JPH09505169A - 効率的な電子マネー - Google Patents

Abstract

(57)【要約】 合法的な取引において使用者のプライバシを保護する一方で、これと同時に同一電子コインの二重使用者の検出を可能にする独特な電子キャッシュ・システム（図１）が開示されている。この電子キャッシュ・システムはEl Gamal署名がもつ独特な特性を利用して上記結果を達成している。

Description

【発明の詳細な説明】 効率的な電子マネー関連出願 本出願は１９９４年２月２３日に出願された米国特許出願第08/201,106号（発 明者：Y．Yacobi、承継人：本件出願の出願人）の一部継続出願である。発明の分野 本発明は電子マネー(electronic money)に関し、具体的には、電子的にキャッ シュ（現金）と等価である電子マネーの一形体に関する。本発明は、特定の電子 コイン（硬貨）の二重支払を防止する形体の電子マネーを提供する一方で、それ と同時に、現金取引において支払人（現金使用者(spenders)）および被支払人（ 現金受取人(recipients)）のプライバシを保護することを目的としている。発明の背景 電子マネー(e-money：ｅ−マネー)は通常のマネーと同じ形体で機能する。例 えば、小切手と電子的に等価であるもの（e-checks：ｅ−チェック）と、現金と 電子的に等価であるもの（e-cash：ｅ−キャッシュ）とがある。 電子チエツク(electronic checks)は、電子キャッシュ(electronic cash)より も実現が容易である。ペーパの小切手では、最も重要な要素は使用者の署名(sig nature)である。この署名は、一定の金額を署名者（「支払人(payer)」）から特 定の被支払人(payee)に譲渡する債務が正しいことを保証するものと想定されて いる。さらに、小切手が作られている用紙のある種の特性は、ペーパの小切手の 内容が改変されると、その改変が気づきやすいようにデザインされている。これ らの特性は、いずれもディジタル署名に本来備わっているものである（例えば、 W．Diffie、M．Hellman著「暗号化の新しい方向(New Directions in Cryptograp hy)」IEEE Trans．IT．1976およびR．Rivest、A．Shamir、L．Adelman著「ディ ジタル署名を得る方法と公開鍵暗号系(A Method for Obtaining Digital Signatures and Public Key Cryptosystems)」CACM、Vol．2 1、1978、pp．120-126を参照）。従って、ディジタル・チェックを実現するのは 簡単である。同様に、ディジタル・クレジット・カードを実現するのも容易であ る。この場合のディジタル署名は使用者が真正さ(authenticity)と、使用者が特 定の取引に同意していることを示している。 現金とディジタル的に等価であるものを作ることは、前記のものに比べて困難 である。（例えば、D．Chaum他著「追跡不能な電子キャッシュ(Untraceable Ele ctronic Cash)」Proc．Crypto 1988、D．Chaum著「電子プライバシの達成(Achie ving Electronic Privacy)」Scientific American、August 1992、pp 96-101、S ．Brand著「プライム・オーダ群における表現問題に基づく電子キャッシュ・シ ステム(Electronic Cash Systems Based on the Representation Problem in Gr oups of Prime Order)」Proceedings of Crypto'93 Santa Barbara 1993 pp 22- 26.15、およびS．Even他著「電子ウォレット(Electronic Wallet)」Proc．Crypt o '83を参照）。主要な問題として、次のような問題がある。ディジタル・ビッ トの集まりがコインを表しているとすると、どのようにすれば、支払人がディジ タル・コインを二重使用(double spending)するのを防止できるか、という問題 である。 従来、この問題を解決するために２つのアプローチが採用されている。防止と 事後検出(after the fact detection)である。例えば、二重使用を防止するため に、不正行為防止デバイス(tamper resistent device)を使用することができる 。この種のデバイスは電子ウォレット(e-wallets：ｅ−ウォレット)またはマネ ー・モジュール(money module)と呼ばれ、デバイスの所有者であっても、残額を 不法に改変できないような形で使用者の残額をストアしている。これらのマネー ・モジュールの一方の残額を変更できるのは、２つのデバイスが特定の取引を行 うことに「合意」し、一方のマネー・モジュール（支払人）が他方のマネー・モ ジュール（被支払人）にＸドルを支払うことに同意した場合である。この場合、 各マネー・モジュールの残額は、２つの残額の合計が不変のままになるように変 更される。銀行と使用者との間の取引は、金額を使用者の小切手口座から使用者 のマネー・モジュールに移し、そこで金額がｅ−キャッシュになると いった、追加のステップが必要になる点を除けば上記と同じである。ｅ−キャッ シュの二重使用を防止するために不正行為防止デバイス、つまり、マネー・モジ ュールの使用を銀行が好ましいとしているのは、銀行は二重使用が行われたあと でその二重使用を検出することではなく、二重使用を防止することを望んでいる ためである。 しかしながら、不正行為を１００％防止するマネー・モジュール・タイプのデ バイスを実現することは不可能である。これは、リバース・エンジニアリングや 記載などに奉仕される資源の問題にすぎない。もしマネー・モジュールの外装を 開くことによって１０００万ドルを偽造できるとすれば、マネー・モジュールの 中に入り込むために１００万ドルを投資することは、経済的には理解できること である（モラル的には問題があるが）。価格と品質面で変化する不正行為防止テ クノロジの範囲があるので、なんらかの経済的最適条件を達成する必要がある。 この最適条件は、第２の防御ラインを追加することが可能であればさらに安価 になる。このような第２の防御ラインとして考えられるのは、二重使用者の事後 摘発(after the fact exposure)を行うプロセスを使用することである。 ｅ−キャッシュの使用に関連して起こる、もう１つの問題はプライバシである 。大きな取引（例えば、住宅の購入）の場合には、ｅ−チェックのようなｅ−マ ネーの追跡可能な形体の使用が可能である。通常、この種の取引は秘密取引とは みなされず、当事者はこれらの取引に関する証拠を必要とするのが通常である。 電子キャッシュ（ｅ−キャッシュ）は一般に小規模の日常の取引（例えば、食料 品の購入や新聞の購入など）に利用されている。使用者は、行政機関や大きな民 間機関（例えば、銀行）が使用者の所在と日常の購入の詳細を、種々の被支払人 へのｅ−キャッシュの支払に基づいて絶えず知ることができることを望んでいな い。そのために、通常の合法的使用のあとでは、ｅ−キャッシュ使用者(e-cashs pender)のアイデンティティ(identity)を追跡可能にすることは望ましくない。 他方、ｅ−キャッシュ・システムは同一ｅ−コインの二重使用者のアイデンティ ティを検出できることが望ましい。 本発明の目的は、ある種の非常に望ましい特性をもつｅ−キャッシュまたは ｅ−コインを提供することである。そのような特性としては、次のものがある。 １．銀行が二重使用（例えば、同一が２回預金されたこと）を検出したあと、 銀行は、二重使用者のアイデンティティを効率よく明らかにする十分な情報を所 有していることが望ましい。しかし、ある特定のｅ−コインの合法的な預金がさ れたときは、その特定のｅ−コインを預金者に支払った人の識別を計算するため の十分な情報を銀行に提供することは望ましくない。 ２．ｅ−キャッシュは、次のような取引で使用できることが望ましい。(a)支 払人のアイデンティティを明らかにすることなく支払人から被支払人への支払(p ayment)、(b)支払人のアイデンティティを明らかにすることなく被支払人による 銀行へのマネーの預金(deposit)、(c)預金者のアイデンティティを明らかにする ことなく、預金者が一定額の旧マネー(old money)を銀行に預金したことに対す る交換として銀行から同一額の新マネー(fresh money)を受け取る交換取引(exch ange transaction)、(d)銀行からの引出し(withdrawal)、などである。 ３．システムは効率的であることが望ましい。特に、システムに要求されるリ アル・タイム（実時間）のオペレーションは、個人の使用者が使用するマネー・ モジュールはその処理能力が限られているので、特にマネー・モジュールでの取 引においては、可能な限り少ないことが望ましい。リアル・タイムで行われる取 引に先立つオペレーションは可能な限り多いことが望ましく、かつオペレーショ ンが取引から切り離されて行われることが望ましい。 本発明は上記の利点を具備しているｅ−キャッシュ・システムを提供する。 本発明のｅ−キャッシュ・システムはある種の従来手法を取り入れている。以 下では、これらの従来手法について説明する。 Ａ．公開鍵暗号手法(public key cryptography) 代表的な公開鍵暗号化方式(public key cryptographic system)では、各当事 者ｉは公開鍵Ｐ_iと秘密鍵Ｓ_iをもっている。公開鍵Ｐ_iはだれにも知られている が、秘密鍵Ｓ_iは当事者ｉだけが知っている。使用者ｉへ送られる平文メッセー ジ(clear text message)ｍは、だれにも知られている公開鍵Ｐ_iを利用する公開 オペレーションＰ、つまり、ｃ＝Ｐ（ｍ，Ｐ_i）を使用して暗号化されて、暗号 テキスト・メッセージ(cipher text message)ｃが作られる。この暗号テキスト ・メッセージｃは秘密鍵Ｓ_iを利用する秘密オペレーションＳ、つまり、ｍ＝Ｓ （ｃ，Ｓ_i）を使用して暗号解読される。秘密鍵Ｓ_iをもつ当事者ｉだけが秘密オ ペレーションを実行して暗号化メッセージを暗号解読することができる。 公開鍵暗号化手法(public key cryptographic techniques)は認証(authentica tion)を行うためにも使用できる。Ｐ（Ｓ（ｍ，Ｓ_i），Ｐ_i）＝ｍが真実であれ ば、対応する鍵Ｐ_i、Ｓ_iの所有者はｓ：Ｓ（ｍ，Ｓ_i）を生成することによりメ ッセージｍに署名することができる。ただし、ｓは署名を示している。検証者(v erifier)は、ｍとｓが与えられているときｍ＝Ｐ（ｓ，Ｐ_i）を検証する。署名 システムは検証のために次のように使用することができる。すなわち、ｉである と主張する当事者が本人であるかをメッセージｍと一緒に調べ、当事者に自分の 秘密鍵Ｓ_iを使用してメッセージｍに署名するように求めてから、Ｐ_iを使用して 署名を検証する。 公開鍵暗号化手法の例としては、よく知られているＲＳＡ手法がある。この手 法によれば、当事者ｉは指数ｅとモジュラスＮの形体になった公開鍵と、指数ｄ の形体になった秘密鍵をもっている。従って、当事者ｉへ送信するメッセージを もつ当事者はｃ≡ｍ^eｍｏｄ Ｎとなるようにメッセージｍを暗号化する。当事 者ｉは、オペレーションｍ≡ｃ^dｍｏｄ Ｎを実行することによりｃを暗号解読 してｍを得ることができる。 もう１つの公開鍵暗号化手法として、Rabinモジュラ平方根(modular square r oot)手法がある。この手法によれば、秘密オペレーションではモジュラ平方根を 得ることが含まれ、公開オペレーションではモジュラ自乗演算(modular squaring operation)が含まれる。 Ｂ．EL Gamal署名方式 Ｐ_iとＳ_iが使用者ｉの公開鍵と秘密鍵であるとし、Ｐ_i＝α^Si ｍｏｄ ｐで あるとする。ただし、ｐは大きな素数(large prime)または大きな素数の積であ り、αはＺ^* _pにおける生成元(generator)である。使用者ｉによるメッセージｍ のEl-Gamal署名は順序対(ordered pair)ｓ＝（ｕ，ｖ）であり、これを式で表す と次のとおりである。 Ｐ_i ^u．ｕ^v＝α^mｍｏｄ ｐ (1) 以上のように、署名の受取人は容易に署名を検証することができる。署名を作成 するには、使用者ｉは乱数ｒを選択し、ｕ＝α^rｍｏｄ ｐを計算する。式(1)か ら、次式が得られる。 Ｓ_i．ｕ＋ｒ．ｖ≡ｍ ｍｏｄ ｐ−１ (2) 以上から、Ｓ_iを知っている唯一の人であるｉはｖを計算することができる。た だし、ｇｃｄ（ｒ，ｐ−１）＝１であるとする。El Gamal署名方式はT．El Gama l著「公開鍵暗号化方式および離散対数に基づく署名方式(A Public Key Cryptos ystem and a Signature Scheme Based on Discrete Logarithms)」、IEEE Trans IT，Vol．IT-31，No．4，July，1985，pp．469-472に説明されている。 El-Gamal署名システムは、署名者ｉが同じｒを２回使用して２つの異なるメッ セージに署名しようとすると、これらの２つの署名が署名者の秘密鍵Ｓ_iを暴露 するという興味のある特性をもっている。ｒを２回使用すると、Ｓ_iがどのよう にして暴露されるかを知るには、式(2)から次式を求めるとそのことが分かる。 Ｓ_i．ｕ＋ｒ．ｖ₁≡ｍ₁ｍｏｄ ｐ−１； Ｓ_i．ｕ＋ｒ．ｖ₂≡ｍ₂ｍｏｄ ｐ−１ (3) 上記から、 ｒ（ｖ₁−ｖ₂）≡（ｍ₁−ｍ₂）ｍｏｄ ｐ−１ (4) ｇｃｄ（ｖ₁−ｖ₂，ｐ−１）＝１ならば、メッセージｍ₁，ｍ₂およびそ の署名（ｕ，ｖ₁），（ｕ，ｖ₂）を知っている人はだれでも、ｒを求めることが でき、ｇｃｄ（ｖ，ｐ−１）＝１ならば、Ｓ_iを計算することができる。El Gama l署名方式のこの独特の特性は本発明によるｅ−キャッシュ・システムの基礎と して使用され、特定のｅ−コインの二重使用者のアイデンティティを明らかにし ている。NIST、DSS、Schnorrなどの他の署名方式も、２つの異なるメッセージが 同じランダム・エレメント（例えば、ｒ）を使用して署名されると、そのメッセ ージ、署名、および使用者の公開鍵といった公開情報をもつ人ならば、だれでも が署名者の秘密鍵を計算できるという特性をもっている。この特性をもつ署名方 式は、署名方式のEl Gamal族(family)に属する。 Ｃ．ブラインド署名 ブラインド署名(blind signature)の考え方は、ある人が閉じられた封筒に署 名する状況を真似ることである。封筒にはある種のドキュメントとカーボン・ペ ーパが入っているので、署名は（カーボン・ペーパを通して）ドキュメント上に 現れることになるが、署名者にはドキュメントの内容は分からない。受取人は署 名されたドキュメントを封筒から後で取り出すことができる。一見すると奇妙な 、この考え方は追跡不能性(nontraceability)を設定する上で非常に役立ってい る。ブラインド署名はＲＳＡを使用すると、次のように実現することができる。 署名者はＮ，ｅ，ｄ（それぞれ公開モジュラス(public modulus)、公開指数(pub lic exponent)、秘密指数(secret exponent)）と関連づけられる。署名される秘 密メッセージはｍである。受取人はランダムなｘεＺ^* _Nを選択し、「封筒内メツ セージ(message-in-envelope)」ｃ≡ｘ^e．ｍ ｍｏｄ Ｎを署名者に提示し、こ れを受けて署名者はそれに署名する。つまり、その受取人からのｃ^d≡ｘ．ｍ^dｍ ｏｄ Ｎを計算し、受取人（ｘを知っている）だけが署名されたメッセージｍ^d ≡ｃ^dｘ^-1 ｍｏｄ Ｎを計算することができる。 上述した公開鍵暗号化手法技術は、本発明による独特のｅ−キャッシュ・シス テムを提供するために使用される。発明の概要 本発明の図示の実施例によれば、ｅ−キャッシュ・システムには４人の役者が いる。すなわち、保証当局(certification authority)、銀行、使用者ｉとも呼 ばれる支払人、使用者ｊとも呼ばれる被支払人である。ｅ−マネー・システムで 実行できる基本オペレーションには６つある。すなわち、初期証明(Initial Cer tificate)、受領証明(Receipt Certificate)、引出し、支払、預金、交換である 。本発明のｅ−マネー・システムのエレメントとオペレーションについては、以 下で説明する。公開鍵と秘密鍵 使用者ｉは公開鍵をもち、例えばＰ_i＝α^Si ｍｏｄ ｐとなっている。ただ し、αとｐは一般に知られている。Ｓ_iは使用者ｉの秘密鍵である。秘密鍵Ｓ_iは 使用者ｉのアイデンティティＩ_iを含んでいる。図示の例では、Ｓ_iは使用者の名 前Ｉ_iと使用者ｉだけが知っているランダム・ビットＲ_iのストリングの連結(con catenation)からなっている。すなわち、Ｓ_i＝（Ｉ_i，Ｒ_i）となっている。別の 方法として、秘密指数鍵(secret exponent key)Ｓ_iはＩ_iの複数のコピーを含む ことも可能である。なお、Ｐ_iとＳ_iはそれぞれEl Gamal公開鍵および秘密鍵であ る。以下で説明するように、この機能は、特定のｅ−コインの二重使用者のアイ デンティティを検出する上で重要である。 別の例として、Ｐ_iとＳ_iはEl Gamal公開鍵と秘密鍵であるが、署名方式のEl G amal族(family)における異なる署名方式の鍵にすることも可能である。しかしな がら、望ましいことは、Ｓ_iが使用者のアイデンティティＩiを含んでいることで ある。公開鍵の保証 使用者ｉは公開鍵Ｐ_iの保証(certificate)を受けることもできる。公開鍵の保 証は使用者ｉのアイデンティティＩ_iと使用者が主張する公開鍵Ｐ_iとを結ぶリン ケージである。本発明では、この保証とは、公開鍵Ｐ_iが合法的であり、使用者 のアイデンティティが指数に埋め込まれているか、さもなければ公 開鍵に埋め込まれているとの証明(proof)となるものである。保証の例としては 、ｆ（Ｐ_i，Ｏ^γ）に対する信用当局(trusted authority)の署名（例えば、ＲＳ Ａ署名）がある。ただし、Ｏγはγ個のゼロの連(run)である。Ｐ_iの保証は図示 の例ではオフ−オフ・ライン(off-off line)で計算される。関数ｆの使用は完全 に任意である。従って、本発明のある実施例では、ｆ（Ｐ_i，Ｏ^γ）＝（Ｐ_i，Ｏ^γ ）になっている。本発明の他の実施例では、ｆは一般に知られた衝突のないha s関数(publicly known collision free has function)になっている。特に、１ （ｐ）＝ｌｏｇ_<（ｐ）γとする。 Σ＝｛０，１｝^1(p)とし、ｆ：Σ→Σを一般に知られた衝突のない一方向性has 関数(one way has function)であるとする。（ｆはΣ＝｛０，１｝^1(p2)のとき 使用されることがあり、このことはコンテキストから明らかである。） 本明細書で用いられている「オフ−オフ・ライン」という用語は、まれにしか 実行されないオペレーションのことである。特に、「オフ−オフ・ライン」とい う用語は、一度だけ実行され、その結果が多数のリアル・タイム・オペレーショ ンで使用されるオペレーションのことを意味する。「オフ−オフ・ライン」オペ レーションは、オン／オフ・ライン・ディジタル署名方式で使用される「オフ− ライン」オペレーションと対比されるものである。オン／オフ・ライン・ディジ タル署名方式では、各リアル・タイム・ディジタル署名が実行されるとき、計算 は可能な限り多くが先立って実行されて、リアル・タイム計算を減少するように している。各リアル・タイム・ディジタル署名について先立って実行される計算 は「オフ−ライン」計算と呼ばれる。「オフ−ライン」計算の集合とリアル・タ イム・デイジタル署名との間には、１対１対応(one-to-one correspondence)が ある。これに対して、「オフ−オフ」ライン計算とリアル・タイム・オペレーシ ョンとの間には１対１対応がない。むしろ、「オフ−オフ・ライン」計算の結果 は多くの後続のリアル・タイム・オペレーションで使用することができる。「オ フ−オフ・ライン」オペレーションの使用は本発明の独特の特徴である。これが 本発明の大きな利点となっているのは、秘密鍵Ｐ_iとその保証が「オフ−オフ・ ライン」で計算できることである。 保証は次のようにして得られる。候補となる保証ｆ（Ｐ₁，Ｏ^γ）は Ｚ≡ｘ^ecｆ（ｐ_i，Ｏ^γ）ｍｏｄ Ｎ_cを計算することによってブラインド(blind )される。ただし、ｘは乱数、ｅ_cは信用保証当局の公開ＲＳＡ指数鍵、Ｎ_cは保 証当局の公開モジュラスである。量Ｚはそのあと使用者ｉから保証当局へ送信さ れる。 次に、使用者ｉはＰ_iが正しいフォーマットになっていること、つまり、Ｐ_iの 指数の中の秘密鍵Ｓ_iが使用者のアイデンティティＩ_iを含んでいることを保証当 局に証明する。この証明は、保証当局に対してＰ_iを明らかにすることなく行う ことができるので、保証当局は使用者ｉのＩ_iとＰ_iとを相関づけることが不可能 になっている。保証当局がＩ_iとＰ_iとを相関づけることを可能にすると、保証当 局はｅ−キャッシュを使用して使用者ｉが行ったすべての取引を知ることが可能 になってしまう。本発明では、使用者のアイデンティティが明らかにされるのは 、コインが二重使用されたときだけである。このような相関づけを防止するため に、候補となる保証はそれが保証当局に送られる前にブラインドされる。この証 明を行うために使用できる１つの手法として、ゼロ知識証明(zero-knowledge pr oof)と呼ばれるものがある(Goldreich、Micali、Winderson著「その有効性以外 はなにももたらさない証明、またはＮＰにおけるすべての言語はゼロ知識証明シ ステムをもっている(Proofs that yield nothing，but their validity，or All languages in NP have zero-knowledge proof systems)、J．of the ACM，38: 691-729，1991およびGoldwasser,Micali、Rackoff著「会話型証明システムの知 識複雑性(The knowledge complexity of Interactive proof systems)」、SIAM J．on Computing，181,1989，pp．186-208を参照。なお、これらの文献の内容は 引用により本明細書の一部分を構成する)。ゼロ知識証明がここで使用できるの は、証明の中で使用される述部のすべてがＮＰ（Non-deterministic polynomina l time：非決定性多項式時間）であるためである。もう１つの証明手法は「カッ ト−アンド−チューズ(cut-and-choose)手法である。この後者の手法については 、以下で詳しく説明する。 証明が保証当局に受容し得るものであれば、保証当局はＺ^dcを計算する。ただ し、ｄ_cは保証当局の秘密ＲＳＡ指数鍵である。そのあと、Ｚ^dcは保証当局から 使用者ｉへ送信され、使用者ｉは保証 cert(i)＝Ｚ^dc／ｘ≡ｆ（Ｐ_i，Ｏ^γ）^dc ｍｏｄ Ｎ_cを計算する。 以上を要約すると、使用者ｉはＩ_iとＰ_iとの間のリンケージを設定している保 証を保証当局から受け取る。しかし、通常の保証とは対照的に、このリンケージ は隠されている。使用者のアイデンティティＩ_iは公開鍵Ｐ_iの離散対数(discret e Iog)の中に埋め込まれており、これが明らかにされるのはコインの二重使用が あったときだけである。なお、保証cert(i)はオフ−オフ・ライン計算を使用し て、定期的にリフレッシュすることが可能である。ｅ−コインのフォーマット 一般的に、コインは使用者の公開とランダム・エレメントとの間の保証済みリ ンケージを含んでいる。本発明の図示実施例によれば、使用者ｉのコインは（Ｐ_i ，ｕ，Ｃ）で表されている。ただし、保証済みリンケージＣ≡ｆ（Ｐ_i，ｕ，Ｏ^γ ）^d$ ｍｏｄ Ｎ_$であり、ｕ≡α^rｍｏｄ ｐ、ここでｒはランダム・エレメ ントであり、これはｉによって選択され、ｉだけが知っており、３０＜γ＜５０ 、ｄ_$は特定の単位(denomination)のコインに対する銀行のＲＳＡ秘密指数であ り、そしてＮ_$は銀行のＲＳＡモジュラスである。鍵Ｐ_i、値ｕ、モジュラスＮ_$ 、および公開ＲＳＡ指数ｅ_$（秘密ＲＳＡ指数ｄ_$に対応する）は公衆に知られて いる。使用者iの各コインはランダム・エレメントｒの異なる値をもっているが 、多くのコインでは同じＰ_iが使用される。 以下のオン−ライン（つまり、リアル・タイム取引）は本発明のｅ−キャッシ ュを使用して実行することができる。 １．支払 支払人ｉはコイン（Ｐ_i，ｕ，Ｃ）を被支払人ｊに送信する。ただし、保証済 みリンケージＣ≡ｆ（Ｐ_i，ｕ，Ｏ^γ）^d$ ｍｏｄ Ｎ_$である。被支払人ｊは、 Ｃ^e$≡（Ｐ_i，ｕ，Ｏγ）ｍｏｄ Ｎ_$を検証することによって銀行の署名を検証 する。銀行の署名が正しければ、被支払人ｊは、Eｌ Gamaｌ署名またはEl Gamal 族(family)からの他の署名を使用してコインに埋め込まれている（Ｐ_i，ｕ）を 使用してランダム・メッセージｍに署名するように支払人ｉに要 求する。支払人ｉはEl Gamal署名ｓ＝（ｕ，ｖ）を計算し、署名を被支払人ｊに 送信する。これを受けて、被支払人ｊはEl Gamal署名を検証する。ここで被支払 人ｊはコインをストアする。 以上を要約すると、支払オペレーションでは、支払人はコイン（公開鍵とラン ダム・エレメントとの間の保証済みリンケージ）を被支払人に送信する。被支払 人は、図示の例では銀行の署名である保証を検証する。そのあと、被支払人はコ インに埋め込まれた公開鍵とランダム・エレメントを使用し、El Gamal族につい ての署名方式を使用してメッセージｍに署名するように支払人に要求する。