WO2017082233A1 - 匿名通信システムおよび該通信システムに加入するための方法 - Google Patents
匿名通信システムおよび該通信システムに加入するための方法 Download PDFInfo
- Publication number
- WO2017082233A1 WO2017082233A1 PCT/JP2016/083048 JP2016083048W WO2017082233A1 WO 2017082233 A1 WO2017082233 A1 WO 2017082233A1 JP 2016083048 W JP2016083048 W JP 2016083048W WO 2017082233 A1 WO2017082233 A1 WO 2017082233A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- user
- signature
- communication system
- key
- public key
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09C—CIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
- G09C1/00—Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3255—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/42—Anonymization, e.g. involving pseudonyms
Definitions
- the present invention relates to an anonymous communication system in which users can communicate with each other anonymously, and can identify the user if necessary.
- PKI public key infrastructure
- Tor Patent Document 1
- Non-patent document 2 which is an authentication system
- pseudonym Pseudonym
- the main object of the present invention is to provide an anonymity communication system for guaranteeing anonymity with respect to a communication path and a communication party, in spite of the fact that participation in the communication system can be performed anonymously, in the event of a communicator
- the form of community formation that participates in another community based on the “credibility” of participating in one community is a method that is common in the real world and highly compatible with the real world.
- the present invention is an anonymous communication system that enables anonymous communication of a user, and while being anonymous, it is possible to register as a user of the communication system, while in an emergency
- the anonymous communication system includes a user computer operated by a user and an administrator computer operated by an administrator of the anonymous communication system, and the user computer can use the user in a communication system other than the anonymous communication system.
- the administrator computer includes means for generating signed data that is digitally signed by the unique first signature key and the user-specific second signature key used in the anonymous communication system; Means for verifying the electronic signature using the first public key paired with the signing key and the second public key paired with the second signing key, and a signature attached when the legitimacy of the electronic signature is verified And user data registration means for registering user data including data.
- the administrator computer further includes means for generating and providing a different second signature key for each user to the user computer.
- the user computer further comprises means for generating the secret key of the user-specific public key pair as the second signing key, and the administrator computer identifies the user against the public key pair public key. It further includes means for issuing an anonymous public key certificate that does not contain information.
- the user data registered in the user data registration means of the administrator computer uniquely identifies the first public key and the user that uniquely make a pair with the first signature key different for each user.
- Information including the first public key certificate is a public key certificate issued by a certificate authority based on a public key infrastructure (PKI), and a system administrator is described in the first public key certificate upon user registration. It is possible to identify the user from the identification information (or the first public key).
- PKI public key infrastructure
- the first public key certificate does not contain information uniquely identifying the user, and the system administrator can not identify the user from the public key described in the first public key certificate. It can also be done.
- the first signature key is a different signature key for each user as in the preceding paragraph, it is possible not to describe information uniquely identifying the user in the first public key certificate.
- the identification information described in the public key certificate may be blank, or may be a user's pseudonym (provisional identification information not associated with real identification information) or identification information of another anonymous communication system to which the user belongs. The identification information of the user can not be obtained from the first public key certificate.
- the first signature key may be a signature key of a group signature
- the first public key may be a public key of a group (another anonymous communication system). Since only the identification information of the group is described in the public key certificate, and the public key is not unique to the user, and corresponds equally to the signature keys of all the users belonging to the group, the identification information and the public key It is impossible to identify and track individuals.
- User untraceability is a request for privacy protection that is stronger than anonymity, and not only conceals the user's personal identity, but conceals that fact even if multiple events were performed by the same user. Ask to do.
- the anonymity by the pseudonym mentioned above does not satisfy the untraceability.
- a signature event with the same pseudonym is the result of the same author's actions, even if anonymous. In this case, if a person is exposed in one event for some reason, the person in the event using the same pseudonym will be revealed in a chain. Untraceability requires that anonymity be protected in other events by the same actor even if a person is exposed in one event.
- each user belonging to a group holds its own signature key (group signature key), but signatures generated by these signature keys can be verified by a common group public key. Furthermore, it is computationally impossible to identify signatures by different users and the same user (it is mathematically proved from reasonable hypotheses regarding computational complexity), which makes traceability impossible. Ru.
- the group signature key of the user can be generated only with the cooperation of the group manager who manages the secret information of the group, and when the group manager has a justifiable reason, from the arbitrary signature value
- the group signature key used when generating the signature ie, the user who is the holder of the group signature key can be identified. Once the signer of the group signature is identified, the non-repudiation prevents the signer from denying the fact of the signature.
- the second signature key and the second public key are configured to satisfy the requirement that it is impossible to identify the user from the signature data generated by the user using the second signature key, ie anonymity .
- the embodiment with a public key certificate and group signature with the above mentioned pseudonym satisfies this requirement.
- the pseudonym public key certificate embodiment since the public key is unique to the user, it is possible to track the same user, although no one can be identified by tracking the same public key. Whether anonymity alone is sufficient or traceability is also required is individually determined depending on the nature and policy of the anonymous communication system.
- the anonymous communication system is characterized in that it comprises means for identifying a correspondent in case of emergency. That is, when the administrator computer reads means for reading out user data from the user data registration means, and when the read-out user data includes information which can uniquely identify the user, the permission of the user is obtained based on the information. Means for identifying the user, and when the read out user data does not include information uniquely identifying the user, the signed data created by the user is presented to the administrator of another communication system to display the signed data. And means for inquiring personal information.
- the present invention also provides a complex anonymous communication system including at least two anonymous communication systems configured as described above.
- This complex anonymity communication system is characterized by using the second signature key of the first anonymity communication system as the first signature key of the second anonymity communication system.
- the user can perform registration anonymously without presenting identification information at the time of user registration to the second anonymous communication system.
- the administrator of the second anonymous communication system inquires of the administrator of the first anonymous communication system when specifying the correspondent in case of emergency. Since the first anonymity communication system has a function of identifying the correspondent in case of a crisis, the administrator of the second anonymity communication system obtains the identification information of the correspondent from the administrator of the first anonymity communication system. be able to.
- the administrator computer of the second anonymous communication system uses the user data registration unit to execute the second anonymity.
- a means for specifying data signed by the first signature key registered when joining the communication system and a means for presenting the specified data with signature and querying the administrator of the first anonymous communication system for the permission of the subscribed user
- a plurality of anonymous communication systems are combined in a multilayer manner, and user registration with each anonymous communication system is provided with means for performing anonymously without presenting identification information of the user personally.
- the reverse order of the hierarchy of the anonymous communication system is provided with means for identifying the permission of the correspondent.
- a communication system based on a public key infrastructure (such as ITU-T X. 509) that ensures user identification.
- Non-Repudiation Another requirement in identifying communicators is evidence capacity.
- signature data generated using a signature key can be verified by a public key uniquely corresponding to the signature key
- non-repudiation denial is conversely that signature data verifiable by a public key is a corresponding signature
- the theoretical guarantee is that it can only be generated with the key. All digital signature schemes currently in practical use satisfy the denial of denial. Also legally, it is recognized by the "electronic signature method" that signature data generated by a non-repudiation electronic signature scheme has legal proof ability.
- the administrator of the second anonymous communication system obtains signed data by the second signature key of any user, but the administrator Has a means for identifying the signer's user registration data by examining the signed data.
- the administrator issues a pseudonymous public key certificate as a certificate authority, and at that time, the public key certificate, and thus, the association between the public key and the user registration data. I do.
- the ability for the administrator to identify the signer from the signed data using the administrator key is embedded in the signature scheme. According to the above method, the administrator can specify the user registration data of the corresponding signer from the acquired signed data.
- the user registration data is signed by the user's first signature key.
- the first signature key is the second signature key of another anonymous communication system
- the signed user registration data is used as the first signature key.
- the problem lies in whether the owner of the first signature key and the owner of the second signature key can be proved with the proof ability.
- the present invention defines user registration data to be double signed using both the first signing key and the second signing key.
- the holder of the first signature key can deny the fact of the signature generation using the second signature key. And therefore can not deny the possession of the second signing key.
- the present invention is new to be executed by a user computer operated by a user and an administrator computer operated by an administrator of the anonymous communication system in order to subscribe to an anonymous communication system which enables anonymous communication of the user.
- the user computer doubles the user-specific first signature key usable in the communication system other than the anonymous communication system and the user-specific second signature key used in the anonymous communication system.
- Generating a signed data having a digital signature providing the signed data from the user computer to the administrator computer, and a first public key paired with the first signing key by the administrator computer. Verifying the electronic signature using the second public key paired with the second signing key, and registering the user data including the signed data when the validity of the electronic signature is verified And including.
- the second signature key can be generated by the administrator computer and provided from the administrator computer to the user computer.
- the administrator computer after verifying the first signature provided from the user computer, the administrator computer encrypts the second signature key and provides it to the user computer, and the user computer uses the first signature key and the second signature key.
- a procedure of generating doubly encrypted data with electronic signature and providing it to the administrator computer can be adopted.
- the second signature key is provided as a secret key of the public key pair unique to the user, provided from the user computer to the administrator computer, and the administrator computer compares the user identification information to the public key pair public key.
- a procedure of issuing an anonymous public key certificate not included can also be adopted.
- the user computer generates the second signature key verifiable using the second public key of the anonymous communication system via communication with the administrator computer, and the generated second signature key is used as a secret to the administrator. It is also possible to adopt the procedure of holding on.
- the user since the user subscribes to a new anonymous communication system using a trusted signature key in another communication system, high anonymity can be secured and the user can be used as needed. Can also be identified, which has the effect of enhancing the social reliability of the communication system.
- FIG. 1 is a block diagram of a complex anonymous communication system illustrating an embodiment of the present invention. It is a block diagram which shows the user registration procedure in the anonymous communication system of FIG. It is a block diagram which shows a user identification procedure in the anonymous communication system of FIG. It is a block diagram which shows the example of a change of the compound anonymous communication system by this invention. It is a block diagram which shows the structure of the user of a pseudonym communication system, and an administrator computer.
- FIG. 5 is a block diagram showing data exchange between computers at the time of user registration. It is a flowchart which shows the subscription application procedure to an anonymous communication system. It is a flowchart which shows the user identification procedure at the time of emergency.
- FIG. 7 is a block diagram illustrating another embodiment of an anonymous communication system.
- FIG. 7 is a block diagram illustrating yet another embodiment of an anonymous communication system.
- the complex anonymous communication system 100 shown in FIG. 1 is composed of a first anonymous communication system 1, a second anonymous communication system 2 and a third anonymous communication system 3.
- the first anonymous communication system 1 is a system in which the subscription is approved on the condition that the system administrator is provided with identification information for identifying the personal permission of each user.
- a real user holds a public key pair (public key and signature key), and for the public key, the ITU-T X. 509 compliant public key certificate issued.
- X. Issuance of the 509 public key certificate involves confirmation of the user's identity by the certificate authority, and X.
- the 509 certificate describes identification information that uniquely identifies the user.
- the anonymous public key 1 and the anonymous signature key 1 are held in the registered account of the virtual user 1.
- the anonymous public key 1 is designated as an anonymous public key certificate 1 (not shown) issued by the administrator 1.
- the anonymous public key 1 and the anonymous public key certificate 1 are configured not to identify the user.
- the anonymous public key 1 and the anonymous signature key 1 are assumed to be a public key pair in ordinary public key encryption, but the administrator 1 issues the anonymous public key certificate 1 without describing the identification information of the user. It is a public key certificate.
- the public key pair itself is unique to the user, since the signer can not be identified from the anonymous public key certificate 1, the virtual user 1 can make an anonymous signature.
- the anonymous public key certificate 1 is signed by the administrator of the first anonymous communication system 1, the recipient of the data signed by the anonymous signature key 1 is correctly registered in the first anonymous communication system 1. It can verify that the data is signed by the user. Furthermore, when the first anonymous communication system 1 publishes a policy that "performs confirmation of personal identity based on X. 509 certificate at the time of user registration", the recipient does not know the licensee of the signer himself. , It can be known that the user is a user who has been correctly confirmed in the first anonymous communication system 1.
- the anonymous public key 1 can be a public key of a group signature
- the anonymous signature key 1 can be a signature key of a group signature.
- the anonymous public key 1 is a key common to all users of the first anonymous communication system 1, and the anonymous public key certificate 1 is a group, in this case the public key certificate of the first anonymous communication system 1, It does not become information that identifies any user. From the group signature function, the anonymous signature key 1 is a unique key for each user, but the signature generated by the anonymous signature key 1 can be verified by the common group public key, ie, the anonymous public key 1 .
- the second and third anonymous communication systems 2 and 3 are systems in which the registration is authorized without providing the system administrator with identification information for the user to identify his / her license.
- the virtual user 1 registers the virtual user 2 in the second anonymous communication system 2 to create an account
- the submission of the anonymous public key certificate 1 to the administrator 2 is required.
- the virtual user 1 of the administrator 2 is the correct user of the first anonymous communication system 1
- it can be confirmed accurately by verifying the signature of the receipt data 2 but the details will be described later
- the virtual user 2 can not be identified, and therefore the real user can not be identified.
- the anonymous public key certificate 2 held as part of the user registration data in the third anonymous communication system does not specify the virtual user 2 and therefore does not specify the virtual user 1 and the real user.
- the complex anonymous communication system 100 of the present invention is not limited to the simple hierarchical structure as shown in the embodiment of FIG. 1, but can take a free network configuration among any number of anonymous communication systems.
- the account of the first anonymous communication system 1 may be used, that is, the anonymous public key certificate 1 may be registered. Identify the person X. 509
- the public key certificate may be registered to create an account. Which anonymous communication system's anonymous public key certificate is accepted, or It is a matter to be decided by the policy of the anonymous communication system whether to allow registration in which the 509 public key certificate is mixed.
- FIG. 4 shows a configuration example of a more free complex anonymous communication system 200.
- the first anonymous communication system 1 has a policy of "performing confirmation of the real user's personal permission and registering an X. 509 public key certificate in which identification information of the real user is described".
- arrows indicate which user a new virtual user is created based on
- solid arrows indicate user registration from a real user with confirmation of permission
- dashed arrows indicate user registration performed anonymously based on the virtual user.
- the virtual users 11, 12 and 13 are virtual users created by the real users 1, 2 and 3 proving their personal licenses to the manager 1, respectively.
- the second anonymous communication system 2 has a policy of "permitting registration of only a virtual user accompanied by confirmation of the real user's personal permission". Since the virtual users 11 and 12 satisfy the conditions of this policy, virtual users 21 and 22 are created based on the virtual users 11 and 12.
- the public key certificate registered in the second anonymous communication system 2 is an anonymous public key certificate for verifying the anonymous signatures of the virtual users 11 and 12, and as described above, the anonymous public key The user can not be identified from the certificate.
- the third anonymity communication system 3 has a policy of "accepting both anonymity registration based on a virtual user and registration accompanied by an authorization confirmation based on a real user", and the fourth anonymity communication system 4 It has a policy of "accepting anonymous registration based on any virtual user”.
- FIG. 2 is for explaining the user registration in more detail based on FIG.
- the receipt data signed by the user is registered.
- the receipt data 1 is data double-signed by the signature key of the registered real user and the anonymous signature key 1 of the virtual user 1 created by the registration.
- the arrow indicates that the data indicated by the end point is signed by the signature key indicated by the start point of the arrow.
- the anonymous signature key 1 may be generated by the administrator and sent to a real user, generated by the user uniquely, or generated by the user and the administrator via communication, etc. For example, depending on the individual algorithm of the group signature.
- the purpose is to keep the anonymous signature key secret from the administrator, thereby establishing strict denial of denial.
- the aim of doubly signing with two keys for the same receipt data ties the two users, ie the real user who is the basis of the registration, with the virtual user 1 created as a result of the registration It is in. This meaning will be described later.
- the virtual user 1 double-signs the receipt data 2 using the anonymous signature key 1 and the anonymous signature key 2.
- the signed receipt data 2 is evidence that the virtual user 2 is actually a virtual user 1.
- FIG. 3 shows a procedure for identifying the user's personal details in case of emergency such as a dispute between users, a request from a law enforcement agency, or the like.
- the administrator 3 of the third anonymity communication system 3 requests the disclosure of an anonymous public key certificate 3 including data signed with the anonymous signature key 3 and the anonymous public key 3 for verifying the signature. I will receive it with you.
- the administrator 3 first confirms that the signature is correctly verified by the anonymous public key 3, and then examines the reason for the disclosure request.
- the disclosure request reason is appropriate, the user registration data of the virtual user 3 who is the signer is specified from the anonymous public key certificate 3 and the signed data. This is implemented, for example, as follows.
- the anonymous public key 3 is data unique to the virtual user 3, that is, the virtual user 2 independently creates the anonymous signature key 3 and the anonymous public key 3, and the administrator 3 does not include the identification information of the virtual user 2.
- the anonymous public key certificate 3 of the anonymous public key 3 is generated, the user registration data can be specified by using the anonymous public key 3 unique to the user as a search key.
- the anonymous public key 3 is a group signature public key
- the anonymous public key 3 is common to the group
- the anonymous public key certificate 3 is also common to the group.
- the administrator 3 can specify the virtual user 3 who is the signer by using the administrator key that is the administrator's secret.
- the anonymous signature key 3 itself may be identified or the identifier of the virtual user 3 may be identified, depending on the group signature scheme. In any case, user registration data can be specified based on the obtained information.
- the specified user registration data includes the anonymous public key certificate 2 and the receipt data 3. Since the receipt data 3 is signed by the virtual user 2 with the anonymous signature key 2, the administrator 3 sends the anonymous public key certificate 2 and the receipt data 3 to the administrator 2 together with the request for disclosure of the user's personal permission.
- the administrator 2 can specify the user registration data of the virtual user 2 in the same manner as described above. Furthermore, the administrator 2 sends the anonymous public key certificate 1 and the receipt data 2 in the specified user registration data to the administrator 1 together with the disclosure request.
- the administrator 1 specifies the user registration data of the virtual user 1 in the same manner as described above.
- the user registration data of virtual user 1 includes X. Since the 509 public key certificate is registered and the identification information of the real user is described in the public key certificate, it is possible to specify the real user.
- the administrator 1 returns the identification information of the identified real user to the administrator 2 who is the disclosure request requester, and the administrator 2 is the administrator who is the disclosure requester of the obtained identification information of the real user Answer 3 Finally, the administrator 3 responds with the identification information of the real user obtained by the requester of the original disclosure request.
- the request source of the disclosure request can specify the real user who has made the signature from the data added with the anonymous signature key 3.
- the denial denial is described with reference to FIG.
- Denial of denial guarantees that the signer can not deny the fact of the signature, and is one of the basic requirements for electronic signatures. That is, when a signature is verified using a certain public key, it is possible to mathematically prove that the signature has been generated using a specific signature key mathematically associated with the public key. (It is possible to prove that the probability of being generated without using the signature key is astronomically small.) That is, the denial of denial makes it possible to prove that the owner of the signing key has made a signature.
- the certificate authority generates a signature key and issues it to the user, in which case the person who knows the signature key will be the certificate authority and the user who is the owner of the signature key.
- the user can not deny the fact of the signature because the certificate authority is identified as a Trusted Third Party.
- the denial nonrepudiability required in FIG. 3 means that the real user who is the entity of the virtual user 3 can not deny the fact of the signature with respect to the data signed with the anonymous signature key 3 submitted to the administrator 3 .
- This fact can be proved recursively as follows.
- receipt data 1 contains X.3. 509
- the public key certificate has a signature verifiable by the public key. Therefore, the real user can not deny the fact of the signature on the receipt data.
- the receipt data is also signed by the anonymous signature key 1
- the real user can not reject the fact that the receipt data is signed to the anonymous signature key 1, that is, the anonymous signature key 1 is possessed.
- the real user can not deny the fact that the receipt data 2 is signed by the anonymous signature key 1 due to the denial of denial and the receipt data 2 Since is signed by the anonymous signature key 2, it is impossible to deny the fact that the real user possesses the anonymous signature key 2 for the reason described above. Furthermore, applying the same argument to the receipt data 3, the real user can not deny the fact that the anonymous signature key 3 is held. Finally, since the signed data presented to the administrator 3 with the disclosure request is signed by the anonymous signature key 3, the real user can not deny the fact of the signature on the signed data.
- FIG. 5 shows the configuration of one anonymity communication system 10 included in the complex anonymity communication system 100 or 200 described above
- FIG. 6 shows the exchange of data in the communication system 10.
- the anonymous communication system 10 shown in FIGS. 5 and 6 includes a user computer 11 operated by a user who subscribes to the anonymous communication system 10, and an administrator computer 21 operated by an administrator of the anonymous communication systems 1 and 2. There is.
- the user computer 11 and the administrator computer 21 are connected via the Internet 40 or another communication line.
- the user computer 11 is provided with a signature key holding unit 12, a signed data generation unit 13, a CPU 14, a memory 15, and a communication interface 16.
- a signature key holding unit 12 Provided to the signature key holding unit 12 from the user computer-specific first signature key 41 usable in the anonymity communication system 10 different from the anonymity communication system 10, and from the administrator computer 21 so as to be usable in the anonymity communication system 10
- the user-specific second signature key 42 is stored.
- the signature-added data generation unit 13 generates an electronic signature added subscription data 43 signed by the first signature key 41 and an electronic signature double-signed by the first signature key 41 and the second signature key 42.
- a receipt data 44 (corresponding to receipt data 1, 2 and 3 shown in FIG. 1) which is signed data is generated.
- the administrator computer 21 is provided with a second signature key generation unit 22, a signature verification unit 23, a user data registration unit 24, a user identification unit 25, a user inquiry unit 26, a CPU 27, a memory 28, and a communication interface 29.
- the second signature key generation unit 22 generates different second signature keys 42 for each user, and functions as means for providing the second signature key 42 to the user computer 11 via the communication interface 29.
- the signature verification unit 23 verifies the electronic signature of the subscription application data 43 using the first public key 51 paired with the first signature key 41, and adds the second public key 51 and the second signature key 42 in addition to the first public key 51.
- the electronic signature of the receipt data 44 is verified using the second public key 52.
- the user computer 11 When joining the anonymous communication systems 1 and 2, the user computer 11 provides the subscription application data 43 to the administrator computer 21 and the administrator computer 21 verifies the electronic signature of the subscription application data 43, and then the second signature The key 42 is generated and provided to the user computer 11, and the user computer 11 receiving the second signature key 42 provides the double signed receipt data 44 to the administrator computer 21, and the administrator computer 21 receives the receipt data 44.
- the user data including the receipt data 44 is registered in the user data registration unit 24.
- the user data registered in the user data registration unit 24 includes a first public key certificate 53 in which a first public key 51 paired with the first signature key 41 is described in addition to the receipt data 44, and a second signature A second public key certificate 54 in which a second public key 52 paired with the key 42 is described is included.
- the first public key certificate 53 describes the user-specific public key and identification information. For example, ITU-T X.4. A 509 compliant public key certificate. In this case, the system administrator can uniquely identify the user from the user data as needed.
- the identification information of the user is not described in the first public key certificate 53.
- the first public key certificate 53 may be an anonymous public key certificate in which only the pseudonym of the user is described, or the public key certificate in which the group public key and the group identification information in the group signature are described. It can also be done.
- the second public key certificate 54 does not include the identification information of the user, for example, an anonymous public key in which only the pseudonym of the user is described. It is a public key certificate that describes the group's public key and group identification information in a certificate or group signature.
- the second signature key 42 is a different signature key for each user, and the second public key 52 paired with the second signature key 42 is also different for each user, but the second public key certificate 54 is a pseudonym.
- the communication partner can verify the signature by the second signature key 42 with the second public key 52 described in the second public key certificate 54, the signer Can not identify.
- the communication partner verifies the signature by the second signature key 42 with the second public key 52 described in the second public key certificate 54. It can be carried out. Since the second public key 52, which is the public key of the group, is common to all members belonging to the group (in this case, all users who have registered in the second anonymous communication system 2), the signer It is impossible in principle to identify However, in the former example using the pseudonymous public key certificate, since the signature verification is performed with the second public key 52 different for each user, when two signatures are given, the one with the same second signature key It can be determined whether or not On the other hand, in the latter case of group signature, since the same second public key 52 is used to verify all signatures, it is also impossible to determine the identity of the second signature key. That is, it can be said that the latter example satisfies the higher anonymity level in that it is more inconspicuous in the untraceability.
- the administrator can perform an operation of identifying the signer on the registration information based on the signature on the communication content by the second signature key 42.
- a dispute between correspondents can be considered as an example that requires this work. For example, if an online sales site and its customers sign up through communications, the customer signs a payment agreement and sends it to the sales site, where the customer places his license on the sales site for privacy reasons. If there is a request not to be known, the customer signs with his second signature key 42.
- the sales site can confirm the intention of payment by verifying the signature with the second public key 52, but can not identify the customer's license from the second public key certificate.
- the sales site After this, if the customer did not pay, the sales site must identify the customer and take measures such as reminders, but at this time, the sales site will use the second signature key 42 sent by the customer.
- the administrator is presented with the signature and the second public key certificate 54 used for signature verification.
- the administrator specifies the user registration data registered in the user data registration unit 24 from the signature and the second public key certificate 54. For example, when the second public key certificate 54 is the pseudonym certificate, since the public key described in the second public key certificate 54 is unique to the user, the public key is used as a search key. And user registration data can be identified.
- the public key described in the second public key certificate 54 is a group signature public key
- the group signature mechanism by using the administrator key that is the administrator's secret,
- the second signature key 42 can be identified from the signature value, and thus the user registration data can be identified.
- the user registration data includes the first public key certificate 53 in which the identifier of the user is described, for example, the first public key certificate 53 is ITU-T.
- the certificate is a public key certificate conforming to 509
- the user can be specified by the identification information described in the certificate.
- the first public key certificate 53 does not include the identification information of the user
- the first public key certificate 53 and the signed receipt data 44 in the user registration data are sent to the administrator of the anonymous communication system 10
- the administrator of the anonymous communication system 10 can identify the user.
- the first public key certificate 53 is the anonymous public key certificate
- the public key described in the first public key certificate 53 is unique to the user, and the public key is used as a search key in the anonymous communication system.
- the administrator of 10 can specify user registration data in the anonymous communication system 10. If the first public key certificate 53 is a public key of a group signature, the first signature key can be identified from the signature of the receipt data 44 using the group signature mechanism, so that in the anonymous communication system 10 User registration data can be identified.
- identification of the identification information of the user is performed by a recursive query.
- an administrator of an anonymous communication system can not obtain the identification information of the user from the first public key certificate 53
- the administrator of another anonymous communication system inquires. If the administrator of another anonymous communication system can not obtain the identification information of the inquired user from the public key certificate 53 in the user registration data of his / her own anonymous communication system 1, the administrator of another anonymous communication system Ask the administrator.
- the anonymous communication system formed first in chronological order (for example, the first anonymity shown in FIGS.
- a first public key certificate in which user identification information is described at the time of user registration for example, ITU-T X. 1
- ITU-T X. 1 In the group of hierarchically constructed anonymous communication systems (multi-anonymous communication systems), the recursive query is finally answered because the user registration must be performed based on the 509 compliant public key certificate. Will be brought.
- FIG. 7 is a flowchart showing a subscription application procedure executed by the user computer 11 and the administrator computer 21 when the user subscribes to the anonymous communication system 10.
- a subscription application operation such as clicking a subscription application button or link on a Web screen etc.
- the subscription application procedure starts (S101), and the user computer 11 generates subscription application data 43 (S102)
- the electronic signature is applied to the subscription application data 43 using the first signature key 41 (S103), and transmitted to the administrator computer 21 (S104).
- the administrator computer 21 verifies the electronic signature of the subscription application data 43 using the first public key 51 (S105). Then, if the legitimacy of the electronic signature can not be verified (S106: No), the subscriber is refused and the subscription procedure is ended (S116). When the legitimacy of the electronic signature can be verified (S106: Yes), the administrator computer 21 generates the second signature key 42 by the second signature key generation unit 22 (S107), and only the user computer 11 generates the second signature key 42. It encrypts so that it can be decrypted (S108), and transmits it to the user computer 11 (S109).
