WO2006126585A1

WO2006126585A1 - 統合シャッフル正当性証明装置、証明統合装置、統合シャッフル正当性検証装置及びミックスネットシステム

Info

Publication number: WO2006126585A1
Application number: PCT/JP2006/310346
Authority: WO
Inventors: Jun Furukawa
Original assignee: Nec Corporation
Priority date: 2005-05-27
Filing date: 2006-05-24
Publication date: 2006-11-30
Also published as: EP1890421A4; JP2006333193A; US20090080645A1; JP4771053B2; CA2609459A1; EP1890421A1; US8009828B2

Abstract

　本発明の統合シャッフル正当性証明装置は、順番を表す整数である順序数κに対応して設けられた統合シャッフル正当性証明装置３００であって、コミットメント用公開鍵が入力され、順序数が１からκ－１までの統合シャッフル正当性証明装置による置換証明文を含む置換蓄積コミットメントを外部から受信すると、置換蓄積コミットメントに自装置による置換証明文を付加した置換証明コミットメントをコミットメント用公開鍵で暗号化して外部に送信する置換証明コミットメント装置３１０を有する構成である。

Description

明細書

統合シャッフル正当性証明装置、証明統合装置、統合シャッフル正当性検証装置及びミックスネットシステム

技術分野

[0001] 本発明は、匿名通信路の構成などに使われる統合証明付シャッフル技術による統合シャッフル正当性証明装置、証明統合装置、統合シャッフル正当性検証装置及びミックスネットシステムに関する。

背景技術

[0002] [従来の技術 (1) ]

従来の証明付シャッフルの技術について、例えば、特開 2001— 251289号公報（以下では、特許文献 1と称する）の記載が参照される。図 1に、特許文献 1に記載された構成を示す。なお、説明に用いている図面中で、合流する矢印は、矢印の元の情報が、全て集まって矢印の先へ送られることを意味する。分岐する矢印は、矢印の元の情報全て又は一部がそれぞれの矢印の先へ送られることを意味する。また、特許文献 1の再暗号シャッフルを、以下では、シャッフルと称する。

[0003] 図 1において、暗号文と公開鍵 100がシャッフルステップ 101に入力されてシャツフルされる。シャッフルの後、入力された暗号文とシャッフルを特定する情報であるシャッフル情報 102が同一変換証明ステップ 103に送られる。また、シャッフル情報 102 が置換証明ステップ 104に送られる。同一変換証明ステップ 103は、シャッフル情報 102を受信すると、同一変換証明文 105を生成して出力すると同時に、証明文生成に使用した乱数 106を置換証明ステップ 104に送る。置換証明ステップ 104は置換証明文 107を出力する。リスポンス生成ステップ 108は、同一変換証明文 105と置換証明文 104と暗号文と公開鍵 100とシャッフル済み暗号文 109とが入力されると、同一変換証明文 105と置換証明文 104と暗号文とにリスポンスを加えてシャッフル証明文 110を生成して出力する。

[0004] 同一変換証明文 105は、リスポンスと合さって、入力文の順番の入れ替えや暗号化である暗号文の変換内容の知識を持っていることの証明である。それと同時に、同一変換証明文 105は、入力される暗号文が複数の整数の要素となる場合、それぞれの要素が同じ順番の入れ替えと対応する暗号ィ匕の処理とを受けたことの証明でもある。置換証明文 107は、リスポンスと合さって、入力される暗号文に対しての、順番の入れ替えが正しくなされたことの証明である。

[0005] 図 1に示されるシャッフルとは、入力された暗号文の順序を入れ替えて再び暗号ィ匕することである。この処理が正当であることを証明するために、同文献では同一変換証明ステップと置換証明ステップの二つの証明ステップを用いて、る。この証明対象の分割により同文献ではシャッフル証明文生成の効率ィ匕を達成して、る。

[0006] [従来の技術 (2) ]

従来の証明付シャッフル復号を用いたミックスネットの技術 200につ、て、例えば、 Kazue Sako, Joe Kilian: Receipt-Free Μιχ-Type Voting scheme - A Practi cal Solution to the Implementation of a Voting Booth. EURO CRYPT 1995:

393-403, Springer"の記載が参照される。

[0007] 図 2【こ示すよう【こ、ここで ίま、複数のミキサー（201,202, 203, 204, 205, 206)による証明付シャッフルを、連続して行うことにより、入力された複数の暗号文 207の順序を入れ替え、かつ再暗号ィ匕して出力 208している。各ミキサーが独立して暗号文の順序を入れ替えるため、全てのミキサーがどのように順番を入れ替えたかを知らなければ、全体としてどのように順番が入れ替えたかが分力もなくなつている。このようにして、入力された暗号文と出力された暗号文の対応は、全てのミキサーが結託して情報を漏洩しなければ分力もない。このような技術は電子投票等で、投票者と投票内容の関係を秘匿した、場合に有効位である。

[0008] しかし、本方法では全てのミキサーが結託しさえすれば、入力と出力の対応関係が分力つてしまう。そのため、このような結託をより起きに《するために、ミキサーの数を十分に多くすることが重要である。

[0009] [従来の技術 (3) ]

従来の技術（2)以外にも、ミックスネットを用いて電子投票を実現している例力 "Ju n Furukawa, Hiroshi Miyauchi, Kengo Mori, Satoshi Obana, Kazue Sako: A n Implementation of a Universally Verifiable Electronic Voting Scheme based on Shuffling. Financial Cryptography 2002, ： 16—30, LNCS 2339, Springer，，に記載されている。ここでは、最初に投票を管轄するセンターが、全ての投票者より投票内容を暗号ィ匕した暗号文を受付ける。次に、このセンターが暗号文全ての集合を、複数のミキサーに順番に渡す。各ミキサーはこの暗号文の集合の順序を入れ替え、かつ再暗号ィ匕した後にセンターに返還する。これをセンターが次のミキサーへ渡すという作業を全てのミキサーに関して繰り返す。最後のミキサーから受け取った暗号文を復号して、投票結果を集計する。

発明の開示

[0010] し力しながら、上記従来の技術は下記記載の問題点を有している。

[0011] 従来の技術（1)を複数のミキサーで連続して行うことにより、従来の技術（2)で述べたミックスネットを構成した場合を考える。このようなミックスネットは電子投票を行う際には有効な方法である。しかし、電子投票において、投票の十分な匿名性を求めた場合、上述したように、ミキサーの数を増やす必要がある。一方、各ミキサーが正しく振る舞つたことを確認しなければ、投票の正当性が確認できない。そのため、従来の技術（ 1)で示したように、選挙を監視する人々がミキサーの振る舞、を検証する必要がある。この検証作業に必要な計算量は大きい。すなわち、投票に十分な匿名性を求めた場合、ミキサーの数を多くする必要があり、検証は各ミキサーに関して行う必要があることから、ミックスネット全体の検証には多大な時間が力かることになる。

[0012] 本発明は上述したような従来の技術が有する問題点を解決するためになされたものであり、検証者の必要な計算量力ミキサーの数によらず一定の大きさとなる統合シャッフル正当性証明装置、証明統合装置、統合シャッフル正当性検証装置及びミツタスネットシステムを提供することを目的とする。

[0013] 上記目的を達成するための本発明の統合シャッフル正当性証明装置は、順番を表す整数である順序数 _Kに対応して設けられ、自装置と該順序数の異なる統合シャツフル正当性証明装置と協調し、ミックスネット入力暗号文が入力されると、ミックスネット入力暗号文をシャッフルした結果であるミックスネット出力暗号文とシャッフルの正当性を証明するための同一変換知識証明コミットメント及び置換証明コミットメントとを出力し、その後、認証のための挑戦値を受信すると、挑戦値に対応するレスポンスを出力する単一のシャッフル正当性証明装置の一部を構成する複数の統合シャッフル正当性証明装置であって、

コミットメント用公開鍵が入力され、順序数が 1から κ 1までの統合シャッフル正当性証明装置による置換証明文を含む置換蓄積コミットメントを外部力受信すると、置換蓄積コミットメント〖こ自装置による置換証明文を付加した置換証明コミットメントをコミツトメント用公開鍵で暗号ィ匕して外部に送信する置換証明コミットメント装置を有する構成である。

[0014] 一方、上記目的を達成するための本発明の証明統合装置は、順番を表す整数である順序数 _Kに対応して設けられた複数の統合シャッフル正当性証明装置と協調することで、ミックスネット入力暗号文が入力されると、ミックスネット入力暗号文をシャツフルした結果であるミックスネット出力暗号文とシャッフルの正当性を証明するための同一変換知識証明コミットメント及び置換証明コミットメントとを出力し、その後、認証のための挑戦値を受信すると、挑戦値に対応するレスポンスを出力する単一のシャツフル正当性証明装置として動作する証明統合装置であって、

順序数が 1から複数の統合シャッフル正当性証明装置の数である最大数まで割り振られた複数の統合シャッフル正当性証明装置のそれぞれとの通信手段と、統合シャッフル正当性証明装置より順序数が 1から κまでの置換証明文を含む置換証明コミットメントを受信すると、順序数が κ + 1の統合シャッフル正当性証明装置に対して、置換証明文を要求するために置換証明コミットメントを置換蓄積コミットメントとして送信する置換証明コミットメント統合装置と、

を有する構成である。

[0015] また、上記目的を達成するための本発明の統合シャッフル正当性検証装置は、順番を表す整数である順序数 κに対応して設けられた、複数の統合シャッフル正当性証明装置と協調してシャッフルの正当性を証明する証明統合装置と通信する手段を有する統合シャッフル正当性検証装置であって、

ミックス用公開鍵とコミットメント用公開鍵と疑似公開鍵と共通参照基底と乱数とミツタスネット入力暗号文とミックスネット出力暗号文とが入力され、

シャッフルの正当性を証明するための統合同一変換コミットメント及び統合置換証明コミットメントを証明統合装置より受信するコミットメント受信装置と、ランダムな数の列である挑戦値を生成して証明統合装置に送信する挑戦値生成装置と、