その あと被支払人は署名を検証する。 ２．預金 ここでは、被支払人ｊがコインＣ（Ｐ_i，ｕ，Ｃ）を銀行に預金する場合を想 定して説明する。被支払人ｊはコイン（Ｐ_i，ｕ，Ｃ）と支払人ｉのEl Gamal署 名（ｕ，ｖ）を銀行へ送信する。支払人ｉが署名したメッセージｍも銀行へ送信 される。銀行はそのＣ^e$≡ｆ（Ｐ_i，ｕ，Ｏ^γ）ｍｏｄ Ｎ_$を検証することによ ってコインを検証する。 銀行は、預金されたコイン（Ｐⁱ，ｕ，Ｃ^γ）および対応するEl Gamal署名（ ｕ，ｖ）とメッセージｍのリストを維持している。 次に、銀行は、現在預金されているコインをリスト内のコインと比較する。重 複コインがあるときは、上記の式(2)と(3)を使用すると、ｒとＳ_iを求めること ができる。Ｓ_iから、二重使用者のアイデンティティＩ_iが明らかにされる。重複 コインがなければ、コインがリストに追加され、被支払人ｊの残高が更新される 。コインのリストは満了日がコインに埋め塔まれていれば、無限に大きくなるこ とはない。 以上を要約すると、預金オペレーションでは、被支払人は受け取ったコインと 支払人のEl Gamal族署名を銀行へ送信する。銀行はコインを検証したあとで、コ インを以前に預金されたコインのリストと比較してそのコインが過去に預金され ていたかどうかを確かめる。コインが過去に預金されていれば、銀行は二重使用 者のアイデンティティを決定することができる。特に、銀行は２つの異なるメッ セージで、しかし同じランダム・エレメントを使用した２つのEl Gamal族署名を 受信したことになる。旧マネーと新マネーの交換 被支払人ｊは支払人ｉから受け取ったコインを単に預金するだけではなく、被 支払人ｊはコインＣを銀行に預金し、その見返りとして同一総額の新しいコイン を要求することができる。上述した預金ルーチンが実行され、二重使用のチェッ クが行われるが、ｊの残高は未変更のままである。被支払人ｊはブラインドされ ていない保証（Ｐ_j，Ｏ^γ）^dc ｍｏｄ Ｎ_cを銀行に送信し、これを受けて、銀 行はＰ_jを検証する。要求する各コインごとに、被支払人は被支払人が選択した ｕ＝α^r' ｍｏｄ Ｐも銀行に送信する。使用者ｊは、Ｃ′≡ｆ（Ｐ_j，ｕ，Ｏ^γ ）^d$ ｍｏｄ Ｎ_$を銀行から取り戻す。この交換取引は本発明の特徴であり 、これは従来のｅ−マネー・システムにはなかったものである。 以上を要約すると、交換オペレーションでは、被支払人は旧コインを銀行に預 金し、同一総額の新しいコインを銀行から受け取る。被支払人は自分のアイデン ティティを銀行に対して明らかにするが、リンケージ（使用者、コイン）は銀行 には分からないようになっている。引出し 実行できるもう１つのオペレーションは引出し(withdrawal)オペレーションで ある。このオペレーションによれば、使用者ｉは銀行との通信を確立し、本人で あることを銀行に対して認証する。使用者ｉはブラインドされた候補コインｗ≡ ｘ^e$ｆ（Ｐ_i，ｕ，Ｏ^γ）ｍｏｄ Ｎ_$を提示し、それに基づいて銀行のＲＳＡ署 名を得ることが望ましい。また、使用者ｉはＰ_iが正しい構造になっていること を銀行に対して証明する（例えば、ゼロ知識証明、またはカット−アンド−チュ ーズ証明を使用して）。この証明は鍵Ｐ_iを銀行に対して明らかにすることなく 行われるので、銀行は使用者ｉをＰ_iと相関づけることができない。銀行はコイ ンの値を使用者の残高から差し引く。そのあと、銀行はｗ^d$とＮ_$を返すので、 使用者はそれからコイン（Ｐ_i，ｕ，Ｃ）を計算することができる。た だし、保証済みリンケージＣ＝ｆ（Ｐ_i，ｕ，Ｏ^γ）^d$ ｍｏｄ Ｎ_$である。交 換オペレーションは複雑化した引出しオペレーションよりも頻繁に使用されるこ とが予想される。 以上を要約すると、引出しオペレーションでは、公開鍵（例えば、Ｐ_i）とラ ンダム・エレメント（例えば、ｕ）との間のブラインドされたリンケージが銀行 に送信される。ブラインドが使用されるのは、使用者のＩＤ（例えば、Ｉ_i）が 銀行に分かってしまうからである。銀行は、Ｐ_iが正しい構造になっていること （つまり、使用者のアイデンティティＩ_iがそこに再埋込みされていること）を 検証する。そのあと、銀行はブラインドされたリンケージに署名し、署名したブ ラインド・リンケージを使用者に返し、これを受けて使用者はコインを計算する 。 以上開示してきた本発明によるｅ−キャッシュ・システムには、いくつかの重 要な利点がある。システムは計算と通信の点で単純化されている。リアル・タイ ム・オペレーションの数は限られており、最も複雑なオペレーションはオフ−オ フ・ラインで実行される。本発明のｅ−キャッシュ方式は、使用者のプライバシ を保護する一方で、二重使用者のアイデンティティを明らかにすることができる 。図面の簡単な説明 図１は、本発明のｅ−キャッシュ方式を利用することができるネットワークを 示す概略図である。 図２は、本発明によるｅ−キャッシュを使用する支払オペレーションを示す概 略図である。 図３は、本発明のｅ−キャッシュ・システムを使用する預金オペレーションを 示す概略図である。 図４は、本発明のｅ−キャッシュ・システムを使用する交換オペレーションを 示す概略図である。 図５は、本発明のｅ−キャッシュ・システムを使用する引出しオペレーション を示す概略図である。 図６は、本発明により使用者の公開鍵の初期保証を生成するオペレーションを 示す概略図である。 図７は、本発明により公開鍵の保証をリフレッシュするオペレーションを示す 概略図である。 図８および図９は、Ｐ_iが初期保証において正しい構造になっていることを証 明するために使用されるカット−アンド−チューズ(cut-and-choose)手法および 本発明のリフレッシュ保証オペレーションを示す図である。発明の詳細な説明 Ａ．ネットワーク環境 図１は、本発明のｅ−キャッシュを利用してさまざまな取引が行われるネット ワーク１０を概略的に示す図である。ネットワーク１０は、使用者に所属するマ ネー・モジュールなどの複数の電子ｅ−コイン処理ユニット、１つまたは複数の 銀行、および保証当局を含んでいる。 図示の例では、図１のネットワーク１０は使用者ｉに所属する第１ポータブル ・マネー・モジュール１２と使用者ｊに所属する第２ポータブル・マネー・モジ ュール１４を含んでいる。マネー・モジュール１２はＣＰＵ（例えば、マイクロ プロセッサ）１６とメモリ１８を搭載している。マネー・モジュール１４はＣＰ Ｕ２０とメモリ２２を搭載している。マネー・モジュール１２はライン（回線） ２４を介して公衆交換電話網(public switched telephone network)２６に一時 的に接続することが可能になっている。マネー・モジュール１４もまた、ライン ２８を介して公衆交換電話網２６に一時的に接続することが可能になっている。 マネー・モジュール１２，１４は公知のモデム（図示せず）を通してライン２４ ，２８に接続されている。別の方法として、マネー・モジュールは無線ラジオ・ チャネル(wireless radio channel)を介して公衆交換電話網に接続することも可 能である。図示の例では、公衆交換電話網２６はＩＳＤＮ（Integrated Service s Digital Network -統合サービス・ディジタル網）になっている。マネー・モ ジュール１２と１４は公衆交換電話網２６を通して相互に通信することができる 。 別の方法として、マネー・モジュール１２と１４の間を無線接続(wireless co nnection)３０で結ぶことも可能である。この無線接続３０はセルラ網(cellular network)で確立することも、大気を通る直接無線リンク(radio link)を利用し て２つのマネー・モジュール間を結ぶことも可能である。また、無線赤外線リン ク(wireless infrared link)で２つのマネー・モジュール間を結ぶことも可能で ある。 理解されるように、マネー・モジュール１２，１４のＣＰＵ１６，２０は処理 能力が限られている。さらに、マネー・モジュール１２，１４のメモリ１８，２ ２も記憶容量が限られている。従って、本発明のｅ−キャッシュ取引では、マネ ー・モジュールでリアル・タイム・オペレーションを一定数に制限することを要 求することが望ましい。 ネットワーク１０は保証当局ステーション３２も含んでいる。この保証当局ス テーション３２にはサーバ３４とメモリ３６が置かれている。サーバ３４はリン ク３８によって電話網３６に接続されている。 さらに、ネットワーク１０は銀行ステーション４０も含んでいる。銀行ステー ションにはサーバ４２とメモリ４４を含む。サーバ４２はリンク４６によって電 話網２６に接続されている。 