ミディアム
ラシッド・シャミ
2020年5月31日

元記事はこちら。

1983年、David Chaumは、史上初の暗号通貨とされる匿名暗号電子マネーを考案した。この暗号通貨は、同じく彼の論文で紹介されたブラインド署名の使用に依存していた。

一言で言えば、紙幣や硬貨などの決済システムを使った商品代金の支払い方法を自動化することです。また、コントロールの欠如、プライバシー、セキュリティなど、その問題点のいくつかを解決するものです。

そこで彼は、次のような性質を持つ新しい暗号を提案した：

・第三者が、個人の支払先、支払時期、支払金額を特定できないこと。

・例外的な状況下で、個人が支払証明を提供する能力、または支払者の身元を確認する能力。

・盗まれたと報告されたペイメントメディアの使用を停止する機能。

今回は、ブラインドシグネチャーを理解するために使った資料を公開するとともに、概念についてより詳しい解説をします。

イラストレーション

このブラインド署名暗号を説明するために、David Chaumはカーボン紙を裏打ちした封筒を使った選挙を例にしています。この後者は、外から署名すると封筒内の伝票に署名のコピーが残るように作られています。

問題提起は以下の通りです：

ソリューション

サイン入り投票券の送付

 ソリューション サイン入り投票券の送付

4.外側の封筒を開封し、投票券の入った内側の封筒を取り出す。
5.投票用紙の入った封筒にサインをする。しかし、カーボン紙で裏打ちされた封筒なので、署名は投票用紙にも存在することになる。したがって、これは封筒を開けることなく行われる。
6.署名入りの封筒を別の封筒の中に包んでいる。

そして、その封筒を選挙人の外封筒の裏に書かれていた住所に送り返す。受託者は、この選挙にのみ有効な特別な署名を使用する必要があります。

投票の流れです：サイン会の様子です：

選挙人は、受託者から署名入り封筒を受け取ります：

7.外封筒からサイン入り封筒を取り出す。
8.票の包みを解くと、その上に受託者の署名がある。
9.選挙当日に匿名でその票を送り、投票中に表示させる。 選挙人は、紙の投票用紙に特別なマークを残すことで、自分の投票がカウントされていることを確認することができます。彼らだけが認識できるマークです。

こうすることで、受託者は署名入りの票を受け取り、許可された選挙人だけが投票していることを確認することができますが、その身元を知ることはできません。

ブラインド署名暗号

ブラインド署名方式は、多くの公開鍵署名プロトコルに存在する。例えば、RSA上で以下のようにブラインド署名暗号を構築することができる：

従来のRSAの操作：

ブラインドRSAは、次のようにして作成することができます：

特徴
一般に、使用する関数は、David Chaumが述べているように、以下の性質に従うべきである：

署名者だけが知っている署名関数s'と、それに対応する公知の逆関数sは、s(s'(x))=xのようなもので、sはs'についての手がかりを与えない。
計算関数cとその逆関数c'は、どちらも提供者のみが知っており、c'(s'(c(x)))=s'(x)となり、c(x)とs'はxに関する手がかりを与えない。
冗長性チェック述語rは、有効な署名の検索を非現実的にするのに十分な冗長性があるかどうかをチェックするものである。

これらの仕組み
これらの機能は、なんとなくですが、図の例のカーボン紙を貼った封筒と同じように使われているような気がします：

プロバイダは、r(x)（rは、有効な署名の検索を非実用的にするために冗長性をチェックする）となるようなxをランダムに選択し、c(x)を形成し、c(x)を署名者に提供する。
署名者は、s'を適用してc(x)に署名し、署名された物質s'(c(x))を提供者に返却する。
プロバイダは、c'の適用により署名された物質を剥がし、c'(s'(c(x))) = s'(x) をもたらす。
署名者の公開鍵sを適用し、r(x(s'(x)))を確認することで、誰でも剥き出しの物質s'(x)が署名者によって形成されたことを確認することができます。

持っていてよかった：
上記の機能及びプロトコルで構成されるブラインド署名システムには、以下のセキュリティ特性が望まれている：

追跡不可能な決済システム
本稿で紹介する追跡不可能な決済モデルを掘り下げる前に、まずは従来のデジタル決済システムの仕組みを紹介します。

匿名部分を追加するために、以下のように変更します：

1. 準備の段階：支払者は、r(x)が成り立つようなxをランダムに選択し、c(x)を形成する。その後、支払者はc(x)を銀行に転送する。

2. 署名のステップ：銀行は手形s'(c(x))に署名し、支払人の口座から引き落とす。その後、銀行は署名されたノートs'(c(x))を支払人に返却する。

3. 署名の検証ステップ：支払人は、c'(s'(c(x)))=s'(x)とすることでメモを剥奪する。次に、支払者は、s(s'(x))=xであることを確認し、偽であれば停止することによって、ノートをチェックする。

これで、支払人は有効な紙幣を手に入れたので、s'(x)を送ることで誰にでも支払うことができる。

ペイジーは、s'(x)、すなわち署名されたメモを受け取った後、以下のステップを踏む：

4.ローカル検証：ペイジーは、r(s(s'(x))を形成してノートをチェックし、偽であれば停止する。その後、ペイジーはノートs'(x)を銀行に転送する。

5.銀行確認ステップ：銀行は、r(s(s'(x)))を形成して手形をチェックし、偽であれば停止する。次に、銀行は手形を包括的な決済済み手形リストに追加し、すでにリストにある場合は停止し、受取人の口座に入金し、最後に受取人に受理を通知します。

つまり、基本的には、銀行は、受取人から提示されたお金が有効であることを確認することができるのです。しかし、銀行側は、受取人の協力なくして、受取人が誰であるかを決定することはできません（投票の図と同じです）。

監査可能性：
このままのモデルで、（銀行が紙幣を受け取る際に行う検証メカニズムによって）未清算の紙幣を検出することができます。

領収書の使用により、現在のモデルを監査可能なものに拡張することができます。実際、受取人は、注文の詳細とノートのコピーを含む領収書を支払人に手渡すことができます。したがって、次のようにすることができる：

・銀行との連携により、希望する受取人が実際にお金を受け取ったのか、何らかの不正があったのかを知ることができます。

闇市場に供給された紙幣を追跡し、最終的にどのような口座に振り込まれたかを知ることができる（受取人の協力のもと）。
領収書をもとに税金を計算することができる。これによって、支出の検証や違法行為の発見も可能になる。

機能拡張
このモデルは、ニーズに応じて様々な拡張が可能である。例えば、署名鍵を定期的に交換することで、セキュリティと監査性を高め、通貨供給量の不確実性を低減することができる。複数の銀行を利用することで、紙幣の使われ方を広げるなど。

結論

この方式は、1989年にDavid ChaumがDigicashという名前で、eCashというフラシップ・ソリューションで実際に実施しました。スイスのクレディ・スイスに認められ、ドイツのドイツ銀行、オーストリアの銀行などでも取り扱われ、一定期間隆盛を極めました。しかし、1998年にecashとともに倒産してしまいました。

詳しくは、以下の資料をご覧ください。

チェックすべきリソース：

●ブラインド署名方式に関する注意点
RSAブラインド署名従来のRSA署名は、S = M^d mod Nの形式で、Mはメッセージ、(N, e)は...である。

●ブラインド署名
ブラインド署名は、デジタル署名の拡張版で、誰かが署名を取得できるようにすることでプライバシーを提供する...

●ジェネシスファイルデイヴィッド・チャウムのecashはいかにしてサイファーパンクの夢を産んだのか？
"データベースへのアクセスにお金を払う""ソフトウェアやニュースレターをEメールで買う""ネット上でコンピューターゲームをする"...。

https://bitcoinmagazine.com/articles/genesis-files-how-david-chaums-ecash-spawned-cypherpunk-dream

関連記事

1  【プライバシーを守る中央銀行デジタル通貨を発行する方法】

一般市民向けの中央銀行デジタル通貨（CBDC）は、銀行券や特定の金融市場参加者向けの準備預金と並んで、中央銀行が発行する新しいタイプの貨幣となる。当初は懐疑的だったものの、CBDCを調査する中央銀行の数は、過去3年間で着実に増えています。
しかし、CBDCがどのように設計されるべきか、どのような特徴を持つべきかという点については、現在のところコンセンサスが得られていない。これらの疑問は、集中的に議論され研究されている。

参考記事

1 【プライバシー保護技術とデジタル社会の決済・金融サービス】2022年9月29日

全文ダウンロード

https://www.boj.or.jp/research/brp/psr/data/psrb220929.pdf

制度設計面の検討の一つとして、デジタル通貨に関連するプライバシー保護に関する調査・検討を、幅広い関係者とともに進めていく。
個人が特定されないようにデータを変換する「匿名化」や、ノイズを加えるなどして分析結果からの識別可能性を抑制する「差分プライバシー」の考え方が挙げられる。他にも、データを秘匿した状態で分析を行う「秘密計算」や、ハードウェア技術を用いて計算処理を機密性が保たれた保護領域で実行する「TEE」などの方法もある。加えて、自組織のデータに含まれる利用者の情報を他組織に対して秘匿しながら協働して機械学習を行う「連合学習」も研究されている。関連する概念として、「自己主権型アイデンティティ」にも注目が集まっている。

2    【プライバシーの経済学入門】2021年6月3日（2021年7月9日修正）

全文ダウンロード
https://www.boj.or.jp/research/wps_rev/wps_2021/data/wp21j10.pdf

本稿では、「プライバシーの経済学」と呼ばれる分野のサーベイを行う。インターネット空間における個人情報の取扱いに対する関心がグローバルに高まるなか、プライバシーの経済学は、近年のプライバシー保護規制当局による規制強化の動きと軌を一にしつつ急速に発展している。プライバシーの経済学が教えるところでは、社会的に望ましいプライバシー保護水準をどう決めるか、個人情報データが有する「負の外部性」に起因するプライバシーの侵害にどう対処するか、といった問題を市場メカニズムによって解決することは難しい。こうした認識は、デジタル決済システムを利用する人々に安心感を与えつつデータの利活用をどう進めていくかを考える際に、重要な示唆を与えうるものである。