電子投票システム
【課題】実現可能性の高い電子投票システムを提供する。
【解決手段】投票管理部は、暗号化投票内容データを受信した際に、名簿管理部に対して暗号化投票内容データの同一性を特定可能な照合値を生成して送信し、名簿管理部は、投票部から受信した照合値と投票管理部から受信した照合値とが一致し、かつ投票者特定データにより特定される投票者が名簿データから適格である場合に有効な投票と判定し、投票管理部に暗号化投票内容データの照合値を有効投票通知として送信するとともに、開票管理部に一時鍵と照合値とを送信し、投票管理部は、所定のタイミングで開票管理部に暗号化投票内容データと当該暗号化投票内容データの照合値とを送信し、開票管理部は、名簿管理部および投票管理部から受信したデータのうち、照合値の一致する一時鍵と暗号化投票内容データとから、一時鍵に基づいて暗号化投票内容データを復号して投票内容データを得る。
【解決手段】投票管理部は、暗号化投票内容データを受信した際に、名簿管理部に対して暗号化投票内容データの同一性を特定可能な照合値を生成して送信し、名簿管理部は、投票部から受信した照合値と投票管理部から受信した照合値とが一致し、かつ投票者特定データにより特定される投票者が名簿データから適格である場合に有効な投票と判定し、投票管理部に暗号化投票内容データの照合値を有効投票通知として送信するとともに、開票管理部に一時鍵と照合値とを送信し、投票管理部は、所定のタイミングで開票管理部に暗号化投票内容データと当該暗号化投票内容データの照合値とを送信し、開票管理部は、名簿管理部および投票管理部から受信したデータのうち、照合値の一致する一時鍵と暗号化投票内容データとから、一時鍵に基づいて暗号化投票内容データを復号して投票内容データを得る。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、選挙やアンケートに利用可能な電子投票システムの構築および制御の技術に関する。
【背景技術】
【0002】
PC(Personal Computer)、インターネット、携帯電話等の普及により、国民の多くが情報端末を容易に操作できる環境が整ってきており、電子的な選挙やアンケートの実施が現実味を帯びてきている。
【0003】
従来から各種の電子投票システムが提案されてきているが(例えば、特許文献1参照。)、情報処理システムとしての効率性に重きが置かれており、一体に構築された処理システムが投票者からの投票内容をネットワーク経由で受け付けて処理を行う形態となっているものが多い。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2009−193544号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
従来の紙ベースの投票から電子的な投票へと円滑な移行を図るためには、名簿管理局、投票所、開票所といった従来から存在する機能分担を重視し、システム上でも同機能に対応する役割を維持することが必要である。
【0006】
この場合に、電子投票システムに必要とされる要件としては、次のようなものが考えられる。
【0007】
(1)開票されるまで、誰も投票結果を知ることができない。
【0008】
(2)投票者は登録済で、1回のみの投票である。
【0009】
(3)誰が誰に投票したか分からない。
【0010】
(4)投票者は誰に投票したかの証拠を示すことができない。
【0011】
(5)強制的に介入する攻撃者に対しても、投票者は誰に投票したかの証拠を示すことができない。
【0012】
(6)投票者は自分の投票がカウントされていることを検証することができる。
【0013】
(7)最終的に公開された結果が全ての投票を正しくカウントしていることを検証することができる。
【0014】
ここで、(1)は開票所の独立性・安全性を担保するための要件である。(2)は投票者の適格性を担保するための要件である。(3)〜(5)は投票者の匿名性ないし票強要防止性を担保するための要件である。(6)および(7)は投票結果の検証性を担保するための要件である。
【0015】
従来、かかる要件を充分に満たした電子投票システムは知られておらず、その提供が待たれていた。
【0016】
本発明は上記の従来の問題点に鑑み提案されたものであり、その目的とするところは、名簿管理局、投票所、開票所といった従来から存在する機能分担を重視し、上述した要件の一部もしくは全部を満たすことのできる実現可能性の高い電子投票システムを提供することにある。
【課題を解決するための手段】
【0017】
上記の課題を解決するため、本発明にあっては、請求項1に記載されるように、互いにセキュリティの確保された通信を行う投票部、名簿管理部、投票管理部および開票管理部を備え、前記投票管理部は、前記投票部から一時鍵により暗号化された暗号化投票内容データを受信した際に、前記名簿管理部に対して前記暗号化投票内容データの同一性を特定可能な照合値を生成して送信し、前記名簿管理部は、前記投票部から前記一時鍵と前記暗号化投票内容データの照合値と投票者を特定する投票者特定データを受信し、前記投票部から受信した照合値と前記投票管理部から受信した照合値とが一致し、かつ前記投票者特定データにより特定される投票者が名簿データから適格である場合に有効な投票と判定し、前記投票管理部に前記暗号化投票内容データの照合値を有効投票通知として送信するとともに、前記開票管理部に前記一時鍵と前記照合値とを送信し、前記投票管理部は、所定のタイミングで前記開票管理部に前記暗号化投票内容データと当該暗号化投票内容データの照合値とを送信し、前記開票管理部は、前記名簿管理部および前記投票管理部から受信したデータのうち、前記照合値の一致する前記一時鍵と前記暗号化投票内容データとから、前記一時鍵に基づいて前記暗号化投票内容データを復号して投票内容データを得る電子投票システムを要旨としている。
【0018】
また、請求項2に記載されるように、請求項1に記載の電子投票システムにおいて、前記名簿管理部は、有効な投票と判定した場合に、投票者の分類情報を取得し、前記照合値と対応付けて前記開票管理部に送信するようにすることができる。
【0019】
また、請求項3に記載されるように、請求項1または2のいずれか一項に記載の電子投票システムにおいて、前記投票者特定データは、投票者の秘密鍵による電子署名であるものとすることができる。
【0020】
また、請求項4に記載されるように、請求項1乃至3のいずれか一項に記載の電子投票システムにおいて、前記名簿管理部は、前記投票者特定データにより特定される投票者が、名簿データに存在し、かつ、1回目の投票である場合に有効な投票と判定するようにすることができる。
【0021】
また、請求項5に記載されるように、請求項1乃至4のいずれか一項に記載の電子投票システムにおいて、前記名簿管理部は、有効な投票と判定した場合に、投票の行われた時刻と累積投票番号を発行して前記投票部に返送するようにすることができる。
【0022】
また、請求項6に記載されるように、請求項1乃至5のいずれか一項に記載の電子投票システムにおいて、前記名簿管理部は、前記一時鍵と、有効な投票と判定した場合に発行する投票の行われた時刻および累積投票番号とを前記照合値と対応付けて記録し、前記投票管理部は、前記暗号化投票内容データと照合値生成式を記録するようにすることができる。
【発明の効果】
【0023】
本発明の電子投票システムにあっては、名簿管理局、投票所、開票所といった従来から存在する機能分担を重視し、実現可能性の高い電子投票システムを提供することができる。
【図面の簡単な説明】
【0024】
【図1】本発明の一実施形態にかかるシステムの構成例を示す図である。
【図2】各装置のハードウェア構成例を示す図である。
【図3】実施形態の処理例を示すシーケンス図(その1)である。
【図4】実施形態の処理例を示すシーケンス図(その2)である。
【発明を実施するための形態】
【0025】
以下、本発明の好適な実施形態につき説明する。
【0026】
<構成>
図1は本発明の一実施形態にかかるシステムの構成例を示す図である。
【0027】
図1において、本システムは、投票者装置(投票部)Aと、投票所装置(投票管理部)Bと、名簿管理局装置(名簿管理部)Cと、開票所装置(開票管理部)Eと、鍵管理装置(鍵管理部)Fとが、互いにネットワーク等を介して接続されている。
【0028】
投票者装置Aは、投票者により操作されるPC、携帯電話等の情報端末装置である。投票者装置Aは、投票者が所有する場合と、選挙等の運営者側が投票所等に設置する場合とが考えられる。投票者が所有する情報端末装置である場合、本人でない者が不正に投票を行えないよう、生体認証や写真撮影を行う等の本人特定の処理を投票者装置A側において行うことが望ましい。
【0029】
処理に用いられるデータとして、投票者装置Aの秘密鍵SKaと、後述する照合値データを生成するためのハッシュ演算式等の照合値生成式とが使用されるとともに、後述する種々の一時データが存在する。秘密鍵SKaは、投票者の特定のための署名に用いられるとともに、通信の秘密化のために用いられている。投票者の特定や通信の秘密化は他の手法によって行ってもよい。
【0030】
投票所装置Bは、投票者装置Aからの投票を受け付けるサーバ装置、PC等の情報処理装置である。処理に用いられるデータとして、投票所装置Bの秘密鍵SKbと、照合値データを生成するためのハッシュ演算式等の照合値生成式と、共通鍵Zとが使用されるとともに、後述する種々の一時データが存在する。秘密鍵SKb、Zは通信の秘密化のために用いられるものであり、他の手法により秘密化が行われる場合は不要である。また、処理の記録として、後述する暗号化投票内容データ「[D]R」とが残される。照合値データ「([D]R)」は暗号化投票内容データ「[D]R」と照合値生成式とから導出することができる。照合値生成式は別途に管理されるか、投票所装置Bの記録として管理される。
【0031】
名簿管理局装置Cは、投票者の適格性を判断する名簿データを管理するサーバ装置、PC等の情報処理装置である。処理に用いられるデータとして、名簿データのほか、名簿管理局装置Cの秘密鍵SKcが使用されるとともに、後述する種々の一時データが存在する。秘密鍵SKcは通信の秘密化のために用いられるものであり、他の手法により秘密化が行われる場合は不要である。また、処理の記録として、後述するタイムスタンプTと投票番号#と一時鍵Rと照合値データ「([D]R)」とが残される。
【0032】
開票所装置Eは、開票処理を行うサーバ装置、PC等の情報処理装置である。処理に用いられるデータとして、開票所装置Eの秘密鍵SKeと共通鍵Zが使用されるとともに、後述する種々の一時データが存在する。秘密鍵SKe、Zは通信の秘密化のために用いられるものであり、他の手法により秘密化が行われる場合は不要である。また、処理の記録として、最終的に取得した投票内容D、分類情報I、照合値データ「([D]R)」が残される。
【0033】
鍵管理装置Fは、公開鍵方式により予め各装置に発行した公開鍵をアクセス可能に保持するサーバ装置、PC等の情報処理装置である。各装置の公開鍵PKa、PKb、PKc、PKeを有している。
【0034】
投票所装置B、名簿管理局装置Cおよび開票所装置Eは、地理的に離れた場所に設置されるものであってもよいし、同一の場所に設置されるものであってもよい。また、物理的に異なる装置で構成されてもよいし、一つの装置内にソフトウェア的に構築されるものであってもよい。
【0035】
図2は各装置のハードウェア構成例を示す図である。
【0036】
図2において、各装置100は、システムバス101に接続されたCPU102、ROM103、RAM104、NVRAM(Non-Volatile Random Access Memory)105、I/F(Interface)106と、I/F106に接続された、キーボード、マウス、モニタ、CD/DVD(Compact Disk/Digital Versatile Disk)ドライブ等のI/O(Input/Output Device)107、HDD(Hard Disk Drive)108、NIC(Network Interface Card)109等を備えている。Mはプログラムもしくはデータが格納されたCD/DVD等のメディア(記録媒体)である。
【0037】
<動作>
以下、上記の実施形態の動作について説明する。なお、以下の説明において、「SKx」は装置Xの秘密鍵(Secret Key)、「PKx」は装置Xの公開鍵(Public Key)、「(Y)」はデータYのダイジェスト値、「[Y]K」は暗号鍵KによるデータYの暗号化データを表すものとする。ダイジェスト値とは、ハッシュ演算等により元データから変換を行った値であり、元データが異なれば異なる値になって元データの同一性の判断に用いることができるとともに、ダイジェスト値から元データに復元することが非常に困難となる値である。
【0038】
図3および図4は上記の実施形態の処理例を示すシーケンス図である。
【0039】
図3において、投票者が投票者装置Aを操作して投票内容Dを入力すると(ステップS101)、投票者装置Aは一時鍵Rをランダムに生成し(ステップS102)、暗号化投票内容データ「[D]R」を生成し(ステップS103)、投票者装置Aから投票所装置Bに送信する(ステップS104)。
【0040】
次いで、投票者装置Aは、所定の照合値生成式に基づいて、暗号化投票内容データ「[D]R」からそのダイジェスト値である照合値データ「([D]R)」を生成する(ステップS105)。
【0041】
次いで、投票者装置Aは、既に生成してある一時鍵Rおよび照合値データ「([D]R)」に対して投票者の秘密鍵SKaにより電子署名を行い、これに公開鍵PKaを付加し、投票者署名付き鍵・照合値データ「[R,([D]R)]SKa,PKa」を生成する(ステップS106)。なお、投票者署名付き鍵・照合値データに公開鍵PKaを含めているのは、受信側で署名の確認を高速に行うためであり、他の手法により公開鍵を特定できる場合には不要である。また、投票者の秘密鍵SKaによる電子署名によらず、投票者を特定することができれば他の投票者特定データに代えてもよい。
【0042】
次いで、投票者装置Aは、投票者署名付き鍵・照合値データ「[R,([D]R)]SKa,PKa」に宛先となる名簿管理局装置Cの公開鍵PKcを適用した秘密通信データ「[[R,([D]R)]SKa,PKa]PKc」を生成し(ステップS107)、投票者装置Aから名簿管理局装置Cへ送信する(ステップS108)。なお、投票者装置Aと名簿管理局装置Cとが専用線で接続されている等により、通信の秘密が保たれる環境では、投票者署名付き鍵・照合値データ「[R,([D]R)]SKa,PKa」をそのまま送信することができる。また、公開鍵による暗号化に代えて他の秘密通信の手法を用いることもできる。
【0043】
一方、投票者装置Aから暗号化投票内容データ「[D]R」を受信した投票所装置Bは、所定の照合値生成式に基づいて、暗号化投票内容データ「[D]R」から照合値データ「([D]R)」を生成し(ステップS109)、自己の署名となる秘密鍵SKbと宛先となる名簿管理局装置Cの公開鍵PKcを適用した秘密通信データ「[[([D]R)]SKb]PKc」を生成し(ステップS110)、投票所装置Bから名簿管理局装置Cへ送信する(ステップS111)。なお、投票所装置Bと名簿管理局装置Cが一つの装置内に存在する場合や、別の装置に存在する場合であっても専用線で接続されている等により、通信の秘密が保たれ、通信の相手方の確認も行える環境では、照合値データ「([D]R)」をそのまま送信することができる。また、秘密鍵と公開鍵による暗号化に代えて他の秘密通信の手法を用いることもできる。
【0044】
投票者装置Aと投票所装置Bからデータを受信した名簿管理局装置Cは、両データに含まれている値の抽出を行う(ステップS112)。すなわち、投票者装置Aから受信した秘密通信データ「[[R,([D]R)]SKa,PKa]PKc」に自己の秘密鍵SKcを適用してデータ「[R,([D]R)]SKa,PKa」を復号し、更に投票者装置Aの公開鍵PKaを適用して一時鍵Rと照合値データ「([D]R)」を復号する。また、投票所装置Bから受信した秘密通信データ「[[([D]R)]SKb]PKc」に自己の秘密鍵SKcを適用してデータ「[([D]R)]SKb」を復号し、これに投票所装置Bの公開鍵PKbを適用して照合値データ「([D]R)」を復号する。
【0045】
次いで、名簿管理局装置Cは、投票者装置A経由のデータから取得した照合値データ「([D]R)」と投票所装置B経由のデータから取得した照合値データ「([D]R)」とを比較し、一致を確認する(ステップS113)。
【0046】
そして、名簿管理局装置Cは、一致が確認されたデータの復号に用いた公開鍵PKa等の投票者特定データに基づいて名簿データを参照し、その投票者特定データが名簿に存在し、かつ、1回目の投票であることを確認する(ステップS114)。1回目の投票であるか否かは、判定が終わった投票者について名簿データと関連付けて投票済を記録し、新たな投票については投票済となっていない場合に1回目の投票であると判定することができる。また、判定が終わった投票済の投票者の投票者特定データを名簿データとは別に記録しておき、新たな投票者の公開鍵がその記録に含まれない場合は1回目の投票であると判定することができる。
【0047】
そして、名簿に存在し1回目の投票であることが確認された場合、名簿管理局装置Cは、名簿データから性別、年齢、所属地域等の分類情報Iを取得し、それを含ませた照合値データ「([D]R),I」を内容とする有効票通知データを取りまとめ(ステップS115)、自己の署名となる秘密鍵SKcと宛先となる投票所装置Bの公開鍵PKbを適用した秘密通信データ「[[([D]R),I]SKc]PKb」を生成し(ステップS116)、名簿管理局装置Cから投票所装置Bへ送信する(ステップS117)。なお、名簿管理局装置Cと投票所装置Bが一つの装置内に存在する場合や、別の装置に存在する場合であっても専用線で接続されている等により、通信の秘密が保たれ、通信の相手方の確認も行える環境では、有効票通知データ「([D]R)」をそのまま送信することができる。また、秘密鍵と公開鍵による暗号化に代えて他の秘密通信の手法を用いることもできる。
【0048】
次いで、図4において、名簿管理局装置Cは、既に取得してあるデータに基づいて有効票鍵データ「R,([D]R)」を取りまとめ(ステップS118)、自己の署名となる秘密鍵SKcと宛先となる開票所装置Eの公開鍵PKeを適用した秘密通信データ「[[R,([D]R)]SKc]PKe」を生成し(ステップS119)、名簿管理局装置Cから開票所装置Eへ送信する(ステップS120)。なお、名簿管理局装置Cと開票所装置Eが一つの装置内に存在する場合や、別の装置に存在する場合であっても専用線で接続されている等により、通信の秘密が保たれ、通信の相手方の確認も行える環境では、有効票鍵データ「R,([D]R)」をそのまま送信することができる。また、秘密鍵と公開鍵による暗号化に代えて他の秘密通信の手法を用いることもできる。
【0049】
次いで、名簿管理局装置Cは、現在時刻(名簿管理局装置Cを構成するコンピュータのオペレーティングシステムが管理)からタイムスタンプTを発行し、累積投票番号である直前の投票番号#から新たな投票番号#を発行し、一時鍵Rおよび照合値データ「([D]R)」と対応付けて記録する(ステップS121)。なお、これらの記録は名簿データとは対応付けない。
【0050】
次いで、名簿管理局装置Cは、タイムスタンプTと投票番号#に、自己の署名となる秘密鍵SKcと宛先となる投票者装置A(投票者)の公開鍵PKaを適用した秘密通信データ「[[T,#]SKc]PKa」を生成し(ステップS122)、名簿管理局装置Cから投票者装置Aへ送信する(ステップS123)。なお、名簿管理局装置Cと投票者装置Aとが専用線で接続されている等により、通信の秘密が保たれる環境では、タイムスタンプTと投票番号#をそのまま送信することができる。また、秘密鍵と公開鍵による暗号化に代えて他の秘密通信の手法を用いることもできる。
【0051】
一方、投票所装置Bは、既に取得してあるデータに基づいて照合値付き投票内容暗号化データ「[D]R,([D]R),I」を取りまとめ、暗号化投票内容データ[D]Rを記録する(ステップS124)。なお、照合値付き投票内容暗号化データ「[D]R,([D]R),I」全体については後の処理のために一時蓄積する。
【0052】
また、開票所装置Eは、名簿管理局装置Cから受信した秘密通信データ「[[R,([D]R)]SKc]PKe」から一時鍵Rと照合値データ「([D]R)」を抽出し、一時蓄積する(ステップS125)。すなわち、秘密通信データ「[[R,([D]R)]SKc]PKe」に自己の秘密鍵SKeを適用してデータ「[R,([D]R)]SKc」を復号し、更に名簿管理局装置Cの公開鍵PKcを適用して有効票鍵データ「R,([D]R)」を復号し、これらを記録する。
【0053】
上記の動作を異なる投票者装置Aから投票が行われる毎に繰り返す。なお、同じ投票者装置Aから投票が行われた場合は、名簿データの確認(ステップS114)により1回目の投票ではないと判断されるため、無効な投票と扱われ、その後の処理は行われない。
【0054】
その後、投票所装置Bは、所定の時刻の到来あるいは運用者の指示により、投票締切を確認すると(ステップS126)、一時蓄積してあった全ての投票に対する照合値付き投票内容暗号化データ「[D]R,([D]R),I」から、自己の署名となる秘密鍵SKbと投票所装置Bと開票所装置Eの間で予め定められた共通暗号鍵Zを適用して秘密通信データ「[[D]R,[([D]R),I]SKb]Z」を生成し(ステップS127)、投票所装置Bから開票所装置Eへ送信する(ステップS128)。なお、投票所装置Bと開票所装置Eが一つの装置内に存在する場合や、別の装置に存在する場合であっても専用線で接続されている等により、通信の秘密が保たれ、通信の相手方の確認も行える環境では、照合値付き投票内容暗号化データ「[D]R,([D]R),I」をそのまま送信することができる。また、秘密鍵と共通暗号鍵による暗号化に代えて他の秘密通信の手法を用いることもできる。
【0055】
投票所装置Bから秘密通信データ「[[D]R,[([D]R),I]SKb]Z」を受信した開票所装置Eは、共通暗号鍵Zを適用して「[D]R,[([D]R),I]SKb」を復号し、更に名簿管理局装置Cの公開鍵PKcを適用して照合値付き投票内容暗号化データ「[D]R,([D]R),I」を復号し、一時蓄積する(ステップS129)。
【0056】
次いで、開票所装置Eは、名簿管理局装置Cからのルートで取得して一時蓄積していた有効票鍵データ「R,([D]R)」と、投票所装置Bからのルートで取得して一時蓄積していた照合値付き投票内容暗号化データ「[D]R,([D]R),I」との、それぞれに含まれる照合値データ「([D]R)」を比較し、それが一致する暗号化投票内容データ「[D]R」と一時鍵Rから投票内容Dを復号する(ステップS130)。そして、開票所装置Eは、復号した投票内容Dと分類情報Iと照合値データ「([D]R)」を記録する(ステップS131)。
【0057】
開票所装置Eは、全ての有効票鍵データ「R,([D]R)」と照合値付き投票内容暗号化データ「[D]R,([D]R),I」について処理を終了した場合、開票の処理を終了する。
【0058】
後の検証のために記録したデータ以外の一時的なデータは各装置において消去する。
【0059】
<変形例>
上述した実施形態では投票締切を確認した後に投票所装置Bから開票所装置Eへ全ての投票に対する照合値付き投票内容暗号化データ「[D]R,([D]R)」を送信している(図4のステップS128)。しかし、アンケートのように逐次開票することが投票を促すような場合にあっては、逐次に投票所装置Bから開票所装置Eへ照合値付き投票内容暗号化データ「[D]R,([D]R)」を送信するようにしてもよい。
【0060】
また、上述した実施形態では名簿管理局装置Cから投票所装置Bを経由して開票所装置Eに性別、年齢、所属地域等の分類情報Iを含めて送信しているが(図3のステップS117、図4のステップS128)、名簿管理局装置Cから開票所装置Eへ有効票鍵データを送信する際(図4のステップS120)に分類情報Iを含めて送信するようにしてもよい。これにより、投票者個人を特定することなく、分類情報を加えた集計が可能になる。
【0061】
また、上述した実施形態では電子投票による処理のみを説明したが、従前からの手書き投票と共存させてもよい。この場合、投票者は物理的な投票所において手書き投票を行う。手書き投票の結果は、電子投票による結果と統合される。
【0062】
<総括>
以上説明したように、本実施形態によれば、次のような利点がある。
【0063】
(1)名簿管理局装置Cから投票の都度に出力される有効票鍵データ「R,([D]R)」と、投票締切等の所定のタイミングで投票所装置Bから出力される照合値付き投票内容暗号化データ「[D]R,([D]R)」とが揃う前は、誰も投票内容Dを知ることはできず、開票開始後は開票所装置Eにおいてのみ投票内容Dを知ることができるので、開票所の独立性・安全性を担保することができる。
【0064】
(2)名簿管理局装置Cは、投票者が名簿データから適格者である場合に有効な投票と判定(具体的には、投票者が名簿データに存在し、かつ、1回目の投票である場合に有効な投票と判定)するので、投票者の適格性を担保することができる。
【0065】
(3)開票所装置Eにおける開票において、投票内容Dと投票者との対応付けはなく、他の部分においても両者を対応付けるデータは存在しないため、投票者の匿名性ないし票強要防止性を担保することができる。
【0066】
(4)名簿管理局装置Cの記録する一時鍵R、タイムスタンプT、投票番号#、照合値データ「([D]R)」と、投票所装置Bの記録する暗号化投票内容データ「[D]R」、照合値生成式とから、後に投票内容Dを求めることができるため、最終的に公開された結果が全ての投票を正しくカウントしていることの検証性を担保することができる。
【0067】
(5)投票者は、名簿管理局装置Cが有効票とみなしたときに発行する投票番号とそのタイムスタンプの受信をもって、自分の投票がカウントされていることを検証することができる。
【0068】
(6)誰も、投票内容が開票されるまでも開票された後においても、投票内容を知ることができず、投票番号とタイムスタンプ以上の記録を得られない投票者は、強制的に介入する攻撃者に対しても、投票内容の証拠を示すことができない。
【0069】
(7)総じて、名簿管理局、投票所、開票所といった従来から存在する機能分担を重視しつつ、電子投票システムに必要とされる要件を満たすことができ、実現可能性の高い電子投票システムを提供することができる。
【0070】
以上、本発明の好適な実施の形態により本発明を説明した。ここでは特定の具体例を示して本発明を説明したが、特許請求の範囲に定義された本発明の広範な趣旨および範囲から逸脱することなく、これら具体例に様々な修正および変更を加えることができることは明らかである。すなわち、具体例の詳細および添付の図面により本発明が限定されるものと解釈してはならない。
【符号の説明】
【0071】
A 投票者装置
B 投票所装置
C 名簿管理局装置
E 開票所装置
F 鍵管理装置
【技術分野】
【0001】
本発明は、選挙やアンケートに利用可能な電子投票システムの構築および制御の技術に関する。
【背景技術】
【0002】
PC(Personal Computer)、インターネット、携帯電話等の普及により、国民の多くが情報端末を容易に操作できる環境が整ってきており、電子的な選挙やアンケートの実施が現実味を帯びてきている。
【0003】
従来から各種の電子投票システムが提案されてきているが(例えば、特許文献1参照。)、情報処理システムとしての効率性に重きが置かれており、一体に構築された処理システムが投票者からの投票内容をネットワーク経由で受け付けて処理を行う形態となっているものが多い。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2009−193544号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
従来の紙ベースの投票から電子的な投票へと円滑な移行を図るためには、名簿管理局、投票所、開票所といった従来から存在する機能分担を重視し、システム上でも同機能に対応する役割を維持することが必要である。
【0006】
この場合に、電子投票システムに必要とされる要件としては、次のようなものが考えられる。
【0007】
(1)開票されるまで、誰も投票結果を知ることができない。
【0008】
(2)投票者は登録済で、1回のみの投票である。
【0009】
(3)誰が誰に投票したか分からない。
【0010】
(4)投票者は誰に投票したかの証拠を示すことができない。
【0011】
(5)強制的に介入する攻撃者に対しても、投票者は誰に投票したかの証拠を示すことができない。
【0012】
(6)投票者は自分の投票がカウントされていることを検証することができる。
【0013】
(7)最終的に公開された結果が全ての投票を正しくカウントしていることを検証することができる。
【0014】
ここで、(1)は開票所の独立性・安全性を担保するための要件である。(2)は投票者の適格性を担保するための要件である。(3)〜(5)は投票者の匿名性ないし票強要防止性を担保するための要件である。(6)および(7)は投票結果の検証性を担保するための要件である。
【0015】
従来、かかる要件を充分に満たした電子投票システムは知られておらず、その提供が待たれていた。
【0016】
本発明は上記の従来の問題点に鑑み提案されたものであり、その目的とするところは、名簿管理局、投票所、開票所といった従来から存在する機能分担を重視し、上述した要件の一部もしくは全部を満たすことのできる実現可能性の高い電子投票システムを提供することにある。
【課題を解決するための手段】
【0017】
上記の課題を解決するため、本発明にあっては、請求項1に記載されるように、互いにセキュリティの確保された通信を行う投票部、名簿管理部、投票管理部および開票管理部を備え、前記投票管理部は、前記投票部から一時鍵により暗号化された暗号化投票内容データを受信した際に、前記名簿管理部に対して前記暗号化投票内容データの同一性を特定可能な照合値を生成して送信し、前記名簿管理部は、前記投票部から前記一時鍵と前記暗号化投票内容データの照合値と投票者を特定する投票者特定データを受信し、前記投票部から受信した照合値と前記投票管理部から受信した照合値とが一致し、かつ前記投票者特定データにより特定される投票者が名簿データから適格である場合に有効な投票と判定し、前記投票管理部に前記暗号化投票内容データの照合値を有効投票通知として送信するとともに、前記開票管理部に前記一時鍵と前記照合値とを送信し、前記投票管理部は、所定のタイミングで前記開票管理部に前記暗号化投票内容データと当該暗号化投票内容データの照合値とを送信し、前記開票管理部は、前記名簿管理部および前記投票管理部から受信したデータのうち、前記照合値の一致する前記一時鍵と前記暗号化投票内容データとから、前記一時鍵に基づいて前記暗号化投票内容データを復号して投票内容データを得る電子投票システムを要旨としている。
【0018】
また、請求項2に記載されるように、請求項1に記載の電子投票システムにおいて、前記名簿管理部は、有効な投票と判定した場合に、投票者の分類情報を取得し、前記照合値と対応付けて前記開票管理部に送信するようにすることができる。
【0019】
また、請求項3に記載されるように、請求項1または2のいずれか一項に記載の電子投票システムにおいて、前記投票者特定データは、投票者の秘密鍵による電子署名であるものとすることができる。
【0020】
また、請求項4に記載されるように、請求項1乃至3のいずれか一項に記載の電子投票システムにおいて、前記名簿管理部は、前記投票者特定データにより特定される投票者が、名簿データに存在し、かつ、1回目の投票である場合に有効な投票と判定するようにすることができる。
【0021】
また、請求項5に記載されるように、請求項1乃至4のいずれか一項に記載の電子投票システムにおいて、前記名簿管理部は、有効な投票と判定した場合に、投票の行われた時刻と累積投票番号を発行して前記投票部に返送するようにすることができる。
【0022】
また、請求項6に記載されるように、請求項1乃至5のいずれか一項に記載の電子投票システムにおいて、前記名簿管理部は、前記一時鍵と、有効な投票と判定した場合に発行する投票の行われた時刻および累積投票番号とを前記照合値と対応付けて記録し、前記投票管理部は、前記暗号化投票内容データと照合値生成式を記録するようにすることができる。
【発明の効果】
【0023】
本発明の電子投票システムにあっては、名簿管理局、投票所、開票所といった従来から存在する機能分担を重視し、実現可能性の高い電子投票システムを提供することができる。
【図面の簡単な説明】
【0024】
【図1】本発明の一実施形態にかかるシステムの構成例を示す図である。
【図2】各装置のハードウェア構成例を示す図である。
【図3】実施形態の処理例を示すシーケンス図(その1)である。
【図4】実施形態の処理例を示すシーケンス図(その2)である。
【発明を実施するための形態】
【0025】
以下、本発明の好適な実施形態につき説明する。
【0026】
<構成>
図1は本発明の一実施形態にかかるシステムの構成例を示す図である。
【0027】
図1において、本システムは、投票者装置(投票部)Aと、投票所装置(投票管理部)Bと、名簿管理局装置(名簿管理部)Cと、開票所装置(開票管理部)Eと、鍵管理装置(鍵管理部)Fとが、互いにネットワーク等を介して接続されている。
【0028】
投票者装置Aは、投票者により操作されるPC、携帯電話等の情報端末装置である。投票者装置Aは、投票者が所有する場合と、選挙等の運営者側が投票所等に設置する場合とが考えられる。投票者が所有する情報端末装置である場合、本人でない者が不正に投票を行えないよう、生体認証や写真撮影を行う等の本人特定の処理を投票者装置A側において行うことが望ましい。
【0029】
処理に用いられるデータとして、投票者装置Aの秘密鍵SKaと、後述する照合値データを生成するためのハッシュ演算式等の照合値生成式とが使用されるとともに、後述する種々の一時データが存在する。秘密鍵SKaは、投票者の特定のための署名に用いられるとともに、通信の秘密化のために用いられている。投票者の特定や通信の秘密化は他の手法によって行ってもよい。
【0030】
投票所装置Bは、投票者装置Aからの投票を受け付けるサーバ装置、PC等の情報処理装置である。処理に用いられるデータとして、投票所装置Bの秘密鍵SKbと、照合値データを生成するためのハッシュ演算式等の照合値生成式と、共通鍵Zとが使用されるとともに、後述する種々の一時データが存在する。秘密鍵SKb、Zは通信の秘密化のために用いられるものであり、他の手法により秘密化が行われる場合は不要である。また、処理の記録として、後述する暗号化投票内容データ「[D]R」とが残される。照合値データ「([D]R)」は暗号化投票内容データ「[D]R」と照合値生成式とから導出することができる。照合値生成式は別途に管理されるか、投票所装置Bの記録として管理される。
【0031】
名簿管理局装置Cは、投票者の適格性を判断する名簿データを管理するサーバ装置、PC等の情報処理装置である。処理に用いられるデータとして、名簿データのほか、名簿管理局装置Cの秘密鍵SKcが使用されるとともに、後述する種々の一時データが存在する。秘密鍵SKcは通信の秘密化のために用いられるものであり、他の手法により秘密化が行われる場合は不要である。また、処理の記録として、後述するタイムスタンプTと投票番号#と一時鍵Rと照合値データ「([D]R)」とが残される。
【0032】
開票所装置Eは、開票処理を行うサーバ装置、PC等の情報処理装置である。処理に用いられるデータとして、開票所装置Eの秘密鍵SKeと共通鍵Zが使用されるとともに、後述する種々の一時データが存在する。秘密鍵SKe、Zは通信の秘密化のために用いられるものであり、他の手法により秘密化が行われる場合は不要である。また、処理の記録として、最終的に取得した投票内容D、分類情報I、照合値データ「([D]R)」が残される。
【0033】
鍵管理装置Fは、公開鍵方式により予め各装置に発行した公開鍵をアクセス可能に保持するサーバ装置、PC等の情報処理装置である。各装置の公開鍵PKa、PKb、PKc、PKeを有している。
【0034】
投票所装置B、名簿管理局装置Cおよび開票所装置Eは、地理的に離れた場所に設置されるものであってもよいし、同一の場所に設置されるものであってもよい。また、物理的に異なる装置で構成されてもよいし、一つの装置内にソフトウェア的に構築されるものであってもよい。
【0035】
図2は各装置のハードウェア構成例を示す図である。
【0036】
図2において、各装置100は、システムバス101に接続されたCPU102、ROM103、RAM104、NVRAM(Non-Volatile Random Access Memory)105、I/F(Interface)106と、I/F106に接続された、キーボード、マウス、モニタ、CD/DVD(Compact Disk/Digital Versatile Disk)ドライブ等のI/O(Input/Output Device)107、HDD(Hard Disk Drive)108、NIC(Network Interface Card)109等を備えている。Mはプログラムもしくはデータが格納されたCD/DVD等のメディア(記録媒体)である。
【0037】
<動作>
以下、上記の実施形態の動作について説明する。なお、以下の説明において、「SKx」は装置Xの秘密鍵(Secret Key)、「PKx」は装置Xの公開鍵(Public Key)、「(Y)」はデータYのダイジェスト値、「[Y]K」は暗号鍵KによるデータYの暗号化データを表すものとする。ダイジェスト値とは、ハッシュ演算等により元データから変換を行った値であり、元データが異なれば異なる値になって元データの同一性の判断に用いることができるとともに、ダイジェスト値から元データに復元することが非常に困難となる値である。
【0038】
図3および図4は上記の実施形態の処理例を示すシーケンス図である。
【0039】
図3において、投票者が投票者装置Aを操作して投票内容Dを入力すると(ステップS101)、投票者装置Aは一時鍵Rをランダムに生成し(ステップS102)、暗号化投票内容データ「[D]R」を生成し(ステップS103)、投票者装置Aから投票所装置Bに送信する(ステップS104)。
【0040】
次いで、投票者装置Aは、所定の照合値生成式に基づいて、暗号化投票内容データ「[D]R」からそのダイジェスト値である照合値データ「([D]R)」を生成する(ステップS105)。
【0041】
次いで、投票者装置Aは、既に生成してある一時鍵Rおよび照合値データ「([D]R)」に対して投票者の秘密鍵SKaにより電子署名を行い、これに公開鍵PKaを付加し、投票者署名付き鍵・照合値データ「[R,([D]R)]SKa,PKa」を生成する(ステップS106)。なお、投票者署名付き鍵・照合値データに公開鍵PKaを含めているのは、受信側で署名の確認を高速に行うためであり、他の手法により公開鍵を特定できる場合には不要である。また、投票者の秘密鍵SKaによる電子署名によらず、投票者を特定することができれば他の投票者特定データに代えてもよい。
【0042】
次いで、投票者装置Aは、投票者署名付き鍵・照合値データ「[R,([D]R)]SKa,PKa」に宛先となる名簿管理局装置Cの公開鍵PKcを適用した秘密通信データ「[[R,([D]R)]SKa,PKa]PKc」を生成し(ステップS107)、投票者装置Aから名簿管理局装置Cへ送信する(ステップS108)。なお、投票者装置Aと名簿管理局装置Cとが専用線で接続されている等により、通信の秘密が保たれる環境では、投票者署名付き鍵・照合値データ「[R,([D]R)]SKa,PKa」をそのまま送信することができる。また、公開鍵による暗号化に代えて他の秘密通信の手法を用いることもできる。
【0043】
一方、投票者装置Aから暗号化投票内容データ「[D]R」を受信した投票所装置Bは、所定の照合値生成式に基づいて、暗号化投票内容データ「[D]R」から照合値データ「([D]R)」を生成し(ステップS109)、自己の署名となる秘密鍵SKbと宛先となる名簿管理局装置Cの公開鍵PKcを適用した秘密通信データ「[[([D]R)]SKb]PKc」を生成し(ステップS110)、投票所装置Bから名簿管理局装置Cへ送信する(ステップS111)。なお、投票所装置Bと名簿管理局装置Cが一つの装置内に存在する場合や、別の装置に存在する場合であっても専用線で接続されている等により、通信の秘密が保たれ、通信の相手方の確認も行える環境では、照合値データ「([D]R)」をそのまま送信することができる。また、秘密鍵と公開鍵による暗号化に代えて他の秘密通信の手法を用いることもできる。
【0044】
投票者装置Aと投票所装置Bからデータを受信した名簿管理局装置Cは、両データに含まれている値の抽出を行う(ステップS112)。すなわち、投票者装置Aから受信した秘密通信データ「[[R,([D]R)]SKa,PKa]PKc」に自己の秘密鍵SKcを適用してデータ「[R,([D]R)]SKa,PKa」を復号し、更に投票者装置Aの公開鍵PKaを適用して一時鍵Rと照合値データ「([D]R)」を復号する。また、投票所装置Bから受信した秘密通信データ「[[([D]R)]SKb]PKc」に自己の秘密鍵SKcを適用してデータ「[([D]R)]SKb」を復号し、これに投票所装置Bの公開鍵PKbを適用して照合値データ「([D]R)」を復号する。
【0045】
次いで、名簿管理局装置Cは、投票者装置A経由のデータから取得した照合値データ「([D]R)」と投票所装置B経由のデータから取得した照合値データ「([D]R)」とを比較し、一致を確認する(ステップS113)。
【0046】
そして、名簿管理局装置Cは、一致が確認されたデータの復号に用いた公開鍵PKa等の投票者特定データに基づいて名簿データを参照し、その投票者特定データが名簿に存在し、かつ、1回目の投票であることを確認する(ステップS114)。1回目の投票であるか否かは、判定が終わった投票者について名簿データと関連付けて投票済を記録し、新たな投票については投票済となっていない場合に1回目の投票であると判定することができる。また、判定が終わった投票済の投票者の投票者特定データを名簿データとは別に記録しておき、新たな投票者の公開鍵がその記録に含まれない場合は1回目の投票であると判定することができる。
【0047】
そして、名簿に存在し1回目の投票であることが確認された場合、名簿管理局装置Cは、名簿データから性別、年齢、所属地域等の分類情報Iを取得し、それを含ませた照合値データ「([D]R),I」を内容とする有効票通知データを取りまとめ(ステップS115)、自己の署名となる秘密鍵SKcと宛先となる投票所装置Bの公開鍵PKbを適用した秘密通信データ「[[([D]R),I]SKc]PKb」を生成し(ステップS116)、名簿管理局装置Cから投票所装置Bへ送信する(ステップS117)。なお、名簿管理局装置Cと投票所装置Bが一つの装置内に存在する場合や、別の装置に存在する場合であっても専用線で接続されている等により、通信の秘密が保たれ、通信の相手方の確認も行える環境では、有効票通知データ「([D]R)」をそのまま送信することができる。また、秘密鍵と公開鍵による暗号化に代えて他の秘密通信の手法を用いることもできる。
【0048】
次いで、図4において、名簿管理局装置Cは、既に取得してあるデータに基づいて有効票鍵データ「R,([D]R)」を取りまとめ(ステップS118)、自己の署名となる秘密鍵SKcと宛先となる開票所装置Eの公開鍵PKeを適用した秘密通信データ「[[R,([D]R)]SKc]PKe」を生成し(ステップS119)、名簿管理局装置Cから開票所装置Eへ送信する(ステップS120)。なお、名簿管理局装置Cと開票所装置Eが一つの装置内に存在する場合や、別の装置に存在する場合であっても専用線で接続されている等により、通信の秘密が保たれ、通信の相手方の確認も行える環境では、有効票鍵データ「R,([D]R)」をそのまま送信することができる。また、秘密鍵と公開鍵による暗号化に代えて他の秘密通信の手法を用いることもできる。
【0049】
次いで、名簿管理局装置Cは、現在時刻(名簿管理局装置Cを構成するコンピュータのオペレーティングシステムが管理)からタイムスタンプTを発行し、累積投票番号である直前の投票番号#から新たな投票番号#を発行し、一時鍵Rおよび照合値データ「([D]R)」と対応付けて記録する(ステップS121)。なお、これらの記録は名簿データとは対応付けない。
【0050】
次いで、名簿管理局装置Cは、タイムスタンプTと投票番号#に、自己の署名となる秘密鍵SKcと宛先となる投票者装置A(投票者)の公開鍵PKaを適用した秘密通信データ「[[T,#]SKc]PKa」を生成し(ステップS122)、名簿管理局装置Cから投票者装置Aへ送信する(ステップS123)。なお、名簿管理局装置Cと投票者装置Aとが専用線で接続されている等により、通信の秘密が保たれる環境では、タイムスタンプTと投票番号#をそのまま送信することができる。また、秘密鍵と公開鍵による暗号化に代えて他の秘密通信の手法を用いることもできる。
【0051】
一方、投票所装置Bは、既に取得してあるデータに基づいて照合値付き投票内容暗号化データ「[D]R,([D]R),I」を取りまとめ、暗号化投票内容データ[D]Rを記録する(ステップS124)。なお、照合値付き投票内容暗号化データ「[D]R,([D]R),I」全体については後の処理のために一時蓄積する。
【0052】
また、開票所装置Eは、名簿管理局装置Cから受信した秘密通信データ「[[R,([D]R)]SKc]PKe」から一時鍵Rと照合値データ「([D]R)」を抽出し、一時蓄積する(ステップS125)。すなわち、秘密通信データ「[[R,([D]R)]SKc]PKe」に自己の秘密鍵SKeを適用してデータ「[R,([D]R)]SKc」を復号し、更に名簿管理局装置Cの公開鍵PKcを適用して有効票鍵データ「R,([D]R)」を復号し、これらを記録する。
【0053】
上記の動作を異なる投票者装置Aから投票が行われる毎に繰り返す。なお、同じ投票者装置Aから投票が行われた場合は、名簿データの確認(ステップS114)により1回目の投票ではないと判断されるため、無効な投票と扱われ、その後の処理は行われない。
【0054】
その後、投票所装置Bは、所定の時刻の到来あるいは運用者の指示により、投票締切を確認すると(ステップS126)、一時蓄積してあった全ての投票に対する照合値付き投票内容暗号化データ「[D]R,([D]R),I」から、自己の署名となる秘密鍵SKbと投票所装置Bと開票所装置Eの間で予め定められた共通暗号鍵Zを適用して秘密通信データ「[[D]R,[([D]R),I]SKb]Z」を生成し(ステップS127)、投票所装置Bから開票所装置Eへ送信する(ステップS128)。なお、投票所装置Bと開票所装置Eが一つの装置内に存在する場合や、別の装置に存在する場合であっても専用線で接続されている等により、通信の秘密が保たれ、通信の相手方の確認も行える環境では、照合値付き投票内容暗号化データ「[D]R,([D]R),I」をそのまま送信することができる。また、秘密鍵と共通暗号鍵による暗号化に代えて他の秘密通信の手法を用いることもできる。
【0055】
投票所装置Bから秘密通信データ「[[D]R,[([D]R),I]SKb]Z」を受信した開票所装置Eは、共通暗号鍵Zを適用して「[D]R,[([D]R),I]SKb」を復号し、更に名簿管理局装置Cの公開鍵PKcを適用して照合値付き投票内容暗号化データ「[D]R,([D]R),I」を復号し、一時蓄積する(ステップS129)。
【0056】
次いで、開票所装置Eは、名簿管理局装置Cからのルートで取得して一時蓄積していた有効票鍵データ「R,([D]R)」と、投票所装置Bからのルートで取得して一時蓄積していた照合値付き投票内容暗号化データ「[D]R,([D]R),I」との、それぞれに含まれる照合値データ「([D]R)」を比較し、それが一致する暗号化投票内容データ「[D]R」と一時鍵Rから投票内容Dを復号する(ステップS130)。そして、開票所装置Eは、復号した投票内容Dと分類情報Iと照合値データ「([D]R)」を記録する(ステップS131)。
【0057】
開票所装置Eは、全ての有効票鍵データ「R,([D]R)」と照合値付き投票内容暗号化データ「[D]R,([D]R),I」について処理を終了した場合、開票の処理を終了する。
【0058】
後の検証のために記録したデータ以外の一時的なデータは各装置において消去する。
【0059】
<変形例>
上述した実施形態では投票締切を確認した後に投票所装置Bから開票所装置Eへ全ての投票に対する照合値付き投票内容暗号化データ「[D]R,([D]R)」を送信している(図4のステップS128)。しかし、アンケートのように逐次開票することが投票を促すような場合にあっては、逐次に投票所装置Bから開票所装置Eへ照合値付き投票内容暗号化データ「[D]R,([D]R)」を送信するようにしてもよい。
【0060】
また、上述した実施形態では名簿管理局装置Cから投票所装置Bを経由して開票所装置Eに性別、年齢、所属地域等の分類情報Iを含めて送信しているが(図3のステップS117、図4のステップS128)、名簿管理局装置Cから開票所装置Eへ有効票鍵データを送信する際(図4のステップS120)に分類情報Iを含めて送信するようにしてもよい。これにより、投票者個人を特定することなく、分類情報を加えた集計が可能になる。
【0061】
また、上述した実施形態では電子投票による処理のみを説明したが、従前からの手書き投票と共存させてもよい。この場合、投票者は物理的な投票所において手書き投票を行う。手書き投票の結果は、電子投票による結果と統合される。
【0062】
<総括>
以上説明したように、本実施形態によれば、次のような利点がある。
【0063】
(1)名簿管理局装置Cから投票の都度に出力される有効票鍵データ「R,([D]R)」と、投票締切等の所定のタイミングで投票所装置Bから出力される照合値付き投票内容暗号化データ「[D]R,([D]R)」とが揃う前は、誰も投票内容Dを知ることはできず、開票開始後は開票所装置Eにおいてのみ投票内容Dを知ることができるので、開票所の独立性・安全性を担保することができる。
【0064】
(2)名簿管理局装置Cは、投票者が名簿データから適格者である場合に有効な投票と判定(具体的には、投票者が名簿データに存在し、かつ、1回目の投票である場合に有効な投票と判定)するので、投票者の適格性を担保することができる。
【0065】
(3)開票所装置Eにおける開票において、投票内容Dと投票者との対応付けはなく、他の部分においても両者を対応付けるデータは存在しないため、投票者の匿名性ないし票強要防止性を担保することができる。
【0066】
(4)名簿管理局装置Cの記録する一時鍵R、タイムスタンプT、投票番号#、照合値データ「([D]R)」と、投票所装置Bの記録する暗号化投票内容データ「[D]R」、照合値生成式とから、後に投票内容Dを求めることができるため、最終的に公開された結果が全ての投票を正しくカウントしていることの検証性を担保することができる。
【0067】
(5)投票者は、名簿管理局装置Cが有効票とみなしたときに発行する投票番号とそのタイムスタンプの受信をもって、自分の投票がカウントされていることを検証することができる。
【0068】
(6)誰も、投票内容が開票されるまでも開票された後においても、投票内容を知ることができず、投票番号とタイムスタンプ以上の記録を得られない投票者は、強制的に介入する攻撃者に対しても、投票内容の証拠を示すことができない。
【0069】
(7)総じて、名簿管理局、投票所、開票所といった従来から存在する機能分担を重視しつつ、電子投票システムに必要とされる要件を満たすことができ、実現可能性の高い電子投票システムを提供することができる。
【0070】
以上、本発明の好適な実施の形態により本発明を説明した。ここでは特定の具体例を示して本発明を説明したが、特許請求の範囲に定義された本発明の広範な趣旨および範囲から逸脱することなく、これら具体例に様々な修正および変更を加えることができることは明らかである。すなわち、具体例の詳細および添付の図面により本発明が限定されるものと解釈してはならない。
【符号の説明】
【0071】
A 投票者装置
B 投票所装置
C 名簿管理局装置
E 開票所装置
F 鍵管理装置
【特許請求の範囲】
【請求項1】
互いにセキュリティの確保された通信を行う投票部、名簿管理部、投票管理部および開票管理部を備え、
前記投票管理部は、前記投票部から一時鍵により暗号化された暗号化投票内容データを受信した際に、前記名簿管理部に対して前記暗号化投票内容データの同一性を特定可能な照合値を生成して送信し、
前記名簿管理部は、前記投票部から前記一時鍵と前記暗号化投票内容データの照合値と投票者を特定する投票者特定データを受信し、前記投票部から受信した照合値と前記投票管理部から受信した照合値とが一致し、かつ前記投票者特定データにより特定される投票者が名簿データから適格である場合に有効な投票と判定し、前記投票管理部に前記暗号化投票内容データの照合値を有効投票通知として送信するとともに、前記開票管理部に前記一時鍵と前記照合値とを送信し、
前記投票管理部は、所定のタイミングで前記開票管理部に前記暗号化投票内容データと当該暗号化投票内容データの照合値とを送信し、
前記開票管理部は、前記名簿管理部および前記投票管理部から受信したデータのうち、前記照合値の一致する前記一時鍵と前記暗号化投票内容データとから、前記一時鍵に基づいて前記暗号化投票内容データを復号して投票内容データを得る
ことを特徴とする電子投票システム。
【請求項2】
請求項1に記載の電子投票システムにおいて、
前記名簿管理部は、有効な投票と判定した場合に、投票者の分類情報を取得し、前記照合値と対応付けて前記開票管理部に送信する
ことを特徴とする電子投票システム。
【請求項3】
請求項1または2のいずれか一項に記載の電子投票システムにおいて、
前記投票者特定データは、投票者の秘密鍵による電子署名である
ことを特徴とする電子投票システム。
【請求項4】
請求項1乃至3のいずれか一項に記載の電子投票システムにおいて、
前記名簿管理部は、前記投票者特定データにより特定される投票者が、名簿データに存在し、かつ、1回目の投票である場合に有効な投票と判定する
ことを特徴とする電子投票システム。
【請求項5】
請求項1乃至4のいずれか一項に記載の電子投票システムにおいて、
前記名簿管理部は、有効な投票と判定した場合に、投票の行われた時刻と累積投票番号を発行して前記投票部に返送する
ことを特徴とする電子投票システム。
【請求項6】
請求項1乃至5のいずれか一項に記載の電子投票システムにおいて、
前記名簿管理部は、前記一時鍵と、有効な投票と判定した場合に発行する投票の行われた時刻および累積投票番号とを前記照合値と対応付けて記録し、
前記投票管理部は、前記暗号化投票内容データと照合値生成式を記録する
ことを特徴とする電子投票システム。
【請求項1】
互いにセキュリティの確保された通信を行う投票部、名簿管理部、投票管理部および開票管理部を備え、
前記投票管理部は、前記投票部から一時鍵により暗号化された暗号化投票内容データを受信した際に、前記名簿管理部に対して前記暗号化投票内容データの同一性を特定可能な照合値を生成して送信し、
前記名簿管理部は、前記投票部から前記一時鍵と前記暗号化投票内容データの照合値と投票者を特定する投票者特定データを受信し、前記投票部から受信した照合値と前記投票管理部から受信した照合値とが一致し、かつ前記投票者特定データにより特定される投票者が名簿データから適格である場合に有効な投票と判定し、前記投票管理部に前記暗号化投票内容データの照合値を有効投票通知として送信するとともに、前記開票管理部に前記一時鍵と前記照合値とを送信し、
前記投票管理部は、所定のタイミングで前記開票管理部に前記暗号化投票内容データと当該暗号化投票内容データの照合値とを送信し、
前記開票管理部は、前記名簿管理部および前記投票管理部から受信したデータのうち、前記照合値の一致する前記一時鍵と前記暗号化投票内容データとから、前記一時鍵に基づいて前記暗号化投票内容データを復号して投票内容データを得る
ことを特徴とする電子投票システム。
【請求項2】
請求項1に記載の電子投票システムにおいて、
前記名簿管理部は、有効な投票と判定した場合に、投票者の分類情報を取得し、前記照合値と対応付けて前記開票管理部に送信する
ことを特徴とする電子投票システム。
【請求項3】
請求項1または2のいずれか一項に記載の電子投票システムにおいて、
前記投票者特定データは、投票者の秘密鍵による電子署名である
ことを特徴とする電子投票システム。
【請求項4】
請求項1乃至3のいずれか一項に記載の電子投票システムにおいて、
前記名簿管理部は、前記投票者特定データにより特定される投票者が、名簿データに存在し、かつ、1回目の投票である場合に有効な投票と判定する
ことを特徴とする電子投票システム。
【請求項5】
請求項1乃至4のいずれか一項に記載の電子投票システムにおいて、
前記名簿管理部は、有効な投票と判定した場合に、投票の行われた時刻と累積投票番号を発行して前記投票部に返送する
ことを特徴とする電子投票システム。
【請求項6】
請求項1乃至5のいずれか一項に記載の電子投票システムにおいて、
前記名簿管理部は、前記一時鍵と、有効な投票と判定した場合に発行する投票の行われた時刻および累積投票番号とを前記照合値と対応付けて記録し、
前記投票管理部は、前記暗号化投票内容データと照合値生成式を記録する
ことを特徴とする電子投票システム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2011−133983(P2011−133983A)
【公開日】平成23年7月7日(2011.7.7)
【国際特許分類】
【出願番号】特願2009−291006(P2009−291006)
【出願日】平成21年12月22日(2009.12.22)
【出願人】(500049679)クオード株式会社 (2)
【Fターム(参考)】
【公開日】平成23年7月7日(2011.7.7)
【国際特許分類】
【出願日】平成21年12月22日(2009.12.22)
【出願人】(500049679)クオード株式会社 (2)
【Fターム(参考)】
[ Back to top ]