図１のネットワーク１０は単なる例示である。使用者ｉとｊに所属する２つの マネー・モジュールは１２，１４だけが示されているが、ｅ−キャッシュを使用 するためのネットワークは多数のマネー・モジュールを含むことが可能である。 さらに、銀行も２つ以上存在することが可能である。Ｂ．マネー・フォーマット 上述したように、各使用者ｉは公開鍵Ｐ_i＝α^Si ｍｏｄ ｐをもっている。 ただし、αとｐは一般に知られており、Ｓ_iは秘密鍵である。秘密鍵Ｓ_iは使用者 ｉのアイデンティティＩ_iを含んでいる。図示の例では、Ｓ_i＝（Ｉ_i，Ｒ_i）であ り、Ｒ_iは使用者ｉだけが知っているランダムなビット・ストリングである。さ らに、使用者ｉは保証cert(i)をもっており、これはＰ_iが指数Ｓ_iに含まれたア イデンティティＩ_iをもっていることを保証してい る。このフォーマットは特定のｅ−コインの二重使用者を明らかにする上で重要 である。図示の例では、保証cert(i)は（Ｐ_i，Ｏ^γ）に対する保証当局の署名で ある。ただし、Ｏγはγ個のゼロの連(run)であり、３０＜γ＜５０である。例 えば、cert(i)≡（Ｐ_i，Ｏ^γ）^dc ｍｏｄ Ｎ_cであり、ｄ_cは保証当局の秘密Ｒ ＳＡ指数、Ｎ_cは保証当局のモジュラスである。保証を得るための詳しいプロセ スについては、図６を参照して以下に説明する。 使用者ｉのコインは（Ｐ_i，ｕ，Ｃ）の形式になっている。ただし、保証済み リンケージＣ＝（ｆ（Ｐ_i，ｕ，Ｏ^γ）^d$ ｍｏｄＮ_$であり、ｕ＝α^rｍｏｄ ｐ、ここでｒは各コインごとにｉによって別々に選択され、ｉだけが知っている ランダム・エレメントである。指数ｄ_$は特定のコイン単位に対する銀行の秘密 ＲＳＡ指数であり、Ｎ_$は銀行のモジュラスである。銀行は、すべてのｍに対し て公開ＲＳＡ指数ｅ_$ももっており、（ｍ^d$）^e$ ｍｏｄ Ｎ_$≡ｍのようになっ ている。Ｃ．支払取引 本発明のｅ−キャッシュを使用して行うことができる取引の１つとして、支払 取引(payment transaction)がある。支払取引では、支払人ｉに所属するマネー ・モジュール１２と被支払人ｊに所属するマネー・モジュール１４との間の通信 を含む。これらの通信は電話網２６または無線リンク３０を通して行われる。支 払取引で必要とされる計算はマネー・モジュール１２，１４のＣＰＵ１８，２０ で実行される。 支払オペレーションは図２に示されており、次のようなステップからなってい る。 １．支払人ｉはコイン（Ｐ_i，ｕ，Ｃ）を被支払人ｊに送信する。ただし、保 証済みリンケージＣ≡（ｆ（Ｐ_i，ｕ，Ｏ^γ）^d$ ｍｏｄＮ_$ある。 ２．被支払人ｊは銀行のＲＳＡ署名を検証することによって、つまり、Ｃ^e$≡ （Ｐ_i，ｕ，Ｏ^γ）ｍｏｄ Ｎ_$であることを検証することによってコインを検証 する。この検証が失敗したときは、支払オペレーションは打ち切られる。 ３．この検証が成功したときは、被支払人ｊはランダム・メッセージｍを選択 する。 ４．ランダム・メッセージｍは被支払人ｊから支払人ｉへ送信される。 ５．支払人ｉはＰ_i，Ｓ_iおよびｕを使用してメッセージｍでEl Gamal署名ｓ＝ （ｕ，ｖ）を生成する。上述したように、Ｐ_iとＳ_iはEl Gamal公開鍵と秘密鍵の 形体になっている。（これに代わる方法として、El Gamal族からのNIST-DSSまた はSchnorr署名または他の方式を使用することも可能である。） ６．El Gamal署名ｓは支払人から被支払人ｊへ送信される。 ７．被支払人ｊはEl Gamal署名ｓ＝（ｕ，ｖ）を検証する。署名ｓが肯定的に 検証されなかったときは、支払オペレーションは打ち切られる。署名が肯定的に 検証されたときは、被支払人ｊはコイン（Ｐ_i，ｕ，Ｃ）、署名ｓ、およびメッ セージｍをメモリ２２にストアする。 なお、ここで注意すべきことは、ｐが十分に大きいときは、公開鍵Ｐ_iとアイ デンティティＩ_iとを相関づけることは容易でないので、被支払人ｊが支払人ｉ のアイデンティティＩ_iを知得することはあり得ないことである。従って、支払 人ｉのプライバシは守られることになる。Ｄ．預金取引 図３は被支払人ｊが支払人ｉから受け取ったコイン（Ｐ_i，ｕ，Ｃ）を銀行４ ０に預金する取引を示している。預金オペレーションを行うには、被支払人ｊの マネー・モジュール１４と銀行４０は公衆交換電話網２６を通して通信する。預 金オペレーションは次のようなステップで行われる。 １．被支払人ｊは支払人ｉから受け取ったコインＣとEl Gamal署名ｓをメッセ ージｍと一緒に銀行４０へ送信する。 ２．銀行はＣ^e$ ｍｏｄ Ｎ_$≡ｆ（Ｐ_i，ｕ，Ｏ^γ）であることを検証するこ とによってコインを検証する。 ３．銀行は預金されたコインのリストを維持している。各コインごとに、この リストはメッセージと、コインの中のEl Gamal鍵とｕの値を使用してそのメッセ ージで受け取ったEl Gamal署名を含んでいる。このリストはメモリ４４にストア されている。（満了日をコインに付加して、このリストのサイズを制限すること ができる。） ４．サーバ４２を使用して、銀行４０はコイン（Ｐ_i，ｕ，Ｃ）を、メモリ４ ４にストアされたすでに預金されたコインのリストと比較する。衝突が見つかっ たときは、二重使用が行われたことが検出される。次に、支払人ｉのアイデンテ ィティＩ_iが決定される。このアイデンティティは、異なるメッセージ上の２つ のEl Gamal署名が同じＰ_iとｕを使用していると、秘密鍵Ｓ_iが明らかになること から判断することができる。Ｓ_iはＩ_iを含んでいるので、Ｉ_iも明らかにされる 。このことは上記の式(2)と(3)から証明されている。コインＣがリストに見つか らなければ、支払人の署名が検証される。そのあと、コイン（Ｐ_i，ｕ，Ｃ）お よび関連El Gamal署名ｓとメッセージｍが銀行で維持されているリストに追加さ れる。 ５．被支払人ｊは銀行によって更新される残高を有する。 なお、ここで注意すべきことは、預金オペレーションでは、支払人ｉが 二重使用者でなければ、支払人ｉのアイデンティティＩ_iが明らかにされないこ とである。Ｅ．交換取引 本発明のｅ−キャッシュを使用して実行できるもう１つの取引は、交換取引(e xchange transaction)である。交換取引は、使用者が旧ｅ−コインを銀行に預金 し、同一総額の新ｅ−コインを引き出すことを含む。交換取引の目的は、支払人 ｉと被支払人ｊのプライバシを永続化することである。図示の例では、交換取引 は、使用者ｊのマネー・モジュール１４と銀行４０との間で公衆交換電話網２６ を使用して通信し合うことによって行われている。図４に示すように、交換オペ レーションで行われるステップは次のとおりである。 １）被支払人ｊは、支払人ｉから受け取った使用済みコイン（Ｐ_i，ｕ，Ｃ） 、ここで保証済みリンケージＣ≡（ｆ（Ｐ_i，ｕ，Ｏ^γ）^d$ Ｎ_$と、メッセージ ｍと一緒に支払人ｉから受け取ったEl Gamal署名ｓを銀行へ送信する。 ２）銀行はＣ^e$ ｍｏｄ Ｎ_$＝ｆ（Ｐ_i，ｕ，Ｏ^γ）を検証することによって コインを検証する。 ３）銀行はコイン（Ｐ_i，ｕ，Ｃ）をメモリ４４にストアされた預金済みコイ ンのリストと比較する。衝突が見つかったときは、二重使用が行われたことが検 出される。そのあと、二重使用者のアイデンティティが上述した預金取引の場合 と同じように決定される。コインＣがリストに見つからなければ、支払人の署名 が検証されコインＣが銀行で維持されているリストに追加される。 ４）保証cert(j)≡（ｆ（Ｐ_j，Ｏ^γ）^dc ｍｏｄ Ｎ_cおよびｕ′＝α^r' ｍ ｏｄ ｐは被支払人ｊから銀行へ送信される。 ５）銀行は保証を検証して、使用者ｊとの新しい保証されたリンケージＣ′を 作り、そのあと新しいコイン（Ｐ_j，ｕ′，Ｃ′）をフォーマットする。 注意： このオペレーションでは、銀行は支払人ｉまたは被支払人ｊのアイデ ンティティを知得することはあり得ない。また、銀行はコインＣ′が流通すると きコイン（Ｐ_j，ｕ′，Ｃ′）を特定の使用者と関連づけることもない。その理 由は、銀行はＰ_iまたはＰ_jをＩ_iまたはＩ_jと相関づけることができないからであ る。 上述した３つの取引、つまり、支払、預金、交換はいずれもリアル・タイムで 行われるので、マネー・モジュールで要求されるオペレーション量は最小限にな っている。Ｆ．引出し取引 本発明のｅ−マネーを使用して実行できるもう１つの取引は、銀行からの引出 し(withdrawal)である。図示の例では、使用者ｉはマネー・モジュール１２を使 用して電話網２６を介して銀行４０と通信して引出しオペレーションを実行して いる。引出しオペレーションのステップは図５に示されており、以下で説明する 。 １）使用者ｉはその識別(identification)Ｉ_i、口座番号および引き出そうす る値を銀行へ送信する。 ２）銀行は識別Ｉ_iを検証し、口座残高をチェックする。 ３）使用者ｉはランダムのｘを選択し、ブラインドされた候補リンケージＷ＝ χ^e$（Ｐ_i，ｕ，Ｏ^γ）ｍｏｄ Ｎ_$を作って、ブラインドされた候補リンケージ を銀行へ送信する。 ４）使用者ｉはＰ_i＝α^si ｍｏｄ_pが正しくフォーマットされていること、Ｓ_i がＩ_iを含んでいることを銀行に対して証明する。これは、例えば、ゼロ知識証 明またはカット−アンド−チューズ手法を使用して行われるので、銀行がＰ_iを 知得することはない。したがって、銀行はＰ_iとｉのアイデンティティとを相関 づけることができない。故に使用者ｉのプライバシが守られるようになっている 。 ５）銀行が証明を拒否したときは、オペレーションは停止される。そうでなけ れば、銀行はＷ^d$≡ｘｆ（Ｐ_i，ｕ，Ｏγ）^d$ ｍｏｄ Ｎ_$を作り、こ の数量を使用者へ送信する。 ６）そのあと、使用者はリンケージ＝Ｗ^d$／ｘ≡ｆ（Ｐ_i，ｕ，Ｏ^γ）^d$ ｍ ｏｄ Ｎ_$を使用してコインを作る。 ここで注意すべきことは、引出しオペレーションは交換オペレーションより複 雑になっていることであるが、これは、ブラインドされた候補リンケージに組み 込まれたＰ_iが正しくフォーマットされていることを使用者ｉがＰ_iを明らかにす ることなく証明しなければならないからである。引出しオペレーションは、ほと んどの場合避けられることが予想される。引出しオペレーションが避けられる理 由は、ｅ−コインはｅ−チェックなどの追跡可能なｅ−マネーとトレード(trade )可能であるので、交換オペレーションが利用できるからである。Ｇ．保証オペレーション 上述したように、本発明のｅ−マネー・システムは鍵Ｐ_iの保証を使用してい る。この保証は保証当局によってオフ−オフ・ラインで行われる。使用者ｉのマ ネー・モジュールは電話網２６を通して保証当局３２と通信する。Ｐ_iの保証プ ロセスのステップは図６に示されており、次のとおりである。 １．使用者はランダムなｘを選択し、ブラインドされた候補保証Ｚ≡ｘ^ecｆ（ Ｐ_i，Ｏ^γ）ｍｏｄ Ｎ_cを作る。そのあと、ブラインドされた候補保証ＺはＩ_i を確認することと一緒に保証当局へ送信される。 ２．次に、使用者は、Ｐ_iが正しいフォーマットにされていることを、例えば 、ゼロ知識証明またはカット−アンド−チューズ手法を使用して保証当局に対し て証明するので、保証当局がＰ_iを知得することはなく、従って、Ｐ_iとＩ_iを相 関づけることができないようになっている。 ３．この証明が拒否されたときは、保証オペレーションは停止される。そうで なければ、保証当局はＺ^dcを計算し、Ｚ^dcを使用者ｉへ送信する。 ４．これを受けて、使用者ｉはcert(i)≡Ｚ^dc／ｘ≡ｆ（Ｐ_i，Ｏ^γ）^dc ｍｏ ｄ Ｎ_cを計算する。 この保証プロセスを使用すると、保証当局がＰ_iを知得することがないので Ｐ_iとＩ_iを相関づけることが不可能になっている。これにより、保証当局は使用 者ｉによって行われるｅ−キャッシュ取引について知ることができなくなるので 、使用者ｉのプライバシが保護されることになる。Ｈ．リフレッシュ・オペレーション Ｐ_iとＩ_iとの対応関係が外部に漏れる可能性があるので（例えば、暗号化の外 部の手段によって）、望ましいことは、Ｐ_iとcert(i)を定期的にリフレッシュす ることである。リフレッシュ・オペレーションは図７に示されており、そのステ ップを説明すると、次のとおりである。 １）使用者はランダムなｘを選択する。 ２）使用者は新しい鍵Ｐ_i′≡α^si'ｍｏｄ ｐ，Ｓ_i′＝（Ｉ_iＲ_i′）を選択 する。ただし、Ｒ_i′は使用者ｉが選択したフレッシュなランダム・ビットのス トリングである。鍵Ｐ_i′を使用すると、新しい候補保証ｆ（Ｐ_i′，Ｏ^γ）が選 択される。この新候補保証はＹ≡ｘ^ec ｆ（Ｐ_i，Ｏ^γ）を計算することにより ブラインドされる。Ｙと旧保証cert(i)は保証当局に送信される。 ３）使用者ｉは、Ｐ_iとＰ_i′が同じＩ_iを含んでいることを、例えば、ゼロ知 識証明またはカット・アンド・チューズ手法を用いて保証当局に対して証明する ので、保証当局はＰ_iまたはＰ_i′をＩ_iと相関づけることが不可能である。 ４）保証当局が証明を拒否したときは、オペレーションは停止される。そうで なければ、保証当局は（Ｙ）^dcを計算し、この値を使用者ｉに送信する。 ５）これを受けて、使用者ｉは新しい保証cert₂(i)≡（Ｙ）^dc／ｘ≡ｆ（Ｐ_i ，Ｏ^γ）^dc ｍｏｄ Ｎ_$を計算する。 以上を要約すると、独特な電子キャッシュ・システムを開示してきた。本発明 の電子キャッシュ・システムは、合法的な取引において使用者のプライバシを保 護する一方で、これと同時に、特定の電子コインの二重使用者のアイデンティ ティを明らかにすることを可能にしている。これらの非常に利点のある結果は、 El Gamal署名方式および他の公開鍵暗号化手法を使用して達成されている。 なお、本発明に関連して利用されるある種のオペレーションは、ＲＳＡ公開鍵 暗号化手法を使用する場合を例にして説明してきたが、Rabinモジュラ平方根な どの他の公開鍵暗号化手法をＲＳＡの代わりに使用できることは勿論である。 最後に、本発明の上述した実施例は単なる例示であって、多くの別の実施例が この分野の精通者により、請求の範囲の精神と範囲を逸脱することなく、考案さ れることが可能である。

【手続補正書】特許法第１８４条の８ 【提出日】１９９６年３月２２日 【補正内容】 請求の範囲 １．電子キャッシュ取引を行う方法において、 当事者の公開鍵とランダム・エレメントとのリンケージを備える電子コインを 、第１電子コイン処理ユニットから第２電子コイン処理ユニットへ通信リンクを 経由して送信するステップを備え、前記リンケージは公開鍵暗号化方式の秘密オ ペレーションを使用して署名され、前記公開鍵は、 Ｐ_i＝α^Si ｍｏｄ ｐ の形式になっており、 ただし、Ｐ_iは当事者ｉの公開El Gamal鍵、Ｓ_iは当事者ｉのアイデンティティ Ｉ_iを含んでいる当事者ｉの秘密El Gamal鍵、ｐとαは一般に知られた数である こと、前記ランダム・エレメントはｕ≡ａ^rｍｏｄ ｐの形式を有しており、た だし、ｒは当事者ｉにより選択される乱数であることを特徴とする方法。 ２．請求項１に記載の方法において、前記リンケージは銀行のＲＳＡ秘密指数を 使用して署名されることを特徴とする方法。 ３．請求項１に記載の方法において、前記送信ステップは、前記電子コインを無 線リンクを経由して送信することを備えたことを特徴とする方法。 ４．請求項１に記載の方法において、前記送信ステップは、前記電子コインを公 衆交換電話網を経由して送信することを備えたことを特徴とする方法。 ５．請求項１に記載の方法において、前記第１電子コイン処理ユニットは第１当 事者ｉに所属する第１マネー・モジュールであることを特徴とする方法。 ６．請求項５に記載の方法において、前記第１マネー・モジュールは中央処理ユ ニットおよびメモリを備えたことを特徴とする方法。 ７．請求項５に記載の方法において、前記第２電子コイン処理ユニットは第２当 事者ｊに所属する第２マネー・モジュールであることを特徴とする方法。 ８．請求項７に記載の方法において、前記取引は前記第１当事者ｉの前記第１マ ネー・モジュールから前記第２当事者ｊの前記第２マネー・モジュールへ前記コ インを送信することを備えたことを特徴とする方法。 ９．請求項８に記載の方法において、 ａ）当事者ｊから当事者ｉへメッセージｍを送信するステップと、 ｂ）El Gamal族からの署名で当事者ｉ側でメッセージｍに署名するステップと 、 ｃ）署名を当事者ｊへ送信するステップと、 ｄ）当事者ｊ側で署名を検証するステップとをさらに備えたことを特徴とする 方法。 １０．請求項７に記載の方法において、前記第２マネー・モジュールは中央処理 ユニットおよびメモリを備えたことを特徴とする方法。 １１．請求項１に記載の方法において、前記第１電子コイン処理ユニットは当事 者ｊに所属するマネー・モジュールであり、前記第２電子コイン処理ユニットは 銀行であることを特徴とする方法。 １２．請求項１１に記載の方法において、前記送信ステップは前記電子コインを 前記当事者ｊから前記銀行へ送信することを備えたことを特徴とする方法。 １３．請求項１２に記載の方法において、前記当事者ｊから前記銀行へ送信され た前記電子コインにおける前記公開鍵は、コインを当事者ｊへ転送した当事者ｉ の公開鍵であることを特徴とする方法。 １４．請求項１３に記載の方法において、当事者ｉのEl Gamal族署名をメッセー ジｍと前記メッセージｍに乗せて、前記当事者ｊから前記銀行へ送信するステッ プをさらに備えたことを特徴とする方法。 １５．請求項１４に記載の方法において、 ａ）コインおよび対応するEl Gamal族署名のリストを前記銀行側のメモリに保 持しておくステップと、 ｂ）前記当事者ｊから前記銀行へ送信された前記コインを前記リスト内のコイ ンと比較するステップと、 ｃ）前記当事者ｊから送信された前記コインと前記リスト上のコインとの間に 衝突があれば、前記当事者ｊから送信されたEl Gamal族署名とリスト内のコイン のEl Gamal族署名を使用して二重使用者であることを確認するステップとをさら に備えたことを特徴とする方法。 １６．請求項１５に記載の方法において、 ｄ）当事者ｊの公開鍵の保証を当事者ｊから前記銀行へ送信するステップと、 ｅ）当事者ｊから銀行へ初めに送信されたコインと値が等しい新しいコインを 銀行から当事者ｊへ送信するステップとをさらに備えたことを特徴とする方法。 １７．電子コイン・システムにおいて特定の電子コインの二重使用を検出する方 法であって、コインの各々は、使用者ｉのアイデンティティＩ_iが埋め込まれて いる使用者ｉの公開鍵Ｐ_iの保証されたリンケージおよびランダム・エレメント を備えているものにおいて、該方法は、 ａ）コイン、対応するメッセージｍおよびコイン内の公開鍵とランダム・エレ メントを使用して得られたメッセージｍ上のEl Gamal族署名ｓのリストをメモリ にストアするステップと、 ｂ）エレクトロニック・プロセッサを使用し、前記特定のコインをリスト上の コインと比較するステップと、 ｃ）該特定のコインと前記リスト上のコインとがマッチすれば、特定のメッセ ージ上の前記特定のコインの特定のEl Gamal族署名ならびに前記リスト上の前記 コインのEl Gamal族署名およびメッセージを使用して、二重使用者であることを 確認するステップとを備えたことを特徴とする方法。 １８．請求項１７に記載の方法において、前記保証されたリンケージはＣ≡ｆ（ Ｐ_i，ｕ，Ｏ^γ）ｄ^$ｍｏｄ Ｎ_$の形式になっており、ただし、 Ｐ_iは前記使用者ｉの前記公開鍵、 ｕは前記ランダム・エレメント、 Ｏ^γはγ個のゼロのストリング、 ｄ^$は銀行の秘密ＲＳＡ指数、 Ｎ^$は銀行のモジュラス、 であることを特徴とする方法。 １９．請求項１８に記載の方法において、前記公開鍵Ｐ_iは、 Ｐ_i≡α^Si ｍｏｄ ｐ の形式になっており、ただし、 Ｓⁱは使用者ｉの秘密キーで、使用者ｉのアイデンティティＩ_iを含んでおり、 αとＰは一般に知られた数であり、 前記ランダム・エレメントはｕ＝α^rｍｏｄ ｐの形式になっており、ｒは使 用者ｉにより選択された乱数であることを特徴とする方法。 ２０．電子コインを銀行から電子的に引き出す方法において、 ａ）使用者のプロセッサを使用し、ブラインド・オペレーションを実行して候 補リンケージをブラインドし、ブラインドされた候補リンケージは使用者の公開 鍵およびランダム・エレメントを含んでいるステップと、 ｂ）使用者のアイデンティティとブラインドされた候補リンケージを使用者か ら銀行へ通信リンク経由で送信するステップと、 ｃ）使用者の公開鍵がそこに埋め込まれた使用者のアイデンティティをもって いるとの前記銀行への通知を、使用者の公開鍵を銀行に明らかにすることなく使 用者から銀行へ送信するステップと、 ｄ）前記銀行側のプロセッサを利用し、前記銀行の秘密鍵を使用して前記ブラ インドされた候補リンケージに署名し、署名されたブラインド候補リンケージを 前記使用者へ送信するステップと、 ｅ）前記使用者側では、署名されたブラインド候補リンケージからコインを生 成し、前記公開鍵は Ｐ_i≡αＳⁱｍｏｄ ｐ 形式になっており、ただし、Ｓⁱは使用者ｉの秘密鍵で、使用者ｉのアイデンテ ィティＩ_iを含んでおり、αとｐは一般に知られた数であり、前記ランダム・エ レメントはｕ＝α^rｍｏｄ ｐの形式になっており、ただし、ｒはランダムに選 択された数であるステップとを備えたことを特徴とする方法。 ２１．電子キャッシュ・システムの使用者の公開鍵を保証する方法であって、 ａ）使用者のエレクトロニック・プロセッサを利用し、候補保証に対してブラ インド・オペレーションを実行してブラインドされた候補保証を生成し、前記ブ ラインドされた候補保証はＰ_i＝αＳⁱｍｏｄ ｐ形式の使用者ｉの公開鍵を含ん でおり、上記形式において、Ｓ_iは使用者ｉのアイデンティティＩ_iを含んでいる 使用者ｉの秘密鍵、αとｐは一般に知られた数であるステップと、 ｂ）前記ブラインドされた候補保証を通信リンク経由で保証当局へ送信するス テップと、 ｃ）Ｐ_iがＩ_iを含んでいるとの通知を、Ｐ_iを保証当局に明らかにすることな く前記通信リンク経由で前記保証当局へ送信するステップと、 ｄ）前記保証当局側のプロセッサを利用し、前記保証当局の秘密鍵を使用して 前記ブラインドされた候補保証に署名し、署名されたブラインド候補保証を前記 使用者ｉへ送信するステップと、 ｅ）前記使用者ｉ側では、前記署名されたブラインド候補保証から保証を生成 するステップとを備えたことを特徴とする方法。 ２２．請求項２１に記載の方法において、前記候補保証はｆ（Ｐ_i，Ｏ^γ）の形 式になっていることを特徴とする方法。 ２３．電子キャッシュ・システムにおける、使用者の公開鍵の保証をリフレッシ ュする方法において、 （ａ）Ｐ_i＝α^Si ｍｏｄ ｐ形式の旧公開鍵Ｐ_iの旧保証を使用者ｉから保証 当局へ送信し、ただし、Ｓ_iは使用者ｉのアイデンティティＩ_iを含む旧秘密鍵、 αとｐは公開された整数であるステップと、 （ｂ）使用者ｉ側では、エレクトロニック・プロセッサを使用し、新しい公開 鍵Ｐ_i′＝α^Si'ｍｏｄ ｐ、ただし、Ｓ_i′はアイデンティティＩ_iを含む新しい 秘密鍵であるものを選択し、前記新しい鍵Ｐ_i′を含むブラインドされた候補リ フレッシュ保証を形成するステップと、 （ｃ）前記ブラインドされた候補リフレッシュ保証を前記使用者ｉから前記保 証当局へ送信するステップと、 （ｄ）Ｐ_i′はＰ_iと同じＩ_iを含んでいるとの通知を、Ｐ_iを前記保証当局に明 らかにすることなく前記保証当局へ送信するステップと、 （ｅ）前記保証当局側でエレクトロニック・プロセッサを利用し、保証当局の 秘密鍵を使用して前記ブラインドされた候補リフレッシュ保証に署名し、署名さ れたブラインド候補リフレッシュ保証を使用者ｉへ送信するステップと、 （ｆ）前記使用者ｉ側では、前記署名されたブラインド候補リフレッシュ保証 からリフレッシュ保証を生成するステップとを備えたことを特徴とする方法。

───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.⁶ 識別記号 庁内整理番号 ＦＩ Ｈ０４Ｌ 9/32 9570−5Ｊ Ｈ０４Ｌ 9/00 ６７５Ｂ 9570−5Ｊ ６６３Ａ (81)指定国 ＥＰ(ＡＴ，ＢＥ，ＣＨ，ＤＥ， ＤＫ，ＥＳ，ＦＲ，ＧＢ，ＧＲ，ＩＥ，ＩＴ，ＬＵ，Ｍ Ｃ，ＮＬ，ＰＴ，ＳＥ)，ＣＡ，ＪＰ

Claims (1)

1. 【特許請求の範囲】 １．電子キャッシュを使用して取引を行う方法において、 当事者の公開鍵とランダム・エレメントとのリンケージを備える電子コインを 、第１電子コイン処理ユニットから第２電子コイン処理ユニットへ通信リンクを 経由して送信するステップを備え、前記リンケージは、公開鍵暗号化方式の秘密 オペレーションを使用して署名されることを特徴とする方法。 ２．請求項１に記載の方法において、前記公開鍵は、 Ｐ_i＝α^Si ｍｏｄ ｐ の形式になっており、 ただし、Ｐ_iは当事者ｉの公開El Gamal鍵、Ｓ_iは当事者ｉのアイデンティティ Ｉ_iを含んでいる当事者ｉの秘密El Gamal鍵、ｐとαは一般に知られた数である こと、前記ランダム・エレメントはｕ≡ａ^rｍｏｄ ｐの形式を有しており、た だし、ｒは当事者ｉにより選択される乱数であることを特徴とする方法。 ３．請求項１に記載の方法において、前記リンケージは銀行のＲＳＡ秘密指数を 使用して署名されることを特徴とする方法。 ４．請求項１に記載の方法において、前記送信ステップは、前記電子コインを無 線リンクを経由して送信することを備えたことを特徴とする方法。 ５．請求項１に記載の方法において、前記送信ステップは、前記電子コインを公 衆交換電話網を経由して送信することを備えたことを特徴とする方法。 ６．請求項１に記載の方法において、前記第１電子コイン処理ユニットは第１当 事者ｉに所属する第１マネー・モジュールであることを特徴とする方法。 ７．請求項６に記載の方法において、前記第１マネー・モジュールは中央処理ユ ニットおよびメモリを備えたことを特徴とする方法。 ８．請求項６に記載の方法において、前記第２電子コイン処理ユニットは第２当 事者ｊに所属する第２マネー・モジュールであることを特徴とする方法。 ９．請求項８に記載の方法において、前記取引は前記第１当事者ｉの前記第１マ ネー・モジュールから前記第２当事者ｊの前記第２マネー・モジュールへ前記コ インを送信することを備えたことを特徴とする方法。 １０．請求項９に記載の方法において、 ａ）当事者ｊから当事者ｉへメッセージｍを送信するステップと、 ｂ）El Gamal族からの署名で当事者ｉ側でメッセージｍに署名するステップと 、 ｃ）署名を当事者ｊへ送信するステップと、 ｄ）当事者ｊ側で署名を検証するステップとをさらに備えたことを特徴とする 方法。 １１．請求項８に記載の方法において、前記第２マネー・モジュールは中央処理 ユニットおよびメモリを備えたことを特徴とする方法。 １２．請求項１に記載の方法において、前記第１電子コイン処理ユニットは当事 者ｊに所属するマネー・モジュールであり、前記第２電子コイン処理ユニットは 銀行であることを特徴とする方法。 １３．請求項１２に記載の方法において、前記送信ステップは前記電子コインを 前記当事者ｊから前記銀行へ送信することを備えたことを特徴とする方法。 １４．請求項１３に記載の方法において、前記当事者ｊから前記銀行へ送信され た前記電子コインにおける前記公開鍵は、コインを当事者ｊへ転送した当事者ｉ の公開鍵であることを特徴とする方法。 １５．請求項１４に記載の方法において、当事者ｉのEl Gamal族署名をメッセー ジｍと前記メッセージｍに乗せて、前記当事者ｊから前記銀行へ送信するステッ プをさらに備えたことを特徴とする方法。 １６．請求項１５に記載の方法において、 ａ）コインおよび対応するEl Gamal族署名のリストを前記銀行側のメモリに保 持しておくステップと、 ｂ）前記当事者ｊから前記銀行へ送信された前記コインを前記リスト内のコイ ンと比較するステップと、 ｃ）前記当事者ｊから送信された前記コインと前記リスト上のコインとの間に 衝突があれば、前記当事者ｊから送信されたEl Gamal族署名およびリスト内のコ インのEl Gamal族署名を使用して二重使用者であることを確認するステップとを さらに備えたことを特徴とする方法。 １７．請求項１６に記載の方法において、 ｄ）当事者ｊの公開鍵の保証を当事者ｊから前記銀行へ送信するステップと、 ｅ）当事者ｊから銀行へ初めに送信されたコインと値が等しい新しいコインを 銀行から当事者ｊへ送信するステップとをさらに備えたことを特徴とする方法。 １８．電子コイン・システムにおいて特定の電子コインの二重使用を検出する方 法であって、コインの各々は、使用者ｉのアイデンティティＩ_iが埋め込まれて いる使用者ｉの公開鍵Ｐ_iの保証されたリンケージを備えているものにおいて、 該方法は、 ａ）コイン、対応するメッセージｍおよびコイン内の公開鍵とランダム・エレ メントを使用して得られたメッセージｍ上のEl Gamal族署名ｓのリストを メモリにストアするステップと、 ｂ）エレクトロニック・プロセッサを使用し、前記特定のコインをリスト上の コインと比較するステップと、 ｃ）前記特定のコインと前記リスト上のコインとの間に衝突があれば、特定の メッセージ上の前記特定のコインの特定のEl Gamal族署名ならびに前記リスト上 の前記コインのEl Gamal族署名およびメッセージを使用して、二重使用者である ことを確認するステップとを備えたことを特徴とする方法。 １９．請求項１８に記載の方法において、前記保証されたリンケージはＣ≡ｆ（ Ｐ_i，ｕ，Ｏ^γ）ｄ^$ ｍｏｄ Ｎ_$の形式になっており、ただし、 Ｐ_iは前記使用者ｉの前記公開鍵、 ｕは前記ランダム・エレメント、 Ｏ^γはγ個のゼロのストリング、 ｄ_$は銀行の秘密ＲＳＡ指数、 Ｎ_$は銀行のモジュラス、 であることを特徴とする方法。 ２０．請求項１８に記載の方法において、前記公開鍵Ｐ_iは、 Ｐ_i≡δ^Si ｍｏｄ ｐ の形式になっており、ただし、 ^Siは使用者ｉの秘密鍵で、使用者ｉのアイデンティティＩ_iを含んでおり、 δとＰは一般に知られた数であり、 前記ランダム・エレメントはｕ＝δ^rｍｏｄ ｐの形式になっており、ｒはラ ンダムに選択された数であることを特徴とする方法。 ２１．電子コインを銀行から電子的に引き出す方法において、 ａ）使用者ｉのマネー・モジュール内のプロセッサを使用し、ブラインド・オ ペレーションを実行して候補リンケージをブラインドし、ブラインドされ た候補リンケージはＰ_i≡αＳⁱｍｏｄ ｐ形式の使用者ｉの公開鍵を含んでおり 、上記形式において、Ｓⁱは使用者ｉの秘密鍵であって、使用者ｉのアイデンテ ィティＩ_iを含んでおり、αとｐは一般に知られた数であるステップと、 ｂ）使用者ｉのアィデンティティおよびブラインドされた候補リンケージを使 用者ｉから銀行へ通信リンク経由で送信するステップと、 ｃ）前記使用者ｉの前記マネー・モジュールは、Ｐ_iが前記形式を有している との通知を、Ｐ_iを前記銀行に明らかにすることなく前記銀行に対して提供する ステップと、 ｄ）前記銀行側のプロセッサを利用し、前記銀行の秘密鍵を使用して前記ブラ インドされた候補コインに署名し、署名されたブラインド候補リンケージを前記 使用者ｉへ送信するステップと、 ｅ）前記使用者ｉ側では、署名されたブラインド候補リンケージからコインを 生成するステップとを備えたことを特徴とする方法。 ２２．請求項１８に記載の方法において、前記保証リンケージはＣ≡ｆ（Ｐ_i， ｕ，Ｏ^γ）ｄ^$ ｍｏｄ Ｎ_$の形式になっており、ただし、 Ｐ_iは前記使用者ｉの前記公開鍵、 ｕは前記ランダム・エレメント、 Ｏ^γはγ個のゼロのストリング、 ｄ_$は銀行の秘密ＲＳＡ指数、 Ｎ_$は銀行のモジュラス、 であることを特徴とする方法。 ２３．請求項１８に記載の方法において、前記公開鍵Ｐ_iは、 Ｐ_i＝δ^Si ｍｏｄ ｐ の形式になっており、ただし、 ^Siは使用者iの秘密鍵で、使用者ｉのアイデンティティＩ_iを含んでおり、 δとＰは一般に知られた数であり、 前記ランダム・エレメントはｕ=δ^rｍｏｄ ｐの形式になっており、ｒはラン ダムに選択された数であることを特徴とする方法。 ２４．電子キャッシュ・システムの使用者の公開鍵を保証する方法であって、 ａ）使用者のエレクトロニック・プロセッサを利用し、候補保証に対してブラ インド・オペレーションを実行してブラインドされた候補保証を生成し、前記ブ ラインドされた候補保証はＰ_i≡αＳⁱｍｏｄ ｐ形式の使用者ｉの公開鍵を含ん でおり、上記形式において、Ｓ_iは使用者ｉのアイデンティティＩ_iを含んでいる 使用者ｉの秘密鍵、αとｐは一般に知られた数であるステップと、 ｂ）前記ブラインドされた候補保証を通信リンク経由で保証当局へ送信するス テップと、 ｃ）Ｐ_iがＩ_iを含んでいるとの通知を、Ｐ_iを保証当局に明らかにすることな く前記通信リンク経由で前記保証当局へ送信するステップと、 ｄ）前記保証当局側のプロセッサを利用し、前記保証当局の秘密鍵を使用して 前記ブラインドされた候補保証に署名し、署名されたブラインド候補保証を前記 使用者ｉへ送信するステップと、 ｅ）前記使用者ｉ側では、前記署名されたブラインド候補保証から保証を生成 するステップとを備えたことを特徴とする方法。 ２５．請求項３７に記載の方法において、前記候補保証はｆ（Ｐ_i，Ｏ^γ）の形 式になっていることを特徴とする方法。 ２６．電子キャッシュ・システムにおける、使用者の公開鍵の保証をリフレッシ ュする方法において、 （ａ）Ｐ_i≡α^Si ｍｏｄ ｐ形式の旧公開鍵Ｐ_iの旧保証を使用者ｉから保証 当局へ送信し、ただし、Ｓ_iは使用者ｉのアイデンティティＩ_iを含む旧秘密鍵、 αとｐは公開された整数であるステップと、 （ｂ）使用者ｉ側では、エレクトロニック・プロセッサを使用し、新しい公開 鍵Ｐ_i′≡α^Si'ｍｏｄ ｐ、ただし、Ｓ_i′アイデンティティＩ_iを含む新しい秘 密鍵であるものを選択し、前記新しい鍵Ｐ_i′を含むブラインドされた候補リフ レッシュ保証を形成するステップと、 （ｃ）前記ブラインドされた候補リフレッシュ保証を前記使用者ｉから前記保 証当局へ送信するステップと、 （ｄ）Ｐ_i′はＰ_iと同じＩ_iを含んでいるとの通知を、Ｐ_iを前記保証当局に明 らかにすることなく前記保証当局へ送信するステップと、 （ｅ）前記保証当局側でエレクトロニック・プロセッサを利用し、保証当局の 秘密鍵を使用して前記ブラインドされた候補リフレッシュ保証に署名し、署名さ れたブラインド候補リフレッシュ保証を使用者ｉへ送信するステップと、 （ｆ）前記使用者ｉ側では、前記署名されたブラインド候補リフレッシュ保証 からリフレッシュ保証を生成するステップとを備えたことを特徴とする方法。