JP2012227879A - Oblivious transfer system, oblivious transfer method, and program - Google Patents

Oblivious transfer system, oblivious transfer method, and program Download PDF

Info

Publication number
JP2012227879A
JP2012227879A JP2011096184A JP2011096184A JP2012227879A JP 2012227879 A JP2012227879 A JP 2012227879A JP 2011096184 A JP2011096184 A JP 2011096184A JP 2011096184 A JP2011096184 A JP 2011096184A JP 2012227879 A JP2012227879 A JP 2012227879A
Authority
JP
Japan
Prior art keywords
signature
proof
generation
generating
parameter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011096184A
Other languages
Japanese (ja)
Other versions
JP5572580B2 (en
Inventor
Ryo Nishimaki
陵 西巻
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2011096184A priority Critical patent/JP5572580B2/en
Publication of JP2012227879A publication Critical patent/JP2012227879A/en
Application granted granted Critical
Publication of JP5572580B2 publication Critical patent/JP5572580B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide an oblivious transfer system capable of implementing oblivious transfer which is efficient and capable of general-purpose combination.SOLUTION: A system parameter generation device comprises: a system parameter generation part generating common reference information; and a crs transmission part transmitting the common reference information to a transmission device and a reception device. The transmission device comprises: an encryption database generation part generating cryptograms Cto C, and generates an encryption database; a T transmission part transmitting the encryption database to the reception device; a reply generation part which verifies a knowledge identification impossibility proof, generates a non-dialog zero knowledge proof when the knowledge identification impossibility proof is correct, and generates a reply; and an R transmission part transmitting the reply to the reception device. The reception device comprises: a request generation part which verifies a signature included in the cryptograms Cto C, generates the knowledge identification impossibility proof when the signature is correct, and generates a request; a Q transmission part transmitting the request to the transmission device; and a document acquisition part which verifies the non-dialog zero knowledge proof, and calculates a document mfrom a cryptogram Cand outputs the document when the non-dialog zero knowledge proof is correct.

Description

本発明は電気通信システムでデータベースにおける情報検索などに利用される紛失通信システム、紛失通信方法、およびプログラムに関する。   The present invention relates to a lost communication system, a lost communication method, and a program used for searching information in a database in a telecommunications system.

適応的紛失通信とは、ある受信者が文書(m,…,m)(Nは2以上の正の整数)を持つある送信者と通信を行い、受信者が指定した番号bに対応する文書mを得る方法である.送信者は番号bについて一切知ることができない。受信者は指定した文書以外を得ることはできない。かつ上記の通信を適応的に何度も繰り返すことができる。この技術は安全なデータベース検索(例えば特許庁データベースにおける特許文献の検索)などに応用可能である。従来、汎用的結合可能性と呼ばれる高い安全性を達成している代表的な適応的紛失通信に非特許文献1、2がある。 Adaptive loss communication means that a recipient communicates with a sender having a document (m 1 ,..., M N ) (N is a positive integer equal to or greater than 2) and corresponds to the number b specified by the recipient. This is a method for obtaining a document mb to be processed. The sender cannot know at all about the number b. Recipients can get only the specified document. And the above communication can be repeated adaptively many times. This technique can be applied to secure database retrieval (for example, retrieval of patent documents in the Patent Office database). Conventionally, there are Non-Patent Documents 1 and 2 as typical adaptive lost communication that achieves high security called universal connection possibility.

M. Green and S. Hohenberger. Universally Composable Adaptive Oblivious Transfer. In ASIACRYPT’08, volume 5350 of Lecture Notes in Computer Science, pages 179-197. Springer, 2008.M. Green and S. Hohenberger. Universally Composable Adaptive Oblivious Transfer. In ASIACRYPT’08, volume 5350 of Lecture Notes in Computer Science, pages 179-197. Springer, 2008. A. Rial, M. Kohlweiss, and B. Preneel. Universally Composable Adaptive Priced Oblivious Transfer. In Pairing, volume 5671 of Lecture Notes in Computer Science, pages 231-247. Springer, 2009.A. Rial, M. Kohlweiss, and B. Preneel. Universally Composable Adaptive Priced Oblivious Transfer. In Pairing, volume 5671 of Lecture Notes in Computer Science, pages 231-247. Springer, 2009.

しかしながら、非特許文献1では群の要素に対して署名が可能な署名方式を利用しているため非常に特殊な暗号学仮定を必要とし、安全性の根拠において通常の暗号学的仮定を用いたものと比較して信頼性が低い。また、非特許文献2では上記のような署名方式は利用しないが、値段付き適応的紛失通信という、機能追加した方式を用いる。このため上記とは別の強い暗号学的仮定が必要になり、やはり安全性の根拠において通常の暗号学的仮定を用いたものと比較して信頼性が低い。非特許文献1、2に代表される既存方式においては、汎用的結合可能性という最強の安全性を達成しているものの、適応的紛失通信のプロトコルは非標準的な(強い)暗号学的仮定を必要とするものしかないことが問題であった。   However, since Non-Patent Document 1 uses a signature scheme that can sign group elements, very special cryptographic assumptions are required, and ordinary cryptographic assumptions are used for security reasons. Less reliable than the one. Non-Patent Document 2 does not use the signature method as described above, but uses a method with an added function called adaptive lost communication with a price. For this reason, a strong cryptographic assumption different from the above is required, and the reliability is lower than that using the usual cryptographic assumption on the basis of security. Although the existing methods represented by Non-Patent Documents 1 and 2 achieve the strongest security of universal connectivity, the protocol for adaptive lost communication is a non-standard (strong) cryptographic assumption The only problem was that it needed.

これに対して、標準的な(弱い)暗号学的仮定だけを用いて汎用的結合可能性をもつ適応的紛失通信を実現するために、標準的な暗号学的仮定を用いた署名方式を組み合わせて、適応的紛失通信のプロトコルを構築することが考えられる。しかしながら、単にこれらの標準的な(弱い)暗号学的仮定による署名方式を組み合わせただけでは、適応的紛失通信として機能するとはいえ、汎用的結合可能性の証明が容易でないことが問題であった。また、標準的な暗号学的仮定を用いた署名方式のひとつとして、Waters署名が知られているが、Waters署名は群要素に対して署名することが出来ないため、適応的紛失通信に用いる署名としては適さないと考えられており、適応的紛失通信へのWaters署名の組み込みは困難であった。   On the other hand, in order to realize adaptive lost communication with universal combining possibility using only standard (weak) cryptographic assumptions, a signature scheme using standard cryptographic assumptions is combined. Therefore, it is possible to construct a protocol for adaptive lost communication. However, simply combining the signature schemes based on these standard (weak) cryptographic assumptions, although functioning as an adaptive lost communication, is a problem that it is not easy to prove universal connectivity. . Also, Waters signature is known as one of the signature schemes using standard cryptographic assumptions. However, since Waters signature cannot be signed for group elements, it is a signature used for adaptive lost communication. Therefore, it is difficult to incorporate the Waters signature into the adaptive lost communication.

そこで、本発明では、標準的な暗号学的仮定だけを用い、かつ汎用的結合可能性をもつことが証明可能な適応的紛失通信を実現できる紛失通信システムを提供する。   Therefore, the present invention provides a lost communication system that can realize an adaptive lost communication that uses only standard cryptographic assumptions and that can be proved to have universal combining possibilities.

本発明の紛失通信システムは、システムパラメータ生成装置、送信装置、受信装置からなる。システムパラメータ生成装置は、システムパラメータ生成部と、crs送信部とを備える。   The lost communication system of the present invention includes a system parameter generation device, a transmission device, and a reception device. The system parameter generation device includes a system parameter generation unit and a crs transmission unit.

システムパラメータ生成部は、入力1λに対して任意のλビットの素数と、当該素数位数の巡回乗法群と、双線形写像と、巡回乗法群の生成元と、を組み合わせて双線形写像パラメータを生成し、Groth−Sahai証明の送信装置用パラメータ、受信装置用パラメータを生成し、双線形写像パラメータ、送信装置用パラメータ、受信装置用パラメータ、生成元から設定した第1係数群から共通参照情報crsを生成する。crs送信部は、共通参照情報crsを送信装置と受信装置に送信する。 The system parameter generation unit combines a bilinear mapping parameter by combining an arbitrary λ-bit prime number with respect to input 1 λ , a cyclic multiplicative group of the prime order, a bilinear mapping, and a generation source of the cyclic multiplicative group. And generating Groth-Sahai proof transmitting device parameters and receiving device parameters, and bilinear mapping parameters, transmitting device parameters, receiving device parameters, common reference information from the first coefficient group set from the generation source crs is generated. The crs transmission unit transmits the common reference information crs to the transmission device and the reception device.

送信装置は、暗号化データベース生成部と、T送信部と、T記憶部と、返信生成部と、R送信部と、を備える。暗号化データベース生成部は、文書(m,…,m)(Nは2以上の正の整数)と、共通参照情報crsとを入力とし、Waters双対署名の第1鍵対、第2鍵対を生成し、Boneh−Boyen署名の第3鍵対を生成し、秘密鍵を生成し、第1鍵対、第2鍵対、第3鍵対を用いて公開鍵を生成し、Waters双対署名の第1署名、第2署名を生成し、Boneh−Boyen署名の第3署名を生成し、文書(m,…,m)、第1鍵対に含まれる値、第2鍵対に含まれる値、共通参照情報crs、第1署名、第2署名、第3署名を用いて、暗号文C,…,Cを生成し、公開鍵と、暗号文C,…,Cとから暗号化データベースを生成する。T送信部は、暗号化データベースを受信装置に送信する。T記憶部は、暗号化データベースと、秘密鍵とを記憶する。返信生成部は、共通参照情報crs、暗号化データベース、秘密鍵、要求Qを入力とし、知識識別不可能証明を検証し、知識識別不可能証明が正しい場合に、秘密鍵、要求Qを用いてブラインド復号を実行し、暗号化データベース、共通参照情報crs、要求Qを用いて、Groth−Sahai証明の非対話ゼロ知識証明を生成し、非対話ゼロ知識証明を含む返信Rを生成する。R送信部は、返信Rを受信装置に送信する。 The transmission device includes an encrypted database generation unit, a T transmission unit, a T storage unit, a reply generation unit, and an R transmission unit. The encrypted database generation unit receives the document (m 1 ,..., M N ) (N is a positive integer equal to or greater than 2) and the common reference information crs, and uses the first key pair and the second key of the Waters dual signature. Generate a pair, generate a third key pair for the Boneh-Boyen signature, generate a secret key, generate a public key using the first key pair, the second key pair, and the third key pair, and a Waters dual signature First signature and second signature, and a third signature of a Boneh-Boyen signature, and a document (m 1 ,..., M N ), a value included in the first key pair, included in the second key pair values, common reference information crs, first signature, the second signature, by using the third signature, the ciphertext C 1, ..., and generates a C N, and the public key, the ciphertext C 1, ..., and C N Generate an encrypted database from The T transmitting unit transmits the encrypted database to the receiving device. The T storage unit stores an encrypted database and a secret key. The reply generator receives the common reference information crs, the encrypted database, the secret key, and the request Q, verifies the knowledge identification impossible proof, and uses the secret key and the request Q when the knowledge identification impossible proof is correct. Blind decryption is executed, a non-interactive zero knowledge proof of the Groth-Sahai proof is generated using the encrypted database, common reference information crs, and request Q, and a reply R including the non-interactive zero knowledge proof is generated. The R transmission unit transmits a reply R to the receiving device.

受信装置は、要求生成部と、Q送信部と、Q記憶部と、文書取得部と、を備える。要求生成部は、暗号化データベースと、共通参照情報crsと、インデックスξとを入力とし、暗号文C,…,Cに含まれる署名を検証し、署名が正しい場合に、インデックスξに対応する暗号文Cξ、共通参照情報crsを用いて再ランダム化を実行し、暗号文Cξ、共通参照情報crs、公開鍵を用いて、Groth−Sahai証明の知識識別不可能証明を生成し、知識識別不可能証明を含む要求Q、と、要求Qおよびインデックスξを含むQprivを生成する。Q送信部は、要求Qを送信装置に送信する。Q記憶部は、要求QとQprivとを記憶する。文書取得部は、返信Rと、Qprivと、暗号化データベースと、共通参照情報crsとを入力とし、非対話ゼロ知識証明を検証し、非対話ゼロ知識証明が正しい場合に、Qpriv、暗号文C,…,C、共通参照情報crsを用いて、暗号文Cξから文書mξを計算して出力する。 The receiving device includes a request generation unit, a Q transmission unit, a Q storage unit, and a document acquisition unit. Request generation unit, an encryption database, a common reference information crs, and inputs the index xi], ciphertext C 1, ..., verifies the signature contained in the C N, if the signature is correct, corresponding to the index xi] ciphertext C xi] to, perform re-randomization using the common reference information crs, ciphertext C xi], common reference information crs, using the public key to generate a knowledge indistinguishable proof Groth-Sahai proof, A request Q including a knowledge indistinguishable proof and a Q priv including the request Q and an index ξ are generated. The Q transmission unit transmits the request Q to the transmission device. The Q storage unit stores the request Q and Q priv . Document acquisition unit includes a reply R, and Q priv, the encrypted database, and inputs the common reference information crs, verifies the non-interactive zero-knowledge proof, if non-interactive zero-knowledge proof is correct, Q priv, encryption Using the sentences C 1 ,..., C N and the common reference information crs, the document m ξ is calculated from the cipher text C ξ and output.

本発明の紛失通信システムによれば、汎用的結合可能性を達成している従来方式と異なり,整数要素に対する署名方式で,かつF−偽造不可能性という通常の安全性より強い安全性をもつ署名方式(Waters双対署名の変形版)を利用することで,判定線形仮定というごく標準的な暗号学的仮定だけを用いて、汎用的結合可能性を実現し、さらに安全性について証明された適応的紛失通信を実現できる。   According to the lost communication system of the present invention, unlike the conventional method that achieves universal combining possibility, it is a signature method for integer elements and has stronger security than the usual security of F-forgery impossible. By using a signature scheme (a modified version of Waters dual signature), using only a very standard cryptographic assumption called the decision linear assumption, it realizes universal joinability, and also has proven security. Lost communication can be realized.