- the user computer 11 When the second signature key 42 is received from the administrator computer 21, the user computer 11 generates receipt data 44 (S110), and uses the first signature key 41 and the decrypted second signature key 42 to generate receipt data 44. A double electronic signature is made (S111), and this signed data is transmitted to the administrator computer 21 (S112).
- the administrator computer 21 verifies the double electronic signature of the receipt data 44 using the first and second public keys 51 and 52 (S113). If the legitimacy of either one of the double electronic signatures can not be verified (S114: No), the subscription is rejected and the subscription application procedure is ended (S116). Also, if the legitimacy of all the double electronic signatures has been verified (S114: Yes), the double signed receipt data 44, the first public key certificate, and the second public key are sent to the user data registration unit 24. After the certificate is registered (S115), the subscription procedure is ended (S116).
- the user manages the subscription data 43 and the receipt data 44 signed by the signature key as the first signature key 41 using the signature key that has been used in another communication system until now.
- the anonymous communication system 10 of this embodiment is configured to provide the second signature key 42 to the user computer 11 on the condition that the electronic signature of the subscription data 43 has been verified. Therefore, it is possible to eliminate malicious entrants in advance and improve the security and reliability of the system.
- FIG. 8 illustrates a procedure for the administrator computer 21 to identify a user using the receipt data 44.
- the administrator computer 21 receives inquiry information on the system subscriber from inside and outside the anonymous communication system 10 (S202).
- the data signed by the second signature key 42 included in the inquiry information and the second public key certificate 54 are acquired. If the second public key certificate 54 is common to the anonymous communication system, it is not necessary to include the second public key certificate 54 in the inquiry information.
- the signature of the signed data is verified using the second public key 52 described in the second public key certificate 54, and if the verification fails, it is determined that the inquiry is an invalid inquiry and the user is specified End the procedure. If the signature verification is successful, the reason for the inquiry is subsequently examined to determine whether the reason is valid (S203).
- the user identification procedure is ended to protect the personal information of the inquired user (system subscriber) (S208). If the inquiry reason is correct, the user registration data regarding the inquired user is read out from the user data registration unit 24 (S204). At this time, the method of identifying the user registration data differs depending on the configuration method of the second signature key 42 and the second public key 52. For example, when the second public key certificate 54 is an anonymous public key certificate in which a user-specific public key is described, user registration data may be specified using the second public key signature 54 as a search key. it can.
- the second public key certificate 54 is a public key certificate that describes the public key of the group signature
- the second public key certificate 54 is data common to the group (anonymity communication system) not dependent on the user. Therefore, it can not be used as a search key.
- the group signature function it is possible to identify the second signature key 42 from the signature data attached to the inquiry information by using the administrator key which is the administrator's secret.
- the administrator key which is the administrator's secret.
- the administrator computer 21 determines whether the read out user registration data includes information that can uniquely identify the user (S205). For example, the first public key certificate 53 in which the user describes the user unique identification information and the unique public key, for example, ITU-T X.264.
- the identification information of the user can be acquired from the first public key certificate 53.
- the user identification unit 25 extracts information for identifying the user's license from the identification information (S206), and terminates the user identification procedure (S206). S208).
- the user inquiry unit 26 presents the receipt data 44 and the first public key certificate 53 which are double-signed data and separates them. After querying the administrator of the anonymous or non-anonymous communication system (S207), the user identification procedure is ended (S208).
- the anonymous communication system 10 of this embodiment even if the system itself does not hold specific information for identifying the user's license, the first signature key in the double-signed receipt data 44 41, the administrator of another communication system is inquired about the user's permission of the problematic user, and the user data obtained by the inquiry is used to strengthen the security of the anonymity communication system 10, thereby making the social reliability of the system Can be made more secure.
- FIGS. 9 and 10 show another embodiment of the anonymous communication system, which are configured such that the user computer 11 does not generate the second signature key but the administrator computer 21 generates the second signature key.
- the other configuration is the same as that of the above-described embodiment, and the same reference numerals are given to the drawings to omit redundant description, and differences will be described below.
- a public key pair generation unit 17 is provided as means for generating a user-specific public key pair in the user computer 11.
- the public key pair consists of a user-specific private key (or personal key) 46 and an anonymous public key 55 paired with the private key 46.
- the administrator computer 21 is provided with an anonymous public key certificate issuance unit 30 as a means for issuing an anonymous public key certificate 56 not including the identification information of the user to the anonymous public key 55 of the public key pair. Then, at the time of joining the anonymous communication system 10, the user computer 11 double-signs the data including the anonymous public key 55 by using the first signature key 41 and the secret key 46 which is the second signature key.
- the data 47 is configured to be provided to the administrator computer 21 as the signed data 47.
- a certificate signing request (CSR, Certericate Signing Request) is generated and sent to the certificate authority.
- the certificate signing request includes the identification information of the key holder and the public key to be described in the certificate, and is signed by the corresponding signing key.
- the signature-added data 47 in the present invention does not include the identification information of the user, and a signature is attached to the data including the anonymous public key 55 using the private key 46 and the signature with the first signature key 41. It can be data.
- the anonymous public key certificate 56 generated by the administrator is used as a second public key certificate, and the anonymous public key 55 is used as a second public key.
- the second signature key generation unit 18 generates the second signature key 48 verifiable by the second public key 52 in the user computer 11 through communication with the administrator computer 21;
- a signature key holding unit 12 is provided which holds the generated second signature key 48 in secret with respect to the system administrator.
- the administrator computer 21 is provided with a second signature key generation assisting unit 31 that assists the generation of the second signature key 48 by communication with the user computer 11. Then, at the time of subscription to the anonymous communication system 10, the signed data 47 double-signed by the second signature key 48 and the first signature key 41 generated by the user computer 11 is provided to the administrator computer 21. Is configured.
- the user computer 11 itself is configured to generate the second signature key, so the secret key 46 or the second signature key 48 used in the anonymous communication system is generated. Can be concealed to the system administrator, so that the denial denial is strictly satisfied in comparison with the above embodiment. That is, in the above embodiment, since the second signature key is shared by the user and the administrator, when signed data is given, it is impossible to deny the fact that a malicious administrator spoofs the user and signed. On the other hand, in the embodiments of FIGS. 9 and 10, since the second signature key is a secret of only the user, denial denial is strictly established.
- the reverse brown method is a method in which the shapes of the lending ticket and the book card are reversed. Even in the case of using the Brown method or the reverse brown method, the relationship between the book and the user can be known during the lending period, and since it is possible to record illegally during this period, the privacy can not be completely protected. Absent. Although this method has not been used since the computer was introduced, it is possible for the computer to emulate the method. However, even in such a case, not only is it impossible to completely protect the privacy of the user in the usual way, but the risk thereof, such as external intrusion to the computer system, is increased, and the executor is identified. Things get more difficult.
- the example described below consists of a core system shared by all libraries and an individual system individually operated by each library.
- the function of the core system is to manage the identification information of the user, and the function of the individual system is to execute the book lending operation.
- the user proves his identity and registers with the backbone system.
- registration can be performed online from the Internet.
- identification is performed using paper media documents such as a driver's license and a health insurance card, visit the building and register face-to-face. If the examination for registration is passed, the core system generates a signature key of the user-specific group signature.
- This group signature key is called “common signature key”.
- the common signature key is recorded on a new IC card that does not record any data, and is mailed to the user or handed over.
- This IC card is called “library use common card”. As long as identification information such as name and address is not changed, registration to the core system may be performed once regardless of which library is used.
- the user goes to the relevant library (hereinafter referred to as an individual library).
- the library urges the user to sign registration application data using the common signature key recorded on the user's library usage common card, and sends the signed registration application data online to the core system.
- the individual library is a service provided by a specific local public entity to the residents, so the purpose is to confirm that the user who made the application belongs to the public entity.
- the backbone system Based on the characteristics of the group signature, the backbone system identifies the user from the signature of the registration application data, and replies only to the individual library whether or not the address of the area of the public body is present based on the residence information.
- the individual library confirms that the user has an address in the corresponding area and performs registration work.
- a user-specific group signature key is generated based on the group signature, and is recorded on the user's library use common card.
- This group signature key is called an "individual signature key”.
- individual signature key reception data is created and recorded in the system together with a double signature by the common signature key of the user and the individual signature key.
- the library use common card is presented.
- the library prepares loan data of the book, urges the user to sign the loan data with the individual signature key issued by the library, and checks the signature using the library's group public key .
- the data is recorded along with the signature only if the signature can be verified. Since the signature follows the group signature, there is no leakage of information identifying the individual user in the process of signing, and it can not be determined who has borrowed the book.
- each library can identify the user by presenting a signature based on the common signature key retrieved from the signature of the individual signature key to the backbone system.
- This system consists of a core system that provides a "place" to a plurality of auction organizers, and an organizer system that presides over auctions.
- the auction participants first register with the core system to acquire membership qualifications.
- participants prove their identity using public key certificates issued by public organizations and financial institutions, such as a basic resident register card, and a signature key.
- This signature key is called a "basic signature key”.
- the backbone system issues a group signature to the participants, and this group signature key is called a "member signature key”.
- the core system When registering a participant, the core system records member signature key receipt data double-signed with the basic signature key and the member signature key in the system. Since the received data is signed by the basic signature key, it serves as information for identifying the member and has non-repudiation denial that the fact that the member has received the member signature key can not be denied.
- a participant When a participant participates in a specific auction, it is registered in the organizer system of the auction. At the time of registration, a membership signature key is used.
- the organizer system issues the participant signature key, which is a group signature key, to the member, and at that time, requires the participant signature key reception data to be signed with both the participant signature key and the member signature key.
- the signed receipt data is recorded in the organizer system.
- Auction participants can participate in the auction anonymously. That is, at the time of bidding, the bidding data including the bidding amount is signed by the participant signature key and sent to the organizer. Since the participant signature key is a group signature key, no bidders can be tracked except by the organizer (therefore, as a matter of course, the anonymity is also maintained). On the other hand, since the membership signature key is also a group signature key, the organizer can track the bidders in his auction but can not identify the bidders. Also, in an auction in which you do not preside, you can not track.
- the organizer When the auction is over and the winning bidder is determined, the organizer identifies participant signature key reception data recorded in the organizer system from a signature using the participant signature key for the bid data, and sends it to the core system. Since the receipt data is signed by the membership signature key, only the core system can identify the membership signature key receipt data from the signature. Since the identification data of the member is described in the receipt data, the information is returned to the auction organizer. Based on the identification information, the organizer makes a request for payment and delivery of a successful bid item to the successful bidder.
- the refusal of the signature can be used to reject the claim. That is, since the member signature key reception data has a signature that can be verified by a public key certificate issued by a public organization, the successful bidder can not reject the fact of possession of the member signature key. Then, the participant signature key reception data can not be denied holding of the participant signature key because it is signed by the member key. Finally, because the bid data is signed with the participant signature key, it is not possible to reject the contents of the bid, in particular the fact of the bid.
- the present invention is not limited to the above embodiment.
- a single anonymous communication system may be configured, or a complex communication system may be configured by combining multiple anonymous communication systems having different communication purposes.
- the configuration of each part can be arbitrarily changed and implemented.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】匿名性を保証し、必要に応じユーザを特定可能とし、社会的信頼性の高い匿名通信システムを提供する。 【解決手段】ユーザコンピュータ11は、他の通信システムで使用可能な第1署名鍵で署名した電子署名付き加入申込みデータを管理者コンピュータ21に送信する。管理者コンピュータ21は、第1公開鍵で加入申込みデータの電子署名を検証し、正当性を検証できた場合に第2署名鍵を生成し、暗号化してユーザコンピュータ11に送信する。ユーザコンピュータ11は、第1および第2署名鍵で二重に署名された電子署名付き受領証データを生成し、管理者コンピュータ21に送信する。管理者コンピュータ21は、第1および第2公開鍵を用いて受領証データの電子署名を検証し、正当性を検証できた場合に、その受領証データを含むユーザデータを登録部24に登録する。
Description
本発明は、ユーザ同士が互いに匿名で通信を行いつつ、必要な場合にはユーザを特定することが可能な匿名通信システムに関する。
従来、インターネットにおいて、ユーザが通信相手を認証しながら安全に通信できる通信システムの構築は、その存亡にかかわる重要な問題であった。この問題への一つの解として、インターネットで利用できる認証システムである公開鍵基盤(Public Key Infrastructure,PKI,非特許文献1)が広く用いられている。
しかし、公開鍵基盤による通信システムでは、認証の際にユーザを特定する情報が必ず通信相手に開示されるため、必要でない場合にもユーザの識別情報を提示しなければ、認証ができないという問題があった。そこで、匿名性を高めた通信システムであるTor(特許文献1)や認証システムである簡易公開鍵基盤(非特許文献2)が実用に供され、また、仮名(Pseudonym)通信やグループ署名を用いた匿名認証の技術が提案されている。
ITU-T Recommendation X.509 The Directory - Authentication Framework
IETF Request for Comments 2692 & 2693 Simple Public Key Infrastructure
しかし、簡易公開鍵基盤、仮名署名、グループ署名に基づく匿名通信では、匿名のまま通信システムに参加する方法がなく、通信経路上及び通信相手に対して匿名性が担保されても、参加時に身元を明かさなければならず、また、管理サーバーなどに実名が記録されているため実名が漏洩する危険があり、匿名通信システムとしては不完全なものであった。一方、Torでは、中間中継点が全て協力した時のみ追跡が可能であり、犯罪・テロなどの有事の際に通信者を特定することが事実上不可能であった。実際、Torを利用して外国の中継点経由で他人のPCを乗っ取り、警察の追及を免れた事例も発生している。
そこで、本発明の主要な目的は、通信経路及び通信相手に対して匿名性を保証する匿名通信システムにおいて、該通信システムへの参加を匿名で行えるにもかかわらず、有事の際には通信者を特定することを可能とする方法を提供する点にある。具体的には、他の(匿名)通信システムに参加しているという「信用」をベースに、匿名通信システムに参加する方法を提供する。あるコミュニティに参加しているという「信用」をもとに、別のコミュニティに参加するコミュニティ形成の形態は、実社会においては一般的であり、実社会との親和性が高い方法である。
上記課題を解決するために、本発明は、ユーザの匿名による通信を可能とする匿名通信システムであり、匿名のまま当該通信システムのユーザとして登録することが可能である一方、有事の際には通信者を特定できることを特徴とするシステムを提供する。この匿名通信システムは、ユーザが操作するユーザコンピュータと、当該匿名通信システムの管理者が操作する管理者コンピュータとを備え、ユーザコンピュータが、当該匿名通信システムとは別の通信システムで使用可能なユーザ固有の第1署名鍵と、当該匿名通信システムで使用するユーザ固有の第2署名鍵とにより二重に電子署名が付された署名付きデータを生成する手段を含み、管理者コンピュータが、第1署名鍵と対をなす第1公開鍵と、第2署名鍵と対をなす第2公開鍵を用いて電子署名を検証する手段と、この電子署名の正当性が検証されたときに、署名付きデータを含むユーザデータを登録するユーザデータ登録手段とを含むことを特徴とする。
本発明の一つの実施形態では、管理者コンピュータが、ユーザごとに異なる第2署名鍵を生成してユーザコンピュータに提供する手段を更に含む。本発明の別の実施形態では、ユーザコンピュータがユーザ固有の公開鍵ペアの秘密鍵を第2署名鍵として生成する手段を更に含み、管理者コンピュータが公開鍵ペアの公開鍵に対してユーザの識別情報を含まない匿名公開鍵証明証を発行する手段を更に含む。本発明の他の実施形態では、ユーザコンピュータが、第2公開鍵によって検証可能な第2署名鍵を管理者コンピュータとの通信を介して生成する手段と、第2署名鍵を管理者に対して秘密に保持する手段とを更に含む。
また、本発明の匿名通信システムでは、管理者コンピュータのユーザデータ登録手段に登録されるユーザデータが、ユーザ毎に異なる第1署名鍵と一意に対をなす第1公開鍵とユーザを一意に識別する情報とを内包する第1公開鍵証明証を含むことができる。このような第1公開鍵証明証の例は、公開鍵基盤(PKI)に基づき認証局により発行される公開鍵証明証であり、ユーザ登録時にシステム管理者が第1公開鍵証明証に記載された識別情報(または、第1公開鍵)からユーザを特定することが可能である。
上記とは異なり、第1公開鍵証明証がユーザを一意に識別する情報を含まず、かつ、システム管理者が第1公開鍵証明証に記載された公開鍵からユーザを特定することが不可能とすることもできる。この場合、例えば、第1署名鍵を、前項と同じくユーザ毎に異なる署名鍵としたまま、第1公開鍵証明証にユーザを一意に識別する情報を記載しないようにすることができる。公開鍵証明証に記載する識別情報は、空欄でもよいし、ユーザの仮名(本当の識別情報と紐付かない仮の識別情報)やユーザが属する別の匿名通信システムの識別情報でもよい。第1公開鍵証明証からユーザの識別情報を得ることはできない。
別の実施形態として、第1署名鍵をグループ署名の署名鍵とし、第1公開鍵をグループ(別の匿名通信システム)の公開鍵とすることができる。公開鍵証明証にはグループの識別情報のみが記載され、また、公開鍵はユーザに固有ではなく、グループに所属するすべてのユーザの署名鍵と等しく対応するので、識別情報と公開鍵とからユーザ個人を識別・追跡することは不可能である。
ユーザの追跡不能性は、匿名性より強いプライバシー保護の要請であり、ユーザの身許を秘匿するだけでなく、複数のイベントがたとえ同一のユーザによって為されたものであっても、その事実を秘匿することを要請する。これに対し、前述した仮名による匿名性は追跡不能性を満足しない。実際、同じ仮名による署名イベントは、匿名ではあっても、同一の作為者の行為の結果であることがわかる。この場合、なんらかの理由でひとつのイベントにおいて身許が露呈すると、連鎖的に、同じ仮名を用いたイベントにおける身許が明らかになってしまう。追跡不能性は、ひとつのイベントで身許が露呈しても、同一の行為者による他のイベントにおいて匿名性が保護されることを要請する。
グループ署名では、グループに所属する各ユーザが独自の署名鍵(グループ署名鍵)を保持するが、それらの署名鍵で生成される署名は共通のグループ公開鍵によって検証ができる。更に、異なるユーザ・同一のユーザによる署名を識別することは計算量的に不可能で(計算量に関する妥当な仮説から数学的に証明される)、これにより追跡不能性が計算量的に実現される。
一方、ユーザのグループ署名鍵は、グループの秘密情報を管理するグループ管理者の協力のもとでのみ生成が可能で、グループ管理者は、正当な理由がある時には、任意の署名値から、その署名を生成する際に用いたグループ署名鍵、即ち、グループ署名鍵の保有者であるユーザを特定することができる。一旦グループ署名の署名者が特定されると、否認拒否性により、署名者は署名の事実を否認することができない。
第2署名鍵と第2公開鍵は、第2署名鍵を用いてユーザが生成した署名データからユーザを識別することが不可能であるという要件、即ち、匿名性を満足するように構成される。前述した仮名が記された公開鍵証明書とグループ署名による実施形態はこの要求を満足する。但し、仮名公開鍵証明書による実施形態では、公開鍵はユーザ固有であるため、同じ公開鍵を追跡することにより、誰かは特定できないが、同一のユーザを追跡することは可能である。匿名性のみで十分なのか、追跡不可能性も必要なのかは、匿名通信システムの性質とポリシーに依存して個別に定められる。
本発明の匿名通信システムは、有事の際に通信者を特定する手段を備えたことを特徴とする。すなわち、管理者コンピュータが、ユーザデータ登録手段からユーザデータを読み出す手段と、読み出したユーザデータ中にユーザを一意に識別可能な情報が含まれている場合に、この情報に基づいてこのユーザの身許を特定する手段と、読み出したユーザデータ中にユーザを一意に識別可能な情報が含まれていない場合に、ユーザが作成した署名付きデータを提示して別の通信システムの管理者にそのユーザの身許を照会する手段とを更に含む。
また、本発明は、上記のように構成された匿名通信システムを少なくとも二つ含む複合的な匿名通信システムを提供する。この複合的匿名通信システムは、第1匿名通信システムの第2署名鍵を第2匿名通信システムの第1署名鍵として使用することを特徴とする。これにより、ユーザは、第2匿名通信システムへのユーザ登録時に、識別情報を提示することなく、匿名で登録が行えるようになる。一方、有事の際の通信者の特定は、第2匿名通信システムの管理者が、第1匿名通信システムの管理者に問い合わせることで実施する。第1匿名通信システムは、有事の際には通信者を特定する機能を具備しているので、第2匿名通信システムの管理者は第1匿名通信システムの管理者から通信者の識別情報を得ることができる。具体的には、第2匿名通信システムの管理者コンピュータは、第2匿名通信システムのユーザの第2署名鍵により生成された署名データをもとに、ユーザデータ登録手段からユーザが当該第2匿名通信システムに加入した際に登録した第1署名鍵による署名付きデータを特定する手段と、特定した署名付きデータを提示して第1匿名通信システムの管理者に加入済みユーザの身許を照会する手段とを備える。
前記のように、本発明は、複数の匿名通信システムを重層的に組み合わせ、各匿名通信システムへのユーザ登録はユーザ個人の識別情報を提示せず匿名で行える手段を具備する一方、有事の際には、匿名通信システムの階層を逆に辿ることにより、通信者の身許を特定する手段を具備する。特に、有事における通信者の特定では、階層を逆に辿った結果、通信者の特定を他者に依存せず実施できる通信システムに到達できなければならない。このため、階層の最下層では、ユーザの識別を確実に行う公開鍵基盤(ITU-T X.509など)に基づく通信システムを構築するのが望ましい。
通信者の特定におけるもう一つの要件は、証拠能力である。暗号理論の分野では、否認拒否性(Non-Repudiation)と呼ばれる要件である。ある署名鍵を用いて生成された署名データは当該署名鍵に一意に対応する公開鍵により検証可能であるが、否認拒否性は、逆に、ある公開鍵で検証可能な署名データは対応する署名鍵でのみ生成可能であることを理論的に保証することである。現在実用に供されているすべての電子署名方式は否認拒否性を満足する。法制的にも、「電子署名法」により、否認拒否性をもつ電子署名方式で生成された署名データは法的な証拠能力を有することが認められている。
翻って、証拠能力の観点から、本発明における通信者の特定を考える時、第2匿名通信システムの管理者は、いずれかのユーザの第2署名鍵による署名付きデータを取得するが、管理者は当該署名付きデータを検査することで、署名者のユーザ登録データを特定する手段を有する。例えば、仮名公開鍵証明証を用いた実施形態では、管理者が認証局として仮名公開鍵証明証を発行し、その際に当該公開鍵証明証、したがって、公開鍵とユーザ登録データとの紐付けを行う。グループ署名による実施形態では、管理者は管理者鍵を用いて署名付きデータから署名者を特定する機能が、署名方式の中に埋め込まれている。上記の方法により、管理者は取得した署名付きデータから、該当する署名者のユーザ登録データを特定することができる。否認拒否性に基づき、この特定には証拠能力が伴う。一方、ユーザ登録データは、ユーザの第1署名鍵による署名が付されている。本発明による匿名通信システムの「複合的」な構成では、当該第1署名鍵は、別の匿名通信システムの第2署名鍵であるので、前記署名付きユーザ登録データを、当該第1署名鍵を第2署名鍵とする前記匿通信システムの管理者に提示することで、同様に、証拠能力を有する形で署名者を特定することが可能となる。問題は、第1署名鍵の所有者と第2署名鍵の所有者が同一であることを、証拠能力を伴って証明することができるかという点にある。この問題を解決するために、本発明では、ユーザ登録データを第1署名鍵と第2署名鍵の両方を用いて二重に署名するように定める。すなわち、第2署名鍵による署名は、第1署名鍵による署名の否認拒否性の効力下にあるため、第1署名鍵の保有者は、第2署名鍵を用いた署名生成の事実を否認できず、したがって、第2署名鍵の所有を否認できない。
また、本発明は、ユーザの匿名による通信を可能とする匿名通信システムに加入するために、ユーザが操作するユーザコンピュータと、当該匿名通信システムの管理者が操作する管理者コンピュータとが実行する新規な方法を提供する。この方法は、ユーザコンピュータが、当該匿名通信システムとは別の通信システムで使用可能なユーザ固有の第1署名鍵と、当該匿名通信システムで使用するユーザ固有の第2署名鍵とにより二重に電子署名が付された署名付きデータを生成する段階と、この署名付きデータをユーザコンピュータから管理者コンピュータに提供する段階と、管理者コンピュータが、第1署名鍵と対をなす第1公開鍵と第2署名鍵と対をなす第2公開鍵を用いて電子署名を検証する段階と、電子署名の正当性が検証されたときに、管理者コンピュータが署名付きデータを含むユーザデータを登録する段階とを含むことを特徴とする。
上記方法において、第2署名鍵を管理者コンピュータによって生成し、管理者コンピュータからユーザコンピュータに提供することができる。この場合、管理者コンピュータは、ユーザコンピュータから提供された第1署名を検証した後に、第2署名鍵を暗号化してユーザコンピュータに提供し、ユーザコンピュータが第1署名鍵と第2署名鍵とにより二重に暗号化された電子署名付きのデータを生成し、これを管理者コンピュータに提供するという手順を採用することができる。
また、上記方法において、第2署名鍵をユーザ固有の公開鍵ペアの秘密鍵とし、ユーザコンピュータから管理者コンピュータに提供し、管理者コンピュータが公開鍵ペアの公開鍵に対してユーザの識別情報を含まない匿名公開鍵証明証を発行するという手順を採用することもできる。あるいは、ユーザコンピュータが、管理者コンピュータとの通信を介して、第2署名鍵を当該匿名通信システムの第2公開鍵で検証可能に生成し、生成した第2署名鍵を管理者に対して秘密に保持するという手順を採用することもできる。さらに、第2署名鍵にグループ署名の署名鍵を使用し、第2署名鍵をグループ署名における署名鍵の生成手順に従って生成することもできる。
本発明のシステムおよび方法によれば、ユーザが別の通信システムで信用を得た署名鍵を利用して新たな匿名通信システムに加入するので、高い匿名性を確保できるとともに、必要に応じてユーザを特定することもでき、もって、当該通信システムの社会的信頼性を高めることができるという効果がある。
以下、本発明の実施形態を図面に基づいて説明する。図1に示す複合的匿名通信システム100は、第1匿名通信システム1と第2匿名通信システム2と第3匿名通信システム3とから構成されている。第1匿名通信システム1は、各ユーザの身許を特定するための識別情報をシステム管理者に提供することを条件に加入が認可されるシステムである。具体的には、実ユーザは公開鍵ペア(公開鍵と署名鍵)を保持しており、公開鍵に対しては、公開鍵基盤の認証局からITU-T X.509準拠の公開鍵証明証の発行を受けている。X.509公開鍵証明証の発行は、認証局によるユーザの身元の確認を伴い、X.509証明証にはユーザを一意に特定する識別情報が記載される。実ユーザが第1匿名通信システム1に登録し、第1匿名通信システム1内に仮想ユーザ1のアカウントを作成する際には、このX.509公開鍵証明証の登録が求められるものとする。これにより、第1匿名通信システムの管理者は、仮想ユーザ1の識別情報を知ることができる。
登録された仮想ユーザ1のアカウントには、匿名公開鍵1と匿名署名鍵1が保持される。匿名公開鍵1は、管理者1が発行する匿名公開鍵証明証1(図示略)に指定される。匿名公開鍵1、及び、匿名公開鍵証明証1は、ユーザを特定しないように構成される。例えば、匿名公開鍵1と匿名署名鍵1とは、通常の公開鍵暗号における公開鍵ペアとするが、匿名公開鍵証明証1は管理者1が当該ユーザの識別情報を記載せずに発行する公開鍵証明証とする。公開鍵ペアそのものはユーザ固有ではあるが、匿名公開鍵証明証1から署名者を特定できないので、仮想ユーザ1は匿名で署名を行うことができる。一方、匿名公開鍵証明証1は第1匿名通信システム1の管理者が署名しているので、匿名署名鍵1による署名付きデータの受領者は、第1匿名通信システム1に正しく登録しているユーザが署名したデータであることを検証することができる。更に、第1匿名通信システム1が「ユーザ登録時にX.509証明証に基づいた身許の確認を行う」旨のポリシーを公開することにより、前記受領者は、自らは署名者の身許はわからないものの、第1匿名通信システム1において正しく身許が確認されたユーザであることを知ることができる。別の例として、匿名公開鍵1をグループ署名の公開鍵、匿名署名鍵1をグループ署名の署名鍵とすることもできる。この場合、匿名公開鍵1は第1匿名通信システム1のユーザ全てに共通の鍵となり、かつ、匿名公開鍵証明証1はグループ、この場合、第1匿名通信システム1の公開鍵証明証となり、いかなるユーザかを特定する情報とはならない。グループ署名の機能から、匿名署名鍵1はユーザ毎に固有の異なる鍵となるが、匿名署名鍵1により生成される署名は、共通のグループ公開鍵、即ち、匿名公開鍵1により検証可能である。
これに対し、第2および第3匿名通信システム2、3は、それぞれ、ユーザが自身の身許を特定するための識別情報をシステム管理者に提供することなく、登録が認可されるシステムである。実際、仮想ユーザ1が第2匿名通信システム2に仮想ユーザ2を登録してアカウントを作成するにあたり、管理者2への匿名公開鍵証明証1の提出が求められる。前述のように、匿名公開鍵証明証1には第1匿名通信システムの管理者1の署名が付されているので、管理者2は仮想ユーザ1が第1匿名通信システム1の正しいユーザであることを確認できるが(正確には受領証データ2の署名を検証することで確認するが、詳しくは後述)、仮想ユーザ2を特定することはできず、従って、実ユーザを特定することもできない。匿名公開鍵証明証1にはユーザを特定する情報が記載されないからである。仮想ユーザ2が、第3匿名通信システム3に仮想ユーザ3を登録してアカウントを作成する場合も同様である。第3匿名通信システムにおいてユーザ登録データの一部として保持される匿名公開鍵証明証2は、仮想ユーザ2を特定せず、従って、仮想ユーザ1及び実ユーザを特定することはない。
ただし、本発明の複合的匿名通信システム100は、図1の実施例に示すような単純な階層構造に限定されず、任意数の匿名通信システム間の自由なネットワーク構成を取り得る。例えば、第3匿名通信システム3に仮想ユーザ3を登録するために、第1匿名通信システム1のアカウントを利用、即ち、匿名公開鍵証明証1を登録しても構わないし、また、実ユーザの身許を特定するX.509公開鍵証明証を登録してアカウントを作成しても構わない。どの匿名通信システムの匿名公開鍵証明証を受理するか、または、匿名公開鍵証明証とX.509公開鍵証明証が混在する登録を認めるかは、その匿名通信システムのポリシーで決められるべき事項である。
図4は、より自由な複合的匿名通信システム200の構成例を示す。第1匿名通信システム1は、ユーザ登録に際して、「実ユーザの身許の確認を実施し、実ユーザの識別情報が記載されたX.509公開鍵証明証を登録する」というポリシーをもつ。図中、矢印はどのユーザに基づいて新たな仮想ユーザが作成されるかを示し、実線矢印は身許の確認を伴う実ユーザからのユーザ登録、破線矢印は仮想ユーザに基づき匿名で行われるユーザ登録を示す。実際、仮想ユーザ11、12、及び、13は、それぞれ、実ユーザ1、2、及び、3が身許を管理者1に対して証明して作成した仮想ユーザである。一方、第2匿名通信システム2は、「実ユーザの身許の確認を伴う仮想ユーザの登録のみを認める」というポリシーを有する。仮想ユーザ11、及び、12はこのポリシーの条件を満たすので、仮想ユーザ11、及び、12に基づいて、仮想ユーザ21、及び、22が作成される。この時、第2匿名通信システム2に登録される公開鍵証明証は、仮想ユーザ11、及び、12の匿名署名を検証するための匿名公開鍵証明証であり、前述のように、匿名公開鍵証明証からユーザを特定することはできない。同様に、第3匿名通信システム3は、「仮想ユーザに基づく匿名の登録と、実ユーザに基づく身許確認を伴う登録の両方を受理する」というポリシーを有し、第4匿名通信システム4は「任意の仮想ユーザに基づく匿名登録を受理する」というポリシーを有する。
図2は図1に基づいて、ユーザ登録を更に詳しく説明するためのものである。ユーザ登録においては、仮想ユーザ、または、実ユーザの公開鍵証明証を登録するのみではなく、当該ユーザによる署名がなされた受領証データを登録する。例えば、受領証データ1は、登録を行った実ユーザの署名鍵と、登録によって作成された仮想ユーザ1の匿名署名鍵1とにより、二重に署名されたデータである。図中、矢印は、矢印の始点が示す署名鍵により終点が示すデータが署名されていることを示す。匿名署名鍵1は、管理者が生成して実ユーザに送付する、ユーザが独自に生成する、ユーザと管理者が通信を介して生成する等の方法が考えられ、各匿名通信システムにおける匿名署名の方式、例えば、グループ署名の個別のアルゴリズムに依存する。ユーザが匿名署名鍵の生成に関わる場合は、匿名署名鍵を管理者に対して秘密にすることが目的であり、これにより厳密な否認拒否性が成り立つ。同一の受領証データに対して、二つの鍵で二重に署名する狙いは、二つのユーザ、すなわち、登録の基礎となった実ユーザと、登録の結果作成された仮想ユーザ1とを、結びつける点にある。この意味は、後述する。同様に、仮想ユーザ2を仮想ユーザ1に基づいて作成するためには、仮想ユーザ1は受領証データ2に対して、匿名署名鍵1と匿名署名鍵2を用いて二重に署名する。署名済み受領証データ2は、仮想ユーザ2が、実は、仮想ユーザ1であることの証拠となる。
図3は、ユーザ間の紛争、捜査機関の要請など、有事の際に、ユーザの身許を特定する手順を示す。第3匿名通信システム3の管理者3は、匿名署名鍵3による署名付きデータと、当該署名を検証するための匿名公開鍵3を記載した匿名公開鍵証明証3を、ユーザの身許の開示請求とともにうけとる。管理者3は、まず、匿名公開鍵3により当該署名が正しく検証されることを確認し、ついで、開示請求の理由を審査する。匿名通信システムのポリシーに照らして、開示請求理由が妥当である場合は、匿名公開鍵証明証3と署名付きデータから、署名者である仮想ユーザ3のユーザ登録データを特定する。これは、例えば、以下のように実施される。匿名公開鍵3が仮想ユーザ3に固有のデータである場合、つまり、仮想ユーザ2が匿名署名鍵3と匿名公開鍵3を独自に作成し、管理者3が仮想ユーザ2の識別情報を含まない匿名公開鍵3の匿名公開鍵証明証3を生成した場合、ユーザ固有の匿名公開鍵3を検索のキーとしてユーザ登録データを特定できる。また、匿名公開鍵3がグループ署名の公開鍵である場合、匿名公開鍵3はグループで共通であり、匿名公開鍵証明証3もグループで共通である。しかしながら、グループ署名の機能により、管理者3は管理者の秘密である管理者鍵を用いることにより、署名者である仮想ユーザ3を特定できる。ここでは、グループ署名の方式により、匿名署名鍵3そのものを特定できる場合もあり、また、仮想ユーザ3の識別子を特定できる場合もある。いずれの場合も、得られた情報をもとに、ユーザ登録データを特定することができる。
前記特定されたユーザ登録データには、匿名公開鍵証明証2と受領証データ3が含まれている。受領証データ3は、仮想ユーザ2によって匿名署名鍵2による署名が施されているので、管理者3が匿名公開鍵証明証2と受領証データ3をユーザの身許の開示請求とともに管理者2に送付すると、管理者2は前述と同じ方法で、仮想ユーザ2のユーザ登録データを特定することができる。更に、管理者2は、特定されたユーザ登録データ中の匿名公開鍵証明証1と受領証データ2とを開示請求とともに、管理者1に送付する。管理者1は、前述と同じ方法で、仮想ユーザ1のユーザ登録データを特定する。
仮想ユーザ1のユーザ登録データには、実ユーザのX.509公開鍵証明証が登録され、当該公開鍵証明証には実ユーザの識別情報が記載されているので、実ユーザを特定することが可能となる。
管理者1は、特定した実ユーザの識別情報を、開示請求の請求元である管理者2に回答し、管理者2は、得られた実ユーザの識別情報を、開示請求元である管理者3に回答する。最後に、管理者3は、もともとの開示請求の請求元に得られた実ユーザの識別情報を回答する。これにより、開示請求の請求元は、匿名署名鍵3による署名付きデータから署名を行った実ユーザを特定することが可能となる。
図3を用いて、否認拒否性について説明する。否認拒否性とは、署名者が署名の事実を否認できないことを保証するもので、電子署名の基本要件のひとつである。即ち、ある署名がある公開鍵を用いて検証された場合、当該署名が当該公開鍵と数学的に紐付けられた特定の署名鍵を用いて生成されたことを、数学的に証明できる性質を指す(正確には、当該署名鍵を用いずに生成される確率が天文学的に小さいことを証明することができる)。即ち、否認拒否性により、署名鍵の所有者が署名を行ったことを証明することが可能となる。厳密には、署名鍵を認証局が生成してユーザに発行することは一般に行われており、その場合、署名鍵を知る者は認証局と署名鍵の所有者であるユーザの二者となるが、認証局は信頼できる第三者(Trusted Third Party)と認定されるため、当該ユーザは署名の事実を否認できない。
図3で求められている否認拒否性は、管理者3に提出された、匿名署名鍵3による署名付きデータに関して、仮想ユーザ3の実体である実ユーザが署名の事実を否認できないことを意味する。この事実は、以下のように、再帰的に証明できる。まず、受領証データ1には、X.509公開鍵証明証に記載の公開鍵で検証可能な署名が付されている。従って、実ユーザは、受領証データへの署名の事実を否認することはできない。一方、受領証データには匿名署名鍵1による署名も付されているので、実ユーザは受領証データへの匿名署名鍵1への署名の事実を否認できず、即ち、匿名署名鍵1を所持している事実を否認できない。次いで、受領証データ2には、匿名署名鍵1による署名が付されているので、否認拒否性より、実ユーザは受領証データ2への匿名署名鍵1による署名の事実を否認できず、受領証データ2には匿名署名鍵2による署名が付されているので、前記の理由により、実ユーザは匿名署名鍵2を所持している事実を否認することはできない。更に、同様の議論を、受領証データ3についても適用すると、実ユーザは匿名署名鍵3を所持している事実を否認することはできない。最後に、開示請求とともに管理者3に提示された署名付きデータは匿名署名鍵3により署名されているので、実ユーザは当該署名付きデータへの署名の事実を否認することはできない。
図5は、上述した複合的匿名通信システム100または200に含まれる一つの匿名通信システム10の構成を示し、図6は該通信システム10におけるデータの授受を示す。図5、図6に示す匿名通信システム10は、当該匿名通信システム10に加入するユーザが操作するユーザコンピュータ11と、匿名通信システム1,2の管理者が操作する管理者コンピュータ21とを備えている。そして、ユーザコンピュータ11と管理者コンピュータ21とがインターネット40またはその他の通信回線を介して接続されている。
ユーザコンピュータ11には、署名鍵保持部12、署名付きデータ生成部13、CPU14、メモリ15、通信インターフェース16が設けられている。署名鍵保持部12には、当該匿名通信システム10とは別の匿名通信システムで使用可能なユーザ固有の第1署名鍵41と、当該匿名通信システム10で使用できるように管理者コンピュータ21から提供されたユーザ固有の第2署名鍵42とが保持されている。署名付きデータ生成部13では、第1署名鍵41により署名された電子署名付きの加入申込みデータ43が生成されるとともに、第1署名鍵41と第2署名鍵42で二重に署名された電子署名付きデータである受領証データ44(図1に示す受領証データ1,2,3に相当)が生成される。
管理者コンピュータ21には、第2署名鍵生成部22、署名検証部23、ユーザデータ登録部24、ユーザ特定部25、ユーザ照会部26、CPU27、メモリ28、通信インターフェース29が設けられている。第2署名鍵生成部22は、ユーザごとに異なる第2署名鍵42を生成し、通信インターフェース29を介してユーザコンピュータ11に提供する手段として機能する。署名検証部23は、第1署名鍵41と対をなす第1公開鍵51を用いて加入申込みデータ43の電子署名を検証するとともに、第1公開鍵51に加え第2署名鍵42と対をなす第2公開鍵52を用いて受領証データ44の電子署名を検証する。
そして、匿名通信システム1,2への加入時には、ユーザコンピュータ11が加入申込みデータ43を管理者コンピュータ21に提供し、管理者コンピュータ21が加入申込みデータ43の電子署名を検証した後に、第2署名鍵42を生成してユーザコンピュータ11に提供し、第2署名鍵42を受け取ったユーザコンピュータ11が二重署名付きの受領証データ44を管理者コンピュータ21に提供し、管理者コンピュータ21が受領証データ44の電子署名を検証し、その電子署名の正当性を検証できたときに、受領証データ44を含むユーザデータをユーザデータ登録部24に登録するようになっている。
ユーザデータ登録部24に登録されるユーザデータには、受領証データ44に加え、第1署名鍵41と対をなす第1公開鍵51が記載された第1公開鍵証明証53と、第2署名鍵42と対をなす第2公開鍵52が記載された第2公開鍵証明証54とが含まれる。例えば、図1に示す第1匿名通信システム1へのユーザ登録がユーザの身許の確認を要求する場合には、第1公開鍵証明証53は、ユーザ固有の公開鍵と識別情報を記載した、例えば、ITU-T X.509準拠の公開鍵証明証である。この場合、システム管理者は、必要に応じて、ユーザデータからユーザを一意に識別することができる。一方、図1に示す第2匿名通信システム2がユーザの身許の確認を要求しない場合は、第1公開鍵証明証53にはユーザの識別情報は記載されない。この場合、第1公開鍵証明証53は、ユーザの仮名のみを記載した匿名公開鍵証明証とすることもできるし、グループ署名におけるグループの公開鍵とグループの識別情報を記載した公開鍵証明証とすることもできる。
一方、第2匿名通信システム2は、ユーザに匿名通信を提供しているため、第2公開鍵証明証54は、ユーザの識別情報を含まない、例えば、ユーザの仮名のみを記載した匿名公開鍵証明証やグループ署名におけるグループの公開鍵とグループの識別情報を記載した公開鍵証明証となる。前者の例では、第2署名鍵42はユーザ毎に異なる署名鍵となり、第2署名鍵42と対をなす第2公開鍵52もユーザ毎に異なるが、第2公開鍵証明証54には仮名のみが記載され、ユーザを識別しないため、通信相手は第2公開鍵証明証54に記載された第2公開鍵52により第2署名鍵42による署名の検証を行うことができても、署名者の特定はできない。後者の例では、第2署名鍵42はグループ署名の署名鍵であるため、通信相手は第2公開鍵証明証54に記載された第2公開鍵52により第2署名鍵42による署名の検証を行うことができる。グループの公開鍵である第2公開鍵52はグループに所属する全てのメンバー(この場合、第2匿名通信システム2に登録を行ったすべてのユーザ)に共通であるため、検証に伴って署名者を特定することは原理的に不可能である。但し、仮名公開鍵証明書を用いた前者の例では、ユーザ毎に異なる第2公開鍵52で署名検証を行うため、二つの署名が与えられた時、それが同一の第2署名鍵によるものであるか否かは判別することができる。一方、グループ署名による後者の例では、全ての署名の検証に同一の第2公開鍵52を使用するため、第2署名鍵の同一性の判別も不可能である。すなわち、後者の例の方が、追跡不可能性を満足している点で、より高い匿名性の水準を満足していると云える。
