知財求人 - 知財ポータルサイト「IP Force」
特許7543549分散型台帳上の、匿名性取消を伴う、セキュアな、トレース可能な、および、プライバシー保護の、デジタル通貨送金のための方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-08-23
(45)【発行日】2024-09-02
(54)【発明の名称】分散型台帳上の、匿名性取消を伴う、セキュアな、トレース可能な、および、プライバシー保護の、デジタル通貨送金のための方法
(51)【国際特許分類】
H04L 9/32 20060101AFI20240826BHJP
G06F 21/64 20130101ALI20240826BHJP
G06Q 20/38 20120101ALI20240826BHJP
【FI】
H04L9/32 200D
H04L9/32 200B
G06F21/64
G06Q20/38 310
【請求項の数】
13
(21)【出願番号】P 2023514925
(86)(22)【出願日】2021-07-27
(65)【公表番号】
(43)【公表日】2023-09-26
(86)【国際出願番号】 EP2021070924
(87)【国際公開番号】W WO2022048826
(87)【国際公開日】2022-03-10
【審査請求日】2023-05-01
(31)【優先権主張番号】20315403.4
(32)【優先日】2020-09-04
(33)【優先権主張国・地域又は機関】EP
(73)【特許権者】
【識別番号】521561673
【氏名又は名称】タレス・ディス・フランス・エス・ア・エス
(74)【代理人】
【識別番号】110001173
【氏名又は名称】弁理士法人川口國際特許事務所
(72)【発明者】
【氏名】グージェ,アリーヌ
(72)【発明者】
【氏名】バルキ,アミラ
(72)【発明者】
【氏名】ガストン・ギラオ,ロレンゾ
【審査官】金沢 史明
(56)【参考文献】
【文献】特開2018-007168(JP,A)
【文献】特表2007-538443(JP,A)
【文献】米国特許第06446052(US,B1)
【文献】特開2020-078081(JP,A)
【文献】WUEST, Karl et al.,PRCash: Fast, Private and Regulated Transactions for Digital Currencies,Cryptology ePrint Archive [online],2018年12月18日,Paper 2018/412, Version 20181218:135713,pp. 1-27,[2024年5月21日検索], インターネット <URL: https://eprint.iacr.org/archive/2018/412/20181218:135713>
(58)【調査した分野】(Int.Cl.,DB名)
G09C 1/00
H04L 9/00- 9/40
(57)【特許請求の範囲】
【請求項1】
複数の台帳ノードを含む分散型台帳(1)を使用することによる、銀行口座をもつ複数のユーザ、および、銀行口座をもたない複数のユーザの間での、少なくとも第1のユーザへの第2のユーザからの、セキュアな、トレース可能な、および、匿名性取消を伴うプライバシー保護の、デジタル通貨送金のための方法であって、前記ユーザは、前記ノードに、レジストレーション権限機関(4)に、および、取消権限機関(5)に接続されるように構成されるユーザデバイス(31、32、…)を使用して、この台帳上にトランザクションを追加することによりデジタル通貨送金を行い、前記権限機関は、公開/プライベート鍵ペアを各々で所有する、方法であって、・前記第1のユーザのユーザデバイスにより行われる登録段階であって、
- 第1のユーザのアイデンティティ(IDu1)の証拠をレジストレーション権限機関に送出すること(SE1)、
- 第1のユーザ識別公開鍵と第1のユーザ識別秘密鍵とを含む第1のユーザ識別鍵ペアを生成すること(SE2)、
- 前記生成された第1のユーザ識別公開鍵をレジストレーション権限機関に送出すること(SE3)、
- レジストレーション権限機関が前記証拠に基づいて第1のユーザのアイデンティティを検証した後に、レジストレーション権限機関により生成された署名付きトークンをレジストレーション権限機関から受信すること(SE4)を含み、
前記署名付きトークンは、前記第1のユーザ識別公開鍵と、前記取消権限機関公開鍵(pkREVA)によって暗号化された前記第1のユーザのアイデンティティ(IDu1)とを含むトークンに、レジストレーション権限機関秘密鍵(skRA)によって署名することにより生成される、登録段階、
・前記第1のユーザの前記ユーザデバイスにより行われるトランザクション段階であって、
- 分散型台帳に追加されることになるデジタル通貨送金トランザクションに前記第2のユーザとともに参加すること(ST1)を含み、
前記署名付きトークンによって、取消権限機関が、第1のユーザのアイデンティティを取得することにより第1のユーザの匿名性を取消すことが可能になる、トランザクション段階
を含み、
上記の各機関は、デバイスである、方法。
【請求項2】
- 前記第1のユーザのユーザデバイスが、前記署名付きトークンを認証局(6)に送出し、前記取消権限機関公開鍵(pkREVA)によって暗号化された前記第1のユーザのアイデンティティ(IDu1)を含む、前記第1のユーザ識別公開鍵に関する証明書を前記認証局から受信し(SE5)、- 前記第1のユーザのユーザデバイスが、その第1のユーザ識別公開鍵を第2のユーザに送出し(ST1)、次いでその第1のユーザ識別公開鍵は前記デジタル通貨送金トランザクションに含められ、
- 第1のユーザの匿名性を取消すために、取消権限機関(5)が、第1のユーザ識別公開鍵に関連付けられた証明書を入手し、第1のユーザのアイデンティティ(IDu1)を取得する、
請求項1に記載の方法。
【請求項3】
・第2のユーザのユーザデバイス(32)が、第2のユーザ署名付きトークンを受信するために、請求項1に記載の登録段階のステップを行っており、第2のユーザ識別公開鍵に関する証明書を受信するために、前記第2のユーザ署名付きトークンを認証局(6)に送出しており、分散型台帳(1)内に格納された以前のトランザクションに参加しており、それにより、第2のユーザが、ある額のデジタル通貨の現在の所有者と考えられ、前記以前のトランザクションが、第2のユーザ識別公開鍵を含み、・前記第1のユーザと第2のユーザとの間のデジタル通貨送金トランザクションが、前記以前のトランザクションへの参照を含み、
第2のユーザの匿名性を取消すために、第2のユーザ識別公開鍵が、前記以前のトランザクションから取得され、取消権限機関(5)が、第2のユーザ識別公開鍵に関連付けられた証明書を入手し、第2のユーザのアイデンティティ(IDu2)を取得する、
請求項1または2に記載の方法。
【請求項4】
・前記第1のユーザ識別鍵ペアが、(u1,g^u1)に等しく、u1が第1のユーザ識別秘密鍵であり、gが位数qの巡回群Gの生成元であり、qが整数であり、・取消権限機関が、取消権限機関および登録されたユーザにとってアクセス可能である、ユーザの識別公開鍵を含む認可されたユーザの少なくとも1つのリスト(L1)、ならびに、取消権限機関にとってのみアクセス可能な、および、各ユーザについて、その署名付きトークンと、その識別公開鍵と、ユーザのアイデンティティとを含む、プライベートユーザ識別リスト(L2)にアクセスでき、
・前記第1のユーザと第2のユーザとの間のデジタル通貨送金トランザクションが、前記取消権限機関公開鍵(pkREVA)によって第1のユーザ識別公開鍵を暗号化することにより生成された第1のユーザエルガマル暗号文(C1)を含み、
- 前記第1のユーザのユーザデバイスが、その署名付きトークンを取消権限機関に送出し(SE5’)、
- 前記取消権限機関が、認可されたユーザリスト(L1)内に第1のユーザ識別公開鍵を、ならびに、プライベートユーザ識別リスト(L2)内に署名付きトークン、第1のユーザ識別公開鍵、および、第1のユーザのアイデンティティを記録し(SE5’)、
- 第1のユーザのユーザデバイスが、知識のゼロ知識証明(ZKPK)を第2のユーザのユーザデバイスに提供し(ST1’)、知識のゼロ知識証明は、第1のユーザ識別公開鍵を明らかにすることなく、第1のユーザエルガマル暗号文(C1)が、認可されたユーザのリストに属するユーザ識別公開鍵のエルガマル暗号文値であるということ、および、第1のユーザが、対応するユーザ識別プライベート鍵を知っているということを証明し、
- 第2のユーザのユーザデバイスが、第1のユーザのユーザデバイスにより提供された知識のゼロ知識証明を検証し(ST2’)、分散型台帳に追加されるデジタル通貨送金トランザクション内にそれを付加し、
- 第1のユーザの匿名性を取消すために、取消権限機関が、第1のユーザエルガマル暗号文(C1)を入手し、そのプライベートユーザ識別リスト(L2)を使用して、第1のユーザのアイデンティティ(IDU1)を取得する(RS1’)、
請求項1に記載の方法。
【請求項5】
・第2のユーザのユーザデバイス(32)が、第2のユーザ署名付きトークンを受信するために、請求項1に記載の登録段階のステップを行っており、前記第2のユーザ署名付きトークンを取消権限機関に送出しており、分散型台帳内に格納された以前のトランザクションに参加しており、それにより、第2のユーザが、ある額のデジタル通貨の現在の所有者と考えられ、・前記第1のユーザと第2のユーザとの間のDC送金トランザクションが、前記以前のトランザクションへの参照を含み、前記以前のトランザクションが、前記取消権限機関公開鍵(pkREVA)によって第2のユーザ識別公開鍵を暗号化することにより生成された第2のユーザエルガマル暗号文(C2)と、知識のゼロ知識証明とを含み、知識のゼロ知識証明は、第2のユーザ識別公開鍵を明らかにすることなく、第2のユーザエルガマル暗号文(C2)が、認可されたユーザのリストに属するユーザ識別公開鍵のエルガマル暗号文値であるということ、および、第2のユーザが、対応するユーザ識別プライベート鍵を知っているということを証明し、
第2のユーザの匿名性を取消すために、前記取消権限機関公開鍵(pkREVA)によって第2のユーザ識別公開鍵を暗号化することにより生成された第2のユーザエルガマル暗号文(C2)が、前記以前のトランザクションから取得され、第2のユーザのアイデンティティ(IDU2)を取得する取消権限機関により、取得される、
請求項4に記載の方法。
【請求項6】
取消権限機関が、その取消権限機関が第1のユーザのアイデンティティを正しく取得したということを証明するための知識のゼロ知識証明(ZKPK)を提供する、請求項1から5のいずれか一項に記載の方法。
【請求項7】
取消権限機関が、証明書に含まれる前記取消権限機関公開鍵によって暗号化された前記第1のユーザのアイデンティティ(IDu1)の暗号文を取消権限機関が正しく復号したということを証明する知識のゼロ知識証明を提供する、請求項1から3のいずれか一項に記載の方法。
【請求項8】
取消権限機関が、デジタル通貨送金トランザクションに含まれるエルガマル暗号文、および、署名付きトークンに含まれる前記取消権限機関公開鍵によって暗号化された前記第1のユーザのアイデンティティ(IDu1)の暗号文の両方を取消権限機関が正しく復号したということを証明する知識のゼロ知識証明を提供する、請求項4または5に記載の方法。
【請求項9】
第1のユーザのユーザデバイスが、所定の数のデジタル通貨送金トランザクションにそれが参加した後に、請求項1に記載の登録段階のステップを再度行う、請求項1から8のいずれか一項に記載の方法。
【請求項10】
取消権限機関が、認可されたユーザの複数個のリストにアクセスできる、請求項5から9のいずれか一項に記載の方法。
【請求項11】
少なくとも1つのコンピュータのメモリ内へと直接的にロード可能なコンピュータプログラム製品であって、前記コンピュータプログラム製品が少なくとも1つのコンピュータ上で実行されるときに、請求項1から10のいずれか一項に記載のステップを行うためのソフトウェアコード命令を含む、コンピュータプログラム製品。
【請求項12】
複数の台帳ノードを含む分散型台帳を使用することによる、銀行口座をもつ複数のユーザ、および、銀行口座をもたない複数のユーザの間での、少なくとも第1のユーザと第2のユーザとの間の、匿名性取消を伴う、セキュアな、トレース可能な、および、プライバシー保護の、デジタル通貨送金のシステム(100)であって、請求項1から9のいずれか一項に記載のステップを行うように構成されるプロセッサ(201)およびインターフェース(207)を各々で含む、レジストレーション権限機関と、取消権限機関と、前記ノードに、前記レジストレーション権限機関に、前記取消権限機関に接続されるように構成されるユーザデバイスとを含む、システム(100)。
【請求項13】
複数の台帳ノードを含む分散型台帳を使用することによる、銀行口座をもつ複数のユーザ、および、銀行口座をもたない複数のユーザの間での、少なくとも第1のユーザと第2のユーザとの間の、匿名性取消を伴う、セキュアな、トレース可能な、および、プライバシー保護の、デジタル通貨送金のシステム(100)であって、請求項2または3に記載のステップを行うように構成されるプロセッサ(201)およびインターフェース(207)を各々で含む、レジストレーション権限機関と、取消権限機関と、認証局と、前記ノードに、前記レジストレーション権限機関に、前記取消権限機関に、および前記認証局に接続されるように構成されるユーザデバイスとを含む、システム(100)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、デジタル通貨支払の分野に関し、より詳しくは、セキュアなデジタル通貨送金のための方法であって、その送金のユーザの匿名性、および、特別な状況のもとでこの匿名性を取消すことの両方を可能とする、方法に関する。
【背景技術】
【0002】
過去10年間にわたって、デジタル通貨を使用して、オンラインで、および/または、物理的店舗においての両方で支払を行うことを可能とするシステムへの関心が高まってきている。提案された第1の部類の解決法は、デジタル通貨送金が中央権限機関により管理される、集中型の解決法である。そのような解決法によって、効率的に、ユーザが、商品およびサービスの代金を支払うこと、ならびにまた、1人の個人から別の者に、例えば、家族成員、友人、または、職業販売者ではない売り手にデジタル通貨ユニットを送金することが可能になる。
【0003】
さりながら、そのような解決法は、すべてのユーザに、中央権限機関にレジストレーションをし、口座を作成すること、および、この権限機関を通してすべてのトランザクションを提出することを必要とする。それゆえに、この中央権限機関は、すべてのユーザの、および、すべてのトランザクションのアイデンティティの完全な知識を有する。
【0004】
それゆえに、ユーザおよびトランザクションを管理するための中央権限機関をもはや頼りとしない、ならびに、1人のユーザから、銀行口座をもたないユーザを含む別のユーザへのデジタル通貨の直接的な送金を可能にする、分散型台帳を主として頼りとする、より非集中型の解決法が提案された。最も有名な例は、いかなる中央銀行または権限機関によっても制御されない、bitcoinデジタル通貨である。そのような解決法は、ユーザに、権限機関にレジストレーションをすることを必要とせず、それゆえに、ユーザが匿名のままであることを可能とする。
【0005】
さりながら、そのような強い匿名性は、また欠点であることがあり、なぜならば、その強い匿名性は、法執行部局が支払人または被支払人のアイデンティティを回復することを可能にすることなく、詐欺または犯罪活動からの金銭が容易に送金されることを可能にするからである。
