本論文では，暗号用秘密鍵漏洩およびネットワーク変化に対応できる匿名通信路を提案する．匿名通信路とは，あるネットワークにおいて，ある参加者同士が互いに通信をおこなっている際に，通信をおこなっていない第三者からは誰と誰が通信をおこなっているかがわからない，というような仕組みをもつ通信路である．言い換えれば，通信データ（の内容）の秘匿のみならず，データの送信元と送信先の関連付けも取れなくする通信路である．

匿名通信路に関しては，D.Chaumによって1981年に提案されたUntraceable Electronic Mailに始まり，さまざまな構成方法が提案されてきた．Mix-net，Onion Routing，Crowdsなどの匿名通信路は定評のある方式である．しかしながら，これらの方式は，（1）ネットワーク構造の動的な変化に対応できない，（2）秘密鍵の漏洩に対して脆弱である，という問題を内包している．

そこで，本論文ではこの2つの問題を解決する新しい匿名通信路構成方法を提案する．すなわち，提案手法は次の2つの特徴を持つ．

a）ネットワーク構造が動的に変化するようなネットワーク，例えば，peer-to-peer（P2P）環境やアドホック・ネットワークにおいて，匿名通信が利用しやすくなる．

b）匿名通信路を構成するのに必要な公開鍵暗号系における，秘密鍵漏洩問題に対処する手法を備えている．

これまでの匿名通信路の研究では，ネットワーク上の各ルータは静的な状態にある（ネットワークの構造が変化しない）ことを前提にしていた．このため，既存の方式をP2P環境などで利用すると，プロトコルの途中でネットワークの接続・構成が突然変更された場合に大きな問題が生じた．例えば，匿名通信路の形成に失敗するだけではなく，通信路の形成に失敗したという事実をメッセージ送信者に伝えることも困難になる場合もあった．

Mix-netは，メッセージの送信経路が完全に固定されており，そもそも構成要素であるノード（Mixサーバ）が一つでもオフラインになると，匿名通信機能が利用できない．また，Crowdsは，その性質上，経路上のノード（Crowdsメンバ）に送信先が知られてしまうという欠点がある．オニオン・ルーティングは，Mix-netよりはノード（オニオン・ルータ）の選択において柔軟性があり，送信先も隠蔽されているのでCrowdsよりは匿名性が高い．

そこで，提案手法は，オニオン・ルーティングに用いられた多重暗号化の概念を利用した新しい匿名通信路方式を考案した．具体的には，これまでのオニオン・ルーティング手法で仮定していた，ステイトフル（パケットなどの情報をある程度記憶すること）なノードを用いる代わりに，オニオン・データパケット自身に対して予備の経路情報（バックトラック・オニオン）を付加した．この結果，ネットワークの構造（トポロジ）が動的に変化する場合においても，付加した情報を利用することによりそれに対応できるようになった．すなわち，切断された経路や，オフラインになったノードを回避することが可能になり，その結果送信先にメッセージを送ることに成功する可能性を増大することができた．さらに，匿名性をより強固なものとするために，どのようなパケット構造が適切であるかも検討し，具体的な方策を提示した．

秘密鍵漏洩問題とは，公開鍵暗号系における秘密鍵（これには，署名用秘密鍵と暗号文復号用秘密鍵が存在するが，本論文では後者の復号用秘密鍵を指す）が第三者に漏洩してしまう問題である．秘密鍵が漏洩してしまうと，その鍵の正当な所有者ではない者が，暗号文を復号できてしまうことになり，暗号の持つ秘匿性が完全に失われてしまう．証明書失効リスト（CRL）を利用するにしても，公開鍵-秘密鍵のペアを再生成する必要があり，またそれをメッセージの送信者に告知する労力も馬鹿にならない．

この問題に対抗するために，秘密鍵の管理に工夫をする方式が提案されている．例えば，Threshold Encryption，Forward Secrue Encryption，Key-Insulated Encryption, そしてIntrusion-Resilient Public-key Encryptionといった方式があげられる．この中でも，Key-insulated encryption（KIE）方式は，方式実現のための仮定が比較的小さい反面，秘密鍵漏洩に対してそれなりの耐性がある．しかしながら，KIE方式はマスター秘密鍵と呼ばれる"親"秘密鍵を安全な場所に保存しておく必要があり，同方式においては安全性を仮定した秘密鍵保存デバイスの存在を前提条件としている．

本論文では，秘密鍵漏洩問題に対処する手法として，パーソナル・エントロピーを利用して秘密鍵の更新を行う手法を提案した．KIEに即して述べるならば，パーソナル・エントロピーを用いてマスター秘密鍵を作成する方式を考案した．ここで述べるパーソナル・エントロピーとは，個人的な特徴を基にした秘密情報の総称である．具体的には，バイオメトリクス情報およびグラフィカルパスワードを利用して，個人の秘密鍵を作成する方法を提案した．

この方式では，従来の秘密鍵更新方式において必要とされていた，安全性を仮定した秘密鍵保存デバイスが不要となった．すなわち，方式を安全に保つための仮定のひとつを取り除くことに成功した．さらに，正当なユーザ（本人）以外にバイオメトリクス鍵を生成することは困難であるため，秘密鍵を更新するタイミングにおけるなりすまし攻撃も難しい．そして，バイオメトリクス情報（鍵）は，特定のデバイス内に保存しない仕組みにするため，これが漏洩することは考えなくて良い．また，提案した秘密鍵生成手法は，同じニーズがある他のアプリケーションにも応用が可能な，適用範囲の広い手法といえる．

本論文は「秘密鍵漏洩およびネットワーク変化に対応できる匿名通信路の研究」と題し，ヒューマンクリプトを構成する2つの基盤技術に関して提案を行ったものである．ヒューマンクリプトでは，人に安全と同時に安心を与えることが重要とされる．安心を与えるための基本的な要素技術として，プライバシーを守るための匿名通信技術，バイオメトリクスを利用した暗号化技術が挙げられる．本論文では，これら二つの技術を実際に用いる場合に生じる重要な問題を指摘し，その解決策を提案している．すなわち，匿名通信技術に関しては，（1）ネットワーク構造の変化に適応可能な匿名通信路の構成，バイオメトリクスに基づく暗号化技術に関しては，（2）バイオメトリクスを利用した暗号文復号用秘密鍵の漏洩対策，をそれぞれ示している．本論文は「序論」を含め7章からなる．

第1章は「序論」で，本研究の背景を明らかにした上で，研究の動機と目的について言及し，研究の位置付けについて整理している．

第2章は「現代暗号技術」と題し，以下で用いる暗号技術の基礎的な方式を紹介している．すなわち，共通鍵暗号，公開鍵暗号，電子署名方式について例示して説明している．

第3章は「匿名通信技術」と題し，ネットワーク上でメッセージの送信者や受信者の匿名性を維持するために近年提案された匿名通信方式を紹介している．匿名通信方式は，送信者からのメッセージを受信者に送信する際に，複数の中継ノードを経由させることで，送信者と受信者のつながりを絶つ（すなわち匿名性を維持する）ことができる．本章では特にミックスネット，オニオン・ルーティング，クラウズ方式についてその詳細を示し，同時にネットワーク構造の変化に対する適応能力の不備を指摘している．

第4章は「通信路変化耐性・匿名通信路の構成方法」と題し，オニオン・ルーティング方式をベースとした提案方式の詳細を示している．既存方式では1つの経路情報のみをメッセージに添付する手法が一般的であったが，提案方式では，メッセージが複数の経路情報を保持する仕組みとなっている．この結果，提案方式は，ネットワーク構造が変化した場合にデータの転送が失敗する確率が，既存方式と比較して減少する．また，匿名性・メッセージ量・通信回数といった要素について，既存方式との比較を行っている．

第5章は「秘密鍵漏洩対策技術」と題し，既存の公開鍵暗号方式における秘密鍵漏洩に耐性を持つ方式を紹介している．特に，threshold encryption方式や，forward secure encryption方式，key-insulated encryption方式，そしてintrusion-resilient encryption方式について概説し，各方式の利点と欠点を提示している．

第6章は「バイオメトリクス秘密鍵更新方式」と題し，ユーザのバイオメトリクス情報を用いて秘密鍵を更新するという秘密鍵漏洩に対処し得る方式を提案している．秘密鍵更新方式の一つであるkey-insulated encryption方式は，ICカードのような携帯型デバイスに記憶したマスター鍵を利用して秘密鍵を定期的に更新することにより，秘密鍵が漏洩した場合にその影響の範囲をある期間に限定する方式である．しかし，key-insulated encryption方式はその安全性がマスター鍵の安全性に依存しており，ICカードの盗難やそれにともなう成りすまし問題には対処できない．本章では，ICカードを利用する代わりに，バイオメトリクスを利用する秘密鍵更新方式を提案している．バイオメトリクスはユーザ個人に起因する情報であるため，本人以外に秘密鍵の更新を行うことが難しく，成りすましも防止しやすい．ここでは，提案方式の具体的なモデルおよび実装例を示した上で，実証実験の結果を示している．

最後に第7章は「結論」で，本研究の総括を行い，併せて将来展望について述べている．

以上これを要するに，本論文は，ヒューマンクリプトを構成する基盤技術としての匿名通信技術およびバイオメトリクスを利用した暗号化技術を実際に用いる場合に生じるネットワーク構造変化や秘密鍵漏洩問題に対する解決策を明示したものであり，電子情報学，特に情報セキュリティ工学上貢献するところが少なくない．

よって本論文は博士（情報理工学）の学位請求論文として合格と認められる．