルを構成す るためにまた使用することができる。しかし、上記支払いプロトコルの店舗にお いて予期される応答を計算するために、ユーザは不正対抗部分の助けを必要とす る。同時に、付加情報をＳもしくはＢに漏らすことが上記不正対抗部分には不可 能で あるばかりでなく、逆もまた同じであり、不正対抗部分、銀行およびＳに対して 、引出しおよび支払いプロトコルの間に相関を有する数字を形成することも不可 能であり、かかる数字は不正対抗部分がいつか銀行に知られるような場合に、ユ ーザへの支払いを追跡することを可能にする。上記プロトコルのさらなる特徴は 、誤りチャンネルを防止することができ、その結果１ビットの情報さえも誤り（ もしくは遅延伝送）により漏れ出すことができないということである。このため 、上記支払いプロトコルでは、詳細な説明の節で説明するように、ユーザはその とき自分でＳから呼掛け（ｃｈａｌｌｅｎｇｅ）ｄを計算しなければならない。 上記の場合、不正対抗部分とユーザの計算デバイスとの間の全ての授受は単に予 備処理にすぎない。実際、基本システムはこの拡張のちょうど特別な場合であり 、ランダムな数字および不正対抗部分の秘密キーを、指数に対して０を固定する とともにベースの数に対して１を固定することにより、上記基本システムに対す る“縮退（ｄｅｇｅｎｅｒａｔｉｏｎ）”が発生する。 図２９および図３０は、いま一つの制限付ブラインド署名プロトコルが使用さ れるとともに同じリマークが印加されたときの同様のプロトコルを示している。 図１１，図１２，および図１３、および同様に図３１，図３２，および図３３ は、電子小切手を取り扱うためのプロトコルを示している。各々の第１のプロト コルは小切手の引出しを示しており、それらは再び、上記基本システムの引出し プロトコルと大変よく似ている。主たる相違点は上記プロトコルに対する入力を 得るためにｍ₁を有する銀行により乗算される数字ｍを発生させる付加的な動作 をユーザが行なうことである。これは制限付ブラインド署名プロトコルを繰り返 して使用することにより可能とされる一般的な技術の例であって、資格認証の数 字が何であるかを知る必要なしに、認証側が新しい資格認証の数字をインストー ルするのを許容する。各々の第２のプロトコルは小切手のための支払いプロトコ ルを記述しており、これらは各々の基本システムにおける支払いプロトコルとい ま一度非常に類似している。各々の第３のプロトコルは新しく、それらはユーザ が上記支払いプロトコルにおいて使われなかった小切手の一部に対する払い戻し を受けるのを許容する。詳細な説明から分かるように、このプロトコルは事実上 、 表示の知識の検証のためのプロトコルを少し変更することである。 最後に、図３４は秘密口座を開くためのプロトコルを示している。このプロト コルは、さらに変更することなく上記キャッシュシステムの引出プロトコルに先 行しなければならない。詳細な説明の節からも分かるように、このプロトコルは 実際は制限付ブラインド署名プロトコルである。 図面のフローチャートは全て、制限付ブラインド署名プロトコルに適用可能な もっと一般的な発明技術から直接的に導かれる。それらは詳細な説明の節に記載 されており、それらは一般の資格認証メカニズムを構築するために適用すること ができる。例えば、小切手への拡張は２つのかかる技術に基づいている。第１の 技術は、上記プロトコルに対する入力としての数字の関数を取ることにより新し い資格認証をインストールする認証側の能力からなっており、この関数はそれ自 身により決定される。図１１および図３１では、この関数はユーザにより決定さ れた数字に単にｍを乗じたものである。上記秘密口座に対する拡張がいま一つの 例となっている。これは上記プロトコルの以前の使用の出力が上記プロトコルの 後の使用に対する新しい入力として使用することができるという事実に基づいて いる。いま一つの例はフレーミング化を防止する技術である。これは認証側が入 力に含まれている情報を知る必要がない制限付ブラインド署名プロトコルが存在 するという事実から直接生じる。 上記キャッシュシステムが実際、組織の間で限られた回数を示しているにすぎ ない認証された情報を伝送するための方法であるという事実により、人がどのよ うな組織にもその仮り名を有しているかどうかにかかわらず情報を送ることがで きるような別の例が与えられている。制限付ブラインド署名プロトコルは、一般 の技術に対して、所望の回数だけ提示される資格認証と同様に制限された提示資 格認証を伝送することができるようにし（詳細な説明の節では、実際上制限付き 提示資格認証は１提示資格認証と多提示資格認証にさらに分離される）、また、 人が仮り名を有している全ての組織に対してのみ、ただ１つのかかる組織に対し て、もしくは全く任意の組織に対して資格認証を提示するのを許容する一般的な 技術に対しても同様に伝送できるようにする。合計でこれは６つの組合せを与え 、 上記キャッシュシステムはそのうちの１つにすぎない。５つの組合せのうちの１ つを実現するような技術を使用することにより、ユーザが仮り名でだけ支払うこ とができるキャッシュシステムを構築することができる（詳細な説明の節参照） 。後に当業者に明らかになるように、ユーザが仮り名を有しているかどうかに関 係なく、また他のものでは彼らがその組織に仮り名を有しているときにのみ、あ る組織にユーザが支払うことができるように、これらの２つのタイプのキャッシ ュシステムを容易に組み合わせることができる。 資格認証メカニズムを構成するこれらの一般的な技術の広汎な適用可能性は、 資格認証メカニズムへの適用を取り扱っている詳細な説明の節を読めばより明ら かになろう。 発明の詳細な説明 図２ないし図３４の標記は当業者には明らかであると信じられるが、明確のた めに最初に上記標記について復習する。 プロトコルに関係する側のものにより行われる動作は、フローチャートのボッ クス内に共にグループ化されている。フローチャートのボックスに記載された動 作を実行する側は、上記ボックス内の縦行に表示されている。縦行は当事者の種 類を表わす記号が付されている。 記号「←」は、その左側の変数もしくは記号にその右側の値が割り当てられる ことを意味する、割当を表している。いくつかのかかる割当は実際に記憶スペー スが確保されなければならないことを意味するものではなく、それは引き続いて 実行される別の演算とともにＲＡＭにおいて実行される単なる中間計算結果であ ることもある。 来技術と同様に、等値性を保持していないときにはプロトコルは停止する。同様 記号∈_Rは、その左側の数字が均一な確率分布により他のなんらかのものと独 立に、その右側の集合から選択されることを示している。好ましくは、多分追加 の後処理と関連して、物理的な乱数発生器がこのために使用されるべきである。 実際上は、擬似乱数技術が使用されてもよい。後に当業者に明らかになるように 、独立した均一な分布を有するサンプリング分布によるより良好な近似がより良 く秘密もしくは安全性を保証する。本明細書中の「ある集合からアトランダムに 数字を発生する」（「乱数を発生する」）は同じことを表している。記号∈を使 用したときには、それは数字ｄが独立した均一な分布により決定される必要がな いことを示しており、特に、左側の数字は本明細書のボックスの対応する記載に おいて規定されるように、右側の集合から決定されてもよい。 いま一つの動作がコロンおよび１以上の数字に続くワード「Ｓｅｎｄ」により 表される。これはそれらの数字が上記ボックスの中に記載された動作を実行する 側により、上記プロトコルに関係しているいま一つの側に送られることを示して いる。受信側は上記フローチャートのボックスの間の接続部分により示されてい る。 いくつかの動作は各関連する側に対してただ一回だけ実行されなければならな い。かかる動作は角括弧の間に表示されている。 「ｍ’をＡ，Ｂに分離（Ｓｐｌｉｔ ｍ’ｉｎｔｏ Ａ，Ｂ）」、「署名（ｍ ）（ｓｉｇｎ（ｍ））」、「署名（ｍ）を検証（Ｖｅｒｉｆｙ ｓｉｇｎ（ｍ） ）」のように、種々の動作が言葉で記載されている。かかる場合には、本明細書 の対応する記載は上記動作の意味を詳述している。いずれの場合にも、このこと は同じ動作が前記フローチャートに既に表示されている場合にのみ行われる。 制限付ブラインド署名プロトコルの一般的な説明において、認証側をＰにより 表し、ユーザ側をＲで表わす。 オフラインキャッシュシステムの特別な場合には、上記プロトコルの種々の関 係者は次の筆記体記号により表される。 Ｂ＝銀行（認証側） Ｕ＝口座開設者（ユーザ） Ｓ＝店舗（組織） Ｏ＝不正対抗型銀行モジュール ★ ★ ★ 図１に戻って、本発明が実施される装置について詳細に説明する。 ブロック１はユーザとされる側のものにより所有される計算デバイスを示して いる。それは処理手段１ｂ、メモリ手段１ａ、データ入力手段１ｃ、およびデー タ／メッセージ表示手段１ｄを有している。これらの手段は簡単のために図示さ れていない適当な手段によりインターフェースされており、メモリ手段と処理手 段との間のインターフェースのみが両側矢印により示されている。かかるインタ ーフェース手段は従来周知である。ブロック１はまた説明される２つの通信イン ターフェースを有している。 ユーザ側の計算デバイスは種々の大きさおよび性能を有していてもよい。それ はスマートカード（ｓｍａｒｔ ｃａｒｄ）であってもよく、流通しているクレ ジットカードの大きさとすることができる。スマートカードがそれ自身の電源を 有していないときには、通常、それを他の手段に接続することにより電流を供給 するようにしてもよく、その場合、一つのプロトコルの他側もしくは上記ユーザ により所有されている他のデバイスによって行われるような動作を実行しなけれ ばならない。 上記ユーザの計算デバイスは、パームトップコンピュータ、パーソナルコンピ ュータ、もしくはより強力なワークステーションであってもよい。それはインタ ラクティブテレビ受像機もしくはその遠隔制御装置のような、一部のマルチメデ ィア装置であってもよい。それはまたスマート電話、ファクシミリ等であっても よい。後に当業者に明らかになるように、実施形態の装置は非常に多くの形態を とることができ、想像に限りがあるだけである。 明らかに、上記データ／メッセージ表示装置は上記ユーザのデバイスの実施形 態によって異なる。例えば、パーソナルコンピュータではそれはモニタであり、 パームトップコンピュータのようなより小さなものの実施形態ではそれはＬＣＤ ドットマトリックスディスプレイである。同様のことが上記データ入力手段に対 して存在している。パーソナルコンピュータの場合はそれはキーボードであり、 スマート電話の場合にはそれはダイヤルボタンである。 通信インターフェースは電気的な直接接続により、もしくは電波、音波等によ るものであってもよい。例えば、ユーザのデバイスがワイドエリアネットワーク （Ｗｉｄｅ−Ａｒｅａ−Ｎｅｔｗｏｒｋ）のパーソナルコンピュータである場合 には、データは上記ネットワークのワイヤを通して伝送することができ、遠隔制 御デバイスのときには赤外線技術を使用することができる。 勿論、これらの機能を有する適当な技術を使用することができる。 後に明らかになるように、ユーザの計算デバイスは完全に彼自身の意のままに することができ、彼はそれ自身を組み立てることも、また市販のものを買うこと もできる。 その上、ユーザの計算デバイスはその所有者に盗難等に対する保護を提供する 。さらに、ユーザは種々のかかる計算デバイスを所有していて、いま一つのプロ トコルを実行する前に一つのかかるデバイスに記憶されたデータをいま一つのデ バイスに伝送してもよい。かかる理由の故に、詳細な説明の節では、上記ボック スにおける動作は、その計算デバイスによるよりもむしろ、含まれている側の種 類のものにより実行されるものとして説明されるであろう。すなわち、上記詳細 な説明で例えば、ユーザが前に受信された認証された情報を店舗へ送信するとい えば、これらの動作は彼の計算デバイスの一つにより実行される。同様に、Ｕは 「ユーザ」もしくは「彼」と呼ばれ、それに対して実際の計算動作は上記計算デ バイスにより実行される。この規約は従来技術（それでは計算が「アリス」、「 ボブ」等と呼ばれる側により実行される）において共通に使用されており、上記 詳細な説明の文脈中において読まれるときには如何なる曖昧さも生じない。例え ば、「ユーザが乱数を発生させ、これを銀行に伝送し、パスポートによって彼自 身を同定することにより口座を開設する」ということが言われると、パスポート を呈示して上記ユーザが本人であるということを銀行の支店に示さなければなら ないことは明らかであり、パスポートを呈示された銀行側の者はそのときまた銀 行の行員であるか、または上記ユーザの指紋を検査する装置である。乱数を発生 してそれ を銀行に送信する動作は上記ユーザの計算デバイスにより実行される。例えば、 オフラインキャッシュシステムにおいて、上記ユーザが本人であることを検証し 、署名を計算し、預金高のデータベースの正当性を検証し、かつ、口座開設者が ダブルスペント（ｄｏｕｂｌｅ−ｓｐｅｎｔ）を有している場合に適切な処置を 取るので、同じ規約がまた他の種類の関係者に関して採用される。 ブロック２は、認証側および組織側と呼ばれる関係者の種類により制御される 計算デバイスを表している。それはメモリ手段２ａおよび処理手段２ｂを含んで いる。上記デバイスが認証側に属しているときには、データ／メッセージ入力お よび表示手段がないということが大変よく予想されるが、その理由はその唯一の タスクが最初に検証しなければならない入力メッセージに署名を発生することで あるからである。それが組織の計算デバイスである場合には、テスト結果を搬送 するために単にブール値を表わす非常に基本的な表示手段が存在すると考えられ る。 再び、殆ど無数といえるほどのこのデバイスの実施形態を考えることができる 。例えば、キャッシュシステムでは、それはお金を支払う署名を発生する不正対 抗部分であり、電気通信等により遠隔アクセスされるある種の情報設備であって もよい。特に、それはまたブロック１のそれと同じ装置であってもよく、それは 組織がまたユーザである場合に特に考え得る。 ブロック２の計算デバイスの処理手段は、ユーザの計算デバイスの処理手段と 通信することができる。 ブロック３は、随意の計算デバイスである。それはメモリ手段３ａおよび処理 手段３ｂを含んでいる。組織側および認証側とうまくプロトコルの授受を完成す るために、それはユーザの計算デバイスに必要であって、従って、それはユーザ により実行される動作について組織側および認証側によりよい制御を提供する。 その目的がそれを保持しているユーザからの少なくともいくつかの秘密事項を保 持することであるから、プロトコルをうまく実行するためにその補助が不可避で あるということを確実にするために、それは特に改竄等の不正対抗機能を有する ものでなければならない。 その処理手段は、それを所持しているユーザの処理手段と通信することができ る。しかしながら、それがプロトコルを完了するためにユーザを補助しなければ ならない上記プロトコルの実行中に、それは組織側および認証側とは直接通信で きるべきではない。「外側」の世界に情報を搬送するその唯一の方法はその所有 者の計算デバイスを介してである。 再び、上記不正対抗型デバイスは多くの形式のものとすることができる。例え ば、その所有者の計算デバイスがパーソナルコンピュータもしくはワークステー ションである場合には、その並列ポートに接続されたデバイスであるか、または それはパームトップコンピュータの開口に挿入されるいわゆるＰＣＭＣＩＡカー ドもしくはインタラクティブテレビ受像機の遠隔操作装置であってもよい。 ★ ★ ★ 制限付ブラインド署名プロトコル 従来周知のブラインド署名プロトコルに対して要求されることは、認証された 情報として使用することができる以外にＲがプロトコルの終りに得る数字につい てＰがいかなる手掛かりも得られないということである。より詳しくは、対応す る署名を有する数字の集合が与えられたときに、Ｐが上記プロトコルの実行によ り調べた数字はＲが上記プロトコルの終りに得たその数字および署名についてい かなる情報も提供しない。 制限付ブラインド署名プロトコルは、重要な他の要求を満足するブラインド署 名プロトコルである。詳細な説明は以下の通りである。上記プロトコルのスター ト（セットアップフェーズという。）に際して、ｆ₁およびｆ₂により表される２ つの関数が選択される。 プロトコルのスタートに際して、ＰおよびＲは以下に上記プロトコルの入力と 呼ばれる数字ｍを承認する。この数字は少なくともＲがｍ＝ｆ₁（ａ₁，…，ａ_k ）のようなｋ個（ａ₁，…，ａ_k）を知っているようなものである。 制限付ブラインド署名プロトコルの終りに、Ｒは彼がｍ’＝ｆ₂（ｂ₁，…，ｂ_k ）のようなl個（ｂ₁，…，ｂ_l）を知っているようなＰの対応するデジタル署名 を有する（上記プロトコルの出力と呼ばれる）数字ｍ’を計算することができる 。重要な特徴は、上記プロトコルの間にＲにより加えられる変形に関係なく、必 然的にＩ₁（ａ₁，…，ａ_k）がＩ₂（ｂ₁，…，ｂ_l）に等しくなるようなプロトコ ルに関連する少なくとも２つの非定数関数Ｉ₁およびＩ₂が存在することである。 関数ｆおよび数字ｍに対し、以下にｆ^-1（ｍ）はｆに関してｍを表現するもの とする。例えば、ｆが該ｆにより同じ出力に写される複数の引き数が存在するよ うなハッシュ関数（ｈａｓｈ−ｆｕｎｃｔｉｏｎ）であるときには、出力に対し て多くの表現がある。ｆが同じ結果に写す２つの異なった引き数を決定すること が不可能であることを意味する無衝突ハッシュ関数であるようなときは、ユーザ は高々一つの表現を知ることができるにすぎない。そのような場合には、数字の 表現を知っているユーザについて言うことは意味がある。もしｆが単向関数であ る、すなわち１対１である場合もまた同じである。 ユーザが関数ｆに関する数字を知っているという表現に「含まれる情報」によ って、上記表現の任意の関数Ｉが意味付けられている。明らかに、表現には多く の情報が含まれており、それは、上記表現の数字に対する多くの異なった関数が あるからである。 以下に使用されるこの用語により、制限付ブラインド署名プロトコルはデジタ ル署名プロトコルであって、該デジタル署名プロトコルではブラインド署名プロ トコルに対する要求を満足するようにＲが隠された数字ｍ’に対して数字ｍを完 全に隠すことができるが、しかしどのように彼がｍ’に対してｍを隠したかに関 係なく、彼がｍ’に関して知っている表現に含まれているある情報に等しいｍに 関して彼が知っている上記表現に含まれるある情報が必然的に存在する。後に当 業者には明らかになるように、このことは実際上、彼がｍの表現において各数字 を独立してアトランダムに隠すことができないことを意味している。 一般にｍおよびｍ’は、Ｒがベクトルの各数字のある表現を知るような数字の ベクトルであってもよい。 後に当業者には明らかになるように、通常、関数ｆ₁およびｆ₂が同じであるよ うに決定することができ、そのときには同じ関数ｆに関してｍとｍ’の表示につ いて語っている。同様に、関数Ｉ₁とＩ₂とを等しくなるように決定することがし ばしば可能である。この例が２つの好ましい実施形態の説明に与えられている。 ｍ’の表現における数字の間の関係の知識の立証 追加のテストプロトコルなしに制限付ブラインド署名プロトコルを使用すると いう実際的な理由はない（逆もまた真であって、後に当業者には明らかになるよ うに、資格認証メカニズムへの適用に関して２つの節の各々において説明される 種々のテスト技術はそれら自身の正確さに関心がある）。すなわち、Ｒが「組織 」に対し、（ｂ₁，…，ｂ_l）は彼がｆ₂に関してｍ’を知っているという表示で ある、Ｉ₂（ｂ₁，…，ｂ_l）の数字について種々のステートメントを検証するこ とができるという事実が制限付ブラインド署名プロトコルに関連している。基本 的なアイデアは、Ｉ₂（ｂ₁，…，ｂ_l）の数字が各々あるタイプの情報（の一部 ）を表わすことができることである。例えば、これらの数字は０または１であっ てもよく、そのときには値ｂ_iは種類ｉの一つの情報を有するか否かを表すこと ができる（種類ｉは「運転免許証」を意味していてもよい）。一般に、多くの異 なった値のｂ_iが情報の種類もしくは収入の高さのようなある種の種類の「数量 」を表わすために使用することができる。 Ｉ₁（ａ₁，…，ａ_k）＝Ｉ₂（ｂ₁，…，ｂ_l）であるから、Ｒは彼が対応する署 名を示すことができれば、彼自身それらの情報を作り上げないということをこれ は実際に意味している。結局、Ｐは彼自身ｍを受け入れるが、Ｒは制限付ブライ ンド署名プロトコルに対する入力として、それについて表現（ａ₁，…，ａ_k）を 知っている。従って、Ｉ₂（ｂ₁，…，ｂ_l）の数字の間の関係を検証することに より、Ｒはこれらの関係がＰにより認証されたいくつかの情報に対して保持して いるということを実際に検証している。Ｐはこれが何を表しているかを知る必要 がないことに注意すべきである。 本発明の技術の重要性は、関数ｆ₂に関して（彼が署名を有している）番号を 彼が知っている表現の知識をＲに検証させることができるという事実から一部分 導くことができ、さらに一般的には、ｆ₂の適切な数学上の関数を取り、かつ関 数ｆ₂に関して上記数字の適当な他の関数の知識をＲに検証させることにより、 彼が知っている表現の広範囲の関数を実際に彼に検証させることができる。この ことは、資格認証メカニズムへの適用に関する節において詳細に説明する。 「ワンショウ（ｏｎｅ−ｓｈｏｗ）」ブラインド署名との相違 従来から知られているワンショウブラインド署名は、特別なタイプの制限ブラ インド署名と考えられ、それらは一回以上一つの情報を呈示して −− 署名を ２回呈示して、認証された情報に含まれる情報を明らかにするユーザを同定する 手段として使用しているにすぎない。図面とともに詳細な説明の節を参照すれば 明らかなように、制限ブラインド署名においてはかかる制限は不要である。制限 付ブラインド署名計画はもっと広い適用分野に適用することができる。さらに、 制限付ブラインド署名は、いかなる追加の情報を明らかにすることなく認証され た情報に含まれている情報の一部の間の関係を検証するために使用することがで きる。 ワンショウブラインド署名の構成のための唯一の周知の技術は、周知の取捨選 択技術を使用している。これは並列に非常に多くの「通常の」ブラインド署名プ ロトコルを実行することからなっている。ユーザは彼が第１伝送において伝送し た全ての隠された数字の実質部分を第３伝送において「オープン」しなければな らない、すなわち、彼が彼らの各々に正しい情報を実際含んでいるということを 認証側に示さなければならない。その理由は、上記ユーザが実行することができ 、数学的に固有の隠し変換に関する制限が存在しないことである。オープンされ ていない部分（もしくはその結果）は認証側により第４ステップで署名され、そ れから通常のブラインド署名プロトコルにおけるように、ユーザにより隠しが解 かれる。上記ユーザは認証側が彼に開くことを要求するのはどの数字であるかを 前以て知ることができないので、（希望的観測で）高い確率を有する認証側が上 記開かれていない数字がまた正しい情報を含んでいることを保証される。後に当 業者には明らかになるように、各々のブラインド署名プロトコルはかかる効率的 でなくまた安全性を検証するのが困難である技術を利用する必要はなく、従って 、それらは大幅にもっと効率的なものとすることができる。 制限付ブラインド署名プロトコルの固有の特徴は、種々の入力および出力に含 まれている情報が必然的に完全に保存されるようにかかる以前に実行されたプロ トコルの出力は繰り返して（反復して）新しい実行に対する入力として使用する ことができるということである。このことは、ｆ₁＝ｆ₂およびＩ₁＝Ｉ₂であれば 最も明らかである。明らかに、ｆ₁とｆ₂とが等しくないときは、しばしばそれら が等しくなるようにそれらを調整することが最もよく行われる。同じものがＩ₁ とＩ₂に対して保持している。このパラグラフの第１センテンスのような制限付 ブラインド署名プロトコルを繰り返し使用することは、以下に「トランシティヴ ィティ（ｔｒａｎｓｉｔｉｖｉｔｙ）」と呼ばれる。含まれる情報は、プロトコ ルの新しい実行に対する入力として以前の出力の関数を使用することにより認証 側の制御の下に変更することもできる。この非常に強力な技術は、２つの好まし い実施形態に対して非常に詳しく示されるように、多くの適用分野で使用するこ とができる。 後に明らかになるように、制限ブラインド署名の特別な使用として、ワンショ ウブラインド署名を構成することがある。しかしながら、制限ブラインド署名の 最も強力な使用法は、ワンショウブラインド署名により達成することができない 一般的な技術から生じることが示されるであろう。 ★ ★ ★ 本発明を説明するために、２つの好ましい実施形態を非常に詳細に説明する。 それらの実施形態の各々を順に説明する。特別の実施形態にのみ使用される追加 の標記上の規約はその特別な実施形態の説明の最初に説明されるであろう。これ ら２つの好ましい実施形態の各々は関数ｆ₁およびｆ₂に対する特別な選択により 特徴付けられる。これらの関数はその上に異なるように選択されるけれども、両 方の実施形態において、ｆ₁とｆ₂の両方に等しい関数ｆを指定することができる 。上記詳細な説明から分かるように、このことは次のプロトコルの実行に対する 新しい入力としてプロトコルの以前の実行の出力を使用するときにいくつかの利 点 を有している。 各々の説明は次のように組織化することができる。明細書に記載された２つの 技術のいずれか１つの技術に基づいて各々の好ましい実施形態に対する制限付ブ ラインド署名プロトコルの種々の実現が説明されている。これに続いて、どのよ うにしてＲが関数ｆに関するｍ’の表現の知識を検証するか、またどのようにし て複数の側がこれを共動して実行するかを説明する。これらのプロトコルは、Ｉ₂ （ｂ₁，…，ｂ_k）、ここで（ｂ₁，…，ｂ_k）はＲがｆに関してｍ’について知 っているという表現である、における数字の間の関係の多様性を証明することが できるというプロトコルの構成の基礎を構成している。これら後者のプロトコル は、仮り名の間でワンショウ資格認証を変換するためのプロトコルを含む、いわ ゆる「資格認証メカニズム」への制限付ブラインド署名の適用に関する節に広範 囲にわたって記載されている。最後に、両方の好ましい実施形態に対して、オフ ライン電子キャッシュシステムが非常に詳細に説明されており、多くの説明され た技術がここでいま一度、使用される。 当業者には明らかなように、上記２つの実施形態の各々におけるプロトコルの 説明の例は、多くの特定のここに開示された発明技術および概念を開示するもの であるが、それらはあくまでも示唆を与えることを意図したものであって、それ に限定されるものではない。 第一の好ましい発明の実施の形態 １．はじめに 第一の好ましい発明の実施の形態においては、計算はＺ_n ^*（ｎはふたつの大き な識別可能な素数の積）で示される乗法的なモジュロｎの群において行われる。 従来技術との関連で説明したＲＳＡの問題は、そのような群においては実行不可 能のように思われる。群の位数は認証されたパーティ（利用者）にのみ知られて いるので、指数における計算は、Ｚ_n ^*の位数の適切な約数でないある値νをモジ ュロとするもので行われる。したがって、 ａ ∈ Ｎに対し、 ａ ＝ ａ mod ν ＋ ν(a div ν) なる関係があるので、ｄｉｖ νなる表現も含まれることとなる。 Ｚ_n ^*における掛算や割算は、常にモジュロｎで行われるので、オペレータmod モジュロの計算が関係してくる場合（たとえば、γ₁ ＝ｘ₁ ＋ ｘ₂ｃ mod ν） は、モジュロ指数は明確に示される。群からいくつかの数値が選ばれた場合、つ ねに最も小さい正の余りが示される。たとえば、ａ∈_RＺ_n ^*は、ｎと共素数(co-p rime)となる数値を含むサブセット｛１，...，ｎ−１｝からａがランダムに選ば れることを示す（実際、このセットは、｛１，...，ｎ−１｝として捕えられる ）。 この好ましい実施の態様における制限された見えない（ブラインド）署名に対 し、次の内容が利用される。群から（Ｙ₁，...，Ｙ_k）（いずれも１でない）で 示されるベクトルと、群からランダムエレメントＡを考えた場合、 ただし、ａ₁，...，ａ_k∈Ｚ_νであり、 Ｙ₁,...,Ｙ_k，ａ_k+1∈Ｚ_n ^*であれば、 （ａ₁，...，ａ_k；ａ_k+1）（Ａ＝１の場合、（０，...，０；１）と等しくない ）で表されるベクトルを計算することは不可能であるように思われる。ここで、 ベ クトル表示形式において用いられる記号「；」は、その右側に示された数字が、 左側に示された数字と異なったセットであることを強調するためのものである。 上述した制限されたブラインド署名(restrictive blind signatures)の一般的 な説明について言えば、関数ｆ₁，ｆ₂は、いずれも ただし、ｉ＝１，２ で表すことができる。すなわち、ｆ₁をｆ₂と等しくなるように選ぶことが可能で ある。このことは、当業者には明らかなように、一般に可能である。したがって 、この関数は、単にｆと表示することとする。 プロトコルの始めにおいて、Ｒは、ベクトル（ａ₁，...，ａ_k；ａ_k+1）がｆ（ ａ₁，...，ａ_k；ａ_k+1）＝ｍであることを知っている。このベクトルを、（Ｙ₁ ，...，Ｙ_k；ν）に対するｍの表現と呼ぶ。 つぎのセクションにおいて、図２、図３をもちいて、二つの異なった種類の制 限されたブラインド署名のプロトコルを説明する。ここでも、関数I₁,I₂は共に 同じ関数になるように選ばれているので、単にＩと示す。最初のふたつのフロー チャートでは、関数Ｉは、たとえば、 Ｉ（ａ₁，...，ａ_k+1）=（ａ₁ mod ν，...，ａ_k mod ν） で表される（当業者には明らかなように、Ｉ（ａ₁，...，ａ_k+1）における数字 の関数は、そのような関数の例でもある）。これは、プロトコルにおけるＲは、 単にａ_k+1のみを変えることができることを意味し、モジュロνで他の数値を変 えることができない。任意にa_k+1を変えることができれば、ブラインド署名のプ ロトコルに要求されるｍとｍ’との間の統計的なインピーダンス保証することが できる。制限されたブラインド署名の一般的な説明によれば、ｍにおける情報「 含まれる(contained)」は、ベクトル（ａ₁ mod ν，...，ａ_k mod ν）である。 図４におけるフローチャートで示されるプロトコル、およびここで説明したそ の変形例では、Ｒは、数値を見えなくするためのより多くの自由度を、表現にお いて有する。これらのプロトコルにおいて、たとえば、 Ｉ（ａ₁，...，ａ_k+1）＝（...，ａ_i／ａ_j mod ν，...） ただし、１≦ｉ≠ｊ≦ｋ が成立したとする。すなわち、 ｂ_i＝ａ_iｔ mod ν ただし、１≦ｉ≦ｋ であれば、必然的にＺ_ν ^*にある数値ｔが存在することになる。 これにより、これら４つのプロトコルを作成するのに用いられた一般的な手法 が、他の制限されたブラインド署名のプロトコルを作成するのにいかにして用い られたかが理解され得る。 当業者には容易に理解できるように、プロトコルは、種々に変形することが可 能である。制限されたブラインド署名のプロトコルにおいて、νの値を複合また は素のいずれを用いることも可能である。自動現金取扱機であって、オンライン システムに接続されていないものに本発明が適用された場合、νは、Ｚ_n ^*の位数 （次数）と共素数となる素数であるが、別の形式の数であってもよい。たとえば 、素数ｐ’，ｑ’のいずれか一方がＺ_n ^*の位数を適切に割ることができるとすれ ば、ν＝ｐ’ｑ’を用いることができる。 さらに、ｎを２つ以上の素数の積としてもよいが、システムの安全性を弱める 欠点がある。このような変形は容易に考えられるものである。ｎに種々の選択を 与えることは容易に考えられることである。 ２．制限されたブラインド署名 図２を参照しながら、第一の好ましい発明の実施の形態の制限された見えない 署名の第一のフローチャートを詳述する。 セットアップフェーズすなわちプロトコルが実行される前においては、Ｐは、 公にトリプル（ｎ，ν，Ｘ∈Ｚ_n ^*）として知らしめる。数値ｎは、２つの大きな 素数の積であり、そのような複合のものの適切な選択は知られている。数値νは 素数であり、群Ｚ_n ^*の位数（ψ（ｎ）と表す）と共素数(co-prime)をなす。当業 者には容易に考えられ、また上述したように、νに他の値を用いることも可能で あり、νは２乗された値であってもよい。最後に、ＸはＺ_n ^*のおおきな位数のエ レメントである。Ｐはνモジュロλ（ｎ）（成り行き上、この値は指数に おいて１／νとして表される）の逆数を、その秘密キイとして記憶する。 Ｐもまた、公に関数Ｈとして知らしめる。Ｈは、好ましくは「無衝突」のハッ シュ関数であって、Ｚ_n ^*からの２個の数値をＺ_νの１個の数値に写像する。「無 衝突」とは、逆数の計算をすることが不可能であるだけでなく、２個の個別に対 となった数であって、Ｈによって写像され同じ結果となるものを言う。そのよう な関数はこの技術分野においてよく知られている。 プロトコルの始めにおいて、Ｚ_n ^*からの数ｍは、ＰとＲに知らしめられる。Ｚ_n ^* における数ｍのｐのデジタル署名は、Ｚ_n ^*×Ｚ_n ^*における数（ａ，ｂ）の対と して決定され、ｂのν乗はモジュロｎの（Ｘｍ）^cとａの積に等しく、ここでｃ は、ハッシュ関数Ｈにおける（ｍ，ａ）の像を表す。 ブロック２１は、Ｚ_n ^*におけるランダム数ａを出力するＰをしめし、それをＲ に送る。 ブロック２２の第１、第３、第４行目は、Ｒが共にＺ_n ^*にある２個のランダム 数ｓ，ｔと、ランダム数ｕ∈_RＺ_ν出力していることを示している。第２行目に おけるブロックは、Ｒが、ｓのν乗をｍで掛けることにより、ｍの見えない形式 ｍ’を計算することを示している。さらに、ブロックの第５行目は、Ｒが、数ｔ とｕを用いてどのようにしてａの見えない形式ａ’を計算するかを示している。 次に、「チャレンジ」ｃ’がハッシュ関数の元で（ｍ'，ａ'）の像として計算さ れる。第７行目では、Ｒがどのようにして予め出力したランダム数ｕを用い、こ れに数ｕであるモジュロνを加えることにより、このチャレンジを見えなくする かを示す。この経過の結果はｃで示されているが、ＲによってＰに送られる。ブ ロック２３は、Ｒからチャレンジｃを受けた後、いかにしてＰがｂで示される「 応答」を計算するかを示している。この数を計算した後、ＰはそれをＲに送る。 ブロック２４は、Ｐから応答ｂを受けた後のＲの動きを決定する。第１行目は 、ａと公に知られた情報に基づきＲが計算することができる数を掛けた積でモジ ュロｎのものと、ｂのν乗とが等しいかどうかの確認をＲがすることを示してい る。この判断の結果、Ｒが「受諾」したとすれば、Ｐは正しい応答を計算したこ とを意味する。次いでＲは、公に知られた情報、プロトコルへの入力ｍ，および プロ トコルで生成された複数の数を用いてｂの変換された形式、すなわちｂ’を計算 する。この技術分野では一般ではあるが、第１行目での認証が行われなければＲ の動きを表示しない。なぜなら、これらの動きはプロトコルの正確さに影響を及 ぼすものではないからである。Ｒは不満となるか、他の適切な動作を取る。かか る動作には、プロトコルが実施される環境に応じて種々のものが考えられる。 もし、ＰとＲがプロトコルの手順に従った動きをすれば（したがってＲはブロ ック２４を受諾したこととなる）、対（ａ'，ｂ'）はｍ’のＰのデジタル署名で ある。ゆえに、公に知られた情報Ｐを用いることにより、何人によっても認証を 受けることが可能となる。以上より理解されるように、対はｍ’を含み、署名（ ａ'，ｂ'）は上述したブラインド署名の条件を満たす。 当業者には容易なように、さらなる限定がなければ、上述した手順により得ら れた署名は容易に偽造されうる。これは、全く問題とはならない。なぜなら、制 限されたブラインド署名に重要なのは署名されたメッセージｍ’に「含まれる」 情報であるからである。Ｒはｍ’の意味しているところを知る必要がある。プロ トコルの始まりにおて、公に知られたベクトル（Ｙ₁，...，Ｙ_k；ν）に対し、 ｍが代表しているところが(ａ₁，...，ａ_k；ａ_k+1)であることを、またプロトコ ルの終わりにおいて、同じベクトルに対し、ｍ’が代表しているところが(ｂ₁， ...，ｂ_k；ｂ_k+1)であることを、Ｒが知っていたとすれば、たとえ（Ｘ,Ｙ₁,... ，Ｙ_k；ν）に対し、１が代表しているところが（ｃ₀，...，ｃ_k；ｃ_k+1）(（０ ，...，０；１）に等しくない)であることをＲが知らなかったとしても、１≦ｉ ≦ｋを満たす全てのｉに対し、数a_iは間違いなくｂ_iモジュロνに等しくなる。 これは、Ｐによって、たとえばＸや、すべてのＹ_i'をランダムに生成すれば容易 に対応することができる。 いくつかの所見を以下に述べる。容易に分かるように、Ｐは、Ｘとｍのモジュ ロｎのν乗根を知れば、Ｐ側のプロトコルを正しく実行することができる。特に 、モジュロｎの素因数分解を知る必要はない。ブロック２３における動作を実行 するために、ブロック２１においてＰは、モジュロｎのν乗根を知るように数ａ を生成する必要がある。これは、Ｚ_n ^*において数ａ₀をランダムに生成し、ａを ａ₀ のモジュロｎのν乗に等しくすることにより達成することができる。 当業者には容易に理解できるように、ブロック２２の第５、第７行目に示すａ ’やｃに対するＲの作業、またブロック２４の第２行目に示すｂ’に対するＲの 作業はいろいろな形に変えることが可能である。 上述したフローチャートの説明において、デジタル署名がｍ’で示されるひと つの数にのみある。簡単でかつ重要な変形により、複数の数にあるデジタル署名 を得ることができる。もし、署名がｍ’のみではなく、他にｋ個の数（Ｂ₁，... ,Ｂ_kで示し、ｋはある正の整数）に対応すれば、Ｒによりブロック２２の第６行 目の計算ｃ’は、ハッシュ関数Ｈにおける像（ｍ'，Ｂ₁，...，Ｂ_k，ａ'）とし ての計算で十分である。ハッシュ関数の条件は上述したものと同様であり、違う 点はＨはｋ＋２個から成る偏角で動作する点である。従来から知られてるほとん どのハッシュ関数では、偏角のエレメントの数はいくつでも良く、この場合は同 じハッシュ関数を用いることができる。この場合の（ｍ'，Ｂ₁，...，Ｂ_k，ａ' ）にある署名はＺ_n ^*×Ｚ_n ^*における数のペア（ａ'，ｂ'）であり、モジュロｎで のｂ’のν乗は（Ｘｍ'）^c’ａ’に等しく、ここでｃ'は、ハッシュ関数におけ る（ｍ',Ｂ₁，...，Ｂ_k，ａ'）の像である。ここで、Ｂｉはいずれのセットから でも選ぶことができる。 さらに、Ｚ_n ^*における数ｍの署名は、Ｚ_n ^*×Ｚ_n ^*における数のペア（ｃ，ｄ） として、上述とは別の決め方（より効率の良い決め方）を用いても良い。ここで ｃは、ハッシュ関数Ｈにおける（ｍ，ｂ^ν（Ｘｍ）^-c）の像に等しい。当業者に は容易に理解できるように、この定義は、均等である。特に、その認証関係は、 プロトコルのセットアップ段階の説明で特定した認証関係と置き換えることがで きる。 ハッシュ関係Ｈは、必ずしも次のようでなくても良い。すなわち、Ｚ_νにおけ る各エレメントは、Ｈによりそれに写像される数がある。Ｈはその偏角（argume メータ」ｔは、予めＰによりセットされ、適切な長さを有するものである。 当業者には容易に理解できるように、ブロック２４の第１行目に示す認証関係 ｂ^ν＝（Ｘｍ）^cａは、その式の一方の辺は計算を必要としない。