【0006】
それゆえに、匿名性、および、通貨を分け合い、その通貨をユーザどうしの間で送金するための能力などの、紙幣および物理的硬貨貨幣と同じ特性を、銀行口座をもつユーザ、および、銀行口座をもたないユーザの両方に提供し、一方で、例えば詐欺またはマネーロンダリングの疑いの事例において、事前定義された条件が満たされるときに、トランザクションに参加するユーザの匿名性を取消すことを可能にする、セキュアなデジタル通貨送金方法およびシステムに対する必要性が存在する。
【発明の概要】
【課題を解決するための手段】
【0007】
この目的のために、および、第1の態様によれば、本発明は、それゆえに、複数の台帳ノードを含む分散型台帳を使用することによる、銀行口座をもつ複数のユーザ、および、銀行口座をもたない複数のユーザの間での、少なくとも第1のユーザへの第2のユーザからの、セキュアな、トレース可能な、および、匿名性取消を伴うプライバシー保護の、デジタル通貨送金のための方法であって、前記ユーザは、前記ノードに、レジストレーション権限機関に、および、取消権限機関に接続されるように構成されるユーザデバイスを使用して、この台帳上にトランザクションを追加することによりデジタル通貨(DC)送金を行い、前記権限機関は、公開/プライベート鍵ペアを各々で所有する、方法であって、
・前記第1のユーザのユーザデバイスにより行われる登録(enrollment)段階であって:
- 第1のユーザのアイデンティティの証拠をレジストレーション権限機関に送出すること、
- 第1のユーザ識別公開鍵と第1のユーザ識別秘密鍵とを含む第1のユーザ識別鍵ペアを生成すること、
- 前記生成された第1のユーザ識別公開鍵をレジストレーション権限機関に送出すること、
- レジストレーション権限機関が前記証拠に基づいて第1のユーザのアイデンティティを検証した後に、レジストレーション権限機関により生成された署名付きトークンをレジストレーション権限機関から受信することを含み、
前記署名付きトークンは、前記第1のユーザ識別公開鍵と、前記取消権限機関公開鍵によって暗号化された前記第1のユーザのアイデンティティとを含むトークンに、レジストレーション権限機関秘密鍵によって署名することにより生成される、登録段階、
・前記第1のユーザの前記ユーザデバイスにより行われるトランザクション段階であって:
- 分散型台帳に追加されることになるデジタル通貨送金トランザクションに前記第2のユーザとともに参加することを含み、
前記署名付きトークンによって、取消権限機関が、第1のユーザのアイデンティティをリトリーブすることにより第1のユーザの匿名性を取消すことが可能になる、トランザクション段階
を含む、方法に関する。
・前記第1のユーザのユーザデバイスにより行われる登録(enrollment)段階であって:
- 第1のユーザのアイデンティティの証拠をレジストレーション権限機関に送出すること、
- 第1のユーザ識別公開鍵と第1のユーザ識別秘密鍵とを含む第1のユーザ識別鍵ペアを生成すること、
- 前記生成された第1のユーザ識別公開鍵をレジストレーション権限機関に送出すること、
- レジストレーション権限機関が前記証拠に基づいて第1のユーザのアイデンティティを検証した後に、レジストレーション権限機関により生成された署名付きトークンをレジストレーション権限機関から受信することを含み、
前記署名付きトークンは、前記第1のユーザ識別公開鍵と、前記取消権限機関公開鍵によって暗号化された前記第1のユーザのアイデンティティとを含むトークンに、レジストレーション権限機関秘密鍵によって署名することにより生成される、登録段階、
・前記第1のユーザの前記ユーザデバイスにより行われるトランザクション段階であって:
- 分散型台帳に追加されることになるデジタル通貨送金トランザクションに前記第2のユーザとともに参加することを含み、
前記署名付きトークンによって、取消権限機関が、第1のユーザのアイデンティティをリトリーブすることにより第1のユーザの匿名性を取消すことが可能になる、トランザクション段階
を含む、方法に関する。
【0008】
そのような方法は、取消権限機関に、いかなるトランザクションでもそれに参加するユーザの本当のアイデンティティを明らかにさせることの可能性を保ちながら、銀行口座をもつユーザ、および、銀行口座をもたないユーザの両方が、匿名でデジタル通貨トランザクションをセキュアに行うことを可能にする。
【0009】
第1の実施形態によれば:
- 前記第1のユーザが、前記署名付きトークンを認証局に送出し、前記取消権限機関公開鍵によって暗号化された前記第1のユーザのアイデンティティを含む、前記第1のユーザ識別公開鍵に関する証明書を前記認証局から受信し;
- 前記第1のユーザが、彼の第1のユーザ識別公開鍵を第2のユーザに送出し、次いで彼の第1のユーザ識別公開鍵は前記デジタル通貨送金トランザクションに含められ、
- 第1のユーザの匿名性を取消すために、取消権限機関が、第1のユーザ識別公開鍵に関連付けられた証明書を入手し、第1のユーザのアイデンティティをリトリーブする。
- 前記第1のユーザが、前記署名付きトークンを認証局に送出し、前記取消権限機関公開鍵によって暗号化された前記第1のユーザのアイデンティティを含む、前記第1のユーザ識別公開鍵に関する証明書を前記認証局から受信し;
- 前記第1のユーザが、彼の第1のユーザ識別公開鍵を第2のユーザに送出し、次いで彼の第1のユーザ識別公開鍵は前記デジタル通貨送金トランザクションに含められ、
- 第1のユーザの匿名性を取消すために、取消権限機関が、第1のユーザ識別公開鍵に関連付けられた証明書を入手し、第1のユーザのアイデンティティをリトリーブする。
【0010】
第1の実施形態によれば、任意選択で:
第2のユーザが、第2のユーザ署名付きトークンを受信するために、第1の態様による方法の登録段階のステップを行っており、第2のユーザ識別公開鍵に関する証明書を受信するために、前記第2のユーザ署名付きトークンを認証局に送出しており、分散型台帳内に格納された以前のトランザクションに参加しており、それにより、第2のユーザが、ある額のデジタル通貨の現在の所有者と考えられ、前記以前のトランザクションが、第2のユーザ識別公開鍵を含み、前記第1のユーザと第2のユーザとの間のデジタル通貨送金トランザクションが、前記以前のトランザクションへの参照を含み、
第2のユーザの匿名性を取消すために、第2のユーザ識別公開鍵が、前記以前のトランザクションからリトリーブされ得るものであり、取消権限機関が、第2のユーザ識別公開鍵に関連付けられた証明書を入手し得るものであり、第2のユーザのアイデンティティをリトリーブし得る。
第2のユーザが、第2のユーザ署名付きトークンを受信するために、第1の態様による方法の登録段階のステップを行っており、第2のユーザ識別公開鍵に関する証明書を受信するために、前記第2のユーザ署名付きトークンを認証局に送出しており、分散型台帳内に格納された以前のトランザクションに参加しており、それにより、第2のユーザが、ある額のデジタル通貨の現在の所有者と考えられ、前記以前のトランザクションが、第2のユーザ識別公開鍵を含み、前記第1のユーザと第2のユーザとの間のデジタル通貨送金トランザクションが、前記以前のトランザクションへの参照を含み、
第2のユーザの匿名性を取消すために、第2のユーザ識別公開鍵が、前記以前のトランザクションからリトリーブされ得るものであり、取消権限機関が、第2のユーザ識別公開鍵に関連付けられた証明書を入手し得るものであり、第2のユーザのアイデンティティをリトリーブし得る。
【0011】
そのようにすることにより、トランザクションの、被支払人(第1のユーザ)のアイデンティティのみではなく、また支払人(第2のユーザ)のアイデンティティも、取消権限機関により明らかにされ得る。
【0012】
第2の実施形態によれば:
・前記第1のユーザ識別鍵ペアが、(u1,g^u1)に等しく、u1が第1のユーザ識別秘密鍵であり、gが位数qの巡回群Gの生成元であり、qが整数であり、
