JP5852551B2

JP5852551B2 - 関数型暗号システム、鍵生成装置、暗号化装置、復号装置、関数型暗号方法、およびプログラム

Info

Publication number: JP5852551B2
Application number: JP2012248102A
Authority: JP
Inventors: 麗生吉田; 星野　文学; 文学星野; 鉄太郎小林
Original assignee: Nippon Telegraph and Telephone Corp
Current assignee: Nippon Telegraph and Telephone Corp
Priority date: 2012-11-12
Filing date: 2012-11-12
Publication date: 2016-02-03
Anticipated expiration: 2032-11-12
Also published as: JP2014095847A

Description

この発明は、情報通信分野における暗号技術に関し、特に関数型暗号技術に関する。

現在最も広い言語表現を扱うことのできる関数型暗号方式が非特許文献１に記載されている。また、暗号文長や秘密鍵長の短い内積暗号方式が非特許文献２に記載されている。

非特許文献２に記載された内積暗号方式では、従来の内積暗号方式と比較して、暗号化処理や鍵生成処理の演算量が増加するが、復号時のペアリング演算を楕円曲線上のスカラ倍算で置き換えており復号処理の高速化が図られている。ペアリング演算の処理速度はパラメータの定義により変動し、必ずしもペアリング演算よりもスカラ倍算の方が高速であるわけではないが、暗号分野で利用する場合にはペアリング演算よりもスカラ倍算の方が早いケースが多いためである。暗号方式の実装によっては、復号処理のみを行い暗号化処理や鍵生成処理を行わない計算機が存在し得るため、暗号方式全体として高速化していなくとも、復号処理のみを高速化するメリットがある。

Tatsuaki Okamoto and Katsuyuki Takashima, "Fully secure functional encryption with general relations from the decisional linear assumption", CRYPTO 2010, pp. 191-208. Tatsuaki Okamoto and Katsuyuki Takashima, "Achieving short ciphertexts or short secret-keys for adaptively secure general inner-product encryption", CANS 2011, pp.138-159.

非特許文献１に記載された関数型暗号方式では、復号時のペアリング演算の回数が多く、特に携帯電話等の計算リソースの少ない計算機では、実用的な時間で復号できないという問題がある。

非特許文献２に記載された内積暗号方式では、非特許文献１に記載された関数型暗号方式よりも復号時のペアリング演算の回数が少ないが、扱うことのできる言語表現が狭く、特に否定表現を実用的な時間で扱うことが難しいという問題がある。

この発明の目的は、否定表現を含む広い言語表現を扱うことができ、復号時の処理速度が向上した関数型暗号技術を提供することである。

上記の課題を解決するために、この発明の関数型暗号システムは、鍵生成装置と暗号化装置と復号装置とを含む。この発明では、G,G_Tを素数位数qの巡回乗法群とし、gを群Gの生成元とし、F_qを位数qの有限体とし、dを正の整数とし、n^→:=(n₁,…,n_d)をd次元の属性フォーマットとし、V_t(t=0,…,d)を有限体F_q上の4n_t次元ベクトル空間とし、A_t(t=0,…,d)を空間V_tの標準基底とし、eをV_t×V_t→G_Tの双線形写像とし、GL(N,F_q)を有限体F_q上のN次元一般線形群とし、x^→ _t,v^→ _t(t=1,…,d)をn_t次元の属性ベクトルとし、Γを{(t,v^→ _t)}(t=1,…,d)である属性集合とし、MをL行r列の行列とし、ρ(・)を・に対して肯定形の組(t,x^→ _・)もしくは否定形の組¬(t,x^→ _・)であるラベルとし、Sを行列Mとラベルρからなるアクセスストラクチャとし、X₀を一般線形群GL(N,F_q)からランダムに生成した行列とし、X_t(t=1,…,d)を乱数μ^* _t,i,j,μ’^* _t,i,j,L(t=1,…,d;i,j=1,…,4;L=1,…,n_t)を要素に持つ行列とし、1^→をすべての要素の値が1であるベクトルとし、e^→ _t,jをj番目の要素が1でその他の要素が0であるn_t次元の標準基底ベクトルであるとする。

鍵生成装置は、属性フォーマットn^→を入力とし、d組の双対ペアリングベクトル空間param_Vt:=(q,V_t,G_T,A_t,e)(t=1,…,d)と、乱数Ψと生成元gを用いて線形写像eにより算出した値g_Tとから、パラメータparam:=({param_Vt},g_T)を生成し、t=0,…,dについて、行列X_tと標準基底A_tを用いて基底B_tを生成し、行列X₀と標準基底A₀を用いて基底B^* ₀を生成し、基底B_tを用いて基底B^_tを生成し、基底B^* ₀を用いて基底B^^* ₀を生成し、乱数μ^* _t,i,jと生成元gの積である値B^* _t,i,jを求め、乱数μ’^* _t,i,j,Lと生成元gの積である値B’^* _t,i,j,Lを求め、パラメータparamと基底B^_tを含む公開鍵pkと、基底B^^* ₀と値B^* _t,i,jと値B’^* _t,i,j,Lを含むマスタ秘密鍵skとを生成する初期化部と、公開鍵pkとマスタ秘密鍵skと属性集合Γを入力として、基底B₀を用いて鍵要素k^* ₀を求め、t=1,…,dについて、値B^* _t,1,jと値B^* _t,3,jとを用いて鍵要素K^* _t,1,jを求め、値B’^* _t,1,j,Lと値B’^* _t,3,j,Lと属性ベクトルv^→ _tとを用いて鍵要素K^* _t,2,jを求め、属性集合Γと鍵要素k^* ₀,K^* _t,1,j,K^* _k,2,jを含む秘密鍵sk_Γを生成する鍵生成部と、を含む。

暗号化装置は、公開鍵pkと平文mとアクセスストラクチャSを入力とし、r次元の乱数ベクトルf^→に基づいて生成された秘密s₀と基底B₀を用いて暗号文要素c₀を求め、i=1,…,Lについて、ラベルρ(i)が肯定形の組(t,x^→ _i)であれば、行列Mと乱数ベクトルf^→に基づいて生成された分散値s_iと基底B_tを用いて暗号文要素c_iを求め、ラベルρ(i)が否定形の組¬(t,x^→ _i)であれば、標準基底ベクトルe^→ _t,1と分散値s_iと基底B_tを用いて暗号文要素c_iを求め、平文mと値g_Tと乱数ζとを用いて暗号文要素c_d+1:=g_T ^ζ*mを計算し、アクセスストラクチャSと暗号文要素c₀,…,c_L,c_d+1を含む暗号文ctを生成する暗号化部を含む。

