WO2005071881A1

WO2005071881A1 - ミックスネットシステム

Info

Publication number: WO2005071881A1
Application number: PCT/JP2005/000841
Authority: WO
Inventors: Jun Furukawa; Kazue Sako
Original assignee: Nec Corporation
Priority date: 2004-01-22
Filing date: 2005-01-24
Publication date: 2005-08-04
Also published as: US20120250855A1; JP4687465B2; JPWO2005071881A1; EP1708407A1; US20060262933A1; KR20060033707A; US20120250868A1; KR100668016B1; EP1708407A4; US8223973B2; US8553889B2; US8583925B2; US7672460B2; US20100115285A1

Abstract

　各参加者装置103が、平文を共通鍵暗号方式の共通鍵を使用して暗号化すると共に、上記暗号鍵を公開鍵により暗号化し、これらを置換復号装置112へ送付する。これにより、扱うことのできる暗号文の長さに制限をなくすことができる。また、本発明では、各置換復号装置が行った、公開鍵を利用した検証可能な証明文を、検証装置109が公開鍵を利用して検証する。これにより、暗号文の復号と入れ替えを行う複数の機関の中に操作を正しく行わなかったものが存在した場合、これを第三者が特定し、特定されたものが不正者であることを証明できる。

Description

明細書

ミックスネットシステム技術分野

[0001] 本発明は、複数の暗号文が入力されたとき、複数の機関が共同してこれらの順番の入れ替えと復号を行レ、、入力された暗号文との対応が分からないようにして出力するミックスネットの技術に関し、特に、入力される暗号文の長さに制限がなぐ且つ、複数の機関の中に正しく操作を行わなかったものがあったならば、第三者でもそれを特定し、その事実を証明することができる技術に関する。

背景技術

[0002] ミックスネットは入力された暗号文の列に対して要素間の置換と各要素の復号を行うことにより、出力される復号文の列の各要素と入力された暗号文の列の各要素の対応を分からなくする操作である。

[0003] [従来の技術 (1)]

従来のミックスネットで、正しく操作を行わなかった機関を特定しその事実を特定できるものとして、証明装置と検証装置とを用いる方法がある（例えば、特開 2002—34 4445号公報 (文献 1)参照）。この方法を図 8を用いて説明する。

[0004] 文献 1の証明装置は、置換と復号を正しく行ったことを証明する装置で、文献 1の検証装置は、証明装置が行った証明が正しいことを検証する装置である。この両装置の作用により、仮に証明装置が正しく操作 (置換と復号)しなければ、証明に失敗し、検証装置はこの証明装置が正しく操作しなかったことを突き止めることができる。

[0005] 文献 1の証明装置と検証装置とを以下に示すように用いて、全体としてミックスネットとして動かす。最初に、各置換復号装置 912に対応して秘密鍵 906が決まる。この秘密鍵 906から公開鍵 901を生成し、この公開鍵 901を全ての参加者装置 903に配る。長さの決まった短い平文 902をミックスネットの参加者装置 903が、公開鍵 901を用いて暗号化する。

[0006] 置換復号装置 912は、入力された暗号文の列 913を置換復号し、次の置換復号装置 912に渡す（処理 907)。以下これを繰り返すと最後に平文の列 911が得られる。置換復号装置 912は、自分の行った置換と復号の操作が正しいことを、文献 1の証明装置を用いて証明する（処理 908)。検証装置 909は、文献 1の検証装置を用いて置換復号装置の行う証明を検証する。この検証は、検証装置さえ準備できれば第三者にも可能である。

[0007] 以上において、参加者装置 903が暗号化できる平文 902は、公開鍵の長さと同程度の長さのものに限られる。それゆえ、より長い暗号文を平文を扱うことはできない。

[0008] [従来の技術 (2)]

従来のミックスネットで、任意長の長さの暗号文を扱うことができるものにとして、ジュール (Juels)とヤコブソン (Jakobsson)による方式がある（例えば、「An Optimally Robust Hybrid ix Network, Proc. of the 20th annual ACM Symposium on Principles of Distributed Computation, 2001」（文献 2)参照）。この方式では入力される暗号文は、任意の共通鍵暗号方式により平文を暗号ィヒしたものであるため、平文の長さに特に制限がない。その一方、この方式は、暗号文の復号と入れ替えを行う複数の機関の内、これらの操作を正しく行わな力つたものがあった場合、この共同して復号と入れ替えに当っている機関はこれを特定することができる。しかし、これら複数の機関の協力の無い第三者には、暗号文の操作を正しく行わなかった機関を特定することはできない.

[0009] 上記関係を図 9を用いて説明する。文献 2記載のミックスネットは、従来の技術 (1)のミックスネットとほぼ同様に動作する力入力される平文が長い平文 1002であっても良レ、。さらに置換と復号が正しく行われたかを置換復号装置同士で互いに検証することができる（処理 1014)。しかし、第三者がこれを検証することは、従来の技術 (1)と異なりできない。

発明の開示

発明が解決しょうとする課題

[0010] 従来の技術 (1)は、暗号文の復号と入れ替えを行う複数の機関の内、これらの操作を正しく行わなかったものが存在した場合、これを第三者が特定し、特定したものが不正者であることを証明できる。一方この方式は、扱うことのできる暗号文の長さが限られているという欠点を持つ。

[0011] 従来の技術 (2)は、扱うことのできる暗号文の長さに制限が無い一方、暗号文の復号と入れ替えを行う複数の機関の内これらの操作を正しく行わなかったものが存在した場合、これを第三者が単独で特定することは不可能であるという欠点を持つ。

[0012] そこで、本発明の目的は、暗号文の復号と入れ替えを複数の機関で行なう場合に、第三者が不正者を特定できるようにすることにある。

また、他の目的は、暗号文の長さの制限をなくすことにある。

課題を解決するための手段

[0013] 本発明の参加者装置は、

共通鍵暗号方式の複数の共通鍵の一つを、複数の置換復号装置の一つの公開鍵により暗号化する鍵暗号化手段と、

共通鍵暗号方式の複数の共通鍵の一つで、与えられたデータを暗号化するデータ暗号化手段と、

暗号学的なハッシュ関数を用いて、与えられたデータのハッシュ値を計算し、このハッシュ値を前記複数の置換復号装置の一つの公開鍵により暗号化するハッシュ値暗号化手段と、

前記データ暗号化手段の最初の入力を平文とし、次からの、前記データ暗号化手段の入力を前回の前記データ暗号化手段,前記鍵暗号化手段，前記ハッシュ値暗号化手段の出力とする処理を、前記置換復号装置の数だけ繰り返す、繰り返し手段と、前記繰り返し手段の処理により得られたデータを出力する出力手段と

を備えることを特 ί敷とする。

[0014] 本発明の取りまとめ装置は、

複数のデータが入力されて、これらのデータの正当性を検証し、正当であることが判明したものだけを出力する構成を備えることを特徴とする。

[0015] 本発明の置換復号装置は、

入力データ列の各要素を、公開鍵暗号方式により暗号化された共通鍵暗号方式の共通鍵，共通鍵暗号方式により暗号化されたデータ，公開鍵暗号方式により暗号化されたハッシュ値に分割するデータ分割手段と、前記暗号化された共通鍵暗号方式の共通鍵を前記公開鍵暗号方式の秘密鍵により復号する、共通鍵復号手段と、

復号した前記共通鍵を用いて、前記暗号化されたデータを復号して出力データを生成するデータ復号手段と、

前記暗号化されたハッシュ値を、前記公開鍵暗号方式の秘密鍵により復号したものを出力するハッシュ値復号手段と、

前記復号されたハッシュ値と前記生成された出力データのハッシュ値とを比較し、一致すればハッシュ値受理を、異なればハッシュ値不受理を出力するハッシュ値検証手段と、

前記出力データで、前記入力データ列の同一の要素のデータから生成されたという意味において対応する、前記ハッシュ値検証手段において受理を出力されたものだけを列の要素とするデータ列を生成し、さらに各要素の順番を一様無作為に並び替え出力データ列とする、出力データ列生成手段と、

前記出力データ列の各要素のハッシュ値が、必ず前記入力データ列のある要素に含まれる前記暗号化されたハッシュ値を復号したものであり、かつ両者の対応が一対一であることの証明文であるハッシュ値復号正当性証明文を生成する、ノ、ッシュ値復号正当性証明手段と、

前記ハッシュ値検証手段において不受理を出力された場合、この不受理の出力が正当であることの証明文であるハッシュ値不受理正当性証明文を生成するハッシュ値不受理正当性証明手段と、

前記ハッシュ値復号正当性証明文と前記ハッシュ値不受理正当性証明文とを正当性証明文とし、これと前記出力データ列生成手段の出力した前記出力データ列とを出力する出力手段と

を備えることを特 ί敷とする。

本発明の検証装置は、

ハッシュ値復号正当性証明文に含まれる復号されたハッシュ値が、入力データ列のある要素の喑号ィ匕されたハッシュ値を復号したものに一致し、両者に一対一の関係があることを検証し、両者が一致し一対一の関係があれば受理を、無ければ不受理を出力するハッシュ値復号正当性検証手段と、

前記復号されたハッシュ値が、出力データ列の各要素のハッシュ値と一致すれば受理を、一致しなければ不受理を出力するハッシュ値一致検証手段と、

入力暗号文の列の要素の内、前記ハッシュ値一致検証手段において不受理が出力されたハッシュ値に対応する要素に関しては、この不受理の出力が正当であることの証明文であるハッシュ値不受理正当性証明文を検証し、この証明文が正当であれば受理を、不当であれば不受理を出力するハッシュ値不受理正当性検証手段と、前記入力データ列の要素に関して、前記ハッシュ値復号正当性検証手段で受理され、かつ前記ハッシュ値一致検証手段で受理及び前記ハッシュ値一致検証手段で不受理かつ前記ハッシュ値不受理正当性検証手段で受理のいずれかであり、かつ前記出力データ列には前記ハッシュ値一致検証手段で受理された要素に対応するものだけで、かつそれらが全て含まれているならば受理を、そうでなければ不受理を出力する正当性判定手段と

を備えることを特 ί数とする。

本発明のミックスネットシステムは、

前記参加者装置複数と、前記取りまとめ装置と、前記置換復号装置と、前記検証装置とを備え、

安全変数，公開鍵暗号方式の領域変数,暗号学的なハッシュ関数，共通鍵暗号方式の暗号化関数を生成し、公開する初期設定処理と、

前記複数の置換復号装置のそれぞれの公開鍵を生成し、公開する置換復号装置の初期設定処理と、

安全変数，公開鍵暗号方式の領域変数,暗号学的なハッシュ関数，共通鍵暗号方式の暗号化関数,前記複数の置換復号装置のそれぞれの公開鍵,複数の前記共通鍵暗号方式の共通鍵及び前記参加者ごとに異なる平文とが前記参加者装置のそれぞれに入力され、

前記参加者装置のそれぞれから、前記置換復号装置へ入力するデータをそれぞれ出力する参加処理と、

前記参加処理で得られた置換復号装置へ入力するデータ全てが前記取りまとめ装置に入力され、この時の前記取りまとめ装置の出力を入力データ列とする、取りまとめ処理と、

前記置換復号装置の一つに、入力データ列と公開鍵暗号方式の秘密鍵とが入力され、この置換復号装置が出力データ列、正当性証明文の列を出力する、置換復号処理と、

前記取りまとめ処理の出力である入力データ列を最初の入力データ列として前記置換復号処理を、用いる置換復号装置を交換しながら次々と繰り返し行う処理で、最初の置換復号処理における入力データ列は、前記取りまとめ処理の出力する入力データ列であり、以降の置換復号処理における入力データ列は、直前の置換復号処理における出力データの列とし、最後の置換復号処理の出力する出力データ列を復号結果とし、最後の置換復号処理を除く各置換復号処理の出力する出力データ列を復号途中結果とし、全ての置換復号処理の出力する正当性証明文を、全体の正当性証明文とし、復号結果，復号途中結果，全体の正当性証明文とを出力する統合置換復号処理と、

復号結果，復号途中結果,全体の正当性証明文から各置換復号装置の入力及び出力を分離し、各置換復号処理の入力データ列と出力データ列と正当性証明文とが前記検証装置に入力され、前記検証装置が受理または不受理を出力する検証処理と全ての置換復号処理に関する検証処理の出力を集めて、全てが受理であれば全体としての受理を、そうでなければ全体としての不受理を出力するミックスネット判定処理と

を行うことを特徴とする。

発明の効果

[0018] 本発明では、各参加者装置が、平文を共通鍵暗号方式の共通鍵を使用して暗号化すると共に、上記暗号鍵を公開鍵により暗号化し、これらを置換復号装置へ送付する。これにより、扱うことのできる暗号文の長さに制限をなくすことができる。

[0019] また、本発明では、各置換復号装置が行った、公開鍵を利用した検証可能な証明文を、検証装置が公開鍵を利用して検証する。これにより、暗号文の復号と入れ替えを行う複数の機関の中に操作を正しく行わなかったものが存在した場合、これを第三者が特定し、特定されたものが不正者であることを証明できる。

図面の簡単な説明

[0020] [図 1]本発明に係るミックスネットシステムの全体構成を示すブロック図である。

[図 2]本発明の実施例 1における参加者装置の構成例を示すブロック図である。

[図 3]本発明の実施例 1における置換復号装置の構成例を示すブロック図である。

[図 4]本発明の実施例 1における検証装置の構成例を示すブロック図である。

[図 5]本発明の実施例 2における参加者装置の構成例を示すブロック図である。

[図 6]本発明の実施例 2における置換復号装置の構成例を示すブロック図である。

[図 7]本発明の実施例 2のおける検証装置の構成例を示すブロック図である。

[図 8]従来の技術 1を説明するためのブロック図である。

[図 9]従来の技術 2を説明するためのブロック図である。

発明を実施するための最良の形態

[0021] 次に本発明の実施例について図面を参照して詳細に説明する。

[0022] 1 実施例 1

1. 1 概要

実施例 1の概要にっレ、て、図 1一図 4を参照しながら説明する。

[0023] 本実施例に係るミックスネットシステムは、図 1に示すように、複数の参加者装置 103 と、取りまとめ装置 104と、複数の置換復号装置 112と、検証装置 109とから構成される

[0024] [参加者装置]

図 2に示すように、参加者装置 103は、鍵暗号化手段 205と、データ暗号化手段 206 と、ハッシュ値暗号化手段 207と、知識の連結手段 208と、繰り返し手段 213と、乱数の知識の証明手段 210と、出力手段 215とを有する。

[0025] ここで、鍵暗号化手段 205は、共通鍵暗号方式の複数の共通鍵の一つを、複数の置換復号装置 112の一つの公開鍵 101により喑号ィ匕し、さらにこの時暗号化した共通鍵の知識の証明文を生成する。データ暗号化手段 206は、共通鍵暗号方式の複数の共通鍵の一つで、与えられたデータ 214を喑号ィ匕する。ハッシュ値暗号化手段 207 は、暗号学的なハッシュ関数を用いて、与えられたデータのハッシュ値を計算し、このハッシュ値を複数の置換復号装置 112の一つの公開鍵により暗号ィヒする。知識の連結手段 208は、与えられたデータ 214を、複数の置換復号装置 112の一つの公開鍵 101により喑号ィ匕し、さらにこの時の喑号ィ匕に用いた秘密の乱数の知識の証明文を生成する

[0026] 繰り返し手段 213は、データ暗号化手段 206の最初の入力を平文 102とし、次からの、データ暗号化手段 206の入力を前回のデータ暗号化手段 206，鍵暗号化手段 205, ハッシュ値暗号化手段 207，知識の連結手段 208の出力とする処理を、置換復号装置 112の数だけ繰り返す。全体の乱数の知識の証明手段 210は、知識の連結手段 208 による処理を繰り返すことにより最終的に得られたデータに関して、処理の繰り返し全てで使った秘密の乱数の和の知識の証明文を生成して出力する。出力手段 215は、繰り返し手段 213の処理により得られたデータを暗号文 211として出力すると共に、この暗号文 211を作成したのが正当な参加者装置であることを証明するデータを出力する。

[0027] [取りまとめ装置]

取りまとめ装置 104には、複数の参加者装置 103のそれぞれから、暗号文 211と、この暗号文 211を作成したのが正当な参加者装置であることを証明するデータが入力される。そして、取りまとめ装置 104は、入力された暗号文 211が正当な参加者装置によって生成されたことを検証し、正当であることが判明したものだけを置換復号装置 112の一つに出力する。

[0028] [置換復号装置]

図 3に示すように、置換復号装置 112は、データ分割手段 322と、共通鍵の知識の検証手段 307と、秘密の乱数の知識の検証手段 308と、共通鍵復号手段 310と、データ復号手段 313と、ハッシュ値復号手段 312と、ハッシュ値検証手段 317と、連結データ復号手段 314と、出力データ列生成手段 311と、ハッシュ値復号正当性証明手段 315 と、連結データ復号正当性証明手段 316と、ハッシュ値不受理正当性証明手段 318と、出力手段とを有する。

[0029] ここで、データ分割手段 322は、取りまとめ装置 104または他の置換復号装置から入力される入力データ列 105の各要素を、公開鍵暗号方式により暗号化された共通鍵暗号方式の共通鍵 302,共通鍵暗号方式により暗号化されたデータ 303,公開鍵暗号方式により暗号化されたハッシュ値 304，公開鍵暗号方式により暗号化された連結データ 305，暗号ィヒされた共通鍵の知識の証明文 301,連結データ暗号化に用いた秘密の乱数の知識の証明文 306に分割する。

[0030] 共通鍵の知識の検証手段 307は、共通鍵の知識の証明文 301の正当性を検証し、正当なら受理を不当なら不受理を出力する。秘密の乱数の知識の検証手段 308は、秘密の乱数の知識の証明文 306を検証し、正当なら受理を不当なら不受理を出力する。共通鍵復号手段 310は、暗号化された共通鍵暗号方式の共通鍵を、公開鍵暗号方式の秘密鍵 106により復号する。データ復号手段 313は、復号した共通鍵を用いて、暗号化されたデータ 303を復号して出力データを生成する。ハッシュ値復号手段 312は、喑号ィ匕されたハッシュ値 304を、公開鍵暗号方式の秘密鍵 106により復号したものを出力する。ハッシュ値検証手段 317は、復号されたハッシュ値と生成された出力データのハッシュ値とを比較し、一致すればハッシュ値受理を、異なればハッシュ値不受理を出力する。連結データ復号手段 314は、暗号化された連結データ 305を、公開鍵暗号方式の秘密鍵により復号する。

[0031] 出力データ列生成手段 311は、出力データと復号された連結データで、入力データ歹 IJ105の同一の要素のデータから生成されたという意味において対応する、ハッシュ値検証手段 317、共通鍵の知識の検証手段 307、秘密の乱数の知識の検証手段 306 の全てにおいて受理を出力されたものだけを列の要素とするデータ列を生成し、さらに各要素の順番を一様無作為に並び替え出力データ列 107とする。

[0032] ハッシュ値復号正当性証明手段 315は、出力データ歹 IJ107の各要素のハッシュ値が、必ず入力データ列 105のある要素に含まれる暗号化されたハッシュ値を復号したものであり、かつ両者の対応が一対一であることの証明文であるハッシュ値復号正当性証明文を生成する。連結データ復号正当性証明手段 316は、出力データ列 107の各要素に含まれる復号された連結データが、必ず入力データ列 105のある要素に含まれる喑号化された連結データを復号したものであり、かつ両者の対応が一対一であることの証明文である連結データ復号正当性証明文を生成する。ハッシュ値不受理正当性証明手段 318は、ハッシュ値検証手段 317において不受理を出力された場合、この不受理の出力が正当であることの証明文であるハッシュ値不受理正当性証明文を生成する。

[0033] 出力手段は、ハッシュ値復号正当性証明文と連結データ復号正当性証明文とハツシュ値不受理正当性証明文とを正当性証明文 108とし、これと出力データ列生成手段 311の出力した出力データ列 107とを出力する。

[0034] [検証装置]

図 4に示すように、検証装置 109は、共通鍵の知識の検証手段 402と、秘密の乱数の知識の検証手段 404と、ハッシュ値復号正当性検証手段 406と、ハッシュ値一致検証手段 408と、連結データ復号正当性検証手段 407と、ハッシュ値不受理正当性検証手段 409と、正当性判定手段 405とを有する。

[0035] 共通鍵の知識の検証手段 402は、取りまとめ装置 104または置換復号装置 112から入力される入力データ列 105の各要素に属する共通鍵の知識の証明文 301の正当性を検証し、正当なら受理を不当なら不受理を出力する。秘密の乱数の知識の検証手段 404は、入力データ列 105の各要素に属する秘密の乱数の知識の証明文 306を検証し、正当なら受理を不当なら不受理を出力する。ハッシュ値復号正当性検証手段 406は、ハッシュ値復号正当性証明文 401に含まれる復号されたハッシュ値力入力データ歹 IJ105のある要素の喑号ィ匕されたハッシュ値を復号したものに一致し、両者に一対一の関係があることを検証し、両者が一致し一対一の関係があれば受理を、無ければ不受理を出力する。