・取消権限機関が、取消権限機関および登録されたユーザにとってアクセス可能である、ユーザの識別公開鍵を含む認可されたユーザの少なくとも1つのリスト、ならびに、取消権限機関にとってのみアクセス可能な、および、各ユーザについて、その署名付きトークンと、その識別公開鍵と、ユーザのアイデンティティとを含む、プライベートユーザ識別リストにアクセスでき、
・前記第1のユーザと第2のユーザとの間のデジタル通貨送金トランザクションが、前記取消権限機関公開鍵によって第1のユーザ識別公開鍵を暗号化することにより生成された第1のユーザエルガマル暗号文を含み、
- 前記第1のユーザが、その署名付きトークンを取消権限機関に送出し、
- 前記取消権限機関が、認可されたユーザリスト内に第1のユーザ識別公開鍵を、ならびに、プライベートユーザ識別リスト内に署名付きトークン、第1のユーザ識別公開鍵、および、第1のユーザのアイデンティティを記録し、
- 第1のユーザが、知識のゼロ知識証明(zero-knowledge proof of knowledge)を第2のユーザに提供し、知識のゼロ知識証明は、第1のユーザ識別公開鍵を明らかにすることなく、第1のユーザエルガマル暗号テキストが、認可されたユーザのリストに属するユーザ識別公開鍵のエルガマル暗号テキスト値であるということ、および、第1のユーザが、対応するユーザ識別プライベート鍵を知っているということを証明し、
- 第2のユーザが、第1のユーザにより提供された知識のゼロ知識証明を検証し、分散型台帳に追加されるデジタル通貨送金トランザクション内にその知識のゼロ知識証明を付加し、
- 第1のユーザの匿名性を取消すために、取消権限機関が、第1のユーザエルガマル暗号文を入手し、そのプライベートユーザ識別リストを使用して、第1のユーザのアイデンティティをリトリーブする。
・前記第1のユーザ識別鍵ペアが、(u1,g^u1)に等しく、u1が第1のユーザ識別秘密鍵であり、gが位数qの巡回群Gの生成元であり、qが整数であり、
・取消権限機関が、取消権限機関および登録されたユーザにとってアクセス可能である、ユーザの識別公開鍵を含む認可されたユーザの少なくとも1つのリスト、ならびに、取消権限機関にとってのみアクセス可能な、および、各ユーザについて、その署名付きトークンと、その識別公開鍵と、ユーザのアイデンティティとを含む、プライベートユーザ識別リストにアクセスでき、
・前記第1のユーザと第2のユーザとの間のデジタル通貨送金トランザクションが、前記取消権限機関公開鍵によって第1のユーザ識別公開鍵を暗号化することにより生成された第1のユーザエルガマル暗号文を含み、
- 前記第1のユーザが、その署名付きトークンを取消権限機関に送出し、
- 前記取消権限機関が、認可されたユーザリスト内に第1のユーザ識別公開鍵を、ならびに、プライベートユーザ識別リスト内に署名付きトークン、第1のユーザ識別公開鍵、および、第1のユーザのアイデンティティを記録し、
- 第1のユーザが、知識のゼロ知識証明(zero-knowledge proof of knowledge)を第2のユーザに提供し、知識のゼロ知識証明は、第1のユーザ識別公開鍵を明らかにすることなく、第1のユーザエルガマル暗号テキストが、認可されたユーザのリストに属するユーザ識別公開鍵のエルガマル暗号テキスト値であるということ、および、第1のユーザが、対応するユーザ識別プライベート鍵を知っているということを証明し、
- 第2のユーザが、第1のユーザにより提供された知識のゼロ知識証明を検証し、分散型台帳に追加されるデジタル通貨送金トランザクション内にその知識のゼロ知識証明を付加し、
- 第1のユーザの匿名性を取消すために、取消権限機関が、第1のユーザエルガマル暗号文を入手し、そのプライベートユーザ識別リストを使用して、第1のユーザのアイデンティティをリトリーブする。
【0013】
第2の実施形態によれば、任意選択で:
・第2のユーザが、第2のユーザ署名付きトークンを受信するために、請求項1に記載の登録段階のステップを行っており、前記第2のユーザ署名付きトークンを取消権限機関に送出しており、分散型台帳内に格納された以前のトランザクションに参加しており、それにより、第2のユーザが、ある額のデジタル通貨の現在の所有者と考えられ、
・前記第1のユーザと第2のユーザとの間のDC送金トランザクションが、前記以前のトランザクションへの参照を含み、前記以前のトランザクションが、前記取消権限機関公開鍵によって第2のユーザ識別公開鍵を暗号化することにより生成された第2のユーザエルガマル暗号文と、知識のゼロ知識証明とを含み、知識のゼロ知識証明は、第2のユーザ識別公開鍵を明らかにすることなく、第2のユーザエルガマル暗号文が、認可されたユーザのリストに属するユーザ識別公開鍵のエルガマル暗号文値であるということ、および、第2のユーザが、対応するユーザ識別プライベート鍵を知っているということを証明し、
第2のユーザの匿名性を取消すために、前記取消権限機関公開鍵によって第2のユーザ識別公開鍵を暗号化することにより生成された第2のユーザエルガマル暗号文が、第2のユーザのアイデンティティをリトリーブする取消権限機関により、前記以前のトランザクションからリトリーブされ、取得される。
・第2のユーザが、第2のユーザ署名付きトークンを受信するために、請求項1に記載の登録段階のステップを行っており、前記第2のユーザ署名付きトークンを取消権限機関に送出しており、分散型台帳内に格納された以前のトランザクションに参加しており、それにより、第2のユーザが、ある額のデジタル通貨の現在の所有者と考えられ、
・前記第1のユーザと第2のユーザとの間のDC送金トランザクションが、前記以前のトランザクションへの参照を含み、前記以前のトランザクションが、前記取消権限機関公開鍵によって第2のユーザ識別公開鍵を暗号化することにより生成された第2のユーザエルガマル暗号文と、知識のゼロ知識証明とを含み、知識のゼロ知識証明は、第2のユーザ識別公開鍵を明らかにすることなく、第2のユーザエルガマル暗号文が、認可されたユーザのリストに属するユーザ識別公開鍵のエルガマル暗号文値であるということ、および、第2のユーザが、対応するユーザ識別プライベート鍵を知っているということを証明し、
第2のユーザの匿名性を取消すために、前記取消権限機関公開鍵によって第2のユーザ識別公開鍵を暗号化することにより生成された第2のユーザエルガマル暗号文が、第2のユーザのアイデンティティをリトリーブする取消権限機関により、前記以前のトランザクションからリトリーブされ、取得される。
【0014】
そのようにすることにより、被支払人(第1のユーザ)は、レジストレーションをされたユーザとして認証され、被支払人の匿名性は、彼の公開識別鍵が支払人(第2のユーザ)に明らかにされないので増大されるが、取消権限機関は、任意のユーザ、支払人および被支払人の両方の本当のアイデンティティをリトリーブするための能力を保つ。
【0015】
取消権限機関が、その取消権限機関が第1のユーザのアイデンティティを正しくリトリーブしたということを証明するための知識のゼロ知識証明を提供し得る。
【0016】
第1の実施形態において、取消権限機関が、知識のゼロ知識証明を提供し得、知識のゼロ知識証明は、証明書に含まれる前記取消権限機関公開鍵によって暗号化された前記第1のユーザのアイデンティティの暗号文を取消権限機関が正しく復号したということを証明する。
【0017】
第2の実施形態において、取消権限機関が、知識のゼロ知識証明を提供し得、知識のゼロ知識証明は、デジタル通貨送金トランザクションに含まれるエルガマル暗号文、および、署名付きトークンに含まれる前記取消権限機関公開鍵によって暗号化された前記第1のユーザのアイデンティティの暗号文の両方を取消権限機関が正しく復号したということを証明する。
【0018】
第1のユーザが、所定の数のDC送金トランザクションに彼が参加した後に、第1の態様による本発明の登録段階のステップを再度実行し得る。
【0019】
このことは、正当なユーザの鍵およびトークンを盗取したかもしれない攻撃者により行われ得る、悪意のあるトランザクションの危険性を制限する。
【0020】
第2の実施形態において、取消権限機関が、認可されたユーザの複数個のリストにアクセスでき得る。
【0021】
第2の態様によれば、本発明は、それゆえに、また、少なくとも1つのコンピュータのメモリ内へと直接的にロード可能なコンピュータプログラム製品であって、前記製品がコンピュータ上で実行されるときに、第1の態様による方法のステップを行うためのソフトウェアコード命令を含む、コンピュータプログラム製品に関する。
【0022】
第3の態様によれば、本発明は、また、複数の台帳ノードを含む分散型台帳を使用することによる、銀行口座をもつ複数のユーザ、および、銀行口座をもたない複数のユーザの間での、少なくとも第1のユーザと第2のユーザとの間の、匿名性取消を伴う、セキュアな、トレース可能な、および、プライバシー保護の、デジタル通貨送金のシステムであって:第1の態様による方法のステップを行うように構成されるプロセッサおよびインターフェースを各々で含む、レジストレーション権限機関と、取消権限機関と、前記ノードに、前記レジストレーション権限機関に、前記取消権限機関に接続されるように構成されるユーザデバイスとを含む、システムに関する。
【0023】
第4の態様によれば、本発明は、また、複数の台帳ノードを含む分散型台帳を使用することによる、銀行口座をもつ複数のユーザ、および、銀行口座をもたない複数のユーザの間での、少なくとも第1のユーザと第2のユーザとの間の、匿名性取消を伴う、セキュアな、トレース可能な、および、プライバシー保護の、デジタル通貨送金のシステムであって:第1の実施形態による方法のステップを実行するように構成されるプロセッサおよびインターフェースを各々で含む、レジストレーション権限機関と、取消権限機関と、認証局と、前記ノードに、前記レジストレーション権限機関に、前記取消権限機関に、および前記認証局に接続されるように構成されるユーザデバイスとを含む、システムに関する。
【0024】
以下の説明、および、添付される図面は、特定の例示的な態様を詳細に提示し、実施形態の原理が用いられ得る様々な様式のうちのごく少数を指し示すものである。他の利点、および、新規の機能が、図面と連関して考察されるときに、以下の詳細な説明から明白になることになり、開示される実施形態は、すべてのそのような態様、および、それらの態様の等価物を含むことを意図される。
【図面の簡単な説明】
【0025】
【図1】本発明の実施形態によるシステムの概略例示図である。
【図2】本発明の実施形態によるユーザデバイスの概略例示図である。
【図3】方法が本発明の実施形態による登録段階およびトランザクション段階を含むと方法を概略的に例示する図である。
【図4】本発明の第1の実施形態による方法を概略的に例示する図である。
【図5】本発明の第2の実施形態による方法を概略的に例示する図である。
【発明を実施するための形態】
【0026】
本発明は、銀行口座をもつユーザ、および、銀行口座をもたないユーザの両方が、それらのユーザのプライバシーを保護する方法で、デジタル通貨(DC)送金をセキュアに行うことを可能にする方法に関する。同時に、マネーロンダリングなどの詐欺または犯罪のために本発明を使用することを防止するために、本発明は、行われるトランザクションをトレースすることを可能とし、究極的に、本発明は、任意のユーザの匿名性を取消すという、および、そのユーザの本当のアイデンティティを暴露するという力を中央権限機関に与える。
【0027】
銀行口座をもつユーザ、および、銀行口座をもたないユーザの両方が、そのようなトランザクションに参加することを可能にするために、本発明による方法は、トランザクションの処理について銀行などの中央権限機関を頼りとしない。図1上のシステム100上で示されるように、トランザクションの非集中型の処理を可能にするために、その方法は、むしろ、トランザクションを記憶するための分散型台帳1を頼りとする。
【0028】
Bitcoin、Ethereum、Algorandなどのよく知られている分散型台帳においてのように、そのような台帳1は、ネットワーク2により相互接続される台帳ノード11、12、その他を含む。台帳のユーザは、ネットワーク2を通して台帳ノードに接続されるユーザデバイス31、32、…を所有する。ユーザは、台帳ノードにトランザクションを提出するために、彼らのユーザデバイスを使用することにより、DC送金を慣行にしたがって行い、各トランザクションは、そのトランザクションが台帳ノードにより妥当性を確認される後に台帳に追加される。
【0029】
そのようなユーザデバイスは、例えば、スマートカード、移動電話、タブレットPC、デスクトップまたはラップトップコンピュータであり得る。以下の段落において、別のユーザにメッセージを送信することなどの、様々なユーザ行為の説明がなされる。そのような行為は、ユーザにより、ネットワーク2を通して台帳ノードおよび他のユーザデバイスとデータを交換する、彼のユーザデバイスを使用することにより行われることが、そのことが明示的に説明されないとしても暗黙裡に行われる。
【0030】
図2は、そのようなユーザデバイスの概略例示図である。そのユーザデバイスは、ランダムアクセスメモリ(RAM)203、読み出し専用メモリ(ROM)204、および/または不揮発性メモリ(NVM)205に、バス202を介して接続される、CPUまたは暗号プロセッサ201などの計算手段を含み得る。ユーザデバイスは、様々な形式のワイヤレスネットワーク、例えば、ワイドエリアネットワーク、WiFiネットワーク、または移動電話通信ネットワークにエンティティを接続するために使用されるネットワークインターフェース206をさらに含み得る。代替法として、ユーザデバイスは、Ethernetなどの有線ネットワーク接続を介してネットワークに接続し得る。ユーザデバイスは、また、1つ以上の画面、ラウドスピーカ、マウス、触覚表面、キーボード、その他…などの、デバイスのユーザに対するインターフェースを提供する入出力インターフェース207を含み得る。
【0031】
本発明の主たるアイデアは、ユーザ匿名性を保証する非集中型の分散型台帳を使用することに加えて、トランザクションが台帳に追加された後のいかなる時間においても、中央権限機関がいかなるトランザクションのいかなるユーザの匿名性も取消すことを可能とする機構を提供することである。そのようにするために、レジストレーション権限機関4および取消権限機関5が、ネットワーク2に接続される。何らかのトランザクションに参加する前に、いかなるユーザも、登録ステップを最初に行わなければならず、その登録ステップ中に、そのユーザは、彼の本当のアイデンティティの証明をレジストレーション権限機関に与える。次いで、トランザクションが行われるとき、そのトランザクションは、トランザクションに関与させられるユーザのいずれかの本当のアイデンティティをリトリーブするために、取消権限機関により、任意の後の時間において必要とされる場合に使用され得る要素を含む。以下の段落において説明されるように、本発明による方法は、また、詐欺的ユーザが、取消権限機関が彼のアイデンティティをリトリーブすることを可能にする必要な情報を提供することなく、トランザクションに参加することを防止する、または、詐欺的ユーザが、取消権限機関が別のユーザのアイデンティティをリトリーブすることにつながることになる、偽造された情報を提供することを防止する、セキュリティ機能を含む。
【0032】
以下の段落は、本発明による方法のステップをより詳細に説明する。
【0033】
図3上で例示されるように、本発明による方法は、第1に、以下のステップを含む登録段階を含む。次の段落は、第1のユーザにより、本明細書において後で第1のユーザデバイスと呼ばれる彼のユーザデバイスを使用して、これらのステップが行われるときの、これらのステップを説明する。そのようなステップは、支払人または被支払人のいずれかとして、本発明によるDC送金トランザクションに参加することができるようになるために、いかなるユーザによっても行われなければならない。
【0034】
第1の登録ステップSE1中、第1のユーザデバイス31は、第1のユーザのアイデンティティIDu1の何らかの証拠をレジストレーション権限機関4に送出する。そのような証拠は、例えば、IDカードなどのアイデンティティ文書、または、パスポート、出生証明書、運転免許証、もしくは保健医療サービス文書のコピーであり得る。そのような証拠は、その証拠を提供するユーザを認証するために、レジストレーション権限機関により検証される。ユーザ写真を含む、多数の文書が必要であることがある。
【0035】
第1の登録ステップと並列に行われ得る第2の登録ステップSE2中、第1のユーザデバイスは、第1のユーザ識別公開鍵pku1と第1のユーザ識別秘密鍵sku1とを含む第1のユーザ識別鍵ペア(pku1,sku1)を生成する。そして第3の登録ステップSE3中、第1のユーザデバイスは、レジストレーション権限機関に、生成された第1のユーザ識別公開鍵pku1を送出する。この公開鍵は、本明細書において後で説明されるように、第1のユーザのアイデンティティをリトリーブするための機構を設けるために、分散型台帳に追加される、および、その第1のユーザを関与させる、すべてのトランザクションにおいて使用されることが意図される。
【0036】
第4の登録ステップSE4中、レジストレーション権限機関が、提供された証拠に基づいて第1のユーザのアイデンティティを検証した後、そのレジストレーション権限機関は、第1のユーザ識別公開鍵と、取消権限機関公開鍵pkREVAによって暗号化された第1のユーザのアイデンティティIDu1とを含むトークンに、レジストレーション権限機関秘密鍵skRAによって署名することにより、署名付きトークンsを第1のユーザについて生成する。そのようなユーザのアイデンティティIDu1は、例えば、パスポート番号または保健医療識別番号などの、ユーザに結び付けられた、すでに存在する番号であることがある。代替法として、そのユーザのアイデンティティは、レジストレーション権限機関により生成された乱数であることがある。
【0037】
s=SIGNskRA(pku1,ENCpkREVA(IDu1))であり、pku1は、第1のユーザ識別公開鍵である。登録プロセスに関する他のデータが、また、署名付きトークンを得るために署名されるデータに含まれることがある。
【0038】
そのようなトークンは、第1のユーザ識別公開鍵pku1を、彼の本当のID IDu1と、このIDそれ自体を開示することなくリンクするものであり、なぜならば、取消権限機関のみが、その取消権限機関のプライベート鍵skREVAを使用して、そのIDを復号することができるからである。下記で示されるように、そのことによって、取消権限機関が、第1のユーザのアイデンティティをリトリーブすることにより、第1のユーザの匿名性を取消すことが可能になる。
【0039】
この第4の登録ステップSE4中、第1のユーザデバイスは、最終的には、レジストレーション権限機関から彼の署名付きトークンを受信する。
【0040】
図3上で例示されるように、本発明による方法は、また、トランザクション段階を含み、そのトランザクション段階中、第1のユーザは、分散型台帳に追加されることになるDC送金トランザクションに第2のユーザとともに参加する。この段落、および、以下の段落において、そのトランザクション段階が第1のユーザにより彼の第1のユーザデバイスを使用して行われるときの、そのトランザクション段階が説明される。そのトランザクション段階は、第2のユーザ(支払人)または第1のユーザ(被支払人)のいずれかとして、本発明によるDC送金トランザクションに参加するために、いかなるユーザによっても同様に行われなければならない。
【0041】
以下の段落は、ユーザの識別公開鍵が、分散型台帳に追加されるトランザクション内でユーザの仮名として使用される、本発明の第1の実施形態を説明する。この実施形態において、認証局CA6も、登録されたユーザに、それらのユーザの識別公開鍵についての証明書を送達するために、ネットワークに接続される。この実施形態のステップは、図4上で示される。
【0042】
この実施形態において、本発明による方法は、第5の登録ステップSE5を含み、その第5の登録ステップSE5中、第1のユーザは、彼の署名付きトークンを認証局CAに送出し、彼の第1のユーザ識別公開鍵に関する証明書を認証局から受信する。この証明書は、また、取消権限機関公開鍵によって暗号化された第1のユーザのアイデンティティIDu1:ENCpkREVA(IDu1)を含む。
【0043】
提供されたトークンは、レジストレーション権限機関により署名されているので、認証局は、そのトークンが偽造されていないということを容易に検証し得る。
【0044】
そのような証明書は、公に入手可能にされる。その証明書は、例えば、認証局により要求を基に分配され得る。結果として、第1のユーザ公開鍵の知識を有する誰もが、取消権限機関によってのみ復号され得る、暗号化されたフォーマット下における、第1のユーザの本当のアイデンティティを、この証明書内に見いだし得る。
【0045】
次の段落は、この第1の実施形態において、どのようにトランザクションが2人のユーザの間で生起するか、および、どのように彼らの匿名性が取消され得るかを説明する。この説明において、第1のユーザは、被支払人であることを想定され、第2のユーザと呼ばれる別のユーザは、支払人であることを想定される。第2のユーザは、第1のユーザと行われることになるトランザクションにとって十分な、ある額のデジタル通貨の所有者であることを想定される。第2のユーザは、デジタル通貨を所有する別のユーザとの以前のトランザクションにより、または、中央銀行貨幣、商業銀行貨幣、電子マネー、もしくは、別の代替的デジタル通貨との交換での、デジタル通貨発行者との以前のトランザクションにより、そのようなデジタル通貨を取得していることがある。そのような発行者は、例えば、銀行またはデジタル通貨市場であり得る。そのような以前のトランザクションは、第1のユーザとのトランザクションが本明細書において下の方で説明されるように記録されることになるのと同じ方法において、台帳内に記録されているはずである。
【0046】
トランザクション段階は、第1のトランザクションステップST1を含み得るものであり、その第1のトランザクションステップST1中、第1のユーザは、彼の第1のユーザ識別公開鍵を第2のユーザに送出する。
【0047】
DC送金トランザクションは、普通、送金の額、および、以前のトランザクションであって、それにより支払人が通貨を入手した、以前のトランザクションへの参照などの情報を含む。トランザクションは、秘密鍵を使用して第2のユーザにより署名される。この実施形態において、ユーザは、彼らのトランザクションに署名するために、彼らの識別プライベート鍵を使用する。
【0048】
この実施形態において、第1のユーザ識別公開鍵が、また、台帳への追加のために、トランザクションが台帳ノードに提出される前に、第2のユーザによりDC送金トランザクションに含められる。そのようにすることにより、仮名として使用される第1のユーザの識別公開鍵の形式における、彼のアイデンティティが、トランザクションに埋め込まれる。
【0049】
この実施形態による方法は、また、取消ステップRS1を含み、その取消ステップRS1中、取消権限機関REVAは、第1のユーザ識別公開鍵に関連付けられた証明書を入手し、次いで、第1のユーザのアイデンティティIDu1をリトリーブする。証明書は、第2のユーザ自身により、または、ユーザの本当のアイデンティティを明らかにするように取消権限機関に要請する権利を付与された管理体もしくは法執行当局などの任意の他のエンティティにより、REVAに送出され得る。第1のユーザの証明書は、第1のユーザにより、トランザクションが生起する前に、例えば、彼が彼の識別公開鍵を送信するときに、第2のユーザに提供され得るものであり、または、第2のユーザは、認証局からその証明書をリトリーブし得る。代替法として、証明書は、例えばDC送金トランザクションに関連して、台帳上に格納され得るものであり、取消権限機関は、台帳からそれ自体でその証明書をリトリーブし得る。第1のユーザ証明書から第1のユーザアイデンティティをリトリーブするために、取消権限機関は、単に、その取消権限機関のプライベート鍵によって、暗号化された値ENCpkREVA(IDu1)を復号すればよい。
【0050】
以下の段落は、第1の実施形態の事例において、および、第1のユーザと第2のユーザとの間のトランザクションの事例において、どのように支払人、ここでは第2のユーザの匿名性が取消され得るかを説明する。
【0051】
第1のユーザと第2のユーザとの間のトランザクションが生起する時間において、第2のユーザは、いくらかのデジタル通貨の所有者である。それゆえに、その第2のユーザは、第2のユーザ署名付きトークンを受信するために、上記で説明された登録段階のステップを行っている。その第2のユーザは、また、彼の第2のユーザ識別公開鍵に関する証明書を受信するために、彼の第2のユーザ署名付きトークンを認証局に送出している。デジタル通貨の所有者になるために、その第2のユーザは、分散型台帳内に格納された以前のトランザクションに参加しており、それにより、その第2のユーザは、いくらかの額のデジタル通貨の現在の所有者と考えられる。この以前のトランザクションにおいて、第2のユーザは被支払人であるので、この以前のトランザクションは、第2のユーザ識別公開鍵を含み、上記で説明した。そのような以前のトランザクションは、DC発行者とのトランザクションであって、それにより第2のユーザが発行者からDCを引き出した、DC発行者とのトランザクション、または、すでにいくらかのDCの所有者である別の登録されたユーザとのトランザクションにおける、被支払人としてのトランザクションであり得る。
【0052】
加えて、第1のユーザと第2のユーザとの間のDC送金トランザクションは、この以前のトランザクションへの参照を含む。
【0053】
それゆえに、第2のユーザの匿名性を取消すために、第2のユーザ識別公開鍵が、この以前のトランザクションからリトリーブされ、取消権限機関(REVA)は、第2のユーザ識別公開鍵に関連付けられた証明書を入手し、次いで、第2のユーザのアイデンティティ(IDu2)をリトリーブする。
【0054】
証明書は、第1のユーザ自身により、または、ユーザの本当のアイデンティティを明らかにするように取消権限機関に要請する権利を付与された管理体もしくは法執行当局などの任意の他のエンティティにより、REVAに送出され得る。第2のユーザの証明書は、また、認証局から第1のユーザによりリトリーブされ得る。代替法として、証明書は、例えばDC送金トランザクションに関連して、台帳上に格納され得るものであり、取消権限機関は、台帳からそれ自体でその証明書をリトリーブし得る。第2のユーザ証明書から第2のユーザアイデンティティをリトリーブするために、取消権限機関は、単に、その取消権限機関のプライベート鍵によって、暗号化された値ENCpkREVA(IDu1)を復号すればよい。
【0055】
以下の段落は、ユーザが認証局から彼らの識別公開鍵についての証明書を入手することをもはや必要としない、本発明の第2の実施形態を説明する。代わりに、取消権限機関は、登録されたユーザのリストであって、彼らの公開鍵により識別される、登録されたユーザのリストを有し、彼らの本当のアイデンティティを格納する。この実施形態において、ユーザは、彼の識別公開鍵に関する証明書がないにもかかわらず、公開鍵が取消権限機関のリストの中にあるということ、および、彼が、対応する秘密鍵を知っているということの知識のゼロ知識証明(ZKPK)を提供することにより、そのユーザが、登録されたユーザであるということ、および、公開鍵が彼自身の識別公開鍵であるということを証明し得る。
【0056】
この実施形態のステップは、図5上で示される。
【0057】
より精確には、この実施形態において、第1のユーザ識別鍵ペアは、(u1,g^u1)に等しくあり得るものであり、u1は第1のユーザ識別秘密鍵であり、gは位数qの巡回群Gの生成元であり、qは整数である。同様に、ユーザiの識別鍵ペアは、(ui,g^ui)に等しくあり得るものであり、uiはユーザ識別秘密鍵である。
【0058】
取消権限機関は、ユーザの識別公開鍵を含む認可されたユーザの少なくとも1つの、任意選択で複数個のリストL1にアクセスでき得るものであり、L1=g^u1、…、g^unである。リストは、取消権限機関によりセットアップおよび維持され得る。代替法として、そのリストは、別のエンティティにより取消権限機関に提供され得る。認可されたユーザのリストL1は、ユーザであって、彼の識別公開鍵により識別される、ユーザがリストの中にあるということを、取消権限機関および登録されたユーザが検証することを可能にするために、その取消権限機関にとって、および、それらの登録されたユーザにとってアクセス可能であり得る。
【0059】
取消権限機関は、また、各ユーザについて、その署名付きトークンENCpkREVA(IDUi)と、その識別公開鍵g^uiと、ユーザのアイデンティティIDUiとを含むユーザ識別リストL2にアクセスできるものであり、L2={(g^ui,IDUi,SIGNskRA(g^ui,ENCpkREVA(IDUi))}である。このリストは、プライベートであり、取消権限機関によってのみアクセス可能である。
【0060】
この実施形態において、各DC送金トランザクションは、取消権限機関公開鍵(pkREVA)によって暗号化された被支払人の公開鍵を含むものとする。この値は、被支払人により計算され、支払人に送信され得る。この値は、被支払人識別公開鍵、および次いで、その被支払人の本当のアイデンティティをリトリーブするために、取消権限機関により、後で使用され得る。第1のユーザと第2のユーザとの間のトランザクションの事例において、DC送金トランザクションは、取消権限機関公開鍵pkREVAによって第1のユーザ識別公開鍵を暗号化することにより生成された第1のユーザエルガマル暗号文C1=(g^u1)を含み得る。
【0061】
この実施形態において、本発明による方法は、代替の第5の登録ステップSE5’を含み、その代替の第5の登録ステップSE5’中、第1のユーザは、その署名付きトークンs=SIGNskRA(g^u1,ENCpkREVA(IDu1))を取消権限機関に送出し;取消権限機関は、認可されたユーザリストL1内に第1のユーザ識別公開鍵g^u1を記録し、その取消権限機関は、プライベートユーザ識別リストL2内に第1のユーザ識別公開鍵g^u1、および、第1のユーザのアイデンティティIDu1を記録する。その取消権限機関は、また、記録される第1のユーザ識別公開鍵g^u1、および、第1のユーザのアイデンティティIDu1が単一のユーザに属するということの証明として、プライベートユーザ識別リストL2内に署名付きトークンsを記録し得る。
【0062】
トランザクション段階は、代替の第1のトランザクションステップST1’を含み得るものであり、その代替の第1のトランザクションステップST1’中、第1のユーザは、第1のユーザ識別公開鍵を明らかにすることなく、第1のユーザエルガマル暗号文C1が、認可されたユーザのリストL1に属するユーザ識別公開鍵のエルガマル暗号文値であるということ、および、第1のユーザが、対応するユーザ識別プライベート鍵uiを知っているということを証明する知識のゼロ知識証明ZKPKを第2のユーザに提供する。
【0063】
トランザクション段階は、代替の第2のトランザクションステップST2’を含み得るものであり、その代替の第2のトランザクションステップST2’中、第2のユーザは、第1のユーザにより提供された知識のゼロ知識証明を検証する。そのような検証は、第1のユーザが別の登録されたユーザの公開識別鍵を使用していないということを確実にする。検証が成功するならば、第2のユーザは、デジタル通貨送金トランザクション内にZKPKを付加し、秘密鍵を使用してトランザクションに署名する。この実施形態において、ユーザは、彼らのトランザクションに署名するために、彼らの識別プライベート鍵以外のプライベートシグネチャ鍵を使用する。トランザクションは、次いで、分散型台帳に追加される。
【0064】
この第2の実施形態による方法は、また、代替の取消ステップRS1’を含み、その代替の取消ステップRS1’中、第1のユーザの匿名性を取消すために、取消権限機関は、第1のユーザエルガマル暗号文C1を入手し、その第1のユーザエルガマル暗号文C1を復号し、その取消権限機関のプライベートユーザ識別リストL2を使用して、第1のユーザのアイデンティティIDU1をリトリーブする。暗号文は、第2のユーザ自身により、または、ユーザの本当のアイデンティティを明らかにするように取消権限機関に要請する権利を付与された管理体もしくは法執行当局などの任意の他のエンティティにより、REVAに送出され得る。
【0065】
以下の段落は、第2の実施形態の事例において、および、第1のユーザと第2のユーザとの間のトランザクションの事例において、どのように支払人、ここでは第2のユーザの匿名性が、また取消され得るかを説明する。
【0066】
第1の実施形態においてのように、第1のユーザと第2のユーザとの間のトランザクションが生起する時間において、第2のユーザは、いくらかのデジタル通貨の所有者である。それゆえに、その第2のユーザは、第2のユーザ署名付きトークンを受信するために、上記で説明された登録段階のステップを行っている。その第2のユーザは、また、認可されたユーザリストL1およびプライベートユーザ識別リストL2に追加されることになる、彼の第2のユーザ署名付きトークンを取消権限機関に送出している。デジタル通貨の所有者になるために、その第2のユーザは、分散型台帳内に格納された以前のトランザクションに参加しており、それにより、その第2のユーザは、いくらかの額のデジタル通貨の現在の所有者と考えられる。そのような以前のトランザクションは、DC発行者とのトランザクションであって、それにより第2のユーザが発行者からDCを引き出した、DC発行者とのトランザクション、または、すでにいくらかのDCの所有者である別の登録されたユーザとのトランザクションであり得る。この以前のトランザクションにおいて、第2のユーザは被支払人であるので、この以前のトランザクションは、取消権限機関公開鍵pkREVAによって第2のユーザ識別公開鍵g^u2を暗号化することにより生成された第2のユーザエルガマル暗号文C2=ENCpkREVA(g^u2)と、第2のユーザ識別公開鍵を明らかにすることなく、第2のユーザエルガマル暗号文C2が、認可されたユーザのリストL1に属するユーザ識別公開鍵のエルガマル暗号文値であるということ、および、第2のユーザが、対応するユーザ識別プライベート鍵u2を知っているということを証明する知識のゼロ知識証明とを含み、上記で説明した。
【0067】
加えて、第1のユーザと第2のユーザとの間のDC送金トランザクションは、この以前のトランザクションへの参照を含む。
【0068】
それゆえに、第2のユーザの匿名性を取消すために、前記取消権限機関公開鍵pkREVAによって第2のユーザ識別公開鍵を暗号化することにより生成された第2のユーザエルガマル暗号文C2=ENCpkREVA(g^u2)が、取消権限機関により、前記以前のトランザクションからリトリーブされ、取得され、その取消権限機関は、その第2のユーザエルガマル暗号文C2を復号し、プライベートユーザ識別リストL2から第2のユーザのアイデンティティIDU2をリトリーブする。
【0069】
第2のユーザエルガマル暗号文C2=(g^u2)は、第1のユーザ自身により、または、ユーザの本当のアイデンティティを明らかにするように取消権限機関に要請する権利を付与された管理体もしくは法執行当局などの任意の他のエンティティにより、REVAに送出され得る。第2のユーザエルガマル暗号文C2は、台帳から第1のユーザによりリトリーブされ得る。
【0070】
取消権限機関がユーザの本当のアイデンティティをリトリーブした後、取消権限機関は、その取消権限機関が受信した証明書および/またはエルガマル暗号文に含まれる、前記取消権限機関公開鍵によって暗号化された前記ユーザのアイデンティティIDuiの暗号文ENC[pkREVA](IDUi)を、その取消権限機関が正しく復号したということ;ならびにそれゆえに、その取消権限機関が、要求されたアイデンティティを正しくリトリーブしたということを証明するための知識のゼロ知識証明πを、要求するエンティティに提供し得る。この証明は、取消権限機関を認証するものである。
【0071】
セキュリティを増大させるために、ユーザは、第1の実施形態の事例において、彼らの鍵、彼らのトークン、および引き続いて、彼らの識別公開鍵の証明書を定期的に新しくすることを必要とすることがある。そのようにするために、第1のユーザは、所定の数のDC送金トランザクションに彼が参加した後に、登録段階のステップを再度行い得る。すべての登録されたユーザが、前述のことをしなければならないことがある。
【0072】
第2の態様によれば、本発明は、また、少なくとも1つのコンピュータのメモリ内へと直接的にロード可能なコンピュータプログラム製品であって、前記製品がコンピュータ上で実行されるときに、本明細書において前に説明された方法のステップを行うためのソフトウェアコード命令を含む、コンピュータプログラム製品に関する。
【0073】
第3の態様によれば、本発明は、また、本明細書において前に説明された、複数の台帳ノードを含む分散型台帳を使用することによる、銀行口座をもつ複数のユーザ、および、銀行口座をもたない複数のユーザの間での、少なくとも第1のユーザと第2のユーザとの間の、匿名性取消を伴う、セキュアな、トレース可能な、および、プライバシー保護の、デジタル通貨送金のシステム100であって:本明細書において前に説明された方法のステップを行うように構成されるプロセッサおよびインターフェースを各々で含む、レジストレーション権限機関と、取消権限機関と、前記ノードに、前記レジストレーション権限機関に、前記取消権限機関に接続されるように構成されるユーザデバイスとを含む、システム100に関する。
【0074】
第4の態様によれば、本発明は、また、複数の台帳ノードを含む分散型台帳を使用することによる、銀行口座をもつ複数のユーザ、および、銀行口座をもたない複数のユーザの間での、少なくとも第1のユーザと第2のユーザとの間の、匿名性取消を伴う、セキュアな、トレース可能な、および、プライバシー保護の、デジタル通貨送金のシステム100であって:本明細書において前に説明された、および、図4上で例示される、第1の実施形態による方法のステップを行うように構成されるプロセッサおよびインターフェースを各々で含む、レジストレーション権限機関と、取消権限機関と、認証局と、前記ノードに、前記レジストレーション権限機関に、前記取消権限機関に、および前記認証局に接続されるように構成されるユーザデバイスとを含む、システム100に関する。
【0075】
これらの機能に加えて、そのようなコンピュータプログラムおよびシステムは、本明細書において前に説明された任意の他の機能を行うように構成され得る、または、それらの任意の他の機能を含み得る。
【0076】
結果として、そのような方法、デバイス、およびシステムは、銀行ユーザ、および、銀行口座をもたないユーザの両方が、高レベルの匿名性を伴うDCトランザクションを行うことを可能とし、一方で、トランザクションに参加するユーザの匿名性を取消すことを可能にする。
【図1】
【図2】
【図3】
【図4】
【図5】