復号装置は、公開鍵pkと秘密鍵sk_Γと暗号文ctを入力とし、属性集合Γとラベルρ(i)とに基づいて、i=1,…,Lのうち、ラベルρ(i)が肯定形の組(t,x^→ _i)でありx^→ _iとv^→ _tの内積が0であるiと、ラベルρ(i)が否定形の組¬(t,x^→ _i)でありx^→ _iとv^→ _tの内積が0でないiとを含む集合Iを求め、i∈Iについて、行列Mのi行目と掛け合わせた総和が1^→となる係数α_iを求め、暗号文要素c_iを値C_i,1,…,C_i,4niに分解した上で、次の式を計算して値Fを求め、

暗号文要素c_d+1と値Fとを用いて平文m:=c_d+1/Fを計算する復号部を含む。

この発明の関数型暗号技術によれば、否定表現を含む広い言語表現を扱うことができる。また、従来よりも復号時に実行するペアリング演算の回数が減少しているため、復号の処理速度が向上する。

関数型暗号システムの機能構成を例示する図。鍵生成装置の機能構成を例示する図。暗号化装置の機能構成を例示する図。復号装置の機能構成を例示する図。鍵生成処理の処理フローを例示する図。暗号化処理の処理フローを例示する図。復号処理の処理フローを例示する図。

実施形態の説明に先立ち、この明細書で用いる表記方法および用語を定義し、従来技術の概要およびこの発明の概要を説明する。
［表記方法］

は、ある値a,bについて、aにbを代入する、またはaをbで定義することを表す。

は、ある有限集合Sについて、集合Sから要素rを一様ランダムに選ぶことを表す。

は、ある確率的多項式時間アルゴリズムAについて、アルゴリズムAがxを入力にとり、乱数を生成して動作し、aを出力することを表す。

(・)^Tは、・の転置行列を表す。(・)^-1は、・の逆行列を表す。

∧は論理積（ＡＮＤ）を表す論理記号である。∨は論理和（ＯＲ）を表す論理記号である。¬は否定（ＮＯＴ）を表す論理記号である。

F_qは素数qを位数とする有限体である。F_q ^×は有限体F_qの乗法群である。

Zは整数集合を表す。λはセキュリティパラメータであり、λ∈Zかつλ>0である。

は、有限体F_q上のベクトル表現を表す。x^→（上付き文字の→）も同様である。つまり、x^→は(x₁,…,x_n)∈F_qを表す。

は、x^→とv^→の内積を表す。すなわち、x^→:=(x₁,…,x_n)、v^→:=(v₁,…,v_n)であるとして、

である。
b_i(i=1,…,n)が空間Vのベクトルの要素であるとき、すなわちb_i∈V(i=1,…,n)のとき、span<b₁,…,b_n>⊆Vは、b₁,…,b_nによって生成される部分空間である。

基底B:=(b₁,…,b_N)と基底B^*:=(b^* ₁,…,b^* _N)に対し、

である。
標準基底ベクトルe^→ _j(j=1,…,n)は

である。
［双線形写像］
双線形写像とは、楕円曲線上の二点に定義されるペアリング演算を行うための関数である。G×G→G_Tの双線形写像eは以下の性質を満たす。
＜双線型性＞任意のg,h∈Gおよび任意のa,b∈F_qに対して、e(ag,bh)=e(g,h)^abが成立する。
＜非退化性＞e(g,g)≠1を満たすgが存在する。つまり、もしgがGの生成元ならe(g,g)はG_Tの生成元である。
＜計算可能性＞任意のg,h∈Gに対して、e(g,h)を多項式時間で計算可能である。

双線形写像の具体例としては、例えば、WeilペアリングやTateペアリングなどが考えられる。ペアリング演算をコンピュータ上で行うためのアルゴリズムとしては、周知のMillerのアルゴリズムなどが存在する。詳しくは「D. Boneh and M. K. Franklin. “Identity-Based Encryption from the Weil Pairing.”, In CRYPTO’01,volume 2139 of Lecture Notes in Computer Science, pages 213-229. Springer, 2001.」や「D. Moriyama, R. Nishimaki, and T. Okamoto. “公開鍵暗号の数理” 共立出版, 2011.」および「黒澤馨, “現代暗号への招待”, サイエンス社」を参照されたい。

［対称ペアリング群(Symmetric bilinear pairing groups)］
対称ペアリング群(q,g,G,G_T,e)は、素数q、位数qの巡回加法群G、位数qの巡回乗法群G_T、群Gの生成元g、およびV×V→G_Tである双線形写像eの組である。双線形写像eは、e(sg,tg)=e(g,g)^st、かつe(g,g)≠1である。対称ペアリング群生成アルゴリズムG_bpgは1^λを入力として、対称ペアリング群(q,g,G,G_T,e)を出力する。

［双対ペアリングベクトル空間(Dual Pairing Vector Space, DPVS)］
対称ペアリング群(q,g,G,G_T,e)による双対ペアリングベクトル空間(q,V,G_T,A,e)とは、素数q、有限体F_q上のN次元ベクトル空間V、位数qの巡回群G_T、N次元ベクトル空間Vの標準基底A、およびV×V→G_Tである双線形写像eの組である。

N次元ベクトル空間Vは以下の式で定義される。

N次元ベクトル空間Vの標準基底Aは以下の式で定義される。

双線形写像eは以下の式で定義される。

これは非退化双線形である。つまり、e(sx,ty)=e(x,y)^st、かつ、もしすべてのy∈Vに対しe(x,y)=1ならばx=0である。すべてのiおよびjに対しe(a_i,a_j)=e(G,G)^δi,jである。ただし、i=jならδ_i,j=1、そうでなければδ_i,j=0である。またe(G,G)≠1∈G_Tである。

双対ペアリングベクトル空間は、空間V上の線形変換φ_i,jを持つ。φ_i,j(a_j)=a_iかつφ_i,j(a_k)(k≠j)である線形変換φ_i,jは以下の式により容易に実現できる。以下、線形変換φ_i,jをディストーション写像と呼ぶ。

双対ペアリングベクトル空間生成アルゴリズムG_dpvsは、1^λと空間Vの次元数である自然数Nを入力として、ベクトル空間パラメータparam_V:=(q,V,G_T,A,e)を得る。双対ペアリングベクトル空間生成アルゴリズムG_dpvsは対称ペアリング群生成アルゴリズムG_bpgを使用して構成することができる。

非対称双対ペアリングベクトル空間(q,V,V^*,G_T,A,A^*,e)については、非特許文献１を参照されたい。対称双対ペアリングベクトル空間(q,V,G_T,A,e)は、非対称双対ペアリングベクトル空間(q,V,V^*,G_T,A,A^*,e)において、V=V^*としA=A^*とすれば構成できる。

［関数型暗号方式］
関数型暗号方式は、暗号化鍵と復号鍵との間の関係をより高度化し、より柔軟にした暗号方式である。

関数型暗号方式において、暗号化鍵ekと復号鍵dkとは、それぞれ属性xと属性vとが設定されている。そして、関係Rに対してR(x,v)が成立する場合に限り、復号鍵dkは暗号化鍵ekで暗号化された暗号文ctを復号することができる。

Rが等号関係である場合、つまりx=vである場合に限りR(x,v)が成立する場合、関数型暗号方式はIDベース暗号方式(Identity Based Encryption, IBE)である。

IDベース暗号方式よりも一般化された関数型暗号方式として、属性ベース暗号方式(Attribute Based Encryption, ABE)がある。属性ベース暗号方式では、暗号化鍵ekと復号鍵dkとに設定される属性x,vが属性の組である。例えば、暗号化鍵ekと復号鍵dkとに設定される属性が、それぞれx:=(x₁,…,x_d)とv:=(v₁,…,v_d)とである。そして、属性のコンポーネントについて、コンポーネント毎の等号関係（例えば、{x_t=v_t}_{t∈{1,…,d}}）がアクセスストラクチャSに入力される。そして、アクセスストラクチャSが入力を受理した場合にのみ、R(x,v)が成立する。つまり、暗号化鍵ekで暗号化された暗号文ctを復号鍵dkで復号することができる。

アクセスストラクチャSが復号鍵dkに埋め込まれている場合、属性ベース暗号方式は、Key-Policy ABE(KP-ABE)と呼ばれる。一方、アクセスストラクチャSが暗号文ctに埋め込まれている場合、属性ベース暗号方式は、Ciphertext-Policy ABE(CP-ABE)と呼ばれる。

内積述語暗号(Inner-Product Encryption, IPE)も関数型暗号の１つのクラスである。ここでは、暗号化鍵ekと復号鍵dkとに設定される属性がそれぞれ体又は環上のベクトルである。例えば、x^→:=(x₁,…,x_n)∈F_q ⁿとv^→:=(v₁,…,v_n)∈F_q ⁿとがそれぞれ暗号化鍵ekと復号鍵dkとに設定される。そして、x^→・v^→=0である場合に限り、R(x^→,v^→)が成立する。

［スパンプログラム］
{p₁,…,p_n}を変数の集合とする。有限体F_q上のスパンプログラムは、ラベル付けされた行列M^:=(M,ρ)である。Mは有限体F_q上のL行r列の行列であり、ρは行列Mの各行をリテラル{p₁,…,p_n,¬p₁,…,¬p_n}によりラベル付けする。なお、行列Mのすべての行はいずれかのリテラルでラベル付けされる。すなわち、ρ:{1,…,L}→{p₁,…,p_n,¬p₁,…,¬p_n}である。

すべての入力列δ∈{0,1}ⁿについて、行列Mの部分行列M_δが定義される。部分行列M_δは入力列δに対応してラベルに“1”が設定された行列Mの行から構成される。すなわち、部分行列M_δはδ_i=1であるような変数p_iでラベル付けされた行、もしくはδ_i=0であるような変数¬p_iでラベル付けされた行のいずれかから構成される。すなわち、γ:{1,…,L}→{0,1}は、[p(j)=p_i]∧[δ_i=1]∨[p(j)=¬p_i]∧[δ_i=0]の場合、γ(j)=1であり、その他の場合、γ(j)=0である。Mjを行列Mのj番目の行として、M_δ:=(M_j)_γ(j)=1である。

スパンプログラムM^は1^→∈span<M_δ>である場合のみ、入力列δを受理する。すなわち、部分行列Mδの行の線形結合が1^→である場合のみ、入力列δを受理する。ただし、1^→は、各要素の値が“1”である行ベクトルである。スパンプログラムはブール関数fを実行し、f(δ)=1のときに入力列δを受理する。

スパンプログラムは、行ラベルが肯定的なリテラル{p₁,…,p_n}のみである場合、モノトーンと呼ばれる。モノトーンスパンプログラムは、モノトーン関数を計算する。行ラベルがすべてのリテラル{p₁,…,p_n,¬p₁,…,¬p_n}を含む一般的なスパンプログラムは、非モノトーンと呼ばれる。

この発明では、行列Mは、i=1,…,Lについて、M_i≠0^→であることを前提とする。この発明の関数型暗号方式では、属性ベクトルの内積を用いて写像γを評価する非モノトーンアクセスストラクチャを用いる。

［属性ベクトルの内積とアクセスストラクチャ］
非特許文献１によれば、U_t(t=1,…,d;U_t⊂{0,1}^*)は、部分全集合であり、属性の集合である。各U_tは、部分全集合の識別情報tと、n_t次元ベクトルv^→とを含む。すなわち、U_t:=(t,v^→)である。ここで、t∈{1,…,d}であり、v^→∈F_q ^ntである。

部分全集合U_t:=(t,v^→)をスパンプログラムM^:=(M,ρ)における変数pとする。つまり、p:=(t,v^→)である。アクセスストラクチャSを、変数p:=(t,v^→),p’:=(t’,v^’→),…としたスパンプログラムM^:=(M,ρ)とする。すなわち、アクセスストラクチャS:=(M,ρ)であり、ρ:{1,…,L}→{(t,v^→),(t’,v^’→),…,¬(t,v^→),¬(t’,v^’→),…}である。

Γは属性集合である。すなわち、Γ:={(t,x^→ _t)|x^→ _t∈F_q ^nt,1≦t≦d}である。ここで、1≦t≦dは、tが{1,…,d}の一部であることを意味している。

属性集合ΓがアクセスストラクチャSに与えられる場合、スパンプログラムM^:=(M,ρ)に対する写像γ:{1,…,L}→{0,1}は以下のように定義される。i=1,…,Lについて、[ρ(i)=(t,v^→ _i)]∧[(t,x^→ _t)∈Γ]∧[v^→ _i・x^→ _t=0]であるとき、もしくは[ρ(i)=¬(t,v^→ _i)]∧[(t,x^→ _t)∈Γ]∧[v^→ _i・x^→ _t≠0]であるとき、γ(i)=1を設定する。その他の場合には、γ(i)=0を設定する。アクセスストラクチャS:=(M,ρ)は、1^→∈span<(M_i)_γ(i)=1>であれば、Γを受理する。

［秘密分散方式］
スパンプログラムM^:=(M,ρ)の秘密分散方式は以下の通りである。

MをL行r列の行列とする。f^→Tを以下の式で定義される列ベクトルとする。

s₀は共有すべき秘密であり、以下の式で定義される。

s^→Tは秘密s₀のL個の分散値からなるベクトルであり、以下の式で定義される。なお、分散値s_iはρ(i)に属する。

スパンプログラムM^:=(M,ρ)がδを受理する場合、もしくはアクセスストラクチャS:=(M,ρ)がΓを受理する場合、すなわち、γ:{1,…,L}→{0,1}として1^→∈span<(M_i)_γ(i)=1>である場合、以下の式で定義される定数{α_i∈F_q|i∈I}が存在する。ただし、I⊆{i∈{1,…,L}|γ(i)=1}である。

なお、定数{α_i}は行列Mの大きさの多項式時間で計算可能である。

［Ciphertext-Policy関数型暗号方式(CP-FE)］
Ciphertext-Policy関数型暗号方式は、4つのアルゴリズム(Setup,KeyGen,Enc,Dec)から構成される。
＜Setupアルゴリズム＞セキュリティパラメータと属性フォーマットn^→:=(d,n₁,…,n_d)とを入力とし、公開鍵pkとマスタ秘密鍵skを出力する。
＜KeyGenアルゴリズム＞属性集合Γ:={(t,v^→ _t)|v^→ _t∈F_q ^nt,1≦t≦d}と公開鍵pkとマスタ秘密鍵skとを入力とし、暗号化鍵を出力する。
＜Encアルゴリズム＞平文mとアクセスストラクチャS:=(M,ρ)と公開鍵pkとを入力とし、暗号文を出力する。
＜Decアルゴリズム＞アクセスストラクチャSの下で暗号化された暗号文と属性集合Γのための暗号化鍵と公開鍵pkとを入力とし、平文mもしくは識別情報⊥を出力する。

［実施形態］
以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

＜構成＞
図１を参照して、この実施形態の関数型暗号システム１０の構成例を説明する。関数型暗号システム１０は、鍵生成装置１と暗号化装置２と復号装置３とを含む。鍵生成装置１と暗号化装置２と復号装置３はネットワーク４に接続される。ネットワーク４は、接続される各装置が相互に通信可能なように構成されていればよく、例えばインターネットやＬＡＮ（Local Area Network）、ＷＡＮ（Wide Area Network）などで構成することができる。なお、各装置は必ずしもネットワークを介してオンラインで通信可能である必要はない。例えば、鍵生成装置１の出力する情報を磁気テープやＵＳＢメモリなどの可搬型記録媒体に記憶し、その可搬型記録媒体からオフラインで暗号化装置２もしくは復号装置３へ入力するように構成してもよい。他の装置間における情報伝播に関しても同様であるので詳細な説明は省略する。

図２を参照して、この実施形態の関数型暗号システム１０に含まれる鍵生成装置１の構成例を説明する。鍵生成装置１は、制御部１０１、メモリ１０２、入力部１１、初期化部１２、鍵生成部１３、出力部１４を備える。鍵生成装置１は、例えば、ＣＰＵ（Central Processing Unit）、ＲＡＭ（Random Access Memory）等を有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。鍵生成装置１は制御部１０１の制御のもとで各処理を実行する。鍵生成装置１に入力されたデータや各処理で得られたデータはメモリ１０２に格納され、メモリ１０２に格納されたデータは必要に応じて読み出されて他の処理に利用される。

図３を参照して、この実施形態の関数型暗号システム１０に含まれる暗号化装置２の構成例を説明する。暗号化装置２は、制御部２０１、メモリ２０２、入力部２１、暗号化部２２、出力部２３を備える。暗号化装置２は、例えば、ＣＰＵ（Central Processing Unit）、ＲＡＭ（Random Access Memory）等を有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。暗号化装置２は制御部２０１の制御のもとで各処理を実行する。暗号化装置２に入力されたデータや各処理で得られたデータはメモリ２０２に格納され、メモリ２０２に格納されたデータは必要に応じて読み出されて他の処理に利用される。

図４を参照して、この実施形態の関数型暗号システム１０に含まれる復号装置３の構成例を説明する。復号装置３は、制御部３０１、メモリ３０２、入力部３１、復号部３２、出力部３３を備える。復号装置３は、例えば、ＣＰＵ（Central Processing Unit）、ＲＡＭ（Random Access Memory）等を有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。復号装置３は制御部３０１の制御のもとで各処理を実行する。復号装置３に入力されたデータや各処理で得られたデータはメモリ３０２に格納され、メモリ３０２に格納されたデータは必要に応じて読み出されて他の処理に利用される。

＜鍵生成処理＞
図５を参照して、関数型暗号システム１０の実行する鍵生成処理の動作例について手続きの順に従って詳細に説明する。

鍵生成装置１の備える入力部１１へセキュリティパラメータλと属性フォーマットn^→が入力される（ステップＳ１１）。セキュリティパラメータλと属性フォーマットn^→は、初期化部１２へ入力される。初期化部１２は、この発明の関数型暗号方式のSetupアルゴリズムを実行する。属性フォーマットn^→は、n^→:=(d;n₁,…,n_t)で表現されるd次元ベクトルである。Setupアルゴリズムは、セキュリティパラメータλと属性フォーマットn^→を入力として、公開鍵pkとマスタ秘密鍵skを出力する。

Setupアルゴリズムは、まず、正規直交基底生成アルゴリズムg_obを実行する。正規直交基底生成アルゴリズムg_obは、1^λを入力として、パラメータparamと基底B₀,B^* ₀と値B^* _t,i,j,B’^* _t,i,j,L(t=1,…,d;i,j=1,…,4;L=1,…,N_t)を出力する。

以下に、正規直交基底生成アルゴリズムg_obの一例を示す。正規直交基底生成アルゴリズムg_obは、1^λを入力として対称ペアリング群生成アルゴリズムG_bpgを実行し、素数qと位数qの巡回乗法群G,G_Tと群Gの生成元gと線型写像eからなる対称ペアリング群param_G:=(q,G,G_T,g,e)を生成する。

次に、値N₀に5を設定する。また、t=0,…,dについて、値N_tに4n_tを設定する。さらに、乗法群F_q ^×から乱数Ψを選択し、値g_T:=e(g,g)^Ψを計算する。

次に、t=0,…,dについて、1^λと値N_tと対称ペアリング群param_Gを入力として、双対ペアリングベクトル空間生成アルゴリズムG_dpvsを実行することで、それぞれが素数qと空間V_tと位数qの巡回乗法群G_Tと標準基底A_tと線型写像eからなるparam_V0,…,param_Vdを生成する。

そして、param_V0,…,param_Vdとg_Tからなるパラメータparamを生成する。

次に、一般線形群GL(N₀,F_q)からランダムに値χ_0,i,j(i,j=1,…,4)を選択して、行列X₀を生成する。

また、有限体F_qからランダムに値μ^* _t,i,jおよび値μ’^* _t,i,j,L(t=1,…,d;i,j=1,…,4;L=1,…,n_t)を選択し、行列X_tを生成する。

次に、t=0,…,dについて、乱数Ψと行列X_tを用いて値θ_t,i,j(i,j=1,…,N_t)を生成する。

次に、t=0,…,d;i=1,…,N_tについて、値θ_t,i,jと標準基底A_tを用いて、基底ベクトルb_t,iを生成し、基底B_tを生成する。

また、i=1,…,5について、値χ_0,i,1,…,χ_0,i,5と標準基底A₀を用いて、基底ベクトルb^* _0,iを生成し、基底B^* ₀を生成する。

次に、t=1,…,d;i,j=1,…,4について、値μ^* _t,i,jと生成元gを用いて、値B^* _t,i,jを求める。

また、t=1,…,d;i,j=1,…,4;L=1,…,N_tについて、値μ’^* _t,i,j,Lと生成元gを用いて、値B’^* _t,i,j,Lを求める。

そして、正規直交基底生成アルゴリズムg_obは、パラメータparamと基底B₀,B^* ₀と値B^* _t,i,j,B’^* _t,i,j,L(t=1,…,d;i,j=1,…,4;L=1,…,Nt)を出力する。

Setupアルゴリズムは、基底B₀の基底ベクトルb_0,1,b_0,3,b_0,5を用いて、基底B^₀を生成する。また、基底B^* ₀の基底ベクトルb^* _0,1,b^* _0,3,b^* _0,4を用いて、基底B^^* ₀を生成する。

次に、t=1,…,dについて、基底B_tの基底ベクトルb_t,1,…,b_t,nt,b_t,3nt+1,…,b_t,4ntを用いて、基底B^_tを生成する。

そして、Setupアルゴリズムは、公開鍵pk:=(1^λ,param,{B^_t})とマスタ秘密鍵sk:=(B^^* ₀,{B^* _t,i,j,B’^* _t,i,j,L})を出力する。

公開鍵pkは公開される。公開の方法は限定されない。鍵生成装置１から暗号化装置２および復号装置３へ直接配布されてもよいし、ＰＫＩ（Public Key Infrastracture、公開鍵基盤）などを通じて暗号化装置２および復号装置３が取得可能としてもよい。マスタ秘密鍵skは鍵生成装置１が秘密に保持する。

鍵生成装置１の備える鍵生成部１３は、この発明の関数型暗号方式のKeyGenアルゴリズムを実行する（ステップＳ１３）。KeyGenアルゴリズムは、公開鍵pkとマスタ秘密鍵skと属性集合Γを入力として、秘密鍵sk_Γを出力する。属性集合Γは値tと属性ベクトルv^→ _tの組からなる。属性ベクトルv^→ _tは、有限体F_q上のn_t次元ベクトルであり、v_t,1=1である。

KeyGenアルゴリズムは、まず、t=1,…,dについて、有限体F_qから乱数δ,ψ₀,ψ_tを選択する。

次に、乱数δ,ψ₀と基底B₀を用いて、鍵要素k^* ₀を生成する。

また、t=1,…,d;i=1,3について、乱数δ,ψ_tと値B^* _t,i,jを用いて、鍵要素K^* _t,1,jを求める。

また、t=1,…,dについて、ベクトルv^→ _tと値B’^* _t,i,j,Lを用いて、鍵要素K^* _t,2,jを求める。

そして、KeyGenアルゴリズムは、属性要素Γと鍵要素k^* ₀,K^* _t,1,j,K^* _t,2,jを用いて秘密鍵sk_Γを生成し出力する。

秘密鍵sk_Γは出力部１３を介して出力される（ステップＳ１３）。秘密鍵sk_Γは復号装置３へ送信される。秘密鍵sk_Γの送受信は安全な通信路を経由して送受信されなければならない。例えば、周知の暗号化技術により安全性が確保された情報伝達手段を用いてもよい。また、磁気テープやＵＳＢメモリなどの可搬型記録媒体を経由して、鍵生成装置１から復号装置３へ搬送されてもよい。

＜暗号化処理＞
図６を参照して、関数型暗号システム１０の実行する暗号化処理の動作例について手続きの順に従って詳細に説明する。

公開鍵pkと平文mとアクセスストラクチャSが入力部２１を介して暗号化装置２へ入力される（ステップＳ２１）。これらはすべて同時に入力されなくてもよく、例えば、公開鍵pkはあらかじめ入力されており、平文mとアクセスストラクチャSが入力されるまでメモリ２０２等に記憶しておいてもよい。また、公開鍵pkと平文mとアクセスストラクチャSが入力された後、即時に以降の処理を実行しなくてもよい。例えば、利用者の操作やスケジュールによる自動実行など、処理開始の契機は限定されない。

公開鍵pkと平文mとアクセスストラクチャSは暗号化部２２へ入力される。暗号化装置２の備える暗号化部２２は、この発明の関数型暗号方式のEncアルゴリズムを実行する（ステップＳ２２）。Encアルゴリズムは、公開鍵pkと平文mとアクセスストラクチャSを入力として、暗号文ctを出力する。アクセスストラクチャSはL行r列の行列Mとラベルρからなる。ラベルρ(i)は、iに対して肯定形の組(t,x^→ _i)もしくは否定形の組¬(t,x^→ _i)であるラベルである。属性ベクトルx^→ _iは、有限体F_q上のn_t次元ベクトルであり、x_i,nt≠0である。

Encアルゴリズムは、まず、有限体F_q上のr次元ベクトルf^→をランダムに生成する。

次に、乱数ベクトルf^→と行列Mを用いて、秘密s₀の分散値であるL次元ベクトルs^→を生成する。また、乱数ベクトルf^→を用いて、秘密s₀を求める。

次に、i=1,…,Lについて、有限体F_qからn_t次元の乱数ベクトルη^→ _iを生成し、乱数η₀,τ_i,ζを選択する。

次に、秘密s₀と乱数ζ,η₀と基底B₀を用いて、暗号文要素c₀を生成する。

また、i=1,…,Lについて、ラベルρ(i)が肯定形の組(t,x^→ _i)であれば、標準基底ベクトルe^→ _t,1と分散値s_iと乱数τ_iと乱数ベクトルη^→ _iと基底B_tを用いて、暗号文要素c_iを生成する。ラベルρ(i)が否定形の組¬(t,x^→ _i)であれば、属性ベクトルx^→ _iと分散値s_iと乱数ベクトルη^→ _iと基底B_tを用いて、暗号文要素c_iを生成する。

次に、値g_Tと乱数ζと平文mを用いて、暗号文要素c_d+1を計算する。

そして、Encアルゴリズムは、アクセスストラクチャSと暗号文要素c₀,c₁,…,c_L,c_d+1を用いて暗号文ctを生成し出力する。

暗号文ctは出力部２３を介して出力される（ステップＳ２３）。暗号文ctは復号装置３へ送信される。暗号文ctの送受信はどのような方法を用いてもよい。

＜復号処理＞
図７を参照して、関数型暗号システム１０の実行する復号処理の動作例について手続きの順に従って詳細に説明する。

公開鍵pkと秘密鍵sk_Γと暗号文ctが入力部３１を介して復号装置３へ入力される（ステップＳ３１）。これらはすべて同時に入力されなくてもよく、例えば、公開鍵pkと秘密鍵sk_Γはあらかじめ入力されており、暗号文ctが入力されるまでメモリ３０２等へ記憶しておいてもよい。また、公開鍵pkと秘密鍵sk_Γと暗号文ctが入力された後、即時に以降の処理を実行しなくてもよい。例えば、利用者の操作やスケジュールによる自動実行など、処理開始の契機は限定されない。

公開鍵pkと秘密鍵sk_Γと暗号文ctは復号部３２へ入力される。復号装置３の備える復号部３２は、この発明の関数型暗号方式のDecアルゴリズムを実行する（ステップＳ３２）。Decアルゴリズムは、公開鍵pkと秘密鍵sk_Γと暗号文ctを入力とし、平文mを出力する。

Decアルゴリズムは、まず、入力されたアクセスストラクチャSが行列Mとラベルρの組であることを確認する。確認ができたら秘密鍵sk_Γに含まれる属性集合Γを受理する。i=1,…,Lについて、ラベルρ(i)が肯定形の組(t,x^→ _i)であり、肯定形の組(t,x^→ _i)が属性集合Γに含まれており、x^→ _iとv^→ _tの内積が0であるiと、ラベルρ(i)が否定形の組¬(t,x^→ _i)であり、否定形の組¬(t,x^→ _i)が属性集合Γに含まれており、x^→ _iとv^→ _tの内積が0でないiとを抽出して集合Iを求める。

次に、i∈Iについて、行列Mのi行目と掛け合わせた総和が1^→となる係数α_iを求める。

次に、i=1,…,Lについて、暗号文要素c_iをそれぞれ4n_i個に分割し、値C_i,1,…,C_i,4niを生成する。また、属性ベクトルv^→ _tと値C_i,1,…,C_i,4niを用いて、値D_i,jを求める。

次に、暗号文要素c₀と鍵要素k^* ₀と値D_i,jと値K^* _t,1,j,K^* _t,2,jと係数α_iと属性ベクトルx^→ _i,v^→ _tを用いて、値Fを計算する。

そして、Decアルゴリズムは、暗号文要素c_d+1と値Fを用いて平文mを計算し出力する。

平文mは出力部３３を介して出力される（ステップＳ３３）。

＜効果＞
この発明の関数型暗号技術による復号の処理速度と、従来の関数型暗号方式の復号の処理速度を比較する。以下では、Aを楕円加算1回の演算時間とし、Sを楕円スカラ倍算の演算時間とし、Pをペアリングの演算時間とする。なお、有限体上の演算は無視できるほど小さいとして考える。

非特許文献１に記載された従来の関数型暗号方式では、復号の演算時間は下記の式で表すことができる。

この発明の関数型暗号技術では、復号の演算時間は下記の式で表すことができる。

この発明の関数型暗号技術は非特許文献１に記載された関数型暗号技術と比較して、ペアリングの演算時間が(Σ^d _t=13n_t+2)Pから9Pへ減少している。一方で、楕円加算の演算時間がΣ^d _t=14(n_t-2)A、楕円スカラ倍算の演算時間がΣ^d _t=14(n_t-1)S、と増加している。

様々なハードウェアを用いた各演算の処理時間が、例えば「Jean-Luc Beuchat, Jorge Enrique Gonzalez-Diaz, Shigeo Mitsunari, Eiji Okamoto, Francisco Rodriguez-Henriquez, and Tadanori Teruya, “High-speed software imple-mentation of the optimal ate pairing over barreto-naehrig curves”,Pairing 2010, pp. 21-39.（参考文献１）」などに開示されている。参考文献１に依れば、各演算の演算時間は、素体上の楕円加算が0.005034ミリ秒、スカラ倍算が0.262895ミリ秒、ペアリングが0.861208ミリ秒である。例えば、d=10とし、すべてのtについてn_t=10とすると、非特許文献１に記載された関数型暗号技術では、復号時の演算時間が275.58656ミリ秒となる。この発明の関数型暗号技術では、復号時の演算時間が102.55416ミリ秒となる。両者を比較すると、この発明の関数型暗号技術の復号処理の方が約63%高速化することがわかる。

このように、この発明の関数型暗号技術は、従来の関数型暗号方式と同様に、否定表現を含む広い言語表現を実現しつつ、復号時の処理におけるペアリング演算を楕円加算とスカラ倍算に置き換えることで、復号処理を高速化することができる。

［安全性］
この発明の実行する関数型暗号方式は、安全性向上のために周知の変換手法を適用することができる。例えば「Dan Boneh, Jonathan Katz, “Improved Efficiency for CCA-Secure Cryptosystems Built Using Identity-Based Encryption”, RSA-CT '05, LNCS 3376, pp. 87-103, 2005.（参考文献２）」に記載されている、いわゆるBoneh-Katz変換を適用することにより、選択暗号文攻撃(Chosen Ciphertext Attack, CCA)に対して安全な暗号方式に変換することが可能である。Boneh-Katz変換の詳細な構成方法については、参考文献２を参照されたい。

［プログラム、記録媒体］
この発明は上述の実施形態に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。上記実施例において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。

また、上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

また、このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ−ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

１０関数型暗号システム
１鍵生成装置
２暗号化装置
３復号装置
４ネットワーク
１１入力部
１２初期化部
１３鍵生成部
１４出力部
２１入力部
２２暗号化部
２３出力部
３１入力部
３２復号部
３３出力部
１０１，２０１，３０１制御部
１０２，２０２，３０２メモリ

Claims

鍵生成装置と暗号化装置と復号装置とを含む関数型暗号システムであって、
G,G_Tを素数位数qの巡回乗法群とし、gを群Gの生成元とし、F_qを位数qの有限体とし、dを正の整数とし、n^→:=(n₁,…,n_d)をd次元の属性フォーマットとし、V_t(t=0,…,d)を有限体F_q上の4n_t次元ベクトル空間とし、A_t(t=0,…,d)を空間V_tの標準基底とし、eをV_t×V_t→G_Tの双線形写像とし、GL(N,F_q)を有限体F_q上のN次元一般線形群とし、x^→ _t,v^→ _t(t=1,…,d)をn_t次元の属性ベクトルとし、Γを{(t,v^→ _t)}(t=1,…,d)である属性集合とし、MをL行r列の行列とし、ρ(・)を・に対して肯定形の組(t,x^→ _・)もしくは否定形の組¬(t,x^→ _・)であるラベルとし、Sを行列Mとラベルρからなるアクセスストラクチャとし、X₀を一般線形群GL(N,F_q)からランダムに生成した行列とし、X_t(t=1,…,d)を乱数μ^* _t,i,j,μ’^* _t,i,j,L(t=1,…,d;i,j=1,…,4;L=1,…,n_t)を要素に持つ行列とし、1^→をすべての要素の値が1であるベクトルとし、e^→ _t,jをj番目の要素が1でその他の要素が0であるn_t次元の標準基底ベクトルであるとし、
前記鍵生成装置は、
前記属性フォーマットn^→を入力とし、d組の双対ペアリングベクトル空間param_Vt:=(q,V_t,G_T,A_t,e)(t=1,…,d)と、乱数Ψと前記生成元gを用いて前記線形写像eにより算出した値g_Tとから、パラメータparam:=({param_Vt},g_T)を生成し、t=0,…,dについて、前記行列X_tと前記標準基底A_tを用いて基底B_tを生成し、前記行列X₀と前記標準基底A₀を用いて基底B^* ₀を生成し、前記基底B_tを用いて基底B^_tを生成し、前記基底B^* ₀を用いて基底B^^* ₀を生成し、前記乱数μ^* _t,i,jと前記生成元gの積である値B^* _t,i,jを求め、前記乱数μ’^* _t,i,j,Lと前記生成元gの積である値B’^* _t,i,j,Lを求め、前記パラメータparamと前記基底B^_tを含む公開鍵pkと、前記基底B^^* ₀と前記値B^* _t,i,jと前記値B’^* _t,i,j,Lを含むマスタ秘密鍵skとを生成する初期化部と、
前記公開鍵pkと前記マスタ秘密鍵skと前記属性集合Γを入力として、前記基底B₀を用いて鍵要素k^* ₀を求め、t=1,…,dについて、前記値B^* _t,1,jと前記値B^* _t,3,jとを用いて鍵要素K^* _t,1,jを求め、前記値B’^* _t,1,j,Lと前記値B’^* _t,3,j,Lと前記属性ベクトルv^→ _tとを用いて鍵要素K^* _t,2,jを求め、前記属性集合Γと前記鍵要素k^* ₀,K^* _t,1,j,K^* _k,2,jを含む秘密鍵sk_Γを生成する鍵生成部と、
を含み、
前記暗号化装置は、
前記公開鍵pkと平文mと前記アクセスストラクチャSを入力とし、r次元の乱数ベクトルf^→に基づいて生成された秘密s₀と前記基底B₀を用いて暗号文要素c₀を求め、i=1,…,Lについて、前記ラベルρ(i)が肯定形の組(t,x^→ _i)であれば、前記行列Mと前記乱数ベクトルf^→に基づいて生成された分散値s_iと前記基底B_tを用いて暗号文要素c_iを求め、前記ラベルρ(i)が否定形の組¬(t,x^→ _i)であれば、前記標準基底ベクトルe^→ _t,1と前記分散値s_iと前記基底B_tを用いて前記暗号文要素c_iを求め、前記平文mと前記値g_Tと乱数ζとを用いて暗号文要素c_d+1:=g_T ^ζ*mを計算し、前記アクセスストラクチャSと前記暗号文要素c₀,…,c_L,c_d+1を含む暗号文ctを生成する暗号化部
を含み、
前記復号装置は、
前記公開鍵pkと前記秘密鍵sk_Γと前記暗号文ctを入力とし、前記属性集合Γと前記ラベルρ(i)とに基づいて、i=1,…,Lのうち、前記ラベルρ(i)が肯定形の組(t,x^→ _i)でありx^→ _iとv^→ _tの内積が0であるiと、前記ラベルρ(i)が否定形の組¬(t,x^→ _i)でありx^→ _iとv^→ _tの内積が0でないiとを含む集合Iを求め、i∈Iについて、前記行列Mのi行目と掛け合わせた総和が1^→となる係数α_iを求め、前記暗号文要素c_iを値C_i,1,…,C_i,4niに分解した上で、次の式を計算して値Fを求め、

前記暗号文要素c_d+1と前記値Fとを用いて前記平文m:=c_d+1/Fを計算する復号部
を含む
ことを特徴とする関数型暗号システム。
請求項１に記載の関数型暗号システムであって、
前記鍵生成部は、乱数δ,ψ₀と前記基底B₀とを用いて、以下の式に従って前記鍵要素k^* ₀を求め、

乱数δ,ψ_tと前記値B^* _t,i,jとを用いて、以下の式に従って前記鍵要素K^* _t,1,jを求め、

前記属性ベクトルv^→ _tと前記値B’^* _t,i,j,Lとを用いて、以下の式に従って前記鍵要素K^* _t,2,jを求め、

前記暗号化部は、前記秘密s₀と乱数ζ,η₀と前記基底B₀とを用いて、以下の式に従って前記暗号文要素c₀を求め、

i=1,…,Lについて、前記ラベルρ(i)が肯定形の組(t,x^→ _i)であれば、前記標準基底ベクトルe^→ _t,1と前記分散値s_iと乱数τ_iとn_t次元の乱数ベクトルη^→ _iと前記基底B_tとを用いて、以下の式に従って前記暗号文要素c_i求め、

前記ラベルρ(i)が否定形の組¬(t,x^→ _i)であれば、前記属性ベクトルx^→ _iと前記分散値s_iと前記乱数ベクトルη^→ _iと前記基底B_tとを用いて、以下の式に従って前記暗号文要素c_i求める

ことを特徴とする関数型暗号システム。
請求項１または２に記載の関数型暗号システムにおいて用いられる前記鍵生成装置。
請求項１または２に記載の関数型暗号システムにおいて用いられる前記暗号化装置。
請求項１または２に記載の関数型暗号システムにおいて用いられる前記復号装置。
G,G_Tを素数位数qの巡回乗法群とし、gを群Gの生成元とし、F_qを位数qの有限体とし、dを正の整数とし、n^→:=(n₁,…,n_d)をd次元の属性フォーマットとし、V_t(t=0,…,d)を有限体F_q上の4n_t次元ベクトル空間とし、A_t(t=0,…,d)を空間V_tの標準基底とし、eをV_t×V_t→G_Tの双線形写像とし、GL(N,F_q)を有限体F_q上のN次元一般線形群とし、x^→ _t,v^→ _t(t=1,…,d)をn_t次元の属性ベクトルとし、Γを{(t,v^→ _t)}(t=1,…,d)である属性集合とし、MをL行r列の行列とし、ρ(・)を・に対して肯定形の組(t,x^→ _・)もしくは否定形の組¬(t,x^→ _・)であるラベルとし、Sを行列Mとラベルρからなるアクセスストラクチャとし、X₀を一般線形群GL(N,F_q)からランダムに生成した行列とし、X_t(t=1,…,d)を乱数μ^* _t,i,j,μ’^* _t,i,j,L(t=1,…,d;i,j=1,…,4;L=1,…,n_t)を要素に持つ行列とし、1^→をすべての要素の値が1であるベクトルとし、e^→ _t,jをj番目の要素が1でその他の要素が0であるn_t次元の標準基底ベクトルであるとし、
鍵生成装置が、前記属性フォーマットn^→を入力とし、d組の双対ペアリングベクトル空間param_Vt:=(q,V_t,G_T,A_t,e)(t=1,…,d)と、乱数Ψと前記生成元gを用いて前記線形写像eにより算出した値g_Tとから、パラメータparam:=({param_Vt},g_T)を生成し、t=0,…,dについて、前記行列X_tと前記標準基底A_tを用いて基底B_tを生成し、前記行列X₀と前記標準基底A₀を用いて基底B^* ₀を生成し、前記基底B_tを用いて基底B^_tを生成し、前記基底B^* ₀を用いて基底B^^* ₀を生成し、前記乱数μ^* _t,i,jと前記生成元gの積である値B^* _t,i,jを求め、前記乱数μ’^* _t,i,j,Lと前記生成元gの積である値B’^* _t,i,j,Lを求め、前記パラメータparamと前記基底B^_tを含む公開鍵pkと、前記基底B^^* ₀と前記値B^* _t,i,jと前記値B’^* _t,i,j,Lを含むマスタ秘密鍵skとを生成する初期化ステップと、
前記鍵生成装置が、前記公開鍵pkと前記マスタ秘密鍵skと前記属性集合Γを入力として、前記基底B₀を用いて鍵要素k^* ₀を求め、t=1,…,dについて、前記値B^* _t,1,jと前記値B^* _t,3,jとを用いて鍵要素K^* _t,1,jを求め、前記値B’^* _t,1,j,Lと前記値B’^* _t,3,j,Lと前記属性ベクトルv^→ _tとを用いて鍵要素K^* _t,2,jを求め、前記属性集合Γと前記鍵要素k^* ₀,K^* _t,1,j,K^* _k,2,jを含む秘密鍵sk_Γを生成する鍵生成ステップと、
暗号化装置が、前記公開鍵pkと平文mと前記アクセスストラクチャSを入力とし、r次元の乱数ベクトルf^→に基づいて生成された秘密s₀と前記基底B₀を用いて暗号文要素c₀を求め、i=1,…,Lについて、前記ラベルρ(i)が肯定形の組(t,x^→ _i)であれば、前記行列Mと前記乱数ベクトルf^→に基づいて生成された分散値s_iと前記基底B_tを用いて暗号文要素c_iを求め、前記ラベルρ(i)が否定形の組¬(t,x^→ _i)であれば、前記標準基底ベクトルe^→ _t,1と前記分散値s_iと前記基底B_tを用いて前記暗号文要素c_iを求め、前記平文mと前記値g_Tと乱数ζとを用いて暗号文要素c_d+1:=g_T ^ζ*mを計算し、前記アクセスストラクチャSと前記暗号文要素c₀,…,c_L,c_d+1を含む暗号文ctを生成する暗号化ステップと、
復号装置が、前記公開鍵pkと前記秘密鍵sk_Γと前記暗号文ctを入力とし、前記属性集合Γと前記ラベルρ(i)とに基づいて、i=1,…,Lのうち、前記ラベルρ(i)が肯定形の組(t,x^→ _i)でありx^→ _iとv^→ _tの内積が0であるiと、前記ラベルρ(i)が否定形の組¬(t,x^→ _i)でありx^→ _iとv^→ _tの内積が0でないiとを含む集合Iを求め、i∈Iについて、前記行列Mのi行目と掛け合わせた総和が1^→となる係数α_iを求め、前記暗号文要素c_iを値C_i,1,…,C_i,4niに分解した上で、次の式を計算して値Fを求め、

前記暗号文要素c_d+1と前記値Fとを用いて前記平文m:=c_d+1/Fを計算する復号ステップと、
を含む関数型暗号方法。
請求項３に記載の鍵生成装置、請求項４に記載の暗号化装置、請求項５に記載の復号装置のいずれかとしてコンピュータを機能させるためのプログラム。