[0036] ハッシュ値一致検証手段 408は、復号されたハッシュ値が、置換復号装置 112の出力データ歹 IJ107の各要素のハッシュ値と一致すれば受理を、一致しなければ不受理を出力する。連結データ復号正当性検証手段 407は、出力データ列 107の各要素に含まれる復号された連結データが、入力データ歹 IJ105のある要素に含まれる、暗号化された連結データ 305を復号したものに一致し、両者に一対一の関係があることを検証し、両者が一致し一対一の関係があれば受理を、無ければ不受理を出力する。ハッシュ値不受理正当性検証手段 409は、入力暗号文の列 303の要素の内、ハッシュ値一致検証手段 408において不受理が出力されたハッシュ値に対応する要素に関しては、この不受理の出力が正当であることの証明文であるハッシュ値不受理正当性証明文 400を検証し、この証明文が正当であれば受理を、不当であれば不受理を出力する。

[0037] 正当性判定手段 405は、入力データ列 105の要素のなかで、この要素に対する共通鍵の知識の検証手段 402と秘密の乱数の知識の検証手段 404の両方において受理されたもの全てに関して、以下の全ての条件が満たされているならば受理を、そうでなければ不受理を出力する。

(A)ハッシュ値復号正当性検証手段 406と、連結データ復号正当性検証手段 407との両方において受理。

(B)ハッシュ値一致検証手段 408で受理、あるいは、ハッシュ値一致検証手段 408で不受理かつハッシュ値不受理正当性検証手段 409で受理。

(C)出力データ列 107には、共通鍵の知識の検証手段 402と秘密の乱数の知識の検証手段 404とハッシュ値一致検証手段 408とで受理された要素に対応するものだけで、かつそれらが全て含まれている。

[0038] [ミックスネットシステムの動作]

まず、安全変数,公開鍵暗号方式の領域変数，暗号学的なハッシュ関数,共通鍵喑号方式の暗号化関数を生成し、公開する初期設定処理 100を行なう。ついで、複数の置換復号装置 112のそれぞれの公開鍵を生成し、公開する置換復号装置の初期設定処理 320を行なう。

[0039] ついで、複数の参加者装置 103のそれぞれにおいて、安全変数,公開鍵暗号方式の領域変数,暗号学的なハッシュ関数，共通鍵暗号方式の暗号化関数,複数の置換復号装置 112のそれぞれの公開鍵，共通鍵暗号方式の複数の共通鍵及び参加者装置 103ごとに異なる平文を入力し、取りまとめ装置 104を介して置換復号装置へ出力するデータを生成する参加処理を行なう。ついで、参加処理で得られたデータ全てを取りまとめ装置 104に入力し、取りまとめ処理を行ない、その結果を入力データ列 105 として置換復号装置 112の一つに出力する。

[0040] ついで、複数の置換復号装置 112のそれぞれにおいて、入力データ列 105と公開鍵喑号方式の秘密鍵 106とを入力し、出力データ列 107と正当性証明文 108の列とを生成する置換復号処理を行なう。この際、最初の置換復号装置 112における入力データ列 105は、取りまとめ装置 104からの入力データ列 105とし、以降の置換復号装置 112における入力データ列 105は、それぞれの直前の置換復号装置 112からの出力データ列 107とする。最後の置換復号装置 112における出力データ列 107を復号結果とし、最後の置換復号装置 112を除く各置換復号装置 112からの出力データ歹 1J107を復号途中結果とする。全ての置換復号装置 112から出力される正当性証明文 108を、全体の正当性証明文とし、復号結果,復号途中結果,全体の正当性証明文とを出力する。以上の処理を統合置換復号処理という。

[0041] ついで、復号結果，復号途中結果，全体の正当性証明文から各置換復号装置 112の入力及び出力を分離し、各置換復号装置 112における入力データ列 105と出力データ列 107と正当性証明文 108とを検証装置 109に入力し、検証装置 109において受理または不受理を出力する検証処理を行なう。全ての置換復号処理に関する検証処理の結果を集めて、全てが受理であれば全体としての受理を、そうでなければ全体としての不受理を出力するミックスネット判定処理とを行う。

[0042] なお、参加者装置 103は、ハッシュ値暗号化手段 207の最初の入力として、平文 102 と併せて、乱数，日時,ミックスネットのセッションに固有の値，及びこれらを組み合わせたデータ,のいずれかを使ってもよい。

[0043] 1. 2 記法

以下で用いる記法の説明をする。 HashOを暗号学的なハッシュ関数、 qを素数、 Cを位数力 ¾の楕円曲線、 Gを C上のある点、共通鍵暗号方式の暗号化関数を enc[e]()、復号関数を de_C[e]()とする。但ここで、 eは暗号化または復号に使う共通鍵を表すとする。ハッシュ関数の値域のビット数を Lとし、共通鍵暗号方式の暗号化関数の鍵のビット数は Lとし、 qのビット数は Lより 5ビット以上大きいとする。 Lを安全変数と呼ぶ。数式 X=[x]Gは Xが Gの楕円曲線上の X倍点であることを表す。また、加算記号「+」は、楕円曲線上の点に対して使われた場合、これは楕円曲線上の演算を意味する。

[0044] 本発明の任意長の暗号文を扱える第三者検証可能なミックスネットシステムは、複数の置換復号装置と、複数のミックスネット参加者の参加者装置と、検証機関の検証装置と、取りまとめ機関の取りまとめ装置から構成される。置換復号装置の数を m、参加者装置の数を nとし、潘目の置換復号装置を S(^j)、潘目の参加者装置をと記す。

[0045] Ψは、 Lビットの整数値力楕円曲線 C上の点への一対一の写像で、 Φは、楕円曲線上の点から Lビットの整数値への全射で、 Φ · Ψは恒等写像で、 Φ , Ψ共に効率的に計算できるものとする。具体的な Φの例として、楕円曲線の点 Εが与えられたとき e= Φ (Ε)として、 Εの X座標の下から Lビットを採用する写像が挙げられる。この場合の Ψ の具体例としては、 Lビットのビット列 eが与えられたとき、楕円曲線上の点の X座標の下 Lビットを eとし、残りのビットに決められた 0をパディングする。そして C上この様な X 座標を持つ点があるかを調べる。もしなければパディングを決められた手順で変更していき、これが C上の点のな X座標となるまで続ける。 C上の点が見つかればこれを Ψ (e)とする。この点 (Ψ(Θ》の X座標の下 Lビットは常に eであり続けるので、明らかに Φ · Ψ(Θ) = eで、 Φ · Ψは恒等写像である。

[0046] 1. 3 具体例

実施例 1について、図 1一図 4を参照しながら具体的に説明する。

[0047] [初期設定]

最初に初期設定のための初期設定機関は、コンピュータ等によって実現される初期設定装置 100を用いて、平文のビット長 Λと、安全変数 Lと、 Lより 5そのビット長が大きい素数 qと、位数が qの楕円曲線 Cと、 C上の点 G、出力のビット長が Lの暗号学的なハッシュ関数 HashOと、長さ Lの鍵を使う共通鍵暗号方式と、上記共通鍵暗号方式の喑号ィ匕関数 enc[e]()および復号関数 dec[e]と、 Lビットのビット列から C上への点への関数 Ψ0と、 C上の点から Lビットのビット列への写像 Φ 0とを決定し公開する。ここで、素数 qと、位数が qの楕円曲線 Cと、 C上の点 G力公開鍵暗号方式の領域変数となる。

[0048] [置換復号装置の初期設定]

次に全ての置換復号装置 112は、次の初期設定処理を行う。全ての置換復号装置 S⁰⁾ (j'=l,...，m)内の初期設定手段 320(図 3参照)は、秘密鍵 106 x⁽ⁱ⁾≡ Z/qZを一様無作為に選び、それを自置換復号装置 S(^])内に保存すと共に、公開鍵 101 X^G)=[x⁽ⁱ⁾]Gを生成し、公開する。

[0049] 更に、各置換復号装置 S®内の初期設定手段 320は、 r^Q)≡ Z/qZを一様無作為に選び、

0) (i) (i) 0) j

= r - y r mod q

を計算し、 ^]), ひ①を x®の知識の零知識証明文 321として公開する。

[0050] [参加者装置の暗号文生成]

i=l，...，nに関して、参加者装置 103 U (図 2参照）は、長さが Λビットの平文 102 Mを決定する。各参加者装置 103 Uは、最初のデータ 214として、 c^(m+1)=M と、 T'^(m+1)=Gと

i i i i

、任意データ 203(それぞれが Lビットの任意の文字列 ⁺¹⁾， p^(m+1) )とを含むデータを生成する (処理 200)。更に、鍵生成手段 204が、 j=l,...,mに関して Z/qZの要素 r[l]^(]V[2]⁰⁾, r[3] ⁰ [4] (】·), r[5]⁰⁾及び C上の点 E^G)を一様無作為に選ぶ

i

[0051] その後、鍵暗号化手段 205、データ暗号化手段 206、ハッシュ値暗号化手段 207、知識の連結手段 208、証明文まとめ手段 209、証明生成手段 210および出力手段 215が、 j=m,(m-l)，...，lの順番で繰り返し以下の処理 213を行う。

[0052] ここで任意の文字列としては、乱数，セッション固有の数，日時等を選ぶ場合がある乱数を用いれば、最終的な復号文の集合から自分の平文の存在を参加者装置が確認できる効果があり、セッション固有の数や日時を入れれば、他のセッションに使われた暗号文を再利用してレ、なレ、ことが分かる効果がある。

[0053] ·鍵暗号化手段 205における暗号化処理

共通鍵 e(j)の暗号化のため、

e⁽ⁱ⁾ = Φ(Ε⁰⁾)

なる Ε(^])を求め、

(K⁽ⁱ⁾,K'⁰⁾) = ([r[l]⁰⁾]X⁰⁾, [r[l]⁽ⁱ⁾]G + E⁽ⁱ⁾ )

i i i i i

を計算し、計算結果を出力手段 215に入力する。

[0054] ·鍵暗号化手段 205における共通鍵の知識の証明文の生成処理

y ⁰⁾ = Hash( K⁽ⁱ⁾,K'⁰⁾, c⁽ⁱ⁾, S^ S'®, T⁽ⁱ⁾,T'⁰⁾, [r[4] ⁽ⁱ⁾]X^G))

i i i i i i i i i

と、 ^ϋ) = r[4] (]') - γ ^ϋ) r[l] (]') mod q

とを計算し、それらを証明文まとめ手段 209に入力する。

[0055] ·データ暗号化手段 206におけるデータ暗号化処理

e⁽ⁱ⁾ = Φ(Ε⁰⁾)

と、

c⁰⁾ = enc[e⁽ⁱ⁾]( Κ(】·⁺¹⁾,Κ' ⁰⁺¹⁾, c⁰⁺¹⁾, S⁽ⁱ⁺¹⁾,S' ⁰⁺¹⁾, T⁽ⁱ⁺¹⁾,T' P⁰⁺¹⁾)

とを計算し、 c^)を出力手段 215に入力する。

[0056] ·ハッシュ値暗号化手段 207におけるハッシュ値暗号化処理

(S⁰⁾，S，(】)) = ( [r[2]^(])]X^G), [r[2]⁰⁾]G + ¥(Hash( Κ^ϋ+1)，Κ， (】⁺¹⁾, c⁰⁺¹⁾， S(】⁺¹⁾,S， ⁰⁺¹⁾， T⁰⁺¹⁾,T'

， P(】⁺¹⁾)))

を計算し、 S^S を出力手段 215に入力する。

[0057] ·知識の連結手段 208における知識の連結処理

(_τϋ)，_τ'Φ ) = _([Γ[3]ϋ)_]χϋ)， _[r[3](i)_]G + _τ'ϋ₊₁₎₎ を計算し、 T⁰⁾,T'⁽ⁱ⁾を出力手段 215に入力する。

[0058] ·知識の連結手段 208における乱数の知識の証明文の生成処理

γ '⁰⁾ = Hash( Κ^ϋ),Κ'⁰⁾, c⁽ⁱ⁾, S "]'), Τ⁰⁾,Τ'^ϋ), [r[5] ⁰⁾]Χ⁰⁾)

と、

- r[5] - y r[3] mod q

とを計算し、それらを証明文まとめ手段 209に入力する。

[0059] ·証明文まとめ手段 209における共通鍵の知識の証明文と乱数の知識の証明文とのまとめ処理

共通鍵の知識の証明文 _Ί ⁰⁾, α ^ωと、乱数の知識の証明文 γ ' ^(]), a ' ⁰とをまとめた証明文 P® =[ y ⁰⁾, ひ ⁰⁾, y， (】·), a， ^G) ]を生成し、 j=lであれば (P^G)であれば）、それを証明文 212の一部として出力する。

[0060] ·証明生成手段 210における処理

Z/qZの要素 r[4](°)を一様無作為に選び、以下の全体の乱数の知識の証明を計算し、 P^(Q)を証明文の一部として出力する。

γ '(。) = Hash( K⁽¹⁾,K'⁽¹⁾, ), S⁽¹⁾,S'⁽¹⁾, T⁽¹⁾,T'⁽¹⁾, [r[4]⁽⁰⁾]G) ，（0) _Al (0) ，（0) _v · . 「り 1

a = rL4」 ― γ ∑尸 lmrL3」 mod q

i i i i

n (0) （0) (0) η

P = Ly , 」

i i i

[0061] ·出力手段 215における処理

鍵暗号化手段 205からの入力 Κ^(ΰΚ'^ωと、データ暗号化手段 206からの入力 c⁽ⁱ⁾と、

i i i ハッシュ値暗号化手段 207からの入力 S^S'®と、知識の連結手段 208からの入力 T^(]) i i i

，下，とからデータ？ ^，， c⁰⁾, S^S'®, T⁽ⁱ⁾,T'⁰⁾)を生成し、 j=lでなければ、デー i i i i i i i i

タ 214'をデータ 214としてフィードバックし、 j=lならば、（Κ^ω,Κ'^ω c⁽¹⁾, S⁽¹⁾,S'⁽¹⁾, Τ^ω,Τ' i i i i i i i を暗号文 211として出力する。

[0062] つまり、参加者装置 103 Uは、暗号文 211(K⁽¹⁾K ⁽¹⁾ c⁽¹⁾ S⁽¹⁾S'⁽¹⁾, Τ^ω Τ'^ω)と証明

i i i i i i i i

文 P⁽¹⁾,P^(Q)とを取りまとめ機関の取りまとめ装置 104へ送付する。

i i

[0063] [取りまとめ装置による暗号文の検証]

取りまとめ装置 104は、 i=l nに関して、全体に対する証明文を検証して、 (0) τ (1 ο ο' ^ ^(D ^ (1) （0)_Ί^ (1) , （0)_Ί

y = Hash( Κ Κ c S S T T Lひ . 」G +ly 」 G)

が成り立つことを確認する。

[0064] また、この全体に対する証明文を検証装置 109に送る (図 1、処理 110)。これが成り立つことを確認できたに関してだけ、

(1) ，（1) (1) ハ（1) ₀, (1) (1) (0)

Κ ,Κ c S S , Τ , Ρ Ρ

i i i i i i i i i

を一番目の置換復号装置に送る (処理 105)。図 1中では取りまとめ装置 104に入力されたデータは 5個であったのが、 4個になって出てきた例を表している。以下暗号文の数が減少するが、減った後のこの数も nで表し、それぞれの暗号文を i=lから n までの番号で順番付ける。また、以下において、

γ 0) G') 0) (j) G) T(j)丁， '） p(j)

i i i i i i i i

は、 j=lの場合を除いて前記のそれとは一般に異なる。

[0065] [置換復号装置による暗号文の順序入れ替えと復号]

j=l,..,mに関して順番に、置換復号装置 112 S⁰⁾は、以下の計算及び検証を行う。

[0066] 置換復号装置 112 S⁽ⁱ⁾には、

暗号化された共通鍵暗号方式の共通鍵 302(図 3中、共通鍵暗号文と略記） κ^φκ，^ϋ)と、

i i 暗号化されたデータ 303 (図 3中、データ暗号文と略記）

c とレ、

暗号化されたハッシュ値 304 (図 3中、ハッシュ値暗号文と略記）

と、

暗号化された連結データ 305 (図 3中、連結データ暗号文と略記）

Γγ G)丁，（】)と共通鍵の知識の証明文 301(図 3中、鍵の知識証明文と略記)と秘密の乱数の知識の証明文 306(図 3中、乱数知識証明文と略記）とからなる入力データ列 105が入力される。この入力データ列 105は、データ分割手段

322によって上記した各要素 301— 306に分解される。

[0067] 置換復号装置 112 S⁽ⁱ⁾では全ての i(i=l,...,n)に関して，以下の処理を行う。

[0068] 共通鍵の知識の検証手段 307が、

γ ⁰⁾ = Hash( Κ^ϋ),Κ'⁰⁾, c⁽ⁱ⁾, S ⁰⁾,S' ⁰⁾, Τ^ϋ),Τ )， aV +[ γ ⁰⁾lK⁰⁾)

を確認する。

[0069] 秘密の乱数の知識の検証手段 308が、

γ'⁰⁾ = Hash( Κ^ϋ),Κ'⁰⁾, c⁽ⁱ⁾, S "]'), Τ⁰⁾,Τ'^ϋ), [a'⁽ⁱ⁾]X⁽ⁱ⁾ +[γ，(]')] Τ⁰⁾)

i i i i i i i i i i i

を確認する。等式が成り立たない iに関しては、最終的な出力データ列には加えなレ、。

ここでも暗号文の数が減少する力減った後のこの数も nで表し、それぞれの暗号文を i=lから nまでの番号で順番づける。

[0070] 共通鍵復号手段 310が、

をデータ復号手段 313に入力する。

[0071] データ復号手段 313が、

e⁽ⁱ⁾= Φ(Ε⁰⁾)、

(K(】⁺¹⁾,K'⁰⁺¹⁾， c^G+1)， S(】⁺¹⁾,S，⁰⁺¹⁾， T，^G+1)， P⁰⁺¹⁾) = dec[e⁰⁾](c^G))

i i i i i i i i i

なる演算を行う。 [0072] ハッシュ値復号手段 312が、

H ⁰⁾ = S' ⁽ⁱ⁾ - [l/x^G)]S ⁽ⁱ⁾

i i i

なる演算を行う。

[0073] 連結データ復号手段 314が、

丁，（）—丁， '） _ J 0)jr G)

i i i

なる演算を行う。

[0074] 得られたデータ列は（ K ⁰⁺¹⁾,K' ⁰⁺¹⁾,c ⁽ⁱ⁺¹⁾,S ⁰⁺¹⁾,S' ^G+1),T， ⁽ⁱ⁺¹⁾,P ⁰⁺¹⁾,H ⁽ⁱ⁾ ,Τ' である。

i i i i i i i i i

[0075] 置換手段 311は、一様無作為に [Ι,. ,.,η]から [Ι,. ,.,η]への置換 7i [j]()を選び、以下の置換処理を行う。

K (】⁺¹⁾ = Κ π [j](i)°⁺¹⁾

K'^I(i+1) = Κ' π [j](i)⁰⁺¹⁾

i

c ) = c π [j](i "

S = S π圆 ¹)

S': ⁺¹⁾ = S' π [j](i)⁰⁺¹⁾

Τ ⁺¹⁾ = T' π [j](i)⁰⁺¹⁾

Ρ = Ρ π

Η = Η π

Τ ⁺¹⁾ = Τ' π [j](i)⁰⁺¹⁾

[0076] 次に、ノ、ッシュ値復号正当性証明手段 315により、上記が正しく生成されたことの証明 (ハッシュ値復号正当性証明文)を生成する。

[0077] 連結データ復号正当性証明手段 316により、 T' ⁽ⁱ⁺¹⁾が正しく生成されたことの証明（連結データ復号正当性証明文)を生成する。

[0078] これらの証明には、例えば文献「An Implementation of a Universally Verifiable

Electronic Voting Scheme based on Shuffling, Financial cryptography 2002」の方法を用いれば可能である。

[0079] 次に、全ての i(i=l,...,n)に関して、ハッシュ値検証手段 317において、

Φ (Η ⁰⁾) = Hash( Κ ^ϋ+1)，Κ，(】⁺¹⁾, c ^C+1)， ), _T ， _T， ), _P ）

が成り立つことを確認する。この式が成り立たない iが存在すれば、ハッシュ値不受理正当性証明手段 318により、その iに関して πϋ ΰ,Ε^を明らかにして、を正しく生成したことの零知識証明（ハッシュ値不受理正当性証明文)を生成する。ここでも喑号文の数が減少する力 (処理 319)、減った後のこの数も nで表し、それぞれの暗号文を i=lから nまでの番号で順番付ける。

