JP2001147983A - 匿名電子投票装置および匿名電子投票処理方法および当該方法を記述したプログラムを記録した記録媒体 - Google Patents

匿名電子投票装置および匿名電子投票処理方法および当該方法を記述したプログラムを記録した記録媒体

Info

Publication number
JP2001147983A
JP2001147983A JP33077399A JP33077399A JP2001147983A JP 2001147983 A JP2001147983 A JP 2001147983A JP 33077399 A JP33077399 A JP 33077399A JP 33077399 A JP33077399 A JP 33077399A JP 2001147983 A JP2001147983 A JP 2001147983A
Authority
JP
Japan
Prior art keywords
signature
voting
mix
processing mechanism
verification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP33077399A
Other languages
English (en)
Other versions
JP3689292B2 (ja
Inventor
Masayuki Abe
正幸 阿部
Miyako Okubo
美也子 大久保
Atsushi Fujioka
淳 藤岡
Fumisato Hoshino
文学 星野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP33077399A priority Critical patent/JP3689292B2/ja
Publication of JP2001147983A publication Critical patent/JP2001147983A/ja
Application granted granted Critical
Publication of JP3689292B2 publication Critical patent/JP3689292B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

(57)【要約】 【課題】 本発明は、物理的な匿名通信路を用いない電
子投票システムにおいて、非所望な票のすり替えによる
集計上の不正を防止するようにすることを目的としてい
る。 【解決手段】 署名者が、従来のブラインド署名の代わ
りに、抹消可能ブラインド署名を用いて署名する構成を
とり、集計時に不正なメッセージ・署名対を発見した場
合にMixサーバUL がその不正な出力に対応する入力
を公開して自己が正しい処理を行ったことを証明して1
つ前のMixサーバUL-1 の処理を検証させてゆくよう
にする。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、電気通信システム
で無記名投票を効率的に実現する方法に関する。
【0002】
【従来の技術】従来の技術として、特願平10−320
173に記載の方法について説明する。
【0003】この方法は、A.Fujioka,T.Okamoto,K.Oht
a: "A Practical Secret Voting Scheme for Large Sca
le elections",AUSCRYPT'92,LNCS 718,Springer-Verlag
で提案されている方法を改良した方法である。この方
法は、署名端末、複数の投票端末、公開掲示板、複数の
集計端末から成る。署名端末とすべての投票端末とは認
証通信路で接続されており、また、公開掲示板とすべて
の投票端末とは匿名通信路で接続される。
【0004】ここで、匿名通信路は、発信者は受信者を
認証できる(即ち、受信者が確かに正当な受信者である
ことを確認することができる)が、受信者は発信者を特
定することができないか、あるいはきわめて困難である
という機能を有する通信路である。
【0005】このような通信路を用いた通信は、例え
ば、発信者が監視下にない公衆電話から特定の受信者へ
通信する場合に相当する。すべての投票者は暗号化鍵y
を保持し、各集計端末は暗号化鍵yに対応する復号鍵x
の部分情報を保持する。
【0006】投票者は、投票すべきメッセージmを決定
した後、投票端末を駆動して署名端末へ接続し、mに対
するブラインド署名σを入手する。署名端末は、投票者
が正当な、即ち、投票の権利を持ち、かつ、未投票であ
ることを確認した後、ブラインド署名を発行する。
【0007】ブラインド署名では、署名者は、メッセー
ジm′に対する署名σ′を発行するが、投票者はm′,
σ′をm,σへ変換する手段を持つ。そのため、ブライ
ンド署名を用いることによって、署名者は署名を発行す
ることはできるが実際のメッセージ・署名対(m,σ)
の値を知ることはない。
【0008】このようなブラインド署名方法は、例え
ば、D.Chaum: "Security without identification: Tra
nsaction systems to make big brother obsolete", Co
mmunications of the ACM,Vol.28,No.10,pp.1030-1044,
October,1985に示されるように、RSA署名に基づいて
簡単に構成することができる。
【0009】メッセージ・署名対S:=(m,σ)を得
た投票者は、Sをyで暗号化して暗号文Eを得、匿名通
信路を通じて、Eを公開掲示板へ送付する。
【0010】投票締切後、復号鍵の部分情報を持つ集計
端末は協力して、公開掲示板に現れた各投票者からの暗
号文をそれぞれ復号し、メッセージ・署名対(m,σ)
の一覧を得る。これらのうち、正しい署名を伴うメッセ
ージのみを集計対象として集計する。
【0011】上記従来の方法は、物理的な匿名通信路を
用いているため、在宅投票や、自宅からインターネット
を通じて投票するような場合には適さない。匿名通信路
を物理的な構成に因らず、電気通信システムにより実現
する手段として、MIX−NETが提唱されている。M
IX−NETではL個のサーバU1 ,…,UL が直列的
に記名通信路で接続されたシステムである。
【0012】RSA関数を用いてこれを実装する場合に
は、各サーバは、大きな素数pi ,qi に対し、ni
i ・qi およびei ・di =1(mod LCM(pi
1,qi −1))を満たす(di ,Ni ),(ei ,N
i )をそれぞれ復号鍵、暗号化鍵とする。
【0013】RSAによるメッセージmの暗号化は、ま
ず、乱数rを選び、mとrとをビット結合してm‖rと
する。そして、
【0014】
【数1】
【0015】として暗号文Mを得る。以下では、この暗
号化手順をEi (m,r)と書く。各投票者は、送信す
べきメッセージ・署名対MをE1 (E2 (…EL (M,
L ),…),r2 ),r1 )のように、各暗号化鍵を
用いて多重に暗号化し、U 1 へ送付する。
【0016】U1 は、複数の投票者から暗号化された入
力文が集まった後、これをX1 で復号し、各入力文につ
いて、E2 (…EL (M,r),…)r2 )および
1を得る。U1 はそれぞれの入力文から得られたE2
(…EL (M,r),…)r2 )の順序をランダム
に置換し、U2 へ送付する。
【0017】この際、各メッセージについてのr1 を秘
密とすることで、U2 へ送付された各E2 (…E
L (M,r),…)r2 )がU1 への入力のどのメ
ッセージに関する復号結果であるのかを判別できないよ
うにすることができる。
【0018】以下、U2 ,…,UL も同様の処理を繰り
返す。最後にUL は、復号されてランダムに置換された
メッセージ・署名対のリストを公開する。少なくとも一
つのサーバが乱数ri および置換の順序を秘密に保つこ
とにより、各利用者がU1 へ入力した入力暗号文と、U
L が出力した各メッセージ・署名対との関連は隠匿さ
れ、匿名通信路として機能する。
【0019】
【発明が解決しようとする課題】上記従来の方法のよう
に、物理的な匿名通信路をMIX−NETで置き換えた
場合、Mixサーバの故障によってあるいは投票者とM
ixサーバとの結託による意図的な妨害によって、不正
な結果が出力される可能性がある。
【0020】例えば、投票者の一人が、暗号化されたメ
ッセージ・署名対E1 (E2 (…E L (M,rL ),
…),r2 ),r1 )の代わりに、検証に失敗するよう
なランダムな値Rを暗号化した値E1 (E2 (…E
L (R,rL ),…),r2 ),r 1 )を送信し、正規
のメッセージ・署名対Mを結託した相手のMixサーバ
Lへ秘密裏に送付したと想定する。
【0021】サーバUL は、すべての処理を終えた後、
結果を出力する直前に、出力すべきメッセージ・署名対
のリストのうちの一つのメッセージ・署名対を予め結託
した投票者から渡されたメッセージ・署名対Mですり替
えて出力する。このリストを検証することによって、R
は棄却されるが、置き換えられてしまった正しいメッセ
ージ・署名対はリストに含まれないために集計対象とな
らず、本来の集計結果と異なる、不正な結果が現れるこ
とになってしまう。
【0022】本発明は、物理的な匿名通信路を用いない
電子投票システムにおいて、上記のような票のすり替え
による集計上の不正を防止するようにすることを目的と
している。
【0023】
【課題を解決するための手段】まず、署名者は、ブライ
ンド署名の代わりに、抹消可能ブラインド署名(FairBl
ind Signature)を用いて署名を発行する。
【0024】抹消可能ブラインド署名は、ブラインド署
名と同様に、署名者が発行したメッセージ・署名対
m′,σ′を投票者がm,σへ変換する手段を備える署
名方法であり、署名者にm,σを知られることなく投票
者が署名を入手する手段を実現することができる。抹消
可能ブラインド署名は、これに加えて、ある監視情報τ
を保持する監視者がm′,σ′からm,σを特定する情
報を引き出す手段を持つ署名方法である。
【0025】集計時に、不正なメッセージ・署名対
(m,σ)を発見した場合、MixサーバUL は、その
不正な出力(m,σ)に対応する入力を公開し、その出
力が正しい処理によって得られたものであることを証明
する。
【0026】処理が正しいことが証明されたならば、次
のサーバUL-1 は、UL が公開した入力値が出力値とな
るUL-1 の入力を公開し、その入出力関係について、処
理の正しさを証明する。この手順を順次最初のサーバU
1 まで繰り返す。途中、証明に失敗するようなMixサ
ーバが存在する場合、そのサーバを不正者と見なす。
【0027】すべてのサーバが証明に成功した場合、U
1 が公開した入力を送付した投票者を不正投票者と見な
す。
【0028】不正投票者が発見された場合、監視者は、
その不正投票者に対して署名者が発行した抹消可能ブラ
インド署名m′,σ′および、監視情報τを用いて、本
来のメッセージ・署名対m,σを特定する情報Wを得
る。このWを用いて、集計時に得られたメッセージ・署
名対のリスト中にm,σが含まれているかどうかを確認
する。m,σが含まれていた場合、前述の手段により、
逐次、各サーバがその出力に対応する入力を公開し、処
理の正しさを証明する。以上の手段を繰り返すことによ
り、すべての不正な投票者による投票を排除し、かつ、
不正なMixサーバを特定する事ができる。
【0029】
【発明の実施の形態】実施例について説明する。図1は
本実施例の電子投票装置のブロック図である。本実施例
の電子投票装置は、n個の投票装置1−i、署名装置
2、監視装置3、k個のMix装置4−i、検証装置5
および公開掲示板6を具備する。各装置と公開掲示板と
は相互認証が可能な認証通信路7で接続される。以下の
説明で、各装置が相互に情報を送受信する場合には、全
て公開掲示板を介して行うものとする。
【0030】以下、各装置について説明する。本実施例
では、抹消可能ブラインド署名方法として、J.Camenisc
h, "Group Signature Schemes and Payment Systems Ba
sedon the Discrete Logarithm Problem", ETH Series
in Information Securityand cryptography,Volumn 2,
pp.124-132,Hartung-Gorre Verlag で提案されているSc
hnorr 署名に基づく方法を用いる。まず、この抹消可能
ブラインド署名方法について説明する。
【0031】p,qを大きな素数とし、qは(p−1)
を割り切るものとする。g,g1 ,g2 をZ* p におけ
る位数qの元とする。H(・)は一方向性ハッシュ関数
であり、二項演算子a‖bはaとbとの二進表現を結合
した値を表す。
【0032】乱数τに対してyT をyT =g2 x mod p
を満たす値とする。τは署名抹消に必要な秘密情報であ
り、監視者が秘密に保持する。yT は公開する。
【0033】同様に、乱数xに対して、yをy=gx mo
d p を満たす値とする。xは署名鍵であり、署名者が秘
密に保持する。yは署名検証鍵として公開する。
【0034】以下の説明は、署名要求者が文書mに対す
る署名を署名者から入手する際の要求者と署名者との処
理手順である。 手順1:要求者は、乱数aをZ* q から選び、
【0035】
【数2】
【0036】を計算する。次に、この計算が正しく行わ
れたこと(即ち、
【0037】
【数3】
【0038】が成り立つこと)を証明する証明書
(c1 ,s1 )を以下の手順で作成する。 (a)乱数w1 ∈Z* q を選び、
【0039】
【数4】
【0040】を計算する。 (b)s1 :=w1 +c1 amod p を計算する。上記計
算結果(hw ,d,c1 ,s1 )を署名者へ送付する。 手順2:署名者は以下のステップを実行する。 (a)
【0041】
【数5】
【0042】が成り立つことを確認する。成り立たなけ
れば処理を停止する。 (b)zw :=hw x mod p を計算する。 (c)乱数w2 ∈Zq を選び、
【0043】
【数6】
【0044】を計算する。 (d)(zw ,t'g ,t'h )を要求者へ送付する。 手順3:要求者は乱数γ,δをZq より選び、
【0045】
【数7】
【0046】を計算し、c'2 を署名者へ送付する。 手順4:署名者はs'2 :=w2 −c'2 xmod q を計算
し、要求者へ送付する。
【0047】手順5:要求者はs2 :=s'2 +γmod q
を計算する。更に、hp =hW a mod p であることの証
明書(c3 ,s3 )を以下の手順で生成する。 (a)乱数w3 ∈Zq を生成する。 (b)
【0048】
【数8】
【0049】を計算する。 (c)s3 :=w3 −c3 amod q を計算する。
【0050】最後に、(m,hp ,zp ,c2 ,s2
3 ,s3 )を文書・署名対として保存する。上記手順
において、
【0051】
【数9】
【0052】であり、
【0053】
【数10】
【0054】であり、更に、
【0055】
【数11】
【0056】であるので、発行された(m,hp
p ,c2 ,s2 ,s3 ,c3 )は、
【0057】
【数12】
【0058】が成り立つことを確認することによってそ
の正しさを検証することができる。発行した署名を抹消
する場合には、秘密情報τを持つ監視者が、
【0059】
【数13】
【0060】を計算して公開する。この値は、
【0061】
【数14】
【0062】となるので、この値hp を含む署名を無効
と見なす。また、監視者の計算が正しいことを証明する
証明書(s4 ,c4 )を以下のように計算する。 計算1:乱数w4 ∈Zq を生成する。 計算2:
【0063】
【数15】
【0064】を計算する。 計算3:s4 :=w4 −c4 τmod q を計算する。 この証明書は、
【0065】
【数16】
【0066】が成り立つ場合に、監視者の処理が正しい
ことを保証する。本実施例では、MIX−NETへ入力
する暗号文を作成する方法として従来法の説明中で記述
したRSA暗号に基づく方法を用いる。以下の説明で、
|a|はaのビット数を表す。i=1,…,nに対し
て、(ei ,Ni )、(di ,Ni)をそれぞれRSA
暗号の公開鍵、秘密鍵とする。ただし、|Ni |>|N
i+1|とする。
【0067】図2を参照し、署名装置について説明す
る。署名装置2は、メモリ21、追跡情報埋込検証器2
2、コミットメント演算器23、署名演算器24およ
び、これらを制御する制御部25を具備する。メモリ2
1には、g,g1 ,g2 ,p,q,y,yT およびxが
格納されている。制御部25は以下の各ステップを実行
するよう各機器を制御する。
【0068】・(追跡情報埋込検証およびコミットステ
ップ)A:投票装置1−iから受信した入力(hw
d,c1 ,s1 )に対して、追跡情報埋込検証器22へ
(hw ,d,c1 ,s1 )およびg1 ,g2 ,p,q,
Tを入力する。駆動された追跡情報埋込検証器22は
【0069】
【数17】
【0070】を計算し、その結果がc1 と等しければO
Kを出力し、等しくなければNGを出力する。NGが出
力された場合、制御部25は処理を停止する。OKが出
力された場合、コミットメント演算器23へhw ,g,
p,qを入力する。駆動されたコミットメント演算器2
3は、入力hw ,g,p,qに対し、1以上q未満の整
数乱数w2 を生成し、zw ,t'g ,t'h
【0071】
【数18】
【0072】のように計算して出力する。 ・(署名生成ステップ)B:投票装置1−iから受信し
た入力c'2 に対して、署名演算器24へc'2 およびw
2 ,x,qを入力する。署名演算器24は、s'2 :=
2 −c'2 xmod qを計算して出力する。
【0073】制御部25は、それぞれのステップで得ら
れた出力(zw ,t'g ,t'h )およびs'2 を、順
次、投票装置1−iへ送信する。
【0074】図3を参照し、投票装置について説明す
る。投票装置1−iは、メモリ11、追跡情報埋込器1
2、追跡情報埋込証明器13、攪乱器14、攪乱修正器
15、暗号化器16および、これらを制御する制御部1
7を具備する。メモリ11には、g,g1 ,g2 ,p,
q,y,yT が格納されている。制御部17は以下の各
ステップを実行するよう各機器を制御する。
【0075】・(追跡情報埋込および証明ステップ)
C:追跡情報埋込器12へg1 ,g2 ,p,q,yT
入力する。追跡情報埋込器は、乱数a∈Z* q を生成
し、
【0076】
【数19】
【0077】を計算し、hw ,dを出力する。g1 ,y
T ,p,qおよび、追跡情報埋込器12の出力hw
d,aを追跡情報埋込証明器13へ入力する。追跡情報
埋込証明器13は乱数w1 ∈Z* q を選び、
【0078】
【数20】
【0079】およびs1 :=w1 +c1 amod p を計算
し、c1 ,s1 を出力する。制御部17は、(hw
d,c1 ,s1 )を署名装置2へ送信する。
【0080】・(ブラインド処理ステップ)D:投票す
べきメッセージmおよび、署名装置2から受信した(z
w ,t'g ,t' h )の入力に対し、m,zw ,t'g
t'h およびp,q,gを攪乱器14へ入力する。攪乱
器14は乱数γ,δをZq より選び、
【0081】
【数21】
【0082】を計算し、γ,hp ,zp ,c2 ,c'2
を出力する。制御部17は、c'2 を署名装置2へ送信
する。
【0083】・(暗号投票文作成ステップ)E:署名装
置2から受信したs'2 の入力に対し、s'2 および、
q,γを攪乱修正器15へ入力する。駆動された攪乱修
正器15は、s2 :=s'2 +γmod q を計算する。更
に、以下の手順を実行して、s3 ,c3 を得、s2 ,s
3 ,c3 を出力する。
【0084】手順11:乱数w3 ∈Zq を生成する。 手順12:
【0085】
【数22】
【0086】を計算する。 手順13:s3 :=w3 −c3 amod q を計算する。
【0087】次に、s2 ,s3 ,c3 ,m,hp
p ,c2 を暗号化器16へ入力する。簡単のため、こ
れらの入力全体をMと表すことにする。さらに、Y1
…,Ynを入力して暗号化器16を駆動する。駆動され
た暗号化器16は、乱数K1 ,…,Kn を生成し、
【0088】
【数23】
【0089】を計算し、さらに、E0 :=Enc(…E
nc(Enc(M,Kn ),Kn-1 )…,K1 )を計算
し、R0 ,E0 を出力する。ここで、Enc(α,β)
は暗号文αを秘密鍵βで暗号化する演算を意味する。制
御部17は、R0 ,E0 を公開掲示板へ送信する。
【0090】暗号化演算EncはIDEAやRC6など
予め定めたどのような暗号アルゴリズムを用いても良
い。更に、各暗号化の演算は異なるアルゴリズムを使用
しても良い。各Ki のビット数は使用する暗号アルゴリ
ズムに適合するように定める。各公開鍵Ni も、|Ni
|と|Ni-1 |の差が|Ki |以上となるよう定めてお
く。
【0091】以下の説明では、各投票装置1−iが公開
掲示板6へ送信した(R0 ,E0 )からなるリストをL
0 と記述する。
【0092】図4を参照し、Mix装置について説明す
る。Mix装置4−iは、メモリ41、復号器42、置
換装置43、対応証明器44および、これらを制御する
制御部45を具備する。Mix装置4−iのメモリ41
には、Xi :=(di ,Ni)および、Y1 ,…,Yk
が格納されている。制御部45は以下の各ステップを実
行するよう各機器を制御する。
【0093】・(Mix処理ステップ)F:入力Li-1
に対し、Xi およびLi-1 に含まれる各(Ri-1 ,E
i-1 )を順次復号器42へ入力する。復号器42は、
【0094】
【数24】
【0095】を計算し、演算結果の下位側から予め定め
られたビット数分の値をKi とし、残りの部分をRi
する。Ki を用いてEi :=Dec(Ei-1 ,Ki )を
計算する。ここで、Decは復号演算であり、投票装置
1−iが利用する暗号演算に対応するアルゴリズムを表
す。復号器42は、(Ri ,Ei )を出力する。制御部
45は、復号器42から順次出力される(Ri ,Ei
をメモリ41へ格納する。Li-1 のすべてのエントリに
対して復号が終了した後、置換装置43を駆動し、すべ
ての(Ri ,Ei )を順番に並べたリストを置換装置4
3へ入力する。置換装置43は、ランダムな置換πを生
成し、πに従って入力されたリストの各エントリの順序
を入れ換えてできるリストをLi として出力する。例え
ば、n=3のとき、ランダムに生成された置換をπ=
{3,1,2}とすると、リストの1番目にある
(Ri ,Ei )を3番目に、2番目にある(Ri
i )を1番目に、3番目にある(Ri ,Ei )を2番
目においてできるリストをLi とする。置換装置43は
πも出力する。制御部45はπをメモリ41へ格納し、
i を公開掲示板6へ送信する。
【0096】・(対応証明ステップ)G:1≦Ji ≦n
なる整数値Ji (以下、この変数を追跡インデックスと
呼ぶ)とLi-1 の入力に対し、Ji ,Li-1 およびπ,
i を対応証明器44へ入力する。対応証明器44は、
π中にJi が現れる場所を検索し、Ji がJi-1 番目に
現れたら、リストLi-1 のJi-1 番目のエントリ(R
i-1 ,Ei-1 )を得、復号器42の動作と同様に、
【0097】
【数25】
【0098】を計算し、演算結果の下位側から予め定め
られたビット数分の値をKi とし、J i-1 ,Ki を出力
する。
【0099】最後尾(i=k)のMix装置4−iが出
力するリストLk の各エントリ(R k ,Ek )は、すべ
て正常に処理された場合、Rk には何も含まれず、Ek
はメッセージ・署名対M={s2 ,s3 ,c3 ,m,h
p ,zp ,c2 }となる。以下では、Lk をMのリスト
として説明する。
【0100】図5は監視装置のブロック図である。監視
装置3は、制御部31、メモリ32、追跡情報演算器3
3、追跡情報証明器34を具備する。監視装置3のメモ
リ32には、g,g1 ,g2 ,p,q,τ,yT が格納
されている。制御部31は以下に説明する ・(追跡情報生成ステップ)Hを実行するよう各機器を
制御する。
【0101】処理1:入力dに対して、d,g1 ,τ,
q,pを追跡情報演算器33へ入力する。 処理2:駆動された追跡情報演算器33は、
【0102】
【数26】
【0103】を計算し、出力する。 処理3:次に、追跡情報証明器34へhp ,d,g1
2 ,p,q,τを入力する。
【0104】処理4:追跡情報証明器34は、以下の手
順で(c4 ,s4 )を計算する。 (a)乱数w4 ∈Zq を生成する。 (b)
【0105】
【数27】
【0106】を計算する。 (c)s4 :=w4 −c4 τmod q を計算する。 処理5:制御部31はhp およびc4 ,s4 を出力す
る。
【0107】図6を参照し、検証装置について説明す
る。検証装置5は、メモリ51、署名検証器52、対応
検証器53、追跡情報検証器54、署名抹消器55およ
び、これらを制御する制御部56を具備する。検証装置
5のメモリ51には、Y1 ,…,Yk ,g,g1
2 ,y,yT ,p,qが格納されている。制御部は各
機器を以下のように制御する。
【0108】・(署名検証ステップ)I:公開掲示板か
らLk を読み込み、リスト中の各エントリM={s2
2 ,s 3 ,c3 ,m,hp ,zp }を順次、署名検証
器52へ入力する。更に、g,y,q,pを入力する。
駆動された署名検証器52は、
【0109】
【数28】
【0110】を計算し、その結果をそれぞれc2 および
3 と比較する。いずれも等しければ、署名検証器52
はOKを出力し、そうでなければNGを出力する。制御
部56は、署名検証器52がNGを出力した場合に、リ
スト中におけるその不正な署名の位置(インデックス)
をJk として出力する。不正な署名が複数ある場合に
は、それらすべてのインデックスを出力する。一度もN
Gが出力されなければ、OKを出力する。
【0111】・(対応検証ステップ)J:追跡インデッ
クスJi と、Ji に対してMix装置4−iが出力した
i-1 ,Ki とに対して、Ji ,Ji-1 ,Ki および、
i のJi 番目のエントリ(Ri,Ei )、Li-1 のJ
i-1 番目のエントリ(Ri-1 ,Ei-1 )、およびYi
対応検証器53へ入力する。対応検証器53は、Dec
(Ei-1 ,Ki )がEi に等しく、
【0112】
【数29】
【0113】がRi-1 に等しい場合にOKを出力し、そ
うでない場合にはNGを出力する。・(追跡情報検証ス
テップ)K:監視装置が出力したhp ,c4 ,s4 およ
びd,g1 ,g2 ,yT ,q,pを追跡情報検証器54
へ入力する。追跡情報検証器54は
【0114】
【数30】
【0115】を計算し、その結果がc4 と等しければO
Kを出力し、等しくなければNGを出力する。制御部5
6は追跡情報検証器54の出力を出力する。
【0116】・(署名抹消ステップ)L:hp およびL
k を署名抹消器55へ入力する。署名抹消器55は、L
k の中に、入力されたhp と一致するhp を含むMが存
在するか否かを調べ、存在しない場合はOKを出力し、
存在するならば、そのMのLk 中での位置(インデック
ス)Jk を出力する。制御部56はOKまたはJk を公
開掲示板6へ送信する。
【0117】本実施例の投票装置は、以下の手順を順次
実行する。 手順21:各投票装置と署名装置とは以下のステップを
順次実行する。 (a)投票装置1−iは、投票内容mが外部より入力さ
れると、上述の(追跡情報埋込および証明ステップ)C
を実行し、(hw ,d,c1 ,s1 )を署名装置へ送信
する。 (b)署名装置2は、(hw ,d,c1 ,s1 )を受信
して上述の(追跡情報埋込検証およびコミットステッ
プ)Aを実行し、(zw ,t'g ,t'h )を投票装置1
−iへ送信する。 (c)投票装置1−iは、(zw ,t'g ,t'h )を受
信し、上述の(ブラインド処理ステップ)Dを実行して
c'2 を署名装置2へ返信する。 (d)署名装置2は、c'2 を受信し、上述の(署名生
成ステップ)Bを実行してs'2 を署名装置2へ返信す
る。 (e)投票装置1−iはs'2 を受信し、上述の(暗号
投票文作成ステップ)Eを実行してR0 ,E0 を公開掲
示板6へ送信する。
【0118】(暗号投票文作成ステップ)Eの説明にあ
るように、E0 は投票文mとそれに対して署名装置が発
行した署名との対Mを多重に暗号化したものである。各
投票装置1−iが公開掲示板6に送信した(R0
0 )からなるリストをL0 とする。
【0119】手順22:i=1,…,kに対して、Mi
x装置4−iは公開掲示板6からL i-1 を読み込み、
(Mix処理ステップ)Fを実行し、Li を公開掲示板
6へ送信する(前述の通り、Lk はMのリストとな
る)。
【0120】手順23:検証装置5は、上述の(署名検
証ステップ)Iを実行する。OKが出力されれば、正常
終了であり、停止する。追跡インデックスJk が出力さ
れた場合,以下のステップに進む。
【0121】手順24:以下の処理をj=k,…,1に
対して順次繰り返す。 (a)検証装置5は、Jj をMix装置4−jへ送信す
る。 (b)Mix装置4−jは、検証装置5からJj を受信
し、上述の(対応証明ステップ)Gを実行し、Jj-1
j を検証装置5へ送信する。 (c)検証装置5は、上述の(対応検証ステップ)Jを
実行し、NGが出力されたならば、Mix装置4−jが
不正であると認定して停止する。
【0122】手順25:検証装置5は、J0 を監視装置
3へ送信する。 手順26:監視装置3は、J0 を受信し、J0 番目の投
票装置が署名装置へ送信した(hw ,d,c1 ,s1
のhw を公開掲示板6より読み込んで上述の(追跡情報
生成ステップ)Hを実行し、hp ,c4 ,s4 を検証装
置5へ送信する。
【0123】手順27:検証装置5は、hp ,c4 ,s
4 を受信し、上述の(追跡情報検証ステップ)Kを実行
する。NGが出力された場合、監視装置3が不正である
と認定して停止する。OKが出力された場合、Lk を読
み込んで上述の(署名抹消ステップ)Lを実行する。O
Kが出力された場合には、正常終了として停止する。イ
ンデックスJk が出力された場合、以下を実行する。ま
ず、得られたJk が既に上述の(署名検証ステップ)I
の出力中に含まれていないことを確認する。含まれてい
る場合には、この処理を終了する。含まれていない場
合、手順24以降を再度実行する。
【0124】以上の動作によって得られたリストLk
おいて、検証装置5が公開掲示板6へ送付したすべての
インデックスJk を抹消情報とし、これに該当する全て
の投票を無効としたものが最終的な***結果とする。
【0125】上記では、検証装置5のみが他の装置の出
力を検証する場合について説明したが、各装置が独立し
た安全性を確保できるよう、検証装置5が備える各検証
機能を、各Mix装置4−iおよび監視装置3が具備
し、同様の検証を行っても良い。
【0126】上記では、全ての通信を公開掲示板6を通
じて行う場合について説明したが、各装置間に通信路を
設け、送信する全てのデータに送信側のディジタル署名
を添付することによって、公開掲示板6の代替とする事
も可能である。
【0127】上記において、匿名電子投票装置および匿
名電子投票処理方法について説明したが、当該匿名電子
投票処理方法はプログラムの形で記述しておくことがで
きかつ当該プログラムを記録媒体に記録しておくことが
できる。したがって、本発明は当該記録媒体自体をも発
明の対象とするものである。
【0128】
【発明の効果】以上説明した如く、本発明によれば、不
正者を特定する手段を提供することによって、投票者あ
るいはMixサーバによる不正に対する抑止効果が得ら
れる。
【図面の簡単な説明】
【図1】電子投票装置のブロック図を示す。
【図2】署名装置のブロック図を示す。
【図3】投票装置のブロック図を示す。
【図4】Mix装置のブロック図を示す。
【図5】監視装置のブロック図を示す。
【図6】検証装置のブロック図を示す。
【符号の説明】
1:投票装置 2:署名装置 3:監視装置 4:Mix装置 5:検証装置 6:公開掲示板 7:認証通信路
───────────────────────────────────────────────────── フロントページの続き (72)発明者 藤岡 淳 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 (72)発明者 星野 文学 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5B049 AA05 BB39 5J104 AA09 JA28 LA03 LA08 NA12 NA18 NA27 PA07 PA17

Claims (6)

    【特許請求の範囲】
  1. 【請求項1】 複数の投票者からの投票文を入力とし、
    入力された全ての投票文の順序をランダムに置換して出
    力することによって各投票と投票者との対応を知ること
    を困難とする匿名電子投票装置であって、 複数の投票装置と、複数のMix装置、署名装置、監視
    装置、検証装置とを具備し、 投票装置が、署名装置が署名発行に用いる情報hw を作
    成し、その情報に追跡情報が含まれていることを証明す
    る追跡情報埋込および証明ステップ構成部と、 署名装置が、投票装置によって作成されたhw に追跡情
    報が正しく埋め込まれていることを検証する追跡情報埋
    込検証およびコミットステップ構成部と、 投票装置が、入力された投票文mをランダム化して攪乱
    投票文m′を作成するブラインド処理ステップ構成部
    と、 署名装置が、入力された攪乱投票文m′に対するブライ
    ンド署名σ′を発行する署名生成ステップ構成部と、 投票装置が、σ′を変換して投票文mに対する署名σ′
    を得、その投票文・署名対(m,σ)をMix装置の公
    開鍵で暗号化して暗号文Eを得る暗号投票文作成ステッ
    プ構成部と、 Mix装置が、複数の暗号文Eからなる入力リストを復
    号およびランダムに置換して作成されるリストを出力す
    るMix処理ステップ構成部と、 検証装置が、Mix装置が出力するリストに含まれる各
    々の要素が正しい投票文・署名対であることを署名を検
    証することによって確認する署名検証ステップ構成部
    と、 Mix装置が、Mix処理ステップ構成部で使用した置
    換に基づいて、出力リスト中の指定された位置に対応す
    る入力リスト中の位置を開示し、その出力が、開示した
    位置にある入力暗号文を正しく復号した結果に基づく値
    であることを証明する証明書を出力する対応証明ステッ
    プ構成部と、 検証装置が、Mix装置が対応証明ステップで出力した
    入出力対応と、その証明書が正しいことを検証する対応
    検証ステップ構成部と、 監視装置が、秘密情報τを用いて、(m′,σ′)に対
    応する(m,σ)を特定することのできる追跡情報hp
    を出力する追跡情報生成ステップ構成部と、 検証装置が、Mix装置がMix処理ステップで出力し
    たリストを検索し、監視装置が追跡情報生成ステップで
    出力したhp から特定される投票・署名対(m,σ)が
    含まれる場合に、その投票を無効とするための抹消情報
    を出力する署名抹消ステップ構成部とを備えるようにし
    たことを特徴とする匿名電子投票装置。
  2. 【請求項2】 請求項1の匿名電子投票装置であって、
    Mix装置および/または監視装置が署名検証ステップ
    構成部、対応証明ステップ構成部、署名抹消ステップ構
    成部のいずれかまたはすべてをそなえることを特徴とす
    る匿名電子投票装置。
  3. 【請求項3】 複数の投票者からの投票文を入力とし、
    入力された全ての投票文の順序をランダムに置換して出
    力することによって各投票と投票者との対応を知ること
    を困難とする匿名電子投票処理方法であって、 複数の投票処理機構と、複数のMix処理機構、署名処
    理機構、監視処理機構、検証処理機構とを具備し、 投票処理機構が、署名処理機構が署名発行に用いる情報
    w を作成し、その情報に追跡情報が含まれていること
    を証明する追跡情報埋込および証明ステップと、 署名処理機構が、投票処理機構によって作成されたhw
    に追跡情報が正しく埋め込まれていることを検証する追
    跡情報埋込検証およびコミットステップと、 投票処理機構が、入力された投票文mをランダム化して
    攪乱投票文m′を作成するブラインド処理ステップと、 署名処理機構が、入力された攪乱投票文m′に対するブ
    ラインド署名σ′を発行する署名生成ステップと、 投票処理機構が、σ′を変換して投票文mに対する署名
    σ′を得、その投票文・署名対(m,σ)をMix処理
    機構の公開鍵で暗号化して暗号文Eを得る暗号投票文作
    成ステップと、 Mix処理機構が、複数の暗号文Eからなる入力リスト
    を復号およびランダムに置換して作成されるリストを出
    力するMix処理ステップと、 検証処理機構が、Mix処理機構が出力するリストに含
    まれる各々の要素が正しい投票文・署名対であることを
    署名を検証することによって確認する署名検証ステップ
    と、 Mix処理機構が、Mix処理ステップで使用した置換
    に基づいて、出力リスト中の指定された位置に対応する
    入力リスト中の位置を開示し、その出力が、開示した位
    置にある入力暗号文を正しく復号した結果に基づく値で
    あることを証明する証明書を出力する対応証明ステップ
    と、 検証処理機構が、Mix処理機構が対応証明ステップで
    出力した入出力対応と、その証明書が正しいことを検証
    する対応検証ステップと、 監視処理機構が、秘密情報τを用いて、(m′,σ′)
    に対応する(m,σ)を特定することのできる追跡情報
    p を出力する追跡情報生成ステップと、 検証処理機構が、Mix処理機構がMix処理ステップ
    で出力したリストを検索し、監視処理機構が追跡情報生
    成ステップで出力したhp から特定される投票・署名対
    (m,σ)が含まれる場合に、その投票を無効とするた
    めの抹消情報を出力する署名抹消ステップとを実行する
    ようにしたことを特徴とする匿名電子投票処理方法。
  4. 【請求項4】 請求項3の匿名電子投票処理方法であっ
    て、Mix処理機構および/または監視処理機構が署名
    検証ステップ、対応証明ステップ、署名抹消ステップの
    いずれかまたはすべてを実行することを特徴とする匿名
    電子投票処理方法。
  5. 【請求項5】 複数の投票者からの投票文を入力とし、
    入力された全ての投票文の順序をランダムに置換して出
    力することによって各投票と投票者との対応を知ること
    を困難とする匿名電子投票処理方法を記述したプログラ
    ムを記録した記録媒体であって、 匿名電子投票処理方法が、 複数の投票処理機構と、複数のMix処理機構、署名処
    理機構、監視処理機構、検証処理機構とを具備し、 投票処理機構が、署名処理機構が署名発行に用いる情報
    w を作成し、その情報に追跡情報が含まれていること
    を証明する追跡情報埋込および証明ステップと、 署名処理機構が、投票処理機構によって作成されたhw
    に追跡情報が正しく埋め込まれていることを検証する追
    跡情報埋込検証およびコミットステップと、 投票処理機構が、入力された投票文mをランダム化して
    攪乱投票文m′を作成するブラインド処理ステップと、 署名処理機構が、入力された攪乱投票文m′に対するブ
    ラインド署名σ′を発行する署名生成ステップと、 投票処理機構が、σ′を変換して投票文mに対する署名
    σ′を得、その投票文・署名対(m,σ)をMix処理
    機構の公開鍵で暗号化して暗号文Eを得る暗号投票文作
    成ステップと、 Mix処理機構が、複数の暗号文Eからなる入力リスト
    を復号およびランダムに置換して作成されるリストを出
    力するMix処理ステップと、 検証処理機構が、Mix処理機構が出力するリストに含
    まれる各々の要素が正しい投票文・署名対であることを
    署名を検証することによって確認する署名検証ステップ
    と、 Mix処理機構が、Mix処理ステップで使用した置換
    に基づいて、出力リスト中の指定された位置に対応する
    入力リスト中の位置を開示し、その出力が、開示した位
    置にある入力暗号文を正しく復号した結果に基づく値で
    あることを証明する証明書を出力する対応証明ステップ
    と、 検証処理機構が、Mix処理機構が対応証明ステップで
    出力した入出力対応と、その証明書が正しいことを検証
    する対応検証ステップと、 監視処理機構が、秘密情報τを用いて、(m′,σ′)
    に対応する(m,σ)を特定することのできる追跡情報
    p を出力する追跡情報生成ステップと、 検証処理機構が、Mix処理機構がMix処理ステップ
    で出力したリストを検索し、監視処理機構が追跡情報生
    成ステップで出力したhp から特定される投票・署名対
    (m,σ)が含まれる場合に、その投票を無効とするた
    めの抹消情報を出力する署名抹消ステップとを実行する
    ようにされた当該処理方法を記述したプログラムを記録
    したものであることを特徴とする匿名電子投票処理方法
    を記述したプログラムを記録した記録媒体。
  6. 【請求項6】 請求項5の記録媒体であって、請求項5
    記載の匿名電子投票処理方法において、Mix処理機構
    および/または監視処理機構が署名検証ステップ、対応
    証明ステップ、署名抹消ステップのいずれかまたはすべ
    てを実行するようにされたものであることを特徴とする
    匿名電子投票処理方法を記述したプログラムを記録した
    記録媒体。
JP33077399A 1999-11-22 1999-11-22 匿名電子投票装置および匿名電子投票処理方法 Expired - Fee Related JP3689292B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP33077399A JP3689292B2 (ja) 1999-11-22 1999-11-22 匿名電子投票装置および匿名電子投票処理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP33077399A JP3689292B2 (ja) 1999-11-22 1999-11-22 匿名電子投票装置および匿名電子投票処理方法

Publications (2)

Publication Number Publication Date
JP2001147983A true JP2001147983A (ja) 2001-05-29
JP3689292B2 JP3689292B2 (ja) 2005-08-31

Family

ID=18236392

Family Applications (1)

Application Number Title Priority Date Filing Date
JP33077399A Expired - Fee Related JP3689292B2 (ja) 1999-11-22 1999-11-22 匿名電子投票装置および匿名電子投票処理方法

Country Status (1)

Country Link
JP (1) JP3689292B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008193667A (ja) * 2007-01-12 2008-08-21 Univ Of Yamanashi 秘匿通信方法
JP2012196055A (ja) * 2011-03-16 2012-10-11 Toshiba Corp 電力利用調整装置、システムおよびプログラム
CN109448340A (zh) * 2018-12-25 2019-03-08 佛山科学技术学院 一种公交车预警单元

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008193667A (ja) * 2007-01-12 2008-08-21 Univ Of Yamanashi 秘匿通信方法
JP2012196055A (ja) * 2011-03-16 2012-10-11 Toshiba Corp 電力利用調整装置、システムおよびプログラム
CN109448340A (zh) * 2018-12-25 2019-03-08 佛山科学技术学院 一种公交车预警单元
CN109448340B (zh) * 2018-12-25 2023-08-08 佛山科学技术学院 一种公交车预警单元

Also Published As

Publication number Publication date
JP3689292B2 (ja) 2005-08-31

Similar Documents

Publication Publication Date Title
CN1954546B (zh) 用于生成名单签名的方法和***
US8654975B2 (en) Joint encryption of data
JPH08263575A (ja) 匿名メッセージ伝送方式および投票方式
Grontas et al. Towards everlasting privacy and efficient coercion resistance in remote electronic voting
CN108712259B (zh) 基于身份的可代理上传数据的云存储高效审计方法
KR20060127194A (ko) 공정한 블라인드 서명을 이용한 전자 투표 방법 및 시스템
KR20210120514A (ko) 동형 암호 기술 기반 전자 투표 시스템 및 그 방법
Kohlweiss et al. Accountable metadata-hiding escrow: A group signature case study
Darwish et al. A new cryptographic voting verifiable scheme for e-voting system based on bit commitment and blind signature
Smart et al. True trustworthy elections: remote electronic voting using trusted computing
EP1361693B1 (en) Handle deciphering system and handle deciphering method, and program
Emura et al. Group Signatures with Message‐Dependent Opening: Formal Definitions and Constructions
JP3513324B2 (ja) ディジタル署名処理方法
EP3041165A1 (en) A method for the verification of the correct content of an encoded message
Cetinkaya et al. A practical verifiable e-voting protocol for large scale elections over a network
JP3910529B2 (ja) 電子投票システム
JP3689292B2 (ja) 匿名電子投票装置および匿名電子投票処理方法
Canard et al. Implementing group signature schemes with smart cards
JP2004013606A (ja) 電子投票方法及びシステム及び投票者装置及び管理者装置及び集計者装置及び電子投票プログラム及び電子投票プログラムを格納した記憶媒体
JP4533636B2 (ja) デジタル署名システム、デジタル署名管理装置、デジタル署名管理方法及びプログラム
JP3298826B2 (ja) 匿名通信方法及び装置及びプログラム記録媒体
JP3331329B2 (ja) 公開検証可依頼復元ブラインド署名方法、その装置及びプログラム記録媒体
Yang et al. RVBT: a remote voting scheme based on three-ballot
JPH09200198A (ja) メッセージ認証システム
JP3316466B2 (ja) 電子無記名投票方法、その装置及びプログラム記録媒体

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040608

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040803

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20040907

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041021

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20041109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050607

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050610

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090617

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090617

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100617

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees