WO2023282129A1

WO2023282129A1 - 検証可能なクレームを取得するユーザ装置、当該ユーザ装置を含むシステム及び検証可能なクレームを取得する方法

Info

Publication number: WO2023282129A1
Application number: PCT/JP2022/025806
Authority: WO
Inventors: 慧吉村; 英明古川; 将司川口
Original assignee: 株式会社野村総合研究所
Priority date: 2021-07-06
Filing date: 2022-06-28
Publication date: 2023-01-12
Also published as: JP2023008607A; CN117643011A

Abstract

ユーザ装置は、秘密情報を保持する保持手段と、生成元を生成する生成手段と、前記生成元と前記秘密情報とに基づき前記生成元に対応するコミットメントを求める演算手段と、前記生成元と前記生成元に対応するコミットメントとを含む取得要求を第１外部装置に送信することで、前記生成元と前記生成元に対応するコミットメントとを含む検証可能なクレーム（ＶＣ）を取得する取得手段と、を備え、前記取得手段が新しい前記ＶＣを取得するために使用する前記生成元の値は、前記取得手段が過去に前記ＶＣを取得するために使用した前記生成元の値とは異なる。

Description

検証可能なクレームを取得するユーザ装置、当該ユーザ装置を含むシステム及び検証可能なクレームを取得する方法

　本開示は、検証可能なクレーム（Ｖｅｒｉｆｉａｂｌｅ　Ｃｌａｉｍｓ）に関する。

　非特許文献１は、"検証可能なクレデンシャル"（Ｖｅｒｉｆｉａｂｌｅ　Ｃｒｅｄｅｎｔｉａｌｓ）を開示している。なお、検証可能なクレデンシャルは、検証可能なクレーム（ＶＣ）とも表記され得る。以下の説明では、検証可能なクレーム及び検証可能なクレデンシャルを単に"クレーム"と表記する。クレームは、その所有者の個人情報を含む。クレームに含められる個人情報の例は、当該クレームの所有者の生年月日、学歴、病歴、資産等であり得る。クレームは、例えば、自治体、学校、病院、銀行といった、当該クレームに含められる個人情報を保証できる機関（以下、ＣＰ（Ｃｌａｉｍｓ　Ｐｒｏｖｉｄｅｒ）が発行する。個人情報を確認する必要がある機関（以下、ＲＰ（Ｒｅｌｙｉｎｇ　Ｐａｒｔｙ）に所有者が当該個人情報を含むクレームを提出することで、当該ＲＰは、当該所有者が所定条件を満たしていることを確認できる。具体的には、例えば、ＲＰは、当該所有者が、所定の年齢以上であることや、所定金額以上の資産を有していることを確認できる。

　なお、クレームは、例えば、当該クレームを発行するＣＰの秘密鍵で生成された署名を含む。ＲＰは、当該クレームを発行したＣＰの公開鍵で提示されたクレームに含まれる署名を検証することで、提示されたクレームが当該ＣＰによって発行されたことと、提示されたクレームの内容が改竄されていないことを確認できる。また、ＲＰにクレームを提出したものが当該クレームの正当な所有者であるか否かをＲＰが判定するため、クレームには、分散型識別子（ＤＩＤ）が含められ得る。ＤＩＤは、所有者の一意な識別子であり、その値は所有者自身がアイデンティティプロバイダーになることで取得できる。ＣＰは、クレームを発行する際、当該ＤＩＤの値を当該クレームに含める。これにより、クレームは当該ＤＩＤに関連付けられる。

　ＣＰが保証できる個人情報はその内容に依存するため、個人情報の種別（年齢、学歴、資産等）毎に複数のＣＰが存在し得る。また、個人情報を確認する必要がある機関も様々であるため複数のＲＰが存在し得る。

"Ｖｅｒｉｆｉａｂｌｅ　Ｃｒｅｄｅｎｔｉａｌｓ　Ｄａｔａ　Ｍｏｄｅｌ　１．０"、［оｎｌｉｎｅ］、２０１９年１１月１９日、Ｗ３Ｃ、［令和３年６月１８日検索］、インターネット＜ＵＲＬ：ｈｔｔｐｓ：／／ｗｗｗ．ｗ３．ｏｒｇ／ＴＲ／ｖｃ－ｄａｔａ－ｍｏｄｅｌ／＞

　図１は、数Ｎ（ここで、Ｎは１以上の整数）のＣＰ＃１～ＣＰ＃Ｎと、数Ｍ（ここで、Ｍは１以上の整数）のＲＰ＃１～＃Ｍを示している。図１のユーザ装置は、クレームをＣＰから取得し、ＲＰに提示するクレームの所有者（以下、ユーザと表記する）が使用する装置である。ユーザ装置は、例えば、スマートフォン、タブレット、パーソナルコンピュータ（ＰＣ）であり得る。ユーザ装置は、ＣＰ＃ｎ（ｎは１～Ｎまでの整数）からクレームＶＣ＃ｎを受け取り保存する。なお、クレームＶＣ＃１～ＶＣ＃Ｎは、それぞれ、同じＤＩＤに関連付けられているものとする。この場合、ユーザ装置は、同じＤＩＤをＲＰ＃１～ＲＰ＃Ｍとの間で使用する必要がある。

　しかしながら、総てのＲＰとの間で同じＤＩＤを使用すると、所謂、"名寄せ"の問題が生じる。例えば、図１においてＲＰ＃２は、ＶＣ＃２を受け取り、ＲＰ＃Ｍは、ＶＣ＃１及びＶＣ＃Ｎを受け取っている。ユーザが使用しているＤＩＤがＲＰに拘わらず同一だとしたら、ＲＰ＃２及びＲＰ＃Ｍが連携（結託）することで、ＲＰ＃２及びＲＰ＃Ｍは、ＶＣ＃１、ＶＣ＃２及びＶＣ＃Ｎを提出したユーザが同じであると判定することができる。この様に、ＲＰ同士が連携してあるユーザからの様々なクレームを特定することで、ＲＰが当該ユーザの様々な個人情報を不当に入手できてしまう。

　このため、図２に示す様にＲＰ毎に異なるＤＩＤを使用することが考えられる。以下の説明において、ユーザは、ＲＰ＃ｍ（ｍは１～Ｍまでの整数）に対しては値ＤＩＤ＃ｍのＤＩＤを使用するものとする。また、ＣＰ＃ｎから取得するＤＩＤ＃ｍに関連付けられたクレームをＶＣ＃ｎ（ＤＩＤ＃ｍ）と表記する。ユーザ装置は、ＣＰ＃１から２つのＶＣ＃１（ＤＩＤ＃１）及びＶＣ＃１（ＤＩＤ＃Ｍ）を取得する。ユーザ装置は、ＶＣ＃１（ＤＩＤ＃１）についてはＲＰ＃１に提示し、ＶＣ＃１（ＤＩＤ＃Ｍ）についてはＲＰ＃Ｍに提示する。この様に、ＤＩＤの値をＲＰ毎に異ならせることで、ＲＰ同士が連携しても同じユーザからのクレームを特定することが難しくなり、"名寄せ"の問題を抑えることができる。

　しかしながら、例えば、図２の状態で、ユーザがＶＣ＃２をＲＰ＃１に提出する場合、ユーザ装置は、まず、ＣＰ＃２にＶＣ＃２（ＤＩＤ＃１）の生成を依頼して、ＶＣ＃２（ＤＩＤ＃１）を取得する必要がある。予め総ての組み合わせ（つまり、Ｎ×Ｍ個）のクレームを取得しておくことも可能であるが、将来的に使用（ＲＰに提示）するか否かが不明である多数のクレームを取得して保持・管理することは好ましくない。この様に、図２の構成において、クレームは、特定のＲＰにのみ提示できるものとなる。ユーザの利便性を考慮すると、取得するクレームは任意のＲＰに提出できるものであることが好ましい。

　このため、例えば、クレームにユーザの公開鍵を含める構成を考えることもできる。この場合、ＲＰは、クレームが提示された際にチャレンジをユーザ装置に送信する。ユーザ装置は、クレームに含まれる公開鍵の対の秘密鍵でチャレンジに対する署名を生成してＲＰに送信する。ＲＰは、当該署名をクレームに含まれる公開鍵で検証することでユーザが当該クレームの正当な所有者であるかを判定することができる。この構成により、取得するクレームは、特定のＲＰに紐づいたものではなくなる。

　しかしながら、この場合、ユーザは、クレームに含める公開鍵をそれぞれ異なるものとしなければならない。つまり、ユーザ装置は、それぞれのクレームに含めた公開鍵に対する秘密鍵を管理しなければならず、ユーザ装置で秘密に保持すべき情報量が多くなる。

　本発明は、名寄せを行うことを難しくし、クレーム提出先の制限をなくし、かつ、ユーザ装置で保持する情報量を抑える技術を提供するものである。

　本開示の一態様によると、ユーザ装置は、秘密情報を保持する保持手段と、生成元を生成する生成手段と、前記生成元と前記秘密情報とに基づき前記生成元に対応するコミットメントを求める演算手段と、前記生成元と前記生成元に対応するコミットメントとを含む取得要求を第１外部装置に送信することで、前記生成元と前記生成元に対応するコミットメントとを含む検証可能なクレーム（ＶＣ）を取得する取得手段と、を備え、前記取得手段が新しい前記ＶＣを取得するために使用する前記生成元の値は、前記取得手段が過去に前記ＶＣを取得するために使用した前記生成元の値とは異なる。

　本発明によると、名寄せを行うことを難しくし、クレーム提出先の制限をなくし、かつ、ユーザ装置で保持する情報量を抑えることができる。

　本発明のその他の特徴及び利点は、添付図面を参照とした以下の説明により明らかになるであろう。なお、添付図面においては、同じ若しくは同様の構成には、同じ参照番号を付す。

各ＲＰに同じＤＩＤを使用する場合の説明図。ＲＰ毎に異なるＤＩＤを使用する場合の説明図。一実施形態によるシステムの構成図。一実施形態によるクレーム取得処理のシーケンス図。一実施形態によるクレーム提示処理のシーケンス図。一実施形態によるユーザ装置の機能ブロック図。

　以下、添付図面を参照して実施形態を詳しく説明する。なお、以下の実施形態は特許請求の範囲に係る発明を限定するものではなく、また実施形態で説明されている特徴の組み合わせの全てが発明に必須のものとは限らない。実施形態で説明されている複数の特徴のうち二つ以上の特徴が任意に組み合わされてもよい。また、同一若しくは同様の構成には同一の参照番号を付し、重複した説明は省略する。

　＜第一実施形態＞
　図３は、本実施形態によるシステムの構成図である。ユーザ装置１、複数のＣＰ２及び複数のＲＰ３は、ネットワーク４に接続される。ユーザ装置１は、複数のＣＰ２及び複数のＲＰ３と、ネットワーク４を介して通信可能な様に構成される。図１において、ＣＰ２の数はＮ（Ｎは１以上の整数）であり、ＲＰ３の数はＭ（Ｍは１以上の整数）である。なお、以下の説明において個々のＣＰ２を区別する場合には、ＣＰ＃ｎ（ｎは１からＮまでの整数）と表記し、個々のＲＰ３を区別する場合には、ＲＰ＃ｍ（ｍは１からＭまでの整数）と表記する。ユーザ装置１は、そのユーザの操作に応じてＣＰ２からクレームを取得して保存する。また、ユーザ装置１は、そのユーザの操作に応じて保存しているクレームをＲＰ３に提示する。図３において、ＣＰ２とＲＰ３との組み合わせ数はＮ×Ｍであり、以下の説明では、一例として、ユーザ装置１がＮ×Ｍ個のクレームを事前に取得するものとする。なお、ユーザ装置は、各ＣＰ３からＭ個のクレームを取得する。

　図４は、クレーム取得処理のシーケンス図である。ユーザ装置１は、秘密情報ｗを保持している（Ｓ１０）。Ｓ１１において、ユーザ装置１は、素数ｐを生成する。なお、以下の説明における総ての演算は、素数ｐの剰余演算であるが、説明を簡略化するため、剰余演算であること、つまり、"ｍоｄ　ｐ"との表記（合同式）については省略する。また、本開示では離散対数問題に依る実装を示すが、楕円曲線上の離散対数問題など、異なる困難性に依る実装も、装置の役割を置き換えることなく可能であることは、当業者には理解されるところである。Ｓ１２において、ユーザ装置１は、取得するクレームの数と同じＮ×Ｍ個の生成元ｇ_ｎｍを生成する。なお、総ての生成元ｇ_ｎｍの値は異なる。生成元ｇ_ｎｍは規則性が無い様に、例えば、ランダムに生成され得る。また、ユーザ装置１は、過去に用いた生成元を記録し、重複のないよう選択してもよい。Ｓ１３で、ユーザ装置は、生成元ｇ_ｎｍの値と秘密情報ｗに対応する値とに基づきコミットメントｃоｍ_ｎｍ＝ｇ_ｎｍ ^ｗを生成する。

　ユーザ装置１は、Ｓ１４で、素数ｐ、生成元ｇ_１１～ｇ_１Ｍ及びコメットメントｃоｍ_１１～ｃоｍ_１Ｍを含むクレーム生成要求をＣＰ＃１に送信する。ＣＰ＃１は、クレーム生成要求に応答してＶＣ＃１１～ＶＣ＃１Ｍの計Ｍ個のクレームを生成する。クレームＶＣ＃１ｍは、ＣＰ＃１が保証するユーザの個人情報に加えて、素数ｐと、生成元ｇ_１ｍと、コミットメントｃоｍ_１ｍと、を含む。また、クレームＶＣ＃１ｍは、ＣＰ＃１の秘密鍵で生成された署名も含み得る。ＣＰ＃１は、Ｓ１５で、生成したクレームＶＣ＃１１～ＶＣ＃１Ｍをユーザ装置１に送信する。ユーザ装置１は、受信したクレームＶＣ＃１１～ＶＣ＃１Ｍを保存する。

　ユーザ装置１は、Ｓ１６で、クレーム生成要求をＣＰ＃２に送信する。このクレーム生成要求は、素数ｐ、生成元ｇ_２１～ｇ_２Ｍ及びコメットメントｃоｍ_２１～ｃоｍ_２Ｍを含む。ＣＰ＃２は、クレーム生成要求に応答してＶＣ＃２１～ＶＣ＃２Ｍの計Ｍ個のクレームを生成する。クレームＶＣ＃２ｍは、ＣＰ＃２が保証するユーザの個人情報に加えて、素数ｐと、生成元ｇ_２ｍと、コミットメントｃоｍ_２ｍと、を含む。また、クレームＶＣ＃２ｍは、ＣＰ＃２の秘密鍵で生成された署名も含み得る。ＣＰ＃２は、Ｓ１７で、生成したクレームＶＣ＃２１～ＶＣ＃２Ｍをユーザ装置１に送信する。ユーザ装置１は、受信したクレームＶＣ＃２１～ＶＣ＃２Ｍを保存する。以下同様に、ユーザ装置１は、各ＣＰにクレーム生成要求を送信し、Ｍ個のクレームを取得することを繰り返す。したがって、ユーザ装置１は、Ｓ１９の終了時点において、Ｎ×Ｍ個のクレームを取得する。

　なお、図４のＳ１３までの処理は、クレームを取得する際ではなく、クレームを取得する前の任意のタイミングで行うことができる。この場合、生成した値については、ユーザ装置１に保存しておく。

　続いて、ユーザ装置１がＲＰ＃ｍにＣＰ＃ｎから取得したクレームＶＣ＃ｎｍを提示する際の処理について図５を用いて説明する。ユーザ装置１は、Ｓ２０で値ｒを生成する。例えば、ユーザ装置１は、値ｒをランダムに生成することができる。値ｒはＲＰ＃ｍに対して過去に用いたことのない値を選ぶことが望ましいため、ユーザ装置１は、用いた値ｒを記録しておき、重複のないよう選択してもよい。以下では値ｒをランダム値ｒとも表記する。続いて、ユーザ装置１は、Ｓ２１で、ランダム値ｒに基づきプルーフを求める。プルーフは、値ｘ及び値ｃを含む。値ｘは、ｘ＝ｇ_ｎｍ ^ｒで求められ、値ｃは、ｃ＝ｒ－ｗ＊Ｈａｓｈ（ｘ）で求められる。なお、Ｈａｓｈ（・）は、ランダムオラクルが仮定される任意のハッシュ関数である。ユーザ装置１は、Ｓ２２で、クレームＶＣ＃ｎｍと共に、プルーフ、つまり、値ｘ及び値ｃをＲＰ＃ｍに通知する。なお、上述した様に、ＶＣ＃ｎｍには、ｃоｍ_ｎｍ、ｇ_ｎｍ及びｐが含まれている。

　Ｓ２３において、ＲＰ＃ｍは、Ｚ＝ｇ_ｎｍ ^ｃ＊ｃоｍ_ｎｍ ^{Ｈａｓｈ（ｘ）}を計算する。なお、Ｓ２３で使用するハッシュ関数は、Ｓ２１で使用するハッシュ関数と同じである。例えば、Ｓ２１及びＳ２３で使用するハッシュ関数は、ユーザ装置１又はＲＰ＃ｍのどちらかが決定して任意の方法で他方に通知する。ＲＰ＃ｍは、Ｓ２４においてＺとｘを比較する。ここで、ｃ＝ｒ－ｗ＊Ｈａｓｈ（ｘ）であり、ｃоｍ_ｎｍ＝ｇ_ｎｍ ^ｗであるため、
Ｚ＝ｇ_ｎｍ ^ｃ＊ｃоｍ_ｎｍ ^{Ｈａｓｈ（ｘ）}
　＝ｇ_ｎｍ ^{ｒ－ｗ＊Ｈａｓｈ（ｘ）}＊ｇ_ｎｍ ^{ｗ＊Ｈａｓｈ（ｘ）}
　＝ｇ_ｎｍ ^ｒ
　＝ｘ
となる。

　つまり、Ｚ＝ｘになることは、ｃоｍ_ｎｍの生成に使用された秘密情報ｗと、値ｃの計算に使用された秘密情報ｗが同じであることを意味する。したがって、Ｚ＝ｘにする値ｃを含むプルーフを提出したものと、ｃоｍ_ｎｍをＣＰ＃ｎに提示してクレームを取得したものが同一であると判定できる。したがって、Ｚ＝ｘであると、ＲＰ＃ｍは、Ｓ２５において、クレームＶＣ＃ｎｍが正当な所有者によって提示されたものと判定する。一方、Ｚ≠ｘの場合、ユーザ装置１は、Ｓ２５において、クレームＶＣ＃ｎｍが正当ではない所有者によって提示されたものと判定する。なお、図５の処理においてＳ２１までの処理は、クレームを提示する際ではなく、クレームを提示する前の任意のタイミングで行うことができる。この場合、生成した値については、ユーザ装置１に保存しておく。

　なお、上記説明では、理解を容易にするため、ＲＰ＃ｍにＣＰ＃ｎから取得したクレームを提示する際、ユーザ装置１は、ＣＰ＃ｎから取得したＭ個のクレームの内のＶＣ＃ｎｍを提示するとしていた。しかしながら、これは、ユーザ装置１がＣＰ＃ｎから取得したＶＣ＃ｎ１～ＶＣ＃ｎＭの計Ｍ個のクレームそれぞれがＲＰ＃１～ＲＰ＃Ｍに１対１で対応しており、提示先のＲＰ３が決まれば、それに応じて当該ＲＰ３に提示するクレームがＭ個のクレームの内の特定の１つに限定されることを意味するものではない。

　例えば、ユーザ装置１は、ＣＰ＃１からＶＣ＃１１～ＶＣ＃１Ｍの計Ｍ個のクレームを取得している。ユーザ装置１が、ＲＰ＃１にＣＰ＃１から取得したクレームを提示する場合、ユーザ装置１は、ＶＣ＃１１～ＶＣ＃１Ｍの内の任意の１つを選択することができる。つまり、ユーザ装置１は、ＣＰ＃１に対して、ＶＣ＃１１ではなく、ＶＣ＃１２やＶＣ＃１Ｍを提示することができる。これは、本実施形態のクレームはＤＩＤに関連付けられておらず、クレームに含まれるコミットメントｃоｍに関連付けられ、コミットメントｃоｍと、プルーフ（ｘ及びｃ）とによる、Ｆｉａｔ－Ｓｈａｍｉｒ　Ｈｅｕｒｉｓｔｉｃを適用したＳｃｈｎｏｒｒプロトコル、すなわち非対話型ゼロ知識証明（ＮＩＺＫ）により正当な所有者であるか否かを判定するためである。つまり、本実施形態において、あるＣＰ２から取得した複数のクレームの提示先は固定的ではない。

　別の言い方をすると、背景技術で述べた様に、ＲＰ３毎に異なるＤＩＤを使用し、クレームをＤＩＤに関連付ける場合、発行されるクレームの提示先は固定的となる。例えば、ＲＰ＃１との間で使用しているＤＩＤに関連付けられたクレームは、ＲＰ＃１にしか提示できないものとなる。つまり、ＲＰ３毎に異なるＤＩＤを使用し、クレームをＤＩＤに関連付けると、クレームの取得処理は、ある特定のＲＰ３に対するクレームの提示処理のための処理になるとの関係を有することになる。一方、本実施形態では、クレームの取得処理とクレームの提示処理は独立しており、取得するクレームは特定のＲＰ３に関連付けられない。例えば、ＲＰ＃１に提示するつもりで取得したクレームをＲＰ＃１以外のＲＰ３に提示することもできる。

　したがって、本実施形態の様にクレームを生成することで、特定のＲＰ３のみに提示できるクレームを予め取得して保持し、結果として使用しないといった無駄が生じることを防ぐことができる。さらに、クレームの取得処理とクレームの提示処理を独立したものとできる。また、ＲＰ３に認証のために提示する情報は、それぞれが異なる値の生成元ｇと、ランダム値ｒと、に基づき生成された値であるため、ＲＰ３同士が連携しても名寄せを行うことは難しい。さらに、ユーザ装置１が秘密として保持すべき情報は秘密情報ｗのみと、その情報量は少ない。

　また、上記説明において、ユーザ装置１は、Ｎ×Ｍのクレームを事前に取得していたが例示であり、ユーザ装置１が各ＣＰ２から事前に取得するクレームの数は任意である。例えば、ユーザ装置１は、各ＣＰ２が保証する個人情報の提出先の数（又は予想数）に応じて、各ＣＰ２から事前に取得するクレームの数を決定することができる。限定しない具体的な例として、ユーザ装置１は、ＣＰ＃１からの３つのクレームと、ＣＰ＃２からの２つのクレームの計５つのクレームを事前に取得することができる。また、その後、必要に応じて、ユーザ装置１は、各ＣＰ２から任意の数のクレームの事前取得を行うことができる。但し、事前取得処理を複数回行う場合でも、取得する総てのクレームそれぞれに含める生成元ｇの値については異ならせる。なお、クレームに含まれるコミットメントｃоｍの値は、同じクレームに含まれる生成元ｇの値に応じたものとなる。

　なお、あるクレームをあるＲＰ３に過去に提示していた場合、図５のＳ２０で生成するランダム値ｒについては、過去に使用した値とは異なる様にユーザ装置１は制御する。これはランダム値ｒが同じであるとプルーフの値も同じとなり成り済ましが可能となるからである。このため、ユーザ装置１は、Ｓ２０で生成したランダム値ｒが、過去に同じクレームを同じＲＰ３に提示する際に使用したものと同じであれば、過去に使用した値とは異なる値が生成されるまでランダム値ｒの生成を繰り返す。また、ＲＰ３も、過去に提示されたのと同じクレームが提示された際、提示されたプルーフの値が、過去に提示されたものと同じである場合には認証を拒否する様に構成される。

　また、ＲＰ３は、過去に提示されたのと同じクレームが、同じプルーフと共に提示された場合でも認証を拒否するのではなくユーザ装置１に疑義を通知する構成とすることもできる。この場合、ユーザ装置１は、過去に使用したランダム値ｒを管理する必要はなく、ＲＰ３から疑義を唱えられたときに、異なるランダム値ｒを選択して、プルーフの計算（図５のＳ２１）と、プルーフの通知（図５のＳ２２）を再度行う。こうした疑義は、ＲＰ３が、同一のＶＣ＃ｎｍに関して、過去に同じ値ｘを受け取って証明されたことがある場合に唱えられうる。

　また、ＲＰ３がチャレンジの値ｃｈａｌをユーザ装置１に通知する対話型ゼロ知識証明の手順を、Ｓ２２～Ｓ２５の処理に代えて、或いは、Ｓ２２～Ｓ２５の処理に追加して実装する構成とすることもできる。この場合、ユーザ装置１は、ｃ´＝ｒ－ｗ＊ｃｈａｌをＲＰ３に通知する。そして、ＲＰ３は、ｘとＺ＝ｇ_ｎｍ ^ｃ´＊ｃоｍ_ｎｍ ^ｃｈａｌとを比較することで認証を行う。

　＜第二実施形態＞
　続いて、第二実施形態について第一実施形態との相違点を中心に説明する。第一実施形態において、ユーザ装置１は、コミットメントｃоｍ_ｎｍをｃоｍ_ｎｍ＝ｇ_ｎｍ ^ｗとして生成していた。つまり、総てのコメントメントの生成に同じ秘密情報ｗに対応する値を使用していた。本実施形態では、コミットメントｃоｍ_ｎｍを生成するために、ユーザ装置１は、まず、秘密情報ｗに基づき派生秘密情報ｗ＃ｎｍを、ｗ＃ｎｍ＝Ｈａｓｈ（ｗ；ｇ_ｎｍ）として求める。なお、このハッシュ関数は、図５の処理で使用するハッシュ関数とは異なり得る。そして、ユーザ装置１は、コミットメントｃоｍ_ｎｍをｃоｍ_ｎｍ＝ｇ_ｎｍ ^ｗ＃ｎｍで求める。したがって、ユーザ装置１は、図５の値ｃの計算においても秘密情報ｗの代わりに派生秘密情報ｗ＃ｎｍを使用する。生成元ｇ_ｎｍの値は総て異なるため、派生秘密情報ｗ＃ｎｍの値も異なる。これにより、秘密情報ｗの値を乱雑にし、名寄せを行うことをより難しくすることができる。

　＜ユーザ装置の構成＞
　上記各実施形態のユーザ装置１の機能ブロック図を図６に示す。図６に示す機能ブロックは、１つ以上のプロセッサと、１つ以上のメモリデバイスと、を備えたスマートフォン、タブレット、ＰＣ等の装置（デバイス）の前記１つ以上のプロセッサに適切なプログラムを実行させることで実現され得る。

　生成元管理部１０は、生成元ｇを生成する。なお、生成元管理部１０は過去に生成してクレームに使用した生成元ｇの値を保持しており、新たに生成元ｇを生成する場合、過去に使用した生成元ｇと同じ値の生成元ｇを生成しない様に管理する。また、生成元ｇの生成に規則性が生じない様に、生成元管理部１０は、例えば、ランダムに生成元ｇを生成する。例えば、生成元管理部１０は、ランダムな値を生成し、その値が過去にクレームに使用した値と同じであるか否かを判定する。生成した値が過去にクレームに使用した値と同じではない場合、生成元管理部１０は、生成した値を新たな生成元ｇとする。一方、生成した値が過去にクレームに使用した値と同じである場合、生成元管理部１０は、過去にクレームに使用した値とは異なる値を選択する。

　ランダム値管理部１１は、クレームをＲＰ３に提示する際に使用するランダム値ｒを生成する（図５のＳ２０）。一例において、ランダム値管理部１１は、クレームをＲＰ３に提示する際に使用したランダム値ｒの値を管理・保持する。そして、当該クレームをＲＰ３に提示する際、ランダム値管理部１１は、過去に当該クレームを当該ＲＰ３に提示する際に使用したランダム値ｒを使用しない様にランダム値ｒの生成を管理する。なお、上述した様に、ランダム値管理部１１は、ＲＰ３からプルーフに対する疑義が通知された場合に、ランダム値ｒを再生成する構成とすることもできる。素数管理部１２は、素数ｐを生成して保持する。

　クレーム取得部１３は、各ＣＰ２にクレームを要求して当該クレームを取得する処理を行う。上述した様に、クレームを取得する際、クレーム取得部１２は、素数ｐ、生成元ｇ及びコミットメントｃоｍをＣＰ２に通知する。

　秘密情報保持部１４は、秘密情報ｗを保持し、クレーム保持部１５は、ＣＰ２から取得したクレームをメモリデバイスに保存する。なお、クレームそのものは、ユーザ装置１の内部のメモリデバイスに保存する構成のみならず、ユーザ装置１の外部の装置のメモリデバイスに保存する構成とすることもできる。外部の装置は、ユーザ装置１に接続可能な周辺機器であり得る。また、外部の装置は、ユーザ装置１とネットワーク４を介して通信できる装置であり得る。つまり、クレーム保持部１５は、ユーザ装置１の内部又は外部の記憶装置にクレームを保存する。

　クレーム提示部１６は、ＲＰ３にクレームを提示する。上述した様に、クレーム提示部１５は、クレームと共にプルーフ（ｘ、ｃ）をＲＰ３に提示する。

　演算部１７は、コミットメントｃоｍの計算や、値ｘ及び値ｃの計算を行う。また、第二実施形態の場合、演算部１７は、秘密情報ｗ及び生成元ｇに基づき派生秘密情報の生成も行う。通信部１８は、ネットワーク４を介するＣＰ２やＲＰ３との通信処理を行う。

　なお、本発明によるユーザ装置１は、１つ以上のプロセッサを有するデバイスの当該１つ以上のプロセッサで実行されると、当該デバイスを上記ユーザ装置１として動作させるプログラムにより実現することができる。これらコンピュータプログラムは、非一時的なコンピュータ読取可能記憶媒体に記憶されて、又は、ネットワーク経由で配布が可能なものである。

　また、上記実施形態では、ユーザ装置１が、ＣＰ２、ＲＰ３とは独立した装置（例えば、スマートフォンやパーソナルコンピュータにインストールされるアプリケーションとしてユーザ装置１の機能を実装）である場合を例にして説明をしていた。しかしながら、ユーザ装置１の機能の一部をＣＰ２又はＲＰ３に配置した構成とすることもできる。例えば、ＣＰ２がウェブアプリケーションサーバを含むシステムとして実装されている場合には、ユーザ装置１の機能も全てＣＰ２側にて実装し、このＣＰ２側に実装されたユーザ装置１の機能のプロセスと、本来ＣＰ２が実装している機能のプロセスとを独立にアクセス不可の状態で実行し、ユーザ装置１の情報及び生成された情報をユーザ別の情報としてＣＰ２が保管する構成であってもよい。なお、一部の機能をユーザ側に残存させる場合には、ウェブブラウザのブラグインにして実装することが可能である。

　発明は上記の実施形態に制限されるものではなく、発明の要旨の範囲内で、種々の変形・変更が可能である。

　本願は、２０２１年７月６日提出の日本国特許出願特願２０２１－１１２２９０を基礎として優先権を主張するものであり、その記載内容の全てを、ここに援用する。

Claims

　秘密情報を保持する保持手段と、
　生成元を生成する生成手段と、
　前記生成元と前記秘密情報とに基づき前記生成元に対応するコミットメントを求める演算手段と、
　前記生成元と前記生成元に対応するコミットメントとを含む取得要求を第１外部装置に送信することで、前記生成元と前記生成元に対応するコミットメントとを含む検証可能なクレーム（ＶＣ）を取得する取得手段と、
を備え、
　前記取得手段が新しい前記ＶＣを取得するために使用する前記生成元の値は、前記取得手段が過去に前記ＶＣを取得するために使用した前記生成元の値とは異なる、ユーザ装置。
　前記演算手段は、前記生成元の値と前記秘密情報に対応する値とを入力とするハッシュ関数の出力値を求め、当該出力値と当該生成元の値とに基づき当該生成元に対応するコミットメントを求める、請求項１に記載のユーザ装置。
　前記取得手段が取得した前記ＶＣと共に当該ＶＣのプルーフを第２外部装置に提示する提示手段をさらに備え、
　前記ＶＣのプルーフは、第１の値と第２の値とを含み、
　前記演算手段は、前記提示手段が提示する前記ＶＣに含まれる前記生成元と第３の値とに基づき前記第１の値を求め、前記第１の値のハッシュ値と、前記第３の値と、前記秘密情報に対応する値と、に基づき前記第２の値を求め、
　前記演算手段は、前記提示手段が第１ＶＣを前記第２外部装置に提示する場合において、前記提示手段が前記第１ＶＣを前記第２外部装置に過去に提示していた場合、前記第１の値及び前記第２の値を求めるために使用する前記第３の値を、前記第１ＶＣを前記第２外部装置に過去に提示した際に使用した前記第３の値とは異ならせる、請求項１又は２に記載のユーザ装置。
　ユーザ装置と、１つ以上の第１外部装置と、を含むシステムであって、
　前記ユーザ装置は、
　　秘密情報を保持する保持手段と、
　　生成元を生成する生成手段と、
　　前記生成元と前記秘密情報とに基づき前記生成元に対応するコミットメントを求める演算手段と、
　　前記１つ以上の第１外部装置の内の少なくとも１つの第１外部装置に、１つ以上の生成元と前記１つ以上の生成元それぞれに対応するコミットメントとを含む取得要求を送信する第１送信手段と、
を備え、
　前記１つ以上の第１外部装置は、
　前記取得要求を受信したことに応答して、前記ユーザ装置に、受信した前記取得要求に含まれる前記１つ以上の生成元それぞれに対応する検証可能なクレーム（ＶＣ）を送信する第２送信手段であって、前記生成元に対応するＶＣは、当該生成元と、当該生成元に対応するコミットメントと、を含む、前記第２送信手段を、
備え、
　前記第１送信手段が前記少なくとも１つの第１外部装置に送信する前記取得要求に含まれる前記１つ以上の生成元の値は互いに異なり、かつ、前記第１送信手段が過去に送信した前記取得要求に含まれていた前記１つ以上の生成元の値とは異なる、システム。
　１つ以上の第２外部装置をさらに備え、
　前記ユーザ装置は、
　前記少なくとも１つの第１外部装置に送信した前記取得要求の応答として取得したＶＣと共に、第１の値及び第２の値を含む当該ＶＣのプル―プを前記１つ以上の第２外部装置の内の１つの第２外部装置に提示する提示手段をさらに備え、
　前記１つ以上の第２外部装置は、
　前記ユーザ装置から前記ＶＣと共に前記ＶＣのプルーフが提示された場合、前記ＶＣに含まれる前記生成元及び前記コミットメントと、前記プルーフとに基づき、前記ユーザ装置のユーザが当該ＶＣの所有者であるか否かを判定する判定手段を備え、
　前記第１の値は、前記１つの第２外部装置に提示する前記ＶＣに含まれる前記生成元と第３の値とに基づく値であり、前記第２の値は、前記第１の値のハッシュ値と、前記第３の値と、前記秘密情報に対応する値と、に基づく値である、請求項４に記載のシステム。
　ユーザ装置における方法であって、
　第１外部装置に、１つ以上の生成元と前記１つ以上の生成元それぞれに対応するコミットメントとを含む取得要求を送信することであって、生成元に対応するコミットメントは、当該生成元と前記ユーザ装置が保持する秘密情報とに基づき生成されている、前記取得要求を送信することと、
　前記取得要求を送信したことの応答として、前記第１外部装置から、前記１つ以上の生成元それぞれに対応する検証可能なクレーム（ＶＣ）を受信することであって、前記生成元に対応するＶＣは、当該生成元と、当該生成元に対応するコミットメントと、を含む、前記ＶＣを受信することと、
を含み、
　前記取得要求に含まれる前記１つ以上の生成元それぞれの値は互いに異なり、かつ、前記ユーザ装置が過去に送信した前記取得要求に含まれていた前記１つ以上の生成元の値とは異なる、方法。
　前記１つ以上の生成元それぞれに対応するＶＣの内の１つのＶＣと、当該１つのＶＣに対応するプルーフと、を第２外部装置に送信することをさらに含み、
　前記１つのＶＣに対応するプルーフは、当該１つのＶＣに含まれる前記生成元及びランダム値に基づく第１の値と、前記第１の値のハッシュ値、前記ランダム値及び前記秘密情報に対応する値に基づく第２の値と、を含む、請求項６に記載の方法。
　ユーザ装置が、第１外部装置に、１つ以上の生成元と前記１つ以上の生成元それぞれに対応するコミットメントとを含む取得要求を送信することであって、生成元に対応するコミットメントは、当該生成元と前記ユーザ装置が保持する秘密情報とに基づき生成されている、前記取得要求を送信することと、
　前記取得要求を受信したことに応答して、前記第１外部装置が、前記ユーザ装置に、前記１つ以上の生成元それぞれに対応する検証可能なクレーム（ＶＣ）を送信することであって、前記生成元に対応するＶＣは、当該生成元と、当該生成元に対応するコミットメントと、を含む、前記ＶＣを送信することと、
　前記ユーザ装置が、前記１つ以上の生成元それぞれに対応するＶＣの内の１つのＶＣと、当該１つのＶＣに対応するプルーフと、を第２外部装置に送信することと、
　前記第２外部装置が、前記１つのＶＣに含まれる前記生成元及び前記コミットメントと、前記１つのＶＣに対応するプルーフとに基づき、前記ユーザ装置のユーザが当該１つのＶＣの所有者であるか否かを判定することと、を含み、
　前記取得要求に含まれる前記１つ以上の生成元それぞれの値は互いに異なり、かつ、前記ユーザ装置が過去に送信した前記取得要求に含まれていた前記１つ以上の生成元の値とは異なり、
　前記１つのＶＣに対応するプルーフは、当該１つのＶＣに含まれる前記生成元及びランダム値に基づく第１の値と、前記第１の値のハッシュ値、前記ランダム値及び前記秘密情報に対応する値に基づく第２の値と、を含む、方法。