[0080] 最後に出力データ歹 θ7(Κ⁰⁺¹⁾,Κ'^ϋ+1)， c⁽ⁱ⁺¹⁾, S⁰⁺¹⁾,S，^G+1)， T⁽ⁱ⁺¹⁾,T'⁰⁺¹⁾, Ρ⁽】·⁺¹⁾,Η^ϋ))を次の i i i i i i i i i 置換復号装置 S ¹)に送る。

[0081] ハッシュ値復号正当性証明文と連結データ復号正当性証明文とハッシュ値不受理正当性証明文とを正当性証明文 108とし検証装置 109に送る。

[0082] 全ての置換復号装置 S® (j=l，...，m)に関して処理が終わると順番が入れ替えられた平文 111 [M] が得られる。

I 1=1,..., n

[0083] [検証装置の処理]

検証者の検証装置 109には、

ハッシュ値復号正当性証明文 401(図 4中、ハッシュ値証明文と略記)、連結データ復号正当性証明文 403(図 4中、連結証明文と略記)およびハッシュ値不受理正当性証明文 400(図 4中、不受理証明文と略記)からなる正当性証明文 108と、

入力データ列 105と、

出力データ列 107と、

全体の乱数の知識の証明文 110とが入力される。

[0084] 最初に全ての iに関して、全体の乱数の知識の証明文 110を検証する検証手段 500 で、

γ 0)_Ί ヽ

」 G)

が成り立つことを確認する。

[0085] 全ての j=l，...,mに関して順番に以下の計算及び検証を行う。全ての i(i=l，...，n)に関して、共通鍵の知識の検証処理を行う検証手段 402により、

y ⁰⁾ = Hash( K⁽ⁱ⁾,K'⁰⁾, ， S^S'®, T⁽ⁱ⁾,T'⁰⁾, [ひ ⁰⁾]X⁰⁾ +[ y ⁰⁾]Κ_; ⁰⁾)

を確認し、秘密の乱数の知識の検証処理を行う検証手段 404により、

γ'⁰⁾ = Hash( K⁽ⁱ⁾,K'⁰⁾, c⁽ⁱ⁾, S⁰⁾,S'⁽ⁱ⁾, T⁰⁾,T'⁽ⁱ⁾, [ひ ' (】·)]Χ(】·) +[γ '(】·)] T⁰⁾)

i i i i i i i i i i i

を確認する。等式が成り立たない iのみに関しては以降の処理を行わない。 [0086] ハッシュ値復号正当性の検証処理を行う検証手段 406により、 [Η ^ϋ)] が正しく生

i i=l，...'n

成されていることを検証する (証明に対応した方法で行う、例えば前出の文献の方法を使う)。

[0087] 連結データ復号正当性の検証処理を行う検証手段 407により、 {T' ^(]+1)] が正しく生成されていることを検証する (証明に対応した方法で行う、例えば前出の文献の方法を使う)。

[0088] ハッシュ値一致検証処理を行う比較手段 408において、全ての i(i=l，...，n)に関して

が成り立つことを確認する。もし成り立たない iが存在すれば、ハッシュ値不受理正当性の検証処理を行う検証手段 409において、その iに関して π ϋ](ί),Ε ^ωを明らかにさ

i

れていること、式 Ε が正しく復号さ

れていることを確認する。

[0089] 正当性判定処理を行う検証手段 405において、共通鍵の知識の検証処理を行う検証手段 402と秘密の乱数の知識の検証処理を行う検証手段 404の両方において受理されたもの全てに関して、ハッシュ値復号正当性の検証処理を行う検証手段 406と連結データ復号正当性の検証処理を行う検証手段 407の両方において受理され、かつハッシュ値一致検証処理を行う比較手段 408で受理あるいはハッシュ値一致検証処理を行う比較手段 408で不受理かつハッシュ値不受理正当性検証処理を行う検証手段 409で受理であり、かつ出力データ列には、共通鍵の知識の検証処理と、秘密の乱数の知識の検証処理と、ハッシュ値一致検証処理とで受理された要素に対応するものだけで、かつそれが全て含まれているならば受理を、そうでなければ不受理を出力する。

[0090] 2 実施例 2

2. 1

実施例 2の概要について、図 1，図 5，図 6,図 7を参照しながら説明する。

[0091] 本実施例に係るミックスネットシステムは、図 1に示すように、複数の参加者装置 103 と、取りまとめ装置 104と、複数の置換復号装置 112と、検証装置 109とから構成される。参加者装置 103は、図 5に示すような構成を有し、知識の連結手段 208及び乱数の知識の証明手段 210を有しない点を除いて、第 1の実施例における参加者装置と同様である。取りまとめ装置 104もまた、第 1の実施例における取りまとめ装置と同様である。

[0092] [置換復号装置]

図 6に示すように、置換復号装置 112は、データ分割手段 723と、共通鍵の知識の検証手段 707と、共通鍵復号手段 710と、データ復号手段 713と、ハッシュ値復号手段 712と、ハッシュ値検証手段 717と、出力データ列生成手段 711と、重複データ削除確認手段 720と、ハッシュ値復号正当性証明手段 715と、ハッシュ値不受理正当性証明手段 718と、出力手段とを有する。

[0093] ここで、データ分割手段 723は、取りまとめ装置 104または他の置換復号装置から入力される入力データ列 105の各要素を、公開鍵暗号方式により暗号化された共通鍵暗号方式の共通鍵 702,共通鍵暗号方式により暗号化されたデータ 703,公開鍵暗号方式により暗号化されたハッシュ値 704，暗号化された共通鍵の知識の証明文 701に分割する。

[0094] 出力データ列生成手段 711は、出力データで、入力データ列 105の同一の要素のデータから生成されたという意味において対応する、ハッシュ値検証手段 717及び共通鍵の知識の検証手段 707の全てにおいて受理を出力されたものだけを列の要素とするデータ列を生成し、さらに各要素の順番を一様無作為に並び替え出力データ列 107とする。重複データ削除確認手段 720は、出力データ列 107の各要素に重複がある場合、以降の処理でこれが削除されていることを確認したら受理を、でなければ不受理を出力する。

[0095] ハッシュ値不受理正当性証明手段 715は、出力データ歹 IJ107の各要素に含まれる復号された連結データが、必ず入力データ歹 IJ105のある要素に含まれる暗号化された連結データを復号したものであり、ハッシュ値検証手段 717において不受理を出力された場合、この不受理の出力が正当であることの証明文であるハッシュ値不受理正当性証明文を生成する。出力手段は、ハッシュ値復号正当性証明文とハッシュ値不受理正当性証明文とを正当性証明文 108とし、これと出力データ列生成手段 711の出力した出力データ列 107とを出力する。その他の構成は、第 1の実施例における置換復号装置と同様である。

[0096] [検証装置]

図 7に示すように、検証装置 109は、共通鍵の知識の検証手段 802と、ハッシュ値復号正当性検証手段 806と、ハッシュ値一致検証手段 808と、ハッシュ値不受理正当性検証手段 809と、正当性判定手段 805とを有する。

[0097] 正当性判定手段 805は、入力データ列 105の要素のなかで、この要素に対する共通鍵の知識の検証手段 402において受理されたもの全てに関して、以下の全ての条件が満たされてレ、るならば受理を、そうでなければ不受理を出力する。

(A)ハッシュ値復号正当性検証手段 806で受理。

(B)ハッシュ値一致検証手段 808で受理、あるいは、ハッシュ値一致検証手段 808で不受理かつハッシュ値不受理正当性検証手段 809で受理。

(C)出力データ列 107には、共通鍵の知識の検証手段 802とハッシュ値一致検証手段 808とで受理された要素に対応するものだけで、かつそれらが全て含まれている。その他の構成は、第 2の実施例における検証装置と同様である。

[0098] ミックスネットシステムの動作は、第 1の実施例と同様であるから、その説明を省略する。

[0099] 2. 2 具体例

実施例 2について、図 1,図 5,図 6，図 7を参照しながら具体的に説明する。

[0100] [初期設定]

最初に初期設定装置 100は、平文のビット長 Λと、安全変数 Lと、 Lより 5そのビット長が大きい素数 qと、位数が qの楕円曲線 Cと、 C上の点 Gと、出力のビット長が L の暗号学的なハッシュ関数 HashOと、長さ Lの鍵を使う共通鍵暗号方式と、上記共通鍵暗号方式の喑号ィ匕関数 enc[e]()および復号関数 dec[e]と、 Lビットのビット列から C上への点への関数 Ψ()と、 C上の点から Lビットのビット列への写像 Φ ()とを決定し公開する。

[0101] [置換復号装置の初期設定]

次に全ての置換復号装置 S® (j=l,... ,m)は、次の初期設定処理を行う。全ての置換復号装置 S®内の初期設定手段 721(図 6参照)は、秘密鍵 106 x⁰⁾≡ Z/qZを一様無作為に選び、それを自置換復号装置 S^(])内に保持すると共に、公開鍵 101 X⁽ⁱ⁾=[x⁰⁾]G を生成し公開する。更に、各置換復号装置 S®内の初期設定手段 721は、 r⁰⁾e Z/qZを一様無作為に選び、

0) (i) (i) 0) ,

ひ = r — γ r mod q

とを計算し、ひ⁰を χ^ωの知識の零知識証明文 722として公開する。

[0102] [参加者装置の暗号文生成]

i=l，...，nに関して、参加者装置 103 U (図 5参照)は、長さが Λビットの平文 102Mを決定する。各参加者装置 U 103は、最初のデータ 614として、 c(^m+1)=M と、任意データ 603(それぞれ力 SLビットの任意の文字歹 ljK^(m+1),K'^(m+1)， S^(m+1)，S'^(m+1)， P^(m+1) )とを含むデータを生成する。更に、鍵生成手段 604が、 j=l，...，mに関して Z/qZの要素 ι·[1]^ϋ)，_Γ[2]

⁰⁾, r[3]⁰⁾及び C上の点 E^(j)を一様無作為に選ぶ。

[0103] その後、鍵暗号化手段 605、データ暗号化手段 606、ハッシュ値暗号化手段 607、おょび出カ手段615が、」'=111，(111-1)，...,1の順番で繰り返し以下の処理613を行ぅ。

[0104] 実施例 1と同様に、ここで任意の文字列としては、乱数,セッション固有の数，日時等を選ぶ場合がある。乱数を用いれば、最終的な復号文の集合から自分の平文の存在を参加者装置が確認できる効果があり、セッション固有の数や日時を入れれば、他のセッションに使われた暗号文を再利用していないことが分かる効果がある。

[0105] ·鍵暗号化手段 605における共通鍵の暗号化処理

共通鍵 e(j)の暗号化のため、

e⁽ⁱ⁾= Φ(Ε⁰⁾)

なる Ε(^])を求め、

(K⁽ⁱ⁾,K'⁰⁾) = ([r[l]⁰⁾]X⁰⁾, [r[l]⁽ⁱ⁾]G + E⁽ⁱ⁾ )

を計算し、計算結果 Κ^ω，Κ'(^])を出力手段 615に入力する。

[0106] ·鍵暗号化手段 605における共通鍵の知識の証明文の生成処理

y ⁰⁾ = Hash( K⁽ⁱ⁾,K'⁰⁾, c⁽ⁱ⁾, S^ S'®, [r[3] ⁽ⁱ⁾]X^G))

と、 '） = r[3] ^(j - y。） r[l] ^(j mod q

i i i i

と、

P =L γ , a 」

i i i

とを計算し、 Ρ^,Ρ^を共通鍵の知識の証明文 612として取りまとめ装置 104に送付する。

[0107] ·データ暗号化手段 606におけるデータの暗号化処理

e⁽ⁱ⁾ = Φ(Ε)

i

と、

c⁰⁾ = enc[e^(])]( K(】⁺¹⁾,K， ⁰⁺¹⁾, c⁰⁺¹⁾ _; S(】⁺¹⁾,S， ^ϋ+1)， P^(]+1))

i i i i i i i i

とを計算し、 c.⁰⁾を出力手段 615に入力する。

[0108] ·ハッシュ値暗号化手段 607におけるハッシュ値の暗号化処理

(S⁰^' ) = ( [r[2]⁽ⁱ⁾]X⁰⁾, [r[2]⁰⁾]G + ¥(Hash( Κ^ϋ+1)，Κ， ^ϋ+1), c⁰⁺¹⁾, S ⁰⁺¹⁾,S' ， P⁰⁺¹⁾))) i i i i i i i i i i を計算し、 S^S を出力手段 615に入力する。

[0109] ·出力手段 615における処理

鍵暗号化手段 605からの入力 Κ^ϋ)，Κ'^ϋ)と、データ暗号化手段 606からの入力 c^(j)と、

1 1 1 ハッシュ値暗号化手段 607からの入力 S®^®とからデータ 614'(Κ^ϋ)，Κ'^ϋ), c⁰⁾, S⁽ⁱ⁾,S'⁰⁾) i i i i i i i を生成し、 j=lでなければ、データ 614'をデータ 614としてフィードノくックし、 j=lならば、 (K⁽¹⁾,K'⁽¹⁾, c⁽¹⁾, S⁽¹⁾，S'⁽¹⁾)を暗号文 211として出力する。

i i i i i

[0110] つまり、参加者装置 103 Uは、喑号文611( ¹)， (¹)， c⁽¹⁾, S^a)，S' ^ω)と証明文 Ρ^ω,Ρ(°)と

i i i i i i i i を取りまとめ装置 104へ送付する。

[0111] [取りまとめ装置による暗号文の検証]

取りまとめ装置 104は、参加者装置から集めたデータをまとめて一番目の置換復号装置に送る。以下において、 K⁰⁾,K'⁽ⁱ⁾, c⁰⁾, s^c)，s，(j), Ρ^ωは、 j=lの場合を除いて前記

i i i i i i

のそれとは一般に異なる。

[0112] [置換復号装置による暗号文の順序入れ替えと復号]

j=l,..,mに関して順番に、置換復号装置 112 S⁰⁾は以下の計算及び検証を行う。

[0113] 暗号化された共通鍵暗号方式の共通鍵 702(図 6中、共通鍵暗号文と略記）

κ^φ，κ，^ϋ)と、

i i 暗号化されたデータ 703 (図 6中、データ暗号文と略記）

c とレ、

暗号化されたハッシュ値 704 (図 6中、ハッシュ値暗号文と略記)

S^S' と、

共通鍵の知識の証明文 701(図 6中、鍵の知識証明文と略記）

P®とからなる入力データ列 105

及び

秘密鍵 106

0)

X

が入力される。入力データ列 105は、データ分割手段 723によって上記各要素 701 704に分割される。

[0114] 全ての i(i=l，...，n)に関して、以下の処理を行う。

共通鍵の知識の検証手段 707は、

γ ⁰⁾ = Hash( Κ ^ϋ),Κ' ⁰⁾, ， S ⁰⁾,S' ⁰⁾, [ a ⁰⁾]Χ⁰⁾ +[ γ V)

を確認する。等式が成り立たない iに関しては、最終的な出力データ列には加えなレ、 ( 処理 709)。

[0115] ここでは暗号文の数が減少する力減った後のこの数も nで表し、それぞれの暗号文を i=lから nまでの番号で順番付ける。

[0116] 共通鍵復号手段 710において、 Ε ⁰⁾ = Κ' ⁰⁾ -[1/_Χ ^ϋ)]Κ ^ϋ)なる演算を行う。

1 1 1

[0117] データ復号手段 713において、

= Φ (Ε

(K

なる演算を行う。得られたデータは、

である。

[0118] 置換手段 711は、一様無作為に [Ι,. ,.,η]から [Ι,. ,.,η]への置換 7i [j]()を選び、以下を計算する。

K ⁰⁺¹⁾ = Κ π [j](i)⁰⁺¹⁾

i Κ'^ϋ+1) = Κ'πΰ](ΐ)⁰⁺¹⁾

S = S π [j](i)^G+1)

S':^C+1) = S' π園 ^G+1)

Ρ^^Ρ πϋ](ί)^ϋ+1)

[0119] ハッシュ値復号手段 712及び置換手段 711は、

Η = 3，_πϋ](ί)(】·)_[1/_Χ(】 _π[ΰ ( ）

なる演算を行う。

[0120] 次に、ハッシュ値復号正当性証明手段 715により上記が正しく生成されたことの証明 (ハッシュ値復号正当性証明文)を生成する。この証明には例えば、前出の文献の方法を使用する。

[0121] 次に、全ての i(i=l,...,n)に関して、ハッシュ値検証手段 717において、

Φ(Η^Φ) = Hash( Κ^ϋ+1),Κ'^{( )}, c⁰⁺¹⁾, S^S^¹), P⁰⁺¹⁾)

が成り立つことを確認する。

[0122] この式が成り立たない S存在すれば、ハッシュ値不受理正当性証明手段 718により

、その iに関して πϋ]ω，Ε^ϋ)を明らかにして、 Ε⁰⁾を正しく生成したことの零知識証明（ハッシュ値不受理正当性証明文)を生成する。

[0123] ここでも暗号文の数が減少するが（処理 719)、減った後のこの数も ηで表し、それぞれの暗号文を i=lから ηまでの番号で順番付ける。

[0124] 重複データ削除手段 720は、 i=l,...,ηに関して ( K⁽ⁱ⁺¹⁾,K' ⁰⁺¹⁾, c⁰⁺¹⁾, S⁽ⁱ⁺¹⁾,S' ⁰⁺¹⁾, P⁽ⁱ⁺¹⁾

i i i i i i

》の組の内同じものがないことを確認する。同じものがあった場合は一つの組を残して他は消去する。ここでも暗号文の数が減少する力減った後のこの数も nで表し、それぞれの暗号文を i=lから nまでの番号で順番づける。

[0125] 最後に出力データ列 107 i i i i i i i

を次の置換復号装置 s(^]+1)に送る。

[0126] ハッシュ値復号正当性証明文とハッシュ値不受理正当性証明文とを正当性証明文 108とし、検証装置 109に送る。 [0127] 全ての置換復号装置 S® (j=l,...,m)に関して処理が終わると順番が入れ替えられた平文 111 [M] が得られる。

[0128] [検証装置の処理]

検証装置 109には、ハッシュ値復号正当性証明文 801(図 7中、ハッシュ値証明文と略記）及びハッシュ値不受理正当性証明文 800(図 7中、不受理証明文と略記)からなる正当性証明文 108と、入力データ列 105と、出力データ列 107とが入力される。

[0129] 全ての j=l,...,mに関して順番に以下の計算及び検証を行う。全ての i(i=l，...，n)に関して、共通鍵の知識の検証手段 802により、

y ⁰⁾ = Hash( K(j)，K，^G')， )， S ^G),S' ^G')， [ひ ⁰⁾lX⁰⁾ +[ γ ⁰⁾lK⁽ⁱ⁾)

を確認する。等式が成り立たない iのみに関しては以降の処理を行わない。

[0130] ハッシュ値復号正当性検証手段 806により、 [Η ^ϋ)] が正しく生成されていることを

i ί=1"··，η

検証する (証明に対応した方法で行う、例えば前出の文献の方法を使う)。

[0131] ハッシュ値一致検証処理を行う比較手段 808において、全ての i(i=l，...，n)に関して

Φ (Η ^Φ) = Hash( Κ^ϋ+1),Κ' ^{( )}, c ⁰⁺¹⁾, S ⁰⁺¹⁾,S^{, (J}'⁺¹⁾, P⁰⁺¹⁾)

i i i i i i i

が成り立つことを確認する。

[0132] もし成り立たない iが存在すれば、ハッシュ値不受理正当性検証手段 809において、その iに関して π [ΰ(ί)，Ε ^ϋ)を明らかにされていること、式 Ε ^ϋ)が正しく生成されていることを検証し、 c n i f が正しく復号されていることを確認する。

[0133] 正当性判定処理を行う検証手段 805において、共通鍵の知識の検証処理と秘密の乱数の知識の検証処理の両方において受理されたもの全てに関して、ハッシュ値復号正当性検証処理において受理され、かつハッシュ値一致検証処理で受理あるいはハッシュ値一致検証処理で不受理かつハッシュ値不受理正当性検証処理で受理であり、かつ出力データ列には共通鍵の知識の検証処理と秘密の乱数の知識の検証処理とハッシュ値一致検証処理とで受理された要素に対応し、 [K⁰⁺¹⁾,K' ^G+1), c ⁽ⁱ⁺¹⁾ ,S

i i i

.⁰⁺¹⁾, s ' .^{(i+ 1)}, P⁰⁺¹⁾]の集合に重複があればその重複を除いて、それらが全て含まれているならば受理を、そうでなければ不受理を出力する。

[0134] 〔発明が有効である理由〕置換復号装置におけるデータの復号及び置換が正当であるこ

とを証明するために、ハッシュ値と、 d_eC[_ei ^(])](_C 7r [j](i )、参加者装置が生成したこれの公開鍵による暗号文の復号結果が等しいことを証明する。この証明処理が、ハツシュ値復号証明処理である。この証明処理が公開検証可能な形で行われることが、本発明が公開検証可能であることの主な理由である。

[0135] 但し、前述の証明の効果が発揮されるのは、参加者装置が正しくハッシュ値の喑号文を生成した場合のみである。これがなされなかった場合においては、置換復号装置は自身の操作の正当性を証明する必要がある。

[0136] まず、参加者装置が正当な処理でハッシュ値暗号文を生成したかを、ハッシュ値検証処理により確認する。正当な処理が行われていなかった場合は、ハッシュ値不受理正当性証明処理により、参加者装置の不正を証明し、これで置換復号装置の処理の正当性を証明する。

[0137] ところ力 S、参加者装置の処理が正当でないことの理由力他の参加者装置の不正による場合がある。ある参加者装置のデータをその他の参加者装置がコピーして、その暗号文を元に適当なデータを生成するのである。この場合、置換復号装置は参加者装置が不正であるとして、参加者装置の暗号文を復号し、かつその復号の正当性を証明することになるのだが、この証明が参加者装置の暗号文の攻撃となる場合がある。

[0138] そもそも参加者装置が自らの暗号文を不正に処理した場合は、自らが招いた結果であるので仕方がないが、他人にコピーされた場合はこの攻撃を防ぐ必要がある。この防御策が、共通鍵の知識の証明処理である。これは、他人の暗号文から不正な暗号文を作成した場合、置換復号処理により最初に処理を拒絶される効果を持つ。

[0139] 他人の暗号文をコピーして不正な処理を行った場合は、上述のように置換復号装置によって処理を拒絶されるが、単純にコピーしてそれをそのまま用いただけでは上述の方法では拒絶されない。このようなことを許すと、コピーした暗号文は複数復号されるといった現象が起こる。これが起これば、最終的に復号された平文から、複数あるものを見つけることにより、コピーした暗号文の内容を知ることができる。このようなプライバシーに対する攻撃を防ぐ処理が、実施例 1では連結データに関する証明処理であり、実施例 2では重複データを削除する処理である。

[0140] 連結データは、自分で生成したものでなければ最後に証明を作ることができないので、単純なコピーを防止する。重複データの削除は、コピーされたものをそのまま削る処理にあたる。

[0141] 参加者装置が、平文と併せて乱数，セッション固有の数，日時等の文字列を入力する場合があるが、これらの値は最終的に復号されることから、この復号された文字列を使って様々なことを確認できる。たとえば、乱数を用いれば、最終的な復号文の集合力自分の平文の存在を参加者装置が確認できる効果があり、セッション固有の数や日時を入れれば、他のセッションに使われた暗号文を再利用していないことが分かる効果がある。

Claims

請求の範囲

[1] 共通鍵暗号方式の複数の共通鍵の一つを、複数の置換復号装置の一つの公開鍵により暗号化する鍵暗号化手段と、

を備えることを特徴とする参加者装置。

[2] 請求項 1に記載の参加者装置において、

前記鍵暗号化手段は、暗号化した前記共通鍵の知識の証明文を生成する手段を備えることを特徴とする参加者装置。

[3] 請求項 2に記載の参加者装置において、

前記与えられたデータを、前記複数の置換復号装置の一つの公開鍵により暗号化し、さらにこの時の暗号化に用いた秘密の乱数の知識の証明文を生成する知識の連結手段をさらに備え、

前記繰り返し手段は、前記データ暗号化手段の最初の入力を前記平文とし、次からの、前記データ暗号化手段の入力を前回の前記データ暗号化手段，前記鍵暗号化手段，前記ハッシュ値喑号ィ匕手段,前記知識の連結手段の出力とする処理を、前記置換復号装置の数だけ繰り返す手段を備え、

前記知識の連結手段による処理を繰り返すことにより最終的に得られたデータに関して、前記処理の繰り返し全てで使った秘密の乱数の和の知識の証明文を生成する全体の乱数の知識の証明手段をさらに備えることを特徴とする参加者装置。

[4] 請求項 1に記載の参加者装置において、前記出力手段は、前記繰り返し手段の処理により得られた前記データと共に、このデータを作成したのが正当な参加者装置であることを証明するデータを出力する手段を備えることを特徴とする参加者装置。

[5] 複数のデータが入力されて、これらのデータの正当性を検証し、正当であることが判明したものだけを出力する構成を備えることを特徴とする取りまとめ装置。

[6] 請求項 5に記載の取りまとめ装置において、

入力された前記データが正当な参加者装置によって生成されたことを検証する構成をさらに備えることを特徴とする取りまとめ装置。

[7] 入力データ列の各要素を、公開鍵暗号方式により暗号化された共通鍵暗号方式の共通鍵，共通鍵暗号方式により暗号化されたデータ，公開鍵暗号方式により暗号化されたハッシュ値に分割するデータ分割手段と、

前記暗号化された共通鍵暗号方式の共通鍵を前記公開鍵暗号方式の秘密鍵により復号する、共通鍵復号手段と、

前記出力データ列の各要素のハッシュ値が、必ず前記入力データ列のある要素に含まれる前記暗号化されたハッシュ値を復号したものであり、かつ両者の対応が一対一であることの証明文であるハッシュ値復号正当性証明文を生成する、ハッシュ値復号正当性証明手段と、前記ハッシュ値検証手段において不受理を出力された場合、この不受理の出力が正当であることの証明文であるハッシュ値不受理正当性証明文を生成するハッシュ値不受理正当性証明手段と、

を備えることを特徴とする置換復号装置。

[8] 請求項 7に記載の置換復号装置において、

前記データ分割手段は、前記入力データ列の各要素を、暗号化された前記共通鍵の知識の証明文にさらに分割する手段を備え、

前記共通鍵の知識の証明文の正当性を検証し、正当なら受理を不当なら不受理を出力する共通鍵の知識の検証手段をさらに備え、

前記出力データ列生成手段は、前記出力データで、前記入力データ列の同一の要素のデータから生成されたとレ、う意味にぉレ、て対応する、前記ハッシュ値検証手段及び前記共通鍵の知識の検証手段の全てにおいて受理を出力されたものだけを列の要素とするデータ列を生成し、さらに各要素の順番を一様無作為に並び替え出力データ列とする手段を備えることを特徴とする置換復号装置。

[9] 請求項 8に記載の置換復号装置において、

前記データ分割手段は、前記入力データ列の各要素を、公開鍵暗号方式により暗号化された連結データ、連結データ喑号ィ匕に用いた秘密の乱数の知識の証明文にさらに分割する手段を備え、

前記秘密の乱数の知識の証明文を検証し、正当なら受理を不当なら不受理を出力する秘密の乱数の知識の検証手段と、

前記暗号化された連結データを、前記公開鍵暗号方式の秘密鍵により復号する連結データ復号手段とをさらに備え、

前記出力データ列生成手段は、前記出力データと前記復号された連結データで、前記入力データ列の同一の要素のデータから生成されたという意味において対応する、前記ハッシュ値検証手段、前記共通鍵の知識の検証手段、前記秘密の乱数の知識の検証手段の全てにおいて受理を出力されたものだけを列の要素とするデータ列を生成し、さらに各要素の順番を一様無作為に並び替え出力データ列とする手段を備え、

前記出力データ列の各要素に含まれる前記復号された連結データが、必ず前記入力データ列のある要素に含まれる前記暗号化された連結データを復号したものであり、かつ両者の対応が一対一であることの証明文である連結データ復号正当性証明文を出力する連結データ復号正当性証明手段をさらに備え、

前記出力手段は、前記ハッシュ値復号正当性証明文と前記連結データ復号正当性証明文と前記ハッシュ値不受理正当性証明文とを前記正当性証明文とし、これと前記出力データ列生成手段の出力した前記出力データ列とを出力する手段を備えることを特徴とする置換復号装置。

[10] 請求項 8に記載の置換復号装置において、

前記出力データ列の中に同一の要素があった場合、以降の処理で一つを残して重複する要素を削除したものを新しく出力データとする重複データ削除手段をさらに備え、

前記ハッシュ値不受理正当性証明手段は、前記出力データ列の各要素に含まれる前記復号された連結データが、必ず前記入力データ列のある要素に含まれる前記暗号化された連結データを復号したものであり、前記ハッシュ値検証手段にぉレ、て不受理を出力された場合、この不受理の出力が正当であることの証明文であるハツシュ値不受理正当性証明文を生成する手段を備えることを特徴とする置換復号装置

[11] ハッシュ値復号正当性証明文に含まれる復号されたハッシュ値が、入力データ列のある要素の喑号ィ匕されたハッシュ値を復号したものに一致し、両者に一対一の関係があることを検証し、両者が一致し一対一の関係があれば受理を、無ければ不受理を出力するハッシュ値復号正当性検証手段と、

を備えることを特徴とする検証装置。

[12] 請求項 11に記載の検証装置において、

前記入力データ列の各要素に属する共通鍵の知識の証明文の正当性を検証し、正当なら受理を不当なら不受理を出力する共通鍵の知識の検証手段をさらに備え、前記正当性判定手段は、前記入力データ列の要素のなかで、この要素に対する前記共通鍵の知識の検証手段において受理されたもの全てに関して、前記ハッシュ値復号正当性検証手段で受理され、かつ前記ハッシュ値一致検証手段で受理及び前記ハッシュ値一致検証手段で不受理かつ前記ハッシュ値不受理正当性検証手段で受理のいずれかであり、かつ前記出力データ列には前記共通鍵の知識の検証手段と前記ハッシュ値一致検証手段とで受理された要素に対応するものだけで、かつそれらが全て含まれているならば受理を、そうでなければ不受理を出力する手段を備えることを特徴とする検証装置。

[13] 請求項 12に記載の検証装置において、

前記入力データ列の各要素に属する秘密の乱数の知識の証明文を検証し、正当なら受理を不当なら不受理を出力する秘密の乱数の知識の検証手段と、

前記出力データ列の各要素に含まれる復号された連結データが、前記入力データ列のある要素に含まれる、暗号化された連結データを復号したものに一致し、両者に一対一の関係があることを検証し、両者が一致し一対一の関係があれば受理を、無ければ不受理を出力する連結データ復号正当性検証手段とをさらに備え、前記正当性判定手段は、前記入力データ列の要素のなかで、この要素に対する前記共通鍵の知識の検証手段と前記秘密の乱数の知識の検証手段の両方において受理されたもの全てに関して、前記ハッシュ値復号正当性検証手段と前記連結データ復号正当性検証手段の両方において受理され、かつ前記ハッシュ値一致検証手段で受理及び前記ハッシュ値一致検証手段で不受理かつ前記ハッシュ値不受理正当性検証手段で受理のいずれかであり、かつ前記出力データ列には前記共通鍵の知識の検証手段と前記秘密の乱数の知識の検証手段と前記ハッシュ値一致検証手段とで受理された要素に対応するものだけで、かつそれらが全て含まれているならば受理を、そうでなければ不受理を出力する手段を備えることを特徴とする検証装置。

[14] 請求項 12に記載の検証装置において、

前記出力データ列の各要素に重複がある場合、以降の処理でこれが削除されていることを確認したら受理を、でなければ不受理を出力する重複データ削除確認手段をさらに備え、

前記正当性判定手段は、前記入力データ列の要素のなかで、この要素に対する前記共通鍵の知識の検証手段において受理されたもの全てに関して、前記ハッシュ値復号正当性検証手段と前記重複データ削除確認手段において受理され、かつ前記ハッシュ値一致検証手段で受理及び前記ハッシュ値一致検証手段で不受理かつ前記ハッシュ値不受理正当性検証手段で受理のいずれかであり、かつ前記出力データ列には前記共通鍵の知識の検証手段と前記ハッシュ値一致検証手段で受理された要素に対応するものだけで、かつそれらが全て含まれているならば受理を、そうでなければ不受理を出力する手段を備えることを特徴とする検証装置。

[15] 複数の参加者装置と、取りまとめ装置と、複数の置換復号装置と、検証装置とを備前記参加者装置のそれぞれは、

共通鍵暗号方式の複数の共通鍵の一つを、前記複数の置換復号装置の一つの公開鍵により暗号化する鍵暗号化手段と、

共通鍵暗号方式の複数の共通鍵の一つで、与えられたデータを暗号化するデータ暗号化手段と、暗号学的なハッシュ関数を用いて、与えられたデータのハッシュ値を計算し、このハッシュ値を前記複数の置換復号装置の一つの公開鍵により暗号化するハッシュ値暗号化手段と、

前記データ暗号化手段の最初の入力を平文とし、次からの、前記データ暗号化手段の入力を前回の前記データ暗号化手段,前記鍵暗号化手段，前記ハッシュ値暗号化手段の出力とする処理を、前記置換復号装置の数だけ繰り返す、繰り返し手段と、前記繰り返し手段の処理により得られたデータを前記取りまとめ装置へ出力する出力手段と

を備え、

前記取りまとめ装置は、前記複数の参加者装置から複数のデータが入力されて、これらのデータの正当性を検証し、正当であることが判明したものだけを前記置換復号装置のレ、ずれかへ出力する構成を有し、

前記置換復号装置のそれぞれは、

前記取りまとめ装置及び他の置換復号装置のいずれかから入力される入力データ列の各要素を、公開鍵暗号方式により暗号化された共通鍵暗号方式の共通鍵,共通鍵暗号方式により暗号化されたデータ，公開鍵暗号方式により暗号化されたハッシュ値に分割するデータ分割手段と、

前記出力データ列の各要素のハッシュ値が、必ず前記入力データ列のある要素に含まれる前記暗号化されたハッシュ値を復号したものであり、かつ両者の対応が一対一であることの証明文であるハッシュ値復号正当性証明文を生成する、ハッシュ値復号正当性証明手段と、

を備え、

前記検証装置は、

前記ハッシュ値復号正当性証明文に含まれる復号されたハッシュ値が、前記置換復号装置の入力データ列のある要素の暗号化されたハッシュ値を復号したものに一致し、両者に一対一の関係があることを検証し、両者が一致し一対一の関係があれば受理を、無ければ不受理を出力するハッシュ値復号正当性検証手段と、前記復号されたハッシュ値が、前記置換復号装置の出力データ列の各要素のハツシュ値と一致すれば受理を、一致しなければ不受理を出力するハッシュ値一致検証手段と、

入力暗号文の列の要素の内、前記ハッシュ値一致検証手段において不受理が出力されたハッシュ値に対応する要素に関しては、この不受理の出力が正当であることの証明文であるハッシュ値不受理正当性証明文を検証し、この証明文が正当であれば受理を、不当であれば不受理を出力するハッシュ値不受理正当性検証手段と、前記入力データ列の要素に関して、前記ハッシュ値復号正当性検証手段で受理かつ前記ハッシュ値一致検証手段で受理、及び、前記ハッシュ値一致検証手段で不受理かつ前記ハッシュ値不受理正当性検証手段で受理、のいずれかであり、かつ前記出力データ列には前記ハッシュ値一致検証手段で受理された要素に対応するものだけで、かつそれらが全て含まれているならば受理を、そうでなければ不受理を出力する正当性判定手段と

を備え、

を行うことを特徴とするミックスネットシステム。前記参加者装置は、

前記鍵暗号化手段が、暗号化した前記共通鍵の知識の証明文を生成する手段を備え、

前記置換復号装置は、

前記データ分割手段が、前記入力データ列の各要素を、暗号化された前記共通鍵の知識の証明文にさらに分割する手段を備え、

前記出力データ列生成手段が、前記出力データで、前記入力データ列の同一の要素のデータから生成されたとレ、う意味にぉレ、て対応する、前記ハッシュ値検証手段及び前記共通鍵の知識の検証手段の全てにおいて受理を出力されたものだけを列の要素とするデータ列を生成し、さらに各要素の順番を一様無作為に並び替え出力データ列とする手段を備え、

前記検証装置は、

前記入力データ列の各要素に属する共通鍵の知識の証明文の正当性を検証し、正当なら受理を不当なら不受理を出力する共通鍵の知識の検証手段をさらに備え、前記正当性判定手段が、前記入力データ列の要素のなかで、この要素に対する前記共通鍵の知識の検証手段において受理されたもの全てに関して、前記ハッシュ値復号正当性検証手段で受理かつ前記ハッシュ値一致検証手段で受理、及び、前記ハッシュ値一致検証手段で不受理かつ前記ハッシュ値不受理正当性検証手段で受理、のいずれかであり、かつ前記出力データ列には前記共通鍵の知識の検証手段と前記ハッシュ値一致検証手段とで受理された要素に対応するものだけで、かつそれらが全て含まれているならば受理を、そうでなければ不受理を出力する手段を備えることを特徴とするミックスネットシステム。前記参加者装置は、

前記繰り返し手段が、前記データ暗号化手段の最初の入力を前記平文とし、次からの、前記データ暗号化手段の入力を前回の前記データ暗号化手段，前記鍵暗号化手段，前記ハッシュ値喑号ィ匕手段,前記知識の連結手段の出力とする処理を、前記置換復号装置の数だけ繰り返す手段を備え、

前記知識の連結手段による処理を繰り返すことにより最終的に得られたデータに関して、前記処理の繰り返し全てで使った秘密の乱数の和の知識の証明文を生成する全体の乱数の知識の証明手段をさらに備え、

前記置換復号装置は、

前記データ分割手段が、前記入力データ列の各要素を、公開鍵暗号方式により暗号化された連結データ、連結データ喑号ィ匕に用いた秘密の乱数の知識の証明文にさらに分割する手段を備え、

前記出力データ列生成手段が、前記出力データと前記復号された連結データで、前記入力データ列の同一の要素のデータから生成されたという意味において対応する、前記ハッシュ値検証手段、前記共通鍵の知識の検証手段、前記秘密の乱数の知識の検証手段の全てにおいて受理を出力されたものだけを列の要素とするデータ列を生成し、さらに各要素の順番を一様無作為に並び替え出力データ列とする手段を備え、

前記出力手段が、前記ハッシュ値復号正当性証明文と前記連結データ復号正当性証明文と前記ハッシュ値不受理正当性証明文とを前記正当性証明文とし、これと前記出力データ列生成手段の出力した前記出力データ列とを出力する手段を備え前記検証装置は、

前記出力データ列の各要素に含まれる復号された連結データが、前記入力データ列のある要素に含まれる、暗号化された連結データを復号したものに一致し、両者に一対一の関係があることを検証し、両者が一致し一対一の関係があれば受理を、無ければ不受理を出力する連結データ復号正当性検証手段とをさらに備え、

前記正当性判定手段が、前記入力データ列の要素のなかで、この要素に対する前記共通鍵の知識の検証手段と前記秘密の乱数の知識の検証手段の両方において受理されたもの全てに関して、前記ハッシュ値復号正当性検証手段と前記連結データ復号正当性検証手段の両方において受理され、かつ前記ハッシュ値一致検証手段で受理及び前記ハッシュ値一致検証手段で不受理かつ前記ハッシュ値不受理正当性検証手段で受理のいずれかであり、かつ前記出力データ列には前記共通鍵の知識の検証手段と前記秘密の乱数の知識の検証手段と前記ハッシュ値一致検証手段とで受理された要素に対応するものだけで、かつそれらが全て含まれているならば受理を、そうでなければ不受理を出力する手段を備えることを特徴とするミックスネットシステム。

[18] 請求項 16のミックスネットシステムにおいて、

前記置換復号装置は、

前記ハッシュ値不受理正当性証明手段が、前記出力データ列の各要素に含まれる前記復号された連結データが、必ず前記入力データ列のある要素に含まれる前記暗号化された連結データを復号したものであり、前記ハッシュ値検証手段にぉレ、て不受理を出力された場合、この不受理の出力が正当であることの証明文であるハツシュ値不受理正当性証明文を生成する手段を備え、

前記検証装置は、

前記正当性判定手段が、前記入力データ列の要素のなかで、この要素に対する前記共通鍵の知識の検証手段において受理されたもの全てに関して、前記ハッシュ値復号正当性検証手段と前記重複データ削除確認手段において受理され、かつ前記ハッシュ値一致検証手段で受理及び前記ハッシュ値一致検証手段で不受理かつ前記ハッシュ値不受理正当性検証手段で受理のいずれかであり、かつ前記出力データ列には前記共通鍵の知識の検証手段と前記ハッシュ値一致検証手段で受理された要素に対応するものだけで、かつそれらが全て含まれているならば受理を、そうでなければ不受理を出力する手段を備える

ことを特徴とするミックスネットシステム。

[19] 請求項 15に記載のミックスネットシステムにおいて、

前記参加者装置は、

前記出力手段が、前記繰り返し手段の処理により得られた前記データと共に、このデータを作成したのが正当な参加者装置であることを証明するデータを出力する手段を備え、

前記取りまとめ装置は、

入力された前記データが正当な参加者装置によって生成されたことを検証する構成をさらに備える

ことを特徴とするミックスネットシステム。

請求項 15に記載のミックスネットシステムにおいて、

前記参加者装置は、

前記ハッシュ値喑号ィ匕手段の最初の入力として、平文と併せて、乱数，日時，ミックスネットのセッションに固有の値,及びこれらを組み合わせたデータ，のいずれかを使うことを特徴とするミックスネットシステム。