JP4771053B2 - 統合シャッフル正当性証明装置、証明統合装置、統合シャッフル正当性検証装置及びミックスネットシステム - Google Patents

統合シャッフル正当性証明装置、証明統合装置、統合シャッフル正当性検証装置及びミックスネットシステム Download PDF

Info

Publication number
JP4771053B2
JP4771053B2 JP2005155306A JP2005155306A JP4771053B2 JP 4771053 B2 JP4771053 B2 JP 4771053B2 JP 2005155306 A JP2005155306 A JP 2005155306A JP 2005155306 A JP2005155306 A JP 2005155306A JP 4771053 B2 JP4771053 B2 JP 4771053B2
Authority
JP
Japan
Prior art keywords
commitment
proof
integrated
replacement
order number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005155306A
Other languages
English (en)
Other versions
JP2006333193A (ja
Inventor
潤 古川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2005155306A priority Critical patent/JP4771053B2/ja
Priority to US11/915,621 priority patent/US8009828B2/en
Priority to PCT/JP2006/310346 priority patent/WO2006126585A1/ja
Priority to CA002609459A priority patent/CA2609459A1/en
Priority to EP06756552.3A priority patent/EP1890421A4/en
Publication of JP2006333193A publication Critical patent/JP2006333193A/ja
Application granted granted Critical
Publication of JP4771053B2 publication Critical patent/JP4771053B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C13/00Voting apparatus
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/46Secure multiparty computation, e.g. millionaire problem
    • H04L2209/463Electronic voting

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Finance (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Storage Device Security (AREA)

Description

本発明は、匿名通信路の構成などに使われる統合証明付シャッフル技術による統合シャッフル正当性証明装置、証明統合装置、統合シャッフル正当性検証装置及びミックスネットシステムに関する。
[従来の技術(1)]
従来の証明付シャッフルの技術について、例えば、特許文献1(特開2001−251289号公報)の記載が参照される。図5に、特許文献1に記載された構成を示す。なお、説明に用いている図面中で、合流する矢印は、矢印の元の情報が、全て集まって矢印の先へ送られることを意味し、分岐する矢印は矢印の元の情報全て又は一部が、それぞれの矢印の先へ送られることを意味する。また、特許文献1の再暗号シャッフルを、以下では、シャッフルと称する。
図5において、暗号文と公開鍵100がシャッフルステップ101に入力されてシャッフルされる。この時入力された暗号文100とシャッフルを特定する情報であるシャッフル情報102が同一変換証明ステップ103に送られ、シャッフル情報102が置換証明ステップ104に送られる。同一変換証明ステップ103は同一変換証明文105を生成し出力すると同時に、証明文生成に使用した乱数106を置換証明ステップ104に送る。置換証明ステップ104は置換証明文107を出力する。リスポンス生成ステップ108には同一変換証明文105と置換証明文104と暗号文と公開鍵100とシャッフル済み暗号文109とを入力し、同一変換証明文105と置換証明文104と暗号文とにリスポンスを加えてシャッフル証明文110を生成し出力する。同一変換証明文105は、リスポンスと合さって、入力文の順番の入れ替えや暗号化である暗号文の変換内容の知識を持っていることの証明であると同時に、入力される暗号文が複数の整数の要素となる場合はそれぞれの要素が同じ順番の入れ替えと対応する暗号化の処理とを受けたことの証明でもある。置換証明文107は、リスポンスと合さって、入力される暗号文に対しての、順番の入れ替えが正しくなされたことの証明である。
図5に示されるシャッフルとは、入力された暗号文の順序を入れ替えて再び暗号化することである。この処理が正当であることを証明するために、同文献では同一変換証明ステップと置換証明ステップの二つの証明ステップを用いている。この証明対象の分割により同文献ではシャッフル証明文生成の効率化を達成している。
[従来の技術(2)]
従来の証明付シャッフル復号を用いたミックスネットの技術200について、例えば、非特許文献1(Kazue Sako, Joe Kilian: Receipt-Free Mix-Type Voting Scheme - A Practical Solution to the Implementation of a Voting Booth. EUROCRYPT 1995: 393-403, Springer)の記載が参照される。
図6に示すように、ここでは、複数のミキサー(201,202,203,204,205,206)による証明付シャッフルを、連続して行うことにより、入力された複数の暗号文207の順序を入れ替えかつ再暗号化して出力208している。各ミキサーが独立して暗号文の順序を入れ替えるため、全てのミキサーがどのように順番を入れ替えたかを知らなければ、全体としてどのように順番が入れ替えたかが分からなくなっている。このようにして、入力された暗号文と出力された暗号文の対応は、全てのミキサーが結託して情報を漏洩しなければ分からない。このような技術は電子投票等で、投票者と投票内容の関係を秘匿したい場合に有効位である。
しかし、本方法では全てのミキサーが結託しさえすれば、入力と出力の対応関係が分かってしまう。そのため、よりこのような結託を起きにくくするために、ミキサーの数を十分に多くすることが重要である。
[従来の技術(3)]
従来の技術(2)以外にも、ミックスネットを用いて電子投票を実現している例が、非特許文献2(Jun Furukawa, Hiroshi Miyauchi, Kengo Mori, Satoshi Obana, Kazue Sako: An Implementation of a Universally Verifiable Electronic Voting Scheme based on Shuffling. Financial Cryptography 2002, : 16-30, LNCS 2339,Springer)に記載されている。ここでは、最初に投票を管轄するセンターが、全ての投票者より投票内容を暗号化した暗号文を受付ける。次にこのセンターが暗号文全ての集合を、複数のミキサーに順番に渡す。各ミキサーはこの暗号文の集合の順序を入れ替えかつ再暗号化した後にセンターに返還する。これをセンターが次のミキサーへ渡すと言った作業を全てのミキサーに関して繰り返す。最後のミキサーから受け取った暗号文を復号して、投票結果を集計する。
特開2001−251289号公報 Kazue Sako, Joe Kilian: Receipt-Free Mix-Type Voting Scheme - A Practical Solution to the Implementation of a Voting Booth. EUROCRYPT 1995: 393-403, Springer Jun Furukawa, Hiroshi Miyauchi, Kengo Mori, Satoshi Obana, Kazue Sako: An Implementation of a Universally Verifiable Electronic Voting Scheme based on Shuffling. Financial Cryptography 2002, : 16-30, LNCS 2339,Springer
しかしながら、上記従来の技術は下記記載の問題点を有している。
従来の技術(1)を複数のミキサーで連続して行うことにより、従来の技術(2)で述べられたミックスネットを構成した場合を考える。このようなミックスネットは電子投票を行う際には有効な方法である。しかし、電子投票において、投票の十分な匿名性を求めた場合、上に記したように、ミキサーの数を増やす必要がある。一方、各ミキサーが正しく振る舞ったことを確認しなければ、投票の正当性が確認できないため、従来の技術(1)では示されたように、選挙を監視する人々がミキサーの振る舞いを検証する必要がある。この検証作業に必要な計算量は大きい。すなわち、投票に十分な匿名性を求めた場合、ミキサーの数を多くする必要があり、検証は各ミキサーに関して行う必要があることから、ミックスネット全体の検証には多大な時間がかかることになる。
本発明は上述したような従来の技術が有する問題点を解決するためになされたものであり、検証者の必要な計算量がミキサーの数によらず一定の大きさとなる統合シャッフル正当性証明装置、証明統合装置、統合シャッフル正当性検証装置及びミックスネットシステムを提供することを目的とする。
上記目的を達成するための本発明の統合シャッフル正当性証明装置は、順序数1からλが割り当てられた複数の統合シャッフル正当性証明装置と、該複数の統合シャッフル正当性証明装置と通信回線で接続された証明統合装置と、該証明統合装置と通信回線で接続され、該複数の統合シャッフル正当性証明装置および該証明統合装置による情報処理を検証する統合シャッフル正当性検証装置とを有するミックスネットシステムにおける、順序数κの統合シャッフル正当性証明装置であって、
外部からコミットメント用公開鍵が前記順序数κ(1≦κ≦λ)の前記統合シャッフル正当性証明装置に入力され、順序数κが2以上λ以下の任意の整数であるとき、前記順序数が1からκ−1までの統合シャッフル正当性証明装置のそれぞれで生成された暗号文である置換証明文を含む置換蓄積コミットメントを前記証明統合装置から受信すると、該置換蓄積コミットメントに自装置による置換証明文を付加した置換証明コミットメントを該コミットメント用公開鍵で暗号化して前記証明統合装置に送信する置換証明コミットメント装置と、
置換証明コミットメント統合装置と、
分散復号証明装置と、を有し、
前記置換証明コミットメント装置は、
乱数が外部から入力され、順序数κが割り当てられた第一置換蓄積コミットメントが前記証明統合装置から入力されると、前記コミットメント用公開鍵、前記乱数および該第一置換蓄積コミットメントを用いて、該コミットメント用公開鍵による暗号文を含む、順序数κが割り当てられた第一置換証明コミットメントを生成して前記証明統合装置に出力する第一置換証明コミットメント装置と、
順序数κが割り当てられた第一逆置換蓄積コミットメントが前記証明統合装置から入力されると、前記コミットメント用公開鍵、前記乱数および該第一逆置換蓄積コミットメントを用いて、順序数κが割り当てられた第一逆置換証明コミットメントを生成して前記証明統合装置に出力する第一置換証明コミットメント逆送装置と、
順序数κが割り当てられた第二置換蓄積コミットメントが前記証明統合装置から入力されると、前記乱数および該第二置換蓄積コミットメントを用いて、前記コミットメント用公開鍵による暗号文からなる、順序数κが割り当てられた第二置換証明コミットメントを生成して前記証明統合装置に出力する第二置換証明コミットメント装置と、
順序数κが割り当てられた第二逆置換蓄積コミットメンが前記証明統合装置から入力されると、前記コミットメント用公開鍵、前記乱数および該第二逆置換蓄積コミットメントを用いて、順序数κが割り当てられた第二逆置換証明コミットメントを生成して前記証明統合装置に出力する第二置換証明コミットメント逆送装置と、
順序数κが割り当てられた第三置換蓄積コミットメントが前記証明統合装置から入力されると、前記乱数および該第三置換蓄積コミットメントを用いて、前記コミットメント用公開鍵による暗号文からなる、順序数κが割り当てられた第三置換証明コミットメントを生成して前記証明統合装置に出力する第三置換証明コミットメント装置とをさらに有し、
前記置換証明コミットメント統合装置は、前記順序数λが割り当てられた前記置換証明コミットメントとして前記第一置換証明コミットメント、前記第二置換証明コミットメントおよび前記第三置換証明コミットメントをまとめた統合置換証明コミットメントと、該λが割り当てられた挑戦値とが前記証明統合装置から入力され、前記順序数κが割り当てられた、前記コミットメント用公開鍵を構成する複数の秘密鍵から分散された秘密鍵が入力されると、前記統合置換証明コミットメントの暗号文を生成し、該暗号文を前記分散された秘密鍵で復号した分散復号を前記分散復号証明装置および前記証明統合装置に出力し、
前記分散復号証明装置は、前記置換証明コミットメント統合装置から前記分散復号を受信すると、該分散復号を検証するためのコミットメントを前記証明統合装置に出力し、該統合置換証明コミットメントの暗号文の該分散された秘密鍵による分散復号を検証するための挑戦値を受信すると、該統合置換証明コミットメントの暗号文の該分散された秘密鍵による分散復号を検証するためのレスポンスを、該分散された秘密鍵、乱数、及び該挑戦値より生成して前記証明統合装置に出力する構成である。
本発明によれば、統合シャッフル正当性証明装置は順序数が自分より前の装置から受け取る置換蓄積コミットメントに自装置の置換証明文を付加している。そのため、順序数の順に置換蓄積コミットメントに各統合シャッフル正当性証明装置の置換証明文が蓄積され、シャッフルを行う全ての装置のシャッフルの正当性を証明する情報がまとめられる。その結果、まとめられた情報から全体のシャッフルの検証を効率的に行うことが可能となる。
一方、上記目的を達成するための本発明の証明統合装置は、順序数1からλが割り当てられた複数の統合シャッフル正当性証明装置と、該複数の統合シャッフル正当性証明装置と通信回線で接続された証明統合装置と、該証明統合装置と通信回線で接続され、該複数の統合シャッフル正当性証明装置および該証明統合装置による情報処理を検証する統合シャッフル正当性検証装置とを有するミックスネットシステムにおける証明統合装置であって、
前記順序数が1からλまで割り当てられた前記複数の統合シャッフル正当性証明装置のそれぞれとの通信手段と、
前記複数の統合シャッフル正当性証明装置および前記証明統合装置による情報処理を検証するための前記統合シャッフル正当性検証装置との通信手段と、
前記順序数が1からκ(1≦κ≦λ)までの統合シャッフル正当性証明装置のそれぞれで生成された暗号文である置換証明文を含む置換証明コミットメントを順序数κの統合シャッフル正当性証明装置から受信すると、順序数κが1以上(λ−1)以下の任意の整数であるとき、順序数がκ+1の統合シャッフル正当性証明装置に対して、置換証明文を要求するために前記順序数κの統合シャッフル正当性証明装置から受信した置換証明コミットメントを含む置換蓄積コミットメントを送信するコミットメント統合装置と、
ミック用公開鍵および該ミックス用公開鍵で暗号化された複数の暗号文からなるミックスネット入力暗号文が外部から入力され、前記順序数κに関して1からλまで、前記ミックスネット入力暗号文から順序数κが割り当てられた入力暗号文列を生成し、該順序数κを割り当てた入力暗号文列を順序数κが割り当てられた前記統合シャッフル正当性証明装置に送信し、順序数κが割り当てられた出力暗号文列を前記統合シャッフル正当性証明装置から受信すると、順序数κが割り当てられた出力暗号文列から入力暗号文列を生成し、該入力暗号文列に順序数κ+1を割り当てる処理を行って、前記順序数がλの統合シャッフル正当性証明装置から受信した出力暗号文列から、前記ミックスネット入力暗号文の順番を入れ替えて再暗号化した結果であるミックスネット出力暗号文を生成して前記統合シャッフル正当性検証装置に送信するミックス装置と、
前記置換証明コミットメントが統合された統合置換証明コミットメントと前記統合同一変換コミットメントとを含む統合コミットメントを前記統合シャッフル正当性検証装置に送信するコミットメント装置と、
前記統合シャッフル正当性検証装置より前記挑戦値を統合した統合挑戦値を受信すると、該統合挑戦値より、前記順序数λ+1が割り当てられた挑戦値を生成し、前記複数の統合シャッフル正当性証明装置の順序数κに関して前記順序数λ+1から1まで、順序数κ+1を割り当てた挑戦値を順序数κが割り当てられた前記統合シャッフル正当性証明装置に送信し、該順序数κが割り当てられたレスポンスを受信すると、該レスポンスを順序数κが割り当てられた挑戦値に変換する処理を行って、前記順序数1が割り当てられたレスポンスから統合レスポンスを生成して前記統合シャッフル正当性検証装置に送信するレスポンス統合装置と、
コミットメント用公開鍵が外部から入力され、前記順序数λが割り当てられた置換証明コミットメントと、該λが割り当てられた挑戦値とが前記順序数λが割り当てられた統合シャッフル正当性証明装置から入力されると、該置換証明コミットメントを統合した統合置換証明コミットメントの暗号文を生成し、前記複数の統合シャッフル正当性証明装置のそれぞれと通信を行って、各統合シャッフル正当性証明装置から、順序数κが割り当てられた、前記コミットメント用公開鍵を構成する複数の秘密鍵から分散された秘密鍵により前記統合置換証明コミットメントの暗号文が復号された分散復号結果を受信すると、該分散復号結果から統合置換証明コミットメントの暗号文の復号結果を生成し、該復号結果を、対応する統合シャッフル正当性検証装置に送信する統合置換証明コミットメント復号装置と、を有し、
前記コミットメント統合装置は、
前記順序数κに関して1からλまで、外部から入力される共通参照基底に基づいて順序数κが割り当てられた同一変換コミットメントを生成し、該順序数κを割り当てた同一変換コミットメントを順序数κの前記統合シャッフル正当性証明装置に送信し、順序数κが割り当てられた同一変換知識コミットメントを順序数κの前記統合シャッフル正当性証明装置から受信すると、該同一変換知識コミットメントを順序数κ+1が割り当てられた同一変換コミットメントに変換する処理を行って、前記順序数λの統合シャッフル正当性証明装置から受信する同一変換コミットメントから統合同一変換コミットメントを生成する同一変換知識証明コミットメント統合装置を有し、
前記コミットメント統合装置は、
前記順序数κに関して1からλまで、順序数κを割り当てた置換蓄積コミットメントを生成し、該順序数κを割り当てた置換蓄積コミットメントを順序数κの前記統合シャッフル正当性証明装置に送信し、順序数κが割り当てられた置換証明コミットメントを順序数κの前記統合シャッフル正当性証明装置から受信すると、該置換証明コミットメントを順序数κ+1が割り当てられた置換蓄積コミットメントに置換する処理を行って、前記順序数λの統合シャッフル正当性証明装置から受信する置換証明コミットメントから前記統合置換証明コミットメントを生成する構成である。
また、上記目的を達成するための本発明の統合シャッフル正当性検証装置は、順序数1からλが割り当てられた複数の統合シャッフル正当性証明装置と、該複数の統合シャッフル正当性証明装置と通信回線で接続された証明統合装置と、該証明統合装置と通信回線で接続され、該複数の統合シャッフル正当性証明装置および該証明統合装置による情報処理を検証する統合シャッフル正当性検証装置とを有するミックスネットシステムにおける統合シャッフル正当性検証装置であって、
前記統合シャッフル正当性検証装置にミックスネット入力暗号文が外部から入力され、該ミックスネット入力暗号文の順番を入れ替えて再暗号化した結果であるミックスネット出力暗号文が前記証明統合装置から前記統合シャッフル正当性検証装置に入力され、
前記複数の統合シャッフル正当性証明装置および前記証明統合装置による情報処理検証するための統合同一変換コミットメント及び統合置換証明コミットメントを前記証明統合装置より受信するコミットメント受信装置と、
前記統合シャッフル正当性証明装置の認証に用いられる、ランダムな数の列である挑戦値を生成して前記証明統合装置に送信する挑戦値生成装置と、
前記順序数λが割り当てられた置換証明コミットメントと、該λが割り当てられた挑戦値とが前記証明統合装置から入力されると、前記統合置換証明コミットメントの暗号文を生成し、前記証明統合装置と通信することで、該統合置換証明コミットメントの分散された暗号文の復号結果から求められた復号統合置換証明コミットメントが正しく生成されたか否かを検証する復号統合置換証明コミットメント受信装置と、
前記挑戦値に対応して前記順序数1の前記統合シャッフル正当性証明装置から出力されたレスポンスである統合レスポンスを前記証明統合装置より受信し、該証明統合装置より前記復号統合置換証明コミットメントを受信する受信装置と、
前記統合同一変換コミットメントと前記統合置換証明コミットメントと前記挑戦値と前記統合レスポンスと前記復号統合置換証明コミットメントとに基づいて、前記ミックスネット出力暗号文が前記ミックスネット入力暗号文から正しく生成されているか否かを示す検証結果を出力する検証装置と、
を有する構成である。
さらに、上記目的を達成するための本発明のミックスネットシステムは、上記本発明の統合シャッフル正当性証明装置が複数と、上記本発明の証明統合装置と、上記本発明の統合シャッフル正当性検証装置とを有するミックスネットシステムであって、
前記ミックスネットシステムは、
前記証明統合装置と前記複数の統合シャッフル正当性証明装置との通信手段と、
前記証明統合装置と前記統合シャッフル正当性検証装置との通信手段とをさらに有し、
前記証明統合装置は、
ミックスネット入力暗号文が前記証明統合装置に外部から入力されると、前記複数の統合シャッフル正当性証明装置のそれぞれと通信を行うことで、前記ミックスネット入力暗号文の順番を入れ替えて再暗号化した結果であるミックスネット出力暗号文を取得し、該ミックスネット出力暗号文を前記統合シャッフル正当性検証装置に送信し、その後、前記複数の統合シャッフル正当性証明装置および前記証明統合装置による情報処理検証するためのコミットメントを統合した統合コミットメントを生成して該統合シャッフル正当性検証装置に送信し、該統合シャッフル正当性検証装置から挑戦値を受信すると、該挑戦値に対応する統合レスポンスを生成して該統合シャッフル正当性検証装置に送信し、前記統合置換証明コミットメントから前記復号統合置換証明コミットメントを生成して該統合シャッフル正当性検証装置に送信し、該統合シャッフル正当性検証装置と通信することで、該復号統合置換証明コミットメントを検証し、
前記統合シャッフル正当性検証装置は、
前記挑戦値を生成すると、該挑戦値を前記証明統合装置に送信し、該証明統合装置との通信により取得したデータから、前記ミックスネット出力暗号文が前記ミックスネット入力暗号文の順番を入れ替えて再暗号化したものであるか否かを調べることで、ミックスネットの処理が正しく行われたか否かを判定した結果を出力するものである。
本発明によれば、複数のミキサーがシャッフルを行うミックスネットの正当性の検証を行うときに、検証者の必要とする計算量がミキサーの数、すなわち、行われるシャッフルの回数に依存しなくなる。これは検証者の負担を軽くすることができるため、ミキサーの数を増やすことを容易にし、より強い匿名性を持ったミックスネットを構成できる。
本発明のミックスネットシステムの実施例について図面を参照して説明する。以下の実施例では、楕円Elgamal暗号を使った例に即して説明する。離散対数問題の難しい巡回群であればよい。
はじめに、本発明にて前提となる事項から順に説明していく。
「記号」
k,n(X)をE上の点のなすk行n列の行列とする。
Xは楕円E、ZあるいはElGamal暗号文の空間ECの場合を考える。ただし、ECの点はEの点二つからなり、Mk,n(EC)=Mk,2n(E)である。
今ここで、A∈Mk,n(X)とするとき、Aの(i,j)成分をAijと記す。
また、B∈Mn,m(Y)とするとき、ABはk行m列の行列で、その(i,j)成分を、(AB)ij=Σg=1 iggjと定義する。
この定義において、乗算は、X,Yが共にZであればZ上の乗算とし、XがZで、YがEであれば、楕円曲線のスカラー倍として定義する。一方、加算は、X,Yが共にZであればZ上の加算とし、XがZで、YがEであれば、楕円曲線の加算として定義する。
今ここで、A,B∈Mk,n(X)に対して、A◎Bを(A◎B)ij=Aijijと定義する。
[楕円Elgamal公開鍵暗号方式]
楕円ElGamal暗号方式は、公開鍵暗号系に属する暗号方式である。最初に、関係q mod3=2となる素数をqとし、位数がqの楕円曲線をEとし、Eの生成元をGとし、Eの単位元をOとする。すなわち,任意のE上の点Pは、[q]P=Oを満たす。ここで、[x]Gは、Gのx倍点を表す。
楕円Elgamal公開鍵暗号方式は次の三つのアルゴリズムからなる。
「鍵生成アルゴリズム」
乱数が入力され、秘密鍵xをZの要素ランダムに選び、公開鍵MをM=[x]Gを計算して求め、秘密鍵xと公開鍵Mを出力する。
「暗号化アルゴリズム」
平文M∈Eと公開鍵Mと乱数とが入力され、sをZの要素ランダムに選び、暗号文をC=(G,M)=([s]G,M+[s]M)と計算し、これを出力する。
「復号アルゴリズム」
暗号文Cと秘密鍵xが入力され、復号文M’=M−[x]Gを出力する。復号アルゴリズムの出力M’が暗号化された平文Mに一致することは、M’=M−[x]G=M+[s]M−[x][s]G=M+[s]M−[s]M=Mから明らかである。
「再暗号アルゴリズム」
暗号文(G,M)が入力され、ランダムに選ばれたZqの要素tを用いて、再暗号文(G’,M’)=([t]G+G,[s]M+M
を出力する。(G’,M’)と(G,M)の復号結果は同じになる。
[再暗号の記号]
C∈Mk,1(EC)、YをElGamal暗号文の公開鍵とする。このとき、Y*C∈Mk,1(EC)を、(Y*C)i,1がCのYを用いて再暗号したものとなるものとする。
また、θ∈Mk,1(Z)である場合、Y*θ∈Mk,1(EC)は、(Y*θ)が([θ]G)に対してYを用いて再暗号したものとなるものとする。
C’∈Mk,1(EC)である場合、C+C’∈Mk,1(EC)は、(C+C’)がCとC’の復号文のE上での和を暗号化したものとする。
「秘密鍵分散と分散復号」
秘密鍵がyであり、公開鍵がY=[y]Gであるときに、秘密鍵yが分散所持されているとする。すなわち、y=Σκ=1 λ(κ)mod qが成り立ち、各y(κ)のそれぞれが別個に所持されている。本実施例では、このy(κ)を分散された秘密鍵と呼ぶ。
このとき、公開鍵Yによる暗号文(G,M)を完全に復号するには、Mを各復号用の秘密鍵を用いて計算した値から[y(κ)]Gを順に引いていく操作を、全てのκに関して行う。
[y(κ)]Gを秘密鍵y(κ)による分散復号の結果と呼ぶ。
「ミックスネットシステムとミキサー」
ミックスネットシステムは複数のミキサーを有する構成である。本発明では、ミキサーの数をλとする。ミックスネットシステムに用いるElGamal暗号方式の公開鍵をMとし、これをミックス用の公開鍵とする。ミックスネットシステムに入力される暗号文の列がミックスネット入力暗号文を構成する。
「ミキサー」
このミキサーには1からλまでの順番が付けられている。κ番目のミキサーをP(κ)と記す。また、κを順序数と呼ぶ。
「ミックスネット入力暗号文」
ミックスネットに入力されるk個の暗号文を、(G,M),i=1,...,kとする。それぞれの暗号文の各要素はEの元である。
(1)∈Mk,1(E)をその(i,1)成分がGである列ベクトル(k行1列の行列)とし、M(1)∈Mk,1(E)をその(i,1)成分がMである列ベクトル(k行1列の行列)とする。
「ミックスネット出力暗号文」
ミックスネットから出力されるk個の復号文を、(G’,M),i=1,...,kとする。それぞれの復号文の各要素はEの元である。
(λ+1)∈Mk,1(E)をその(i,1)成分がG’である列ベクトル(k行1列の行列)とし、M(λ+1)∈Mk,1(E)をその(i,1)成分がM’である列ベクトル(k行1列の行列)とする。
これらはk個の暗号文(G,M),i=1,...,kを、ランダムに選ばれたZの要素であるs(i=1,...,k)と、ミックス用公開鍵Mで([s]G+G,[s]M+M),i=1,...,kと再暗号化し、さらにそれらの順番を入れ替えたものである。この操作をシャッフルと呼ぶ。
「置換行列」
置換行列について説明する。「置換行列」を、各行各列に0でない成分が唯一存在し、その値がZ上の1であるk行k列の正方行列とする。このような置換行列の集合をPMk,k(Z)と表す。φ∈PMk,k(Z)の逆行列をφと表す。
φ∈PM4,4(Z)の例として、
0,1,0,0
0,0,0,1
0,0,1,0
1,0,0,0
があげられる。
「各ミキサーの入出力」
各ミキサーは統合シャッフル正当性証明装置により実現される。
次に、本実施形態のミックスネットシステムは、入力されるデータをシャッフルする統合シャッフル正当性証明装置と、シャッフルによる同一変換知識証明及び置換証明をまとめる証明統合装置と、まとめられた証明の正当性を検証するための統合シャッフル正当性検証装置を有する構成である。統合シャッフル正当性証明装置は複数設けられている。統合シャッフル正当性証明装置の個数をλとする。統合シャッフル正当性証明装置と証明統合装置が通信回線で接続され、証明統合装置と統合シャッフル正当性検証装置が通信回線で接続されている。以下に各構成について説明する。
本発明のミックスネットシステムの一部となる統合シャッフル正当性証明装置についての一構成例を、図1を参照して説明する。本発明におけるミックスネットシステムは、λ個のミキサーを有する構成であり、k個の暗号文をシャッフルするものとする。
統合シャッフル正当性証明装置300は、外部の他の装置とデータを送受信するためのインターフェース部を含む入力装置及び出力装置と、データを保存するための記憶装置と、各部を制御する制御装置とを有するサーバで構成される。制御装置には、プログラムにしたがって所定の処理を実行するCPU(Central Processing Unit)と、プログラムを格納するためのメモリが設けられている。
図1に示すシャッフル装置301、同一変換知識証明コミットメント装置309、第一置換証明コミットメント装置310、第一置換証明コミットメント逆送装置311、第二置換証明コミットメント装置312、第二置換証明コミットメント逆送装置313、第三置換証明コミットメント装置314、レスポンス生成装置315、置換証明コミットメント統合装置316、及び分散復号証明装置317がサーバ内に仮想的に構成される。
統合シャッフル正当性証明装置300には、自装置が実現するミキサーの順番を表す番号である順序数305となるκと、シャッフルする暗号文の個数kと、楕円曲線Eを表すパラメターと、Eの生成子G∈E=M1,1(E)とが入力される。また、E上からランダムに選ばれた点による疑似公開鍵306となるFとミックス用公開鍵307aとなるM∈Eが統合シャッフル正当性証明装置300に入力される。これらの情報は記憶装置に格納され、全てのステップのいずれにおいても利用可能となる。入力される暗号文はミックス用公開鍵307aで暗号化されているものとする。
また、順序数305のκが入力された統合シャッフル装置の秘密鍵308をy(κ)∈Zとする。そして、Y=Σκ=1 λ[y(κ)]G∈E=M1,1(E)をコミットメント用公開鍵307bとする。図1に示す公開鍵307は、上記ミックス用公開鍵307a及びコミットメント用公開鍵307bを含むものである。順序数305のκが入力された統合シャッフル正当性証明装置300にy(κ)とYが入力される。統合シャッフル正当性証明装置300には乱数303が入力される。これらの情報も記憶装置に格納される。
統合シャッフル正当性証明装置300に入力される上述のκ,k,M,F,y(κ),Y及び乱数303に関しては、その入力を明示的に書かないが、各ステップで記憶装置から自由に読み出すことが可能である。なお、OはEの無限遠点F’(1)=G’(1)=M’(1)=Oとする。
[シャッフル装置301]
二つのk成分列ベクトルである入力暗号文列302として、(G(κ),M(κ))∈(Mk,1(E),Mk,1(E))が証明統合装置400から入力される。次に、ランダムなk行k列の置換行列φ(κ)∈PMk,k(Z)を、乱数303を用いて生成する。次に、ランダムなk成分列ベクトル(k行1列行列)θ(κ)∈Mk,1(Z)を、乱数303を用いて生成する。
φ(κ)、θ(κ)は入力された乱数より一意的に作られるため、入力された乱数にあらかじめ含まれていたと考える。すなわち、以下の装置において、統合シャッフル正当性証明装置300に入力された乱数を用いれば、φ及びθのような乱数から作られたデータは、同一のものを再度生成することができる。
次に、二つのk成分列ベクトルである出力暗号文列304として、(G(κ+1),M(κ+1))∈(Mk,1(E),Mk,1(E))を(G(κ+1),M(κ+1))=([φ(κ)]G(κ)+[θ(κ)]G,[φ(κ)]M(κ)+[θ(κ)]M)と生成する。出力暗号文列304は入力暗号文列302の各暗号文を再暗号したうえで、それらの順番を入れ替えた(置換した)ものとなっている。統合シャッフル正当性証明装置300は、出力暗号文列304として、(G(κ+1),M(κ+1))∈(Mk,1(E),Mk,1(E))を証明統合装置400に出力する。
[シャッフル証明に関する装置(309〜317)の説明始まり]
[同一変換知識証明コミットメント装置309]
同一変換コミットメント基底318として、F(κ)∈Mk,1(E)と、F’(κ)∈E=Mk,1(E)と、G’(κ)∈E=Mk,1(E)と、M’(κ)∈E=Mk,1(E)とが証明統合装置400から入力される。次に、ランダムなk成分行ベクトル(1行k列行列)ψ(κ)∈M1,k(Z)を、乱数303を用いて生成する。次に、ランダムなZ上の点(1行1列行列)ρ(κ)∈Z=M1,1(Z)を、乱数303を用いて生成する。
次に、F(κ+1)∈Mk,1(E)をF(κ+1)=([φ(κ)]F(κ)+[θ(κ)]F)と生成する。
次に、F’(κ+1)∈M1,1(Z)と、G’(κ+1)∈M1,1(Z)と、M’(κ+1)∈M1,1(Z)とを、
F’(κ+1)=[ψ(κ)]F(κ)+[ρ(κ)]F+F’(κ)
G’(κ+1)=[ψ(κ)]G(κ)+[ρ(κ)]G+G’(κ)
M’(κ+1)=[ψ(κ)]M(κ)+[ρ(κ)]M+M’(κ)
と生成する。統合シャッフル正当性証明装置300は、F(κ+1)∈Mk,1(E)と、F’(κ+1)∈E=M1,1(E)と、G’(κ+1)∈E=M1,1(E)と、M’(κ+1)∈E=M1,1(E)とを、同一変換知識証明コミットメント319として証明統合装置400に出力する。
[第一置換証明コミットメント装置310]
(1)∈Mk,1(EC)は、その全ての成分0∈ZのYによる暗号文であるとする。第一置換蓄積コミットメント320としてC (κ)∈Mk,1(EC)が証明統合装置400から入力される。次に、C (κ+1)∈Mk,1(EC)を、C (κ+1)=(ψ(κ)φ(κ)*)*Y+(C (κ)(κ)*])*Yと生成する。統合シャッフル正当性証明装置300は、C (κ+1)∈Mk,1(EC)を第一置換証明コミットメント321として証明統合装置400に出力する。
[第一置換証明コミットメント逆送装置311]
(λ+1)=C (λ+1)∈Mk,1(EC)とする。第一逆置換蓄積コミットメント322として、C (κ+1)∈Mk,1(EC)が証明統合装置400から入力される。次に、C (κ)∈Mk,1(EC)を、C (κ)=(C (κ+1)(κ)])*Yと生成する。統合シャッフル正当性証明装置300は、C (κ)∈Mk,1(EC)を第一逆置換証明コミットメント323として証明統合装置400に出力する。また、これを記憶装置に保存しておく。
[第二置換証明コミットメント装置312]
(1)=C (1)∈Mk,1(EC)とする。第二置換蓄積コミットメント324として、C (κ)∈Mk,1(EC)が証明統合装置400から入力される。次に、C (κ+1)∈Mk,1(EC)を、C (κ+1)=(C (κ)◎[ψ(κ)])*Y+(C (κ)(κ)])*Yと生成する。統合シャッフル正当性証明装置300は、C (κ+1)∈Mk,1(EC)を第二置換証明コミットメント325として証明統合装置400に出力する。
[第二置換証明コミットメント逆送装置313]
(λ+1)=C (λ+1)∈Mk,1(EC)とする。第二逆置換蓄積コミットメント326として、C (κ+1)∈Mk,1(EC)が証明統合装置326から入力される。次に、C (κ)∈Mk,1(EC)を、C (κ)=(C (κ+1)(κ)])*Yと生成する。統合シャッフル正当性証明装置300は、C (κ)∈Mk,1(EC)を、第二逆置換証明コミットメント327として証明統合装置400に出力する。また、これを記憶装置に保存しておく。
[第三置換証明コミットメント装置314]
(1)=C (1)∈Mk,1(EC)とする。第三置換蓄積コミットメント328として、C (κ)∈Mk,1(EC)が証明統合装置400から入力される。次に、C (κ+1)∈Mk,1(EC)を、C (κ+1)=(C (κ)◎[ψ(κ)])*Y+(C (κ)(κ)])*Yと生成する。統合シャッフル正当性証明装置300は、C (κ+1)∈Mk,1(EC)を第三置換証明コミットメント329として証明統合装置400に出力する。
なお、同一変換知識証明コミットメントが同一変換証明文に相当し、置換証明コミットメントが置換証明文に相当する。
[レスポンス生成装置315]
挑戦値r(λ+1)∈M1,k(Z)が統合シャッフル正当性検証装置によりランダムに選ばれるとする。また、r’(λ+1)=0とする。なお、挑戦値の生成方法については実施例2及び実施例3で詳細に説明する。挑戦値330として、r(κ+1)∈M1,k(Z)とr’(κ+1)∈M1,1(Z)=Zとが証明統合装置400から入力される。
次に、r(κ)∈M1,k(Z)とr’(κ)∈M1,1(Z)=Zとを
(κ)=(r(κ+1)φ(κ))+ψ(κ)
r’(κ)=(r(κ+1)θ(κ))+ρ(κ)+r’(κ+1)
と生成する。統合シャッフル正当性証明装置300は、r(κ)∈M1,k(Z)とr’(κ)∈M1,1(Z)=Zとをレスポンス331として証明統合装置400に出力する。
[置換証明コミットメント統合装置316]
λ番目の統合シャッフル正当性証明装置300の出力した第一置換証明コミットメント321のC (λ+1)∈Mk,1(EC)と、第二置換証明コミットメント325のC (λ+1)∈Mk,1(EC)と、第三置換証明コミットメント329のC (λ+1)∈Mk,1(EC)とが入力される。λ番目の統合シャッフル正当性証明装置300に入力された挑戦値としてr(λ+1)∈M1,k(Z)とr’(λ+1)∈M1,1(Z)=Zとが入力される。
次に、上述の第一置換証明コミットメントから第三置換証明コミットメント321、325、329をまとめた統合置換証明コミットメントの暗号文C∈M1,1(EC)を、C=[r(λ+1)]C (λ+1)+[r(λ+1)◎r(λ+1)]C (λ+1)+[1]C (λ+1)と生成する。ただし、上式の[1]とは、M1,k(Z)の要素で、その成分が全て1∈Zであるものである。また、Cの第一成分をC6,1とし、第二成分をC6,2とする。
次に、秘密鍵308のy(κ)を用いて、この統合置換証明コミットメントの暗号文の分散復号を行い、分散復号の結果332としてC6,2 (κ)∈Eを、C6,2 (κ)=[y(κ)]C6,2と計算して証明統合装置400に出力する。
[分散復号証明装置317]
ランダムなy’(κ)∈Zを選び、C’6,2 (κ)=[y’(κ)]C6,2を生成して証明統合装置400に出力する。復号証明の挑戦値としてs∈Zが証明統合装置400から入力される。復号証明のレスポンスとしてt(κ)∈Zを、t(κ)=y(κ)s+y’(κ)と生成して証明統合装置400に出力する。
[シャッフル証明に関する装置の説明終わり]
本実施例の統合シャッフル正当性証明装置は、統合シャッフル正当性証明装置は順序数が自分より前の装置から受け取る置換蓄積コミットメントに自装置の置換証明文を付加している。順序数の順に置換蓄積コミットメントに各統合シャッフル正当性証明装置の置換証明文が蓄積されることで、シャッフルを行う全ての装置のシャッフルの正当性を証明する情報がまとめられる。その結果、まとめられた情報から全体のシャッフルの検証を効率的に行うことが可能となる。
本発明のミックスネットシステムの一部となる証明統合装置についての一構成例を図2を参照して説明する。
証明統合装置400は、外部の他の装置とデータを送受信するためのインターフェース部を含む入力装置及び出力装置と、データを保存するための記憶装置と、各部を制御する制御装置とを有するサーバで構成される。制御装置には、プログラムにしたがって所定の処理を実行するCPUと、プログラムを格納するためのメモリが設けられている。
図2に示すミックス装置405、同一変換知識証明コミットメント統合装置409、第一置換証明コミットメント統合装置410、第一置換証明コミットメント統合逆送装置411、第二置換証明コミットメント統合装置412、第二置換証明コミットメント統合逆送装置413、第三置換証明コミットメント統合装置414、コミットメント装置415、レスポンス統合装置416、統合置換証明コミットメント復号装置417、及び統合分散復号証明装置418がサーバ内に仮想的に構成される。
証明統合装置400は、インターフェース部を介して、実施例1で説明した複数の統合シャッフル正当性証明装置300、及び統合シャッフル正当性検証装置500と通信可能に接続される。なお、統合シャッフル正当性証明装置300の個数を実施例1と同様にλとする。
証明統合装置400には、複数の暗号文からなる、ミックスネット入力暗号文401が入力される。この暗号文の個数をkとする。証明統合装置400は、λ個の統合シャッフル正当性証明装置300と通信することで、ミックスネット入力暗号文401から、その順序を入れ替えた値に再暗号を行ったデータであるミックスネット出力暗号文402を生成し、これを統合シャッフル正当性検証装置500に出力する。
さらに、証明統合装置400は、λ個の統合シャッフル正当性証明装置300と通信することで、証明のために必要なデータを準備する。そして、このデータを利用して、統合シャッフル正当性検証装置500と通信することで、統合シャッフル正当性検証装置500にミックスネットとして正当性を証明する。以下に各構成要素について詳細に説明する。
[入力装置]
証明統合装置400に、楕円曲線Eを指定するパラメターと、Eの生成元G∈Eと、ミックス用公開鍵307aのM∈Eと、疑似公開鍵306のF∈Eと、コミットメント用公開鍵307bのY∈Eと、ミックス用公開鍵307aのMで暗号化されたミックスネット入力暗号文401として(G,M),i=1,...,k∈(E,E)と、ランダムに選ばれる共通参照基底403として(F,...,F)∈E^kと、乱数404とが入力される。これらの情報は記憶装置に格納される。
[ミックス装置405]
1番目の入力暗号文列となる(G(1),M(1))∈(Mk,1(E))について、G(1)∈Mk,1(E)をその(i,1)成分がGである列ベクトル(k行1列の行列)として生成し、M(1)∈Mk,1(E)をその(i,1)成分がMである列ベクトル(k行1列の行列)として生成する。そして、κ=1からκ=λまで以下に示す手順を繰り返す。
[繰り返し処理始め]
κ番目の入力暗号文列406として(G(κ),M(κ))∈(Mk,1(E))を、κ番目の統合シャッフル正当性証明装置300に送る。κ番目の統合シャッフル正当性証明装置300からκ番目の出力暗号文列407として(G(κ+1),M(κ+1))∈(Mk,1(E))を受信する。
κ=λでなければ、(G(κ+1),M(κ+1))∈(Mk,1(E))をκ+1番目の入力暗号文列とする。
[繰り返し処理終わり]
λ番目の出力暗号文列(G(λ+1),M(λ+1))∈(Mk,1(E))からミックスネット出力暗号文402となる(G’,M’),i=1,...,k∈(E,E)を、G’がG(λ+1)のi番目の成分となり、M’がM(λ+1)のi番目の成分となるように生成する。証明統合装置はミックスネット出力暗号文402を出力し、出力暗号文402を統合シャッフル正当性検証装置に送信する(符号408)。
[証明統合に関する装置409〜418]
[同一変換知識証明コミットメント統合装置409]
1番目の同一変換コミットメント基底419の(F(1)∈Mk,1(E),F’(1)∈M1,1(E),G’(1)∈M1,1(E),M’(1)∈M1,1(E))を共通参照基底403から次のように生成する。F(1)∈Mk,1(E)をその(i,1)成分がFである列ベクトル(k行1列の行列)として、F’(1)=O∈M1,1(E),G’(1)=O∈M1,1(E),M’(1)=O∈M1,1(E)とする。そして、κ=1からκ=λまで以下に示す手順を繰り返す。
[繰り返し処理始め]
κ番目の同一変換コミットメント基底419を(F(κ)∈Mk,1(E),F’(κ)∈M1,1(E),G’(κ)∈M1,1(E),M’(κ)∈M1,1(E))として、κ番目の統合シャッフル正当性証明装置300に送る。κ番目の統合シャッフル正当性証明装置300から、κ番目の同一変換知識証明コミットメント420として(F(κ+1)∈Mk,1(E),F’(κ+1)∈M1,1(E),G’(κ+1)∈M1,1(E),M’(κ+1)∈M1,1(E))を受信する。
κ=λでなければ、(F(κ+1)∈Mk,1(E),F’(κ+1)∈M1,1(E),G’(κ+1)∈M1,1(E),M’(κ+1)∈M1,1(E))をκ+1番目の同一変換知識証明コミットメント420とする。
[繰り返し処理終わり]
λ番目の同一変換知識証明コミットメント420の(F(κ+1)∈Mk,1(E),F’(κ+1)∈M1,1(E),G’(κ+1)∈M1,1(E),M’(κ+1)∈M1,1(E))を、統合同一変換コミットメントとする。同一変換知識証明コミットメント統合装置409は統合同一変換コミットメント434をコミットメント装置415に出力する。
[第一置換証明コミットメント統合装置410]
1番目の第一置換蓄積コミットメント421となるC (1)∈Mk,1(EC)を、その全ての成分が0∈ZのYによる暗号文であるとする。そして、κ=1からκ=λまで以下に示す手順を繰り返す。
[繰り返し処理始め]
κ番目の第一置換蓄積コミットメント421を、C (κ)∈Mk,1(EC)として、κ番目の統合シャッフル正当性証明装置300に送る。κ番目の統合シャッフル正当性証明装置300からκ番目の第一置換証明コミットメント422のC (κ+1)∈Mk,1(EC)を受信する。
κ=λでなければ、C (κ+1)∈Mk,1(EC)をκ+1番目の第一置換証明コミットメント422とする。
[繰り返し処理終わり]
λ番目の第一置換証明コミットメント422のC (κ+1)∈Mk,1(EC)を、統合第一置換証明コミットメントとする。第一置換証明コミットメント統合装置410は統合第一置換証明コミットメント435をコミットメント装置415に出力する。
[第一置換証明コミットメント統合逆送装置411]
λ番目の第一逆置換蓄積コミットメント423をC (λ+1)=C (λ+1)∈Mk,1(EC)とする。そして、κ=λからκ=1まで以下に示す手順を繰り返す。
[繰り返し処理始め]
κ番目の第一逆置換蓄積コミットメント423をC (κ+1)∈Mk,1(EC)としてκ番目の統合シャッフル正当性証明装置300に送る。κ番目の統合シャッフル正当性証明装置300からκ番目の第一逆置換証明コミットメント424のC (κ)∈Mk,1(EC)を受信する。
κ=1でなければ、C (κ)∈Mk,1(EC)をκ−1番目の第一逆置換蓄積コミットメント424とする。
[繰り返し処理終わり]
1番目の第一逆置換証明コミットメント424となるC (1)∈Mk,1(EC)を統合第一逆置換証明コミットメントとする。
[第二置換証明コミットメント統合装置412]
1番目の第二置換蓄積コミットメント425をC (1)=C (1)∈Mk,1(EC)とする。そして、κ=1からκ=λまで以下に示す手順を繰り返す。
[繰り返し処理始め]
κ番目の第二置換蓄積コミットメント425をC (κ)∈Mk,1(EC)としてκ番目の統合シャッフル正当性証明装置300に送る。κ番目の統合シャッフル正当性証明装置300からκ番目の第二置換証明コミットメント426のC (κ+1)∈Mk,1(EC)を受信する。
κ=λでなければ、C (κ+1)∈Mk,1(EC)をκ+1番目の第二置換証明コミットメント426とする。
[繰り返し処理終わり]
λ番目の第二置換証明コミットメント426のC (κ+1)∈Mk,1(EC)を、統合第二置換証明コミットメントとする。第二置換証明コミットメント統合装置412は統合第二置換証明コミットメント436をコミットメント装置415に出力する。
[第二置換証明コミットメント統合逆送装置413]
λ番目の第二逆置換蓄積コミットメント427をC (λ+1)=C (λ+1)∈Mk,1(EC)とする。そして、κ=λからκ=1まで以下に示す手順を繰り返す。
[繰り返し処理始め]
κ番目の第二逆置換蓄積コミットメント427をC (κ+1)∈Mk,1(EC)としてκ番目の統合シャッフル正当性証明装置300に送る。κ番目の統合シャッフル正当性証明装置300からκ番目の第二逆置換証明コミットメント428のC (κ)∈Mk,1(EC)を受信する。
κ=1でなければ、C (κ)∈Mk,1(EC)をκ−1番目の第二逆置換蓄積コミットメント428とする。
[繰り返し処理終わり]
1番目の第二逆置換証明コミットメント428となるC (1)∈Mk,1(EC)を統合第二逆置換証明コミットメントとする。
[第三置換証明コミットメント統合装置414]
1番目の第三置換蓄積コミットメント429をC (1)=C (1)∈Mk,1(EC)とする。そして、κ=1からκ=λまで以下に示す手順を繰り返す。
[繰り返し処理始め]
κ番目の第三置換蓄積コミットメント429をC (κ)∈Mk,1(EC)としてκ番目の統合シャッフル正当性証明装置300に送る。κ番目の統合シャッフル正当性証明装置300からκ番目の第三置換証明コミットメント430のC (κ+1)∈Mk,1(EC)を受信する。
κ=λでなければ、C (κ+1)∈Mk,1(EC)をκ+1番目の第三置換証明コミットメント430とする。
[繰り返し処理終わり]
λ番目の第三置換証明コミットメント430となるC (κ+1)∈Mk,1(EC)を統合第三置換証明コミットメントとする。第三置換証明コミットメント統合装置414は統合第三置換証明コミットメント437をコミットメント装置415に出力する。
[コミットメント装置415]
証明統合装置400は、統合同一変換コミットメント434と、統合第一置換証明コミットメント435と、統合第二置換証明コミットメント436と、統合第三置換証明コミットメント437とをまとめて統合コミットメント508を生成して、統合シャッフル正当性検証装置500に送信する。
[レスポンス統合装置416]
統合シャッフル正当性検証装置500から統合挑戦値509としてc(λ+1)∈M1,k(Z)が入力される。統合挑戦値509を用いてλ番目の挑戦値431となる(r(λ+1),r’(λ+1))∈(M1,k(Z),M1,1(Z))を以下のようにして生成する。ただし、r(λ+1)=c(λ+1),r’(λ+1)=0とする。κ=λからκ=1まで以下に示す手順を繰り返す。
[繰り返し処理始め]
κ番目の挑戦値431をr(κ+1)∈M1,k(Z)とr’(κ+1)∈M1,1(Z)=Zとしてκ番目の統合シャッフル正当性証明装置300に送信する。κ番目の統合シャッフル正当性証明装置300からκ番目のレスポンス432のr(κ)∈M1,k(Z)とr’(κ)∈M1,1(Z)=Zとを受信する。
κ=1でなければ、r(κ)∈M1,k(Z)とr’(κ)∈M1,1(Z)=Zとをκ−1番目の挑戦値431とする。
[繰り返し処理終わり]
1番目のレスポンス432のr(1)∈M1,k(Z)とr’(1)∈M1,1(Z)=Zとを統合レスポンス510とする。レスポンス統合装置416は統合レスポンス510を統合シャッフル正当性検証装置500に送信する。
[統合置換証明コミットメント復号装置417]
統合置換証明コミットメントの暗号文C=[r(λ+1)]C (λ+1)+[r(λ+1)◎r(λ+1)]C (λ+1)+[1]C (λ+1)を生成する。ここで、Cの第一成分をC6,1とし、第二成分をC6,2とする。κ=1からκ=λまでの統合シャッフル正当性証明装置300と通信して、それぞれのκに関するCの分散復号の結果433としてC6,2 (κ)∈Eを得る。これらを合わせて、H∈Eを、H=C6,1−Σκ=1 λ6,2 (κ)と生成する。統合置換証明コミットメント復号装置417は、このHを復号統合置換証明コミットメント511として統合シャッフル正当性検証装置500に送信する。
[統合分散復号証明装置418]
統合分散復号証明装置418は、以下のようにして、κ=1からκ=λまでの統合シャッフル正当性証明装置300と通信すること(符号442)と、統合シャッフル正当性検証装置500と通信すること(符号443)で、統合シャッフル正当性検証装置500に対して、上記Hが正当な統合置換証明コミットメントの暗号文の復号文であることを証明する。
κ=1からκ=λまでの統合シャッフル正当性証明装置300と通信して、各統合シャッフル正当性証明装置からC’6,2 (κ)∈Zを受け取る。続いて、分散復号の証明のコミットメントC’6,2=Σκ=1 λC’6,2 (κ)を生成して、統合シャッフル正当性検証装置500に送信する。また、統合シャッフル正当性検証装置500より復号証明の挑戦値s∈Zを受け取ると、これをκ=1からκ=λまでの統合シャッフル正当性証明装置300に送信する。続いて、κ=1からκ=λまでの統合シャッフル正当性証明装置300と通信して、各統合シャッフル正当性証明装置300から復号証明のレスポンスt(κ)∈Zを受け取る。そして、復号証明の統合レスポンスt=Σκ=1 λ(κ)を生成して、統合シャッフル正当性検証装置500に送信する。
本実施例の証明統合装置は、複数の統合シャッフル正当性証明装置のそれぞれと通信を行って、各装置でのシャッフルの正当性の情報を一つにまとめることで、ミックスネット全体を一つのシャッフルとみなして処理することが可能となる。
本発明のミックスネットシステムの一部となる統合シャッフル正当性検証装置についての一構成例を図3を参照して説明する。
統合シャッフル正当性検証装置500は、外部の他の装置とデータを送受信するためのインターフェース部を含む入力装置及び出力装置と、データを保存するための記憶装置と、各部を制御する制御装置とを有するサーバで構成される。制御装置には、プログラムにしたがって所定の処理を実行するCPUと、プログラムを格納するためのメモリが設けられている。
図3に示すコミットメント受信装置502、挑戦値生成装置503、レスポンス受信装置504、複合統合置換証明コミットメント受信装置505、分散復号検証装置506、及び検証装置507がサーバ内に仮想的に構成される。また、統合シャッフル正当性検証装置500は、実施例2と同様に、インターフェース部を介して証明統合装置400と通信可能に接続される。以下に、各構成要素について詳細に説明する。
[入力装置]
楕円曲線Eを指定するパラメターと、Eの生成元G∈Eと、ミックス用公開鍵307aのM∈Eと、疑似公開鍵306のF∈Eと、コミットメント用公開鍵307bのY∈Eが入力される。また、ミックス用公開鍵307aのMで暗号化されたミックスネット入力暗号文401となる(G,M),i=1,...,k∈(E,E)と、ミックスネット出力暗号文402の(G’,M’),i=1,...,k∈(E,E)と、共通参照基底403の(F,...,F)∈E^kと、乱数501とが入力される。これらの情報は記憶装置に格納される。
[コミットメント受信装置502]
証明統合装置400より統合同一変換コミットメント(F(κ+1)∈Mk,1(E),F’(κ+1)∈M1,1(E),G’(κ+1)∈M1,1(E),M’(κ+1)∈M1,1(E))と、統合第一置換証明コミットメントC (κ+1)∈Mk,1(EC)と、統合第二置換証明コミットメントC (κ+1)∈Mk,1(EC)と、統合第三置換証明コミットメントC (κ+1)∈Mk,1(EC)とを含む統合コミットメント508を受信する。
[挑戦値生成装置503]
ランダムな統合挑戦値509としてc(λ+1)∈M1,k(Z)を生成して、証明統合装置400に送信する。
[レスポンス受信装置504]
証明統合装置400より統合レスポンス510のr(1)∈M1,k(Z)とr’(1)∈M1,k(Z)=Zqを受信する。
[復号統合置換証明コミットメント受信装置505]
証明統合装置400より復号統合置換証明コミットメント511のH∈Eを受信する。
[分散復号検証装置506]
証明統合装置400と通信すること(符号443)で、証明統合装置400から受信した復号統合置換証明コミットメント511のHにより正当な統合置換証明コミットメントの暗号文の復号文であることを、以下のようにして証明する。
証明統合装置400より分散復号の証明のコミットメントC’6,2∈Eを受け取る。復号証明の挑戦値としてランダムなs∈Zを生成して、証明統合装置400に送信する。復号証明の統合レスポンスとしてt∈Zを証明統合装置400から受信する。
[検証装置507]
暗号文C=[r(λ+1)]C (λ+1)+[r(λ+1)◎r(λ+1)]C (λ+1)+[1]C (λ+1)を生成する。ここで、Cの第一成分をC6,1とし、第二成分をC6,2とする。次の式が成り立つことを確認する。
[r’(1)]F+[r(1)]F(1)=F’(λ+1)+[c(λ+1)]F(λ+1)
[r’(1)]G+[r(1)]G(1)=G’(λ+1)+[c(λ+1)]G(λ+1)
[r’(1)]M+[r(1)]M(1)=M’(λ+1)+[c(λ+1)]M(λ+1)
[t]C6,2=[s](C6,1−H)+C’6,2
[Σi=1 {(r (1)−(c (1)}]G=H、の5式である。
これらが成り立てば、ミックスネット出力暗号文がミックスネット入力暗号文から正しく生成され、「正当」であるものと判定する。一方、これらが成り立たなければ、ミックスネット出力暗号文がミックスネット入力暗号文から正しく生成されておらず、「不当」であると判定する。そして、その判定結果を検証結果512として出力装置から出力する。
本実施例の統合シャッフル正当性検証装置は、シャッフルの正当性に関する情報を証明統合装置から受信して検証すればよいため、従来のように複数の統合シャッフル正当性証明装置との間でデータをやりとりしなくてすむ。
本発明の一実施例をなす統合シャッフル正当性証明装置、証明統合装置、及び統合シャッフル正当性検証装置がなす、検証可能なミックスネットシステム600について、図4を参照して説明する。
ミックスネットシステム600は、実施例1で説明した統合シャッフル正当性証明装置300と、実施例2で説明した証明統合装置400と、実施例3で説明した統合シャッフル正当性検証装置500とを有する。統合シャッフル正当性証明装置300は複数設けられている。ここでは、統合シャッフル正当性証明装置の個数をλとし、統合シャッフル正当性証明装置に符号300−1〜300−λを記す。
各統合シャッフル正当性証明装置300と証明統合装置400はインターフェース部を介して相互に通信可能である。また、証明統合装置400と統合シャッフル正当性検証装置500はインターフェース部を介して相互に通信可能である。
統合シャッフル正当性証明装置300−1〜λのそれぞれには、自装置が実現するミキサーの順番を表す順序数κと、シャッフルする暗号文の個数kと、楕円曲線Eを表すパラメターと、Eの生成子G∈E=M1,1(E)と、ミックス用公開鍵Mと、各統合シャッフル装置の秘密鍵y(κ)∈Zと、コミットメント用公開鍵Yと、乱数とが入力される。
証明統合装置400には、楕円曲線Eを指定するパラメターと、Eの生成元G∈Eと、ミックス用の公開鍵M∈Eと、疑似公開鍵F∈Eと、コミットメント用公開鍵Y∈Eと、ミックス用公開鍵Mで暗号化されたミックスネット入力暗号文401の(G,M),i=1,...,k∈(E,E)と、共通参照基底の(F,...,F)∈E^kとが入力される。
統合シャッフル正当性検証装置500には、楕円曲線Eを指定するパラメターと、Eの生成元G∈Eと、ミックス用の公開鍵M∈Eと、疑似公開鍵F∈Eと、コミットメント用公開鍵Y∈Eと、ミックス用公開鍵Mで暗号化されたミックスネット入力暗号文(G,M),i=1,...,k∈(E,E)と、ミックスネット出力暗号文(G’,M’),i=1,...,k∈(E,E)と、共通参照基底の(F,...,F)∈E^kと、乱数とが入力される。
証明統合装置400は、全ての統合シャッフル正当性証明装置300−1〜λと通信を行うことにより(符号601−1〜λ)、ミックスネット出力暗号文402を生成する(符号602)。そして、ミックスネット出力暗号文402を統合シャッフル正当性検証装置500に送信する(符号603)。統合シャッフル正当性検証装置500はミックスネット出力暗号文402を証明統合装置400から受信する。
続いて、証明統合装置400は、全ての統合シャッフル正当性証明装置300−1〜λと通信を行うことにより(符号601−1〜λ)、統合コミットメントを生成する。そして、統合コミットメントを統合シャッフル正当性検証装置500に送信する。統合シャッフル正当性検証装置500は統合コミットメントを証明統合装置400から受信すると、統合挑戦値を生成して証明統合装置400に送信する。
証明統合装置400は、統合シャッフル正当性検証装置500から統合挑戦値を受信すると、統合シャッフル正当性証明装置300−1〜λのそれぞれに挑戦値を送信し、それぞれからレスポンスを受信する(符号601−1〜λ)。そして、統合シャッフル正当性証明装置300−1〜λから受信したレスポンスをまとめて統合レスポンスを生成する。続いて、証明統合装置400は、統合レスポンスを統合シャッフル正当性検証装置500に送信する。
その後、証明統合装置400は、全ての統合シャッフル正当性証明装置300−1〜λと通信を行うことにより(符号601−1〜λ)、復号統合置換証明コミットメントを生成する。そして、復号統合置換証明コミットメントを統合シャッフル正当性検証装置500に送信する。統合シャッフル正当性検証装置500は復号統合置換証明コミットメントを証明統合装置400から受信する。
さらに、証明統合装置400は、統合シャッフル正当性検証装置500と通信することで(符号604)、復号統合置換証明コミットメントの正当性を証明する。ただし、この証明のために、証明統合装置400は全ての統合シャッフル正当性証明装置300−1〜λと通信を行う。
統合シャッフル正当性検証装置500は、証明統合装置400との通信で得られた全てのデータから、上記ミックスネット出力暗号文402が、上記ミックスネット入力暗号文401の順番を入れ替えて再暗号化したものであるか否かを判定する。すなわち、正しくミックスネットの処理が行われているか否かを判定した検証結果512を出力する。
本発明のミックスネットシステムは、ミックスネット全体を一つのシャッフルと見なして、この一つのシャッフルの正当性の証明を複数のミキサーが協力して検証者に対して出力することにより、検証者の必要な計算量がミキサーの数によらず一定の大きさにすることが可能となる。
本発明のミックスネットシステムは、ミックスネット全体を一つのシャッフルと見なして、この一つのシャッフルの正当性の証明を複数のミキサーが協力して検証者に対して出力している。そのため、複数のミキサーがシャッフルを行うミックスネットの正当性の検証を行うときに、検証者の必要とする計算量がミキサーの数、すなわち行われるシャッフルの回数に依存しなくなる。その結果、検証者の負担を軽くすることができる。そのため、ミキサーの数を増やすことを容易にし、より強い匿名性を持ったミックスネットを構成できるという効果を奏する。
この効果は電子投票システムに用いると効果的である。例えば、従来の技術(3)の電子投票の管理センターが証明統合装置を操作し、各ミキサーが統合シャッフル正当性検証性装置を用いる。統合シャッフル正当性検証装置は個別の検証者と通信してその電子投票の正当性を証明してもよいが、統合シャッフル正当性検証装置の出力する統合挑戦値と復号証明の挑戦値の代りに、ハッシュ関数の出力を用いることで、統合シャッフル正当性検証装置と通信を行うことなく、証明作業を完遂することができる。
この証明作業において、ハッシュ関数を用いずに、検証者と通信して証明していれば検証者に送ったであろうデータを、ミックスネットの証明文として出力する。このミックスネットの証明文を用いれば、誰でもミックスネットの正当性を検証することができる。よって、管理センターはこの証明文を投票の正当性を検証したい人、例えば全ての投票者、に配布し、その正当性を証明することができる。この配布した証明文の大きさは、本発明を適用した場合、ミックスネットを構成するミキサーの数に依存しない。そのため、小さな計算パワーしか所持しない多くの投票者でも、ミキサーの数が多い場合にさえ、容易に電子投票の正当性を検証することができる。
本実施例の統合シャッフル正当性証明装置の構成を示す図である。 本実施例の証明統合装置の構成を示す図である。 本実施例の統合シャッフル正当性検証装置の構成を示す図である。 本実施例のミックスネットシステムの構成を示すブロック図である。 従来の技術(1)の構成を説明するための図である。 従来の技術(2)の構成を説明するための図である。
符号の説明
300 統合シャッフル正当性証明装置
400 証明統合装置
500 統合シャッフル正当性検証装置
600 ミックスネットシステム

Claims (7)

  1. 順序数1からλが割り当てられた複数の統合シャッフル正当性証明装置と、該複数の統合シャッフル正当性証明装置と通信回線で接続された証明統合装置と、該証明統合装置と通信回線で接続され、該複数の統合シャッフル正当性証明装置および該証明統合装置による情報処理を検証する統合シャッフル正当性検証装置とを有するミックスネットシステムにおける、順序数κの統合シャッフル正当性証明装置であって、
    外部からコミットメント用公開鍵が前記順序数κ(1≦κ≦λ)の前記統合シャッフル正当性証明装置に入力され、順序数κが2以上λ以下の任意の整数であるとき、前記順序数が1からκ−1までの統合シャッフル正当性証明装置のそれぞれで生成された暗号文である置換証明文を含む置換蓄積コミットメントを前記証明統合装置から受信すると、該置換蓄積コミットメントに自装置による置換証明文を付加した置換証明コミットメントを該コミットメント用公開鍵で暗号化して前記証明統合装置に送信する置換証明コミットメント装置と、
    置換証明コミットメント統合装置と、
    分散復号証明装置と、を有し、
    前記置換証明コミットメント装置は、
    乱数が外部から入力され、順序数κが割り当てられた第一置換蓄積コミットメントが前記証明統合装置から入力されると、前記コミットメント用公開鍵、前記乱数および該第一置換蓄積コミットメントを用いて、該コミットメント用公開鍵による暗号文を含む、順序数κが割り当てられた第一置換証明コミットメントを生成して前記証明統合装置に出力する第一置換証明コミットメント装置と、
    順序数κが割り当てられた第一逆置換蓄積コミットメントが前記証明統合装置から入力されると、前記コミットメント用公開鍵、前記乱数および該第一逆置換蓄積コミットメントを用いて、順序数κが割り当てられた第一逆置換証明コミットメントを生成して前記証明統合装置に出力する第一置換証明コミットメント逆送装置と、
    順序数κが割り当てられた第二置換蓄積コミットメントが前記証明統合装置から入力されると、前記乱数および該第二置換蓄積コミットメントを用いて、前記コミットメント用公開鍵による暗号文からなる、順序数κが割り当てられた第二置換証明コミットメントを生成して前記証明統合装置に出力する第二置換証明コミットメント装置と、
    順序数κが割り当てられた第二逆置換蓄積コミットメンが前記証明統合装置から入力されると、前記コミットメント用公開鍵、前記乱数および該第二逆置換蓄積コミットメントを用いて、順序数κが割り当てられた第二逆置換証明コミットメントを生成して前記証明統合装置に出力する第二置換証明コミットメント逆送装置と、
    順序数κが割り当てられた第三置換蓄積コミットメントが前記証明統合装置から入力されると、前記乱数および該第三置換蓄積コミットメントを用いて、前記コミットメント用公開鍵による暗号文からなる、順序数κが割り当てられた第三置換証明コミットメントを生成して前記証明統合装置に出力する第三置換証明コミットメント装置とをさらに有し、
    前記置換証明コミットメント統合装置は、前記順序数λが割り当てられた前記置換証明コミットメントとして前記第一置換証明コミットメント、前記第二置換証明コミットメントおよび前記第三置換証明コミットメントをまとめた統合置換証明コミットメントと、該λが割り当てられた挑戦値とが前記証明統合装置から入力され、前記順序数κが割り当てられた、前記コミットメント用公開鍵を構成する複数の秘密鍵から分散された秘密鍵が入力されると、前記統合置換証明コミットメントの暗号文を生成し、該暗号文を前記分散された秘密鍵で復号した分散復号を前記分散復号証明装置および前記証明統合装置に出力し、
    前記分散復号証明装置は、前記置換証明コミットメント統合装置から前記分散復号を受信すると、該分散復号を検証するためのコミットメントを前記証明統合装置に出力し、該統合置換証明コミットメントの暗号文の該分散された秘密鍵による分散復号を検証するための挑戦値を受信すると、該統合置換証明コミットメントの暗号文の該分散された秘密鍵による分散復号を検証するためのレスポンスを、該分散された秘密鍵、乱数、及び該挑戦値より生成して前記証明統合装置に出力する、統合シャッフル正当性証明装置。
  2. 順序数1からλが割り当てられた複数の統合シャッフル正当性証明装置と、該複数の統合シャッフル正当性証明装置と通信回線で接続された証明統合装置と、該証明統合装置と通信回線で接続され、該複数の統合シャッフル正当性証明装置および該証明統合装置による情報処理を検証する統合シャッフル正当性検証装置とを有するミックスネットシステムにおける証明統合装置であって、
    前記順序数が1からλまで割り当てられた前記複数の統合シャッフル正当性証明装置のそれぞれとの通信手段と、
    前記複数の統合シャッフル正当性証明装置および前記証明統合装置による情報処理を検証するための前記統合シャッフル正当性検証装置との通信手段と、
    前記順序数が1からκ(1≦κ≦λ)までの統合シャッフル正当性証明装置のそれぞれで生成された暗号文である置換証明文を含む置換証明コミットメントを順序数κの統合シャッフル正当性証明装置から受信すると、順序数κが1以上(λ−1)以下の任意の整数であるとき、順序数がκ+1の統合シャッフル正当性証明装置に対して、置換証明文を要求するために前記順序数κの統合シャッフル正当性証明装置から受信した置換証明コミットメントを含む置換蓄積コミットメントを送信するコミットメント統合装置と、
    ミック用公開鍵および該ミックス用公開鍵で暗号化された複数の暗号文からなるミックスネット入力暗号文が外部から入力され、前記順序数κに関して1からλまで、前記ミックスネット入力暗号文から順序数κが割り当てられた入力暗号文列を生成し、該順序数κを割り当てた入力暗号文列を順序数κが割り当てられた前記統合シャッフル正当性証明装置に送信し、順序数κが割り当てられた出力暗号文列を前記統合シャッフル正当性証明装置から受信すると、順序数κが割り当てられた出力暗号文列から入力暗号文列を生成し、該入力暗号文列に順序数κ+1を割り当てる処理を行って、前記順序数がλの統合シャッフル正当性証明装置から受信した出力暗号文列から、前記ミックスネット入力暗号文の順番を入れ替えて再暗号化した結果であるミックスネット出力暗号文を生成して前記統合シャッフル正当性検証装置に送信するミックス装置と、
    前記置換証明コミットメントが統合された統合置換証明コミットメントと前記統合同一変換コミットメントとを含む統合コミットメントを前記統合シャッフル正当性検証装置に送信するコミットメント装置と、
    前記統合シャッフル正当性検証装置より前記挑戦値を統合した統合挑戦値を受信すると、該統合挑戦値より、前記順序数λ+1が割り当てられた挑戦値を生成し、前記複数の統合シャッフル正当性証明装置の順序数κに関して前記順序数λ+1から1まで、順序数κ+1を割り当てた挑戦値を順序数κが割り当てられた前記統合シャッフル正当性証明装置に送信し、該順序数κが割り当てられたレスポンスを受信すると、該レスポンスを順序数κが割り当てられた挑戦値に変換する処理を行って、前記順序数1が割り当てられたレスポンスから統合レスポンスを生成して前記統合シャッフル正当性検証装置に送信するレスポンス統合装置と、
    コミットメント用公開鍵が外部から入力され、前記順序数λが割り当てられた置換証明コミットメントと、該λが割り当てられた挑戦値とが前記順序数λが割り当てられた統合シャッフル正当性証明装置から入力されると、該置換証明コミットメントを統合した統合置換証明コミットメントの暗号文を生成し、前記複数の統合シャッフル正当性証明装置のそれぞれと通信を行って、各統合シャッフル正当性証明装置から、順序数κが割り当てられた、前記コミットメント用公開鍵を構成する複数の秘密鍵から分散された秘密鍵により前記統合置換証明コミットメントの暗号文が復号された分散復号結果を受信すると、該分散復号結果から統合置換証明コミットメントの暗号文の復号結果を生成し、該復号結果を、対応する統合シャッフル正当性検証装置に送信する統合置換証明コミットメント復号装置と、を有し、
    前記コミットメント統合装置は、
    前記順序数κに関して1からλまで、外部から入力される共通参照基底に基づいて順序数κが割り当てられた同一変換コミットメントを生成し、該順序数κを割り当てた同一変換コミットメントを順序数κの前記統合シャッフル正当性証明装置に送信し、順序数κが割り当てられた同一変換知識コミットメントを順序数κの前記統合シャッフル正当性証明装置から受信すると、該同一変換知識コミットメントを順序数κ+1が割り当てられた同一変換コミットメントに変換する処理を行って、前記順序数λの統合シャッフル正当性証明装置から受信する同一変換コミットメントから統合同一変換コミットメントを生成する同一変換知識証明コミットメント統合装置を有し、
    前記コミットメント統合装置は、
    前記順序数κに関して1からλまで、順序数κを割り当てた置換蓄積コミットメントを生成し、該順序数κを割り当てた置換蓄積コミットメントを順序数κの前記統合シャッフル正当性証明装置に送信し、順序数κが割り当てられた置換証明コミットメントを順序数κの前記統合シャッフル正当性証明装置から受信すると、該置換証明コミットメントを順序数κ+1が割り当てられた置換蓄積コミットメントに置換する処理を行って、前記順序数λの統合シャッフル正当性証明装置から受信する置換証明コミットメントから前記統合置換証明コミットメントを生成する、証明統合装置。
  3. 請求項1に記載の統合シャッフル正当性証明装置であって、
    複数の暗号文を含む、前記順序数κが割り当てられた入力暗号文列が前記証明統合装置から入力され、ミックス用公開鍵と乱数とが外部から入力されると、該入力暗号文列に対して該ミックス用公開鍵および該乱数を用いて再暗号化し、それらの順番を入れ替えた後、複数の暗号文を含む、該順序数κが割り当てられた出力暗号文列を前記証明統合装置に出力するシャッフル装置と、
    前記順序数κが割り当てられた挑戦値が前記証明統合装置より入力され、乱数が外部から入力されると、該順序数κが割り当てられた挑戦値に基づいて生成したレスポンスを前記証明統合装置に出力するレスポンス生成装置とをさらに有し、
    前記置換証明コミットメント装置は、
    外部から入力される共通参照基底より求められ、前記順序数κが割り当てられた同一変換コミットメント基底と、該順序数κが割り当てられた前記入力暗号文列とが前記証明統合装置より入力されると前記同一置換コミットメント基底、前記乱数および該入力暗号文列を用いて、順序数κが割り当てられた同一変換知識証明コミットメントを生成して前記証明統合装置に出力する同一変換知識証明コミットメント装置を有し、
    前記置換証明コミットメント装置は、
    前記順序数κが割り当てられた前記置換蓄積コミットメントが前記証明統合装置より入力され、該置換蓄積コミットメントおよび前記乱数を用いて、前記コミットメント用公開鍵による暗号文を含む、該順序数κが割り当てられた前記置換証明コミットメントを生成して前記証明統合装置に出力する、統合シャッフル正当性証明装置。
  4. 順序数1からλが割り当てられた複数の統合シャッフル正当性証明装置と、該複数の統合シャッフル正当性証明装置と通信回線で接続された証明統合装置と、該証明統合装置と通信回線で接続され、該複数の統合シャッフル正当性証明装置および該証明統合装置による情報処理を検証する統合シャッフル正当性検証装置とを有するミックスネットシステムにおける統合シャッフル正当性検証装置であって、
    前記統合シャッフル正当性検証装置にミックスネット入力暗号文が外部から入力され、該ミックスネット入力暗号文の順番を入れ替えて再暗号化した結果であるミックスネット出力暗号文が前記証明統合装置から前記統合シャッフル正当性検証装置に入力され、
    前記複数の統合シャッフル正当性証明装置および前記証明統合装置による情報処理検証するための統合同一変換コミットメント及び統合置換証明コミットメントを前記証明統合装置より受信するコミットメント受信装置と、
    前記統合シャッフル正当性証明装置の認証に用いられる、ランダムな数の列である挑戦値を生成して前記証明統合装置に送信する挑戦値生成装置と、
    前記順序数λが割り当てられた置換証明コミットメントと、該λが割り当てられた挑戦値とが前記証明統合装置から入力されると、前記統合置換証明コミットメントの暗号文を生成し、前記証明統合装置と通信することで、該統合置換証明コミットメントの分散された暗号文の復号結果から求められた復号統合置換証明コミットメントが正しく生成されたか否かを検証する復号統合置換証明コミットメント受信装置と、
    前記挑戦値に対応して前記順序数1の前記統合シャッフル正当性証明装置から出力されたレスポンスである統合レスポンスを前記証明統合装置より受信し、該証明統合装置より前記復号統合置換証明コミットメントを受信する受信装置と、
    前記統合同一変換コミットメントと前記統合置換証明コミットメントと前記挑戦値と前記統合レスポンスと前記復号統合置換証明コミットメントとに基づいて、前記ミックスネット出力暗号文が前記ミックスネット入力暗号文から正しく生成されているか否かを示す検証結果を出力する検証装置と、
    を有する統合シャッフル正当性検証装置。
  5. 請求項記載の証明統合装置であって、
    前記コミットメント統合装置は、
    前記順序数κに関して1からλまで、順序数κが割り当てられた第一置換蓄積コミットメントを生成し、該順序数κを割り当てた第一置換蓄積コミットメントを前記統合シャッフル正当性証明装置に送信し、順序数κが割り当てられた第一置換証明コミットメントを順序数κの統合シャッフル正当性証明装置から受信すると、該第一置換証明コミットメントを順序数κ+1が割り当てられた第一置換蓄積コミットメントに置換する処理を行って、前記順序数がλの統合シャッフル正当性証明装置から受信する第一置換証明コミットメントから統合第一置換証明コミットメントを生成する第一置換証明コミットメント統合装置と、
    前記順序数κに関してλから1まで、順序数κを割り当てた第一逆置換蓄積コミットメントを、該順序数κが割り当てられた前記統合シャッフル正当性証明装置に送信し、該順序数κが割り当てられた第一逆置換証明コミットメントを順序数κの統合シャッフル正当性証明装置から受信すると、該第一逆置換証明コミットメントを順序数κ−1が割り当てられた第一逆置換蓄積コミットメントに置換する処理を行って、順序数1が割り当てられた第一逆置換証明コミットメントから統合第一逆置換証明コミットメントを生成する第一置換証明コミットメント統合逆送装置と、
    前記順序数κに関して1からλまで、順序数κが割り当てられた第二置換蓄積コミットメントを生成し、該順序数κを割り当てた第二置換蓄積コミットメントを前記統合シャッフル正当性証明装置に送信し、順序数κが割り当てられた第二置換証明コミットメントを順序数κの統合シャッフル正当性証明装置から受信すると、該第二置換証明コミットメントを順序数κ+1が割り当てられた第二置換蓄積コミットメントに置換する処理を行って、前記順序数がλの統合シャッフル正当性証明装置から受信する第二置換証明コミットメントから統合第二置換証明コミットメントを生成する第二置換証明コミットメント統合装置と、
    前記順序数κに関してλから1まで、順序数κを割り当てた第二逆置換蓄積コミットメントを、該順序数κが割り当てられた前記統合シャッフル正当性証明装置に送信し、該順序数κが割り当てられた第二逆置換証明コミットメントを順序数κの統合シャッフル正当性証明装置から受信すると、該第二逆置換証明コミットメントを順序数κ−1が割り当てられた第二逆置換蓄積コミットメントに置換する処理を行って、順序数1が割り当てられた第二逆置換証明コミットメントから統合第二逆置換証明コミットメントを生成する第二置換証明コミットメント統合逆送装置と、
    前記順序数κに関して1からλまで、順序数κが割り当てられた第三置換蓄積コミットメントを生成し、該順序数κを割り当てた第三置換蓄積コミットメントを前記統合シャッフル正当性証明装置に送信し、順序数κが割り当てられた第三置換証明コミットメントを順序数κの統合シャッフル正当性証明装置から受信すると、該第三置換証明コミットメントを順序数κ+1が割り当てられた第三置換蓄積コミットメントに置換する処理を行って、前記順序数がλの統合シャッフル正当性証明装置から受信する第三置換証明コミットメントから統合第三置換証明コミットメントを生成する第三置換証明コミットメント統合装置とをさらに有し、
    前記証明統合装置は、
    前記複数の統合シャッフル正当性証明装置のそれぞれから前記統合置換証明コミットメントの暗号文の前記分散された秘密鍵による分散復号を検証するためのコミットメントを受信すると、該コミットメントから前記統合置換証明コミットメントの暗号文の復号を検証するためのコミットメントを生成し、該コミットメントを前記統合シャッフル正当性検証装置に送信し、前記統合置換証明コミットメントの暗号文の前記分散された秘密鍵による分散復号を検証するための挑戦値を前記統合シャッフル正当性検証装置に送信し、前記複数の統合シャッフル正当性証明装置のそれぞれから前記統合置換証明コミットメントの暗号文の前記分散された秘密鍵による分散復号を検証するためのレスポンスを受信すると、該レスポンスから前記統合置換証明コミットメントの暗号文の復号を検証するための統合レスポンスを生成し、該統合レスポンスを前記統合シャッフル正当性検証装置に送信する統合分散復号証明装置をさらに有する証明統合装置。
  6. 請求項に記載の統合シャッフル正当性検証装置であって、
    前記証明統合装置から前記統合置換証明コミットメントの暗号文の復号を検証するためのコミットメントを受信すると、該統合置換証明コミットメントの暗号文の前記分散された秘密鍵による分散復号を検証するための挑戦値を生成して該証明統合装置に送信し、該証明統合装置から該統合置換証明コミットメントの暗号文の復号を検証するための統合レスポンスを受信すると、該統合置換証明コミットメントの暗号文から前記復号統合置換証明コミットメントが正しく生成されているか否かを検証する分散復号検証装置をさらに有する統合シャッフル正当性検証装置。
  7. 請求項1または3記載の統合シャッフル正当性証明装置が複数と、請求項2または5記載の証明統合装置と、請求項4または6記載の統合シャッフル正当性検証装置とを有するミックスネットシステムであって、
    前記ミックスネットシステムは、
    前記証明統合装置と前記複数の統合シャッフル正当性証明装置との通信手段と、
    前記証明統合装置と前記統合シャッフル正当性検証装置との通信手段とをさらに有し、
    前記証明統合装置は、
    ミックスネット入力暗号文が前記証明統合装置に外部から入力されると、前記複数の統合シャッフル正当性証明装置のそれぞれと通信を行うことで、前記ミックスネット入力暗号文の順番を入れ替えて再暗号化した結果であるミックスネット出力暗号文を取得し、該ミックスネット出力暗号文を前記統合シャッフル正当性検証装置に送信し、その後、前記複数の統合シャッフル正当性証明装置および前記証明統合装置による情報処理検証するためのコミットメントを統合した統合コミットメントを生成して該統合シャッフル正当性検証装置に送信し、該統合シャッフル正当性検証装置から挑戦値を受信すると、該挑戦値に対応する統合レスポンスを生成して該統合シャッフル正当性検証装置に送信し、前記統合置換証明コミットメントから前記復号統合置換証明コミットメントを生成して該統合シャッフル正当性検証装置に送信し、該統合シャッフル正当性検証装置と通信することで、該復号統合置換証明コミットメントを検証し、
    前記統合シャッフル正当性検証装置は、
    前記挑戦値を生成すると、該挑戦値を前記証明統合装置に送信し、該証明統合装置との通信により取得したデータから、前記ミックスネット出力暗号文が前記ミックスネット入力暗号文の順番を入れ替えて再暗号化したものであるか否かを調べることで、ミックスネットの処理が正しく行われたか否かを判定した結果を出力する、ミックスネットシステム。
JP2005155306A 2005-05-27 2005-05-27 統合シャッフル正当性証明装置、証明統合装置、統合シャッフル正当性検証装置及びミックスネットシステム Active JP4771053B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2005155306A JP4771053B2 (ja) 2005-05-27 2005-05-27 統合シャッフル正当性証明装置、証明統合装置、統合シャッフル正当性検証装置及びミックスネットシステム
US11/915,621 US8009828B2 (en) 2005-05-27 2006-05-24 Integrated shuffle validity proving device, proof integrating device, integrated shuffle validity verifying device, and mix net system
PCT/JP2006/310346 WO2006126585A1 (ja) 2005-05-27 2006-05-24 統合シャッフル正当性証明装置、証明統合装置、統合シャッフル正当性検証装置及びミックスネットシステム
CA002609459A CA2609459A1 (en) 2005-05-27 2006-05-24 Integrated shuffle validity proving device, proof integrating device, integrated shuffle validity verifying device, and mix network system
EP06756552.3A EP1890421A4 (en) 2005-05-27 2006-05-24 INTEGRATED MIXTURE VALIDITY PROOF DEVICE, INTEGRATION DEVICE FOR EVIDENCE, INTEGRATED MIXTURE VALIDITY CHECK DEVICE, AND MIXTURE NETWORK SYSTEM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005155306A JP4771053B2 (ja) 2005-05-27 2005-05-27 統合シャッフル正当性証明装置、証明統合装置、統合シャッフル正当性検証装置及びミックスネットシステム

Publications (2)

Publication Number Publication Date
JP2006333193A JP2006333193A (ja) 2006-12-07
JP4771053B2 true JP4771053B2 (ja) 2011-09-14

Family

ID=37452009

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005155306A Active JP4771053B2 (ja) 2005-05-27 2005-05-27 統合シャッフル正当性証明装置、証明統合装置、統合シャッフル正当性検証装置及びミックスネットシステム

Country Status (5)

Country Link
US (1) US8009828B2 (ja)
EP (1) EP1890421A4 (ja)
JP (1) JP4771053B2 (ja)
CA (1) CA2609459A1 (ja)
WO (1) WO2006126585A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7099471B2 (en) * 2000-03-24 2006-08-29 Dategrity Corporation Detecting compromised ballots
JP4771053B2 (ja) * 2005-05-27 2011-09-14 日本電気株式会社 統合シャッフル正当性証明装置、証明統合装置、統合シャッフル正当性検証装置及びミックスネットシステム
US9137012B2 (en) * 2006-02-03 2015-09-15 Emc Corporation Wireless authentication methods and apparatus
JP2011196450A (ja) * 2010-03-18 2011-10-06 Ricoh Co Ltd 駆動装置および画像形成装置
FR2969777B1 (fr) * 2010-12-22 2013-01-04 Eads Defence & Security Sys Procede d'activation d'un mecanisme, et dispositif mettant en oeuvre un tel procede.
US9009817B1 (en) * 2013-03-12 2015-04-14 Open Invention Network, Llc Virtual smart card to perform security-critical operations
JP2014220661A (ja) * 2013-05-08 2014-11-20 株式会社東芝 証明装置、出力装置、検証装置、入力装置、証明方法、検証方法およびプログラム

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5367573A (en) * 1993-07-02 1994-11-22 Digital Equipment Corporation Signature data object
US5682430A (en) * 1995-01-23 1997-10-28 Nec Research Institute, Inc. Secure anonymous message transfer and voting scheme
US6092051A (en) * 1995-05-19 2000-07-18 Nec Research Institute, Inc. Secure receipt-free electronic voting
US6049613A (en) * 1997-03-07 2000-04-11 Jakobsson; Markus Method and apparatus for encrypting, decrypting, and providing privacy for data values
JP3298826B2 (ja) * 1998-05-29 2002-07-08 日本電信電話株式会社 匿名通信方法及び装置及びプログラム記録媒体
US6317833B1 (en) * 1998-11-23 2001-11-13 Lucent Technologies, Inc. Practical mix-based election scheme
JP4181724B2 (ja) 2000-03-03 2008-11-19 日本電気株式会社 証明付再暗号シャッフル方法と装置、再暗号シャッフル検証方法と装置、入力文列生成方法と装置及び記録媒体
CA2404161C (en) * 2000-03-24 2006-05-23 Votehere, Inc. Verifiable, secret shuffles of encrypted data, such as elgamal encrypteddata for secure multi-authority elections
US7099471B2 (en) * 2000-03-24 2006-08-29 Dategrity Corporation Detecting compromised ballots
US7389250B2 (en) * 2000-03-24 2008-06-17 Demoxi, Inc. Coercion-free voting scheme
JP3788246B2 (ja) * 2001-02-13 2006-06-21 日本電気株式会社 匿名復号システム及び匿名復号方法
CA2441304C (en) * 2001-03-24 2005-05-31 Votehere, Inc. Verifiable secret shuffles and their application to electronic voting
JP3901471B2 (ja) * 2001-05-18 2007-04-04 日本電気株式会社 証明付シャッフル復号システムと証明付シャッフル復号方法、シャッフル復号検証方法
JP4774650B2 (ja) * 2001-08-07 2011-09-14 日本電気株式会社 離散対数の一致または不一致を示すゼロ知識証明システム及び方法
US7516891B2 (en) * 2002-02-20 2009-04-14 David Chaum Ballot integrity systems
JP4306232B2 (ja) * 2002-11-25 2009-07-29 日本電気株式会社 証明システムと評価システム
JP3910529B2 (ja) * 2002-12-06 2007-04-25 株式会社エヌ・ティ・ティ・データ 電子投票システム
EP1708407A4 (en) * 2004-01-22 2014-03-26 Nec Corp MixNet SYSTEM
JP4835831B2 (ja) * 2004-01-26 2011-12-14 日本電気株式会社 多数の入力から関数を計算する方法および装置
US7694880B2 (en) * 2004-01-26 2010-04-13 Nec Corporation Anonymous electronic voting system and anonymous electronic voting method
EP1571777A1 (en) * 2004-03-02 2005-09-07 France Telecom Electronic voting process using fair blind signatures
EP1728220A2 (en) * 2004-03-25 2006-12-06 Cryptomathic A/S Electronic voting systems
WO2005122049A2 (en) * 2004-06-07 2005-12-22 Dategrity Corporation Cryptographic systems and methods, including practical high certainty intent verification, such as for encrypted votes in an electronic election
US20060123465A1 (en) * 2004-10-01 2006-06-08 Robert Ziegler Method and system of authentication on an open network
US7315941B2 (en) * 2004-12-17 2008-01-01 Ntt Docomo Inc. Multi-certificate revocation using encrypted proof data for proving certificate's validity or invalidity
WO2006070682A1 (ja) * 2004-12-27 2006-07-06 Nec Corporation 制限付ブラインド署名システム
JP4830860B2 (ja) * 2005-01-21 2011-12-07 日本電気株式会社 署名装置、検証装置、証明装置、暗号化装置、及び復号化装置
JP4872908B2 (ja) * 2005-02-10 2012-02-08 日本電気株式会社 メンバー証明書獲得装置、メンバー証明書発行装置、グループ署名装置、グループ署名検証装置
WO2006092909A1 (ja) * 2005-02-28 2006-09-08 Nec Corporation シャッフル復号正当性証明装置と方法、シャッフル復号検証装置と方法、プログラムと記録媒体
JP4771053B2 (ja) * 2005-05-27 2011-09-14 日本電気株式会社 統合シャッフル正当性証明装置、証明統合装置、統合シャッフル正当性検証装置及びミックスネットシステム
JP4940592B2 (ja) * 2005-08-11 2012-05-30 日本電気株式会社 否認可能零知識対話証明に適用される証明装置及び検証装置

Also Published As

Publication number Publication date
US8009828B2 (en) 2011-08-30
WO2006126585A1 (ja) 2006-11-30
CA2609459A1 (en) 2006-11-30
US20090080645A1 (en) 2009-03-26
EP1890421A1 (en) 2008-02-20
EP1890421A4 (en) 2016-11-30
JP2006333193A (ja) 2006-12-07

Similar Documents

Publication Publication Date Title
Lee et al. Providing receipt-freeness in mixnet-based voting protocols
US7634085B1 (en) Identity-based-encryption system with partial attribute matching
Boneh et al. Almost entirely correct mixing with applications to voting
JP5293745B2 (ja) データ参照システム、データベース提示分散システム、及びデータ参照方法
US6317833B1 (en) Practical mix-based election scheme
Kate et al. Pairing-based onion routing with improved forward secrecy
Demirel et al. Improving Helios with Everlasting Privacy Towards the Public.
TWI444030B (zh) 動態群組中建立金鑰、認證及安全通訊方法
Chen et al. Public-key quantum digital signature scheme with one-time pad private-key
JP4771053B2 (ja) 統合シャッフル正当性証明装置、証明統合装置、統合シャッフル正当性検証装置及びミックスネットシステム
Sebé et al. Simple and efficient hash-based verifiable mixing for remote electronic voting
Wu Fully homomorphic encryption: Cryptography's holy grail
CN117201132A (zh) 一种完全去中心化的多委员会属性基加密方法及其应用
EP1361693B1 (en) Handle deciphering system and handle deciphering method, and program
Buccafurri et al. Allowing non-identifying information disclosure in citizen opinion evaluation
Venukumar et al. A survey of applications of threshold cryptography—proposed and practiced
CN114629640A (zh) 一种解决密钥托管问题的白盒可追责属性基加密***及其方法
Querejeta-Azurmendi et al. An internet voting proposal towards improving usability and coercion resistance
Peng et al. Efficient proof of validity of votes in homomorphic e-voting
Glondu Belenios specification
Gallegos-García et al. Identity based threshold cryptography and blind signatures for electronic voting
Chander The state-of-the-art cryptography techniques for secure data transmission
Syta et al. Deniable anonymous group authentication
Tornos et al. Optimizing ring signature keys for e-voting
Dugardin et al. A New Fair Identity Based Encryption Scheme

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070423

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100811

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101012

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110309

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110509

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110525

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110607

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140701

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4771053

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150