実施例1に係る紛失通信システムの構成を示すブロック図。1 is a block diagram showing a configuration of a lost communication system according to Embodiment 1. FIG. 実施例1に係る紛失通信システムの動作を示すシーケンス図。FIG. 3 is a sequence diagram illustrating an operation of the lost communication system according to the first embodiment. 実施例1のシステムパラメータ生成装置が備えるシステムパラメータ生成部の構成を示すブロック図。FIG. 3 is a block diagram illustrating a configuration of a system parameter generation unit included in the system parameter generation apparatus according to the first embodiment. 実施例1のシステムパラメータ生成装置が備えるシステムパラメータ生成部の動作を示すフローチャート。5 is a flowchart illustrating an operation of a system parameter generation unit included in the system parameter generation apparatus according to the first embodiment. 実施例1の送信装置が備える暗号化データベース生成部の構成を示すブロック図。FIG. 3 is a block diagram illustrating a configuration of an encrypted database generation unit included in the transmission apparatus according to the first embodiment. 実施例1の送信装置が備える暗号化データベース生成部の動作を示すフローチャート。6 is a flowchart illustrating an operation of an encrypted database generation unit included in the transmission apparatus according to the first embodiment. 実施例1の受信装置が備える要求生成部の構成を示すブロック図。FIG. 3 is a block diagram illustrating a configuration of a request generation unit included in the reception device according to the first embodiment. 実施例1の受信装置が備える要求生成部の動作を示すフローチャート。6 is a flowchart illustrating an operation of a request generation unit included in the receiving apparatus according to the first embodiment. 実施例1の送信装置が備える返信生成部の構成を示すブロック図。FIG. 3 is a block diagram illustrating a configuration of a reply generation unit included in the transmission device according to the first embodiment. 実施例1の送信装置が備える返信生成部の動作を示すフローチャート。6 is a flowchart illustrating an operation of a reply generation unit included in the transmission apparatus according to the first embodiment. 実施例1の受信装置が備える文書取得部の構成を示すブロック図。FIG. 3 is a block diagram illustrating a configuration of a document acquisition unit included in the receiving apparatus according to the first embodiment. 実施例1の受信装置が備える文書取得部の動作を示すフローチャート。6 is a flowchart illustrating an operation of a document acquisition unit included in the receiving apparatus according to the first embodiment. 本発明の紛失通信システムと従来技術との違いを示す表。The table | surface which shows the difference with the loss communication system of this invention, and a prior art. 本発明の紛失通信システムと従来技術との違いを座標軸に表した図。The figure which represented the difference with the loss communication system of this invention, and a prior art on a coordinate axis.

以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。   Hereinafter, embodiments of the present invention will be described in detail. In addition, the same number is attached | subjected to the structure part which has the same function, and duplication description is abbreviate | omitted.

本明細書では、λはセキュリティパラメータを表すものとする。双線形写像については付録を参照されたい。また、BMSetupを、入力1λに対して、λビットの素数p、素数位数pの巡回乗法群であるGおよびG、双線形写像e、群Gの生成元gよりなる双線形写像パラメータΓ:=(p,G,G,e,g)を出力する標準的なアルゴリズムとする。本発明では、Groth−Sahai証明を利用する。Groth−Sahai証明のアルゴリズム、簡単な説明は付録Cを参照されたい(完全な詳細については参考文献7[GS08]参照)。Waters双対署名については付録B1を、Boneh−Boyen署名については付録B2を参照されたい。 In this specification, λ represents a security parameter. See Appendix for bilinear mapping. BMSSetup is a bilinear mapping parameter consisting of G and G T that are cyclic multiplicative groups of λ-bit prime p and prime order p, bilinear mapping e, and generator g of group G with respect to input 1 λ . A standard algorithm that outputs Γ: = (p, G, G T , e, g) is used. In the present invention, Groth-Sahai proof is used. See Appendix C for the Groth-Sahai proof algorithm, a brief description (see reference 7 [GS08] for full details). See Appendix B1 for the Waters dual signature and Appendix B2 for the Boneh-Boyen signature.

<本明細書に登場する用語の解説>
本明細書において、 <Glossary of terms used in this specification>
In this specification,

Figure 2012227879
Figure 2012227879

と表記されている場合、アルゴリズム内部で乱数を発生させてランダムに出力することを意味する。また、 Means that a random number is generated inside the algorithm and output at random. Also,

Figure 2012227879
Figure 2012227879

と表記されている場合、素数pを法とする整数環Zからランダムに値を選択することを意味する。 , It means that a value is randomly selected from an integer ring Z p modulo a prime number p.

まず、図1、図2を参照して、本発明の実施例1に係る紛失通信システム100の動作の概略を説明する。図1は本実施例に係る紛失通信システム100の構成を示すブロック図である。図2は本実施例に係る紛失通信システム100の動作を示すシーケンス図である。   First, an outline of the operation of the lost communication system 100 according to the first embodiment of the present invention will be described with reference to FIGS. 1 and 2. FIG. 1 is a block diagram illustrating a configuration of a lost communication system 100 according to the present embodiment. FIG. 2 is a sequence diagram showing the operation of the lost communication system 100 according to the present embodiment.

本実施例の紛失通信システム100は、システムパラメータ生成装置10、送信装置20、受信装置30からなる。システムパラメータ生成装置10は、システムパラメータ生成部11と、crs送信部12とを備える。   The lost communication system 100 according to the present embodiment includes a system parameter generation device 10, a transmission device 20, and a reception device 30. The system parameter generation device 10 includes a system parameter generation unit 11 and a crs transmission unit 12.

以下、実際に行われる手続きの順に説明してゆく。システムパラメータ生成部11は、入力1λに対して任意のλビットの素数と、当該素数位数の巡回乗法群と、双線形写像と、巡回乗法群の生成元と、を組み合わせて双線形写像パラメータを生成し、Groth−Sahai証明の送信装置用パラメータ、受信装置用パラメータを生成し、双線形写像パラメータ、送信装置用パラメータ、受信装置用パラメータ、生成元から設定した第1係数群から共通参照情報crsを生成する(S11)。crs送信部12は、共通参照情報crsを送信装置と受信装置に送信する(S12)。 In the following, description will be made in the order of procedures actually performed. The system parameter generation unit 11 combines a bilinear mapping by combining an arbitrary λ-bit prime number with respect to an input 1 λ , a cyclic multiplicative group of the prime order, a bilinear mapping, and a generation source of the cyclic multiplicative group. Generate parameters, generate parameters for the transmitter and receiver of Groth-Sahai proof, and refer to the bilinear mapping parameters, parameters for the transmitter, parameters for the receiver, and the first coefficient group set from the source Information crs is generated (S11). The crs transmission unit 12 transmits the common reference information crs to the transmission device and the reception device (S12).

送信装置20は、暗号化データベース生成部21と、T送信部22と、T記憶部23と、返信生成部24と、R送信部25と、を備える。暗号化データベース生成部21は、文書(m,…,m)(Nは2以上の正の整数)と、共通参照情報crsとを入力とし、Waters双対署名の第1鍵対、第2鍵対を生成し、Boneh−Boyen署名の第3鍵対を生成し、秘密鍵を生成し、第1鍵対、第2鍵対、第3鍵対を用いて公開鍵を生成し、Waters双対署名の第1署名、第2署名を生成し、Boneh−Boyen署名の第3署名を生成し、文書(m,…,m)、第1鍵対に含まれる値、第2鍵対に含まれる値、共通参照情報crs、第1署名、第2署名、第3署名を用いて、暗号文C,…,Cを生成し、公開鍵と、暗号文C,…,Cとから暗号化データベースを生成する(S21)。T送信部22は、暗号化データベースを受信装置に送信する(S22)。T記憶部23は、暗号化データベースと、秘密鍵とを記憶する(S23)。 The transmission device 20 includes an encrypted database generation unit 21, a T transmission unit 22, a T storage unit 23, a reply generation unit 24, and an R transmission unit 25. The encrypted database generation unit 21 receives the document (m 1 ,..., M N ) (N is a positive integer greater than or equal to 2) and the common reference information crs, and inputs the first key pair and the second of the Waters dual signature. Generate a key pair, generate a third key pair for the Boneh-Boyen signature, generate a secret key, generate a public key using the first key pair, the second key pair, and the third key pair, A first signature and a second signature of a signature are generated, a third signature of a Boneh-Boyen signature is generated, a document (m 1 ,..., M N ), a value included in the first key pair, and a second key pair Cipher text C 1 ,..., CN is generated using the included value, common reference information crs, first signature, second signature, and third signature, and the public key and cipher text C 1 ,. An encrypted database is generated from the above (S21). The T transmitting unit 22 transmits the encrypted database to the receiving device (S22). The T storage unit 23 stores the encrypted database and the secret key (S23).

受信装置30は、要求生成部31と、Q送信部32と、Q記憶部33と、文書取得部34と、を備える。要求生成部31は、暗号化データベースと、共通参照情報crsと、インデックスξとを入力とし、暗号文C,…,Cに含まれる署名を検証し、署名が正しい場合に、インデックスξに対応する暗号文Cξ、共通参照情報crsを用いて再ランダム化を実行し、暗号文Cξ、共通参照情報crs、公開鍵を用いて、Groth−Sahai証明の知識識別不可能証明を生成し、知識識別不可能証明を含む要求Q、と、要求Qおよびインデックスξを含むQprivを生成する(S31)。Q送信部32は、要求Qを送信装置に送信する(S32)。Q記憶部33は、要求QとQprivとを記憶する(S33)。 The receiving device 30 includes a request generation unit 31, a Q transmission unit 32, a Q storage unit 33, and a document acquisition unit 34. Request generation unit 31, and encrypted database, and the common reference information crs, and inputs the index xi], ciphertext C 1, ..., verifies the signature contained in the C N, if the signature is correct, the index xi] corresponding ciphertext C xi], then perform the re-randomization using the common reference information crs, ciphertext C xi], common reference information crs, using the public key to generate a knowledge indistinguishable proof Groth-Sahai certification Then, the request Q including the knowledge indistinguishable proof and the Q priv including the request Q and the index ξ are generated (S31). The Q transmission unit 32 transmits the request Q to the transmission device (S32). The Q storage unit 33 stores the request Q and Q priv (S33).

送信装置20の返信生成部24は、共通参照情報crs、暗号化データベース、秘密鍵、要求Qを入力とし、知識識別不可能証明を検証し、知識識別不可能証明が正しい場合に、秘密鍵、要求Qを用いてブラインド復号を実行し、暗号化データベース、共通参照情報crs、要求Qを用いて、Groth−Sahai証明の非対話ゼロ知識証明を生成し、非対話ゼロ知識証明を含む返信Rを生成する(S24)。R送信部25は、返信Rを受信装置に送信する(S25)。   The reply generation unit 24 of the transmission device 20 receives the common reference information crs, the encrypted database, the secret key, and the request Q, verifies the knowledge identifiable proof, and when the knowledge identifiable proof is correct, Perform blind decryption using request Q, generate non-interactive zero knowledge proof of Groth-Sahai proof using encrypted database, common reference information crs, and request Q, and return R including non-interactive zero knowledge proof Generate (S24). The R transmitter 25 transmits a reply R to the receiving device (S25).

受信装置30の文書取得部34は、返信Rと、Qprivと、暗号化データベースと、共通参照情報crsとを入力とし、非対話ゼロ知識証明を検証し、非対話ゼロ知識証明が正しい場合に、Qpriv、暗号文C,…,C、共通参照情報crsを用いて、暗号文Cξから文書mξを計算して出力する(S34)。 The document acquisition unit 34 of the receiving device 30 inputs the reply R, Q priv , the encrypted database, and the common reference information crs, verifies the non-interactive zero knowledge proof, and when the non-interactive zero knowledge proof is correct , Q priv , ciphertext C 1 ,..., C N and common reference information crs are used to calculate and output document m ξ from ciphertext C ξ (S34).

このように、本実施例の紛失通信システム100は、汎用的結合可能性を達成している従来方式と異なり,整数要素に対する署名方式で,かつF−偽造不可能性という通常の安全性より強い安全性をもつ署名方式(Waters双対署名の変形版)を利用することで,判定線形仮定というごく標準的な暗号学的仮定だけを用いて、汎用的結合可能性を実現し、さらに安全性について証明された適応的紛失通信を実現できる。   As described above, the lost communication system 100 according to the present embodiment is different from the conventional method that achieves general connection possibility, and has a signature method for integer elements and is stronger than the normal security of F-non-forgery. By using a signature scheme with security (a modified version of Waters dual signature), using only a very standard cryptographic assumption called the decision linear assumption, we can realize universal combining possibilities and Proven adaptive lost communication can be realized.

次に、図3から図12を用いて、本実施例の紛失通信システムをさらに詳細に説明する。図3は本実施例のシステムパラメータ生成装置10が備えるシステムパラメータ生成部11の構成を示すブロック図である。図4は本実施例のシステムパラメータ生成装置10が備えるシステムパラメータ生成部11の動作を示すフローチャートである。図5は本実施例の送信装置20が備える暗号化データベース生成部21の構成を示すブロック図である。図6は本実施例の送信装置20が備える暗号化データベース生成部21の動作を示すフローチャートである。図7は本実施例の受信装置30が備える要求生成部31の構成を示すブロック図である。図8は本実施例の受信装置30が備える要求生成部31の動作を示すフローチャートである。図9は本実施例の送信装置20が備える返信生成部24の構成を示すブロック図である。図10は本実施例の送信装置20が備える返信生成部24の動作を示すフローチャートである。図11は本実施例の受信装置30が備える文書取得部34の構成を示すブロック図である。図12は本実施例の受信装置30が備える文書取得部34の動作を示すフローチャートである。   Next, the lost communication system of the present embodiment will be described in more detail with reference to FIGS. FIG. 3 is a block diagram illustrating a configuration of the system parameter generation unit 11 included in the system parameter generation apparatus 10 of the present embodiment. FIG. 4 is a flowchart showing the operation of the system parameter generation unit 11 provided in the system parameter generation apparatus 10 of this embodiment. FIG. 5 is a block diagram illustrating a configuration of the encrypted database generation unit 21 included in the transmission device 20 of the present embodiment. FIG. 6 is a flowchart showing the operation of the encrypted database generation unit 21 provided in the transmission apparatus 20 of this embodiment. FIG. 7 is a block diagram illustrating a configuration of the request generation unit 31 included in the reception device 30 according to the present embodiment. FIG. 8 is a flowchart showing the operation of the request generation unit 31 provided in the receiving device 30 of this embodiment. FIG. 9 is a block diagram illustrating a configuration of the reply generation unit 24 included in the transmission device 20 of the present embodiment. FIG. 10 is a flowchart showing the operation of the reply generation unit 24 provided in the transmission apparatus 20 of this embodiment. FIG. 11 is a block diagram illustrating a configuration of the document acquisition unit 34 included in the receiving device 30 of this embodiment. FIG. 12 is a flowchart showing the operation of the document acquisition unit 34 provided in the receiving device 30 of this embodiment.

以下、実際に行われる手続きの順に説明してゆく。前述したように本実施例の紛失通信システム100はシステムパラメータ生成装置10、送信装置20、受信装置30からなる。前述したようにシステムパラメータ生成装置10はシステムパラメータ生成部11と、crs送信部12とを備える。システムパラメータ生成部11は、双線形写像パラメータ生成手段11aと、送信装置用パラメータ生成手段11bと、受信装置用パラメータ生成手段11cと、第1係数設定手段11dと、システムパラメータ生成手段11eとを備える。   In the following, description will be made in the order of procedures actually performed. As described above, the lost communication system 100 according to this embodiment includes the system parameter generation device 10, the transmission device 20, and the reception device 30. As described above, the system parameter generation device 10 includes the system parameter generation unit 11 and the crs transmission unit 12. The system parameter generation unit 11 includes a bilinear mapping parameter generation unit 11a, a transmission device parameter generation unit 11b, a reception device parameter generation unit 11c, a first coefficient setting unit 11d, and a system parameter generation unit 11e. .

双線形写像パラメータ生成手段11aは、入力1λに対して、BMSetupアルゴリズムを実行して、λビットの素数p、素数位数pの巡回乗法群であるGおよびG、双線形写像e、群Gの生成元gよりなる双線形写像パラメータΓ:=(p,G,G,e,g)を生成する(SS11a)。 The bilinear mapping parameter generation means 11a executes the BMSsetup algorithm on the input 1 λ , and G and G T which are cyclic multiplicative groups of λ-bit prime number p and prime order p, bilinear mapping e, group A bilinear mapping parameter Γ: = (p, G, G T , e, g) composed of a generation source g of G is generated (SS11a).

Figure 2012227879
Figure 2012227879

システムパラメータ生成手段11eは、共通参照情報crs:=(Γ、GS、GS、g、g、ζ)を生成する(SS11e)。crs送信部12は、共通参照情報crsを送信装置20と受信装置30に送信する(S12)。 The system parameter generation unit 11e generates common reference information crs: = (Γ, GS S , GS R , g 1 , g 2 , ζ) (SS11e). The crs transmission unit 12 transmits the common reference information crs to the transmission device 20 and the reception device 30 (S12).

前述したように送信装置20は暗号化データベース生成部21と、T送信部22と、T記憶部23と、返信生成部24と、R送信部25とを備える。暗号化データベース生成部21は、第1Waters鍵対生成手段21aと、第2Waters鍵対生成手段21bと、BB鍵対生成手段21cと、秘密鍵生成手段21dと、公開鍵生成手段21eと、第2係数設定手段21fと、第1Waters署名生成手段21gと、第2Waters署名生成手段21hと、BB署名生成手段21iとを備える。   As described above, the transmission device 20 includes the encrypted database generation unit 21, the T transmission unit 22, the T storage unit 23, the reply generation unit 24, and the R transmission unit 25. The encrypted database generation unit 21 includes a first Waters key pair generation unit 21a, a second Waters key pair generation unit 21b, a BB key pair generation unit 21c, a secret key generation unit 21d, a public key generation unit 21e, and a second A coefficient setting unit 21f, a first Waters signature generation unit 21g, a second Waters signature generation unit 21h, and a BB signature generation unit 21i are provided.

Figure 2012227879
Figure 2012227879

暗号化データベース生成手段21kは、公開鍵pkと、暗号文C,…,Cとを入力とし、暗号化データベースT:=(pk,C,…,C)を生成する(SS21k)。T送信部22は、暗号化データベースTを受信装置30に送信する(S22)。T記憶部23は、暗号化データベースTと、秘密鍵sk:=(x、x)とを記憶する(S23)。 Encrypted database generating means 21k is to the public key pk, the ciphertext C 1, ..., and inputs the C N, the encrypted database T: = (pk, C 1 , ..., C N) to generate the (SS21k) . The T transmitting unit 22 transmits the encrypted database T to the receiving device 30 (S22). The T storage unit 23 stores the encrypted database T and the secret key sk: = (x 1 , x 2 ) (S23).

前述したように受信装置30は要求生成部31と、Q送信部32と、Q記憶部33と、文書取得部34と、を備える。要求生成部31は、署名検証部31aと、再ランダム化手段31bと、知識識別不可能証明生成手段31cと、要求生成手段31dとを備える。   As described above, the receiving device 30 includes the request generation unit 31, the Q transmission unit 32, the Q storage unit 33, and the document acquisition unit 34. The request generation unit 31 includes a signature verification unit 31a, a rerandomization unit 31b, a knowledge identification impossible proof generation unit 31c, and a request generation unit 31d.

署名検証手段31aは、暗号文C,…,Cと、インデックスξとを入力とし、暗号文C,…,Cに含まれる署名をWaters双対署名の署名検証アルゴリズムW.Vrfyおよび、Boneh−Boyen署名の署名検証アルゴリズムBB.Vrfyを実行して検証し、暗号文C,…,Cに含まれる署名が正しい場合に、インデックスξに対応する暗号文Cξを出力する(SS31a)。 Signature verifying means 31a is ciphertext C 1, ..., and C N, and inputs the index xi], ciphertext C 1, ..., signature Waters dual signature of the signature verification algorithm W. included in C N Vrfy and the signature verification algorithm BB. Verified by running vrfy, ciphertext C 1, ..., when the signature contained in the C N is correct, and outputs the ciphertext C xi] corresponding to the index ξ (SS31a).

Figure 2012227879
Figure 2012227879

Q送信部32は、要求Qを前記送信装置に送信する(S32)。Q記憶部33は、要求QとQprivとを記憶する(S33)。 The Q transmission unit 32 transmits the request Q to the transmission device (S32). The Q storage unit 33 stores the request Q and Q priv (S33).

送信装置20の返信生成部24は、知識識別不可能証明検証手段24aと、ブラインド復号手段24bと、非対話ゼロ知識証明生成手段24cと、返信生成手段24dと、を備える。知識識別不可能証明検証手段24aは、Groth−Sahai証明の知識識別不可能証明πと、前記パラメータGSとを入力とし、Groth−Sahai証明の証明検証アルゴリズムGS.Vrfy(GS,π)を実行して、知識識別不可能証明πを検証する(SS24a)。 The reply generation unit 24 of the transmission device 20 includes knowledge identification impossible proof verification means 24a, blind decoding means 24b, non-interactive zero knowledge proof generation means 24c, and reply generation means 24d. The knowledge identification impossible proof verification unit 24a receives the Groth-Sahai proof knowledge identification impossible proof π and the parameter GS R as inputs, and the Groth-Sahai proof verification verification algorithm GS. Vrfy (GS R , π) is executed to verify the knowledge indistinguishable proof π (SS24a).

Figure 2012227879
Figure 2012227879

R送信部25は、返信Rを受信装置30に送信する(S25)。   The R transmission unit 25 transmits the reply R to the reception device 30 (S25).

受信装置30の文書取得部34は、ゼロ知識証明検証手段34aと、文書生成手段34bとを備える。   The document acquisition unit 34 of the receiving device 30 includes a zero knowledge proof verification unit 34a and a document generation unit 34b.

ゼロ知識証明検証手段34aは、返信Rと、パラメータGSとを入力とし、Groth−Sahai証明の証明検証アルゴリズムGS.Vrfy(GS,δ)=1によって、非対話ゼロ知識証明δを検証する(SS34a)。 The zero-knowledge proof verification means 34a receives the reply R and the parameter GS S as inputs, and uses the proof verification algorithm GS. The non-interactive zero knowledge proof δ is verified by Vrfy (GS S , δ) = 1 (SS34a).

Figure 2012227879
Figure 2012227879

このように、本実施例の紛失通信システム100は、汎用的結合可能性を達成している従来方式と異なり,整数要素に対する署名方式で,かつF−偽造不可能性という通常の安全性より強い安全性をもつ署名方式(Waters双対署名の変形版)を利用することで,判定線形仮定というごく標準的な暗号学的仮定だけを用いて、汎用的結合可能性を実現し、さらに安全性について証明された適応的紛失通信を実現できる。   As described above, the lost communication system 100 according to the present embodiment is different from the conventional method that achieves general connection possibility, and has a signature method for integer elements and is stronger than the normal security of F-non-forgery. By using a signature scheme with security (a modified version of Waters dual signature), using only a very standard cryptographic assumption called the decision linear assumption, we can realize universal combining possibilities and Proven adaptive lost communication can be realized.

<本発明と従来技術の比較>
次に、図13、図14を参照して、本発明と従来技術との比較について説明する。図13は本発明の紛失通信システムと従来技術との違いを示す表である。図14は本発明の紛失通信システムと従来技術との違いを座標軸に表した図である。図13は、左隅列に本明細書における参考文献番号を記した。また、左から2番目の列についてはこれらの文献を表す略号を表記している。また、UCとは安全性が汎用的結合可能性を満たしていることを示す。Full Simとは、fully simultable安全性という汎用的結合性より弱い安全性を満たしていることを示す。q−hiddenLRSW仮定など、q−が接頭についている仮定は、暗号の分野でq仮定と呼ばれ、標準的な暗号学的仮定であるRSA仮定、DDH(判定Differ−Hellman)仮定、DLIN(判定線形)仮定に比べて安全性の根拠に信頼がおけない。
(参考文献1)[BB04] D. Boneh and X. Boyen. Efficient Selective-ID Secure Identity-
Based Encryption Without RandomOracles. In EUROCRYPT’04, volume 3027 of Lecture Notes in Computer Science, pages 223-238.Springer, 2004.
(参考文献2)[BF01] D. Boneh and M. K. Franklin. Identity-Based Encryption from the Weil Pairing. In CRYPTO’01,volume 2139 of Lecture Notes in Computer Science, pages 213-229. Springer, 2001.
(参考文献3)[CNS07] J. Camenisch, G. Neven, and A. Shelat. Simulatable Adaptive Oblivious Transfer. In EUROCRYPT’07, volume 4515 of Lecture Notes in Computer Science, pages 573-590. Springer, 2007.
(参考文献4)[CS97] J. Camenisch and M. Stadler. Efficient Group Signature Schemes for Large Groups (ExtendedAbstract). In CRYPTO’97, volume 1294 of Lecture Notes in Computer Science, pages 410-424.Springer, 1997.
(参考文献5)[GH08] M. Green and S. Hohenberger. Universally Composable Adaptive Oblivious Transfer. In ASIACRYPT’08, volume 5350 of Lecture Notes in Computer Science, pages 179-197. Springer, 2008.
(参考文献6)[GH11] M. Green and S. Hohenberger. Practical Adaptive Oblivious Transfer from a Simple Assumption.In TCC’01, volume 6597 of Lecture Notes in Computer Science, pages 347-363 Springer, 2011.http://eprint.iacr.org/2010/109.
(参考文献7)[GS08] J. Groth and A. Sahai. Efficient Non-interactive Proof Systems for Bilinear Groups. In EUROCRYPT’08, volume 4965 of Lecture Notes in Computer Science, pages 415-432. Springer, 2008.
(参考文献8)[JL09] S. Jarecki and X. Liu. Efficient Oblivious Pseudorandom Function with Applications to AdaptiveOT and Secure Computation of Set Intersection. In TCC, volume 5444 of Lecture Notes in ComputerScience, pages 577-594. Springer, 2009.
(参考文献9)[KN09] K. Kurosawa and R. Nojima. Simple Adaptive Oblivious Transfer without Random Oracle. InASIACRYPT’09, volume 5912 of Lecture Notes in Computer Science, pages 334-346. Springer, 2009.
(参考文献10)[KNP10] K. Kurosawa, R. Nojima, and L. T. Phong. Efficiency-Improved Full Simulatable Adaptive OTunder the DDH Assumption. In SCN, volume 6280 of Lecture Notes in Computer Science, pages172-181. Springer, 2010.
(参考文献11)[RKP09] A. Rial, M. Kohlweiss, and B. Preneel. Universally Composable Adaptive Priced ObliviousTransfer. In Pairing, volume 5671 of Lecture Notes in Computer Science, pages 231-247. Springer,2009.
(参考文献12)[Wat09] B. Waters. Dual System Encryption: Realizing Fully Secure IBE and HIBE under Simple Assumptions.In CRYPTO’09, volume 5677 of Lecture Notes in Computer Science, pages 619-636. Springer,2009.
<本発明と従来技術の比較おわり> <Comparison between the present invention and the prior art>
Next, a comparison between the present invention and the prior art will be described with reference to FIGS. FIG. 13 is a table showing the difference between the lost communication system of the present invention and the prior art. FIG. 14 is a diagram showing the difference between the lost communication system of the present invention and the prior art on the coordinate axis. In FIG. 13, reference numbers in this specification are shown in the left corner column. The second column from the left shows abbreviations representing these documents. In addition, UC indicates that the safety satisfies the universal connection possibility. “Full Sim” indicates that safety that is weaker than general connectivity, which is a fully simple safety, is satisfied. The assumption that q- is prefixed, such as the q-hiddenLRSW assumption, is called q assumption in the field of cryptography, and is the standard cryptographic assumption RSA assumption, DDH (decision Differ-Hellman) assumption, DLIN (decision linear). ) The grounds for safety are less reliable than the assumptions.
(Reference 1) [BB04] D. Boneh and X. Boyen. Efficient Selective-ID Secure Identity-
Based Encryption Without RandomOracles.In EUROCRYPT'04, volume 3027 of Lecture Notes in Computer Science, pages 223-238.Springer, 2004.
(Reference 2) [BF01] D. Boneh and MK Franklin. Identity-Based Encryption from the Weil Pairing. In CRYPTO'01, volume 2139 of Lecture Notes in Computer Science, pages 213-229. Springer, 2001.
(Reference 3) [CNS07] J. Camenisch, G. Neven, and A. Shelat. Simulatable Adaptive Oblivious Transfer. In EUROCRYPT'07, volume 4515 of Lecture Notes in Computer Science, pages 573-590. Springer, 2007.
(Reference 4) [CS97] J. Camenisch and M. Stadler. Efficient Group Signature Schemes for Large Groups (ExtendedAbstract). In CRYPTO'97, volume 1294 of Lecture Notes in Computer Science, pages 410-424.Springer, 1997.
(Reference 5) [GH08] M. Green and S. Hohenberger. Universally Composable Adaptive Oblivious Transfer. In ASIACRYPT'08, volume 5350 of Lecture Notes in Computer Science, pages 179-197. Springer, 2008.
(Reference 6) [GH11] M. Green and S. Hohenberger. Practical Adaptive Oblivious Transfer from a Simple Assumption. In TCC'01, volume 6597 of Lecture Notes in Computer Science, pages 347-363 Springer, 2011.http: / /eprint.iacr.org/2010/109.
(Reference 7) [GS08] J. Groth and A. Sahai. Efficient Non-interactive Proof Systems for Bilinear Groups. In EUROCRYPT'08, volume 4965 of Lecture Notes in Computer Science, pages 415-432. Springer, 2008.
(Reference 8) [JL09] S. Jarecki and X. Liu. Efficient Oblivious Pseudorandom Function with Applications to AdaptiveOT and Secure Computation of Set Intersection. In TCC, volume 5444 of Lecture Notes in ComputerScience, pages 577-594. Springer, 2009 .
(Reference 9) [KN09] K. Kurosawa and R. Nojima. Simple Adaptive Oblivious Transfer without Random Oracle. InASIACRYPT'09, volume 5912 of Lecture Notes in Computer Science, pages 334-346. Springer, 2009.
(Reference 10) [KNP10] K. Kurosawa, R. Nojima, and LT Phong. Efficiency-Improved Full Simulatable Adaptive OTunder the DDH Assumption. In SCN, volume 6280 of Lecture Notes in Computer Science, pages 172-181. Springer, 2010 .
(Reference 11) [RKP09] A. Rial, M. Kohlweiss, and B. Preneel. Universally Composable Adaptive Priced ObliviousTransfer. In Pairing, volume 5671 of Lecture Notes in Computer Science, pages 231-247. Springer, 2009.
(Reference 12) [Wat09] B. Waters. Dual System Encryption: Realizing Fully Secure IBE and HIBE under Simple Assumptions. In CRYPTO'09, volume 5677 of Lecture Notes in Computer Science, pages 619-636. Springer, 2009.
<End of comparison between the present invention and the prior art>

<本発明が有する進歩性についての補足>
線形暗号:本発明の方式は以下の線形暗号方式の署名からできている。この基本構造は参考文献5、11においても同じである。 <Supplementary information about inventive step>
Linear cryptography: The scheme of the present invention consists of the following linear cryptographic signature. This basic structure is the same in References 5 and 11.

Figure 2012227879
Figure 2012227879

本発明の進歩性について:本発明では、送信装置は線形暗号方式により暗号文 Regarding the inventive step of the present invention: In the present invention, the transmitting device uses the linear encryption method to encrypt the ciphertext.

Figure 2012227879
を生成し,群Gの要素である
Figure 2012227879
 Is an element of group G

Figure 2012227879
への署名を生成し、これらを受信装置に送信している。そして受信装置はインデックスξを選び、その暗号文に対して再ランダム化を行い、正しく再ランダム化を行ない、それに対応する署名を知っていることを証明する知識識別不可能証明(Groth−Sahai証明による)を生成する。しかし、Groth−Sahai証明は群要素に関する証明しか生成することができない。ゆえに上記のように(ρやρに対してではなく)
Figure 2012227879
 Signatures are generated and transmitted to the receiving device. Then, the receiving device selects the index ξ, re-randomizes the ciphertext, performs re-randomization correctly, and proves that it knows the corresponding signature (Groth-Sahai proof). To generate). However, the Groth-Sahai proof can only generate proofs about group elements. So as above (not for ρ 1 or ρ 2 )

Figure 2012227879
に署名する必要がある。つまりメッセージが群Gの要素となっているような署名方式が必要と(一見)考えられる。なおこのような署名方式で安全なものは近年になって開発されたばかりであり、提案数自体が少ない上、それらは標準的でない暗号学仮定に基づいており、信頼性が低い。本発明ではWaters双対署名を利用しているが、この方式は群要素に対して署名できない(整数に対して署名可能)。よって,Waters双対署名を利用することで適応的紛失通信を構成することは非自明である。しかしこのままではGroth−Sahai証明を利用できないため、Waters双対署名を変形し(適応的紛失通信、明細書の暗号文のなかの
Figure 2012227879
 Need to sign. In other words, a signature scheme in which a message is an element of group G is necessary (at first glance). Such signature schemes that are secure have only been recently developed, and the number of proposals themselves is small, and they are based on non-standard cryptographic assumptions and are not reliable. Although the present invention uses the Waters dual signature, this method cannot sign group elements (it can sign integers). Therefore, it is not obvious to configure adaptive lost communication by using Waters dual signature. However, since the Groth-Sahai proof cannot be used as it is, the Waters dual signature is modified (adaptive lost communication, ciphertext in the description).

Figure 2012227879
という要素が追加要素である)、通常の署名より高い安全性を達成すること(ρやρに対する署名の偽造ができない、という通常の安全性ではなく、
Figure 2012227879
 Is an additional element), achieving higher security than a normal signature (rather than the normal security that signatures for ρ 1 and ρ 2 cannot be forged,

Figure 2012227879
に対する署名さえも偽造できない、というより強力な安全性)で、群要素に対して署名ができなくとも、Groth−Sahai証明と組み合わせることを可能にした。またGroth−Sahai証明を署名保持の証明に利用するには署名がすべて群要素である必要があるが、Waters双対署名の署名は一つだけ群要素でないものが含まれている(明細書のtagがそれである)。しかし提案した適応的紛失通信の方式の中では,その群要素でない署名要素はブラインドして相手に直接送ることで
Figure 2012227879
 Even if the signature on the group element cannot be forged, it can be combined with the Groth-Sahai certificate. Further, in order to use the Groth-Sahai proof for proof of signature retention, all signatures need to be group elements, but only one signature of Waters dual signature includes one that is not a group element (tag in the specification) k is that). However, in the proposed adaptive lost communication method, signature elements that are not group elements are blinded and sent directly to the other party.

Figure 2012227879
署名の情報を漏らすことなくGroth−Sahai証明を可能にしている。以上のことから従来の適応的紛失通信方式にWaters双対署名を利用して改良することは非自明であり、本発明は従来技術に対して進歩性を有している。
<本発明が有する進歩性についての補足おわり>
Figure 2012227879
 Groth-Sahai certification is possible without leaking signature information. From the above, it is not self-evident to improve the conventional adaptive lost communication system using the Waters dual signature, and the present invention has an inventive step over the prior art.
<Supplementary conclusion about the inventive step of the present invention>

<付録A:ペアリング>
双線型性を満たすペアリングと呼ばれる演算は楕円曲線上の二点に定義される。なお、楕円曲線上の群は普通加法群であるが、暗号理論学会での慣習に従い乗法群として記述する。GとGを位数pの群とする。ここでpは十分大きい素数である。この二つの群の間の双線型写像e:G×G→Gは以下の性質を満たす。
双線型性:任意のg,h∈Gおよび任意のa,b∈Zに対して
e(g,h)=e(g,h)ab
が成立する。
非退化性:e(g,g)≠1を満たすgが存在する。つまり、もしgがGの生成元ならe(g,g)はGの生成元である。
計算可能性:任意のg,h∈Gに対して、e(g,h)は効率的に(つまり多項式時間で)計算可能である。詳しくは[BF01]や「現代暗号への招待(黒澤馨著,サイエンス社)」の13章を参照されたい。
<付録A:ペアリングおわり> <Appendix A: Pairing>
An operation called pairing that satisfies bilinearity is defined at two points on an elliptic curve. Although the group on the elliptic curve is an ordinary additive group, it is described as a multiplicative group according to the convention of the Cryptologic Society. The G and G T the group of order p. Here, p is a sufficiently large prime number. Bilinear map e between the two groups: G × G → G T satisfies the following properties.
Bilinearity: e (ga, hb) = e (g, h) ab for any g, h [ epsilon] G and any a , b [ epsilon] Z
Is established.
Non-degeneration: g satisfying e (g, g) ≠ 1 exists. That is if g if the generator of G e (g, g) the generator of G T.
Computability: For any g, hεG, e (g, h) can be computed efficiently (ie in polynomial time). For more details, please refer to Chapter 13 of [BF01] and “Invitation to Modern Cryptography (by Atsushi Kurosawa, Science)”.
<Appendix A: End of pairing>

<付録B:ディジタル署名>
[B1:Waters双対署名] <Appendix B: Digital Signature>
[B1: Waters dual signature]

Figure 2012227879
Figure 2012227879

[B2:(変形)Boneh−Boyen署名] [B2: (Modified) Boneh-Boyen Signature]

Figure 2012227879
Figure 2012227879

F−署名:選択メッセージ攻撃に対してF−セキュアと呼ばれるより強い安全性の定義を考える。Fを効率的に計算可能な全単射であるものとする。署名スキーム F-signature: Consider a stronger security definition called F-secure against selective message attacks. Let F be a bijection that can be calculated efficiently. Signature scheme

Figure 2012227879
は、以下のゲームによるアドバンテージが無視できるほど小さい場合には、選択メッセージ攻撃下においてF−セキュアと呼ばれる。
手順1(セットアップ):挑戦者は、
Figure 2012227879
 Is called F-secure under a selective message attack if the following game advantage is negligibly small.
Step 1 (Setup): Challenger

Figure 2012227879
を発生させてvkを敵対者に送る。
手順2(質問):敵対者はメッセージ
Figure 2012227879
 To send vk to the adversary.
Step 2 (question): Adversary message

Figure 2012227879
を挑戦者に送り、挑戦者は
Figure 2012227879
 To the challenger,

Figure 2012227879
を返信する。これらの質問はi=1〜Nまで適応的に挑戦者に送信される。ここで
Figure 2012227879
 Reply. These questions are adaptively sent to the challenger from i = 1 to N. here

Figure 2012227879
を敵対者からの質問であるメッセージのセット
Figure 2012227879
 A set of messages that are questions from the adversary

Figure 2012227879
を表すものとする。
Figure 2012227879
 .

手順3(出力):敵対者は(y,σ)を出力する。 Procedure 3 (output): The adversary outputs (y * , σ * ).

Figure 2012227879
Figure 2012227879
 The

Figure 2012227879
とした場合に、
Figure 2012227879
 If

Figure 2012227879
かつ、
Figure 2012227879
 And,

Figure 2012227879
が成り立つ場合には、敵対者がゲームに勝利したことになる。
ここで、
Figure 2012227879
 If this holds, the adversary has won the game.
here,

Figure 2012227879
を、攻撃者
Figure 2012227879
 The attacker

Figure 2012227879
がゲームに勝利する確率と定義して、全てのPPT攻撃者
Figure 2012227879
 Is defined as the probability of winning the game, and all PPT attackers

Figure 2012227879
について、
Figure 2012227879
 about,

Figure 2012227879
が成り立つとき、署名スキームSigは、選択メッセージ攻撃に対するF−セキュアである。
<付録B:ディジタル署名おわり>
Figure 2012227879
 The signature scheme Sig is F-secure against selective message attacks.
<Appendix B: Digital Signature End>

<付録C:Groth−Sahai証明>
Groth−Sahai証明システムでは等式の充足可能性(例えばペアリング生成等式)に対して、効率的に非対話識別不可能(NIWI)証明、非対話ゼロ知識(NIZK)証明を行うことができる。証明システムはGroth−Sahaiコミットメントスキームに基づいている。
Groth−Sahaiコミットメントスキーム:本スキームでは、まず、双線形写像パラメータ <Appendix C: Groth-Sahai Proof>
The Groth-Sahai proof system can efficiently perform non-dialogue indistinguishable (NIWI) proof and non-dialogue zero knowledge (NIZK) proof for satisfiability of equations (eg, pairing generation equation). . The certification system is based on the Groth-Sahai commitment scheme.
Groth-Sahai commitment scheme: In this scheme, first, bilinear mapping parameters

Figure 2012227879
を生成する。
GS.ComSetup(Γ):共通参照情報crsGSCを出力する。
GS.Commit(crsGSC,m,d):コミットm∈Gである入力m、共通参照情報crsGSC、デコミットメントd、として出力コミットメント
Figure 2012227879
 Is generated.
GS. ComSetup (Γ): Outputs common reference information crs GSC .
GS. Commit (crs GSC , m, d): Output commitment as input m, commit m ∈ G, common reference information crs GSC , decommitment d

Figure 2012227879
を生成する。
GS.ExpCom(crsGSC,m,b,d):入力m∈Z、基数b∈G、共通参照情報crsGSC、デコミットメントd、cを
Figure 2012227879
 Is generated.
GS. ExpCom (crs GSC , m, b, d): input mεZ p , radix bεG, common reference information crs GSC , decommitment d, c

Figure 2012227879
として、出力(b,c)を生成する。
GS.Opening(crsGSC,c,m,d):dが(m,c)に対して正当なデコミットメントである場合、1を出力する。それ以外の場合は、0を出力する。すなわち、
Figure 2012227879
 To generate output (b, c).
GS. Opening (crs GSC , c, m, d): 1 is output when d is a valid decommitment with respect to (m, c). Otherwise, 0 is output. That is,

Figure 2012227879
である。(b,c)がmの累乗で約束される検証の場合には、
Figure 2012227879
 It is. In the case of verification where (b, c) is promised by a power of m,

Figure 2012227879
となる。
Figure 2012227879
 It becomes.

Groth−Sahaiコミットメントスキームの共通参照情報には2タイプの生成物が存在する。1つのタイプではコミットメントが完全拘束であり、計算量的拘束であり抽出可能である。もう1つのタイプでは、コミットメントが完全秘匿であり、計算量的拘束であり曖昧性を持つ。これらの2つのタイプは計算量的識別不可能である。本証明システムは例えばDLIN仮定などの暗号学的仮定裏付けられている(以下、本説明ではDLIN仮定を用いるものとする)。ステートメントSは、変数   There are two types of products in the common reference information for the Groth-Sahai commitment scheme. In one type, commitment is fully constrained, computationally constrained and extractable. In the other type, commitment is completely confidential, computationally constrained and ambiguous. These two types are computationally indistinguishable. This proof system is supported by cryptographic assumptions such as DLIN assumption (hereinafter, DLIN assumption will be used in this description). Statement S is a variable

Figure 2012227879
と、定数
Figure 2012227879
 And a constant

Figure 2012227879
と、G内の値であるコミットメント
Figure 2012227879
 And the commitment that is the value in G

Figure 2012227879
により構成される。GrothとSahaiは、非対話知識証明(NIPK)の構築を以下の式で表した。
Figure 2012227879
 Consists of. Groth and Sahai expressed the construction of a non-dialogue knowledge proof (NIPK) with the following equation:

Figure 2012227879
この証明πはコミットメントc,…,c,d,…,dを含む。GrothとSahaiは、これらのコミットメントからペアリング生成式を満足する値
Figure 2012227879
 This proof π commitment c 1, ..., c m, d 1, ..., including d n. Groth and Sahai are values that satisfy the pairing generation formula from these commitments.

Figure 2012227879
を開くことのできる効率的なエキストラクタを提供する。ここで、CamenischとStadler[CS97]の記法、例えば、
Figure 2012227879
 An efficient extractor that can open Here, the notation of Camenisch and Stadler [CS97], for example,

Figure 2012227879
を用いる。
Figure 2012227879
 Is used.

本システムでは、証明者は同形のコミットメントスキームと共通参照情報CRSとを用いてwitness(証拠、群の元)を遂行する。共通参照情報CRSには2つのタイプが存在する。1つのタイプは完全拘束コミットメントスキームを、もう1つのタイプは完全秘匿コミットメントスキームを与える。これらの2つのタイプは計算量的識別不可能である。
証明システム:証明システムは以下のアルゴリズムにより構成される。
GS.Setup(Γ):入力 In this system, the prover performs a witness (evidence, group origin) using the same-type commitment scheme and the common reference information CRS. There are two types of common reference information CRS. One type provides a fully constrained commitment scheme and the other type provides a fully confidential commitment scheme. These two types are computationally indistinguishable.
Proof system: The proof system is composed of the following algorithms.
GS. Setup (Γ): Input

Figure 2012227879
を実行して、出力である証明システムの共通参照情報GSを生成する。共通参照情報GSは、コミットメントスキームの共通参照情報crsGSCを含む。
GS:Prove(GS,S,W):ステートメントSと、witness(証拠)
Figure 2012227879
 To generate the common reference information GS of the proof system as an output. The common reference information GS includes common reference information crs GSC of the commitment scheme.
GS: Probe (GS, S, W): Statement S and witness (evidence)

Figure 2012227879
とを入力とし、証明πを出力する。
GS.Vrfy(GS,π):証明πを入力とし、照明を検証し、正当であれば1を出力し、それ以外は0を出力する。
GS.ExtSetup(Γ):共通参照情報GS(その分布は通常の共通参照情報と一致する)と、正当なwitnessを導出するためのトラップドアtdextとを出力する。
GS.Extract(GS,tdext,π):証明πと、トラップドアtdextとを入力とし、各コミットメントCから抽出値
Figure 2012227879
 And proof π is output.
GS. Vrfy (GS, π): The proof π is input, the illumination is verified, 1 is output if it is valid, and 0 is output otherwise.
GS. ExtSetup (Γ): Outputs common reference information GS (the distribution of which coincides with normal common reference information) and trapdoor td ext for deriving a valid witness.
GS. Extract (GS, td ext, π ): certification and π, as input and the trap door td ext, extraction value from each commitment C i

Figure 2012227879
を抽出して等式を満たす証拠
Figure 2012227879
 Evidence that satisfies the equation by extracting

Figure 2012227879
を出力する。
GS.SimSetup(Γ):GS.Setup(Γ)の出力である通常の共通参照情報と計算量的識別不可能な模擬共通参照情報GS’と、模擬トラップドアtdsimを出力する。
GS.SimProve(GS’,tdsim,S):模擬共通参照情報GS’と、模擬トラップドアtdsimとを入力とし、GS.Vrfy(GS’,π)=1を満たすステートメントSの模擬証明πを出力する。
セキュリティ特性:本証明システムは以下の特性を満足する。
正当性:全ての
Figure 2012227879
 Is output.
GS. SimSetup (Γ): GS. The normal common reference information that is the output of Setup (Γ), the simulated common reference information GS ′ that cannot be quantitatively distinguished, and the simulated trap door td sim are output.
GS. SimProbe (GS ′, td sim , S): The simulated common reference information GS ′ and the simulated trap door td sim are input, and GS. A simulation proof π of a statement S satisfying Vrfy (GS ′, π) = 1 is output.
Security characteristics: This certification system satisfies the following characteristics.
Justification: All

Figure 2012227879
について、
Figure 2012227879
 about,

Figure 2012227879
を満たす。
抽出性:
Figure 2012227879
 Meet.
Extractability:

Figure 2012227879
および、証明πについて、
Figure 2012227879
 And for proof π

Figure 2012227879
である場合に、
Figure 2012227879
 If

Figure 2012227879
はステートメントSを確率1で満足する。
共通参照情報CRSの識別不可能性:
Figure 2012227879
 Satisfies the statement S with probability 1.
Indistinguishability of common reference information CRS:

Figure 2012227879
と、
Figure 2012227879
 When,

Figure 2012227879
について、
Figure 2012227879
 about,

Figure 2012227879
を満たす。
構成可能なwitnessの識別不可能性:全てのPPT攻撃者
Figure 2012227879
 Meet.
Configurable Witness indistinguishability: all PPT attackers

Figure 2012227879
について、
Figure 2012227879
 about,

Figure 2012227879
が成立する。
Groth−Sahai証明システムは、制限されたステートメントのクラス(ΣZKはこのクラスを意味する)における構成可能なゼロ知識証明を提供する。
構成可能なゼロ知識:全てのPPT攻撃者
Figure 2012227879
 Is established.
The Groth-Sahai proof system provides a configurable zero knowledge proof in a restricted class of statements (Σ ZK means this class).
Configurable zero knowledge: all PPT attackers

Figure 2012227879
について、
Figure 2012227879
 about,

Figure 2012227879
Figure 2012227879

が成立する。
F−抽出可能非対話知識証明:Groth−Sahai証明システムにおいては、非対話知識証明(NIWIまたはNIZK)から、トラップドアtdextを使うことによりwitnessを抽出できる。しかしながら、この証明システムにおいては、群の元のみがコミットできるため、群Gの元を抽出できるのみである。従って、本証明システムにおいてメッセージm∈Zを選択して、g∈Gをコミットし、witnessであるgを用いて、非対話証明を生成する場合には、gのみを抽出することができる(これはm自身でなく、関数F(m):=gの出力であることに注意する)。この性質から、Groth−Sahai証明システムはF−抽出可能性を備えると言われる。
定理2[GS08]:DLIN仮定が成り立つならば、Groth−Sahai証明システム効率的にインスタンス化できる。
<付録C:Groth−Sahai証明おわり> Is established.
F-Extractable non-dialogue knowledge proof: In the Groth-Sahai proof system, it is possible to extract witness from the non-dialogue knowledge proof (NIWI or NIZK) by using the trapdoor td ext . However, in this proof system, only the element of the group G can be committed, so that only the element of the group G can be extracted. Therefore, by selecting a message M∈Z p in the certification system, commit the g m ∈G, with g m is The witness, when generating a non-interactive proof, to extract only the g m (Note that this is not m itself, but the output of the function F (m): = g m ). Because of this property, it is said that the Groth-Sahai proof system has F-extractability.
Theorem 2 [GS08]: If the DLIN assumption holds, the Groth-Sahai proof system can be instantiated efficiently.
<Appendix C: End of Groth-Sahai Proof>

<付録D:暗号学的仮定> <Appendix D: Cryptographic assumptions>

Figure 2012227879
<付録D:暗号学的仮定おわり>
Figure 2012227879
 <Appendix D: End of cryptographic assumptions>

また、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。   In addition, the various processes described above are not only executed in time series according to the description, but may be executed in parallel or individually according to the processing capability of the apparatus that executes the processes or as necessary. Needless to say, other modifications are possible without departing from the spirit of the present invention.

また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。   Further, when the above-described configuration is realized by a computer, processing contents of functions that each device should have are described by a program. The processing functions are realized on the computer by executing the program on the computer.

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。   The program describing the processing contents can be recorded on a computer-readable recording medium. As the computer-readable recording medium, for example, any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory may be used.

また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。   The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。   A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, the computer reads a program stored in its own recording medium and executes a process according to the read program. As another execution form of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and the program is transferred from the server computer to the computer. Each time, the processing according to the received program may be executed sequentially. Also, the program is not transferred from the server computer to the computer, and the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes the processing function only by the execution instruction and result acquisition. It is good. Note that the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).

また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。   In this embodiment, the present apparatus is configured by executing a predetermined program on a computer. However, at least a part of these processing contents may be realized by hardware.

Claims (7)

システムパラメータ生成装置、送信装置、受信装置からなる紛失通信システムであって、
前記システムパラメータ生成装置は、
入力1λに対して任意のλビットの素数と、当該素数位数の巡回乗法群と、双線形写像と、前記巡回乗法群の生成元と、を組み合わせて双線形写像パラメータを生成し、Groth−Sahai証明の送信装置用パラメータ、受信装置用パラメータを生成し、前記双線形写像パラメータ、前記送信装置用パラメータ、前記受信装置用パラメータ、前記生成元から設定した第1係数群から共通参照情報crsを生成するシステムパラメータ生成部と、
前記共通参照情報crsを送信装置と受信装置に送信するcrs送信部とを備え、
前記送信装置は、
文書(m,…,m)(Nは2以上の正の整数)と、前記共通参照情報crsとを入力とし、Waters双対署名の第1鍵対、第2鍵対を生成し、Boneh−Boyen署名の第3鍵対を生成し、秘密鍵を生成し、前記第1鍵対、前記第2鍵対、前記第3鍵対を用いて公開鍵を生成し、Waters双対署名の第1署名、第2署名を生成し、Boneh−Boyen署名の第3署名を生成し、前記文書(m,…,m)、前記第1鍵対に含まれる値、前記第2鍵対に含まれる値、前記共通参照情報crs、前記第1署名、前記第2署名、前記第3署名を用いて、暗号文C,…,Cを生成し、前記公開鍵と、前記暗号文C,…,Cとから暗号化データベースを生成する暗号化データベース生成部と、
前記暗号化データベースを前記受信装置に送信するT送信部と、
前記暗号化データベースと、前記秘密鍵とを記憶するT記憶部と、
前記共通参照情報crs、前記暗号化データベース、前記秘密鍵、要求Qを入力とし、知識識別不可能証明を検証し、前記知識識別不可能証明が正しい場合に、前記秘密鍵、前記要求Qを用いてブラインド復号を実行し、前記暗号化データベース、前記共通参照情報crs、前記要求Qを用いて、Groth−Sahai証明の非対話ゼロ知識証明を生成し、前記非対話ゼロ知識証明を含む返信Rを生成する返信生成部と、
前記返信Rを前記受信装置に送信するR送信部と、を備え、
前記受信装置は、
前記暗号化データベースと、前記共通参照情報crsと、インデックスξとを入力とし、前記暗号文C,…,Cに含まれる署名を検証し、前記署名が正しい場合に、前記インデックスξに対応する暗号文Cξ、前記共通参照情報crsを用いて再ランダム化を実行し、前記暗号文Cξ、前記共通参照情報crs、前記公開鍵を用いて、Groth−Sahai証明の知識識別不可能証明を生成し、前記知識識別不可能証明を含む要求Q、と、前記要求Qおよびインデックスξを含むQprivを生成する要求生成部と、
前記要求Qを前記送信装置に送信するQ送信部と、
前記要求QとQprivとを記憶するQ記憶部と、
前記返信Rと、前記Qprivと、前記暗号化データベースと、前記共通参照情報crsとを入力とし、前記非対話ゼロ知識証明を検証し、前記非対話ゼロ知識証明が正しい場合に、前記Qpriv、前記暗号文C,…,C、共通参照情報crsを用いて、前記暗号文Cξから文書mξを計算して出力する文書取得部と、を備えること
を特徴とする紛失通信システム。 A lost communication system comprising a system parameter generator, a transmitter, and a receiver,
The system parameter generation device includes:
A bilinear mapping parameter is generated by combining an arbitrary λ-bit prime number with respect to an input 1 λ , a cyclic multiplicative group of the prime order, a bilinear mapping, and a generator of the cyclic multiplicative group, and Groth -Sawai proof transmitting device parameters and receiving device parameters are generated, and the bilinear mapping parameters, the transmitting device parameters, the receiving device parameters, the common reference information crs from the first coefficient group set from the generation source A system parameter generator for generating
A crs transmitter that transmits the common reference information crs to a transmitter and a receiver;
The transmitter is
A document (m 1 ,..., M N ) (N is a positive integer greater than or equal to 2) and the common reference information crs are input to generate a first key pair and a second key pair of a Waters dual signature, and Boneh Generating a third key pair of a Boyen signature, generating a secret key, generating a public key using the first key pair, the second key pair, and the third key pair, and generating a first key of a Waters dual signature A signature and a second signature are generated, and a third signature of a Boneh-Boyen signature is generated, and the document (m 1 ,..., M N ), a value included in the first key pair, and included in the second key pair Ciphertext C 1 ,..., CN are generated using the common value information, the common reference information crs, the first signature, the second signature, and the third signature, and the public key and the ciphertext C 1 are generated. ,..., CN and an encrypted database generating unit for generating an encrypted database;
A T transmitter for transmitting the encrypted database to the receiving device;
A T storage unit for storing the encrypted database and the secret key;
The common reference information crs, the encrypted database, the secret key, and the request Q are input, and the knowledge identification impossible proof is verified. If the knowledge identification impossible proof is correct, the secret key and the request Q are used. Blind decryption is performed, a non-interactive zero knowledge proof of Groth-Sahai proof is generated using the encrypted database, the common reference information crs, and the request Q, and a reply R including the non-interactive zero knowledge proof is returned. A reply generator to generate;
An R transmitter that transmits the reply R to the receiving device,
The receiving device is:
And said encrypted database, said common reference information crs, and inputs the index xi], the ciphertext C 1, ..., verifies the signature contained in the C N, if the signature is correct, corresponding to the index xi] ciphertext C xi] to, perform re-randomized using the common reference information crs, the ciphertext C xi], the common reference information crs, using the public key, Groth-Sahai proof of knowledge indistinguishable proof And a request generator that generates the request Q including the knowledge indistinguishable proof, and Q priv including the request Q and the index ξ.
A Q transmitter that transmits the request Q to the transmitter;
A Q storage unit for storing the request Q and Q priv ;
When the reply R, the Q priv , the encrypted database, and the common reference information crs are input, the non-interactive zero knowledge proof is verified, and when the non-interactive zero knowledge proof is correct, the Q private the ciphertext C 1, ..., lost communication system using C N, the common reference information crs, characterized in that it comprises a and a document acquisition unit that calculates and outputs a document m xi] from the cipher text C xi] . システムパラメータ生成装置、送信装置、受信装置からなる紛失通信システムであって、
前記システムパラメータ生成装置はシステムパラメータ生成部と、crs送信部とを備え、
前記システムパラメータ生成部は、
入力1λに対して任意のλビットの素数と、当該素数位数の巡回乗法群と、当該巡回乗法群の生成元と、双線形写像とを組み合わせて双線形写像パラメータを生成する双線形写像パラメータ生成手段と、
前記双線形写像パラメータを入力とし、Groth−Sahai証明のパラメータ設定アルゴリズムを実行して送信装置用パラメータを生成する送信装置用パラメータ生成手段と、
前記双線形写像パラメータを入力とし、Groth−Sahai証明のパラメータ設定アルゴリズムを実行して受信装置用パラメータを生成する受信装置用パラメータ生成手段と、
前記生成元から第1係数群を設定する第1係数設定手段と、
前記双線形写像パラメータ、前記送信装置用パラメータ、前記受信装置用パラメータ、前記第1係数群から共通参照情報crsを生成するシステムパラメータ生成手段と、を備え、
前記crs送信部は、前記共通参照情報crsを送信装置と受信装置に送信し、
前記送信装置は暗号化データベース生成部と、T送信部と、T記憶部と、返信生成部と、R送信部と、を備え、
前記暗号化データベース生成部は、
前記双線形写像パラメータを入力とし、Waters双対署名の鍵生成アルゴリズムを実行してWaters双対署名の第1鍵対を生成する第1Waters鍵対生成手段と、
前記双線形写像パラメータを入力とし、Waters双対署名の鍵生成アルゴリズムを実行してWaters双対署名の第2鍵対を生成する第2Waters鍵対生成手段と、
前記双線形写像パラメータと秘密鍵生成手段が設定した係数とを入力とし、Boneh−Boyen署名の鍵生成アルゴリズムを実行してBoneh−Boyen署名の第3鍵対を生成するBB鍵対生成手段と、
秘密鍵を生成し、前記第1係数群を用いて係数を設定する秘密鍵生成手段と、
前記秘密鍵生成手段が設定した係数、前記第1鍵対、前記第2鍵対、前記第3鍵対を用いて公開鍵を生成する公開鍵生成手段と、
前記秘密鍵生成手段が設定した係数を用いて第2係数群を設定する第2係数設定手段と、
前記第2係数群を入力とし、Waters双対署名の署名生成アルゴリズムを実行して第1署名を生成する第1Waters署名生成手段と、
前記第2係数群を入力とし、Waters双対署名の署名生成アルゴリズムを実行して第2署名を生成する第2Waters署名生成手段と、
前記第2係数群を入力とし、Boneh−Boyen署名の署名生成アルゴリズムを実行して第3署名を生成するBB署名生成手段と、
文書(m,…,m)(Nは2以上の正の整数)と、前記第1鍵対に含まれる値、前記第2鍵対に含まれる値、前記第1係数群、前記第2係数群、前記第1署名、前記第2署名、前記第3署名を入力とし、暗号文C,…,Cを生成する暗号文生成手段と、
前記公開鍵と、前記暗号文C,…,Cとを入力とし、暗号化データベースを生成する暗号化データベース生成手段と、を備え、
前記T送信部は、前記暗号化データベースを前記受信装置に送信し、
前記T記憶部は、前記暗号化データベースと、前記秘密鍵とを記憶し、
前記返信生成部は、
Groth−Sahai証明の知識識別不可能証明と、前記受信装置用パラメータとを入力とし、Groth−Sahai証明の証明検証アルゴリズムを実行して、前記知識識別不可能証明を検証する知識識別不可能証明検証手段と、
前記知識識別不可能証明が正しい場合に、前記秘密鍵と、再ランダム化手段が設定した係数とを入力とし、係数を設定するブラインド復号手段と、
前記ブラインド復号手段が設定した係数、前記公開鍵、前記再ランダム化手段が設定した係数、前記第1係数群、前記共通参照情報crsを入力とし、Groth−Sahai証明の非対話ゼロ知識証明生成アルゴリズムを実行して、非対話ゼロ知識証明を生成する非対話ゼロ知識証明生成手段と、
前記ブラインド復号手段が設定した係数と、前記非対話ゼロ知識証明とを組にして返信Rを生成する返信生成手段と、を備え、
前記R送信部は、前記返信Rを前記受信装置に送信し、
前記受信装置は要求生成部と、Q送信部と、Q記憶部と、文書取得部と、を備え、
前記要求生成部は、
前記暗号文C,…,Cと、インデックスξとを入力とし、前記暗号文C,…,Cに含まれる署名をWaters双対署名の署名検証アルゴリズムおよび、Boneh−Boyen署名の署名検証アルゴリズムを実行して検証し、前記暗号文C,…,Cに含まれる署名が正しい場合に、前記インデックスξに対応する暗号文Cξを出力する署名検証手段と、
前記暗号文Cξと、前記第1係数群とを入力とし、係数を設定する再ランダム化手段と、
前記再ランダム化手段が設定した係数と、前記暗号文Cξと、前記双線形写像と、前記公開鍵と、前記第一係数群と、前記受信装置用パラメータとを入力とし、Groth−Sahai証明の知識識別不可能証明を生成する知識識別不可能証明生成手段と、
前記再ランダム化手段が設定した係数と、前記知識識別不可能証明と、前記インデックスξとを入力とし、要求Q、Qprivを生成する要求生成手段と、を備え、
前記Q送信部は、前記要求Qを前記送信装置に送信し、
前記Q記憶部は、前記要求QとQprivとを記憶し、
前記文書取得部は、
前記返信Rと、前記送信装置用パラメータとを入力とし、Groth−Sahai証明の証明検証アルゴリズムによって、前記非対話ゼロ知識証明を検証するゼロ知識証明検証手段と、
前記非対話ゼロ知識証明が正しい場合に、前記Qprivと、前記第1係数群と、前記暗号文C,…,Cと、前記ブラインド復号手段が生成した係数とを入力とし、前記暗号文Cξから文書mξを計算して出力する文書生成手段と、を備えること
を特徴とする紛失通信システム。 A lost communication system comprising a system parameter generator, a transmitter, and a receiver,
The system parameter generation device includes a system parameter generation unit and a crs transmission unit,
The system parameter generator is
Bilinear mapping that generates a bilinear mapping parameter by combining an arbitrary λ-bit prime number with respect to input 1 λ , a cyclic multiplicative group of the prime order, a generator of the cyclic multiplicative group, and a bilinear mapping Parameter generation means;
Transmitter parameter generation means for generating a transmitter parameter by executing a Groth-Sahai proof parameter setting algorithm using the bilinear mapping parameter as input,
Receiving device parameter generation means for generating a receiving device parameter by executing a Groth-Sahai proof parameter setting algorithm using the bilinear mapping parameter as an input;
First coefficient setting means for setting a first coefficient group from the generation source;
System parameter generation means for generating common reference information crs from the bilinear mapping parameter, the transmission device parameter, the reception device parameter, and the first coefficient group,
The crs transmission unit transmits the common reference information crs to a transmission device and a reception device,
The transmission device includes an encrypted database generation unit, a T transmission unit, a T storage unit, a reply generation unit, and an R transmission unit,
The encrypted database generation unit
First Waters key pair generation means for generating a first key pair of Waters dual signature by executing the key generation algorithm of Waters dual signature by using the bilinear mapping parameter as input;
Second Waters key pair generation means for generating a second key pair of Waters dual signature by executing the key generation algorithm of Waters dual signature by using the bilinear mapping parameter as input;
BB key pair generation means for receiving the bilinear mapping parameter and the coefficient set by the secret key generation means as input and executing a key generation algorithm for the Boneh-Boyen signature to generate a third key pair of the Boneh-Boyen signature;
A secret key generating means for generating a secret key and setting a coefficient using the first coefficient group;
Public key generation means for generating a public key using the coefficient set by the secret key generation means, the first key pair, the second key pair, and the third key pair;
Second coefficient setting means for setting a second coefficient group using the coefficient set by the secret key generation means;
First Waters signature generation means for generating a first signature by executing a Waters dual signature signature generation algorithm with the second coefficient group as an input;
Second Waters signature generation means for generating a second signature by executing a Waters dual signature signature generation algorithm with the second coefficient group as an input;
BB signature generation means for generating a third signature by executing a signature generation algorithm of a Boneh-Boyen signature using the second coefficient group as an input;
Document (m 1 ,..., M N ) (N is a positive integer greater than or equal to 2), a value included in the first key pair, a value included in the second key pair, the first coefficient group, the first coefficient Ciphertext generation means for generating ciphertexts C 1 ,..., CN using two coefficient groups, the first signature, the second signature, and the third signature as inputs;
An encrypted database generating means for receiving the public key and the ciphertexts C 1 ,..., CN and generating an encrypted database;
The T transmitting unit transmits the encrypted database to the receiving device;
The T storage unit stores the encrypted database and the secret key;
The reply generator is
Knowledge-indistinguishable proof verification that verifies the knowledge-indistinguishable proof by executing a proof-verification algorithm of Groth-Sahai proof by inputting the knowledge-indistinguishable proof of Groth-Sahai proof and the parameters for the receiving device Means,
When the knowledge identification impossible proof is correct, the secret key and the coefficient set by the re-randomizing means are input, and blind decoding means for setting the coefficient;
A non-interactive zero-knowledge proof generation algorithm for Groth-Sahai proof with the coefficients set by the blind decoding means, the public key, the coefficients set by the re-randomizing means, the first coefficient group, and the common reference information crs as inputs. Non-interactive zero knowledge proof generating means for generating non-interactive zero knowledge proof,
Reply generating means for generating a reply R by combining the coefficient set by the blind decoding means and the non-interaction zero knowledge proof,
The R transmitting unit transmits the reply R to the receiving device,
The receiving device includes a request generation unit, a Q transmission unit, a Q storage unit, and a document acquisition unit,
The request generation unit
The ciphertext C 1, ..., and the C N, and inputs the index xi], the ciphertext C 1, ..., the signature verification algorithm of the signature Waters dual signature included in C N and the signature verification of the Boneh-Boyen signature verified by running the algorithm, the cipher text C 1, ..., when the signature contained in the C N is correct, the signature verification means for outputting the ciphertext C xi] corresponding to the index xi],
Re-randomization means for receiving the ciphertext C ξ and the first coefficient group and setting coefficients;
The coefficient set by the re-randomizing means, the ciphertext C ξ , the bilinear mapping, the public key, the first coefficient group, and the receiving device parameters are input, and Groth-Sahai proof. A knowledge indistinguishable proof generating means for generating a knowledge indistinguishable proof of
Request generating means for receiving the coefficients set by the re-randomizing means, the knowledge identifiable proof, and the index ξ, and generating requests Q and Q priv ,
The Q transmission unit transmits the request Q to the transmission device,
The Q storage unit stores the request Q and Q priv ,
The document acquisition unit
Zero knowledge proof verification means for verifying the non-interactive zero knowledge proof by means of a proof verification algorithm of Groth-Sahai proof with the reply R and the parameters for the transmission device as inputs;
Wherein when a non-interactive zero-knowledge proof is correct, and said Q priv, said first coefficient group, the ciphertext C 1, ..., and C N, and inputs the coefficients the blind decoding means is generated, the encryption lost communication system comprising: the document generation means for outputting the sentence C xi] to calculate the document m xi], a. システムパラメータ生成装置、送信装置、受信装置からなる紛失通信システムであって、
前記システムパラメータ生成装置はシステムパラメータ生成部と、crs送信部とを備え、
前記システムパラメータ生成部は、
入力1λに対して、λビットの素数p、素数位数pの巡回乗法群であるGおよびG、双線形写像e、群Gの生成元gよりなる双線形写像パラメータΓ:=(p,G,G,e,g)を生成する双線形写像パラメータ生成手段と、
Figure 2012227879
 共通参照情報crs:=(Γ、GS、GS、g、g、ζ)を生成するシステムパラメータ生成手段と、を備え、
前記crs送信部は、前記共通参照情報crsを送信装置と受信装置に送信し、
前記送信装置は暗号化データベース生成部と、T送信部と、T記憶部と、返信生成部と、R送信部と、を備え、
前記暗号化データベース生成部は、
Figure 2012227879
 前記公開鍵pkと、前記暗号文C,…,Cとを入力とし、暗号化データベースT:=(pk,C,…,C)を生成する暗号化データベース生成手段と、を備え、
前記T送信部は、前記暗号化データベースTを前記受信装置に送信し、
前記T記憶部は、前記暗号化データベースTと、前記秘密鍵sk:=(x、x)とを記憶し、
前記返信生成部は
Groth−Sahai証明の知識識別不可能証明πと、前記パラメータGSとを入力とし、Groth−Sahai証明の証明検証アルゴリズムGS.Vrfy(GS,π)を実行して、前記知識識別不可能証明πを検証する知識識別不可能証明検証手段と、
Figure 2012227879
 前記R送信部は、前記返信Rを前記受信装置に送信し、
前記受信装置は要求生成部と、Q送信部と、Q記憶部と、文書取得部と、を備え、
前記要求生成部は、
前記暗号文C,…,Cと、インデックスξとを入力とし、前記暗号文C,…,Cに含まれる署名をWaters双対署名の署名検証アルゴリズムW.Vrfyおよび、Boneh−Boyen署名の署名検証アルゴリズムBB.Vrfyを実行して検証し、前記暗号文C,…,Cに含まれる署名が正しい場合に、前記インデックスξに対応する暗号文Cξを出力する署名検証手段と、
Figure 2012227879
 前記Q送信部は、前記要求Qを前記送信装置に送信し、
前記Q記憶部は、前記要求QとQprivとを記憶し、
前記文書取得部は、
前記返信Rと、前記パラメータGSとを入力とし、Groth−Sahai証明の証明検証アルゴリズムGS.Vrfy(GS,δ)=1によって、前記非対話ゼロ知識証明δを検証するゼロ知識証明検証手段と、
Figure 2012227879
 を特徴とする紛失通信システム。 A lost communication system comprising a system parameter generator, a transmitter, and a receiver,
The system parameter generation device includes a system parameter generation unit and a crs transmission unit,
The system parameter generator is
For an input 1 λ , a bilinear mapping parameter Γ: = (p) consisting of G and G T which are cyclic multiplicative groups of λ-bit prime p, prime order p, bilinear mapping e, and generator g of group G , G, G T , e, g), bilinear mapping parameter generation means;
Figure 2012227879
 System parameter generation means for generating common reference information crs: = (Γ, GS S , GS R , g 1 , g 2 , ζ),
The crs transmission unit transmits the common reference information crs to a transmission device and a reception device,
The transmission device includes an encrypted database generation unit, a T transmission unit, a T storage unit, a reply generation unit, and an R transmission unit,
The encrypted database generation unit
Figure 2012227879
 The public key pk, the ciphertext C 1, ..., as input and C N, the encrypted database T: = (pk, C 1 , ..., C N) and a encrypted database generating means for generating ,
The T transmitting unit transmits the encrypted database T to the receiving device,
The T storage unit stores the encrypted database T and the secret key sk: = (x 1 , x 2 ),
The reply generation unit and π knowledge indistinguishable proof Groth-Sahai certificate, the parameter GS and R as input, Groth-Sahai proof certificate verification algorithm GS. Knowledge identification impossible proof verification means for executing Vrfy (GS R , π) to verify the knowledge identification impossible proof π;
Figure 2012227879
 The R transmitting unit transmits the reply R to the receiving device,
The receiving device includes a request generation unit, a Q transmission unit, a Q storage unit, and a document acquisition unit,
The request generation unit
The ciphertext C 1, ..., and C N, and inputs the index xi], the ciphertext C 1, ..., signature Waters dual signature of the signature verification algorithm W. included in C N Vrfy and the signature verification algorithm BB. Verified by running vrfy, the ciphertext C 1, ..., when the signature contained in the C N is correct, the signature verification means for outputting the ciphertext C xi] corresponding to the index xi],
Figure 2012227879
 The Q transmission unit transmits the request Q to the transmission device,
The Q storage unit stores the request Q and Q priv ,
The document acquisition unit
Using the reply R and the parameter GS S as inputs, a proof verification algorithm GS. For Groth-Sahai proof. Zero knowledge proof verification means for verifying the non-interaction zero knowledge proof δ by Vrfy (GS S , δ) = 1;
Figure 2012227879
 Lost communication system characterized by. システムパラメータ生成装置、送信装置、受信装置を用いる紛失通信方法であって、
前記システムパラメータ生成装置は、
入力1λに対して任意のλビットの素数と、当該素数位数の巡回乗法群と、双線形写像と、前記巡回乗法群の生成元と、を組み合わせて双線形写像パラメータを生成し、Groth−Sahai証明の送信装置用パラメータ、受信装置用パラメータを生成し、前記双線形写像パラメータ、前記送信装置用パラメータ、前記受信装置用パラメータ、前記生成元から設定した第1係数群から共通参照情報crsを生成するシステムパラメータ生成ステップと、
前記共通参照情報crsを送信装置と受信装置に送信するcrs送信ステップとを実行し、
前記送信装置は、
文書(m,…,m)(Nは2以上の正の整数)と、前記共通参照情報crsとを入力とし、Waters双対署名の第1鍵対、第2鍵対を生成し、Boneh−Boyen署名の第3鍵対を生成し、秘密鍵を生成し、前記第1鍵対、前記第2鍵対、前記第3鍵対を用いて公開鍵を生成し、Waters双対署名の第1署名、第2署名を生成し、Boneh−Boyen署名の第3署名を生成し、前記文書(m,…,m)、前記第1鍵対に含まれる値、前記第2鍵対に含まれる値、前記共通参照情報crs、前記第1署名、前記第2署名、前記第3署名を用いて、暗号文C,…,Cを生成し、前記公開鍵と、前記暗号文C,…,Cとから暗号化データベースを生成する暗号化データベース生成ステップと、
前記暗号化データベースを前記受信装置に送信するT送信ステップと、
前記暗号化データベースと、前記秘密鍵とを記憶するT記憶ステップと、
前記共通参照情報crs、前記暗号化データベース、前記秘密鍵、要求Qを入力とし、知識識別不可能証明を検証し、前記知識識別不可能証明が正しい場合に、前記秘密鍵、前記要求Qを用いてブラインド復号を実行し、前記暗号化データベース、前記共通参照情報crs、前記要求Qを用いて、Groth−Sahai証明の非対話ゼロ知識証明を生成し、前記非対話ゼロ知識証明を含む返信Rを生成する返信生成ステップと、
前記返信Rを前記受信装置に送信するR送信ステップと、を実行し、
前記受信装置は、
前記暗号化データベースと、前記共通参照情報crsと、インデックスξとを入力とし、前記暗号文C,…,Cに含まれる署名を検証し、前記署名が正しい場合に、前記インデックスξに対応する暗号文Cξ、前記共通参照情報crsを用いて再ランダム化を実行し、前記暗号文Cξ、前記共通参照情報crs、前記公開鍵を用いて、Groth−Sahai証明の知識識別不可能証明を生成し、前記知識識別不可能証明を含む要求Q、と、前記要求Qおよびインデックスξを含むQprivを生成する要求生成ステップと、
前記要求Qを前記送信装置に送信するQ送信ステップと、
前記要求QとQprivとを記憶するQ記憶ステップと、
前記返信Rと、前記Qprivと、前記暗号化データベースと、前記共通参照情報crsとを入力とし、前記非対話ゼロ知識証明を検証し、前記非対話ゼロ知識証明が正しい場合に、前記Qpriv、前記暗号文C,…,C、共通参照情報crsを用いて、前記暗号文Cξから文書mξを計算して出力する文書取得ステップと、を実行すること
を特徴とする紛失通信方法。 A lost communication method using a system parameter generator, a transmitter, and a receiver,
The system parameter generation device includes:
A bilinear mapping parameter is generated by combining an arbitrary λ-bit prime number with respect to an input 1 λ , a cyclic multiplicative group of the prime order, a bilinear mapping, and a generator of the cyclic multiplicative group, and Groth -Sawai proof transmitting device parameters and receiving device parameters are generated, and the bilinear mapping parameters, the transmitting device parameters, the receiving device parameters, the common reference information crs from the first coefficient group set from the generation source A system parameter generation step for generating
A crs transmission step of transmitting the common reference information crs to a transmission device and a reception device;
The transmitter is
A document (m 1 ,..., M N ) (N is a positive integer greater than or equal to 2) and the common reference information crs are input to generate a first key pair and a second key pair of a Waters dual signature, and Boneh Generating a third key pair of a Boyen signature, generating a secret key, generating a public key using the first key pair, the second key pair, and the third key pair, and generating a first key of a Waters dual signature A signature and a second signature are generated, and a third signature of a Boneh-Boyen signature is generated, and the document (m 1 ,..., M N ), a value included in the first key pair, and included in the second key pair Ciphertext C 1 ,..., CN are generated using the common value information, the common reference information crs, the first signature, the second signature, and the third signature, and the public key and the ciphertext C 1 are generated. ,..., CN and an encrypted database generation step for generating an encrypted database;
T transmitting step of transmitting the encrypted database to the receiving device;
A T storing step for storing the encrypted database and the secret key;
The common reference information crs, the encrypted database, the secret key, and the request Q are input, and the knowledge identification impossible proof is verified. If the knowledge identification impossible proof is correct, the secret key and the request Q are used. Blind decryption is performed, a non-interactive zero knowledge proof of Groth-Sahai proof is generated using the encrypted database, the common reference information crs, and the request Q, and a reply R including the non-interactive zero knowledge proof is returned. A reply generation step to generate;
An R transmission step of transmitting the reply R to the receiving device; and
The receiving device is:
And said encrypted database, said common reference information crs, and inputs the index xi], the ciphertext C 1, ..., verifies the signature contained in the C N, if the signature is correct, corresponding to the index xi] ciphertext C xi] to, perform re-randomized using the common reference information crs, the ciphertext C xi], the common reference information crs, using the public key, Groth-Sahai proof of knowledge indistinguishable proof Generating a request Q including the knowledge indistinguishable proof, and generating a Q priv including the request Q and an index ξ.
A Q transmission step of transmitting the request Q to the transmission device;
A Q storage step of storing the request Q and Q priv ;
When the reply R, the Q priv , the encrypted database, and the common reference information crs are input, the non-interactive zero knowledge proof is verified, and when the non-interactive zero knowledge proof is correct, the Q private , And a document acquisition step of calculating and outputting a document m ξ from the ciphertext C ξ using the ciphertext C 1 ,..., C N and common reference information crs. Method. システムパラメータ生成装置、送信装置、受信装置を用いる紛失通信方法であって、
前記システムパラメータ生成装置はシステムパラメータ生成ステップと、crs送信ステップとを実行し、
前記システムパラメータ生成ステップは、
入力1λに対して任意のλビットの素数と、当該素数位数の巡回乗法群と、当該巡回乗法群の生成元と、双線形写像とを組み合わせて双線形写像パラメータを生成する双線形写像パラメータ生成サブステップと、
前記双線形写像パラメータを入力とし、Groth−Sahai証明のパラメータ設定アルゴリズムを実行して送信装置用パラメータを生成する送信装置用パラメータ生成サブステップと、
前記双線形写像パラメータを入力とし、Groth−Sahai証明のパラメータ設定アルゴリズムを実行して受信装置用パラメータを生成する受信装置用パラメータ生成サブステップと、
前記生成元から第1係数群を設定する第1係数設定サブステップと、
前記双線形写像パラメータ、前記送信装置用パラメータ、前記受信装置用パラメータ、前記第1係数群から共通参照情報crsを生成するシステムパラメータ生成サブステップと、を有し、
前記crs送信ステップは、前記共通参照情報crsを送信装置と受信装置に送信し、
前記送信装置は暗号化データベース生成ステップと、T送信ステップと、T記憶ステップと、返信生成ステップと、R送信ステップと、を実行し、
前記暗号化データベース生成ステップは、
前記双線形写像パラメータを入力とし、Waters双対署名の鍵生成アルゴリズムを実行してWaters双対署名の第1鍵対を生成する第1Waters鍵対生成サブステップと、
前記双線形写像パラメータを入力とし、Waters双対署名の鍵生成アルゴリズムを実行してWaters双対署名の第2鍵対を生成する第2Waters鍵対生成サブステップと、
前記双線形写像パラメータと秘密鍵生成サブステップが設定した係数とを入力とし、Boneh−Boyen署名の鍵生成アルゴリズムを実行してBoneh−Boyen署名の第3鍵対を生成するBB鍵対生成サブステップと、
秘密鍵を生成し、前記第1係数群を用いて係数を設定する秘密鍵生成サブステップと、
前記秘密鍵生成サブステップが設定した係数、前記第1鍵対、前記第2鍵対、前記第3鍵対を用いて公開鍵を生成する公開鍵生成サブステップと、
前記秘密鍵生成サブステップが設定した係数を用いて第2係数群を設定する第2係数設定サブステップと、
前記第2係数群を入力とし、Waters双対署名の署名生成アルゴリズムを実行して第1署名を生成する第1Waters署名生成サブステップと、
前記第2係数群を入力とし、Waters双対署名の署名生成アルゴリズムを実行して第2署名を生成する第2Waters署名生成サブステップと、
前記第2係数群を入力とし、Boneh−Boyen署名の署名生成アルゴリズムを実行して第3署名を生成するBB署名生成サブステップと、
文書(m,…,m)(Nは2以上の正の整数)と、前記第1鍵対に含まれる値、前記第2鍵対に含まれる値、前記第1係数群、前記第2係数群、前記第1署名、前記第2署名、前記第3署名を入力とし、暗号文C,…,Cを生成する暗号文生成サブステップと、
前記公開鍵と、前記暗号文C,…,Cとを入力とし、暗号化データベースを生成する暗号化データベース生成サブステップと、を有し、
前記T送信ステップは、前記暗号化データベースを前記受信装置に送信し、
前記T記憶ステップは、前記暗号化データベースと、前記秘密鍵とを記憶し、
前記返信生成ステップは、
Groth−Sahai証明の知識識別不可能証明と、前記受信装置用パラメータとを入力とし、Groth−Sahai証明の証明検証アルゴリズムを実行して、前記知識識別不可能証明を検証する知識識別不可能証明検証サブステップと、
前記知識識別不可能証明が正しい場合に、前記秘密鍵と、再ランダム化サブステップが設定した係数とを入力とし、係数を設定するブラインド復号サブステップと、
前記ブラインド復号サブステップが設定した係数、前記公開鍵、前記再ランダム化サブステップが設定した係数、前記第1係数群、前記共通参照情報crsを入力とし、Groth−Sahai証明の非対話ゼロ知識証明生成アルゴリズムを実行して、非対話ゼロ知識証明を生成する非対話ゼロ知識証明生成サブステップと、
前記ブラインド復号サブステップが設定した係数と、前記非対話ゼロ知識証明とを組にして返信Rを生成する返信生成サブステップと、を有し、
前記R送信ステップは、前記返信Rを前記受信装置に送信し、
前記受信装置は要求生成ステップと、Q送信ステップと、Q記憶ステップと、文書取得ステップと、を実行し、
前記要求生成ステップは、
前記暗号文C,…,Cと、インデックスξとを入力とし、前記暗号文C,…,Cに含まれる署名をWaters双対署名の署名検証アルゴリズムおよび、Boneh−Boyen署名の署名検証アルゴリズムを実行して検証し、前記暗号文C,…,Cに含まれる署名が正しい場合に、前記インデックスξに対応する暗号文Cξを出力する署名検証サブステップと、
前記暗号文Cξと、前記第1係数群とを入力とし、係数を設定する再ランダム化サブステップと、
前記再ランダム化サブステップが設定した係数と、前記暗号文Cξと、前記双線形写像と、前記公開鍵と、前記第一係数群と、前記受信装置用パラメータとを入力とし、Groth−Sahai証明の知識識別不可能証明を生成する知識識別不可能証明生成サブステップと、
前記再ランダム化サブステップが設定した係数と、前記知識識別不可能証明と、前記インデックスξとを入力とし、要求Q、Qprivを生成する要求生成サブステップと、を有し、
前記Q送信ステップは、前記要求Qを前記送信装置に送信し、
前記Q記憶ステップは、前記要求QとQprivとを記憶し、
前記文書取得ステップは、
前記返信Rと、前記送信装置用パラメータとを入力とし、Groth−Sahai証明の証明検証アルゴリズムによって、前記非対話ゼロ知識証明を検証するゼロ知識証明検証サブステップと、
前記非対話ゼロ知識証明が正しい場合に、前記Qprivと、前記第1係数群と、前記暗号文C,…,Cと、前記ブラインド復号サブステップが生成した係数とを入力とし、前記暗号文Cξから文書mξを計算して出力する文書生成サブステップと、を有すること
を特徴とする紛失通信方法。 A lost communication method using a system parameter generator, a transmitter, and a receiver,
The system parameter generation device executes a system parameter generation step and a crs transmission step,
The system parameter generation step includes:
Bilinear mapping that generates a bilinear mapping parameter by combining an arbitrary λ-bit prime number with respect to input 1 λ , a cyclic multiplicative group of the prime order, a generator of the cyclic multiplicative group, and a bilinear mapping A parameter generation substep;
A transmission device parameter generation sub-step for generating a transmission device parameter by executing a Groth-Sahai proof parameter setting algorithm using the bilinear mapping parameter as an input;
A receiving device parameter generation sub-step for generating a receiving device parameter by executing a Groth-Sahai proof parameter setting algorithm using the bilinear mapping parameter as an input;
A first coefficient setting sub-step for setting a first coefficient group from the generation source;
A system parameter generation sub-step for generating common reference information crs from the bilinear mapping parameter, the transmission device parameter, the reception device parameter, and the first coefficient group;
The crs transmission step transmits the common reference information crs to a transmission device and a reception device,
The transmitter performs an encrypted database generation step, a T transmission step, a T storage step, a reply generation step, and an R transmission step,
The encrypted database generation step includes:
A first Waters key pair generation substep that takes the bilinear mapping parameters as input and executes a Waters dual signature key generation algorithm to generate a Waters dual signature first key pair;
A second Waters key pair generation sub-step that receives the bilinear mapping parameter as input and executes a Waters dual signature key generation algorithm to generate a Waters dual signature second key pair;
BB key pair generation substep of generating a third key pair of a Boneh-Boyen signature by executing the key generation algorithm of the Boneh-Boyen signature by using the bilinear mapping parameter and the coefficient set by the secret key generation substep as inputs When,
A secret key generation sub-step of generating a secret key and setting a coefficient using the first coefficient group;
A public key generation substep for generating a public key using the coefficient set by the secret key generation substep, the first key pair, the second key pair, and the third key pair;
A second coefficient setting sub-step for setting a second coefficient group using the coefficient set by the secret key generation sub-step;
A first Waters signature generation sub-step that receives the second coefficient group as input and executes a signature generation algorithm of a Waters dual signature to generate a first signature;
A second Waters signature generation sub-step that receives the second coefficient group as input and executes a Waters dual signature signature generation algorithm to generate a second signature;
A BB signature generation sub-step for generating a third signature by executing a signature generation algorithm of a Boneh-Boyen signature using the second coefficient group as an input;
Document (m 1 ,..., M N ) (N is a positive integer greater than or equal to 2), a value included in the first key pair, a value included in the second key pair, the first coefficient group, the first coefficient A ciphertext generation sub-step for generating ciphertexts C 1 ,..., CN using two coefficient groups, the first signature, the second signature, and the third signature as inputs;
An encrypted database generation sub-step for receiving the public key and the ciphertexts C 1 ,..., CN and generating an encrypted database;
The T transmitting step transmits the encrypted database to the receiving device,
The T storing step stores the encrypted database and the secret key;
The reply generation step includes
Knowledge-indistinguishable proof verification that verifies the knowledge-indistinguishable proof by executing a proof-verification algorithm of Groth-Sahai proof by inputting the knowledge-indistinguishable proof of Groth-Sahai proof and the parameters for the receiving device Substeps,
When the knowledge identifiable proof is correct, the secret key and the coefficient set by the re-randomization sub-step are input, and a blind decryption sub-step for setting a coefficient;
Non-interactive zero-knowledge proof of Groth-Sahai proof using the coefficient set by the blind decoding substep, the public key, the coefficient set by the re-randomization substep, the first coefficient group, and the common reference information crs as inputs A non-interactive zero knowledge proof generation substep for generating a non-interactive zero knowledge proof by executing a generation algorithm;
A reply generation substep for generating a reply R by combining the coefficient set by the blind decoding substep and the non-interactive zero knowledge proof;
The R transmission step transmits the reply R to the receiving device,
The receiving device executes a request generation step, a Q transmission step, a Q storage step, and a document acquisition step,
The request generation step includes:
The ciphertext C 1, ..., and the C N, and inputs the index xi], the ciphertext C 1, ..., the signature verification algorithm of the signature Waters dual signature included in C N and the signature verification of the Boneh-Boyen signature verified by running the algorithm, the cipher text C 1, ..., when the signature contained in the C N is correct, the signature verification substep outputting a ciphertext C xi] corresponding to the index xi],
A re-randomization sub-step for setting the coefficients by inputting the ciphertext C ξ and the first coefficient group;
The coefficient set by the re-randomization sub-step, the ciphertext C ξ , the bilinear mapping, the public key, the first coefficient group, and the receiving device parameter are input, and Groth-Sahai. A knowledge indistinguishable proof generation substep for generating a knowledge indistinguishable proof of the proof;
A request generation substep for generating a request Q, Q priv using the coefficient set by the rerandomization substep, the knowledge identifiable proof, and the index ξ as inputs;
The Q transmission step transmits the request Q to the transmission device,
The Q storing step stores the request Q and Q priv ,
The document acquisition step includes:
A zero knowledge proof verification sub-step of inputting the reply R and the parameter for the transmitting device and verifying the non-interactive zero knowledge proof by a proof verification algorithm of Groth-Sahai proof;
When the non-interactive zero knowledge proof is correct, the Q priv , the first coefficient group, the ciphertext C 1 ,..., C N and the coefficient generated by the blind decryption substep are input, lost communication method characterized by having a, a document generation substep of calculating and outputting document m xi] from the ciphertext C xi]. システムパラメータ生成装置、送信装置、受信装置を用いる紛失通信方法であって、
前記システムパラメータ生成装置はシステムパラメータ生成ステップと、crs送信ステップとを実行し、
前記システムパラメータ生成ステップは、
入力1λに対して、λビットの素数p、素数位数pの巡回乗法群であるGおよびG、双線形写像e、群Gの生成元gよりなる双線形写像パラメータΓ:=(p,G,G,e,g)を生成する双線形写像パラメータ生成サブステップと、
Figure 2012227879
 共通参照情報crs:=(Γ、GS、GS、g、g、ζ)を生成するシステムパラメータ生成サブステップと、を有し、
前記crs送信ステップは、前記共通参照情報crsを送信装置と受信装置に送信し、
前記送信装置は暗号化データベース生成ステップと、T送信ステップと、T記憶ステップと、返信生成ステップと、R送信ステップと、を実行し、
前記暗号化データベース生成ステップは、
Figure 2012227879
 前記公開鍵pkと、前記暗号文C,…,Cとを入力とし、暗号化データベースT:=(pk,C,…,C)を生成する暗号化データベース生成サブステップと、を有し、
前記T送信ステップは、前記暗号化データベースTを前記受信装置に送信し、
前記T記憶ステップは、前記暗号化データベースTと、前記秘密鍵sk:=(x、x)とを記憶し、
前記返信生成ステップは
Groth−Sahai証明の知識識別不可能証明πと、前記パラメータGSとを入力とし、Groth−Sahai証明の証明検証アルゴリズムGS.Vrfy(GS,π)を実行して、前記知識識別不可能証明πを検証する知識識別不可能証明検証サブステップと、
Figure 2012227879
 前記R送信ステップは、前記返信Rを前記受信装置に送信し、
前記受信装置は要求生成ステップと、Q送信ステップと、Q記憶ステップと、文書取得ステップと、を実行し、
前記要求生成ステップは、
前記暗号文C,…,Cと、インデックスξとを入力とし、前記暗号文C,…,Cに含まれる署名をWaters双対署名の署名検証アルゴリズムW.Vrfyおよび、Boneh−Boyen署名の署名検証アルゴリズムBB.Vrfyを実行して検証し、前記暗号文C,…,Cに含まれる署名が正しい場合に、前記インデックスξに対応する暗号文Cξを出力する署名検証サブステップと、
Figure 2012227879
 前記Q送信ステップは、前記要求Qを前記送信装置に送信し、
前記Q記憶ステップは、前記要求QとQprivとを記憶し、
前記文書取得ステップは、
前記返信Rと、前記パラメータGSとを入力とし、Groth−Sahai証明の証明検証アルゴリズムGS.Vrfy(GS,δ)=1によって、前記非対話ゼロ知識証明δを検証するゼロ知識証明検証サブステップと、
Figure 2012227879
 を特徴とする紛失通信方法。 A lost communication method using a system parameter generator, a transmitter, and a receiver,
The system parameter generation device executes a system parameter generation step and a crs transmission step,
The system parameter generation step includes:
For an input 1 λ , a bilinear mapping parameter Γ: = (p) consisting of G and G T which are cyclic multiplicative groups of λ-bit prime p, prime order p, bilinear mapping e, and generator g of group G , G, G T , e, g) to generate bilinear mapping parameter generation substeps;
Figure 2012227879
 System parameter generation sub-step for generating common reference information crs: = (Γ, GS S , GS R , g 1 , g 2 , ζ),
The crs transmission step transmits the common reference information crs to a transmission device and a reception device,
The transmitter performs an encrypted database generation step, a T transmission step, a T storage step, a reply generation step, and an R transmission step,
The encrypted database generation step includes:
Figure 2012227879
 The public key pk, the ciphertext C 1, ..., as input and C N, the encrypted database T: = (pk, C 1 , ..., C N) and the encrypted database generation substep of generating, a Have
The T transmitting step transmits the encrypted database T to the receiving device,
The T storing step stores the encrypted database T and the secret key sk: = (x 1 , x 2 ),
The reply generation step and π knowledge indistinguishable proof Groth-Sahai certificate, the parameter GS and R as input, Groth-Sahai proof certificate verification algorithm GS. A knowledge indistinguishable proof verification sub-step of executing Vrfy (GS R , π) to verify the knowledge indistinguishable proof π;
Figure 2012227879
 The R transmission step transmits the reply R to the receiving device,
The receiving device executes a request generation step, a Q transmission step, a Q storage step, and a document acquisition step,
The request generation step includes:
The ciphertext C 1, ..., and C N, and inputs the index xi], the ciphertext C 1, ..., signature Waters dual signature of the signature verification algorithm W. included in C N Vrfy and the signature verification algorithm BB. Verified by running vrfy, the ciphertext C 1, ..., when the signature contained in the C N is correct, the signature verification substep outputting a ciphertext C xi] corresponding to the index xi],
Figure 2012227879
 The Q transmission step transmits the request Q to the transmission device,
The Q storing step stores the request Q and Q priv ,
The document acquisition step includes:
Using the reply R and the parameter GS S as inputs, a proof verification algorithm GS. For Groth-Sahai proof. A zero knowledge proof verification sub-step of verifying the non-interactive zero knowledge proof δ by Vrfy (GS S , δ) = 1;
Figure 2012227879
 Lost communication method characterized by. 請求項4から6の何れかに記載の紛失通信方法を実行すべき指令をコンピュータに対してするプログラム。   The program which gives the instruction | command which should perform the lost communication method in any one of Claim 4 to 6 with respect to a computer.
JP2011096184A 2011-04-22 2011-04-22 Lost communication system, lost communication method, and program Expired - Fee Related JP5572580B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011096184A JP5572580B2 (en) 2011-04-22 2011-04-22 Lost communication system, lost communication method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011096184A JP5572580B2 (en) 2011-04-22 2011-04-22 Lost communication system, lost communication method, and program

Publications (2)

Publication Number Publication Date
JP2012227879A true JP2012227879A (en) 2012-11-15
JP5572580B2 JP5572580B2 (en) 2014-08-13

Family

ID=47277552

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011096184A Expired - Fee Related JP5572580B2 (en) 2011-04-22 2011-04-22 Lost communication system, lost communication method, and program

Country Status (1)

Country Link
JP (1) JP5572580B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112906036A (en) * 2021-03-24 2021-06-04 合肥工业大学 Internet of vehicles anonymous security evidence obtaining method and system based on block chain technology
CN114362949A (en) * 2022-01-06 2022-04-15 北京海泰方圆科技股份有限公司 Transmission method, device, medium and equipment

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090300347A1 (en) * 2007-12-06 2009-12-03 Jan Leonhard Camenisch Set membership proofs in data processing systems

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090300347A1 (en) * 2007-12-06 2009-12-03 Jan Leonhard Camenisch Set membership proofs in data processing systems

Non-Patent Citations (11)

* Cited by examiner, † Cited by third party
Title
CSNG200000878006; 岡本 龍明,藤崎 英一郎,内山 成憲: '"公開鍵暗号の最近の話 2 安全性が証明された新しい公開鍵暗号"' 情報処理 第40巻,第2号, 19990215, p.170-177, 社団法人情報処理学会 *
CSNG200900221002; 岡本 龍明,真鍋 義文: '"汎用的結合可能性による暗号システムの安全性証明"' 電子情報通信学会論文誌 D Vol.J92-D,No.5, 20090501, pp.587-595, 社団法人電子情報通信学会 *
CSNJ201010083013; 西巻 陵,藤崎 英一郎,田中 圭介: '"標準仮定に基づいた非対話型かつ再利用可能で頑強なコミットメント方式"' 2010年 暗号と情報セキュリティシンポジウム SCIS2010 [CD-ROM] 1C1-3, 20100122, p.1-6, 電子情報通信学会情報セキュリティ研究専門委員会 *
CSNJ201010083173; 大久保 美也子,阿部 正幸: '"群要素メッセージに対する効率的な署名"' 2010年 暗号と情報セキュリティシンポジウム SCIS2010 [CD-ROM] 3A1-3, 20100122, p.1-5, 電子情報通信学会情報セキュリティ研究専門委員会 *
CSNJ201110015169; Kaoru Kurosawa, Ryo Nojima, Le Trieu Phong: '"Fully Simulatable Adaptive Oblivious Transfer from DDH and Linear Assumptions"' 2011年 暗号と情報セキュリティシンポジウム SCIS2011 [CD-ROM] 3C1-1, 20110128, p.1-8, 電子情報通信学会情報セキュリティ研究専門委員会 *
JPN6014026217; 大久保 美也子,阿部 正幸: '"群要素メッセージに対する効率的な署名"' 2010年 暗号と情報セキュリティシンポジウム SCIS2010 [CD-ROM] 3A1-3, 20100122, p.1-5, 電子情報通信学会情報セキュリティ研究専門委員会 *
JPN6014026218; 岡本 龍明,真鍋 義文: '"汎用的結合可能性による暗号システムの安全性証明"' 電子情報通信学会論文誌 D Vol.J92-D,No.5, 20090501, pp.587-595, 社団法人電子情報通信学会 *
JPN6014026219; 岡本 龍明,藤崎 英一郎,内山 成憲: '"公開鍵暗号の最近の話 2 安全性が証明された新しい公開鍵暗号"' 情報処理 第40巻,第2号, 19990215, p.170-177, 社団法人情報処理学会 *
JPN6014026220; 西巻 陵,藤崎 英一郎,田中 圭介: '"標準仮定に基づいた非対話型かつ再利用可能で頑強なコミットメント方式"' 2010年 暗号と情報セキュリティシンポジウム SCIS2010 [CD-ROM] 1C1-3, 20100122, p.1-6, 電子情報通信学会情報セキュリティ研究専門委員会 *
JPN6014026221; Kaoru Kurosawa, Ryo Nojima, Le Trieu Phong: '"Fully Simulatable Adaptive Oblivious Transfer from DDH and Linear Assumptions"' 2011年 暗号と情報セキュリティシンポジウム SCIS2011 [CD-ROM] 3C1-1, 20110128, p.1-8, 電子情報通信学会情報セキュリティ研究専門委員会 *
JPN6014026222; Matthew Green and Susan Hohenberger: '"Universally Composable Adaptive Oblivious Transfer"' Cryptology ePrint Archive: Report 2008/163 Version: 20081028:204229, 20081028, p.1-30, [online] *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112906036A (en) * 2021-03-24 2021-06-04 合肥工业大学 Internet of vehicles anonymous security evidence obtaining method and system based on block chain technology
CN112906036B (en) * 2021-03-24 2022-10-04 合肥工业大学 Internet of vehicles anonymous security evidence obtaining method and system based on block chain technology
CN114362949A (en) * 2022-01-06 2022-04-15 北京海泰方圆科技股份有限公司 Transmission method, device, medium and equipment

Also Published As

Publication number Publication date
JP5572580B2 (en) 2014-08-13

Similar Documents

Publication Publication Date Title
Ling et al. Group signatures from lattices: simpler, tighter, shorter, ring-based
Lyubashevsky et al. One-shot verifiable encryption from lattices
Garg et al. Registration-based encryption: removing private-key generator from IBE
Attrapadung et al. Efficient completely context-hiding quotable and linearly homomorphic signatures
Green et al. Universally composable adaptive oblivious transfer
JP4899867B2 (en) Group signature method
Hohenberger et al. Universal signature aggregators
Lombardi et al. New constructions of reusable designated-verifier NIZKs
Cathalo et al. Group encryption: Non-interactive realization in the standard model
EP2846492A1 (en) Cryptographic group signature methods and devices
JP2015501110A (en) Group encryption method and device
Wei et al. Traceable attribute‐based signcryption
KR20140103079A (en) Cryptographic devices and methods for generating and verifying commitments from linearly homomorphic signatures
Nunez et al. A parametric family of attack models for proxy re-encryption
Qin et al. Simultaneous authentication and secrecy in identity-based data upload to cloud
Damgård et al. Stronger security and constructions of multi-designated verifier signatures
Bellare et al. Key-versatile signatures and applications: RKA, KDM and joint enc/sig
Kiayias et al. Concurrent blind signatures without random oracles
Shao-hui et al. Public auditing for ensuring cloud data storage security with zero knowledge Privacy
Zhao et al. Fully CCA2 secure identity-based broadcast encryption with black-box accountable authority
Kutyłowski et al. Anamorphic signatures: Secrecy from a dictator who only permits authentication!
Chen et al. Certificateless signatures: structural extensions of security models and new provably secure schemes
Ren et al. Generalized ring signatures
US20160105287A1 (en) Device and method for traceable group encryption
Chakraborty et al. Deniable authentication when signing keys leak

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130813

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140618

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140624

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140630

R150 Certificate of patent or registration of utility model

Ref document number: 5572580

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees