JP5349261B2 - 暗号処理システム、鍵生成装置、鍵委譲装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム - Google Patents

暗号処理システム、鍵生成装置、鍵委譲装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム Download PDF

Info

Publication number
JP5349261B2
JP5349261B2 JP2009264576A JP2009264576A JP5349261B2 JP 5349261 B2 JP5349261 B2 JP 5349261B2 JP 2009264576 A JP2009264576 A JP 2009264576A JP 2009264576 A JP2009264576 A JP 2009264576A JP 5349261 B2 JP5349261 B2 JP 5349261B2
Authority
JP
Japan
Prior art keywords
vector
key
information
encryption
space
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2009264576A
Other languages
English (en)
Other versions
JP2010273317A5 (ja
JP2010273317A (ja
Inventor
克幸 高島
龍明 岡本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Nippon Telegraph and Telephone Corp
Original Assignee
Mitsubishi Electric Corp
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to JP2009264576A priority Critical patent/JP5349261B2/ja
Application filed by Mitsubishi Electric Corp, Nippon Telegraph and Telephone Corp filed Critical Mitsubishi Electric Corp
Priority to PCT/JP2010/056639 priority patent/WO2010122926A1/ja
Priority to CN201080017994.8A priority patent/CN102415047B/zh
Priority to EP10766983.0A priority patent/EP2424154B1/en
Priority to ES10766983T priority patent/ES2873230T3/es
Priority to US13/266,002 priority patent/US8559638B2/en
Priority to KR1020117027936A priority patent/KR101359200B1/ko
Publication of JP2010273317A publication Critical patent/JP2010273317A/ja
Publication of JP2010273317A5 publication Critical patent/JP2010273317A5/ja
Application granted granted Critical
Publication of JP5349261B2 publication Critical patent/JP5349261B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/58Random or pseudo-random number generators
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • H04L9/0836Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Computing Systems (AREA)
  • Algebra (AREA)
  • Computational Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Description

この発明は、階層的述語鍵秘匿方式及び階層的述語暗号に関するものである。
述語暗号(Predicate Encryption,PE)に関する提案がされている(非特許文献19)。また、述語暗号における権限委譲に関する提案がされている(非特許文献26)。さらに、ディストーション固有ベクトル空間に関する提案がされている(非特許文献21)。
M. Abe, R. Gennaro, K. Kurosawa, and V. Shoup,"Tag−KEM/DEM: A New Framework for Hybrid Encryption and New Analysis of Kurosawa−Desmedt KEM,"Eurocrypt 2005, LNCS 3494, pp. 128−146, 2005. D. Boneh and X. Boyen, "Efficient selective−ID secure identity based encryption without random oracles," EUROCRYPT 2004, LNCS, Springer−Verlag, 2004. D. Boneh and X. Boyen, "Secure identity based encryption without random oracles," CRYPTO 2004, LNCS, Springer−Verlag, 2004. D. Boneh, X. Boyen and E. Goh, "Hierarchical identity based encryption with constant size ciphertext," EUROCRYPT 2005, LNCS, Springer−Verlag, pp. 440−−456, 2005. D.Boneh, X.Boyen and H.Shacham, "Short group signatures," CRYPTO 2004, LNCS 3152, Springer Verlag, pp. 41−−55, 2004. D. Boneh and M. Franklin, "Identity−based encryption from the Weil pairing," CRYPTO 2001, LNCS 2139, Springer Verlag, pp.213−−229, 2001. D. Boneh and J. Katz, "Improved efficiency for cca−secure cryptosystems built using identity based encryption," RSA−CT 2005, LNCS, Springer Verlag, 2005. J. Bethencourt, A. Sahai and B. Waters,"Ciphertext−policy attribute−based encryption," Proceedings of the 2007 IEEE Symposium on Security and Privacy, 2007. D.Boneh and B.Waters, "Conjunctive, subset, and range queries on encrypted data," TCC 2007, LNCS 4392, Springer Verlag, pp. 535−−554, 2007. X.Boyen and B.Waters, "Anonymous hierarchical identity−based encryption (without random oracles),"CRYPTO 2006, pp. 290−−307, 2006. R. Canetti, S. Halevi and J. Katz, "Chosen−ciphertext security from identity−based encryption," EUROCRYPT 2004, LNCS, Springer−Verlag, 2004. C. Cocks, "An identity based encryption scheme based on quadratic residues," Proceedings of the 8th IMA International Conference on Cryptography and Coding, pp. 360−−363, London, UK, 2001. Springer−Verlag, 2001. C. Gentry, "Practical identity−based encryption without random oracles," EUROCRYPT 2006, LNCS, Springer−Verlag, 2006. C.Gentry and A. Silverberg,"Hierarchical ID−based cryptography," ASIACRYPT 2002, LNCS, Springer−Verlag, 2002. V. Goyal, O. Pandey, A. Sahai and B. Waters,"Attribute−based encryption for fine−grained access control of encrypted data," ACM−CCCS 2006, LNCS, Springer Verlag, 2006. J. Groth and A. Sahai,"Efficient non−interactive proof syatems for bilinear groups,"EUROCRYPT 2008,LNCS 4965, Springer Verlag, pp. 415−−432, 2008. J. Horwitz and B. Lynn, "Towards hierarchical identity−based encryption," EUROCRYPT 2002, LNCS, Springer Verlag, 2002. J. Katz and B. Waters"Compact signatues for network coding,"available at IACR ePrint 2008/316. J. Katz, A. Sahai and B. Waters"Predicate encryption supporting disjunctions,polynomial equations, and inner products,"EUROCRYPT 2008,LNCS 4965, Springer Verlag, pp.146−−162, 2008. D.Hofheinz and E.Kiltz,"Secure hybrid encryption from weakened key encapsulation,"CRYPTO 2007, LNCS 4622, Springer Verlag, pp. 553−−571, 2007. T. Okamoto and K. Takashima,"Homomorphic encryption and signatures from vector decomposition,"Pairing 2008. LNCS 5209, pp. 57−−74.Springer Verlag, 2008. R. Ostrovsky, A. Sahai and B. Waters, "Attribute−based encryption with non−monotonic accessstructures," ACM CCS 2007, 2007. M. Pirretti, P. Traynor, P. McDaniel and B. Waters, "Secure attribute−based systems,"ACM CCS 2006, 2006. H.Shacham, "A Cramer−Shoup encryption scheme from the linear assumption and from progressively weaker linear variants," available at IACR ePrint Archive, 2007/074, 2007. A. Sahai and B. Waters,"Fuzzy identity−based encryption," EUROCRYPT 2005, LNCS, Springer Verlag, 2005. E. Shi and B. Waters,"Delegating capability in predicate encryption systems," ICALP 2008, LNCS, Springer Verlag, 2008. K.Takashima,"Efficiently computable distortion maps for supersingular curves,"ANTS, LNCS 5011, Springer Verlag, pp.88−−101, 2008.
非特許文献19では、述語暗号における権限委譲についての記載はない。また、非特許文献26では、述語暗号における権限委譲についての記載があるものの、等号関係テストのクラスについての述語暗号に限定されたものである。
この発明は、例えば、適用範囲の広い権限委譲可能な述語暗号処理を提供することを目的とする。
この発明に係る暗号処理システムは、例えば、ペアリング演算によって関連付けられた双対ベクトル空間である空間Vと空間Vとを用いて暗号処理を行う暗号処理システムであり、
前記空間Vにおけるベクトルであって、所定の情報を埋め込んだベクトルを暗号ベクトルとして処理装置により生成する暗号化装置と、
前記空間Vにおける所定のベクトルを鍵ベクトルとして、前記暗号化装置が生成した暗号ベクトルと前記鍵ベクトルとについて、処理装置により前記ペアリング演算を行い前記暗号ベクトルを復号して前記所定の情報に関する情報を抽出する復号装置と
を備えることを特徴とする。
この発明に係る暗号システムによれば、適用範囲の広い権限委譲可能な述語暗号処理を実現可能である。
「階層的」という概念を説明するための図。 属性情報と述語情報との階層構造を示す図。 階層的IDベース暗号の例を示す図。 基底と基底ベクトルとを説明するための図。 ベクトル空間における階層構造の実現方法を説明するための図。 暗号処理システム10の構成図。 暗号処理システム10の鍵生成装置100と第1層目の暗号化装置200と復号装置300との動作を示すフローチャート。 暗号処理システム10の第L層目の鍵委譲装置400と、第L+1層目の暗号化装置200と復号装置300との動作を示すフローチャート。 基底変換方法を説明するための図。 実施の形態2に係る暗号処理システム10の機能を示す機能ブロック図。 鍵生成装置100の動作を示すフローチャート。 暗号化装置200の動作を示すフローチャート。 復号装置300の動作を示すフローチャート。 鍵委譲装置400の動作を示すフローチャート。 実施の形態2に係る双対ディストーションベクトル空間の基底の構造を示す概念図。 (S502)におけるペアリング演算を説明するための図。 下位の鍵では、セッション鍵Kが計算できないことを説明するための図。 上位の鍵で、セッション鍵Kが計算できることを説明するための図。 階層的述語暗号を実現する暗号処理システム10の機能を示す機能ブロック図。 図19に示す暗号化装置200の動作を示すフローチャート。 図19に示す復号装置300の動作を示すフローチャート。 実施の形態4に係る暗号処理システム10の機能を示す機能ブロック図。 暗号化装置200の動作を示すフローチャート。 復号装置300の動作を示すフローチャート。 実施の形態4に係る双対ディストーションベクトル空間の基底の構造を示す概念図。 nコピーベクトル空間を説明するための図(1)。 nコピーベクトル空間を説明するための図(2)。 実施の形態6に係る暗号処理システム10の機能を示す機能ブロック図。 鍵生成装置100の動作を示すフローチャート。 暗号化装置200の動作を示すフローチャート。 復号装置300の動作を示すフローチャート。 鍵委譲装置400の動作を示すフローチャート。 実施の形態7に係る暗号処理システム10の機能を示す機能ブロック図。 暗号化装置200の動作を示すフローチャート。 復号装置300の動作を示すフローチャート。 鍵生成装置100、暗号化装置200、復号装置300、鍵委譲装置400のハードウェア構成の一例を示す図。
以下、図に基づき、発明の実施の形態を説明する。
以下の説明において、処理装置は後述するCPU911等である。記憶装置は後述するROM913、RAM914、磁気ディスク920等である。通信装置は後述する通信ボード915等である。入力装置は後述するキーボード902、通信ボード915等である。出力装置は後述するRAM914、磁気ディスク920、通信ボード915、LCD901等である。つまり、処理装置、記憶装置、通信装置、入力装置、出力装置はハードウェアである。
以下の説明における記法について説明する。
Aがランダムな変数または分布であるとき、数43は、Aの分布に従いAからyをランダムに選択することを表す。
Figure 0005349261
 Aが集合であるとき、数44は、Aからyを一様に選択することを表す。
Figure 0005349261
 数45は、yがzにより定義された集合であること、又はyがzを代入された集合であることを表す。
Figure 0005349261
 aが定数であるとき、数46は、機械(アルゴリズム)Aが入力xに対しaを出力することを表す。
Figure 0005349261
 ベクトル表記は、有限体Fにおけるベクトル表示を表す。つまり、数47である。
Figure 0005349261
 数48は、数49に示す2つのベクトルxとvとの数50に示す内積を表す。
Figure 0005349261
Figure 0005349261
Figure 0005349261
は、どんなnに対しても有限体数F において0ベクトルであることを表す。
は、行列Xの転置行列を表す。
数51は、xi,jに行列Xの(i,j)番目の値が設定されることを表す。
Figure 0005349261
また、以下の説明において、暗号処理とは、暗号化処理、復号処理、鍵生成処理を含むものであり、鍵秘匿処理も含むものである。
実施の形態1.
この実施の形態では、後の実施の形態で説明する「階層的述語鍵秘匿方式(Hierarchial Predicate Key Encapsulation Mechanism,HPKEM)」や「階層的述語暗号(Hierarchial Predicate Encryption,HPE)」を実現する基礎となる概念と、階層的述語鍵秘匿方式と階層的述語暗号との基本構成について説明する。
第1に、階層的述語鍵秘匿方式及び階層的述語暗号の一種である「階層的内積述語暗号(階層的内積述語鍵秘匿方式)」という概念を説明する。後の実施の形態で説明する階層的述語鍵秘匿方式及び階層的述語暗号は、階層的内積述語暗号及び階層的内積述語鍵秘匿方式である。階層的内積述語暗号という概念を説明するに当たり、まず「階層的」という概念を説明する。次に、「内積述語暗号」を説明する。そして、階層的という概念を内積述語暗号に加えた「階層的内積述語暗号(階層的内積述語鍵秘匿方式)」を説明する。さらに、階層的内積述語暗号の理解を深めるため、階層的内積述語暗号の応用例を説明する。
第2に、ベクトル空間における階層的内積述語暗号を説明する。この実施の形態及び以下の実施の形態では、階層的述語鍵秘匿方式と階層的述語暗号とをベクトル空間において実現する。
第3に、この実施の形態及び後の実施の形態に係る「階層的述語鍵秘匿方式」と「階層的述語暗号」との基本構成を説明する。併せて、階層的述語鍵秘匿方式と階層的述語暗号とを実行する「暗号処理システム10」の概要を説明する。
第4に、階層的述語鍵秘匿方式や階層的述語暗号を実現するための概念を説明する。まず、双線形ペアリンググループを説明する。続いて、双線形ペアリンググループを用いて、他の概念を以下の(1)から(6)までの6つに分けて説明する。
(1)1次元ペアリング「G×G→G」の空間V,空間Vに対する高次元化。
(2)標準的な双対基底A,A
(3)ディストーション写像を用いた効率的な線形写像。
(4)基底変換による鍵ペア(B,B)の生成方法。
(5)暗号処理への応用のための(V,B),(V,B)での計算困難問題。
(6)鍵ペア(B,B)を用いた内積述語暗号。
第5に、階層的述語鍵秘匿方式と階層的述語暗号とを実現するための空間である「双対ディストーションベクトル空間(Dual Distortion Vector Spaces,DDVS)」という豊かな数学的構造を有する空間を説明する。
そして、第6に、以上の説明を踏まえ、後の実施の形態で詳細に説明する階層的述語鍵秘匿方式と階層的述語暗号との実現方法を簡単に説明する。
<第1.階層的内積述語暗号>
<第1−1.階層的という概念>
この実施の形態及び以下の実施の形態で説明する階層的述語鍵秘匿方式と階層的述語暗号とにおける「階層的」という概念について説明する。
図1は、「階層的」という概念を説明するための図である。
階層的述語鍵秘匿方式と階層的述語暗号とにおける「階層的」とは、権限委譲できる仕組み(権限委譲システム(Delegation System))を有することである。権限委譲とは、上位の鍵を有する利用者が、その鍵(上位の鍵)よりも機能が制限された下位の鍵を生成することである。
図1では、Root(鍵生成装置)は、マスター秘密鍵を用いて、第1層目(Level−1)の利用者へ秘密鍵を生成する。つまり、Rootは、第1層目の利用者1,2,3それぞれへ鍵1,2,3を生成する。そして、例えば、利用者1であれば、鍵1を用いて、利用者1の下位(第1層目)の利用者である利用者11,12,13それぞれへ鍵11,12,13を生成することができる。ここで、利用者1が有する鍵1よりも、利用者11,12,13が有する鍵11,12,13は機能が制限されている。機能が制限されているとは、その秘密鍵によって復号できる暗号文が限定されているということである。つまり、上位の秘密鍵で復号できる暗号文の一部の暗号文のみ下位の秘密鍵で復号できることを意味する。すなわち、利用者1が有する鍵1で復号できる暗号文のうち、一部の暗号文のみ利用者11,12,13が有する鍵11,12,13で復号することができる。また、通常は、鍵11と鍵12と鍵13とが復号できる暗号文は異なる。一方、鍵11と鍵12と鍵13が復号できる暗号文は、鍵1で復号することができる。
<第1−2.内積述語暗号>
次に、「内積述語暗号」について説明する。
まず、述語暗号とは、述語情報fに属性情報xを入力した場合に1(True)となる場合(f(x)=1となる場合)に、暗号文を復号できる暗号方式である。通常、暗号文に属性情報xが埋め込まれ、秘密鍵に述語情報fが埋め込まれる。つまり、述語暗号では、属性情報xに基づき暗号化された暗号文cを、述語情報fに基づき生成された秘密鍵SKにより復号する。述語暗号は、例えば、述語情報fが条件式であり、属性情報xがその条件式への入力情報であり、入力情報(属性情報x)が条件式(述語情報f)を満たせば(f(x)=1)、暗号文を復号できる暗号方式であるとも言える。
なお、述語暗号について詳しくは非特許文献19に記載されている。
内積述語暗号とは、属性情報xと述語情報fとの内積が所定の値の場合に、f(x)=1となる述語暗号である。つまり、属性情報xと述語情報fとの内積が所定の値の場合にのみ、属性情報xにより暗号化された暗号文cを、述語情報fに基づき生成された秘密鍵SKにより復号することができる。以下の説明では、属性情報xと述語情報fとの内積が0の場合に、f(x)=1となるものとする。
<第1−3.階層的内積述語暗号>
階層的内積述語暗号(階層的内積述語鍵秘匿方式)とは、上述した「階層的」という概念を有する「内積述語暗号」である。つまり、階層的内積述語暗号(階層的内積述語鍵秘匿方式)とは、権限委譲システムを有する内積述語暗号である。
階層的内積述語暗号は、内積述語暗号に権限委譲システムを持たせるため、属性情報と述語情報とに階層構造を有する。
図2は、属性情報と述語情報との階層構造を示す図である。
図2において、符号が対応する属性情報と述語情報とは対応する(つまり、内積が0となる)ものとする。つまり、属性1と述語1との内積は0となり、属性11と述語11との内積は0となり、属性12と述語12との内積は0となり、属性13と述語13との内積は0となるとする。すなわち、属性1により暗号化された暗号文c1は、述語1に基づき生成された秘密鍵k1であれば復号できる。また、属性11により暗号化された暗号文c11は、述語11に基づき生成された秘密鍵k11であれば復号できる。属性12と述語12、属性13と述語13についても同様のことが言える。
上記の通り、階層的内積述語暗号は権限委譲システムを有する。そのため、述語1に基づき生成された秘密鍵k1と、述語11とに基づき、秘密鍵k11を生成することができる。つまり、上位の秘密鍵k1を有する利用者は、その秘密鍵k1と下位の述語11とから、秘密鍵k1の下位の秘密鍵k11を生成することができる。同様に、秘密鍵k1と述語12とから秘密鍵k12を生成でき、秘密鍵k1と述語13とから秘密鍵k13を生成できる。
また、下位の秘密鍵に対応する鍵(公開鍵)で暗号化された暗号文を上位の秘密鍵で復号できる。一方、上位の秘密鍵に対応する鍵(公開鍵)で暗号化された暗号文は、下位の秘密鍵で復号できない。つまり、属性11、属性12、属性13により暗号化された暗号文c11、c12、c13は、述語1に基づき生成された秘密鍵k1であれば復号できる。一方、属性1により暗号化された暗号文c1は、述語11、述語12、述語13に基づき生成された秘密鍵k11、k12、k13では復号できない。すなわち、属性11、属性12、属性13と述語1との内積は0となる。一方、属性1と述語11、述語12、述語13との内積は0とならない。
<第1−4.階層的内積述語暗号の応用例>
図3は、後述する階層的内積述語暗号の応用例である階層的IDベース暗号(Hierarchial Identifier Based Encryption,HIBE)の例を示す図である。なお、階層的IDベース暗号とは、IDベース暗号が階層的になった暗号処理である。IDベース暗号は、述語暗号の一種であり、暗号文に含まれるIDと秘密鍵に含まれるIDとが一致する場合に暗号文を復号できるマッチング述語暗号である。
図3に示す例では、Root(鍵生成装置)は、マスター秘密鍵skとA会社のIDである「A」とに基づき、ID「A」に対応する秘密鍵(鍵A)を生成する。例えば、A会社のセキュリティ担当者は、鍵Aと各部門のIDとに基づき、そのIDに対応する秘密鍵を生成する。例えば、セキュリティ担当者は、営業部門のIDである「A−1」に対応する秘密鍵(鍵1)を生成する。次に、例えば、各部門の管理者は、その部門の秘密鍵とその部門に属する各課のIDとに基づき、そのIDに対応する秘密鍵を生成する。例えば、営業部門の管理者は、営業1課のIDである「A−11」に対応する秘密鍵(鍵11)を生成する。
ここで、営業1課のID「A−11」に対応する秘密鍵である鍵11により、営業1課のID「A−11」で暗号化された暗号文を復号することができる。しかし、鍵11により、営業2課や営業3課のIDで暗号化された暗号文は復号することはできない。また、鍵11により、営業部門のIDで暗号化された暗号文は復号することができない。
営業部門のID「A−1」に対応する秘密鍵である鍵1により、営業部門のID「A−1」で暗号化された暗号文を復号することができる。また、鍵1により、営業部門に属する課のIDで暗号化された暗号文を復号することができる。つまり、鍵1により、営業1課、営業2課、営業3課のIDで暗号化された暗号文を復号することができる。しかし、鍵1により、製造部門(ID:A−2)やスタッフ部門(ID:A−3)のIDで暗号化された暗号文は復号することができない。また、鍵1により、A会社のIDで暗号化された暗号文は復号することができない。
A会社のID「A」に対応する秘密鍵である鍵Aにより、A会社のID「A」で暗号化された暗号文を復号することができる。また、A会社に属する各部門や、その部門に属する課のIDで暗号化された暗号文を復号することができる。
IDベース暗号以外へも様々な応用が可能である。特に、以下に説明する暗号処理は、等号関係テストのクラスに限定されたものではないため、非常に多くの応用が可能である。例えば、内積述語暗号の一種である検索可能暗号等についても、階層毎に検索可能な範囲をAND条件やOR条件等の条件式を用いて限定する等、従来の権限委譲システムを有する述語暗号では実現できなかった応用が可能である。
つまり、後の実施の形態で説明する階層的述語鍵秘匿方式と階層的述語暗号とは、IDベース暗号や検索可能暗号等へ幅広い応用が可能である。
<第2.ベクトル空間における階層的内積述語暗号>
階層的述語鍵秘匿方式と階層的述語暗号とは、後述する双対ディストーションベクトル空間という高次元ベクトル空間において実現される。そこで、ベクトル空間における階層的内積述語暗号を説明する。
まず、ベクトル空間の説明において使用する「基底」と「基底ベクトル」とについて簡単に説明する。
図4は、基底と基底ベクトルとを説明するための図である。
図4は、2次元ベクトル空間におけるベクトルvを示す。ベクトルvは、c+cである。また、ベクトルvは、y+yである。ここで、a,aを基底Aにおける基底ベクトルといい、基底A:=(a,a)と表す。また、b,bを基底Bにおける基底ベクトルといい、基底B:=(b,b)と表す。また、c,c,y,yは、各基底ベクトルに対する係数である。図1では、2次元ベクトル空間であったため、各基底における基底ベクトルは2個であった。しかし、N次元ベクトル空間であれば、各基底における基底ベクトルはN個である。
次に、ベクトル空間における内積述語暗号を説明する。
上記の通り、内積述語暗号とは、属性情報xと述語情報fとの内積が所定の値(ここでは、0)の場合に、f(x)=1となる述語暗号である。属性情報xと述語情報fとがベクトルであった場合、つまり属性ベクトルxと述語ベクトルvとであった場合、内積述語は数52のように定義される。
Figure 0005349261
 つまり、属性ベクトルxと述語ベクトルvとの内積、つまり要素毎の内積の和が0である場合に、述語情報fに属性情報xを入力した結果が1(True)となり、属性ベクトルxと述語ベクトルvとの内積が0でない場合に、述語情報fに属性情報xを入力した結果が0(False)となる述語暗号である。
次に、ベクトル空間における階層構造の実現方法を説明する。
図5は、ベクトル空間における階層構造の実現方法を説明するための図である。
ここで扱うベクトル空間は、高次元(N次元)ベクトル空間であるとする。つまり、ベクトル空間における所定の基底Cには、基底ベクトルc(i=0,...,N−1)のN個の基底ベクトルが存在する。
N個の基底ベクトルのうちのn個の基底ベクトル(基底ベクトルc(i=0,...,n−1))を階層構造を表すために使用する。また、基底ベクトルc(i=0,...,n−1)を、基底ベクトルc(i=0,...,μ−1)と、基底ベクトルc(i=μ,...,μ−1)と、...、基底ベクトルc(i=μd−1,...,n−1)とのd個に分割する。ここで、dは、階層の深さを表す数となる。
そして、μ個の基底ベクトルc(i=0,...,μ−1)を第1層目の属性情報や述語情報を表すために割り当てる。また、μ−μ個の基底ベクトルc(i=μ,...,μ−1)を第2層目の属性情報や述語情報を表すために割り当てる。以下同様に、μ−μd−1個の基底ベクトルc(i=μd−1,...,μ−1(=n−1))を第d層目の属性情報や述語情報を表すために割り当てる。
また、第L層目の属性情報によって暗号文を生成する場合には、第L層目の属性情報だけでなく、第1層目から第L層目までの属性情報を用いて暗号文を生成する。同様に、第L層目の述語情報によって秘密鍵を生成する場合には、第L層目の述語情報だけでなく、第1層目から第L層目までの述語情報を用いて秘密鍵を生成する。つまり、第L層目の属性情報によって暗号文を生成する場合や、第L層目の述語情報によって秘密鍵を生成する場合には、第1層目から第L層目までに割り当てられたμ個の基底ベクトルc(i=0,...,μ−1)を用いる。例えば、第3層目の属性情報によって暗号文を生成する場合には、第1層目から第3層目までに割り当てられたμ個の基底ベクトルc(i=0,...,μ−1)を用いて、第1層目から第3層目までの属性情報を表して暗号文を生成する。同様に、第3層目の述語情報によって秘密鍵を生成する場合には、第1層目から第3層目までに割り当てられたμ個の基底ベクトルc(i=0,...,μ−1)を用いて、第1層目から第3層目までの述語情報を表して秘密鍵を生成する。つまり、下位の層で使用される属性情報や述語情報には、上位の層で使用される属性情報や述語情報が含まれる。これにより、属性情報と述語情報とに階層構造を持たせる。そして、この属性情報と述語情報とに階層構造を利用して、内積述語暗号に権限委譲システムを持たせる。
なお、以下の説明においては、ベクトル空間における階層的構造を示すために、階層情報μを用いる。階層情報μを数53に示す。
Figure 0005349261
 つまり、階層情報μは、階層構造を表すために割り当てられた基底ベクトル数(次元数)を示すnと、階層の深さを示すdと、各階層に割り当てられた基底ベクトルを示すためのμ,...,μとの情報を有する。
次に、ベクトル空間における階層的内積述語暗号を説明する。
まず、各階層の空間における内積述語について説明する。各階層の空間とは、各階層の属性情報や述語情報を表すために割り当てられた空間である。つまり、第j層目の階層の空間であれば、基底ベクトルc(i=μ−1,...,μ)で表される空間である。
属性空間Σ(i=1,...,d)を、第i層目の属性情報を表すために割り当てられた空間であるとする。同様に、述語空間F(i=1,...,d)を、第i層目の述語情報を表すために割り当てられた空間であるとする。つまり、属性空間Σは、所定の基底Σの基底ベクトルσ(j=μ−1,...,μ)で表された属性情報の空間である。同様に、述語空間Fは、所定の基底Fの基底ベクトルf(j=μ−1,...,μ)で表された述語情報の空間である。すなわち、属性空間Σであれば、基底ベクトルσ(j=0,...,μ−1)で表された属性情報の空間である。また、属性空間Σであれば、基底ベクトルσ(j=μ,...,μ−1)で表された属性情報の空間である。述語空間Fについても同様である。
つまり、属性空間Σ(i=1,...,d)と述語空間F(i=1,...,d)とは、それぞれ数54に示す属性情報と述語情報との集合である。
Figure 0005349261
 すると、各属性空間Σ(i=1,...,d)について、内積述語は数55のように定義される。
Figure 0005349261
 つまり、各階層の空間において、属性ベクトルxと述語ベクトルvとの内積が0の場合に、述語情報fに属性情報xを入力した結果が1(True)となる。すなわち、ある階層の属性ベクトルxと同じ階層の述語ベクトルvとの内積が0の場合に、述語情報fに属性情報xを入力した結果が1(True)となる。
次に、階層的な空間における内積述語について説明する。階層的な空間とは、上位の属性情報や述語情報を表すために割り当てられた空間も含んだ空間である。つまり、第j層目の階層的な空間であれば、基底ベクトルc(i=0,...,μ)で表された空間である。
すなわち、階層的な属性空間Σと階層的な述語空間Fとは、それぞれ数56に示す空間である。
Figure 0005349261
 ここで、数56に示す階層的な属性空間Σと階層的な述語空間Fとにおける和集合は互いに素な和集合である。数57に示す階層的な属性情報についての数58に示す階層的な述語情報は、数59のように定義される。
Figure 0005349261
Figure 0005349261
Figure 0005349261
 つまり、ベクトル空間における階層的内積述語暗号は、(1)階層的な述語ベクトルvの階層Lが階層的な属性ベクトルxの階層Lと同じか上位であり、(2)属性空間Σ(i=1,...,L)における属性ベクトルxと、各述語空間F(i=1,...,L)における述語ベクトルvとの内積が0である場合に、数58に示す階層的な述語情報へ数57に示す階層的な属性情報を入力した結果が1(True)となる述語暗号である。
<第3.階層的述語鍵秘匿方式と階層的述語暗号との構成>
<第3−1.階層的述語鍵秘匿方式>
階層的述語鍵秘匿方式の構成を簡単に説明する。
階層的述語鍵秘匿方式は、Setup、GenKey、Enc、Dec、Delegate(L=1,...,d−1)の5つの確率的多項式時間アルゴリズムを備える。
(Setup)
Setupアルゴリズムでは、セキュリティパラメータ1λと階層情報μとが入力され、マスター公開鍵pkとマスター秘密鍵skとが出力される。マスター秘密鍵skは最も上位の鍵である。
(GenKey)
GenKeyアルゴリズムでは、マスター公開鍵pkとマスター秘密鍵skと数60に示す述語ベクトルv (なお、述語ベクトルv を単にv と記載する場合もある)が入力され、数61に示す第1層目の秘密鍵が出力される。
Figure 0005349261
Figure 0005349261
 (Enc)
Encアルゴリズムでは、マスター公開鍵pkと属性ベクトルx (i=1,...,L)(1≦L≦d)とが入力され、暗号文cとセッション鍵Kとが出力される。つまり、Encアルゴリズムでは、所定の情報(ρ)を埋め込み属性ベクトルx (i=1,...,L)(1≦L≦d)により暗号化された暗号文cと、所定の情報(ρ)から生成したセッション鍵Kとが出力される。
(Dec)
Decアルゴリズムでは、マスター公開鍵pkと数62に示す第L層目の秘密鍵(1≦L≦d)と暗号文cとが入力され、セッション鍵K又は識別情報⊥が出力される。識別情報⊥とは、復号に失敗したことを示す情報である。つまり、Decアルゴリズムでは、暗号文cを第L層目の秘密鍵で復号して、所定の情報(ρ)に関する情報を抽出し、セッション鍵Kを生成する。また、復号に失敗した場合には識別情報⊥を出力する。
Figure 0005349261
 (Delegate
Delegateアルゴリズムでは、マスター公開鍵pkと数63に示す第L層目の秘密鍵と数64に示す第L+1層目の述語ベクトルv L+1(なお、述語ベクトルv L+1を単にv L+1と記載する場合もある)とが入力され、数65に示す第L+1層目の秘密鍵が出力される。つまり、Delegateアルゴリズムでは、下位の秘密鍵が出力される。
Figure 0005349261
Figure 0005349261
Figure 0005349261
つまり、第L層目の秘密鍵は、数66に示すGenKeyとDelegateとのアルゴリズムを用いたDeriveLvアルゴリズムによって計算される。
Figure 0005349261
<第3−2.階層的述語暗号>
階層的述語暗号の概要を説明する。
階層的述語暗号は、階層的述語鍵秘匿方式と同様に、Setup、GenKey、Enc、Dec、Delegate(L=1,...,d−1)の5つの確率的多項式時間アルゴリズムを備える。
(Setup)
階層的述語鍵秘匿方式と同様に、Setupアルゴリズムでは、セキュリティパラメータ1λと階層情報μとが入力され、マスター公開鍵pkとマスター秘密鍵skとが出力される。
(GenKey)
階層的述語鍵秘匿方式と同様に、GenKeyアルゴリズムでは、マスター公開鍵pkとマスター秘密鍵skと数67に示す述語ベクトルv が入力され、数68に示す第1層目の秘密鍵が出力される。
Figure 0005349261
Figure 0005349261
 (Enc)
Encアルゴリズムでは、マスター公開鍵pkと属性ベクトルx (i=1,...,L)(1≦L≦d)と平文情報mとが入力され、暗号文cが出力される。つまり、Encアルゴリズムでは、平文情報mを埋め込み属性ベクトルx (i=1,...,L)(1≦L≦d)により暗号化された暗号文cが出力される。
(Dec)
Decアルゴリズムでは、マスター公開鍵pkと数69に示す第L層目の秘密鍵(1≦L≦d)と暗号文cとが入力され、平文情報m又は識別情報⊥が出力される。識別情報⊥とは、復号に失敗したことを示す情報である。つまり、Decアルゴリズムでは、暗号文cを第L層目の秘密鍵で復号して、平文情報mを抽出する。また、復号に失敗した場合には識別情報⊥を出力する。
Figure 0005349261
 (Delegate
階層的述語鍵秘匿方式と同様に、Delegateでは、マスター公開鍵pkと数70に示す第L層目の秘密鍵と数71に示す第L+1層目の述語ベクトルv L+1とが入力され、数72に示す第L+1層目の秘密鍵が出力される。つまり、Delegateアルゴリズムでは、下位の秘密鍵が出力される。
Figure 0005349261
Figure 0005349261
Figure 0005349261
 なお、第L層目の秘密鍵は、階層的述語鍵秘匿方式と同様に、上述した数66に示すDeriveLvアルゴリズムによって計算される。
<第3−3.暗号処理システム10>
暗号処理システム10について説明する。暗号処理システム10は、上述した階層的述語鍵秘匿方式と階層的述語暗号とのアルゴリズムを実行する。
図6は、暗号処理システム10の構成図である。
暗号処理システム10は、鍵生成装置100、暗号化装置200、復号装置300、鍵委譲装置400を備える。なお、ここでは、復号装置300は、鍵委譲装置400を備えるものとする。また、上述したように、暗号処理システム10は、階層的な暗号処理を実行するものであるため、暗号処理システム10は、複数の暗号化装置200、複数の復号装置300、複数の鍵委譲装置400を備えるものとする。
鍵生成装置100は、階層的述語鍵秘匿方式と階層的述語暗号とのSetup、GenKeyアルゴリズムを実行する。
暗号化装置200は、階層的述語鍵秘匿方式と階層的述語暗号とのEncアルゴリズムを実行する。
復号装置300は、階層的述語鍵秘匿方式と階層的述語暗号とのDecアルゴリズムを実行する。
鍵委譲装置400は、階層的述語鍵秘匿方式と階層的述語暗号とのDelegateアルゴリズムを実行する。
図7は、暗号処理システム10の鍵生成装置100と第1層目の暗号化装置200と復号装置300との動作を示すフローチャートである。つまり、図7は、マスター鍵(マスター公開鍵とマスター秘密鍵)の生成、第1層目の秘密鍵の生成から、第1層目における暗号化と復号とまでの動作を示すフローチャートである。
(S101:鍵生成ステップ)
鍵生成装置100は、Setupアルゴリズムを実行してマスター公開鍵pkとマスター秘密鍵skとを生成する。また、鍵生成装置100は、生成したマスター公開鍵pkとマスター秘密鍵skと、所定の復号装置300(第1層目の復号装置300)に対応する述語ベクトルv (v =(v,...,v)(i=μ−1))とに基づき、GenKeyアルゴリズムを実行して第1層目の秘密鍵を生成する。そして、鍵生成装置100は、生成したマスター公開鍵pkを公開(配布)するとともに、第1層目の秘密鍵を前記所定の復号装置300へ秘密裡に配布する。なお、鍵生成装置100は、マスター秘密鍵を秘密裡に保持する。
(S102:暗号化ステップ)
暗号化装置200は、(S101)で鍵生成装置100が配布したマスター公開鍵pkと、前記復号装置300の属性ベクトルx (x =(x,...,x)(i=μ−1))とに基づき、Encアルゴリズムを実行して暗号文cを生成する。なお、階層的述語鍵秘匿方式であれば、暗号化装置200は、セッション鍵Kも併せて生成する。そして、暗号化装置200は、生成した暗号文cを前記復号装置300へネットワーク等を介して送信する。なお、属性ベクトルx は、公開されているものとしてもよいし、暗号化装置200が鍵生成装置100や復号装置300から取得するものとしてもよい。
(S103:復号ステップ)
復号装置300は、(S101)で鍵生成装置100が配布したマスター公開鍵pkと第1層目の秘密鍵とに基づき、アルゴリズムDecを実行して、暗号化装置200から受信した暗号文cを復号する。復号装置300は、暗号文cを復号した結果、階層的述語鍵秘匿方式であればセッション鍵Kを取得し、階層的述語暗号であれば平文情報mを取得する。復号装置300は、復号に失敗した場合には識別情報⊥を出力する。
図8は、暗号処理システム10の第L層目の鍵委譲装置400と、第L+1層目の暗号化装置200と復号装置300との動作を示すフローチャートである。つまり、図8は、第L+1層目の秘密鍵の生成から、第L+1層目における暗号化と復号とまでの動作を示すフローチャートである。
(S201:鍵委譲ステップ)
第L層目の鍵委譲装置400(第L層目の復号装置300が備える鍵委譲装置400)は、(S101)で鍵生成装置100が配布したマスター公開鍵pkと、鍵生成装置100又は第L−1層目の鍵委譲装置400が配布した第L層目の秘密鍵と、第L+1層目の復号装置300に対応する述語ベクトルv L+1(v L+1=(v,...,v)(i=μ,j=μL+1−1))とに基づき、アルゴリズムDelegateを実行して第L+1層目の秘密鍵を生成する。そして、第L層目の鍵委譲装置400は、生成した秘密鍵を第L+1層目の復号装置300へ秘密裡に配布する。
(S202:暗号化ステップ)
暗号化装置200は、(S101)で鍵生成装置100が配布したマスター公開鍵pkと、第L+1層目までの復号装置300の属性ベクトルx から属性ベクトルx L+1(x (i=1,...,L+1)(=(x,...,x)(i=μL+1−1)))とに基づき、Encアルゴリズムを実行して暗号文cを生成する。なお、階層的述語鍵秘匿方式であれば、暗号化装置200は、セッション鍵Kも併せて生成する。そして、暗号化装置200は、生成した暗号文cを前記復号装置300へネットワーク等を介して送信する。なお、属性ベクトルx から属性ベクトルx L+1(x (i=1,...,L+1))は、公開されているものとしてもよいし、暗号化装置200が鍵生成装置100や復号装置300から取得するものとしてもよい。
(S203:復号ステップ)
復号装置300は、(S101)で鍵生成装置100が配布したマスター公開鍵pkと、(S201)で第L層目の鍵委譲装置400が配布した秘密鍵とに基づき、アルゴリズムDecを実行して、暗号化装置200から受信した暗号文cを復号する。復号装置300は、暗号文cを復号した結果、階層的述語鍵秘匿方式であればセッション鍵Kを取得し、階層的述語暗号であれば平文情報mを取得する。
<第4.階層的述語鍵秘匿方式と階層的述語暗号とを実現するための概念>
次に、上述した階層的述語鍵秘匿方式と階層的述語暗号との各アルゴリズムを実現するために必要となる概念を説明する。
<第4−1.双線形ペアリンググループ>
双線形ペアリンググループ(G,G,G,g,g,q)を説明する。
双線形ペアリンググループ(G,G,G,g,g,q)は、位数qの3つの巡回群G,G,Gの組である。gはGの生成元であり、gはGの生成元である。そして、双線形ペアリンググループ(G,G,G,g,g,q)は、以下の非退化双線形ペアリングの条件を満たす。
(条件:非退化双線形ペアリング)
多項式時間で計算可能な数73に示す非退化双線形ペアリングが存在すること。
Figure 0005349261
ここで、G=G(=:G)である場合、対象双線形ペアリングと呼ぶ。一方、G≠Gである場合、非対称双線形ペアリングと呼ぶ。対象双線形ペアリングは、超特異(超)楕円曲線を用いて構築できる。一方、非対称双線形ペアリングは、どんな(超)楕円曲線を用いても構築できる。非対称双線形ペアリングは、例えば、通常の楕円曲線を用いて構築できる。
ここでは、非対称双線形ペアリングを用いて説明する。つまり、双線形ペアリンググループ(G,G,G,g,g,q)は、非対称双線形ペアリンググループであるとする。そして、非対称双線形ペアリンググループの直積を用いて、後述する双対ディストーションベクトル空間を構築した場合について説明する。なお、後の実施の形態で説明するように、双対ディストーションベクトル空間は、非対称双線形ペアリンググループの直積に限らず、他の方法により構築することも可能である。
<第4−2.(1)1次元ペアリング「G×G→G」の空間V,空間Vに対する高次元化>
1次元空間の巡回群を高次元空間(高次元ベクトル空間)へ拡張する。つまり、数74に示すように、GとGとの直積によりN次元ベクトル空間VとN次元ベクトル空間Vとを構築する。
Figure 0005349261
N次元ベクトル空間V,Vとにおけるペアリング演算eを数75に示すように定義する。
Figure 0005349261
 つまり、N次元ベクトル空間Vのベクトルx:=(x,x,...,xN−1)とN次元ベクトル空間Vのベクトルy:=(y,y,...,yN−1)とのペアリング演算e(x,y)は、ベクトルxとベクトルyとの要素毎のペアリング演算の積と定義する。すると、上述した非退化双線形ペアリングの条件から、ペアリング演算e(x,y)は、数76に示すように表すことができる。
Figure 0005349261
 なお、ペアリング演算eのeという表記は、(G,G)と(V,V)との両方において使用する。
<第4−3.(2)標準的な双対基底A,A
N次元ベクトル空間Vの標準基底Aと、N次元ベクトル空間Vの標準基底Aとを説明する。
数77は、標準基底Aを示す。
Figure 0005349261
 ここで、N次元ベクトル空間Vの全ての要素x:=(x,...,xN−1,g)は、標準基底Aの線形和によって表すことができる。つまり、N次元ベクトル空間Vの全ての要素x:=(x,...,xN−1,g)は、数78のように表すことができる。
Figure 0005349261
 数79は、標準基底Aを示す。標準基底Aと同様に、N次元ベクトル空間Vの全ての要素y:=(y,...,yN−1,g)は、標準基底Aの線形和によって表すことができる。
Figure 0005349261
標準基底Aと標準基底Aとは、数80に示す条件を満たす。
Figure 0005349261
 つまり、標準基底Aと標準基底Aとは、双対正規直交基底であり、空間Vと空間Vとは、ペアリング演算eによって関連付けられた双対ベクトル空間である。
標準基底Aと標準基底Aとが数80に示す条件を満たすことについて補足する。
まず、e(a,a )=uであることについて説明する。一例として、e(a,a )について計算する。上記の通り、a=(g,0,...,0)であり、a =(g,0,...,0)である。したがって、e(a,a )=e(g,g)×e(0,0)×,...,×e(0,0)である。ここで、上記の通り、e(g,g)=uである。また、e(0,0)=e(0・g,0・g)=e(g,gであるから、e(0,0)=1である。したがって、e(a,a )=uとなる。他のe(a,a )についても同様の計算が成立し、e(a,a )=uとなる。
次に、e(a,a )=1(i≠j)であることについて説明する。一例として、e(a,a )について計算する。上記の通り、a=(g,0,...,0)であり、a =(0,g,0,...,0)である。したがって、e(a,a )=e(g,0)×e(0,g)×e(0,0)×,...,×e(0,0)である。e(g,0)=e(g,0・g)=e(g,gであるから、e(g,0)=1である。同様に、e(0,g)=1である。また、上記の通り、e(0,0)=1である。したがって、e(a,a )=1となる。他のe(a,a )についても同様の計算が成立し、e(a,a )=1となる。
したがって、標準基底Aと標準基底Aとにおいて、e(a,a )=uであり、e(a,a )=1(i≠j)である。
<第4−4.(3)ディストーション写像を用いた効率的な線形写像>
標準基底Aにおける空間Vの生成元xに対するディストーション写像という線形変換について説明する。
空間Vの標準基底Aにおけるディストーション写像φi,jは、数81に示す写像である。
Figure 0005349261
 数82が成立するため、ディストーション写像φi,jは、数83の変換を行うことができる。
Figure 0005349261
Figure 0005349261
 つまり、標準基底Aのベクトルxの基底ベクトルjの要素を基底ベクトルiの要素へ変換することができる。この際、変換された基底ベクトルjの要素を除く他の要素は、全て0となる。すなわち、ベクトルxの基底ベクトルjの要素が基底ベクトルiの要素となり、その他の要素は0となる。
空間Vの標準基底Aにおけるディストーション写像φ i,jも、空間Vの標準基底Aにおけるディストーション写像φi,jと同様に表すことができる。
ディストーション写像φi,j(φ i,j)を用いることにより、数84に示すN×N行列として表される線形変換Wであって、x∈Vに対するどんな線形変換Wも数85によって効率的に計算することができる。
Figure 0005349261
Figure 0005349261
<第4−5.(4)基底変換による鍵ペア(B,B)の生成方法>
標準基底Aと標準基底Aとから他の基底Bと基底Bとへ変換する基底変換方法について説明する。図9は、基底変換方法を説明するための図である。
空間Vにおける標準基底Aから空間Vにおける他の基底B:=(b,...,bN−1)へ変換する。ここでは、数86に示す一様に選択された線形変換Xを用いて、数87に示すように空間Vにおける標準基底Aから空間Vにおける他の基底Bに変換する。
Figure 0005349261
Figure 0005349261
 ここで、GLは、General Linearの略である。つまり、GLは、一般線形群であり、行列式が0でない正方行列の集合であり、乗法に関し群である。
以下に説明する暗号処理において、基底Bは、公開パラメータ(公開鍵)として使用される。また、Xは、トラップドア情報(秘密鍵)として使用される。
Xを用いることにより、空間Vにおける標準基底Aから空間Vにおける基底B:=(b ,...,b N−1)を効率的に計算できる。ここでは、数88に示すようにXを用いて、空間Vにおける基底Bを計算する。
Figure 0005349261
ここで、数89が成立する。
Figure 0005349261
 つまり、基底Bと基底Bとは、双対空間VとVにおける双対正規直交基底である。すなわち、Xを用いて標準基底AとAとを変形した場合であっても、双対正規直交基底は保存される。
以下に説明する暗号処理において、基底Bは(Xに代えて)秘密鍵として使用できる。詳しくは後述するが、これにより、後述する暗号処理において、要求される秘密鍵の要件に応じて様々なレベル又はタイプの秘密鍵を作ることができる。つまり、最上位階層の秘密鍵をXとして、下位のレベルの秘密鍵を基底Bの部分情報とすることにより、上位階層の秘密鍵から下位階層の秘密鍵まで階層化された秘密鍵を作ることができる。
<第4−6.(5)暗号処理への応用のための(V,B),(V,B)での計算困難問題>
暗号処理に適した(V,B)と(V,B)における計算困難問題の定義及び確立をする。つまり、後述する暗号処理の安全性の根拠となる計算困難問題について説明する。ここで、上述したように、基底B:=(b,...,bN−1)は、空間Vの基底であり、基底B:=(b ,...,b N−1)は空間Vの基底である。
なお、非特許文献21には、(V,B)における計算問題と決定問題とについての記載、及びそれらの問題の関連についての調査結果についての記載がある。
ここでは、非特許文献21に記載された計算ベクトル分解問題(Computational Vector Decomposition Problem,CVDP)と、決定部分空間問題(Decisional Subspace Problem,DSP)とについて簡単に説明する。
最も自然な(計算)問題の1つがCVDPである。CVDPは、部分群分解問題(Subgroup Decomposition Problem)の高次元空間類似体である。
(N,N)CVDPの仮定は、「数90に示すvが与えられた場合に、数91に示すuを計算することは難しい」というものである。
Figure 0005349261
Figure 0005349261
 上記問題を単純化して説明すると、図4においてベクトルvが与えられた場合に、ベクトルvを基底Bにおけるベクトルvの成分y(又はy)を抽出することは難しい(できない)ということである。つまり、ベクトルvを基底Bにおけるベクトルvの成分yとyとに分解することは難しい(できない)ということである。
なお、たとえCVDP仮定が正しいとしても、上述したディストーション写像φi,jと、トラップドアX(上述した基底変換方法における線形変換X)と非特許文献21に記載されたアルゴリズムDecoとを用いることにより、CVDPは効率的に計算することができる。一方、CVDP仮定が正しい場合、トラップドアXが与えられなければ、CVDPを効率的に解くことはできない。つまり、上述した基底変換方法における線形変換Xを最上位階層の秘密鍵とすることで、線形変換Xを知らない下位階層ではCVDPを効率的に解くことはできない。
最も自然な決定問題の1つがDSPである。(N,N)DSPの仮定は、「数92に示すuから数93に示すvを決定することは難しい」というものである。
Figure 0005349261
Figure 0005349261
 上記問題を単純化して説明すると、図4においてベクトルvが与えられた場合に、y(又はy)がベクトルvの成分であると特定することは困難であるということである。
つまり、以上の2つの問題から、N次元空間におけるベクトルv(=c+...+cN−1N−1)が与えられた場合に、ベクトルvの基底ベクトルbについての成分cを抽出することはできず、cがベクトルvの成分であると特定することはできないと言える。
<第4−7.(6)鍵ペア(B,B)を用いた内積述語暗号>
2つのベクトルの内積の計算に双対正規直交基底(B,B)を適用して、内積述語暗号を実現する。
2つのベクトルの内積の計算に双対正規直交基底(B,B)を適用するとは、数94を計算することである。
Figure 0005349261
以下のように内積述語暗号を実現する。なお、ここでは、鍵秘匿方式について説明するが、当然暗号方式についても同様に実現可能である。
暗号文cは、数95に示すように生成される。
Figure 0005349261
 秘密鍵kは、数96に示すように生成される。
Figure 0005349261
 ここで、数97である。
Figure 0005349261
 つまり、属性ベクトルxと述語ベクトルvとの内積が0であれば、数98である。
Figure 0005349261
 なぜなら、上述したように、数99であるためである。
Figure 0005349261
つまり、ここでは、属性ベクトルxと述語ベクトルvとの内積が0となるように、属性ベクトルxと述語ベクトルvとを設定することにより、受信側で暗号文cから共有情報K(セッション鍵)を取得することができる。
ここで、セッション鍵Kは隠蔽される。つまり、秘密鍵kを有さない攻撃者は、暗号文cからセッション鍵Kについての情報を得ることはできない。なぜなら、上述したCVDP仮定によれば、暗号文cの成分であるρbを抽出することはできないためである。
また、セッション鍵Kだけでなく、属性ベクトルxについても隠蔽される。つまり、秘密鍵kを有さない攻撃者は、暗号文cからセッション鍵Kだけでなく属性ベクトルxについての情報を得ることもできない。ここで、上述したDSP仮定は属性情報xを隠蔽することを説明する中心的な役割を果たす。DSP仮定によれば、数100が数101から区別できないことを示すためである。
Figure 0005349261
Figure 0005349261
<第5.双対ディストーションベクトル空間>
第4で説明した概念を踏まえて、双対ディストーションベクトル空間について説明する。上述したように、後述する階層的述語鍵秘匿方式と階層的述語暗号とは、双対ディストーションベクトル空間において実現される。
双対ディストーションベクトル空間(V,V,G,A,A,q)は、F上の2つのN次元ベクトル空間V,Vの組と、位数qの巡回群Gと、空間Vの標準基底A:=(a,...,aN−1)と空間Vの標準基底A:=(a ,...,a N−1)を有する空間であって、以下の(1)ディストーション写像が存在する、(2)非退化双線形ペアリングが存在する、(3)2つの空間の標準基底が双対正規直交基底であるという3つの条件を満たす空間である。
(1)ディストーション写像(上記第4−4参照)
多項式時間で計算可能なディストーション写像φi,jとφ i,jが存在すること。
つまり、数102に示す空間Vの準同型φi,jと空間Vの準同型φ i,jが多項式時間で計算可能であることが1つ目の条件である。
Figure 0005349261
 (2)非退化双線形ペアリング(上記第4−1参照)
多項式時間で計算可能な非退化双線形ペアリングeが存在すること。
つまり、数103に示す非退化双線形ペアリングeが存在することが2つ目の条件である。
Figure 0005349261
 (3)双対正規直交基底(上記第4−2参照)
空間Vの標準基底Aと空間Vの標準基底Aとが双対正規直交基底であること。
つまり、空間Vの標準基底Aと空間Vの標準基底Aとが、数104に示す条件を満たすことが3つ目の条件である。
Figure 0005349261
 なお、3つ目の条件を満たすことにより、空間Vと空間Vとがペアリング演算e(上記第4−2参照)によって関連付けられた双対空間であるということも言える。
ここで、EndFq(V)をF上の空間Vの準同型のFベクトル空間であるとする。同様に、EndFq(V)をF上の空間Vの準同型のFベクトル空間であるとする。すると、ディストーション写像φi,j(resp.φ i,j)は、N次元Fベクトル空間EndFq(V)(resp.EndFq(V))の基底を形成する。
数105に示すランダムな係数を用いて、数106に示すV/F(resp.V/F)のランダムな多項式時間で計算可能な準同型を効率的にサンプリングすることができる。
Figure 0005349261
Figure 0005349261
 なお、後の実施の形態で、双対ディストーションベクトル空間の例について説明する。
<第6.階層的述語鍵秘匿方式と階層的述語暗号との実現方法の概要>
上述した概念(上記第4参照)と、双対ディストーションベクトル空間(上記第5参照)とを踏まえて、上述した暗号処理システム10(上記第3参照)が階層的述語鍵秘匿方式と階層的述語暗号とを実現する方法を簡単に説明する。
まず、暗号処理システム10は、双対ディストーションベクトル空間において、階層的述語鍵秘匿方式と階層的述語暗号とを実現する。つまり、暗号処理システム10は、ディストーション写像と、非退化双線形ペアリングと、双対正規直交基底とを有する高次元ベクトル空間であって、ペアリング演算eによって関連付けられた高次元双対ベクトル空間において、階層的述語鍵秘匿方式と階層的述語暗号とを実現する。なお、2つの空間を関連付けるペアリング演算e(高次元ベクトル空間におけるペアリング演算)は、上記第4−2にて定義されたペアリング演算である。
また、上記第4−5によれば、暗号処理システム10は、各空間VとVとの標準基底AとAとから所定の変換により生成された双対正規直交基底BとBとを鍵ペア(公開鍵と秘密鍵とのペア)として用いて、階層的述語鍵秘匿方式と階層的述語暗号とを実現する。上記第4−7によれば、暗号処理システム10の鍵生成装置100は、双対正規直交基底BとBとの一方(以下、基底B)をマスター公開鍵とし、他方(以下、基底B)をマスター秘密鍵とする。
つまり、図7の(S101)で鍵生成装置100は、高次元ベクトル空間である双対ディストーションベクトル空間の基底Bを含む情報をマスター公開鍵として生成し、基底Bを含む情報をマスター秘密鍵として生成する。また、鍵生成装置100は、述語ベクトルv (v =(v,...,v)(i=μ−1))に基づき基底Bにおけるベクトルを第1層目の秘密鍵として生成する。図7の(S102)で暗号化装置200は、x (x =(x,...,x)(i=μ−1))に基づきマスター公開鍵である基底Bにおけるベクトルにセッション鍵Kを生成するための情報ρ又は平文情報mを埋め込んで暗号文cとして生成する。図7の(S103)で復号装置300は、基底Bにおけるベクトルである暗号文cと、基底Bにおけるベクトルである第1層目の秘密鍵とについてペアリング演算eを行い、暗号文cに埋め込まれたセッション鍵K又は平文情報mを抽出する。なお、復号装置300が実行する高次元ベクトルについてのペアリング演算eは上記第4−2にて定義されたペアリング演算である。
また、図8の(S201)で鍵委譲装置400は、述語ベクトルv L+1(v L+1=(v,...,v)(i=μ,j=μL+1−1))に基づき基底Bにおけるベクトルを第L+1層目の秘密鍵として生成する。図8の(S202)で暗号化装置200は、属性ベクトルx からx L+1までの属性ベクトル(x (i=1,...,L+1)(=(x,...,x)(i=μL+1−1)))に基づきマスター公開鍵である基底Bにおけるベクトルにセッション鍵Kを生成するための情報ρ又は平文情報mを埋め込んで暗号文cとして生成する。図8の(S203)で復号装置300は、基底Bにおけるベクトルである暗号文cと、基底Bにおけるベクトルである第L+1層目の秘密鍵とについてペアリング演算eを行い、暗号文cに埋め込まれたセッション鍵K又は平文情報mを抽出する。
なお、上記第4−6で述べた計算困難問題に基づき、この暗号処理の安全性(セッション鍵K又は平文情報m及び属性ベクトルの秘匿性)は保障される。
実施の形態2.
この実施の形態では、実施の形態1で説明した概念に基づき、階層的述語鍵秘匿方式を実現する暗号処理システム10について説明する。
図10から図15に基づき、暗号処理システム10の機能と動作とについて説明する。
図10は、この実施の形態に係る暗号処理システム10の機能を示す機能ブロック図である。暗号処理システム10は、上述したように、鍵生成装置100、暗号化装置200、復号装置300、鍵委譲装置400を備える。また、ここでも、復号装置300が鍵委譲装置400を備えるものとする。
図11は、鍵生成装置100の動作を示すフローチャートである。図12は、暗号化装置200の動作を示すフローチャートである。図13は、復号装置300の動作を示すフローチャートである。図14は、鍵委譲装置400の動作を示すフローチャートである。
図15は、双対ディストーションベクトル空間の基底の構造を示す概念図である。
鍵生成装置100の機能と動作とについて説明する。鍵生成装置100は、マスター鍵生成部110、マスター鍵記憶部120、鍵ベクトル生成部130、鍵生成用ベクトル生成部140、鍵配布部150を備える。
(S301:マスター鍵生成ステップ)
マスター鍵生成部110は、数107を計算して、マスター公開鍵pkとマスター秘密鍵skとを処理装置により生成してマスター鍵記憶部120に記憶する。
Figure 0005349261
 つまり、(1)マスター鍵生成部110は、セキュリティパラメータ1λで、N(=n+2)次元の双対ディストーションベクトル空間(V,V,G,A,A,q)を処理装置により生成する。ここで、Gddvsは、1λとNとを入力として、セキュリティパラメータ1λとN次元空間Vとについての(V,V,G,A,A,q)を出力する双対ディストーションベクトル空間生成アルゴリズムである。
(2)マスター鍵生成部110は、標準基底Aから基底Bを生成するための線形変換Xを処理装置によりランダムに選択する。
(3)マスター鍵生成部110は、選択した線形変換Xに基づき、基底A:=(a,...,an−1)から基底B:=(b,...,bn−1)を処理装置により生成する。
(4)マスター鍵生成部110は、基底A:=(a ,...,a n−1)から基底B:=(b ,...,b n−1)を生成するための線形変換(X−1を線形変換Xから処理装置により生成する。
(5)マスター鍵生成部110は、生成した線形変換(X−1に基づき、基底Aから基底Bを処理装置により生成する。
(6)マスター鍵生成部110は、生成した基底Bをマスター秘密鍵skとし、生成した基底Bを含む(1λ,μ,V,V,G,A,A,q,B)をマスター公開鍵pkとする。そして、マスター鍵記憶部120は、マスター鍵生成部110が生成したマスター公開鍵pkとマスター秘密鍵skとを記憶装置に記憶する。
なお、双対ディストーションベクトル空間の次元数は、N(=n+2)であるとした。ここで、nは、階層情報μが有する階層構造をあらわすために割り当てられている基底数を表すnである。つまり、ここでは、階層構造をあらわすために割り当てられている基底数nに加え、2つの基底ベクトルが設けられている。もちろん、これよりも多くの基底ベクトルを設けてもよい。
図15に示すように、N(=n+2)個の基底ベクトルのうち、n個の基底ベクトルが階層構造をあらわすために割り当てられている。階層構造をあらわすために割り当てられている基底ベクトルの構造は、図5に示す構造と同様である。残り2つの基底ベクトルのうちの1つの基底ベクトル(n番目の基底ベクトル)は、セッション鍵を生成する情報(送信情報ρ)のための基底ベクトルである。残り2つの基底ベクトルのうちのもう1つの基底ベクトル(n+1番目の基底ベクトル)は、暗号文cをランダム化するための基底ベクトルである。
すなわち、(S301)において、マスター鍵生成部110は、数108に示すSetupアルゴリズムを実行して、マスター公開鍵pkとマスター秘密鍵skとを生成する。
Figure 0005349261
(S302:鍵ベクトルk 1,0生成ステップ)
鍵ベクトル生成部130は、マスター公開鍵pkとマスター秘密鍵skと、述語ベクトルv (v =(v,...,v)(i=μ−1))とに基づき、数109を計算して、第1層目(レベル1)の秘密鍵の先頭要素である鍵ベクトルk 1,0を処理装置により生成する。
Figure 0005349261
 つまり、(1)鍵ベクトル生成部130は、乱数σ1,0を処理装置により生成する。
(2)鍵ベクトル生成部130は、空間Vの基底Bにおける基底ベクトルb に対する係数として所定の値(ここでは、1)を処理装置により設定するとともに、基底ベクトルb (i=0,...,μ−1)に対する係数として生成した乱数σ1,0でランダム化した述語ベクトルv の各要素を処理装置により設定して、鍵ベクトルk 1,0を生成する。
(S303:鍵生成用ベクトルk 1,j生成ステップ)
鍵生成用ベクトル生成部140は、マスター公開鍵pkとマスター秘密鍵skと、述語ベクトルv とに基づき、数110を計算して、下位の秘密鍵(下位の鍵ベクトル)を生成するための鍵生成用ベクトルk 1,jを処理装置により生成する。鍵生成用ベクトルk 1,jは、第1層目の秘密鍵のj番目の要素である。
Figure 0005349261
 つまり、(1)鍵生成用ベクトル生成部140は、乱数σ1,j(j=μ,...,n−1)を処理装置により生成する。
(2)鍵生成用ベクトル生成部140は、j=μ,...,n−1の各jについて、空間Vの基底Bにおける基底ベクトルb に対する係数として所定の値(ここでは、1)を処理装置により設定するとともに、基底ベクトルb (i=0,...,μ−1)に対する係数として生成した乱数σ1,jでランダム化した述語ベクトルv の各要素を処理装置により設定して、鍵生成用ベクトルk 1,jを生成する。
すなわち、(S302)と(S303)とにおいて、鍵ベクトル生成部130と鍵生成用ベクトル生成部140とは、数111に示すGenKeyアルゴリズムを実行して、鍵ベクトルk 1,0と鍵生成用ベクトルk 1,jとを含む第1層目の秘密鍵(鍵情報k→* )を処理装置により生成する。
Figure 0005349261
(S304:鍵配布ステップ)
鍵配布部150は、マスター鍵生成部110が生成したマスター公開鍵と、鍵ベクトル生成部130と鍵生成用ベクトル生成部140とが生成した鍵情報k→* とを復号装置300へ通信装置を介して送信する。また、鍵配布部150は、マスター公開鍵を暗号化装置200へ通信装置を介して送信する。ここで、鍵情報k→* は秘密裡に復号装置300へ送信されるが、鍵情報k→* を秘密裡に復号装置300へ送信する方法に関しては、どのような方法であっても構わない。例えば、従来の暗号処理を使用して送信してもよい。
暗号化装置200の機能と動作とについて説明する。暗号化装置200は、送信情報設定部210、暗号ベクトル生成部220、データ送信部230、セッション鍵生成部240を備える。
(S401:送信情報設定ステップ)
送信情報設定部210は、マスター公開鍵pkに基づき、数112を処理装置により計算して送信情報ベクトルρvを生成する。
Figure 0005349261
 つまり、送信情報設定部210は、マスター公開鍵pkに含まれる基底Bの基底ベクトルbに対する係数として送信情報ρ(ここでは、乱数)を処理装置により設定して、送信情報ベクトルρvを生成する。
(S402:暗号ベクトル生成ステップ)
暗号ベクトル生成部220は、マスター公開鍵pkとx から属性ベクトルx (x (i=1,...,L)(=(x,...,x)(i=μ−1)))とに基づき、数113を処理装置により計算して暗号ベクトルcを生成する。ここで、Lは、階層の深さである。
Figure 0005349261
 つまり、(1)暗号ベクトル生成部220は、乱数x (i=L+1,...,d)と、乱数δ(i=1,...,d,n+1)を処理装置により生成する。
(2)暗号ベクトル生成部220は、以下のように、マスター公開鍵pkに含まれる基底Bの基底ベクトルb(i=0,...,μ−1)に対する係数として属性ベクトルの各要素を処理装置により設定するとともに、基底ベクトルb(i=μ,...,n−1)に対する係数として乱数を処理装置により設定して属性情報ベクトルxvを生成する。
まず、暗号ベクトル生成部220は、基底ベクトルb(i=0,...,μ−1)に対する係数として乱数δでランダム化した属性ベクトルx を設定する。また、暗号ベクトル生成部220は、基底ベクトルb(i=μ,...,μ−1)に対する係数として乱数δでランダム化した属性ベクトルx (x =(x,...,x)(i=μ,j=μ−1))を設定する。以下同様に、暗号ベクトル生成部220は、基底ベクトルb(i=μk−1,...,μ−1)(k=3,...,L)に対する係数として乱数δでランダム化した属性ベクトルx (x =(x,...,x)(i=μj−1,j=μ−1))を設定する。
また、暗号ベクトル生成部220は、基底ベクトルb(i=μ,...,n−1)に対する係数として乱数x (i=L+1,...,d)と乱数δ(i=L+1,...,d)とから計算した乱数値を設定する。
(3)暗号ベクトル生成部220は、マスター公開鍵pkに含まれる基底Bの基底ベクトルbn+1に対する係数として乱数δn+1を処理装置により設定して、乱数ベクトルrvを生成する。
(4)暗号ベクトル生成部220は、生成した属性情報ベクトルxvと乱数ベクトルrvとを、送信情報設定部210が生成した送信情報ベクトルρvに加算して暗号ベクトルcを処理装置により生成する。
(S403:データ送信ステップ)
データ送信部230は、暗号ベクトル生成部220が生成した暗号ベクトルcを復号装置300へ通信装置を介して送信する。
(S404:セッション鍵生成ステップ)
セッション鍵生成部240は、数114を処理装置により計算してセッション鍵Kを生成する。
Figure 0005349261
すなわち、暗号化装置200は、数115に示すEncアルゴリズムを実行して、暗号ベクトルcと、セッション鍵Kとを生成する。
Figure 0005349261
復号装置300の機能と動作とについて説明する。復号装置300は、ベクトル入力部310、鍵ベクトル記憶部320、ペアリング演算部330を備える。
(S501:ベクトル入力ステップ)
ベクトル入力部310は、暗号化装置200のデータ送信部230が送信した暗号ベクトルcを通信装置を介して受信して入力する。
(S502:ペアリング演算ステップ)
ペアリング演算部330は、マスター公開鍵pkと第L層目の秘密鍵の先頭要素である鍵ベクトルk L,0とに基づき、数116を処理装置により計算してセッション鍵K’(=K)を生成する。
Figure 0005349261
 つまり、ペアリング演算部330は、ベクトル入力部310が入力した暗号ベクトルcと、鍵ベクトル記憶部320が記憶装置に記憶した鍵ベクトルk L,0とについて、マスター公開鍵pkに含まれる空間Vと空間Vとを関連付けるペアリング演算eを処理装置により行うことによりセッション鍵K’を計算する。なお、鍵ベクトル記憶部320は、鍵生成装置100又は上位の鍵委譲装置400から鍵ベクトルk L,0を配布された際、鍵ベクトルk L,0を記憶装置に記憶する。
このペアリング演算により、セッション鍵Kが計算できることについて詳しくは後述する。
つまり、復号装置300は、数117に示すDecアルゴリズムを実行して、セッション鍵K’を生成する。
Figure 0005349261
鍵委譲装置400の機能と動作とについて説明する。鍵委譲装置400は、鍵ベクトル取得部410、鍵ベクトル生成部420、鍵生成用ベクトル生成部430、鍵配布部440を備える。
(S601:鍵ベクトルk L,0取得ステップ)
鍵ベクトル取得部410は、第L層目の秘密鍵の先頭要素である鍵ベクトルk L,0と、第L層目の秘密鍵のj番目(j=μ,...,n−1)の要素である鍵生成用ベクトルk L,jとを含む第L層目の秘密鍵(鍵情報k→* )を通信装置を介して取得する。つまり、鍵生成装置100が配布した鍵ベクトルk 1,0と鍵生成用ベクトルk 1,jとを含む鍵情報k→* 、又は、上位の鍵委譲装置400が配布した鍵ベクトルk L,0と鍵生成用ベクトルk L,jとを含む鍵情報k→* を通信装置を介して取得する。
(S602:鍵ベクトルk L+1,0生成ステップ)
鍵ベクトル生成部420は、マスター公開鍵pkと鍵情報k→* と述語ベクトルv L+1(v L+1=(v,...,v)(i=μ,j=μL+1−1))とに基づき、数118を計算して、第L+1層目の秘密鍵の先頭要素である鍵ベクトルk L+1,0を処理装置により生成する。
Figure 0005349261
 つまり、(1)鍵ベクトル生成部420は、乱数σL+1,0を処理装置により生成する。
(2)鍵ベクトル生成部420は、鍵生成用ベクトルk L,i(i=μ,...,μL+1−1)に対する係数に乱数σL+1,0でランダム化した述語ベクトルv L+1の各要素を設定したベクトルv(i=μ,...,μL+1−1)を、鍵ベクトルk L,0に加算して鍵ベクトルk L+1,0を処理装置により生成する。
(S603:鍵生成用ベクトルk L+1,j生成ステップ)
鍵生成用ベクトル生成部430は、マスター公開鍵pkと鍵情報k→* と述語ベクトルv L+1とに基づき、数119を計算して、下位の秘密鍵(下位の鍵ベクトル)を生成するための鍵生成用ベクトルk L+1,j(j=μ+1,...,n−1)を処理装置により生成する。鍵生成用ベクトルk L+1,jは、第L+1層目の秘密鍵のj番目の要素である。
Figure 0005349261
 つまり、(1)鍵生成用ベクトル生成部430は、乱数σL+1,j(j=μL+1,...,n−1)を処理装置により生成する。
(2)鍵生成用ベクトル生成部140は、j=μL+1,...,n−1の各jについて、鍵生成用ベクトルk L,jに、鍵生成用ベクトルk L,i(i=μ,...,μL+1−1)に対する係数として乱数σL+1,jでランダム化した述語ベクトルv L+1の各要素を設定したベクトルを加算して、鍵ベクトルk L+1,0の下位の鍵ベクトルを生成するための鍵生成用ベクトルk L+1,jを処理装置により生成する。
すなわち、(S602)と(S603)とにおいて、鍵ベクトル生成部420と鍵生成用ベクトル生成部430とは、数120に示すDelegateアルゴリズムを実行して、鍵ベクトルk L+1,0と鍵生成用ベクトルk L+1,jとを含む第L+1層目の秘密鍵(鍵情報k→* L+1)を処理装置により生成する。
Figure 0005349261
 つまり、数120に示す鍵情報k→* L+1のうち、先頭(1番目)の要素k L,0が復号鍵L+1となる鍵ベクトルk L+1,0である。また、数120に示す鍵情報k→* L+1のうち、2番目以降の要素が鍵委譲のためのタグである。
(S604:鍵配布ステップ)
鍵配布部440は、鍵ベクトル生成部420と鍵生成用ベクトル生成部430とが生成した鍵情報k→* L+1とを下位の復号装置300へ通信装置を介して送信する。ここで、鍵情報k→* L+1は秘密裡に復号装置300へ送信されるが、鍵情報k→* L+1を秘密裡に復号装置300へ送信する方法に関しては、どのような方法であっても構わない。例えば、従来の暗号処理を使用して送信してもよい。
図16は、(S502)におけるペアリング演算を説明するための図である。
図16に基づき、(S502)において、ペアリング演算部330が上記数116に示すペアリング演算によりセッション鍵K(=K’)を抽出できることを説明する。なお、図16では、簡単のため、乱数σと乱数δとの添え字を省略して示している。
上述したように、第L階層における暗号文cは、基底ベクトルb(i=0,...,μ−1)に対する係数としてランダム化した属性ベクトルが設定されている。また、暗号文cは、基底ベクトルb(i=μ,...,n−1)に対する係数として乱数xが設定されている。また、暗号文cは、基底ベクトルbに対する係数としてρが設定されている。さらに、暗号文cは、基底ベクトルbn+1に対する係数として乱数δが設定されている。
一方、第L階層における鍵ベクトルk L,0は、基底ベクトルb (i=0,...,μ−1)に対する係数としてランダム化した述語ベクトルが設定されている。また、鍵ベクトルk L,0は、基底ベクトルb (i=μ,...,n−1)に対する係数は設定されていない、つまり、係数として0が設定されている。また、鍵ベクトルk L,0は、基底ベクトルb に対する係数として1が設定されている。さらに、鍵ベクトルk L,0は、基底ベクトルbn+1に対する係数として0が設定されている。
ここで、数116に示すペアリング演算を行うと、鍵ベクトルk L,0において、係数として0が設定されている基底ベクトルb (i=μ,...,n−1,n+1)と、対応する暗号文cの基底ベクトルb(i=μ,...,n−1,n+1)との内積は0になる。
また、暗号文cにおいて係数として属性ベクトルが設定された基底ベクトルb(i=0,...,μ−1)と、鍵ベクトルk L,0において係数として述語ベクトルが設定された基底ベクトルb (i=0,...,μ−1)との内積は0となる。属性ベクトルと述語ベクトルとは内積が0となるように設定されたものであるためである。
したがって、数116に示すペアリング演算の結果e(ρb,b )のみが内積0とならずに残る。よって、e(ρb,b )=uρ=Kであり、数116に示すペアリング演算を計算することにより、セッション鍵Kを計算できる。
図17は、下位の鍵では、セッション鍵Kが計算できないことを説明するための図である。
図17に基づき、(S502)において、上位階層の属性ベクトルに基づき暗号化した暗号文cと、下位階層の鍵ベクトルk Lv,0とについて、ペアリング演算部330が上記数116に示すペアリング演算によりセッション鍵Kを抽出できないことを説明する。なお、図17では、簡単のため、乱数σと乱数δとの添え字を省略して示している。また、図17についての説明において、Lx(=L)<Lv(=L)である。
第L階層における暗号文cは、基底ベクトルb(i=0,...,μLx−1)に対する係数としてランダム化した属性ベクトルが設定されている。また、暗号文cは、基底ベクトルb(i=μLx,...,n−1)に対する係数として乱数xが設定されている。また、暗号文cは、基底ベクトルbに対する係数としてρが設定されている。さらに、暗号文cは、基底ベクトルbn+1に対する係数として乱数δが設定されている。
一方、第L階層における鍵ベクトルk Lv,0は、基底ベクトルb (i=0,...,μLv−1)に対する係数としてランダム化した述語ベクトルが設定されている。また、鍵ベクトルk Lv,0は、基底ベクトルb (i=μLv,...,n−1)に対する係数は設定されていない、つまり、係数として0が設定されている。また、鍵ベクトルk Lv,0は、基底ベクトルb に対する係数として1が設定されている。さらに、鍵ベクトルk Lv,0は、基底ベクトルbn+1に対する係数として0が設定されている。
ここで、数116に示すペアリング演算を行うと、鍵ベクトルk L,0において、係数として0が設定されている基底ベクトルb (i=μLv,...,n−1,n+1)と、対応する暗号文cの基底ベクトルb(i=μLv,...,n−1,n+1)との内積は0になる。
また、暗号文cにおいて係数として属性ベクトルが設定された基底ベクトルb(i=0,...,μLx−1)と、鍵ベクトルk L,0において係数として述語ベクトルが設定された基底ベクトルb (i=0,...,μLx−1)との内積は0となる。
しかし、暗号文cにおいて係数として乱数が設定された基底ベクトルb(i=μLx,...,μLv−1)と、鍵ベクトルk L,0において係数として述語ベクトルが設定された基底ベクトルb (i=μLx,...,μLv−1)との内積は0とならない。
したがって、e(ρb,b )以外にも値が残ってしまいセッション鍵Kを計算できない。
図18は、上位の鍵で、セッション鍵Kが計算できることを説明するための図である。
図18に基づき、(S502)において、下位階層の属性ベクトルに基づき暗号化した暗号文cと、上位階層の鍵ベクトルk Lv,0とについて、ペアリング演算部330が上記数116に示すペアリング演算によりセッション鍵Kを抽出できることを説明する。なお、図18では、簡単のため、乱数σと乱数δとの添え字を省略して示している。また、図20についての説明において、Lx(=L)>Lv(=L)である。
暗号文cと鍵ベクトルk Lv,0との各基底ベクトルに対する係数としては、図17の場合と同様に設定されている。但し、上記の通り、Lx(=L)>Lv(=L)である。
ここで、数116に示すペアリング演算を行うと、鍵ベクトルk L,0において、係数として0が設定されている基底ベクトルb (i=μLv,...,n−1,n+1)と、対応する暗号文cの基底ベクトルb(i=μLv,...,n−1,n+1)との内積は0になる。
また、暗号文cにおいて係数として属性ベクトルが設定された基底ベクトルb(i=0,...,μLv−1)と、鍵ベクトルk L,0において係数として述語ベクトルが設定された基底ベクトルb (i=0,...,μLv−1)との内積は0となる。
したがって、数116に示すペアリング演算の結果e(ρb,b )のみが内積0とならずに残る。よって、e(ρb,b )=uρ=Kであり、数116に示すペアリング演算を計算することにより、セッション鍵Kを計算できる。
なお、以上の説明から明らかなように、上記(S402)の(2)で、基底ベクトルb(i=μ,...,μj+1−1)(j=L+1,...,d)に対する係数としてでランダム化した乱数値を設定したのは、下位の鍵ベクトルに対する優位性を保つためである。つまり、鍵ベクトルk L,0であれば、暗号ベクトルcを復号できるが、鍵ベクトルk L,0よりも下位の鍵ベクトルでは暗号ベクトルcを復号することができないようにするためである。
以上のように、この実施の形態に係る暗号処理システム10は、実施の形態1で説明した概念に基づき、階層的述語鍵秘匿方式を実現することができる。
なお、上記説明において、鍵生成装置100は、第1層目の秘密鍵を生成した。つまり、鍵生成装置100は、(S302)でk 1,0を生成し、(S303)でk 1,j(j=μ,...,n−1)を生成した。
しかし、鍵生成装置100は、第1層目の鍵ではなく、第L層目(L≧2)の鍵を生成するとしてもよい。つまり、鍵生成装置100は、(S302)でk L,0を生成し、(S303)でk L,j(j=μ,...,n−1)を生成してもよい。
すなわち、(S302)で、鍵ベクトル生成部130は、マスター公開鍵pkとマスター秘密鍵skと、数121に示す述語ベクトル(v ,...,v )とに基づき、数122を計算して、第L層目(レベルL)の秘密鍵の先頭要素である鍵ベクトルk L,0を処理装置により生成する。
Figure 0005349261
Figure 0005349261
また、鍵生成用ベクトル生成部140は、マスター公開鍵pkとマスター秘密鍵skと、数121に示す述語ベクトル(v ,...,v )とに基づき、数123を計算して、下位の秘密鍵を生成するための鍵生成用ベクトルk 1,jを処理装置により生成する。
Figure 0005349261
つまり、(S302)と(S303)とにおいて、鍵ベクトル生成部130と鍵生成用ベクトル生成部140とは、数124に示すGenKeyアルゴリズムを実行して、鍵ベクトルk L,0と鍵生成用ベクトルk L,jとを含む第L層目の秘密鍵(鍵情報k→* )を処理装置により生成するとしてもよい。
Figure 0005349261
なお、以下の説明においても、鍵生成装置100は、GenKeyアルゴリズムによって、第1層目の秘密鍵を生成するものとして説明する。しかし、以下の説明においても、鍵生成装置100は、第L層目の秘密鍵を生成するとしてもよい。
また、以下のようにこの実施の形態に係る暗号処理システム10を変更することにより、暗号処理システム10は階層的述語暗号を実現することができる。
図19は、階層的述語暗号を実現する暗号処理システム10の機能を示す機能ブロック図である。図19に示す暗号処理システム10の鍵生成装置100と鍵委譲装置400とは、図10に示す暗号処理システム10の鍵生成装置100と鍵委譲装置400と同一である。図19に示す暗号処理システム10の暗号化装置200は、図10に示す暗号処理システム10の暗号化装置200が備えるセッション鍵生成部240を備えていない。図19に示す暗号処理システム10の復号装置300は、図10に示す暗号処理システム10の復号装置300が備える機能に加え、離散対数計算部340を備える。
図20は、図19に示す暗号化装置200の動作を示すフローチャートである。図21は、図19に示す復号装置300の動作を示すフローチャートである。なお、鍵生成装置100と鍵委譲装置400との動作は、図10に示す暗号処理システム10の鍵生成装置100と鍵委譲装置400との動作と同一であるため、説明を省略する。
(S701)で、暗号化装置200の送信情報設定部210は、(S401)での送信情報ρに代えて、平文情報mを基底ベクトルbに対する係数として処理装置により設定して、平文ベクトルmvを生成する。次に、(S702)で、暗号ベクトル生成部220は、(S402)と同様に属性情報ベクトルxvと乱数ベクトルrvとを生成する。そして、暗号ベクトル生成部220は、生成した属性情報ベクトルxvと乱数ベクトルrvとを、平文ベクトルmvに加算して暗号ベクトルcを処理装置により生成する。そして、(S703)で、データ送信部230は、(S402)と同様に生成した暗号ベクトルcを復号装置300へ通信装置を介して送信する。
(S801)で、復号装置300のベクトル入力部310は、(S501)と同様に暗号ベクトルcを通信装置を介して受信して入力する。(S802)で、ペアリング演算部330は、(S502)と同様に暗号ベクトルcと鍵ベクトルk L,0とについて、マスター公開鍵pkに含まれる空間Vと空間Vとを関連付けるペアリング演算eを処理装置により行う。そして、鍵ベクトル記憶部320は、平文情報mに関する情報f(=u)を取得する。(S803)で、離散対数計算部340は、fについて、uを底とする離散対数問題を解き、平文情報mを計算する。つまり、離散対数計算部340は、数125を計算する。
Figure 0005349261
 ここで入力する平文情報mは、所定の小さな整数τよりも小さな数であるとする。つまり、0≦m<τである。これは、上述したように、復号装置300が平文情報mを計算する際、離散対数問題を解く必要があるためである。つまり、平文情報mを自由に設定できるようにしてしまうと、復号装置300が平文情報mを計算するために多くの時間が必要になるためである。そこで、平文情報mを所定の小さな整数τよりも小さな数に制限することで、例えば、平文情報mがとり得る全ての値を全探索で調べたとしても、短時間で平文情報mを計算することができる。
このように、平文情報mを小さな値に制限した場合であっても、多くの応用が可能であることは一般に知られている。
なお、上記説明では、平文情報mを1つの基底ベクトルbにのみ設定する例を説明した。しかし、以上の説明に基づけば、容易に複数の基底ベクトルに平文情報mを設定することも可能である。
また、上述した階層的述語鍵秘匿方式及び階層的述語暗号では、双対ディストーションベクトル空間であることの条件に含まれていたディストーション写像を利用していない。ディストーション写像については、暗号処理を実現するアルゴリズムでは使用せず、暗号処理の安全性を証明するために使用する。したがって、上述した階層的述語鍵秘匿方式及び階層的述語暗号は、ディストーション写像がない空間であっても成立するということができる。すなわち、上述した階層的述語鍵秘匿方式及び階層的述語暗号を実現する空間にディストーション写像があることは、必須ではない。
実施の形態3.
この実施の形態では、実施の形態2で説明した階層的述語鍵秘匿方式の安全性について説明する。
まず、この実施の形態では、階層的述語鍵秘匿方式の正当性を説明する。そして、実施の形態2で説明した階層的述語鍵秘匿方式がこの正当性の要件を満たすことを説明する。次に、階層的述語鍵秘匿方式についての「属性秘匿安全」を説明する。次に、安全性の基準としてCPA(Chosen Plaintext Attacks)に対する適応的属性秘匿について定義する。そして、実施の形態2で説明した階層的述語鍵秘匿方式は、CPAに対する適応的属性秘匿の要件を満たす。
<階層的述語鍵秘匿方式の正当性>
階層的述語鍵秘匿方式は数126に示す要件を満たすことが必要である。
Figure 0005349261
<実施の形態2で説明した階層的述語鍵秘匿方式の正当性>
実施の形態2で説明した階層的述語鍵秘匿方式が上述した正当性の要件を満たすことを説明する。
以下の説明において、数127に示す表記を用いる。
Figure 0005349261
まず、以下の補題1が成立することを説明する。
(補題1)
Lを1≦L≦dとする。数128に示す第L層目の秘密鍵は、数129に示す式の係数φL,i,j∈Fの線形結合によって与えられる。
Figure 0005349261
Figure 0005349261
 (補題1が成立することの説明)
Lにおける帰納法を用いて説明する。
L=1に対して、数130であるから補題1は成立する。
Figure 0005349261
 L−1の場合に補題1が成立すると仮定する。つまり、数131である。
Figure 0005349261
 ここで、数132である。
Figure 0005349261
 これは、数129がk L,0に対して成立することを示す。同様に、数129はk L,i(i=μ,...,n−1)に対して成立することも言える。
(補題2)
実施の形態2で説明した階層的述語鍵秘匿方式が上述した正当性の要件を満たす。
(補題2が成立することの説明)
cを数133に示す属性ベクトルx Lxに対応する秘匿されたセッション鍵であるとする。基底BとB*との正規直交性、つまり数134と補題1とによって、復元されたセッション鍵K’は、数135となる。
Figure 0005349261
Figure 0005349261
Figure 0005349261
 そのため、数136となる。
Figure 0005349261
 ここで、数137である場合には、数138である。
Figure 0005349261
Figure 0005349261
 なぜなら、数135において数139はFにおいて一様にランダムであり、K’はGにおいて一様にランダムであるためである。
Figure 0005349261
 数140である場合、定義から数141であるjが存在する。
Figure 0005349261
Figure 0005349261
 そこで、L>Lの場合についてのみ考える。L>Lであるなら、cにおいて用いられた数142に示すベクトル(属性ではない)は、一様にランダムである。
Figure 0005349261
 さらに、数143に示す述語は非ゼロである。
Figure 0005349261
 そのため、無視し得る確率を除いて、数144である。
Figure 0005349261
<属性秘匿安全>
階層的述語鍵秘匿方式についての属性秘匿安全とは、暗号文(暗号ベクトル)を生成するために使用した属性ベクトルについての秘匿性が保たれることである。つまり、属性秘匿安全である階層的述語鍵秘匿方式において、攻撃者Aは、暗号文を取得した場合であっても、暗号文を生成するために使用した属性ベクトルについて、送信情報ρに関する情報(セッション鍵K)と同様に知ることができない。
述語鍵秘匿方式についての属性秘匿安全についての正確な定義は、非特許文献19に記載がある。なお、非特許文献19では、「階層的」という概念を考慮していない。そこで、「階層的」という概念、すなわち鍵委譲という処理を考慮するため、数145に示す(1)(2)の2つの場合も扱い、非特許文献19に記載された述語鍵秘匿方式についての属性秘匿安全についての定義を、階層的述語鍵秘匿方式を含むように一般化する。以下の説明において、ビットτは、上記2つの場合を切り替えるために使用される。
Figure 0005349261
<CPAに対する適応的属性秘匿の定義>
階層的属性Σにおける階層的述語Fについての階層的述語鍵秘匿方式がCPAに対して適応的属性秘匿であることの要件は、全ての確率的多項式時間の攻撃者Aについて、以下に示す実験(CPA適応的属性秘匿ゲーム)における攻撃者Aのアドバンテージがセキュリティパラメータにおいて無視し得ることである。
(実験:CPA適応的属性秘匿ゲーム)
1.Setupアルゴリズムが実行され、マスター公開鍵pkとマスター秘密鍵skが生成される。そして、マスター公開鍵pkが攻撃者Aに与えられる。
2.攻撃者Aは、数146に示すベクトルに対応する鍵を適応的に要求できる。
Figure 0005349261
 その要求に対する応答として、攻撃者Aは、数147に示す要求に対応する鍵が与えられる。
Figure 0005349261
 3.攻撃者Aは、数148の制限の下で数149を出力する。
Figure 0005349261
Figure 0005349261
 4.ランダムなビットθが選択される。また、数150が計算される。
Figure 0005349261
 そして、鍵K’は、数151に示すように、関連付けられたセッション鍵の空間からランダムに選択される。
Figure 0005349261
 5.攻撃者Aは、上記の制限の下、さらに数152に示すベクトルについての鍵を要求し続けることができる。
Figure 0005349261
 6.攻撃者Aはビットθ’を出力する。θ’=θであれば、成功である。
ここで、攻撃者Aのアドバンテージを数153として定義する。
Figure 0005349261
実施の形態2で説明した階層的述語鍵秘匿方式は、CPAに対する適応的属性秘匿の要件を満たす。
実施の形態4.
この実施の形態では、実施の形態2で説明した階層的述語鍵秘匿方式を応用した安全性の高い階層的述語暗号について説明する。ここで安全性が高いとは、後の実施の形態で説明するCCA(Chosen Ciphertext Attacks)に対する適応的属性秘匿の安全性を満たすという意味である。
まず、CCAに対する適応的属性秘匿の安全性を満たす階層的述語暗号を実現するための概念として、(1)安全なメッセージ認証、(2)安全な秘匿方式、(3)安全な共通鍵暗号、(4)安全な鍵生成関数の4つの概念を説明する。なお、(1)から(4)の4つの概念は、以下に説明するように先行技術文献に記載された概念であるため、ここでは簡単に説明する。
次に、上記4つの概念を用いて、CCAに対する適応的属性秘匿の安全性を満たす階層的述語暗号を実現する暗号処理システム10について説明する。
<(1)安全なメッセージ認証>
(Mac,Vrfy)を、ワンタイム選択メッセージ攻撃(one−time chosen−message atacks)に対して安全なメッセージ認証コードであるとする。なお、ワンタイム選択メッセージ攻撃に対して安全なメッセージ認証コードについての定義は、非特許文献7に記載されている。
(Mac,Vrfy)は、対をなす処理であり、それぞれ以下のように動作する。
Macは、データを暗号化して認証情報を生成する処理である。Mackey(x)は、データxに対して鍵keyにより暗号化する。つまり、y=Mackey(x)であれば、データyは、データxを鍵keyで暗号化したデータ(認証情報)である。
Vrfyは、Macによって生成された認証情報を検証する処理である。Vrfykey’(x’,y’)は、y=Mackey(x)であるとき、x=x’、y=y’、key=key’である場合に1を返し、x=x’、y=y’、key=key’のいずれか1つでも成立しない場合に0を返す処理である。
<(2)安全な秘匿方式>
(Setupenc,Senc,Renc)を、安全な秘匿方式であるとする。また、(Setupenc,Senc,Renc)とともに、後述する第1検証情報com、第2検証情報dec、第3検証情報rを用いる。なお、安全な秘匿方式についての定義は、非特許文献7に記載されている。
(Setupenc,Senc,Renc)は一体をなす処理であり、それぞれ以下のように動作する。
Setupencは、セキュリティパラメータ1を入力として、文字列pubをランダムに選択して出力する。
encは、1と文字列pubとを入力として、第1検証情報comと第2検証情報decとr∈{0,1}である第3検証情報rとをランダムに選択して出力する。
encは、文字列pubと第1検証情報comと第2検証情報decとを入力として、r∈{0,1}∪{⊥}である第3検証情報rを出力する。ここで、Rencは、Setupencが出力した文字列pubと、そのpubによってSencが出力した第1検証情報comと第2検証情報decとが入力された場合、r∈{0,1}である第3検証情報rを出力し、その他の情報が入力された場合r∈{⊥}である第3検証情報rを出力する。
<(3)安全な共通鍵暗号>
(SE,SD)を、安全な共通鍵暗号方式であるとする。なお、安全な共通鍵暗号方式についての定義は、非特許文献1に記載されている。
(SE、SD)は、対をなす処理であり、それぞれ以下のように動作する。
SEは、共通鍵を用いて暗号化する処理である。SEkey(x)は、データxを共通鍵keyにより暗号化する処理である。y=SEkey(x)であれば、データyは、データxを共通鍵keyにより暗号化したデータである。
SDは、共通鍵を用いて復号する処理である。SDkey(y)は、データyを共通鍵keyにより復号する処理である。つまり、y=SEkey(x)である場合に、x=SDkey(y)である。
<(4)安全な鍵生成関数>
KDFを、安全な鍵生成関数であるとする。なお、安全な鍵生成関数についての定義は、非特許文献1に記載されている。
KDF(x)は、データxに基づき鍵を生成する処理である。key=KDF(x)であれば、鍵keyはデータxに基づき生成された鍵である。
<CCAに対する適応的属性秘匿の安全性を満たす階層的述語暗号>
図22から図25と、図11と図14とに基づき、暗号処理システム10の機能と動作とについて説明する。
図22は、この実施の形態に係る暗号処理システム10の機能を示す機能ブロック図である。暗号処理システム10は、実施の形態2に係る暗号処理システム10と同様に、鍵生成装置100、暗号化装置200、復号装置300、鍵委譲装置400を備える。また、ここでも、復号装置300が鍵委譲装置400を備えるものとする。
図23は、暗号化装置200の動作を示すフローチャートである。図24は、復号装置300の動作を示すフローチャートである。なお、鍵生成装置100と鍵委譲装置400との動作の流れは、実施の形態2に係る鍵生成装置100と鍵委譲装置400との動作の流れと同一である。そのため、鍵生成装置100の動作については、図11に基づき説明する。また、鍵委譲装置400の動作については、図14に基づき説明する。
図25は、双対ディストーションベクトル空間の基底の構造を示す概念図である。
鍵生成装置100の機能と動作とについて説明する。鍵生成装置100の機能構成は、図10に示す実施の形態2に係る鍵生成装置100の機能構成と同一である。また、鍵生成装置100の動作の流れも、図11に示す実施の形態2に係る鍵生成装置100の動作の流れと同一である。そのため、図11に基づき鍵生成装置100の機能と動作を説明する。
(S301:マスター鍵生成ステップ)
マスター鍵生成部110は、数154を計算して、マスター公開鍵pkとマスター秘密鍵skとを処理装置により生成してマスター鍵記憶部120に記憶する。
Figure 0005349261
 なお、数154に示す(1)から(5)は、数107に示す(1)から(5)と同一である。但し、N=n+4である点で異なる。N=n+4であることに関しては後述する。(6)マスター鍵生成部110は、Setupencを処理装置により実行して文字列pubを生成する。(7)マスター鍵生成部110は、生成した基底Bをマスター秘密鍵skとし、生成した基底Bを含む(1λ,μ,V,V,G,A,A,q,B,pub)をマスター公開鍵pkとする。つまり、マスター公開鍵pkに文字列pubが含まれる点で、実施の形態2に係るマスター鍵生成部110が生成するマスター鍵と異なる。そして、マスター鍵記憶部120は、マスター鍵生成部110が生成したマスター公開鍵pkとマスター秘密鍵skと記憶装置に記憶する。
なお、双対ディストーションベクトル空間の次元数は、N(=n+4)であるとした。ここで、nは、階層情報μが有する階層構造をあらわすために割り当てられている基底数を表すnである。つまり、ここでは、階層構造をあらわすために割り当てられている基底数nに加え、4つの基底ベクトルが設けられている。もちろん、これよりも多くの基底ベクトルを設けてもよい。
図25に示すように、N(=n+4)個の基底ベクトルのうち、n個の基底ベクトルが階層構造をあらわすために割り当てられている。階層構造をあらわすために割り当てられている基底ベクトルの構造は、図5に示す構造と同様である。そして、残り4つの基底ベクトルのうちの1つの基底ベクトル(n番目の基底ベクトル)は、平文情報mのための基底ベクトルである。残り4つの基底ベクトルのうちの他の1つの基底ベクトル(n+1番目の基底ベクトル)は、暗号文cをランダム化するための基底ベクトルである。残り4つの基底ベクトルのうちの他の2つの基底ベクトル(n+2,n+3番目の基底ベクトル)は、検証情報(第1検証情報com)のための基底ベクトルである。
すなわち、(S301)において、マスター鍵生成部110は、数155に示すSetupアルゴリズムを実行して、マスター公開鍵pkとマスター秘密鍵skとを生成する。
Figure 0005349261
(S302:鍵ベクトルk 1,0生成ステップ)
実施の形態2と同様に、鍵ベクトル生成部130は、数156を計算して鍵ベクトルk 1,0を処理装置により生成する。
Figure 0005349261
(S303:鍵生成用ベクトルk 1,j生成ステップ)
実施の形態2と同様に、鍵生成用ベクトル生成部140は、数157を計算して鍵生成用ベクトルk 1,jを処理装置により生成する。
Figure 0005349261
 但し、鍵生成用ベクトル生成部140は、鍵生成用ベクトルk 1,j(j=μ,...,n−1,n+2,n+3)を生成する。つまり、鍵生成用ベクトル生成部140は、鍵生成用ベクトルk 1,n+2と、鍵生成用ベクトルk 1,n+3とを生成する点で図10に示す鍵生成用ベクトル生成部140と異なる。
すなわち、(S302)と(S303)とにおいて、鍵ベクトル生成部130と鍵生成用ベクトル生成部140とは、数158に示すGenKeyアルゴリズムを実行して、鍵ベクトルk 1,0と鍵生成用ベクトルk 1,jとを含む第1層目の秘密鍵(鍵情報k→* )を処理装置により生成する。
Figure 0005349261
(S304:鍵配布ステップ)
実施の形態2の鍵配布部150と同様に、鍵配布部150は、マスター鍵生成部110が生成したマスター公開鍵と、鍵ベクトル生成部130と鍵生成用ベクトル生成部140とが生成した鍵情報k→* とを復号装置300へ通信装置を介して送信する。また、鍵配布部150は、マスター公開鍵を暗号化装置200へ通信装置を介して送信する。
暗号化装置200の機能と動作とについて説明する。暗号化装置200は、図10に示す実施の形態2に係る暗号化装置200が備える機能に加え、検証情報生成部250、検証情報設定部260、署名情報生成部270(c2生成部、c3生成部、c4生成部)を備える。
(S901:検証情報生成ステップ)
検証情報生成部250は、数159を処理装置により計算して第1検証情報com、第2検証情報dec、第3検証情報rを生成する。
Figure 0005349261
 つまり、検証情報生成部250は、マスター公開鍵に含まれる文字列pubを入力として、Senc(1λ,pub)を処理装置により実行して、第1検証情報com、第2検証情報dec、第3検証情報rを生成する。
(S902:送信情報設定ステップ)
実施の形態2と同様に、送信情報設定部210は、数160を処理装置により計算して送信情報ベクトルρvを生成する。
Figure 0005349261
(S903:検証情報設定ステップ)
検証情報設定部260は、マスター公開鍵pkに基づき、数161を処理装置により計算して検証情報ベクトルcvを生成する。
Figure 0005349261
 つまり、(1)検証情報設定部260は、乱数δn+2を処理装置により生成する。
(2)検証情報設定部260は、マスター公開鍵pkに含まれる基底Bの基底ベクトルbn+2に対する係数として乱数δn+2でランダム化した所定の値(ここでは、1)を処理装置により設定するとともに、基底ベクトルbn+3に対する係数として乱数δn+2でランダム化した第1検証情報comを処理装置により設定して、検証情報ベクトルcvを生成する。
(S904:暗号ベクトル(データc1)生成ステップ)
暗号ベクトル生成部220は、マスター公開鍵pkと属性ベクトルx から属性ベクトルx (x (i=1,...,L)(=(x,...,x)(i=μ−1)))(Lは、階層の深さ)とに基づき、数162を処理装置により計算して暗号ベクトルcを生成する。
Figure 0005349261
 つまり、(1)実施の形態2と同様に、暗号ベクトル生成部220は、乱数x (i=L+1,...,d)と、乱数δ(i=1,...,d,n+1)を処理装置により生成する。
(2)実施の形態2と同様に、暗号ベクトル生成部220は、マスター公開鍵pkに含まれる基底Bの基底ベクトルb(i=0,...,μ−1)に対する係数として属性ベクトルの各要素を処理装置により設定するとともに、基底ベクトルb(i=μ,...,n−1)に対する係数として乱数を処理装置により設定して属性情報ベクトルxvを生成する。
(3)実施の形態2と同様に、暗号ベクトル生成部220は、マスター公開鍵pkに含まれる基底Bの基底ベクトルbn+1に対する係数として乱数を処理装置により設定して、乱数ベクトルrvを生成する。
(4)暗号ベクトル生成部220は、生成した属性情報ベクトルxvと乱数ベクトルrvと、送信情報設定部210が生成した送信情報ベクトルρvと、検証情報設定部260が生成した検証情報ベクトルcvとを加算して暗号ベクトルc(データc1)を処理装置により生成する。
(S905:セッション鍵生成ステップ)
セッション鍵生成部240は、数163を処理装置により計算してセッション鍵Kを生成する。
Figure 0005349261
(S906:データc2生成ステップ)
署名情報生成部270は、数164を処理装置により計算してデータc2を生成する。
Figure 0005349261
 つまり、署名情報生成部270は、セッション鍵KからKDFを処理装置により実行して、共通鍵を生成する。署名情報生成部270は、生成した共通鍵により、SEを処理装置により実行して、平文情報mと第2検証情報decとを暗号化してデータc2を生成する。
(S907:データc3生成ステップ)
署名情報生成部270は、第1検証情報comをデータc3とする。
(S908:データc4生成ステップ)
署名情報生成部270は、以下の数165を処理装置により計算してデータc4を生成する。
Figure 0005349261
 つまり、署名情報生成部270は、暗号ベクトル生成部220が生成したデータc1と署名情報生成部270が生成したデータc2とを、第3検証情報rに基づき処理装置により暗号化する。
(S909:データ送信ステップ)
データ送信部230は、暗号ベクトル生成部220が生成したデータc1と、署名情報生成部270が生成したデータc2,c3,c4とを復号装置300へ通信装置を介して送信する。
つまり、暗号化装置200は、数166に示すEncアルゴリズムを実行して、データc1,c2,c3,c4を生成する。
Figure 0005349261
復号装置300の機能と動作とについて説明する。復号装置300は、図10に示す実施の形態2に係る復号装置300が備える機能に加え、ベクトル変形部350、復号部360(c2復号部)、改ざん検証部370を備える。
(S1001:ベクトル入力ステップ)
実施の形態2と同様に、ベクトル入力部310は、暗号化装置200のデータ送信部230が送信したデータc1,c2,c3,c4を通信装置を介して受信して入力する。
(S1002:鍵ベクトル変形ステップ)
ベクトル変形部350は、数167を処理装置により計算して、鍵ベクトルk L,0を変形する。
Figure 0005349261
 つまり、ベクトル変形部350は、後のステップで実行するペアリング演算によって、暗号化装置200の検証情報生成部250が設定した検証情報comが消える(検証情報comを含む情報を設定した基底ベクトル(基底ベクトルbn+2,bn+3と基底ベクトルb n+2,b n+3)についての内積が0になる)ように第L層目の秘密鍵の先頭要素である鍵ベクトルk L,0をデータc3(検証情報com)により変形する。
(S1003:ペアリング演算ステップ)
ペアリング演算部330は、マスター公開鍵pkと変形後の鍵ベクトルk L,0とに基づき、数168を処理装置により計算してセッション鍵K’(=K)を生成する。
Figure 0005349261
 つまり、ペアリング演算部330は、ベクトル入力部310が入力したデータc1(暗号ベクトルc)と、(S1002)で変形した鍵ベクトルk L,0とについて、マスター公開鍵pkに含まれる空間Vと空間Vとを関連付けるペアリング演算eを処理装置により行うことによりセッション鍵K’を計算する。
なお、データc1が改ざんされていなければ、ベクトル変形部350が鍵ベクトルを変形したことにより、データc1に設定された検証情報comを含む情報(基底ベクトルbn+2,bn+3に設定された情報)は、ペアリング演算の結果消える。そのため、データc1が改ざんされていなければ、ペアリング演算部330は、暗号化装置200が生成したセッション鍵Kと同一のセッション鍵Kを生成することができる。
(S1004:c2復号ステップ)
復号部360は、数169を処理装置により計算してデータc2を復号する。
Figure 0005349261
 つまり、復号部360は、セッション鍵KからKDFを処理装置により実行して、共通鍵を生成する。復号部360は、生成した共通鍵により、SDを処理装置により実行して、平文情報m’(=m)と第2検証情報dec’(=dec)とを生成する。つまり、データc1が改ざんされておらず、正しくセッション鍵Kが生成されるとともに、データc2が改ざんされていなければ、暗号化装置200がデータc2に埋め込んだ平文mと第2検証情報decとが生成される。
(S1005:改ざん検証ステップ)
改ざん検証部370は、数170と数171とが成立するか否かを処理装置により判定してデータc1,c2,c3,c4が改ざんされていないことを検証する。すなわち、改ざん検証部370は、平文情報mが改ざんされていないことを検証する。
Figure 0005349261
Figure 0005349261
 つまり、(1)改ざん検証部370は、数170に示すように、マスター公開鍵pkに含まれる文字列pubと、暗号化装置200から受信したデータc3(第1検証情報com)と、生成した第2検証情報dec’とに基づき、Rencを処理装置により実行して、第3検証情報r’(=r)を生成する。データc3が改ざんされておらず、第2検証情報dec’が正しければ、暗号化装置200がSencを実行して生成した第3検証情報rが生成される。一方、データc3が改ざんされているか、あるいは第2検証情報dec’が正しくなければ、第3検証情報rではなく、識別情報⊥が生成される。つまり、改ざん検証部370は、識別情報⊥ではないデータが生成された場合、そのデータは暗号化装置200がSencを実行して生成した正しい第3検証情報rであると判定できる。
(2)改ざん検証部370は、数171に示すように、生成した第3検証情報r’と、暗号化装置200から受信したデータc1,c2,c4とに基づき、Vrfyを処理装置により実行する。第3検証情報r’が正しく、データc1,c2,c4が改ざんされていなければ、Vrfyの実行結果は1となる。一方、第3検証情報r’が正しくないか、あるいはデータc1,c2,c4のいずれかが改ざんされていれば、Vrfyの実行結果は0となる。
改ざん検証部370は、第3検証情報rが正しく生成されるとともに、Vrfyの実行結果が1であれば、生成した平文情報m’は暗号化装置200が送信した平文情報mであると判定する。平文情報m’が平文情報mであると判定した場合、改ざん検証部370は平文情報m’を出力する。一方、平文情報m’が平文情報mでないと判定した場合、改ざん検証部370は識別情報⊥を出力する。
つまり、復号装置300は、数172に示すDecアルゴリズムを実行して、平文情報m’又は識別情報⊥を生成する。
Figure 0005349261
鍵委譲装置400の機能と動作とについて説明する。鍵委譲装置400の機能構成は、図10に示す実施の形態2に係る鍵委譲装置400の機能構成と同一である。また、鍵委譲装置400の動作の流れも、図14に示す実施の形態2に係る鍵委譲装置400の動作の流れと同一である。そのため、図14に基づき鍵委譲装置400の機能と動作を説明する。
(S601:鍵ベクトルk L,0取得ステップ)
実施の形態2と同様に、鍵ベクトル取得部410は、第L層目の秘密鍵の先頭要素である鍵ベクトルk L,0と、第L層目の秘密鍵のj番目(j=μ,...,n−1)の要素である鍵生成用ベクトルk L,jとを含む第L層目の秘密鍵(鍵情報k→* )を通信装置を介して取得する。
(S602:鍵ベクトルk L,0生成ステップ)
実施の形態2と同様に、鍵ベクトル生成部420は、数173を計算して、第L+1層目の秘密鍵の先頭要素である鍵ベクトルk L+1,0を処理装置により生成する。
Figure 0005349261
(S603:鍵生成用ベクトルk L,j生成ステップ)
実施の形態2と同様に、鍵生成用ベクトル生成部430は、数174を計算して、鍵生成用ベクトルk L+1,jを処理装置により生成する。鍵生成用ベクトルk L+1,jは、第L+1層目の秘密鍵のj番目の要素である。
Figure 0005349261
 但し、鍵生成用ベクトル生成部430は、鍵生成用ベクトルk L+1,j(j=μ,...,n−1,n+2,n+3)を生成する。つまり、鍵生成用ベクトル生成部140は、鍵生成用ベクトルk L+1,n+2と、鍵生成用ベクトルk L+1,n+3とを生成する点で図10に示す鍵生成用ベクトル生成部140と異なる。
すなわち、(S602)と(S603)とにおいて、鍵ベクトル生成部420と鍵生成用ベクトル生成部430とは、数175に示すDelegateアルゴリズムを実行して、鍵ベクトルk L+1,0と鍵生成用ベクトルk L+1,jとを含む第L+1層目の秘密鍵(鍵情報k→* L+1)を処理装置により生成する。
Figure 0005349261
(S604:鍵配布ステップ)
実施の形態2と同様に、鍵配布部440は、鍵ベクトル生成部420と鍵生成用ベクトル生成部430とが生成した鍵情報k→* L+1を下位の復号装置300へ通信装置を介して送信する。
以上のように、この実施の形態に係る暗号処理システム10は、実施の形態2で説明した階層的述語鍵秘匿方式を応用して、階層的述語暗号を実現する。なお、この実施の形態で説明した階層的述語暗号は、CCAに対する適応的属性秘匿の安全性を満たす安全性の高い暗号方式である。
上述した階層的述語暗号は、実施の形態2で説明した階層的述語鍵秘匿方式に、非特許文献7に記載された方式を応用して構築した。しかし、以下のように、実施の形態2で説明した階層的述語鍵秘匿方式に、非特許文献11に記載された方式を応用して安全性の高い(CCAに対する適応的属性秘匿の安全性を満たす)階層的述語暗号を構築することもできる。ここでは、Setup、Genkey、Enc、Dec、Delegateの各アルゴリズムを簡単に説明をする。
実施の形態2で説明した階層的述語鍵秘匿方式に、非特許文献11に記載された方式を応用した暗号処理システム10では、安全なワンタイム署名方式を用いて階層的述語暗号を実現する。ここで、「安全な」とは、偽造することができないという意味である。安全なワンタイム署名方式の定義は、非特許文献11に記載されている。そこで、ここでは、簡単に説明する。
Sig:=(Gsig,Sign,Vrfy)を、安全なワンタイム署名方式であるとする。(Gsig,Sign,Vrfy)は、それぞれ以下のように動作する。
sig(1λ)は、Fの認証用の鍵(検証鍵vk,署名鍵sk)を出力する処理である。
Σ=Signsk(x)は、データxに対して署名鍵skで署名情報Σを生成する処理である。
Vrfyvk(x,Σ)は、署名情報Σがデータxに対して署名鍵skで生成された正しい署名情報である場合に1を返し、正しい署名情報でない場合に0を返す処理である。
数176にSetupアルゴリズムを示す。
Figure 0005349261
 数177にGenkeyアルゴリズムを示す。
Figure 0005349261
 数178にEncアルゴリズムを示す。
Figure 0005349261
 数179にDecアルゴリズムを示す。
Figure 0005349261
 数180にDelegateアルゴリズムを示す。
Figure 0005349261
また、上述したCCAに対する適応的属性秘匿の安全性を満たす階層的述語暗号のEncアルゴリズムにおける平文情報mを乱数rnに変更するとともに、Decアルゴリズムの出力をK’に変更することにより、階層的述語暗号を階層的述語鍵秘匿方式に変形することができる。
例えば、EncアルゴリズムとDecアルゴリズムとを数181、数182に示すようにすることで、実施の形態2で説明した階層的述語鍵秘匿方式に、非特許文献7に記載された方式を応用して構築した階層的述語暗号を階層的述語鍵秘匿方式に変更できる。
Figure 0005349261
Figure 0005349261
 なお、Setupアルゴリズム、GenKeyアルゴリズム、Delegateアルゴリズムは変更する必要はない。また、上記説明では、平文情報mに代えて乱数rnを用いたが、単にEncアルゴリズムにおける平文情報mをなくしても、つまりデータc2の計算にmを用いないようにしても階層的述語暗号を階層的述語鍵秘匿方式に変形することができる。
実施の形態2で説明した階層的述語鍵秘匿方式に、非特許文献11に記載された方式を応用した階層的述語暗号については、単純に、Encアルゴリズムで平文情報mに代えて送信情報ρを埋め込んだ暗号ベクトルcを生成して、Decアルゴリズムで送信情報ρに関する情報uρを抽出することで、容易に階層的述語鍵秘匿方式に変換することができる。
実施の形態5.
この実施の形態では、実施の形態4で説明した階層的述語暗号の安全性について説明する。
まず、この実施の形態では、階層的述語暗号の正当性を説明する。次に、安全性の基準としてCCA(Chosen Ciphertext Attacks)に対する適応的属性秘匿について定義する。そして、実施の形態4で説明した階層的述語暗号がCCAに対する適応的属性秘匿の要件を満たすことを説明する。
<階層的述語暗号の正当性>
階層的述語暗号は数183に示す要件を満たすことが必要である。
Figure 0005349261
 なお、DeriveLv(ここで、LvはLである)は、上述した通り、GenKeyとDelegateとを用いて定義される。
<CCAに対する適応的属性秘匿の定義>
階層的属性Σにおける階層的述語Fについての階層的述語暗号がCCAに対して適応的属性秘匿であることの要件は、全ての確率的多項式時間の攻撃者Aについて、以下に示す実験(CCA適応的属性秘匿ゲーム)における攻撃者Aのアドバンテージがセキュリティパラメータにおいて無視し得ることである。
(実験:CCA適応的属性秘匿ゲーム)
1.Setupアルゴリズムが実行され、マスター公開鍵pkとマスター秘密鍵skが生成される。そして、マスター公開鍵pkが攻撃者Aに与えられる。
2.攻撃者Aは、数184に示すベクトルに対応する鍵を適応的に要求できる。
Figure 0005349261
 その要求に対する応答として、攻撃者Aは、数185に示す要求に対応する鍵が与えられる。
Figure 0005349261
 3.攻撃者は、暗号文cと数186に示す属性ベクトルにより問い合わせを行い、その属性ベクトルに関して暗号文cの復号を適応的に要求することができる。
Figure 0005349261
 その要求に対する応答として、攻撃者Aは、数187に示す平文情報m’が与えられる。
Figure 0005349261
 4.攻撃者Aは、数188の制限の下で数189を出力する。
Figure 0005349261
Figure 0005349261
 5.ランダムなビットθが選択される。そして、攻撃者Aは、数190に示すcθが与えられる。
Figure 0005349261
 6.攻撃者Aは、さらに上記の制限の下、数191に示すベクトルについての鍵を要求し続けることができる。
Figure 0005349261
 7.攻撃者Aは、暗号文cと数192に示す属性ベクトルにより問い合わせを行い、その属性ベクトルに関連した暗号文cの復号を適応的に要求することができる。
Figure 0005349261
 8.攻撃者Aはビットθ’を出力する。θ’=θであれば、成功である。
ここで、攻撃者Aのアドバンテージを数193として定義する。
Figure 0005349261
<実施の形態4で説明した階層的述語暗号の安全性>
実施の形態4で説明した非特許文献7に記載された方式を応用した階層的述語暗号が、CCAに対する適応的属性秘匿の要件を満たすことを説明する。
なお、ここでの説明は、非特許文献7に記載された証明に基づくものである。したがって、ここでは、CCAに対する適応的属性秘匿の要件を満たすことの概要を説明する。
上述したCCA適応的属性秘匿ゲームにおいて、階層的述語暗号を攻撃する攻撃者Aが与えられる。上述したCPA適応的属性秘匿ゲームにおいて、(n+2)次元の内積述語の階層的述語暗号に対して攻撃する攻撃者A’を構築する。ここで、Setup,GenKey,Delegateアルゴリズムは、上述した階層的述語暗号(つまり、内積述語に対する(n+2)次元の部分空間は、階層的述語鍵秘匿方式についての階層情報μ HPKEMを除き、<b,...,bn−1,bn+2,bn+3>)と同一である。階層的述語鍵秘匿方式についての階層情報μ HPKEMは、μ HPKEM:=(n,d;μ,...,μ,μ+2)でありd+1レベルである。一方、階層的述語暗号についての階層情報μ HPEは、μ HPE:=(n,d;μ,...,μ)でありdレベルである。
攻撃者A’は以下のように定義される。
1.階層的述語鍵秘匿方式の公開鍵pkHPKEM:=(μ HPKEM,V,V,GT,A,A,q,B)が攻撃者A’に与えられる。攻撃者A’(1λ)は、Setupenc(1λ)を実行してpubを生成する。また、階層的述語暗号の公開鍵pk:=(pkHPKEM,pub)を設定して、攻撃者Aに与える。
2.攻撃者Aが数194に示すベクトルを鍵問い合わせオラクル(CCAに対する適応的属性秘匿の定義参照)へ送信したなら、攻撃者A’は、数194に示すベクトルを鍵問い合わせオラクル(CPAに対する適応的属性秘匿の定義参照)へ送信する。そして、攻撃者Aへ応答が返る。
Figure 0005349261
 3.攻撃者Aが属性ベクトル(x ,...,x )とともに暗号文(c,c,c,c)を復号オラクルへ送信したなら、攻撃者A’は以下の(1)から(3)の処理を行う。
(1)攻撃者A’は、数195に示す述語ベクトルを計算する。
Figure 0005349261
 (2)攻撃者A’は数196に示すベクトル(d+1レベル)を鍵問い合わせオラクル(CPAに対する適応的属性秘匿の定義参照)へ送信して、k d+1,0が応答として返る。
Figure 0005349261
 (3)攻撃者A’は、数197を設定する。
Figure 0005349261
 また、攻撃者A’は、Dec(k L,0,k L,n+2,k L,n+3,(c,c,c,c))を計算する。ここで、Dec(k L,0,k L,n+2,k L,n+3,(c,c,c,c))は、階層的述語暗号におけるDecアルゴリズムである。また、Dec(k L,0,k L,n+2,k L,n+3,(c,c,c,c))の計算においては、k L,0,k L,n+2,k L,n+3から計算される値に代えて数198の値を直接的に用いる。そして、結果を攻撃者Aへ返す。
Figure 0005349261
 4.攻撃者Aが数199を出力したなら、攻撃者A’は、数200に示すようにθを選択する。
Figure 0005349261
Figure 0005349261
 また、攻撃者A’は、数201を計算する。ここで、数201に示すEncアルゴリズムは、階層的述語暗号におけるEncアルゴリズムである。そして、攻撃者A’は、(c(θ) ,c(θ) ,c(θ) ,c(θ) )を攻撃者Aへ返す。
Figure 0005349261
 5.攻撃者Aが数202に示すベクトルを鍵問い合わせオラクル(CCAに対する適応的属性秘匿の定義参照)へ送信した場合、攻撃者A’は、ステップ2と同じ処理を実行する。
Figure 0005349261
 6.攻撃者Aが属性ベクトル(x ,...,x )とともに暗号文(c,c,c,c)を復号オラクルへ送信したなら、攻撃者A’は以下の(1)(2)の処理を行う。
(1)c=c(θ) である場合、攻撃者A’は識別情報⊥を返す。
(2)c≠c(θ) である場合、攻撃者A’はステップ3と同じ処理を実行する。
7.最後に、攻撃者Aは予想したθ’を出力する。攻撃者A’は同じ予想を出力する。
そして、非特許文献7に記載された方法と同様に、数203を示すことができる。
Figure 0005349261
実施の形態6.
この実施の形態では、以上の実施の形態で説明した暗号処理よりも安全性が高くなるように変更した暗号処理について説明する。なお、この実施の形態では、実施の形態2で説明した暗号処理と同様に、CPAに対する適応的属性秘匿の安全性を満たす暗号処理であって、安全性が高くなるように変更した暗号処理について説明する。そして、後の実施の形態において、実施の形態4と同様に、CCAに対する適応的属性秘匿の安全性を満たす暗号処理であって、安全性が高くなるように変更した暗号処理について説明する。
まず、安全性が高くなるようにするために用いる「nコピーベクトル空間」という概念を説明する。そして、nコピーベクトル空間に基づき、安全性が高くなるように変更した暗号処理について説明する。ここでは、階層的述語暗号について説明するが、階層的述語鍵秘匿方式を実現することも可能である。
なお、この実施の形態に係る階層的述語暗号では、nコピーベクトル空間や、上記実施の形態に係る階層的述語暗号では用いていない複数の乱数を用いる。
<nコピーベクトル空間>
上記実施の形態では、空間Vにおける標準基底Aから生成した基底Bと、空間Vにおける標準基底Aから生成した基底Bとの1個の双対正規直交規定において暗号処理を実現した。ここでは、基底(B[0],...,B[n−1])と基底(B[0]*,...,B[n−1]*)とのn個の双対正規直交規定において暗号処理を実現する。
図26と図27とは、nコピーベクトル空間を説明するための図である。
図26に示すように、n個の双対ベクトル空間(V[0],...,V[n−1])と(V[0]*,...,V[n−1]*)とがある。そして、各空間(V[0],...,V[n−1])と(V[0]*,...,V[n−1]*)との標準基底(A[0],...,A[n−1])と(A[0]*,...,A[n−1]*)とがある。ここで、各基底A[t](t=0,...,n−1)とA[t]*(t=0,...,n−1)とは双対正規直交基底である。つまり、基底A[0]とA[0]*とは双対正規直交基底であり、基底A[1]とA[1]*とは双対正規直交基底であり、・・・、基底A[n−1]とA[n−1]*とは双対正規直交基底である。また、標準基底(A[0],...,A[n−1])と(A[0]*,...,A[n−1]*)とから基底(B[0],...,B[n−1])と基底(B[0]*,...,B[n−1]*)とを生成する。ここで、標準基底(A[0],...,A[n−1])から基底(B[0],...,B[n−1])を生成するには、線形変換X[t](t=0,...,n−1)を用いる。一方、標準基底(A[0]*,...,A[n−1]*)から基底(B[0]*,...,B[n−1]*)とを生成するには、線形変換X[t](t=0,...,n−1)から生成された((X[t]−1(t=0,...,n−1)を用いる。その結果、各基底B[t](t=0,...,n−1)とB[t]*(t=0,...,n−1)とは双対正規直交基底である。つまり、基底B[0]とB[0]*とは双対正規直交基底であり、基底B[1]とB[1]*とは双対正規直交基底であり、・・・、基底B[n−1]とB[n−1]*とは双対正規直交基底である。
なお、ここでは、図27に示すように、1つの双対空間VとVとの標準基底AとAとから、それぞれn個の基底(B[0],...,B[n−1])と基底(B[0]*,...,B[n−1]*)とを生成して、暗号処理を実現する。このように、それぞれn個の基底(B[0],...,B[n−1])と基底(B[0]*,...,B[n−1]*)とを生成しても、各基底B[t](t=0,...,n−1)とB[t]*(t=0,...,n−1)とは双対正規直交基底である。
<暗号処理>
上述したnコピーベクトル空間を用いた安全性の高い階層的述語暗号を実現する暗号処理システム10について説明する。
図28から図32に基づき、暗号処理システム10の機能と動作とについて説明する。
図28は、nコピーベクトル空間を用いた安全性の高い階層的述語暗号を実現する暗号処理システム10の機能を示す機能ブロック図である。暗号処理システム10は、実施の形態2に係る暗号処理システム10と同様に、鍵生成装置100、暗号化装置200、復号装置300、鍵委譲装置400を備える。また、ここでも、復号装置300が鍵委譲装置400を備えるものとする。
図29は、鍵生成装置100の動作を示すフローチャートである。図30は、暗号化装置200の動作を示すフローチャートである。図31は、復号装置300の動作を示すフローチャートである。図32は、鍵委譲装置400の動作を示すフローチャートである。
鍵生成装置100の機能と動作とについて説明する。鍵生成装置100の機能構成は、図19に示す実施の形態2に係る鍵生成装置100の機能構成と同一である。
(S1301:マスター鍵生成ステップ)
マスター鍵生成部110は、数204を計算して、マスター公開鍵pkとマスター秘密鍵skとを処理装置により生成してマスター鍵記憶部120に記憶する。
Figure 0005349261
 つまり、まず、(1)マスター鍵生成部110は、セキュリティパラメータ1λで、N(=n+2)次元の双対ディストーションベクトル空間(V,V,G,A,A,q)を処理装置により生成する。
次に、マスター鍵生成部110は、以下の(2)から(5)を各t(t=0,...,n−1)について実行する。
(2)マスター鍵生成部110は、標準基底A:=(a,...,an−1)から基底B[t]:=(b[t] ,...,b[t] n−1)を生成するための線形変換X[t]を処理装置によりランダムに選択する。
(3)マスター鍵生成部110は、選択した線形変換X[t]に基づき、基底Aから基底B[t]を処理装置により生成する。
(4)マスター鍵生成部110は、基底A:=(a ,...,a n−1)から基底B[t]*:=(b[t]* ,...,b[t]* n−1)を生成するための線形変換((X[t]−1を線形変換X[t]から処理装置により生成する。
(5)マスター鍵生成部110は、生成した線形変換((X[t]−1に基づき、基底Aから基底B[t]*を処理装置により生成する。
そして、(6)マスター鍵生成部110は、生成した線形変換X[t](t=0,...,n−1)と基底B[t]*(t=0,...,n−1)とをマスター秘密鍵skとし、生成した基底B[t](t=0,...,n−1)を含む(1λ,μ,V,V,G,A,A,q,B[0],...,B[n−1])をマスター公開鍵pkとする。そして、マスター鍵記憶部120は、マスター鍵生成部110が生成したマスター公開鍵pkとマスター秘密鍵skと記憶装置に記憶する。
なお、実施の形態2に係る暗号処理システム10と同様に、双対ディストーションベクトル空間の次元数は、N(=n+2)であるとした。つまり、双対ディストーションベクトル空間の基底ベクトルの構造は、図15に示す構造である。
すなわち、(S1301)において、マスター鍵生成部110は、数205に示すSetupアルゴリズムを実行して、マスター公開鍵pkとマスター秘密鍵skとを生成する。
Figure 0005349261
次に、鍵ベクトル生成部130と鍵生成用ベクトル生成部140とは、(S1302)と(S1303)とを各t(t=0,...,n−1)について実行する。
(S1302:鍵ベクトルk[t] * 1,0生成ステップ)
鍵ベクトル生成部130は、マスター公開鍵pkとマスター秘密鍵skと、述語ベクトルv とに基づき、数206を計算して、第1層目(レベル1)の秘密鍵の先頭要素である鍵ベクトルk[t]* 1,0を処理装置により生成する。
Figure 0005349261
 つまり、(1)鍵ベクトル生成部130は、乱数τと乱数σ1,0と乱数ζ[t] 1,0とを処理装置により生成する。
(2)鍵ベクトル生成部130は、基底B[t]*における基底ベクトルb[t]* に対する係数として乱数ζ[t] 1,0でランダム化した所定の値(ここでは、1)を処理装置により設定するとともに、基底ベクトルb[t]* (i=0,...,μ−1)に対する係数として乱数σ1,0でランダム化した述語ベクトルv の各要素を処理装置により設定し、全体を乱数τでランダム化した鍵ベクトルk[t]* 1,0を生成する。
(S1303:鍵生成用ベクトルk[t]* 1,j生成ステップ)
鍵生成用ベクトル生成部140は、マスター公開鍵pkとマスター秘密鍵skと、述語ベクトルv (v =(v,...,v)(i=μ−1))とに基づき、数207を計算して、下位の秘密鍵(下位の鍵ベクトル)を生成するための鍵生成用ベクトルk[t]* 1,jを処理装置により生成する。鍵生成用ベクトルk[t]* 1,jは、第1層目の秘密鍵のj番目の要素である。
Figure 0005349261
 つまり、(1)鍵生成用ベクトル生成部140は、乱数τと乱数σ1,j(j=1,μ,...,n−1)と乱数ζ[t] 1,j(j=1,μ,...,n−1)とを処理装置により生成する。
(2)鍵生成用ベクトル生成部140は、基底B[t]*における基底ベクトルb[t]* に対する係数として乱数ζ[t] 1,1でランダム化した所定の値(ここでは、1)を処理装置により設定するとともに、基底ベクトルb[t]* (i=0,...,μ−1)に対する係数として乱数σ1,1でランダム化した述語ベクトルv の各要素を処理装置により設定し、全体を乱数τでランダム化した鍵生成用ベクトルk[t]* 1,1を生成する。
(3)鍵生成用ベクトル生成部140は、j=μ,...,n−1の各jについて、基底B[t]*における基底ベクトルb[t]* に対する係数として所定の値(ここでは、1)を処理装置により設定し、基底ベクトルb[t]* (i=0,...,μ−1)に対する係数として乱数σ1,iでランダム化した述語ベクトルv の各要素を処理装置により設定し、基底ベクトルb[t]* に対する係数として乱数ζ[t] 1,jでランダム化した所定の値(ここでは、1)を設定して、全体を乱数τでランダム化した鍵生成用ベクトルk[t]* 1,jを生成する。
すなわち、(S1302)と(1S303)とにおいて、鍵ベクトル生成部130と鍵生成用ベクトル生成部140とは、数208に示すGenKeyアルゴリズムを実行して、鍵ベクトルk[t]* 1,0と鍵生成用ベクトルk[t]* 1,jとを含む第1層目の秘密鍵(鍵情報k→[t]* )を処理装置により生成する。
Figure 0005349261
(S1304:鍵配布ステップ)
鍵配布部150は、マスター鍵生成部110が生成したマスター公開鍵と、鍵ベクトル生成部130と鍵生成用ベクトル生成部140とが生成した鍵情報k→[t]* (t=0,...,n−1)とを復号装置300へ通信装置を介して送信する。また、鍵配布部150は、マスター公開鍵を暗号化装置200へ通信装置を介して送信する。
暗号化装置200の機能と動作とについて説明する。暗号化装置200の機能構成は、図19に示す実施の形態2に係る暗号化装置200の機能構成と同一である。
(S1401:平文情報設定ステップ)
送信情報設定部210は、マスター公開鍵pkに基づき、数209を処理装置により計算して平文情報ベクトルmv[t](t=0,...,n−1)を生成する。
Figure 0005349261
 つまり、送信情報設定部210は、各t(t=0,...,n−1)について、マスター公開鍵pkに含まれる基底B[t]の基底ベクトルb[t] に対する係数として平文情報mを処理装置により設定して、平文情報ベクトルmv[t]を生成する。
(S1402:暗号ベクトル生成ステップ)
暗号ベクトル生成部220は、マスター公開鍵pkと属性ベクトルx から属性ベクトルx(x (i=1,...,L)(=(x,...,x)(i=μ−1)))(Lは、階層の深さ)とに基づき、数210を処理装置により計算して暗号ベクトルc[t](t=0,...,n−1)を生成する。
Figure 0005349261
 つまり、(1)暗号ベクトル生成部220は、乱数x (i=L+1,...,d)と、乱数δ(i=1,...,d)と、乱数δ[t] n+1(t=0,...,n−1)とを処理装置により生成する。
(2)暗号ベクトル生成部220は、マスター公開鍵pkに含まれる基底B[t](t=0,...,n−1)の各基底B[t]について、属性ベクトルの各要素等を処理装置により設定して属性情報ベクトルxv[t]を生成する。
i=0,...,μ−1の各iについて、t=0,...,n−1の基底ベクトルb[t] に対する係数の合計がランダム化された属性ベクトルx となるように、基底ベクトルb[t] (t=0,...,n−1)に対する係数を設定する。ここでは、t=0,...,n−2の基底ベクトルb[t] に対する係数として乱数s[t] を設定して、t=n−1の基底ベクトルb[t] に対する係数で合計値がランダム化された属性ベクトルx となるように調整している。
また、i=μ,...,n−1については、基底ベクトルb[t] (t=0,...,n−1)に対する係数として乱数を設定する。
(3)暗号ベクトル生成部220は、基底B[t](t=0,...,n−1)の各基底B[t]について、マスター公開鍵pkに含まれる基底Bの基底ベクトルb[t] n+1に対する係数として乱数δ[t] n+1を処理装置により設定して、乱数ベクトルrv[t]を生成する。
(4)暗号ベクトル生成部220は、基底B[t](t=0,...,n−1)の各基底B[t]について、生成した属性情報ベクトルxv[t]と乱数ベクトルrv[t]とを、送信情報設定部210が生成した平文情報ベクトルmv[t]に加算して暗号ベクトルc[t]を処理装置により生成する。
(S1403:データ送信ステップ)
データ送信部230は、暗号ベクトル生成部220が生成した暗号ベクトルc[t]を復号装置300へ通信装置を介して送信する。
つまり、暗号化装置200は、数211に示すEncアルゴリズムを実行して、暗号ベクトルc[t]を生成する。
Figure 0005349261
復号装置300の機能と動作とについて説明する。復号装置300の機能構成は、図19に示す実施の形態2に係る復号装置300の機能構成と同一である。
(S1501:ベクトル入力ステップ)
ベクトル入力部310は、暗号化装置200のデータ送信部230が送信した暗号ベクトルc[t](t=0,...,n−1)を通信装置を介して受信して入力する。
(S1502:ペアリング演算ステップ)
ペアリング演算部330は、マスター公開鍵pkと第L層目の秘密鍵の先頭要素である鍵ベクトルk[t]* L,0(t=0,...,n−1)とに基づき、数212を処理装置により計算して平文情報mに関する情報fを生成する。
Figure 0005349261
 つまり、ペアリング演算部330は、ベクトル入力部310が入力した暗号ベクトルcと、鍵ベクトル記憶部320が記憶装置に記憶した鍵ベクトルk[t]* L,0とについて、マスター公開鍵pkに含まれる空間Vと空間Vとを関連付けるペアリング演算eを処理装置により行い情報fを生成する。
また、ペアリング演算部330は、マスター公開鍵pkと鍵ベクトルk*[t] L,0(t=0,...,n−1)とに基づき、数213を処理装置により計算して情報fから平文情報mを抽出するために用いる情報gを生成する。
Figure 0005349261
 つまり、ペアリング演算部330は、マスター公開鍵pkに含まれる基底B[t]の基底b[t] と、鍵ベクトル記憶部320が記憶装置に記憶した鍵ベクトルk[t]* L,0とについて、マスター公開鍵pkに含まれる空間Vと空間Vとを関連付けるペアリング演算eを処理装置により行い情報gを生成する。
(S1503:離散対数計算ステップ)
離散対数計算部340は、情報fについて、情報gを底とする離散対数問題を解き、平文情報mを計算する。つまり、離散対数計算部340は、数214を計算する。
Figure 0005349261
なお、実施の形態2で説明した階層的述語暗号を実現する暗号処理システム10と同様に、ここで入力する平文情報mは、所定の小さな整数τよりも小さな数であるとする。これは、上述したように、復号装置300が平文情報mを計算する際、離散対数問題を解く必要があるためである。また、実施の形態2で説明した階層的述語暗号を実現する暗号処理システム10と同様に、複数の基底ベクトルに平文情報mを設定することも可能である。
つまり、復号装置300は、数215に示すDecアルゴリズムを実行して、平文情報m’又は識別情報⊥を生成する。
Figure 0005349261
鍵委譲装置400の機能と動作とについて説明する。鍵委譲装置400の機能構成は、図19に示す実施の形態2に係る鍵委譲装置400の機能構成と同一である。
(S1601:鍵ベクトルk[t]* L,0取得ステップ)
鍵ベクトル取得部410は、各t(t=0,...,n−1)について、第L層目の秘密鍵の先頭要素である鍵ベクトルk[t]* L,0と、第L層目の秘密鍵のj番目(j=μ,...,n−1)の要素である鍵生成用ベクトルk[t]* L,jとを含む第L層目の秘密鍵(鍵情報k→[t]* )を通信装置を介して取得する。
鍵ベクトル生成部420と鍵生成用ベクトル生成部430とは、(S1602)と(S1603)とを各t(t=0,...,n−1)について実行する。
(S1602:鍵ベクトルk[t]* L,0生成ステップ)
鍵ベクトル生成部420は、マスター公開鍵pkと鍵情報k→[t]* と述語ベクトルv L+1(v L+1=(v,...,v)(i=μ,j=μL+1−1))とに基づき、数216を計算して、第L+1層目の秘密鍵の先頭要素である鍵ベクトルk[t]* L+1,0を処理装置により生成する。
Figure 0005349261
 つまり、(1)鍵ベクトル生成部420は、乱数τL+1,0と乱数ψL+1,0,i(i=0,...,L)と乱数σL+1,0とを処理装置により生成する。
(2)鍵ベクトル生成部420は、鍵生成用ベクトルk[t]* L,i(i=μ,...,μL+1−1)に対する係数として乱数σL+1,0でランダム化した述語ベクトルv L+1の各要素を設定したベクトルv(i=μ,...,μL+1−1)と、乱数ψL+1,0,0でランダム化した鍵ベクトルk[t]* L,0と、乱数ψL+1,0,i(i=1,...,L)でランダム化した鍵生成用ベクトルk[t]* L,i(i=1,...,L)とを、鍵ベクトルk[t]* L,0に加算して鍵ベクトルk[t]* L+1,0を処理装置により生成する。
(S1603:鍵生成用ベクトルk[t]* L,j生成ステップ)
鍵生成用ベクトル生成部430は、マスター公開鍵pkと鍵情報k→[t]* と述語ベクトルv L+1とに基づき、数217を計算して、下位の秘密鍵(下位の鍵ベクトル)を生成するための鍵生成用ベクトルk[t]* L+1,jを処理装置により生成する。鍵生成用ベクトルk[t]* L+1,jは、第L+1層目の秘密鍵のj番目の要素である。
Figure 0005349261
 つまり、(1)鍵生成用ベクトル生成部430は、乱数τL+1と乱数ψL+1,j,i(i=0,...,L)(j=1,...,L+1,μL+1,...,n−1)と乱数σL+1,j(j=μL+1,...,n−1)とを処理装置により生成する。
(2)鍵生成用ベクトル生成部140は、j=1,...,L+1,μL+1,...,n−1の各jについて、鍵生成用ベクトルk[t]* L,jに、鍵生成用ベクトルk[t]* L,i(i=μ,...,μL+1−1)に対する係数として乱数σL+1,jでランダム化した述語ベクトルv L+1の各要素を処理装置により設定したベクトルと、乱数ψL+1,j,0でランダム化した鍵ベクトルk[t]* L,0と、乱数ψL+1,j,i(i=1,...,L)でランダム化した鍵生成用ベクトルk[t]* L,iとを加算して、鍵ベクトルk[t]* L+1,0の下位の鍵ベクトルを生成するための鍵生成用ベクトルk[t]* L+1,jを生成する。
すなわち、(S1601)と(S1602)とにおいて、鍵ベクトル生成部420と鍵生成用ベクトル生成部430とは、数218に示すDelegateアルゴリズムを実行して、鍵ベクトルk[t]* L+1,0と鍵生成用ベクトルk[t]* L+1,jとを含む第L+1層目の秘密鍵(鍵情報k→[t]* L+1)を処理装置により生成する。
Figure 0005349261
(S1604:鍵配布ステップ)
鍵配布部440は、鍵ベクトル生成部420と鍵生成用ベクトル生成部430とが生成した鍵情報k→[t]* L+1とを下位の復号装置300へ通信装置を介して送信する。
(S1502)で計算するペアリング演算について補足説明する。
実施の形態2では、図16に基づき説明したように、属性ベクトルと述語ベクトルとの内積が0になることを利用して、暗号文cのうち基底ベクトルbに関する成分以外をペアリング演算により0にして、基底ベクトルbに関する成分を抽出した。同様に、この実施の形態でも(S1502)でペアリング演算を行うことにより、数219に示すように暗号文cのうち基底ベクトルbに関する成分が抽出される。数219は、ペアリング演算の説明のための式である。数219においては、簡単のため、乱数の添え字を簡略化している。
Figure 0005349261
以上のように、この実施の形態に係る暗号処理システム10は、CPAに対する適応的属性秘匿の安全性を満たす階層的述語暗号であって、安全性が高くなるように変更した階層的述語暗号を実現する。
なお、この実施の形態に係る暗号処理システム10も上記実施の形態に係る暗号処理システム10と同様に、容易に階層的述語鍵秘匿方式を実現することができる。
実施の形態7.
この実施の形態では、実施の形態6で説明したCPAに対する適応的属性秘匿の要件を満たす暗号処理に基づき構築したCCAに対する適応的属性秘匿の要件を満たす暗号処理について説明する。
実施の形態6で説明したnコピー空間を利用した階層的述語暗号に、非特許文献11に記載された方式を応用して、CCAに対する適応的属性秘匿の要件を満たすである階層的述語暗号を構築する。
なお、実施の形態4では、非特許文献7に記載された方式を応用した階層的述語暗号を主として説明し、非特許文献11に記載された方式を応用した階層的述語暗号は簡単に説明した。ここでは、非特許文献11に記載された方式を応用した階層的述語暗号を説明する。
図33から図35と、図29と図32とに基づき、暗号処理システム10の機能と動作とについて説明する。
図33は、この実施の形態に係る暗号処理システム10の機能を示す機能ブロック図である。暗号処理システム10は、実施の形態2に係る暗号処理システム10と同様に、鍵生成装置100、暗号化装置200、復号装置300、鍵委譲装置400を備える。また、ここでも、復号装置300が鍵委譲装置400を備えるものとする。
図34は、暗号化装置200の動作を示すフローチャートである。図35は、復号装置300の動作を示すフローチャートである。なお、鍵生成装置100と鍵委譲装置400との動作の流れは、実施の形態6に係る鍵生成装置100と鍵委譲装置400との動作の流れと同一である。そのため、鍵生成装置100の動作については、図29に基づき説明する。また、鍵委譲装置400の動作については、図32に基づき説明する。
なお、以下の説明において、Sig:=(Gsig,Sign,Vrfy)は、実施の形態4で説明した安全なワンタイム署名方式である。
鍵生成装置100の機能と動作とについて説明する。鍵生成装置100の機能構成は、図28に示す実施の形態6に係る鍵生成装置100の機能構成と同一である。また、鍵生成装置100の動作の流れは、図29に示す実施の形態6に係る鍵生成装置100の動作の流れと同一であるため、図29に基づき鍵生成装置100の機能と動作を説明する。
(S1301:マスター鍵生成ステップ)
実施の形態6と同様に、マスター鍵生成部110は、マスター公開鍵pkとマスター秘密鍵skとを処理装置により生成してマスター鍵記憶部120に記憶する。
なお、実施の形態4と同様に、双対ディストーションベクトル空間の次元数は、N(=n+4)であるとした。つまり、双対ディストーションベクトル空間の基底ベクトルの構造は、図25に示す構造である。
すなわち、(S1301)において、マスター鍵生成部110は、数220に示すSetupアルゴリズムを実行して、マスター公開鍵pkとマスター秘密鍵skとを生成する。
Figure 0005349261
次に、実施の形態6と同様に、鍵ベクトル生成部130と鍵生成用ベクトル生成部140とは、(S1302)と(S1303)とを各t(t=0,...,n−1)について実行する。
(S1302:鍵ベクトルk[t]* 1,0生成ステップ)
実施の形態6と同様に、鍵ベクトル生成部130は、数221を計算して、第1層目(レベル1)の秘密鍵の先頭要素である鍵ベクトルk[t]* 1,0を処理装置により生成する。
Figure 0005349261
(S1303:鍵生成用ベクトルk[t]* 1,j生成ステップ)
実施の形態6と同様に、鍵生成用ベクトル生成部140は、数222を計算して鍵生成用ベクトルk[t]* 1,jを処理装置により生成する。鍵生成用ベクトルk[t]* 1,jは、第1層目の秘密鍵のj番目の要素である。
Figure 0005349261
 但し、鍵生成用ベクトル生成部140は、鍵生成用ベクトルk[t]* 1,j(j=1,μ,...,n−1,n+2,n+3)を生成する。つまり、鍵生成用ベクトル生成部140は、鍵生成用ベクトルk[t]* 1,n+2と、鍵生成用ベクトルk[t]* 1,n+3とを生成する点で図28に示す鍵生成用ベクトル生成部140と異なる。
すなわち、(S1302)と(S1303)とにおいて、鍵ベクトル生成部130と鍵生成用ベクトル生成部140とは、数223に示すGenKeyアルゴリズムを実行して、鍵ベクトルk[t]* 1,0と鍵生成用ベクトルk[t]* 1,jとを含む第1層目の秘密鍵(鍵情報k→[t]* )を処理装置により生成する。
Figure 0005349261
(S1304:鍵配布ステップ)
実施の形態6と同様に、鍵配布部150は、マスター鍵生成部110が生成したマスター公開鍵と、鍵ベクトル生成部130と鍵生成用ベクトル生成部140とが生成した鍵情報k→[t]* (t=0,...,n−1)とを復号装置300へ通信装置を介して送信する。また、鍵配布部150は、マスター公開鍵を暗号化装置200へ通信装置を介して送信する。
暗号化装置200の機能と動作とについて説明する。暗号化装置200は、図28に示す実施の形態6に係る暗号化装置200の機能に加え、検証情報生成部250、検証情報設定部260、署名情報生成部270を備える。
(S1701:検証情報生成ステップ)
検証情報生成部250は、数224を処理装置により計算して検証鍵vk、署名鍵skを生成する。
Figure 0005349261
(S1702:平文情報設定ステップ)
実施の形態6と同様に、送信情報設定部210は、数225を処理装置により計算してマスター公開鍵pkに基づき、平文情報ベクトルmv[t](t=0,...,n−1)を処理装置により生成する。
Figure 0005349261
(S1703:検証情報設定ステップ)
検証情報設定部260は、マスター公開鍵pkに基づき、数226を処理装置により計算して検証情報ベクトルcv[t](t=0,...,n−1)を生成する。
Figure 0005349261
 つまり、(1)検証情報設定部260は、乱数δ[t] n+2(t=0,...,n−1)を処理装置により生成する。
(2)検証情報設定部260は、各t(t=0,...,n−1)に対して、マスター公開鍵pkに含まれる基底Bの基底ベクトルb[t] n+2に対する係数として乱数δ[t] n+2でランダム化した所定の値(ここでは、1)を処理装置により設定するとともに、基底ベクトルb[t] n+3に対する係数として乱数δ[t] n+2でランダム化した検証鍵vkを処理装置により設定して、検証情報ベクトルcv[t](t=0,...,n−1)を生成する。
(S1704:暗号ベクトル生成ステップ)
暗号ベクトル生成部220は、マスター公開鍵pkと属性ベクトルx から属性ベクトルx (x (i=1,...,L)(=(x,...,x)(i=μ−1)))(Lは、階層の深さ)とに基づき、数227を処理装置により計算して暗号ベクトルc[t](t=0,...,n−1)を生成する。
Figure 0005349261
 なお、数227に示す(1)から(3)は、数238に示す(1)から(3)と同一である。(4)暗号ベクトル生成部220は、基底B[t](t=0,...,n−1)の各基底B[t]について、生成した属性情報ベクトルxv[t]と乱数ベクトルrv[t]と、送信情報設定部210が生成した平文情報ベクトルmv[t]と、検証情報設定部260が生成した検証情報ベクトルcv[t]とを加算して暗号ベクトルc[t]を処理装置により生成する。
(S1705:署名情報生成ステップ)
署名情報生成部270は、数228を処理装置により計算して署名情報Σを生成する。
Figure 0005349261
 つまり、署名情報生成部270は、署名鍵skに基づきSignを処理装置により実行して、署名情報Σを生成する。
(S1706:データ送信ステップ)
データ送信部230は、暗号ベクトル生成部220が生成した暗号ベクトルc[t]と、検証情報生成部250が生成した検証鍵vkと、署名情報生成部270が生成した署名情報Σとを復号装置300へ通信装置を介して送信する。
つまり、暗号化装置200は、数229に示すEncアルゴリズムを実行して、暗号ベクトルc[t](t=0,...,n−1)と検証鍵vkと署名情報Σとを生成する。
Figure 0005349261
復号装置300の機能と動作とについて説明する。復号装置300は、図28に示す実施の形態6に係る復号装置300が備える機能に加え、改ざん検証部370を備える。
(S1801:ベクトル入力ステップ)
ベクトル入力部310は、暗号化装置200のデータ送信部230が送信した暗号ベクトルc[t](t=0,...,n−1)と検証鍵vkと署名情報Σとを通信装置を介して受信して入力する。
(S1802:署名検証ステップ)
改ざん検証部370は、数230が成立するか否かを処理装置により判定する。
Figure 0005349261
 つまり、改ざん検証部370は、署名情報Σについて検証鍵vkによってVrfyを実行することにより検証を行う。
(S1803:鍵ベクトル変形ステップ)
ベクトル変形部350は、数231を処理装置により計算して、鍵ベクトルk[t]* L,0を変形する。
Figure 0005349261
 つまり、ベクトル変形部350は、後のステップで実行するペアリング演算によって、暗号化装置200の検証情報生成部250が設定した検証鍵vkが消える(検証鍵vkを含む情報を設定した基底ベクトルの係数が0になる)ように鍵ベクトルを検証鍵vkにより変形する。
(S1804:ペアリング演算ステップ)
ペアリング演算部330は、数232を計算して、マスター公開鍵pkと変形後の鍵ベクトルk[t]* L,0(t=0,...,n−1)とに基づき、平文情報mに関する情報fを生成する。
Figure 0005349261
 また、ペアリング演算部330は、数233を計算して、マスター公開鍵pkと変形後の鍵ベクトルk[t]* L,0(t=0,...,n−1)とに基づき、情報fから平文情報mを抽出するために用いる情報gを生成する。
Figure 0005349261
(S1805:離散対数計算ステップ)
実施の形態6と同様に、離散対数計算部340は、情報fについて、情報gを底とする離散対数問題を解き、平文情報mを計算する。つまり、離散対数計算部340は、数234を計算する。
Figure 0005349261
なお、実施の形態2で説明した階層的述語暗号を実現する暗号処理システム10と同様に、ここで入力する平文情報mは、所定の小さな整数τよりも小さな数であるとする。これは、上述したように、復号装置300が平文情報mを計算する際、離散対数問題を解く必要があるためである。また、実施の形態2で説明した階層的述語暗号を実現する暗号処理システム10と同様に、複数の基底ベクトルに平文情報mを設定することも可能である。
つまり、復号装置300は、数235に示すDecアルゴリズムを実行して、平文情報m’又は識別情報⊥を生成する。
Figure 0005349261
鍵委譲装置400の機能と動作とについて説明する。鍵委譲装置400の機能構成は、図28に示す実施の形態6に係る鍵委譲装置400の機能構成と同一である。また、鍵委譲装置400の動作の流れも、図32に示す実施の形態2に係る鍵委譲装置400の動作の流れと同一であるため、図32に基づき鍵委譲装置400の機能と動作を説明する。
(S1601:鍵ベクトルk[t]* L,0取得ステップ)
実施の形態6と同様に、鍵ベクトル取得部410は、第L層目の秘密鍵の先頭要素である鍵ベクトルk[t]* L,0と、第L層目の秘密鍵のj番目(j=μ,...,n−1)の要素である鍵生成用ベクトルk[t]* L,jとを含む第L層目の秘密鍵(鍵情報k→[t]* )を通信装置を介して取得する。
実施の形態6と同様に、鍵ベクトル生成部420と鍵生成用ベクトル生成部430とは、(S1602)と(S1603)とを各t(t=0,...,n−1)について実行する。
(S1602:鍵ベクトルk[t]* L,0生成ステップ)
実施の形態6と同様に、鍵ベクトル生成部420は、数236を計算して、第L+1層目の秘密鍵の先頭要素である鍵ベクトルk[t]* L+1,0を処理装置により生成する。
Figure 0005349261
(S1603:鍵生成用ベクトルk[t]* L,j生成ステップ)
実施の形態6と同様に、鍵生成用ベクトル生成部430は、数237を計算して、鍵生成用ベクトルk[t]* L+1,jを処理装置により生成する。鍵生成用ベクトルk[t]* L+1,jは、第L+1層目の秘密鍵のj番目の要素である。
Figure 0005349261
 但し、鍵生成用ベクトル生成部430は、鍵生成用ベクトルk[t]* L+1,j(j=μ,...,n−1,n+2,n+3)を生成する。つまり、鍵生成用ベクトル生成部430は、鍵生成用ベクトルk[t]* L+1,n+2と、鍵生成用ベクトルk[t]* L+1,n+3とを生成する点で図10に示す鍵生成用ベクトル生成部140と異なる。
すなわち、(S1602)と(S1603)とにおいて、鍵ベクトル生成部420と鍵生成用ベクトル生成部430とは、数238に示すDelegateアルゴリズムを実行して、鍵ベクトルk[t]* L+1,0と鍵生成用ベクトルk[t]* L+1,jとを含む鍵情報k→[t]* L+1を処理装置により生成する。
Figure 0005349261
(S1604:鍵配布ステップ)
実施の形態6と同様に、鍵配布部440は、鍵ベクトル生成部420と鍵生成用ベクトル生成部430とが生成した鍵情報k→[t]* L+1を下位の復号装置300へ通信装置を介して送信する。
以上のように、この実施の形態に係る暗号処理システム10は、実施の形態6で説明したCPAに対する適応的属性秘匿の安全性を満たす階層的述語暗号を応用して、CCAに対する適応的属性秘匿の安全性を満たす階層的述語暗号を実現する。
実施の形態8.
この実施の形態では、双対ディストーションベクトル空間の実現方法について説明する。まず、上記実施の形態で双対ディストーションベクトル空間の例として用いた非対称双線形ペアリンググループの直積による実現方法について説明する。次に、対称双線形ペアリンググループの直積による実現方法について説明する。そして、種数1以上の超特異曲線のヤコビ多様体による実現方法について説明する。
<非対称双線形ペアリンググループの直積による実現方法>
非対称双線形ペアリンググループ(G,G,G,g,g,q)と、非対称双線形ペアリンググループ(G,G,G,g,g,q)におけるペアリング演算eとが与えられる。なお、非対称双線形ペアリンググループ(G,G,G,g,g,q)とペアリング演算とについては実施の形態1で説明した通りである。
以下のように、双対ディストーションベクトル空間を実現する。
V,V,a,...,aN−1,a ,...,a N−1は、数239に示す通りである。
Figure 0005349261
 ベクトルx,yは、数240のようになる。
Figure 0005349261
 (V,V)におけるペアリング演算eを数241のように定義する。
Figure 0005349261
 ここで、なお、ペアリング演算eのeという表記は、(G,G)と(V,V)との両方において使用する。また、ペアリング演算eの非退化性と双線形性とは明らかに成立する。ここで、数242である。
Figure 0005349261
 また、ディストーション写像φi,jは、数243のように単純に定義される。
Figure 0005349261
<対称双線形ペアリンググループの直積による実現方法>
上記実施の形態で説明した対称双線形ペアリンググループ(G,G,g,q)を用いても、非対称双線形ペアリンググループ(G,G,G,g,g,q)を用いた場合と同様に、直積を構築できる。つまり、V=Vであり、A=Aである構造となる。そのため、ペアリング演算eと基底A=Aにおける基底ベクトルへの射影を用いて、空間V=Vにおけるどんな非ゼロのベクトルxとx’とに対しても、x=cx’であるc∈Fが存在することを確認できる。
<種数1以上の超特異曲線のヤコビ多様体による実現方法>
双対ディストーションベクトル空間は、いくつかの特別な超特異楕円曲線Cのヤコビ多様体における有理数qの点の集合として認識される。つまり、V=V:=Jac[q]である。空間V(とV)の次元Nは、超特異楕円曲線Cの2倍である。空間Vの標準基底A=(a,...,aN−1)は、フロベニウス自己準同型の固有ベクトルによって与えられる。数244であるような全ての値κi,j∈Fは非特許文献27に記載されたWeilペアリングeによって決定される。そのような明白な値κi,jを用いれば、空間Vの双対正規直交基底Aを構築できる。
Figure 0005349261
 ここで、非特許文献21では、自己準同型φi,jをディストーション写像と呼び、k≠jであるとき、φi,j(a)=0であることを満たす必要はなかった。しかし、非特許文献21は、<a>に対する射影作用素Pr、つまり、Pr(a)=δj,kが多項式時間で計算可能であることを示した。そのため、φi,jPrの構成は、φi,jPr(a)=δj,kである。そして、これは多項式時間で計算可能である。ここでは、φi,jPrをディストーション写像と呼ぶ。
実施の形態9.
以上の実施の形態では、双対ベクトル空間において暗号処理を実現する方法について説明した。この実施の形態では、双対加群において暗号処理を実現する方法について説明する。
つまり、以上の実施の形態では、素数位数qの巡回群において暗号処理を実現した。しかし、合成数Mを用いて数245のように環Rを表した場合、環Rを係数とする加群においても、上記実施の形態で説明した暗号処理を適用することができる。
Figure 0005349261
 例えば、実施の形態2で説明した階層的述語鍵秘匿方式を、環Rを係数とする加群において実現すると数246から数250のようになる。
Figure 0005349261
Figure 0005349261
Figure 0005349261
Figure 0005349261
Figure 0005349261
 すなわち、原則として、以上の実施の形態で体Fとして説明した処理を、環Rに置き換えることにより、以上の実施の形態で説明した暗号処理を、環Rを係数とする加群において実現できる。
次に、実施の形態における暗号処理システム10(鍵生成装置100、暗号化装置200、復号装置300、鍵委譲装置400)のハードウェア構成について説明する。
図36は、鍵生成装置100、暗号化装置200、復号装置300、鍵委譲装置400のハードウェア構成の一例を示す図である。
図36に示すように、鍵生成装置100、暗号化装置200、復号装置300、鍵委譲装置400は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、LCD901(Liquid Crystal Display)、キーボード902(K/B)、通信ボード915、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920(固定ディスク装置)の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。磁気ディスク装置920は、所定の固定ディスクインタフェースを介して接続される。
ROM913、磁気ディスク装置920は、不揮発性メモリの一例である。RAM914は、揮発性メモリの一例である。ROM913とRAM914と磁気ディスク装置920とは、記憶装置(メモリ)の一例である。また、キーボード902、通信ボード915は、入力装置の一例である。また、通信ボード915は、通信装置(ネットワークインタフェース)の一例である。さらに、LCD901は、表示装置の一例である。
磁気ディスク装置920又はROM913などには、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
プログラム群923には、上記の説明において「マスター鍵生成部110」、「マスター鍵記憶部120」、「鍵ベクトル生成部130」、「鍵生成用ベクトル生成部140」、「鍵配布部150」、「送信情報設定部210」、「暗号ベクトル生成部220」、「データ送信部230」、「セッション鍵生成部240」、「検証情報生成部250」、「検証情報設定部260」、「署名情報生成部270」、「ベクトル入力部310」、「鍵ベクトル記憶部320」、「ペアリング演算部330」、「離散対数計算部340」、「ベクトル変形部350」、「復号部360」、「改ざん検証部370」、「鍵ベクトル取得部410」、「鍵ベクトル生成部420」、「鍵生成用ベクトル生成部430」、「鍵配布部440」等として説明した機能を実行するソフトウェアやプログラムやその他のプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、上記の説明において「マスター公開鍵pk」、「マスター秘密鍵sk」、「暗号ベクトルc」、「鍵ベクトル」等の情報やデータや信号値や変数値やパラメータが、「ファイル」や「データベース」の各項目として記憶される。「ファイル」や「データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPU911の動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPU911の動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、上記の説明におけるフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、その他光ディスク等の記録媒体やICチップに記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体や電波によりオンライン伝送される。
また、上記の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「〜手段」、「〜機能」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。また、「〜装置」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「〜手段」、「〜機能」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。さらに、「〜処理」として説明するものは「〜ステップ」であっても構わない。すなわち、「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、ROM913等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、上記で述べた「〜部」としてコンピュータ等を機能させるものである。あるいは、上記で述べた「〜部」の手順や方法をコンピュータ等に実行させるものである。
10 暗号処理システム、100 鍵生成装置、110 マスター鍵生成部、120 マスター鍵記憶部、130 鍵ベクトル生成部、140 鍵生成用ベクトル生成部、150 鍵配布部、200 暗号化装置、210 送信情報設定部、220 暗号ベクトル生成部、230 データ送信部、240 セッション鍵生成部、250 検証情報生成部、260 検証情報設定部、270 署名情報生成部、300 復号装置、310 ベクトル入力部、320 鍵ベクトル記憶部、330 ペアリング演算部、340 離散対数計算部、350 ベクトル変形部、360 復号部、370 改ざん検証部、400 鍵委譲装置、410 鍵ベクトル取得部、420 鍵ベクトル生成部、430 鍵生成用ベクトル生成部、440 鍵配布部。

Claims (47)

  1. ペアリング演算によって関連付けられた双対ベクトル空間である空間Vと空間Vとを用いて暗号処理を行う暗号処理システムであり、
    前記空間Vにおけるベクトルであって、所定の情報を埋め込んだベクトルを暗号ベクトルとして処理装置により生成する暗号化装置と、
    前記空間Vにおける所定のベクトルを鍵ベクトルとして、前記暗号化装置が生成した暗号ベクトルと前記鍵ベクトルとについて、処理装置により前記ペアリング演算を行い前記暗号ベクトルを復号して前記所定の情報に関する情報を抽出する復号装置と
    を備えることを特徴とする暗号処理システム。
  2. 前記暗号処理システムは、N次元ベクトル空間である前記空間VとN次元ベクトル空間である前記空間Vとにおいて暗号処理を行い、
    前記暗号化装置は、前記空間VにおけるN次元ベクトルχ:=(χ,...,χN−1)を暗号ベクトルとして生成し、
    前記復号装置は、前記空間VにおけるN次元ベクトルη:=(η,...,ηN−1)を鍵ベクトルとして、前記暗号ベクトルχ:=(χ,...,χN−1)と、前記鍵ベクトルη:=(η,...,ηN−1)とについて、数1に示すペアリング演算e(χ,η)を行う
    ことを特徴とする請求項1に記載の暗号処理システム。
    Figure 0005349261
  3. 前記暗号処理システムは、数2に示す正規直交基底の要件を満たす標準基底A:=(a,...,aN−1)を有する空間Vと、標準基底A:=(a ,...,a N−1)を有する空間Vとにおいて暗号処理を行う
    ことを特徴とする請求項1又は2に記載の暗号処理システム。
    Figure 0005349261
  4. 前記空間Vと前記空間Vとは、それぞれ数3と数4とに示すディストーション写像φi,jとφ i,jとを有する標準基底A:=(a,...,aN−1)とA:=(a ,...,a N−1)とを有する空間である
    ことを特徴とする請求項1から3までのいずれかに記載の暗号処理システム。
    Figure 0005349261
    Figure 0005349261
  5. 前記暗号化装置は、前記空間Vの標準基底Aに所定の演算を行った基底Bにおけるベクトルを暗号ベクトルとして生成し、
    前記復号装置は、前記空間Vの標準基底Aに前記所定の演算から導出される演算を行った基底Bであって、前記基底Bと正規直交基底である基底Bにおけるベクトルを前記鍵ベクトルとする
    ことを特徴とする請求項1から4までのいずれかに記載の暗号処理システム。
  6. 前記基底Bは、前記標準基底Aに数5に示す演算を行った基底B:=(b,...,bN−1)であり、
    前記基底Bは、前記標準基底Aに数6に示す演算を行った基底B:=(b ,...,b N−1)である
    ことを特徴とする請求項5に記載の暗号処理システム。
    Figure 0005349261
    Figure 0005349261
  7. 前記暗号化装置は、
    前記空間Vにおける所定の基底Bの基底ベクトルb(i=0,...,N−1)のうち、基底ベクトルbに対する係数としてρを設定したベクトルを送信情報ベクトルとして処理装置により生成する送信情報設定部と、
    基底ベクトルb(i=0,...,μLx−1)に対する係数として属性情報x(i=0,...,μLx−1)を設定したベクトルを、前記送信情報設定部が生成した送信情報ベクトルに加えて暗号ベクトルを処理装置により生成する暗号ベクトル生成部とを備え、
    前記復号装置は、
    前記空間Vにおける所定の基底Bの基底ベクトルb (i=0,...,N−1)のうち、所定の基底ベクトルb に対する係数として所定の値が設定されるとともに、基底ベクトルb (i=0,...,μLv−1)(μLx≧μLv)に対する係数として述語情報v(i=0,...,μLv−1)が設定されたベクトルを鍵ベクトルとして記憶装置に記憶する鍵ベクトル記憶部と、
    前記暗号ベクトル生成部が生成した暗号ベクトルと、前記鍵ベクトル記憶部が記憶した鍵ベクトルとについて処理装置により前記ペアリング演算を行い、前記暗号ベクトルから前記基底ベクトルbの係数として設定したρに関する値を抽出するペアリング演算部を備える
    ことを特徴とする請求項1から6までのいずれかに記載の暗号処理システム。
  8. 前記暗号処理システムは、さらに、
    前記空間Vにおける所定の基底Bの基底ベクトルb (i=0,...,n−1)のうち、所定の基底ベクトルb に対する係数として所定の値を設定するとともに、基底ベクトルb (i=0,...,μ−1)に対する係数として述語情報v(i=0,...,μ−1)を設定したベクトルを鍵ベクトルkL,0として処理装置により生成する鍵ベクトル生成部を備える鍵生成装置
    を備えることを特徴とする請求項1から7までのいずれかに記載の暗号処理システム。
  9. 前記鍵生成装置は、さらに、
    i=μ,...,n−1の各iについて、基底ベクトルb に対する係数として所定の値を設定した((n−1)−μ−1)個のベクトルを、前記鍵ベクトルkL,0の下位の鍵ベクトルを生成するための鍵生成用ベクトルkL,i(i=μ,...,n−1)として処理装置により生成する鍵生成用ベクトル生成部
    を備えることを特徴とする請求項8に記載の暗号処理システム。
  10. 前記暗号処理システムは、さらに、
    鍵生成用ベクトルkL,i(i=μ,...,μL+1−1)に対する係数として述語情報v(i=μ,...,μL+1−1)を設定したベクトルv(i=μ,...,μL+1−1)と、前記鍵ベクトルkL,0とを加算して、前記鍵ベクトルkL,0の下位の鍵ベクトルである鍵ベクトルkL+1,0を処理装置により生成する鍵ベクトル生成部と、
    鍵生成用ベクトルkL,i(i=μL+1,...,n−1)に所定の変更を加えて、前記鍵ベクトルkL+1,0の下位の鍵ベクトルを生成するための鍵生成用ベクトルkL,i(i=μL+1,...,n−1)を処理装置により生成する鍵生成用ベクトル生成部と
    を備える鍵委譲装置
    を備えることを特徴とする請求項1から9までのいずれかに記載の暗号処理システム。
  11. 述語暗号における秘密鍵である鍵ベクトルkL,0を生成する鍵生成装置であり、
    ペアリング演算によって関連付けられた双対ベクトル空間である空間Vと空間Vとのうちの前記空間Vをマスター秘密鍵として記憶装置に記憶するマスター鍵記憶部と、
    前記マスター鍵記憶部が記憶したマスター秘密鍵である前記空間Vにおける所定の基底Bの基底ベクトルb (i=0,...,N−1)のうち、所定の基底ベクトルb に対する係数として所定の値を設定するとともに、基底ベクトルb (i=0,...,μ−1)に対する係数として述語情報v(i=0,...,μ−1)を設定したベクトルを鍵ベクトルkL,0として処理装置により生成する鍵ベクトル生成部と
    を備えることを特徴とする鍵生成装置。
  12. 前記鍵ベクトル生成部は、基底ベクトルb (i=0,...,μ−1)に対する係数として、属性情報x(i=0,...,μ−1)との内積が0となる述語情報v(i=0,...,μ−1)を設定する
    ことを特徴とする請求項11に記載の鍵生成装置。
  13. 前記鍵ベクトル生成部は、数7に示す鍵ベクトルkL,0を生成する
    ことを特徴とする請求項11又は12に記載の鍵生成装置。
    Figure 0005349261
  14. 前記鍵生成装置は、さらに、
    i=μ,...,n−1の各iについて、基底ベクトルb に対する係数として所定の値を設定した((n−1)−μ−1)個のベクトルを、前記鍵ベクトルkL,0の下位の鍵ベクトルを生成するための鍵生成用ベクトルkL,i(i=μ,...,n−1)として処理装置により生成する鍵生成用ベクトル生成部
    を備えることを特徴とする請求項11から13までのいずれかに記載の鍵生成装置。
  15. 前記鍵ベクトル生成部は、数8に示す鍵ベクトルkL,0を生成し、
    前記鍵生成用ベクトル生成部は、数8に示す鍵生成用ベクトルkL,i(i=μ,...,n−1)を生成する
    ことを特徴とする請求項14に記載の鍵生成装置。
    Figure 0005349261
  16. 述語暗号における秘密鍵である鍵ベクトルを生成する鍵委譲装置であり、
    ペアリング演算によって関連付けられた双対ベクトル空間である空間Vと空間Vとのうちの前記空間Vにおける所定の暗号ベクトルを復号可能な前記空間Vにおける鍵ベクトルを取得する鍵ベクトル取得部と、
    前記鍵ベクトル取得部が取得した鍵ベクトルに基づき、前記鍵ベクトルで復号可能な前記所定の暗号ベクトルのうちの一部の暗号ベクトルを復号可能な前記空間Vにおける新たな鍵ベクトルを処理装置により生成する鍵ベクトル生成部と
    を備えることを特徴とする鍵委譲装置。
  17. 前記鍵ベクトル取得部は、前記空間Vにおける所定の基底Bの所定の基底ベクトルに対する係数として述語情報が設定されたベクトルを鍵ベクトルとして取得し、
    前記鍵ベクトル生成部は、前記所定の基底ベクトル以外の前記基底Bの基底ベクトルに対する係数として述語情報を設定したベクトルを、前記鍵ベクトル取得部が取得した鍵ベクトルに加算して新たな鍵ベクトルを生成する
    ことを特徴とする請求項16に記載の鍵委譲装置。
  18. 前記鍵ベクトル取得部は、前記空間V における所定の基底Bの基底ベクトルb (i=0,...,N−1)のうち基底ベクトルb (i=0,...,μ−1)に述語情報v(i=0,...,μ−1)が設定された第L層目の鍵ベクトルkL,0と、基底ベクトルb に対する係数として所定の値が設定された鍵生成用ベクトルkL,i(i=μ,...,μL+1−1)とを取得し、
    前記鍵ベクトル生成部は、i=μ,...,μL+1−1の各iについて、前記鍵ベクトル取得部が取得した鍵生成用ベクトルkL,iの基底ベクトルb に対する係数として述語情報vを設定したベクトルv(i=μ,...,μL+1−1)を、前記鍵ベクトルkL,0 に加算して第L+1層目の鍵ベクトルkL+1,0を処理装置により生成する
    ことを特徴とする請求項16又は17に記載の鍵委譲装置。
  19. 前記鍵ベクトル生成部は、前記鍵生成用ベクトルkL,iの基底ベクトルb に対する係数を、属性情報x(i=μ,...,μL+1−1)との内積が0となる述語情報v(i=μ,...,μL+1−1)倍する
    ことを特徴とする請求項18に記載の鍵委譲装置。
  20. 前記鍵ベクトル生成部は、鍵ベクトルkL,0と鍵生成用ベクトルkL,iとに基づき、数9に示す鍵ベクトルkL+1,0を生成する
    ことを特徴とする請求項18又は19に記載の鍵委譲装置。
    Figure 0005349261
  21. 前記鍵委譲装置は、さらに、
    鍵生成用ベクトルkL,i(i=μ,...,μL+1−1)に所定の変更を加えて、前記鍵ベクトルkL+1,0の下位の鍵ベクトルを生成するための鍵生成用ベクトルkL,i(i=μL+1,...,n−1)を処理装置により生成する鍵生成用ベクトル生成部
    を備えることを特徴とする請求項18から20までのいずれかに記載の鍵委譲装置。
  22. 前記鍵ベクトル取得部は、数10に示す鍵ベクトルkL,0と鍵生成用ベクトルkL,i(i=μ,...,n−1)とを取得し、
    前記鍵ベクトル生成部は、前記鍵ベクトル取得部が取得した鍵ベクトルkL,0と鍵生成用ベクトルkL,iとに基づき、数10に示す鍵ベクトルkL+1,0を生成し、
    前記鍵生成用ベクトル生成部は、前記鍵ベクトル取得部が取得した鍵生成用ベクトルkL,iに基づき、数10に示す鍵生成用ベクトルkL+1,i(i=μL+1,...,n−1)を生成する
    ことを特徴とする請求項21に記載の鍵委譲装置。
    Figure 0005349261
  23. ペアリング演算によって関連付けられた双対ベクトル空間である空間Vと空間Vとのうちの空間Vにおける所定の基底Bの基底ベクトルb(i=0,...,N−1)のうち、基底ベクトルbに対する係数としてρを設定したベクトルを送信情報ベクトルとして処理装置により生成する送信情報設定部と、
    基底ベクトルb(i=0,...,μLx−1)に対する係数として属性情報x(i=0,...,μLx−1)を設定した属性ベクトルを、前記送信情報設定部が生成した送信情報ベクトルに加算して暗号ベクトルを処理装置により生成する暗号ベクトル生成部と
    を備えることを特徴とする暗号化装置。
  24. 前記送信情報設定部は、数11に示す送信情報ベクトルρvを生成し、
    前記暗号ベクトル生成部は、数12に示す属性情報ベクトルxvを数11に示す送信情報ベクトルρvに加算して暗号ベクトルcを生成する
    ことを特徴とする請求項23に記載の暗号化装置。
    Figure 0005349261
    Figure 0005349261
  25. ペアリング演算によって関連付けられた双対ベクトル空間である空間Vと空間Vとのうちの空間Vにおける所定の基底Bの基底ベクトルb(i=0,...,N−1)のうち、基底ベクトルbの係数としてρが設定されるとともに、基底ベクトルb(i=0,...,μLx−1)の所定の基底ベクトルの係数に属性情報x(i=0,...,μLx−1)を設定されたベクトルを暗号ベクトルとして入力するベクトル入力部と、
    前記空間Vにおける所定の基底Bの基底ベクトルb (i=0,...,N−1)のうち、所定の基底ベクトルb に対する係数として所定の値が設定されるとともに、基底ベクトルb (i=0,...,μLv−1)(μLx≧μLv)に対する係数として述語情報v(i=0,...,μLv−1)が設定されたベクトルを鍵ベクトルとして記憶装置に記憶する鍵ベクトル記憶部と、
    前記ベクトル入力部が入力した暗号ベクトルと、前記鍵ベクトル記憶部が記憶した鍵ベクトルとについて処理装置により前記ペアリング演算を行い、前記暗号ベクトルから前記基底ベクトルbの係数として設定したρに関する値を抽出するペアリング演算部と
    を備えることを特徴とする復号装置。
  26. 前記ベクトル入力部は、数13に示す暗号ベクトルcを入力し、
    前記鍵ベクトル記憶部は、数14に示す鍵ベクトルkvを記憶し、
    前記ペアリング演算部は、数15に示すペアリング演算を行い、uρを抽出する
    ことを特徴とする請求項25に記載の復号装置。
    Figure 0005349261
    Figure 0005349261
    Figure 0005349261
  27. 前記暗号化装置は、さらに、
    基底ベクトルbと前記基底ベクトルb(i=0,...,μLx−1)と以外の所定の基底ベクトルに対する係数として検証情報を含む情報を設定したベクトルを検証情報ベクトルとして処理装置により生成する検証情報設定部を備え、
    前記暗号ベクトル生成部は、前記属性ベクトルと前記送信情報ベクトルと前記検証情報設定部が生成した検証情報ベクトルとを加算して暗号ベクトルを生成し、
    前記暗号化装置は、さらに、
    前記検証情報設定部が設定した検証情報に基づき検証される署名情報を処理装置により生成する署名情報生成部と、
    前記暗号ベクトル生成部が生成した暗号ベクトルと、前記署名情報生成部が生成した署名情報と、前記検証情報とを復号装置へ送信するデータ送信部と
    を備えることを特徴とする請求項23に記載の暗号化装置。
  28. 前記検証情報設定部は、前記所定の基底ベクトルに対する係数として第1検証情報comを含む情報を設定したベクトルを検証情報ベクトルとして生成し、
    前記暗号ベクトル生成部は、前記暗号ベクトルをデータc1として生成し、
    前記署名情報生成部は、
    平文情報mと第2検証情報decとを、前記基底ベクトルbに対する係数として設定したρから生成されたセッション鍵で暗号化してデータc2を生成するc2生成部と、
    前記第1検証情報comをデータc3として生成するc3生成部と、
    前記データc1と前記データc2とを、前記第1検証情報comと前記第2検証情報decとに基づき生成可能な第3検証情報rにより暗号化した署名情報をデータc4として生成するc4生成部と、
    前記データ出力部は、前記暗号ベクトル生成部が生成したデータc1と、前記c2生成部が生成したデータc2と、前記c3生成部が生成したデータc3と、前記c4生成部が生成したデータc4とを出力する
    ことを特徴とする請求項27に記載の暗号化装置。
  29. 前記送信情報設定部は、数16に示す送信情報ベクトルρvを生成し、
    前記検証情報設定部は、数17に示す検証情報ベクトルcvを生成し、
    前記c1生成部は、数18に示す属性情報ベクトルxvと、数16に示す送信情報ベクトルρvと、数17に示す検証情報ベクトルcvとを加算してデータc1を生成し、
    前記c2生成部は、数19に従いデータc2を生成し、
    前記c4生成部は、数20に従いデータc4を生成する
    ことを特徴とする請求項28に記載の暗号化装置。
    Figure 0005349261
    Figure 0005349261
    Figure 0005349261
    Figure 0005349261
    Figure 0005349261
  30. 前記ベクトル入力部は、前記基底ベクトルbの係数としてρが設定され、前記基底ベクトルb(i=0,...,μLx−1)に対する係数として属性情報x(i=0,...,μLx−1)が設定され、前記基底ベクトルbと前記基底ベクトルb(i=0,...,μLx−1)と以外の所定の基底ベクトルに対する係数として検証情報を含む情報が設定された暗号ベクトルと、前記検証情報に基づき検証される署名情報と、前記検証情報とを入力し、
    前記復号装置は、さらに、
    所定の基底ベクトルに対する係数として前記検証情報を含む情報を設定したベクトルを前記鍵ベクトル記憶部が記憶した鍵ベクトルに加えて鍵ベクトルを処理装置により変形す
    る鍵ベクトル変形部を備え、
    前記ペアリング演算部は、前記ベクトル入力部が入力した暗号ベクトルと、前記鍵ベクトル変形部が変形した鍵ベクトルとについて、前記ペアリング演算を行い、前記暗号ベクトルから前記基底ベクトルbの係数として設定したρに関する値を抽出し、
    前記復号装置は、さらに、
    前記検証情報に基づき、前記署名情報に改ざんがないことを処理装置により検証する改ざん検証部
    を備えることを特徴とする請求項25に記載の復号装置。
  31. 前記ベクトル入力部は、前記検証情報として第1検証情報comを含む情報が設定された暗号ベクトルであるデータc1と、
    平文情報mと第2検証情報decとを、前記データc1の前記基底ベクトルbに対する係数として設定したρから生成されたセッション鍵で暗号化したデータc2と、
    第1検証情報comであるデータc3と、
    前記データc1と前記データc2とを、前記第1検証情報comと前記第2検証情報decとに基づき生成可能な第3検証情報rにより暗号化した署名情報であるデータc4とを入力し、
    前記復号装置は、さらに、
    前記ペアリング演算部が抽出したρに関する値からセッション鍵を生成して、生成したセッション鍵により前記データc2を復号して、前記平文情報mと前記第2検証情報decとを取得するc2復号部を備え、
    前記改ざん検証部は、前記c2復号部が取得した第2検証情報と前記データc3とから前記第3検証情報rを生成するとともに、生成した前記第3検証情報rと前記データc4とに基づき、前記データc1と前記データc2とに改ざんがないことを検証する
    ことを特徴とする請求項30に記載の復号装置。
  32. 前記データ入力部は、数21に示すデータc1とデータc2とデータc3とデータc4とを入力し、
    前記鍵ベクトル記憶部は、数22に示す鍵ベクトルkvを記憶し、
    前記鍵ベクトル変形部は、数23に従い鍵ベクトルkvを変換し、
    前記ペアリング演算部は、数24に示すペアリング演算を行って、ρに関する値Kを取得し、
    前記c2復号部は、数25に従い前記ρに関する値Kから共通鍵を生成して、生成した共通鍵により前記データc2を復号して、前記平文情報mと前記第2検証情報decとを取得し、
    前記改ざん検証部は、数26に従い前記第3検証情報rを生成して、数27に従い改ざんを検証する
    ことを特徴とする請求項31に記載の復号装置。
    Figure 0005349261
    Figure 0005349261
    Figure 0005349261
    Figure 0005349261
    Figure 0005349261
    Figure 0005349261
    Figure 0005349261
  33. 前記送信情報設定部は、t=0,...,n−1の各tについて、前記空間Vにおける基底B[t]の基底ベクトルb[t] (i=0,...,N−1)のうち、基底ベクト
    ルb[t] に対する係数として平文情報mを設定したベクトルを送信情報ベクトルmv[t]として生成し、
    前記暗号ベクトル生成部は、t=0,...,n−1の各tについて、基底ベクトルb[t] (i=0,...,μLx−1)に対する係数として、数28に示す係数値s[t] を設定した属性情報ベクトルxv[t]を、前記送信情報設定部が生成した送信情報ベクトルmv[t]に加算して暗号ベクトルc[t]を生成する
    ことを特徴とする請求項23に記載の暗号化装置。
    Figure 0005349261
  34. 前記送信情報設定部は、数29に示す送信情報ベクトルmv[t]を生成し、
    前記暗号ベクトル生成部は、数30に示す属性情報ベクトルxv[t]を数29に示す送信情報ベクトルmv[t]に加算して暗号ベクトルc[t]を生成する
    ことを特徴とする請求項33に記載の暗号化装置。
    Figure 0005349261
    Figure 0005349261
  35. 前記ベクトル入力部は、t=0,...,n−1の各tについて、前記空間Vにおける基底B[t]の基底ベクトルb[t] (i=0,...,N−1)のうち、基底ベクトルb[t] に対する係数として平文情報mが設定されるとともに、基底ベクトルb[t] (i=0,...,μLx−1)に対する係数として、数31に示す係数値s[t] を設定されたベクトルv[t]を暗号ベクトルc[t]として入力し、
    前記鍵ベクトル記憶部は、t=0,...,n−1の各tについて、前記空間Vにおける基底B[t]*の基底ベクトルb[t]* (i=0,...,N−1)のうち、基底ベクトルb[t]* に対する係数として所定の値が設定されるとともに、ベクトルb[t]* (i=0,...,μLv−1)(μLx≧μLv)に対する係数として述語情報v(i=0,...,μLv−1)が設定されたベクトルv[t]を鍵ベクトルkv[t]として記憶装置に記憶し、
    前記ペアリング演算部は、t=0,...,n−1の各tについて、前記ベクトル入力部が入力した暗号ベクトルc[t]と、前記鍵ベクトル記憶部が記憶した鍵ベクトルkv[t]とについて前記ペアリング演算を行い、前記暗号ベクトルから前記基底ベクトルb[t] の係数として設定した平文情報mに関する情報fを生成するとともに、t=0,...,n−1の各tについて、基底ベクトルb[t] と、前記鍵ベクトルkv[t]とについて前記ペアリング演算を行い、前記値fから前記平文情報mを抽出するための情報gを生成し、
    前記復号装置は、さらに、
    前記ペアリング演算部が生成した情報fについて、情報gを底として離散対数問題を計算して、前記平文情報mを計算する離散対数計算部
    を備えることを特徴とする請求項25に記載の復号装置。
    Figure 0005349261
  36. 前記ベクトル入力部は、数32に示す暗号ベクトルc[t]を入力し、
    前記鍵ベクトル記憶部は、数33に示す鍵ベクトルkv[t]を記憶し、
    前記ペアリング演算部は、数34に示すペアリング演算を行い情報fと情報gとを生成し、
    前記離散対数問題は、数35に示す離散対数問題を解き平文情報mを計算する
    ことを特徴とする請求項35に記載の復号装置。
    Figure 0005349261
    Figure 0005349261
    Figure 0005349261
    Figure 0005349261
  37. 前記暗号化装置は、さらに、
    t=0,...,n−1の各tについて、基底ベクトルb[t] と前記基底ベクトルb[t] (i=0,...,μLx−1)と以外の所定の基底ベクトルb[t] に対する係数として検証情報vkを含む情報を設定したベクトルv[t]を検証情報ベクトルck[t]として生成する検証情報設定部を備え、
    前記暗号ベクトル生成部は、t=0,...,n−1の各tについて、前記属性情報ベクトルxv[t]と送信情報ベクトルmv[t]と前記検証情報設定部が生成した検証情報ベクトルck[t]とを加算して暗号ベクトルc[t]を生成し、
    前記暗号化装置は、さらに、
    前記検証情報設定部が設定した検証情報vkに基づき検証される署名情報Σを生成する署名情報生成部と、
    前記暗号ベクトル生成部が生成した暗号ベクトルc[t](t=0,...,n−1)と、前記署名情報生成部が生成した署名情報Σと、前記検証情報vkとを復号装置へ送信するデータ送信部と
    を備えることを特徴とする請求項33に記載の暗号化装置。
  38. 前記送信情報設定部は、数36に示す送信情報ベクトルmv[t]を生成し、
    前記検証情報設定部は、数37に示す検証情報ベクトルck[t]を生成し、
    前記暗号ベクトル生成部は、数38に示す属性情報ベクトルxv[t]を数36に示す送信情報ベクトルmv[t]と数37に示す検証情報ベクトルck[t]とに加算して暗号ベクトルc[t]を生成する
    ことを特徴とする請求項37に記載の暗号化装置
    Figure 0005349261
    Figure 0005349261
    Figure 0005349261
  39. 前記ベクトル入力部は、t=0,...,n−1の各tについて、前記基底ベクトルb[t] と前記基底ベクトルb[t] (i=0,...,μLx−1)と以外の所定の基底ベクトルb[t] に対する係数として検証情報vkを含む情報が設定された暗号ベクトルc[t]と、前記検証情報vkに基づき検証される署名情報Σと、前記検証情報vkとを入力し、
    前記復号装置は、さらに、
    t=0,...,n−1の各tについて、所定の基底ベクトルb[t] に対する係数として前記検証情報vkを含む情報を設定したベクトルv[t]を前記鍵ベクトル記憶部が記憶した鍵ベクトルに加えて鍵ベクトルkv[t]を変形する鍵ベクトル変形部を備え、
    前記ペアリング演算部は、t=0,...,n−1の各tについて、前記ベクトル入力部が入力した暗号ベクトルc[t]と前記鍵ベクトル変形部が変形した鍵ベクトルkv[t]とについて前記ペアリング演算を行い情報fを生成するとともに、t=0,...,n−1の各tについて、基底ベクトルb[t] と前記変形した鍵ベクトルkv[t]とについて前記ペアリング演算を行い情報gを生成し、
    前記復号装置は、さらに、
    前記検証情報vkに基づき、前記署名情報Σに改ざんがないことを検証する改ざん検証

    を備えることを特徴とする請求項35に記載の復号装置。
  40. 前記ベクトル入力部は、数39に示す暗号ベクトルc[t]と、前記検証情報vkに基づき検証される署名情報Σと、前記検証情報vkとを入力し、
    前記鍵ベクトル記憶部は、数40に示す鍵ベクトルkv[t]を記憶し、
    前記鍵ベクトル変形部は、数41に従い鍵ベクトルkv[t]を変換し、
    前記ペアリング演算部は、数42に示すペアリング演算を行い情報fと情報gとを抽出する
    ことを特徴とする請求項39に記載の復号装置。
    Figure 0005349261
    Figure 0005349261
    Figure 0005349261
    Figure 0005349261
  41. ペアリング演算によって関連付けられた双対加群である空間Vと空間Vとを用いて暗号処理を行う暗号処理システムであり、
    前記空間Vにおけるベクトルであって、所定の情報を埋め込んだベクトルを暗号ベクトルとして生成する暗号化装置と、
    前記空間Vにおける所定のベクトルを鍵ベクトルとして、前記暗号化装置が生成した暗号ベクトルと前記鍵ベクトルとについて、前記ペアリング演算を行い前記暗号ベクトルを復号して前記所定の情報に関する情報を抽出する復号装置と
    を備えることを特徴とする暗号処理システム。
  42. 述語暗号における秘密鍵である鍵ベクトルkL,0を生成する鍵生成装置であり、
    ペアリング演算によって関連付けられた双対加群である空間Vと空間Vとのうちの前記空間Vをマスター秘密鍵として記憶装置に記憶するマスター鍵記憶部と、
    前記マスター鍵記憶部が記憶したマスター秘密鍵である前記空間Vにおける所定の基底Bの基底ベクトルb (i=0,...,N−1)のうち、所定の基底ベクトルb に対する係数として所定の値を設定するとともに、基底ベクトルb (i=0,...,μ−1)に対する係数として述語情報v(i=0,...,μ−1)を設定したベクトルを鍵ベクトルkL,0として生成する鍵ベクトル生成部と
    を備えることを特徴とする鍵生成装置。
  43. 述語暗号における秘密鍵である鍵ベクトルを生成する鍵委譲装置であり、
    ペアリング演算によって関連付けられた双対加群である空間Vと空間Vとのうちの前記空間Vにおける所定の暗号ベクトルを復号可能な前記空間Vにおける鍵ベクトルを取得する鍵ベクトル取得部と、
    前記鍵ベクトル取得部が取得した鍵ベクトルに基づき、前記鍵ベクトルで復号可能な前記所定の暗号ベクトルのうちの一部の暗号ベクトルを復号可能な前記空間Vにおける新たな鍵ベクトルを処理装置により生成する鍵ベクトル生成部と
    を備えることを特徴とする鍵委譲装置。
  44. ペアリング演算によって関連付けられた双対加群である空間Vと空間Vとのうちの空間Vにおける所定の基底Bの基底ベクトルb(i=0,...,N−1)のうち、基底ベクトルbに対する係数としてρを設定したベクトルを送信情報ベクトルとして生成する送信情報設定部と、
    基底ベクトルb(i=0,...,μLx−1)に対する係数として属性情報x(i=0,...,μLx−1)を設定した属性ベクトルを、前記送信情報設定部が生成した送信情報ベクトルに加算して暗号ベクトルを生成する暗号ベクトル生成部と
    を備えることを特徴とする暗号化装置。
  45. ペアリング演算によって関連付けられた双対加群である空間Vと空間Vとのうちの空間Vにおける所定の基底Bの基底ベクトルb(i=0,...,N−1)のうち、基底ベクトルbの係数としてρが設定されるとともに、基底ベクトルb(i=0,...,μLx−1)の所定の基底ベクトルの係数に属性情報x(i=0,...,μLx−1)を設定されたベクトルを暗号ベクトルとして入力するベクトル入力部と、
    前記空間Vにおける所定の基底Bの基底ベクトルb (i=0,...,N−1)のうち、所定の基底ベクトルb に対する係数として所定の値が設定されるとともに、基底ベクトルb (i=0,...,μLv−1)(μLx≧μLv)に対する係数として述語情報v(i=0,...,μLv−1)が設定されたベクトルを鍵ベクトルとして記憶装置に記憶する鍵ベクトル記憶部と、
    前記ベクトル入力部が入力した暗号ベクトルと、前記鍵ベクトル記憶部が記憶した鍵ベクトルとについて前記ペアリング演算を行い、前記暗号ベクトルから前記基底ベクトルbの係数として設定したρに関する値を抽出するペアリング演算部と
    を備えることを特徴とする復号装置。
  46. ペアリング演算によって関連付けられた双対ベクトル空間である空間Vと空間Vとを用いて暗号処理を行う暗号処理方法であり、
    処理装置が、前記空間Vにおけるベクトルであって、所定の情報を埋め込んだベクトルを暗号ベクトルとして生成する暗号化ステップと、
    処理装置が、前記空間Vにおける所定のベクトルを鍵ベクトルとして、前記暗号化ステップで生成した暗号ベクトルと前記鍵ベクトルとについて、前記ペアリング演算を行い前記暗号ベクトルを復号して前記所定の情報に関する情報を抽出する復号ステップと
    を備えることを特徴とする暗号処理方法。
  47. ペアリング演算によって関連付けられた双対ベクトル空間である空間Vと空間Vとを用いて暗号処理を行う暗号処理プログラムであり、
    前記空間Vにおけるベクトルであって、所定の情報を埋め込んだベクトルを暗号ベクトルとして生成する暗号化処理と、
    前記空間Vにおける所定のベクトルを鍵ベクトルとして、前記暗号化処理で生成した暗号ベクトルと前記鍵ベクトルとについて、前記ペアリング演算を行い前記暗号ベクトルを復号して前記所定の情報に関する情報を抽出する復号処理と
    をコンピュータに実行させることを特徴とする暗号処理プログラム。
JP2009264576A 2009-04-23 2009-11-20 暗号処理システム、鍵生成装置、鍵委譲装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム Active JP5349261B2 (ja)

Priority Applications (7)

Application Number Priority Date Filing Date Title
JP2009264576A JP5349261B2 (ja) 2009-04-23 2009-11-20 暗号処理システム、鍵生成装置、鍵委譲装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム
CN201080017994.8A CN102415047B (zh) 2009-04-23 2010-04-14 密码处理系统
EP10766983.0A EP2424154B1 (en) 2009-04-23 2010-04-14 Encryption processing system
ES10766983T ES2873230T3 (es) 2009-04-23 2010-04-14 Sistema de procesamiento de encriptado
PCT/JP2010/056639 WO2010122926A1 (ja) 2009-04-23 2010-04-14 暗号処理システム
US13/266,002 US8559638B2 (en) 2009-04-23 2010-04-14 Cryptographic processing system
KR1020117027936A KR101359200B1 (ko) 2009-04-23 2010-04-14 암호 처리 시스템

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2009104915 2009-04-23
JP2009104915 2009-04-23
JP2009264576A JP5349261B2 (ja) 2009-04-23 2009-11-20 暗号処理システム、鍵生成装置、鍵委譲装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム

Publications (3)

Publication Number Publication Date
JP2010273317A JP2010273317A (ja) 2010-12-02
JP2010273317A5 JP2010273317A5 (ja) 2013-07-25
JP5349261B2 true JP5349261B2 (ja) 2013-11-20

Family

ID=43011044

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009264576A Active JP5349261B2 (ja) 2009-04-23 2009-11-20 暗号処理システム、鍵生成装置、鍵委譲装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム

Country Status (7)

Country Link
US (1) US8559638B2 (ja)
EP (1) EP2424154B1 (ja)
JP (1) JP5349261B2 (ja)
KR (1) KR101359200B1 (ja)
CN (1) CN102415047B (ja)
ES (1) ES2873230T3 (ja)
WO (1) WO2010122926A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10848471B2 (en) 2017-09-25 2020-11-24 Ntt Communications Corporation Communication apparatus, communication method, and program

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2496740T3 (es) * 2009-04-24 2014-09-19 Nippon Telegraph And Telephone Corporation Aparato de codificación, aparato de descodificación, método de codificación, método de descodificación, método y programa de seguridad y medio de almacenamiento
CN102396010B (zh) * 2009-04-24 2014-10-22 日本电信电话株式会社 有限域运算装置、有限域运算方法、程序以及记录介质
EP2503533B1 (en) * 2009-11-20 2016-10-05 Mitsubishi Electric Corporation Cipher processing system, key generating device, key delegating device, encrypting device, decrypting device, cipher processing method and cipher processing program
JP5334873B2 (ja) * 2010-01-08 2013-11-06 三菱電機株式会社 暗号処理システム、鍵生成装置、鍵委譲装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム
EP2525340B1 (en) 2010-01-15 2018-06-06 Mitsubishi Electric Corporation Confidential search system and encryption processing system
JP5424974B2 (ja) 2010-04-27 2014-02-26 三菱電機株式会社 暗号処理システム、鍵生成装置、暗号化装置、復号装置、署名処理システム、署名装置及び検証装置
US9276746B2 (en) 2011-01-18 2016-03-01 Mitsubishi Electric Corporation Encryption system, encryption processing method of encryption system, encryption device, decryption device, setup device, key generation device, and key delegation device using a user identifier for a user who belongs to a k-th hierarchy in an organization
JP5606351B2 (ja) * 2011-02-09 2014-10-15 三菱電機株式会社 暗号処理システム、鍵生成装置、暗号化装置、復号装置、鍵委譲装置、暗号処理方法及び暗号処理プログラム
JP5677273B2 (ja) 2011-11-18 2015-02-25 三菱電機株式会社 暗号処理システム、暗号処理方法、暗号処理プログラム及び鍵生成装置
JP5680007B2 (ja) * 2012-03-06 2015-03-04 三菱電機株式会社 暗号システム、暗号方法及び暗号プログラム
JP5730805B2 (ja) * 2012-04-04 2015-06-10 日本電信電話株式会社 格子問題に基づく階層型内積暗号システム,格子問題に基づく階層型内積暗号方法,装置
JP6057725B2 (ja) * 2013-01-15 2017-01-11 三菱電機株式会社 情報処理装置
WO2014112170A1 (ja) * 2013-01-16 2014-07-24 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
CN104871477B (zh) * 2013-01-16 2018-07-10 三菱电机株式会社 加密系统、重加密密钥生成装置、重加密装置、加密方法
US8559631B1 (en) * 2013-02-09 2013-10-15 Zeutro Llc Systems and methods for efficient decryption of attribute-based encryption
EP2860905A1 (en) * 2013-10-09 2015-04-15 Thomson Licensing Method for ciphering a message via a keyed homomorphic encryption function, corresponding electronic device and computer program product
US9979536B2 (en) * 2013-10-09 2018-05-22 Mitsubishi Electric Corporation Cryptographic system, encryption device, re-encryption key generation device, re-encryption device, and cryptographic program
US20160344708A1 (en) * 2014-01-14 2016-11-24 Mitsubishi Electric Corporation Cryptographic system, re-encryption key generation device, re-encryption device, and cryptographic computer readable medium
EP3113405B1 (en) 2014-02-24 2020-10-28 Mitsubishi Electric Corporation Cipher system and cipher program
DE112014007235T5 (de) * 2014-12-05 2017-09-28 Mitsubishi Electric Corporation Kryptografisches System, Hauptschlüsselaktualisierungseinrichtung und Hauptschlüsselaktualisierungsprogramm
US9438412B2 (en) * 2014-12-23 2016-09-06 Palo Alto Research Center Incorporated Computer-implemented system and method for multi-party data function computing using discriminative dimensionality-reducing mappings
US10965459B2 (en) 2015-03-13 2021-03-30 Fornetix Llc Server-client key escrow for applied key management system and process
JP6305638B2 (ja) 2015-04-07 2018-04-04 三菱電機株式会社 暗号システム及び鍵生成装置
CN105635135B (zh) * 2015-12-28 2019-01-25 北京科技大学 一种基于属性集及关系谓词的加密系统及访问控制方法
US10931653B2 (en) * 2016-02-26 2021-02-23 Fornetix Llc System and method for hierarchy manipulation in an encryption key management system
CN106533697B (zh) * 2016-12-06 2019-11-08 上海交通大学 随机数生成与提取方法及其在身份认证上的应用
US10205713B2 (en) * 2017-04-05 2019-02-12 Fujitsu Limited Private and mutually authenticated key exchange
CA3067504A1 (en) 2017-07-18 2019-01-24 Legic Identsystems Ag Method and devices for verifying authorization of an electronic device
WO2021146859A1 (en) * 2020-01-20 2021-07-29 Nokia Shanghai Bell Co., Ltd. Data privacy protection based polar coding

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2744309B1 (fr) * 1996-01-26 1998-03-06 Bull Cp8 Procede de communicatin cryptographique asymetrique, et objet portatif associe
CN100588131C (zh) * 2003-02-12 2010-02-03 松下电器产业株式会社 发送装置及无线通信方法
US20070223686A1 (en) * 2004-09-16 2007-09-27 Shidong Li Methods and apparatus for data and signal encryption and decryption by irregular subspace leaping
US8190553B2 (en) * 2007-12-20 2012-05-29 Routt Thomas J Methods and systems for quantum search, computation and memory
EP2234322B1 (en) 2008-01-18 2019-10-02 Mitsubishi Electric Corporation Cryptographic parameter setting device, cryptographic system, program, and cryptographic parameter setting method
ES2496740T3 (es) * 2009-04-24 2014-09-19 Nippon Telegraph And Telephone Corporation Aparato de codificación, aparato de descodificación, método de codificación, método de descodificación, método y programa de seguridad y medio de almacenamiento

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10848471B2 (en) 2017-09-25 2020-11-24 Ntt Communications Corporation Communication apparatus, communication method, and program

Also Published As

Publication number Publication date
EP2424154A1 (en) 2012-02-29
EP2424154A4 (en) 2017-07-12
EP2424154B1 (en) 2021-04-07
JP2010273317A (ja) 2010-12-02
CN102415047A (zh) 2012-04-11
US20120045056A1 (en) 2012-02-23
KR20120068762A (ko) 2012-06-27
CN102415047B (zh) 2015-12-09
US8559638B2 (en) 2013-10-15
KR101359200B1 (ko) 2014-02-05
ES2873230T3 (es) 2021-11-03
WO2010122926A1 (ja) 2010-10-28

Similar Documents

Publication Publication Date Title
JP5349261B2 (ja) 暗号処理システム、鍵生成装置、鍵委譲装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム
KR101386294B1 (ko) 암호 처리 시스템, 키 생성 장치, 암호화 장치, 복호 장치, 서명 처리 시스템, 서명 장치 및 검증 장치
JP5769401B2 (ja) 暗号処理システム、鍵生成装置、鍵委譲装置、暗号化装置、復号装置、暗号処理方法及びプログラム
KR101393899B1 (ko) 암호 처리 시스템, 키 생성 장치, 암호화 장치, 복호 장치, 암호 처리 방법 및 암호 처리 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체
KR101443553B1 (ko) 암호 처리 시스템, 키 생성 장치, 암호화 장치, 복호 장치, 암호 처리 방법 및 암호 처리 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체
JP5334873B2 (ja) 暗号処理システム、鍵生成装置、鍵委譲装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム
KR101588992B1 (ko) 암호 시스템, 암호 방법 및 암호 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체
JP5606344B2 (ja) 署名処理システム、鍵生成装置、署名装置、検証装置、署名処理方法及び署名処理プログラム
CN107086912B (zh) 一种异构存储系统中的密文转换方法、解密方法及系统
JP5921410B2 (ja) 暗号システム
JP5606351B2 (ja) 暗号処理システム、鍵生成装置、暗号化装置、復号装置、鍵委譲装置、暗号処理方法及び暗号処理プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120413

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130610

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130723

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130820

R150 Certificate of patent or registration of utility model

Ref document number: 5349261

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250