JP2012227879A - Oblivious transfer system, oblivious transfer method, and program - Google Patents
Oblivious transfer system, oblivious transfer method, and program Download PDFInfo
- Publication number
- JP2012227879A JP2012227879A JP2011096184A JP2011096184A JP2012227879A JP 2012227879 A JP2012227879 A JP 2012227879A JP 2011096184 A JP2011096184 A JP 2011096184A JP 2011096184 A JP2011096184 A JP 2011096184A JP 2012227879 A JP2012227879 A JP 2012227879A
- Authority
- JP
- Japan
- Prior art keywords
- signature
- proof
- generation
- generating
- parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は電気通信システムでデータベースにおける情報検索などに利用される紛失通信システム、紛失通信方法、およびプログラムに関する。 The present invention relates to a lost communication system, a lost communication method, and a program used for searching information in a database in a telecommunications system.
適応的紛失通信とは、ある受信者が文書(m1,…,mN)(Nは2以上の正の整数)を持つある送信者と通信を行い、受信者が指定した番号bに対応する文書mbを得る方法である.送信者は番号bについて一切知ることができない。受信者は指定した文書以外を得ることはできない。かつ上記の通信を適応的に何度も繰り返すことができる。この技術は安全なデータベース検索(例えば特許庁データベースにおける特許文献の検索)などに応用可能である。従来、汎用的結合可能性と呼ばれる高い安全性を達成している代表的な適応的紛失通信に非特許文献1、2がある。
Adaptive loss communication means that a recipient communicates with a sender having a document (m 1 ,..., M N ) (N is a positive integer equal to or greater than 2) and corresponds to the number b specified by the recipient. This is a method for obtaining a document mb to be processed. The sender cannot know at all about the number b. Recipients can get only the specified document. And the above communication can be repeated adaptively many times. This technique can be applied to secure database retrieval (for example, retrieval of patent documents in the Patent Office database). Conventionally, there are
しかしながら、非特許文献1では群の要素に対して署名が可能な署名方式を利用しているため非常に特殊な暗号学仮定を必要とし、安全性の根拠において通常の暗号学的仮定を用いたものと比較して信頼性が低い。また、非特許文献2では上記のような署名方式は利用しないが、値段付き適応的紛失通信という、機能追加した方式を用いる。このため上記とは別の強い暗号学的仮定が必要になり、やはり安全性の根拠において通常の暗号学的仮定を用いたものと比較して信頼性が低い。非特許文献1、2に代表される既存方式においては、汎用的結合可能性という最強の安全性を達成しているものの、適応的紛失通信のプロトコルは非標準的な(強い)暗号学的仮定を必要とするものしかないことが問題であった。
However, since Non-Patent
これに対して、標準的な(弱い)暗号学的仮定だけを用いて汎用的結合可能性をもつ適応的紛失通信を実現するために、標準的な暗号学的仮定を用いた署名方式を組み合わせて、適応的紛失通信のプロトコルを構築することが考えられる。しかしながら、単にこれらの標準的な(弱い)暗号学的仮定による署名方式を組み合わせただけでは、適応的紛失通信として機能するとはいえ、汎用的結合可能性の証明が容易でないことが問題であった。また、標準的な暗号学的仮定を用いた署名方式のひとつとして、Waters署名が知られているが、Waters署名は群要素に対して署名することが出来ないため、適応的紛失通信に用いる署名としては適さないと考えられており、適応的紛失通信へのWaters署名の組み込みは困難であった。 On the other hand, in order to realize adaptive lost communication with universal combining possibility using only standard (weak) cryptographic assumptions, a signature scheme using standard cryptographic assumptions is combined. Therefore, it is possible to construct a protocol for adaptive lost communication. However, simply combining the signature schemes based on these standard (weak) cryptographic assumptions, although functioning as an adaptive lost communication, is a problem that it is not easy to prove universal connectivity. . Also, Waters signature is known as one of the signature schemes using standard cryptographic assumptions. However, since Waters signature cannot be signed for group elements, it is a signature used for adaptive lost communication. Therefore, it is difficult to incorporate the Waters signature into the adaptive lost communication.
そこで、本発明では、標準的な暗号学的仮定だけを用い、かつ汎用的結合可能性をもつことが証明可能な適応的紛失通信を実現できる紛失通信システムを提供する。 Therefore, the present invention provides a lost communication system that can realize an adaptive lost communication that uses only standard cryptographic assumptions and that can be proved to have universal combining possibilities.
本発明の紛失通信システムは、システムパラメータ生成装置、送信装置、受信装置からなる。システムパラメータ生成装置は、システムパラメータ生成部と、crs送信部とを備える。 The lost communication system of the present invention includes a system parameter generation device, a transmission device, and a reception device. The system parameter generation device includes a system parameter generation unit and a crs transmission unit.
システムパラメータ生成部は、入力1λに対して任意のλビットの素数と、当該素数位数の巡回乗法群と、双線形写像と、巡回乗法群の生成元と、を組み合わせて双線形写像パラメータを生成し、Groth−Sahai証明の送信装置用パラメータ、受信装置用パラメータを生成し、双線形写像パラメータ、送信装置用パラメータ、受信装置用パラメータ、生成元から設定した第1係数群から共通参照情報crsを生成する。crs送信部は、共通参照情報crsを送信装置と受信装置に送信する。
The system parameter generation unit combines a bilinear mapping parameter by combining an arbitrary λ-bit prime number with respect to
送信装置は、暗号化データベース生成部と、T送信部と、T記憶部と、返信生成部と、R送信部と、を備える。暗号化データベース生成部は、文書(m1,…,mN)(Nは2以上の正の整数)と、共通参照情報crsとを入力とし、Waters双対署名の第1鍵対、第2鍵対を生成し、Boneh−Boyen署名の第3鍵対を生成し、秘密鍵を生成し、第1鍵対、第2鍵対、第3鍵対を用いて公開鍵を生成し、Waters双対署名の第1署名、第2署名を生成し、Boneh−Boyen署名の第3署名を生成し、文書(m1,…,mN)、第1鍵対に含まれる値、第2鍵対に含まれる値、共通参照情報crs、第1署名、第2署名、第3署名を用いて、暗号文C1,…,CNを生成し、公開鍵と、暗号文C1,…,CNとから暗号化データベースを生成する。T送信部は、暗号化データベースを受信装置に送信する。T記憶部は、暗号化データベースと、秘密鍵とを記憶する。返信生成部は、共通参照情報crs、暗号化データベース、秘密鍵、要求Qを入力とし、知識識別不可能証明を検証し、知識識別不可能証明が正しい場合に、秘密鍵、要求Qを用いてブラインド復号を実行し、暗号化データベース、共通参照情報crs、要求Qを用いて、Groth−Sahai証明の非対話ゼロ知識証明を生成し、非対話ゼロ知識証明を含む返信Rを生成する。R送信部は、返信Rを受信装置に送信する。
The transmission device includes an encrypted database generation unit, a T transmission unit, a T storage unit, a reply generation unit, and an R transmission unit. The encrypted database generation unit receives the document (m 1 ,..., M N ) (N is a positive integer equal to or greater than 2) and the common reference information crs, and uses the first key pair and the second key of the Waters dual signature. Generate a pair, generate a third key pair for the Boneh-Boyen signature, generate a secret key, generate a public key using the first key pair, the second key pair, and the third key pair, and a Waters dual signature First signature and second signature, and a third signature of a Boneh-Boyen signature, and a document (m 1 ,..., M N ), a value included in the first key pair, included in the second key pair values, common reference information crs, first signature, the second signature, by using the third signature, the
受信装置は、要求生成部と、Q送信部と、Q記憶部と、文書取得部と、を備える。要求生成部は、暗号化データベースと、共通参照情報crsと、インデックスξとを入力とし、暗号文C1,…,CNに含まれる署名を検証し、署名が正しい場合に、インデックスξに対応する暗号文Cξ、共通参照情報crsを用いて再ランダム化を実行し、暗号文Cξ、共通参照情報crs、公開鍵を用いて、Groth−Sahai証明の知識識別不可能証明を生成し、知識識別不可能証明を含む要求Q、と、要求Qおよびインデックスξを含むQprivを生成する。Q送信部は、要求Qを送信装置に送信する。Q記憶部は、要求QとQprivとを記憶する。文書取得部は、返信Rと、Qprivと、暗号化データベースと、共通参照情報crsとを入力とし、非対話ゼロ知識証明を検証し、非対話ゼロ知識証明が正しい場合に、Qpriv、暗号文C1,…,CN、共通参照情報crsを用いて、暗号文Cξから文書mξを計算して出力する。 The receiving device includes a request generation unit, a Q transmission unit, a Q storage unit, and a document acquisition unit. Request generation unit, an encryption database, a common reference information crs, and inputs the index xi], ciphertext C 1, ..., verifies the signature contained in the C N, if the signature is correct, corresponding to the index xi] ciphertext C xi] to, perform re-randomization using the common reference information crs, ciphertext C xi], common reference information crs, using the public key to generate a knowledge indistinguishable proof Groth-Sahai proof, A request Q including a knowledge indistinguishable proof and a Q priv including the request Q and an index ξ are generated. The Q transmission unit transmits the request Q to the transmission device. The Q storage unit stores the request Q and Q priv . Document acquisition unit includes a reply R, and Q priv, the encrypted database, and inputs the common reference information crs, verifies the non-interactive zero-knowledge proof, if non-interactive zero-knowledge proof is correct, Q priv, encryption Using the sentences C 1 ,..., C N and the common reference information crs, the document m ξ is calculated from the cipher text C ξ and output.
本発明の紛失通信システムによれば、汎用的結合可能性を達成している従来方式と異なり,整数要素に対する署名方式で,かつF−偽造不可能性という通常の安全性より強い安全性をもつ署名方式(Waters双対署名の変形版)を利用することで,判定線形仮定というごく標準的な暗号学的仮定だけを用いて、汎用的結合可能性を実現し、さらに安全性について証明された適応的紛失通信を実現できる。 According to the lost communication system of the present invention, unlike the conventional method that achieves universal combining possibility, it is a signature method for integer elements and has stronger security than the usual security of F-forgery impossible. By using a signature scheme (a modified version of Waters dual signature), using only a very standard cryptographic assumption called the decision linear assumption, it realizes universal joinability, and also has proven security. Lost communication can be realized.
以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。 Hereinafter, embodiments of the present invention will be described in detail. In addition, the same number is attached | subjected to the structure part which has the same function, and duplication description is abbreviate | omitted.
本明細書では、λはセキュリティパラメータを表すものとする。双線形写像については付録を参照されたい。また、BMSetupを、入力1λに対して、λビットの素数p、素数位数pの巡回乗法群であるGおよびGT、双線形写像e、群Gの生成元gよりなる双線形写像パラメータΓ:=(p,G,GT,e,g)を出力する標準的なアルゴリズムとする。本発明では、Groth−Sahai証明を利用する。Groth−Sahai証明のアルゴリズム、簡単な説明は付録Cを参照されたい(完全な詳細については参考文献7[GS08]参照)。Waters双対署名については付録B1を、Boneh−Boyen署名については付録B2を参照されたい。
In this specification, λ represents a security parameter. See Appendix for bilinear mapping. BMSSetup is a bilinear mapping parameter consisting of G and G T that are cyclic multiplicative groups of λ-bit prime p and prime order p, bilinear mapping e, and generator g of group G with respect to
<本明細書に登場する用語の解説>
本明細書において、
<Glossary of terms used in this specification>
In this specification,
と表記されている場合、アルゴリズム内部で乱数を発生させてランダムに出力することを意味する。また、 Means that a random number is generated inside the algorithm and output at random. Also,
と表記されている場合、素数pを法とする整数環Zpからランダムに値を選択することを意味する。 , It means that a value is randomly selected from an integer ring Z p modulo a prime number p.
まず、図1、図2を参照して、本発明の実施例1に係る紛失通信システム100の動作の概略を説明する。図1は本実施例に係る紛失通信システム100の構成を示すブロック図である。図2は本実施例に係る紛失通信システム100の動作を示すシーケンス図である。
First, an outline of the operation of the lost
本実施例の紛失通信システム100は、システムパラメータ生成装置10、送信装置20、受信装置30からなる。システムパラメータ生成装置10は、システムパラメータ生成部11と、crs送信部12とを備える。
The lost
以下、実際に行われる手続きの順に説明してゆく。システムパラメータ生成部11は、入力1λに対して任意のλビットの素数と、当該素数位数の巡回乗法群と、双線形写像と、巡回乗法群の生成元と、を組み合わせて双線形写像パラメータを生成し、Groth−Sahai証明の送信装置用パラメータ、受信装置用パラメータを生成し、双線形写像パラメータ、送信装置用パラメータ、受信装置用パラメータ、生成元から設定した第1係数群から共通参照情報crsを生成する(S11)。crs送信部12は、共通参照情報crsを送信装置と受信装置に送信する(S12)。
In the following, description will be made in the order of procedures actually performed. The system
送信装置20は、暗号化データベース生成部21と、T送信部22と、T記憶部23と、返信生成部24と、R送信部25と、を備える。暗号化データベース生成部21は、文書(m1,…,mN)(Nは2以上の正の整数)と、共通参照情報crsとを入力とし、Waters双対署名の第1鍵対、第2鍵対を生成し、Boneh−Boyen署名の第3鍵対を生成し、秘密鍵を生成し、第1鍵対、第2鍵対、第3鍵対を用いて公開鍵を生成し、Waters双対署名の第1署名、第2署名を生成し、Boneh−Boyen署名の第3署名を生成し、文書(m1,…,mN)、第1鍵対に含まれる値、第2鍵対に含まれる値、共通参照情報crs、第1署名、第2署名、第3署名を用いて、暗号文C1,…,CNを生成し、公開鍵と、暗号文C1,…,CNとから暗号化データベースを生成する(S21)。T送信部22は、暗号化データベースを受信装置に送信する(S22)。T記憶部23は、暗号化データベースと、秘密鍵とを記憶する(S23)。
The transmission device 20 includes an encrypted
受信装置30は、要求生成部31と、Q送信部32と、Q記憶部33と、文書取得部34と、を備える。要求生成部31は、暗号化データベースと、共通参照情報crsと、インデックスξとを入力とし、暗号文C1,…,CNに含まれる署名を検証し、署名が正しい場合に、インデックスξに対応する暗号文Cξ、共通参照情報crsを用いて再ランダム化を実行し、暗号文Cξ、共通参照情報crs、公開鍵を用いて、Groth−Sahai証明の知識識別不可能証明を生成し、知識識別不可能証明を含む要求Q、と、要求Qおよびインデックスξを含むQprivを生成する(S31)。Q送信部32は、要求Qを送信装置に送信する(S32)。Q記憶部33は、要求QとQprivとを記憶する(S33)。
The receiving device 30 includes a
送信装置20の返信生成部24は、共通参照情報crs、暗号化データベース、秘密鍵、要求Qを入力とし、知識識別不可能証明を検証し、知識識別不可能証明が正しい場合に、秘密鍵、要求Qを用いてブラインド復号を実行し、暗号化データベース、共通参照情報crs、要求Qを用いて、Groth−Sahai証明の非対話ゼロ知識証明を生成し、非対話ゼロ知識証明を含む返信Rを生成する(S24)。R送信部25は、返信Rを受信装置に送信する(S25)。
The
受信装置30の文書取得部34は、返信Rと、Qprivと、暗号化データベースと、共通参照情報crsとを入力とし、非対話ゼロ知識証明を検証し、非対話ゼロ知識証明が正しい場合に、Qpriv、暗号文C1,…,CN、共通参照情報crsを用いて、暗号文Cξから文書mξを計算して出力する(S34)。
The
このように、本実施例の紛失通信システム100は、汎用的結合可能性を達成している従来方式と異なり,整数要素に対する署名方式で,かつF−偽造不可能性という通常の安全性より強い安全性をもつ署名方式(Waters双対署名の変形版)を利用することで,判定線形仮定というごく標準的な暗号学的仮定だけを用いて、汎用的結合可能性を実現し、さらに安全性について証明された適応的紛失通信を実現できる。
As described above, the lost
次に、図3から図12を用いて、本実施例の紛失通信システムをさらに詳細に説明する。図3は本実施例のシステムパラメータ生成装置10が備えるシステムパラメータ生成部11の構成を示すブロック図である。図4は本実施例のシステムパラメータ生成装置10が備えるシステムパラメータ生成部11の動作を示すフローチャートである。図5は本実施例の送信装置20が備える暗号化データベース生成部21の構成を示すブロック図である。図6は本実施例の送信装置20が備える暗号化データベース生成部21の動作を示すフローチャートである。図7は本実施例の受信装置30が備える要求生成部31の構成を示すブロック図である。図8は本実施例の受信装置30が備える要求生成部31の動作を示すフローチャートである。図9は本実施例の送信装置20が備える返信生成部24の構成を示すブロック図である。図10は本実施例の送信装置20が備える返信生成部24の動作を示すフローチャートである。図11は本実施例の受信装置30が備える文書取得部34の構成を示すブロック図である。図12は本実施例の受信装置30が備える文書取得部34の動作を示すフローチャートである。
Next, the lost communication system of the present embodiment will be described in more detail with reference to FIGS. FIG. 3 is a block diagram illustrating a configuration of the system
以下、実際に行われる手続きの順に説明してゆく。前述したように本実施例の紛失通信システム100はシステムパラメータ生成装置10、送信装置20、受信装置30からなる。前述したようにシステムパラメータ生成装置10はシステムパラメータ生成部11と、crs送信部12とを備える。システムパラメータ生成部11は、双線形写像パラメータ生成手段11aと、送信装置用パラメータ生成手段11bと、受信装置用パラメータ生成手段11cと、第1係数設定手段11dと、システムパラメータ生成手段11eとを備える。
In the following, description will be made in the order of procedures actually performed. As described above, the lost
双線形写像パラメータ生成手段11aは、入力1λに対して、BMSetupアルゴリズムを実行して、λビットの素数p、素数位数pの巡回乗法群であるGおよびGT、双線形写像e、群Gの生成元gよりなる双線形写像パラメータΓ:=(p,G,GT,e,g)を生成する(SS11a)。
The bilinear mapping parameter generation means 11a executes the BMSsetup algorithm on the
システムパラメータ生成手段11eは、共通参照情報crs:=(Γ、GSS、GSR、g1、g2、ζ)を生成する(SS11e)。crs送信部12は、共通参照情報crsを送信装置20と受信装置30に送信する(S12)。
The system parameter generation unit 11e generates common reference information crs: = (Γ, GS S , GS R , g 1 , g 2 , ζ) (SS11e). The
前述したように送信装置20は暗号化データベース生成部21と、T送信部22と、T記憶部23と、返信生成部24と、R送信部25とを備える。暗号化データベース生成部21は、第1Waters鍵対生成手段21aと、第2Waters鍵対生成手段21bと、BB鍵対生成手段21cと、秘密鍵生成手段21dと、公開鍵生成手段21eと、第2係数設定手段21fと、第1Waters署名生成手段21gと、第2Waters署名生成手段21hと、BB署名生成手段21iとを備える。
As described above, the transmission device 20 includes the encrypted
暗号化データベース生成手段21kは、公開鍵pkと、暗号文C1,…,CNとを入力とし、暗号化データベースT:=(pk,C1,…,CN)を生成する(SS21k)。T送信部22は、暗号化データベースTを受信装置30に送信する(S22)。T記憶部23は、暗号化データベースTと、秘密鍵sk:=(x1、x2)とを記憶する(S23)。
Encrypted database generating means 21k is to the public key pk, the
前述したように受信装置30は要求生成部31と、Q送信部32と、Q記憶部33と、文書取得部34と、を備える。要求生成部31は、署名検証部31aと、再ランダム化手段31bと、知識識別不可能証明生成手段31cと、要求生成手段31dとを備える。
As described above, the receiving device 30 includes the
署名検証手段31aは、暗号文C1,…,CNと、インデックスξとを入力とし、暗号文C1,…,CNに含まれる署名をWaters双対署名の署名検証アルゴリズムW.Vrfyおよび、Boneh−Boyen署名の署名検証アルゴリズムBB.Vrfyを実行して検証し、暗号文C1,…,CNに含まれる署名が正しい場合に、インデックスξに対応する暗号文Cξを出力する(SS31a)。
Signature verifying means 31a is ciphertext C 1, ..., and C N, and inputs the index xi],
Q送信部32は、要求Qを前記送信装置に送信する(S32)。Q記憶部33は、要求QとQprivとを記憶する(S33)。
The
送信装置20の返信生成部24は、知識識別不可能証明検証手段24aと、ブラインド復号手段24bと、非対話ゼロ知識証明生成手段24cと、返信生成手段24dと、を備える。知識識別不可能証明検証手段24aは、Groth−Sahai証明の知識識別不可能証明πと、前記パラメータGSRとを入力とし、Groth−Sahai証明の証明検証アルゴリズムGS.Vrfy(GSR,π)を実行して、知識識別不可能証明πを検証する(SS24a)。
The
R送信部25は、返信Rを受信装置30に送信する(S25)。
The
受信装置30の文書取得部34は、ゼロ知識証明検証手段34aと、文書生成手段34bとを備える。
The
ゼロ知識証明検証手段34aは、返信Rと、パラメータGSSとを入力とし、Groth−Sahai証明の証明検証アルゴリズムGS.Vrfy(GSS,δ)=1によって、非対話ゼロ知識証明δを検証する(SS34a)。 The zero-knowledge proof verification means 34a receives the reply R and the parameter GS S as inputs, and uses the proof verification algorithm GS. The non-interactive zero knowledge proof δ is verified by Vrfy (GS S , δ) = 1 (SS34a).
このように、本実施例の紛失通信システム100は、汎用的結合可能性を達成している従来方式と異なり,整数要素に対する署名方式で,かつF−偽造不可能性という通常の安全性より強い安全性をもつ署名方式(Waters双対署名の変形版)を利用することで,判定線形仮定というごく標準的な暗号学的仮定だけを用いて、汎用的結合可能性を実現し、さらに安全性について証明された適応的紛失通信を実現できる。
As described above, the lost
<本発明と従来技術の比較>
次に、図13、図14を参照して、本発明と従来技術との比較について説明する。図13は本発明の紛失通信システムと従来技術との違いを示す表である。図14は本発明の紛失通信システムと従来技術との違いを座標軸に表した図である。図13は、左隅列に本明細書における参考文献番号を記した。また、左から2番目の列についてはこれらの文献を表す略号を表記している。また、UCとは安全性が汎用的結合可能性を満たしていることを示す。Full Simとは、fully simultable安全性という汎用的結合性より弱い安全性を満たしていることを示す。q−hiddenLRSW仮定など、q−が接頭についている仮定は、暗号の分野でq仮定と呼ばれ、標準的な暗号学的仮定であるRSA仮定、DDH(判定Differ−Hellman)仮定、DLIN(判定線形)仮定に比べて安全性の根拠に信頼がおけない。
(参考文献1)[BB04] D. Boneh and X. Boyen. Efficient Selective-ID Secure Identity-
Based Encryption Without RandomOracles. In EUROCRYPT’04, volume 3027 of Lecture Notes in Computer Science, pages 223-238.Springer, 2004.
(参考文献2)[BF01] D. Boneh and M. K. Franklin. Identity-Based Encryption from the Weil Pairing. In CRYPTO’01,volume 2139 of Lecture Notes in Computer Science, pages 213-229. Springer, 2001.
(参考文献3)[CNS07] J. Camenisch, G. Neven, and A. Shelat. Simulatable Adaptive Oblivious Transfer. In EUROCRYPT’07, volume 4515 of Lecture Notes in Computer Science, pages 573-590. Springer, 2007.
(参考文献4)[CS97] J. Camenisch and M. Stadler. Efficient Group Signature Schemes for Large Groups (ExtendedAbstract). In CRYPTO’97, volume 1294 of Lecture Notes in Computer Science, pages 410-424.Springer, 1997.
(参考文献5)[GH08] M. Green and S. Hohenberger. Universally Composable Adaptive Oblivious Transfer. In ASIACRYPT’08, volume 5350 of Lecture Notes in Computer Science, pages 179-197. Springer, 2008.
(参考文献6)[GH11] M. Green and S. Hohenberger. Practical Adaptive Oblivious Transfer from a Simple Assumption.In TCC’01, volume 6597 of Lecture Notes in Computer Science, pages 347-363 Springer, 2011.http://eprint.iacr.org/2010/109.
(参考文献7)[GS08] J. Groth and A. Sahai. Efficient Non-interactive Proof Systems for Bilinear Groups. In EUROCRYPT’08, volume 4965 of Lecture Notes in Computer Science, pages 415-432. Springer, 2008.
(参考文献8)[JL09] S. Jarecki and X. Liu. Efficient Oblivious Pseudorandom Function with Applications to AdaptiveOT and Secure Computation of Set Intersection. In TCC, volume 5444 of Lecture Notes in ComputerScience, pages 577-594. Springer, 2009.
(参考文献9)[KN09] K. Kurosawa and R. Nojima. Simple Adaptive Oblivious Transfer without Random Oracle. InASIACRYPT’09, volume 5912 of Lecture Notes in Computer Science, pages 334-346. Springer, 2009.
(参考文献10)[KNP10] K. Kurosawa, R. Nojima, and L. T. Phong. Efficiency-Improved Full Simulatable Adaptive OTunder the DDH Assumption. In SCN, volume 6280 of Lecture Notes in Computer Science, pages172-181. Springer, 2010.
(参考文献11)[RKP09] A. Rial, M. Kohlweiss, and B. Preneel. Universally Composable Adaptive Priced ObliviousTransfer. In Pairing, volume 5671 of Lecture Notes in Computer Science, pages 231-247. Springer,2009.
(参考文献12)[Wat09] B. Waters. Dual System Encryption: Realizing Fully Secure IBE and HIBE under Simple Assumptions.In CRYPTO’09, volume 5677 of Lecture Notes in Computer Science, pages 619-636. Springer,2009.
<本発明と従来技術の比較おわり>
<Comparison between the present invention and the prior art>
Next, a comparison between the present invention and the prior art will be described with reference to FIGS. FIG. 13 is a table showing the difference between the lost communication system of the present invention and the prior art. FIG. 14 is a diagram showing the difference between the lost communication system of the present invention and the prior art on the coordinate axis. In FIG. 13, reference numbers in this specification are shown in the left corner column. The second column from the left shows abbreviations representing these documents. In addition, UC indicates that the safety satisfies the universal connection possibility. “Full Sim” indicates that safety that is weaker than general connectivity, which is a fully simple safety, is satisfied. The assumption that q- is prefixed, such as the q-hiddenLRSW assumption, is called q assumption in the field of cryptography, and is the standard cryptographic assumption RSA assumption, DDH (decision Differ-Hellman) assumption, DLIN (decision linear). ) The grounds for safety are less reliable than the assumptions.
(Reference 1) [BB04] D. Boneh and X. Boyen. Efficient Selective-ID Secure Identity-
Based Encryption Without RandomOracles.In EUROCRYPT'04, volume 3027 of Lecture Notes in Computer Science, pages 223-238.Springer, 2004.
(Reference 2) [BF01] D. Boneh and MK Franklin. Identity-Based Encryption from the Weil Pairing. In CRYPTO'01, volume 2139 of Lecture Notes in Computer Science, pages 213-229. Springer, 2001.
(Reference 3) [CNS07] J. Camenisch, G. Neven, and A. Shelat. Simulatable Adaptive Oblivious Transfer. In EUROCRYPT'07, volume 4515 of Lecture Notes in Computer Science, pages 573-590. Springer, 2007.
(Reference 4) [CS97] J. Camenisch and M. Stadler. Efficient Group Signature Schemes for Large Groups (ExtendedAbstract). In CRYPTO'97, volume 1294 of Lecture Notes in Computer Science, pages 410-424.Springer, 1997.
(Reference 5) [GH08] M. Green and S. Hohenberger. Universally Composable Adaptive Oblivious Transfer. In ASIACRYPT'08, volume 5350 of Lecture Notes in Computer Science, pages 179-197. Springer, 2008.
(Reference 6) [GH11] M. Green and S. Hohenberger. Practical Adaptive Oblivious Transfer from a Simple Assumption. In TCC'01, volume 6597 of Lecture Notes in Computer Science, pages 347-363 Springer, 2011.http: / /eprint.iacr.org/2010/109.
(Reference 7) [GS08] J. Groth and A. Sahai. Efficient Non-interactive Proof Systems for Bilinear Groups. In EUROCRYPT'08, volume 4965 of Lecture Notes in Computer Science, pages 415-432. Springer, 2008.
(Reference 8) [JL09] S. Jarecki and X. Liu. Efficient Oblivious Pseudorandom Function with Applications to AdaptiveOT and Secure Computation of Set Intersection. In TCC, volume 5444 of Lecture Notes in ComputerScience, pages 577-594. Springer, 2009 .
(Reference 9) [KN09] K. Kurosawa and R. Nojima. Simple Adaptive Oblivious Transfer without Random Oracle. InASIACRYPT'09, volume 5912 of Lecture Notes in Computer Science, pages 334-346. Springer, 2009.
(Reference 10) [KNP10] K. Kurosawa, R. Nojima, and LT Phong. Efficiency-Improved Full Simulatable Adaptive OTunder the DDH Assumption. In SCN, volume 6280 of Lecture Notes in Computer Science, pages 172-181. Springer, 2010 .
(Reference 11) [RKP09] A. Rial, M. Kohlweiss, and B. Preneel. Universally Composable Adaptive Priced ObliviousTransfer. In Pairing, volume 5671 of Lecture Notes in Computer Science, pages 231-247. Springer, 2009.
(Reference 12) [Wat09] B. Waters. Dual System Encryption: Realizing Fully Secure IBE and HIBE under Simple Assumptions. In CRYPTO'09, volume 5677 of Lecture Notes in Computer Science, pages 619-636. Springer, 2009.
<End of comparison between the present invention and the prior art>
<本発明が有する進歩性についての補足>
線形暗号:本発明の方式は以下の線形暗号方式の署名からできている。この基本構造は参考文献5、11においても同じである。
<Supplementary information about inventive step>
Linear cryptography: The scheme of the present invention consists of the following linear cryptographic signature. This basic structure is the same in
本発明の進歩性について:本発明では、送信装置は線形暗号方式により暗号文 Regarding the inventive step of the present invention: In the present invention, the transmitting device uses the linear encryption method to encrypt the ciphertext.
<本発明が有する進歩性についての補足おわり>
<Supplementary conclusion about the inventive step of the present invention>
<付録A:ペアリング>
双線型性を満たすペアリングと呼ばれる演算は楕円曲線上の二点に定義される。なお、楕円曲線上の群は普通加法群であるが、暗号理論学会での慣習に従い乗法群として記述する。GとGTを位数pの群とする。ここでpは十分大きい素数である。この二つの群の間の双線型写像e:G×G→GTは以下の性質を満たす。
双線型性:任意のg,h∈Gおよび任意のa,b∈Zに対して
e(ga,hb)=e(g,h)ab
が成立する。
非退化性:e(g,g)≠1を満たすgが存在する。つまり、もしgがGの生成元ならe(g,g)はGTの生成元である。
計算可能性:任意のg,h∈Gに対して、e(g,h)は効率的に(つまり多項式時間で)計算可能である。詳しくは[BF01]や「現代暗号への招待(黒澤馨著,サイエンス社)」の13章を参照されたい。
<付録A:ペアリングおわり>
<Appendix A: Pairing>
An operation called pairing that satisfies bilinearity is defined at two points on an elliptic curve. Although the group on the elliptic curve is an ordinary additive group, it is described as a multiplicative group according to the convention of the Cryptologic Society. The G and G T the group of order p. Here, p is a sufficiently large prime number. Bilinear map e between the two groups: G × G → G T satisfies the following properties.
Bilinearity: e (ga, hb) = e (g, h) ab for any g, h [ epsilon] G and any a , b [ epsilon] Z
Is established.
Non-degeneration: g satisfying e (g, g) ≠ 1 exists. That is if g if the generator of G e (g, g) the generator of G T.
Computability: For any g, hεG, e (g, h) can be computed efficiently (ie in polynomial time). For more details, please refer to Chapter 13 of [BF01] and “Invitation to Modern Cryptography (by Atsushi Kurosawa, Science)”.
<Appendix A: End of pairing>
<付録B:ディジタル署名>
[B1:Waters双対署名]
<Appendix B: Digital Signature>
[B1: Waters dual signature]
[B2:(変形)Boneh−Boyen署名] [B2: (Modified) Boneh-Boyen Signature]
F−署名:選択メッセージ攻撃に対してF−セキュアと呼ばれるより強い安全性の定義を考える。Fを効率的に計算可能な全単射であるものとする。署名スキーム F-signature: Consider a stronger security definition called F-secure against selective message attacks. Let F be a bijection that can be calculated efficiently. Signature scheme
手順1(セットアップ):挑戦者は、
Step 1 (Setup): Challenger
手順2(質問):敵対者はメッセージ
Step 2 (question): Adversary message
手順3(出力):敵対者は(y*,σ*)を出力する。 Procedure 3 (output): The adversary outputs (y * , σ * ).
ここで、
here,
<付録B:ディジタル署名おわり>
<Appendix B: Digital Signature End>
<付録C:Groth−Sahai証明>
Groth−Sahai証明システムでは等式の充足可能性(例えばペアリング生成等式)に対して、効率的に非対話識別不可能(NIWI)証明、非対話ゼロ知識(NIZK)証明を行うことができる。証明システムはGroth−Sahaiコミットメントスキームに基づいている。
Groth−Sahaiコミットメントスキーム:本スキームでは、まず、双線形写像パラメータ
<Appendix C: Groth-Sahai Proof>
The Groth-Sahai proof system can efficiently perform non-dialogue indistinguishable (NIWI) proof and non-dialogue zero knowledge (NIZK) proof for satisfiability of equations (eg, pairing generation equation). . The certification system is based on the Groth-Sahai commitment scheme.
Groth-Sahai commitment scheme: In this scheme, first, bilinear mapping parameters
GS.ComSetup(Γ):共通参照情報crsGSCを出力する。
GS.Commit(crsGSC,m,d):コミットm∈Gである入力m、共通参照情報crsGSC、デコミットメントd、として出力コミットメント
GS. ComSetup (Γ): Outputs common reference information crs GSC .
GS. Commit (crs GSC , m, d): Output commitment as input m, commit m ∈ G, common reference information crs GSC , decommitment d
GS.ExpCom(crsGSC,m,b,d):入力m∈Zp、基数b∈G、共通参照情報crsGSC、デコミットメントd、cを
GS. ExpCom (crs GSC , m, b, d): input mεZ p , radix bεG, common reference information crs GSC , decommitment d, c
GS.Opening(crsGSC,c,m,d):dが(m,c)に対して正当なデコミットメントである場合、1を出力する。それ以外の場合は、0を出力する。すなわち、
GS. Opening (crs GSC , c, m, d): 1 is output when d is a valid decommitment with respect to (m, c). Otherwise, 0 is output. That is,
Groth−Sahaiコミットメントスキームの共通参照情報には2タイプの生成物が存在する。1つのタイプではコミットメントが完全拘束であり、計算量的拘束であり抽出可能である。もう1つのタイプでは、コミットメントが完全秘匿であり、計算量的拘束であり曖昧性を持つ。これらの2つのタイプは計算量的識別不可能である。本証明システムは例えばDLIN仮定などの暗号学的仮定裏付けられている(以下、本説明ではDLIN仮定を用いるものとする)。ステートメントSは、変数 There are two types of products in the common reference information for the Groth-Sahai commitment scheme. In one type, commitment is fully constrained, computationally constrained and extractable. In the other type, commitment is completely confidential, computationally constrained and ambiguous. These two types are computationally indistinguishable. This proof system is supported by cryptographic assumptions such as DLIN assumption (hereinafter, DLIN assumption will be used in this description). Statement S is a variable
本システムでは、証明者は同形のコミットメントスキームと共通参照情報CRSとを用いてwitness(証拠、群の元)を遂行する。共通参照情報CRSには2つのタイプが存在する。1つのタイプは完全拘束コミットメントスキームを、もう1つのタイプは完全秘匿コミットメントスキームを与える。これらの2つのタイプは計算量的識別不可能である。
証明システム:証明システムは以下のアルゴリズムにより構成される。
GS.Setup(Γ):入力
In this system, the prover performs a witness (evidence, group origin) using the same-type commitment scheme and the common reference information CRS. There are two types of common reference information CRS. One type provides a fully constrained commitment scheme and the other type provides a fully confidential commitment scheme. These two types are computationally indistinguishable.
Proof system: The proof system is composed of the following algorithms.
GS. Setup (Γ): Input
GS:Prove(GS,S,W):ステートメントSと、witness(証拠)
GS: Probe (GS, S, W): Statement S and witness (evidence)
GS.Vrfy(GS,π):証明πを入力とし、照明を検証し、正当であれば1を出力し、それ以外は0を出力する。
GS.ExtSetup(Γ):共通参照情報GS(その分布は通常の共通参照情報と一致する)と、正当なwitnessを導出するためのトラップドアtdextとを出力する。
GS.Extract(GS,tdext,π):証明πと、トラップドアtdextとを入力とし、各コミットメントCiから抽出値
GS. Vrfy (GS, π): The proof π is input, the illumination is verified, 1 is output if it is valid, and 0 is output otherwise.
GS. ExtSetup (Γ): Outputs common reference information GS (the distribution of which coincides with normal common reference information) and trapdoor td ext for deriving a valid witness.
GS. Extract (GS, td ext, π ): certification and π, as input and the trap door td ext, extraction value from each commitment C i
GS.SimSetup(Γ):GS.Setup(Γ)の出力である通常の共通参照情報と計算量的識別不可能な模擬共通参照情報GS’と、模擬トラップドアtdsimを出力する。
GS.SimProve(GS’,tdsim,S):模擬共通参照情報GS’と、模擬トラップドアtdsimとを入力とし、GS.Vrfy(GS’,π)=1を満たすステートメントSの模擬証明πを出力する。
セキュリティ特性:本証明システムは以下の特性を満足する。
正当性:全ての
GS. SimSetup (Γ): GS. The normal common reference information that is the output of Setup (Γ), the simulated common reference information GS ′ that cannot be quantitatively distinguished, and the simulated trap door td sim are output.
GS. SimProbe (GS ′, td sim , S): The simulated common reference information GS ′ and the simulated trap door td sim are input, and GS. A simulation proof π of a statement S satisfying Vrfy (GS ′, π) = 1 is output.
Security characteristics: This certification system satisfies the following characteristics.
Justification: All
抽出性:
Extractability:
共通参照情報CRSの識別不可能性:
Indistinguishability of common reference information CRS:
構成可能なwitnessの識別不可能性:全てのPPT攻撃者
Configurable Witness indistinguishability: all PPT attackers
Groth−Sahai証明システムは、制限されたステートメントのクラス(ΣZKはこのクラスを意味する)における構成可能なゼロ知識証明を提供する。
構成可能なゼロ知識:全てのPPT攻撃者
The Groth-Sahai proof system provides a configurable zero knowledge proof in a restricted class of statements (Σ ZK means this class).
Configurable zero knowledge: all PPT attackers
が成立する。
F−抽出可能非対話知識証明:Groth−Sahai証明システムにおいては、非対話知識証明(NIWIまたはNIZK)から、トラップドアtdextを使うことによりwitnessを抽出できる。しかしながら、この証明システムにおいては、群の元のみがコミットできるため、群Gの元を抽出できるのみである。従って、本証明システムにおいてメッセージm∈Zpを選択して、gm∈Gをコミットし、witnessであるgmを用いて、非対話証明を生成する場合には、gmのみを抽出することができる(これはm自身でなく、関数F(m):=gmの出力であることに注意する)。この性質から、Groth−Sahai証明システムはF−抽出可能性を備えると言われる。
定理2[GS08]:DLIN仮定が成り立つならば、Groth−Sahai証明システム効率的にインスタンス化できる。
<付録C:Groth−Sahai証明おわり>
Is established.
F-Extractable non-dialogue knowledge proof: In the Groth-Sahai proof system, it is possible to extract witness from the non-dialogue knowledge proof (NIWI or NIZK) by using the trapdoor td ext . However, in this proof system, only the element of the group G can be committed, so that only the element of the group G can be extracted. Therefore, by selecting a message M∈Z p in the certification system, commit the g m ∈G, with g m is The witness, when generating a non-interactive proof, to extract only the g m (Note that this is not m itself, but the output of the function F (m): = g m ). Because of this property, it is said that the Groth-Sahai proof system has F-extractability.
Theorem 2 [GS08]: If the DLIN assumption holds, the Groth-Sahai proof system can be instantiated efficiently.
<Appendix C: End of Groth-Sahai Proof>
<付録D:暗号学的仮定> <Appendix D: Cryptographic assumptions>
また、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。 In addition, the various processes described above are not only executed in time series according to the description, but may be executed in parallel or individually according to the processing capability of the apparatus that executes the processes or as necessary. Needless to say, other modifications are possible without departing from the spirit of the present invention.
また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。 Further, when the above-described configuration is realized by a computer, processing contents of functions that each device should have are described by a program. The processing functions are realized on the computer by executing the program on the computer.
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。 The program describing the processing contents can be recorded on a computer-readable recording medium. As the computer-readable recording medium, for example, any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory may be used.
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。 The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。 A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, the computer reads a program stored in its own recording medium and executes a process according to the read program. As another execution form of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and the program is transferred from the server computer to the computer. Each time, the processing according to the received program may be executed sequentially. Also, the program is not transferred from the server computer to the computer, and the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes the processing function only by the execution instruction and result acquisition. It is good. Note that the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。 In this embodiment, the present apparatus is configured by executing a predetermined program on a computer. However, at least a part of these processing contents may be realized by hardware.
Claims (7)
前記システムパラメータ生成装置は、
入力1λに対して任意のλビットの素数と、当該素数位数の巡回乗法群と、双線形写像と、前記巡回乗法群の生成元と、を組み合わせて双線形写像パラメータを生成し、Groth−Sahai証明の送信装置用パラメータ、受信装置用パラメータを生成し、前記双線形写像パラメータ、前記送信装置用パラメータ、前記受信装置用パラメータ、前記生成元から設定した第1係数群から共通参照情報crsを生成するシステムパラメータ生成部と、
前記共通参照情報crsを送信装置と受信装置に送信するcrs送信部とを備え、
前記送信装置は、
文書(m1,…,mN)(Nは2以上の正の整数)と、前記共通参照情報crsとを入力とし、Waters双対署名の第1鍵対、第2鍵対を生成し、Boneh−Boyen署名の第3鍵対を生成し、秘密鍵を生成し、前記第1鍵対、前記第2鍵対、前記第3鍵対を用いて公開鍵を生成し、Waters双対署名の第1署名、第2署名を生成し、Boneh−Boyen署名の第3署名を生成し、前記文書(m1,…,mN)、前記第1鍵対に含まれる値、前記第2鍵対に含まれる値、前記共通参照情報crs、前記第1署名、前記第2署名、前記第3署名を用いて、暗号文C1,…,CNを生成し、前記公開鍵と、前記暗号文C1,…,CNとから暗号化データベースを生成する暗号化データベース生成部と、
前記暗号化データベースを前記受信装置に送信するT送信部と、
前記暗号化データベースと、前記秘密鍵とを記憶するT記憶部と、
前記共通参照情報crs、前記暗号化データベース、前記秘密鍵、要求Qを入力とし、知識識別不可能証明を検証し、前記知識識別不可能証明が正しい場合に、前記秘密鍵、前記要求Qを用いてブラインド復号を実行し、前記暗号化データベース、前記共通参照情報crs、前記要求Qを用いて、Groth−Sahai証明の非対話ゼロ知識証明を生成し、前記非対話ゼロ知識証明を含む返信Rを生成する返信生成部と、
前記返信Rを前記受信装置に送信するR送信部と、を備え、
前記受信装置は、
前記暗号化データベースと、前記共通参照情報crsと、インデックスξとを入力とし、前記暗号文C1,…,CNに含まれる署名を検証し、前記署名が正しい場合に、前記インデックスξに対応する暗号文Cξ、前記共通参照情報crsを用いて再ランダム化を実行し、前記暗号文Cξ、前記共通参照情報crs、前記公開鍵を用いて、Groth−Sahai証明の知識識別不可能証明を生成し、前記知識識別不可能証明を含む要求Q、と、前記要求Qおよびインデックスξを含むQprivを生成する要求生成部と、
前記要求Qを前記送信装置に送信するQ送信部と、
前記要求QとQprivとを記憶するQ記憶部と、
前記返信Rと、前記Qprivと、前記暗号化データベースと、前記共通参照情報crsとを入力とし、前記非対話ゼロ知識証明を検証し、前記非対話ゼロ知識証明が正しい場合に、前記Qpriv、前記暗号文C1,…,CN、共通参照情報crsを用いて、前記暗号文Cξから文書mξを計算して出力する文書取得部と、を備えること
を特徴とする紛失通信システム。 A lost communication system comprising a system parameter generator, a transmitter, and a receiver,
The system parameter generation device includes:
A bilinear mapping parameter is generated by combining an arbitrary λ-bit prime number with respect to an input 1 λ , a cyclic multiplicative group of the prime order, a bilinear mapping, and a generator of the cyclic multiplicative group, and Groth -Sawai proof transmitting device parameters and receiving device parameters are generated, and the bilinear mapping parameters, the transmitting device parameters, the receiving device parameters, the common reference information crs from the first coefficient group set from the generation source A system parameter generator for generating
A crs transmitter that transmits the common reference information crs to a transmitter and a receiver;
The transmitter is
A document (m 1 ,..., M N ) (N is a positive integer greater than or equal to 2) and the common reference information crs are input to generate a first key pair and a second key pair of a Waters dual signature, and Boneh Generating a third key pair of a Boyen signature, generating a secret key, generating a public key using the first key pair, the second key pair, and the third key pair, and generating a first key of a Waters dual signature A signature and a second signature are generated, and a third signature of a Boneh-Boyen signature is generated, and the document (m 1 ,..., M N ), a value included in the first key pair, and included in the second key pair Ciphertext C 1 ,..., CN are generated using the common value information, the common reference information crs, the first signature, the second signature, and the third signature, and the public key and the ciphertext C 1 are generated. ,..., CN and an encrypted database generating unit for generating an encrypted database;
A T transmitter for transmitting the encrypted database to the receiving device;
A T storage unit for storing the encrypted database and the secret key;
The common reference information crs, the encrypted database, the secret key, and the request Q are input, and the knowledge identification impossible proof is verified. If the knowledge identification impossible proof is correct, the secret key and the request Q are used. Blind decryption is performed, a non-interactive zero knowledge proof of Groth-Sahai proof is generated using the encrypted database, the common reference information crs, and the request Q, and a reply R including the non-interactive zero knowledge proof is returned. A reply generator to generate;
An R transmitter that transmits the reply R to the receiving device,
The receiving device is:
And said encrypted database, said common reference information crs, and inputs the index xi], the ciphertext C 1, ..., verifies the signature contained in the C N, if the signature is correct, corresponding to the index xi] ciphertext C xi] to, perform re-randomized using the common reference information crs, the ciphertext C xi], the common reference information crs, using the public key, Groth-Sahai proof of knowledge indistinguishable proof And a request generator that generates the request Q including the knowledge indistinguishable proof, and Q priv including the request Q and the index ξ.
A Q transmitter that transmits the request Q to the transmitter;
A Q storage unit for storing the request Q and Q priv ;
When the reply R, the Q priv , the encrypted database, and the common reference information crs are input, the non-interactive zero knowledge proof is verified, and when the non-interactive zero knowledge proof is correct, the Q private the ciphertext C 1, ..., lost communication system using C N, the common reference information crs, characterized in that it comprises a and a document acquisition unit that calculates and outputs a document m xi] from the cipher text C xi] .
前記システムパラメータ生成装置はシステムパラメータ生成部と、crs送信部とを備え、
前記システムパラメータ生成部は、
入力1λに対して任意のλビットの素数と、当該素数位数の巡回乗法群と、当該巡回乗法群の生成元と、双線形写像とを組み合わせて双線形写像パラメータを生成する双線形写像パラメータ生成手段と、
前記双線形写像パラメータを入力とし、Groth−Sahai証明のパラメータ設定アルゴリズムを実行して送信装置用パラメータを生成する送信装置用パラメータ生成手段と、
前記双線形写像パラメータを入力とし、Groth−Sahai証明のパラメータ設定アルゴリズムを実行して受信装置用パラメータを生成する受信装置用パラメータ生成手段と、
前記生成元から第1係数群を設定する第1係数設定手段と、
前記双線形写像パラメータ、前記送信装置用パラメータ、前記受信装置用パラメータ、前記第1係数群から共通参照情報crsを生成するシステムパラメータ生成手段と、を備え、
前記crs送信部は、前記共通参照情報crsを送信装置と受信装置に送信し、
前記送信装置は暗号化データベース生成部と、T送信部と、T記憶部と、返信生成部と、R送信部と、を備え、
前記暗号化データベース生成部は、
前記双線形写像パラメータを入力とし、Waters双対署名の鍵生成アルゴリズムを実行してWaters双対署名の第1鍵対を生成する第1Waters鍵対生成手段と、
前記双線形写像パラメータを入力とし、Waters双対署名の鍵生成アルゴリズムを実行してWaters双対署名の第2鍵対を生成する第2Waters鍵対生成手段と、
前記双線形写像パラメータと秘密鍵生成手段が設定した係数とを入力とし、Boneh−Boyen署名の鍵生成アルゴリズムを実行してBoneh−Boyen署名の第3鍵対を生成するBB鍵対生成手段と、
秘密鍵を生成し、前記第1係数群を用いて係数を設定する秘密鍵生成手段と、
前記秘密鍵生成手段が設定した係数、前記第1鍵対、前記第2鍵対、前記第3鍵対を用いて公開鍵を生成する公開鍵生成手段と、
前記秘密鍵生成手段が設定した係数を用いて第2係数群を設定する第2係数設定手段と、
前記第2係数群を入力とし、Waters双対署名の署名生成アルゴリズムを実行して第1署名を生成する第1Waters署名生成手段と、
前記第2係数群を入力とし、Waters双対署名の署名生成アルゴリズムを実行して第2署名を生成する第2Waters署名生成手段と、
前記第2係数群を入力とし、Boneh−Boyen署名の署名生成アルゴリズムを実行して第3署名を生成するBB署名生成手段と、
文書(m1,…,mN)(Nは2以上の正の整数)と、前記第1鍵対に含まれる値、前記第2鍵対に含まれる値、前記第1係数群、前記第2係数群、前記第1署名、前記第2署名、前記第3署名を入力とし、暗号文C1,…,CNを生成する暗号文生成手段と、
前記公開鍵と、前記暗号文C1,…,CNとを入力とし、暗号化データベースを生成する暗号化データベース生成手段と、を備え、
前記T送信部は、前記暗号化データベースを前記受信装置に送信し、
前記T記憶部は、前記暗号化データベースと、前記秘密鍵とを記憶し、
前記返信生成部は、
Groth−Sahai証明の知識識別不可能証明と、前記受信装置用パラメータとを入力とし、Groth−Sahai証明の証明検証アルゴリズムを実行して、前記知識識別不可能証明を検証する知識識別不可能証明検証手段と、
前記知識識別不可能証明が正しい場合に、前記秘密鍵と、再ランダム化手段が設定した係数とを入力とし、係数を設定するブラインド復号手段と、
前記ブラインド復号手段が設定した係数、前記公開鍵、前記再ランダム化手段が設定した係数、前記第1係数群、前記共通参照情報crsを入力とし、Groth−Sahai証明の非対話ゼロ知識証明生成アルゴリズムを実行して、非対話ゼロ知識証明を生成する非対話ゼロ知識証明生成手段と、
前記ブラインド復号手段が設定した係数と、前記非対話ゼロ知識証明とを組にして返信Rを生成する返信生成手段と、を備え、
前記R送信部は、前記返信Rを前記受信装置に送信し、
前記受信装置は要求生成部と、Q送信部と、Q記憶部と、文書取得部と、を備え、
前記要求生成部は、
前記暗号文C1,…,CNと、インデックスξとを入力とし、前記暗号文C1,…,CNに含まれる署名をWaters双対署名の署名検証アルゴリズムおよび、Boneh−Boyen署名の署名検証アルゴリズムを実行して検証し、前記暗号文C1,…,CNに含まれる署名が正しい場合に、前記インデックスξに対応する暗号文Cξを出力する署名検証手段と、
前記暗号文Cξと、前記第1係数群とを入力とし、係数を設定する再ランダム化手段と、
前記再ランダム化手段が設定した係数と、前記暗号文Cξと、前記双線形写像と、前記公開鍵と、前記第一係数群と、前記受信装置用パラメータとを入力とし、Groth−Sahai証明の知識識別不可能証明を生成する知識識別不可能証明生成手段と、
前記再ランダム化手段が設定した係数と、前記知識識別不可能証明と、前記インデックスξとを入力とし、要求Q、Qprivを生成する要求生成手段と、を備え、
前記Q送信部は、前記要求Qを前記送信装置に送信し、
前記Q記憶部は、前記要求QとQprivとを記憶し、
前記文書取得部は、
前記返信Rと、前記送信装置用パラメータとを入力とし、Groth−Sahai証明の証明検証アルゴリズムによって、前記非対話ゼロ知識証明を検証するゼロ知識証明検証手段と、
前記非対話ゼロ知識証明が正しい場合に、前記Qprivと、前記第1係数群と、前記暗号文C1,…,CNと、前記ブラインド復号手段が生成した係数とを入力とし、前記暗号文Cξから文書mξを計算して出力する文書生成手段と、を備えること
を特徴とする紛失通信システム。 A lost communication system comprising a system parameter generator, a transmitter, and a receiver,
The system parameter generation device includes a system parameter generation unit and a crs transmission unit,
The system parameter generator is
Bilinear mapping that generates a bilinear mapping parameter by combining an arbitrary λ-bit prime number with respect to input 1 λ , a cyclic multiplicative group of the prime order, a generator of the cyclic multiplicative group, and a bilinear mapping Parameter generation means;
Transmitter parameter generation means for generating a transmitter parameter by executing a Groth-Sahai proof parameter setting algorithm using the bilinear mapping parameter as input,
Receiving device parameter generation means for generating a receiving device parameter by executing a Groth-Sahai proof parameter setting algorithm using the bilinear mapping parameter as an input;
First coefficient setting means for setting a first coefficient group from the generation source;
System parameter generation means for generating common reference information crs from the bilinear mapping parameter, the transmission device parameter, the reception device parameter, and the first coefficient group,
The crs transmission unit transmits the common reference information crs to a transmission device and a reception device,
The transmission device includes an encrypted database generation unit, a T transmission unit, a T storage unit, a reply generation unit, and an R transmission unit,
The encrypted database generation unit
First Waters key pair generation means for generating a first key pair of Waters dual signature by executing the key generation algorithm of Waters dual signature by using the bilinear mapping parameter as input;
Second Waters key pair generation means for generating a second key pair of Waters dual signature by executing the key generation algorithm of Waters dual signature by using the bilinear mapping parameter as input;
BB key pair generation means for receiving the bilinear mapping parameter and the coefficient set by the secret key generation means as input and executing a key generation algorithm for the Boneh-Boyen signature to generate a third key pair of the Boneh-Boyen signature;
A secret key generating means for generating a secret key and setting a coefficient using the first coefficient group;
Public key generation means for generating a public key using the coefficient set by the secret key generation means, the first key pair, the second key pair, and the third key pair;
Second coefficient setting means for setting a second coefficient group using the coefficient set by the secret key generation means;
First Waters signature generation means for generating a first signature by executing a Waters dual signature signature generation algorithm with the second coefficient group as an input;
Second Waters signature generation means for generating a second signature by executing a Waters dual signature signature generation algorithm with the second coefficient group as an input;
BB signature generation means for generating a third signature by executing a signature generation algorithm of a Boneh-Boyen signature using the second coefficient group as an input;
Document (m 1 ,..., M N ) (N is a positive integer greater than or equal to 2), a value included in the first key pair, a value included in the second key pair, the first coefficient group, the first coefficient Ciphertext generation means for generating ciphertexts C 1 ,..., CN using two coefficient groups, the first signature, the second signature, and the third signature as inputs;
An encrypted database generating means for receiving the public key and the ciphertexts C 1 ,..., CN and generating an encrypted database;
The T transmitting unit transmits the encrypted database to the receiving device;
The T storage unit stores the encrypted database and the secret key;
The reply generator is
Knowledge-indistinguishable proof verification that verifies the knowledge-indistinguishable proof by executing a proof-verification algorithm of Groth-Sahai proof by inputting the knowledge-indistinguishable proof of Groth-Sahai proof and the parameters for the receiving device Means,
When the knowledge identification impossible proof is correct, the secret key and the coefficient set by the re-randomizing means are input, and blind decoding means for setting the coefficient;
A non-interactive zero-knowledge proof generation algorithm for Groth-Sahai proof with the coefficients set by the blind decoding means, the public key, the coefficients set by the re-randomizing means, the first coefficient group, and the common reference information crs as inputs. Non-interactive zero knowledge proof generating means for generating non-interactive zero knowledge proof,
Reply generating means for generating a reply R by combining the coefficient set by the blind decoding means and the non-interaction zero knowledge proof,
The R transmitting unit transmits the reply R to the receiving device,
The receiving device includes a request generation unit, a Q transmission unit, a Q storage unit, and a document acquisition unit,
The request generation unit
The ciphertext C 1, ..., and the C N, and inputs the index xi], the ciphertext C 1, ..., the signature verification algorithm of the signature Waters dual signature included in C N and the signature verification of the Boneh-Boyen signature verified by running the algorithm, the cipher text C 1, ..., when the signature contained in the C N is correct, the signature verification means for outputting the ciphertext C xi] corresponding to the index xi],
Re-randomization means for receiving the ciphertext C ξ and the first coefficient group and setting coefficients;
The coefficient set by the re-randomizing means, the ciphertext C ξ , the bilinear mapping, the public key, the first coefficient group, and the receiving device parameters are input, and Groth-Sahai proof. A knowledge indistinguishable proof generating means for generating a knowledge indistinguishable proof of
Request generating means for receiving the coefficients set by the re-randomizing means, the knowledge identifiable proof, and the index ξ, and generating requests Q and Q priv ,
The Q transmission unit transmits the request Q to the transmission device,
The Q storage unit stores the request Q and Q priv ,
The document acquisition unit
Zero knowledge proof verification means for verifying the non-interactive zero knowledge proof by means of a proof verification algorithm of Groth-Sahai proof with the reply R and the parameters for the transmission device as inputs;
Wherein when a non-interactive zero-knowledge proof is correct, and said Q priv, said first coefficient group, the ciphertext C 1, ..., and C N, and inputs the coefficients the blind decoding means is generated, the encryption lost communication system comprising: the document generation means for outputting the sentence C xi] to calculate the document m xi], a.
前記システムパラメータ生成装置はシステムパラメータ生成部と、crs送信部とを備え、
前記システムパラメータ生成部は、
入力1λに対して、λビットの素数p、素数位数pの巡回乗法群であるGおよびGT、双線形写像e、群Gの生成元gよりなる双線形写像パラメータΓ:=(p,G,GT,e,g)を生成する双線形写像パラメータ生成手段と、
前記crs送信部は、前記共通参照情報crsを送信装置と受信装置に送信し、
前記送信装置は暗号化データベース生成部と、T送信部と、T記憶部と、返信生成部と、R送信部と、を備え、
前記暗号化データベース生成部は、
前記T送信部は、前記暗号化データベースTを前記受信装置に送信し、
前記T記憶部は、前記暗号化データベースTと、前記秘密鍵sk:=(x1、x2)とを記憶し、
前記返信生成部は
Groth−Sahai証明の知識識別不可能証明πと、前記パラメータGSRとを入力とし、Groth−Sahai証明の証明検証アルゴリズムGS.Vrfy(GSR,π)を実行して、前記知識識別不可能証明πを検証する知識識別不可能証明検証手段と、
前記受信装置は要求生成部と、Q送信部と、Q記憶部と、文書取得部と、を備え、
前記要求生成部は、
前記暗号文C1,…,CNと、インデックスξとを入力とし、前記暗号文C1,…,CNに含まれる署名をWaters双対署名の署名検証アルゴリズムW.Vrfyおよび、Boneh−Boyen署名の署名検証アルゴリズムBB.Vrfyを実行して検証し、前記暗号文C1,…,CNに含まれる署名が正しい場合に、前記インデックスξに対応する暗号文Cξを出力する署名検証手段と、
前記Q記憶部は、前記要求QとQprivとを記憶し、
前記文書取得部は、
前記返信Rと、前記パラメータGSSとを入力とし、Groth−Sahai証明の証明検証アルゴリズムGS.Vrfy(GSS,δ)=1によって、前記非対話ゼロ知識証明δを検証するゼロ知識証明検証手段と、
The system parameter generation device includes a system parameter generation unit and a crs transmission unit,
The system parameter generator is
For an input 1 λ , a bilinear mapping parameter Γ: = (p) consisting of G and G T which are cyclic multiplicative groups of λ-bit prime p, prime order p, bilinear mapping e, and generator g of group G , G, G T , e, g), bilinear mapping parameter generation means;
The crs transmission unit transmits the common reference information crs to a transmission device and a reception device,
The transmission device includes an encrypted database generation unit, a T transmission unit, a T storage unit, a reply generation unit, and an R transmission unit,
The encrypted database generation unit
The T transmitting unit transmits the encrypted database T to the receiving device,
The T storage unit stores the encrypted database T and the secret key sk: = (x 1 , x 2 ),
The reply generation unit and π knowledge indistinguishable proof Groth-Sahai certificate, the parameter GS and R as input, Groth-Sahai proof certificate verification algorithm GS. Knowledge identification impossible proof verification means for executing Vrfy (GS R , π) to verify the knowledge identification impossible proof π;
The receiving device includes a request generation unit, a Q transmission unit, a Q storage unit, and a document acquisition unit,
The request generation unit
The ciphertext C 1, ..., and C N, and inputs the index xi], the ciphertext C 1, ..., signature Waters dual signature of the signature verification algorithm W. included in C N Vrfy and the signature verification algorithm BB. Verified by running vrfy, the ciphertext C 1, ..., when the signature contained in the C N is correct, the signature verification means for outputting the ciphertext C xi] corresponding to the index xi],
The Q storage unit stores the request Q and Q priv ,
The document acquisition unit
Using the reply R and the parameter GS S as inputs, a proof verification algorithm GS. For Groth-Sahai proof. Zero knowledge proof verification means for verifying the non-interaction zero knowledge proof δ by Vrfy (GS S , δ) = 1;
前記システムパラメータ生成装置は、
入力1λに対して任意のλビットの素数と、当該素数位数の巡回乗法群と、双線形写像と、前記巡回乗法群の生成元と、を組み合わせて双線形写像パラメータを生成し、Groth−Sahai証明の送信装置用パラメータ、受信装置用パラメータを生成し、前記双線形写像パラメータ、前記送信装置用パラメータ、前記受信装置用パラメータ、前記生成元から設定した第1係数群から共通参照情報crsを生成するシステムパラメータ生成ステップと、
前記共通参照情報crsを送信装置と受信装置に送信するcrs送信ステップとを実行し、
前記送信装置は、
文書(m1,…,mN)(Nは2以上の正の整数)と、前記共通参照情報crsとを入力とし、Waters双対署名の第1鍵対、第2鍵対を生成し、Boneh−Boyen署名の第3鍵対を生成し、秘密鍵を生成し、前記第1鍵対、前記第2鍵対、前記第3鍵対を用いて公開鍵を生成し、Waters双対署名の第1署名、第2署名を生成し、Boneh−Boyen署名の第3署名を生成し、前記文書(m1,…,mN)、前記第1鍵対に含まれる値、前記第2鍵対に含まれる値、前記共通参照情報crs、前記第1署名、前記第2署名、前記第3署名を用いて、暗号文C1,…,CNを生成し、前記公開鍵と、前記暗号文C1,…,CNとから暗号化データベースを生成する暗号化データベース生成ステップと、
前記暗号化データベースを前記受信装置に送信するT送信ステップと、
前記暗号化データベースと、前記秘密鍵とを記憶するT記憶ステップと、
前記共通参照情報crs、前記暗号化データベース、前記秘密鍵、要求Qを入力とし、知識識別不可能証明を検証し、前記知識識別不可能証明が正しい場合に、前記秘密鍵、前記要求Qを用いてブラインド復号を実行し、前記暗号化データベース、前記共通参照情報crs、前記要求Qを用いて、Groth−Sahai証明の非対話ゼロ知識証明を生成し、前記非対話ゼロ知識証明を含む返信Rを生成する返信生成ステップと、
前記返信Rを前記受信装置に送信するR送信ステップと、を実行し、
前記受信装置は、
前記暗号化データベースと、前記共通参照情報crsと、インデックスξとを入力とし、前記暗号文C1,…,CNに含まれる署名を検証し、前記署名が正しい場合に、前記インデックスξに対応する暗号文Cξ、前記共通参照情報crsを用いて再ランダム化を実行し、前記暗号文Cξ、前記共通参照情報crs、前記公開鍵を用いて、Groth−Sahai証明の知識識別不可能証明を生成し、前記知識識別不可能証明を含む要求Q、と、前記要求Qおよびインデックスξを含むQprivを生成する要求生成ステップと、
前記要求Qを前記送信装置に送信するQ送信ステップと、
前記要求QとQprivとを記憶するQ記憶ステップと、
前記返信Rと、前記Qprivと、前記暗号化データベースと、前記共通参照情報crsとを入力とし、前記非対話ゼロ知識証明を検証し、前記非対話ゼロ知識証明が正しい場合に、前記Qpriv、前記暗号文C1,…,CN、共通参照情報crsを用いて、前記暗号文Cξから文書mξを計算して出力する文書取得ステップと、を実行すること
を特徴とする紛失通信方法。 A lost communication method using a system parameter generator, a transmitter, and a receiver,
The system parameter generation device includes:
A bilinear mapping parameter is generated by combining an arbitrary λ-bit prime number with respect to an input 1 λ , a cyclic multiplicative group of the prime order, a bilinear mapping, and a generator of the cyclic multiplicative group, and Groth -Sawai proof transmitting device parameters and receiving device parameters are generated, and the bilinear mapping parameters, the transmitting device parameters, the receiving device parameters, the common reference information crs from the first coefficient group set from the generation source A system parameter generation step for generating
A crs transmission step of transmitting the common reference information crs to a transmission device and a reception device;
The transmitter is
A document (m 1 ,..., M N ) (N is a positive integer greater than or equal to 2) and the common reference information crs are input to generate a first key pair and a second key pair of a Waters dual signature, and Boneh Generating a third key pair of a Boyen signature, generating a secret key, generating a public key using the first key pair, the second key pair, and the third key pair, and generating a first key of a Waters dual signature A signature and a second signature are generated, and a third signature of a Boneh-Boyen signature is generated, and the document (m 1 ,..., M N ), a value included in the first key pair, and included in the second key pair Ciphertext C 1 ,..., CN are generated using the common value information, the common reference information crs, the first signature, the second signature, and the third signature, and the public key and the ciphertext C 1 are generated. ,..., CN and an encrypted database generation step for generating an encrypted database;
T transmitting step of transmitting the encrypted database to the receiving device;
A T storing step for storing the encrypted database and the secret key;
The common reference information crs, the encrypted database, the secret key, and the request Q are input, and the knowledge identification impossible proof is verified. If the knowledge identification impossible proof is correct, the secret key and the request Q are used. Blind decryption is performed, a non-interactive zero knowledge proof of Groth-Sahai proof is generated using the encrypted database, the common reference information crs, and the request Q, and a reply R including the non-interactive zero knowledge proof is returned. A reply generation step to generate;
An R transmission step of transmitting the reply R to the receiving device; and
The receiving device is:
And said encrypted database, said common reference information crs, and inputs the index xi], the ciphertext C 1, ..., verifies the signature contained in the C N, if the signature is correct, corresponding to the index xi] ciphertext C xi] to, perform re-randomized using the common reference information crs, the ciphertext C xi], the common reference information crs, using the public key, Groth-Sahai proof of knowledge indistinguishable proof Generating a request Q including the knowledge indistinguishable proof, and generating a Q priv including the request Q and an index ξ.
A Q transmission step of transmitting the request Q to the transmission device;
A Q storage step of storing the request Q and Q priv ;
When the reply R, the Q priv , the encrypted database, and the common reference information crs are input, the non-interactive zero knowledge proof is verified, and when the non-interactive zero knowledge proof is correct, the Q private , And a document acquisition step of calculating and outputting a document m ξ from the ciphertext C ξ using the ciphertext C 1 ,..., C N and common reference information crs. Method.
前記システムパラメータ生成装置はシステムパラメータ生成ステップと、crs送信ステップとを実行し、
前記システムパラメータ生成ステップは、
入力1λに対して任意のλビットの素数と、当該素数位数の巡回乗法群と、当該巡回乗法群の生成元と、双線形写像とを組み合わせて双線形写像パラメータを生成する双線形写像パラメータ生成サブステップと、
前記双線形写像パラメータを入力とし、Groth−Sahai証明のパラメータ設定アルゴリズムを実行して送信装置用パラメータを生成する送信装置用パラメータ生成サブステップと、
前記双線形写像パラメータを入力とし、Groth−Sahai証明のパラメータ設定アルゴリズムを実行して受信装置用パラメータを生成する受信装置用パラメータ生成サブステップと、
前記生成元から第1係数群を設定する第1係数設定サブステップと、
前記双線形写像パラメータ、前記送信装置用パラメータ、前記受信装置用パラメータ、前記第1係数群から共通参照情報crsを生成するシステムパラメータ生成サブステップと、を有し、
前記crs送信ステップは、前記共通参照情報crsを送信装置と受信装置に送信し、
前記送信装置は暗号化データベース生成ステップと、T送信ステップと、T記憶ステップと、返信生成ステップと、R送信ステップと、を実行し、
前記暗号化データベース生成ステップは、
前記双線形写像パラメータを入力とし、Waters双対署名の鍵生成アルゴリズムを実行してWaters双対署名の第1鍵対を生成する第1Waters鍵対生成サブステップと、
前記双線形写像パラメータを入力とし、Waters双対署名の鍵生成アルゴリズムを実行してWaters双対署名の第2鍵対を生成する第2Waters鍵対生成サブステップと、
前記双線形写像パラメータと秘密鍵生成サブステップが設定した係数とを入力とし、Boneh−Boyen署名の鍵生成アルゴリズムを実行してBoneh−Boyen署名の第3鍵対を生成するBB鍵対生成サブステップと、
秘密鍵を生成し、前記第1係数群を用いて係数を設定する秘密鍵生成サブステップと、
前記秘密鍵生成サブステップが設定した係数、前記第1鍵対、前記第2鍵対、前記第3鍵対を用いて公開鍵を生成する公開鍵生成サブステップと、
前記秘密鍵生成サブステップが設定した係数を用いて第2係数群を設定する第2係数設定サブステップと、
前記第2係数群を入力とし、Waters双対署名の署名生成アルゴリズムを実行して第1署名を生成する第1Waters署名生成サブステップと、
前記第2係数群を入力とし、Waters双対署名の署名生成アルゴリズムを実行して第2署名を生成する第2Waters署名生成サブステップと、
前記第2係数群を入力とし、Boneh−Boyen署名の署名生成アルゴリズムを実行して第3署名を生成するBB署名生成サブステップと、
文書(m1,…,mN)(Nは2以上の正の整数)と、前記第1鍵対に含まれる値、前記第2鍵対に含まれる値、前記第1係数群、前記第2係数群、前記第1署名、前記第2署名、前記第3署名を入力とし、暗号文C1,…,CNを生成する暗号文生成サブステップと、
前記公開鍵と、前記暗号文C1,…,CNとを入力とし、暗号化データベースを生成する暗号化データベース生成サブステップと、を有し、
前記T送信ステップは、前記暗号化データベースを前記受信装置に送信し、
前記T記憶ステップは、前記暗号化データベースと、前記秘密鍵とを記憶し、
前記返信生成ステップは、
Groth−Sahai証明の知識識別不可能証明と、前記受信装置用パラメータとを入力とし、Groth−Sahai証明の証明検証アルゴリズムを実行して、前記知識識別不可能証明を検証する知識識別不可能証明検証サブステップと、
前記知識識別不可能証明が正しい場合に、前記秘密鍵と、再ランダム化サブステップが設定した係数とを入力とし、係数を設定するブラインド復号サブステップと、
前記ブラインド復号サブステップが設定した係数、前記公開鍵、前記再ランダム化サブステップが設定した係数、前記第1係数群、前記共通参照情報crsを入力とし、Groth−Sahai証明の非対話ゼロ知識証明生成アルゴリズムを実行して、非対話ゼロ知識証明を生成する非対話ゼロ知識証明生成サブステップと、
前記ブラインド復号サブステップが設定した係数と、前記非対話ゼロ知識証明とを組にして返信Rを生成する返信生成サブステップと、を有し、
前記R送信ステップは、前記返信Rを前記受信装置に送信し、
前記受信装置は要求生成ステップと、Q送信ステップと、Q記憶ステップと、文書取得ステップと、を実行し、
前記要求生成ステップは、
前記暗号文C1,…,CNと、インデックスξとを入力とし、前記暗号文C1,…,CNに含まれる署名をWaters双対署名の署名検証アルゴリズムおよび、Boneh−Boyen署名の署名検証アルゴリズムを実行して検証し、前記暗号文C1,…,CNに含まれる署名が正しい場合に、前記インデックスξに対応する暗号文Cξを出力する署名検証サブステップと、
前記暗号文Cξと、前記第1係数群とを入力とし、係数を設定する再ランダム化サブステップと、
前記再ランダム化サブステップが設定した係数と、前記暗号文Cξと、前記双線形写像と、前記公開鍵と、前記第一係数群と、前記受信装置用パラメータとを入力とし、Groth−Sahai証明の知識識別不可能証明を生成する知識識別不可能証明生成サブステップと、
前記再ランダム化サブステップが設定した係数と、前記知識識別不可能証明と、前記インデックスξとを入力とし、要求Q、Qprivを生成する要求生成サブステップと、を有し、
前記Q送信ステップは、前記要求Qを前記送信装置に送信し、
前記Q記憶ステップは、前記要求QとQprivとを記憶し、
前記文書取得ステップは、
前記返信Rと、前記送信装置用パラメータとを入力とし、Groth−Sahai証明の証明検証アルゴリズムによって、前記非対話ゼロ知識証明を検証するゼロ知識証明検証サブステップと、
前記非対話ゼロ知識証明が正しい場合に、前記Qprivと、前記第1係数群と、前記暗号文C1,…,CNと、前記ブラインド復号サブステップが生成した係数とを入力とし、前記暗号文Cξから文書mξを計算して出力する文書生成サブステップと、を有すること
を特徴とする紛失通信方法。 A lost communication method using a system parameter generator, a transmitter, and a receiver,
The system parameter generation device executes a system parameter generation step and a crs transmission step,
The system parameter generation step includes:
Bilinear mapping that generates a bilinear mapping parameter by combining an arbitrary λ-bit prime number with respect to input 1 λ , a cyclic multiplicative group of the prime order, a generator of the cyclic multiplicative group, and a bilinear mapping A parameter generation substep;
A transmission device parameter generation sub-step for generating a transmission device parameter by executing a Groth-Sahai proof parameter setting algorithm using the bilinear mapping parameter as an input;
A receiving device parameter generation sub-step for generating a receiving device parameter by executing a Groth-Sahai proof parameter setting algorithm using the bilinear mapping parameter as an input;
A first coefficient setting sub-step for setting a first coefficient group from the generation source;
A system parameter generation sub-step for generating common reference information crs from the bilinear mapping parameter, the transmission device parameter, the reception device parameter, and the first coefficient group;
The crs transmission step transmits the common reference information crs to a transmission device and a reception device,
The transmitter performs an encrypted database generation step, a T transmission step, a T storage step, a reply generation step, and an R transmission step,
The encrypted database generation step includes:
A first Waters key pair generation substep that takes the bilinear mapping parameters as input and executes a Waters dual signature key generation algorithm to generate a Waters dual signature first key pair;
A second Waters key pair generation sub-step that receives the bilinear mapping parameter as input and executes a Waters dual signature key generation algorithm to generate a Waters dual signature second key pair;
BB key pair generation substep of generating a third key pair of a Boneh-Boyen signature by executing the key generation algorithm of the Boneh-Boyen signature by using the bilinear mapping parameter and the coefficient set by the secret key generation substep as inputs When,
A secret key generation sub-step of generating a secret key and setting a coefficient using the first coefficient group;
A public key generation substep for generating a public key using the coefficient set by the secret key generation substep, the first key pair, the second key pair, and the third key pair;
A second coefficient setting sub-step for setting a second coefficient group using the coefficient set by the secret key generation sub-step;
A first Waters signature generation sub-step that receives the second coefficient group as input and executes a signature generation algorithm of a Waters dual signature to generate a first signature;
A second Waters signature generation sub-step that receives the second coefficient group as input and executes a Waters dual signature signature generation algorithm to generate a second signature;
A BB signature generation sub-step for generating a third signature by executing a signature generation algorithm of a Boneh-Boyen signature using the second coefficient group as an input;
Document (m 1 ,..., M N ) (N is a positive integer greater than or equal to 2), a value included in the first key pair, a value included in the second key pair, the first coefficient group, the first coefficient A ciphertext generation sub-step for generating ciphertexts C 1 ,..., CN using two coefficient groups, the first signature, the second signature, and the third signature as inputs;
An encrypted database generation sub-step for receiving the public key and the ciphertexts C 1 ,..., CN and generating an encrypted database;
The T transmitting step transmits the encrypted database to the receiving device,
The T storing step stores the encrypted database and the secret key;
The reply generation step includes
Knowledge-indistinguishable proof verification that verifies the knowledge-indistinguishable proof by executing a proof-verification algorithm of Groth-Sahai proof by inputting the knowledge-indistinguishable proof of Groth-Sahai proof and the parameters for the receiving device Substeps,
When the knowledge identifiable proof is correct, the secret key and the coefficient set by the re-randomization sub-step are input, and a blind decryption sub-step for setting a coefficient;
Non-interactive zero-knowledge proof of Groth-Sahai proof using the coefficient set by the blind decoding substep, the public key, the coefficient set by the re-randomization substep, the first coefficient group, and the common reference information crs as inputs A non-interactive zero knowledge proof generation substep for generating a non-interactive zero knowledge proof by executing a generation algorithm;
A reply generation substep for generating a reply R by combining the coefficient set by the blind decoding substep and the non-interactive zero knowledge proof;
The R transmission step transmits the reply R to the receiving device,
The receiving device executes a request generation step, a Q transmission step, a Q storage step, and a document acquisition step,
The request generation step includes:
The ciphertext C 1, ..., and the C N, and inputs the index xi], the ciphertext C 1, ..., the signature verification algorithm of the signature Waters dual signature included in C N and the signature verification of the Boneh-Boyen signature verified by running the algorithm, the cipher text C 1, ..., when the signature contained in the C N is correct, the signature verification substep outputting a ciphertext C xi] corresponding to the index xi],
A re-randomization sub-step for setting the coefficients by inputting the ciphertext C ξ and the first coefficient group;
The coefficient set by the re-randomization sub-step, the ciphertext C ξ , the bilinear mapping, the public key, the first coefficient group, and the receiving device parameter are input, and Groth-Sahai. A knowledge indistinguishable proof generation substep for generating a knowledge indistinguishable proof of the proof;
A request generation substep for generating a request Q, Q priv using the coefficient set by the rerandomization substep, the knowledge identifiable proof, and the index ξ as inputs;
The Q transmission step transmits the request Q to the transmission device,
The Q storing step stores the request Q and Q priv ,
The document acquisition step includes:
A zero knowledge proof verification sub-step of inputting the reply R and the parameter for the transmitting device and verifying the non-interactive zero knowledge proof by a proof verification algorithm of Groth-Sahai proof;
When the non-interactive zero knowledge proof is correct, the Q priv , the first coefficient group, the ciphertext C 1 ,..., C N and the coefficient generated by the blind decryption substep are input, lost communication method characterized by having a, a document generation substep of calculating and outputting document m xi] from the ciphertext C xi].
前記システムパラメータ生成装置はシステムパラメータ生成ステップと、crs送信ステップとを実行し、
前記システムパラメータ生成ステップは、
入力1λに対して、λビットの素数p、素数位数pの巡回乗法群であるGおよびGT、双線形写像e、群Gの生成元gよりなる双線形写像パラメータΓ:=(p,G,GT,e,g)を生成する双線形写像パラメータ生成サブステップと、
前記crs送信ステップは、前記共通参照情報crsを送信装置と受信装置に送信し、
前記送信装置は暗号化データベース生成ステップと、T送信ステップと、T記憶ステップと、返信生成ステップと、R送信ステップと、を実行し、
前記暗号化データベース生成ステップは、
前記T送信ステップは、前記暗号化データベースTを前記受信装置に送信し、
前記T記憶ステップは、前記暗号化データベースTと、前記秘密鍵sk:=(x1、x2)とを記憶し、
前記返信生成ステップは
Groth−Sahai証明の知識識別不可能証明πと、前記パラメータGSRとを入力とし、Groth−Sahai証明の証明検証アルゴリズムGS.Vrfy(GSR,π)を実行して、前記知識識別不可能証明πを検証する知識識別不可能証明検証サブステップと、
前記受信装置は要求生成ステップと、Q送信ステップと、Q記憶ステップと、文書取得ステップと、を実行し、
前記要求生成ステップは、
前記暗号文C1,…,CNと、インデックスξとを入力とし、前記暗号文C1,…,CNに含まれる署名をWaters双対署名の署名検証アルゴリズムW.Vrfyおよび、Boneh−Boyen署名の署名検証アルゴリズムBB.Vrfyを実行して検証し、前記暗号文C1,…,CNに含まれる署名が正しい場合に、前記インデックスξに対応する暗号文Cξを出力する署名検証サブステップと、
前記Q記憶ステップは、前記要求QとQprivとを記憶し、
前記文書取得ステップは、
前記返信Rと、前記パラメータGSSとを入力とし、Groth−Sahai証明の証明検証アルゴリズムGS.Vrfy(GSS,δ)=1によって、前記非対話ゼロ知識証明δを検証するゼロ知識証明検証サブステップと、
The system parameter generation device executes a system parameter generation step and a crs transmission step,
The system parameter generation step includes:
For an input 1 λ , a bilinear mapping parameter Γ: = (p) consisting of G and G T which are cyclic multiplicative groups of λ-bit prime p, prime order p, bilinear mapping e, and generator g of group G , G, G T , e, g) to generate bilinear mapping parameter generation substeps;
The crs transmission step transmits the common reference information crs to a transmission device and a reception device,
The transmitter performs an encrypted database generation step, a T transmission step, a T storage step, a reply generation step, and an R transmission step,
The encrypted database generation step includes:
The T transmitting step transmits the encrypted database T to the receiving device,
The T storing step stores the encrypted database T and the secret key sk: = (x 1 , x 2 ),
The reply generation step and π knowledge indistinguishable proof Groth-Sahai certificate, the parameter GS and R as input, Groth-Sahai proof certificate verification algorithm GS. A knowledge indistinguishable proof verification sub-step of executing Vrfy (GS R , π) to verify the knowledge indistinguishable proof π;
The receiving device executes a request generation step, a Q transmission step, a Q storage step, and a document acquisition step,
The request generation step includes:
The ciphertext C 1, ..., and C N, and inputs the index xi], the ciphertext C 1, ..., signature Waters dual signature of the signature verification algorithm W. included in C N Vrfy and the signature verification algorithm BB. Verified by running vrfy, the ciphertext C 1, ..., when the signature contained in the C N is correct, the signature verification substep outputting a ciphertext C xi] corresponding to the index xi],
The Q storing step stores the request Q and Q priv ,
The document acquisition step includes:
Using the reply R and the parameter GS S as inputs, a proof verification algorithm GS. For Groth-Sahai proof. A zero knowledge proof verification sub-step of verifying the non-interactive zero knowledge proof δ by Vrfy (GS S , δ) = 1;
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011096184A JP5572580B2 (en) | 2011-04-22 | 2011-04-22 | Lost communication system, lost communication method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011096184A JP5572580B2 (en) | 2011-04-22 | 2011-04-22 | Lost communication system, lost communication method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012227879A true JP2012227879A (en) | 2012-11-15 |
JP5572580B2 JP5572580B2 (en) | 2014-08-13 |
Family
ID=47277552
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011096184A Expired - Fee Related JP5572580B2 (en) | 2011-04-22 | 2011-04-22 | Lost communication system, lost communication method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5572580B2 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112906036A (en) * | 2021-03-24 | 2021-06-04 | 合肥工业大学 | Internet of vehicles anonymous security evidence obtaining method and system based on block chain technology |
CN114362949A (en) * | 2022-01-06 | 2022-04-15 | 北京海泰方圆科技股份有限公司 | Transmission method, device, medium and equipment |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090300347A1 (en) * | 2007-12-06 | 2009-12-03 | Jan Leonhard Camenisch | Set membership proofs in data processing systems |
-
2011
- 2011-04-22 JP JP2011096184A patent/JP5572580B2/en not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090300347A1 (en) * | 2007-12-06 | 2009-12-03 | Jan Leonhard Camenisch | Set membership proofs in data processing systems |
Non-Patent Citations (11)
Title |
---|
CSNG200000878006; 岡本 龍明,藤崎 英一郎,内山 成憲: '"公開鍵暗号の最近の話 2 安全性が証明された新しい公開鍵暗号"' 情報処理 第40巻,第2号, 19990215, p.170-177, 社団法人情報処理学会 * |
CSNG200900221002; 岡本 龍明,真鍋 義文: '"汎用的結合可能性による暗号システムの安全性証明"' 電子情報通信学会論文誌 D Vol.J92-D,No.5, 20090501, pp.587-595, 社団法人電子情報通信学会 * |
CSNJ201010083013; 西巻 陵,藤崎 英一郎,田中 圭介: '"標準仮定に基づいた非対話型かつ再利用可能で頑強なコミットメント方式"' 2010年 暗号と情報セキュリティシンポジウム SCIS2010 [CD-ROM] 1C1-3, 20100122, p.1-6, 電子情報通信学会情報セキュリティ研究専門委員会 * |
CSNJ201010083173; 大久保 美也子,阿部 正幸: '"群要素メッセージに対する効率的な署名"' 2010年 暗号と情報セキュリティシンポジウム SCIS2010 [CD-ROM] 3A1-3, 20100122, p.1-5, 電子情報通信学会情報セキュリティ研究専門委員会 * |
CSNJ201110015169; Kaoru Kurosawa, Ryo Nojima, Le Trieu Phong: '"Fully Simulatable Adaptive Oblivious Transfer from DDH and Linear Assumptions"' 2011年 暗号と情報セキュリティシンポジウム SCIS2011 [CD-ROM] 3C1-1, 20110128, p.1-8, 電子情報通信学会情報セキュリティ研究専門委員会 * |
JPN6014026217; 大久保 美也子,阿部 正幸: '"群要素メッセージに対する効率的な署名"' 2010年 暗号と情報セキュリティシンポジウム SCIS2010 [CD-ROM] 3A1-3, 20100122, p.1-5, 電子情報通信学会情報セキュリティ研究専門委員会 * |
JPN6014026218; 岡本 龍明,真鍋 義文: '"汎用的結合可能性による暗号システムの安全性証明"' 電子情報通信学会論文誌 D Vol.J92-D,No.5, 20090501, pp.587-595, 社団法人電子情報通信学会 * |
JPN6014026219; 岡本 龍明,藤崎 英一郎,内山 成憲: '"公開鍵暗号の最近の話 2 安全性が証明された新しい公開鍵暗号"' 情報処理 第40巻,第2号, 19990215, p.170-177, 社団法人情報処理学会 * |
JPN6014026220; 西巻 陵,藤崎 英一郎,田中 圭介: '"標準仮定に基づいた非対話型かつ再利用可能で頑強なコミットメント方式"' 2010年 暗号と情報セキュリティシンポジウム SCIS2010 [CD-ROM] 1C1-3, 20100122, p.1-6, 電子情報通信学会情報セキュリティ研究専門委員会 * |
JPN6014026221; Kaoru Kurosawa, Ryo Nojima, Le Trieu Phong: '"Fully Simulatable Adaptive Oblivious Transfer from DDH and Linear Assumptions"' 2011年 暗号と情報セキュリティシンポジウム SCIS2011 [CD-ROM] 3C1-1, 20110128, p.1-8, 電子情報通信学会情報セキュリティ研究専門委員会 * |
JPN6014026222; Matthew Green and Susan Hohenberger: '"Universally Composable Adaptive Oblivious Transfer"' Cryptology ePrint Archive: Report 2008/163 Version: 20081028:204229, 20081028, p.1-30, [online] * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112906036A (en) * | 2021-03-24 | 2021-06-04 | 合肥工业大学 | Internet of vehicles anonymous security evidence obtaining method and system based on block chain technology |
CN112906036B (en) * | 2021-03-24 | 2022-10-04 | 合肥工业大学 | Internet of vehicles anonymous security evidence obtaining method and system based on block chain technology |
CN114362949A (en) * | 2022-01-06 | 2022-04-15 | 北京海泰方圆科技股份有限公司 | Transmission method, device, medium and equipment |
Also Published As
Publication number | Publication date |
---|---|
JP5572580B2 (en) | 2014-08-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Ling et al. | Group signatures from lattices: simpler, tighter, shorter, ring-based | |
Lyubashevsky et al. | One-shot verifiable encryption from lattices | |
Garg et al. | Registration-based encryption: removing private-key generator from IBE | |
Attrapadung et al. | Efficient completely context-hiding quotable and linearly homomorphic signatures | |
Green et al. | Universally composable adaptive oblivious transfer | |
JP4899867B2 (en) | Group signature method | |
Hohenberger et al. | Universal signature aggregators | |
Lombardi et al. | New constructions of reusable designated-verifier NIZKs | |
Cathalo et al. | Group encryption: Non-interactive realization in the standard model | |
EP2846492A1 (en) | Cryptographic group signature methods and devices | |
JP2015501110A (en) | Group encryption method and device | |
Wei et al. | Traceable attribute‐based signcryption | |
KR20140103079A (en) | Cryptographic devices and methods for generating and verifying commitments from linearly homomorphic signatures | |
Nunez et al. | A parametric family of attack models for proxy re-encryption | |
Qin et al. | Simultaneous authentication and secrecy in identity-based data upload to cloud | |
Damgård et al. | Stronger security and constructions of multi-designated verifier signatures | |
Bellare et al. | Key-versatile signatures and applications: RKA, KDM and joint enc/sig | |
Kiayias et al. | Concurrent blind signatures without random oracles | |
Shao-hui et al. | Public auditing for ensuring cloud data storage security with zero knowledge Privacy | |
Zhao et al. | Fully CCA2 secure identity-based broadcast encryption with black-box accountable authority | |
Kutyłowski et al. | Anamorphic signatures: Secrecy from a dictator who only permits authentication! | |
Chen et al. | Certificateless signatures: structural extensions of security models and new provably secure schemes | |
Ren et al. | Generalized ring signatures | |
US20160105287A1 (en) | Device and method for traceable group encryption | |
Chakraborty et al. | Deniable authentication when signing keys leak |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130813 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140618 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140624 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140630 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5572580 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |