提案方式の概要 - 匿名性を強化した証明書方式 - 電子商取引の高セキュリティ化に関する研究

5.3 匿名性を強化した証明書方式

5.3.1 提案方式の概要

ここで，匿名性を強化した証明書方式の概要を述べる．提案する手法は以下のように構築される．

但し，ユーザ，各機関，機関管理者間は匿名通信路で結ばれているものとする．

1. 初期設定:

全ての機関管理者MG ∈Gは，鍵生成プロトコルKGGを用いてグループの秘密鍵，公開鍵の組を生成する．MGによって生成されるグループGの公開鍵をRSAの法nGとdG, eG, fG, gG, hG, vG ∈Z^∗n_G2とし，秘密鍵をnGの素因数とする．

2. 機関O_iのグループGへの登録:

機関O_iは，グループGへ登録するためにグループの公開鍵を用いて鍵生成プロトコルKG₍_O_i_,G₎から，秘密鍵と公開鍵の組(x₍_O_i_,G₎, y₍_O_i_,G₎ :=v_G^x⁽^Oi,G⁾ mod n_G)を生成し，識別情報id₍_O_i_,G₎とともにグループに登録する．機関管理者 M_Gは登録された機関の公開鍵のリストを公開する．

3. ユーザの登録:

3-1. ユーザUのグループGへの登録:

ユーザU は，鍵生成プロトコルKGU を用いてシステム内で用いる秘密鍵xU を生成する．また，仮名生成プロトコルP Gによって，仮名 P₍_U,G₎を生成し，グループGに登録する．これはUの秘密鍵xUを用いてP₍_U,G₎ :=g_G^x^Uh_G^s^(U,G) modn_Gで生成される．ただし，s₍U,G)はプロトコルP Gによって生成されるU の秘密情報である．その後，機関管理者M_Gはグループ登録証明書発行プロトコルCI_Gによって登録証明書を発行する．この証明書はC₍_U,G₎ ≡(P₍_U,G₎f_G)¹^/E^(U,G) (mod n_G)をみたす(E₍_U,G₎, C₍_U,G₎)の組であらわされる．

3-2. ユーザUの機関O_i ∈Gへの登録:

i. ユーザUは機関O_iに仮名生成プロトコルP Gを用いて生成したP₍_U,O_i₎ :=

gGx_UhGx₍_U,Oi₎

modnGを登録する．

ii. Uは検証機関をO_iとしたグループ登録証明プロトコルCT_GによってグループGへの登録証明をおこなうとともに，登録した仮名P₍_U,O_i₎ が正しい型であること，即ちU の秘密鍵を用いて生成されていることを証明する．

iii. U とO_i は仮名保証書生成プロトコルGGによってU のO_i への登録を機関管理者に保証するための情報であるσ₍_U,O_i₎を生成する．

σ₍_U,O_i₎は仮名P₍_U,O_i₎に対して生成され，U へのプライベート出力である．

iv. Uは機関管理者M_Gに機関登録証明書発行プロトコルCI_Oによって σ₍_U,O_i₎の正当性を証明し，MGは機関O_i の登録証明書を発行する．

σ₍_U,O_i₎の正当性とは，σ₍_U,O_i₎が機関O_iによって生成されたものであり，かつP₍_U,G₎と同じ秘密鍵を用いて生成された仮名に対して発行されたものであることを意味する．機関登録証明書はOiの識別情報であるid₍_O_i_,G₎を用いて生成され，C₍_U,O_i₎ ≡(P₍_U,O_i₎dGid₍_Oi,G₎

fG)¹^/E⁽^U,Oi⁾ (modnG) をみたす(E₍_U,O_i₎, C₍_U,O_i₎)の組であらわされる．

4. 登録証明: ユーザUは検証者V もしくは検証機関Oj ∈ GJ に登録証明をおこなう．

4-1. 検証者へのO_iへの登録，またはグループGIへの登録証明: もし，検証者V にO_i ∈GIへの登録を示す場合は，機関登録証明プロトコルCS⁺ によってO_i ∈ GIへの登録を証明する．また，検証者V にその登録を示したくない，もしくはその必要がない場合には機関情報をもたない機関登録証明プロトコルCS⁻によってグループGIに属するある機関の登録証明をおこなうことができる．

プロトコルCS⁺では，id₍O_i,G)を検証者に与え，

C₍_U,O_i₎^E⁽^U,Oi⁾ ≡g_G^x^Uh_G^s⁽^U,Oi⁾d_G^id⁽^Oi,G⁾f_G (modn_G)

をみたす，C₍U,O_i), E₍_U,O_i₎, x_U, s₍_U,O_i₎ の知識証明をおこない，プロトコルCS⁻ではid₍_O_i_,G₎を検証者に与えず，C₍U,O_i), E₍_U,O_i₎, x_U, s₍_U,O_i₎に加えてid₍_O_i_,G₎の知識証明をおこなう．

4-2. 検証機関へのO_iへの登録，またはグループGIへの登録証明: ユーザU は検証機関O_j ∈GJに機関登録証明プロトコルCT⁺によってO_i ∈GI

への登録証明書をおこなうとともにP_(U,O_j₎ に対応するユーザであることを証明する．また，Uがその登録の事実をO_jに知らせたくない場合には，グループGIに属するある機関への登録証明とともに，P₍_U,O_j₎に対応するユーザであることが証明できる．

プロトコルCT⁺では，id₍_O_i_,G₎を検証者に与え，

C₍U,O_i)E₍_U,Oi₎ ≡gG_Ix_U

hG_Is₍_U,Oi₎

dG_Iid₍_Oi,G₎

fG_I (modnG_I)

P₍_U,O_j₎ ≡g_G_J^x^Uh_G_J^s⁽^U,Oj⁾ (mod n_G_J)

を同時にみたす，C₍_U,O_i₎, E₍_U,O_i₎, x_U, s₍_U,O_i₎, s₍_U,O_j₎の知識証明をおこなうことで，P₍_U,O_j₎に対応するユーザのO_iへの登録を示すことができ，プロトコルCT⁻ではid₍_O_i_,G₎を検証者に与えず，C₍_U,O_i₎, E₍_U,O_i₎, x_U, s₍_U,O_i₎, s₍_U,O_j₎ に加えてid₍_O_i_,G₎の知識証明をおこなう．

ドキュメント内電子商取引の高セキュリティ化に関する研究 (ページ 50-53)