他方の辺は、 たとえば「同時繰り返し２乗法(simultaneous repeated squaring)」を用いて、 効率よく計算することができる。したがって、ブロック２４では、認証関係は、 たとえば次のように表すことができる。 （ｂ^-1）^ν（Ｘｍ）^c＝ａ^-1 この場合、Ｐはブロック２１において、モジュロｎの数ａそのものより、そのａ の逆数を送るほうが好ましい。そして、ブロック２３において、モジュロｎの数 ｂの逆数を送るほうが好ましい。これにより、Ｒによる逆数の計算を省くことが できる。本願発明の説明を理解しやすくするために、いずれの認証関係も上述し た形態をとっていない。 以上の所見は、他のすべてのフローチャートについても言えることができる。 特に、毎回でも認証関係を修正し、等価な内容で署名を定義することができる。 ＊ ＊ ＊ 図３において、第１の実施の態様の別の制限された見えない署名のプロトコル についての第２のフローチャートについて説明する。 セットアップについては、まえのフローチャートに対するものと同様であるが 、ただＨは、その偏角をゼロに写像しない点でのみ異なっている。これは、単に 、情報理論プライバシ(information-theoretic privacy)を正確に証明するため に必要な技術である。Ｚ_n ^*における数ｍにあるＰのデジタル署名は、Ｚ_n ^*×Ｚ_n ^* での対（ａ，ｂ）で定義され、モジュロｎのｂのν乗は、Ｘｍ（ａ）^cに等しい 。上述したように、ｃは、κにおける（ｍ，ａ）の像をしめす。同様に、前のフ ローチャートにおいて説明したように、（ｃ，ｂ）を代わりに署名として用いる ことができる。 ブロック３１は、ＰがＺ_n ^*においてランダム数ａを生成し、それをＲにおくる 。 ブロック３２において、第１、第３行目は、Ｒが２つのランダム数ｓ，ｔであ って共にＺ_n ^*にあるものを生成することが示され、第４行目は、Ｒが別のランダ ム数ｕをＺ_ν ^*において生成することが示されている。同ブロックの第２行目は 、 いかにしてＲが、ランダム数ｓを用いてｍの見えない形態ｍ’を計算するのかが 示されている。ｔとｕを用いることにより、Ｒはまたａの見えない形態ａ’を計 算する。Ｒはまた、（ｍ’，ａ’）のＨにおける像として、ｃ’でしめされるチ ャレンジを計算する。最後に、Ｒは、モジュロνの数ｃ’とｕを掛けることによ り、見えないチャレンジｃを計算し、それをＰに送る。 ブロック３３は、Ｐがいかにして、ちょうど受けたチャレンジｃを含む表現の モジュロｎのν乗根として、応答ｂを計算するかが示されている。ＰはｂをＲに 送る。 ブロック３４の第１行目には、Ｐの応答のテストが示されており、第２行目に は、ｍ’における署名を得るために必要な最終計算が示されている。特に、第１ 行目は、いかにしてＲがｂをν乗に上げ、その結果を比較して、公に知られてい る情報、チャレンジ、プロトコルの入力ｍに関する結果と等価なものにする。こ のテストが問題なく終了すれば、Ｒは数ｂ’を計算し、そのｂ’はｂの見えない 形式である。上述したように、もしテストが成立しなければ、Ｒは別の動作を行 う。 前のフローチャートの説明の最後に行った所見は、これについても言える。す なわち、Ｒがプロトコルの始めにおいて、（Ｙ₁，...，Ｙ_k；ν）に対するｍの 代表(ａ₁，...，ａ_k；ａ_k+1)を知っており、プロトコルの終わりにおいて、同ベ クトルに対するｍ’の代表（ｂ₁，...，ｂ_k；ｂ_k+1）を知っていたとすれば、す べてのｉに対し、ａｉ（ただし、１≦ｉ≦ｋ）はモジュロνのｂｉに等しくなる が、ただ、Ｒが（Ｘ,Ｙ₁，...,Ｙ_k；ν）に対する１の代表（ｃ₀，...，ｃ_k；ｃ_k+1 ）（（０,...，０；１）に等しくない）を知らないことが条件である。 ＊ ＊ ＊ ４図において、第１の実施の態様の別の制限された見えない署名のプロトコル についての第３のフローチャートについて説明する。 セットアップについては、まえのフローチャート（図３）に対するものと同様 である。Ｚ_n ^*における数ｍにあるＰのデジタル署名は、Ｚ_n ^*×Ｚ_n ^*での対（ａ， ｂ）であり、ｂのν乗は、（Ｘａ）^cｍに等しい。ここでｃは、Ｈ（ｍ，ａ） をあらわす。ここでは、Ｒは、前の２つのプロトコルよりも、入力ｍを見えなく するのに一層の自由度を有するが、代表における各数を個別に見えなくするのに は十分ではないので、これも制限された見えない署名である。 ブロック４１は、Ｐからランダム数ａ∈_RＺ_n ^*が生成され、それがＲに送られ ることが示されている。 ブロック４２において、第１、第２、第４行目は、Ｒが２つのランダム数ｓ∈_R Ｚ_ν、ｕ∈_RＺ_ν ^*、および１つのランダム数ｔ∈_RＺ_n ^*を生成することが示され ている。ｓ，ｔを用いることにより、第３行目にしめすように、Ｒはｍを見えな くして数ｍ’にする。ｓ，ｕを用いることにより、第５行目にしめすように、Ｒ はまた、ａを見えなくして数ａ’にする。Ｒはまた、（ｍ’，ａ’）にハッシュ 関数Ｈを用いてチャレンジｃ’を計算する。最後に、Ｒは、モジュロνのｃ’と ｕを掛けることにより、見えないチャレンジｃを計算し、そのｃをＰに送る。 ブロック４３は、ＰがＲから受けたチャレンジｃに対する応答ｂの計算が示さ れている。Ｐはこの数をＲに送る。 ブロック４４の第１行目には、ｂのν乗が、公に知られている情報、チャレン ジ、プロトコルの入力ｍに関する表現と等しい場合にのみ、許諾することが示さ れている。もしこれが成立すれば、Ｒは、前まではｂ’で示されていたｂの見え ない形式を計算する。 Ｒがプロトコルの始めにおいて、（Ｙ₁，...，Ｙ_k；ν）に対するｍの代表（ ａ₁，...，ａ_k；ａ_k+1）を知っており、プロトコルの終わりにおいて、同ベクト ルに対するｍ’の代表（ｂ₁，...,ｂ_k；ｂ_k+1）を知っていたとすれば、すべて のｉ，ｊに対し、ａｉ／ａｊ（ただし、１≦ｉ，ｊ≦ｋ）はモジュロνのｂｉ／ ｂｊに等しくなるが、ただ、ｓがモジュロνで０に等しくなく、かつＲが（Ｘ, Ｙ₁,...,Ｙ_k；ν）に対する１の代表（ｃ₀，...,ｃ_k；ｃ_k+1）（（０，...,０； １）に等しくない）を知らないことが条件である。 以上から理解できるように、第２のフローチャート（図３）が第１のフローチ ャート（図２）に極めて似ているように、このフローチャートに極めて似ている 制限された見えない署名がある。そのプロトコルのセットアップはほぼ同じであ り、 違う点は、Ｚ_n ^*における数ｍにあるＰのデジタル署名は、Ｚ_n ^*×Ｚ_n ^*における対 （ａ，ｂ）であり、ｂのν乗はＸａ（ｍ）^cに等しく、ここでハッシュ関数Ｈに おける（ｍ，ａ）の像はｃで表される。Ｒは、第３のフローチャート（図４）に 示したと同様のｍを見えなくする自由度がある。図４で示した第３のフローチャ ートにおける所見がそのままここにあてはまる。違う点は、ブロック４２やブロ ック４３で、Ｒによるａ’，ｃおよびｂ’に対する割り当ては、当業者には容易 な修正を加える必要がある点だけであるので、その詳細な説明は省略する。 ＊ ＊ ＊ 以上説明した４つの制限された見えない署名のプロトコルは、すべて次に挙げ る署名の変形に基づくものである。ギロウ／キスカテル識別プロトコル(Guillow /Quisquater identification protocol)であって、エル．ギロウ、ジェイ．キス カテル(L．Guillou，J．Quisquater)著の「伝送およびメモリを小さくし、マイ クロプロセッサの安全に適した実用ゼロ知識プロトコル（A practical zero-kno wledge protocol fitted to security microprocessor minimizing both transm ission and memory)」、コンピュータサイアンス(Computer Science)330の講義 ノート、ユーロクリプト（Eurocrypt）’88の議事録123−128ページ、および写 された(mirrored)変型（ケイ．オオタ、ティ．オカモト（K.Ohta、T.Okamoto） 著の「フィアットーシャマー案の変形（A modification of the Fiat-Shamir sc heme)」、コンピュータサイアンス(Computer Science)403の講義ノート、クリプ ト（Crypto）’88の議事録222−243ページ)。ギロウ／キスカテル(Guillow/Quis quater）のプロトコルは、いわゆるフィアット/シャマー（Fiat/Shamir）型と呼 ばれるもので、エイ．フィアット(A.Fiat)とエイ．シャマー（A.Shamir）著の「 いかに自分自信を証明するか：身分証明および署名の問題の実用解決策」クリプ ト’86,スプリンガーバーレグ(Springer-Verlag),1987,186-194ページに基づく 。 当業者には容易に分かるように、上に説明した種々のフローチャートにおける 制限された見えない署名を実現する技術は、基本的に、フィアット／シャマー型 の身分証明（名前確認）用のプロトコルのいずれにも適用可能であるが、他の数 であって以前に受けた数のハッシュ関数の出力としてチャレンジｃを計算するこ と（これがフィアット／シャマーの構成である）により、それを署名プロトコル に変換できることを条件とする。この目的のため、ＰではなくＲがチャレンジｃ を計算する必要があり、認証関係を得るため入力ｍを適切に掛け算（または他の 数学的演算、たとえば指数計算）する必要がある。たとえば、ギロウ／キスカテ ル案の認証関係ではｂ^ν＝Ｘ^cａである。これにより第１フローチャート（図２ ）の認証関係を得ることができる。 たとえば、この技術により、ティ．オカモトの名前確認用のプロトコル、「証 明可能な安全で実用的な名前確認案および対応する署名案」クリプト’９６の議 事録(1-15)-(1-25)ページ、を制限された見えない署名用のプロトコルに替える こ の形式である公のキイに相当するＺ_ν×Ｚ_n ^*における秘密キイ（ｓ₁，ｓ₂）を知 っていることを証明する。 これは、図２、３、４のフローチャートで同じような方法で実現され（制限さ れた見えない署名用のプロトコルを作り出す変形が全部で４つある）、本発明に 基づく他の種々のプロトコルは第２の実施の態様において詳細に説明されるので 、その詳細な説明はここでは省略する。ここで説明したフローチャートは、当業 者が本発明を他の種類のフィアット／シャマー型の名前確認用のプロトコルに適 用するために必要な情報以上の情報が含まれている。 フィアット／シャマー型の名前確認用のプロトコルを制限された見えない署名 用のプロトコルに替える技術は、他にも存在する。この技術は認証関係を倍増す る手順を含み、そこでは第２の認証関係において、公のキイの一つの数が入力ｍ で置き換えられる。上述したように、Ｒは、それ自身でチャレンジｃを計算する 。ギロウ／キスカテルのプロトコルにおいては、たとえば、認証関係ｂ₁ ^ν＝Ｘ^c ａ₁およびｂ₂ ^ν＝ｍ^cａ₂（ここで認証関係の「コピー」において、Ｘはｍに置き 換えられる）を用いることができる。この倍増する技術の他の例とし、第２の実 施の態様で説明する図２３に示す制限されたブラインド署名用のプロトコルがあ る。図２、３、４で示したフローチャートに適用した第１の技術との差は、こ の方法で作られた署名は、たとえＲが署名された番号の代表を知る必要がなくて も、Ｒによって偽造されることはない。 ３ 代表の知識の証明 図５は、第１の好ましい実施の態様のプロトコルに用いられるフローチャート であって、Ｒが（Ｙ₁，...，Ｙ_k；ν）に対するＺ_n ^*における数Ａの代表（ａ₁,. ..，ａ_k；ａ_k+1）を知っていることを証明するためのフローチャートである。な お、代表自身は明らかにされることはない（したがって、Ａに含まれる情報は秘 密状態にされる）。 ブロック５１は、ＲがＺ_νにおいてｋ個のランダム数ｘ₁，...,ｘ_kを、またＺ_n ^* において１個のランダム数ｘ_k+1を生成することを示している。Ｒは、第３行 目に示されているように、これらを用いて数Ｂを計算をし、その結果をＰに送る 。 ブロック５２は、ＰがＺ_νにおいてチャレンジｄを生成することを示し、その 結果はＲに送られる。 ブロック５３は、いかにしてＲが応答γ_i、ただし１≦ｉ≦ｋ＋１，を計算す るかをしめしている。ついで、Ｒは、γ₁，...，γ_k+1をＰに送る。 ブロック５４は、もしＲから今受けたｋ＋１の応答に関する積が、モジュロｎ におけるＡ^dとＢの積に等しい場合にのみ、Ｐが証明を受諾することが示されて いる。 このプロトコルは、公知のプロトコルを一般化したものであり、署名や名前確 認のためにのみ用いられるものである。詳細に示すように、本発明においては、 Ｒが、代表に用いられる数について、ある特定の数学的関係を証明するためのプ ロトコルの基本としてこの証明が用いられる。本発明の概念により、効率のよい プライバシィ保護を保つ(privacy-protecting)人物証明機構を提案するものであ る。 当業者にはよく知られているように、基本的に２つの方法によりこのプロトコ ルが用いられる。第１に、ブロック５２で生成されたｄが最大たとえば１０ビッ トであり、プロトコルは数回繰り返し実行される。この場合、Ｐは、プロトコル の実行の写しを、証明が行われたことを更に別の者に示すために用いることはで きない。すなわち、このプロトコルは、ゼロ知識と言われるもので、公知の暗号 法を用いる。 第２に、Ｐがブロック５２において、公に知られ、対立せず、少なくとも数Ａ とＢの間の偏角とたとえばメッセージｍを有するハッシュ関数の出力としてｄを 決定することである。Ｒ自身もｄを計算することが可能な場合もあり、ＲとＰと の間で相互作用を必要としない。プロトコルの実行の写しはｍにおいてデジタル 署名として作用し、それにより証明が実行されたことが証明される。これは、暗 号法において「署名証明(signed proof)」と呼ばれこともある。 プロトコルの各実行において、Ｒ自身によりＢが選ばれることがあれば、Ｒは 、何回でも、しかもＰが知っているＡについての代表をＰが計算することなく、 Ａの代表の知識の証明を実行することができる。しかしながら、Ｒが同じ数Ｂを 用いて、２回プロトコルを実行すれば、Ｐは、Ｒが知っているＡの代表を、ブロ ック５２にしめす２つの異なったチャレンジｄを用いて、計算することができる 。 ＲがＡ₁の代表を知っており、Ｒ’がＡ₂の代表を知っている場合、ＲとＲ’は 共同して、共にＡの代表である個別の数の積Ａ₁Ａ₂を知ってことをＰに証明する ことができる。この場合、ブロック５１ではＢ₁とＢ₂を掛け算し、その結果のＢ をＰに送る。ブロック５３では、その応答の対応同士γ_i，γ’_i（１≦ｉ≦ｋ） を加算し、γ_k+1とγ'_k+1を掛け算する。それらは、ｋ＋１個の応答をＰに送り 、Ｐでは、図５に示すフローチャートにしたがって、変更する。当業者には容易 に理解できるように、この変形は、２つ以上の受信手段が存在する場合にも適用 可能である。 ２つの利用者の一方において、どのような数（Ａ₁，Ｂ₁，γ_iを含む）を用い ているかという情報をＰに与えることが許されていなければ、より複雑な関係が 生じる。この関係は、特に、一方の利用者が組織であったり、証明を業とする団 体であったりする場合に重要となる。このプロトコルの構成は図１０に示すフロ ーチャートにしたがって説明する。 これら２つの技術の中間にある変形は種々考えられ、たとえば４つの利用者が ある場合、２つは残りの２つに組み込まれることも可能である。このような変形 は、後で詳述する。 ４ 資格認証機構（mechanisms）への適用 資格認証機構は、組織（organization）間で、ユーザによる情報認証の転送を 可能にする暗号プロトコルの集まりである。一つの情報認証は、「資格認証」と 呼称される。税金情報、金、医療データ、運転免許、選挙権等と言った様々な種 類の資格認証が思い浮かぶ。データベースのマッシブマッチングを避ける（つま り、組織間での情報転送のプライバシーを保証する）為に、異なる組織において 各ユーザーは、異なる仮り名によって知られている。一人が一つの組織に関して 複数の仮り名を有することもあり得る。 一つの組織から受けた情報認証が、情報が得られたプロトコルの実施にリンケ ージしてしまうこと無く、他の組織から確認できるように、それ故に、組織の署 名は、同一ユーザーの別個の仮り名の間で転送可能でなければならない。 そのような従来技法における機構に関する記述が、Chaum，D.，Evertse，J.H. の著作である「個人情報の組織間転送の為の安全且つプライバシー保護プロトコ ル」及び、シュプリンガー出版の１９８６年版コンピュータサイエンス、頁１１ ８〜１６８の「暗号会報」に見ることができる。この機構は通常ブラインド署名 であり、情報を認証するために用いられる。これこそが、以前の技法（従来技法 において、小規模の改良が提案されている）において知られている資格認証であ る。 制限されたブラインド署名に基づく技法によって、より洗練され、効果的、且 つ安全な資格認証機構の構築が可能となる。以下の記述において、普遍性が失わ れることなく、図２の制限されたブラインド署名が使用されるものと想定する； つまり、ｓ∈_RＺ_n ^*の秘密選択の為の対応署名を有して、ｍがｍｓ^νにブライン ドすることができる。明らかに、例えば、図３のプロトコルを替わりに用いるこ とができる。なお、その選択は単に明確さの為なされたものである。 ４．１仮り名の確認 従来技法に於いて知られている資格認証機構では、ユーザ−ｉの組織ｊでの仮 り名は、ｍ_iｓ_j ^νの形態をとり、ユーザーはｍ_iとｓ_iを知ると共に、Ｚ_n ^*に含ま れる。少なくとも一つは、異なるユーザーが、ν番目のルートモジュロｎを互い に知らない異なる仮り名を用いることを保証しなければならない。仮り名は最初 に、便宜上「センター」と呼称される特別な認証パーティによって確認されなけ ればならない。センターは、モジュラスｎを知る唯一のパーティである。これは 、センターがすべての署名を計算しなければならないことを意味する。 本記述に於いて、センターは常に、組織の要求により、情報を証明するものと する；つまり、組織がデジタル署名を計算する場合には、たとえば一つのオンラ イン接続を経由してセンターが実際に計算を行うと理解されるもとのする。この ことは、当該技法に習熟した者にとって明白であり、特別な知識を必要とするも のではない。 従来技法に於いて知られている資格認証機構では、仮り名を認証するために、 インエフィシェント「カット-アンド-チューズ」技法を用いる。制限されたブラ インド署名を用いることにより、非常に洗練されたシステムになると共に、バリ デーションプロトコルがより効率的、且つ安全に実施できる。 図６に、ユーザ−ｉが、他の組織ｊに対して用いる仮り名認証を有することを 可能ならしめる、第一実施例に於ける仮り名認証プロトコルが記述されている。 プロトコルの最初では、センターは、以前にプロトコルを実行した際に用いら れなかったＺ_ν ^*中のｕ_iを選択する。あるいは、ユーザ−ｉは、あるいはセンタ ーと協力して、この番号を決めることも出来る。ボックス６１は、図２のプロト コルが実行されていることを示している。そのプロトコルのフローチャートのボ ッ ｓ_j ^νに対してブラインドする、これはｍ_iによって示される。この仮り名は、Ｐ_ij によって示される。この番号Ｙは、センターによって予め選ばれた公知の数で ある。ユーザーは、第ν番目のＹのｎルートモジュロを知らないものと想定され る。 ボックス６２は、組織ｊに於いて仮り名Ｐ_ijを使用するために、ｉは、得られ たセンターの署名と共にこの番号を組織ｊに送出することを表現する。 ボックス６３は、（Ｙ；ν）に関して、Ｐ_ijの表現の知識を明らかにすること なく、ユーザーが組織に対して証明しなければならないことを示している。図５ の フローチャートは、これがどのようにして行われるかを示している。組織が証明 の実行の転写を用いて、例えば、証明が行われたことをセンターに対して証明で きるよう（図５の記述に於いて説明したように）に、証明されることが好ましい 。 仮り名が正しい形態であることを証明するに十分な署名をユーザーが示すこと ができると言う限定ブラインド署名を用いることができる。このことは、当該技 法に習熟した者にとって明白である。ボックス６３に示された知識の証明は、こ の場合省略できる。そのような署名は、既に詳しく述べたように、Fiat/Shamir 型の識別プロトコルの第二の技法を用いて構成することができる。 ボックス６４は、組織ｊがユーザーの知識の証明を容認した場合には、Ｐ_ijを 仮り名として用いることを容認することを明示している。このプロトコルを、数 度繰り返すことによって、明らかに、iは様々な組織に対して用いる数種の仮り 名を得ることができる。 幾つかの状況に於いては、本章の最後に述べたように、仮り名間のワン-ショ ウ資格認証を転送するシステムに於いてそうであるように（このようなシステム は従来技法に於いては知られていない）、更にユーザーが異なる組織で同一の仮 り名を用いることは防止されねばならない；この為に、ボックス６３は更にセン ターに接続する組織を規定しなければならない。このことにより、仮り名が他の 組織で既に使用中であるかがテストできる。 もし、ユーザｉが単にｕ_iについての全てを「失念」してしまったのであれば 、システムは従来技法に於いて知られていた資格認証機構に戻る。すなわち、こ の場合のユーザ−ｉは、ユーザーにとって既知の組織ｊでのｍ_i及びｓ_jに関して 、仮り名Ｐ_ij＝ｍ_iｓ^ν _jを有する。しかしながら、表現（簡略化した）数の間に 於ける関係を証明する非常に多数の新技法と組み合わせて制限されたブラインド 署名を用いることによって、ｕ_iと働く際に多大な利益が得られる。そのような 利益の一つに、（Ｙ；ν）に関する表現の知識を証明することによって、Ｐ_ijが 彼の仮り名であることを、ｉはｊに何時でも証明できるいうことが明白である。 いかなる場合でも、バリデーションプロトコルが非常に効率的であり、安全の維 持についても同様である。 ターに送信できる。そして、Guillou/Quisquater識別プロトコル（従来技法で良 く知られている）のような暗号プロトコルを用いて、ユーザーはｕ_iを暴露する 従来技法に習熟した者にとって十分明白である。これにより、（演算力に関係無 く）センターがｉの（ｕ_0i，ｕ_1i）を算出することができないと言う利点を有す る。このようにして、フレーミングが防止される。 ４．２ 適切に選択されたベクトルに関する数の表現としての資格認証の表現 新しい資格認証機構に於いて、個人が所有する特定のタイプの資格認証は、署 名に対するνを選択することに特徴があるのでは無く（つまり、従来技法で知ら れているシステムに於ける場合と同様に、ＲＳＡルートの種類が計算される）、 公知のベクトルに関して、ブラインド署名を求める元になる数ｍを知る所有者を 表現することに特徴がある。個人が特定の資格認証を所有していることを組織に 証明することが、もはや、その組織の仮り名に関する適切なタイプの署名を暴露 すると言う問題では無い（従来技法のシステムに於いては、問題である）；個人 は、個人が署名を得る元になった数の（または、積や商と言う数種の数の数理的 機能）表現の知識を、数（Ｙ₁,...,Ｙ_k；ν）の公知のベクトルからなる数のベ クトルに関して、証明しなければならない。ここで、Ｙ_i（νを選択しても良い ）のそれぞれは、資格認証の異なるタイプを示している。個人が証明に成功する 特定のベクトルは、個人の所有する資格認証のタイプを反映している。このよう にして、ユーザーは、効率的且つ柔軟な方法で、一つの署名を有する一つの数に 含まれる資格認証を、他の中から、効率的且つ柔軟に多数「集める」ことができ る。次の章で、この件に関して詳細に述べる。個人が証明できることに関する特 定のベクトルは、個人が所有する資格認証のタイプを反映する。このようにして 、ユーザーは、署名を有する数の中に、効果的かつ柔軟な方法で、とりわけ、多 数の資格認証を「集める」ことができる。 これを説明する為に、公知のベクトル（Ｙ₁,...,Ｙ₆；ν）を考える。なお、 Ｙ_iは資格認証タイプｉを表す。ユーザーが、（Ｙ；ν）に関するｍ/（Ｙ₂Ｙ₆） とき、ユーザーはタイプ２及び６の資格認証を有していることを示している。 言うＹ_iの指数を用いることができる。それによって、より優れた機能が得られ る。 特定のベクトルに関する数の表現の知識を証明するために、既に説明したよう に、「ゼロ知識証明」或いは、「符号化証明」のいずれかを用いることができる 。後者の場合、証明に含まれる組織は、証明を行っている他の者達を納得させる ことができると共に、証明自体には相互関係は不要である。 個人が、自分が選択した唯一の組織に、自分の資格認証を示すことができるよ うな特別な場合に於いては、そのような証明は必要ではなく；このことは署名を 示すに十分である。本章の最後で、これは、仮り名での支払い（つまり、仮り名 間での、個人を提示する資格認証の転送を許すシステム）を構築する為に適用さ れる。 ４．３ 制限されたブラインド署名のトランジビティ；「更新」資格認証 従来技法で知られる機構に於ける各資格認証は、一つの数の一つの署名から構 成される。それ故、個人の所有する資格認証の数に比例して、署名に対する記憶 要求が増える。（一つの集合に含まれる資格認証集合の所有者を示す新しい資格 認証に対する資格認証の集合を交換することが、従来技法で知られているが） 制限されたブラインド署名によって、ユーザーの複数の資格認証が、公知のベ クトルに関するユーザーの知る一つの番号（それによってユーザーが署名を知る ）を知るところの表現の中に保存され、更新されると言う全く異なる機構が可能 となる。ユーザが新しい資格認証を受領する度に、この従来の表現が更新される （そして、対応する新しい署名が得られる）。この場合、以前の署名は、もはや 必要ないので、破壊される。 この技法は、情報が繰り返しブラインドされることができると言う制限された ブラインド署名の特異な特性、つまり少なくともユーザーが知る表現の部分がユ ーザー自身によって修正できないこと（つまり、ｍで得られた情報は、必然的に 保存される）によって可能となる。このような特性を、「トランジビティ」を呼 ぶ。 最も単純な形態に於いて、この「トランジビティ」は、プロトコルの次の実行 に対する新しい入力として、以前に実行されたプロトコルの出力をとるものであ る。例えば、ｍ₀は署名と共にｍ₀ｓ₀ ^νにブラインドされることができる。ｍ₁に よってこの数を示し、続いて、ｍ₁が同様にして、署名と共にｍ₁ｓ₁ ^ν＝ｍ₀（ｓ₀ ｓ₁）^νにブラインドされる。この数をｍ₂によって指示し、そして、ｉ＋１回 このプロセスを繰り返して、ｍ₀(ｓ₀・・・ｓ_i）^νに等しい数ｍ_i+1を得る。当技法 に習熟した者にとっては、以下のことは明白である。つまり、表現（γ₁,...,γ_k ；γ_k+1）を考慮し、ｍ_iの署名のレシーバーが、適切に選択されたベクトル（ Ｙ₁,...,Ｙ_k；ν）に関してｍ_iを知り、ブラインドプロセスの全反復を通して、 唯一γ_k+1だけが彼によって修正可能である。最初のｋ番号が、不変のモジュロ νとして留まる。明らかに、第三のフローチャート、或いは第三のフローチャー トに密接に関連したプロトコルが用いられた場合には、同様のものが有効である 。このようなケースに於いて、ｉ，ｊ≦ｋの場合、γ_i/γ_jｍｏｄ νの値は不変 である。 より一般的には、制限されたブラインド署名に関して以下の事が言える。以前 に実行されたプロトコルより得た出力の機能は、プロトコルの次の実行に対する 入力として用いることができる。もし、個人がプロトコルの第ｉ番目の実行時に ｍ_iの署名を受領すれば、これは、プロトコルｆ（ｍ_i）の次の実行の入力として 用いることができる。ｆに関する選択は（νの選択と同様に）、プロトコルの実 行によって変化すると共に、証明パーティが決定することができる。この技法に より、証明パーティが、新しい資格認証をブラインド状態で保存された表現の部 分中にインストールする事が許される。 Ｙ_jが資格認証タイプｉを表現しているとする。資格認証タイプｊをもってｍ_i を更新する為には、ｆ（ｍ_i）＝ｍ_iＹ_jが、証明パーティによって入力として採 用 されなければならない。ユーザはｍ_i+1＝ｍ_iＹ_jの署名を得る。証明パーティは 、ユーザーがこのためのｍ_iを知る表現を知る必要はない。つまり、ユーザーが 既に有している資格認証を証明パーティが知る必要無く、更新を行うことができ る。 ユーザーは、各資格認証の為の署名のータイプを用いる為に、良く知られた従 来技法の技法と組み合わせて、本技法を非常に良く用いることができる。例えば 、ユーザーは、彼がそれによりに署名を有する数ｍ_aを知るところの表現中の医 療データに関する全ての資格認証；及び彼がそれにより署名を有する数ｍ_bを知 るところの表現中の税に関する全ての資格認証を保存し、更新することができる 。医療資格認証はｍ_aに、そして税資格認証はｍ_bに、インストールされ、更新等 される。 ４．４ 個人が特定の資格認証を有していることを証明する方法 新技法は、ユーザーが特定の資格認証を有していることを組織に証明すること に関する自由度に各種の等級を提供している。 従来技法に於ける資格認証機構は、単にユーザ−ｉに、仮り名Ｐ_ijに関する組 織ｊの署名を、他の仮り名Ｐ_ikに関する組織ｊの署名に変換するこを許す（明ら かに、署名を他のユーザーの仮り名に関する署名に変換することは、仮にその他 のユーザーが協力したとしても、実行不能である）。資格認証の各タイプは、異 なる数ν_i∈Ｚ_λ(n) ^*及び、ν＝Πν_iによって表現される。数ν_iは相互に素数 でなければならない。 従来技法で知られている資格認証に反して、新資格認証機構では、それぞれ異 なる３段階の自由度が許されている： （１）ユーザーは、自身の仮り名の内の一つに関する証明された情報を使用する ことだけができる；ユーザーは特定の仮り名を証明パーティから隠すことができ る。この技法を説明する為に、ユーザ−ｉは、組織ｊに関する一つの仮り名Ｐ_ij 定する。ユーザ−ｉは、ｋに示すことのできる特定のタイプの資格認証をｊから 得ることを希望する。基本的な技法がこれを、ｊを有する制限されたブラインド 署名プロトコルの実行中に、ｉをして、同プロトコルの中にてＰ_ikをＰ_ik＝Ｐ_ij ｓ_k/ｓ_jとして計算することにより、出力Ｐ_ikに基づく署名（ｋを知るｊを除い て）を得させることにより、解決した。第一（図２）或いは第二（図３）のフロ ーチャートに関する記述に関して、第二のボックスの第二行に於いて、ユーザー は、商Ｓ_k/Ｓ_jに等しいｓを求めなければならない、そして、プロトコルの入力 は、ｍ＝Ｐ_ijである。 これにより、ブラインディングのトランジビティの最も単純な形態が構成され る、これは制限されたブラインド署名プロトコルに特有である。第一のプロトコ ｓ_k ^νに変換される。 以下に述べるように一般的な技法を用いることも可能である。ユーザーが資格 認証を持っていることを組織ｋに対して証明するために、一つの数ｍに維持され ている、ユーザ−ｉは、ｍ/Ｐ_ikの表現の知識（当然ｍに関する署名を持ってい ること）を、ベクトル(.,...,.)に関して、証明しなければならない。その数は 、数Ｙ₁,...,Ｙ_k（の数学的機能）からなり、それらはＹ或いはνと等しくない 。 この一般的技法を一例によって説明する。もしｉがｌに対してのみ、彼が数｛ １,...,ｋ｝の部分集合Ｓから全てのタイプの資格認証を有していることを示す のであれば、彼は以下の事柄を保持するベクトルに関する（ｍ/Ｐ_il）/（Π_i∈_s Ｙ_i）の表現の知識を証明しなければならない；Ｙとνがその中に無く、そして ｉを有する各Ｙ_iが集合Ｓに無い。そのために、彼が有していることを明らかに しなければならないようなタイプの資格認証を有しているかどうかを、そのベク トル中に、明白にすることを望まない。 本技法を更に説明するために、他の例について、述べる。ｉは未だいかなる資 格認証を受領していない、そして、組織ｋに示すために、ｊから２および５のタ イプの資格認証を得ることを望んでいると想定する。ｍ＝Ｐ_ijＹ₂Ｙ₅が組織ｊの 制限されたブラインドプロトコルの入力として獲得される、そして、ｉは彼が（ 証 明された）出力Ｐ_ikＹ₂Ｙ₅を獲得していることを確認する。ユーザ−ｉは、今や 、彼はタイプ２および５の資格認証を有していることを、ｋに対して証明するこ とを望んでいる：そのように実行中に、彼が他のタイプの資格認証を有している かを明らかにしてしまう可能性について危惧を持つことはない。図２のフローチ ャートのプロトコル中の署名((ｃ',ｂ'）（または、(ａ',ｂ')）；何の変化を引 き起こすことなく、図３のプロトコルを代わりに用いることも可能である）を、 ｋに対して送信すればに十分である。ｋは、単に(ｃ'，ｂ')がＰ_ikＹ₂Ｙ₅の署名 であることを証明する必要がある。更に、この特殊なケースに於いては、特定の 表現の知識を証明する必要が無いということが分かるであろう。表現の知識の証 明が空ベクトルに関してなされなければならないという事を実際に考えることが できる。 （２）ユーザーは、自身の仮り名の全てに対する認証された情報を用いることが できる。つまり、ユーザーが仮り名を有する組織に対して、彼が所有しているこ とを証明できるが、彼が仮り名を所有していない組織に対しては証明できない。 上述の如く、この特異な状況（そしてこれに限り、従来技法に於いて知られて いる機構を用いることができる。しかし、この場合、一つの番号（署名を有する ）の中に各種の資格認証を集めることができないという不都合を被る。 新しい資格認証機構に於いては、これらは以下の如く対応することができる。 任意の組織１に対して、特定の資格認証の所有を証明するために、ユーザーｉは Ｙは見えないがνが見えるＹ_iのベクトルに関して、ｍ/ｐ_ilの表現の知識をｌに 対して証明しなければならない。 例えば、もしｉがｌに対して、彼が部分集合Ｓ⊆｛１,...,ｋ｝に相当する全 てのタイプの資格認証を所有していることを証明することを望めば、彼は以下の 条件を維持しているベクトル（..．；ν）に関して、（ｍ/Ｐ_il）/（Π_i∈_sＹ_i ）の表現の知識を証明しなければならない。Ｙはその中に現れない、そして、彼 が Ｓを有する各Ｙｉがその中に現れる。 そのベクトル中の要素の数は、彼が所有する資格認証のタイプ、ただし彼はそ の所有の有無を明らかにすることを望まない、の数が増えるほど大きくなる。i が一切を明らかにすることを望まない資格認証がもっとあれば、証明するために 、ｉはより多くの乱数を発生させることが必要となる。 Ｙ₂Ｙ₅Ｙ₇として書くことのできる数ｍ（署名を有する）中の自身の資格認証を 更新するものと想定する。彼は、（ｍ/Ｐ_il）／（Ｙ₂Ｙ₅Ｙ₇）の第ν番目のルー トモジュロｎの知識を証明することによって、任意の組織１に対して、彼が正確 に資格認証タイプ２、５、および７を所有していることを証明できる。ｉが他の 資格認証を所有しているかどうか、またそれは何かについてを明らかにする可能 性について煩わないという極端な状況に於いては、彼が証明しなければならない 事柄に関するベクトルの長さは最短である。更に、表現の知識の証明がディジェ ネレートして、彼が、第ν番目のルート（(；ν)に関する知識の証明に関して思 いつく）を知っているという事を証明する。もし、彼が少なくともタイプ２の資 格認証を所有していることを証明したいと望めば、（Ｙ₁，Ｙ₃,...,Ｙ_k）に関し て、（ｍ/Ｐ_il）/Ｙ₂の表現の知識を証明しなければならない。 （３）ユーザーは認証された情報の所有を、如何なる組織、その組織に於いて彼 が仮り名を所有の有無に関わらず、に対しても証明できる。もし、ｉが、数｛１ ，...,ｋ｝の特定の部分集合Ｓから彼が所有する全ての資格認証を、他の者に対 して証明できることを望むのであれば、彼は以下の条件を満たすベクトル（Ｙ,. ..；ν）に関する商ｍ/（Π_i∈_sＹ_i）の表現の知識を証明できなければならない 。そして、彼が対応するタイプの資格認証を所有しているかどうかを明らかにす る いずれのケースに於いても現れなければならない。 ４．５ 例 次に、本技法を説明するために、複数の例について説明する。ベクトル（Ｙ₁, ...,Ｙ_k）は公知であり（各Ｙ_iは、資格認証タイプｉをあらわしている）、と共 に、数Ｙは仮り名の「基礎」として働くと想定する。ユーザ−ｉは、ｊに関して り名は、本章ですでに述べた方法で獲得されているので、（Ｙ；ν）に関するＰ_ij のＺ_ν×Ｚ_n ^*中の表現（ｕ_i,ｓ_j）をｉが知っているということを、ｊは確実 に知っている。 彼の「キャリア」が開始した時点では、ｉは明らかに資格認証は何も所有して いない。組織ｊに関して、図２のフローチャートの制限されたブラインド署名プ ロトコルを実行することによって、ｉは、タイプ１の資格認証を得、且つ、ｍ＝ Ｐ_ij、プロトコルの入力はｍＹ₁であると想定する。プロトコルのフローチャー トのボックス２２の第一行目に於いて、ｉはｍＹ₁を（ｍＹ₁）ｔ^νにブラインド する数ｔ∈Ｚ_n ^*を生成する。数ｔは、ボックス２２の中のｓによって示される。 もし、出力が一つの組織に関してのみ用いられるのであれば、組織はｉに対して 、Ｙ₁を有する組織に対する彼の仮り名の積に関する署名を示すように要求でき る。この場合、ｉは、制限されたブラインド署名プロトコルにおけるｔのために 適切な選択を知なければならない。 このようにして、この資格認証にしばらく参加した後に、ｉは或る時点で、彼 る署名を有するｍを有する。つまり、彼は、（Ｙ,Ｙ₁,...,Ｙ_k；ν）に関するｍ の表現（ｕ_i,１,０，１,０,１,１,０,...,０；ｓ）を知っている。 もし、ｉが組織ｊに対して、彼がこれらの資格認証を所有していることを証明 するだけであれば、ｊが積Ｐ_ijＹ₁Ｙ₃Ｙ₅Ｙ₆に対応する署名を確認すれば十分で ある。 もし、ｉが特定の資格認証を所有していることを、彼が仮り名Ｐ_ijを持ってい るｊの如何なる者にも証明できなければならないのであれば、ｉがＹが現れない ベクトルに関するｍ/Ｐ_ijの表現を知っている事実が構成される。例えば、何者 も暴露することなくタイプ１の資格認証を、彼が所有していることを証明するた めに、ｉは（Ｙ₂,...,Ｙ_k；ν）に関する商（ｍ/Ｐ_ij）/Ｙ₁の表現の知識を証明 しなければならない。同様にして、ｊに、彼がタイプ１、５、および６の資格認 証を所有していることを証明し、それ以外は明らかにしたくない場合には、ｉが （Ｙ₂,Ｙ₃,Ｙ₄,Ｙ₇,...,Ｙ_k；ν）に関する商（ｍ/Ｐ_ij）/（Ｙ₁Ｙ₅Ｙ₆）の表現 の知識を証明すれば十分である。 もし、ｉがその組織での仮り名を有しているかに係わり無く、いかなる組織に 対しても証明できなければならないのであれば、彼は、それ以外は明らかにした くない場合には、既に述べた例と同様に、（Ｙ₁,Ｙ₂,Ｙ₃,Ｙ₄,Ｙ₇,...,Ｙ_k；ν ）に関する商ｍ/（Ｙ₁Ｙ₅Ｙ₆）の表現の知識を証明しなければならない。既に説 明したように、彼が追加の情報が明らかになることに煩わされないのであれば、 少なくとＹとνを含む短ベクトルに関する番号の表現の知識を証明すれば十分で ある。 ４．６ 何度資格認証を提示するのか？ 個人が、自分のアイデンティティーを暴露することなく特定のタイプの資格認 証を提示することが許される回数に関して、三つの範疇が述べられている。 （１）制限無く提示される資格認証 これは、既に説明された事例の全てに当てはまる。これを実現する技法は、ボ ックス２２の第六行目のハッシュ関数に余分な数を供給することをユーザーに要 求しない、第一（又は第二）のフローチャート（図２）のプロトコルを用いるこ とである。つまり、ユーザーが獲得する署名は、ただ一つの数Ａに対応する。も し、ユーザーが特定のベクトルに関するＡの表現の知識を証明を必要とすれば、 彼は同ベクトルに関するＢのランダム表現を彼が知るような方法で第二の数Ｂを 発生させる。そして、彼はこの二つの数ＡおよびＢを、第四のフローチャート（ 図５）に記述の知識の証明を実行するために用いる。彼がＢを知っているという 表現が予想外であればあるほど、彼のプライバシーは保証される、ということが 当技法に習熟した者には明白であろう。つまり、これは、乱数を発生させるユー ザーの計算装置が採用している方法の品質による。 要約すると、実行すべき各証明のために、ユーザーは新しい、必要なベクトル に関する表現を知るところのランダムに選択された数Ｂを用いることにある。 （２）資格認証は一度だけ提示される。１枚のコインが、このような資格認証の 良い例である。もし、ユーザーがそのような資格認証を、彼が仮り名を有してい る組織に対して一度だけ提示することが許されるならば、簡単に測定できる。つ まり、組織に対して、資格認証は以前は提示されていなかったというトラックを 組織に保持することを要求できる。この測定が十分であるというシステムの一例 は、仮り名の基づいて支払われるシステムである。これについては、本章の最後 に説明する。 一般に、この方法は十分である。一般的技法は以下の通りである：ユーザーが 一度以上、資格認証を提示するとすれば、料金を課すためには、中心的な位置（ 例えば、センター）に於いて、ユーザーの数ｕ_i（および彼のアイデンティティ ーも）を計算できなければならない。（これは、ユーザーがフレーミング行為を 証明できるように、仮にセンターがｕ_iを知らなくてもそうであることを意味し ている。この問題は、オフラインキャッシュシステムについて詳しく述べた次の 章で触れる。） これに関しては、第一（又は、第二）のフローチャートの第二番目のボックス の中に、署名が両方の数に対応するように、ユーザーがハッシュ関数（ボックス ２２の第六番行）に余分な数を供給することが要求されている。 Ａはユーザーが自身の資格認証を更新する数、及び特定の資格認証の所有を提 示するために、彼は特定のベクトルに関するＡの表現の知識を証明できなければ ならない、そしてボックス２２の中で彼は、同一ベクトルに関してランダムに選 ばれた表現を知るように数Ｂを選択しなければならないものと想定する。Ａ及び Ｂを使って、第４番目のフローチャート（図５）に記載の表現の知識の証明を、 彼は実行する。 もし、ユーザーが、署名プロトコル中に加わっている時に、ベクトル（Ｙ₁,.. .,Ｙ_k；ν）より成る、数のベクトルに関して知らなければ、彼は証明を行うで あろうし、また彼は、（Ｙ₁,...,Ｙ_k；ν）に関するＢの表現を知るのと同様の 方法で、Ｂを生成できる。また、このことより、彼はこのベクトル中の数から成 るベクトルに関するＢのいかなる表現も簡単に決定する事ができる。 表現の知識を証明するためには、プロトコルを実行する度に、同じＢを使用し なければならないので、（異なるチャレンジの為）同じ資格認証を二度提示する ことによって、証明の二つの写しより、Ｕ_iを計算することが可能となる。 （３）資格認証はｋ回提示される。地下鉄の切符やテレフォンカードと言った事 例が思い浮かべられる。地下鉄を１５回利用できる切符は、１５回提示されるク ーポンである。 この種の資格認証が一つの組織に提示されるだけと言う特殊なケースに於いて は、（２）で述べたのと同じ方法で十分である。 資格認証がｋ回以上提示されるという一般的なケースでは、一回だけ提示され る資格認証の処理で述べられた一般的技法を少し修正すれば、用いることができ る。すなわち、第一（または、第二の）フローチャートの第二のボックスの第六 行目に於いて、ユーザーは更に、数Ｂ_iをハッシュ関数Ｈｋに、彼がＡの表現を 知らなければならないことに関するベクトルと同じベクトルに関する（ランダム に選択された）を、各Ｂ_iについて知るように、「供給」する。 Ａが第ｉ回目に特定の資格認証を「含む」プロトコルを、ユーザーが実行する とき、彼はＡとＢ_iを用いる表現の知識（図５）を証明するためのプロトコルを 実行する。（この技法は、ｋ回使われたコインを作り出すための次の章に於ける オフラインキャッシュシステム中で用いられる。） ４．７ 資格認証としての基本数のべき 現在に至るまで、基本数Ｙ_iだけが資格認証タイプを表してきた。新しい機構 に於いては、公知のベクトル（Ｙ₁,...,Ｙ_k；ν）から数Ｙ_iのべきを使用するこ とは大いにあり得ることである。Ｙ_iの異なるべきは、例えば、異なるタイプの 資格認証を表現したり、或いは資格認証タイプｉのもっと詳細な仕様を表現する 。べきの特別な使用としては、それらを「カウンター」として用いることである 。 例えば、ｋ種のタイプの資格認証の集合から一つの資格認証タイプを使用する よりも多くは、決して提示しないと言う極端な例に於いて、カウンターは（Ｙ₁, ...，Ｙ_k）の代わりに公知のＹ₁を作ることによって十分である。資格認証タイ プ１はＹ₁ ¹によって表現される。もしユーザ−ｉが、例えば、仮り名Ｐ_ijを有し て Ｙ₁ ³ｓ^νとして書く方法を知っている）ことを証明できることを望むのであれば 、彼は（ｍ/Ｐ_ij）Ｙ₁ ³のｎの第ν番目のモジュロの知識を証明しなければなら ない。 一般的に、両方の技法（異なるＹ_i及びべき）は、非常に良く組み合わせるこ とができ、それについては様々な例を用いて簡単に説明してある。 ４．８ ネガティブ資格認証、ポジティブ資格認証 ポジティブ資格認証は、例えば卒業証書のように、ユーザーが所有したがるよ な資格認証である。ネガティブ資格認証は、ユーザーが提示したがらない資格認 証である。明らかに、資格認証はある時はポジティブであり、別の場合はネガテ ィブでり、そして、これはユーザーによっても異なる。多分、犯罪記録は、犯罪 組織に参加する事に興味を持っている者には、良い印象を与える。 以前述べたように、ｍは、ユーザ−ｉが自分の資格認証を集め（保持し）てい る数であると想定する。明確にするため、ユーザーがその組織での仮り名を有し ているかに関わらず、ユーザーは組織に対して資格認証の所有を証明できなけれ ばならないものと想定する。当技法に習熟したものであれば、既に述べた状況に 対しても本技法を適応できる。 Ｙ_jで表現されるポジティブタイプｊに関して、ｉは、Ｙ_jが現れないベクトル に関するｍ/Ｙ_jの表現の知識を証明しなければならない。Ｙ_jのべき及び積につ いても、一般的に、同様である。もし、仮に、ｉがＹ₁ ¹⁰、Ｙ₃ ²⁰、及びＹ₆ ³を所 有していることを提示することを望めば、彼は数Ｙ₁、Ｙ₃、及びＹ₆のいずれも が現れないベクトルに関するｍ/（Ｙ₁ ¹⁰Ｙ₃ ²⁰Ｙ₆ ³）の表現の知識を証明しなけ ればならない。ｉが証明できないような場合には、安全の為に、ｉは少なくとも これらの資格認証を所有していないものと想定される。 Ｙ_iに対応する特定のネガティブ資格認証を所有していないことを証明するた めに、ｉは、Ｙ_jが現れないベクトルに関する表現の知識を証明しなければなら ない。もし、ｉが、三つの資格認証Ｙ₃、Ｙ₅、及びＹ₇に対応する資格認証のど れも所有していないことを証明する事を望むのであれば、彼はこれら三つの数の いずれも現れないベクトルに関するｍの表現の知識を証明しなければならない。 もし、彼がこの証明をできない場合には、安全のため、ｉは、これら三つのネガ ティブ資格認証の内少なくとも一つを所有しているものとする。 資格認証が嘗てインストールされなかったｍの旧バージョンを使うことによっ て、勿論、ユーザーは、特定のネガティブ資格認証を有することを表さないこと もできる。この為に、彼は勿論、ｍの旧バージョンに対応する署名を予め消去し てしまう必要は無い。そのような乱用は、例えば、追加の改竄不正使用に抗する 防止計算装置をユーザーに供給することによって、防止することができる。この 問題は、すぐに、また説明する。そして、詳細な例が次の章で説明される。 ４．９ 資格認証間の直線関係 を知っている。そして、彼は、例えば、ａ₂モジュロνが１７ａ₁＋１３に等しい ことを証明することを望んでいる（しかし、ａ₁及びａ₂の実際の値を明らかにす ることを望んでいない）と想定する。彼は、積Ｙ₁Ｙ₂ ¹⁷が現れるベクトルに関す る商の表現の知識を証明しなければならない。もし、彼がａ₁＋ａ₂モジュロνが ａ₃ ｍｏｄ νに等しいことを証明できることを望んでいる場合、彼は、積（Ｙ₁ Ｙ₃）及び（Ｙ₂ ^νＹ₃）が現れるベクトルに関するｍの表現を知らねばならない 。 最後の例について説明する。この例は、当業の通常の技法に習熟した者であれ ば、本技法を他の式に応用するに、十分開示されている。２ａ₁＋２ａ₂＋３ａ₃ ＝ａ−５ ｍｏｄ νであることを証明できる為には、彼は、（Ｙ₁Ｙ₄ ²）、（Ｙ₂ Ｙ₄ ²）、及び（Ｙ₄ ³）の全てが現れるベクトルに関してｍ/Ｙ₄ ⁵の表現を知らな ければならない。 当業の通常の技法に習熟した者であれば、本技法によって、同様に、いかなる 直線関係を証明できることは明白である。 直線関係はモジュロνによって証明されている。νは大きく（例えば、実際上 １２８ビット）なければ成らないので、これは実用上の目的の為には、整数間で の直線関係を証明する事を意味する。このことは、べき指数が意図モジュロνの みを有していると言う事実より明白である。なお、Ｙ_iは証明パーティによって 乗算されてｍになり、そして、数Ｙ_iのべきはνと較べて非常に小さい。 次の章では、上記技法の特別な例について説明する。 ４．１０ ｋ個の規定された資格認証の内１個の所有を証明する ｋ個の資格認証の内少なくとも、例えば、（Ｙ₁,...,Ｙ_k）に対応する１個、 を任意に有していることを証明することを望んでいると想定する。商Ｙ₁/Ｙ_k,Ｙ₂ /Ｙ_k、...、及びＹ_k-1のそれぞれが現れるベクトルに関するｍ/Ｙ_k ^lの表現の知 識を証明しなければならない。 て実際に書けることを証明する。もし、ａ_iの値が１或は０だけであれば、同じ Ｙ_iを二度乗算してｍにしていないことを証明パーティは確認するので、ｋ個の 数ａ_iの内１個は、値１を有しており、そしてモジュロν演算子は実際問題とな らないことを、証明能力が正確に証明する。 この技法の特別なケースは、「排他的論理和」資格認証である。そのような資 格認証をもって、正に二つの資格認証の内一つを持っていることを証明する。例 えばＹ₁及びＹ₂に対応する場合、商Ｙ₁/Ｙ₂を有するベクトルに関するｍ/Ｙ₂の 表現の知識を証明しなければならない。 ４．１１ 所有しているかどうかを明かにしたくない資格認証 体表的な例を用いて、本技法について最善と思えるものを説明する。ｉは、ｍ 中に「含まれている」特定の資格認証の証明を行うのであって、いかなる場合で も、彼が資格認証Ｙ₃、Ｙ₄、Ｙ₅を所有しているかどうかを明らかにしたくない 時には、行わない。この場合、彼は数Ｙ₃、Ｙ₄、Ｙ₅のそれぞれが現れるベクト ルに関する表現の知識の証明を行わなければならない。 彼が、数Ｙ₃、Ｙ₄、Ｙ₅の全体を所有しているかどうかを秘密にしておきたけ れば、積Ｙ₃Ｙ₄Ｙ₅が現れるベクトルに関する証明を行えば十分である。 当業に普通に習熟している者にとっては、他の資格認証を表に現さないように するために、本技法をどの様に採用すれば良いかは十分明白である。事実、本技 法を用いたその他の状況が簡単に説明されている。 ４．１２ ユーザーの計算機に埋め込まれた、改竄防止計算装置による特別保障 従来技法に於いて知られた資格認証機構に於いて、計算装置は完全にユーザー の制御下にある。それゆえ、ユーザーは、彼の望むいかなる組織にも資格認証を 提示することができる、そして多分（犯罪記録のような）ネガティブ資格認証を 破壊することさえできる。ユーザーの計算機に埋め込まれた追加の不正変更防止 計算装置（次の章で述べられるオフライン電子キャッシュシステムの「バンクモ ジュール」と呼ばれている）を用いて、証明パーティは、ユーザーが自身の資格 認証を用いている方法を超えて、良く制御していることを確認できる。この考え は、それ自身が、従来技法に於いて十分知られているが、従来技法で知られた資 格認証機構と合同した従来技法に於いては、構造については何も提案されていな い。 新しい特許性のある発想を用いて、そのような装置を効果的に、且つ安全に組 み込むことができる。これに関して、彼が署名を有しているところの数ｍをユー ザーが知るところの表現の知識が埋め込まれモジュールと分け合っていることに 気をつけなければならない。つまり、全体として、ユーザーモジュールと埋め込 まれたモジュールがｍの表現をしている。もし、ユーザーが、特定の資格認証を 所有していることを証明すること（その為には、適当なベクトルに関するｍの表 現の知識の証明がされねばならない）を望めば、必然的に埋め込まれたモジュー ルと協力して証明がなされねばならない。 これは、例えば、以下のような方法で実現できる。既に述べたように、数ｍに 「含まれた」彼の資格認証について、ユーザーが何か証明する度に、署名と多分 ｍ自身が、制限されたブラインド署名プロトコルによって「更新」される。第一 実施例に適した制限されたブラインド署名プロトコルを用いることができるのが 分かる。このような場合、同じ署名に関する数ｍに含まれる資格認証を提示する ために、プロトコルを一回だけ実行するのを、改竄防止計算機が補助することで 十分である。ｍの表現（ａ₁,...,ａ_k；ｓ）中の数ａ_iの少なくとも一つの為に、 改竄防止計算機が０_i∈Ｚ_ν（この数は、ユーザーに知られていてはならない） を知り、ユーザーの計算機がｘ_i∈Ｚ_νを知り、ａ₁＝０_i＋ｘ_i ｍｏｄ νである 。多分、ｓの知識は分け合うことができる。 表現の知識が二つの計算機によって分け合うことができるような、二つの（極 端な）方法があることは、当業技法に通常に習熟した者にとっては明白なことで ある。第一には、特定の数がそのような装置の一方にだけ知られている、そして 別のが他方の装置に知られている。第二には、各数が二つの数の合計（または積 ）として用いられる、そして、これら二つの因子の内一つを、計算機のそれぞれ が正確に知っている。これら二つの方法は、勿論、組み合わせて使うことができ る。 一般に、ｍ＝ｍ₁ｍ₂が採用されるべきであり、そして改竄防止計算機はｍ₁の 表現を知る（そしてｍ₂を知ってはならない）唯一のものである。これにより、 ユーザー自身はｍの表現を知らず、そしてそれ故に、ユーザーは改竄防止計算機 の補助を必要とする。 この補助は、常に以下の技法にて実現される。改竄防止計算機は、ユーザーモ ジュールに、ｍ_iの表現を知っていることを証明する。そして、そのようにして 、証明が二段階に分けられる。制限されたブラインド署名プロトコルの間に、最 初の転送が行われる。そして、ｍの特定の表現の知識がユーザーによって組織に 証明されるプロトコルの間に、他の二つの転送（チャレンジと対応する応答）が 行われる。この新しい技法は、次の章で、オフライン電子キャシュシステムに関 連した例に基づいて、詳しく説明される。 当業に普通に習熟している者にとっては、二台以上の計算機が用いられる場合 には、本技法に若干の修正を加えて一般化することは明白である。 ４．１３ 別のｍに含まれた資格認証間の関係 もし、資格認証が「互いに属す」各範疇が、自身の数ｍ_iに集められ、そして 保持されいる場合、同じベクトル（Ｙ₁,...，Ｙ_k；ν）に関する異なるｍ_iに対 する表現をなお考慮することができる。そのようにしている間、Ｙ_kが資格認証 の範疇毎に別のものである場合にのみ、コンベンションとして扱われる。そして 、Ｙ_kはどんな範疇の資格認証が含まれているのかを示す。特定のベクトルに関 する表現の知識の証明を実行中に、それと同時に、正しいＹ_kが含まれているこ とを証明しなければ成らない。 例えば、或る個人がｍ₂中の金に関係する自分の資格認証及び、ｍ₁中のチェス に関連する資格認証を集めるものと想定する。Ｙ₁の指数は、ｍ₁の場合のＥＬＯ レーティングを示す、そしてｍ₂の場合のＹ₁指数は月収入の高を示す。明らかに 、個人で、チェス連盟に、ｍ₂を用いて、自分が２８００のＥＬＯレーティング を持っていることを証明することは（事実、２８００の月収入であるにも関わら ず）不可能である。チェス資格認証としてＹ_k1を、そして収入資格認証としてＹ_k2 を提示して、確認する事によって、そのような事態を防ぐことができる。チェ スの目的の為にｍ₂に含まれる特定の資格認証を提示し、適当なベクトルに関す るｍ₂/Ｙ_k1の表現の知識を、ユーザーは証明しなくてはならない。彼はこの数が 現れるベクトルに関する表現ｍ₂を知らないので、彼はこれを行うことができな い。 他のＹ_iがｍ₁とｍ₂の両方に対して同じであるので、ｍ₁とｍ₂の積或は商を用 いて、チェス資格認証及び収入資格認証間の関係を証明することができる。例え ば、ユーザーが自分の月収入がＥＬＯレーティングを５００超えていることを証 明する事を望むとする。既に説明した全ての技法を、様々なｍの商及び積に適応 できる。この技法について、例を用いて簡単に説明する。 同様に、異なるユーザー達は、彼らの資格認証の全体が特定の基準に合致する ことを共に証明できる。例えば、彼らは、グループとして特定の資格認証を有し ていることを証明できる。さらに、集合仮り名、つまり個々のパーティはその集 合仮り名の表現を知らない、を認めることができる。集合仮り名は、例えば、個 々の仮り名の積であり得る。 これらの技法については、オフライン電子キャッシュシステムに関する章で、 詳しく説明する。ここに説明した技法は、多くの組み合わせが可能であり、それ は当業技法に通常に習熟した者にとっては明白である。 ４．１４ 新機構に於ける資格認証に関する更なる技法 当業技法に通常に習熟した者にとっては明白であるが、既に述べてきた技法は 、以下に述べる本発明技法の核から逸脱することなく、非常に多くの変形が可能 である。核とは、特定のベクトルに関する特定の数（デジタル署名を有すること に対応する）を知るユーザーの表現手段によって、ユーザーの資格認証が表現さ れる。ユーザーが証明を実行できる数の機能、及びユーザーが所有している資格 認証を示す証明ができることに関するベクトル、或いはそれらの間の特定の関係 。 主眼点を説明するために、それらの変形のうち数種について述べる。 特別に指名された数Ｙ_kは、例えば、ｍ中の資格認証の数、或いは期限満了日 に対するカウンターの役割を実行する。証明パーティの役割に於けるセンター（ 組織の要求に基づいて、その後に、署名をすべて計算する）が、数Ｙ_k（或いは 、それらのべき）によって署名を計算する前に符号化するよう要求され、そして 、各数を乗算できる。 組織は、資格認証を割り出す（資格認証を壊してしまう）ことができる。これ は、例えば、表現の長さが成長するのを常に防止するのに用いることができる。 資格認証は有しているがタイプ２の資格認証は有していない場合には、特定の組 織はタイプ７の資格認証のみを提供するものと想定する。ユーザーｉは最初に、 組織に対して彼がこの要求に合致するタイプ１及び５の資格認証を所有している が、２は有しないことを、証明しなければならないだろう。既に述べた技法によ って成される。すなわち、ｍＹ₇/（Ｙ₁Ｙ₅）が入力とされる制限されたブライン ド署名プロトコルに於いて組織はエンゲージする。特定の数ｔ∈Ｚ_n ^*に対して、 していることを証明すれば十分である。何故ならば、これによって彼は資格認証 タイプ１及び５を有する（２は有しない）ことを意味するからである。このよう にして、「要約」資格認証を得ることができる。 二つの異なるベクトルのうち少なくとも一つに関する表現の知識を証明するこ とによって、例えば、資格認証タイプｋ或いは１を所有していることを、この二 つのベクトルのうちどちらを知っているかについて明らかにせずに、証明できる 。 一つの数ｍ（署名を有する）中に資格認証を集める付加的な利点は、ポジティ ブ及びネガティブの資格認証が全て互いにリンクされることである。既に述べた ように、潜在的危険性は、ネガティブの資格認証を提示したくないユーザーが初 期のバージョンのｍ（対応する署名と共に）を用いようとすることである。改竄 防止計算機を用いて、ｍの表現の部分を制御し（つまり、要求されたベクトルに 関する表現をユーザーモジュール自身が知らない）、そして、（既に説明したよ うに）ｍの表現の知識の証明に関する署名毎に一度だけ補助することによって、 問題が大部分解消する。つまり、特定のネガティブ資格認証が未だインストール されていない数ｍの初期のバージョンを使用することをユーザーが望む場合には 、改竄防止装置は協働しないので、彼は表現の知識の証明を実行できない。ポジ ティブ及びネガティブの資格認証はｍ内で互いにリンクされているので、彼はも はや、ポジティブ資格認証を含む自身の他の資格認証を提示できないことを意味 する。これ故に、このようにして欺くためには、ユーザーは改竄防止計算機の記 憶内容を抽出できなればならなくなる。改竄防止をそれ自身で破壊するのは、非 常に困難な仕事である。各署名がｍに基づく代わりに、一組（ｍ、Ｂ）に基づく ように要求することによって、既に説明したように、数ｍを一度だけ使用するこ とができる。それを証明で二度用いることによって、ユーザーの身元が暴露され る。このようにして、仮にユーザーが改竄防止装置の内容を抽出できたとしても 、彼が同じｍに対する証明を実行したかどうかの事実の後でも、なお、彼は確認 される。明らかに、センターは証明が行われる全ての数ｍを保存しなければなら ない、そしてユーザーが組織に対して行う証明は、「符号化証明」タイプでなけ ればならない。次の章で述べているキャッシュシステムは、この技法を広範囲に 使用している。 その他の注意事項は、センターのべきに関連し、それは全ての証明に間接的に 影響を与える。（説明したように、実際に一つの証明パーティが存在する。もし 、 組織が特定のユーザーに対して証明された数ｆ(ｍ)を有することを望めば、セン ターにそのようにする事を要求する）。それが何を証明したかをセンターが知る ことを防ぐ為に、組織はｆ(ｍ)γ^νを証明できる、なおγ∈Ｚ_n ^*は乱数である。 図２のフローチャートの第３番目のボックスに於いて、組織はセンターの数ｂを 受け取り、それをユーザーに送出する前に、最初に、γ^c ｍｏｄ ｎをそれより 「剥ぎ」とる（図２の場合、第二実施例に適した他の制限されたブラインド署名 プロトコルが用いられた時に、同様のものが保持する）。更に、図２及び３に於 いて、署名が任意の数に基づいて作り出される、しかしこれらの数表現を知るこ とはない。このようにして、実際に実行された証明の数を、組織が隠すことがで きる。仮にセンターが更に対応する署名の受領を常に希望した（何故なら、組織 はｍの表現を知っているとは考えられないからである）としても、組織は証明に 関する「ダミー」数ｍをセンターに差し出す。他の方法は、「閾値」スキームを 用いて、制限されたブラインド署名プロトコルに於けるＰの役割を果たす為に、 少なくともｋ台の計算機の内１が協働しなくてはならないことを保証する。この ようにして、センターのべきを分散させることができる。ユーザーは、同一のＹ それぞれ別の範疇の資格認証を証明する多数のセンターがある。各センターは、 異なる計数ｎを用いる。 既に述べた技法は全て、簡単に組み合わせることができる。様々な例について は既に説明されており、また他の例についても簡単に説明する。本出願の記述を 研究することにより、新技法を様々に組み合わせて用いることは、当業技法に通 常に習熟した者であれば容易である。 ４．１５ 実施 実施の効率について若干述べる。ユーザーの計算機に於いて、数Ｙ、（Ｙ₁,.. .,Ｙ_k；ν）、Ｘ及びｎが、不揮発性メモリに保存されねばならない。しかしな がらセンターは、単純で、公知の関数ｆ(withＹ＝Ｙ₀)及び無作為に選んだＹ₀に 関する回帰関数Ｙ_i+1＝ｆ（Ｙ_i）に基づいて、これらの数を発生することができ る。 例えば、Ｙ_i+1＝Ｙ_i＋１ ｍｏｄ ｎ。この場合、ユーザーモジュールは、（ｎ、 ν、Ｘ、Ｙ）を保存する必要があるだけである。明らかに、ＸをＹ_k+1に等しく とることにより、Ｘを保存することを防止できる。 資格認証を保存するためには、ダイナミックメモリをそれほど必要としない。 ｍを知るところの表現だけが保存されなければならない（そして、勿論最後に受 領した署名も）。 既に述べたフローチャート（図２、３、及び４）のそれぞれの制限されたブラ インド署名プロトコルに於いて、第一の転送に対する要求（第一のボックスに規 定されている）が防止できる。この為に、証明パーティがユーザーに数ａ₁を供 給し、そしてａ_i＝ａ_i-1＋１ ｍｏｄ ｎが二つのパーティ間で第ｉ番目に実施さ れるプロトコルの一番目のボックスの中の数ａとして用いられる。明らかに、証 明パーティが多数のユーザーとプロトコルを実行するシステムに於いて、プロト コルを一つ以上実行するような場合には、一番目のボックスの中の同じ数ａは使 用されないように注意しないといけない。ユーザーｊは最初に、「登録」した時 、証明パーティはユーザーに、例えば、数ａ₁,_j＝ａ₁,_j-1＋１０⁷ ｍｏｄ ｎを 供給すると共に、ｊを有するプロトコルの第ｉ番目の実行に於いて、最初のボッ クスの中に、数ａ_i,_j＝ａ_i-1,_j＋１ ｍｏｄ ｎが用いられることに同意する。ユ ーザーはプロトコルを１０⁷回以上実行することはないと仮定すると、プロトコ ルの実行が異なる場合、ステップ１で同じ数ａが二度使われるような事態にはな り得ない。（この方法は、異なるユーザーにのみと言うよりも、異なる仮り名Ｐ_ij のそれぞれに対して行われるものである）。様々な他の回帰関係が、ここで述 べたものの代わりに用いることができることは、当業技法に通常に習熟したもの にとっては明らかである。 以下の二つ章に於いて、本技法を説明することによって、数種類のシステムが 説明されている。次の章では、特定の分野への適用について非常に詳しく述べて ある。 ４．１６ 例 （対応する署名を有する）数ｍは、チェスゲームに関する資格認証を保持する 為に使用されており、そして他の範疇の資格認証は別のｍ中に保持されていると 想定する。この場合、センターは、国単位のチェス連盟であろう。組織は、チェ スクラブ、スポンサー、チェス雑誌の発行者等からなるトーナメントの委員会で ある。国単位のチェス連盟は、制限されたブラインド署名及びＹを確かめる為に 必要な情報に加えて、公知のベクトル（Ｙ₁,...,Ｙ₅；ν）を有している。資格 認証Ｙ₁は個人がチェスをしているのかどうかを表現する。より具体的に言えば 、Ｙ₁に基づく指数は個人のＥＬＯレーティングを示している。 Ｙ₂に基づく指数は、個人が過去の年に何勝しているかを示し、そしてＹ₃に基 づく指数は、何敗しているかを示している。 資格認証Ｙ₄は、幾分複雑である。つまり、Ｙ₄は個人がナショナルチェスチャ ンピョンシップに参加したことを示す。そして、その指数は、個人が各チャンピ ョンシップで獲得したランクを示している。１から９までのランクからなる地位 の内、いずれかの一つの地位で終了すると想定すると、以下の如くコード化でき る。第ｉ番目のナショナルチャンピョンシップで、個人がｊの地位で終了した場 合、これはｊ・１０ⁱと表現される。（それ故、ゼロは不参加を意味する。）１ ０を底として（通常は、底は適当にとる；仮にｄ個の地位がある場合には、底ｄ ＋１が用いられる）、それぞれの歴史が一つの整数で表現することができる。 最終的に、資格認証Ｙ₅は、個人はかつて試合相手を虐待したことがあるかど うかを示している。 数ｍｉ（署名を有している）を有している。これは、彼がｍⁱの表現（ｕ_i，２３ ５０，１５０，１０，２４００，０；ｓ）を知っていると言うことである。これ は、ｉがＥＬＯレーティング２３５０を有しており、過去に１５０勝１０敗して おり、第３回ナショナルチャンピョンシップで第４位、その次は、第２位で終了 し、そして、試合相手を虐待したことがないことを意味している。 ｉが勝利したゲーム数は１５回であり、敗北したゲーム数を、そして彼は第３ 回及び第４回のナショナルチャンピョンシップで、それぞれ４位、２位であった が、彼は試合相手を虐待したことはないことを、箇々の数字は伏せたまま、証明 することを望んでいると想定する。彼は、自分のＥＬＯレーティングについて明 らかにすることは望んでいない。彼が仮り名Ｐ_ijを有しているいかなるチェス組 織ｊに対して証明できるはずである。 このためには、ｉはｍ_iに基づく署名を提示し、そして（Ｙ₁,Ｙ₂ ¹⁵Ｙ₃；ν） に関する指数（ｍ_i/Ｐ_ij）/Ｙ₄ ²⁴⁰⁰の表現の知識を（例えば、図５に示されたプ ロトコルを用いて）証明する。 今、ｉは第５回のナショナルチャンピョンシップに参加して、１６ゲーム全て に敗北し、その結果欲求不満になり、チャンピョンを虐待したと想定する。さら に、その結果、彼のＥＬＯレーティングは２５０ポイント下がったと想定する。 ｍ_i中の資格認証が以下の如く更新されるであろう。つまり、ＥＬＯレーティン グ２５０減、１６ゲーム敗北、第５回ナショナルチャンピョンシップに於いて９ 位で終了、試合相手を虐待となる。それ故に、組織委員会は制限されたブライン ド署名プロトコルに、ｍ_iＹ₁~²⁵⁰Ｙ₃ ¹⁶Ｙ₄ ⁹⁰⁰⁰⁰Ｙ₅を入力する。数ｍ_iはｉによ って、プロトコルによって、出力（単にｍ_iによって規定される）に、新しい署 名 _kを有していると想定する。彼らの平均ＥＬＯレーティングが正確に２３００で あることを、組織に知らせるために、ｉとｋは、彼らが共に（Ｙ,Ｙ₂,Ｙ₃,Ｙ₄, Ｙ₅；ν）に関する表現（ｍ_kｍ_i）/Ｙ₁ ⁴⁶⁰⁰を知っていると言うことを証明しな ければならない。もし、一方、彼らが組織ｊに対して、単にその組織での一つの 仮り名（或いは、一つの集合仮り名）を有していることを証明するのであれば、 彼らは、共に(Ｙ₂,Ｙ₃,Ｙ₄,Ｙ₅；ν)に関する(ｍ_kｍ_i/(Ｐ_ijＰ_kj))/Ｙ₁ ⁴⁶⁰⁰の表 現を知っていることを証明しなければならない（Ｐ_ijＰ_kjは集合仮り名と成り得 る）。両方のケースに於いて、彼らは自身の自由になる二つの技法を有している 。第一に、彼らの一人は他方の人が実際には何を証明しようとしているのか知ら ないで（プロトコルは、追加の改竄防止計算機を有した状況にある）、彼らは証 明することができる。第二に、彼らは互いに相手が何を証明しようとしているの かを 知っていることが問題にならない方法で証明できる。第二の場合、ｉとｋは、各 ステップで彼らが有している数を結合して、彼ら自身の証明に用いる。このプロ トコルは、第四のフローチャート（図５）の記述の後に、説明されている。 ４．１７ 第二の例：仮り名に基づくオフライン支払い 上述の技法を更に説明するために、ここに、安全且つ高度に効率的なオフライ ンキャシュシステムについて説明する。このシステムに於いては、ユーザーは、 それぞれが支払いを受けたい組織毎に異なる仮り名を有していると想定される。 もっと複雑なオフラインキャッシュシステムについては、次の章で述べる。 明確にするために、一つの金種のみを有するコインが発行されたと想定する。 このシステムはキャッシュシステムに言及するものであるが、資格認証をコイン とし、資格認証はクーポンであっても良い、または他の使い切りタイプの資格認 証であればなんでも良い。 準備。 準備に於いて、ユーザ−ｊは銀行で口座を開く。このために、彼（もし してこの数がｍ_iで示される。 ユーザ−ｉは、その銀行に関するバリデーションプロトコルを実行（図６のフ トコルは、ｉが組織用の仮り名を必要とする限り何度でも繰り返される。ｉが組 織ｊ用の仮り名の使用を望む場合には、彼はＰ_ij及び署名をｊに提示するばかり でなく、（Ｙ；ν）に関する表現Ｐ_ijの知識も証明しなければならない。もし、 ｊが容認すれば、銀行にコンタクトし、その仮り名が既に使用中で無いことの確 認を行う。もし、これが保持されれば、ｊはその数を仮り名として登録する。 コインの引き出し。 このためには、ｉ及び銀行は、ｍ_iを入力として用いて、 第一或いは第二のフローチャートを実行する。ちょうどこの時、ｉはどの銀行で コインを使ったかを知っていなければならない。彼はそれをｊで使うつもりだと 想定すると、彼はプロトコルによって、ｍ_iをＰ_ijに基づく署名（ｃ',ｂ'）に変 換する。このため、彼は第二のボックスの最初の行の数ｓ_jを使う。 コインでの支払い。 ユーザ−ｉは、Ｐ_ijに基づく署名（ｃ',ｂ'）をｊに送る 。組織ｊは、それがＰ_ijに基づく署名であり、以前に受領していない時には、こ の情報を支払いと認める。（一つの仮り名に対応する署名は非常に多い。そして 、ユーザーは毎回異なるものを受領することを引き出しプロトコル中で確認して いる）。署名は、ｉによって、仮り名Ｐ_ijを参照するデーターベースに記憶され る。 組織の口座クレジット。 ある程度、時間が経過すると、ｊはＰｉjに対応する 、受領署名の集合を銀行に送ることができる。銀行はそれらの署名の全てについ て、重複していないか、また既に「支払い済み」の署名が無いかを確認する。も し、有効であれば、銀行はｊの口座に支払う。 備考。 様々な金種のコイン（一般的に、異なるタイプのワンショウ(one-show) 資格認証）の発行を実現するために、銀行は公知のベクトル（Ｙ₁,...,Ｙ_k）を 作成する。Ｙ_lは金種タイプｌを示す。ユーザーiがタイプｌのコインの引き出し を望む場合、数ｍ_iＹ_lが入力とされる。支払い「プロトコル」に於いて、組織ｊ は、受領した情報がＰ_ijＹ_lに基づく署名であることを確認する。 金種を表現する別の方法に、公知の数Ｙ₁だけに基づく指数を用いるものがあ る。タイプｋを引き出す為のプロトコルへの入力は、ｍ_iＹ₁ ^kになる。支払いプ ロトコルに於いて、ｊは、受領した情報がＰ_ijＹ₁ ^kに基づく署名であることを確 認する。 次の章で、より複雑なキャッシュシステムについて述べる。つまり、受取人の 仮り名の有無に関わらず、ユーザーがどこでも支払えるものである。唯、一つの 仮り名の下でユーザーが支払うことができる上述のシステムは、非常に単純であ る。何故なら、コインが既に支払われたかについて、組織自身によって確認でき るからである。この理由により、署名を送ることが、支払う為の唯一の必要条件 である（チャレンジ及び応答は必要ない。） ５． オフライン電子キャッシュシステム 以下に説明するオフラインキャッシュシステムは、認証された情報のプライバ シイ保護転送用の有力な技術を説明する為に本願に記載された最も完全な１例で ある。 前に述べた技術の多くを、本システムと共に、再度詳細に説明する。 以下の説明には、第１のフローチャート（２図）よりの制限ブラインド署名プ ロトコル（restrictive blind signature protocol）を用いる。当業者に明らか な様に、他のどの様な制限ブラインド署名プロトコルでも（例えば、本明細書で 述べる他のプロトコルの１つ）代わりに用いることができる。その場合すべての プロトコルは、入力及び出力に関して知られる表現に存する特定の関係によって のみ、いくつかの小さい修正を必要とするにすぎない。 ５．１ 基本システム システムの設定：システムが使用される前に、Ｂは、次のような数を発生する 。 １．２つの大きな素数p,q。 pとqの積nは、Ｂにより分かる。pとqを適切に選 定することは当技術に於いて公知である。 ２．ψ(n)に対し互いに素である大きな素数ν。Ｂはν^-1modλ(n)を計算する 。この数は、今後1/νとして表す。当技術で公知の様に、関数ψはオイラーのフ ァイ関数（phi-function）で、λは、カーマイケル（Carmichael）関数である。 ３．望ましくはオーダλ(n)である２つの異なる数Ｘ,Ｙ∈Ｚ_n ^*。 実際には、nはしばしば、少なくとも５１２ビットとされ、νは例えば、１２ ８ビットとされる。この特別のシステムでは、好ましいと思われるが、νを素数 とするとの条件は必要ではない。コンポジット（composite）νを用いた場合必 要な改作を行う方法は当業者に明らかであろう。 Ｂは又、２つの「無衝突(collision-free)」ハッシュ関数ＨとＨ₀選択する。 ここで、Ｈは、Ｚ_n ^*よりＺ_νの３つの数よりなるアーギュメント（argument）を 写像し、例えば、Ｈ₀はＺ_n ^*×Ｚ_n ^*×ショップ−ＩＤ×デート／タイムからＺ_ν への４つの数のベクトルよりなるアーギュメントを写像する。Ｒに、Ｈへ、第６ 行目の特別な数を供給させることにより署名が１対の数に対応するという相違点 はあるが、関数Ｈは、第１のフローチャート（２図）について詳述した様に用い られる。この様な使用方法は、第１のフローチャートを記載した後で説明されて いる。 関数Ｈ₀は、支払いプロトコルのショップがどの様にチャレンジ（challenge） を発生すべきかを特定する。上記のＨ₀の特定フォーマットは、各ショップＳが 、少なくともＳ自身及びＢに知られるべき独特の識別ナンバーＩ_sを有するもの と仮定している。それは、例えば、ＢでのＳの口座番号であってもよい。その場 合、ショップ−ＩＤは、ショップの、全ての可能性のある口座番号の１組を示す 。セットデート／タイムは、日付及び時間を示す数よりなっている。支払処理に おいて、Ｓは、このセットから、処理の日付と時間を表す数を選ぶ必要がある。 当業者に明らかな様に、このκ₀のフォーマットは１例にすぎない。支払写本（p ayment transcript）の偽造を防止する為に少なくともＡとＢの両方ともアーギ ュメント（argument）に入っているべきであるが、他のフォーマットも代わりに 用いることができる（例えば、Ｓは、追加してランダムに選んだ数を、Ｈ₀に供 給することができ、又、Ｕの署名は、アーギュメント（argument）の１部と考え てもよい）。 Ｂは、（Ｘ,Ｙ，ν,n）とＨ，Ｈ₀の記載を公知とする。nの素因数分解（prime factorization）は、Ｂの秘密のキーである。基本システムと第１の延長部（追 加のいたずら防止計算システム）において、Ｂは原則として、プロトコルを適切 に実施する為の秘密キーとしてＸ^1/νとＹ^1/νを知る必要があるのみである。こ れを実現する方法は、すでに第１のフローチャートの説明の後で示した。 Ｚ_n ^*×Ｚ_n ^*でのペア（Ａ,Ｂ）におけるＢのディジタル署名は、検算関係c＝Ｈ (Ａ,Ｂ,b^ν(ＸＡ)^-c)が保たれる様にＺ_ν×Ｚ_n ^*の対（c,b）からなっている（第 １のフローチャートの記載で説明した様に、これは、署名として（a,b）を用い ることに相当する）。 Ｂは又、口座所有者に関する関連情報を記憶する為にそれ自体の使用の為のデ ータベース（名前，住所等の形での識別関係情報等）と、預金プロトコルとして 、 ショップによりＢに送られる情報の関係部分を記憶する為のデータベースとを設 ける。 明らかに、一般に知られている情報は、口座所有者の計算装置のソフトウエア に組みこまれるであろう（又は、例えばＲＯＭ等のハードウエアに）。 Ｂとの取り引きの開始：Ｂと取り引きを開始する為には、Ｕは先ず、自分自身 を確認する必要がある（例えば、パスポートを用いて）。Ｂは、Ｚ_νでの数Ｕ_i と共に確認関係の情報（名前，住所等）を登録する。Ｂは、数が各口座所有者毎 に異なる様に、この数を選ぶ。もし、Ｕが同じコインを何回も使って、「いかさ ま」をする時は、ＢはＵ_iを計算することができる。これは、その段階で登録さ れるので、ＢはＵが２重使用者（double spender）であることを知り代金を請求 する 今度は７図を参照して、コインに対するＵとＢ間の引き出しプロトコルのフロー チャートを以下に詳述する。 ボックス７１は、Ｂが、次にＵに送る乱数a∈_R Ｚ_n ^*を発生するのを示してい る。 ボックス７２は、ボックス２２と殆ど同様である。唯一の違いは、数m'が、こ こではＡで表され、追加の数Ｂが発生される点である。これは、第３，４，５の 行に特定した様に、２つの追加乱数を発生することによりなされる。この数は、 又、Ｈのアーギュメント（argument）にも含まれている。 Ｕにより行われる他の動作についてボックス２２を参照する。ブラインデッド チャレンジ（blinded challenge）cがＢへ送られる点に注意する必要がある。 ボックス７３は、ボックス２３と同様である。同様に、ボックス７４でＵによ り行われた動作は、ボックス２４でＲにより行われる動作と同じである。 Ｂが、Ｕの借方に、引き出されたコインの値を記入している点は表示されない 。これは、フローチャート内の動作に無関係に、いつでも行うことができる。 両者がフローチャートにより特定されるプロトコルに従うものとすると、Ｕは に等しいという様に５つの数を自分の自由処理とする。 支払いプロトコル：図８を参照して、ＵとＳとの間の支払いプロトコルのフロ ーチャートについて詳述する。 ボックス８１は、Ｕが、引き出しプロトコルで得た（Ａ,Ｂ）と署名（c',b'） をＳに送るのを示している。 ボックス８２は、Ｓが、日/時が処理の日付けと時間に示す数の場合、ハッシ ュ関数Ｈ₀の下で（Ａ,Ｂ,Ｉ_s,date/time）のイメージとしてチャレンジdを計算 することを示している。 ボックス８３の初めの２行は、Ｕが２つの応答γ₁とγ₂を計算する方法を示し ている。Ｕは、これらの応答をＳに送る。 ボックス８４の第１の行は、Ｓが、Ｕによりボックス８１に送られた署名の正 しさをテストするのを示す。次の行は、どの様にしてＳが、ボックス８３でＵに より送られた応答が正しいか否かをテストするかを示している。 これにより了解される様に、Ｕは、クロックへのアクセスを有すれば、自分で ステップ２のチャレンジdを計算し、又、自分でＳのＩ_sを調べることができる。 預け入れプロトコル：次に、預け入れプロトコルを説明する。必要とされる相 互作用がないので、図は省略する。 例えば、その日の終りに、Ｓは（(Ａ,Ｂ),(c',b'),(γ₁,γ₂)）と処理の日付 ／時間よりなる「支払い写し」を、Ｂに送る。 Ｂは、Ａが、ショップにより以前に預け入れられたか否かを決定する為に、そ のデータベースを検索する。２つの場合が区別できる。 １．Ａが未だデータベースに入っていない。その場合は、ＢはＳのＩ_sを用い て数dを計算し、与えられた数は、処理の日付と時間を示す。次に、Ｂは、c'が る。両者の実証が正しければ、Ｂは、データベースにベクトル（Ａ,d,γ₁）を記 憶し、Ｓの貸方に、問題のコインの値を記入する。 ２．Ａがすでに、データベースに記憶されている。その場合は、詐欺行為が発 生する。もし、すでに記憶されている情報もＳにより与えられ、日付と時間が、 新しく与えられた支払写しのそれと等しい場合には、Ｓが、同じ写しに対し、２ 回クレジットを得ようとしていることになる。そうでない場合は、Ｂは数dを算 出し、最初の場合の様に２つの実証関係を確認する。 両方の立証が正しい場合、口座所有者が、同じコインで（少なくとも）２回支 払を行ったことになる。その場合、Ｂは、新しく呈出された支払い写しからの（ d,γ₁）と、すでに記憶されている（d',γ'₁）を自由処理することができる。そ の時、数(γ₁−γ'₁)/(d−d') mod νは、２重使用の口座所有者Ｕの「べき」指 数Ｕ_iとならねばならない。ここで、Ｂは詐偽者の同一性を決定し、適切なアク ションを取ることができる。 （註）当業者にとって、フローチャートは、表現上の知識と組み合せた制限ブラ インド署名の発明のコンセプトを用いることから逸脱することなしに、種々変形 可能なことが理解されるであろう。例えば、「無地」（blank）コインも使用で きることも公知である。これらは、一定した値を持っていない。使用者の計算装 置又は、その部品は、メモリへのアクセスを防止する為に、不正防止構造となっ ている。計算装置のカウンタは、その場合、使用者が無地コインを使った金額を たどる。金銭の引き出しや消費は、その場合、単にカウンタの日付を最新とする ことよりなる。使用者がカウンタに、いたずらした場合、彼は、後で立証される ことなしに何回も同じ金額を消費することはできない。 キャッシュシステムにおいて、前述の種々の技術を用いることは可能である。 用いることができる。その場合、数tは、例えば、コインが消費される特定の月 を表すこともできる。残りのプロトコルは、同じままである。t'により表される ある月に支払う為に、Ｕは、今度は、ただmのかわりに商m/Ｙ₁ ^tを用いて、上述 の支払いプロトコルにおけるのと同じ試験を行う必要があるが（その場合、彼は 、実際上、自分がＹ₁ ^tに対応する資格認証を有することを証明している）。もう 一つの可能性は、tがコインの値を表していることである。この様に、一般の資 格認証機構（credential mechanism）における様に、種々のＹ_i'^sとその「べき 」(p る。 実用上の実施においては、「真の乱」数のかわりに、しばしば、疑似乱数を用 いたい場合がある。例えば、Ｕは、係数νでパラメータ不明の線形調和ジェネレ ータ（linear congruential generator）を用い、Ｂは、恐らく例えば、ノイズ ジェネレータの出力と混合された（又は、ビット上排他的論理和（exclusive or ）暗号的に強力なジェネレータを用いる。 プロトコルを通じて、Ｈ(Ｂ)は適当なハッシュ関数Ｈとして、（恐らくは、す でに使用されているのと同じハッシュ関数）、Ｂのかわりに用いることができる ことに注目すべきである。ボックス７２の引き出しプロトコルでは、数Ｈ(Ｂ)は 、ハッシュ関数のアーギュメント（argument）として供給される。支払いプロト コルでは、Ｕは次に、Ｂ自体のかわりにＨの下のＢのイメージを送り、Ｓは、c' が いことを立証する。 更に（これが確実なことは余り明らかではないが）、支払いプロトコルにおい て、Ｓにより立証されるべき２つの立証関係は、１つの関係を他の関係に代入す ることにより１つにまとめることができる。 実用的に実施する場合、使用者に、引き出しプロトコルのステップ３の立証関 係をチェックさせないか、時々だけ、又は、後でのみチェックさせることにより 能率は向上される。同様に銀行は、２重使用を探知する為に、そのデータベース を介してサーチを行ったり、又、支払い写しを受け取る度毎にテストを行うかわ りに、時々のみ２重使用のテストを行う様にすることも可能である。 最後に、前のセクションで述べた様に、Ｕがその取引を開始した時に、銀行は 、数a₀に関してＵと取り決めを行うことができる。Ｕとの引き出しプロトコルの i回目の実施時に、例えば、ランダムに選んだaのかわりに、a＝a₀＋i mod nを用 いる。引き出しプロトコルは、その場合２つのステップを要するのみである。当 業者に明らかな様に、本システムは、支払のプライバシィを任意に選択できる様 に実施できる。即ち、Ｂがプライバシィを必要としない場合、全てのブラインデ ィングファクタ（blinding factor）は、一定の値にセットされる（望ましくは 、Ｚ_n ^*の数は、１に設定され、Ｚ_νの数は、ゼロに設定される）。その場合、 銀行はそれを計算できるので、引き出しプロトコルでの相互作用は必要とされな い。 明らかに、これらの全ての註は、以下に述べる全ての延長部にも、あてはまる ものである。 ５．２ 延長：使用者の計算装置に埋め込まれた追加のバンクモジュール 基本システムの可能性のある不利な点は、Ｂは、コインの２重使用を後になっ てからしか発見できないことである。Ｂが２重使用を前もって実行不可能（prio ri infeasible）にすることができることは、技術上よく知られている。この目 的の為に、Ｂの各口座所有者は、いたずら防止になっている、いわゆるバンクモ ジュールを受けとる。このバンクモジュールは、丁度使用者の計算装置の様に、 それ自身のメモリ（スマートカード(smartcard)等）を有する計算装置である。 そのいたずら防止性の為に、使用者自身の計算装置に反して、バンクモジュール の内容は、調べたり及び／又はコピーすることはできない。したがって、使用者 の計算装置は、バンクモジュールとの協働によってのみ処理を行うことができる ことになる。この為、バンクモジュールは２重使用には協働しないので、コイン の２重使用の事前制限が提供される。 使用者のプライバシィを保証する為に、バンクモジュールは使用者の計算装置 内に「埋め込む」必要があることが技術上知られている。又、プライバシィの各 種段階を保証する為にプロトコルに適合することを要する種々の基準も知られて いる。ここでは、延長説明は、プライバシィに対する全ての必要事項の最もきび しいものに基づいて述べられているので、例えバンクモジュールの不正防止性が 破壊しても、Ｂは、尚、後で２重使用者を確認できる（前記の様に）。即ち、バ ンクモジュールのいたずら防止性が破壊された場合でも、「安全ネット」が存在 する。当業者に明らかな様に、この様なシステムは先行技術では公知ではない。 明らかに、もし、それ程きびしくない条件で満足する場合は、技術の要点より 逸脱することなく多くの変形が可能である。これらの変形例は、当業者により、 本明細書中の説明及び多くの実施例より容易に導出できるものと考えられる。 システムの設定：これは、基本システムのそれと同じである。 Ｂとの取引開始：先ず、ＵとＢが、取引開始の為基本システムに述べた手順を 実行する。次に、Ｂは、ＵにバンクモジュールＯを与える。Ｏは、そのメモリに （例えばＲＯＭに）、Ｂがランダムに選んだＺ_n ^*の数o₁を記憶する。Ｂはこの数 をＵに知らせない。 る。事実上、mＡ_oを、ＢとのＯとＵの集合的の仮り名（pseudonym）と考えるこ とができる。 引き出しプロトコル：図９を参照して、Ｏにより助けられるＵとＢの間のコイ ンの引き出しプロトコルのフローチャートを詳細に説明する。 ボックス９１は、Ｚ_n ^*の乱数o₂を発生し、その第n乗「べき」モジュロnを算出 するＯを示す。次に、ＯはＢ_oで示されるこの数を、Ｕに送る。Ｏはこのステッ プを、ボックス９３で必要とされる前にいつでも行うことができる点に注目すべ きである。 ボックス９２は、ボックス７１と同じである。 ボックス９３もボックス７２と同様である。第２の行は、プロトコルへの入力 が、mとＡ_oの積であることを示し、ボックス７２と同様にＵにより見えなく（bl ind）されている。次の３行は、Ｕがどの様にＢを算出する必要があるかを特定 している。ボックス７２との違いは、Ｕが数Ａ_oとＢ_oとを、それと掛け合す必要 があることである。上記より了解される様に、さもなければ、支払いプロトコル のＯの助力は、Ｓにより期待される応答を計算するのにＵを助けることにはなら ないであろう。残りの行は、数aが見えなくされる方法及び、c'とcの構造を述べ ている。最後に、Ｕは見えなくしたチャレンジc（blinded challenge）をＢに送 る。 ボックス９４は、ボックス７３と同様であり、その違いは、第１行の指定にお いて、Ａ_oとmの積が、数mのみのかわりに用いられる点である。 ボックス９５は、ボックス７４と同様で、その相違点は、ボックス９４と同じ である。 Ｂが引き出されたコインの値を、Ｕの借り方に記入することは表されない。 支払いプロトコル：図１０を参照して、Ｏに助けられるＵとＳとの間の支払い プロトコルのフローチャートを詳述する。 ボックス１０１は、（Ａ，Ｂ）と署名を、Ｓに送るＵを示している。それは、 ボックス８１と同じである。 ボックス１０２は、チャレンジdを、Ｈ₀の下で（Ａ,Ｂ,Ｉ_s,date/time）のイ メージとして算出するＳを示している。Ｓはこの数をＵに送る。それは、ボック ス８２と同じである。 ボックス１０３は、どの様にしてＵが、ボックス９３で発生した数であるモジ ュロνを加えて、dを数d'として見えなくするかを示している。この見えなくし たチャレンジは、Ｏに送られる。 ボックス１０４は、Ｏが、前に特別のコインを使うのに助けとなったかどうか を立証することを特定する。そのボックスは、o₂が未だそのメモリに記憶されて いるかを立証することにより、これが、Ｏによりなされることを示す。当業者に 明らかな様に、Ｏは、実際には、１たび使ったo₂を消去する必要はない。第２の 行は、Ｏが、Ｕに送る、チャレンジd'への応答γ'₁を算出するのを示している。 次に、Ｏはメモリからo₂を消去するか、少なくとも、それがコインを消費するの に、かつて助力したことを示すフラグを設定する。 ボックス１０５は、ボックス８３と同様である。ボックス１０５の第１行はＵ がＯの応答を検査するのを示している。Ｏの応答が正しければ、Ｕは、dに対応 しＳにより期待され、第２と第３行により示される様にして、２つの応答γ₁と γ₂を算出する。第１の応答はボックス８３と同様に計算されるが、第２の応答 を算出する為に、Ｕは又、たった今Ｏにより送られた応答を利用する必要がある ことに注目すべきである。 ボックス１０６は、Ｓが署名の有効性と応答を検査することを示している。そ れは、ボックス８４と同じである。 基本システムに於ける様に、Ｕは、日付／時間とＩ_sへのアクセスがあれば、 自分でボックス１０２内のチャレンジを算出できる。 預け入れプロトコル：これは、基本システムで述べた手順と同様である。Ｂが 、コインが２重に使われたこと（そして、２重に使った者が、そのバンクモジュ ールの不正防止機能を破壊したこと）を発見した場合、Ｂは前の様に２重使用者 の口座番号Ｕ_iを算出し、その同一性を見出すことができる。 ５．３ 延長：多数回使用されるコイン 基本システムは、唯１度示される資格認証を使用する。前述の様に、k回示さ れる資格認証も使用することができる。基本システムの引き出しプロトコルのボ ックス７２の９行目では、Ｕは、Ｈ₀に１つの追加数Ｂではなく、k数Ｂ₁,...,Ｂ_k を供給すべきである。これらの数は、Ｂが各Ｂ_iに対しＺ_ν×Ｚ_n ^*のペア（x_i1, x ロトコルでは、Ｕは、ボックス８１において、全てのＢ_i'sを送って行かねばな らない。第i回目の支払いでは、Ｕは、ボックス８３で、数γ_i1＝dＵ_i＋x_i1 mod ので、例えば、Ｈ₀のチャレンジとして使われる様に要求することができる（勿 論、１回の支払いで、種々のこの様な「ユニティ(unities)」で支払うこともで きる）。 Ｂが、コインがk＋1回使用されたことを見出すと、彼は２つの個別の対（γ_i1 ,γ_i2）と（γ'_i1,γ'_i2）と、同じＢ_iに対して必然的に少なくとも２回行われ た支払い写しに含まれている対応チャレンジdとd'により、基本システムにおけ る様に２重使用者の数Ｕ_iを算出することができる。 支払いプロトコルの為にボックス８１で送られねばならないビット数を減じる 方法は、すでに述べた。Ｂ_iを使用するかわりに、Ｈの適切な選定の為にＨ(Ｂ_i) を用いることもできる。それは、Ｂ_i'のハッシュ値が、引き出しプロトコルのス テップ２でのハッシュ関数に対するチャレンジとして用いられることを意味し、 支払いプロトコルのステップ１で送られるのは、これらの数である。同様の他の 最良化の方法は、当業者には明らかである。 上記から理解される様に、プロトコルは、引き出しプロトコルでのＢの作動と 支払いプロトコルでのＳの作動は、基本システムにおけるのと同じ（不正防止部 はなしで）である様になっている。これは、本明細書に述べる全てのキャッシュ システムに当てはまる。これは、本システムを実施する時に明らかに利点となる 。ＵがＯを使うか否かは関係がない。しかし、Ｂが、引き出しプロトコルの入力 mを計算する方法に応じて、Ｂは、Ｕがそれを用いる必要があるかないかをコン トロールすることができる点に注目したい。 ５．４ 延長：ＢによるＵのでっちあげ（framing）に対する保護。 基本システムでは、ＢがＵのＵ_iを全てにわたって知っていたので、Ｕは、Ｂ が偽って彼を２重使用について告訴した場合、自分の潔白を証明できない。 この問題は、制限ブラインド署名技法（restrictive blind signature techni que）により容易に解決することができる。この目的の為に、Ｕが、Ｂとの取り 引きを開始した段階で、ＢではなくＵ自身が、数Ｕ_iを発生する。次いでＵはＩ それ以上の修正は、システムでは必要とされない。保安上の理由で、Ｕは、Ｕに ついて何ら他の情報を公表することなく、自分が、Ｉ＝Ｙ^uであり、Ｕ＜ν（ν よりゆるい上限も同様ではあるが）で、ある数Ｕ∈Ｚ_νを知っていることをＢに 証明すべきである。Ｕは、このことを唯１度行うことで充分である。 Ｕが２重使用を行った場合、Ｂは、支払い写しからＵ_i mod νを算出できる。 各口座所有者が、そのＩに対する「べき」指数Ｕがνより小さいことを証明して いるので、又、２重使用者のＩは算出できるので、これにより識別が可能となる 。 他方、偽って、２重使用に関してＵを告訴する為には、Ｂは、２重使用者の「 べき」指数Ｕ_iを示す必要がある（「審判官」(judge)がそれを求めるであろう） 。しかし、Ｕ_iを算出することは、実行不可能と考えられる作業である。 本技術は、Ｂの計算能力に無関係に、Ｂが使用者を、でっちあげる（frame） ことができないことを証明する為に、容易に修正できる。この目的の為に、プロ より決定され、Ｂはmのみを知っている。 当業者には明らかな様に、全てのブラインディング係数（blinding factor） を一定値に設定して、プライバシィを選択自由とするが（１は「基本」数、０は 「べき」指数で、Ｂはこれらの値を引き出しプロトコルに用いるので、相互作用 はない）、支払いプロトコルは修正しないのであれば、使用者は未だ計数的に、 ２重使用の告白に署名することになる。当技術の従来公知のシステムでは、それ らの充分追跡可能な変形例においても、「でっちあげ」をさせることに対する防 護策は設けられていなかった。 ５．５ 延長：電子的小切手 小切手を実現するには、mは先ず変数部分と乗算され、その結果が、引き出し プロトコルの入力として用いられる。上記は銀行により許可される時のみ行える ことに注意を要する。これは、既知の数の関数を、プロトコルの次の実施時の入 力として用いる為に、制限ブラインド署名プロトコルに適用可能の技術を説明し ている。 システムの設立：これは、基本システムに述べたものと同じで、相違点は、Ｂ が更に、公知のkを、更に大きい位数の乱数Ｙ₁,...,Ｙ_k∈Ｚ_n ^*（望ましくは、λ (n)）としている点である。これらのＹ_iは、異なる単位名を表している。 保安上の理由で、Ｂは基本システムにおけるものと異なるν（及び／又はn） を用いる必要がある。 Ｂとの取り引き開始：これは、基本システムと同じである。 引き出しプロトコル：図１１を参照して、ＵとＢとの間の小切手の引き出しプ ロトコルのフローチャートを以下に詳述する。 ボックス１１１は、Ｕが、自分が（Ｙ₁,...,Ｙ_k；ν）に対するそのランダム な提示が分かる様に数m₁を発生することを示している。Ｕはこの数をＢに送る。 ボックス１１２は、ボックス７１と同様で、Ｂは、再びＵの口座にm₁を登録す る。 ボックス１１３は、ボックス７２と同様である。第２と第８行において、mの かわりに積m₁mが用いられていることに注目を要する。他の唯一の相違は、第３ ，第４及び第５行で、Ｕは、単に２ではなく、k＋1の乱数を発生し、それらをす べてＢの算出に用いることである。 ボックス１１４は、ボックス７３と同様で、唯一の相違は単なるmのかわりに 、 m₁mが用いられていることである（そこで、これは、事実上プロトコルに対する 入力である。又、これは、ＵとＢが協働してプロトコルへの入力を決定する１例 であることに注目を要する）。 ボックス１１５は、ボックス７４と同様で、その相違点は、前のボックスと同 様である。 Ｂが、小切手が使われる最高額に対応する額を、Ｕの口座の借り方に記入する ことは示されない。 支払いプロトコル：図１２を参照して、ＵとＳとの間の小切手に対する支払い プロトコルのフローチャートを以下に詳述する。 ボックス１２１は、ボックス８１と同じである。Ｕは、引き出しプロトコルで 受け取られた、署名済の情報（小切手）を、Ｓに送る。Ｕは又Ｓに、自分が小切 手で支払いたい金額（最高額以下）を知らせることは表示されない。普遍性を失 うことなく、ＵはＹ₁,...,Ｙ_jに対応する額（1≦j≦k）を使うことを望んでいる と仮定する。 ボックス１２２は、ボックス８２と同じである。それは、どの様にしてＳが、 それがＵに送るチャレンジdを算出するかを特定する。 ボックス１２３は、ボックス８３と全く同様である。相違点は、Ｕが２つでは なく、Ｓに送られるk＋2応答を算出することである。このボックスは、どの様に して、Ｕがこれらの応答を計算すべきかを述べている。明確化：Ｕが使うことを 望んでいる全ての金種（Ｙ_iに対応）に対し、Ｙ_iの対応する２つの「べき」指数 （１つはＡで、他方はＢにある）が表示される。これは第２と第３行に特定され ている。前記の様に確認部(identity part)（Ｙに対応する）に対しては、線上 の１点が示されている。これは、第１の行に示されている。そこでＵは、第１の 「検査」で直接Ａに含まれる情報の部分を示すが、補足的な部分は示さない。他 の応答の計算は、実際には、単にＳが応答の正確さを証明するのに役立つのみで ある。明らかに、γ₁迄で、かつ、γ_jを含む「べき指数」は、かわって、ボック ス１２１に送られてもよい。 ボックス１２４は、Ｓの作用を示している。第１の行は、ボックス８４と同じ である。Ｓは署名の有効性を検査する。他の行は、Ｕの応答が正しいことを証明 する為に、Ｓにより与えられた検査を示す。両方の検査が正しければ、Ｓは、Ｕ がこのプロトコルで使った小切手の部分に対応するサービスを受け取り、かつ、 提供する。 預け入れプロトコル：前の様に、Ｓは支払い写しをＢへ送り、Ｂはそれが正し いことを確認する。その確認が正しく、同じＡを含む写しが、未だ預け入れデー タベースに登録されていないならば、Ｂは数（Ａ，γ₀,d）と、j迄とjを含むi＝ 1に対しγ_iも記憶する。Ｂは、小切手の使われた部分に対応する額を、Ｓの口座 の貸し方に記入する。 小切手が以前に使われている場合は、Ｂは、dとγ₀を用いて前の様に、２重使 用者の同一性Ｕ_i（identity）を計算する。 返済プロトコル：図１３を参照して、ＵとＢ間の返済プロトコルのフローチャ ートを詳細に説明する。 小切手の使われていない部分の返済を得る為に、ＵはＢに、問題の小切手に対 応する数m₁を知らせる。 ボックス１３１は、Ｂが、Ｕの口座情報と共にm₁が登録されていることを確認 することを示している。この場合においてのみ、プロトコルの残りが行われる。 明らかに分かる様に、Ｂにm₁を知らせるＵの部分が、ボックス１３２と結びつけ られている場合は、ボックス１３１は、ボックス１３３と結合してもよい。ボッ クス１３２は、Ｕが、j＜i≦kに対する数a_i、即ち、使われていない小切手の源 Ｙ_iに対応する「べき」指数を、Ｂに送っていることを示す。図１２にしたがっ て、これらは、最後のk−j項であると仮定する。ボックスは又Ｕに、（Ｙ₁,..., Ｙ_j；ν）に対する、そのランダムな表現が分かる様に数Ａを示す。明らかに、 これは、ボックス５１の作用と同様である（唯一の違いは、他のシンボルが用い られることである）。 ボックス１３３は、Ｂが、Ｕにより送られたＺ_νのk−j数のいずれもが、その 預け入れデータベースに入っていないのを確認することを示している。この場合 、 ることを証明する必要がある。図５のフローチャートに述べた特定のプロトコル は、図の明白化の為に用いられたものである。第３及び第４行が、実際は、ボッ クス５２と同じであることに注意を要す。 ボックス１３４は、ボックス５３と同様で、実際には、記号が異なるのみであ る。 最後に、ボックス１３５は、事実上ボックス５４と同じで、Ｂが確証を受けと るとm₁を消去し、ボックス１３２にＵにより送られた数a_iを記憶する点が追加さ れている。その場合、Ｂは又、Ｕの口座の貸し方に、小切手の使用されていない 部分に対応する額を記入することが示されていない。 ５．６ 延長：匿名の口座 今までの所、口座所有者のプライバシィは、その支払いに関するのみである（ それらは、追跡することができない）。それでも、Ｂは、その口座所有者の口座 の流入や流出や、所有金額を正確に知ることができる。しかし、これさえも防止 可能である。口座所有者は、架空の名前（本当の意味での仮り名）を用いて取り 引きを始めることができる。 匿名の口座を開始する為には、Ｂとの先行する制限ブラインド署名プロトコル 的の為に事実上、例えば、第１のフローチャート（図２）のプロトコルであった 認する為に前のセクションで説明したプロトコルそのものとなる。数Ｉは、基本 システムにおいて、mが行った役割を演じることになる。この「仮り名発行」プ ロトコルは、例えば、次の様にして実現できる。ＢはＵに対して、Ｚ_νで、独自 のランダム番号Ｕ_iを発生し、それをＵに送る。Ｕは前述の様にして、自分自身 を確認する。Ｂは、データベースに関係情報を記憶する。前記説明から当業者 より小である確証と共に）ことにより、でっちあげ（framing）に対し自分を保 護することさえできる。次に、第１のフローチャートで説明した制限ブラインド 確認された（Ｂの署名を伴う）Ｕの仮り名である。 Ｕがその取引を始める段階で、ＵはＩ及び署名をＢに送るが、自分自身は識別 しない。ＢはＩが識別されたことを確認するのみで、Ｕは、図５のフローチャー トで説明した様に、自分が（Ｙ；ν）に対するＩの呈示を知っていることを証明 する必要がある（この様に、Ｕはお金を引き出す必要がある場合は、後で口座の 所有権も立証することができる）。もし、Ｕが偽造した仮り名を用いても、とに かく引き出し情報で払出すことはできないので証拠となるものは事実上省略でき る点に注目を要す。 システムの残りの部分は前と同じである。もしＵが２重使用を行っても、Ｂは Ｕ_iを計算し、そして２重使用者の身元を算出できる（口座情報で、そのデータ ベースを探索することによってではなく、発行された仮り名についての情報で、 そのデータベースを探索することにより）。 この延長においては、一般の資格認定技術が次の様に適用される。銀行は、先 ず口座所有者iに対する仮り名Ｐ_iを選ぶ。この目的の為に、銀行はＵ_i∈Ｚ_ν ^*を 口座所有者は、次に、この仮り名を、銀行と匿名での取り引きを始めるのに使用 する。口座所有者が、コインを引き出したい場合、その関数を示すＰ_iは、コイ ン又は小切手への銀行とのプロトコルで口座所有者により見えなく（blind）さ れる。これは制限ブラインド署名の推移的（transitivity）性格を再度示すもの である。 第２の好ましい実施形態 ６ 序 第２の好ましい実施形態において、計算は、Ｇ_qと名付ける（乗法的に書かれ る）群においてなされる。この群は、ｑの数を含む（ここにｑは素数である）。 多くの種類のそのような群が知られている。たとえば、適当な選択は、Ｚ_p ^*の位 数ｑの一意部分群である（ここに、ｐは、ｑがｐ−１の約数であるような素数で ある）。他の選択は、たとえば、有限体での楕円曲線である。この理由のため、 Ｇ_qのための選択は、ここでは明示して説明されない。 る。モジュロｑの計算がなされる場合（たとえばｒ₁＝ｘ₁＋ｘ₂ｍｏｄ ｑにおい て）、モジュロ演算子は、明示される。元が群から選ばれる場合、これは最小の 正の代表(representative)であると暗黙に仮定される。同じことが、計算の結果 について成り立つ。 この好ましい実施形態における制限されたブラインド署名のため、群において うにベクトル(ａ₁,...,ａ_k)（Ａ＝１ならばすべてが０ではない）（ここに、ａ_i ∈Ｚ_qかつｇ_i∈Ｇ_q）を計算することは実行不可能であるべきである。当業者に は明らかであるが、これは、いわゆる離散対数を計算することが実行不可能にみ える群Ｇ_qが使用される場合である。（数ｍの数ｑに対するＧ_qにおける離散対数 （ｌｏｇ_gｍと名付けられる）は、ｇ_xがｍに等しいようなＺの中の数ｘである。 ） 制限されたブラインド署名の一般的説明によって、関数ｆ₁とｆ₂は、互いに等 めにて、Ｒは、ｆ(ａ₁,...,ａ_k+1)＝ｍとなるようなベクトル(ａ₁,...,ａ_k+1)を 知っている。そのようなベクトルは、(ｇ₁,...,ｇ_k,ｇ)に関するｍの表現と名付 けられる。 当業者に理解されるように、プロトコルは、種々の明白な方法で変更できる。 たとえば、説明において、ｑが使用者に知られていると仮定され、そこで、使用 者はモジュロｑの計算を実行できる。可能な変更は、群の位数ｑが未知のままで あることを確実にすることである。この目的に対して、たとえば、Ｇ_qをＺ_p ^*の 部分群とする。このとき、すべてのモジュロｑの計算は、モジュロｐ−１の計算 と置き換えられねばならない。そのような変更は、当業界で知られている。なお 、文献において、ｐについての適当な選択が知られている。 次の節で、２つの異なった制限された種類のブラインド署名が、この好ましい 実施形態において説明される。図１４と図１５のフローチャートにより表された プロトコルにおいて、関数Ｉ₁とＩ₂は、（たとえば）Ｉ(ａ₁,...,ａ_k+1)＝(ａ₁ ｍｏｄ ｑ,...,ａ_kｍｏｄ ｑ)により定義される同じ関数Ｉとすることができる 。この意味は、Ｒがプロトコルにおけるａ_k+1を変更できるのみであり、（モジ ュロｑはもちろん）他の数は変更できないことである。 図１６のフローチャートにより表されたプロトコルと文で説明されたその変形 において、Ｒは、表現の中の数を見えなくすることにおいて、より多くの自由度 を有する。ここに、Ｉ₁とＩ₂は、同じ関数Ｉととることができ、たとえば、１≦ ｉ≠ｊ≦ｋとして、Ｉ(ａ₁,...,ａ_k+1)＝(...,ａ_i／ａ_jｍｏｄ ｑ,...)により定 義される。すなわち、１≦ｉ≦ｋとしてｂ_i＝ａ_iｔｍｏｄ ｑであるような１つ の数ｔ∈Ｚ_q ^*が必然的にある。 次に、これらの４つのプロトコルを構成するために使用される技法が、どのよ うに、多くの他の制限されたブラインド署名のプロトコルを作るために使用され るかが説明される。 ７ 制限されたブラインド署名 図１４を参照して、第２の好ましい実施形態における第１の制限されたブライ ンド署名のフローチャートが詳細に説明される。 このプロトコルの準備段階の先立つ実行において、Ｐは、Ｇ_qの中の数ｇとＺ_q の中の数ｘを選択し、ｇとｇ^xを公開させる。数ｘは、Ｐの秘密キイである。数 ｇ^xはｈと名づけられる。 また、Ｐは、関数Ｈを公開させる。Ｈは、第１のフローチャートにおいて説明 されたように、Ｇ_qからの２つの数に演算しそれらをＺ_qの中の数に写像する無衝 突ハッシュ関数である。 プロトコルの開始において、両者が知っている数ｍ∈Ｇ_qが選択される。たと えば、１者がそれを作り、他者にそれを知らせる。または、その数は、プロトコ ルの前の実行の出力、または、その関数である。 Ｇ_qの中の数ｍについてのＰのデジタル署名は、認証関係ｇ^r＝(ｈｍ)^caが成り 立つようなＧ_q×Ｚ_qの中の１対(ａ，ｒ)である。ここに、ｃは、ハッシュ関数Ｈ の下での(ｍ,ａ)の像を表す。 ボックス１４１は、Ｚ_qの中の乱数ｗを生成し、公開された数ｇをこのベキに 上げるＰを示す。ａで表される結果は、Ｒに送られる。 ボックス１４２は、Ｒの見えなくする動作を詳細に示す。はじめの複数の行は 、Ｕが入力ｍを出力ｍ'に対し見えなくするために使用する乱数を生成すること を示す。他の複数の行は、Ｐからちょうど受け取られた数ａをＲがどのように見 えなくしｍとａ'からｃ'をどのように計算するかを具体的に示す。第６行は、Ｒ が、ａを見えなくするときに用いられた乱数の１つをｃと名付けた数に加えるこ とにより数ｃに対してこの「チャレンジ」を見えなくすることを示す。この数ｃ はＰに送られる。 ボックス１４３は、公開された情報、入力ｍ、チャレンジおよびその秘密キイ から応答ｒを計算するＰを詳細に示す。なお、このプロトコルにおけるＰは、成 功するためには、ｍの基底ｇに対する離散対数（ｌｏｇ_gｍという）を知ってい なければならない。 ボックス１４４の第１行は、Ｒがいま受け取った応答ｒの正しさを検査する方 法を示す。もし検査を通れば、Ｒは、第２行に表されるように、ｒ'のブライン ド形を計算する。 対(ａ',ｒ')は、ｍ'についてのＰのデジタル署名である。さらに、対ｍ'は、 署名とともに、ブラインド署名のプロトコルのための条件を満足する。 当業者にとって明らかなように、Ｒによりａ',ｃ（ボックス１４２において） とｒ'(ボックス１４４において)に対してなされた割り当ては、種々の方法で変 更できる。また、この注意は、フローチャートを短く記した他の制限されたブラ インド署名のプロトコルにも当てはまる。 これ以上の制限なしでも、以上に説明したように得られた署名は、容易に偽造 できる。しかし、もしプロトコルの開始においてＲが(ｇ,ｇ₁,...,ｇ_k)に関して ｍの表現(ａ₀,ａ₁,...,ａ_k)を知っていて、プロトコルの終わりに同じベクトル に関してｍ'の表現(ｂ₀,...,ｂ_k)を知っていると仮定するならば、ａ_iは、もし Ｒのみが表現(ｃ₀,...,ｃ_k)（(ｇ,ｇ₁,...,ｇ_k)に関して１の(０,...,０)に等し くない）を知らないならば、必然的に、１≦ｉ≦ｋであるすべてのｉについてｂ_i に等しいモジュロｑである。 図２のフローチャートの説明においてなされた注意と同様に、いくつかの注意 が順に与えられる。プロトコルの説明において、署名は、ｍ'と名付けられる１ つの数についてのみである。簡単な変更は、若干数の数についてブラインド署名 を得るのに十分である。もし署名がｍ'にのみならず、ｋ個の数Ｂ₁,...,Ｂ_k（こ こにｋ∈Ｎ）にも直接関連するならば、ボックス１４２の第５行においてＲがＨ の下で(ｍ',Ｂ₁,...,Ｂ_k,ａ')の像としてｃ'を計算することが十分である。Ｈの ための条件は、前と同様であり、ただ１つの違いは、Ｈがｋ＋２個の数に演算す ることである。（当業界において最もよく知られた無衝突ハッシュ関数は、そこ に供給される数の元について気にしない。）この場合における(ｍ',Ｂ₁,...,Ｂ_k )についての署名は、ｇ^r'が(ｈｍ')^c'ａ'である(ここにｃ'はκ(ｍ',Ｂ₁,...,Ｂ_k ,ａ')を表す)ようなＧ_q×Ｚ_qの中の１対(ａ',ｒ')である。なお、数Ｂ_iはどの 集合からも選択できる。 さらに、別の方法で、ｍ∈Ｇ_qについての署名は、ｃ'がＨ(ｍ,ｇ^r(ｈｍ)^-c)に 等しいようなＺ_q×Ｚ_qの中の１対(ｃ,ｒ)であるように、いくらかより効率的に 定義される。この定義は等価である。 ハッシュ関数Ｈは、必ずしもＺ_qへの上への(onto)写像（全射）でなくてもよ こに、「セキュリティパラメタ」ｔは、適当な長さである。 また、これらの注意は、後で説明されるすべての他のプロトコルにも当てはま る（等価であるがより効率的な署名の定義を、それぞれについて明白な方法で修 正するだけでよい）。 ＊ ＊ ＊ 図１５を参照すると、第２の好ましい実施形態におけるもう１つの制限された ブラインド署名のプロトコルのフローチャートが詳細に記される。 このプロトコルは、実際、前のフローチャートに非常に似ている。開始は、ほ とんど同じであり、唯一の区別は、Ｈがそのアーギュメントを０に写像しないこ と（プライバシーを厳密に証明するためにのみ必要とされる技術的詳細）である 。 Ｇ_qの中の数ｍについてのＰのデジタル署名は、ｇ^rがｈｍａ^cである（ここに ｃはＨ(ｍ，ａ)を表す）ようなＧ_q×Ｚ_qの中の１対(ａ,ｒ)である。（または、 前の説明において述べたように、ｍについての署名は、ｃがＨ(ｍ,ｇ^r/c(ｈｍ)^{1 /c} )に等しいようにＺ_q×Ｚ_qの中の１対(ｃ,ｒ)として等価に定義できる。) ボックス１５１は、ボックス１４１と同じである。 ボックス１５２は、ボックス１４２と似ていて、違いは、ａをａ'に対して見 えなくし（第４行）ｃをｃ'に対して見えなくする（第６行）ためにＲがランダ ムに生成された数を使用する方法である。 ボックス１５３は、ボックス１４３と同様であり、第１行は、応答ｒがＰによ ってどのように計算されねばならないかを具体的に示す。 ボックス１５４は、ボックス１４４に似ていて、Ｒに適用される検査が違って いて（第１行）、次のｒ'への割り当ても違っている（第２行）。 前のフローチャート（図１４）のプロトコルにおけるのと正確に同じことが当 てはまる。すなわち、もしプロトコルの開始においてＲが(ｇ,ｇ₁,...,ｇ_k)に関 してｍの表現(ａ₀,ａ₁,...,ａ_k)を知っていて、プロトコルの終わりに同じベク トルに関してｍ'の表現(ｂ₀,ｂ₁,...,ｂ_k)を知っていると仮定するならば、ａ_i は、もしＲのみが表現(ｃ₀,...,ｃ_k)（(ｇ,ｇ₁,...,ｇ_k)に関して１の(０,..., ０)に等しくない）を知らないならば、必然的に、１≦ｉ≦ｋであるｉについて 、ｂ_iｍｏｄ ｑに等しい。 ＊ ＊ ＊ 図１６を参照すると、第２の好ましい実施形態におけるさらに別の制限された ブラインド署名のプロトコルのフローチャートが詳細に記される。 開始は、図１４のフローチャートにおけるようである。Ｇ_qの中の数ｍについ てのＰのデジタル署名は、ｇ^rが(ｈｍ)^cｍである(ここにｃはＨ(ｍ,ａ)を表す) ようなＧ_q×Ｚ_qの中の１対(ａ,ｒ)である。(または、等価的に、ｍについての署 名は、ｃがＨ(ｍ,(ｇ^rｍ^-1）^1/cｈ^-1)に等しいようにＺ_q×Ｚ_qの中の１対(ｃ,ｒ )である。当業者によって証明できるように、このプロトコルの中のＲは、前の ２つのプロトコルにおけるより、ｍを見えなくする点でいくらかより多い自由度 を有する。 ボックス１６１は、ボックス１４１と同じである。 ボックス１６２は、ボックス１４２と似ていて、Ｒは１つの追加の数を生成す る。乱数ｓ,ｔを用いて、Ｒは、第４行において具体的に示されるように、ｍの ブラインド形ｍ'を計算する。ｃ'の割り当ては、前のフローチャートにおけるの と同じである。第６行は、Ｒがｃに対してｃ'をどのように見えなくするかを具 体的に示し、この数は次にＰに送られる。 ボックス１６３は、ボックス１４３と同様であり、Ｐがどのように応答ｒを計 算せねばならないかを具体的に示す。応答ｒは次にＲに送られる。 ボックス１６４は、ボックス１４４に似ている。第１行は、応答ｒの妥当性を 調べるためＲにより適用される検査を具体的に示し、第２行は、検査を通った場 合に、Ｒによりｒ'になされる割り当てを示す。 プロトコルの開始においてＲが(ｇ,ｇ₁,...,ｇ_k)に関してｍの表現(ａ₀,ａ₁,. ..,ａ_k)を知っていて、かつ、プロトコルの終わりに同じベクトルに関してｍ'の 表現(ｂ₀,ｂ₁,...,ｂ_k)を知っていると仮定するならば、もしｓ≠０でありＲが 表現(ｃ₀,...,ｃ_k)（(ｇ,ｇ₁,...,ｇ_k)に関して１の(０,...,０)に等しくない） を知らないならば、常に、１≦ｉ,ｊ≦ｋでｉ≠ｊであるｉとｊについて、商ａ_i ／ａ_jがｂ_i／ｂ_jに等しいモジュロｑである場合である。 当業者によって明らかであるように、ｇは、このプロトコルにおいて、Ｒが表 現を知っていなければならないＧ_qの生成元の(ｋ＋１)-ベクトルから除かれるが 、ブラインド署名が得られた（ｍ≠１を仮定して）事実を保つ。その場合、Ｒは 、もし終わりにおいて(ｇ₁,...,ｇ_k)に関してｍ'の表現を知りたいならば、必然 的にｔ＝０を用いねばならない。また、だれでも、ボックス１６２においてｓ＝ ０を使用したかを認証できる。もしｓ＝０なら、ｍ'＝１である。これは、後で 説明されるオフラインデジタル現金システムの説明において用いられる。 理解されるように、図１５のフローチャートが図１４のフローチャートに密接 に関連したのと同じように、また、このフローチャートに密接に関連される制限 されたブラインド署名のプロトコルがある。Ｇ_qの中の数ｍについてのＰのデジ タル署名は、ｇ^rがｈａｍ^cである(ここにｃはＨ(ｍ,ａ)を表す)ようなＧ_q×Ｚ_q の中の１対(ａ,ｒ)であることを除いて、そのプロトコルのための開始は同じで ある。（または、等価的に、ｍについての署名は、ｃがＨ(ｍ,ｇ^rｍ^-cｈ^-1)に等 しいようにＺ_q×Ｚ_qの中の１対(ｃ,ｒ)である。） Ｒは、図１６のフローチャートにおけるように、見えなくすることにおいて多 くの自由度を有する。そのフローチャートの説明においてなされた注意は、同様 に当てはまる。図１６のフローチャートとの唯一の違いは、ボックス１６２にお けるＲのａ',ｃへの割り当てとボックス１６４におけるｒ'への割り当てが変更 されることである。上述の制限されたブラインド署名のプロトコルを検討するこ とにより、これは、当業者にとって明らかな仕事である。この理由のため、詳細 な説明は省略される。 当業者にとって理解されるように、制限の特性は、ささいなものとは程遠い。 なお、ブラインド署名（以上に説明した４つのプロトコルを構成するために使用 される技法を用いる）は、Ｇ_qの中のｍについてのＰの署名が、以下の４つの関 係（ｇ^r＝ｈ(ａｍ)^c、ｇ^r＝ｈ^cａｍ、ｇ^r＝(ｈａｍ)^c、ｇ^r＝ｈａｍ）の１つが 成り立つようなＧ_q×Ｚ_qの中の対(ａ,ｒ)として定義される場合には、制限的で ない(!)。（または、変更された認証関係をもつ対（ｃ,ｒ）として。） すなわち、これらの４つの場合の各々において、割り当ては同じボックスにお いてａ'への適当な割り当てを用いて「キャンセル」できるので、フローチャー トの第２のボックスの第２行にあるものとしてのＲは、ｍ'に所望のいずれも割 り当てできる。（当業者にとって明らかなように、本質的に、ｍとｎは、積にお ける２つの数の正確に１つについての指数ｃ＝Ｈ(ｍ,ａ)により、署名の認証関 係の定義において相互に「分離」されねばならない。 ＊ ＊ ＊ 上記の４つのプロトコルは、シュノール身元確認プロトコル（Schnorr，C.， ”Efficient Signature Generation by Smart Cards"，Journal of Cryptology ，Vol.４，No.３(１９９１)，１６１−１７４）、および、その「ミラー」変形 の署名の変形に基づく。シュノールのプロトコルは、先に述べたフィアット／シ ャミール型である。 第１の好ましい実施例において詳細に説明したように、制限されたブラインド 署名のプロトコルを組み立てるために用いられる技法は、もしチャレンジｃを、 特に第１ステップで転送される数のハッシュ関数の結果とすることにより、署名 プロトコルに転換できるならば、原理的に、フィアット／シャミール型のどの身 元確認プロトコルにも適用できる。ここで留意すべきことは、この技法を用いて 、当業界において知られている、次のそのようなプロトコルのいずれも、制限さ れたブラインド署名プロトコルに転換できる（T．Beth、"Efficient zero-knowl edge identification scheme for smart cards"、Proceedings of EuroCrypt’8 8,77-88、Brickell，E．and MaCurley，K．"An interactive identification sc heme based on discrete logarithms and factoring"、Journal of Cryptology 、Vol.5,no.１（1992）29-39）。また、NIST-DSSアルゴリズム（米国で標準化さ れた）は、原理的に、この技法で転換できる。 この重要な点をもう１度説明するため、他の周知の身元確認プロトコルが、制 限されたブラインド署名に変更するために使用される。（Okamoto，T，"Provabl y Secure and Practical Identification Schemes and Corresponding Signatur e Schemes"、Proceedings of Crypto'92、(1-14)一(1-25)参照。） 図１７を参照して、得られた制限されたブラインド署名のプロトコルのフロー チャートが詳細に説明される。 ＰがＧ_qの中の２つの数ｇ₁とｇ₂と、Ｚ_qの中の２つの数ｘ₁とｘ₂を選択し、ｇ れる。数ｘ₁、ｘ₂はＰの秘密キイである。関数Ｈは、上述のプロトコルのように 、ふたたび無衝突のハッシュ関数である。さらに、前のように、プロトコルの開 始において、両者が知っているべきＧ_qからの数ｍが選択される（入力）。 いような、Ｇ_q×Ｚ_q×Ｚ_qの中の３つ組（ｃ,ｒ₁,ｒ₂）である（ここにｃはＨ（ ｍ ｍ)^-1）に等しいような、Ｚ_q×Ｚ_q×Ｚ_qの中の３つ組（ｃ,ｒ₁,ｒ₂）である。 ボックス１７１は、２つの乱数を生成するＰを示す。第２行に具体的に示され るように、これらを使用して数ａを計算する。次に、Ｐは、数ａをＲに送る。 ボックス１７２の第１行と第３行は、すべてＺ_qの中にある５つの乱数を生成 するＰを示す。これらの中の２つを用いて、Ｒは、第２行に具体的に示されるよ うに、ｍのブラインド形ｍ'を計算する。他の３つを用いて、Ｒは第４行に具体 的に示されるように、ａのブラインド形ａ'を計算する。第５行は、先のフロー チャートにおけるように、同じ割り当てを示す。次に、Ｒは、乱数のモジュロｖ をそれに加えることによりｃのブラインドチャレンジｃ'を計算し（第６行に具 体的に示される）、そして、ｃをＰに送る。 ボックス１７３は、Ｐが２つの応答ｒ₁とｒ₂をどのように計算するかを示す。 これらは、次に、Ｒに送られる。 ボックス１７４の第１行は、この２つの応答のＲの検査を示す。もし検査を通 れば、Ｒは、第２行と第３行に具体的に示される方法でこれらの応答のブライン ド形を計算する。 当業者により容易に検証されるように、３つ組（ａ',ｒ₁',ｒ₂'）は、ｍ'につ いてのデジタル署名である。署名をもつ対ｍ'は、ブラインド署名のための条件 を満足する。 それ以上の条件なしで、前のように、署名は容易に偽造される。図１４と図１ ５のフローチャートと同様に、もし生成元により適当に選択されたｋベクトルに 関して表現Ｒがｍとｍ'を知ることを考慮するなら、以下のことが成り立つ。Ｒ は、ｓ₁，ｓ₂のランダムな選択のためｍｇ₁ ^s1ｇ₂ ^s2に対しｍを見えなくできるが 、しかし、たとえば選択ｓについてのｍ^sに対してそれを見えなくできない。 図１４と図２のフローチャートに関して詳細に示されたように、署名を定義す る検証関係を変更する（ｃ'を「移動する」）ことにより、３つの他の検証関係 が得られ、その各々は、制限されたブラインド署名プロトコルに対応する。この 変更は（はじめの４つのプロトコルと同様に）当業者にとって簡単であるので、 詳細な説明はここで省略される。 当業者にとって明らかであるが、後者のプロトコルは、事実上、図１４の第１ プロトコルの一般化であり、同じことが他の変形についても成り立つ。それ以上 とることにより可能である。実際、図１４のプロトコル（およびその変形）はｋ ＝１を有し、図１７のプロトコル（およびその変形）はｋ＝２を有する。そのよ うな変形は、この出願に記載される多くの制限されたブラインド署名プロトコル を調べることにより当業者により容易に作られる。 ８ 表現の知識を証明すること 図１８を参照して、フローチャートは、表現の知識を証明するための基本的プ ロトコルを表す。このプロトコルは、Ｒが（ｇ₁,...,ｇ_k）に関してＧ_qの中の数 Ａの表現（ａ₁,...,ａ_k）の知識をＰに対し証明することを可能にする。 ボックス１８１は、ＲがまずＺ_qからｋの乱数ｘ_iを生成することを示す。これ の乱数はｘ_iのベクトルが（ｇ₁,...,ｇ_k）に関して数Ｂのランダムに選択された 表現であるように数Ｂを作るために使用される。ＢはＰに対してＢを送る。 ボックス１８２はＰがＺの中のチャレンジｄを生成し、それをＲに送ることを 示す。 ボックス１８３の第１行は、ＡとＢについて知っているチャレンジと表現から ｋの応答ｒ_iをどのように計算するかを具体的に示す。ｉ＝１,...,ｋに対する応 答ｒ_iは、次にＰに送られる。 ボックス１８４は、Ｐにより加えられる応答の正確さの検査を具体的に示す。 第１の好ましい実施形態において詳細に議論されたように、ボックス１８２の 中のＰが数ｄを選ぶことができる２つの基本的な方法がある。さらに、種々の人 （複数）が個々のＡの積または商の表現の知識を集団で証明するようにさせるこ とも可能である。２つの好ましい実施形態について記載された発明の技法を学ぶ ことは、当業者に、困難なしにそのような変形を作ることを可能にする。 ９ 資格認証メカニズムの応用 制限されたブラインド署名は、素元（prime order）の群Ｇ_qにおける資格認証 メカニズムを作るために、第１の好ましい実施形態におけるのと同じ方法で使用 る。異なった種類の資格認証は、異なったｇ_iにより表現される。ここに、ベク トル（ｇ₁,...,ｇ_k）は、公開され利用できる。どの資格認証を人が持っている かは、第１実施形態におけるように、ｍ（の関数）の表現（それに関して数のベ クトルが（ｇ₁,...,ｇ_k）から組み立てられる）に依存する。 当業者にただちに明らかなように、数ｇ_iは、数Ｙ_iが第１実施形態において演 じた役割を行い、同様に、ｇ₀はＹの役割を、ｇはνの役割を行う。すなわち、 ｇについての指数は、ユーザーが希望するときにプロトコルを用いて変更できる 唯一のものである（ここで、第１の好ましい実施形態におけるように、図１４ま たは図１５のプロトコルが使用されることを仮定して）。 ふたたび、種々のベクトルに関するｍの表現の知識を証明できるだけでなく、 ｇ_iのベクトルの部分集合Ｖについてのｍ／Ｐ_ijまたはｍ／Π_vｇ_lなどの商の知 識や、または、人が署名を有する第１の数ｍ'についてのｍ／ｍ'の知識でさえも 証明できる。第２の好ましい実施形態のための現金システムは、このアナロジー を詳細に説明する。第１の好ましい実施形態の研究は、第２の好ましい実施形態 のためのプロトコルを当業者が容易に作ることを可能にする。 この理由のため、特定の認証メカニズムの、オフライン電子現金システムの詳 細な説明のみが詳細に説明される。第１の好ましい実施形態における説明と同様 に、図１４と図１５に説明された２つの制限されたブラインド署名の１つが、一 般性を失うことなく、最後まで使用される。他の任意の制限されたブラインド署 名方式が、若干の小さな修正を必要とするだけで、同様に使用できる。このこと は当業者にとって明らかであるはずであるけれども、説明を追っていくと、さら に別の制限されたブラインド署名プロトコルに基づいた現金システムをどのよう に作るかの詳細な説明がある。理解されるように、そのような置換は、小さな変 更のみを要する。 ここに説明される制限されたブラインド署名と第１の好ましい実施形態におけ る制限されたブラインド署名との差は、実際に１つであり、事実上ちょうど１つ であることに留意する。このことは、制限されたブラインド署名の配送性(trans itivity)を用いる技法に直接関係する。第１の好ましい実施形態において記載さ れたプロトコルにおいて、認証者は、プロトコルを適切に実行するために、ｍの ν次の根を計算できねばならない。認証者は、モジュラスの因数分解を知ってい るので、これを行うことができる。第２の好ましい実施形態のために記載された 特定のプロトコルにおいて、認証者は、プロトコルを適切に実行するために、ｌ ｏｇ_gｍを計算できねばならない。しかし、もしＲＳＡ群におけるように、そう することを可能にする「落し戸」情報があるかは、当業界において知られていな い。したがって、記載されたプロトコルにおける認証者は、たとえばユーザーが そのことを知らせてくれたため、または、自分自身で選択したため、前もってｌ ｏｇ_gｍを知らねばならない。したがって、制限されたブラインド署名の配送性 を利用する場合に、第２の好ましい実施形態のために明示して説明された制限さ れたブラインド署名のプロトコルを使用できない。 たとえば、第１の好ましい実施形態において説明された仮り名のもとで支払い をするシステムにおいて、配送性を見えなくすることは使用されず、したがって 、そのシステムは第２の好ましい実施形態に直接に「翻訳」できる。 第２の好ましい実施形態のためこの出願において明示的に一般に説明された制 限されたブラインド署名のプロトコルは配送性の性質が適用される状況では使用 できないけれども、これが単に説明されたプロトコルの奇妙な性質であるという ことは、当業者にとり明らかである。理解されるように、プロトコルを適切に行 うために認証者がｌｏｇ_gｍを知る必要がない制限されたブラインド署名のプロ トコルもまた第２の好ましい実施形態において存在する。１つのそのようなプロ トコルは、オフライン現金システムの第２の説明の始めに説明される。このプロ トコルは、第１の好ましい実施形態の図４の説明において説明された２つのプロ トコルと正確に同じ機能性(functionality)を有することが示される。 したがって、理解されるように、第１の好ましい実施形態において可能なすべ ての構成などを簡単に理解することが可能である。この理由のため、第１の好ま しい実施形態における技法の説明は、（これはほとんど文字どおりの翻訳である ので）ここでは「繰り返され」ない。 図１４以降の、図１７を含む説明されたフローチャートは、第１の好ましい実 施形態の最初の３つのフローチャートのプロトコルを作るために使用される技法 により作られる。現金システムの詳細な説明の後で説明される他の制限されたブ ラインド署名のプロトコルは、第１の好ましい実施形態において説明される第２ の技法（「２重化」）を用いて作られることがわかるだろう。 １０ オフライン電子現金システム この節において、プライバシー保護オフライン電子現金システムを作るための 第２の好ましい実施形態における制限されたブラインド署名の使用が詳しく説明 される。一般性を失うことなく、図１４からの制限されたブラインド署名が使用 される。後で詳細に説明されるように、もし他の任意の制限されたブラインド署 名がその代わりに使用されるなら、ユーザーが知っている、保存される入力と出 力の表現における含まれる情報の特定の形に依存して、プロトコルへの小さな変 更のみが十分である。 １０．１ 基本システム Ｂでの硬貨の引き出しのためのプロトコルは、店で硬貨を支払い、預金プロト コルは、ただ１つの金種の硬貨が発行されると仮定して、説明される。これが基 本システムである。 システムの準備 このシステムが使用できるようになる前に、Ｂは、Ｇ_qの中の１に等しくない 数ｇとＺの中の２つの数ｘとｙを生成する。また、Ｂは、２つの無衝突ハッシュ 関数ＨとＨ₀を選ぶ。ここで、Ｈは、Ｇ_q×Ｇ_q×Ｇ_qからのアーギュメントをＺ^* に写像し、たとえば、Ｈ₀は、Ｇ_q×Ｇ_q×ＳＨＯＰ−ＩＤ×ＤＡＴＥ／ＴＩＭＥ からのアーギュメントをＺに写像する。関数Ｈは、ボックス１４３においてＲが 追加のアーギュメントをＨに供給させることにより署名が１対の数に対応すると いう違いを除いて、図１４のフローチャートにおいて説明されるように使用され る。関数Ｈ₀は、支払いプロトコルのボックス２０２において店がチャレンジを どの方法で生成しなければならないかを具体的に示す。すなわち、この２つのハ ッシュ関数は、第１の好ましい実施形態において説明された基本現金システムに おいて２つのハッシュ関数によりなされたのと同じ役割を実行する。Ｈ₀のフォ ーマットに関して、第１の好ましい実施形態において説明された現金システムに 関してなされたのと正確に同じ注意があてはまる。 Ｂは、（ｇ,ｇ^x）、ｇ^yおよびＨ、Ｈ₀の記載を公開させる。数ｇ^xはｈにより 表され、数ｇ^yはｇ₁により表される。対（ｓ，ｙ）はＢの秘密キイである。 Ｇ_q×Ｇ_qの中の１対（Ａ,Ｂ）についてのＢのデジタル署名は、ｃがＨ（Ａ,Ｂ ,ｇ^r(ｈＡ)^-c）に等しいようなＧ_q×Ｚ_qの中の１対（ｃ,ｒ）から成り立つ。明 らかに、この署名の等価な定義が、その代わりに使用できるが、しかし、対（ｃ ，ｒ）の格納にはいくらか少ないメモリを要する。 また、Ｂは、それ自体が使用するため、その口座所有者に関する関連情報（名 前、住所などの形の身元確認関連情報など）を格納するデータベースや、店が預 金段階でＢに送る情報の関連部分を格納するデータベースを配列する。 公開された情報は、もちろん、口座所有者の計算装置のソフトウエア（または 、ＲＯＭなどのハードウエアに）に組み込まれねばならない。 口座をＢで開くこと 口座をＢで開くため、Ｕは、（たとえばパスポートにより）自分自身について 身元確認をせねばならない。Ｂは、（名前、住所などの）身元確認関連情報を、 Ｚ_qの中の数ｕ_iとともに登録する。この数は、各口座所有者に異なって選ばれる 。Ｕが２重に使う場合、Ｂは、ｕ_iを計算できる。この数はこの段階で登録され る で表される。なお、ｍは口座所有者ごとに変わる。 引き出しプロトコル 図１９を参照して、ＵとＳの間の引き出しプロトコルのフローチャートが詳細 に説明される。 ボックス１９１はボックス１４１と同じである。 ボックス１９２は、ボックス１４２と同様である。さらに、第２行と第３行に おいて、Ｕは、（ｇ₁,ｇ）に関してそのランダムな表現を知るように、Ｇ_qにお ける数Ｂを具体的に示す。この数は、第７行に示されるように、同様にＨに供給 される。他の動作は、ボックス１４２におけるのと同じである。次に、Ｕは、チ ャレンジｃをＢに送る。 ボックス１９３は、Ｂがどのように応答を計算するかを具体的に示す。これは ボックス１４３におけるのと同じであるが、ここで、Ｂがｌｏｇ_gｍ（これはｙ ｕ_iに等しい）を知っているという事実が使用されている。Ｂはこの応答をＵに 送る。 ボックス１９４の第１行は、Ｕにより使用されたとき応答ｒの正確さの検査を 具体的に示す。もし検査を通れば、第２行に特定されるように、Ｕは、チャレン ジｒをｒ'に対して見えなくする。 ＢがＵの口座を硬貨の値で貸方に記入することは示されない。 ここで、Ｕは、（ｃ',ｒ'）が（Ａ,Ｂ）についての署名であるような、自分が 当業者に明らかなように、Ｕは、ボックス１９２のための多くの予備計算をす ることができる。ａに依存する計算のみがリアルタイムに（部分的に）なされる べきである。 支払いプロトコル 図２０を参照して、ＵとＳの間の支払いプロトコルのフローチャートが詳細に 説明される。 ボックス２０１は、Ｕが、引き出しプロトコルにおいて得られるように、対（ Ａ,Ｂ）と署名をＳに送ることを示す。 ボックス２０２は、Ｓがチャレンジｄを具体的に示し、Ｕに送ることを示す。 ボックス２０３のはじめの２行は、ＵがＡとＢから知られるチャレンジと表現 とから２つの応答をどのように計算せねばならないかを具体的に示す。これらの 応答はＳに送られる。 ボックス２０４の第１行は、（Ａ,Ｂ）についての署名が正しいことを認証す るためＳにより行われる検査を具体的に示す。第２行は、応答が正しいことをＳ がどのように認証するかを具体的に示す。 明らかに、Ｕは、もしクロックにアクセスしＳのＩ_sを「ルックアップ」でき るなら、ボックス２０４におけるチャレンジをそれ自体で計算できる。 預金プロトコル 次に、預金プロトコルが説明される。相互作用は要求されないので、図は省略 される。 たとえば、日の終わりにＳは「支払いの写し」（これは((Ａ,Ｂ),(ｃ',ｒ'),( ｒ₁,ｒ₂))と取引の日／時間からなる）をＢに送る。 Ｂは、そのデータベースを探索して、Ａがすでに前に店で預金されたかを決定 する。２つの場合が区別される。 １．Ａはまだデータベースにない。その場合、Ｂは、ＳのＩ_sと取引の日／時 間の与えられた数とを用いて数ｄを計算する。次に、Ｂは、ｃ'がＨ（Ａ,Ｂ,ｇ^r る。もし２つの認証が成り立てば、Ｂは、Ｓを参照してデータベースにおけるベ クトル（Ａ,ｄ,ｒ₁）を格納し（実際には、Ｂはまた日／時間を格納することを 望むかもしれない）、いま扱っている硬貨の値でＳの口座に信用貸しをする。 ２．Ａはすでにデータベースに格納されている。その場合、詐欺が発生した。 もしすでに格納されている情報がＳによっても与えられ、日／時間が新しく与え られる支払いの写しのそれに等しいならば、Ｓは同じ写しに対し２度信用貸しが されることを試みている。もしこれが本当でないならば、Ｂは、ｄを計算し、第 １の場合におけるように２つの認証関係を認証する。 もし２つの認証が有効であれば、口座保有者は、同じ硬貨で（すくなくとも ）２度支払われねばならなかった。Ｂは、自分の自由で、新しく提示された支払 いの写しからの（ｄ,ｒ₁）と既に格納された（ｄ',ｒ₁’）を有する。数(ｒ₁− ｒ₁')／(ｄ−ｄ’)ｍｏｄ ｑは、２重に使われる口座保有者Ｕの数ｕ_iでなけれ ばならない。したがって、Ｂは、詐欺師の身元確認を決定し、適当な行動をとる 。 当業者にとって明らかであるように、Ｂは、たとえば、適当なハッシュ関数Ｈ としてＡの代わりにＨ（Ａ）を格納する。 注意 第１の好ましい実施形態の基本現金システムにおいてなされた注意は、ここで 同様に適用される。 １０.２ 拡張：使用者の計算装置において装入される追加の、書き換え防止の 、銀行モジュール システムの準備 これは、基本的システムにおいて説明されたものである。 口座をＢで開くこと ＵとＢは、まず、口座を開くために基本システムにおいて説明された手続をお こなう。次に、Ｂは、銀行モジュールＯをＵにあたえる。Ｏは、そのメモリ（た とえばＲＯＭ）に、ランダムに選ばれているＺ_q ^*の中の数ｏ₁を格納している。 Ｂは、この数をＵに明らかにしない。 される。 当業者にとって明らかであるように、ここに記載されるすべてのことは、Ｏが ２つの数ｏ₁,ｏ₂を格納し、ＵがＢにより選択される固定値ｇ₂についての数ｇ₁ 更は、異なった制限されたブラインド署名プロトコルを用いて、支払いシステム の第２の説明において用いられる。 もちろん、Ｏの乱数は、実際、（好ましくは高品質の）疑似乱数により提供さ れる。 引き出しプロトコル 図２１を参照して、Ｏにより支援されたＵとＢの間の引き出しプロトコルのた めのフローチャートが詳細に説明される。 す。次に、Ｏは、Ｂ_oと名付けるこの数をＵに送る。なお、ボックス２１３で必 要になる前にいつでも、Ｏはこのステップを実行できる。 ボックス２１２は、ボックス１４１と同じである。 ボックス２１３は、ボックス１４２と同様である。第２行は、このプロトコル への入力がｍとＡ_oの積であることを示し、これは、ボックス１４２におけるよ うにＵにより見えなくされる。第３行は、ＵがどのようにＢを計算せねばならな いかを具体的に示す。ボックス１４２との違いは、Ｕが数Ａ_oとＢ_oをその中に掛 けねばならないことである。理解されるように、そうでないと、支払いプロトコ ルにおけるＯの支援は、Ｓにより期待される応答の計算においてＵを助けない。 残りの行は、数ａがどのように見えなくされねばならないか、および、ｃ'とｃ の作成を具体的に示す。最後に、Ｕは、見えなくされたチャレンジｃをＢに送る 。 ボックス２１４は、ボックス１４３と同様であり、違いは、第１行での割り当 てにおいて、数ｍのみを用いるのでなく、Ａ_oのｍとの積が用いられることであ る。なお、ｌｏｇ_gＡ_oｍはｙ（ｏ₁＋ｕ_i）に等しい。 ボックス２１５は、ボックス１４４に似ていて、違いは、ボックス２１４にお けるのと同じである。 Ｂが、引き出された硬貨の値でＵの口座の貸し方に記入することは示されない 。 支払いプロトコル 図２２を参照して、Ｏにより支援されたＵとＳの間の支払いプロトコルのため のフローャートが詳細に説明される。 ボックス２２１は、Ｕが（Ａ,Ｂ）と署名をＳに送ることを示す。これは、ボ ックス２０１と同じである。 ボックス２２２は、ＳがＨ_oの下で（Ａ_,Ｂ_,Ｉ_s,日／時間）の写像としてチャ レンジｄを計算することを示す。Ｓは、この数をＵに送る。なお、動作はボック ス２０２におけるのと同じである。 ボックス２２３は、ボックス２１３において生成された数モジュロｑをチャレ ンジｄに加えることにより、Ｕがどのようにｄをｄ'に対して見えなくするかを 示す。この見えなくされたチャレンジは、Ｏに送られる。 ボックス２２４は、硬貨の使用において前に助けたかどうかをＯが検査するこ とを具体的に示す。このボックスは、Ｏがｏ₂がなおそのメモリに格納されてい るかを認証することによりこれを行なうことを示す。当業者にとって明らかなよ うに、Ｏは実際には１度用いられたｏ₂を消す必要はない。第２行は、Ｏがチャ レンジｄ'に対する応答ｒ₁'を計算し、Ｕに送ることを示す。次に、Ｏは、メモ リからｏ₂を消すか、または、少なくとも、硬貨を使用するときに１度助けたこ とを示すフラグを立てる。 ボックス２２５は、ボックス２０３に似ている。ボックス２２５の第１行は、 ＵがＯの応答を検査することを示す。もしＯの応答が正しければ、Ｕは、第２行 と第３行に具体的に示されるように、ｄに応答してまたＳにより期待されて、２ つの応答ｒ₁とｒ₂を計算する。なお、第２の応答は、ボックス２０３におけるの と同様に計算されるが、第１の応答を計算するため、Ｕは、Ｏにより送られる応 答をも使用しなければならない。次に、Ｕは、２つの応答をＳに送る。 ボックス２２６は、Ｓが署名と応答の妥当性を検査することを示す。これは、 ボックス２０４と同じである。 基本的システムにおけるように、Ｕは、もし日／時間およびＩ_sにアクセスす るならボックス２２２自体においてチャレンジｄを計算できる。 預金プロトコル これは、基本システムにおいて説明された手続を同様である。硬貨が２重に使 われたこと（したがって２重使用者がその銀行モジュールの書き換え防止を破る ことができるはずであること）をＢが見いだした場合、Ｂは、前に説明したよう に、２重使用者の数ｕ_i＋ｏ₁ｍｏｄ ｑを、したがって、その身元確認を計算で きる。 １０.３ 拡張：複数回使用され得る硬貨 図１４のフローチャートの説明において述べたように、署名は、ただ１つの数 の代わりにベクトルに対応できる。基本システムにおいて、これは１対の数につ いて使用された。基本システムは、（ｋ∈Ｎとして）ｋ回使用され得る硬貨を得 るために、簡単に変更できる。第１の好ましい実施形態におけるこの拡張の説明 から、これをすることは当業者にとって明らかである。明快さのため、次の説明 がされる。 ボックス１９２において、Ｕは、Ｈ₀への追加のアーギュメントとして１つの 数Ｂでなく、ｋの数Ｂ₁,...,Ｂ_kを供給しなければならない。これらの数は、Ｂ ｘ_i2）を知るように選択される。 支払いプロトコルにおいて、Ｕは、ボックス２０１において全Ｂ_iを送らねば ならない。ｉ番目の支払いにおいて、Ｕは、ボックス２０３において、数ｒ₁＝ ｄｕ_i＋ｘ_i1ｍｏｄ ｑとｒ₂＝ｄｓ＋ｘ_i2ｍｏｄ ｑをＳに送る。ｉの値は、支払 いプロトコルから明らかでなければならず、ここで、Ｈ_oのアーギュメントの部 分であることが要求され得る。 もしＢが硬貨がｋ＋１回使われたことを見いだしたなら、基本システムにおけ るように、同じＢ_iを含む（少なくとも）２度行われた支払いに対応する２つの 異なった対（ｒ₁,ｒ₂）から、詐欺者の指数(exponent)を計算できる。 明らかに、支払いのフローチャートのボックス２０１において転送されるビッ トの数を減らすことができる。当業者にとって明らかなように、これをおこなう 種々の方法がある。１つの可能性が前に説明された。すなわち、終わりまでＢ_i を用いる代わりに、Ｈ（Ｂ_i）がＨの適当な選択のために使用される。これは、 Ｂ_iのハッシュ値が引き出しプロトコルのボックス１９２におけるハッシュ関数 のアーギュメントとして使用される。 １１．オフライン電子現金システム：異なる制限的なブラインド署名プロトコ ルの使用 前節の冒頭にて述べたことに従って、さらに別の制限的なブラインド署名プロ トコルについて述べる。上述の現金システムにて使用された制限的なブラインド 署名のプロトコルに反して、認証する利用者は応答γを計算するためｌｏｇ_gｍ を知る必要がなく、匿名の口座及び小切手へのプロトコルの拡張は第１の好まし い実施形態におけるように理解できる。理解されるように、上述のプロトコルを ほとんど変更する必要はない。 第１に、準備段階が必要とされる。この段階において、Ｐは数ｇ∈Ｇ_q及び数 ｘ∈Ｚ_qを選択し、ｇ及びｈ＝ｇ^xを公開する。数ｘは、Ｐの秘密キーである。関 数Ｈは、Ｇ_qにおける４つの数をＺ_q ^*における数に写像するという無衝突ハッシ ュ関数である。 上述のように、プロトコルのスタートにて、両者が知っているＧ_qにおける数 ｍが選択される。これはプロトコルの入力である。 数ｍ∈Ｇ_q上のＰのデジタル署名は、Ｈ（ｍ,ｚ,ａ,ｂ）をしめすｃとともに、 ｇ^rがｈ^cａに等しく、ｍ_rがｚ^cｂに等しいようなベクトル（ｚ,ａ,ｂ,γ）であ る。上述したように、数（ｃ,γ）も、代わりに署名として使用可能である。 図２３を用いて、制限的なブラインド署名プロトコルのフローチャートを詳細 に述べる。 理解されるように、このプロトコルは、フィアット／シャミールタイプであっ て、第１の好ましい実施形態の記述にて説明した本発明の第２技法を応用するこ とにより、名前確認のための上述のシュノールプロトコルから構成される。 ボックス２３１は、Ｚ_qから乱数ｗを生成するＰを示す。３行及び４行目は、 ａ,ｂにて示される２つの数を得るためにどのようにＰがこの数をｇ及びプロト コルの入力ｍに適用するかを示す。また、秘密キーｘを使用し、２行目に記入さ れるように、それをｍに応用することで、Ｐは数ｚを計算する。Ｐはｚ,ａ,ｂを Ｒに送る。 ボックス２３２の第１行は、２行目に示すようにｍをｍ'に見えなくする（bl ind）ために適用されるＺ_qから２つの乱数を生成するＲを示す。３行目は、４， ５行目にそれぞれ記されるように、前のボックスにおいてＰにより送られる数ａ ,ｂを数ａ’,ｂ’に対し見えなくするために使用されるさらに２つの乱数を生成 するＲを示す。６行目は、上述のボックスにおいてＰにより送出されるｚをどの ようにＲがｚ’に見えなくするかを示す。次に、Ｒは、上記見えなくされた数に ハッシュ関数を適用することによりチャレンジｃ’を計算するために上記見えな くされた数を使用し、８行目に記されるようにｃ’をｃに見えなくする。最後に 、ＲはｃをＰへ送る。 ボックス２３３は、Ｒへ送られる応答γをＰがどのように計算するかを示す。 ボックス２３４の最初の２行は、応答γの正確さを認証するためＲにより適用 される検査を示す。もし両方の等式が成り立つならば、Ｒは３行目に記される方 法にてγのブラインド形態のγ’を計算する。 このプロトコルは、図１６のプロトコル及び対応するフローチャートの記載に おいて記述されたそれと正確に同一の、ｍに関して見えなくする操作、及びそれ の制限をさせる。ベクトル（ｚ’,ａ’,ｂ’,γ’）は、ｍ’についてのＰのデ ジタル署名である。対ｍ’、（ｚ’,ａ’,ｂ’,γ’）は、ブラインド署名プロ トコルに関する要求を満足する。明りょうにするため、記号（ｍ）の表記法は、 以後、ｍ’についての署名を示すために使用する。 図１６及びその別形のプロトコルに述べられるように、ｇは、ブラインド署名 が得られた（ｍ≠１と仮定する）という事実に影響せずに、Ｒが表現を知らねば ならない（ｋ＋１）−ベクトルから排除可能である。その場合、もしＲが最後に て（ｇ₁，…，ｇ_k）に関してｍ’の表現を知りたいならば、Ｒはゼロに等しいｔ を当然に使用しなければならない。又、この場合において、だれもがＲがボック ス２３２においてｓをゼロに設定したか否かを認証することができる。即ち、も しｓ＝０ならｍ’＝１である。 当業者に明らかなように、また、上述の制限的なブラインド署名プロトコルの 記載に従って、このプロトコルから関連した別形を得ることは容易である。例え ば、認証関係がｇ^γ＝ｈａ^c及びｍ^γ＝ｚｂ^cである別形は、又、制限的なブライ ン ド署名プロトコルである（ａ,ｂ,ｚに設定される割り当てが、この場合、いくら かより複雑になるであろうが。） 次に、オフラインの現金システムの構成においてこのプロトコルの使用方法が 示される。即ち、得られたシステムは第１の好ましい実施形態にて述べたシステ ムと明確に同じ拡張を許容する。期待されるように、上述の記載への小さな適合 のみが必要とされる。 １１．１ 基本システム 上述のように、１タイプのみの硬貨が発行されると仮定する。異なる表現の硬 貨の発行は上述したように実現可能である。 システムの準備 上記システムが使用可能となる前に、ＢはＺ_qにおいて乱数ｘを、Ｇ_qにおいて 数ｇを生成する。ｈにて示されるｇ^xをＢは計算し、（ｇ,ｈ）を公開する。数ｘ は、Ｂの秘密キーである。ＢはまたＧ_qにおいて２つの数ｇ₁,ｇ₂を生成する。ま たこれらは公開される。当業者に明らかになるように、セキュリティーのため、 ｇ,ｈ,ｇ₁,ｇ₂に関するＢの選択は、他者が（ｇ,ｈ,ｇ₁,ｇ₂）に関してゼロでな い１の表現を計算することが実行不可能にみえるようにすべきである。即ち、こ のことはランダムに数を生成することにより容易に処理される。 又、Ｂは適切なハッシュ関数Ｈを公開する。この関数は、Ｇ_qからの５つの数 にて演算しそれらをＺ_qへ写像する。関数Ｈは無衝突であるべきである。 Ｂを用いて口座を開く Ｂを用いて口座を開くために、Ｕは自分自身の身元確認をしなければならない 。Ｂは、数ｕ_I∈Ｚ_q ^*とともに身元確認関連情報を記録する。この数は、各口座 の所有者に関して異なって選択される。Ｕが２重使用の場合、Ｂはｕ₁を計算可 能である。 引き出しプロトコル 図２４において、引き出しプロトコルのフローチャートが詳細に記載されてい る。 ボックス２４１は、ボックス２３１に同様のものであるが、第２行にて具体的 に挙げられた方法において、数ｍがｇ₁,ｇ₂、及びプロトコルにおける口座所有 者配当の数ｕ₁から計算されという違いを有する。当業者に明らかなように、ｍ は各口座所有者に関し一度だけ計算される必要がある。即ち、それは予め格納可 能である。さらに、Ｕはそれ自身にてそれを計算可能であるので（それを格納す る計算装置で一度だけこれが実行されるかもしれない）、数ｍはＵへ送られる必 要がない。Ｂは数ｚ,ａ,ｂをＵへ送る。 ボックス２４２は、ボックス２３２に同様のものであるが、幾つかの違いを有 する。第１の違いは、ランダムにｔを選択する代わりに、Ｕが実際にｔをゼロに 等しく設定するということである。第２は、ｓがゼロに等しく選択されないかも しれないということである。第３に、Ｕは一つの数だけよりもむしろ、Ａ及びＢ にて示される２つの数をハッシュ関数へ提供する。上述した引き出しプロトコル におけるように、このことは、（ｇ₁,ｇ₂）に関するランダムに選択された表現 が間接的に知られているようにｍ’に等しいＡ及びＢを用いることで実行可能で ある。本発明の技術からいずれかの方法で外れる必要なく多くの小さな変更が可 能であるという事実を再度説明するため、Ａ及びＢを生成する別の方法がここで 使用される。これは、ｍ’をＡ及びＢに「分ける」Ｕからなり、このことは積Ａ Ｂがｍ’に等しく、ＵがＡ及びＢの両方の表現を知らねばならないということを 意味する。この目的のため、Ｕは、Ｚ_qから乱数ｘ₁,ｙ₁の両方を生成し、６、７ 行目に記される方法において、このことからＡ、Ｂを計算する。数ｕ₁ｓ−ｘ₁ｍ ｏｄ ｑは、ｘ₂にて示され、ｙ₂はｓ−ｙ₁ ｍｏｄ ｑにて示される。 ボックス２４３は、ボックス２３３に同じである。ＢがＵの勘定を借方に記入 することは示されていない。 ボックス２４４はボックス２３４に同じである。 Ｕは、これが（ｇ₁,ｇ₂）に関するＡ及びＢの表現を知るように、自由に処分 できる対応署名サイン（Ａ,Ｂ）（ベクトル（ｚ’,ａ’,ｂ’,γ’）である）と 数Ａ,Ｂを有する。 当業者に明らかなように、準備段階にてもしＢが再度ｇ₁ ^x及びｇ₂ ^xを公開する ならば、ボックス２４１にて、Ｕはｚをそれ自身にて計算するので、ＢはｚをＵ に送る必要はない。あらゆる場合において、同じ口座の所有者はプロトコル内に 含まれるとき、数ｚは常に同じであるので、Ｂは数ｚを多くて一回のみＵへ送る 必要がある。即ち、Ｕはｚを格納できる。各口座所有者のため一回のみ行う必要 がある計算及び伝送は、角括弧（［ ］）にて示される。 支払いプロトコル 図２５において、支払いプロトコルのフローチャートが詳細に記載される。 ボックス２５１は、Ａ,Ｂ及び引き出しプロトコルにて得られた署名をＳに送 るＵを示す。 ボックス２５２の第１行は、ボックス２４２におけるＵがゼロに等しいｓをと らないことを認証するＳを示す。即ち、当業者に明らかなように、もしｓ＝０が 使用されるならば、口座所有者は、常に後で同一人であることを確認されること なく、２重使用可能である。第２行に示されるように、ＳはまたＵにて送られた 署名が正しいことを認証する。署名が正しいために成立しなければならない関係 式は、図２３の署名プロトコルに関する準備段階の記載に述べられている。上記 ボックスの第３行目は、１に等しくないかもしれないＺ_qからチャレンジｄを生 成するＳを示す。そしてこのチャレンジはＵに送られる。 尚、上記フローチャートは、上述した支払いプロトコルのフローチャートの場 合のように、ボックス２５４よりもむしろこのボックスにてなされる署名の正確 さに関する検査を具体的に挙げている。このことは、種々の検査が複数のフロー チャートにて示されるものよりも異なる順序にて実行可能であることを単にもう 一度指摘する。即ち、Ｕがボックス２５３の計算を実行している間に、またはボ ックス２５４にて、上記検査は実行されてもよい。 ボックス２５３は、上記チャレンジが１とは異なることを認証するＵを示す。 第２及び第３行は、上記チャレンジ及び既知のＡ及びＢの表現に基づく２つの応 答を生成するＵを示す。明らかになるように、チャレンジが１に等しくないこと に関する検査はＵのプライバシーを保護するためである。即ち、もしｄ＝１なら ば、上記応答は数ｕ₁をＳに知らせる。 ボックス２５４は、上記応答の正確さを検査するＳを示す。上述のように、も し上記検査が成り立つならば、Ｓは支払いを許す。 チャレンジｄは以前の支払いプロトコルにおけるものと同じ方法にて決定可能 である。しかしながら、当業者に明らかなように、たとえ上記署名プロトコルの 出力の表現を知る必要がないとしても、制限的なブラインド署名プロトコルは偽 造を許さないという事実により、ｄが無衝突ハッシュ関数の結果であるという要 求はこの場合弱められることができる。 預金プロトコル Ｓは、支払い写しをＢへ送る。Ｂは、Ｓが支払いプロトコルにて実行したのと ーマットのｄ）を実行することにより上記写しの妥当性を認証する。実際には、 この段階は、上述の支払いプロトコルの記載に同じである。２重使用の場合にお いて、Ｂは、異なるチャレンジであるが同じＡ,Ｂを含み、応答に対応する（少 なくとも）２つの異なる支払い写しを知っている。このことは、当業者に明らか になるように、Ｂがｕ₁を計算することを可能とする。 １１．２ 拡張：でっちあげに対する保護 上述したように、でっちあげの企てに対してユーザを保護するためわずかな変 更で十分である。これに関して、ＵがＢとともにそれの口座を開く段階において 、ＢではなくＵがそれ自身、数ｕ₁を生成すべきである。そしてＵはｕ₁自身では な トコルのボックス２４１にてｍ（＝Ｉｇ₂）を計算するのに十分である。当業者 に明らかなように、Ｕは、Ｂがｕ₁を知らないというような方法においてＢと協 力してＩを生成可能である。即ち、このことの有利な点は、ｕ₁がＵの計画的な 選択よりもむしろＵへの乱数であることをＢは確実にできることである。 Ｕが２回以上同じ硬貨を使用することによりだます場合、上述のようにＢはｕ₁ を計算可能であり、これゆえに２重使用者の身元を決定する。 本出願において今までのところで示した記載は、当業者が彼ら自身で困難なく 必要な変更を可能にするのに十分以上のものであるけれども、完ぺきにするため 、でっちあげに対する絶対的な保護の組み込みの記載を示す。 システムの準備 これは、基本システムの記述にほとんど同じであるが、Ｂがｇ,ｈｇ₁及びｇ₂ のそれぞれから異なる数ｇ₃∈Ｇ_qを公開するという拡張をしている。 口座を開く Ｂを用いて口座を開くとき、Ｕは自分自身の身元確認をしなければならない。 Ｕは、Ｚ_qから２つの乱数ｕ₁,ｕ₂を生成し（上述のように、Ｂと協力するかもし その身元に関する情報とともに記録されるので、Ｂは２重使用者の身元を見つけ 出すことができ、費用を強要することができる。 引き出しプロトコル 第１に、Ｕは引き出されるお金が自分の本当の口座から引き出されることを、 （ｇ₁,ｇ₂）に関して自分がＩの表現を知っていることをＢに証明することによ り、証明可能であるということは特筆される。即ち、図１８のプロトコルは、こ の目的のため使用可能である。選択的に、Ｕは、準備された公開キーを使用して 引き出し要求に署名可能である。 図２６において、変更された引き出しプロトコルが記述される。 ボックス２６１は、ボックス２４１に同様である。注意されたように、ＢはＩ からｍを計算可能である。このことは上記ボックスの２行目に示される。その他 の動作は同じである。 ボックス２６２はボックス２４２に同様であり、唯一の違いはｍがｇ₃のＩ倍 として計算されることである。ｍ’のＡ及びＢへの分割はボックス２４２の場合 と同じであるので、明示していない。 ボックス２６３はボックス２４３に同じであり、ボックス２６４はボックス２ ４４に同じである。 支払いプロトコル 図２７において、変更された支払いプロトコルのフローチャートを述べる。 ボックス２７１及びボックス２７２のそれぞれは、ボックス２５１及びボック ス２５２にそれぞれ同じである。 ボックス２７３は、ボックス２５３に同様であるが、Ｕが２つの応答の代わり に３つの応答を計算するという相違を有する。 ボックス２７４は、ボックス２５４に同様であるが、検査されねばならない３ つの応答が存在することを考慮し変更された応答の正確さに関する検査を有する 。 預金プロトコル これは基本システムにおけるのと同じである。２重使用が起こった場合におい てＢにより実行された計算が明らかな方法にて変更されることのみが必要である 。 １１．３ 拡張：ユーザの計算装置に埋め込まれた付加的な書き換え対抗銀行モ ジュール 説明のため、この拡張の記述は、Ｂの計算力に独立に、でっちあげに対する保 護の特徴が組み込まれたようなものである。これは、当業者に明らかなように、 すべての拡張は同時に容易に組み込み可能であるという事実を単に説明するもの である。 システムの準備 これはまさに上記基本システムの前の拡張におけるようなものである。 口座を開く 上述のように、対（ｏ₁,ｏ₂）をＢにランダムに生成させることができ、口座 保持者Ｕにそれを与える前に、不正防止（書き換え防止(tamper-resistant)）装 置ＯのいわゆるＲＯＭ内にＢがこの対を格納する。 この出願に示される本発明の技法と直接に組み合わせできることを説明するた め、代わるべき実現されたものが記述されている。図２８において、このプロト コルのフローチャートが詳細に述べられる。 このプロトコルにおいて、Ｏによる署名は計算されねばならず、よって公開キ ーの準備が必要とされる。これはＢにより信頼されたいくつかの組織によりＯへ 取り付け可能である。当業者に明らかなように、この組織は、銀行そのものであ る必要はない。即ち、それは、例えば書き換え防止装置の発行者であるかもしれ ない。このように、先に発行された書き換え防止モジュールは、Ａ_Oを取り付け るためにユーザの書き換え防止部分を銀行にユーザが手渡すことをしなくても、 後の段階にて開始される現金システムにおいて援助するために使用可能である。 さらに、それは事実上ＢがＡ_Oを知る必要がないことを説明する。尚、Ｏが復号 された情報をＢへ送るのを防止するため、Ｏの公開キー署名準備は各数に関して 一つの署名のみが存在するようにしなければならない。 ボックス２８１は、（ｇ₁,ｇ₂）に関して数Ａ_Uのランダムな表現を知るように 数Ａ_Uを生成するＵを示す。この数は、あらゆるところでＵによって使用される 。４行目は、数Ｔ’にこの数を見えなくするＵを示す。数Ｔ’はＯへ送られる。 ボックス２８２は、（ｇ₁,ｇ₂）に関してそれのランダムな表現（ｏ₁,ｏ₂）を それが知るような数Ａ_Oを生成するＯを示す。３行目は、ボックス２８１にてＵ により送られる数とこの数の積を計算するＯを示す。Ｏは準備されたその公開キ ーを使用するこの積を署名し、Ａ_O及び積についての署名をＵに送る。 ボックス２８３は、Ｏがなしたように積を計算し、Ｏがその署名を確かに送っ たことを検査するＵを示す。もしこれがそのような場合であれば、Ｕは、この積 、Ｏの署名、及びボックス２８１にてＡ_Uを見えなくするのに使用される数をＢ へ送る。 ボックス２８４は、ＵがなしたようにＴについての署名を認証するＢを示す。 もし上記署名が正しく、よって書き換え防止部分が協力したことをＢが保証する ならば、それはＴ／ｇ^tを計算する。この数はＩにより示され、新たな口座のも とでＵの身元とともにＢにより登録される。 理解されるように、Ｏ及びＵは、この段階もしくは後の段階において、上記数 について付加的な情報を明らかにすることなく、また、Ｏが対（ｏ₁,ｏ₂）につ いて有益な情報をＵに明らかにしないように、（ｇ₁,ｇ₂）に関してＩの表現を 知ることを証明可能である。このプロトコルは先に記載されている。即ち、これ は図２２の支払いプロトコルに同様である。尚、このように、Ｕは、例えば引き 出しプロトコルにおいて、その口座の所有者であることを常に証明可能である。 意外にもＵが書き換え防止装置の内容を決定可能であり（書き換え防止を無視 することにより）、同一の情報に許されるよりも多く回数使用するならば、Ｂは （ｏ₁＋ｕ₁,ｏ₂＋ｕ₂）を決定可能である。上述のように、これからＩを計算す ることにより、Ｂは２重使用者の身元を決定可能である。 当業者に明らかなように、ｏ₂はＯによりゼロに設定可能（設定を要求可能） である。この場合、引き出しプロトコルにおいて、短く述べると、Ｕはｕ₄をゼ ロに設定可能で、Ｏはｏ₄をゼロに設定可能である。又、βはゼロに設定可能で ある。支払いプロトコルにおいて、この場合γ₁’のみが計算されねばならず、 Ｕに送られねばならない。 引き出しプロトコル 図２９において、Ｏにより援助されるＵとＢとの間で硬貨の支払いプロトコル のフローチャートが詳しく記載される。 ボックス２９１は、（ｇ₁,ｇ₂）に関してそれの表現を知るようなＢ₀にて示さ れる数を生成するため２つの乱数を生成するＯを示す。そしてＯはＢ₀をＵへ送 る。図２１のプロトコルにおけるように、Ｏはボックス２９３にて必要となる前 のいつでもこのステップを実行可能である。 ボックス２９２はボックス２６１に同じである。 ボックス２９３はボックス２６２に同様である。１行目は、一度だけ実行され るのに必要なＩ及びｇ₃の積としてのｍを計算するＵを示す。２行目及び３行目 は、ボックス２６２におけるように、この数がＵにより見えなくされることを示 す。尚、見えなくする数はｓの代わりにαにより示される。その理由はすべての 乱数を示すことにおいて命名法の不一致を避けるためのみである。基本システム にて使用されるように、Ａ及びＢの分割に従い、８行目及び９行目は、Ａ及びＢ を生成するＵを示す。尚、この目的のため、Ｕは上述したように、数Ａ_O及びＢ_O を上記分割へ掛ける。そうでないと、上述したように、別のやり方で、支払いプ ロトコルにおけるＯの援助はＳにて予期される応答を計算することにおいてＵを 助けないであろう。残りの行はボックス２６２におけるものと同じである。 ボックス２９４はボックス２６３に同じであり、ボックス２９５はボックス２６ ４に同じである。 支払いプロトコル 図３０において、Ｏにより援助されるＵとＳとの間の支払いプロトコルに関す るフローチャートが詳細に記述される。 ボックス３０１は、（Ａ,Ｂ）及び上記対における署名をＳへ送るＵを示す。 これはボックス２０１に同じである。 ボックス３０２はボックス２７２に同じである。 ボックス３０３は、ボックス２９３にて生成される乱数を使用することで、Ｕ がどのようにｄを数ｄ’に見えなくするのかを示す。この見えなくされたチャレ ンジはＯへ送られる。 ボックス３０４はボックス２２４に同様である。ボックス３０４は、硬貨を使 用することにおいて以前にＯが助けたか否かをＯが検査することを明記する。第 ２行目は、受領したチャレンジがゼロと異なることを検査するＯを示す。理解さ れるように、ボックス２９３及びボックス３０３における動作は、そのような検 査が必要ないように変更可能である。即ち、この場合、上記ボックスにて明記さ れるようなもの（さらにγ₂’に関する）よりもむしろγ₁’がｄ’ｏ₁＋ｏ₃とし て計算されねばならず、ボックス３０５、３０６における検査がそれに応じて変 化しなければならない。そのような変更は当業者に明らかとなろう。実際に、書 き換え防止部分を含む先のすべての支払いプロトコルにおいて、チャレンジに関 するそのような検査は必要ない。 第３、４行目は、チャレンジｄ’への２つの応答を計算するＯを示し、Ｏは両 方をＵへ送る。そして、Ｏは、メモリからｏ₂を消し、又は少なくとも硬貨を使 用することにおいてＯがかつて援助したことを示すフラグを設定する。 ボックス３０５はボックス２２５に同様である。ボックス３０５の第１行は、 Ｏの応答を検査するＵを示す。もしＯの応答が正しければ、Ｕは次の３行により 明記される方法にて３つの応答γ₁,γ₂及びγ₃を計算する。そしてＵはこの３つ の応答をＳへ送る。 ボックス３０６はボックス２７４に同じである。 預金プロトコル これは上述の拡張におけるものと同じである。 理解されるように、たとえ告発されるユーザの書き換え防止装置がそのような でっちあげの企てにおいてＢを助けるようにプログラムされたとしても、Ｂので っちあげの企てはほとんど成功の可能性がない。即ち、ｕ₁,ｕ₂を決定すること は、たとえそれが実際になされたのとｏ₁,ｏ₂に関して使用された異なる値をＯ が使用したように見せかけたとしても、成功の可能性はほとんどない。 さらに、当業者に明らかなように、ｏ₂,ｏ₄,ｕ₂,及びｕ₄はゼロに設定可能で あり、ｇ₃は１に設定可能である。この場合、でっちあげは保護されるが、Ｂが 「無制限の」計算力を有しない場合に限られる。 この出願にて記載される他のすべての引き出し及び支払いプロトコルのように 、このプロトコルの対におけるＯの動作は、明確に、フィアット／シャミールタ イプの名前確認プロトコルを事実上実行する本発明の技法が適用されるようなも のである。即ち、引き出しプロトコルにおいて、第１の「ラウンド」（round） が起こり、支払いプロトコルにおいて、チャレンジ及び応答のラウンドが起こる 。 １１．４ 拡張：多重使用可能な硬貨 上述の記載から明らかなように、プロトコルは、同じ硬貨が多数回使用される ことが許されるように変更可能である。ｋ回使用可能硬貨に関して、もしＢがｋ ＋１回に関して同じＡ,Ｂを含む支払いの写しを受領したならば、Ｂは上述のよ うに詐欺師の名前確認を見つけ出すことができる。 １１．５ 拡張：電子小切手 再び、説明のため、この拡張は、計算力に独立に、でっちあげに対する保護が 組み込まれたようにここでは記述する。 システムの準備 これは、まさに第１の拡張にて述べたようなものであり、Ｂが、互いからすべ て異なりｇ,ｈ,ｇ₁,及びｇ₂から異なる、Ｇ_qから２ｋの数ｅ_k,ｆ_kを、Ｇ_qから２ つの数ｄ₁,ｄ₂を公開することが付加される。 （ここで、ｄ₁はｇ₃の役割を引き継ぐ。これは、単に命名の目的のものである。 ）より明確には、それらすべての数は、他人が２ｋ＋６の数ｂ_i∈Ｚ_q（すべては ゼ １に等しいようなもの、を計算するのが困難と思われるようなものでなければな らない。前のように、この要求に合わすことは容易である。 このシステムにおける小切手は、Ｕが小切手をどのくらい使用するかを予め知 ることを必要なしに、２^kの異なる量で使用可能である。この目的のため、上述 したように、対（ｅ_i,ｆ_i）に、例えば２^i-1の１／４（quarter）を表現させる ことができる。当業者に明らかなように、セキュリティーのため、Ｂにより使用 される数ｘは、硬貨を証明するために使用される数と異なるものでなければなら ない。 Ｂを用いて口座を開く これは第１の拡張におけるものと同じである。 引き出しプロトコル 図３１において、ＵとＢ間の小切手の引き出しプロトコルに関するフローチャ ートが詳細に記載される。 ボックス３１１は、（ｅ₁,ｆ₁，…，ｅ_k,ｆ_k,ｄ₂）に関して数ｍ₁のランダム な表現を知っているような数ｍ₁を生成するＵを示す。Ｕは、この数をＢへ送る 。 ボックス３１２は、ボックス２６１に同様であるが、ＢがＵの口座でｍ₁を記 録することを付加する。尚、ｄ₁（図２９においてｇ₃で示される）に加えて数ｍ₁ は入力ｍを得るためにＩと乗算される。 ボックス３１３はボックス２６２に同様である。尚、２行目において、積Ｉｄ₁ ｍ₁はＩｄ₁の代わりに使用される。他に唯一異なることは、３行目,４行目,及 び５行目において、Ｕは２つでなくｋ＋１の乱数を生成し、ｍ’のＡ及びＢへの 分割を計算するためにそれらをすべて使用することである。このことは以下のよ うに行われる：ｕ₁ｓ＝ｘ₁＋ｘ₂ｍｏｄｑ,ｕ₂ｓ＝ｙ₁＋ｙ₂ｍｏｄｑ,ｓ＝ｚ₁＋ ｚ₂ｍｏｄｑ,ａ₁ｓ＝α_1A＋α_1Bｍｏｄｑ、ｂ₁ｓ＝β_1A＋β_1Bｍｏｄｑ，…，ａ_k ｓ＝α_kA＋α_kBｍｏｄｑ,ｂ_kｓ＝β_kA＋β_kBｍｏｄｑ,ａ_k+1ｓ＝α_A＋α_Bｍｏ ｄｑ。 これらの等式の右辺における数は、等式が成り立つように、Ｚ_qからランダム 上記ボックスの他の行は、ボックス２６２におけるように他の数を計算するＵ を示す。 ボックス３１４は、ボックス２６３と同じであり、ボックス３１５はボックス ２６４と同じである。 小切手が使用可能な最大量に対応する量に関してＢがＵの勘定を借方に記入す ることは示されていない。 支払いプロトコル 図３２において、ＵとＳの間での小切手の支払いプロトコルのフローチャート が詳細に述べられる。 ボックス３２１はボックス２７１に同じである。Ｕがそれが小切手で支払いを 望む量をＳに知らせることは表示されていない。一般性を欠くことなく、Ｕは（ ｅ₁,ｆ₁），…，（ｅ_j,ｆ_j）、ここで１≦ｊ≦ｋ、に対応する量の使用を望むこ とが仮定されるであろう。 ボックス３２２はボックス２７２に同じである。 ボックス３２３は、ボックス２７３にまったく同じである。異なるのは、上記 ボックスに記されるように、Ｕが２つではなくｋ＋１の応答を計算することであ る。そしてＵはそれらのすべての応答をＳへ送る。 ボックス３２４は、上記応答の正確さを検査するＳを示す。この目的のため、 ＳはＵが使用する小切手の部分に対応するサービスを受け入れかつ提供する。 預金 前のように、Ｓは支払いの写しをＢへ送り、Ｂは正確さを認証する。もし認証 ができ、小切手が以前に使用されていないならば、Ｂは（１≦ｉ≦ｊにて）数（ γ_i1＋γ_i2）（γ_i3＋γ_i4）^-1ｍｏｄｑ をデータベースに格納する。 もし小切手がすでに使用されていたなら、Ｂは上述のように２重使用者の身元 を決定可能である。 払い戻しプロトコル 図３３において、ＵとＢとの間の払い戻しプロトコルのフローチャートが詳細 に記載されている。 小切手の未使用部分に関する払い戻しを得るため、ＵがＢに問題となっている 小切手に対応する数ｍ₁を知らせることは示されていない。 ボックス３３１は、ｍ₁がＵの口座情報とともに記録されることをＢが認証す ることを示す。この場合にのみプロトコルの残りの部分が実行される。明らかに なるように、Ｂにｍ₁を知らせるＵの一部がボックス３３２に組み込まれるなら ば、ボックス３３１がボックス３３３に組み込み可能である。 ボックス３３２は、ｊ＜ｉ≦ｋ、即ち使用されていない小切手の項ｅ_i,ｆ_iに 対応する指数に関して数ａ_i,ｂ_iをＢへ送るＵを示す。図３２の通り、それらは 最後のｋ−ｊ項であると推定される。上記ボックスはまた、（ｅ₁,ｆ₁，…，ｅ_j ,ｆ_j,ｄ₂）に関して数ｚのランダムな表現を知るような数ｚを計算するＵを示す 。明らかになるように、これはボックス１８１における動作に同様である（唯一 の異なる点は他のシンボルが使用されていることである。）。 ボックス３３３の３行目は、Ｕにより送られた数ａ_i,ｂ_iのｋ−ｊの商のいず れもその預金データベース内に存在しないことをＢが認証することを示す。これ に関して、第２行に示されるように、ｂ_iのいずれもゼロに等しくないかもしれ ない。この場合、Ｕは、（ｅ₁,ｆ₁，…，ｅ_j,ｆ_j,ｄ₂）に関してｍ₁／（Π^k _i=j+ ローチャートに記載された明示的なプロトコルは、図１８において明示のために 使用されている。 ボックス３３４は、シンボルが異なるのみでありボックス１８３に同じである 。 最後にボックス３３５は、ボックス１８４に同じであるが、さらに、もしＢが 上記証明を受け入れるならばＢはｍ₁を消しＵにより送られた上記商ａ_i／ｂ_iを そのデータベースにおいてボックス３３２に格納する。この場合Ｂが小切手の使 用されていない部分に対応する量でＵの口座に信用を与えることは示していない 。 当業者に明らかなように、この拡張はわずかな変更にて、追加の書き換え防止 計算装置への拡張を組み込むことができる。この変更を理解するのに２つの基本 的な方法がある。それは、すべての指数の識別がＯとＵの間に共有されるか、又 は、ｇ₁,ｇ₂,ｄ₁の指数だけの識別が共有されＵは（ｄ₂,ｅ₁,ｆ₁，…，ｅ_k,ｆ_k ）の全ての指数を知る。 １１．６ 拡張：匿名の口座 とともに記録される。口座を匿名で開くために、Ｕは、再び制限的なブラインド 署名を使用して、Ｂを用いた前のプロトコルにおいてＩを「引き出し」しなけれ ばならない。このプロトコルは、基本システムにて記載したプロトコルに非常に よく似ている。異なるのは、Ｕが硬貨を引き出すのではなく、仮り名を引き出す ことである。 図３４において、このプロトコルを理解できるフローチャートが記載されてい る。 基本現金システムにおけるように、Ｕがそれ自身を身元確認することは示され ない。 ボックス３４１はボックス２３１に同様である。これはこのプロトコルの前の 実行で使用されない乱数ｕ₁∈Ｚ_qを生成し、Ｕへ送るＢを示す。プロトコルへの 入力ｍは、２行目に記される方法にてこれから計算される。ｚ,ａ,ｂへの割り当 てはボックス２３１におけるように計算される。当業者に明らかなように、でっ とにより組み込み可能である。 ボックス３４２はボックス２３２に同様である。しかしながらボックス２４２ におけるように、Ｕはｍを乱数に上げる（raise）ことによりｍのみをブライン ドする。 ボックス３４３はボックス２３３に同じであり、ボックス３４４はボックス２ ３４に同じである。数ｍ^γはＩにより示される。これはＵの認証された仮り名で ある（ＵはＢの署名を有するからである）。 口座を開くための手続きにおいて、Ｕはもはや自分自身の名前確認をしない。 Ｂは、Ｉが認証され、Ｕが、前のように、（ｇ₁,ｇ₂）に関してＩの表現を知る ことを（任意的に）証明しなければならないことの認証のみを行う。引き出しプ ロトコルにおいてＵは口座の所有者であることを証明可能であり、お金はこの方 法においても引き出されるであろう。 システムの残りは上述したようなものである。 等しくなるであろう。もしＵが２重使用ならば、Ｂはｕ₁を計算可能であり、し たがって２重使用者の名前確認ができる（仮り名の発行プロトコルにて使用され るデータベースを検索することにより）。 上記プロトコルのこの実現において、Ｂはγも計算可能であり、したがって２ 重使用におけるＩを計算でき、よってＢは２重使用者の口座を知ることもできる であろう。当業者に明らかになるように、この技法への種々の簡単な変更がある 。それを行うことにおいて有利な点があるか否かの問題は別として、プロトコル は２重使用者の口座ではなく身元のみが明らかになるであろうように変更可能で ある。 容易に明らかになるように、でっちあげに対する保護でさえこのシステムにて Ｂへ送られる。この場合ボックス３４１においてＢはさらにｍを計算可能である ことを特筆する。 さらに、当業者に明らかになる簡単な変更は、Ｂの計算力に無関係に、でっち あげの企てに対して口座保有者を保護するために十分である。この目的のため、 ＊ ＊ ＊ これは２つの好ましい実施形態の詳細な記載を含んでいる。本発明のこれらの 記載は例として与えられるものであり、本発明の思想及び権利範囲から離れるこ となく使用可能な種々の変更、別の態様、及び等価なものが当業者により明らか になるであろう。例えば、表現を決めるための基本的に等価な命令、表現を決め る方法、フローチャートボックス内の表現、検査、及び伝送を指示する方法、フ ローチャートボックスへ動作を分類する方法、及びフローチャートボックスを指 示する方法が多く存在する。ここでなされる特別な選択は、単に解説を明らかに するためのものである。そのような種々の変更、別の態様、及び等価なものは本 文に示されている。 確実な変形や置換が当業者に明らかであろう。そのような確実な変形や置換は 本書に示され、しばしば詳細に記述されている。一つ若しくは複数のボックスに 存在し示される２つの動作間で特別に検査が実行されることは必ずしも必要では ない。 ここに開示される本発明の技法及びプロトコルの部分が、信用証明メカニズム 若しくは現金システムのすべてのプロトコルを必要とすることなくどのように有 利に使用可能であるかは、当業者に明らかになるであろう。このことは幾つかの 例の見方にてより十分に明らかになるであろう。４節において、ユーザにより知 られている多数の表現に依存する種々のものを証明するため、両方の好ましい実 施形態に適用可能な多くの技法が記述されている。これらの技法及びそれらの対 応するプロトコルは、ブラインド署名プロトコルに関連して使用される必要は必 ずしもない。例えば、もし、伝送された信用証明書（credential）を結合するこ とにおいて組織を助けることによりそれらのプライバシーを傷つけないためにユ ーザに信頼可能な認証利用者により署名がなされる場合、上記信用証明書は通常 のデジタル署名によって発行可能である。実際、このことは、記述されたプロト コルにおいて、それぞれのブラインド署名プロトコルのフローチャートのそれぞ れの第２ボックスにて、ユーザにより選択されたブラインドする要素を固定値に 設定することにより理解可能である。このことは、プライバシーを任意とするた めの方法として、詳細な説明にて記述された。この場合認証者は結合にて助けな いが、プライバシーは依然として保証される。

───────────────────────────────────────────────────── フロントページの続き (81)指定国 ＥＰ(ＡＴ，ＢＥ，ＣＨ，ＤＥ， ＤＫ，ＥＳ，ＦＲ，ＧＢ，ＧＲ，ＩＥ，ＩＴ，ＬＵ，Ｍ Ｃ，ＮＬ，ＰＴ，ＳＥ)，ＯＡ(ＢＦ，ＢＪ，ＣＦ，ＣＧ ，ＣＩ，ＣＭ，ＧＡ，ＧＮ，ＭＬ，ＭＲ，ＮＥ，ＳＮ， ＴＤ，ＴＧ)，ＡＰ(ＫＥ，ＭＷ，ＳＤ)，ＡＭ，ＡＵ， ＢＢ，ＢＧ，ＢＲ，ＢＹ，ＣＡ，ＣＮ，ＣＺ，ＦＩ，Ｇ Ｅ，ＨＵ，ＪＰ，ＫＧ，ＫＰ，ＫＲ，ＫＺ，ＬＫ，ＬＴ ，ＬＶ，ＭＤ，ＭＧ，ＭＮ，ＮＯ，ＮＺ，ＰＬ，ＲＯ， ＲＵ，ＳＩ，ＳＫ，ＴＪ，ＴＴ，ＵＡ，ＵＳ，ＵＺ，Ｖ Ｎ

Claims (1)

1. 【特許請求の範囲】 １．第１の利用者と第２の利用者の間の情報認証用プロトコルを提供する方法 であって、数ベクトルの関数の逆関数は、該関数が第１の通信装置について逆関 数化するのが実質的に困難である場合に、該関数に関する数ベクトルの表現と呼 ばれており、該方法は以下のステップを備える： 第１の利用者に知られている第１の数ベクトルを、第２の利用者が第１数ベク トルの不等関数（non-constant function）f₁、該関数は身元確認関数でありう る、を知っているように決定する； 第１の数ベクトルを第１の利用者によって第２の数ベクトルに変換する、該変 換は第１の利用者がランダムに選んだ数を含んでおり、第１の利用者はある関数 ｆ₂に関して第２の数ベクトルの表現を知っている； 第１の数ベクトルの関数f₁を第２の利用者によって第３の数ベクトルに変換す る、該変換は第２の利用者の秘密キイを含み、該変換は第１の利用者との相互作 用（interaction）を必要とする； 第３の数ベクトルを第２の利用者によって第１の利用者に送信する；及び 第１の利用者によって第３の数ベクトルを第４の数ベクトルに、第４の数ベク トルが、第２の利用者の秘密キイに対応する公開キイを含む関係に従って第２の 数ベクトルに対応するように変換する、ここで、 第１の数ベクトルの不等関数Ｉ₁は、第１の数ベクトルの第２の数ベクトルへ の変換において第１の利用者により行われたランダムな選択にも拘わらず、第１ の利用者によって知られている第２の関数f₂に関しての第２の数ベクトルの表現 の不等関数Ｉ₂に等しい； 実質的に各第１の数ベクトルについて及び実質的に各第２の数ベクトル及び第 ２の利用者の公開キイを含む関係に従って第２の数ベクトルに対応する第４の数 ベクトルについて、第１の数ベクトルの第２の数ベクトルへの変換における第１ の利用者の少なくとも１セットのランダム選択が存在し、第１の利用者は、第１ の数ベクトルの第２の数ベクトルへの変換における少なくとも１セットのランダ ム選択を適用した場合に第２，第４の数ベクトルを知りうるようになっている； 及び 第１の利用者が、第２の利用者の協力なしに、関数f₂に関しての表現を第１の 利用者が知っている数ベクトルと、第２の利用者の公開キイを含む関係に従って 該数ベクトルに対応する数ベクトルを生成することは実質的に不可能であるよう になっている。 ２．第１の利用者は、第２の利用者の協力なしに、第２の数ベクトルおよび第 ２の利用者の公開キイを含む関係に従って第２の数ベクトルに対応する第４の数 ベクトルを実行的に生成することができる、請求項１記載の方法。 ３．プロトコルの新たな実行のための第１の数ベクトルは、第１の利用者に知 られている、上記関数f₂について少なくとも１つの第２の数ベクトルの表現の不 等関数として決定され、上記少なくとも１つの第２の数ベクトルは、プロトコル の先の実行において第１の利用者により知られている、請求項１記載の方法。 ４．第２の数ベクトルが第１の利用者によってある仮り名として用いられるの で、上記プロトコルは仮り名発行プロトコルと称される、請求項１記載の方法。 ５．第１の利用者に知られている関数f₂に関しての第２の数ベクトルの表現の 関数Ｉ₂は、第１の利用者の資格認証（credentials）の特定のセットを表すので 、第１の利用者は、第２の数ベクトルにおいて、資格認証のセットを保持する、 請求項１記載の方法。 ６．第１の数ベクトルは、第１の数ベクトルの関数Ｉ₁が、第２の利用者が第 １の利用者に対して発行する資格認証のセットを特定するように決定されるので 、第２の利用者により、資格認証のセットが第２の数ベクトルに備え付けられて いる、請求項１記載の方法。 ７．プロトコルの新たな実行における第１の数ベクトルは、第１の利用者の資 格認証が更新される値を特定する数ベクトルと、第１の利用者に知られている関 数f₂に関する第２の数ベクトルの表現との関数として決定されるので、第２の数 ベクトルにおいて第１の利用者により保持されている資格認証のセットは、新た なプロトコルの実行において更新される、請求項５記載の方法。 ８．第２の利用者は、第１の利用者により、第２の数ベクトルに保持された資 格認証のセットを知らない、請求項７記載の方法。 ９．第２の利用者は、第１の利用者の資格認証が更新される数値を特定する数 ベクトルを知らない請求項７又は８記載の方法。 １０．第１の利用者は、関数f₂に関して第２の数ベクトルの表現を知るために 必然的に協同しなければならない少なくとも２つの利用者からなる、請求項１か ら７のいずれか１つに記載の方法。 a_k+1 ^νが数ベクトル（m₀,Ｂ₁,...,Ｂ_l）の不等関数f₃に等しくなるような数ベク トル（a₁,...,a_k；a_k+1）である、ここで、 数kと1は０に等しいか０より大きい； f₃(m_0,Ｂ₁,...,Ｂ_l)は、Ｚ_n ^*で表され、整数モジュロnの有限群と呼ばれる 、数学構造体の１要素である； 数nは少なくとも２つの大きな素数の積である； 数Ｙ₁,...,Ｙ_kは有限群Ｚ_n ^*の要素である； 数νは正の整数である； 数a₁,...,a_kは、Ｚ_νで表され、整数モジュロνの環と呼ばれる数学構造体 の要素である；及び 数a_k+1はＺ_n ^*の要素である。 １２．数νは有限群Ｚ_n ^*の要素の数に対して共役素数である請求項１１記載の 方法。 １３．数νは偶数である請求項１１記載の方法。 １４．m₀は有限群Ｚ_n ^*の要素であり、f₃(m₀,Ｂ₁,...,Ｂ_l)はm₀に等しい請求項 １１記載の方法。 １５．第２の利用者の公開キイは、有限群Ｚ_n ^*からの数Ｘとハッシュ関数Ｈか らなり、第２の利用者の秘密キイは、数Ｘ,Ｙ₁,...,Ｙ_kもしくは数nの素因数分 解の各々のモデュロnのν乗根からなり、第２の利用者を含む関係が、その関係 にしたがって第４の数ベクトルが第２の数ベクトルに対応し、b^ν＝(Ｘm)^caもし くはb^ν＝Ｘm(a)^cの関係が成立すると満足される； ここで、aとbは有限群Ｚ_n ^*の数であり； cはＨ(m₀,Ｂ₁,...,Ｂ_l,a)を表し、(m₀,Ｂ₁,...,Ｂ_l)は第２の数ベクトルを 示し；及び mはf₃(m₀,Ｂ₁,...,Ｂ_l)を表す、請求項１１記載の方法。 １６．第２の利用者の公開キイは、有限群Ｚ_n ^*からの数Ｘとハッシュ関数Ｈか らなり、第２の利用者の秘密キイは、数Ｘ,Ｙ₁,...,Ｙ_k又は数nの素因数分解の 各々のモジュロnのν乗根からなり、第２の利用者の公開キイを含む関係が、そ の関係に従って第４の数ベクトルが第２の数ベクトルに対応しており、b^ν＝(Ｘ a)^cm又はb^ν＝Ｘa(m)^cの関係が成立したときに、満足される、 ここで、 aとbは有限群Ｚ_n ^*の数であり； cはＨ(m₀,Ｂ₁,...,Ｂ_l,a)を表し、(m₀,Ｂ₁,...,Ｂ_l)は第２の数ベクトルを 表し； mはf₃(m₀,Ｂ₁,...,Ｂ_l)である、 請求項１１記載の方法。 １７．第２の利用者の公開キイは、有限群Ｚ_n ^*からの数Ｘとハッシュ関数Ｈと からなり； 第２の利用者の秘密キイは、数Ｙ₁,...,Ｙ_kの各々のν乗根と数ベクトル（s₁, . 数s₁,...,s_jは環Ｚ_νの要素であり； 数S_j+1は有限群Ｚ_n ^*の要素であり； 数Ｚ₁,...,Ｚ_jは有限群Ｚ_n ^*の要素であり；及び 数jは１に等しいかそれより大きい、 又は、第２の利用者の秘密キイは、数nの素因数分解であり；及び 第２の利用者の公開キイを含む関係は、その関係に従って第４の数ベクトルが aとb_j+1は有限群Ｚ_n ^*の数であり； b₁,...,b_jは環Ｚ_νの数であり； cはＨ(m₀,Ｂ₁,...,Ｂ_l,a)を示す、(m₀,Ｂ₁,...,Ｂ_l)は第２の数ベクトルを 示し；及び mはf₃(m₀,Ｂ₁,...,Ｂ_l)を示している、請求項１１記載の方法。 １８．第２の利用者の公開キイは、有限群Ｚ_n ^*からの数Ｘとハッシュ関数Ｈと からなり； 第２の利用者の秘密キイは、数Ｙ₁,...,Ｙ_kの各々のν乗根と数ベクトル（s₁, . 数s₁,...,s_jは環Ｚ_νの要素であり； 数s_j+1は有限群Ｚ_n ^*の要素であり； 数Ｚ₁,...,Ｚ_jは有限群Ｚ_n ^*の要素であり；及び 数jは１に等しいかそれより大きい、 又は、第２の利用者の秘密キイは、数nの素因数分解であり；及び 第２の利用者の公衆キイを含む関係は、その関係に従って第４の数ベクトルが aとb_j+1は有限群Ｚ_n ^*の数であり； b₁,...,b_jは環Ｚ_νの数であり； cはＨ(m₀,Ｂ₁,...,Ｂ_l,a)を示す、(m₀,Ｂ₁,...,Ｂ_l)は第２の数ベクトルを 示し；及び mはf₃(m₀,Ｂ₁,...,Ｂ_l)を示している、請求項１１記載の方法。 数ベクトル（m₀,Ｂ₁,...,Ｂ_l）の不等関数f₃に等しくなる（a₁,...,a_k）の数ベ クトルであり、ここで、 数1は０か０より大きく； 数kは１か１より大きく； f₃(m₀,Ｂ₁,...,Ｂ_l)は、q個の要素を持ち、Ｇ_qで表され、次数qの有限群と 称される数学構造体の要素であり； 数g₁,...,g_kはＧ_qの要素であり；及び 数a₁,...,a_kは、Ｚ_qで表され、整数モジュロqの環と称される数学構造体の 要素である、 請求項１記載の方法。 ２０．数qは素数である請求項１９記載の方法。 ２１．Ｇ_qは有限群Ｚ_p ^*の部分群であり； 数pは、（p−1）が少なくとも２個の大きな素数を有し、そのうちの１つはqに 等しい； 第１の利用者が、数（p−1）の素数を決定することは不可能であり；及び 環Ｚ_q内の数の線形結合は、第１の利用者による計算されたモジュロ（p−1） である、請求項２０に記載の方法。 ２２．m₀は有限群Ｇ_qの要素であり、f₃(m₀,Ｂ₁,...,Ｂ_l)はm₀に等しい、請求 項１９に記載の方法。 ２３．第２の利用者の公開キイは、有限群Ｚ_qからの２つの数gとh及びハッシ ュ関数Ｈからなり； 第２の利用者の秘密キイは、数gに関して数hの環Ｚ_qにおける離散対数からな り;及び 第２の利用者の公開キイを含む関係は、その関係にしたがって、第４の数ベク トルが第２の数ベクトルに対応しており、g^γ＝(hm)^ca又はg^γ＝hm(a)^cが成立す ると満足され、ここで、 aは有限群Ｇ_q内の数であり； cはＨ(m₀,Ｂ₁,...,Ｂ_l,a)を表し、(m₀,Ｂ₁,...,Ｂ_l)は第２の数ベクトルを 表し； γは環Ｚ_q内の数であり；及び mはf₃(m₀,Ｂ₁,...,Ｂ_l)を表す、 請求項１９に記載の方法。 ２４．第２の利用者の公開キイは、有限群Ｚ_qからの２つの数gとh及びハッシ ュ関数Ｈからなり； 第２の利用者の秘密キイは、数gに関して数hの環Ｚ_qにおける離散対数からな り；及び 第２の利用者の公衆キイを含む関係は、その関係にしたがって、第４の数ベク トルが第２の数ベクトルに対応しており、g^γ＝(ha)^cm又はg^γ＝ha(m)^cが成立す ると満足され、ここで、 aは有限群Ｇ_q内の数であり； cはＨ(m₀,Ｂ₁,...,Ｂ_l,a)を表し、(m₀,Ｂ₁,...,Ｂ_l)は第２の数ベクトルを 表し； γは環Ｚ_q内の数であり；及び mはf₃(m₀,Ｂ₁,...,Ｂ_l)を表す、 請求項１９に記載の方法。 ２５．第２の利用者の公開キイは、有限群Ｚ_qからの２つの数gとh及びハッシ ュ関数Ｈからなり； 第２の利用者の秘密キイは、数gに関して数hの環Ｚ_qにおける離散対数からな り；及び 第２の利用者の公開キイを含む関係は、その関係にしたがって、第４の数ベク トルが第２の数ベクトルに対応しており、g^γ＝h^ca及びm^γ＝z^cbの両方又はg^γ ＝ha^c及びm^γ＝za^cの両方が成立すると満足され、ここで、 cはＨ(m₀,Ｂ₁,...,Ｂ_l,a)を表し、(m₀,Ｂ₁,...,Ｂ_l)は第２の数ベクトルを 表し； γは環Ｚ_q内の数であり；及び z,aおよびbは有限群Ｇ_q内の数であり； mはf₃(m₀,Ｂ₁,...,Ｂ_l)を表す、 請求項１９に記載の方法。 ２６．第２の利用者の公開キイは、有限群Ｇ_qからの数hとハッシュ関数Ｈから なり； に等しく、ここで、 数s₁,...,s_jは環Ｚ_qの要素であり； 数f₁,...,f_jは有限群Ｇ_qの要素であり；及び 数jは２に等しいかそれ以上であり；及び 第２の利用者の公開キイを含む関係は、その関係に従って第４の数ベクトルが したときに満足される、ここで aは有限群Ｇ_q内の数であり； cはＨ(m₀,Ｂ₁,...,Ｂ_l,a)を表し、(m₀,Ｂ₁,...,Ｂ_l)は第２の数ベクトルを 示し； γ₁,...,γ_jは環Ｚ_q内の数であり；及び mはf₃(m₀,Ｂ₁,...,Ｂ_l)を表す、 請求項１９に記載の方法。 ２７．第２の利用者の公開キイは、有限群Ｇ_qからの数hとハッシュ関数Ｈから なり； に等しく、ここで、 数s₁,...,s_jは環Ｚ_qの要素であり； 数f₁,...,f_jは有限群Ｇ_qの要素であり；及び 数jは２に等しいかそれ以上であり；及び 第２の利用者の公開キイを含む関係は、その関係に従って第４の数ベクトルが したときに満足される、ここで aは有限群Ｇ_q内の数であり； cはＨ(m₀,Ｂ₁,...,Ｂ_l,a)を表し、(m₀,Ｂ₁,...,Ｂ_l)は第２の数ベクトルを 示し； γ₁,...,γ_jは環Ｚ_q内の数であり；及び mはf₃(m₀,Ｂ₁,...,Ｂ_l)を表す、 請求項１９に記載の方法。 ２８．第１の利用者と第３の利用者との間のプロトコルを与え、第１の利用者 に知られている、関数f₀に関して第１の数ベクトルの表現の記述（predicate） を試験する方法であって、数ベクトルの関数の逆関数が、その関数が少なくとも 第１の利用者について逆関数化するのが実質的に困難であるときに、その関数に 関する数ベクトルの表現と称され、該方法は以下のステップからなる： 第３の利用者に対し、第１の利用者が、第２の利用者の公開キイを含む関係 に従って第２の数ベクトルが第１の数ベクトルに対応していることを知っている ことを証明する、この証明は、単に第２の数ベクトルを知らせることによって達 成される；及び 第３の利用者に対し、第１の利用者が、関数f₂に関して第１の数ベクトルの 関数f₁の表現を知っていることを証明する； ここで、試験は第１の利用者と第３の利用者との間の以下のような相互作用を 必要とする、 第１の利用者に知られている、第３の利用者によって試験される関数f₀に関 する第１の数ベクトルの表現の特定の記述を関数f₁とf₂が決定し；及び 第１と第２の数ベクトルが第２の利用者の協力で得られたときにのみ、第１ の利用者が第１の数ベクトルの試験を合格させることができる。 ２９．第３の利用者による第１の数ベクトルの繰返しの試験は、第３の利用者 をして、第１の利用者に知られている、関数f₀に関する第１の数ベクトルについ ての表現又はその表現の不等関数を決定することを不可能とする、請求項２８に 記載の方法。 ３０．第１の数ベクトルが第３の利用者によって試験される回数が、１回もし くはそれ以上である所定の回数を越えた場合、第１の利用者に知られた、関数f₀ に関する第１の数ベクトルの表現の不等関数は、第３の利用者によって効率的に 演算されうる、請求項２８に記載の方法。 ３１．第１の利用者に知られている、関数f₀に関する第１の数ベクトルの表現 の不等関数は、第１の利用者により、プロトコルの第１回の実行中に第３の利用 者に告知される；及び 第１回のプロトコルの実行中にいかなる関連情報も第３の利用者に対して告知 されない関数に関する第１の数ベクトルについての表現の不等関数が存在する、 請求項２８に記載の方法。 ３２．第１の利用者が、第１の数ベクトルの試験を合格させるために、必然的 に協力しなければならない少なくとも２つの利用者からなる、請求項２８に記載 の方法。 ３３．第１の利用者は、第２の利用者の協力なしに、第１の数ベクトルと、第 ２の利用者の公開キイを含む関係に従って第１の数ベクトルに対応する第２の数 ベクトルとを容易に生成することができる、請求項２８に記載の方法。 ３４．プロトコルの実行中に第３の利用者からみて、発せられたメッセージの セットが、第２の利用者を巻込むことなしに、第２の利用者が第１，第２の数ベ クトルの生成に関与したときの確率分布とは明確に区別できる確率分布で容易に 生成される、請求項３３に記載の方法。 ３５．第１の利用者に知られている、関数f₀に関する第１の数ベクトルの表現 の不等関数は、第２の利用者により第１の利用者に対して発行された信用状のセ ットを表している；及び 関数f₁とf₂が、第３の利用者によって試験される第１の利用者の資格認証の特 定の記述を特定する、請求項２８から３４の一つに記載の方法。 a_k+1 ^νが数ベクトル（m₀,Ｂ₁,...,Ｂ_l）の不等関数f₃に等しくなるような数ベク トル（a₁,...,a_k；a_k+1）であり、ここで、 数kと1は０に等しいか０より大きく； f₃(m₀,Ｂ₁,...,Ｂ_l)は、Ｚ_n ^*で表され、整数モジュロnの有限群と称される 数学構造体の要素であり； 数nは、少なくとも２つの大きな素数の積であり； 数Ｙ₁,...,Ｙ_kは有限群Ｚ_n ^*の要素であり； 数νは正の整数であり； 数a₁,...,a_kは、Ｚ_νで表され、整数モジュロνの環と称される数学構造体 の 要素であり；及び 数a_k+1はＺ_n ^*の要素である、 請求項２８に記載の方法。 ３７．数νは、有限群Ｚ_n ^*の要素の数に対して共役素数（co-prime）である、 請求項３６に記載の方法。 ３８．数νは偶数である、請求項３６に記載の方法。 ３９．m₀は有限群Ｚ_n ^*の要素であり、f₃(m₀,Ｂ₁,...,Ｂ_l)はm₀に等しい、請求 項３６に記載の方法。 ４０．第１の利用者が、第３の利用者に対して、関数f₂に関する数ベクトル（ m₀,Ｂ₁,...,Ｂ_l）の表現（a₁,...,a_k；a_k+1）を知っていることを以下の方法に より証明する； それについて数ベクトル（b₁,...,b_k；b_k+1）を知っている、有限群Ｚ_n ^*内 _k+1)は第３の利用者にとって予測不可能である； 環Ｚ_ν内の挑戦数（challenge number）cに対応するk個の応答数（response number）γ₁,...,γ_kを告知する、γ_iは1≦i≦kのときca_i＋b_i mod νに等しい ；及び 数γ_k+1を告知する、 請求項３６に記載の方法。 ,Ｚ_jは第２の利用者によって決定された有限群Ｚ_n ^*の要素である；及び ０に等しいかそれより大きいkについて、数Ｙ₁,...,Ｙ_kの各々は、集合｛Ｚ₁, ...,Ｚ_j｝内の数のべき乗とそれらの逆数との積である、 請求項３６に記載の方法。 ４２．関数f₂に関する数ベクトル（m₀,Ｂ₁,...,Ｂ_l）の表現は数ベクトル（a₁ , しい、 ここで、 数1は０に等しいか０より大きく； 数kは１に等しいか１より大きく； f₃(m₀,Ｂ₁,...,Ｂ_l)は、Ｇ_qで表され、次数qの有限群と称される、q個の要 素を有する数学構造体の要素であり； 数g₁,...,g_kはＧ_qの要素であり；及び 数a₁,...,a_kはＺ_qで表され、整数モジュロqの環と称される数学構造体の要 素である、 請求項２８に記載の方法。 ４３．数qは素数である、請求項４２に記載の方法。 ４４．Ｇ_qは有限群Ｚ_p ^*の部分群であり； 数pは（p−1）がそのうちの一つがqに等しい少なくとも２つの大きい素数を 有する素数であり； 第１の利用者が数（p−1）の素因数分解を決定することが不可能であり；及 び環Ｚ_q内の数の線形結合が第１の利用者により演算されたモジュロ（p−1）で ある、 請求項４３に記載の方法。 ４５．m₀が有限群Ｇ_qの要素であり、f₃(m₀,Ｂ₁,...,Ｂ_l)がm₀に等しい、請求 項４２に記載の方法。 ４６．関数f₂に関する数ベクトル（m₀,Ｂ₁,...,Ｂ_l）の表現（a₁,...,a_k）を 知っていることを第１の利用者が第３の利用者に以下の方法で証明する、 それについて数ベクトル(b₁,...,b_k)を知っている有限群Ｇ_q内の数Ｂを与 不可能である；及び γ_iが1≦i≦kのときca_i＋b_i mod qに等しいような、環Ｚ_q内の挑戦数cに対 応するk個の応答数γ₁,...,γ_kを告知する、 請求項４２に記載の方法。 の利用者によって決定された、有限群Ｇ_qの要素であり；及び １に等しいかそれより大きいkについて、数g₁,...,g_kの各々は、集合｛e₁,. ..,e_j｝内の数のべき乗とそれらの逆数との積である、 請求項４２に記載の方法。 ４８．第１の利用者が、第２の利用者に対し、数ベクトルについてのいかなる 付加情報なしに、ある数ベクトルを証明するプロトコルを与える方法であって、 ここで、 数ベクトルは、kが１に等しいかより大きい整数であるとして、（u₁,...,u_k ）で表され； 数u₁,...,u_kの各々は、νが正の整数であるとして、整数モジュロνの環と 呼ばれ、Ｚ_νで表される数学構造体の要素であり； 数ベクトル（Ｚ₁,...,Ｚ_k）は第１の利用者と第２の利用者に知られており ； 数Ｚ₁,...,Ｚ_kの各々は、nが少なくとも２つの素数の積であるとして、整数 モジュロnの有限群と呼ばれ、Ｚ_n ^*で表される数学構造体の要素であり；及び 第１の利用者は、u_k+1が有限群Ｚ_n ^*の要素であるとして、Ａで表されるべ u_k）に拘束されており、 該方法は、以下のステップを含む： 第１の利用者によって、第２の利用者に対し、Ａの関数f₁がべき乗の積Ｙ₁ ていることを証明する、 ここで、 １に等しいか１より大きい1について、数Ｙ₁,...,Ｙ_lの各々が、集合｛Ｚ₁, ...,Ｚ_k｝内の数のべき乗とそれらの逆数との積であり； Ａの関数f₁は、集合｛Ａ₁,Ｚ₁,...,Ｚ_k｝内の数のべき乗とそれらの逆数と の積であり；及び ベクトル（Ｙ₁,...,Ｙ_l）と関数f₁は、第１の利用者が証明する数ベクトル （u₁,...,u_k）についての記述を一緒に特定する。 ４９．第１の利用者が、第２の利用者に対し、数ベクトル（a₁,...,a_l；a_l+1 ）を知っていることを以下によって証明する； 有限群Ｚ_n ^*について第１の利用者が数ベクトル（b₁,...,b_l；b_l+1）を知っ しく、かつ（b₁,...,b_l；b_l+1）は第２の利用者にとって実質的に予測できない ； 1≦i≦1について、γ_iがca_i＋b_i mod νに等しいような、環Ｚ_ν内のチャレ ンジ数cに対応する1個の応答数γ₁,...,γ_lを告知する；及び 数γ_l+1を告知する。 ５０．第１の利用者が、第２の利用者に対し、数ベクトルについてのいかなる 付加情報なしに、ある数ベクトルを証明するプロトコルを与える方法であって、 kが１か１より大きい整数であるとして、数ベクトルが（u₁,...,u_k）で表さ れ； 数u₁,...,u_kの各々は、qが正の整数であるとして、整数モジュロqの環と呼 ばれ、Ｚ_qで表される数学構造体の要素であり； 数ベクトル（e₁,...,e_k）は、第１の利用者と第２の利用者に知られており ； 数e₁,...,e_kの各々は、qが正の整数であるとして、次数qの有限群と呼ばれ 、Ｇ_qで表される数学構造体の要素であり；及び て数ベクトルに拘束される、 該方法は、以下のステップを含む： する、 ここで、 ０に等しいか０より大きい1について、数g₁,...,g_lの各々が、集合｛e₁,... ,e_k｝内の数のべき乗とそれらの逆数との積である；及び ベクトル（g₁,...,g_l）と関数f₁とは、一緒に、第１の利用者が証明する数 ベクトル（u₁,...,u_k）の記述を特定する方法。 ５１．第１の利用者が、第２の利用者に対し、以下により、数ベクトル（a₁,. ..,a_l）を知っていることを証明する、請求項５０に記載の方法： 有限群Ｚ_n ^*について、第１の利用者が、数ベクトル（b₁,...,b_l）を知って b_l）が第２の利用者にとって実質的に予測不可能である；及び 1≦i≦1についてγ_iがca_i＋b_i mod qに等しいような、環Ｚ_q内のチャレンジ 数に対応する1個の応答数γ₁,...,γ_lを告知する。 ５２．少なくとも一つの第１の利用者と少なくとも一つの第２の利用者との間 で認証された情報の電子転送を実行する方法であって、少なくとも一つの第３の 利用者は情報認証用の第１のプロトコルと認証された情報を試験するための第２ のプロトコルを使用し、ここで、数ベクトルの関数を逆関数化することが、少な くとも第１の利用者にとって実質的に困難であるならば、数ベクトルの関数の逆 関数が、該関数に関する数ベクトルの表現と呼ばれる、 該方法は、以下のステップからなる： 第２の利用者は、第１の数ベクトルの不等関数f₁（これは身元確認関数でも よい）を知っているような、第１の利用者に知られている第１の数ベクトルを第 １のプロトコル内において決定する； 第１の利用者により、第１のプロトコル内において第１の数ベクトルを第２ の数ベクトルに変換する、該変換は、第１の利用者が、関数f₂に関する第２の数 ベクトルの表現を知っているような、第１の利用者によりランダムに選ばれる数 を含んでいる； 第２の利用者により、第１のプロトコルにおいて第１の数ベクトルの関数f₁ を第３の数ベクトルに変換する、該変換は、第２の利用者の秘密キイを含み、第 １の利用者との相互作用を要求することができる； 第２の利用者によって、第１のプロトコルにおいて、第３の数ベクトルを第 １の利用者に通信する； 第１の利用者によって、第１のプロトコルにおいて、第３の数ベクトルを第 ４の数ベクトルに変換する、ここで、第４の数ベクトルは、第２の利用者の秘密 キイに対応する公開キイを含む関係に従って第２の数ベクトルに対応する； 第１の利用者により、第２の利用者の公開キイを含む関係に従って第２の数 ベクトルに対応する数ベクトルを知っているということを、第２のプロトコルに おいて第３の利用者に対し証明する、ここで、証明は単に第４の数ベクトルを告 知することによって実行することができる；及び 第１の利用者により、関数f₄に関する第２の数ベクトルの関数f₃の表現を知 っているということを、第２のプロトコルにおいて、第３の利用者に対し証明す る； ここで、 第１の数ベクトルの不等関数Ｉ₁は、第１の数ベクトルの第２の数ベクトル への変換において、第１の利用者により行われたランダムな選択に関係なしに、 第１の利用者に知られた、関数f₂に関する第２の数ベクトルの表現の不等関数Ｉ₂ に等しく； 第２のプロトコルにおいて、第３の利用者により試験される関数f₂に関する 、第１の利用者に知られている、第２の数ベクトルの表現の関数Ｉ₂の関数の特 定の記述を関数f₃とf₄が決定する； 第２のプロトコルの第１回の実行中に第３の利用者に告知された情報は、第 ２のプロトコルの第１回の実行中に試験される第２の数ベクトルを得る第１のプ ロトコルの実行中に第１の利用者が使用した特定の第１の数ベクトルの関数f₁と の一意対応関係に持ち込まれ得ない；及び 第２と第４の数ベクトルが、第１のプロトコルの実行中に得られたときにの み、第１の利用者が第２のプロトコルにおいて第２の数ベクトルの試験を合格さ せることができる。 ５３．第２のプロトコルの実行中に、第３の利用者により任意の多数回、第２ の数ベクトルが試験されたとしても、第２のプロトコルの実行中において第３の 利用者に対して告知された情報を、第１の数ベクトルの関数f₁と一意対応関係に 持ち込むことが実質的に実行不可、即ち不可能のままである、請求項５２に記載 の方法。 ５４．第３の利用者により、第２のプロトコルの実行中に第２の数ベクトルが 試験される回数が、１か１より大きい所定の境界を越えたならば、第２の数ベク トルは第１の数ベクトルの関数と一意対応関係に持ち込まれる、請求項５２に記 載の方法。 ５５．第３の利用者により、第２のプロトコルの実行中に第２の数ベクトルが 試験される回数が、１か１より大きい所定の境界を越えたならば、第２の数ベク トルは第１の数ベクトルと一意対応関係に持ち込まれる、請求項５２に記載の方 法。 ５６．第１の数ベクトルの関数のみが与えられた第２の利用者と、第１のプロ トコルの実行中に第１の利用者により告知された情報によって、第１の数ベクト ルを決定することは、実質的に実行不能、即ち不可能であるため、第２の利用者 による第１の数ベクトルの知識は、公平な利用者にとって、第２の数ベクトルが 所定の境界を越える回数試験されたことの正当な証明とすることができる、請求 項５５に記載の方法。 ５７．第２の数ベクトルが、第３の利用者を相手とした第１の利用者の仮り名 として用いられる、請求項５２に記載の方法。 ５８．第１のプロトコルの新規の実行のための第１の数ベクトルは、第１の利 用者に知られた、関数f₂に関する少なくとも１つの第２の数ベクトルの表現の不 等関数として決定され、ここで、少なくとも１つの第２の数ベクトルは、第１の プロトコルの先の実行中に第１の利用者により獲得されている、請求項５２に記 載の方法。 ５９．第１のプロトコルが少なくとも２回実行され、第１のプロトコルの先の 実行中に得られた少なくとも１つの第２の数ベクトルが、第３の利用者を相手と した第１の利用者の仮り名として用いられ、第２のプロトコル中に第１の利用者 は、第１のプロトコルの新規の実行中にその仮り名の１にのみ対応し、かつ第１ の他の利用者の仮り名に対応することなく、得られる第２の数ベクトルの試験を 、以下の理由により、合格させることができる； 第１の利用者は、第１の数ベクトルを第２の数ベクトルに変換するときに、 第１のプロトコルの新規の実行において既に上記仮り名に拘束されていなければ ならない；及び 関数f₃は第１のプロトコルの新規の実行において得られる第２の数ベクトル のみならず、第１の利用者が第１のプロトコルの新規の実行において拘束されて いることを主張する仮り名にも作用する、 請求項５２に記載の方法。 ６０．第１のプロトコルが少なくとも２回実行され、第１のプロトコルの先の 実行中に得られた少なくとも１つの第２の数ベクトルが、第３の利用者を相手と した第１の利用者の仮り名として用いられ、第２のプロトコルの実行中に、第１ の利用者は、第１のプロトコルの新規の実行中に、その仮り名の１つのみに対応 し、かつ第１の他の利用者の仮り名に対応することなく得られる第２の数ベクト ルの試験を、以下の理由により合格させる、 ここで、第１の利用者が、第２のプロトコルの実行において第４の数ベクト ルを第３の利用者に転送すれば足りる： 第１の利用者は、第１のプロトコルの新規の実行において、第１の数ベクト ルを上記仮り名の不等関数に変換する、ここで、該関数は第２の利用者に知られ ている；及び 第３の利用者は第２のプロトコルにおいて、第１の利用者が転送した数ベク トルが第２の利用者の公開キイを含む関係に従って上記仮り名の関数に対応する 、 請求項５２に記載の方法。 ６１．第１のプロトコルは、少なくとも２回実行され、ここで、第１のプロト コルの先の実行で得られた少なくとも１つの第２の数ベクトルが第３の利用者を 相手として第１の利用者の仮り名として使用され、第１の利用者は、第３の利用 者を相手とするいずれか一つの仮り名に対応し、かつ第１の他の利用者の仮り名 に対応することなく、第１のプロトコルの新規の実行において得た第２の数ベク トルの試験を第２のプロトコルにおいて合格させる；それは関数f₃が第１プロト コルの新規の実行において得られた第２の数ベクトルのみならず、第１の利用者 が所有者であると主張するいずれかの仮り名にも作用するという理由による、請 求項５２に記載の方法。 ６２．第１の利用者に知られた、関数f₂に関する第２の数ベクトルの表現の関 数Ｉ₂は、第１の利用者の資格認証（credentials）の特定のセットを表すので、 第１の利用者は、あるセットの資格認証を第２の数ベクトル内に保持していると いわれる、請求項５２に記載の方法。 ６３．第１の数ベクトルの関数Ｉ₁は、第２の利用者が第１の利用者に対して 発行する資格認証のセットを特定するので、資格認証のセットは、第２の利用者 によって第２の数ベクトル内に備え付けられているといわれる、請求項６２に記 載の方法。 ６４．第１のプロトコルの新規の実行における第１の数ベクトルは、 それによって第１の利用者の資格認証が更新される値を特定する数ベクトル と、第１の利用者に知られている、関数f₂に関する第２の数ベクトルの表現との 不等関数として決定されるので、 第２の数ベクトル内に第１の利用者によって保持されている資格認証のセッ トは第１のプロトコルの新規の実行において更新されるといわれる、 請求項６２に記載の方法。 ６５．第２の利用者は、第１の利用者によって第２の数ベクトル内に保持され ている資格認証のセットを知らない、請求項６４に記載の方法。 ６６．第２の利用者は、それによって第１の利用者の資格認証が更新される値 を特定する数ベクトルを知らない、請求項６４に記載の方法。 ６７．第１のプロトコルにおいて第２の利用者により計算される変換は、少な くとも２つの異なる秘密キイの１つを含んでおり、第２の利用者によって使用さ れる特定の秘密キイは、第２の数ベクトル内に保持された資格認証のセットが、 どの範ちゅうに関係するかを特定するので、第１の利用者は、異なる第２の数ベ クトル内に、異なる範ちゅうに属する複数の資格認証のセットを保持することが できる、請求項６２に記載の方法。 ６８．第１の利用者は、各々が異なる範ちゅうに属するとともにそれ自身の第 ２の数ベクトル内に保持される少なくとも２つの資格認証のセットを保持し、第 １の利用者は、第２のプロトコルにおいて、少なくとも２つの異なる範ちゅうに 属する資格認証を、対応する全ての第２の数ベクトルに作用する関数f₃を特定す ることにより試験する、請求項６７に記載の方法。 ６９．第１の利用者は、第２のプロトコルにおける第２の数ベクトルの試験を 合格させるために、第１と第２のプロトコルにおいて必然的に協力しなければな らない少なくとも２つの利用者からなる、請求項５２に記載の方法。 ７０．第１の利用者を構成する利用者の少なくとも１つは、第２又は第３の少 なくとも１つの利用者の関与において行動し（acts in the interest）；及び 第２のプロトコルにおいて選ばれた利用者（これらの利用者）は第１の利用者 を構成するいま一つの利用者（複数の利用者）に情報を転送することのみができ る、請求項６９に記載の方法。 ７１．第１及び第２のプロトコルにおいて選ばれた利用者（複数の利用者）が 、第１の利用者を構成するいま一方の利用者（複数の利用者）から受取り、それ に送信する情報及び選ばれた利用者（複数の利用者）に知られている、それを（ それらを）同定するために使用されうるいかなる情報は、第１の利用者を構成す るいま一方の利用者（複数の利用者）が第２のプロトコルにおいて第３の利用者 に送信し、それから受信する情報とは実質的に統計的に独立である、請求項７０ に記載の方法。 ７２．第１の利用者は、丁度２つの利用者からなり、 第１の利用者を構成する２つの利用者の夫々は、他の利用者にとって実質的 に予測不可能な数ベクトルを知っており、ここで、第１の利用者を構成する各利 用者に知られている数ベクトルはその利用者の初期数ベクトルとして参照される ； 第１のプロトコル内の第１の数ベクトルは、たかだか第２の利用者と第２又 は第３の利用者のために行動する選ばれた利用者とが第１の数ベクトルを知って いるように、第１の利用者を構成する２つの利用者に知られている上記初期数ベ クトルの不等関数として決定される； 選ばれた利用者は、第１のプロトコルにおいて、ランダム数ベクトルとして 参照される数ベクトルを、第１の利用者を構成するいま一方の利用者に渡す、こ こで、上記ランダム数ベクトルは、選ばれた利用者が実質的にランダムに選ばれ た関数f₂に関するランダム数ベクトルの表現を知っている； 第１の利用者を構成するいま一方の利用者により適用される第１のプロトコ ルにおける第１の数ベクトルの第２の数ベクトルへの変換は、選ばれた利用者が それに移したランダム数ベクトルを巻込む；及び 第２のプロトコルにおいて、選ばれた利用者は応答ベクトルとして参照され る数ベクトルを、第１の利用者を構成するいま一方の利用者に渡し、応答ベクト ルは、上記いま一方の利用者により選ばれた利用者に譲渡され、呼びかけベクト ルとして参照される数ベクトルに応答する、選ばれた利用者の初期数ベクトルと そのランダム数ベクトルとの不等関数である、 請求項７０に記載の方法。 ７３．仮り名は、第１の利用者が、関数f₂に関する仮り名の表現を知るために 必然的に協力しなければならない少なくとも２つの利用者により構成されるので 、集合的仮り名と言われる、請求項５９又は６１に記載の方法。 ７４．本方法は電子支払いに用いられる： 第１の利用者は消費者などの支払う側である； 第２の利用者は現金を発行する銀行の如き金融機関である； 第３の利用者は商店などのサービス機関である； 第１の利用者は、第２の利用者を相手に引き出しプロトコルと呼ばれる第１ のプロトコルを実行することによってお金を引き出し、第３の利用者を相手にし て、支払いプロトコルと呼ばれる第２のプロトコルを実行することにより、第３ の利用者でお金を使う；及び 第３の利用者は、第２の利用者から自らの口座にお金が振り込まれるように 、支払いプロトコルの実行の写しを送る、 請求項５２から７２の１つに記載の方法。 ７５．第１の利用者の所持金額は、第１の利用者が保持しているが制御下には ないカウンタの値で指示され、 引き出しプロトコルにおいて、第１の利用者によって引き出された額だけカ ウンタの値は増加される；及び 支払いプロトコルにおいて、第１の利用者が使った額だけカウンタの値は減 少される、 請求項７４に記載の方法。 ７６．第１の数ベクトルの関数f₁が、第２の利用者によって第１の利用者の身 元に唯一無二の方法で関連付けられているので、第１の利用者が、所定の値を越 える回数試験された第２の数ベクトルを有している場合にのみ、第１の利用者の 身元が確認される、追跡不能な電子キャッシュシステムを実施するための、請求 項５４に記載の方法。 ７７．選ばれた利用者（利用者達）によって保持される情報が、第１の利用者 を構成する他の利用者（利用者達）にとって享受することができるようになり、 かつ、詐欺があったとしても、その後、第２の利用者によって第１の利用者の身 元を追跡できる場合にのみ、第２の数ベクトルを１に等しいかそれより大きい境 界値を越える回数使うことができる追跡不可能な電子キャッシュシステムを実施 するための、請求項７０から７２の１つに記載の方法。 ７８．第２の利用者が誤って所定の境界値を越える回数第２の数ベクトルを使 った第１の利用者を告発するといった第２の利用者の故意の企みに対して第１の 利 用者を法的に保護するための機構を、追跡不可能な電子キャッシュシステムにお いて実現するための請求項５６に記載の方法。 ７９．取り下げられた各第２の数ベクトルは、１つの特定の仮り名のもとでの み使うことができる、追跡不可能な電子キャッシュシステムを実現するための請 求項５９に記載の方法。 ８０．電子小切手を送ることができ、ここで、 第１の数ベクトルの関数Ｉ₁は、実質的にランダムで第２の利用者に知られ ないように選ばれた数を含んでおり； 第１の利用者は、自らが知っている関数f₂に関する第２の数ベクトルの表現 の関数Ｉ₂内の数のサブセットを告知し、告知された特定のサブセットは電子小 切手によって支払われた額を指示する；及び 第１の利用者は、第１の数ベクトルの関数Ｉ₁に含まれ、実質的にランダム に選ばれた数のサブセットを第２の利用者に告知することにより、使われなかっ た小切手の部分について、第２の利用者から払いもどしを受けることができ、上 記サブセットは、第２のプロトコルにおいて第３の利用者に告知した数のサブセ ットと相補的である、 追跡不可能な電子キャッシュシステムを実現する、請求項５４に記載の方法。 ８１．第１のプロトコルが少なくとも２回実行され、 第１のプロトコルの第１回の実行における第１の数ベクトルの関数f₁は、第 ２の利用者により、第１の利用者の身元と唯一無二の方法で関連付けられる； 第１のプロトコルの第１回の実行において第１の利用者が獲得した第２の数 ベクトルは第２の利用者を相手とした第１の利用者の仮り名として用いられる； 第１のプロトコルの相続く実行における第１の数ベクトルの関数f₁は第２の 利用者を相手とした第１の利用者の仮り名に等しい；及び 第２のプロトコルの対応する実行において第１の利用者が告知した情報は、 第２の利用者が、第１のプロトコルの第１回目の実行において用いられた第 １の数ベクトルの関数f₁を計算することを可能とするので、第１の利用者の身元 は、第１の利用者が、第１のプロトコルの相続く実行の１つで獲得した第２の数 ベクトルを１に等しいかそれより多い所定の境界値を越える回数使用したときに 決定されうる、 匿名銀行口座を備える追跡不可能な電子キャッシュシステムを実現する、請求項 ５８に記載の方法。 a_k+1 ^νが数ベクトル（m₀,Ｂ₁,...,Ｂ_l）の不等関数f₃に等しくなるような数ベク トル（a₁,...,a_k；a_k+1）であり、ここで、 数kと1は０に等しいかそれより大きい； f₃(m₀,Ｂ₁,...,Ｂ_l)はＺ_n ^*で表され、整数モジュロnの有限群と呼ばれる数 学構造体の要素である； 数nは少なくとも２つの大きな素数の積である； 数Ｙ₁,...,Ｙ_kは有限群Ｚ_n ^*の要素である； 数νは正の整数である； 数a₁,...,a_kはＺ_νで表され、整数モジュロνの環と呼ばれる数学構造体の 要素である；及び 数a_k+1はＺ_n ^*の要素である、 請求項５２に記載の方法。 a_k+1 ^νが数ベクトル（m₀,Ｂ₁,...,Ｂ_l）の不等関数f₃に等しくなる数ベクトル（ a₁,...,a_k；a_k+1）であり、ここで、 数kと1は０に等しいかそれより大きい； f₃(m₀,Ｂ₁,...,Ｂ_l)はＺ_n ^*で表され、整数モジュロnの有限群と呼ばれる数 学構造体の要素である； 数nは少なくとも２つの大きな素数の積である； 数Ｙ₁,...,Ｙ_kは有限群Ｚ_n ^*の要素である； 数νは正の整数である； 数a₁,...,a_kはＺ_νで表され、整数モジュロνの環と呼ばれる数学構造体の 要素である、 及び 第１の利用者を構成する選ばれた利用者に知られた初期数ベクトルは（ｏ₁, ..,ｏ_k；ｏ_k+1）で記述され、ｏ₁,...,ｏ_kは環Ｚ_νの要素であり、ｏ_k+1は有限 群Ｚ_n ^*の要素である； 選ばれた利用者が第１のプロトコルにおいて第１の利用者を構成する他の利 ｕ₁,...,ｕ_kは環Ｚ_νの要素であり、ｕ_k+1は有限群Ｚ_ν ^*の要素である； 第１の利用者を構成する他の利用者が選ばれた利用者に渡した呼びかけベク トルは、環Ｚ_ν内の数cである；及び 選ばれた利用者が第２のプロトコルにおいて第１の利用者を構成する他の利 用者に渡した、(γ₁,...,γ_k；γ_k+1)で表される数ベクトルは、1≦i≦kに ^ν)・ｏ_k+1 ^cｕ_k+1に等しい、 請求項７２に記載の方法。 数ベクトル（m₀,Ｂ₁,...,Ｂ_l）の公開された不等関数f₃に等しくなるような数ベ クトル（a₁,...,a_k）であり、ここで、 数1は０に等しいかそれより大きい； 数kは１に等しいかそれより大きい； f₃(m₀,Ｂ₁,...,Ｂ_l)はq個の要素を持ち、Ｇ_qで表され、次数qの有限群と呼 ばれる数学構造体の要素である； 数g₁,...,g_kはＧ_qの要素である；及び 数a₁,...,a_kは、Ｚ_qで表され、整数モジュロqの環と呼ばれる数学構造体の 要素である、 請求項５２に記載の方法。 数ベクトル（m₀,Ｂ₁,...,Ｂ_l）の公開された不等関数f₃に等しくなるような数ベ クトル（a₁,...,a_k）であり、ここで、 数1は０かそれより大きい； 数kは１かそれより大きい； f₃(m₀,Ｂ₁,...,Ｂ_l)はq個の要素を持ち、Ｇ_qで表され、位数qの有限群と呼 ばれる数学構造体の要素である； 数g₁,...,g_kはＧ_qの要素である；及び 数a₁,...,a_kは、Ｚ_qで表され、整数モジュロqの環と呼ばれる数学構造体の 要素である、 及び 第１の利用者を構成する、選ばれた利用者に知られている初期数ベクトルは （ｏ₁,...,ｏ_k）で記述され、ここでｏ₁,...,ｏ_kは環Ｚ_qの要素である； 選ばれた利用者が、第１のプロトコルにおいて、第１の利用者を構成する他 は環Ｚ_qの要素である； 第１の利用者を構成する他の利用者により、選ばれた利用者に渡された呼び かけベクトルは、環Ｚ_q内の数cである；及び 選ばれた利用者が、第２のプロトコルにおいて、第１の利用者を構成する他 の利用者に渡した、（γ₁,...,γ_k）で表される数ベクトルは、1≦i≦kについて 、各γ_iがｃｏ_i＋ｕ_i mod νに等しい、 請求項７２に記載の方法。 ８６．第１の利用者と第２の利用者との間における情報を証明するためのプロ トコルを実施するための装置であり、ここで、ある関数が少なくとも第１の利用 者について逆関数化することが実質的に困難であるときに、その数ベクトルの関 数の逆関数は、当該関数に関する数ベクトルの表現と呼ばれ、該装置は以下のも のからなる： 第１の利用者に保持される第１情報処理手段； 第２の利用者の制御下にあり、第１の利用者の制御が及ばない第２情報処理 手段； 第１情報処理手段と第２情報処理手段との間にあって両者間の情報の交換を 可能とするインターフェース手段； 第１情報処理手段にとって入手することができる第１の数ベクトルを、第１ の数ベクトルの不等関数f₁、ここでf₁は身元確認関数、へのアクセスを、第２の 情報処理手段が有するように決定する手段； 第１の数ベクトルを第２の数ベクトルに変換する、第１情報処理手段内の手 段、該変換は、第１情報処理手段が、関数f₂に関する第２の数ベクトルの表現へ のアクセスを有するように、第１情報処理手段によりランダムに発生されうる数 を含んでいる； 第１の数ベクトルの関数f₁を第３の数ベクトルに変換する、第２情報処理手 段内の手段、該変換は、第２の利用者の秘密キイを含んでおり、インターフェー ス手段を通じて第１情報処理手段との相互作用を要求する； インターフェース手段を通じて第２情報処理手段により第３の数ベクトルを 第１情報処理手段に渡す手段；及び 第４の数ベクトルが、第２の利用者の秘密キイに対応する公開キイを巻き込 む関係にしたがって第２の数ベクトルに対応するように、第３の数ベクトルを第 ４の数ベクトルに変換する、第１情報処理手段内の手段； ここで、 第１の数ベクトルの不等関数Ｉ₁は、第１の数ベクトルの第２の数ベクトル への変換において第１情報処理手段により実行されたランダムな選択に無関係に 、第１情報処理手段にアクセスしうる、関数f₃に関する第２の数ベクトルの表現 の不等関数に等しい； 各第１の数ベクトル、各第２の数ベクトル及び第２の利用者の公開キイを巻 き込む関係に従って第２の数ベクトルに対応する第４の数ベクトルについて、第 １の数ベクトルの第２の数ベクトルへの変換において、少なくとも１つのランダ ム選択のセットが以下のように存在する、即ち、第１情報処理手段が、第１の数 ベクトルの第２の数ベクトルへの変換において上記少なくとも１つ のランダム選択のセットを応用すれば、第１情報処理手段が、第２及び第４の数 ベクトルを獲得する；及び 第１の利用者が、関数f₂に関する数ベクトルの表現及び第２の利用者の公開 キイを巻き込む関係に従ってこの数ベクトルに対応する数ベクトルを知っていて も、第１の利用者は、第２情報処理手段の協力なしには上記数ベクトルを生成す ることができない。 ８７．第１の利用者は、第２の数ベクトル及び第２の利用者の公開キイを巻き 込む関係にしたがって第２の数ベクトルに対応する第４の数ベクトルを、第２情 報処理手段の協力なしに生成することができる、請求項８６に記載の装置。 ８８．プロトコルの新規の実行のための第１の数ベクトルは、第１情報処理手 段にアクセスされる、関数f₂に関する少なくとも１つの第２の数ベクトルの表現 の不等関数として決定され、ここで上記少なくとも１つの第２の数ベクトルは、 プロトコルの先の実行において第１情報処理手段により獲得されている、請求項 ８６に記載の装置。 ８９．プロトコルは、第２の数ベクトルが第１の利用者により仮り名として使 用されるので、仮り名発行プロトコルと呼ばれる、請求項８６に記載の装置。 ９０．第１情報処理手段にアクセスされうる、関数f₂に関する第２の数ベクト ルについての表現の関数Ｉ₂が、第１の利用者の資格認証の特定のセットを表す ので、第１の利用者は、第２の数ベクトル内に資格認証のセットを保持するとい われる、請求項８６に記載の装置。 ９１．第１の数ベクトルは、第１の数ベクトルの関数Ｉ₁が、第２の利用者が 第１の利用者に対し発行した資格認証のセットを特定するので、資格認証のセッ トが、第２の利用者によって第２の数ベクトル内に仕込まれているといわれる、 請求項９０に記載の装置。 ９２．第１の数ベクトルは、プロトコルの新規の実行において 第１の利用者の資格認証がそれによって更新される値を特定する数ベクトル と、第１情報処理手段にアクセスされる、関数f₂に関する第２の数ベクトルの表 現との、 不等関数として決定されるので、第１の利用者により第２の数ベクトル内に保持 される資格認証のセットはプロトコルの新規の実行において更新されるといわれ る、請求項９０に記載の装置。 ９３．第２の利用者は、第１の利用者により第２の数ベクトル内に資格認証の セットが保持されていることを知らない、請求項９２に記載の装置。 ９４．第２の利用者は、それによって第１の利用者の資格認証がそれによって 更新される値を特定する数ベクトルを知らない、請求項９２又は９３に記載の装 置。 ９５．第１情報処理手段は、各々それ自身のメモリ手段を有する少なくとも２ つの別個の情報処理手段からなり、両方の情報処理手段は、関数f₂に関する第２ の数ベクトルの表現へのアクセスをもつために必然的に協力しなければならない 、請求項８６から９３の１つに記載の装置。 a_k+1 ^νが数ベクトル（m₀,Ｂ₁,...,Ｂ_l）の不等関数f₃に等しくなるような数ベク トル（a₁,...,a_k；a_k+1）である、ここで、 数kと1は０に等しいか０より大きい； f₃(m₀,Ｂ₁,...,Ｂ_l)は、Ｚ_n ^*で表され、整数モジュロnの有限群と呼ばれる 、数学構造体の１要素である； 数nは少なくとも２つの大きな素数の積である； 数Ｙ₁,...,Ｙ_kは有限群Ｚ_n ^*の要素である； 数νは正の整数である； 数a₁,...,a_kは、Ｚ_νで表され、整数モジュロνの環と呼ばれる数学構造体 の要素である；及び 数a_k+1はＺ_n ^*の要素である、 請求項８６に記載の装置。 ９７．数νは有限群Ｚ_n ^*の要素の数に対して共役素数（co-prime）である請求 項９６に記載の装置。 ９８．数νは偶数である請求項９６に記載の装置。 ９９．m₀は有限群Ｚ_n ^*の要素であり、f₃(m₀,Ｂ₁,...,Ｂ_l)はm₀に等しい請求項 ９６に記載の装置。 １００．第２の利用者の公開キイは、有限群Ｚ_n ^*からの数Ｘとハッシュ関数Ｈ からなり、第２の利用者の秘密キイは、数Ｘ,Ｙ₁,...,Ｙ_kもしくは数hの素因数 分解の各々のモデュロnのν乗根からなり、第２の利用者を含む関係が、その関 係にしたがって第４の数ベクトルが第２の数ベクトルに対応し、b^ν＝(Ｘm)^caも しくはb^ν＝Ｘm(a)^cの関係が成立すると満足される； ここで、aとbは有限群Ｚ_n ^*の数であり； cはＨ(m₀,Ｂ₁,...,Ｂ_l,a)を表し、(m₀,Ｂ₁,...,Ｂ_l)は第２の数ベクトルを 示し；及び mはf₃(m₀,Ｂ₁,...,Ｂ_l)を表す、請求項９６に記載の装置。 １０１．第２の利用者の公開キイは、有限群Ｚ_n ^*からの数Ｘとハッシュ関数Ｈ からなり、第２の利用者の秘密キイは、数Ｘ,Ｙ_l,...,Ｙ_k又は数nの素因数分解 の各々のモジュロnのν乗根からなり、第２の利用者の公開キイを巻き込む関係 が、その関係に従って第４の数ベクトルが第２の数ベクトルに対応しており、b^ν ＝(Ｘa)^cm又はb^ν＝Ｘa(m)^cの関係が成立したときに、満足される、 ここで、 aとbは有限群Ｚ_n ^*の数であり； cはＨ(m₀,Ｂ₁,...,Ｂ_l,a)を表し、(m₀,Ｂ₁,...,Ｂ_l)は第２の数ベクトルを 表し； mはf₃(m₀,Ｂ₁,...,Ｂ_l)である、 請求項９６に記載の装置。 １０２．第２の利用者の公開キイは、有限群Ｚ_n ^*からの数Ｘとハッシュ関数Ｈ とからなり； 第２の利用者の秘密キイは、数Ｙ₁,...,Ｙ_kの各々のν乗根と数ベクトル（s₁, . 数s₁,...,s_jは環Ｚ_νの要素であり； 数s_j+1は有限群Ｚ_n ^*の要素であり； 数Ｚ₁,...,Ｚ_jは有限群Ｚ_n ^*の要素であり；及び 数jは１に等しいかそれより大きい、 又は、第２の利用者の秘密キイは、数nの素因数分解であり；及び 第２の利用者の公開キイを巻き込む関係は、その関係に従って第４の数ベクト aとb_j+1は有限群Ｚ_n ^*の数であり； b₁,...,b_jは環Ｚ^νの数であり； cはＨ(m₀,Ｂ₁,...,Ｂ_l,a)を示し、(m₀,Ｂ₁,...,Ｂ_l)は第２の数ベクトルを 示し；及び mはf₃(m₀,Ｂ₁,...,Ｂ_l)を示している、請求項９６に記載の装置。 １０３．第２の利用者の公開キイは、有限群Ｚ_n ^*からの数Ｘとハッシュ関数Ｈ とからなり； 第２の利用者の秘密キイは、数Ｙ₁,...,Ｙ_kの各々のν乗根と数ベクトル（s₁, . 数s₁,...,s_jは環Ｚ_νの要素であり； 数s_j+1は有限群Ｚ_n ^*の要素であり； 数Ｚ₁,...,Ｚ_jは有限群Ｚ_n ^*の要素であり；及び 数jは１に等しいかそれより大きい、 又は、第２の利用者の秘密キイは、数nの素因数分解であり；及び 第２の利用者の公開キイを巻き込む関係は、その関係に従って第４の数ベクト aとb_j+1は有限群Ｚ_n ^*の数であり； b₁,...,b_jは環Ｚ_νの数であり； cはＨ(m₀,Ｂ₁,...,Ｂ_l,a)を示し、(m₀,Ｂ₁,...,Ｂ_l)は第２の数ベクトルを 示し；及び mはf₃(m₀,Ｂ₁,...,Ｂ_l)を示している、請求項９６に記載の装置。 が数ベクトル（m₀,Ｂ₁,...,Ｂ_l）の不等関数f₃に等しくなる（a₁,...,a_k）の数 ベクトルであり、ここで、 数1は０か０より大きく； 数kは１か１より大きく； f₃(m₀,Ｂ₁,...,Ｂ_l)は、q個の要素を持ち、Ｇ_qで表され、次数qの有限群と 称される数学構造体の要素であり； 数g₁,...,g_kはＧ_qの要素であり；及び 数a₁,...,a_kは、Ｚ_qで表され、整数モジュロqの環と称される数学構造体の 要素である、 請求項８６に記載の装置。 １０５．数qは素数である、請求項１０４に記載の装置。 １０６．Ｇ_qは有限群Ｚ_q ^*の部分群（subgroup）であり； 数pは、（p−1）が少なくとも２個の大きな素数を有し、そのうちの１つはqに等 しい； 第１の利用者が、数（p−1）の素数を決定することは不可能であり；及び 環Ｚ_q内の数の線形結合は、第１の利用者による計算されたモジュロ（p−1） である、請求項１０５に記載の装置。 １０７．m₀は有限群Ｇ_qの要素であり、f₃(m₀,Ｂ₁,...,Ｂ_l)はm₀に等しい、請 求項１０４に記載の装置。 １０８．第２の利用者の公開キイは、有限群Ｚ_qからの２つの数gとh及びハッ シュ関数Ｈからなり； 第２の利用者の秘密キイは、数gに関して数hの環Ｚ_qにおける離散対数からな り；及び 第２の利用者の公開キイを巻き込む関係は、その関係にしたがって、第４の数 ベクトルが第２の数ベクトルに対応しており、g^γ＝(hm)^ca又はg^γ＝hm(a)^cが成 立すると満足され、ここで、 aは有限群Ｇ_q内の数であり； cはＨ(m₀,Ｂ₁,...,Ｂ_l,a)を表し、(m₀,Ｂ₁,...,Ｂ_l)は第２の数ベクトルを 表し； γは環Ｚ_q内の数であり；及び mはf₃(m₀,Ｂ₁,...,Ｂ_l)を表す、 請求項１０４に記載の装置。 １０９．第２の利用者の公開キイは、有限群Ｚ_qからの２つの数gとh及びハッ シュ関数Ｈからなり； 第２の利用者の秘密キイは、数gに関して数hの環Ｚ_qにおける離散対数からな り；及び 第２の利用者の公開キイを巻き込む関係は、その関係にしたがって、第４の数 ベクトルが第２の数ベクトルに対応しており、g^γ＝(ha)^cm又はg^γ＝ha(m)^cが成 立すると満足され、ここで、 aは有限群Ｇ_q内の数であり； cはＨ(m₀,Ｂ₁,...,Ｂ_l,a)を表し、(m₀,Ｂ₁,...,Ｂ_l)は第２の数ベクトルを 表し； γは環Ｚ_q内の数であり；及び mはf₃(m₀,Ｂ₁,...,Ｂ_l)を表す、 請求項１０４に記載の装置。 １１０．第２の利用者の公開キイは、有限群Ｚ_qからの２つの数gとh及びハッ シュ関数Ｈからなり； 第２の利用者の秘密キイは、数gに関して数hの環Ｚ_qにおける離散対数からな り；及び 第２の利用者の公開キイを巻き込む関係は、その関係にしたがって、第４の数 ベクトルが第２の数ベクトルに対応しており、g^γ＝h^ca及びm^γ＝z^cbの両方又は g^γ＝ha^c及びm^γ＝za^cの両方が成立すると満足され、ここで、 cはＨ(m₀,Ｂ₁,...,Ｂ_l,a)を表し、(m₀,Ｂ₁,...,Ｂ_l)は第２の数ベクトルを 表し； γは環Ｚ_q内の数であり； z,aおよびbは有限群Ｇ_q内の数であり；及び mはf₃(m₀,Ｂ₁,...,Ｂ_l)を表す、 請求項１０４に記載の装置。 １１１．第２の利用者の秘密キイは、有限群Ｇ_qからの数hとハッシュ関数Ｈか らなり； に等しく、ここで、 数ｓ₁,...,ｓ_jは環Ｚ_qの要素であり； 数f₁,...,f_jは有限群Ｇ_qの要素であり；及び 数_jは２に等しいかそれ以上であり；及び 第２の利用者の公開キイを巻き込む関係は、その関係に従って第４の数ベクト 成立したときに満足される、ここで aは有限群Ｇ_q内の数であり； cはＨ(m₀,Ｂ₁,...,Ｂ_l,a)を表し、(m₀,Ｂ₁,...,Ｂ_l)は第２の数ベクトルを 示し； γ₁,...,γ_jは環Ｚ_q内の数であり；及び mはf₃(m₀,Ｂ₁,...,Ｂ_l)を表す、 請求項１０４に記載の装置。 １１２．第２の利用者の公開キイは、有限群Ｇ_qからの数hとハッシュ関数Ｈか らなり； に等しく、ここで、 数s₁,...,s_jは環Ｚ_qの要素であり； 数f₁,...,f_jは有限群Ｇ_qの要素であり；及び 数jは２に等しいかそれ以上であり；及び 第２の利用者の公開キイを巻き込む関係は、その関係に従って第４の数ベクト 成立したときに満足される、ここで aは有限群Ｇ_q内の数であり； cはＨ(m₀,Ｂ₁,...,Ｂ_l,a)を表し、(m₀,Ｂ₁,...,Ｂ_l)は第２の数ベクトルを 示し； γ₁,...,γ_jは環Ｚ_q内の数であり；及び mはf₃(mo,Ｂ₁,...,Ｂ_l)を表す、 請求項１０４に記載の装置。 １１３．第１情報処理手段にアクセス可能で、第１の利用者により保持されて いる、関数f₀に関する第１の数ベクトルの表現の記述を試験するための第１の利 用者と第２の利用者との間のプロトコルを実施する装置であり、ここで、ある数 ベクトルの関数の逆関数は、その関数が少なくとも第１の利用者にとって逆関数 化することが困難である場合には、関数の数ベクトルの表現と呼ばれ、 該装置は以下の手段からなる： 第１情報処理手段； 第３の利用者により保持された第２情報処理手段； 第１情報処理手段と第２情報処理手段との間で情報交換を可能とする両手段 間のインターフェース手段； 第２の利用者の公開キイを巻き込む関係に従って第１の数ベクトルに対応す る第２の数ベクトルへのアクセスを持っていることを、第２情報処理手段に証明 する、第１情報処理手段内の手段、ここで、証明は、単に第２の数ベクトルを第 ２情報処理手段に告知することによって行われる；及び 関数f₂に関する第１の数ベクトルの関数f₁の表現へのアクセスを持っている ことを第２情報処理手段に対して証明する、第１情報処理手段内の手段、 ここで、試験は、インターフェース手段を通じた、第１と第２の情報処理手段の 間の以下の如き相互作用を要求する、 関数f₁とf₂は、第２情報処理手段により試験される関数f₀に関する第１の数 ベクトルについての、第１情報処理手段へのアクセスが可能な表現の特定の記述 を決定する；及び 第１及び第２の数ベクトルが第２の利用者の協力によって得られたときにの み、第１の利用者が第１の数ベクトルの試験を合格させることができる。 １１４．第３の利用者の情報処理手段の繰返し試験は、第３の利用者が、第１ の情報処理手段にアクセスすることができる、関数f₀に関する第１の数ベクトル の表現又はその不等関数を決定することを不可能とする、請求項１１３に記載の 装置。 １１５．第１の数ベクトルが第２の情報処理手段によって試験される回数が、 １回もしくはそれ以上である所定の回数を越えた場合、第１の情報処理手段にア クセス可能な関数f₀に関する第１の数ベクトルの表現の不等関数は、第３の利用 者によって効率的に演算されうる、請求項１１３に記載の装置。 １１６．第１情報処理手段にアクセスできる、関数f₀に関する第１の数ベクト ルの表現の不等関数は、プロトコルの第１回目の実行において、第１情報処理手 段によって第２情報処理手段に告知される；及び 第１情報処理手段にアクセスできる、関数f₀に関する第１の数ベクトルの表 現の不等関数が存在し、それについての情報はプロトコルの第１回目の実行にお いて第２情報処理手段に告知されない、 請求項１１３に記載の装置。 １１７．第１情報処理手段は、夫々が自身のメモリ手段を含む少なくとも２つ の別個の情報処理手段からなり、第１情報処理手段の両方の情報処理手段は、第 １の数ベクトルの試験を合格させるために必然的に協力しなければならない、請 求項１１３に記載の装置。 １１８．第１の利用者は、第２の利用者の協力なしに、第１の数ベクトルと、 第２の利用者の公開キイを巻き込む関係に従って第１の数ベクトルに対応する第 ２の数ベクトルとを容易に生成することができる、請求項１１３に記載の装置。 １１９．プロトコルは知識ゼロである、即ち発行されたメッセージのセットは 、プロトコルの実行において第２情報処理手段からみると、第２の利用者のいか なる関与なしに、第２の利用者が第１及び第２の数ベクトルの生成に関与したと き に適用される確率分布とは識別できない確率分布を用いて生成することができる 、請求項１１８に記載の装置。 １２０．第１情報処理手段にアクセスできる、関数f₀に関する第１の数ベクト ルの表現の不等関数は、第２の利用者によって第１の利用者に対し発行された資 格認証のセットを表している；及び 関数f₁とf₂は、第２情報処理手段によって試験された、第１の利用者の資格 認証の特定の記述を特定する、 請求項１１３から１１９の１つに記載の装置。 クトル（a₁,...,a_k；a_k+1）であり、ここで、 数kと1は０に等しいか０より大きく； f₃(m₀,Ｂ₁...,Ｂ_l)は、Ｚ_n ^*で表され、整数モジュロnの有限群と称される数 学構造体の要素であり； 数nは、少なくとも２つの大きな素数の積であり； 数Ｙ₁,...,Ｙ_kは有限群Ｚ_n ^*の要素であり； 数νは正の整数であり； 数a₁,...,a_kは、Ｚ_νで表され、整数モジュロνの環と称される数学構造体 の要素であり；及び 数a_k+1はＺ_n ^*の要素である、 請求項１１３に記載の装置。 １２２．数νは、有限群Ｚ_n ^*の要素の数に対して共役素数（co-prime）である 、請求項１２１に記載の装置。 １２３．数νは偶数である、請求項１２１に記載の装置。 １２４．m₀は有限群Ｚ_n ^*の要素であり、f₃(m₀,Ｂ₁,...,Ｂ_l)はm₀に等しい、請 求項１２１に記載の装置。 １２５．関数f₂に関する数ベクトル（m₀,Ｂ₁,...,Ｂ_l）の表現へのアクセスを 有することを第２情報処理手段に対し証明することができる第１情報処理手段内 の手段は、以下の手段からなる： 有限群Ｚ_n ^*内の数Ｂに委任する（comit）手段、該手段は、数ベクトル（b₁, ₁,...,b_k；b_k+1）は第３の利用者にとって予測不可能である； 環Ｚ_ν内の呼びかけ数cに対応するk個の数γ₁,...,γ_kを計算し、インター フェース手段を通じて送る手段、γ_iは1≦i≦kについてca_i＋b_i mod νに等しい ；及び 算し、インターフェース手段を通じて送る手段、 請求項１２１に記載の装置。 ..,Ｚ_jは第２の利用者によって決定された有限群Ｚ_n ^*の要素である；及び ０に等しいかそれより大きいkについて、数Ｙ₁,...,Ｙ_kの各々は、集合｛Ｚ₁, ...,Ｚ_j｝内の数のべき乗とそれらの逆数との積である、 請求項１２１に記載の装置。 １２７．関数f₂に関する数ベクトル（m₀,Ｂ₁,...,Ｂ_l）の表現は数ベクトル（ a 等しい、 ここで、 数1は０に等しいか０より大きく； 数kは１に等しいか１より大きく； f₃(m₀,Ｂ₁,...,Ｂ_l)は、Ｇ_qで表され、位数qの有限群と称される、q個の要 素を有する数学構造体の要素であり； 数g₁,...,g_kはＧ_qの要素であり；及び 数a₁,...,a_kはＺ_qで表され、整数モジュロqの環と称される数学構造体の要 素である、 請求項１１３に記載の装置。 １２８．数qは素数である、請求項１２７に記載の装置。 １２９．Ｇ_qは有限群Ｚ_p ^*の部分群（subgroup）であり； 数pは（p−1）がそのうちの一つがqに等しい少なくとも２つの大きい素数を 有する素数であり； 第１の利用者が数（p−1）の素因数分解を決定することが不可能であり；及 び環Ｚ_q内の数の線形結合が第１情報処理手段により演算されたモジュロ（p−1 ）である、 請求項１２８に記載の装置。 １３０．m₀が有限群Ｇ_qの要素であり、f₃(m₀,Ｂ₁,...,Ｂ_l)がm₀に等しい、請 求項１２７に記載の装置。 １３１．関数f₂に関する数ベクトル（m₀,Ｂ₁,...,Ｂ_l）の表現（a₁,...,a_k） に対するアクセスを有することを第２情報処理手段に対して証明することができ る第１情報処理手段内の手段は、以下の手段からなる： 数ベクトル（b₁,...,b_k）に対するアクセスを有する、有限群Ｇ_q内の数Ｂに 第３の利用者にとって実質的に予測不可能である；及び 1≦i≦kについてγ_iがca_i＋b_i mod qに等しい、環Ｚ_q内の呼びかけ数cに対 応するk個の応答数γ₁,...,γ_kを計算し、インターフェース手段を通じて送る手 段、 請求項１２７に記載の装置。 の利用者によって決定された、有限群Ｇ_qの要素であり；及び １に等しいかそれより大きいkについて、数g₁,...,g_kの各々は、集合｛e₁,. ..,e_j｝内の数のべき乗とそれらの逆数との積である、 請求項１２７に記載の装置。 １３３．第１の利用者に保持された第１情報処理手段が、第２の利用者に保持 された第２情報処理手段に対して、数ベクトルの記述を、数ベクトルについての いかなる付加情報を告知することなしに、証明するプロトコルを実施するための 装置、ここで、 数ベクトルは、kが１に等しいか大きい整数として、（ｕ₁,...,ｕ_k）で表さ れ； 数ｕ₁,...,ｕ_kの各々が、νを正の整数として、整数モジュロνの環と呼ば れ、Ｚ_vで表される数学構造体の要素であり； 数ベクトル（Ｚ₁,...,Ｚ_k）は第１及び第２情報処理手段の両方にアクセス 可能である； 数Ｚ₁,...,Ｚ_kの各々は、nを少なくとも２個の素数の積として、整数モジュ ロnの有限群と呼ばれ、Ｚ_n ^*で表される数学構造体の要素であり；及び 第１情報処理手段は、ｕ_k+1を有限群Ｚ_n ^*の要素とし、Ａで表されるべき乗 に委任している、 該装置は以下の手段を備えている： 第１情報処理手段と第２情報処理手段との間にあって両者間の情報交換を可 能とするインターフェース手段； a_l+1）へのアクセスを有することを第１の情報処理手段により第２の情報処理手 段に対して証明する手段； ここで、 lを１に等しいか大きい数として、数Ｙ₁,...,Ｙ_lの各々が、集合｛Ｚ₁,..., Ｚ_k｝内の数のべき乗とそれらの逆数との積であり； Ａの関数f₁は集合｛Ａ,Ｚ₁,...,Ｚ_k｝内の数のべき乗とそれらの逆数との積 であり；及び ベクトル（Ｙ₁,...,Ｙ_l）と関数f₁は、一緒に、第１情報処理手段が証明す る数ベクトル（ｕ₁,...,ｕ_k）の記述を特定する。 １３４．第１情報処理手段が第２情報処理手段に対して、数ベクトル（a₁,... ,a_l；a_l+1）へのアクセスを有することを証明することができる第１情報処理手 段 内の手段は、以下の手段からなる： 数ベクトル（b₁,...,b_l；b_l+1）に対するアクセスを有する、有限群Ｚ_n ^*内 ,b_l；b_l+1）は第２の利用者にとって予測不可能である； 1≦i≦lなるiについてγ_iがca_i＋b_i mod νに等しい、環Ｚ_ν内の呼びかけ 数cに対応する1個の応答数γ₁,...,γ_lを計算し、インターフェース手段を介し て送る手段；及び ₁を計算し、インターフェース手段を介して送る、 請求項１３３に記載の装置。 １３５．第１の利用者が、第２の利用者に対し、数ベクトルについてのいかな る付加情報なしに、ある数ベクトルを証明するプロトコルを与える方法であって 、 kが１か１より大きい整数であるとして、数ベクトルが（u₁,...,u_k）で表さ れ； 数u₁,...,u_kの各々は、qが正の整数であるとして、整数モジュロqの環と呼 ばれ、Ｚ_qで表される数学構造体の要素であり； 数ベクトル（e₁,...,e_k）は、第１の利用者と第２の利用者に知られており ； 数e₁,...,e_kの各々は、qが正の整数であるとして、次数qの有限群と呼ばれ 、Ｇ_qで表される数学構造体の要素であり；及び て数ベクトルに拘束される、 該方法は、以下のステップを含む： する、 ここで、 ０に等しいか０より大きい1について、数g₁,...,g_lの各々が、集合｛e₁,..., e_k｝内の数のべき乗とそれらの逆数との積である；及び ベクトル（g₁,...,g_l）と関数f₁とは、一緒に、第１の利用者が証明する数 ベクトル（u₁,...,u_k）の記述を特定する方法。 １３６．第１情報処理手段が、第２情報処理手段に対し、数ベクトル（a₁,... ,a_l）へのアクセスを有することを証明することができる第１情報処理手段内の 手段は以下の手段からなる； 数ベクトル（b₁,...,b_l）へのアクセスを有する、有限群Ｚ_n ^*内のＢに委任 することができない；及び 1≦i≦lなるiについてγ_iがca_i＋b_i mod qに等しい、環Ｚ_q内のチャレンジ 数cに対応する1個の応答数γ₁,...,γ_lを計算し、インターフェース手段を介し て送る手段、 請求項１３５に記載の装置。 １３７．少なくとも一つの第１の利用者と少なくとも一つの第２の利用者との 間で認証された情報の電子転送を実行する方法であって、少なくとも一つの第３ の利用者は情報認証用の第１のプロトコルと認証された情報を検査するための第 ２のプロトコルを使用し、ここで、数ベクトルの関数を逆関数化することが、少 なくとも第１の利用者にとって実質的に困難であるならば、数ベクトルの関数の 逆関数が、該関数に関する数ベクトルの表現と呼ばれる、 該装置は、以下の手段を備える： 第１の利用者に保持される第１情報処理手段； 第２の利用者の制御下にあり、第１の利用者からは制御できない第２情報 処理手段； 第３の利用者に保持される第２情報処理手段； 第１情報処理手段と第２情報処理手段との間にあって第１プロトコルにお ける両手段間の情報交換を可能にする第１インターフェース手段； 第１情報処理手段と第３情報処理手段との間にあって第２プロトコルにお ける両手段間の情報交換を可能にする第２インターフェース手段； 第１プロトコルにおいて第１情報処理手段にアクセス可能な第１の数ベク トルを決定する手段、 該第１の数ベクトルの不等関数ｆ₁に対するアクセスを、第２情報処理手 段が有しており、ここで、関数ｆ₁は身元確認関数でありうる； 第１プロトコルにおいて第１の数ベクトルを第２の数ベクトルに変換する 第１情報処理手段内の手段、該変換は第１情報処理手段によりランダムに発生さ れうる数を含み、第１情報処理手段は関数ｆ₂に関する第２の数ベクトルの表現 に対するアクセスを有している； 第１のプロトコルにおいて、第１の数ベクトルの関数ｆ₁を第３の数ベク トルに変換する第２情報処理手段内の手段、該変換は第２の利用者の秘密キイを 含んでおり、ここで、変換は第１インターフェース手段を通じてのこの第１情報 処理手段との相互作用を要求する； 第１のプロトコルにおいて、第２情報処理手段により第３の数ベクトルを 第１インターフェース手段を介して第１情報処理手段に渡す手段； 第１のプロトコルにおいて第３の数ベクトルを第４の数ベクトルに変換す る第１情報処理手段内の手段、該第４の数ベクトルは第２の利用者の秘密キイに 対応する公開キイを含む関係に従って、第２の数ベクトルに対応する； 第２のプロトコルにおいて、第２の利用者の公開キイを含む関係にしたが って第２の数ベクトルに対応する数ベクトルに対するアクセスを有することを、 第２のインターフェース手段を介して、第３情報処理手段に対して証明する第１ 情報処理手段内の手段、証明は単に第４の数ベクトルを第３情報処理手段に対し 告知することにより行われる；及び 第２のプロトコルにおいて、関数ｆ₄に関する第２の数ベクトルの関数ｆ₃ の表現に対するアクセスを有することを、第２インターフェース手段を介して第 ３情報処理手段に対し証明する第１情報処理手段内の手段； ここで、 第１の数ベクトルの不等関数Ｉ₁は、第１情報処理手段による第１の数ベ クトルの第２の数ベクトルへの変換において適用されたランダムな選択に無関係 に、第１情報処理手段にとってアクセス可能な関数ｆ₂に関する第２の数ベクト ルの表現の不等関数Ｉ₂に等しく； 関数ｆ₃とｆ₄は、第２のプロトコルにおいて第３情報処理手段により試験 される関数ｆ₂に関する第２の数ベクトルの表現の関数Ｉ₂の特定の記述を決定す る； 第２のプロトコルの第１回目の実行において、第３情報処理手段に告知さ れた情報は、第２のプロトコルの第１回目の実行において、試験される第２の数 ベクトルを得る第１のプロトコルの実行において第１情報処理手段が使用する特 定の第１の数ベクトルの関数ｆ₁と唯一無二の対応関係に持ち込むことができな い；及び 第１の利用者は、第１のプロトコルの実行において第２及び第４の数ベク トルが得られたときにのみ、第２のプロトコルにおいて、第２の数ベクトルの試 験を合格させることができる。 １３８．第２のプロトコルの実行中に、第３の利用者の情報処理手段により任 意の多数回、第２の数ベクトルが検査されたとしても、第２のプロトコルの実行 中において第３の利用者の情報処理手段に対して告知された情報を、第１の数ベ クトルの関数f₁と一意対応関係に持ち込むことが実質的に実行不可、即ち不可能 のままである、請求項１３７に記載の方法。 １３９．第３の利用者の情報処理手段により、第２のプロトコルの実行中に第 ２の数ベクトルが検査される回数が、１か１より大きい所定の境界を越えたなら ば、第２の数ベクトルは第１の数ベクトルの関数と一意対応関係に持ち込まれる 、請求項１３７に記載の方法。 １４０．第３の利用者の情報処理手段により、第２のプロトコルの実行中に第 ２の数ベクトルが検査される回数が、１か１より大きい所定の境界を越えたなら ば、第２の数ベクトルは第１の数ベクトルと一意対応関係に持ち込まれる、請求 項１３７に記載の方法。 １４１．第１の数ベクトルの関数と、第１のプロトコルの実行中に第１の利用 者により告知された情報によって、第２の利用者が第１の数ベクトルを決定する ことは、実質的に実行不能、即ち不可能であるため、第２の利用者による第１の 数ベクトルの知識は、公平な利用者にとって、第２の数ベクトルが所定の境界を 越える回数検査されたことの正当な証明とすることができる、請求項１４０に記 載の方法。 １４２．第２の数ベクトルが、第３の利用者を相手とした第１の利用者の仮り 名として用いられる、請求項１３７に記載の方法。 １４３．第１のプロトコルの新規の実行のための第１の数ベクトルは、第１の 情報処理手段にアクセス可能な、関数f。に関する少なくとも１つの第２の数ベ クトルの表現の不等関数として決定され、ここで、少なくとも１つの第２の数ベ クトルは、第１のプロトコルの先の実行中に第１の利用者により獲得されている 、請求項１３７に記載の方法。 １４４．第１のプロトコルが少なくとも２回実行され、第１のプロトコルの先 の実行中に得られた少なくとも１つの第２の数ベクトルが、第３の利用者を相手 とした第１の利用者の仮り名として用いられ、第２のプロトコル中に第１の利用 者は、第１のプロトコルの新規の実行中にその仮り名の１にのみ対応し、かつ第 １の他の利用者の仮り名に対応することなく、得られる第２の数ベクトルの検査 を、以下の理由により、合格させることができる； 第１の情報処理手段は、第１の数ベクトルを第２の数ベクトルに変換すると きに、第１のプロトコルの新規の実行において既に上記仮り名に拘束されていな ければならない；及び 関数f₃は第１のプロトコルの新規の実行において得られる第２の数ベクトル のみならず、第１の情報処理手段が第１のプロトコルの新規の実行において恐ら くコミットした（commit）仮り名にも作用する、 請求項１３７に記載の方法。 １４５．第１のプロトコルが少なくとも２回実行され、第１のプロトコルの先 の実行中に得られた少なくとも１つの第２の数ベクトルが、第３の利用者を相手 とした第１の利用者の仮り名として用いられ、第２のプロトコルの実行中に、第 １の利用者は、第１のプロトコルの新規の実行中に、その仮り名の１つのみに対 応し、かつ第１の他の利用者の仮り名に対応することなく得られる第２の数ベク トルの検査を、以下の理由により合格させる、 ここで、第１の情報処理手段が、第２のプロトコルの実行において第４の数 ベクトルを第３の情報処理手段に転送すれば足りる： 第１の情報処理手段は、第１のプロトコルの新規の実行において、第１の数 ベクトルを上記仮り名の不等関数に変換する、ここで、該関数は第２の情報処理 手段にアクセス可能である；及び 第３の情報処理手段は第２のプロトコルにおいて、第１の情報処理手段が転 送した数ベクトルが第２の利用者の公開キイを含む関係に従って上記仮り名の関 数に対応する、 請求項１３７に記載の方法。 １４６．第１のプロトコルは、少なくとも２回実行され、ここで、第１のプロ トコルの先の実行で得られた少なくとも１つの第２数ベクトルが第３の利用者を 相手として第１の利用者の仮り名として使用され、第１の利用者は、第３の利用 者を相手とするいずれか一つの仮り名に対応し、かつ第１の他の利用者の仮り名 に対応することなく、第１のプロトコルの新規の実行において得た第２の数ベク トルの試験を第２のプロトコルにおいて合格させる；それは関数f₃が第１プロト コルの新規の実行において得られた第２の数ベクトルのみならず、第１の利用者 が所有者であると主張するいずれかの仮り名にも作用するという理由による、請 求項１３７に記載の方法。 １４７．第１の情報処理手段にアクセス可能な、関数f₂に関する第２の数ベク トルの表現の関数Ｉ₂は、第１の利用者の資格認証（credentials）の特定のセッ トを表すので、第１の利用者は、あるセットの資格認証を第２の数ベクトル内に 保持しているといわれる、請求項１３７に記載の方法。 １４８．第１の数ベクトルの関数Ｉ₁は、第２の利用者が第１の利用者に対し て発行する資格認証のセットを特定するので、資格認証のセットは、第２の利用 者によって第２の数ベクトル内に備え付けられているといわれる、請求項１４７ に記載の方法。 １４９．第１のプロトコルの新規の実行における第１の数ベクトルは、 それによって第１の利用者の資格認証が更新される値を特定する数ベクトル と、第１の情報処理手段にアクセス可能な、関数f₂に関する第２の数ベクトルの 表現との 不等関数として決定されるので、 第２の数ベクトル内に第１の利用者によって保持されている資格認証のセッ トは第１のプロトコルの新規の実行において更新されるといわれる、 請求項１４７に記載の方法。 １５０．第２の利用者は、第１の利用者によって第２の数ベクトル内に保持さ れている資格認証のセットを知らない、請求項１４９に記載の方法。 １５１．第２の利用者は、それによって第１の利用者の資格認証が更新される 値を特定する数ベクトルを知らない、請求項１４９に記載の方法。 １５２．第１のプロトコルにおいて第２の情報処理手段により計算される変換 は、少なくとも２つの異なる秘密キイの１つを含んでおり、第２の情報処理手段 によって使用される特定の秘密キイは、第２の数ベクトル内に保持された資格認 証のセットが、どの範ちゅうに関係するかを特定するので、第１の利用者は、異 なる第２の数ベクトル内に、異なる範ちゅうに属する複数の資格認証のセットを 保持することができる、請求項１４７に記載の方法。 １５３．第１の利用者は、各々が異なる範ちゅうに属するとともにそれ自身の 第２の数ベクトル内に保持される少なくとも２つの資格認証のセットを保持し、 第１の利用者は、第２のプロトコルにおいて、少なくとも２つの異なる範ちゅう に属する資格認証を、対応する全ての第２の数ベクトルに作用する関数f₃を特定 することにより試験する、請求項１５２に記載の方法。 １５４．第１の情報処理手段は夫々メモリ手段を有する少なくとも２つの別個 の情報処理手段からなり、第１情報処理手段内に設けられた両方の情報処理手段 は、第２のプロトコルにおける第２の数ベクトルの試験を合格させるために、第 １と第２のプロトコルにおいて必然的に協力しなければならない、請求項１３７ に記載の方法。 １５５．第１情報処理手段は各々それ自身のメモリ手段を含む２つの情報処理 手段からなる； 第１情報処理手段を構成ずる一方の情報処理手段は、不正に対抗的であっ て、そのメモリ手段は第１の利用者に対しアクセスすることができない； 不正に対抗的な情報処理手段は、第１及び第２インターフェース手段に対 するアクセスを持たない； 第１情報処理手段を構成する他方の情報処理手段は第１の利用者の制限下 にあって、第１及び第２インターフェース手段へのアクセスを有する； 不正に対抗的な情報処理手段及び第１の利用者の制御下にある情報処理手 段は、両処理手段間の情報交換を可能とする第３のインターフェース手段を含む ；及び 不正に対抗的な情報処理手段と第１の利用者の制御下にある情報処理手段 とは、不正に対抗的な情報処理手段が第３情報処理手段と直接に通信できな いように構成されているので、不正に対抗的な情報処理手段は、第２のプロトコ ルにおいて、第１の利用者の制御下にある情報処理手段に情報を送ることのみが できる、 請求項１５４に記載の装置。 １５６．不正に対抗的な情報処理手段が、第１及び第２プロトコルにおいて、 第１の利用者の制御下にある情報処理手段から受信し、或はそこに送信する情報 及び不正に対抗的な情報処理手段にとってアクセス可能でそれを同定するのに用 いられる情報は、第１の利用者の制御下にある情報処理手段が、第２のプロトコ ルにおいて第３情報処理手段に送信し、或はそれから受信する情報とは統計的に 独立である、請求項１５５に記載の装置。 １５７．第１情報処理手段を構成する２つの情報処理手段の各々は、第１情報 処理手段を構成する他方の情報処理手段にアクセスできない数ベクトルに対する アクセスを有し、第１情報処理手段を構成する各情報処理手段にアクセス可能な 数ベクトルはその情報処理手段の初期数ベクトルとして参照され； 第１のプロトコルにおいて第１の数ベクトルは、第１情報処理手段を構成 する２つの情報処理手段に知られた初期数ベクトルの不等関数として決定され、 第２情報処理手段と不正に対抗的な情報処理手段とは、第１の数ベクトルに対す るアクセスを有する； 不正に対抗的な情報処理手段は、第１プロトコルにおいて、ランダム数ベ クトルとして参照される数ベクトルを第１の利用者の制御下にある情報処理手段 に送る、ここでランダム数ベクトルは不正に対抗的な情報処理手段が関数ｆ₂に 関するランダム数ベクトルについてのランダムに選んだ表現に対するアクセスを 有するものである； 第１の利用者の制御下にある情報処理手段により第１プロトコルにおいて 行われる、第１の数ベクトルから第２の数ベクトルへの変換は、不正に対抗的な 情報処理手段が上記情報処理手段に送ったランダム数ベクトルを含んでいる；及 び 第２プロトコルにおいて、不正に対抗的な情報処理手段は、応答ベクトル として参照される数ベクトルを第１の利用者の制御下にある情報処理手段に送る 、上記応答ベクトルは、第１の利用者の制御下にある情報処理手段によってそれ に送られた、呼びかけベクトルとして参照される数ベクトルに対応する、不正に 対抗的な情報処理手段の初期数ベクトルとそのランダム数ベクトルの不等関数で ある、 請求項１５５に記載の装置。 １５８．仮り名は、第１の利用者が、関数f₂に関する仮り名の表現を知るため に必然的に協力しなければならない少なくとも２つの利用者により構成されるの で、集合的仮り名と言われる、請求項１４４又は１４６に記載の方法。 １５９．本方法は電子支払いに用いられる： 第１の利用者は消費者などの支払う側である； 第２の利用者は現金を発行する銀行の如き金融機関である； 第３の利用者は商店などのサービス機関である； 第１の利用者は、第２の利用者を相手に引き出しプロトコルと呼ばれる第１ のプロトコルを実行することによってお金を引き出し、第３の利用者を相手にし て、支払いプロトコルと呼ばれる第２のプロトコルを実行することにより、第３ の利用者でお金を使う；及び 第３の利用者は、第２の利用者から自らの口座にお金が振り込まれるように 、支払いプロトコルの実行の写しを送る、 請求項１３７から１５７のいずれか１つに記載の方法。 １６０．第１の利用者の所持金額は第１情報処理手段内に設けられたカウンタ の値によって指示されており、 第１情報処理手段は不正に対抗することができ、第１の利用者にとってアク セス不可能なメモリ手段を含んでいる； 第１情報処理手段は上記カウンタをアップさせダウンさせる手段を含んでい る； 第１情報処理手段は、引き出しプロトコルにおいて、第１の利用者により引 き出された金額だけカウンタをアップする；及び 第１情報処理手段は、第１の利用者により使われた金額だけ、支払いプロト コルにおいてカウンタをダウンする、 請求項１５９に記載の装置。 １６１．第１の利用者の所持金額が第１情報処理手段内に設けられたカウンタ の値によって指示されており、 第１情報処理手段は２つの情報処理手段からなり； 第１情報処理手段を構成する一方の情報処理手段は不正に対抗的で第１の利 用者にとってアクセスできないメモリ手段を含み、さらに、第１及び第２のイン ターフェース手段に対するアクセスを持っておらず； 不正に対抗的な情報処理手段は上記カウンタを有しており、それをアップ・ ダウンする手段を有し； 第１情報処理手段を構成する他方の情報処理手段は第１の利用者の制御下に あり、第１及び第２インターフェース手段に対するアクセスを有し、メモリ手段 を含んでおり； 不正に対抗的な情報処理手段と第１の利用者の制御下にある情報処理手段と は、両者間の情報交換を可能とする第３インターフェース手段を含んでおり； 不正に対抗的な情報処理手段と第１の利用者の制御下にある情報処理手段と は、不正に対抗的な情報処理手段は第３情報処理手段と直接に交信できないよう に構成されているので、支払いプロトコルにおいて、不正に対抗的な情報処理手 段は、第３インターフェース手段を介して、第１の利用者の制御下にある情報処 理手段に情報を送ることができるのみであり； 不正に対抗的な情報処理手段は、引き出しプロトコルにおいて、第１の利用 者により引き出された金額だけカウンタをアップし；及び 不正に対抗的な情報処理手段は、支払いプロトコルにおいて、第１の利用者 が使った金額だけカウンタをダウンする、 請求項１５９に記載の装置。 １６２．第１の数ベクトルの関数f₁が、第２の利用者によって第１の利用者の 身元に唯一無二の方法で関連付けられているので、第１の利用者が、所定の値を 越える回数第２の数ベクトルを用いた場合にのみ、第１の利用者の身元が確認さ れる、追跡不能な電子キャッシュシステムを実施するための、請求項１３９に記 載の方法。 １６３．不正に対抗的な利用者によって保持される情報が、第１の利用者を構 成する他の利用者（利用者達）にとってアクセスすることができるようになり、 かつ、詐欺があったとしても、その後、第２の利用者によって第１の利用者の身 元を追跡できる場合にのみ、第２の数ベクトルを１に等しいかそれより大きい境 界値を越える回数使うことができる追跡不可能な電子キャッシュシステムを実施 するための、請求項１５５から１５７の１つに記載の方法。 １６４．第２の利用者が誤って所定の境界値を越える回数第２の数ベクトルを 使った第１の利用者を告発するといった第２の利用者の故意の企みに対して第１ の利用者を法的に保護するための機構を、追跡不可能な電子キャッシュシステム において実現するための請求項１４１に記載の方法。 １６５．取り下げられた各第２の数ベクトルは、１つの特定の仮り名のもとで のみ使うことができる、追跡不可能な電子キャッシュシステムを実現するための 請求項１４４に記載の方法。 １６６．電子小切手を送ることができ、ここで、 第１の数ベクトルの関数Ｉ₁は、実質的にランダムで第２の利用者に知られ ないように選ばれた数を含んでおり； 第２プロトコルにおいて、第１の情報処理手段は、アクセス可能な関数f₂に 関する第２の数ベクトルの表現の関数Ｉ₂内の数のサブセットを告知し、告知さ れた特定のサブセットは電子小切手によって支払われた額を指示する；及び 第１の利用者は、第１の数ベクトルの関数Ｉ₁に含まれ、実質的にランダム に選ばれた数のサブセットを、第１情報処理手段により第２の利用者に告知する ことにより、使われなかった小切手の部分について、第２の利用者から払いもど しを受けることができ、上記サブセットは、第２のプロトコルにお いて第３の利用者に告知した数のサブセットと相補的である、 追跡不可能な電子キャッシュシステムを実現する、請求項１３９に記載の方法。 １６７．第１のプロトコルが少なくとも２回実行され、 第１のプロトコルの第１回の実行における第１の数ベクトルの関数f₁は、第 ２の利用者により、第１の利用者の身元と唯一無二の方法で関連付けられる； 第１のプロトコルの第１回の実行において第１の情報処理手段が獲得した第 ２の数ベクトルは第２の利用者を相手とした第１の利用者の仮り名として用いら れる； 第１のプロトコルの相続く実行における第１の数ベクトルの関数f₁は第２の 利用者を相手とした第１の利用者の仮り名に等しい；及び 第２のプロトコルの対応する実行において第１の情報処理手段が告知した情 報は、第２の利用者が、第１のプロトコルの第１回目の実行において用いられた 第１の数ベクトルの関数f₁を計算することを可能とするので、第１の利用者の身 元は、第１の利用者が、第１のプロトコルの相続く実行の１つで獲得した第２の 数ベクトルを所定の境界値を越える回数使用したときに決定されうる、 匿名銀行口座を備える追跡不可能な電子キャッシュシステムを実現する、請求項 １４３に記載の方法。 １６８．関数f₂に関する数ベクトル（m₀,Ｂ₁,...,Ｂ_l）の表現が、Ｙ₁ ^a1・・・Ｙ_k ^ak a_k+1 ^νが数ベクトル（m₀,Ｂ₁,...,Ｂ_l）の不等関数f₃に等しくなるような数 ベクトル（a₁,...,a_k；a_k+1）であり、ここで、 数kと1は０に等しいかそれより大きい； f₃(m₀,Ｂ₁,...,Ｂ_l)はＺ_n ^*で表され、整数モジュロnの有限群と呼ばれる数 学構造体の要素である； 数nは少なくとも２つの大きな素数の積である； 数Ｙ₁,...,Ｙ_kは有限群Ｚ_n ^*の要素である； 数νは正の整数である； 数a₁,...,a_kはＺ_νで表され、整数モジュロνの環と呼ばれる数学構造体の 要素である；及び 数a_k+1はＺ_n ^*の要素である、 請求項１３７に記載の方法。 １６９．関数f₂に関する数ベクトル（m₀,Ｂ₁,...,Ｂ_l）の表現は、Ｙ₁ ^a1…Ｙ_k ^ak a_k+1 ^νが数ベクトル（m₀,Ｂ₁,...,Ｂ_l）の不等関数f₃に等しくなる数ベクトル （a₁,...,a_k；a_k+1）であり、ここで、 数kと1は０に等しいかそれより大きい； f₃(m₀,Ｂ₁,...,Ｂ_l)はＺ_n ^*で表され、整数モジュロnの有限群と呼ばれる数 学構造体の要素である； 数nは少なくとも２つの大きな素数の積である； 数Ｙ₁,...,Ｙ_kは有限群Ｚ_n ^*の要素である； 数νは正の整数である； 数a₁,...,a_kはＺ_νで表され、整数モジュロνの環と呼ばれる数学構造体の 要素である、 及び 不正に対抗的な情報処理手段にアクセス可能な初期数ベクトルは（ｏ₁,..., ｏ_k；ｏ_k+1）で記述され、ｏ₁,...,ｏ_kは環Ｚ_νの要素であり、ｏ_k+1は有限群Ｚ_n ^* の要素である； 不正に対抗的な情報処理手段が第１のプロトコルにおいて第１の利用者の制 に等しく、ここで、ｕ₁,...,ｕ_kは環Ｚ_νの要素であり、ｕ_k+1は有限群Ｚ_ν ^*の 要素である； 第１の利用者の制御下にある情報処理手段が不正に対抗的な情報処理手段に 渡した呼びかけベクトルは、環Ｚ_ν内の数cである；及び 不正に対抗的な情報処理手段が第２のプロトコルにおいて第１の利用者の制 御下にある情報処理手段に渡した、（γ₁,...,γ_k；γ_k+1）で表される数ベ クトルは、1≦i≦kについて各γ_iがｃｏ_i＋ｕ_i mod νに等しく、γ_k+1は（Π 請求項１５７に記載の方法。 １７０．関数f₂に関する数ベクトル（m₀,Ｂ₁,...,Ｂ_l）の表現は、g₁ ^a1…g_k ^ak が数ベクトル（m₀,Ｂ₁,...,Ｂ_l）の公開された不等関数f₃に等しくなるような数 ベクトル（a₁,...,a_k）であり、ここで、 数1は０に等しいかそれより大きい； 数kは１に等しいかそれより大きい； f₃(m₀,Ｂ₁,...,Ｂ_l)はq個の要素を持ち、Ｇ_qで表され、位数qの有限群と呼 ばれる数学構造体の要素である； 数g₁,...,g_kはＧ_qの要素である；及び 数a₁,...,a_kは、Ｚ_qで表され、整数モジュロqの環と呼ばれる数学構造体の 要素である、 請求項１３７に記載の方法。 １７１．関数f₂に関する数ベクトル（m₀,Ｂ₁,...,Ｂ_l）の表現は、g₁ ^a1…g_k ^ak が数ベクトル（m₀,Ｂ₁,...，Ｂ_l）の公開された不等関数f₃に等しくなるような 数ベクトル（a₁,...,a_k）であり、ここで、 数1は０かそれより大きい； 数kは１かそれより大きい； f₃(m₀,Ｂ₁,...,Ｂ_l)はq個の要素を持ち、Ｇ_qで表され、位数qの有限群と呼 ばれる数学構造体の要素である； 数g₁,...,g_kはＧ_qの要素である；及び 数a₁,...,a_kは、Ｚ_qで表され、整数モジュロqの環と呼ばれる数学構造体の 要素である、 及び 不正に対抗的な情報処理手段にアクセス可能な初期数ベクトルは、（ｏ₁,.. .,ｏ_k）で記述され、ここでｏ₁,...,ｏ_kは環Ｚ_qの要素である； 不正に対抗的な情報処理手段が、第１のプロトコルにおいて、第１の利用者 しく、ｕ₁,...,ｕ_kは環Ｚ_qの要素である； 第１の利用者の制御下にある情報処理手段により、不正に対抗的な情報処理 手段に渡された呼びかけベクトルは、環Ｚ_q内の数cである；及び 不正に対抗的な情報処理手段が、第２のプロトコルにおいて、第１の利用者 の制御下にある情報処理手段に渡した、（γ₁,...,γ_k）で表される数ベクトル は、1≦i≦kについて、各γ_iがｃｏ_i＋ｕ_i mod νに等しい、 請求項１５７に記載の方法。