複数の統合シャッフル正当性証明装置の数である最大数が順序数として割り振られた置換証明コミットメントと、最大数が割り振られた挑戦値とが入力されると、統合置換証明コミットメントの暗号文を生成し、証明統合装置と通信することで、統合置換証明コミットメントの暗号文の分散復号の結果から求められた復号統合置換証明コミットメントが正しく生成された力否かを検証する復号統合置換証明コミットメント受信装置と、

証明統合装置より統合レスポンスを受信し、証明統合装置より復号統合置換証明コミツトメントを受信するレスポンス受信装置と、

統合同一変換コミットメントと統合置換証明コミットメントと挑戦値と統合レスポンスと復号統合置換証明コミットメントとから、ミックスネット出力暗号文がミックスネット入力暗号文カゝら正しく生成されているか否かを示す検証結果を出力する検証装置と、を有する構成である。

[0016] また、上記目的を達成するための本発明のミックスネットシステムは、上記本発明の統合シャッフル正当性証明装置複数と、上記本発明の証明統合装置と、上記本発明の統合シャッフル正当性検証装置とを有する構成である。

[0017] さらに、上記本発明のミックスネットシステムにおいて、

上記証明統合装置は、

ミックスネット暗号文が入力され、複数の統合シャッフル正当性証明装置のそれぞれと通信を行うことで、ミックスネット暗号文を取得し、ミックスネット暗号文を統合シャッフル正当性検証装置に送信し、その後、シャッフルの正当性を証明するためのコミットメントを統合した統合コミットメントを生成して統合シャッフル正当性検証装置に送信し、統合シャッフル正当性検証装置から挑戦値を受信すると、挑戦値に対応する統合レスポンスを生成して統合シャッフル正当性検証装置に送信し、統合置換証明コミットメントから復号統合置換証明コミットメントを生成して統合シャッフル正当性検証装置に送信し、統合シャッフル正当性検証装置と通信することで、復号統合置換証明コミットメントの正当性を証明し、

上記統合シャッフル正当性検証装置は、

挑戦値を生成すると、挑戦値を証明統合装置に送信し、証明統合装置との通信により取得したデータから、ミックスネット出力暗号文がミックスネット入力暗号文の順番を入れ替えて再暗号ィ匕したものである力否かを調べることで、ミックスネットの処理が正しく行われた力否かを判定した結果を出力する、こととしてもよい。

[0018] 本発明の統合シャッフル正当性証明装置では、統合シャッフル正当性証明装置は順序数が自分より前の装置力も受け取る置換蓄積コミットメントに自装置の置換証明文を付加している。そのため、順序数の順に置換蓄積コミットメントに各統合シャツフル正当性証明装置の置換証明文が蓄積され、シャッフルを行う全ての装置のシャツフルの正当性を証明する情報がまとめられる。その結果、まとめられた情報力全体のシャッフルの検証を効率的に行うことが可能となる。

[0019] 本発明の証明統合装置は、複数の統合シャッフル正当性証明装置のそれぞれと通信を行って、各装置でのシャッフルの正当性の情報を一つにまとめることで、ミックスネット全体を一つのシャッフルとみなして処理することが可能となる。また、本発明の統合シャッフル正当性検証装置では、シャッフルの正当性に関する情報を証明統合装置から受信して検証すればょ、ため、従来のように複数の統合シャッフル正当性証明装置との間でデータをやりとりしなくてすむ。さらに、本発明のミックスシステムでは、これら 3つの装置の効果を有している。

[0020] よって、本発明によれば、複数のミキサーがシャッフルを行うミックスネットの正当性の検証を行うときに、検証者の必要とする計算量がミキサーの数、すなわち、行われるシャッフルの回数に依存しなくなる。これは検証者の負担を軽くすることができるため、ミキサーの数を増やすことを容易にし、より強い匿名性を持ったミックスネットを構成できる。

図面の簡単な説明

[0021] [図 1]図 1は従来の技術（1)の構成を説明するための図である。

[図 2]図 2は従来の技術 (2)の構成を説明するための図である。

[図 3]図 3は本発明の実施例 1の統合シャッフル正当性証明装置の構成を示す図である。

[図 4]図 4は本発明の実施例 2の証明統合装置の構成を示す図である。

[図 5]図 5は本発明の実施例 3の統合シャッフル正当性検証装置の構成を示す図である。

[図 6]図 6は本発明の実施例 4のミックスネットシステムの構成を示すブロック図である符号の説明

[0022] 300 統合シャッフル正当性証明装置

400 証明統合装置

500 統合シャッフル正当性検証装置

600 ミックスネットシステム

発明を実施するための最良の形態

[0023] 本発明のミックスネットシステムの実施例について図面を参照して説明する。以下の実施例では、楕円 ElGamal暗号を使った例に即して説明する。この例に限らず、離散対数問題の難、巡回群であればょ、。

はじめに、本発明にて前提となる事項力順に説明して、く。

「記号」

M (X)を E上の点をなす k行 n列の行列とする。

k, n

Xは楕円 E、 Zあるいは ElGamal暗号文の空間 ECの場合を考える。ただし、 ECの点

q

は Eの点二つからなり、 M (EC) =M (E)である。

k, n k, 2n

今ここで、 A M (X)とするとき、 Aの (i, j)成分を Aと記す。

k, n l]

また、 B E M (Y)とするとき、 ABは k行 m列の行列で、その（i, j)成分を、（AB) ij

n, m

=∑ ⁿA Bと定義する。

g = l ig gj

[0024] この定義において、乗算は、 X, Yが共に Zであれば Z上の乗算とし、 Xが Zで、 Y

q q q 力 ¾であれば、楕円曲線のスカラー倍として定義する。一方、加算は、 X, Yが共に Z

q であれば Z上の加算とし、 Xが Zで、丫カ¾であれば、楕円曲線の加算として定義す

q q

る。

今ここで、 A, B≡M (X)に対して、 A(§)Bを (A(§)B) =Α Βと定義する。 [0025] [楕円 ElGamal公開鍵暗号方式]

楕円 ElGamal暗号方式は、公開鍵暗号系に属する暗号方式である。最初に、関係 q mod3 = 2となる素数を qとし、位数が qの楕円曲線を Eとし、 Eの生成元を Gとし、 Eの単位元を Oとする。すなわち、任意の E上の点 Pは、 [q]P = 0を満たす。ここで、 [X] Gは、 Gの X倍点を表す。

楕円 ElGamal公開鍵暗号方式は次の三つのアルゴリズムからなる。

「鍵生成アルゴリズム」

乱数が入力され、秘密鍵 Xを Zの要素ランダムに選び、公開鍵 Mを M= [x]Gを計算して求め、秘密鍵 Xと公開鍵 Mを出力する。

「暗号化アルゴリズム」

平文 ME Eと公開鍵 Mと乱数とが入力され、 sを Zの要素ランダムに選び、暗号文を C= (G , M ) = ( [s]G, M+ [s]M)と計算し、これを出力する。

「復号アルゴリズム」

暗号文 Cと秘密鍵 Xが入力され、復号文 M' =M — [x]Gを出力する。復号アルゴリズムの出力 M，が暗号化された平文 Mに一致することは、 M，=M— [x]G =M+ [ s]M— [x] [s]G = M+ [s]M- [s]M = Mから明らかである。

「再暗号アルゴリズム」

暗号文 (G が入力され、ランダムに選ばれた Zqの要素 tを用いて、再暗号文（ G， , M， ) = ( [t]G + G , [s]M + M )

を出力する。（G^, と（G^ の復号結果は同じになる。

[0026] [再暗号の記号]

C≡M (EC)、 Yを ElGamal暗号文の公開鍵とする。このとき、 Y * C E M (EC) を、（Y* C) 力の Yを用いて再暗号したものとなるものとする。

また、 0 EM (Ζ )である場合、 Υ* 0 EM (EC)は、（Υ* 0 )が（【0 ]G)に対して Yを用いて再暗号したものとなるものとする。

C' EM (EC)である場合、 C + C，EM (EC)は、（C + C，）が Cと C，の復号文の E上での和を暗号化したものとする。

「秘密鍵分散と分散復号」秘密鍵が yであり、公開鍵が Y=[y]Gであるときに、秘密鍵 yが分散所持されているとする。すなわち、 y=∑ V ⁾mod

qが成り立ち、各 y^(K)のそれぞれが別個に所持されている。本実施例では、この y^(K) を分散された秘密鍵と呼ぶ。

このとき、公開鍵 Yによる暗号文 (G , M )を完全に復号するには、 Mを各復号用の秘密鍵を用いて計算した値力も [y^(K)]Gを順に引いていく操作を、全ての κに関して行う。

[y ⁾]Gを秘密鍵 y ⁾による分散復号の結果と呼ぶ。

「ミックスネットシステムとミキサー」

ミックスネットシステムは複数のミキサーを有する構成である。本発明では、ミキサーの数をえとする。ミックスネットシステムに用いる ElGamal暗号方式の公開鍵を Mとし、これをミックス用の公開鍵とする。ミックスネットシステムに入力される暗号文の列がミックスネット入力暗号文を構成する。

「ミキサー」

このミキサーには 1から Xまでの順番が付けられている。 κ番目のミキサーを Ρ^(κ)と記す。また、 κを順序数と呼ぶ。

「ミックスネット入力暗号文」

ミックスネットに入力される k個の暗号文を、 (G, M), 1=1, . . . , kとする。それぞれの暗号文の各要素は Eの元である。

G⁽¹⁾ EM (E)をその（i, 1)成分が Gである列ベクトル (k行 1列の行列）とし、 M⁽¹⁾

k, 1 i

M (E)をその（i, 1)成分が Mである列ベクトル (k行 1列の行列）とする。

k, 1 i

「ミックスネット出力暗号文」

ミックスネットから出力される k個の復号文を、 (C , M), 1=1, ... , kとする。それぞれの復号文の各要素は Eの元である。

G^U+1) M (E)をその（i, 1)成分が G，である列ベクトル (k行 1列の行列）とし、 M⁽

k, 1 i

λ⁺¹⁾≡Μ (Ε)をその（i, 1)成分が M，である列ベクトル (k行 1列の行列）とする。

k, 1 i

これらは k個の暗号文（G, M), i=l, . . . , kを、ランダムに選ばれた Zの要素である s (1=1, . . . , k)と、ミックス用公開鍵 Mで（[s]G + G, [s]M + M), i=l, . . . , kと再暗号化し、さらにそれらの順番を入れ替えたものである。この操作をシャッフルと呼ぶ。

[0028] 「置換行列」

置換行列について説明する。「置換行列」を、各行各列に 0でない成分が唯一存在し、その値が Z上の 1である k行 k列の正方行列とする。このような置換行列の集合を PM (Z )と表す。 ≡PM (Z )の逆行列を φ *と表す。

k, k q k, k q

≡PM (Z )の例として、

4, 4 q

0, 1, 0, 0

0, 0, 0, 1

0, 0, 1, 0

1, 0, 0, 0

があげられる。

「各ミキサーの入出力」

各ミキサーは統合シャッフル正当性証明装置により実現される。

[0029] 次に、本実施形態のミックスネットシステムは、入力されるデータをシャッフルする統合シャッフル正当性証明装置と、シャッフルによる同一変換知識証明及び置換証明をまとめる証明統合装置と、まとめられた証明の正当性を検証するための統合シャツフル正当性検証装置とを有する構成である。統合シャッフル正当性証明装置は複数設けられている。統合シャッフル正当性証明装置の個数をえとする。統合シャッフル正当性証明装置と証明統合装置が通信回線で接続され、証明統合装置と統合シャッフル正当性検証装置が通信回線で接続されている。以下に各構成について説明する。

実施例 1

[0030] 本発明のミックスネットシステムの一部となる統合シャッフル正当性証明装置につ!ヽての一構成例を、図 3を参照して説明する。本実施例におけるミックスネットシステムは、 λ個のミキサーを有する構成であり、 k個の暗号文をシャッフルするものとする。

[0031] 統合シャッフル正当性証明装置 300は、外部の他の装置とデータを送受信するためのインターフェース部を含む入力装置及び出力装置と、データを保存するための記憶装置と、各部を制御する制御装置とを有するサーバで構成される。制御装置には、プログラムにしたがって所定の処理を実行する CPU (Central

Processing Unit)と、プログラムを格納するためのメモリが設けられている。

[0032] 図 3に示すシャッフル装置 301、同一変換知識証明コミットメント装置 309、第一置換証明コミットメント装置 310、第一置換証明コミットメント逆送装置 311、第二置換証明コミットメント装置 312、第二置換証明コミットメント逆送装置 313、第三置換証明コミットメント装置 314、レスポンス生成装置 315、置換証明コミットメント統合装置 316、及び分散復号証明装置 317は、 CPUがプログラムを実行することで、サーバ内に仮想的に構成される。

[0033] 統合シャッフル正当性証明装置 300には、自装置が実現するミキサーの順番を表す番号である順序数 305となる κと、シャッフルする暗号文の個数 kと、楕円曲線 Eを表すパラメタ一と、 Eの生成子 GEE = M (E)とが入力される。また、 E上力ランダムに選ばれた点による疑似公開鍵 306となる Fとミックス用公開鍵 307aとなる ME E が統合シャッフル正当性証明装置 300に入力される。これらの情報は記憶装置に格納され、全てのステップのいずれにおいても利用可能となる。入力される暗号文はミックス用公開鍵 307aで暗号ィ匕されているものとする。

[0034] また、順序数 305の κが入力された統合シャッフル正当性証明装置 300の秘密鍵 308¾y(^K) ezとする。そして、 Y=∑ " [y ⁾]GeE = M (E)をコミットメント用公開鍵 307bとする。図 3に示す公開鍵 307は、上記ミックス用公開鍵 307a及びコミットメント用公開鍵 307bを含むものである。順序数 305の κが入力された統合シャツフル正当性証明装置 300に y >と Yが入力される。統合シャッフル正当性証明装置 3 00には乱数 303が入力される。これらの情報も記憶装置に格納される。

[0035] 統合シャッフル正当性証明装置 300に入力される上述の κ , k, Μ, F, y ⁾, Y及び乱数 303に関しては、その入力を明示的に図に示さないが、各ステップで記憶装置から自由に読み出すことが可能である。なお、 Οは Εの無限遠点 F' ⁽¹⁾ =G' ⁽¹⁾ = M ，^ω=οとする。

[0036] [シャッフル装置 301]

二つの k成分列ベクトルである入力暗号文列 302として、（G(^K), M ⁾)≡ (M (E ) , M (E) )が証明統合装置 400から入力される。次に、ランダムな k行 k列の置換 k, 1

行列 φ (^K) EPM (Ζ )を、乱数 303を用いて生成する。次に、ランダムな k成分列べ k, k q

タトル (k行 1列行列） 0 (^K) EM (Ζ )を、乱数 303を用いて生成する。

k, 1 q

[0037] Φ ^(κ)、 θ ^(κ)は入力された乱数より一意的に作られるため、入力された乱数にあらかじめ含まれていたと考える。すなわち、以下の装置において、統合シャッフル正当性証明装置 300に入力された乱数を用いれば、 φ及び 0のような乱数力作られたデータは、同一のものを再度生成することができる。

[0038] 次に、二つの k成分列ベクトルである出力暗号文列 304として、（G"⁺¹), M ⁺¹⁾) ≡ (M (E), M (E))を (G"⁺¹), Μ^(κ+1)) = ([ ^(κ)]0^(κ) + [θ^(κ)]0, [φ^(κ)]Μ^(κ) k, 1 k, 1

+ [ Θ )]M)と生成する。出力暗号文列 304は入力暗号文列 302の各暗号文を再喑号したうえで、それらの順番を入れ替えた (置換した)ものとなっている。統合シャツフル正当性証明装置 300は、出力暗号文列 304として、 (G ⁺¹⁾, M ⁺¹⁾)≡ (M (E k, 1

), M (E))を証明統合装置 400に出力する。

k, 1

[0039] [シャッフル証明に関する装置（309〜317)の説明始まり]

[同一変換知識証明コミットメント装置 309]

同一変換コミットメント基底 318として、 F(^K)EM (E)と、 F，(^K)EE = M (E)と、 k, k,

G^,iK)≡E = M (E)と、 M'(^K)EE = M (E)とが証明統合装置 400から入力される

。次に、ランダムな k成分行ベクトル (1行 k列行列） φ ^(K)EM (Z )を、乱数 303を用

1， k q

いて生成する。次に、ランダムな Z上の点 (1行 1列行列） p ⁾≡Z =M (Z )を、乱 q q 1, 1 q 数 303を用いて生成する。

[0040] 次に、 F(^K+1)EM (E)を F(^K+1)= ([ φ ⁾]F^(K) + [ Θ ⁾]F)と生成する。

k, 1

次に、 F，^(K+1)EM (Z )と、 G，^(K+1)EM (Z )と、 M，^(K+1)EM (Z )とを、 F，^(K+1) = (^K)]F(O ^q)]F + F，(^K)、 ^{Q Q}

G，(^K+1) = (^K)]G(^K) + [_P(^K)]G + G，(^K)、

Μ，^(κ+1) = [φ(^κ)]Μ(^κ) + [_Ρ(^κ)]Μ + Μ，^(κ)、

と生成する。統合シャッフル正当性証明装置 300は、 F ⁺¹⁾EM (E)と、 F' ⁺¹⁾e k, 1

E = M (E)と、 G，、^K+1)EE = M (E)と、 M，(^K+1)EE = M (E)とを、同一変換知識証明コミットメント 319として証明統合装置 400に出力する。 [0041] [第一置換証明コミットメント装置 310]

C ^ω≡Μ (EC)は、その全ての成分 0EZの Yによる暗号文であるとする。第一

1 k, 1 q

置換蓄積コミットメント 320として C ⁾≡M (EC)が証明統合装置 400から入力さ

1 k, 1

れる。次に、 C ⁺¹⁾≡M (EC)を、 C (^κ+1)= (φ(^κ)φ(^κ)*) *Y+(C (^κ)[φ(^κ)*])* Yと生成する。統合シャッフル正当性証明装置 300は、 C ^iK+1)≡M (EC)を第一

1 k, 1

置換証明コミットメント 321として証明統合装置 400に出力する。

[第一置換証明コミットメント逆送装置 311]

C ^U+1) = C ^U+1)≡M (EC)とする。第一逆置換蓄積コミットメント 322として、 C

2 1 k, 1 2 +¹⁾ M (EC)が証明統合装置 400から入力される。次に、 C (^K) EM (EC)を k, 1 2 k, 1

、 c ^(K)= (C ^(κ+1)[ ^(κ)1) *Yと生成する。統合シャッフル正当性証明装置 300は、 C

2 2

) M (EC)を第一逆置換証明コミットメント 323として証明統合装置 400に出力

2 k, 1

する。また、これを記憶装置に保存しておく。

[第二置換証明コミットメント装置 312]

C ⁽¹⁾=C ^ω≡Μ (EC)とする。第二置換蓄積コミットメント 324として、 C (^K)EM

3 2 k, 1 3 k

(EC)が証明統合装置 400から入力される。次に、 C ⁺¹⁾≡M (EC)を、 C ⁺¹⁾

，1 3 k, 1 3

=(c ^(Κ)®[ ^(Κ)]) *Y+(C ^(κ)[ *Y ャッフル

2 3 ^(κ)1) と生成する。統合シ正当性証明装置 300は、 C ⁺¹⁾≡M (EC)を第二置換証明コミットメント 325として証明統合

3 k, 1

装置 400に出力する。

[0042] [第二置換証明コミットメント逆送装置 313]

C ^U+1) = C ^U+1)≡M (EC)とする。第二逆置換蓄積コミットメント 326として、 C

4 3 k, 1 4 +¹⁾ M (EC)が証明統合装置 326から入力される。次に、 C (^K) EM (EC)を k, 1 4 k, 1

、 c ⁾= (C ^(κ+1)[ ^(κ)1) *Yと生成する。統合シャッフル正当性証明装置 300は、 C

4 4

) M (EC)を、第二逆置換証明コミットメント 327として証明統合装置 400に出

4 k, 1

力する。また、これを記憶装置に保存しておく。

[第三置換証明コミットメント装置 314]

C

(EC)が証明統合装置 400から入力される。次に、 C ⁺¹⁾ M (EC)を、 C ⁺¹⁾

，1 5 k, 1 5

=(c ^(κ)®[ ^(κ)]) *Y+(C ^(κ)[ ^(κ)1) *Yと生成する。統合シャッフル正当性証明装置 300は、 C ⁺¹⁾≡M (EC)を第三置換証明コミットメント 329として証明統合

5 k, 1

装置 400に出力する。

[0043] なお、同一変換知識証明コミットメントが同一変換証明文に相当し、置換証明コミツトメントが置換証明文に相当する。

[0044] [レスポンス生成装置 315]

挑戦値 r"⁺¹) EM (Z )が統合シャッフル正当性検証装置 300によりランダムに

1, k q

選ばれるとする。また、 r' "⁺¹⁾=0とする。なお、挑戦値の生成方法については実施例 2及び実施例 3で詳細に説明する。挑戦値 330として、 r(^K+1)EM (Z )と!

1, k q

≡M (Z )=Zとが証明統合装置 400から入力される。

1， 1 q q

[0045] 次に、 r")EM (Z )tr^{, )}≡M (Z ) =Zとを

1. k q 1， 1 q q

r = (r φ ) + φ 、

r = (r Θ ) + β +r 、

と生成する。統合シャッフル正当性証明装置 300は、 r^(K) M (Z )と r，（^K) M ( l, k q 1, 1

Z )=Zとをレスポンス 331として証明統合装置 400に出力する。

q q

[0046] [置換証明コミットメント統合装置 316]

λ番目の統合シャッフル正当性証明装置 300の出力した第一置換証明コミットメント 321の C "⁺¹)EM (EC)と、第二置換証明コミットメント 325の C EM (E

1 k, 1 2 k, 1

C)と、第三置換証明コミットメント 329の C ^(λ+1)≡Μ (EC)とが入力される。 λ番目

3 k, 1

の統合シャッフル正当性証明装置 300に入力された挑戦値として r"⁺¹⁾EM (Z ) l, k q と _r'"+i)E_M (Z ) =Zとが入力される。

1， 1 q q

[0047] 次に、上述の第一置換証明コミットメント 321、第二置換証明コミットメント 325および第三置換証明コミットメント 329をまとめた統合置換証明コミットメントの暗号文 C ≡

6

M (EC)を、 C =[r^U+1)]C ^U+1) + [r^U+1)®r^U+1)]C ^U+1) + [1]C と生成

1, 1 6 1 2 3 する。ただし、上式の [1]とは、 M (Z )の要素で、その成分が全て 1EZであるもの

1. k q q である。また、 Cの第一成分を C とし、第二成分を C とする。

6 6， 1 6, 2

[0048] 次に、秘密鍵 308の y^(K)を用いて、この統合置換証明コミットメントの暗号文の分散復号を行い、分散復号の結果 332として C (^K)EEを、 C ⁾ = [y ⁾]C と計算

6, 2 6, 2 6, 2 して証明統合装置 400に出力する。 [0049] [分散復号証明装置 317]

ランダムな _y，（^{K )} ezを選び、 C [y' ⁾]C を生成して証明統合装置 400 q ， ⁾ =

6, 2 6, 2

に出力する。復号証明の挑戦値として s EZが証明統合装置 400から入力される。復 q

号証明のレスポンスとして t(^K) eZを、 t(^K) =y")s+y，（と生成して証明統合装置 4 q

00に出力する。

[シャッフル証明に関する装置の説明終わり]

[0050] 本実施例の統合シャッフル正当性証明装置は、順序数が自分より前の装置から受け取る置換蓄積コミットメントに自装置の置換証明文を付加している。順序数の順に置換蓄積コミットメントに各統合シャッフル正当性証明装置の置換証明文が蓄積されることで、シャッフルを行う全ての装置のシャッフルの正当性を証明する情報がまとめられる。その結果、まとめられた情報力全体のシャッフルの検証を効率的に行うことが可能となる。

実施例 2

[0051] 本発明のミックスネットシステムの一部となる証明統合装置についての一構成例を図 4を参照して説明する。

[0052] 証明統合装置 400は、外部の他の装置とデータを送受信するためのインターフ一ス部を含む入力装置及び出力装置と、データを保存するための記憶装置と、各部を制御する制御装置とを有するサーバで構成される。制御装置には、プログラムにしたがって所定の処理を実行する CPUと、プログラムを格納するためのメモリが設けられている。

[0053] 図 4に示すミックス装置 405、同一変換知識証明コミットメント統合装置 409、第一置換証明コミットメント統合装置 410、第一置換証明コミットメント統合逆送装置 411、第二置換証明コミットメント統合装置 412、第二置換証明コミットメント統合逆送装置 4 13、第三置換証明コミットメント統合装置 414、コミットメント装置 415、レスポンス統合装置 416、統合置換証明コミットメント復号装置 417、及び統合分散復号証明装置 4 18は、 CPUがプログラムを実行することで、サーバ内に仮想的に構成される。

[0054] 証明統合装置 400は、インターフェース部を介して、実施例 1で説明した複数の統合シャッフル正当性証明装置 300、及び統合シャッフル正当性検証装置 500と通信可能に接続される。なお、統合シャッフル正当性証明装置 300の個数を実施例 1と同様に λとする。

[0055] 証明統合装置 400には、複数の暗号文からなる、ミックスネット入力暗号文 401が入力される。この暗号文の個数を kとする。証明統合装置 400は、 λ個の統合シャツフル正当性証明装置 300と通信することで、ミックスネット入力暗号文 401から、その順序を入れ替えた値に再暗号を行ったデータであるミックスネット出力暗号文 402を生成し、これを統合シャッフル正当性検証装置 500に出力する。

[0056] さらに、証明統合装置 400は、 λ個の統合シャッフル正当性証明装置 300と通信することで、証明のために必要なデータを準備する。そして、このデータを利用して、統合シャッフル正当性検証装置 500と通信することで、統合シャッフル正当性検証装置 500にミックスネットとして正当性を証明する。以下に各構成要素につ、て詳細に説明する。

[入力装置]

証明統合装置 400に、楕円曲線 Εを指定するパラメタ一と、 Εの生成元 GEEと、ミックス用公開鍵 307aの ME Eと、疑似公開鍵 306の FEEと、コミットメント用公開鍵 3 07bの YEEと、ミックス用公開鍵 307aの Mで暗号ィ匕されたミックスネット入力暗号文 401として（G, M), 1=1, . . . , ke(E, E)^kと、ランダムに選ばれる共通参照基底 403として (F , . . . , F ) EE"kと、乱数 404とが入力される。これらの情報は記憶装

1 k

置に格納される。

[0057] [ミックス装置 405]

1番目の入力暗号文列となる（G⁽¹), M⁽¹)) e (M (E))²について、 G⁽¹)EM (E

k, 1 k, 1

)をその（i, 1)成分が Gである列ベクトル (k行 1列の行列）として生成し、 M⁽¹⁾

i k, 1

(E)をその（i, 1)成分が Mである列ベクトル (k行 1列の行列）として生成する。そして、 κ = 1から κ = λまで以下に示す手順を繰り返す。

[繰り返し処理始め]

κ番目の入力暗号文列 406として (G(^K), Μ(^Κ)) Ε(Μ (Ε))²を、 κ番目の統合シ

k, 1

ャッフル正当性証明装置 300に送る。 κ番目の統合シャッフル正当性証明装置 300 力も κ番目の出力暗号文列 407として (G^(K+1), M ⁺¹⁾) e(M (E))²を受信する κ = λでなければ、（G(^K+1), M ⁺¹⁾)e(M (E) )²を κ +1番目の入力暗号文列

k, 1

とする。

[繰り返し処理終わり]

λ番目の出力暗号文列 (G"⁺¹⁾, M^{U + 1)})e(M (E)) ²からミックスネット出力暗号

k, 1

文 402となる（G，， M，）, i=l, ... , ke (E, E)^kを、 G，が G"⁺¹)の i番目の成分となり、 ⁺¹⁾の i番目の成分となるように生成する。証明統合装置はミックスネッ

ト出力暗号文 402を出力し、出力暗号文 402を統合シャッフル正当性検証装置に送信する (符号 408)。

[証明統合に関する装置 409〜418]

[同一変換知識証明コミットメント統合装置 409]

1番目の同一変換コミットメント基底 419の（F⁽¹) EM (E) , F'⁽¹⁾£M (E) , G，（

k, 1 1, 1

^1]≡M (E), M'⁽¹⁾£M (E))を共通参照基底 403から次のように生成する。 F⁽¹) ≡M (E)をその（i, 1)成分が Fである列ベクトル (k行 1列の行列）として、 F' ⁽¹⁾= k, 1 i

0≡M (E), G^,(1)=0≡M (E), Μ^,ω=0≡Μ (E)とする。そして、 κ = 1 カゝら κ = λまで以下に示す手順を繰り返す。

[繰り返し処理始め]

κ番目の同一変換コミットメント基底 419を (F(^K)EM (E), F' ⁾£M (E), G，（

k, 1 1, 1

^K)≡M (E), M' ⁾£M (E))として、 K番目の統合シャッフル正当性証明装置 300に送る。 κ番目の統合シャッフル正当性証明装置 300から、 κ番目の同一変換知識証明コミットメント 420として (F(^K+1)EM (E), F^{, +1)}≡M (E), G，（^K+1)

k, 1 1, 1

≡M (E), M' ⁺¹⁾£M (E))を受信する。

κ = λでなければ、（F(^K+1)EM (Ε), F^{, +1)}≡M (Ε), G^{, +1)}≡M (Ε) , M^{, +1)}≡M (Ε))を κ +1番目の同一変換知識証明コミットメント 420とする。

[繰り返し処理終わり]

λ番目の同一変換知識証明コミットメント 420の (F(^K+1)EM (E), F^{, +1)}≡M

k, 1 1, 1

(E), G^{, +1)}≡M (E), M^{, +1)}≡M (E))を、統合同一変換コミットメントとする。同一変換知識証明コミットメント統合装置 409は統合同一変換コミットメント 434をコミットメント装置 415に出力する。

[0059] [第一置換証明コミットメント統合装置 410]

1番目の第一置換蓄積コミットメント 421となる C ^ω≡Μ (EC)を、その全ての成

1 k, 1

分が 0EZの Yによる暗号文であるとする。そして、 κ = 1から κ = λまで以下に示す手順を繰り返す。

[繰り返し処理始め]

κ番目の第一置換蓄積コミットメント 421を、 C ⁾≡M (EC)として、 κ番目の統

1 k, 1

合シャッフル正当性証明装置 300に送る。 κ番目の統合シャッフル正当性証明装置 300から κ番目の第一置換証明コミットメント 422の C ⁺¹⁾≡M (EC)を受信する

1 k, 1 κ = λでなければ、 C (^{K +1}) EM (EC)を κ + 1番目の第一置換証明コミットメント

1 k, 1

422とする。

[繰り返し処理終わり]

λ番目の第一置換証明コミットメント 422の C ^{i K +1)}≡M (EC)を、統合第一置換証

1 k, 1

明コミットメントとする。第一置換証明コミットメント統合装置 410は統合第一置換証明コミットメント 435をコミットメント装置 415に出力する。

[0060] [第一置換証明コミットメント統合逆送装置 411]

λ番目の第一逆置換蓄積コミットメント 423を C ^{U + 1)} = C ^{i l +1)}≡M (EC)とする

2 1 k, 1

。そして、 κ = λ力ら κ = 1まで以下に示す手順を繰り返す。

[繰り返し処理始め]

κ番目の第一逆置換蓄積コミットメント 423を C ⁺¹⁾≡M (EC)として κ番目の統

2 k, 1

合シャッフル正当性証明装置 300に送る。 κ番目の統合シャッフル正当性証明装置 300から κ番目の第一逆置換証明コミットメント 424の C ⁾≡M (EC)を受信する

2 k, 1 κ = 1でなければ、 C (^{K )} EM (EC)を κ—1番目の第一逆置換蓄積コミットメント 4

2 k, 1

24とする。

[繰り返し処理終わり]

1番目の第一逆置換証明コミットメント 424となる C ^ω≡Μ (EC)を統合第一逆置換証明コミットメントとする。

[0061] [第二置換証明コミットメント統合装置 412]

1番目の第二置換蓄積コミットメント 425を C ⁽¹⁾ =C ^ω≡Μ (EC)とする。そして、

3 2 k, 1

κ = 1から κ = λまで以下に示す手順を繰り返す。

[繰り返し処理始め]

κ番目の第二置換蓄積コミットメント 425を C ⁾≡M (EC)として κ番目の統合シ

3 k, 1

ャッフル正当性証明装置 300に送る。 κ番目の統合シャッフル正当性証明装置 300 力も κ番目の第二置換証明コミットメント 426の C ^{i K + 1)}≡M (EC)を受信する。

3 k, 1

κ = λでなければ、 C (^{K +1}) EM (EC)を κ + 1番目の第二置換証明コミットメント

3 k, 1

426とする。

[繰り返し処理終わり]

λ番目の第二置換証明コミットメント 426の C ^{i K +1)}≡M (EC)を、統合第二置換証

3 k, 1

明コミットメントとする。第二置換証明コミットメント統合装置 412は統合第二置換証明コミットメント 436をコミットメント装置 415に出力する。

[0062] [第二置換証明コミットメント統合逆送装置 413]

λ番目の第二逆置換蓄積コミットメント 427を C ^{U + 1)} = C ^{i l +1)}≡M (EC)とする

4 3 k, 1

[繰り返し処理始め]

κ番目の第二逆置換蓄積コミットメント 427を C ⁺¹⁾≡M (EC)として κ番目の統

4 k, 1

合シャッフル正当性証明装置 300に送る。 κ番目の統合シャッフル正当性証明装置 300から κ番目の第二逆置換証明コミットメント 428の C ⁾≡M (EC)を受信する

4 k, 1 κ = 1でなければ、 C (^{K )} EM (EC)を κ—1番目の第二逆置換蓄積コミットメント 4

4 k, 1

28とする。

[繰り返し処理終わり]

1番目の第二逆置換証明コミットメント 428となる C ^ω≡Μ (EC)を統合第二逆置

4 k, 1

換証明コミットメントとする。

[0063] [第三置換証明コミットメント統合装置 414] 1番目の第三置換蓄積コミットメント 429を C ⁽¹⁾=C ^ω≡Μ (EC)とする。そして、

5 4 k, 1

κ = 1から κ = λまで以下に示す手順を繰り返す。

[繰り返し処理始め]

κ番目の第三置換蓄積コミットメント 429を C ⁾≡M (EC)として κ番目の統合シ

5 k, 1

ャッフル正当性証明装置 300に送る。 κ番目の統合シャッフル正当性証明装置 300 力も κ番目の第三置換証明コミットメント 430の C ⁺¹⁾≡M (EC)を受信する。

5 k, 1

κ = λでなければ、 C (^{K +1}) EM (EC)を κ + 1番目の第三置換証明コミットメント

5 k, 1

430とする。

[繰り返し処理終わり]

λ番目の第三置換証明コミットメント 430となる C ^iK+1)≡M (EC)を統合第三置換

5 k, 1

証明コミットメントとする。第三置換証明コミットメント統合装置 414は統合第三置換証明コミットメント 437をコミットメント装置 415に出力する。

[0064] [コミットメント装置 415]

証明統合装置 400は、統合同一変換コミットメント 434と、統合第一置換証明コミツトメント 435と、統合第二置換証明コミットメント 436と、統合第三置換証明コミットメント 437とをまとめて統合コミットメント 508を生成して、統合シャッフル正当性検証装置 5 00に送信する。

[0065] [レスポンス統合装置 416]

統合シャッフル正当性検証装置 500から統合挑戦値 509として c"⁺¹⁾EM (Z )

1, k q が入力される。統合挑戦値 509を用いて λ番目の挑戦値 431となる (r"⁺¹⁾, _r'^U+1) )≡(M (Z ), M (Z ))を以下のようにして生成する。ただし、 r"⁺¹⁾=c"⁺¹⁾, r，

1. k q 1， 1 q

"⁺¹)=0とする。 K = λ力ら K =1まで以下に示す手順を繰り返す。

[繰り返し処理始め]

κ番目の挑戦値 431を r(^K+1)EM (Z )と r，（^K+1)EM (Z )=Zとして κ番目の

1. k q 1， 1 q q

統合シャッフル正当性証明装置 300に送信する。 κ番目の統合シャッフル正当性証明装置 300から κ番目のレスポンス 432の r^(K)£M (Z)とr，（^κ)eM (Z ) =Zと

1. k q 1， 1 q q を受信する。

κ =1でなければ、 r^(K) EM (z;^r，（^K)EM (Z ) =Zとを κ 1番目の挑戦値 431とする。

[繰り返し処理終わり]

1番目のレスポンス 432の r⁽¹) EM (Z ) tv^{, (1)}≡M (Z ) =Zとを統合レスポンス

1. k q 1， 1 q q

510とする。レスポンス統合装置 416は統合レスポンス 510を統合シャッフル正当性検証装置 500に送信する。

[0066] [統合置換証明コミットメント復号装置 417]

統合置換証明コミットメントの暗号文 C = [r^{U +1)}]C ^{U +1)} + [r^{U +1)}®r^{U +1)}]C ^{U +}

6 1 2

" + [i]c を生成する。ここで、 Cの第一成分を C とし、第二成分を C とす

3 6 6, 1 6, 2 る。 κ = 1から κ = λまでの統合シャッフル正当性証明装置 300と通信して、それぞれの κに関する Cの分散復号の結果 433として C (^{Κ )} ΕΕを得る。これらを合わせ

6 6, 2

て、 ΗΕΕを、 H = C —∑ ^XC ")と生成する。統合置換証明コミットメント復号

6, 1 κ =1 6, 2

装置 417は、この Hを復号統合置換証明コミットメント 511として統合シャッフル正当性検証装置 500に送信する。

[0067] [統合分散復号証明装置 418]

統合分散復号証明装置 418は、以下のようにして、 κ = 1から κ = λまでの統合シャッフル正当性証明装置 300と通信すること (符号 442)と、統合シャッフル正当性検証装置 500と通信すること (符号 443)で、統合シャッフル正当性検証装置 500に対して、上記 Ηが正当な統合置換証明コミットメントの暗号文の復号文であることを証明する。

[0068] κ = 1から κ = λまでの統合シャッフル正当性証明装置 300と通信して、各統合シャッフル正当性証明装置力 C' ⁾≡Zを受け取る。続いて、分散復号の証明の

6, 2 q

コミットメント C， =∑ "C ")を生成して、統合シャッフル正当性検証装置 50

6, 2 κ =1 6, 2

0に送信する。また、統合シャッフル正当性検証装置 500より復号証明の挑戦値 Zを受け取ると、これを κ = 1から κ = λまでの統合シャッフル正当性証明装置 300 に送信する。続いて、 κ = 1から κ = λまでの統合シャッフル正当性証明装置 300と通信して、各統合シャッフル正当性証明装置 300から復号証明のレスポンス t ⁾ を受け取る。そして、復号証明の統合レスポンス t=∑ ^{( κ )}を生成して、統合シャッフル正当性検証装置 500に送信する。 [0069] 本実施例の証明統合装置は、複数の統合シャッフル正当性証明装置のそれぞれと通信を行って、各装置でのシャッフルの正当性の情報を一つにまとめることで、ミックスネット全体を一つのシャッフルとみなして処理することが可能となる。

実施例 3

[0070] 本発明のミックスネットシステムの一部となる統合シャッフル正当性検証装置につ!ヽての一構成例を図 5を参照して説明する。

[0071] 統合シャッフル正当性検証装置 500は、外部の他の装置とデータを送受信するためのインターフェース部を含む入力装置及び出力装置と、データを保存するための記憶装置と、各部を制御する制御装置とを有するサーバで構成される。制御装置には、プログラムにしたがって所定の処理を実行する CPUと、プログラムを格納するためのメモリが設けられている。

[0072] 図 5に示すコミットメント受信装置 502、挑戦値生成装置 503、レスポンス受信装置 504、複合統合置換証明コミットメント受信装置 505、分散復号検証装置 506、及び検証装置 507は、 CPUがプログラムを実行することで、サーバ内に仮想的に構成される。また、統合シャッフル正当性検証装置 500は、実施例 2と同様に、インターフエ一ス部を介して証明統合装置 400と通信可能に接続される。以下に、各構成要素について詳細に説明する。

[入力装置]

楕円曲線 Eを指定するパラメタ一と、 Eの生成元 GEEと、ミックス用公開鍵 307aの MEEと、疑似公開鍵 306の FEEと、コミットメント用公開鍵 307bの YEEとが入力される。また、ミックス用公開鍵 307aの Mで暗号ィ匕されたミックスネット入力暗号文 401 となる（G, M), 1=1, . . . , ke(E, E)^kと、ミックスネット出力暗号文 402の（G， , M，）， i=l, . . . , k≡(E, E)^kと、共通参照基底 403の（F , . . . , F ) EE'kと、乱 i 1 k 数 501とが入力される。これらの情報は記憶装置に格納される。

[0073] [コミットメント受信装置 502]

証明統合装置 400より統合同一変換コミットメント (F(^K+1)EM (E), F^{, +1)} M

k, 1

(E), G^{, +1)}≡M (E), M' ⁺¹⁾£M (E))と、統合第一置換証明コミットメント C ⁺¹⁾ M (EC)と、統合第二置換証明コミットメント C ⁺¹⁾ M (EC)と、統合第三置換証明コミットメント C ^(K+1)≡M (EC)とを含む統合コミットメント 508を

5 k, 1

受信する。

[挑戦値生成装置 503]

ランダムな統合挑戦値 509として c"⁺¹⁾eM (Z )を生成して、証明統合装置 40

1, k q

0に送信する。

[レスポンス受信装置 504]

証明統合装置 400より統合レスポンス 510の r("EM (Z )と r， ^ω≡M (Z ) =Z

1, k q 1, k q qを受信する。

[復号統合置換証明コミットメント受信装置 505]

証明統合装置 400より復号統合置換証明コミットメント 511の HEEを受信する。

[0074] [分散復号検証装置 506]

証明統合装置 400と通信すること (符号 443)で、証明統合装置 400から受信した復号統合置換証明コミットメント 511の Hにより正当な統合置換証明コミットメントの喑号文の復号文であることを、以下のようにして証明する。

証明統合装置 400より分散復号の証明のコミットメント C' EEを受け取る。復号証

6， 2

明の挑戦値としてランダムな sEZを生成して、証明統合装置 400に送信する。復号証明の統合レスポンスとして t≡ Zを証明統合装置 400から受信する。

[0075] [検証装置 507]

暗号文 C =[r^U+1)]C ^U+1) + [r^U+1)®r^U+1)]C ^U+1) + [1]C を生成する。

6 1 2 3 ここで、 Cの第一成分を C とし、第二成分を C とする。次の式が成り立つことを確

6 6， 1 6, 2

認する。

[_r，（i)]_F+ [_r(i)]_F(i)_=F，"+i)₊ [_c"+i) _F"+i)

[t]C =[s] (C -H)+C 、

6, 2 6, 1 6, 2

[∑ ^( ¹))³— (_Ci ⁽¹))³}]G=H、の 5式である。

[0076] これらが成り立てば、ミックスネット出力暗号文がミックスネット入力暗号文力も正しく生成され、「正当」であるものと判定する。一方、これらが成り立たなければ、ミックスネット出力暗号文がミックスネット入力暗号文から正しく生成されておらず、「不当」であると判定する。そして、その判定結果を検証結果 512として出力装置から出力する。

[0077] 本実施例の統合シャッフル正当性検証装置は、シャッフルの正当性に関する情報を証明統合装置力も受信して検証すればよいため、従来のように複数の統合シャツフル正当性証明装置との間でデータをやりとりしなくてすむ。

実施例 4

[0078] 本発明の一実施例をなす統合シャッフル正当性証明装置、証明統合装置、及び統合シャッフル正当性検証装置がなす、検証可能なミックスネットシステム 600につヽて、図 6を参照して説明する。

[0079] ミックスネットシステム 600は、実施例 1で説明した統合シャッフル正当性証明装置 3 00と、実施例 2で説明した証明統合装置 400と、実施例 3で説明した統合シャッフル正当性検証装置 500とを有する。統合シャッフル正当性証明装置 300は複数設けられている。ここでは、統合シャッフル正当性証明装置の個数をえとし、統合シャッフル正当性証明装置に符号 300— 1〜300— λを記す。

[0080] 各統合シャッフル正当性証明装置 300と証明統合装置 400はインターフェース部を介して相互に通信可能である。また、証明統合装置 400と統合シャッフル正当性検証装置 500はインターフェース部を介して相互に通信可能である。

[0081] 統合シャッフル正当性証明装置 300— 1〜300—えのそれぞれには、自装置が実現するミキサーの順番を表す順序数 κと、シャッフルする暗号文の個数 kと、楕円曲線 Eを表すパラメタ一と、 Eの生成子 G EE = M (E)と、ミックス用公開鍵 Mと、各統合シャッフル装置の秘密鍵 y^{( K )}EZと、コミットメント用公開鍵 Yと、乱数とが入力される。

[0082] 証明統合装置 400には、楕円曲線 Eを指定するパラメタ一と、 Eの生成元 G EEと、ミックス用の公開鍵 M EEと、疑似公開鍵 FEEと、コミットメント用公開鍵 YEEと、ミツタス用公開鍵 Mで暗号ィ匕されたミックスネット入力暗号文 401の（G , M ) , 1= 1, . . . , k≡ (E, E) ^kと、共通参照基底の（F , . . . , F ) EE'kとが入力される。

1 k

[0083] 統合シャッフル正当性検証装置 500には、楕円曲線 Eを指定するパラメタ一と、 Eの生成元 G EEと、ミックス用の公開鍵 M E Eと、疑似公開鍵 FEEと、コミットメント用公開鍵 YEEと、ミックス用公開鍵 Μで暗号ィ匕されたミックスネット入力暗号文（ M.) , i= l, . . . , ke (E, E)^kと、ミックスネット出力暗号文（G， , M' ) , i= l, . . . , k≡ (E, E)^kと、共通参照基底の (F , . . . , F ) EE'kと、乱数とが入力される。

1 k

[0084] 証明統合装置 400は、全ての統合シャッフル正当性証明装置 300— 1〜300— λ と通信を行うことにより（符号 601— 1〜601— λ )、ミックスネット出力暗号文 402を生成する（符号 602)。そして、ミックスネット出力暗号文 402を統合シャッフル正当性検証装置 500に送信する（符号 603)。統合シャッフル正当性検証装置 500はミックスネット出力暗号文 402を証明統合装置 400から受信する。

[0085] 続いて、証明統合装置 400は、全ての統合シャッフル正当性証明装置 300— 1〜3 00—えと通信を行うことにより（符号 601— 1〜601— λ )、統合コミットメントを生成する。そして、統合コミットメントを統合シャッフル正当性検証装置 500に送信する。統合シャッフル正当性検証装置 500は統合コミットメントを証明統合装置 400から受信すると、統合挑戦値を生成して証明統合装置 400に送信する。

[0086] 証明統合装置 400は、統合シャッフル正当性検証装置 500から統合挑戦値を受信すると、統合シャッフル正当性証明装置 300— 1〜300—えのそれぞれに挑戦値を送信し、それぞれからレスポンスを受信する（符号 601—1〜601—え）。そして、統合シャッフル正当性証明装置 300— 1〜300— λ力受信したレスポンスをまとめて統合レスポンスを生成する。続いて、証明統合装置 400は、統合レスポンスを統合シャッフル正当性検証装置 500に送信する。

[0087] その後、証明統合装置 400は、全ての統合シャッフル正当性証明装置 300— 1〜3 00—えと通信を行うことにより（符号 601— 1〜601— λ )、復号統合置換証明コミツトメントを生成する。そして、復号統合置換証明コミットメントを統合シャッフル正当性検証装置 500に送信する。統合シャッフル正当性検証装置 500は復号統合置換証明コミットメントを証明統合装置 400から受信する。

[0088] さらに、証明統合装置 400は、統合シャッフル正当性検証装置 500と通信することで (符号 604)、復号統合置換証明コミットメントの正当性を証明する。ただし、この証明のために、証明統合装置 400は全ての統合シャッフル正当性証明装置 300— 1〜 300—えと通信を行う。 [0089] 統合シャッフル正当性検証装置 500は、証明統合装置 400との通信で得られた全てのデータから、上記ミックスネット出力暗号文 402が、上記ミックスネット入力暗号文 401の順番を入れ替えて再暗号ィ匕したものであるか否かを判定する。すなわち、正しくミックスネットの処理が行われているカゝ否かを判定した検証結果 512を出力する。

[0090] 本発明のミックスネットシステムは、ミックスネット全体を一つのシャッフルと見なして、この一つのシャッフルの正当性の証明を複数のミキサーが協力して検証者に対して出力することにより、検証者の必要な計算量力ミキサーの数によらず一定の大きさにすることが可能となる。

[0091] また、本発明のミックスネットシステムは、ミックスネット全体を一つのシャッフルと見なして、この一つのシャッフルの正当性の証明を複数のミキサーが協力して検証者に対して出力している。そのため、複数のミキサーがシャッフルを行うミックスネットの正当性の検証を行うときに、検証者の必要とする計算量がミキサーの数、すなわち行われるシャッフルの回数に依存しなくなる。その結果、検証者の負担を軽くすることができる。そのため、ミキサーの数を増やすことを容易にし、より強い匿名性を持ったミックスネットを構成できるとヽぅ効果を奏する。

[0092] この効果は電子投票システムに用いると効果的である。例えば、従来の技術（3)の電子投票の管理センターが証明統合装置を操作し、各ミキサーが統合シャッフル正当性検証性装置を用いる。統合シャッフル正当性検証装置は個別の検証者と通信してその電子投票の正当性を証明してもょ、が、統合シャッフル正当性検証装置の出力する統合挑戦値と復号証明の挑戦値の代りに、ハッシュ関数の出力を用いることで、統合シャッフル正当性検証装置と通信を行うことなぐ証明作業を完遂することができる。

[0093] この証明作業において、ノ、ッシュ関数を用いずに、検証者と通信して証明していれば検証者に送ったであろうデータを、ミックスネットの証明文として出力する。このミツタスネットの証明文を用いれば、誰でもミックスネットの正当性を検証することができる。よって、管理センターはこの証明文を投票の正当性を検証したい人、例えば全ての投票者、に配布し、その正当性を証明することができる。この配布した証明文の大きさは、本発明を適用した場合、ミックスネットを構成するミキサーの数に依存しない。そのため、小さな計算パワーしか所持しない多くの投票者でも、ミキサーの数が多い場合にさえ、容易に電子投票の正当性を検証することができる。

また、本発明は上記実施例に限定されることなぐ発明の範囲内で種々の変形が可能であり、それらも本発明の範囲内に含まれることはいうまでもない。

Claims

請求の範囲

[1] 順番を表す整数である順序数 _κに対応して設けられ、自装置と該順序数の異なる統合シャッフル正当性証明装置と協調し、ミックスネット入力暗号文が入力されると、該ミックスネット入力暗号文をシャッフルした結果であるミックスネット出力暗号文とシャッフルの正当性を証明するための同一変換知識証明コミットメント及び置換証明コミツトメントとを出力し、その後、認証のための挑戦値を受信すると、該挑戦値に対応するレスポンスを出力する単一のシャッフル正当性証明装置の一部を構成する複数の統合シャッフル正当性証明装置であって、

コミットメント用公開鍵が入力され、前記順序数が 1から κ 1までの前記統合シャツフル正当性証明装置による置換証明文を含む置換蓄積コミットメントを外部から受信すると、該置換蓄積コミットメントに自装置による置換証明文を付加した置換証明コミットメントを該コミットメント用公開鍵で暗号ィ匕して外部に送信する置換証明コミットメント装置を有する統合シャッフル正当性証明装置。

[2] 順番を表す整数である順序数 κに対応して設けられた複数の統合シャッフル正当性証明装置と協調することで、ミックスネット入力暗号文が入力されると、該ミックスネット入力暗号文をシャッフルした結果であるミックスネット出力暗号文とシャッフルの正当性を証明するための同一変換知識証明コミットメント及び置換証明コミットメントとを出力し、その後、認証のための挑戦値を受信すると、該挑戦値に対応するレスポンスを出力する単一のシャッフル正当性証明装置として動作する証明統合装置であって前記順序数が 1から前記複数の統合シャッフル正当性証明装置の数である最大数まで割り振られた前記複数の統合シャッフル正当性証明装置のそれぞれとの通信手段と、

前記統合シャッフル正当性証明装置より前記順序数が 1から _κまでの置換証明文を含む置換証明コミットメントを受信すると、順序数が κ + 1の統合シャッフル正当性証明装置に対して、置換証明文を要求するために該置換証明コミットメントを置換蓄積コミットメントとして送信する置換証明コミットメント統合装置と、

を有する証明統合装置。 [3] 請求項 1に記載の統合シャッフル正当性証明装置であって、

前記置換証明コミットメント装置が 1又は複数設けられ、

複数の暗号文からなる、前記順序数 κが割り振られた入力暗号文列と、ミックス用公開鍵と乱数とが入力されると、該入力暗号文列をシャッフルした後、複数の暗号文力もなる、該順序数 κが割り振られた出力暗号分列を出力するシャッフル装置と、共通参照基底より求められ、前記順序数 κが割り振られた同一変換コミットメント基底と、該順序数 κが割り振られた前記入力暗号分列と乱数とが入力されると、順序数 κが割り振られた同一変換知識証明コミットメントを生成して出力する同一変換知識証明コミットメント装置と、

前記順序数 κが割り振られた挑戦値と乱数とが入力されると、該順序数 κが割り振られたレスポンスを出力するレスポンス生成装置と、

前記複数の統合シャッフル正当性証明装置の数である最大数が割り振られた前記置換証明コミットメントと、該最大数が割り振られた挑戦値と、前記順序数 _Kが割り振られた、分散された秘密鍵とが入力されると、前記置換証明コミットメントを統合した統合置換証明コミットメントの暗号文を生成し、該暗号文の前記分散された秘密鍵による分散復号を出力する置換証明コミットメント統合装置とを有し、

前記 1又は複数の置換証明コミットメント装置は、

前記コミットメント用公開鍵と前記順序数 _Κが割り振られた前記置換蓄積コミットメントと乱数とが入力されると、該コミットメント用公開鍵による暗号文力もなる、該順序数 κが割り振られた前記置換証明コミットメントを生成して出力する、統合シャッフル正当性証明装置。

[4] 請求項 2に記載の証明統合装置であって、

前記置換証明コミットメント統合装置が 1又は複数設けられ、

ミックス用公開鍵とコミットメント用公開鍵と擬似公開鍵と共通参照基底と、前記ミツタス用の公開鍵で暗号ィ匕された複数の暗号文力なる前記ミックスネット入力暗号文とが入力され、

シャッフルの正当性を検証するための統合シャッフル正当性検証装置との通信手段と、前記複数の統合シャッフル正当性証明装置の順序数 κに関して 1から前記最大数まで、前記ミックスネット入力暗号文から順序数 _Kが割り振られた入力暗号文列を生成し、該順序数 _Κを割り振った入力暗号文列を順序数 _Κが割り振られた前記統合シャッフル正当性証明装置に送信し、順序数 _Κが割り振られた出力暗号文列を受信すると、該出力暗号分列を順序数 κ + 1が割り振られた入力暗号分列とする処理を行つて、前記順序数が最大数の統合シャッフル正当性証明装置から受信した出力暗号文列から前記ミックスネット出力暗号文を生成するミックス装置と、

前記複数の統合シャッフル正当性証明装置の順序数 κに関して 1から前記最大数まで、前記共通参照基底力も順序数 κが割り振られた同一変換コミットメント基底を生成し、該順序数 κを割り振った同一変換コミットメント基底を順序数 κが割り振られた前記統合シャッフル正当性証明装置に送信し、順序数 κが割り振られた同一変換知識証明コミットメントを受信すると、該同一変換知識証明コミットメントを順序数 _Κ + 1が割り振られた同一変換コミットメント基底とする処理を行って、前記順序数が最大数の統合シャッフル正当性証明装置力受信する同一変換知識証明コミットメントを統合同一変換コミットメントとして生成する同一変換知識証明コミットメント統合装置と前記置換証明コミットメントが統合された統合置換証明コミットメントと前記統合同一変換コミットメントとを統合コミットメントとして前記統合シャッフル正当性検証装置に送信するコミットメント装置と、

前記統合シャッフル正当性検証装置より前記挑戦値を統合した統合挑戦値を受信すると、該統合挑戦値より、前記順序数の最大数 + 1が割り振られた挑戦値を生成し、前記複数の統合シャッフル正当性証明装置の順序数 κに関して前記順序数の最大数 + 1から 1まで、順序数 κ + 1を割り振った挑戦値を順序数 κが割り振られた前記統合シャッフル正当性証明装置に送信し、該順序数 κが割り振られたレスポンスを受信すると、該レスポンスを順序数 κが割り振られた挑戦値とする処理を行って、前記順序数 1が割り振られたレスポンスカゝら統合レスポンスを生成するレスポンス統合装置と、

前記順序数の最大数が割り振られた置換証明コミットメントと、該最大数が割り振られた挑戦値とが入力されると、該置換証明コミットメントを統合した統合置換証明コミットメントの暗号文を生成し、前記複数の統合シャッフル正当性証明装置のそれぞれと通信を行って、各統合シャッフル正当性証明装置から、順序数 Kが割り振られた、分散された秘密鍵による前記統合置換証明コミットメントの暗号文の分散復号結果を受信すると、該分散復号結果力も統合置換証明コミットメントの暗号文の復号結果を生成し、該復号結果を対応する統合シャッフル正当性検証装置に送信する統合置換証明コミットメント復号装置とを有し、

前記 1又は複数の置換証明コミットメント統合装置は、

前記複数の統合シャッフル正当性証明装置の順序数 κに関して 1から前記最大数まで、順序数 κを割り振った置換蓄積コミットメントを生成し、該順序数 κを割り振つた置換蓄積コミットメントを順序数 κが割り振られた前記統合シャッフル正当性証明装置に送信し、順序数 κが割り振られた置換証明コミットメントを受信すると、該置換証明コミットメントを順序数 κ + 1が割り振られた置換蓄積コミットメントとする処理を行つて、前記順序数が最大数の統合シャッフル正当性証明装置力受信する置換証明コミットメントから前記統合置換証明コミットメントを生成する、証明統合装置。

順番を表す整数である順序数 κに対応して設けられた複数の統合シャッフル正当性証明装置と協調してシャッフルの正当性を証明する証明統合装置に対して通信するための手段を有する統合シャッフル正当性検証装置であって、

シャッフルの正当性を証明するための統合同一変換コミットメント及び統合置換証明コミットメントを前記証明統合装置より受信するコミットメント受信装置と、

ランダムな数の列である挑戦値を生成して前記証明統合装置に送信する挑戦値生成装置と、

前記複数の統合シャッフル正当性証明装置の数である最大数が前記順序数として割り振られた置換証明コミットメントと、該最大数が割り振られた挑戦値とが入力されると、前記統合置換証明コミットメントの暗号文を生成し、前記証明統合装置と通信することで、該統合置換証明コミットメントの暗号文の分散復号の結果力も求められた復号統合置換証明コミットメントが正しく生成された力否かを検証する復号統合置換証明コミットメント受信装置と、

前記証明統合装置より統合レスポンスを受信し、該証明統合装置より復号統合置換証明コミットメントを受信するレスポンス受信装置と、

前記統合同一変換コミットメントと前記統合置換証明コミットメントと前記挑戦値と前記統合レスポンスと前記復号統合置換証明コミットメントとから、前記ミックスネット出力暗号文が前記ミックスネット入力暗号文力正しく生成されている力否かを示す検証結果を出力する検証装置と、

を有する統合シャッフル正当性検証装置。

請求項 3に記載の統合シャッフル正当性証明装置であって、

前記置換証明コミットメント装置が複数設けられ、該置換証明コミットメント装置は、前記コミットメント用公開鍵と順序数 κが割り振られた第一置換蓄積コミットメントと乱数とが入力されると、該コミットメント用公開鍵による暗号文力もなる、順序数 _Kが割り振られた第一置換証明コミットメントを生成して出力する第一置換証明コミットメント装置と、

前記コミットメント用公開鍵と順序数 κが割り振られた第一逆置換蓄積コミットメントと乱数とが入力されると、順序数 κが割り振られた第一逆置換証明コミットメントを生成して出力する第一置換証明コミットメント逆送装置と、

前記コミットメント用公開鍵と順序数 κが割り振られた第二置換蓄積コミットメントと乱数とが入力されると、コミットメント用公開鍵による暗号文力もなる、順序数 _Κが割り振られた第二置換証明コミットメントを生成して出力する第二置換証明コミットメント装置と、

前記コミットメント用公開鍵と順序数 κが割り振られた第二逆置換蓄積コミットメンと乱数とが入力されると、順序数 κが割り振られた第二逆置換証明コミットメントを生成して出力する第二置換証明コミットメント逆送装置と、

前記コミットメント用公開鍵と順序数 κが割り振られた第三置換蓄積コミットメントと乱数とが入力されると、コミットメント用公開鍵による暗号文力もなる、順序数 _Κが割り振られた第三置換証明コミットメントを生成して出力する第三置換証明コミットメント装置とを含み、

乱数が入力されると、前記統合置換証明コミットメントの暗号文の前記分散された秘密鍵による分散復号の正当性を証明するためのコミットメントを出力し、該統合置換証明コミットメントの暗号文の該分散された秘密鍵による分散復号の正当性を証明するための挑戦値を受信すると、該統合置換証明コミットメントの暗号文の該分散された秘密鍵による分散復号の正当性を証明するためのレスポンスを、該分散された秘密鍵、該乱数、及び該挑戦値より生成して出力する分散復号証明装置を有する統合シャッフル正当性証明装置。

請求項 4記載の証明統合装置であって、

前記置換証明コミットメント統合装置が複数設けられ、該置換証明コミットメント統合装置は、

前記複数の統合シャッフル正当性証明装置の順序数 κに関して 1から前記最大数まで、順序数 κが割り振られた第一置換蓄積コミットメントを生成し、該順序数 κを割り振った第一置換蓄積コミットメントを前記統合シャッフル正当性証明装置に送信し、順序数 κが割り振られた第一置換証明コミットメントを受信すると、該第一置換証明コミツトメントを順序数 κ + 1が割り振られた第一置換蓄積コミットメントとする処理を行つて、前記順序数が最大数の統合シャッフル正当性証明装置から受信する第一置換証明コミットメントを統合第一置換証明コミットメントとして生成する第一置換証明コミツトメント統合装置と、

前記複数の統合シャッフル正当性証明装置の順序数 κに関して前記最大数から 1 まで、順序数 κを割り振った第一逆置換蓄積コミットメントを、該順序数 _Kが割り振られた前記統合シャッフル正当性証明装置に送信し、該順序数 _Κが割り振られた第一逆置換証明コミットメントを受信すると、該第一逆置換証明コミットメントを順序数 κ— 1が割り振られた第一逆置換蓄積コミットメントとする処理を行って、順序数 1が割り振られた第一逆置換証明コミットメントから統合第一逆置換証明コミットメントを生成する第一置換証明コミットメント統合逆送装置と、

前記複数の統合シャッフル正当性証明装置の順序数 κに関して 1から前記最大数まで、順序数 κが割り振られた第二置換蓄積コミットメントを生成し、該順序数 κを割り振った第二置換蓄積コミットメントを前記統合シャッフル正当性証明装置に送信し、順序数 Kが割り振られた第二置換証明コミットメントを受信すると、該第二置換証明コミツトメントを順序数 κ + 1が割り振られた第二置換蓄積コミットメントとする処理を行つて、前記順序数が最大数の統合シャッフル正当性証明装置から受信する第二置換証明コミットメントを統合第二置換証明コミットメントとして生成する第二置換証明コミツトメント統合装置と、

前記複数の統合シャッフル正当性証明装置の順序数 κに関して前記最大数から 1 まで、順序数 κを割り振った第二逆置換蓄積コミットメントを、該順序数 _Kが割り振られた前記統合シャッフル正当性証明装置に送信し、該順序数 _Κが割り振られた第二逆置換証明コミットメントを受信すると、該第二逆置換証明コミットメントを順序数 κ— 1が割り振られた第二逆置換蓄積コミットメントとする処理を行って、順序数 1が割り振られた第二逆置換証明コミットメントから統合第二逆置換証明コミットメントを生成する第二置換証明コミットメント統合逆送装置と、

前記複数の統合シャッフル正当性証明装置の順序数 κに関して 1から前記最大数まで、順序数 κが割り振られた第三置換蓄積コミットメントを生成し、該順序数 κを割り振った第三置換蓄積コミットメントを前記統合シャッフル正当性証明装置に送信し、順序数 κが割り振られた第三置換証明コミットメントを受信すると、該第三置換証明コミツトメントを順序数 κ + 1が割り振られた第三置換蓄積コミットメントとする処理を行つて、前記順序数が最大数の統合シャッフル正当性証明装置から受信する第三置換証明コミットメントを統合第三置換証明コミットメントとして生成する第三置換証明コミツトメント統合装置とを含み、

前記複数の統合シャッフル正当性証明装置のそれぞれ力前記統合置換証明コミットメントの暗号文の前記分散された秘密鍵による分散復号の正当性を証明するためのコミットメントを受信すると、該コミットメントから前記統合置換証明コミットメントの暗号文の復号の正当性を証明するためのコミットメントを生成し、該コミットメントを前記統合シャッフル正当性検証装置に送信し、前記統合置換証明コミットメントの暗号文の前記分散された秘密鍵による分散復号の正当性を証明するための挑戦値を前記統合シャッフル正当性検証装置に送信し、前記複数の統合シャッフル正当性証明装置のそれぞれから前記統合置換証明コミットメントの暗号文の前記分散された秘密鍵による分散復号の正当性を証明するためのレスポンスを受信すると、該レスポンス力前記統合置換証明コミットメントの暗号文の復号の正当性を証明するための統合レスポンスを生成し、該統合レスポンスを前記統合シャッフル正当性検証装置に送信する統合分散復号証明装置を有する証明統合装置。

[8] 請求項 5に記載の統合シャッフル正当性検証装置であって、

前記証明統合装置から前記統合置換証明コミットメントの暗号文の復号の正当性を証明するためのコミットメントを受信すると、該統合置換証明コミットメントの暗号文の前記分散された秘密鍵による分散復号の正当性を証明するための挑戦値を生成して該証明統合装置に送信し、該証明統合装置力該統合置換証明コミットメントの喑号文の復号の正当性を証明するための統合レスポンスを受信すると、該統合置換証明コミットメントの暗号文力も前記復号統合置換証明コミットメントが正しく生成されているか否かを検証する分散復号検証装置を有する統合シャッフル正当性検証装置。

[9] 順番を表す整数である順序数 _Kに対応して設けられ、自装置と該順序数の異なる統合シャッフル正当性証明装置と協調し、ミックスネット入力暗号文が入力されると、該ミックスネット入力暗号文をシャッフルした結果であるミックスネット出力暗号文とシャッフルの正当性を証明するための同一変換知識証明コミットメント及び置換証明コミツトメントとを出力し、その後、認証のための挑戦値を受信すると、該挑戦値に対応するレスポンスを出力する単一のシャッフル正当性証明装置の一部を構成する複数の統合シャッフル正当性証明装置と、該複数の統合シャッフル正当性証明装置と協調することで動作する証明統合装置と、該証明統合装置に対して通信するための手段を備えた統合シャッフル正当性検証装置とを有するミックスネットシステムであって前記統合シャッフル正当性証明装置は、

コミットメント用公開鍵が入力され、前記順序数が 1から κ 1までの前記統合シャツフル正当性証明装置による置換証明文を含む置換蓄積コミットメントを外部から受信すると、該置換蓄積コミットメントに自装置による置換証明文を付加した置換証明コミットメントを該コミットメント用公開鍵で暗号ィ匕して外部に送信する置換証明コミットメント装置を有し、

前記証明統合装置は、

前記順序数が 1から前記複数の統合シャッフル正当性証明装置の数である最大数まで割り振られた前記複数の統合シャッフル正当性証明装置のそれぞれとの通信手段と、

前記統合シャッフル正当性証明装置より前記順序数が 1から _κまでの置換証明文を含む前記置換証明コミットメントを受信すると、順序数が κ + 1の統合シャッフル正当性証明装置に対して、置換証明文を要求するために該置換証明コミットメントを前記置換蓄積コミットメントとして送信する置換証明コミットメント統合装置と、を有し、

前記統合シャッフル正当性検証装置は、

を有する、ミックスネットシステム。前記証明統合装置は、

前記ミックスネット入力暗号文が入力され、前記複数の統合シャッフル正当性証明装置のそれぞれと通信を行うことで、ミックスネット出力暗号文を取得し、該ミックスネット出力暗号文を前記統合シャッフル正当性検証装置に送信し、その後、シャッフルの正当性を証明するためのコミットメントを統合した統合コミットメントを生成して該統合シャッフル正当性検証装置に送信し、該統合シャッフル正当性検証装置力挑戦値を受信すると、該挑戦値に対応する統合レスポンスを生成して該統合シャッフル正当性検証装置に送信し、前記統合置換証明コミットメントから前記復号統合置換証明コミットメントを生成して該統合シャッフル正当性検証装置に送信し、該統合シャツフル正当性検証装置と通信することで、該復号統合置換証明コミットメントの正当性を証明し、

前記統合シャッフル正当性検証装置は、

前記挑戦値を生成すると、該挑戦値を前記証明統合装置に送信し、該証明統合装置との通信により取得したデータから、前記ミックスネット出力暗号文が前記ミックスネット入力暗号文の順番を入れ替えて再暗号ィ匕したものである力否かを調べることで、ミックスネットの処理が正しく行われたか否かを判定した結果を出力する、ミックスネットシステム。