既存の方式[11]では,ユーザの取引相手となる各機関が秘密鍵,公開鍵(nOi, gOi, hOi, fOi ∈ Z∗nOi2)の組を用意し,
C(U,Oi)E(U,Oi) ≡gOixUhOis(U,Oi)fOi (mod nOi)
をみたすC(U,Oi), E(U,Oi)を登録証明書としてユーザに発行していた.但し,xU, s(U,Oi) はユーザの秘密情報である.
しかし,各機関の特性のみを検証者に示したい場合などは,機関の公開鍵を必 要とする登録証明では実現することができず,機関の特性を証明する別機関に登 録証明書を発行してもらう必要があった.この場合,それらの証明書を用途に応 じて使い分けなければならない.よって,各機関を予め適当なグループに分類し,
その機関管理者MGが証明書を発行するという方式を提案した.MGは,グルー プGの秘密鍵,公開鍵(nG, gG, hG, vG, fG ∈Z∗nG2)の組を用意し,機関Oiの識別 情報id(Oi,G)を用いて,
C(U,Oi)E(U,Oi) ≡gGxUhGs(U,Oi)vGid(Oi,G)fG (mod nG)
をみたすC(U,Oi), E(U,Oi)をOiへの登録証明書として発行する.これによって,上 式をみたす(C(U,Oi), E(U,Oi), xU, s(U,Oi))の知識証明をおこなうことで,機関Oi ∈G への登録を証明でき,加えてid(Oi,G) の知識証明ではOiの情報を検証者に与えな いため,グループ内のある機関に登録しているという事実のみを示すことができ る.1つの証明書によってその登録証明スタイルを選択できるということは,ユー ザのデータ管理の負担を軽くするとともに,検証者に与える情報をユーザ自身が 制御できることから,個人情報の保護を強化した実用化に適する方式であるとい える.
また,複数機関への登録を効率よく証明することのできる手法を,システム内に証 明書発行機関IOを設けることで実現した.IOは,秘密鍵,公開鍵(n, g, h, f ∈Z∗n2) の組を用意し,機関Oiの公開鍵yOiに対して,
C(U,Oi)EU ≡yOixU
fG (modnG)
をみたすC(U,Oi), EUをOiの登録証明書としてユーザに発行する.ユーザの全ての 属性をOUとし,検証者に証明したい機関の集合をOS ⊂ OU としたとき,CU :=
OSC(U,Oi)に対して,
CUEU ≡(
OS
yOi)xUf|OS| (mod n)
をみたすCU, EU, xUの知識証明をおこなうことでOSの属性を証明することがで き,検証者の計算コストは機関数に依存することなく,常に小さく保つことがで きる.またこの場合,全ての機関の公開鍵yOiは,その他の任意の機関の公開鍵の 積とならないよう設定しなければならない.
また,これら2種類の匿名証明書方式を組み合わせることができる.このとき,
匿名性を強化できる登録証明書の複数提示が可能となる.この場合,機関Oiへの 匿名性を強化できる登録証明書は,Oiの識別情報id(Oi,G),証明書発行機関の公開 鍵g, h, d, f, nを用いて
C(U,Oi)EU ≡gxUhs(U,Oi)did(Oi,G)f (mod n)
をみたすC(U,Oi)として与えられるため,OSの登録証明書をかけあわせて (
OS
C(U,Oi))EU ≡(g|OS|)xUh
OSs(U,Oi)
d
OSid(Oi,G)
fOS modn
をみたす
C(U,Oi), EU, xU,
s(U,Oi)の知識証明をおこなうとよい.但し,この場 合にも全ての機関の識別情報idOは他の任意のidの和とならないよう設定する必 要がある.
第 6 章
電子オークション
6.1 はじめに
現在,最も広く普及しているインターネット上のオークションはイングリッシュ・
オークション[42, 43]である.イングリッシュオークションとは,公開される現在 の落札価格より高い値を順に入札していき,最終的な最高入札額が落札額,その 入札者が落札者となる価格吊り上げ型のオークションである.インターネット上 で開催されるイングリッシュ・オークションにおいて商品を落札するためには,参 加者は他の入札値を随時チェックして入札を繰り返す必要がある.そのような欠点 を克服した方式が代理入札(Proxy-bidding)である.代理入札とは,各参加者は希 望落札額を代理人に提示し,代理人が参加者に代わって入札をおこなうため,落 札者決定まで,参加者はインターネットに束縛される必要がない.このような代 理入札は次のようにおこなわれる.例えば,開始価格が1,000円で,入札幅が100 円であったとしよう.ここで,参加者Aが落札希望額として2,000円を秘密に代理 人に提示し,外出したとする.代理人は,現在の落札価格が落札希望額より低い ときに限り,入札を続ける.この場合,代理人は1,000円を入札し,現在の落札額 は1,000円,現在の落札者はAとなる.次に,別の参加者Bが落札希望額2,500円 を代理人に提示した場合,Bの代理人は公開されている現在の落札価格が1,000円 なので,それより高い1,100円を入札する.この時点で,現在の落札価格は1,100 円,現在の落札者はB となる.一方,Aの代理人はこれに対し1,200円を次に入 札する.このように代理人による入札は繰り返され,最終的に現在の落札価格は
2,100円,現在の落札者はB となる.落札者が決定するまで,Aが再度,落札希望 額を変更することも可能である.
現在のインターネット上でのオークションは,代理人の役割をオークション管 理者が一括して担うことで実現されている[2, 1].この場合,オークション管理者 は新たな入札(落札希望額の提示)がおこなわれたとき,その時点での落札者の落 札希望額と新たな入札者の落札希望額を比較し,低額(+入札幅)を,現在の落札 価格とすればよいのである.つまり,上の例では,Bの希望落札額である2,500円 より低いAの希望落札価格2,000円に100円を加算した額が現在の落札価格とな る.このとき,現在の落札者はBとなり,次の入札がおこなわれたときには,新 たな入札値と2,500円を比較することになる.
ここで,代理入札システムの構築に必要となる性質をまとめる.
入札値の秘匿性 –オークション管理者,参加者等の全てのエンティティに対して,
全ての入札値は現在の落札価格の決定(価格更新)前まで秘匿され,落札者の 入札値は価格更新後も秘匿される.
匿名性 –オークション管理者,参加者等の全てのエンティティは入札値とその入 札者の関係を知ることはできず,落札者以外の入札者は秘匿される.
公開検証性 – 誰もがオークションの正当性を検証することができる.
効率性 – 入札,開札における通信量,及び計算量が効率的である.