電子画像の真正性保証方法および電子データ公開システム
【課題】電子画像に署名を付与した後にその電子画像の一部に適切な改変を加えても、署名の検証が行えるようにする。
【解決手段】電子画像を複数の構成要素に分割し、その構成要素それぞれの特徴値を算出し、その特徴値を結合したものから署名を生成する。構成要素を削除する場合は、予め構成要素毎に用意した置換え用データに置換え、特徴値のみ保存する。検証時は、置き換えた構成要素は保存した特徴値を用い、他は改めて算出した特徴値を用い、検証用署名を生成し、電子画像に付与された署名と比較検証を行う。
【解決手段】電子画像を複数の構成要素に分割し、その構成要素それぞれの特徴値を算出し、その特徴値を結合したものから署名を生成する。構成要素を削除する場合は、予め構成要素毎に用意した置換え用データに置換え、特徴値のみ保存する。検証時は、置き換えた構成要素は保存した特徴値を用い、他は改めて算出した特徴値を用い、検証用署名を生成し、電子画像に付与された署名と比較検証を行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電子データの真正性保証技術に関する。
【背景技術】
【0002】
電子文書の真正性を保証する技術として、電子署名技術が知られている(例えば、非特許文献1参照)。従来の電子署名技術では、1ビットでも、電子文書のデータが改変された場合には、電子文書の改竄を検知することができる。これは、電子文書に対する不正な改竄を検知するには有効であるが、個人情報の保護を目的とした墨塗りなど、障害となりうる場合が指摘されている。また、これに対する解決方法として電子文書墨塗り技術が知られている(例えば、非特許文献2、3)。
【0003】
電子データに対し墨塗りを行う方法としては、PDFファイルに対する隠蔽処理装置が知られている(特許文献2)。特許文献2では、PDFファイルを一度Tiffファイルに変換し、画像データとして墨塗り処理を行った後に、再びPDFファイルに変換する。PDFファイルに対しては、例えば黒の矩形領域を用いて秘匿部分を覆うことによって、見かけ上の墨塗りを行うことが可能であるが、この場合には、墨塗りされるべき部分の情報はPDFファイル内から完全には削除されていないことになる。特許文献2では、一度Tiffファイルに変換することによって、墨塗り部分の情報をPDFファイルから完全に削除することができる。
【0004】
近年の電子画像技術の発展に伴い、画像も電子的に扱われる機会が増えている。電子画像に対する不正利用を防ぐ手段として、電子透かし技術を利用して著作権情報などを画像データに埋め込む方法が知られている。また、電子透かし技術を利用して、電子画像の改竄位置を検知する方法などが知られている(例えば、特許文献1)。
【0005】
【特許文献1】特開2004-48285号公報
【特許文献2】特開2002-207725号公報
【非特許文献1】Bruce Schneier著「Applied Cryptography: Protocols, Algorithms, and Source Code in C, Second Edition」 John Wiley & Sons、(October 18, 1995) Section 2.6 Digital Signature, Section 2.7 Digital Signature with Encryption (pp34-46) and Public Key Digital Signature Algorithms (pp483-502)
【非特許文献2】宮崎邦彦、岩村充、松本勉、佐々木良一、吉浦裕、手塚悟、今井秀樹著「開示条件を制御可能な電子文書墨塗り技術」 2004年暗号と情報セキュリティシンポジウム予稿集,p.515-520, 2004年1月27日.
【非特許文献3】Ron Steinfeld, Laurence Bull, Yuliang Zheng,「Content Extraction Signatures」, International Conference on Information Security and Cryptography ICISC 2001, volume 2288 of LNCS, pages 285-304, Berlin, 2001, Springer-Verlag.
【発明の開示】
【発明が解決しようとする課題】
【0006】
電子署名技術では、署名の付与された電子文書が1ビットでも改変された場合には、その電子文書が改竄されたものとして扱われる。これは、電子文書の真正性保証の観点からは、有用な性質である。しかしながら、例えば行政機関が情報公開に基づき電子文書を公開する場合には、プライバシー保護の観点から電子文書に含まれる個人情報などを削除した上で公開する必要がある。このような場合には、従来の電子署名技術では、電子文書の真正性を保証することができない。これは、従来の電子署名技術が、プライバシー保護のための電子文書からの個人情報の削除と不正な電子文書への改竄を判別できないためである。このような問題を解決する手段として電子文書墨塗り技術が知られている。
【0007】
近年の電子画像技術の発達に伴い、画像についても電子的に扱われることが多くなってきている。これらの電子画像の中には証拠写真など、電子画像の真正性が重要となるものも少なくない。電子文書墨塗り技術では、上記のように電子文書の一部を秘匿にした上で公開したい場合に、従来の電子署名では検証できなかった電子文書の真正性保証を行うことができる。しかしながら、電子画像のデータフォーマットとして広く用いられているJPEGなどのファイル形式では、元画像からJPEGファイルへの変換の過程で不可逆変換の処理を含むなどの理由から、電子文書のように従来の電子文書墨塗り技術をそのまま適用することはできない。また、電子画像では墨塗りに際し墨塗りすべき画像のサブブロックは、異なる電子画像、または、例えば黒などの単一の色で塗りつぶす必要があるが、従来の電子文書墨塗り技術では、これらの点については考慮されていない。
【0008】
上記のような、画像ファイルの一部を塗りつぶすことによって、墨塗り処理を施す方法としては、PDFファイルに対する隠蔽処理装置が知られている(特許文献2)。特許文献2では、PDFファイルをTiffファイルに変換し、変換されたTiffファイルに対して墨塗り処理を施し、再びPDFファイルへの変換を行うことによって、墨塗り処理の機能を実現している。PDFファイルに対しては、例えば黒の矩形画像を用い、墨塗り部分を覆うことによって見かけ上墨塗りを行うことが可能となるが、この場合にはPDFファイル内に墨塗りされた部分の情報が残ってしまう。特許文献2では、画像データに一度変換することによって、墨塗り部分の情報を完全に削除することができる。しかしながら、特許文献2では、元のPDFファイルに対する真正性保証については考慮されていない。また、一度Tiffファイルへ変換することによって、墨塗り後のPDFファイルと元のPDFファイルは、オブジェクトの構成など、構造的に異なったデータとなるため、特許文献2に電子文書墨塗り技術を適用することはできない。
【0009】
電子画像に対しては、不正使用の防止・著作権保護の観点から、作成者、日時などの情報を画像に埋め込む電子透かし技術が知られており、この技術を利用することによって、電子画像の改竄検知(または改竄位置検知)を行う方法が知られている。また、電子データの真正性保証の観点から、電子画像に直接、電子署名を施す技術、方法も知られている。しかしながら、従来の電子透かし技術では、透かし情報の取り出し手順は秘密に保たれていなければならず、任意の第三者による電子画像の検証はできない。さらに、電子透かし技術では、画像の一部を削除したとしても、透かし情報の検出が可能であるが、電子文書墨塗り技術のような開示に伴う個人情報の削除といった場合の電子画像の検証については考慮されておらず、画像の削除が正当な墨塗りなのか画像の改竄なのかを判別することはできない。また、電子署名をそのまま電子画像に適用した場合についても、署名付画像の公開に際して、その画像の一部を削除する必要がある場合には、電子署名による検証はできなくなる。
【課題を解決するための手段】
【0010】
本発明は、真正性の保証対象となる電子画像に対し適切な変更を許容する電子画像の真正性保証技術とその管理システムを提供する。
【0011】
本発明では、電子画像に対し電子文書墨塗り技術の適用を可能とし、電子画像を複数のブロックに分割し、各ブロックに対して、そのブロックを開示するか、非開示とするかなどを決定することができることを特徴とする。また、上記の非開示ブロックに対して、非開示用の代替画像で置き換えることを可能とする。
【0012】
さらに、上記様態において、非開示ブロックに対して使用される代替画像は、電子画像の真正性を保証する署名者、または、署名が付与された画像データに対して開示・非開示を決定する墨塗り者による署名の対象とすることによって、真正性保証の対象とすることができる。
【0013】
本発明では不可逆変換を伴う変換処理によって生成された電子画像に対し、その電子画像を適宜、変換途中の中間データに変換し、その中間データに対し電子文書墨塗り技術を適用することによって、電子画像に対する適切な変更を許容する真正性保証技術を可能とする。
【0014】
さらに、上記態様において、電子画像の変換処理が、画素単位、あるいは複数の画素からなるブロックに分割し、ブロック単位での可逆変換によって行われ、変換の対象となるブロックがその他のブロックから影響を受ける場合に、その変換処理の復号を行った中間データに対して、電子文書墨塗り技術を適用し、署名後にその変換処理を行うことによって、電子画像データへの電子文書墨塗り技術の適用を可能とすることを特徴とする。
【発明の効果】
【0015】
本発明を用いることによって、電子画像の部分的な墨塗りを行ったとしても、電子画像の検証が可能となる。例えば、紙文書からスキャンされた電子文書(電子画像)に含まれる個人情報を削除した上で、電子文書の真正性を保証可能な情報公開システムが提供される。
【発明を実施するための最良の形態】
【0016】
以下に、本発明の実施形態について説明する。
【0017】
図1は、本発明を情報公開システムに適用した複数の実施形態におけるシステムの構成の概略図である。図示したように、本システムは、ネットワーク101介して、オリジナル画像107に対し署名を行う署名者装置102、署名が付与されたオリジナル画像(以下、署名付オリジナル画像108と呼ぶ)を保管する署名付オリジナル画像保管装置103、署名付オリジナル画像108の開示に際し、秘匿にすべき部分の墨塗りを行う墨塗り者装置104、墨塗りされた開示用画像(以下、署名付開示画像109と呼ぶ)を保管する開示画像保管装置105、開示画像保管装置105に対し署名付開示画像109の閲覧を要求し、その検証を行う検証者装置106から構成されている。
【0018】
なお、図1では署名者装置102、署名付オリジナル画像保管装置103、墨塗り者装置104、開示画像保管装置105、検証者装置106が、すべて同一のネットワーク101上に接続されているが、これとは異なる接続形態であってもよい。例えば、署名者装置102、署名付オリジナル画像保管装置103、墨塗り者装置104がLAN(Local Area Network) に接続されており、ゲートウェイサーバを介して外部ネットワーク上に開示画像保管装置105が接続され、同外部ネットワーク上にある検証者装置106が開示画像保管装置105に対し、署名付開示画像109の閲覧を要求するといった構成でもよい。このような構成の場合、適切なアクセス制御等を行うことによって、署名付開示画像109以外の画像データが外部に漏洩することを防ぐことが可能である。
【0019】
また、図1では、署名者装置102、署名付オリジナル画像保管装置103、墨塗り者装置104、開示画像保管装置105、検証者装置106は、すべて異なる装置として表されているが、これらの装置は必ずしも異なる装置である必要はない。例えば、検証者装置106からの要求に応じて、墨塗り者装置104が適宜、署名付開示画像109を作成する場合には、開示画像保管装置105は墨塗り者装置104、あるいは検証者装置106と同一装置内に実装されていてもよい。また、図1では、外部媒体110を用いてオリジナル画像107を署名者装置102に取り込んでいるが、署名者装置102内で作成された画像に対して、署名付オリジナル画像108を作成してもよい。
【0020】
図2は、署名者装置102の構成の概略を示したものである。署名者装置102は、CPU201、CPU201の作業領域として機能するRAM202、HDなどの外部記憶装置203、スキャナやデジタルカメラ、FD、CD-ROMなどの外部媒体110からデータを取り込む読取装置204、ディスプレイなどの表示装置205、マウス、キーボードなどの入力装置206、ネットワークを介して他の装置と通信を行う通信装置207、上記の各構成要素間のデータ通信を司るインターフェイス208から構成される、一般的な構成を有する電子計算機216である。
【0021】
署名者装置102の外部記憶装置203には、オリジナル画像作成・読込PG(プログラム)212、署名生成PG211、画像保管要求PG210、オリジナル画像107、署名付オリジナル画像108、署名用秘密鍵209が格納される。ここで、オリジナル画像作成・読込PG212、署名生成PG211、画像保管要求PG210は、CPU201により、それぞれ、画像保管要求処理部213、署名生成処理部214、オリジナル画像作成・読込処理部215というプロセスとして具現化される。なお、署名用秘密鍵209は、セキュリティ上の観点から、特に重要な管理が求められる。そのため、たとえばICカードなど耐タンパ性を備えた装置内に格納しておくことが望ましい。
【0022】
署名付オリジナル画像保管装置103、墨塗り者装置104、開示画像保管装置105、検証者装置106も、図2と同様の構成を持つ。ただし、署名付オリジナル画像保管装置103では、署名付オリジナル画像108、署名付オリジナル画像受信PG、署名付オリジナル画像保管PG、署名付オリジナル画像送信PGが、墨塗り者装置104では、署名付オリジナル画像受信PG、開示画像作成PG、開示画像保管要求PG、署名付オリジナル画像108、署名付開示画像109が、開示画像保管装置105では、署名付開示画像109、開示画像受信PG、開示画像保管PG、開示画像送信PGが、検証者装置106では、開示画像受信PG、開示画像閲覧PG、開示画像検証PG、署名付開示画像109、検証用公開鍵がそれぞれ各装置内の外部記憶装置203に格納される。
【0023】
上記各PGはそれぞれが格納されている装置において、CPU201により、RAM202に読み出されて実行されることにより、以下に説明する処理を実現する。
【0024】
さらに各PGは、あらかじめ、各装置の外部記憶装置203内に格納されていても良いし、必要なときに着脱可能な記憶媒体108を介して、または通信媒体(デジタル信号または搬送波、またはそれらを媒介する通信線)を介して、他の装置から導入されてもよい。
【0025】
以下に、各装置間のデータのやり取りに伴う処理フローの概略を示す。
【0026】
図3は、署名者装置102においてオリジナル画像107に署名が付与されて、署名付オリジナル画像保管装置103に署名付オリジナル画像108が保管されるまでの処理フローの概略を表している。
301:開始
302:オリジナル画像107の作成・読込を行う。
303:オリジナル画像107に対し、署名用秘密鍵209を用い署名を生成する。
304:署名付オリジナル画像108を署名付オリジナル画像保管装置103に送信、署名付オリジナル画像108の登録を要求する。
305:受信した署名付オリジナル画像108を保管する。
306:終了
【0027】
図4は、署名付オリジナル画像保管装置103に保管された署名付オリジナル画像108が開示画像保管装置105において墨塗りされ署名付開示画像109として保管されるまでの処理フローの概略を示している。
401:開始
402:保管されている署名付オリジナル画像108から開示すべき画像を選択・送信を要求する。
403:送信要求のあった署名付オリジナル画像108を送信する。
404:送信された署名付オリジナル画像108に対し、開示すべきでない箇所を決定し、その開示すべきでない箇所に対し、墨塗りを行う。
405:墨塗りされた署名付開示画像109を開示画像保管装置105に送信、登録を要求する。
406:送信された署名付開示画像109を保管する。
407:終了
【0028】
ここで墨塗りとは、その行為によって、元々その領域にあった情報を知ることができなくすることをいう。画像データの場合には、例えば、墨塗りされた領域を黒色の画像データで置き換えることによって実現できる。なお、墨塗りデータとしては、必ずしも黒の画像データを使用する必要はなく、例えば、モザイク用の画像データなどを用いてもよい。
【0029】
図5は、署名付開示画像109が開示画像保管装置105から検証者装置106に送信され、検証者装置106で検証されるまでの処理フローの概略を表している。
501:開始
502:検証すべき署名付開示画像109の送信を要求する。
503:要求のあった署名付開示画像109を送信する。
504:受信した署名付開示画像109の閲覧・検証する。
505:終了
【0030】
第1の実施形態では、画像データの代表的なファイルフォーマットの一つであるJPEGに電子文書墨塗り技術を適用した場合について述べる。そこで、実現方法の説明のため、まずJPEGの説明を行う。なお、JPEGには、大別して可逆変換方式と非可逆変換方式の二つの方式があるが、ここでは非可逆変換方式について説明を行う。なおJPEGの詳細については、下記文献に詳しい。
・「ISO/IEC 10918-1:Information technology -- Digital compression and coding of continuous-tone still images: Requirements and guidelines」 1994.
・William B.Pennebaker, Joan L. Mitchell, 「JPEG STILL IMAGE DATA COMPRESSION STANDARD」 Van Nostrand Reinhold, 1992.
【0031】
図6(a)は、元画像をJPEGファイルへ変換するための処理手順の概略を示している。JPEGの基本的な変換手順は、以下である。なお、図6(a)において、六角形のステップ(例えば、ステップ607)は条件分岐を表す。なお、以下、本明細書中のフローチャート内の六角形のステップはすべて条件分岐を表すものとする。
601:開始
602:入力された画像を成分(例えばRGBなど)に分割する。
603:各成分を8×8ピクセル(以下、JPEG要素と呼ぶ)のブロックへ分割する。
604:すべてのJPEG要素に対しDCT(Discrete Cosine Transform、離散コサイン変換)を適用し、64個の周波数成分に分解する。
605:DCT後のデータに対し量子化を行う。
606:量子化後のデータに対し、エントロピー符号化を行う。ここで、64個に分解された周波数成分のうち直流成分については、直前のJPEG要素との差分に対してエントロピー符号化を行う。
607:ブロックがあればステップ604に、そうでなければステップ608に進む。
608:ヘッダー情報等を付与し、JPEGファイルを構成する。
609:終了
【0032】
上記処理において、エントロピー符号は符号器に入力されるシンボルの出現頻度に着目して、符号語長が短くなるように符号語を割り当てる符号化方式であり、JPEGではハフマン符号と算術符号の二種類が採用されている。ここで、ステップ606のエントロピー符号化への入力は、ステップ604のDCTによる周波数成分に変換した画像データをステップ605において量子化したものである。ステップ606のエントロピー符号化は、交流成分についてはJPEG要素ごとに処理されるため、画像の他のJPEG要素の影響は受けないが、直流成分については、前のJPEG要素の直流成分との差分に対して符号化が行われるため、他のJPEG要素の影響を受ける。
【0033】
図6(b)はJPEGファイルからの逆変換手順の概略を示している。JPEGファイルからの逆変換手順は以下である。
611:開始
612:各JPEG要素に対しエントロピー符号の復号を行う
613:復号されたデータに対し、逆量子化を行う。
614:逆量子化されたデータに対し、IDCT(Inverse Discrete Cosine Transform、逆コサイン変換)を行う。
615:JPEG要素があればステップ処理612に、そうでなければステップ615に進む。
616:各成分の構成を行う。
617:画像の構成を行う。
618:終了
【0034】
図7はJPEGのファイル構造の基本構成を示している。JPEGファイルはMCU705と呼ばれる複数のブロックから構成されている。 MCU705は、複数のJPEG要素から構成されており、図6(a)に示したステップ608では、MCU705を単位としてJPEGファイルを構成する。また、フレーム702、スキャン703内のヘッダー情報(706,707)には画像のサイズやエントロピー符号化や量子化に用いられるテーブルの定義など、JPEGファイルから元画像を復号するための情報がセグメントと呼ばれる単位で格納されている。なお、JPEGでは、APPセグメント、COMセグメントと呼ばれる二つのセグメントが定義されており、これらのセグメントを利用することによって、アプリケーション固有の情報をJPEGファイルに持たせることができる。
【0035】
以下に、JPEGに電子文書墨塗り技術を適用した場合における、署名者装置102、墨塗り者装置104、検証者装置106の詳細について示す。なお、以下ではオリジナル画像107がJPEGファイルである場合を例として説明する。スキャナや作成された電子画像が、JPEGファイルと異なる画像フォーマットである場合には、たとえば、一度JPEG画像へ変換を行い、それをオリジナル画像107として扱えばよい。
【0036】
署名者装置102では、オリジナル画像107を受け取り、オリジナル画像107を複数の墨塗りの最小単位となるサブブロック(以下、墨塗りブロックと呼ぶ)に分割する。ここで、JPEGの画像処理手順では、MCU705を構成する際に、いくつかの成分に対してデータの間引きが行われるため、墨塗りブロックの最小単位は、たとえばMCU705、またはそれらを複数組み合わせたものとすればよい。複数の墨塗りブロックに分割されたオリジナル画像107に対し、署名用秘密鍵209を用いてオリジナル画像107に署名を付与する。
【0037】
図8は、電子文書墨塗り技術をJPEGファイルに適用した場合の処理手順の概略をあらわしている。例えば前述したように、JPEGではエントロピー符号化において、DCT変換によって分解された各周波数成分のうち、直流成分に対しては、直前のJPEG要素の直流成分との差分をとることによって符号化を行う。そこで、電子文書墨塗り技術をJPEGに適用するために、入力されたJPEGファイルに対し、図6(b)に示した逆変換手順のうち、ステップ612のエントロピー符号の復号までを行った段階のデータ(以降、中間データと呼ぶ)に対して、電子文書墨塗り技術を適用する。処理手順は以下である。
801:開始
802:オリジナル画像(JPEGファイル)の読み込みを行う。
803:エントロピー符号の復号を行い、中間データに変換する。
804:中間データに変換されたオリジナル画像を墨塗りブロックに分割する。
805:各墨塗りブロックに対して、電子文書墨塗り技術用の署名(以下、墨塗り署名と呼ぶ)に必要な補助データを作成する。
806:補助データから署名エンジンへの入力(以下、署名対象データと呼ぶ)を計算する。
807:墨塗りブロックがまだあればステップ処理805へ、無ければステップ808に進む。
808:各ブロックから計算された署名対象データに対し、署名用秘密鍵を用いて署名値の計算を行う。
809:補助データ及び署名値から墨塗り署名を作成する。
810:終了
【0038】
ここで、署名エンジンは、例えばRSAやDSAなどの公開鍵暗号アルゴリズムを用いて、署名値の計算・検証を行う処理を指す。また、補助データとは、墨塗り署名を生成するために必要となるデータであり、たとえば、SUMI-4(非特許文献2参照)では、署名ブロックに付与される乱数に相当する。署名対象データは、署名エンジンへの入力となるデータであり、例えばSUMI-4では、乱数が付与された墨塗りブロックのハッシュ値に相当する。なお、SUMI-4の概略については、後に説明を行う。
【0039】
なお、墨塗り署名は、JPEGのセグメントであるAPPセグメント、COMセグメントに格納することも可能であるが、オリジナル画像とは別ファイルとして格納しておいてもよい。また、JPEGファイルはヘッダー部に画像のサイズに関する情報を持っており、JPEGファイルの終端はEOIと呼ばれる終端識別子で識別できるため、JPEGファイルのEOIより後ろに墨塗り署名を持たせることも可能である。
【0040】
ステップ804において画像データを墨塗りブロックに分割する場合、墨塗りブロックの領域指定は、たとえば、マウスなどの入力装置206を用いて矩形や円などの指定された領域分割を行えばよい。または、画像データを自動的に複数の矩形に分割する、或いは、何らかの画像認識装置を用いて、その画像認識装置が画像データから抽出した領域を利用して墨塗りブロックへの分割を行ってもよい。
【0041】
また、上記処理によって生成される墨塗り署名には、補助データ及び署名値が含まれる。ここで、墨塗り署名のヘッダー情報には、各補助データが指し示すオリジナル画像107の領域や墨塗りされた墨塗りブロックの情報などを記述する。
【0042】
墨塗り者装置104では、署名付オリジナル画像保管装置103に開示すべき署名付オリジナル画像108の送信を要求し、署名付オリジナル画像保管装置103より受信した署名付オリジナル画像108に対し、墨塗りを行う。ここで、墨塗りは墨塗りブロックを単位として行われる。図9は、墨塗り者装置104で行われる墨塗り処理フローの概略を示している。以下にその処理手順を示す。
901:開始
902:署名付オリジナル画像108から、オリジナル画像107(JPEGファイル)及び墨塗り署名の読み込みを行う。
903:オリジナル画像107のエントロピー符号の復号を行い、中間データに変換する。
904:墨塗り署名内のヘッダー情報を参照し、中間データに変換されたオリジナル画像107を墨塗りブロックに分割する。
905:墨塗りを行う墨塗りブロックを指定する。
906:ステップ905で指定された墨塗りブロックに対し、墨塗りを行う。
907:指定された墨塗りブロックに対応する墨塗り署名の更新を行う
908:墨塗りすべきブロックがあれば処理905へ、無ければステップ909に進む。
909:中間データのエントロピー符号化を行う。
910:終了
【0043】
従来の電子文書墨塗り技術では、主に電子文書に対する墨塗りを対象としており、墨塗りに際し、文書中のサブブロックそのものを削除することによって墨塗りをおこなっていた。しかしながら、電子画像を対象とした場合には、墨塗りを行う際に墨塗りの行われる墨塗りブロックを削除してしまうと、画像として正しく表示されなくなる。そこで、上記の墨塗り処理のステップ906では、墨塗りされる墨塗りブロックは、何らかの代替画像、或いは、単一の色(以下、墨塗り画像と呼ぶ)によって置き換えるようにする。このとき、以下の点に注意が必要である。前述のように、JPEGファイルへの変換処理では、各JPEG要素はDCTによって周波数成分に変換された後、量子化、エントロピー符号化が行われる。このエントロピー符号化において、JPEG要素の直流成分は直前のJPEG要素の直流成分との差分に対して符号化が行われるため、他のJPEG要素へ影響を与えることになる。そのため、墨塗り者装置104においては、対象となる墨塗りブロック内のJPEG要素だけでなく、他のJPEG要素についてもエントロピー符号の復号を行った後に、墨塗り画像で置き換えを行い、再度エントロピー符号化を行うことによって、JPEGファイルへの変換を行う必要がある。
【0044】
前述のように、JPEGファイルへの変換プロセスでは、エントロピー符号化に際して、直流成分のみは、直前のJPEG要素との差分に対して符号化が行われる。これは、データ圧縮の点からは有利であるが、あるブロックでビット誤りなどのエラーが生じた場合には、その後のブロックすべてにそのエラーが派生することになる。JPEGには、これを防ぐためのインタバルと呼ばれる構造をもっている。一つのJPEGファイルには複数のインタバルを持つことができ、インタバルは複数のMCU705から構成されている。上記の直流成分の差分をとることによるエラーの派生を防ぐため、各インタバルの最初のブロックの直流成分は、JPEG変換手順におけるステップ605の量子化によって得られた値をそのまま用いて、ステップ606のエントロピー符号化を行う。そのため、署名付オリジナル画像108であるJPEGファイルがインタバルを利用している場合には、必ずしも署名付オリジナル画像のすべてのJPEG要素を中間データに変換する必要はない。なお、墨塗り画像の扱いについては、後に説明を行う。
【0045】
検証者装置106では、開示画像保管装置105に閲覧すべき署名付開示画像109の送信を要求し、開示画像保管装置105より受信した署名付開示画像109の閲覧・検証を行う。図10は、検証者装置106において行われる、検証手順を示している。以下にその処理手順を示す。
1001:開始
1002:署名付開示画像109から、開示画像(JPEGファイル)、墨塗り署名の読み込みを行う。
1003:画像のエントロピー符号の復号を行う。
1004:墨塗り署名のヘッダー情報を参照し、開示画像を墨塗りブロックに分割する。
1005:墨塗り署名を参照し、墨塗りブロックの署名対象データの計算を行う。
1006:上記ステップ1005において、例えば墨塗りされた墨塗りブロックに元の画像データが存在する、または墨塗りされていない墨塗りブロックにあるべきデータが欠落しているなど、データ構造に矛盾がある場合には、ステップ1010に進む。そうでなければステップ1007へ進む。
1007:墨塗りブロックがまだある場合には、ステップ1005に、そうでなければステップ1008に進む。
1008:全ての墨塗りブロックに対して、ステップ1005において計算された署名対象データから、検証用公開鍵、署名内に記述された署名値を用いて、署名検証を行う。検証に成功した場合は次の処理に、失敗した場合には、ステップ1010に進む。
1009:検証成功を出力し、ステップ1011に進む。
1010:検証失敗を出力し、ステップ1011に進む。
1011:終了
【0046】
上記の署名者装置102、墨塗り者装置104、検証者装置106の各処理手順に従って、JPEGファイルへの電子文書墨塗り技術を適用した場合のデータ構造の具体例を以下に示す。なお、電子文書墨塗り技術には、5つの方式が提案されているが、ここではSUMI−4を適用した場合について説明を行う(非特許文献2参照)。また、以下では墨塗り画像の指定は、システムを通じて共通しているものとする。実際の処理手順を示す前に、SUMI−4の概要を、以下に示す。
【0047】
SUMI−4では、電子文書を複数のサブブロック(墨塗りブロック)に分割し、各墨塗りブロックに対し、乱数を付与する。乱数が付与された墨塗りブロックのハッシュ値を計算し、電子文書内のすべての墨塗りブロックから得られたハッシュ値を連結したものに対して、署名用秘密鍵209を用いて署名値の計算を行う。墨塗りを行う場合には、対象となる墨塗りブロックとそこに付与された乱数を削除し、代わりにその墨塗りブロックのハッシュ値を公開する。検証を行う場合には、墨塗りされていない墨塗りブロックについては、墨塗りブロック及び乱数からハッシュ値を計算し、墨塗りされている墨塗りブロックからは、公開されているハッシュ値を用いて、これらのハッシュ値を連結したものと検証用公開鍵を用いて、署名値の検証を行う。
【0048】
図11は、SUMI−4を適用した場合の署名者装置102における処理の概略とそのときのデータ構造の概略を模式的に示している。図11においてRN1、RN2、、、、はそれぞれオリジナル画像107の墨塗りブロックに付与される乱数データ(補助データ1101)である。また、HFは乱数及び、墨塗りブロック、墨塗り画像から署名対象データ1102を計算するために用いられるハッシュ関数1110である。
【0049】
オリジナル画像107(JPEGファイル)は、まずエントロピー符号を復号すること(ステップ803)によって、中間データ1108に変換される。中間データ1108は、墨塗りブロック1113毎にまとめられ(ステップ804)、各墨塗りブロック1113に対して乱数(補助データ1101)を付与した後(ステップ805)、ハッシュ値(署名対象データ1102)が計算される(ステップ806)。計算されたハッシュ値を連結し、墨塗りブロックの入れ替えによる改竄を防ぐために、連結されたハッシュ値に、墨塗りブロック1113の区切り情報(以下、墨塗り署名ヘッダーB1103と呼ぶ)を付与し、署名用秘密鍵209を用いて署名値1107を計算する(ステップ808)。ここで、墨塗り署名ヘッダーB1103には、例えば、JPEGファイルのnバイト目からmバイト目が一つの墨塗りブロックである、などの情報を記述する。
【0050】
上記手順によって計算された署名値1107、各墨塗りブロック1113に付与した乱数(補助データ1101)、墨塗り署名ヘッダーB1103、及び、どの墨塗りブロックが墨塗りされているかを示す墨塗り署名ヘッダーA1104を整形し、墨塗り署名を作成する(ステップ809)。ここで、墨塗り署名ヘッダーA1104には、n番目の墨塗りブロックが墨塗りされている、などの情報を記述する。
【0051】
図12は、上記処理によって生成された署名付オリジナル画像108に対して、墨塗り者装置104における墨塗り処理の手順の概略とそのときのデータ構造の概略を模式的に示している。墨塗り者装置104では、署名付オリジナル画像108のエントロピー符号の復号を行い(ステップ903)、中間データ1108を得る。得られた中間データ1108に対して、墨塗り署名1105のヘッダー情報1106を参照し、中間データを墨塗りブロック毎に分割する(ステップ904)。
【0052】
さらに、墨塗りブロックを指定し(ステップ905)、指定された墨塗りされる墨塗りブロック1206を墨塗り画像と置き換え(ステップ906)、さらに墨塗りされる墨塗りブロック1206に対応する補助データ1208(乱数)を、その墨塗りブロック1206のハッシュ値で置き換え、墨塗り署名1105の更新を行う(ステップ907)。その後、再びエントロピー符号化を行い、JPEGファイルの更新を行う(ステップ909)。上記処理において、前述のように、JPEGファイルの構造によっては、すべてのJPEG要素のエントロピー符号化を行う必要はない。
【0053】
図13は、上記処理によって生成された署名付開示画像109に対し、検証者装置106で行われる検証処理の手順の概略とそのときのデータ構造の概略を模式的に示している。検証者装置106では、開示画像のエントロピー符号化の復号を行い(ステップ1003)、中間データ1201を作成する。また、墨塗り署名1203のヘッダー1204を参照し、開示画像を墨塗りブロック1113に分割し(ステップ1004)、各墨塗りブロック1113に墨塗り署名1203内の対応する補助データ1205(乱数)を付与し、ハッシュ値を計算する(ステップ1005)。このとき、墨塗り署名ヘッダーA1210から、対象となる墨塗りブロックが墨塗りされている場合には、補助データ(乱数)は墨塗り者装置104において、ハッシュ値(墨塗りされた墨塗りブロックの補助データ1209)に置き換わっているので、これを署名対象データ1102とする。同時に墨塗りされている墨塗りブロック1207が、システム内で共通で用いられている墨塗り画像と一致するかどうかを検証し、一致しない場合には、検証失敗として処理を中止する。また、墨塗りされていない墨塗りブロック1113に対応する補助データ1101が無いなど、データに矛盾がある場合には、検証失敗を出力し処理を停止する(ステップ1006)。
【0054】
最後に、上記手順によって得られた署名対象データ1102と墨塗り署名1105内の署名値1107から、検証用公開鍵を用いて署名検証を行い、その結果を出力する(ステップ1008〜1010)。
【0055】
上記の実施例においては、墨塗り画像として、システム内で共通の画像を用いた例を説明したが、これとは異なっていてもよい。たとえば、システム内で共通の墨塗り画像で置き換える代わりに、墨塗り者装置104において任意の画像・色に置き換えることで解決してもよい。しかしながら、この場合には、検証者装置106において、墨塗りされた墨塗りブロック1113が誤認されるおそれがあるため、セキュリティの観点からは適切な墨塗り画像を指定できること、或いは、署名付開示画像109を閲覧する際にどの墨塗りブロック1113が墨塗りされたかを明示できることが望ましい。
【0056】
適切な墨塗り画像を指定するためのひとつの方法として、たとえば、以下のようにすることによって、墨塗り画像を任意に設定できるようにしてもよい。墨塗り画像を任意に設定する場合には、各墨塗りブロック1113の墨塗り画像の情報を墨塗り署名1105内に保存しておく。このとき、セキュリティの観点から、墨塗り画像も署名対象データ1102に含め、検証者装置106において墨塗りされた部分を明示すること、墨塗りされた墨塗りブロックが、正当な墨塗り画像で墨塗りされているかを確認することが望ましい。また、墨塗り画像を署名対象データ1102とした場合には、署名者装置102において墨塗り画像が設定されることになる。この墨塗り画像の指定を墨塗り者装置104において行う場合には、墨塗り者装置104において墨塗り画像及び署名付開示画像109に対して墨塗り者の署名用秘密鍵を用いて墨塗り署名を行うことによって、墨塗り者を特定できるようにすることもできる。なお、この場合において、たとえば、墨塗り画像から署名対象データを計算する際に、SUMI-4の手法を適用した場合、墨塗り者装置104において、オリジナル画像に対してではなく墨塗り画像に対して墨塗りを行うと、その墨塗り画像が適用される墨塗りブロックの墨塗りができなくなる。そのため、非特許文献2において提案されている手法と同様に追加的な墨塗りの禁止が実現できる。
【0057】
署名者装置102において、墨塗り署名1105を生成するためには、墨塗りブロック1113に乱数などの補助データ1101の付与が必要となる。また、墨塗りブロック1113がJPEGファイル内のどこに対応するかを何らかの方法で指定する必要がある。図14は、これらの情報を記述するための墨塗り署名1105のフォーマットの概略を示している。墨塗り署名1105は、署名値1107、墨塗り基本情報1401 墨塗りブロック補助データ1402から構成される。なお、墨塗り基本情報1401、墨塗りブロック補助データ1402に含まれる情報については後述する。以下では、墨塗り基本情報1401、墨塗りブロック補助データ1402をまとめて墨塗り用補助データ1403と呼ぶ。
【0058】
署名者装置102は、墨塗り署名に必要な補助データを作成する際(図8のステップ805)、墨塗り基本情報1401に、墨塗りされた墨塗りブロック1207の情報を表すヘッダーA1104、墨塗りブロックの領域情報を記述したヘッダーB 1103を記述する。このとき、墨塗り基本情報1401に、さらに、署名の対象となるオリジナル画像107のサイズやファイル名などの情報、或いは、墨塗り署名1105を生成するために必要となる情報(例えば、SUMI-4では各墨塗りブロックのハッシュ値を計算するために使用するハッシュ関数1110の指定、使用する署名エンジン1111の指定など)を記述する。この他、例えば、墨塗りブロックAのみに対する墨塗りは許可するが、墨塗りブロックBが墨塗りされた場合には墨塗りブロックAも同時に墨塗りを行うなどの墨塗りに関するポリシーを墨塗り基本情報1401に記述してもよい。なお、ヘッダーA1104、ヘッダーB1103などは、必ずしも墨塗り基本情報1401内に記述する必要はない。例えば、以下で述べるXMLを利用した実現例(図15参照)では、これらの情報は各墨塗りブロックごと(墨塗りブロック補助データ1402内)に記述されている。
【0059】
また、署名者装置102は、墨塗りブロック補助データ1402に、墨塗りブロックに付与される乱数などの補助データ1101、或いは、墨塗り後の更新された補助データ1205を記述する。この他、墨塗り基本情報1401に、墨塗りブロックの状態(開示、非開示)に関する情報(ヘッダーA1104)、墨塗りブロックの領域情報(ヘッダーB1103)を記述しなかった場合には、これらの情報も墨塗りブロック補助データ1402に記述する。例えば、すでに述べたように、以下に示すXMLを利用した実現例(図15)では、墨塗りブロック補助データ1402内にヘッダーA1104、ヘッダーB1103の情報が記述されている。また、前述の墨塗りに関するポリシーを、墨塗りブロック補助データ1402に含めて記述してもよい。例えば、墨塗りブロックAを削除する場合には、墨塗りブロックBも同時に墨塗りを行う、といった指定をする場合は、墨塗りブロックAに対応する墨塗りブロック補助データ1402において、墨塗りブロックBに対応する墨塗りブロック補助データ1402への識別情報を持たせておく。
【0060】
これは、図15に示すXMLを利用した場合、以下のようにすることによって実現できる。署名者装置102は、まず、関連情報を記述するための要素(例えば、RelatedSanitizingBlock要素とする)を、墨塗りブロック補助データ1402を記述するSanitizingBlock要素1505内に新たに追加する。そして、墨塗りブロックAに対応する墨塗りブロック補助データ1402を記述するSanitizingBlock要素1505内において、RelatedSanitizingBlock要素に墨塗りブロックBへのパスを、XPathなどを利用して指定する。
【0061】
RelatedSanitizingBlock要素がある場合、墨塗り者装置104は、墨塗りブロックAの墨塗りを行う場合には、RelatedSanitizingBlock要素内の情報を参照し、この情報をもとにして墨塗りブロックBに対しても墨塗りを行う。また、検証者装置106は、検証を行う際に、墨塗りブロックAが墨塗りされている場合には、墨塗りブロックBも墨塗りされているかどうかの確認を行う。なお、図15に示すXMLを利用した墨塗り署名1105の実現例の詳細については、後述する。
【0062】
署名者装置102内で、墨塗り署名1105の生成を行う際には、例えば、SUMI-4などの使用する電子文書墨塗り技術の種類、その中で使用するハッシュ関数1110、署名の対象となるオリジナル画像107、墨塗りブロック1113の分割情報から、図8の処理に従って、墨塗り基本情報1401、各墨塗りブロックへの補助データ1101、署名値1107を作成し、その結果を用いて墨塗り署名1105を構成する。ここで、墨塗りブロック1113への分割情報は、前述のようにマウスなどの入力装置206によって指定された矩形や円などの情報を利用することができる。墨塗り者装置104、検証者装置106においては、上記の情報をもとに各墨塗りブロックのハッシュ値の計算等を行い、墨塗り、検証を行う。以下に、XMLを用いた場合の墨塗り署名1105の実現方法について示す。
【0063】
図15は、図14に示した墨塗り署名1105のフォーマットを、XMLを利用して構成した場合の実現方法の一例である。本フォーマットでは、墨塗り用補助データ1402を、SignedJpeg要素1501によって記述する。SignedJpeg要素1501はJpegInfo要素1502、SanitizationInfo要素1503、SanitizingBlocks要素1504の3つの要素から構成される。以下、本フォーマットの概略とこれを利用した、墨塗り署名1105の生成、検証、及び、墨塗り処理について示す。まず、本フォーマットの概略を説明する。
【0064】
JpegInfo要素1502、SanitizationInfo要素1503は、図14に示した墨塗り基本情報1401に相当する。これらの要素には、署名の対象となるオリジナル画像107のサイズやファイル名などの情報、或いは、墨塗り署名1105を生成するために必要となる情報(例えば、SUMI-4では墨塗りブロック1113のハッシュ値を計算するために使用するハッシュ関数1110の指定、使用する署名エンジン1111の指定など)が記述される。また、SanitizingBlocks要素1504は、JPEGファイル内のすべての墨塗りブロック1113墨塗りブロック補助データ1402に相当するSanitizingBlock要素1505から構成される。
【0065】
SanitizingBlock要素1505では、対象となる墨塗りブロック1113の領域をRegions要素1506に、付与される乱数をRandomValue要素1508に、また、墨塗りブロックの状態(開示、非開示)をType属性に、それぞれ記述する。Regions要素1506は、Region要素1507から構成されており、Region要素1507の属性である“x”,“y”,“width”,“height”によって、墨塗りブロックを矩形領域として表現する。
【0066】
なお、図15では、墨塗りブロック1113としてRegion要素1507を一つ指定することによって、JPEGファイル内の矩形領域を一つ指定しているが、Region要素1507を複数使用することによって、複数の矩形領域を一つの墨塗りブロックとして設定してもよい。また、上記のような矩形による表記の他、例えば中心点と半径を指定することによって、円領域の墨塗りブロックを指定してもよい。
【0067】
ただし、JPEGファイルに対して領域単位での墨塗りを行う場合には、墨塗りがMCU を単位として行われることに注意する必要がある。例えば、上記のように中心点と半径によって墨塗りブロックとなる円領域を指定する場合には、その円領域に完全に含まれるMCUのみを墨塗りブロックとする、などの規約を定めておき、与えられた情報から墨塗りブロックが一意に決定できるようにする必要がある。後述するような、他のフォーマットへの適用やプログレッシブ符号化されたJPEGファイルの周波数成分に対して墨塗りを行う場合には、MCU単位で墨塗りブロック1113を管理しなくてもよい。 なお、オリジナル画像全体を署名対象とする場合は、JPEGファイルの画像領域全体が墨塗りブロック1113に設定されるようにSanitizingBlock要素1505を複数用意すればよい。
【0068】
上述のように、図15に示したフォーマットでは、墨塗りブロック内のJPEGファイルの領域指定(図11内ヘッダーB 1103)や墨塗りされたブロックの情報(図11内ヘッダーA 1104)は、墨塗りブロック1113を表すSanitizingBlock要素1505の子であるRegions要素1506とSanitzingBlock要素1505のType属性として、それぞれ、各墨塗りブロックごとに管理される。なお、使用する電子文書墨塗り技術によっては、SanitizingBlock要素1505に図15に記述した以外の子要素が追加される場合がある。例えば、非特許文献2に開示されている追加墨塗りの許可・不許可を制御可能な墨塗り方式では、RandomValue要素1508の他に、正当な墨データを表すためのLegitimageMaskValue要素などが追加される。
【0069】
次に、図15に示したXMLを利用した場合のオリジナル画像107に対する墨塗り署名1105の生成、墨塗り、署名付開示画像109の検証について述べる。なお、以下ではSUMI-4を利用した場合について述べるが、他の電子文書墨塗り技術を利用した場合も下記の処理と同様に実現可能である。
【0070】
墨塗り署名1105の生成に当って、署名者装置102は、まず、署名対象となるオリジナル画像107の画像サイズなどをJpegInfo要素1502内に、また、SUMI-4などの使用する電子文書墨塗り技術の種類や、その中で使用されるハッシュ関数1110などの情報をSanitizationInfo要素1503に記述する。その後、署名の対象となるオリジナル画像107のエントロピー符号の復号を行い(ステップ803)、画像を墨塗りブロック1113に分割する(ステップ804)。
【0071】
ここで、墨塗りブロック1113への分割は、前述したように、マウスなどの入力装置206を用いて与えられた情報を利用すればよい。また、予めオリジナル画像107を複数の墨塗りブロックに分割した情報を、例えば、XMLファイルを利用して署名者装置102に与え、これを利用して墨塗りブロック1113への分割を行ってもよい。このような、XMLファイルとしては、例えば、図15に示した墨塗り用補助データ1402からRandomValue要素1508など墨塗り署名1105生成時に付与される要素を削除したものなどを利用することができる。
【0072】
次に、署名者装置102は、墨塗りブロック1113に対して乱数の付与を行う(ステップ805)。そして、署名者装置102は、図15に示した墨塗り用補助データ1402に対して、生成した乱数をBase64方式で符号化した文字列をRandomValue要素1508の値として記述する。また、同時に生成した乱数と対応する墨塗りブロック1113の中間データ1108を読み込み、ハッシュ値の計算を行う(ステップ806)。署名者装置102は、上記の処理を、すべての墨塗りブロック1113に対して繰り返し、署名対象データ1102の算出を行い、署名用秘密鍵209を用いて署名値1107の計算を行う(ステップ808)。
【0073】
署名者装置102は、SignedJpeg要素の外に、例えばSignatureValue要素を新たに生成し、計算された署名値1107を、Base64方式で符号化して得られた文字列をそこに記述する。なお、後述するXML Signatureを利用した署名生成では、署名値1107は、XML SignatureのSignature要素1601内のSignatureValue要素にBase64符号化された文字列として記述する(図16参照)。なお、乱数などの補助データ1101の生成は、必ずしもハッシュ値の計算の直前に行う必要はない。例えば、XMLデータを利用して墨塗りブロック1113の分割情報が与えられた場合に、XMLデータの情報を元に補助データ1101の生成(ステップ805)を前処理として行ってもよい。
【0074】
墨塗り処理では、墨塗り者装置104は、対象となるオリジナル画像107のエントロピー符号の復号を行い(ステップ903)、与えられた墨塗りを行う墨塗りブロック1206に対して墨塗りを行う(ステップ904〜909)。このとき、図12に示したとおり、墨塗りされる墨塗りブロック1206の乱数は、対応するハッシュ値によって置き換えられる(ステップ906、907)。図15に示したXMLデータを用いる場合、墨塗り者装置104は、RandomValue要素1508の値を、対応する墨塗りブロック1206のハッシュ値をBase64方式で符号化した文字列に置き換えることによって実現することができる。また、RandomValue要素1508を削除し、新たにハッシュ値を表すHashValue要素を生成し、生成したHashValue要素に墨塗りブロック1206のハッシュ値のBase64方式で符号化したデータを記述してもよい。
【0075】
墨塗り者装置104は、墨塗りされた墨塗りブロック1207に対応するSanitizingBlock要素1505のType属性の値を開示から非開示へ書き換え、更新された墨塗り署名1203への変更を行う。なお、墨塗りされる墨塗りブロック1206の指定は、マウスなどの入力装置206によって与えられた情報を利用することができる。また、例えば、墨塗りする墨塗りブロック1206が常に同じである等の場合には、予めXMLなどによって、墨塗りされる墨塗りブロック1206のリストを作成しておき、これを利用して墨塗りされる墨塗りブロック1206を指定してもよい。
【0076】
墨塗り署名の検証の処理では、検証者装置106は、対象となるJPEGファイルのエントロピー符号の復号を行う(ステップ1003)。検証者装置106は、XMLデータのSanitizingBlock要素1505のRegions要素1506の情報を参照することによって、署名付開示画像109を墨塗りブロックに分割する(ステップ1004)。Type属性の値に従って、墨塗りブロック1113が墨塗りされているか否かの確認を行い、その情報に従って署名対象データ1102の計算を行う(ステップ1005)。そしてSanitizingBlock要素1505内に必要な要素が存在するかなどの検証を行う(ステップ1006)。検証者装置106は、すべての墨塗りブロック1113に対して、上記の処理を繰り返し、計算された署名対象データ1102を用いて、検証用公開鍵1301による署名値1107の検証を行う(ステップ1008)。
【0077】
前述のように、図15に示すフォーマットを利用することによって、墨塗り署名の生成、検証が可能である。以下では、一例として、これらの署名生成、検証を、XML Signatureを利用して行う方法について述べる。XML Signatureは、W3CによるXMLを利用した電子署名の標準規格である。XML Signatureについては、以下に詳しい。
・W3C Recommendation,「XML-Signature Syntax and Processing」, 2002
図16は、XML Signatureを利用した場合の墨塗り署名1105の生成、検証処理の一例を示している。XML Signatureの署名生成、検証処理は、ともに二つの処理から構成されている。以下では、XML Signatureを利用した墨塗り署名1105の署名生成、検証処理について述べる。なお、以下の署名生成は、署名者装置102で行われ、検証処理は、検証者装置106で行われる。
【0078】
XML Signatureの署名生成は、Reference要素を生成するReference生成とSignature要素を生成するSignature生成との二つの処理から構成される。Reference生成では、署名者装置102は、署名対象をURI(Uniform Resource Identifier)などを用いて指定し、指定された署名対象データのハッシュ値を計算し、それぞれReference要素として記述することによりReference要素の生成を行う。また、Signature生成では、署名者装置102は、生成されたReference要素と署名用秘密鍵209とを用いて署名値の計算を行い、SignatureValue要素1607に記述し、SignedInfo要素、SignatureValue要素からSignature要素1602を生成する。この他Signature要素1602には、KeyIngo要素やObject要素を含めることができ、これらによって、検証用公開鍵1301など様々な情報をSignature要素1607に含めることができる。なお、必要があれば、Reference生成においてTransform要素を指定することによって、各署名対象に対して、正規化などの変換を行うことができる。
【0079】
XML Signatureの検証処理では、検証者装置106は、各Reference要素の記述に従い、ハッシュ値の計算を行い、DigestValue要素の値との比較を行う(Reference検証)。さらにSignedInfo要素に対してSignatureValue要素を用いて検証用公開鍵1301による検証を行う(Signature検証)。ここで、Reference検証、Signature検証のいずれかに失敗した場合には、検証者装置106は、検証失敗と判断する。
【0080】
図16を用いて、上述のXML Signatureの署名生成、検証処理手順に着目し、Transform要素1606に墨塗り署名用の新たな変換処理を定義することによって、墨塗り署名1105の生成、検証を行う様子を説明する。
【0081】
ここでは、墨塗り署名1105の生成、検証のための変換をReference要素1604内でTransform要素1606として記述する。ここで、Transform要素1606の入力は、図15に示したXMLデータとなるようにする。これには、例えば、Reference要素1604のUri属性にSignedJpeg要素1507への参照情報(URI)を記述し、そのReference要素1604内の最初のTransform要素1606に墨塗り署名1105の生成、検証のための変換を指定すればよい。署名者装置102は、このXMLデータを参照し、署名の対象となるオリジナル画像107に対して署名対象データ1102の計算を行う(ステップ801からステップ807)。また、検証者装置106は、このXMLデータを参照し、署名付開示画像109に対して署名対象データ1102の計算を行う(ステップ1001からステップ1007)。署名値1107の計算(ステップ808、809)、或いは、署名対象データ1102と署名値1107の検証(ステップ1008、ステップ1009、または、ステップ1010)は、XML SignatureのSignature生成、検証において、それぞれ行われる。
【0082】
なお、XML Signatureを利用する場合には、署名対象となるJPEGファイルの参照方法を定めておく必要がある。参照方法としては、例えば、SignedJpeg要素1501のJpegInfo要素1502に署名対象となるJPEGファイルのURIなどの参照情報を記述し、この情報をもとに署名・検証対象となるJPEGファイルを特定する方法や、墨塗り署名1105は対象となるJPEGファイル内のAPPセグメントに記述することと定めておく方法などが挙げられる。
【0083】
なお、XML Sigantureでは、複数のReference要素1604をSignature要素内に指定することができ、これによって複数の署名対象要素に対して一つの署名を付与することができる。これを利用して、複数のReference要素1604を用意し、各Reference要素1604でSignedJpeg要素1501を指定することによって、複数のJPEGファイルに対して、一つの墨塗り署名を付与することもできる。
【0084】
本実施形態では、図14の墨塗り署名フォーマットの実現方法の一例としてXMLを利用したが、実現方法は、XMLに限られない。例えば、ASN.1や独自に定義したフォーマットを利用してもよい。また、図16では、XMLを利用した墨塗り署名の生成・検証を示したが、必ずしもXML Signatureを用いる必要はない。例えば、前述のように、単純にSignedJpeg要素1501の下に署名値1107を記述するための要素(例えば、SignatureValue要素)を追加し、図8、図10に示した処理を用いて墨塗り署名の生成、検証を行ってもよい。
【0085】
上記の実施形態の説明では、署名者装置102を一般的な構成を有する電子計算機216によって実現した例を示したが、これと異なっていてもよい。たとえば、演算機能を有するデジタルカメラやスキャナ装置を用いて署名者装置102を実現してもよい。この場合、撮影またはスキャンされた画像データが装置の外に出力される前に、署名が付与されることになるので、セキュリティの観点からは好ましい。
【0086】
以上説明したように、本実施形態では、署名付与対象の電子画像を複数の構成要素に分割し、その構成要素それぞれの特徴値を算出し、その特徴値を結合したものを署名対象データとして署名用秘密鍵を用いて署名値を計算する。このとき、特徴値の算出には、署名付与対象の電子画像のエントロピー符号を復号した中間データを用いる。また、署名対象データを作成するために必要となる情報、すなわち、構成要素への分割のための情報、特徴値を算出するための乱数などの情報、および、計算された署名値から墨塗り署名を構成する。
【0087】
署名を付与した電子画像に墨塗りを行う場合、署名内の、署名対象データを作成するために必要となる情報を参照して、電子画像を分割し、墨塗りの対象となる領域を他の画像データに置き換えることによって行う。このとき、画像の置き換えは、電子画像のエントロピー符号を復号した中間データに対して行い、再度エントロピー符号を符号化することで墨塗り後の電子画像を得る。また、署名内の署名対象データを作成するために必要となる情報の中の、墨塗りを行った構成要素に対応した情報を、墨塗り前の当該構成要素の特徴値に置き換え、また、墨塗りを行った構成要素を特定する情報を付加することにより、署名も更新する。
【0088】
署名を付与した後に墨塗りを行った電子画像の真正性を検証する場合、署名内の、署名対象データを作成するために必要となる情報を参照して、電子画像を分割し、墨塗りを行った構成要素以外の特徴値を算出し、署名内の墨塗りを行った構成要素の特徴値と結合して生成した署名対象データを用いて、署名内の署名値の検証を行う。このとき、特徴値の算出には、電子画像のエントロピー符号を復号した中間データを用いる。
【0089】
これにより、本実施形態によれば、電子画像に署名を付与した場合に、その電子画像の一部に適切な改変を加えた場合(墨塗りを行った場合)でも、その検証を行うことができる。
【0090】
なお、上述した実施形態では、エントロピー符号の復号を行い、その結果得られた中間データに対して電子文書墨塗り技術の適用を行っている。これは、直流成分のエントロピー符号化が直前のブロックとの差分値に対して行われるためである。直流成分に対して隣接するJPEG要素との差分をとることは、データ圧縮の点からは有利であるが、あるブロックでビット誤りなどのエラーが生じた場合には、その後のブロックすべてにそのエラーが派生することになる。前述のように、JPEGには、これを防ぐためのインタバルと呼ばれる構造をもっている。
【0091】
このインタバルを墨塗りブロックの単位とする場合には、エントロピー符号を復号せずとも電子文書墨塗り技術の適用が可能である。ただし、任意のJPEGファイルに適用するためには、JPEGファイルの再構成が必要となる。また、墨塗りブロックのサイズが小さい場合には、上述した実施形態に比べファイルサイズが大きくなる。
【0092】
他の画像ファイルについても、JPEGと同様にして、電子文書墨塗り技術を適用することが可能である。たとえば、JPEG2000では、上記のJPEGに対する電子文書墨塗り技術を適用することができる。JPEG2000では、ウェーブレット変換と呼ばれる処理を用いており、この変換はJPEGと異なり画像全体に対して変換処理が行われる。しかしながら、JPEG2000においても、画像を複数の矩形に分割し、これら分割された矩形、それぞれに対してウェーブレット変換を行い、これらの結果を結合したものを一つのJPEG2000ファイルとして構成することも可能である。したがって、JPEG2000では、これを一つの墨塗りブロックとすることで、電子文書墨塗り技術を適用できる。
【0093】
JPEGにおけるプログレッシブ方式やJPEG2000におけるウェーブレット変換のように、画像が低周波数成分と高周波数成分とに分解されて保持されている場合、所定の周波数領域に対して墨塗りを行ってもよい。このようにすることによって、例えば、コンテンツ配信において、すべての成分を公開した高解像度の画像に対して墨塗り署名を付与し、低周波数成分のみを公開した低解像度の画像をプレビューとして公開した場合に、両画像が同一であることなどの検証が墨塗り署名によって可能となる。
【0094】
また、ビットマップファイルは、ヘッダー情報と画像データとから構成されている。ヘッダー情報には、画像のサイズ、使用される色情報などが記述されており、画像データには、ヘッダー部で指定された色情報に従って、RGB,グレースケール、白黒などの各成分が記述されている。上述の実施形態では、JPEGファイルに対して、エントロピー符号化前の中間データに電子文書墨塗技術を適用していたが、ビットマップでは、上記のインタバルを利用したJPEGファイルへの電子文書墨塗り技術の適用と同様、ファイル内のデータを直接利用して墨塗り署名を生成することが可能である。
【0095】
この他、画像ファイルに対する代表的なデータフォーマットとして、PNGファイルやTiffファイルが知られている。これらのデータフォーマットについても、ビットマップやJPEGファイルと同様に、電子文書墨塗り技術を適用できる。これらのデータフォーマットでは、可逆変換を用いることによってファイルサイズの削減を行っている場合がある。この可逆変換の前後で、たとえば画素単位やブロック単位で、画像データのブロックの情報をそのまま保持している場合には、これを利用して電子文書墨塗り技術を適用できる。一方、例えば、JPEGファイルのJPEG要素のように、その変換において、各ブロックが他のブロックから影響を受けている場合には、上述の実施形態のように、その可逆変換を復号した中間データに対して、墨塗り署名を生成することによって、電子文書墨塗り技術を適用できる。
【0096】
また、JPEGのセグメントと同様に、ファイル内に画像データ以外の任意の情報を持たせておくことが可能な場合には、これを利用することによって、生成された墨塗り署名を別ファイルとして持たせるほか、ファイル内に持たせておいてもよい。
【0097】
PDFファイルは、オブジェクト単位でファイルが構成されている。従って、たとえばこのオブジェクトを利用することによって、本実施形態の電子文書墨塗り技術の実装が可能である。たとえば、1つあるいは、複数のオブジェクトを墨塗りブロックとして指定する。また、上述の実施形態における墨塗り画像と同様に、墨塗り時に墨塗りブロックに置き換わるオブジェクトを署名対象データとして墨塗り署名内にもたせておくことも可能である。
【0098】
また、PDFファイルの内部では、画像を表示する場合に、JPEG形式などの画像データが使用されている場合がある。このような場合には、例えば、上述の実施形態で述べた方法、或いは、プログレッシブ符号化を用いたJPEGファイルやビットマップやPNGなど、他の画像データに対する電子文書墨塗り技術の適用方法と同様にすればよい。
【0099】
なお、TIFFは,米国Aldus Corp.が開発したフォーマットの名称であり、Adobe、Adobe ロゴ、Acrobat、Adobe PDF ロゴ、Distiller、および Reader は、Adobe Systems Incorporated(アドビ システムズ社)の米国およびその他の国における登録商標または商標である。
【0100】
また、本明細書中で説明した各処理に用いる署名エンジンは、RSA,DSA以外の方式であってもよい。そして、電子文書墨塗り技術はSUMI−4以外の方式であってもよい。
【図面の簡単な説明】
【0101】
【図1】本発明の実施形態を実現するネットワークシステムの構成の概略図である。
【図2】本発明の実施形態における署名者装置102を実現する計算機の構成の概略図である。
【図3】本発明の実施形態におけるオリジナル画像107の作成・読込から保管までのフローを説明する図である。
【図4】本発明の実施形態におけるオリジナル画像から開示画像を作成し、保管するまでのフローを説明する図である。
【図5】本発明の実施形態における開示画像保管装置内の開示画像を検証者で検証するまでのフローを説明する図である。
【図6】電子画像からJPEGファイルへの変換処理、及びその逆変換処理の概略を示した図である。
【図7】JPEGファイルのファイル構造の概略を示す図である。
【図8】本発明の実施形態におけるオリジナル画像から署名付オリジナル画像を生成するための処理フローを示した図である。
【図9】本発明の実施形態における署名付オリジナル画像から署名付開示画像を作成するための処理フローを示した図である。
【図10】本発明の実施形態における署名付開示画像を検証者装置で検証する処理フローを示した図である。
【図11】本発明の実施形態においてSUMI-4を適用した場合のオリジナル画像から署名付オリジナル画像を生成するまでの、処理とデータ構造の概略を示した図である。
【図12】本発明の実施形態においてSUMI-4を適用した場合の署名付オリジナル画像から署名付開示画像を生成するまでの、処理とデータ構造の概略を示した図である。
【図13】本発明の実施形態においてSUMI-4を適用した場合の、検証者装置内での署名付開示画像を検証するまでの、処理とデータ構造の概略を示した図である。
【図14】本発明の実施形態の墨塗り署名のフォーマットの構成方法の概略を示す図である。
【図15】本発明の実施形態のXMLを用いた場合の墨塗り署名の補助データ等の表現方法の一例を示した図である。
【図16】本発明の実施形態のXML Signatureを用いて墨塗り署名の生成・検証の処理の概略を示した図である。
【符号の説明】
【0102】
101:ネットワーク、102:署名者装置、103:署名付オリジナル画像保管装置、104:墨塗り者装置、105:開示画像保管装置、106;検証者装置、107:オリジナル画像、108:署名付オリジナル画像、109:署名付開示画像、110:外部媒体、201:CPU、202:RAM、203:外部記憶装置、204:読み取り装置、205:表示装置、206:入力装置、207:通信装置、208:インターフェイス、209:署名用秘密鍵、210:画像保管要求プログラム、211:署名生成プログラム、212:オリジナル画像作成・読み込みプログラム、213:画像保管要求処理部、214:署名生成処理部、215:オリジナル画像作成・読込処理部
【技術分野】
【0001】
本発明は、電子データの真正性保証技術に関する。
【背景技術】
【0002】
電子文書の真正性を保証する技術として、電子署名技術が知られている(例えば、非特許文献1参照)。従来の電子署名技術では、1ビットでも、電子文書のデータが改変された場合には、電子文書の改竄を検知することができる。これは、電子文書に対する不正な改竄を検知するには有効であるが、個人情報の保護を目的とした墨塗りなど、障害となりうる場合が指摘されている。また、これに対する解決方法として電子文書墨塗り技術が知られている(例えば、非特許文献2、3)。
【0003】
電子データに対し墨塗りを行う方法としては、PDFファイルに対する隠蔽処理装置が知られている(特許文献2)。特許文献2では、PDFファイルを一度Tiffファイルに変換し、画像データとして墨塗り処理を行った後に、再びPDFファイルに変換する。PDFファイルに対しては、例えば黒の矩形領域を用いて秘匿部分を覆うことによって、見かけ上の墨塗りを行うことが可能であるが、この場合には、墨塗りされるべき部分の情報はPDFファイル内から完全には削除されていないことになる。特許文献2では、一度Tiffファイルに変換することによって、墨塗り部分の情報をPDFファイルから完全に削除することができる。
【0004】
近年の電子画像技術の発展に伴い、画像も電子的に扱われる機会が増えている。電子画像に対する不正利用を防ぐ手段として、電子透かし技術を利用して著作権情報などを画像データに埋め込む方法が知られている。また、電子透かし技術を利用して、電子画像の改竄位置を検知する方法などが知られている(例えば、特許文献1)。
【0005】
【特許文献1】特開2004-48285号公報
【特許文献2】特開2002-207725号公報
【非特許文献1】Bruce Schneier著「Applied Cryptography: Protocols, Algorithms, and Source Code in C, Second Edition」 John Wiley & Sons、(October 18, 1995) Section 2.6 Digital Signature, Section 2.7 Digital Signature with Encryption (pp34-46) and Public Key Digital Signature Algorithms (pp483-502)
【非特許文献2】宮崎邦彦、岩村充、松本勉、佐々木良一、吉浦裕、手塚悟、今井秀樹著「開示条件を制御可能な電子文書墨塗り技術」 2004年暗号と情報セキュリティシンポジウム予稿集,p.515-520, 2004年1月27日.
【非特許文献3】Ron Steinfeld, Laurence Bull, Yuliang Zheng,「Content Extraction Signatures」, International Conference on Information Security and Cryptography ICISC 2001, volume 2288 of LNCS, pages 285-304, Berlin, 2001, Springer-Verlag.
【発明の開示】
【発明が解決しようとする課題】
【0006】
電子署名技術では、署名の付与された電子文書が1ビットでも改変された場合には、その電子文書が改竄されたものとして扱われる。これは、電子文書の真正性保証の観点からは、有用な性質である。しかしながら、例えば行政機関が情報公開に基づき電子文書を公開する場合には、プライバシー保護の観点から電子文書に含まれる個人情報などを削除した上で公開する必要がある。このような場合には、従来の電子署名技術では、電子文書の真正性を保証することができない。これは、従来の電子署名技術が、プライバシー保護のための電子文書からの個人情報の削除と不正な電子文書への改竄を判別できないためである。このような問題を解決する手段として電子文書墨塗り技術が知られている。
【0007】
近年の電子画像技術の発達に伴い、画像についても電子的に扱われることが多くなってきている。これらの電子画像の中には証拠写真など、電子画像の真正性が重要となるものも少なくない。電子文書墨塗り技術では、上記のように電子文書の一部を秘匿にした上で公開したい場合に、従来の電子署名では検証できなかった電子文書の真正性保証を行うことができる。しかしながら、電子画像のデータフォーマットとして広く用いられているJPEGなどのファイル形式では、元画像からJPEGファイルへの変換の過程で不可逆変換の処理を含むなどの理由から、電子文書のように従来の電子文書墨塗り技術をそのまま適用することはできない。また、電子画像では墨塗りに際し墨塗りすべき画像のサブブロックは、異なる電子画像、または、例えば黒などの単一の色で塗りつぶす必要があるが、従来の電子文書墨塗り技術では、これらの点については考慮されていない。
【0008】
上記のような、画像ファイルの一部を塗りつぶすことによって、墨塗り処理を施す方法としては、PDFファイルに対する隠蔽処理装置が知られている(特許文献2)。特許文献2では、PDFファイルをTiffファイルに変換し、変換されたTiffファイルに対して墨塗り処理を施し、再びPDFファイルへの変換を行うことによって、墨塗り処理の機能を実現している。PDFファイルに対しては、例えば黒の矩形画像を用い、墨塗り部分を覆うことによって見かけ上墨塗りを行うことが可能となるが、この場合にはPDFファイル内に墨塗りされた部分の情報が残ってしまう。特許文献2では、画像データに一度変換することによって、墨塗り部分の情報を完全に削除することができる。しかしながら、特許文献2では、元のPDFファイルに対する真正性保証については考慮されていない。また、一度Tiffファイルへ変換することによって、墨塗り後のPDFファイルと元のPDFファイルは、オブジェクトの構成など、構造的に異なったデータとなるため、特許文献2に電子文書墨塗り技術を適用することはできない。
【0009】
電子画像に対しては、不正使用の防止・著作権保護の観点から、作成者、日時などの情報を画像に埋め込む電子透かし技術が知られており、この技術を利用することによって、電子画像の改竄検知(または改竄位置検知)を行う方法が知られている。また、電子データの真正性保証の観点から、電子画像に直接、電子署名を施す技術、方法も知られている。しかしながら、従来の電子透かし技術では、透かし情報の取り出し手順は秘密に保たれていなければならず、任意の第三者による電子画像の検証はできない。さらに、電子透かし技術では、画像の一部を削除したとしても、透かし情報の検出が可能であるが、電子文書墨塗り技術のような開示に伴う個人情報の削除といった場合の電子画像の検証については考慮されておらず、画像の削除が正当な墨塗りなのか画像の改竄なのかを判別することはできない。また、電子署名をそのまま電子画像に適用した場合についても、署名付画像の公開に際して、その画像の一部を削除する必要がある場合には、電子署名による検証はできなくなる。
【課題を解決するための手段】
【0010】
本発明は、真正性の保証対象となる電子画像に対し適切な変更を許容する電子画像の真正性保証技術とその管理システムを提供する。
【0011】
本発明では、電子画像に対し電子文書墨塗り技術の適用を可能とし、電子画像を複数のブロックに分割し、各ブロックに対して、そのブロックを開示するか、非開示とするかなどを決定することができることを特徴とする。また、上記の非開示ブロックに対して、非開示用の代替画像で置き換えることを可能とする。
【0012】
さらに、上記様態において、非開示ブロックに対して使用される代替画像は、電子画像の真正性を保証する署名者、または、署名が付与された画像データに対して開示・非開示を決定する墨塗り者による署名の対象とすることによって、真正性保証の対象とすることができる。
【0013】
本発明では不可逆変換を伴う変換処理によって生成された電子画像に対し、その電子画像を適宜、変換途中の中間データに変換し、その中間データに対し電子文書墨塗り技術を適用することによって、電子画像に対する適切な変更を許容する真正性保証技術を可能とする。
【0014】
さらに、上記態様において、電子画像の変換処理が、画素単位、あるいは複数の画素からなるブロックに分割し、ブロック単位での可逆変換によって行われ、変換の対象となるブロックがその他のブロックから影響を受ける場合に、その変換処理の復号を行った中間データに対して、電子文書墨塗り技術を適用し、署名後にその変換処理を行うことによって、電子画像データへの電子文書墨塗り技術の適用を可能とすることを特徴とする。
【発明の効果】
【0015】
本発明を用いることによって、電子画像の部分的な墨塗りを行ったとしても、電子画像の検証が可能となる。例えば、紙文書からスキャンされた電子文書(電子画像)に含まれる個人情報を削除した上で、電子文書の真正性を保証可能な情報公開システムが提供される。
【発明を実施するための最良の形態】
【0016】
以下に、本発明の実施形態について説明する。
【0017】
図1は、本発明を情報公開システムに適用した複数の実施形態におけるシステムの構成の概略図である。図示したように、本システムは、ネットワーク101介して、オリジナル画像107に対し署名を行う署名者装置102、署名が付与されたオリジナル画像(以下、署名付オリジナル画像108と呼ぶ)を保管する署名付オリジナル画像保管装置103、署名付オリジナル画像108の開示に際し、秘匿にすべき部分の墨塗りを行う墨塗り者装置104、墨塗りされた開示用画像(以下、署名付開示画像109と呼ぶ)を保管する開示画像保管装置105、開示画像保管装置105に対し署名付開示画像109の閲覧を要求し、その検証を行う検証者装置106から構成されている。
【0018】
なお、図1では署名者装置102、署名付オリジナル画像保管装置103、墨塗り者装置104、開示画像保管装置105、検証者装置106が、すべて同一のネットワーク101上に接続されているが、これとは異なる接続形態であってもよい。例えば、署名者装置102、署名付オリジナル画像保管装置103、墨塗り者装置104がLAN(Local Area Network) に接続されており、ゲートウェイサーバを介して外部ネットワーク上に開示画像保管装置105が接続され、同外部ネットワーク上にある検証者装置106が開示画像保管装置105に対し、署名付開示画像109の閲覧を要求するといった構成でもよい。このような構成の場合、適切なアクセス制御等を行うことによって、署名付開示画像109以外の画像データが外部に漏洩することを防ぐことが可能である。
【0019】
また、図1では、署名者装置102、署名付オリジナル画像保管装置103、墨塗り者装置104、開示画像保管装置105、検証者装置106は、すべて異なる装置として表されているが、これらの装置は必ずしも異なる装置である必要はない。例えば、検証者装置106からの要求に応じて、墨塗り者装置104が適宜、署名付開示画像109を作成する場合には、開示画像保管装置105は墨塗り者装置104、あるいは検証者装置106と同一装置内に実装されていてもよい。また、図1では、外部媒体110を用いてオリジナル画像107を署名者装置102に取り込んでいるが、署名者装置102内で作成された画像に対して、署名付オリジナル画像108を作成してもよい。
【0020】
図2は、署名者装置102の構成の概略を示したものである。署名者装置102は、CPU201、CPU201の作業領域として機能するRAM202、HDなどの外部記憶装置203、スキャナやデジタルカメラ、FD、CD-ROMなどの外部媒体110からデータを取り込む読取装置204、ディスプレイなどの表示装置205、マウス、キーボードなどの入力装置206、ネットワークを介して他の装置と通信を行う通信装置207、上記の各構成要素間のデータ通信を司るインターフェイス208から構成される、一般的な構成を有する電子計算機216である。
【0021】
署名者装置102の外部記憶装置203には、オリジナル画像作成・読込PG(プログラム)212、署名生成PG211、画像保管要求PG210、オリジナル画像107、署名付オリジナル画像108、署名用秘密鍵209が格納される。ここで、オリジナル画像作成・読込PG212、署名生成PG211、画像保管要求PG210は、CPU201により、それぞれ、画像保管要求処理部213、署名生成処理部214、オリジナル画像作成・読込処理部215というプロセスとして具現化される。なお、署名用秘密鍵209は、セキュリティ上の観点から、特に重要な管理が求められる。そのため、たとえばICカードなど耐タンパ性を備えた装置内に格納しておくことが望ましい。
【0022】
署名付オリジナル画像保管装置103、墨塗り者装置104、開示画像保管装置105、検証者装置106も、図2と同様の構成を持つ。ただし、署名付オリジナル画像保管装置103では、署名付オリジナル画像108、署名付オリジナル画像受信PG、署名付オリジナル画像保管PG、署名付オリジナル画像送信PGが、墨塗り者装置104では、署名付オリジナル画像受信PG、開示画像作成PG、開示画像保管要求PG、署名付オリジナル画像108、署名付開示画像109が、開示画像保管装置105では、署名付開示画像109、開示画像受信PG、開示画像保管PG、開示画像送信PGが、検証者装置106では、開示画像受信PG、開示画像閲覧PG、開示画像検証PG、署名付開示画像109、検証用公開鍵がそれぞれ各装置内の外部記憶装置203に格納される。
【0023】
上記各PGはそれぞれが格納されている装置において、CPU201により、RAM202に読み出されて実行されることにより、以下に説明する処理を実現する。
【0024】
さらに各PGは、あらかじめ、各装置の外部記憶装置203内に格納されていても良いし、必要なときに着脱可能な記憶媒体108を介して、または通信媒体(デジタル信号または搬送波、またはそれらを媒介する通信線)を介して、他の装置から導入されてもよい。
【0025】
以下に、各装置間のデータのやり取りに伴う処理フローの概略を示す。
【0026】
図3は、署名者装置102においてオリジナル画像107に署名が付与されて、署名付オリジナル画像保管装置103に署名付オリジナル画像108が保管されるまでの処理フローの概略を表している。
301:開始
302:オリジナル画像107の作成・読込を行う。
303:オリジナル画像107に対し、署名用秘密鍵209を用い署名を生成する。
304:署名付オリジナル画像108を署名付オリジナル画像保管装置103に送信、署名付オリジナル画像108の登録を要求する。
305:受信した署名付オリジナル画像108を保管する。
306:終了
【0027】
図4は、署名付オリジナル画像保管装置103に保管された署名付オリジナル画像108が開示画像保管装置105において墨塗りされ署名付開示画像109として保管されるまでの処理フローの概略を示している。
401:開始
402:保管されている署名付オリジナル画像108から開示すべき画像を選択・送信を要求する。
403:送信要求のあった署名付オリジナル画像108を送信する。
404:送信された署名付オリジナル画像108に対し、開示すべきでない箇所を決定し、その開示すべきでない箇所に対し、墨塗りを行う。
405:墨塗りされた署名付開示画像109を開示画像保管装置105に送信、登録を要求する。
406:送信された署名付開示画像109を保管する。
407:終了
【0028】
ここで墨塗りとは、その行為によって、元々その領域にあった情報を知ることができなくすることをいう。画像データの場合には、例えば、墨塗りされた領域を黒色の画像データで置き換えることによって実現できる。なお、墨塗りデータとしては、必ずしも黒の画像データを使用する必要はなく、例えば、モザイク用の画像データなどを用いてもよい。
【0029】
図5は、署名付開示画像109が開示画像保管装置105から検証者装置106に送信され、検証者装置106で検証されるまでの処理フローの概略を表している。
501:開始
502:検証すべき署名付開示画像109の送信を要求する。
503:要求のあった署名付開示画像109を送信する。
504:受信した署名付開示画像109の閲覧・検証する。
505:終了
【0030】
第1の実施形態では、画像データの代表的なファイルフォーマットの一つであるJPEGに電子文書墨塗り技術を適用した場合について述べる。そこで、実現方法の説明のため、まずJPEGの説明を行う。なお、JPEGには、大別して可逆変換方式と非可逆変換方式の二つの方式があるが、ここでは非可逆変換方式について説明を行う。なおJPEGの詳細については、下記文献に詳しい。
・「ISO/IEC 10918-1:Information technology -- Digital compression and coding of continuous-tone still images: Requirements and guidelines」 1994.
・William B.Pennebaker, Joan L. Mitchell, 「JPEG STILL IMAGE DATA COMPRESSION STANDARD」 Van Nostrand Reinhold, 1992.
【0031】
図6(a)は、元画像をJPEGファイルへ変換するための処理手順の概略を示している。JPEGの基本的な変換手順は、以下である。なお、図6(a)において、六角形のステップ(例えば、ステップ607)は条件分岐を表す。なお、以下、本明細書中のフローチャート内の六角形のステップはすべて条件分岐を表すものとする。
601:開始
602:入力された画像を成分(例えばRGBなど)に分割する。
603:各成分を8×8ピクセル(以下、JPEG要素と呼ぶ)のブロックへ分割する。
604:すべてのJPEG要素に対しDCT(Discrete Cosine Transform、離散コサイン変換)を適用し、64個の周波数成分に分解する。
605:DCT後のデータに対し量子化を行う。
606:量子化後のデータに対し、エントロピー符号化を行う。ここで、64個に分解された周波数成分のうち直流成分については、直前のJPEG要素との差分に対してエントロピー符号化を行う。
607:ブロックがあればステップ604に、そうでなければステップ608に進む。
608:ヘッダー情報等を付与し、JPEGファイルを構成する。
609:終了
【0032】
上記処理において、エントロピー符号は符号器に入力されるシンボルの出現頻度に着目して、符号語長が短くなるように符号語を割り当てる符号化方式であり、JPEGではハフマン符号と算術符号の二種類が採用されている。ここで、ステップ606のエントロピー符号化への入力は、ステップ604のDCTによる周波数成分に変換した画像データをステップ605において量子化したものである。ステップ606のエントロピー符号化は、交流成分についてはJPEG要素ごとに処理されるため、画像の他のJPEG要素の影響は受けないが、直流成分については、前のJPEG要素の直流成分との差分に対して符号化が行われるため、他のJPEG要素の影響を受ける。
【0033】
図6(b)はJPEGファイルからの逆変換手順の概略を示している。JPEGファイルからの逆変換手順は以下である。
611:開始
612:各JPEG要素に対しエントロピー符号の復号を行う
613:復号されたデータに対し、逆量子化を行う。
614:逆量子化されたデータに対し、IDCT(Inverse Discrete Cosine Transform、逆コサイン変換)を行う。
615:JPEG要素があればステップ処理612に、そうでなければステップ615に進む。
616:各成分の構成を行う。
617:画像の構成を行う。
618:終了
【0034】
図7はJPEGのファイル構造の基本構成を示している。JPEGファイルはMCU705と呼ばれる複数のブロックから構成されている。 MCU705は、複数のJPEG要素から構成されており、図6(a)に示したステップ608では、MCU705を単位としてJPEGファイルを構成する。また、フレーム702、スキャン703内のヘッダー情報(706,707)には画像のサイズやエントロピー符号化や量子化に用いられるテーブルの定義など、JPEGファイルから元画像を復号するための情報がセグメントと呼ばれる単位で格納されている。なお、JPEGでは、APPセグメント、COMセグメントと呼ばれる二つのセグメントが定義されており、これらのセグメントを利用することによって、アプリケーション固有の情報をJPEGファイルに持たせることができる。
【0035】
以下に、JPEGに電子文書墨塗り技術を適用した場合における、署名者装置102、墨塗り者装置104、検証者装置106の詳細について示す。なお、以下ではオリジナル画像107がJPEGファイルである場合を例として説明する。スキャナや作成された電子画像が、JPEGファイルと異なる画像フォーマットである場合には、たとえば、一度JPEG画像へ変換を行い、それをオリジナル画像107として扱えばよい。
【0036】
署名者装置102では、オリジナル画像107を受け取り、オリジナル画像107を複数の墨塗りの最小単位となるサブブロック(以下、墨塗りブロックと呼ぶ)に分割する。ここで、JPEGの画像処理手順では、MCU705を構成する際に、いくつかの成分に対してデータの間引きが行われるため、墨塗りブロックの最小単位は、たとえばMCU705、またはそれらを複数組み合わせたものとすればよい。複数の墨塗りブロックに分割されたオリジナル画像107に対し、署名用秘密鍵209を用いてオリジナル画像107に署名を付与する。
【0037】
図8は、電子文書墨塗り技術をJPEGファイルに適用した場合の処理手順の概略をあらわしている。例えば前述したように、JPEGではエントロピー符号化において、DCT変換によって分解された各周波数成分のうち、直流成分に対しては、直前のJPEG要素の直流成分との差分をとることによって符号化を行う。そこで、電子文書墨塗り技術をJPEGに適用するために、入力されたJPEGファイルに対し、図6(b)に示した逆変換手順のうち、ステップ612のエントロピー符号の復号までを行った段階のデータ(以降、中間データと呼ぶ)に対して、電子文書墨塗り技術を適用する。処理手順は以下である。
801:開始
802:オリジナル画像(JPEGファイル)の読み込みを行う。
803:エントロピー符号の復号を行い、中間データに変換する。
804:中間データに変換されたオリジナル画像を墨塗りブロックに分割する。
805:各墨塗りブロックに対して、電子文書墨塗り技術用の署名(以下、墨塗り署名と呼ぶ)に必要な補助データを作成する。
806:補助データから署名エンジンへの入力(以下、署名対象データと呼ぶ)を計算する。
807:墨塗りブロックがまだあればステップ処理805へ、無ければステップ808に進む。
808:各ブロックから計算された署名対象データに対し、署名用秘密鍵を用いて署名値の計算を行う。
809:補助データ及び署名値から墨塗り署名を作成する。
810:終了
【0038】
ここで、署名エンジンは、例えばRSAやDSAなどの公開鍵暗号アルゴリズムを用いて、署名値の計算・検証を行う処理を指す。また、補助データとは、墨塗り署名を生成するために必要となるデータであり、たとえば、SUMI-4(非特許文献2参照)では、署名ブロックに付与される乱数に相当する。署名対象データは、署名エンジンへの入力となるデータであり、例えばSUMI-4では、乱数が付与された墨塗りブロックのハッシュ値に相当する。なお、SUMI-4の概略については、後に説明を行う。
【0039】
なお、墨塗り署名は、JPEGのセグメントであるAPPセグメント、COMセグメントに格納することも可能であるが、オリジナル画像とは別ファイルとして格納しておいてもよい。また、JPEGファイルはヘッダー部に画像のサイズに関する情報を持っており、JPEGファイルの終端はEOIと呼ばれる終端識別子で識別できるため、JPEGファイルのEOIより後ろに墨塗り署名を持たせることも可能である。
【0040】
ステップ804において画像データを墨塗りブロックに分割する場合、墨塗りブロックの領域指定は、たとえば、マウスなどの入力装置206を用いて矩形や円などの指定された領域分割を行えばよい。または、画像データを自動的に複数の矩形に分割する、或いは、何らかの画像認識装置を用いて、その画像認識装置が画像データから抽出した領域を利用して墨塗りブロックへの分割を行ってもよい。
【0041】
また、上記処理によって生成される墨塗り署名には、補助データ及び署名値が含まれる。ここで、墨塗り署名のヘッダー情報には、各補助データが指し示すオリジナル画像107の領域や墨塗りされた墨塗りブロックの情報などを記述する。
【0042】
墨塗り者装置104では、署名付オリジナル画像保管装置103に開示すべき署名付オリジナル画像108の送信を要求し、署名付オリジナル画像保管装置103より受信した署名付オリジナル画像108に対し、墨塗りを行う。ここで、墨塗りは墨塗りブロックを単位として行われる。図9は、墨塗り者装置104で行われる墨塗り処理フローの概略を示している。以下にその処理手順を示す。
901:開始
902:署名付オリジナル画像108から、オリジナル画像107(JPEGファイル)及び墨塗り署名の読み込みを行う。
903:オリジナル画像107のエントロピー符号の復号を行い、中間データに変換する。
904:墨塗り署名内のヘッダー情報を参照し、中間データに変換されたオリジナル画像107を墨塗りブロックに分割する。
905:墨塗りを行う墨塗りブロックを指定する。
906:ステップ905で指定された墨塗りブロックに対し、墨塗りを行う。
907:指定された墨塗りブロックに対応する墨塗り署名の更新を行う
908:墨塗りすべきブロックがあれば処理905へ、無ければステップ909に進む。
909:中間データのエントロピー符号化を行う。
910:終了
【0043】
従来の電子文書墨塗り技術では、主に電子文書に対する墨塗りを対象としており、墨塗りに際し、文書中のサブブロックそのものを削除することによって墨塗りをおこなっていた。しかしながら、電子画像を対象とした場合には、墨塗りを行う際に墨塗りの行われる墨塗りブロックを削除してしまうと、画像として正しく表示されなくなる。そこで、上記の墨塗り処理のステップ906では、墨塗りされる墨塗りブロックは、何らかの代替画像、或いは、単一の色(以下、墨塗り画像と呼ぶ)によって置き換えるようにする。このとき、以下の点に注意が必要である。前述のように、JPEGファイルへの変換処理では、各JPEG要素はDCTによって周波数成分に変換された後、量子化、エントロピー符号化が行われる。このエントロピー符号化において、JPEG要素の直流成分は直前のJPEG要素の直流成分との差分に対して符号化が行われるため、他のJPEG要素へ影響を与えることになる。そのため、墨塗り者装置104においては、対象となる墨塗りブロック内のJPEG要素だけでなく、他のJPEG要素についてもエントロピー符号の復号を行った後に、墨塗り画像で置き換えを行い、再度エントロピー符号化を行うことによって、JPEGファイルへの変換を行う必要がある。
【0044】
前述のように、JPEGファイルへの変換プロセスでは、エントロピー符号化に際して、直流成分のみは、直前のJPEG要素との差分に対して符号化が行われる。これは、データ圧縮の点からは有利であるが、あるブロックでビット誤りなどのエラーが生じた場合には、その後のブロックすべてにそのエラーが派生することになる。JPEGには、これを防ぐためのインタバルと呼ばれる構造をもっている。一つのJPEGファイルには複数のインタバルを持つことができ、インタバルは複数のMCU705から構成されている。上記の直流成分の差分をとることによるエラーの派生を防ぐため、各インタバルの最初のブロックの直流成分は、JPEG変換手順におけるステップ605の量子化によって得られた値をそのまま用いて、ステップ606のエントロピー符号化を行う。そのため、署名付オリジナル画像108であるJPEGファイルがインタバルを利用している場合には、必ずしも署名付オリジナル画像のすべてのJPEG要素を中間データに変換する必要はない。なお、墨塗り画像の扱いについては、後に説明を行う。
【0045】
検証者装置106では、開示画像保管装置105に閲覧すべき署名付開示画像109の送信を要求し、開示画像保管装置105より受信した署名付開示画像109の閲覧・検証を行う。図10は、検証者装置106において行われる、検証手順を示している。以下にその処理手順を示す。
1001:開始
1002:署名付開示画像109から、開示画像(JPEGファイル)、墨塗り署名の読み込みを行う。
1003:画像のエントロピー符号の復号を行う。
1004:墨塗り署名のヘッダー情報を参照し、開示画像を墨塗りブロックに分割する。
1005:墨塗り署名を参照し、墨塗りブロックの署名対象データの計算を行う。
1006:上記ステップ1005において、例えば墨塗りされた墨塗りブロックに元の画像データが存在する、または墨塗りされていない墨塗りブロックにあるべきデータが欠落しているなど、データ構造に矛盾がある場合には、ステップ1010に進む。そうでなければステップ1007へ進む。
1007:墨塗りブロックがまだある場合には、ステップ1005に、そうでなければステップ1008に進む。
1008:全ての墨塗りブロックに対して、ステップ1005において計算された署名対象データから、検証用公開鍵、署名内に記述された署名値を用いて、署名検証を行う。検証に成功した場合は次の処理に、失敗した場合には、ステップ1010に進む。
1009:検証成功を出力し、ステップ1011に進む。
1010:検証失敗を出力し、ステップ1011に進む。
1011:終了
【0046】
上記の署名者装置102、墨塗り者装置104、検証者装置106の各処理手順に従って、JPEGファイルへの電子文書墨塗り技術を適用した場合のデータ構造の具体例を以下に示す。なお、電子文書墨塗り技術には、5つの方式が提案されているが、ここではSUMI−4を適用した場合について説明を行う(非特許文献2参照)。また、以下では墨塗り画像の指定は、システムを通じて共通しているものとする。実際の処理手順を示す前に、SUMI−4の概要を、以下に示す。
【0047】
SUMI−4では、電子文書を複数のサブブロック(墨塗りブロック)に分割し、各墨塗りブロックに対し、乱数を付与する。乱数が付与された墨塗りブロックのハッシュ値を計算し、電子文書内のすべての墨塗りブロックから得られたハッシュ値を連結したものに対して、署名用秘密鍵209を用いて署名値の計算を行う。墨塗りを行う場合には、対象となる墨塗りブロックとそこに付与された乱数を削除し、代わりにその墨塗りブロックのハッシュ値を公開する。検証を行う場合には、墨塗りされていない墨塗りブロックについては、墨塗りブロック及び乱数からハッシュ値を計算し、墨塗りされている墨塗りブロックからは、公開されているハッシュ値を用いて、これらのハッシュ値を連結したものと検証用公開鍵を用いて、署名値の検証を行う。
【0048】
図11は、SUMI−4を適用した場合の署名者装置102における処理の概略とそのときのデータ構造の概略を模式的に示している。図11においてRN1、RN2、、、、はそれぞれオリジナル画像107の墨塗りブロックに付与される乱数データ(補助データ1101)である。また、HFは乱数及び、墨塗りブロック、墨塗り画像から署名対象データ1102を計算するために用いられるハッシュ関数1110である。
【0049】
オリジナル画像107(JPEGファイル)は、まずエントロピー符号を復号すること(ステップ803)によって、中間データ1108に変換される。中間データ1108は、墨塗りブロック1113毎にまとめられ(ステップ804)、各墨塗りブロック1113に対して乱数(補助データ1101)を付与した後(ステップ805)、ハッシュ値(署名対象データ1102)が計算される(ステップ806)。計算されたハッシュ値を連結し、墨塗りブロックの入れ替えによる改竄を防ぐために、連結されたハッシュ値に、墨塗りブロック1113の区切り情報(以下、墨塗り署名ヘッダーB1103と呼ぶ)を付与し、署名用秘密鍵209を用いて署名値1107を計算する(ステップ808)。ここで、墨塗り署名ヘッダーB1103には、例えば、JPEGファイルのnバイト目からmバイト目が一つの墨塗りブロックである、などの情報を記述する。
【0050】
上記手順によって計算された署名値1107、各墨塗りブロック1113に付与した乱数(補助データ1101)、墨塗り署名ヘッダーB1103、及び、どの墨塗りブロックが墨塗りされているかを示す墨塗り署名ヘッダーA1104を整形し、墨塗り署名を作成する(ステップ809)。ここで、墨塗り署名ヘッダーA1104には、n番目の墨塗りブロックが墨塗りされている、などの情報を記述する。
【0051】
図12は、上記処理によって生成された署名付オリジナル画像108に対して、墨塗り者装置104における墨塗り処理の手順の概略とそのときのデータ構造の概略を模式的に示している。墨塗り者装置104では、署名付オリジナル画像108のエントロピー符号の復号を行い(ステップ903)、中間データ1108を得る。得られた中間データ1108に対して、墨塗り署名1105のヘッダー情報1106を参照し、中間データを墨塗りブロック毎に分割する(ステップ904)。
【0052】
さらに、墨塗りブロックを指定し(ステップ905)、指定された墨塗りされる墨塗りブロック1206を墨塗り画像と置き換え(ステップ906)、さらに墨塗りされる墨塗りブロック1206に対応する補助データ1208(乱数)を、その墨塗りブロック1206のハッシュ値で置き換え、墨塗り署名1105の更新を行う(ステップ907)。その後、再びエントロピー符号化を行い、JPEGファイルの更新を行う(ステップ909)。上記処理において、前述のように、JPEGファイルの構造によっては、すべてのJPEG要素のエントロピー符号化を行う必要はない。
【0053】
図13は、上記処理によって生成された署名付開示画像109に対し、検証者装置106で行われる検証処理の手順の概略とそのときのデータ構造の概略を模式的に示している。検証者装置106では、開示画像のエントロピー符号化の復号を行い(ステップ1003)、中間データ1201を作成する。また、墨塗り署名1203のヘッダー1204を参照し、開示画像を墨塗りブロック1113に分割し(ステップ1004)、各墨塗りブロック1113に墨塗り署名1203内の対応する補助データ1205(乱数)を付与し、ハッシュ値を計算する(ステップ1005)。このとき、墨塗り署名ヘッダーA1210から、対象となる墨塗りブロックが墨塗りされている場合には、補助データ(乱数)は墨塗り者装置104において、ハッシュ値(墨塗りされた墨塗りブロックの補助データ1209)に置き換わっているので、これを署名対象データ1102とする。同時に墨塗りされている墨塗りブロック1207が、システム内で共通で用いられている墨塗り画像と一致するかどうかを検証し、一致しない場合には、検証失敗として処理を中止する。また、墨塗りされていない墨塗りブロック1113に対応する補助データ1101が無いなど、データに矛盾がある場合には、検証失敗を出力し処理を停止する(ステップ1006)。
【0054】
最後に、上記手順によって得られた署名対象データ1102と墨塗り署名1105内の署名値1107から、検証用公開鍵を用いて署名検証を行い、その結果を出力する(ステップ1008〜1010)。
【0055】
上記の実施例においては、墨塗り画像として、システム内で共通の画像を用いた例を説明したが、これとは異なっていてもよい。たとえば、システム内で共通の墨塗り画像で置き換える代わりに、墨塗り者装置104において任意の画像・色に置き換えることで解決してもよい。しかしながら、この場合には、検証者装置106において、墨塗りされた墨塗りブロック1113が誤認されるおそれがあるため、セキュリティの観点からは適切な墨塗り画像を指定できること、或いは、署名付開示画像109を閲覧する際にどの墨塗りブロック1113が墨塗りされたかを明示できることが望ましい。
【0056】
適切な墨塗り画像を指定するためのひとつの方法として、たとえば、以下のようにすることによって、墨塗り画像を任意に設定できるようにしてもよい。墨塗り画像を任意に設定する場合には、各墨塗りブロック1113の墨塗り画像の情報を墨塗り署名1105内に保存しておく。このとき、セキュリティの観点から、墨塗り画像も署名対象データ1102に含め、検証者装置106において墨塗りされた部分を明示すること、墨塗りされた墨塗りブロックが、正当な墨塗り画像で墨塗りされているかを確認することが望ましい。また、墨塗り画像を署名対象データ1102とした場合には、署名者装置102において墨塗り画像が設定されることになる。この墨塗り画像の指定を墨塗り者装置104において行う場合には、墨塗り者装置104において墨塗り画像及び署名付開示画像109に対して墨塗り者の署名用秘密鍵を用いて墨塗り署名を行うことによって、墨塗り者を特定できるようにすることもできる。なお、この場合において、たとえば、墨塗り画像から署名対象データを計算する際に、SUMI-4の手法を適用した場合、墨塗り者装置104において、オリジナル画像に対してではなく墨塗り画像に対して墨塗りを行うと、その墨塗り画像が適用される墨塗りブロックの墨塗りができなくなる。そのため、非特許文献2において提案されている手法と同様に追加的な墨塗りの禁止が実現できる。
【0057】
署名者装置102において、墨塗り署名1105を生成するためには、墨塗りブロック1113に乱数などの補助データ1101の付与が必要となる。また、墨塗りブロック1113がJPEGファイル内のどこに対応するかを何らかの方法で指定する必要がある。図14は、これらの情報を記述するための墨塗り署名1105のフォーマットの概略を示している。墨塗り署名1105は、署名値1107、墨塗り基本情報1401 墨塗りブロック補助データ1402から構成される。なお、墨塗り基本情報1401、墨塗りブロック補助データ1402に含まれる情報については後述する。以下では、墨塗り基本情報1401、墨塗りブロック補助データ1402をまとめて墨塗り用補助データ1403と呼ぶ。
【0058】
署名者装置102は、墨塗り署名に必要な補助データを作成する際(図8のステップ805)、墨塗り基本情報1401に、墨塗りされた墨塗りブロック1207の情報を表すヘッダーA1104、墨塗りブロックの領域情報を記述したヘッダーB 1103を記述する。このとき、墨塗り基本情報1401に、さらに、署名の対象となるオリジナル画像107のサイズやファイル名などの情報、或いは、墨塗り署名1105を生成するために必要となる情報(例えば、SUMI-4では各墨塗りブロックのハッシュ値を計算するために使用するハッシュ関数1110の指定、使用する署名エンジン1111の指定など)を記述する。この他、例えば、墨塗りブロックAのみに対する墨塗りは許可するが、墨塗りブロックBが墨塗りされた場合には墨塗りブロックAも同時に墨塗りを行うなどの墨塗りに関するポリシーを墨塗り基本情報1401に記述してもよい。なお、ヘッダーA1104、ヘッダーB1103などは、必ずしも墨塗り基本情報1401内に記述する必要はない。例えば、以下で述べるXMLを利用した実現例(図15参照)では、これらの情報は各墨塗りブロックごと(墨塗りブロック補助データ1402内)に記述されている。
【0059】
また、署名者装置102は、墨塗りブロック補助データ1402に、墨塗りブロックに付与される乱数などの補助データ1101、或いは、墨塗り後の更新された補助データ1205を記述する。この他、墨塗り基本情報1401に、墨塗りブロックの状態(開示、非開示)に関する情報(ヘッダーA1104)、墨塗りブロックの領域情報(ヘッダーB1103)を記述しなかった場合には、これらの情報も墨塗りブロック補助データ1402に記述する。例えば、すでに述べたように、以下に示すXMLを利用した実現例(図15)では、墨塗りブロック補助データ1402内にヘッダーA1104、ヘッダーB1103の情報が記述されている。また、前述の墨塗りに関するポリシーを、墨塗りブロック補助データ1402に含めて記述してもよい。例えば、墨塗りブロックAを削除する場合には、墨塗りブロックBも同時に墨塗りを行う、といった指定をする場合は、墨塗りブロックAに対応する墨塗りブロック補助データ1402において、墨塗りブロックBに対応する墨塗りブロック補助データ1402への識別情報を持たせておく。
【0060】
これは、図15に示すXMLを利用した場合、以下のようにすることによって実現できる。署名者装置102は、まず、関連情報を記述するための要素(例えば、RelatedSanitizingBlock要素とする)を、墨塗りブロック補助データ1402を記述するSanitizingBlock要素1505内に新たに追加する。そして、墨塗りブロックAに対応する墨塗りブロック補助データ1402を記述するSanitizingBlock要素1505内において、RelatedSanitizingBlock要素に墨塗りブロックBへのパスを、XPathなどを利用して指定する。
【0061】
RelatedSanitizingBlock要素がある場合、墨塗り者装置104は、墨塗りブロックAの墨塗りを行う場合には、RelatedSanitizingBlock要素内の情報を参照し、この情報をもとにして墨塗りブロックBに対しても墨塗りを行う。また、検証者装置106は、検証を行う際に、墨塗りブロックAが墨塗りされている場合には、墨塗りブロックBも墨塗りされているかどうかの確認を行う。なお、図15に示すXMLを利用した墨塗り署名1105の実現例の詳細については、後述する。
【0062】
署名者装置102内で、墨塗り署名1105の生成を行う際には、例えば、SUMI-4などの使用する電子文書墨塗り技術の種類、その中で使用するハッシュ関数1110、署名の対象となるオリジナル画像107、墨塗りブロック1113の分割情報から、図8の処理に従って、墨塗り基本情報1401、各墨塗りブロックへの補助データ1101、署名値1107を作成し、その結果を用いて墨塗り署名1105を構成する。ここで、墨塗りブロック1113への分割情報は、前述のようにマウスなどの入力装置206によって指定された矩形や円などの情報を利用することができる。墨塗り者装置104、検証者装置106においては、上記の情報をもとに各墨塗りブロックのハッシュ値の計算等を行い、墨塗り、検証を行う。以下に、XMLを用いた場合の墨塗り署名1105の実現方法について示す。
【0063】
図15は、図14に示した墨塗り署名1105のフォーマットを、XMLを利用して構成した場合の実現方法の一例である。本フォーマットでは、墨塗り用補助データ1402を、SignedJpeg要素1501によって記述する。SignedJpeg要素1501はJpegInfo要素1502、SanitizationInfo要素1503、SanitizingBlocks要素1504の3つの要素から構成される。以下、本フォーマットの概略とこれを利用した、墨塗り署名1105の生成、検証、及び、墨塗り処理について示す。まず、本フォーマットの概略を説明する。
【0064】
JpegInfo要素1502、SanitizationInfo要素1503は、図14に示した墨塗り基本情報1401に相当する。これらの要素には、署名の対象となるオリジナル画像107のサイズやファイル名などの情報、或いは、墨塗り署名1105を生成するために必要となる情報(例えば、SUMI-4では墨塗りブロック1113のハッシュ値を計算するために使用するハッシュ関数1110の指定、使用する署名エンジン1111の指定など)が記述される。また、SanitizingBlocks要素1504は、JPEGファイル内のすべての墨塗りブロック1113墨塗りブロック補助データ1402に相当するSanitizingBlock要素1505から構成される。
【0065】
SanitizingBlock要素1505では、対象となる墨塗りブロック1113の領域をRegions要素1506に、付与される乱数をRandomValue要素1508に、また、墨塗りブロックの状態(開示、非開示)をType属性に、それぞれ記述する。Regions要素1506は、Region要素1507から構成されており、Region要素1507の属性である“x”,“y”,“width”,“height”によって、墨塗りブロックを矩形領域として表現する。
【0066】
なお、図15では、墨塗りブロック1113としてRegion要素1507を一つ指定することによって、JPEGファイル内の矩形領域を一つ指定しているが、Region要素1507を複数使用することによって、複数の矩形領域を一つの墨塗りブロックとして設定してもよい。また、上記のような矩形による表記の他、例えば中心点と半径を指定することによって、円領域の墨塗りブロックを指定してもよい。
【0067】
ただし、JPEGファイルに対して領域単位での墨塗りを行う場合には、墨塗りがMCU を単位として行われることに注意する必要がある。例えば、上記のように中心点と半径によって墨塗りブロックとなる円領域を指定する場合には、その円領域に完全に含まれるMCUのみを墨塗りブロックとする、などの規約を定めておき、与えられた情報から墨塗りブロックが一意に決定できるようにする必要がある。後述するような、他のフォーマットへの適用やプログレッシブ符号化されたJPEGファイルの周波数成分に対して墨塗りを行う場合には、MCU単位で墨塗りブロック1113を管理しなくてもよい。 なお、オリジナル画像全体を署名対象とする場合は、JPEGファイルの画像領域全体が墨塗りブロック1113に設定されるようにSanitizingBlock要素1505を複数用意すればよい。
【0068】
上述のように、図15に示したフォーマットでは、墨塗りブロック内のJPEGファイルの領域指定(図11内ヘッダーB 1103)や墨塗りされたブロックの情報(図11内ヘッダーA 1104)は、墨塗りブロック1113を表すSanitizingBlock要素1505の子であるRegions要素1506とSanitzingBlock要素1505のType属性として、それぞれ、各墨塗りブロックごとに管理される。なお、使用する電子文書墨塗り技術によっては、SanitizingBlock要素1505に図15に記述した以外の子要素が追加される場合がある。例えば、非特許文献2に開示されている追加墨塗りの許可・不許可を制御可能な墨塗り方式では、RandomValue要素1508の他に、正当な墨データを表すためのLegitimageMaskValue要素などが追加される。
【0069】
次に、図15に示したXMLを利用した場合のオリジナル画像107に対する墨塗り署名1105の生成、墨塗り、署名付開示画像109の検証について述べる。なお、以下ではSUMI-4を利用した場合について述べるが、他の電子文書墨塗り技術を利用した場合も下記の処理と同様に実現可能である。
【0070】
墨塗り署名1105の生成に当って、署名者装置102は、まず、署名対象となるオリジナル画像107の画像サイズなどをJpegInfo要素1502内に、また、SUMI-4などの使用する電子文書墨塗り技術の種類や、その中で使用されるハッシュ関数1110などの情報をSanitizationInfo要素1503に記述する。その後、署名の対象となるオリジナル画像107のエントロピー符号の復号を行い(ステップ803)、画像を墨塗りブロック1113に分割する(ステップ804)。
【0071】
ここで、墨塗りブロック1113への分割は、前述したように、マウスなどの入力装置206を用いて与えられた情報を利用すればよい。また、予めオリジナル画像107を複数の墨塗りブロックに分割した情報を、例えば、XMLファイルを利用して署名者装置102に与え、これを利用して墨塗りブロック1113への分割を行ってもよい。このような、XMLファイルとしては、例えば、図15に示した墨塗り用補助データ1402からRandomValue要素1508など墨塗り署名1105生成時に付与される要素を削除したものなどを利用することができる。
【0072】
次に、署名者装置102は、墨塗りブロック1113に対して乱数の付与を行う(ステップ805)。そして、署名者装置102は、図15に示した墨塗り用補助データ1402に対して、生成した乱数をBase64方式で符号化した文字列をRandomValue要素1508の値として記述する。また、同時に生成した乱数と対応する墨塗りブロック1113の中間データ1108を読み込み、ハッシュ値の計算を行う(ステップ806)。署名者装置102は、上記の処理を、すべての墨塗りブロック1113に対して繰り返し、署名対象データ1102の算出を行い、署名用秘密鍵209を用いて署名値1107の計算を行う(ステップ808)。
【0073】
署名者装置102は、SignedJpeg要素の外に、例えばSignatureValue要素を新たに生成し、計算された署名値1107を、Base64方式で符号化して得られた文字列をそこに記述する。なお、後述するXML Signatureを利用した署名生成では、署名値1107は、XML SignatureのSignature要素1601内のSignatureValue要素にBase64符号化された文字列として記述する(図16参照)。なお、乱数などの補助データ1101の生成は、必ずしもハッシュ値の計算の直前に行う必要はない。例えば、XMLデータを利用して墨塗りブロック1113の分割情報が与えられた場合に、XMLデータの情報を元に補助データ1101の生成(ステップ805)を前処理として行ってもよい。
【0074】
墨塗り処理では、墨塗り者装置104は、対象となるオリジナル画像107のエントロピー符号の復号を行い(ステップ903)、与えられた墨塗りを行う墨塗りブロック1206に対して墨塗りを行う(ステップ904〜909)。このとき、図12に示したとおり、墨塗りされる墨塗りブロック1206の乱数は、対応するハッシュ値によって置き換えられる(ステップ906、907)。図15に示したXMLデータを用いる場合、墨塗り者装置104は、RandomValue要素1508の値を、対応する墨塗りブロック1206のハッシュ値をBase64方式で符号化した文字列に置き換えることによって実現することができる。また、RandomValue要素1508を削除し、新たにハッシュ値を表すHashValue要素を生成し、生成したHashValue要素に墨塗りブロック1206のハッシュ値のBase64方式で符号化したデータを記述してもよい。
【0075】
墨塗り者装置104は、墨塗りされた墨塗りブロック1207に対応するSanitizingBlock要素1505のType属性の値を開示から非開示へ書き換え、更新された墨塗り署名1203への変更を行う。なお、墨塗りされる墨塗りブロック1206の指定は、マウスなどの入力装置206によって与えられた情報を利用することができる。また、例えば、墨塗りする墨塗りブロック1206が常に同じである等の場合には、予めXMLなどによって、墨塗りされる墨塗りブロック1206のリストを作成しておき、これを利用して墨塗りされる墨塗りブロック1206を指定してもよい。
【0076】
墨塗り署名の検証の処理では、検証者装置106は、対象となるJPEGファイルのエントロピー符号の復号を行う(ステップ1003)。検証者装置106は、XMLデータのSanitizingBlock要素1505のRegions要素1506の情報を参照することによって、署名付開示画像109を墨塗りブロックに分割する(ステップ1004)。Type属性の値に従って、墨塗りブロック1113が墨塗りされているか否かの確認を行い、その情報に従って署名対象データ1102の計算を行う(ステップ1005)。そしてSanitizingBlock要素1505内に必要な要素が存在するかなどの検証を行う(ステップ1006)。検証者装置106は、すべての墨塗りブロック1113に対して、上記の処理を繰り返し、計算された署名対象データ1102を用いて、検証用公開鍵1301による署名値1107の検証を行う(ステップ1008)。
【0077】
前述のように、図15に示すフォーマットを利用することによって、墨塗り署名の生成、検証が可能である。以下では、一例として、これらの署名生成、検証を、XML Signatureを利用して行う方法について述べる。XML Signatureは、W3CによるXMLを利用した電子署名の標準規格である。XML Signatureについては、以下に詳しい。
・W3C Recommendation,「XML-Signature Syntax and Processing」, 2002
図16は、XML Signatureを利用した場合の墨塗り署名1105の生成、検証処理の一例を示している。XML Signatureの署名生成、検証処理は、ともに二つの処理から構成されている。以下では、XML Signatureを利用した墨塗り署名1105の署名生成、検証処理について述べる。なお、以下の署名生成は、署名者装置102で行われ、検証処理は、検証者装置106で行われる。
【0078】
XML Signatureの署名生成は、Reference要素を生成するReference生成とSignature要素を生成するSignature生成との二つの処理から構成される。Reference生成では、署名者装置102は、署名対象をURI(Uniform Resource Identifier)などを用いて指定し、指定された署名対象データのハッシュ値を計算し、それぞれReference要素として記述することによりReference要素の生成を行う。また、Signature生成では、署名者装置102は、生成されたReference要素と署名用秘密鍵209とを用いて署名値の計算を行い、SignatureValue要素1607に記述し、SignedInfo要素、SignatureValue要素からSignature要素1602を生成する。この他Signature要素1602には、KeyIngo要素やObject要素を含めることができ、これらによって、検証用公開鍵1301など様々な情報をSignature要素1607に含めることができる。なお、必要があれば、Reference生成においてTransform要素を指定することによって、各署名対象に対して、正規化などの変換を行うことができる。
【0079】
XML Signatureの検証処理では、検証者装置106は、各Reference要素の記述に従い、ハッシュ値の計算を行い、DigestValue要素の値との比較を行う(Reference検証)。さらにSignedInfo要素に対してSignatureValue要素を用いて検証用公開鍵1301による検証を行う(Signature検証)。ここで、Reference検証、Signature検証のいずれかに失敗した場合には、検証者装置106は、検証失敗と判断する。
【0080】
図16を用いて、上述のXML Signatureの署名生成、検証処理手順に着目し、Transform要素1606に墨塗り署名用の新たな変換処理を定義することによって、墨塗り署名1105の生成、検証を行う様子を説明する。
【0081】
ここでは、墨塗り署名1105の生成、検証のための変換をReference要素1604内でTransform要素1606として記述する。ここで、Transform要素1606の入力は、図15に示したXMLデータとなるようにする。これには、例えば、Reference要素1604のUri属性にSignedJpeg要素1507への参照情報(URI)を記述し、そのReference要素1604内の最初のTransform要素1606に墨塗り署名1105の生成、検証のための変換を指定すればよい。署名者装置102は、このXMLデータを参照し、署名の対象となるオリジナル画像107に対して署名対象データ1102の計算を行う(ステップ801からステップ807)。また、検証者装置106は、このXMLデータを参照し、署名付開示画像109に対して署名対象データ1102の計算を行う(ステップ1001からステップ1007)。署名値1107の計算(ステップ808、809)、或いは、署名対象データ1102と署名値1107の検証(ステップ1008、ステップ1009、または、ステップ1010)は、XML SignatureのSignature生成、検証において、それぞれ行われる。
【0082】
なお、XML Signatureを利用する場合には、署名対象となるJPEGファイルの参照方法を定めておく必要がある。参照方法としては、例えば、SignedJpeg要素1501のJpegInfo要素1502に署名対象となるJPEGファイルのURIなどの参照情報を記述し、この情報をもとに署名・検証対象となるJPEGファイルを特定する方法や、墨塗り署名1105は対象となるJPEGファイル内のAPPセグメントに記述することと定めておく方法などが挙げられる。
【0083】
なお、XML Sigantureでは、複数のReference要素1604をSignature要素内に指定することができ、これによって複数の署名対象要素に対して一つの署名を付与することができる。これを利用して、複数のReference要素1604を用意し、各Reference要素1604でSignedJpeg要素1501を指定することによって、複数のJPEGファイルに対して、一つの墨塗り署名を付与することもできる。
【0084】
本実施形態では、図14の墨塗り署名フォーマットの実現方法の一例としてXMLを利用したが、実現方法は、XMLに限られない。例えば、ASN.1や独自に定義したフォーマットを利用してもよい。また、図16では、XMLを利用した墨塗り署名の生成・検証を示したが、必ずしもXML Signatureを用いる必要はない。例えば、前述のように、単純にSignedJpeg要素1501の下に署名値1107を記述するための要素(例えば、SignatureValue要素)を追加し、図8、図10に示した処理を用いて墨塗り署名の生成、検証を行ってもよい。
【0085】
上記の実施形態の説明では、署名者装置102を一般的な構成を有する電子計算機216によって実現した例を示したが、これと異なっていてもよい。たとえば、演算機能を有するデジタルカメラやスキャナ装置を用いて署名者装置102を実現してもよい。この場合、撮影またはスキャンされた画像データが装置の外に出力される前に、署名が付与されることになるので、セキュリティの観点からは好ましい。
【0086】
以上説明したように、本実施形態では、署名付与対象の電子画像を複数の構成要素に分割し、その構成要素それぞれの特徴値を算出し、その特徴値を結合したものを署名対象データとして署名用秘密鍵を用いて署名値を計算する。このとき、特徴値の算出には、署名付与対象の電子画像のエントロピー符号を復号した中間データを用いる。また、署名対象データを作成するために必要となる情報、すなわち、構成要素への分割のための情報、特徴値を算出するための乱数などの情報、および、計算された署名値から墨塗り署名を構成する。
【0087】
署名を付与した電子画像に墨塗りを行う場合、署名内の、署名対象データを作成するために必要となる情報を参照して、電子画像を分割し、墨塗りの対象となる領域を他の画像データに置き換えることによって行う。このとき、画像の置き換えは、電子画像のエントロピー符号を復号した中間データに対して行い、再度エントロピー符号を符号化することで墨塗り後の電子画像を得る。また、署名内の署名対象データを作成するために必要となる情報の中の、墨塗りを行った構成要素に対応した情報を、墨塗り前の当該構成要素の特徴値に置き換え、また、墨塗りを行った構成要素を特定する情報を付加することにより、署名も更新する。
【0088】
署名を付与した後に墨塗りを行った電子画像の真正性を検証する場合、署名内の、署名対象データを作成するために必要となる情報を参照して、電子画像を分割し、墨塗りを行った構成要素以外の特徴値を算出し、署名内の墨塗りを行った構成要素の特徴値と結合して生成した署名対象データを用いて、署名内の署名値の検証を行う。このとき、特徴値の算出には、電子画像のエントロピー符号を復号した中間データを用いる。
【0089】
これにより、本実施形態によれば、電子画像に署名を付与した場合に、その電子画像の一部に適切な改変を加えた場合(墨塗りを行った場合)でも、その検証を行うことができる。
【0090】
なお、上述した実施形態では、エントロピー符号の復号を行い、その結果得られた中間データに対して電子文書墨塗り技術の適用を行っている。これは、直流成分のエントロピー符号化が直前のブロックとの差分値に対して行われるためである。直流成分に対して隣接するJPEG要素との差分をとることは、データ圧縮の点からは有利であるが、あるブロックでビット誤りなどのエラーが生じた場合には、その後のブロックすべてにそのエラーが派生することになる。前述のように、JPEGには、これを防ぐためのインタバルと呼ばれる構造をもっている。
【0091】
このインタバルを墨塗りブロックの単位とする場合には、エントロピー符号を復号せずとも電子文書墨塗り技術の適用が可能である。ただし、任意のJPEGファイルに適用するためには、JPEGファイルの再構成が必要となる。また、墨塗りブロックのサイズが小さい場合には、上述した実施形態に比べファイルサイズが大きくなる。
【0092】
他の画像ファイルについても、JPEGと同様にして、電子文書墨塗り技術を適用することが可能である。たとえば、JPEG2000では、上記のJPEGに対する電子文書墨塗り技術を適用することができる。JPEG2000では、ウェーブレット変換と呼ばれる処理を用いており、この変換はJPEGと異なり画像全体に対して変換処理が行われる。しかしながら、JPEG2000においても、画像を複数の矩形に分割し、これら分割された矩形、それぞれに対してウェーブレット変換を行い、これらの結果を結合したものを一つのJPEG2000ファイルとして構成することも可能である。したがって、JPEG2000では、これを一つの墨塗りブロックとすることで、電子文書墨塗り技術を適用できる。
【0093】
JPEGにおけるプログレッシブ方式やJPEG2000におけるウェーブレット変換のように、画像が低周波数成分と高周波数成分とに分解されて保持されている場合、所定の周波数領域に対して墨塗りを行ってもよい。このようにすることによって、例えば、コンテンツ配信において、すべての成分を公開した高解像度の画像に対して墨塗り署名を付与し、低周波数成分のみを公開した低解像度の画像をプレビューとして公開した場合に、両画像が同一であることなどの検証が墨塗り署名によって可能となる。
【0094】
また、ビットマップファイルは、ヘッダー情報と画像データとから構成されている。ヘッダー情報には、画像のサイズ、使用される色情報などが記述されており、画像データには、ヘッダー部で指定された色情報に従って、RGB,グレースケール、白黒などの各成分が記述されている。上述の実施形態では、JPEGファイルに対して、エントロピー符号化前の中間データに電子文書墨塗技術を適用していたが、ビットマップでは、上記のインタバルを利用したJPEGファイルへの電子文書墨塗り技術の適用と同様、ファイル内のデータを直接利用して墨塗り署名を生成することが可能である。
【0095】
この他、画像ファイルに対する代表的なデータフォーマットとして、PNGファイルやTiffファイルが知られている。これらのデータフォーマットについても、ビットマップやJPEGファイルと同様に、電子文書墨塗り技術を適用できる。これらのデータフォーマットでは、可逆変換を用いることによってファイルサイズの削減を行っている場合がある。この可逆変換の前後で、たとえば画素単位やブロック単位で、画像データのブロックの情報をそのまま保持している場合には、これを利用して電子文書墨塗り技術を適用できる。一方、例えば、JPEGファイルのJPEG要素のように、その変換において、各ブロックが他のブロックから影響を受けている場合には、上述の実施形態のように、その可逆変換を復号した中間データに対して、墨塗り署名を生成することによって、電子文書墨塗り技術を適用できる。
【0096】
また、JPEGのセグメントと同様に、ファイル内に画像データ以外の任意の情報を持たせておくことが可能な場合には、これを利用することによって、生成された墨塗り署名を別ファイルとして持たせるほか、ファイル内に持たせておいてもよい。
【0097】
PDFファイルは、オブジェクト単位でファイルが構成されている。従って、たとえばこのオブジェクトを利用することによって、本実施形態の電子文書墨塗り技術の実装が可能である。たとえば、1つあるいは、複数のオブジェクトを墨塗りブロックとして指定する。また、上述の実施形態における墨塗り画像と同様に、墨塗り時に墨塗りブロックに置き換わるオブジェクトを署名対象データとして墨塗り署名内にもたせておくことも可能である。
【0098】
また、PDFファイルの内部では、画像を表示する場合に、JPEG形式などの画像データが使用されている場合がある。このような場合には、例えば、上述の実施形態で述べた方法、或いは、プログレッシブ符号化を用いたJPEGファイルやビットマップやPNGなど、他の画像データに対する電子文書墨塗り技術の適用方法と同様にすればよい。
【0099】
なお、TIFFは,米国Aldus Corp.が開発したフォーマットの名称であり、Adobe、Adobe ロゴ、Acrobat、Adobe PDF ロゴ、Distiller、および Reader は、Adobe Systems Incorporated(アドビ システムズ社)の米国およびその他の国における登録商標または商標である。
【0100】
また、本明細書中で説明した各処理に用いる署名エンジンは、RSA,DSA以外の方式であってもよい。そして、電子文書墨塗り技術はSUMI−4以外の方式であってもよい。
【図面の簡単な説明】
【0101】
【図1】本発明の実施形態を実現するネットワークシステムの構成の概略図である。
【図2】本発明の実施形態における署名者装置102を実現する計算機の構成の概略図である。
【図3】本発明の実施形態におけるオリジナル画像107の作成・読込から保管までのフローを説明する図である。
【図4】本発明の実施形態におけるオリジナル画像から開示画像を作成し、保管するまでのフローを説明する図である。
【図5】本発明の実施形態における開示画像保管装置内の開示画像を検証者で検証するまでのフローを説明する図である。
【図6】電子画像からJPEGファイルへの変換処理、及びその逆変換処理の概略を示した図である。
【図7】JPEGファイルのファイル構造の概略を示す図である。
【図8】本発明の実施形態におけるオリジナル画像から署名付オリジナル画像を生成するための処理フローを示した図である。
【図9】本発明の実施形態における署名付オリジナル画像から署名付開示画像を作成するための処理フローを示した図である。
【図10】本発明の実施形態における署名付開示画像を検証者装置で検証する処理フローを示した図である。
【図11】本発明の実施形態においてSUMI-4を適用した場合のオリジナル画像から署名付オリジナル画像を生成するまでの、処理とデータ構造の概略を示した図である。
【図12】本発明の実施形態においてSUMI-4を適用した場合の署名付オリジナル画像から署名付開示画像を生成するまでの、処理とデータ構造の概略を示した図である。
【図13】本発明の実施形態においてSUMI-4を適用した場合の、検証者装置内での署名付開示画像を検証するまでの、処理とデータ構造の概略を示した図である。
【図14】本発明の実施形態の墨塗り署名のフォーマットの構成方法の概略を示す図である。
【図15】本発明の実施形態のXMLを用いた場合の墨塗り署名の補助データ等の表現方法の一例を示した図である。
【図16】本発明の実施形態のXML Signatureを用いて墨塗り署名の生成・検証の処理の概略を示した図である。
【符号の説明】
【0102】
101:ネットワーク、102:署名者装置、103:署名付オリジナル画像保管装置、104:墨塗り者装置、105:開示画像保管装置、106;検証者装置、107:オリジナル画像、108:署名付オリジナル画像、109:署名付開示画像、110:外部媒体、201:CPU、202:RAM、203:外部記憶装置、204:読み取り装置、205:表示装置、206:入力装置、207:通信装置、208:インターフェイス、209:署名用秘密鍵、210:画像保管要求プログラム、211:署名生成プログラム、212:オリジナル画像作成・読み込みプログラム、213:画像保管要求処理部、214:署名生成処理部、215:オリジナル画像作成・読込処理部
【特許請求の範囲】
【請求項1】
電子画像の真正性保証方法であって、
署名者装置において、
前記電子画像を、複数の表示領域に分割し、
分割された各領域に対応する画像データを算出し、
前記分割された各領域に対応する画像データの特徴値を算出し、
前記算出された特徴値を結合したデータに対して電子署名値を算出し、
前記分割された各領域に対応する画像データから、前記電子画像をあらわす電子データを算出し、
前記電子署名値と、前記電子データとを含んで構成されるデータを、署名付き電子画像データとする
ことを特徴とする電子画像の真正性保証方法。
【請求項2】
請求項1記載の電子画像の真正性保証方法であって、
前記電子画像をあらわす電子データとは、前記電子画像をJPEG方式にしたがって圧縮したデータである
ことを特徴とする電子画像の真正性保証方法。
【請求項3】
請求項2記載の電子画像の真正性保証方法であって、
前記分割された各領域に対応する画像データとは、8×8ピクセル領域の画像をDCT変換(離散コサイン変換)し、量子化したデータである
ことを特徴とする電子画像の真正性保証方法。
【請求項4】
請求項1記載の電子画像の真正性保証方法であって、
前記分割された各領域に対応する画像データの特徴値とは、前記分割された各領域に対応する画像データのハッシュ値、または、前記分割された各領域に対応する画像データと乱数を結合したデータに対するハッシュ値である、
ことを特徴とする電子画像の真正性保証方法。
【請求項5】
請求項1に記載の電子画像の真正性保証方法であって、
さらに、墨塗り者装置において、
前記分割された複数の表示領域のうちのひとつ、または複数の領域に対応する画像データを、他の画像データで置き換え、
前記他の画像データと、置き換えられなかった領域に対応する画像データとから、新たな電子画像をあらわす電子データを算出し、
前記電子署名値と、前記新たな電子画像をあらわす電子データと、前記置き換えられたひとつまたは複数の領域に対応する画像データの特徴値とを、前記署名付き電子画像データに含める
ことを特徴とする電子画像の真正性保証方法。
【請求項6】
請求項1に記載の電子画像の真正性保証方法であって、
さらに、検証者装置において、
前記電子画像をあらわす電子データから、前記分割された各領域に対応する画像データを算出し、
前記分割された各領域に対応する画像データの特徴値を算出し、
前記算出された各領域に対応する画像データの特徴値と、前記署名付き電子画像データに含まれる、前記置き換えられたひとつまたは複数の領域に対応する画像データの特徴値とに対し、前記署名付き電子画像データに含まれる電子署名値を検証する、
ことを特徴とする電子画像の真正性保証方法。
【請求項7】
電子署名を付与した後に墨塗りされた電子データの真正性を検証可能なシステムにおける電子データに電子署名を付与する電子署名付与方法であって、
電子署名を付与する対象の電子データを、複数の領域に分割し、
前記分割された各領域の電子データの特徴値を算出し、
前記算出した各領域の特徴値を結合したデータに対して電子署名値を算出し、
前記電子署名値と、前記特徴値を算出する際に用いた情報とを、前記電子署名として前記署名を付与する対象の電子データに付与すること
を特徴とする電子署名付与方法。
【請求項8】
請求項7記載の電子署名付与方法であって、
前記特徴値を算出する分割された各領域の電子データは、署名対象である電子データのエントロピー符号を復号したデータであること
を特徴とする電子署名付与方法。
【請求項9】
電子署名を付与した後に墨塗りされた電子データの真正性を検証可能なシステムにおける電子署名が付与された署名付き電子データに墨塗りを行う墨塗り方法であって、
前記署名付き電子データ内の電子データであって、当該電子データに署名を付与する際と同様に分割した複数の領域の一つまたは複数の領域の電子データを、他の電子データに置き換え、
前記署名付き電子データの署名を、置き換えた領域の置き換える前の電子データの特徴値を用いて更新すること
を特徴とする墨塗り方法。
【請求項10】
電子署名を付与した後に墨塗りされた電子データの真正性を検証する署名付き電子データの真正性検証方法であって、
前記署名付き電子データ内の電子データを、当該電子データに電子署名を付与する際と同様に複数の領域に分割し、
前記署名付き電子データの墨塗りされた箇所に対応する前記領域の特徴値を前記署名付き電子データ内の電子署名から取得し、
前記墨塗りされた箇所以外に対応する前記複数の領域それぞれの電子データの特徴値を算出し、
前記取得した特徴値と前記算出した特徴値と結合し、前記署名付き電子データ内の前記電子署名を検証すること
を特徴とする署名付き電子データの真正性検証方法。
【請求項11】
請求項9記載の墨塗り方法であって、
前記他の電子データに置き換える際、署名付き電子データ内の電子データを分割後、エントロピー符号を復号して中間データを生成し、当該中間データを、前記他の電子データに置き換え、置き換えた後、エントロピー符号化を行うこと
を特徴とする墨塗り方法。
【請求項12】
請求項7記載の電子署名付与方法であって、
前記特徴値を算出する際に用いた情報は、前記分割する各領域を特定する情報と、前記特徴値を算出する過程に付与される補助データと、を含むこと
を特徴とする電子署名付与方法。
【請求項13】
請求項7記載の電子署名付与方法であって、
前記特徴値を算出する際に用いた情報をXMLを用いて記述し、
前記各領域の特徴値の算出と、前記算出した特徴値の結合とを、XML SignatureのReference生成処理におけるReference要素内のTransform要素で処理において、前記XMLを用いて記述された情報を参照することによって実現し、
前記電子署名値の算出は、XML Signatureの署名生成処理を用いて行うこと
を特徴とする電子署名付与方法。
【請求項14】
請求項10記載の署名付き電子データの真正性検証方法であって、
前記墨塗りされた領域の特徴値を取得し、それ以外の領域の特徴値を算出するための情報をXMLを用いて記述し、
前記各領域の特徴値の算出と、前記取得および算出した特徴値の結合とを、XML SignatureのReference検証処理におけるReference要素内のTransform要素の処理において、前記XMLを用いて記述された情報を参照することによって実現し、
前記電子署名の検証は、XML Signatureの署名検証処理を用いて行うこと
を特徴とする署名付き電子データの真正性検証方法。
【請求項15】
署名者装置と墨塗り者装置と検証者装置とを備え、公開する電子データに署名を付与して当該電子データの真正性を検証可能な電子データ公開システムであって、
前記署名者装置は、
前記電子データを複数の構成要素に分割し、前記分割された各構成要素の特徴値を算出する署名者装置特徴値算出手段と、
前記算出された各特徴値を結合した署名対象データの電子署名値を生成する署名値生成手段と、
前記電子署名値と前記署名者装置特徴値算出手段で用いた情報とを電子署名として前記電子データに付加し、署名付電子データとして生成する署名付電子データ生成手段と、を備え、
前記墨塗り者装置は、
前記署名付き電子データ内の電子データを、前記電子署名の中の情報を用いて前記複数の構成要素に分割し、指定された構成要素を他のデータに置き換える墨塗り手段と、
前記署名内の前記他のデータに置き換えた構成要素に対応する箇所を、置き換える前の当該構成要素の前記特徴値に置き換えるとともに、置き換えた箇所を特定する情報を当該電子署名に付加することにより、前記署名付き電子データ内の前記電子署名を更新する署名更新手段と、を備え、
前記検証者装置は、
検証対象の前記署名付き電子データを、前記電子署名内の情報を用いて前記複数の構成要素に分割する検証者装置分割手段と、
前記電子署名内の情報を用いて、前記分割した各構成要素の中の前記他のデータに置き換えた構成要素以外の特徴値を算出する検証者装置特徴値算出手段と、
前記電子署名から、前記分割した構成要素の中の前記他のデータに置き換えた構成要素の前記特徴値を抽出し、前記検証者装置特徴値算出手段で算出した他の構成要素の前記特徴値と結合させて署名対象データとし、当該署名対象データと前記電子署名内の電子署名値とを用いて署名検証を行う検証手段と、を備えること
を特徴とする電子データ公開システム。
【請求項16】
請求項15記載の電子データ公開システムであって、
前記電子データは、圧縮された電子画像であり、
前記署名者装置特徴値算出手段は、前記圧縮された電子画像を複数の構成要素に分割した後、前記特徴値を算出する前に、各構成要素を、他の構成要素から独立した中間データに復号し、当該中間データを用いて前記特徴値を算出し、
前記墨塗り手段は、前記分割後、他のデータに置き換える前に、各構成要素を、前記中間データに復号し、当該中間データにおいて前記他のデータに置き換え、
前記検証者装置特徴値算出手段は、前記分割した各構成要素を前記中間データに復号し、前記特徴値を算出すること
を特徴とする電子データ公開システム。
【請求項17】
請求項15および16のいずれか1項記載の電子データ公開システムであって、
前記電子署名値に含まれる前記著名者装置特徴値算出手段で用いた情報には、前記特徴値を算出する過程において付与される補助データと、前記分割された各構成要素の位置を特定する情報と、を含むこと
を特徴とする電子データ公開システム。
【請求項18】
電子署名を付与した後に墨塗りされた電子データの真正性を検証可能なシステムにおける電子データに電子署名を付与する署名者装置であって、
前記電子データを複数の構成要素に分割し、前記分割された各構成要素の特徴値を算出する特徴値算出手段と、
前記算出された各特徴値を結合した署名対象データの電子署名値を生成する署名値生成手段と、
前記署名値と前記特徴値算出手段で用いた情報とを電子署名として前記電子データに付加し、署名付電子データを生成する署名付電子データ生成手段と、を備えること
を特徴とする署名者装置。
【請求項19】
電子署名を付与した後に墨塗りされた電子データの真正性を検証可能なシステムにおける電子署名が付与された署名付き電子データに墨塗りを行う墨塗り者装置であって、
前記署名付き電子データ内の電子データを、複数の構成要素に分割し、指定された構成要素を他のデータに置き換える墨塗り手段と、
前記署名付き電子データ内の前記電子署名を更新する署名更新手段と、を備え、
前記署名付き電子データに付与される電子署名は、前記分割された複数の構成要素毎に特徴値を算出するために必要なデータを備え、
前記署名更新手段は、前記電子署名内の前記他のデータに置き換えた構成要素に対応する前記必要なデータを、置き換える前の当該構成要素から算出した前記特徴値に置き換え、置き換えた箇所を特定する情報を当該電子署名に付加することにより、前記署名付き電子データ内の前記署名を更新すること
を特徴とする墨塗り者装置。
【請求項20】
電子署名を付与した後に墨塗りされた電子データの真正性を検証可能なシステムにおいて電子データの真正性を検証する検証者装置であって、
検証対象の電子署名が付与された電子データを、前記複数の構成要素に分割する検証者装置分割手段と、
前記分割した各構成要素の特徴値を算出する特徴値算出手段と、
前記付与された電子署名を用いて署名検証を行う検証手段と、を備え、
前記電子署名は、署名値と、前記電子データを分割するために必要な情報と、前記特徴値を算出するために用いる情報と、分割した各構成要素の中で墨塗りされた箇所に対応する構成要素の墨塗り前の構成要素の特徴値と、を備え、
前記検証手段は、前記各構成要素の特徴値の中の、前記墨塗りされた箇所に対応する構成要素の特徴値として前記電子署名内の墨塗り前の構成要素の特徴値を用い、他の構成要素の特徴値として前記特徴値算出手段で算出した特徴値を用い、各特徴値を結合して検証用の署名対象データを生成して、前期電子署名内の署名値を用いて署名検証を行うこと
を特徴とする検証者装置。
【請求項1】
電子画像の真正性保証方法であって、
署名者装置において、
前記電子画像を、複数の表示領域に分割し、
分割された各領域に対応する画像データを算出し、
前記分割された各領域に対応する画像データの特徴値を算出し、
前記算出された特徴値を結合したデータに対して電子署名値を算出し、
前記分割された各領域に対応する画像データから、前記電子画像をあらわす電子データを算出し、
前記電子署名値と、前記電子データとを含んで構成されるデータを、署名付き電子画像データとする
ことを特徴とする電子画像の真正性保証方法。
【請求項2】
請求項1記載の電子画像の真正性保証方法であって、
前記電子画像をあらわす電子データとは、前記電子画像をJPEG方式にしたがって圧縮したデータである
ことを特徴とする電子画像の真正性保証方法。
【請求項3】
請求項2記載の電子画像の真正性保証方法であって、
前記分割された各領域に対応する画像データとは、8×8ピクセル領域の画像をDCT変換(離散コサイン変換)し、量子化したデータである
ことを特徴とする電子画像の真正性保証方法。
【請求項4】
請求項1記載の電子画像の真正性保証方法であって、
前記分割された各領域に対応する画像データの特徴値とは、前記分割された各領域に対応する画像データのハッシュ値、または、前記分割された各領域に対応する画像データと乱数を結合したデータに対するハッシュ値である、
ことを特徴とする電子画像の真正性保証方法。
【請求項5】
請求項1に記載の電子画像の真正性保証方法であって、
さらに、墨塗り者装置において、
前記分割された複数の表示領域のうちのひとつ、または複数の領域に対応する画像データを、他の画像データで置き換え、
前記他の画像データと、置き換えられなかった領域に対応する画像データとから、新たな電子画像をあらわす電子データを算出し、
前記電子署名値と、前記新たな電子画像をあらわす電子データと、前記置き換えられたひとつまたは複数の領域に対応する画像データの特徴値とを、前記署名付き電子画像データに含める
ことを特徴とする電子画像の真正性保証方法。
【請求項6】
請求項1に記載の電子画像の真正性保証方法であって、
さらに、検証者装置において、
前記電子画像をあらわす電子データから、前記分割された各領域に対応する画像データを算出し、
前記分割された各領域に対応する画像データの特徴値を算出し、
前記算出された各領域に対応する画像データの特徴値と、前記署名付き電子画像データに含まれる、前記置き換えられたひとつまたは複数の領域に対応する画像データの特徴値とに対し、前記署名付き電子画像データに含まれる電子署名値を検証する、
ことを特徴とする電子画像の真正性保証方法。
【請求項7】
電子署名を付与した後に墨塗りされた電子データの真正性を検証可能なシステムにおける電子データに電子署名を付与する電子署名付与方法であって、
電子署名を付与する対象の電子データを、複数の領域に分割し、
前記分割された各領域の電子データの特徴値を算出し、
前記算出した各領域の特徴値を結合したデータに対して電子署名値を算出し、
前記電子署名値と、前記特徴値を算出する際に用いた情報とを、前記電子署名として前記署名を付与する対象の電子データに付与すること
を特徴とする電子署名付与方法。
【請求項8】
請求項7記載の電子署名付与方法であって、
前記特徴値を算出する分割された各領域の電子データは、署名対象である電子データのエントロピー符号を復号したデータであること
を特徴とする電子署名付与方法。
【請求項9】
電子署名を付与した後に墨塗りされた電子データの真正性を検証可能なシステムにおける電子署名が付与された署名付き電子データに墨塗りを行う墨塗り方法であって、
前記署名付き電子データ内の電子データであって、当該電子データに署名を付与する際と同様に分割した複数の領域の一つまたは複数の領域の電子データを、他の電子データに置き換え、
前記署名付き電子データの署名を、置き換えた領域の置き換える前の電子データの特徴値を用いて更新すること
を特徴とする墨塗り方法。
【請求項10】
電子署名を付与した後に墨塗りされた電子データの真正性を検証する署名付き電子データの真正性検証方法であって、
前記署名付き電子データ内の電子データを、当該電子データに電子署名を付与する際と同様に複数の領域に分割し、
前記署名付き電子データの墨塗りされた箇所に対応する前記領域の特徴値を前記署名付き電子データ内の電子署名から取得し、
前記墨塗りされた箇所以外に対応する前記複数の領域それぞれの電子データの特徴値を算出し、
前記取得した特徴値と前記算出した特徴値と結合し、前記署名付き電子データ内の前記電子署名を検証すること
を特徴とする署名付き電子データの真正性検証方法。
【請求項11】
請求項9記載の墨塗り方法であって、
前記他の電子データに置き換える際、署名付き電子データ内の電子データを分割後、エントロピー符号を復号して中間データを生成し、当該中間データを、前記他の電子データに置き換え、置き換えた後、エントロピー符号化を行うこと
を特徴とする墨塗り方法。
【請求項12】
請求項7記載の電子署名付与方法であって、
前記特徴値を算出する際に用いた情報は、前記分割する各領域を特定する情報と、前記特徴値を算出する過程に付与される補助データと、を含むこと
を特徴とする電子署名付与方法。
【請求項13】
請求項7記載の電子署名付与方法であって、
前記特徴値を算出する際に用いた情報をXMLを用いて記述し、
前記各領域の特徴値の算出と、前記算出した特徴値の結合とを、XML SignatureのReference生成処理におけるReference要素内のTransform要素で処理において、前記XMLを用いて記述された情報を参照することによって実現し、
前記電子署名値の算出は、XML Signatureの署名生成処理を用いて行うこと
を特徴とする電子署名付与方法。
【請求項14】
請求項10記載の署名付き電子データの真正性検証方法であって、
前記墨塗りされた領域の特徴値を取得し、それ以外の領域の特徴値を算出するための情報をXMLを用いて記述し、
前記各領域の特徴値の算出と、前記取得および算出した特徴値の結合とを、XML SignatureのReference検証処理におけるReference要素内のTransform要素の処理において、前記XMLを用いて記述された情報を参照することによって実現し、
前記電子署名の検証は、XML Signatureの署名検証処理を用いて行うこと
を特徴とする署名付き電子データの真正性検証方法。
【請求項15】
署名者装置と墨塗り者装置と検証者装置とを備え、公開する電子データに署名を付与して当該電子データの真正性を検証可能な電子データ公開システムであって、
前記署名者装置は、
前記電子データを複数の構成要素に分割し、前記分割された各構成要素の特徴値を算出する署名者装置特徴値算出手段と、
前記算出された各特徴値を結合した署名対象データの電子署名値を生成する署名値生成手段と、
前記電子署名値と前記署名者装置特徴値算出手段で用いた情報とを電子署名として前記電子データに付加し、署名付電子データとして生成する署名付電子データ生成手段と、を備え、
前記墨塗り者装置は、
前記署名付き電子データ内の電子データを、前記電子署名の中の情報を用いて前記複数の構成要素に分割し、指定された構成要素を他のデータに置き換える墨塗り手段と、
前記署名内の前記他のデータに置き換えた構成要素に対応する箇所を、置き換える前の当該構成要素の前記特徴値に置き換えるとともに、置き換えた箇所を特定する情報を当該電子署名に付加することにより、前記署名付き電子データ内の前記電子署名を更新する署名更新手段と、を備え、
前記検証者装置は、
検証対象の前記署名付き電子データを、前記電子署名内の情報を用いて前記複数の構成要素に分割する検証者装置分割手段と、
前記電子署名内の情報を用いて、前記分割した各構成要素の中の前記他のデータに置き換えた構成要素以外の特徴値を算出する検証者装置特徴値算出手段と、
前記電子署名から、前記分割した構成要素の中の前記他のデータに置き換えた構成要素の前記特徴値を抽出し、前記検証者装置特徴値算出手段で算出した他の構成要素の前記特徴値と結合させて署名対象データとし、当該署名対象データと前記電子署名内の電子署名値とを用いて署名検証を行う検証手段と、を備えること
を特徴とする電子データ公開システム。
【請求項16】
請求項15記載の電子データ公開システムであって、
前記電子データは、圧縮された電子画像であり、
前記署名者装置特徴値算出手段は、前記圧縮された電子画像を複数の構成要素に分割した後、前記特徴値を算出する前に、各構成要素を、他の構成要素から独立した中間データに復号し、当該中間データを用いて前記特徴値を算出し、
前記墨塗り手段は、前記分割後、他のデータに置き換える前に、各構成要素を、前記中間データに復号し、当該中間データにおいて前記他のデータに置き換え、
前記検証者装置特徴値算出手段は、前記分割した各構成要素を前記中間データに復号し、前記特徴値を算出すること
を特徴とする電子データ公開システム。
【請求項17】
請求項15および16のいずれか1項記載の電子データ公開システムであって、
前記電子署名値に含まれる前記著名者装置特徴値算出手段で用いた情報には、前記特徴値を算出する過程において付与される補助データと、前記分割された各構成要素の位置を特定する情報と、を含むこと
を特徴とする電子データ公開システム。
【請求項18】
電子署名を付与した後に墨塗りされた電子データの真正性を検証可能なシステムにおける電子データに電子署名を付与する署名者装置であって、
前記電子データを複数の構成要素に分割し、前記分割された各構成要素の特徴値を算出する特徴値算出手段と、
前記算出された各特徴値を結合した署名対象データの電子署名値を生成する署名値生成手段と、
前記署名値と前記特徴値算出手段で用いた情報とを電子署名として前記電子データに付加し、署名付電子データを生成する署名付電子データ生成手段と、を備えること
を特徴とする署名者装置。
【請求項19】
電子署名を付与した後に墨塗りされた電子データの真正性を検証可能なシステムにおける電子署名が付与された署名付き電子データに墨塗りを行う墨塗り者装置であって、
前記署名付き電子データ内の電子データを、複数の構成要素に分割し、指定された構成要素を他のデータに置き換える墨塗り手段と、
前記署名付き電子データ内の前記電子署名を更新する署名更新手段と、を備え、
前記署名付き電子データに付与される電子署名は、前記分割された複数の構成要素毎に特徴値を算出するために必要なデータを備え、
前記署名更新手段は、前記電子署名内の前記他のデータに置き換えた構成要素に対応する前記必要なデータを、置き換える前の当該構成要素から算出した前記特徴値に置き換え、置き換えた箇所を特定する情報を当該電子署名に付加することにより、前記署名付き電子データ内の前記署名を更新すること
を特徴とする墨塗り者装置。
【請求項20】
電子署名を付与した後に墨塗りされた電子データの真正性を検証可能なシステムにおいて電子データの真正性を検証する検証者装置であって、
検証対象の電子署名が付与された電子データを、前記複数の構成要素に分割する検証者装置分割手段と、
前記分割した各構成要素の特徴値を算出する特徴値算出手段と、
前記付与された電子署名を用いて署名検証を行う検証手段と、を備え、
前記電子署名は、署名値と、前記電子データを分割するために必要な情報と、前記特徴値を算出するために用いる情報と、分割した各構成要素の中で墨塗りされた箇所に対応する構成要素の墨塗り前の構成要素の特徴値と、を備え、
前記検証手段は、前記各構成要素の特徴値の中の、前記墨塗りされた箇所に対応する構成要素の特徴値として前記電子署名内の墨塗り前の構成要素の特徴値を用い、他の構成要素の特徴値として前記特徴値算出手段で算出した特徴値を用い、各特徴値を結合して検証用の署名対象データを生成して、前期電子署名内の署名値を用いて署名検証を行うこと
を特徴とする検証者装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【公開番号】特開2006−180472(P2006−180472A)
【公開日】平成18年7月6日(2006.7.6)
【国際特許分類】
【出願番号】特願2005−338660(P2005−338660)
【出願日】平成17年11月24日(2005.11.24)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成18年7月6日(2006.7.6)
【国際特許分類】
【出願日】平成17年11月24日(2005.11.24)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]