管理者は、第2署名鍵42による通信内容への署名に基づいて、署名者を登録情報上で識別する作業を行うことができる。この作業が必要となる例として、通信者間の紛争が考えられる。例えば、ネット上の販売サイトとその顧客が通信を通して契約を行う場合、顧客は支払い同意書に署名を行って、販売サイトに送付するとする、この時、顧客がプライバシーの観点から身許を販売サイトに知られたくないという要求があれば、顧客は自身の第2署名鍵42による署名を行う。販売サイトは第2公開鍵52によって署名を検証することで、支払いの意思を確認することができるが、第2公開鍵証明書から顧客の身許を特定することはできない。この後、万が一、顧客が支払いを行わなかった場合、販売サイトは顧客を特定して督促等の手段を講じなければならないが、この時、販売サイトは、顧客が送付した第2署名鍵42による署名と、署名検証に用いた第2公開鍵証明書54とを管理者に提示する。一方、管理者は、署名と第2公開鍵証明証54とから、ユーザデータ登録部24に登録されたユーザ登録データを特定する。例えば、第2公開鍵証明証54が前記仮名証明証である場合には、第2公開鍵証明証54に記載されている公開鍵はユーザ固有であることから、当該公開鍵を検索のキーとして、ユーザ登録データの特定が可能である。また、第2公開鍵証明証54に記載されている公開鍵がグループ署名の公開鍵である場合には、グループ署名の仕組みを用いて、管理者の秘密である管理者鍵を用いることにより、署名値から第2署名鍵42を識別することができ、よって、ユーザ登録データを特定することが出来る。
ユーザ登録データに、ユーザの識別子が記載された第1公開鍵証明証53が含まれている場合、例えば、第1公開鍵証明証53がITU-T X.509に準拠する公開鍵証明証である時、当該証明証に記載されている識別情報によりユーザを特定することができる。一方、第1公開鍵証明証53がユーザの識別情報を含まない場合、ユーザ登録データのうち、第1公開鍵証明証53と署名済み受領証データ44とを匿名通信システム10の管理者に送付することにより、匿名通信システム10の管理者をして、ユーザを特定せしめることができる。例えば、第1公開鍵証明証53が前記匿名公開鍵証明証である場合、第1公開鍵証明証53に記載の公開鍵はユーザ固有であり、当該公開鍵を検索のキーとして、匿名通信システム10の管理者は匿名通信システム10におけるユーザ登録データを特定できる。第1公開鍵証明証53がグループ署名の公開鍵である場合は、グループ署名の仕組みを用いて、受領証データ44の署名から第1署名鍵を識別することができ、よって、匿名通信システム10におけるユーザ登録データを特定できる。
前記のように、ユーザの識別情報の特定は再帰的な問い合わせによって実行される。ある匿名通信システムの管理者は、第1公開鍵証明証53からユーザの識別情報が得られない場合、別の匿名通信システムの管理者に問い合わせを行う。別の匿名通信システムの管理者も、自身の匿名通信システム1のユーザ登録データ中の公開鍵証明証53から、問い合わされたユーザの識別情報が得られない場合は、更に別の匿名通信システムの管理者に問い合わせを行う。このような再帰的問い合わせにおいて、最終的にユーザの識別情報が得られる保証が必要であるが、時系列的に最初に形成される匿名通信システム(例えば、図1、図4に示す第1匿名通信システム1)においては、ユーザ登録時にユーザ識別情報を記載した第1公開鍵証明証、例えば、ITU-T X.509準拠の公開鍵証明証に基づいてユーザ登録を行わざるを得ないので、階層的に構築された匿名通信システム群(複合的匿名通信システム)においては、再帰的問い合わせには最終的に回答がもたらされる。
次に、上記のように構成された匿名通信システム10にユーザが加入するための方法を主に図7に基づいて説明する。図7は、ユーザが匿名通信システム10に加入する際にユーザコンピュータ11と管理者コンピュータ21とが実行する加入申込み手続きを示すフローチャートである。まず、ユーザが加入申込み操作(Web画面等において加入申込みボタンやリンクをクリックする等)を行うと、加入申込み手続きが開始し(S101)、ユーザコンピュータ11は加入申込みデータ43を生成し(S102)、第1署名鍵41を用いて加入申込みデータ43に電子署名を行い(S103)、管理者コンピュータ21に送信する(S104)。
ユーザコンピュータ11から加入申込みデータ43を受信すると、管理者コンピュータ21は、第1公開鍵51を用いて加入申込みデータ43の電子署名を検証する(S105)。そして、電子署名の正当性を検証できなかったときは(S106:No)、加入を拒否し、加入申込み手続きを終了させる(S116)。電子署名の正当性を検証できたときは(S106:Yes)、管理者コンピュータ21が、第2署名鍵生成部22で第2署名鍵42を生成し(S107)、これをユーザコンピュータ11のみが復号できるよう暗号化して(S108)、ユーザコンピュータ11に送信する(S109)。
管理者コンピュータ21から第2署名鍵42を受信すると、ユーザコンピュータ11は、受領証データ44を生成し(S110)、第1署名鍵41および復号した第2署名鍵42を用いて、受領証データ44に二重の電子署名を行い(S111)、この署名付きデータを管理者コンピュータ21に送信する(S112)。
ユーザコンピュータ11から受領証データ44を受領すると、管理者コンピュータ21は、第1,2公開鍵51,52を用いて、受領証データ44の二重の電子署名を検証する(S113)。そして、二重の電子署名のうちいずれか一方でもその正当性を検証できなかったときは(S114:No)、加入を拒否し、加入申込み手続きを終了させる(S116)。また、二重の電子署名全ての正当性を検証できたときは(S114:Yes)、ユーザデータ登録部24に二重署名付き受領証データ44、第1公開鍵証明証、および、第2公開鍵証明証を登録した後に(S115)、加入申込み手順を終了させる(S116)。
したがって、この匿名通信システム10によれば、ユーザはこれまで別の通信システムで使用してきた署名鍵を第1署名鍵41として、当該署名鍵で署名した加入申込みデータ43および受領証データ44をシステム管理者に提示することで、自身の身許を明かすことなく新たな匿名通信システムに加入することが可能となるので、必要以上に自分のプライバシーを晒すことなく、高度の匿名性が保証されたコミュニティでより広範囲のユーザと各種データを交換し合うことができる。特に、この実施形態の匿名通信システム10は、加入申込みデータ43の電子署名を検証できたことを条件にして、管理者コンピュータ21が第2署名鍵42をユーザコンピュータ11に提供するように構成されているので、悪意ある参入者を事前に排除し、システムの安全性、信頼性を高めることもできる。
また、管理者コンピュータ21は、加入申込みデータ43中の第1署名鍵41をそのユーザの信用性の証として検証するのみならず、受領証データ44中の第1署名鍵41を必要に応じてそのユーザを特定するための情報として利用することで、ユーザの匿名性を犠牲にすることなく、システムの安全性ならびに社会的信頼性をより一層高めることができる。図8は、管理者コンピュータ21が受領証データ44を利用してユーザを特定するための手続きを例示する。
図8に示すフローチャートにおいて、ユーザ特定手続が開始されると(S201)、まず、管理者コンピュータ21は匿名通信システム10の内外からシステム加入者に関する問合せ情報を受信する(S202)。次に、問い合わせ情報に含まれる第2署名鍵42により署名されたデータ、及び、第2公開鍵証明証54を取得する。第2公開鍵証明証54が当該匿名通信システムで共通である場合には、第2公開鍵証明証54を問い合わせ情報に含める必要はない。更に、第2公開鍵証明証54に記載されている第2公開鍵52を用いて、前記署名付きデータの署名を検証し、検証が失敗した場合には、不正な問い合わせと判断してユーザ特定手続きを終了させる。署名の検証が成功した場合には、引き続いて、問合せの理由を精査し、その理由が正当であるかどうかを判断する(S203)。問合せ理由に正当性がない場合には、問い合わされたユーザ(システム加入者)の個人情報を保護するためにユーザ特定手続を終了させる(S208)。問合せ理由に正当性がある場合には、問い合わされたユーザに関するユーザ登録データをユーザデータ登録部24から読み出す(S204)。この時、ユーザ登録データを特定する方法は、第2署名鍵42と第2公開鍵52の構成方法に依存して異なる。例えば、第2公開鍵証明証54が、ユーザ固有の公開鍵を記載する匿名公開鍵証明証である場合には、第2公開鍵署名証54を検索キーとして、ユーザ登録データを特定することができる。また、第2公開鍵証明証54が、グループ署名の公開鍵を記載する公開鍵証明証である場合には、第2公開鍵証明証54はユーザに依存しないグループ(匿名通信システム)共通のデータであるので、検索キーとして用いることはできない。しかし、グループ署名の機能から、管理者の秘密である管理者鍵を利用することで、問い合わせ情報に付随する署名データから第2署名鍵42を識別することが可能である。ユーザデータ登録部24において第2署名鍵42の識別情報とユーザ登録データとを紐づけておけば、ユーザ登録データを特定することが可能となる。
続いて、管理者コンピュータ21は、読み出したユーザ登録データ中にユーザを一意に識別可能な情報が含まれているか否かを判断する(S205)。例えば、ユーザが、ユーザ固有の識別情報と固有の公開鍵を記載した第1公開鍵証明証53、例えば、ITU-T X.509準拠の公開鍵証明証を提示してユーザ登録を行った場合には、当該第1公開鍵証明証53からユーザの識別情報を取得することができる。そして、受領証データ44中に一意の識別情報が含まれている場合には、ユーザ特定部25がその識別情報からユーザの身許を特定する情報を抽出し(S206)、ユーザ特定手続を終了させる(S208)。一方、読み出したユーザデータ中に一意の識別情報が含まれていない場合には、ユーザ照会部26が二重署名付きデータである受領証データ44と第1公開鍵証明証53を提示して別の匿名または非匿名の通信システムの管理者にそのユーザの身許を照会した後に(S207)、ユーザ特定手続を終了させる(S208)。
したがって、この実施形態の匿名通信システム10によれば、システム自身がユーザの身許を特定するための具体的な情報を保持していない場合でも、二重署名付き受領証データ44中の第1署名鍵41を利用して他の通信システムの管理者に問題あるユーザの身許を照会し、照会により得られたユーザデータを当該匿名通信システム10のセキュリティ強化に活用し、もって、システムの社会的信頼性をより確かなものとすることができる。
図9および図10は匿名通信システムの別の実施例を示すもので、それぞれ、第2署名鍵を管理者コンピュータ21が生成するのではなく、ユーザコンピュータ11が生成するように構成されている。その他の構成は、前記実施例と同様であり、図面に同一符号を付して重複する説明を省き、以下に相違点について説明する。
図9に示す匿名通信システムでは、ユーザコンピュータ11にユーザ固有の公開鍵ペアを生成する手段として公開鍵ペア生成部17が設けられている。公開鍵ペアは、ユーザ固有の秘密鍵(または個人鍵)46と、その秘密鍵46に対をなす匿名公開鍵55とからなっている。管理者コンピュータ21には、公開鍵ペアの匿名公開鍵55に対してユーザの識別情報を含まない匿名公開鍵証明証56を発行する手段として匿名公開鍵証明証発行部30が設けられている。そして、匿名通信システム10への加入時には、ユーザコンピュータ11が第1署名鍵41と第2署名鍵である秘密鍵46を用いて、匿名公開鍵55を含むデータに二重に署名して署名付きデータ47とし、署名付きデータ47を管理者コンピュータ21に提供するように構成されている。通常、公開鍵証明証の発行を認証局に依頼する際には、証明証署名要求(CSR、Certiricate Signing Request)を生成し、認証局に送付する。通常、証明証署名要求は、鍵所有者の識別情報と証明証に記載されるべき公開鍵が含まれ、対応する署名鍵で署名される。本発明における署名付きデータ47は、ユーザの識別情報を含まず、匿名公開鍵55を含むデータに秘密鍵46を用いて署名を付したものに、更に、第1署名鍵41により署名を付したデータとすることが出来る。管理者が生成する匿名公開鍵証明証56は第2公開鍵証明証、匿名公開鍵55は第2公開鍵として用いられる。
図10に示す匿名通信システムでは、ユーザコンピュータ11に、第2公開鍵52によって検証可能な第2署名鍵48を管理者コンピュータ21との通信を介して生成する第2署名鍵生成部18と、生成した第2署名鍵48をシステム管理者に対して秘密に保持する署名鍵保持部12とが設けられている。一方、管理者コンピュータ21には、ユーザコンピュータ11との通信により第2署名鍵48の生成を補助する第2署名鍵生成補助部31が設けられている。そして、匿名通信システム10への加入時に、ユーザコンピュータ11が自身で生成した第2署名鍵48と第1署名鍵41とで二重に署名した署名付きデータ47を管理者コンピュータ21に提供するように構成されている。
図9および図10に示す匿名通信システムによれば、第2署名鍵をユーザコンピュータ11自身が生成するように構成されているので、当該匿名通信システムで使用する秘密鍵46または第2署名鍵48をシステム管理者に対して秘匿することができるので、前記実施例と比較し、否認拒否性を厳密に満足する。即ち、前記実施例では、第2署名鍵はユーザと管理者で共有しているため、署名付きデータが与えられた時、悪意の管理者がユーザになりすまして署名を行った事実を否定できない。一方、図9及び図10の実施例では、第2署名鍵はユーザのみの秘密であるため、否認拒否性が厳密に成立する。
以上詳述したように、本発明によれば高度の匿名性と厳密な否認拒否性が保証されるので、産業上の多様な分野において本発明の匿名通信システムを実用化することができる。本発明の実用化の例として、以下に図書館システムとオンラインオークションについて説明する。
図書館業務においては、個人への貸し出しのプライバシーを守ることは、憲法に定められた信条の自由を守る上で重要である。コンピュータが導入される以前では、ブラウン方式・逆ブラウン方式などの方法が利用されてきた。ブラウン方式では、図書館の利用者には氏名・連絡先などが記載された袋状の貸出券が配布され、各図書には書誌情報を記載したブックカードが用意される。図書を貸し出す時には、貸出券にブックカードを挿入し、返却時まで保管する。図書の返却時には、貸出券のみを利用者に返却する。この方法により、図書を返却してしまえば、当該図書を借り出した記録は一切残らず、プライバシーを守ることができる一方、図書が貸し出されている間は、図書館は誰が書籍を借り出しているかを知ることができ、貸出期限を超過した時に返却を督促するなど、問題が出来した際に適切な対応を取ることができる。逆ブラウン方式は、貸出券とブックカードの形状を逆にした方式である。ブラウン方式・逆ブラウン方式を用いた場合でも、貸出期間中は書籍と利用者の関係を知ることができ、この間に不法に記録をとることは可能であるので、完全にプライバシーを保護できるわけではない。コンピュータが導入されてからは、この方式が用いられることはなくなったが、コンピュータにより、方式をエミュレートすることは可能である。しかし、その場合でも、通常の方法では利用者のプライバシーを完全に保護することが不可能であるだけではなく、コンピュータシステムへの外部侵入など、その危険は増大し、また、実行者を特定することはより困難となる。
本発明を利用することで、この問題を本質的に解決することが可能となる。以下に述べる例は、全ての図書館で共有する基幹システムと、各図書館が個別に運用する個別システムとからなる。基幹システムの機能は利用者の識別情報を管理すること、個別システムの機能は図書の貸出業務を実行することである。まず、利用者は、自らの身元を証明して基幹システムに登録を行う。住民基本台帳カードを利用して登録を行う際、即ち、利用者の識別情報として、当該カード中に記録された公開鍵証明証を用いる際には、オンラインでインターネットから登録を行うことができる。運転免許証・健康保険証などの紙媒体の書類を用いて識別を行う場合には、来館して対面で登録を行う。登録のための審査に合格すると、基幹システムは、当該利用者固有のグループ署名の署名鍵を生成する。このグループ署名鍵を、「共通署名鍵」と呼ぶ。共通署名鍵は、一切のデータを記録していない新しいICカードに記録され、利用者に郵送されるか、手交される。このICカードを、「図書館利用共通カード」と呼ぶ。基幹システムへの登録は、氏名・住所など、識別情報が変更されない限りは、どの図書館を利用する場合でも、一度でよい。
次に、利用者は利用したい図書館に登録を行う。例えば、市町などの地方公共団体が運用する図書館を利用する場合を考える。利用者は、該当する図書館(以下、個別図書館と呼ぶ)に赴く。図書館は、利用者の図書館利用共通カードに記録された共通署名鍵を用いて登録申し込みデータに署名するように利用者を促し、署名された登録申し込みデータを基幹システムにオンラインで送付する。個別図書館は、特定の地方公共団体が住民に対して提供しているサービスであるので、申し込みを行った利用者が当該公共団体に所属していることを確認することが目的である。グループ署名の特性から、基幹システムは登録申し込みデータの署名から利用者を特定し、居住地情報から当該公共団体の地域に住所を有しているか否かのみを、個別図書館に対して回答する。個別図書館は、利用者が該当する地域に住所を有することを確認し、登録作業を行う。登録作業では、グループ署名に基づいて利用者固有のグループ署名鍵を生成し、利用者の図書館利用共通カードに記録する。このグループ署名鍵を「個別署名鍵」と呼ぶ。この際、個別署名鍵受領データを作成し、当該利用者の共通署名鍵と個別署名鍵による二重署名とともに、システム内で記録する。
利用者が図書を借り出す際には、図書館利用共通カードを提示する。図書館は、当該図書の貸出データを作成し、当該貸出データに対して当該図書館が発行した個別署名鍵で署名するよう利用者を促し、さらに、その図書館のグループ公開鍵を用いて署名を検査する。署名が検証できた場合に限り、そのデータを署名とともに記録する。署名はグループ署名に従っているため、署名のプロセスにおいて利用者個人を識別する情報が流出することはなく、誰がその図書を借り出したのか判定できない。
一方、貸出期限を過ぎても図書を返却しない場合など、図書を借り出した利用者を特定する必要がある場合には、貸出データの署名から、当該利用者の個別署名鍵受領データを特定する。これは、グループ署名の特性から可能である。個別署名鍵受領データは、当該利用者の共通署名鍵による署名も施されているので、個別署名鍵受領データを署名と共に基幹システムに送付すれば、基幹システムは、登録された当該利用者の識別情報を検索することが可能である。基幹システムは、図書館による身元開示要求が正当と判断された場合にのみ、識別情報のうち当該図書館が業務を実施する上で必要な情報のみを当該図書館に回答する。
上記の例では、図書の貸出に際してグループ署名鍵である「個別署名鍵」で署名するため、図書館は利用者が登録済みであることを確認することはできても、その身元を識別することはできない。一方、有事の際には、個別署名鍵の署名から検索される共通署名鍵による署名を基幹システムに提示することにより、各図書館は利用者の識別を行うことが可能となる。
次に、本発明をオンラインオークションに実用化したシステムについて説明する。このシステムは、複数のオークション主催者に対して「会場」を提供する基幹システムと、オークションを主宰する主催者システムとからなる。オークションの参加者は、まず、基幹システムに登録して、会員資格を取得する。登録に際して、参加者は住民基本台帳カードなど、公的機関や金融機関が発行した公開鍵証明証と署名鍵を用いて、身元の証明を行う。この署名鍵を「基本署名鍵」と呼ぶ。一方、身元の確認の後、基幹システムは参加者にグループ署名を発行するが、このグループ署名鍵を「会員署名鍵」と呼ぶ。基幹システムは、参加者の登録に際して、基本署名鍵と会員署名鍵とで二重に署名された会員署名鍵受領データをシステム内に記録する。受領データは基本署名鍵により署名されているため、会員を識別する情報となるとともに、会員が会員署名鍵を受領した事実を否認できない否認拒否性を有する。
参加者が特定のオークションに参加する場合には、当該オークションの主催者システムに登録する。登録に際しては、会員署名鍵を用いる。主催者システムは、会員にグループ署名鍵である参加者署名鍵を発行するが、その際、参加者署名鍵受領データに参加者署名鍵と会員署名鍵の両方で署名することを求める。署名された受領データは主催者システムに記録される。
オークションの参加者は、匿名でオークションに参加することができる。即ち、入札に際しては、入札額を含む入札データに参加者署名鍵で署名し、主催者に送付する。参加者署名鍵はグループ署名鍵であるため、主催者以外は入札者を追跡することができない(従って、当然匿名性も保たれる)。一方、会員署名鍵もグループ署名鍵であるため、主催者は自分のオークションの中では入札者を追跡することはできるが、入札者を識別することはできない。また、自分が主宰しないオークションにおいては、追跡を行うこともできない。
オークションが終了し落札者が決定した時は、主催者は入札データへの参加者署名鍵による署名から、主催者システムに記録された参加者署名鍵受領データを特定し、基幹システムに送付する。受領データは会員署名鍵で署名されているため、基幹システムのみは、署名から会員署名鍵受領データを特定することができる。受領データには会員の識別情報が記載されているので、その情報をオークションの主催者に回答する。主催者は、識別情報をもとに、落札者に対して、支払いの請求と落札品の配達を実施する。
万一、落札者が入札の事実を否認しようとした場合、署名の否認拒否性を利用して、その主張を拒否することができる。即ち、会員署名鍵受領データには、公的機関が発行した公開鍵証明証で検証可能な署名が施されているため、落札者は会員署名鍵の保有の事実を拒否できない。次いで、参加者署名鍵受領データは当該会員鍵で署名されているため、参加者署名鍵の保有を拒否できない。最後に、入札データは当該参加者署名鍵で署名されているため、入札の内容、特に、入札の事実を拒否できない。
なお、本発明は、上記実施形態に限定されるものではなく、例えば、単独の匿名通信システムを構成したり、通信目的の異なる多種類の匿名通信システムを組み合わせて複合的通信システムを構成したりするなど、本発明の趣旨を逸脱しない範囲で、各部の構成を任意に変更して実施することも可能である。
1 第1匿名通信システム
2 第2匿名通信システム
3 第3匿名通信システム
10 匿名通信システム
11 ユーザコンピュータ
12 署名鍵保持部
13 署名付きデータ生成部
17 公開鍵ペア保持部
18 第2署名鍵生成部
21 管理者コンピュータ
22 第2署名鍵生成部
23 署名検証部
24 ユーザデータ登録部
25 ユーザ特定部
26 ユーザ照会部
30 匿名公開鍵証明証発行部
40 インターネット
41 第1署名鍵
42 第2署名鍵
43 加入申込みデータ
44 受領証データ(署名付きデータ)
46 公開鍵ペアの秘密鍵
47 署名付きデータ
48 第2署名鍵
51 第1公開鍵
52 第2公開鍵
53 第1公開鍵証明証
54 第2公開鍵証明証
55 公開鍵ペアの匿名公開鍵
56 匿名公開鍵証明証
57 第2公開鍵
58 第2公開鍵証明証
100 複合的匿名通信システム
2 第2匿名通信システム
3 第3匿名通信システム
10 匿名通信システム
11 ユーザコンピュータ
12 署名鍵保持部
13 署名付きデータ生成部
17 公開鍵ペア保持部
18 第2署名鍵生成部
21 管理者コンピュータ
22 第2署名鍵生成部
23 署名検証部
24 ユーザデータ登録部
25 ユーザ特定部
26 ユーザ照会部
30 匿名公開鍵証明証発行部
40 インターネット
41 第1署名鍵
42 第2署名鍵
43 加入申込みデータ
44 受領証データ(署名付きデータ)
46 公開鍵ペアの秘密鍵
47 署名付きデータ
48 第2署名鍵
51 第1公開鍵
52 第2公開鍵
53 第1公開鍵証明証
54 第2公開鍵証明証
55 公開鍵ペアの匿名公開鍵
56 匿名公開鍵証明証
57 第2公開鍵
58 第2公開鍵証明証
100 複合的匿名通信システム
Claims (18)
- ユーザの匿名による通信を可能とする匿名通信システムであって、
前記ユーザが操作するユーザコンピュータと、当該匿名通信システムの管理者が操作する管理者コンピュータとを備え、
前記ユーザコンピュータが、当該匿名通信システムとは別の通信システムで使用可能なユーザ固有の第1署名鍵と、当該匿名通信システムで使用するユーザ固有の第2署名鍵とにより二重に電子署名が付された署名付きデータを生成する手段を含み、
前記管理者コンピュータが、前記第1署名鍵と対をなす第1公開鍵と、前記第2署名鍵と対をなす第2公開鍵を用いて前記電子署名を検証する手段と、該電子署名の正当性が検証された前記署名付きデータを含むユーザデータを登録するユーザデータ登録手段とを含むことを特徴とする匿名通信システム。 - 前記管理者コンピュータが、ユーザごとに異なる第2署名鍵を生成してユーザコンピュータに提供する手段を更に含む請求項1記載の匿名通信システム。
- 前記ユーザコンピュータがユーザ固有の公開鍵ペアの秘密鍵を第2署名鍵として生成する手段を更に含み、前記管理者コンピュータが公開鍵ペアの公開鍵に対してユーザの識別情報を含まない匿名公開鍵証明証を発行する手段を更に含む請求項1記載の匿名通信システム。
- 前記ユーザコンピュータが、前記第2公開鍵によって検証可能な第2署名鍵を管理者コンピュータとの通信を介して生成する手段と、該第2署名鍵を前記管理者に対して秘密に保持する手段とを更に含む請求項1記載の匿名通信システム。
- 前記ユーザデータ登録手段に登録されるユーザデータが、前記第1署名鍵と対をなす第1公開鍵が記載された第1公開鍵証明証を含む請求項1~4の何れか一項に記載の匿名通信システム。
- 前記第1公開鍵証明証がユーザを一意に識別する情報を含み、前記管理者は第1公開鍵証明証に記載された第1公開鍵からユーザを特定可能である請求項5記載の匿名通信システム。
- 前記第1公開鍵証明証がユーザを一意に識別する情報を含まず、前記管理者は第1公開鍵証明証に記載された公開鍵からユーザを特定することが不可能である請求項5に記載の匿名通信システム。
- 前記第2署名鍵がグループ署名の署名鍵であり、前記管理者は第2署名鍵による電子署名からユーザを特定することが不可能である請求項1~7の何れか一項に記載の匿名通信システム。
- 前記第2署名鍵がユーザ毎に異なる署名鍵であり、第2署名鍵と対をなす前記第2公開鍵は第2公開鍵証明証に記載され公開されるが、第2公開鍵証明証にユーザを一意に識別する情報が記載されていないか、ユーザを一意に識別する情報の代わりにユーザの仮名が記載されているため、前記管理者は第2署名鍵による電子署名からユーザを特定することが不可能である請求項1~7の何れか一項に記載の匿名通信システム。
- 前記管理者コンピュータは、ユーザデータ登録手段からユーザデータを読み出す手段と、読み出したユーザデータ中にユーザを一意に識別可能な情報が含まれている場合に、該情報に基づいて前記ユーザの身許を特定する手段と、読み出したユーザデータ中にユーザを一意に識別可能な情報が含まれていない場合に、前記ユーザが作成した前記署名付きデータを提示して前記別の通信システムの管理者に前記ユーザの身許を照会する手段とを更に含む請求項1記載の匿名通信システム。
- 請求項1~10の何れか一項に記載された第1匿名通信システムと、請求項1~10の何れか一項に記載された第2匿名通信システムとを含み、第1匿名通信システムの第2署名鍵が第2匿名通信システムの第1署名鍵として使用されることを特徴とする複合的匿名通信システム。
- 前記第2匿名通信システムの管理者コンピュータは、前記ユーザデータ登録手段から当該第2匿名通信システムに加入済みのユーザが作成した前記署名付きデータを特定する手段と、特定した前記署名付きデータを提示して第1匿名通信システムの管理者に前記加入済みユーザの身許を照会する手段とを備える請求項11記載の複合的匿名通信システム。
- ユーザの匿名による通信を可能とする匿名通信システムに加入するために、前記ユーザが操作するユーザコンピュータと、当該匿名通信システムの管理者が操作する管理者コンピュータとが実行する方法であって、
前記ユーザコンピュータが、当該匿名通信システムとは別の通信システムで使用可能なユーザ固有の第1署名鍵と、当該匿名通信システムで使用するユーザ固有の第2署名鍵とにより二重に電子署名が付された署名付きデータを生成する段階と、
前記署名付きデータをユーザコンピュータから管理者コンピュータに提供する段階と、
前記管理者コンピュータが、前記第1署名鍵と対をなす第1公開鍵と前記第2署名鍵と対をなす第2公開鍵を用いて前記電子署名を検証する段階と、
前記電子署名の正当性が検証されたときに、前記管理者コンピュータが、前記署名付きデータを含むユーザデータを登録する段階とを含むことを特徴とする方法。 - 前記第2署名鍵が、管理者コンピュータによって生成され、管理者コンピュータからユーザコンピュータに提供される請求項13記載の方法。
- 前記管理者コンピュータは、ユーザコンピュータから提供された前記第1署名鍵を検証した後に前記第2署名鍵をユーザコンピュータに提供する請求項14記載の方法。
- 前記第2署名鍵が、ユーザ固有の公開鍵ペアの秘密鍵であり、ユーザコンピュータから管理者コンピュータに提供され、管理者コンピュータが前記公開鍵ペアの公開鍵に対してユーザの識別情報を含まない匿名公開鍵証明証を発行する請求項13記載の方法。
- 前記第2署名鍵が、前記第2公開鍵で検証可能となるように管理者コンピュータとの通信を介してユーザコンピュータにより生成され、かつ管理者に対して秘密に保持される請求項13記載の方法。
- 前記第2署名鍵が、グループ署名の署名鍵であり、グループ署名における署名鍵の生成手順に従って生成される請求項13~17の何れか一項に記載の方法。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201680077373.6A CN108476139B (zh) | 2015-11-10 | 2016-11-08 | 匿名通信系统及用于向该通信系统加入的方法 |
US15/772,985 US11128604B2 (en) | 2015-11-10 | 2016-11-08 | Anonymous communication system and method for subscribing to said communication system |
EP16864194.2A EP3376708B1 (en) | 2015-11-10 | 2016-11-08 | Anonymous communication system and method for subscribing to said communication system |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015220480A JP6293716B2 (ja) | 2015-11-10 | 2015-11-10 | 匿名通信システムおよび該通信システムに加入するための方法 |
JP2015-220480 | 2015-11-10 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2017082233A1 true WO2017082233A1 (ja) | 2017-05-18 |
Family
ID=58696181
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2016/083048 WO2017082233A1 (ja) | 2015-11-10 | 2016-11-08 | 匿名通信システムおよび該通信システムに加入するための方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US11128604B2 (ja) |
EP (1) | EP3376708B1 (ja) |
JP (1) | JP6293716B2 (ja) |
CN (1) | CN108476139B (ja) |
WO (1) | WO2017082233A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114519206A (zh) * | 2022-04-21 | 2022-05-20 | 杭州天谷信息科技有限公司 | 一种匿名签署电子合同的方法及签名系统 |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6407232B2 (ja) * | 2016-11-14 | 2018-10-17 | ソラミツ株式会社 | ログイン認証システム、ログイン認証システムにおけるサービスプロバイダ及び認証サーバ、ログイン認証システムにおけるサービスプロバイダ、認証サーバ、コンピュータ及び携帯端末のためのログイン認証方法及びプログラム |
IL251683B (en) * | 2017-04-09 | 2019-08-29 | Yoseph Koren | A system and method for dynamic management of private data |
US10536279B2 (en) * | 2017-10-22 | 2020-01-14 | Lg Electronics, Inc. | Cryptographic methods and systems for managing digital certificates |
US11223605B2 (en) | 2018-02-05 | 2022-01-11 | Onboard Security, Inc. | Method and system for connected vehicle communication |
US11025595B2 (en) * | 2018-04-16 | 2021-06-01 | Samsung Electronics Co., Ltd. | Secure and anonymous data sharing |
KR101994455B1 (ko) * | 2018-07-27 | 2019-06-28 | 박기업 | 시스템에 포함되는 노드들에 대하여 그룹을 운영하는 분산 네트워크 시스템 |
US10887100B2 (en) | 2018-11-09 | 2021-01-05 | Ares Technologies, Inc. | Systems and methods for distributed key storage |
US11170128B2 (en) * | 2019-02-27 | 2021-11-09 | Bank Of America Corporation | Information security using blockchains |
SG11202009924RA (en) * | 2019-11-29 | 2020-11-27 | Alipay Hangzhou Inf Tech Co Ltd | Methods and devices for cryptographic key management based on blockchain system |
CN115296936B (zh) * | 2022-10-08 | 2023-08-01 | 四川安洵信息技术有限公司 | 一种反网络犯罪辅侦的自动化方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002163480A (ja) * | 2000-11-28 | 2002-06-07 | Ntt Communications Kk | 本人確認を要する申込みの代行方法及び申込みの代行を行う申し込み代行センタ |
JP2005064791A (ja) * | 2003-08-11 | 2005-03-10 | Kddi Corp | 属性認証システム、コンピュータプログラム |
JP2008234321A (ja) * | 2007-03-20 | 2008-10-02 | Nec Corp | サービス提供システム及びサービス提供方法 |
WO2011080874A1 (ja) * | 2009-12-28 | 2011-07-07 | 日本電気株式会社 | ユーザ情報活用システム、装置、方法およびプログラム |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003141085A (ja) * | 2001-11-05 | 2003-05-16 | Sony Corp | アクセス権管理システム、アクセス権管理方法、アクセス権管理プログラム及びアクセス権管理プログラムが記録された記録媒体 |
CN1937496A (zh) | 2005-09-21 | 2007-03-28 | 日电(中国)有限公司 | 可延展伪名证书系统和方法 |
JP4840575B2 (ja) * | 2006-03-29 | 2011-12-21 | 日本電気株式会社 | 端末装置、証明書発行装置、証明書発行システム、証明書取得方法および証明書発行方法 |
US7958057B2 (en) * | 2007-03-28 | 2011-06-07 | King Fahd University Of Petroleum And Minerals | Virtual account based new digital cash protocols with combined blind digital signature and pseudonym authentication |
CN101252431B (zh) * | 2007-09-06 | 2011-07-27 | 广州信睿网络科技有限公司 | 一种通用的数字签名方案的实现方法 |
JP5169745B2 (ja) * | 2008-11-05 | 2013-03-27 | 富士通株式会社 | 記憶装置及び記憶装置ユーザの認証方法 |
CN101873301B (zh) * | 2009-04-22 | 2015-10-21 | 索尼株式会社 | 匿名注册系统以及方法 |
CN101702806A (zh) * | 2009-07-24 | 2010-05-05 | 华中科技大学 | 无线网络匿名接入认证系统的实现方法 |
CN102096778B (zh) * | 2010-12-07 | 2013-01-23 | 中国科学院软件研究所 | 基于椭圆曲线和双线性对密码体制的直接匿名证明方法 |
US8707046B2 (en) * | 2011-05-03 | 2014-04-22 | Intel Corporation | Method of anonymous entity authentication using group-based anonymous signatures |
US8909918B2 (en) * | 2011-10-05 | 2014-12-09 | Cisco Technology, Inc. | Techniques to classify virtual private network traffic based on identity |
WO2013190372A1 (en) | 2012-06-22 | 2013-12-27 | Ologn Technologies Ag | Systems, methods and apparatuses for securing root certificates |
US10129029B2 (en) * | 2016-06-16 | 2018-11-13 | International Business Machines Corporation | Proofs of plaintext knowledge and group signatures incorporating same |
-
2015
- 2015-11-10 JP JP2015220480A patent/JP6293716B2/ja active Active
-
2016
- 2016-11-08 US US15/772,985 patent/US11128604B2/en active Active
- 2016-11-08 WO PCT/JP2016/083048 patent/WO2017082233A1/ja active Application Filing
- 2016-11-08 EP EP16864194.2A patent/EP3376708B1/en active Active
- 2016-11-08 CN CN201680077373.6A patent/CN108476139B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002163480A (ja) * | 2000-11-28 | 2002-06-07 | Ntt Communications Kk | 本人確認を要する申込みの代行方法及び申込みの代行を行う申し込み代行センタ |
JP2005064791A (ja) * | 2003-08-11 | 2005-03-10 | Kddi Corp | 属性認証システム、コンピュータプログラム |
JP2008234321A (ja) * | 2007-03-20 | 2008-10-02 | Nec Corp | サービス提供システム及びサービス提供方法 |
WO2011080874A1 (ja) * | 2009-12-28 | 2011-07-07 | 日本電気株式会社 | ユーザ情報活用システム、装置、方法およびプログラム |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114519206A (zh) * | 2022-04-21 | 2022-05-20 | 杭州天谷信息科技有限公司 | 一种匿名签署电子合同的方法及签名系统 |
Also Published As
Publication number | Publication date |
---|---|
US20190149523A1 (en) | 2019-05-16 |
EP3376708B1 (en) | 2020-05-13 |
EP3376708A4 (en) | 2019-05-22 |
JP2017092713A (ja) | 2017-05-25 |
CN108476139A (zh) | 2018-08-31 |
CN108476139B (zh) | 2021-06-11 |
US11128604B2 (en) | 2021-09-21 |
EP3376708A1 (en) | 2018-09-19 |
JP6293716B2 (ja) | 2018-03-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2017082233A1 (ja) | 匿名通信システムおよび該通信システムに加入するための方法 | |
CN115699000A (zh) | 通过计算机网络进行安全的多边数据交换的方法、装置和计算机可读介质 | |
CA2465321C (en) | Method and system for the supply of data, transactions and electronic voting | |
US20010020228A1 (en) | Umethod, system and program for managing relationships among entities to exchange encryption keys for use in providing access and authorization to resources | |
US20080209575A1 (en) | License Management in a Privacy Preserving Information Distribution System | |
US20030163686A1 (en) | System and method for ad hoc management of credentials, trust relationships and trust history in computing environments | |
JPH10504150A (ja) | 商用暗号システムにおけるディジタル署名を安全に使用するための方法 | |
JP2005328574A (ja) | キー寄託機能付き暗号システムおよび方法 | |
US20090300355A1 (en) | Information Sharing Method and Apparatus | |
WO2018088475A1 (ja) | 電子認証方法及びプログラム | |
Pussewalage et al. | Blockchain based delegatable access control scheme for a collaborative e-health environment | |
JP7543549B2 (ja) | 分散型台帳上の、匿名性取消を伴う、セキュアな、トレース可能な、および、プライバシー保護の、デジタル通貨送金のための方法 | |
Hölzl et al. | Real-world identification: towards a privacy-aware mobile eID for physical and offline verification | |
Stubblebine et al. | Authentic attributes with fine-grained anonymity protection | |
Arnold et al. | Zero-knowledge proofs do not solve the privacy-trust problem of attribute-based credentials: What if alice is evil? | |
De Decker et al. | A privacy-preserving eHealth protocol compliant with the Belgian healthcare system | |
Mohammadi et al. | A secure e-tendering system | |
KR100603107B1 (ko) | 신용정보 링크정보를 포함한 공인인증서 발급 방법 및 이방법에 의해 발급된 공인인증서가 기록된 컴퓨터로 판독가능한 기록매체 | |
KR100603108B1 (ko) | 신용정보를 포함한 공인인증서 발급 방법 및 이 방법에의해 발급된 공인인증서가 기록된 컴퓨터로 판독 가능한기록매체 | |
KR101330245B1 (ko) | 권한 분산형 가명 인증서 처리 시스템 | |
Takei et al. | FATF Travel Rule’s Technical Challenges and Solution Taxonomy | |
Belsky et al. | Personal data exchange protocol: X | |
Darabi et al. | Identity Chain | |
Gerdes Jr et al. | Multi-dimensional credentialing using veiled certificates: Protecting privacy in the face of regulatory reporting requirements | |
NFI | WidePoint Cyber Security Solutions |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 16864194 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
WWE | Wipo information: entry into national phase |
Ref document number: 2016864194 Country of ref document: EP |