WO2016031033A1

WO2016031033A1 - データ保持確認方法、装置

Info

Publication number: WO2016031033A1
Application number: PCT/JP2014/072669
Authority: WO
Inventors: 尚宜佐藤; 雅之吉野
Original assignee: 株式会社日立製作所
Priority date: 2014-08-29
Filing date: 2014-08-29
Publication date: 2016-03-03

Abstract

ユーザ端末は、自然数ｐとして予め記憶された秘密鍵を用いて検証対象データから証蹟を算出しておき、データ保持証明する要求を送信する際には、シードとしての乱数を生成し、生成した乱数を提供サーバへ送信し、提供サーバは、受信した乱数と保管している検証対象データから第１の証拠データを算出し、算出した第１の証拠データをユーザ端末へ送信し、ユーザ端末は、シードとしての乱数と証蹟から擬似乱数生成器を用いて第２の証拠データを算出し、受信した第１の証拠データの公開パラメータＮによる剰余と第２の証拠データを比較した結果に基づいて、提供サーバが検証対象データを保管しているか否かを判定する。

Description

データ保持確認方法、装置

　本発明は、データ保持証明方法およびデータ保持証明装置の技術に関する。

　情報システムの開発の効率化、運用管理費の低減などを目的に、近年、情報システムを自分で保持せず、外部業者に委託するクラウドと呼ばれる運用管理形態が脚光を浴びている。このようなクラウドによる運用は、効率化やコスト低減というメリットを有する反面、情報システムを管理する業者が情報システムを利用する者とは異なるため、情報を外部業者に預託することに不安が生じる。そのため、事前にデータ損失の検知策として暗号技術を活用し、データの信頼性を確保する必要がある
　しかし、単純にデータ損失を検知する為にデータをダウンロードする方法では、通信量が膨大になるためにネットワーク負荷が高く、情報システム管理者に預託した全てのデータの確認ができなくなる。また、これは当初の目的であるコスト低減などに反しており、対策技術が求められる。

　このような対策技術のうち、サーバ／クライアントモデルにおいて、クライアントが、サーバにデータを預託しながら、サーバに対し、情報の保持確認処理を依頼できる暗号化方式が知られている。例えば、非特許文献１には、このようなデータ保持処理を実現する方式が記載されている。非特許文献１に記載の技術では、サーバ運営事業者がデータを保持しない場合、偽証が不可能であることが安全性証明と呼ばれる理論を用いて証明されている。このような安全な暗号化方式を用いることにより、クラウド業者などの不正を検知しながら、かつサーバに預託したデータの保持を安全に証明するための技術が開示されている。

Giuseppe Ateniese, Randal Burns, Reza Curtmola, Joseph Herring, Lea Kissner, Zachary Peterson, Dawn Song：Provable Data Possession at Untrusted Stores. Proceedings of 14th ACM Conference on Computer and Communications Security (CCS 2007).

　しかしながら、非特許文献１に記載された技術を、データ保持証明に用いる場合、データと同等の通信量が発生してしまい、ネットワークへの負荷が高い。

　また、上記のサーバ／クライアントモデルにおいて、クライアントが利用できる計算資源が限られている場合、例えば、省電力性が求められる携帯電話やスマートフォン等の携帯型モバイルPC、または、カード形状で利用される小型マイコンやRFIDなどをクライアントと想定したモデルでは、クライアントの計算量を極力抑える必要がある。しかしながら、非特許文献１に記載された技術を、データ保持証明に用いる場合、クライアントの計算量が大きくなってしまう。実際、管理サーバ（前述の例ではサーバ）にクライアントがデータ保持証明プロトコルの要求をした場合、サーバ・クライアントの計算量が膨大になる（１ギガバイトのファイルデータがOSのファイルフォーマット等に従い１キロバイト毎に管理する場合、サーバのデータ保持を証明するためには、クライアントは100万回の逆元べき乗算が必要となる）。

　このような背景に鑑みて本発明がなされたのであり、本発明は、サーバが管理するデータよりも少ない通信量で、また、クライアントおよびサーバの負担する計算量を小さくしながらサーバがデータ保有を証明することを目的とする。

　開示するデータ保持証明システムは、ユーザ端末と、検証対象データを保持することをユーザ端末に証明する提供サーバとを含む。ユーザ端末は、予め記憶された秘密鍵を用いて検証対象データから証蹟を算出し、データをサーバに送信し、データ保持証明する要求を送信する際には、乱数を生成し、生成した乱数を提供サーバへ送信し、提供サーバは、乱数を受信し、受信した乱数から擬似乱数生成器と保管しているデータから第１の証拠データを算出し、算出した第１の証拠データをユーザ端末へ送信し、ユーザ端末は、第１の証拠データを受信し、乱数と証蹟から擬似乱数生成器を用いて第２の証拠データを算出し、第１の証拠データと第２の証拠データを比較し、の比較結果に基づいて、提供サーバが検証対象データを保管しているか否かを判定する。

　本発明によれば、計算量と通信量を抑えつつ、サーバが正しくデータを保有していることを証明することが可能となる。

本実施形態に係るデータ保持証明システムの構成例を示す図である。第一実施形態に係るユーザ端末の構成例を示す図である。第一実施形態に係るサービス提供サーバの構成例を示す図である。ユーザ端末、サービス提供サーバハードウェア構成例を示す図である。第一実施形態に係る公開パラメータの登録処理の手順を示すフローチャートである。第一実施形態に係る検証対象データの登録処理の手順を示すフローチャートである。第一実施形態に係る検証対象データの保有証明処理の手順を示すフローチャートである。第一実施形態に係る記憶部に格納されるデータ識別子と検証対象データを示す図である。

　次に、本発明を実施するための形態（「実施形態」という）について、適宜図面を参照しながら詳細に説明する。なお、実施形態において、同一の部材には原則として同一の符号を付け、繰り返しの説明は省略する。

　《システム構成》
図１は、本実施形態に係るデータ保持確認システムの構成例を示す図である。

　データ保持確認システムは、ユーザ端末200と、サービス提供サーバ（提供サーバ）300とがネットワーク100を介して互いに接続された構成となっている。例えば、あるサービス提供形態では、提供サーバ300はクラウド事業者に設置され、クラウド事業者のサービスを利用するユーザが持つユーザ端末が携帯電話などである。

　《第一実施形態》
　次に、図２～図８を参照して、本発明に係る第一実施形態を説明する。

　（ユーザ端末）
　図２は、第一実施形態に係るユーザ端末200の構成例を示す機能概略図である。
図示するように、ユーザ端末200は、データを処理する制御部210と、データを記憶する記憶部220と、情報を入力する入力部201と、情報を出力する出力部202と、外部装置とのデータの送受信を行う通信部203とを備える。

　制御部210は、全体処理部211と、自然数生成部212と、乱数生成部213と、基本演算部214とを備える。

　全体処理部211は、ユーザ端末200における処理を統括制御したり、入力部201を介して、受け付けた情報を記憶部220に格納したり、提供サーバ300との情報の送受信を制御する。

　また、全体処理部211は、データを出力部202に表示する処理を行ったり、記憶部220に格納されているデータを読み込み、それぞれ、自然数生成部212に自然数を生成させたり、乱数生成部213に乱数データを生成させたり、基本演算部214にデータの演算処理を行わせたりし、通信データや、ユーザ端末200の検証対象データや、証蹟や、データ識別子や、一時情報を、通信部203を介して、提供サーバ300（図１）へ送信する。

　自然数生成部212にビット長(128, 256, 512, 1024, 2048など)を入力することにより、任意のビット長の自然数を生成できる。

　乱数生成部213は、秘密鍵などを用いて擬似乱数を生成する。このとき、秘密鍵のデータ値は、乱数生成部213によって、新しいデータ値に更新され、再び、全体処理部211により記憶部220に格納される。なお、乱数生成部213は、温度、時間、電力量などの物理現象や、乱数生成アルゴリズムを用いて乱数を生成・出力してもよい。また、乱数生成部213へビット長を入力することにより、任意のビット長の乱数が生成できる。

　基本演算部214は、加減算、乗算、剰余算などの基本的な算術演算に関する処理を行う。

　記憶部220には、通信データと、秘密鍵と、公開パラメータと、一時情報とが格納されている。

　通信データは、保持証明の対象となる検証対象データと、検証対象データの保持を検証するための証蹟と、検証対象データを特定する情報であるデータ識別子を含む。

　検証対象データは、提供サーバ300へ送信されるものであり、送信後は削除されるものである。なお、検証対象データを送信後も削除しなくてよいが、本実施形態では、削除される場合を扱う。

　証積は、検証対象データの保持を検証する際に用いられるデータである。

　データ識別子は、データ保持の対象となる検証対象データを指定する際に用いられるデータである。

　秘密鍵は、証蹟を生成する際に用いられるデータであり、ユーザ端末200の素数生成部212で生成されるものである。

　公開パラメータは、データ保持の検証に用いられるデータである。

　一時情報は、制御部210での処理で一時的に必要となる情報が格納される。

　（提供サーバ）
　図３は、第一実施形態に係る提供サーバ300の構成例を示す機能概略図である。
図示するように、提供サーバ300は、データを処理する制御部310と、データを記憶する記憶部320と、情報を入力する入力部301と、情報を出力する出力部302と、外部装置とのデータの送受信を行う通信部303とを備える。

　制御部310は、全体処理部311と、基本演算部313と、を備える。

　全体処理部311は、提供サーバ300における処理を統括制御したり、入力部301を介して、受け付けた情報を記憶部320に格納したり、ユーザ端末200との情報の送受信を制御する。

　また、全体処理部311は、データを出力部302に表示する処理を行ったり、記憶部320に格納されているデータを読み込み、通信部303を介して、ユーザ端末200（図２）へ送信する。

　基本演算部313は、加減算などの基本的な算術演算に関する処理を行う。

　記憶部320には、検証対象データと、データ識別子と、秘密鍵と、公開パラメータと、一時情報とが格納されている。

　検証対象データは、ユーザ端末200から送信されたものである。

　公開パラメータは、検証対象データから、一時的な情報を作成する際に用いられるデータである。

　一時情報は、制御部310での処理で一時的に必要となる情報が格納される。

　（ハードウェア構成）
　図５は、ユーザ端末200、サービス提供者サーバであるコンピュータのハードウェア構成を示す図である。

　コンピュータ（つまり、ユーザ端末200、サービス提供者サーバ）は、ＣＰＵ（Central Processing Unit）401と、メモリ402と、ＨＤＤ(Hard Disk D
rive)等の外部記憶装置403と、ＣＤ（Compact Disk）等のデータを読み取るＣＤＤ（Compact Disk Drive）などの読書装置407と、キーボードやマウス等の入力装置406と、ディスプレイ等の出力装置405と、通信ネットワークに接続するためのＮＩＣ（Network Interface Card）等の通信装置404を有する一般的なＰＣ（Personal Computer）で実現される。

　図２～図４の各部210、211、212、213、214、310、311、313は、外部記憶装置403などに格納されているプログラムが、メモリに展開され、ＣＰＵによって実行されることにより具現化する。例えば、記憶部220、320は、ＣＰＵ401がメモリ402または外部記憶装置403を利用することにより実現可能であり、制御部210、310に含まれる各処理部は、外部記憶装置403に記憶されている所定のプログラムをメモリ402にロードしてＣＰＵ401で実行することで実現可能であり、入力部201、301は、ＣＰＵ501が入力装置506を利用することで実現可能であり、出力部202、302は、ＣＰＵ501が出力装置505を利用することで実現可能であり、通信部203、303は、ＣＰＵ401が通信装置404を利用することで実現可能である。

　《フローチャート》
　（公開パラメータの登録処理）
　図５は、第一実施形態に係る秘密鍵と公開パラメータの生成処理の手順を示すフローチャートである。この処理は、データの保有証明ができるよう、ユーザ端末200と提供サーバ300間で公開パラメータを共有する為に事前に行われる処理である。

　まず、入力部201を介して、秘密鍵と公開パラメータの設定情報がユーザ端末200に入力される（S501）。

　そして、自然数生成部212は、自然数ｐを生成し、秘密鍵として記憶部220に格納する（S502）。

　次に、公開パラメータとしてのデータブロック長ｔと、乱数を固定長に分割する際のデータ長ｓを記憶部220に記憶する（S503）。

　そして、全体処理部211は、公開パラメータｔ、ｓを通信データとして、提供サーバ300へ通信部203を介して、送信する（S504）。

　そして、通信部303を介して、提供サーバ300の全体処理部311は、通信データである公開パラメータｔを受信し（S505）、記憶部320へ格納する（S506）。

　また、全体処理部311は、無事に公開パラメータを受信し記憶部320へ格納できたかの情報を登録結果としてまとめ、通信データとして、ユーザ端末200へ通信部303を介して、送信する（S507）。

　そして、通信部203を介して、ユーザ端末200の全体処理部211は、通信データである登録結果を受信し（S508）、無事に提供サーバ300が公開パラメータを登録できていれば終了し、登録できていなければS504へ戻り、再送信処理を行う。

　（検証対象データの登録処理）
　図６は、第一実施形態および第二実施形態に係る検証対象データの登録処理の手順を示すフローチャートである。ここでは、第一実施形態に係る検証対象データの保有証明処理の手順を説明する。この処理は、ユーザ端末200が、後から検証対象データの保有証明ができるように、検証対象データ毎に証蹟を作成してから、提供サーバ300に検証対象データを預ける処理である。

　まず、入力部201を介して、提供サーバ300へ登録する検証対象データＭｉがユーザ端末200へ指定され（S601）、登録する検証対象データを特定するデータ識別子ｉが生成され、記憶部220へ格納される（S602）。

　そして、基本演算部214は、検証対象データＭｉをデータブロック長ｔのブロックに分割する：Ｍｉ＝||Ｍｉｊ、Ｍｉｊは長さｔビットのデータブロックである。

　そして基本演算部214は、秘密鍵ｐを読み出し、各データブロック各データブロックＭｉｊに対して、以下の式を満たすｍｉｊを算出し、記憶部220へ証蹟ｍｉｊとして格納する（S603）。

　（数１）
　ｍｉｊ = Ｍｉｊ　ｍｏｄｐ
　なお、ｍｏｄｐはｐで割った余りを求める計算であり、上式のｍｉｊは、データブロックＭｉｊをｐで割った余りである。

　そして、全体処理部211は、データ識別子ｉと検証対象データＭｉを通信データとして、提供サーバ300へ通信部203を介して、送信する（S604）。

　そして、通信部303を介して、提供サーバ300の全体処理部311は、通信データである検証対象データＭｉを受信し（S605）、記憶部320へ格納する（S606）。

　なお、データ識別子ｉと検証対象データＭｉは、組として記憶部320へ格納される（図８）。

　また、全体処理部311は、無事に検証対象データを受信し記憶部320へ格納できたかの情報を登録結果としてまとめ、通信データとして、ユーザ端末200へ通信部303を介して、送信する（S607）。

　そして、通信部203を介して、ユーザ端末200の全体処理部211は、通信データである登録結果を受信し（S608）、無事に提供サーバ300が検証対象データを登録できていれば終了し、登録できていなければS604へ戻り、再送信処理を行う。

　なお、Ｓ５０１からＳ５０８で説明した、ユーザ端末200と提供サーバ300間で公開パラメータを共有する処理と、Ｓ６０１からＳ６０８で説明した検証対象データの登録処理との順番は順不同でかまわない。

　（検証対象データの保有証明処理）
　図７は、第一実施形態および第二実施形態に係る検証対象データの保有証明処理の手順を示すフローチャートである。ここでは、第一実施形態に係る検証対象データの保有証明処理の手順を説明する。この処理は、ユーザ端末200が先に作成した証蹟を用い、提供サーバ300に検証対象データを送信させることなく、検証対象データを保持しているかを検証する処理である。

　まず、入力部201を介して、提供サーバ300の保有を確認したい検証対象データＭｉのデータ識別子iをユーザ端末200へ指定する（S701）。

　そして、乱数生成部213は、乱数Ｒを生成し（S702）、全体処理部211は、データ識別子iと乱数Ｒを通信データとして、提供サーバ300へ通信部203を介して、送信する（S703）。

　そして、通信部303を介して、提供サーバ300の全体処理部311は、通信データである乱数Ｒとデータ識別子ｉを受信し、記憶部320へ格納する（S704）。

　全体処理部311は、データ識別子ｉを読み込み、保有を証明すべき検証対象データＭｉを特定する（S705）。

　そして、基本演算部313は、公開パラメータｔ、ｓと検証対象データＭｉを読み出し、Ｍｉをデータブロック長Ｔのデータブロックに分割する：Ｍｉ＝||Ｍｉｊ
　また、基本演算部313は、乱数Ｒをデータ長ｓのブロックに分割する：Ｒ＝||Ｒｊ
　そして、基本演算部313は以下の式によりＳｉを算出し、記憶部320へ証拠データＳｉとして格納する（S706）。

　（数２）
　Ｓｉ = ΣＲｊ＊Ｍｉｊ
なお、Σはｊに関する和、＊乗算をあらわす。

　そして、全体処理部311は、証拠データＳｉを通信データとして、ユーザ端末200へ通信部303を介して、送信する（S707）。

　そして、通信部203を介して、ユーザ端末200の全体処理部211は、通信データである証拠データＳｉを受信する（S708）。

　そして、基本演算部214は、公開パラメータＮと証蹟ｍｉｊを読み出し、また乱数Ｒをデータ長ｓのブロックに分割する：Ｒ＝||Ｒｊ
　そして、基本演算部214は、以下の式を満たすｓｉを算出し、証拠データとして記憶部220へ格納する（S709）。

　（数３）
　ｓｉ = ΣＲｊ＊ｍｉｊ　ｍｏｄ　Ｎ
　そして、基本演算部214は、受信した証拠データＳｉから以下のＳｉ’を計算する
　（数４）
　Ｓｉ’ = Ｓｉ　ｍｏｄ　Ｎ
　そして、基本演算部214は、証拠データｓｉと証拠データＳｉ’を比較し、等しければ、提供サーバ300が被検証データＭｉをもっているとみなし、異なれば、被検証Ｍｉを持っていないとみなす（S710）。

　これは、剰余算が、先に乗算や加算をしたものに対して剰余をとったものと、剰余をとって乗算や加算をしたものが同じ剰余になることを利用している。

　なお、上記の処理手順Ｓ５０１～Ｓ５０８、Ｓ６０１～Ｓ６０８、Ｓ７０１～Ｓ７１0は、一例であり、本質的に上記の処理と同一であれば、処理手順を変更して実施してもかまわない。

　第一の実施形態では乱数Ｒを直接送信したが、通信量を削減するために、擬似乱数生成器を公開パラメータとし、乱数の代わりに、擬似乱数生成器のシードｒと出力する擬似乱数のデータ長を送信してもかまわない。　すなわち、ユーザ端末２００は、予め記憶された秘密鍵を用いて検証対象データから証蹟を算出し、データをサーバに送信し、データ保持証明する要求を送信する際には、乱数を生成し、生成した乱数を提供サーバ３００へ送信し、提供サーバ３００は、乱数を受信し、受信した乱数から擬似乱数生成器と保管しているデータから第１の証拠データを算出し、算出した第１の証拠データをユーザ端末２００へ送信し、ユーザ端末２００は、第１の証拠データを受信し、乱数と証蹟から擬似乱数生成器を用いて第２の証拠データを算出し、第１の証拠データと第２の証拠データを比較し、の比較結果に基づいて、提供サーバが検証対象データを保管しているか否かを判定する。

　また、ユーザ端末２００は、検証対象データを提供サーバに預託する際には、検証対象データを固定長のブロックに分割し、それぞれのブロックを自然数値にして算出し、自然数による剰余を計算したものを証蹟として記憶し、検証対象データの保持確認の際には、乱数、または擬似乱数生成器のシードと、データの識別子を提供サーバ３００に送信し、提供サーバ３００は、乱数又は擬似乱数生成器と、受信したシードにより生成した擬似乱数を固定長に分割し、データを取得して、固定長に分割し、それらの自然数としての積の総和を計算し、証拠データとしてユーザ端末２００に送信し、ユーザ端末２００は、乱数又は擬似乱数生成器と、受信したシードにより生成した擬似乱数を固定長に分割し、記憶していた証蹟との積の総和である自然数による剰余を計算し、受信した証拠データである剰余とを比較し、一致していた場合には提供サーバ３００が検証対象データを保管しているか否かを判定しても良い。

　（第一実施形態のまとめ）
第一実施形態によれば、ユーザ端末200は、提供サーバ300に検証対象データを送信した後は、検証対象データなしで、提供サーバ300が検証対象データを保有しているかを確認することができる。従って、検証対象データが膨大なサイズである場合にも、ユーザ端末200は一定の通信量（データ識別子と乱数の送信と、証拠データＳｉの受信のみ）で、提供サーバ300が検証対象データを保有しているかを確認できる。

　（第一実施形態の適用対象）
第一実施形態によれば、電子文書（データ）を預かるサービスを提供する、電子文書保管サービス事業者が、確かに電子文書を紛失していないことをユーザは確認できる。即ち、事業者に預ける電子文書を検証対象データＭ＝|｜Ｍｉとみなし、この証蹟ｍ１、ｍ２、…をユーザが事前に作成することにより、ユーザは電子文書が事業者に管理されていることを第一実施形態により確認できる。

　また、本サービスは電子文書保管サービス事業者だけを適用対象とするものではない。例えば、自治体などが、ある行政文書を確かに保管していることを、第一実施形態により確認できる。

　また、自治体では、保管期間が満了したもののうち、保管価値のある行政文書は公文書館などへ移管することがある。従って、公文書館での保管状況についても同様に確認可能である。

　また、公証役場における電子公証サービスにも適用可能である。即ち、嘱託人等の依頼によって公証役場は公文書の保管を行うが、ここでも、嘱託人等が予め公文書の証蹟を作成することにより、公証役場が公文書を保持しているかを確認可能である。

100：ネットワーク
２００：ユーザ端末
２０１：入力部
２０２：出力部
２０３：通信部
２１０：制御部
２１１：全体処理部
２１２：自然数生成部
２１３：乱数生成部
２１４：基本演算部
２２０：記憶部
３００：サービス提供サーバ
３０１：入力部
３０２：出力部
３０３：通信部
３１０：制御部
３１１：全体処理部
３１３：基本演算部
３２０：記憶部
４００：コンピュータ
４０１：ＣＰＵ(Central Processing Unit)
４０２：メモリ
４０３：外部記憶装置
４０４：通信装置
４０５：出力装置
４０６：入力装置
４０７：読書装置
４０８：記憶媒体
４０９：内部通信線
Ａ：データ保持確認方法

Claims

　ユーザ端末と、検証対象データを保持することをユーザ端末に証明する提供サーバとを含むデータ保持証明システムであって、
　前記ユーザ端末は、
　予め記憶された秘密鍵を用いて前記検証対象データから証蹟を算出し、データをサーバに送信し、データ保持証明する要求を送信する際には、乱数を生成し、生成した前記乱数を前記提供サーバへ送信し、
　前記提供サーバは、
　前記乱数を受信し、受信した前記乱数から擬似乱数生成器と保管しているデータから第１の証拠データを算出し、算出した前記第１の証拠データを前記ユーザ端末へ送信し、
　前記ユーザ端末は、
　前記第１の証拠データを受信し、前記乱数と前記証蹟から擬似乱数生成器を用いて第２の証拠データを算出し、前記第１の証拠データと前記第２の証拠データを比較し、前記の比較結果に基づいて、前記提供サーバが前記検証対象データを保管しているか否かを判定する
　ことを特徴とするデータ保持証明システム。
　請求項１に記載のデータ保持証明システムであって、
　前記ユーザ端末は、
　前記検証対象データを提供サーバに預託する際には、前記検証対象データを固定長のブロックに分割し、それぞれの前記ブロックを自然数値にして算出し、自然数による剰余を計算したものを証蹟として記憶し、
　検証対象データの保持確認の際には、前記乱数、または擬似乱数生成器のシードと、前記データの識別子を前記提供サーバに送信し、
　前記提供サーバは、
　前記乱数又は前記擬似乱数生成器と、受信した前記シードにより生成した擬似乱数を固定長に分割し、前記データを取得して、固定長に分割し、それらの自然数としての積の総和を計算し、証拠データとして前記ユーザ端末に送信し、
　前記ユーザ端末は、
前記乱数又は前記擬似乱数生成器と、受信した前記シードにより生成した擬似乱数を固定長に分割し、記憶していた前記証蹟との積の総和である前記自然数による剰余を計算し、受信した証拠データである前記剰余とを比較し、一致していた場合には前記提供サーバが前記検証対象データを保管しているか否かを判定する
　ことを特徴とするデータ保持証明システム。
　ユーザ端末と、検証対象データを保持することをユーザ端末に証明する提供サーバとにおけるデータ保持証明方法であって、
　前記ユーザ端末は、
　予め記憶された秘密鍵を用いて前記検証対象データから証蹟を算出し、データをサーバに送信し、データ保持証明する要求を送信する際には、乱数を生成し、生成した前記乱数を前記提供サーバへ送信し、
　前記提供サーバは、
　前記乱数を受信し、受信した前記乱数から擬似乱数生成器と保管しているデータから第１の証拠データを算出し、算出した前記第１の証拠データを前記ユーザ端末へ送信し、
　前記ユーザ端末は、
　前記第１の証拠データを受信し、前記乱数と前記証蹟から擬似乱数生成器を用いて第２の証拠データを算出し、前記第１の証拠データと前記第２の証拠データを比較し、前記の比較結果に基づいて、前記提供サーバが前記検証対象データを保管しているか否かを判定する
　ことを特徴とするデータ保持証明方法。
　請求項３に記載のデータ保持証明方法であって、
　前記ユーザ端末は、
　前記検証対象データを提供サーバに預託する際には、前記検証対象データを固定長のブロックに分割し、それぞれの前記ブロックを自然数値にして算出し、自然数による剰余を計算したものを証蹟として記憶し、
　検証対象データの保持確認の際には、前記乱数、または擬似乱数生成器のシードと、前記データの識別子を前記提供サーバに送信し、
　前記提供サーバは、
　前記乱数又は前記擬似乱数生成器と、受信した前記シードにより生成した擬似乱数を固定長に分割し、前記データを取得して、固定長に分割し、それらの自然数としての積の総和を計算し、証拠データとして前記ユーザ端末に送信し、
　前記ユーザ端末は、
前記乱数又は前記擬似乱数生成器と、受信した前記シードにより生成した擬似乱数を固定長に分割し、記憶していた前記証蹟との積の総和である前記自然数による剰余を計算し、受信した証拠データである前記剰余とを比較し、一致していた場合には前記提供サーバが前記検証対象データを保管しているか否かを判定する
　ことを特徴とするデータ保持証明方法。