WO2023135642A1 - 暗号化装置、復号装置、復号可能検証装置、暗号システム、暗号化方法、及び暗号化プログラム - Google Patents
暗号化装置、復号装置、復号可能検証装置、暗号システム、暗号化方法、及び暗号化プログラム Download PDFInfo
- Publication number
- WO2023135642A1 WO2023135642A1 PCT/JP2022/000537 JP2022000537W WO2023135642A1 WO 2023135642 A1 WO2023135642 A1 WO 2023135642A1 JP 2022000537 W JP2022000537 W JP 2022000537W WO 2023135642 A1 WO2023135642 A1 WO 2023135642A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- key
- encryption
- attribute
- ciphertext
- skγ
- Prior art date
Links
- 238000012795 verification Methods 0.000 title claims abstract description 52
- 238000000034 method Methods 0.000 title claims description 27
- 230000008569 process Effects 0.000 claims description 6
- 238000004364 calculation method Methods 0.000 claims description 5
- 238000012545 processing Methods 0.000 description 38
- 238000010586 diagram Methods 0.000 description 23
- 230000005540 biological transmission Effects 0.000 description 14
- 230000006870 function Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 7
- 230000000694 effects Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 239000002131 composite material Substances 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09C—CIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
- G09C1/00—Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
暗号化装置(400)が備える暗号化部(403)は、属性ベース暗号の秘密鍵MSKと、復号可能条件Lに対応する属性の集合Γとを用いてユーザ秘密鍵SKΓが生成されたとき、秘密鍵MSKに対応する公開鍵MPKと、耐量子計算機暗号の公開鍵PQCPKとから成る鍵PKを属性ベース暗号の暗号鍵として用いて復号可能条件Lを暗号化することによって鍵Kと鍵Kに対応する暗号文Pとを生成し、暗号文Pのうち秘密値に基づいて復号可能条件Lが暗号化された箇所をP-Dとし、暗号文Pのうち分散された秘密値が暗号化された箇所をP-SSとし、鍵KとP-Dとのそれぞれを乱数Rを用いてランダム化することによりK'とP'-Dとを生成し、公開鍵PQCPKを用いてP-Dと乱数Rとから成るデータを暗号化することによって暗号文Cを生成する。ここで、P-SSとP'-DとK'とは、ユーザ秘密鍵SKΓに対応する復号可能検証パラメータである。
Description
本開示は、暗号化装置、復号装置、復号可能検証装置、暗号システム、暗号化方法、及び暗号化プログラムに関する。
属性ベース暗号(Attribute Based Encryption,ABE)は公開鍵暗号の一種である。属性ベース暗号において、アクセス権を論理式などで表現した復号可能条件が暗号化時における入力であり、当該条件を満たす属性の集合から作られたユーザ秘密鍵を用いて当該条件に対応する暗号文を復号する。
また、量子コンピュータに対して解読耐性を持つ暗号は耐量子計算機暗号(Post Quantum Cryptography,PQC)と呼ばれ、耐量子計算機暗号となるような属性ベース暗号が開発されている。
非特許文献1は、耐量子計算機暗号である属性ベース暗号を開示している。
また、量子コンピュータに対して解読耐性を持つ暗号は耐量子計算機暗号(Post Quantum Cryptography,PQC)と呼ばれ、耐量子計算機暗号となるような属性ベース暗号が開発されている。
非特許文献1は、耐量子計算機暗号である属性ベース暗号を開示している。
Gorbunov,S.,et al.,"Attribute-Based Encryption for Circuits."Journal of the ACM(JACM)62.6(2015),pp.1-33.
非特許文献1などが開示する耐量子計算機暗号である属性ベース暗号には、格子暗号技術から構成したものが多いため、機能及び効率面などに様々な課題がある。具体的には、鍵ポリシー型、すなわち復号可能条件をユーザ秘密鍵に設定し、暗号文に属性の集合を設定するような属性ベース暗号の提案が多いこと、復号可能条件と属性集合の対応確認が復号と一体となっているために復号可能条件のチェックのみをすることができないこと、及び暗号文のデータサイズがマスター鍵で指定された最大値に依存すること、すなわち暗号文のデータサイズと、暗号化処理時間とが効率的ではないことなどが上げられる。従って、従来の耐量子計算機暗号である属性ベース暗号には、属性ベース暗号のアクセス制御の柔軟性及び効率性と、量子コンピュータに対する安全性との両方を満たすことができないという課題がある。
本開示は、属性ベース暗号のアクセス制御の柔軟性及び効率性と、量子コンピュータに対する安全性との両方を有する公開鍵暗号方式技術を提供することを目的とする。
本開示に係る暗号化装置は、
属性ベース暗号の秘密鍵MSKと、復号可能条件Lに対応する属性の集合Γとを用いてユーザ秘密鍵SKΓが生成されたとき、
前記秘密鍵MSKに対応する公開鍵MPKと、耐量子計算機暗号の公開鍵PQCPKとから成る鍵PKを属性ベース暗号の暗号鍵として用いて前記復号可能条件Lを属性ベース暗号により暗号化することによって鍵Kと前記鍵Kに対応する暗号文Pとを生成し、前記暗号文Pのうち秘密値に基づいて前記復号可能条件Lが暗号化された箇所をP-Dとし、前記暗号文Pのうち分散された前記秘密値が暗号化された箇所をP-SSとし、
前記鍵Kと前記P-Dとのそれぞれを乱数Rを用いてランダム化することによりK’とP’-Dとを生成し、
前記公開鍵PQCPKを用いて前記P-Dと前記乱数Rとから成るデータを耐量子計算機暗号により暗号化することによって暗号文Cを生成する暗号化部
を備え、
前記P-SSと前記P’-Dと前記K’とは、前記ユーザ秘密鍵SKΓに対応する復号可能検証パラメータである。
属性ベース暗号の秘密鍵MSKと、復号可能条件Lに対応する属性の集合Γとを用いてユーザ秘密鍵SKΓが生成されたとき、
前記秘密鍵MSKに対応する公開鍵MPKと、耐量子計算機暗号の公開鍵PQCPKとから成る鍵PKを属性ベース暗号の暗号鍵として用いて前記復号可能条件Lを属性ベース暗号により暗号化することによって鍵Kと前記鍵Kに対応する暗号文Pとを生成し、前記暗号文Pのうち秘密値に基づいて前記復号可能条件Lが暗号化された箇所をP-Dとし、前記暗号文Pのうち分散された前記秘密値が暗号化された箇所をP-SSとし、
前記鍵Kと前記P-Dとのそれぞれを乱数Rを用いてランダム化することによりK’とP’-Dとを生成し、
前記公開鍵PQCPKを用いて前記P-Dと前記乱数Rとから成るデータを耐量子計算機暗号により暗号化することによって暗号文Cを生成する暗号化部
を備え、
前記P-SSと前記P’-Dと前記K’とは、前記ユーザ秘密鍵SKΓに対応する復号可能検証パラメータである。
本開示によれば、ユーザ秘密鍵SKΓに対応する復号可能条件Lを、属性ベース暗号の公開鍵MPKと、耐量子計算機暗号の公開鍵PQCPKとから成る鍵PKを属性ベース暗号の暗号鍵として用いて属性ベース暗号により暗号化することによって鍵Kと鍵Kに対応する暗号文Pとが生成される。ここで、暗号文Pのうち秘密値に基づいて復号可能条件Lが暗号化された箇所をP-Dとし、暗号文Pのうち分散された秘密値が暗号化された箇所をP-SSとする。KとP-Dとのそれぞれを乱数Rを用いてランダム化することによりK’とP’-Dとが生成される。公開鍵PQCPKを用いてP-Dと乱数Rとから成るデータを耐量子計算機暗号により暗号化することによって暗号文Cが生成される。また、P-SSとP’-DとK’とは、ユーザ秘密鍵SKΓに対応する復号可能検証パラメータである。
従って、本開示によれば、属性ベース暗号のアクセス制御の柔軟性及び効率性と、量子コンピュータに対する安全性との両方を有する公開鍵暗号方式技術を提供することができる。
従って、本開示によれば、属性ベース暗号のアクセス制御の柔軟性及び効率性と、量子コンピュータに対する安全性との両方を有する公開鍵暗号方式技術を提供することができる。
実施の形態の説明及び図面において、同じ要素及び対応する要素には同じ符号を付している。同じ符号が付された要素の説明は、適宜に省略又は簡略化する。図中の矢印は、データの流れ、信号の入出力又は処理の流れを主に示している。また、「部」を、「回路」、「装置」、「機器」、「工程」、「手順」、「処理」又は「サーキットリー」に適宜読み替えてもよい。各部の機能は、ファームウェア、ソフトウェア、ハードウェア、又はこれらの組み合わせのいずれによって実装されても構わない。
実施の形態1.
以下、本実施の形態について、図面を参照しながら詳細に説明する。
以下、本実施の形態について、図面を参照しながら詳細に説明する。
***構成の説明***
図1は、本実施の形態に係る暗号システム100の構成例を示すブロック図である。図1に示すように、暗号システム100は、パラメータ生成装置200と、複数のユーザ秘密鍵生成装置300と、複数の暗号化装置400と、復号可能検証装置500と、復号装置600とを備える。暗号システム100は耐量子属性ベース暗号システムとも呼ばれる。暗号システム100を構成する各装置は、インターネット101を介して通信可能に適宜接続されている。暗号システム100を構成する各装置は、適宜一体的に構成されていてもよい。
暗号システム100は、量子コンピュータに対する解読耐性を有し、かつ、属性ベース暗号のようにアクセス制御可能な性質を有する公開鍵暗号方式技術を提供する。
図1は、本実施の形態に係る暗号システム100の構成例を示すブロック図である。図1に示すように、暗号システム100は、パラメータ生成装置200と、複数のユーザ秘密鍵生成装置300と、複数の暗号化装置400と、復号可能検証装置500と、復号装置600とを備える。暗号システム100は耐量子属性ベース暗号システムとも呼ばれる。暗号システム100を構成する各装置は、インターネット101を介して通信可能に適宜接続されている。暗号システム100を構成する各装置は、適宜一体的に構成されていてもよい。
暗号システム100は、量子コンピュータに対する解読耐性を有し、かつ、属性ベース暗号のようにアクセス制御可能な性質を有する公開鍵暗号方式技術を提供する。
図2は、暗号システム100の処理の概要を示している。図2に示すように、暗号システム100では、耐量子計算機暗号により暗号化した後に関数型暗号(Functional encryption,FE)により暗号化することによって二重暗号化する。
ただし、ナイーブに二重暗号化する方法によれば、量子コンピュータで関数型暗号が解読されても平文が耐量子計算機暗号により暗号化されているので平文が漏れる心配はないという利点がある。しかしながら、当該方法によれば、関数型暗号の鍵に加えて全員に共通の耐量子計算機暗号の鍵を配布する必要があるという課題と、量子コンピュータを所持している攻撃者に対して、関数型暗号で生成した暗号鍵keyFEが完全に露呈するという課題とがある。
そこで、本実施の形態では、量子コンピュータを所持している攻撃者であってもkeyFEを解読することができないようにすることと、PQC(Post Quantum Cryptography)の秘密鍵を使わなくても復号可能条件をチェックすることができるようにすることを目的として、関数型暗号により暗号化する処理を改変する。
ただし、ナイーブに二重暗号化する方法によれば、量子コンピュータで関数型暗号が解読されても平文が耐量子計算機暗号により暗号化されているので平文が漏れる心配はないという利点がある。しかしながら、当該方法によれば、関数型暗号の鍵に加えて全員に共通の耐量子計算機暗号の鍵を配布する必要があるという課題と、量子コンピュータを所持している攻撃者に対して、関数型暗号で生成した暗号鍵keyFEが完全に露呈するという課題とがある。
そこで、本実施の形態では、量子コンピュータを所持している攻撃者であってもkeyFEを解読することができないようにすることと、PQC(Post Quantum Cryptography)の秘密鍵を使わなくても復号可能条件をチェックすることができるようにすることを目的として、関数型暗号により暗号化する処理を改変する。
図3は、関数型暗号により暗号化する処理の改変を説明する図である。図3に示すように、FEの復号可能条件をチェックする処理において、FEを復号しなくてもよいように、すなわちPQCの鍵を使わなくてもよいように関数型暗号により暗号化する処理を変更する。なお、そのために専用のパラメータを準備する。
また、FEを復号するためのパラメータをPQCにより再度暗号化することによって、量子コンピュータを所持している攻撃者であってもFEを復号することができないように関数型暗号により暗号化する処理を変更する。
また、FEを復号するためのパラメータをPQCにより再度暗号化することによって、量子コンピュータを所持している攻撃者であってもFEを復号することができないように関数型暗号により暗号化する処理を変更する。
インターネット101は、パラメータ生成装置200と、複数のユーザ秘密鍵生成装置300と、複数の暗号化装置400と、復号可能検証装置500と、復号装置600とを適宜接続する通信路である。インターネット101はネットワークの一例である。インターネット101の代わりに、同じ施設内に敷設されたLAN(Local Area Network)など、他の種類のネットワークが用いられてもよい。
パラメータ生成装置200は、共通パラメータを生成するコンピュータであり、インターネット101を介して、各ユーザ秘密鍵生成装置300と、各暗号化装置400と、復号可能検証装置500と、復号装置600との各々へ生成した共通パラメータを適宜送信する。コンピュータは具体例としてPC(Personal Computer)である。共通パラメータは、暗号システム100において共通して用いられるパラメータであり、具体例として鍵である。なお、生成された共通パラメータは、インターネット101を介さず、共通パラメータを記録した記憶媒体の郵送などで直接的に送信されてもよい。
各ユーザ秘密鍵生成装置300は、ユーザ秘密鍵を生成し、生成したユーザ秘密鍵を復号可能検証装置500と復号装置600とへ送信するコンピュータである。
暗号化装置400は、データを暗号化する装置として機能するコンピュータである。暗号化装置400は、パラメータ生成装置200から公開鍵を受信し、復号可能条件Lを入力として、検証パラメータCCHECKと、暗号文Cと、共通鍵秘密鍵KEYとを出力する。
復号可能検証装置500は、ユーザ秘密鍵によって暗号文Cが復号可能であるか否かを検証するコンピュータである。復号可能検証装置500は、パラメータ生成装置200から公開鍵を受信し、検証パラメータCCHECKと暗号文Cとを暗号化装置400から受信し、ユーザ秘密鍵を入力として、入力されたユーザ秘密鍵によって暗号文Cが復号可能であるか否かを検証する。その後、具体例として、復号可能検証装置500は、ユーザ秘密鍵によって暗号文Cが復号可能である場合に0を出力し、それ以外の場合に1を出力する。
復号装置600は、検証パラメータCCHECKと暗号文Cとを暗号化装置400から受信し、ユーザ秘密鍵をユーザ秘密鍵生成装置300から受信し、また、暗号文Cを復号した結果を出力するコンピュータである。
以下、暗号システム100を構成する各装置の構成例について説明する。
図4は、パラメータ生成装置200の構成例を示すブロック図である。図4に示すように、パラメータ生成装置200は、入力部201と、共通パラメータ生成部202と、送信部203とを備える。なお、図示していないが、パラメータ生成装置200は、パラメータ生成装置200の各部で使用されるデータを記憶する記録媒体を備える。
入力部201は、暗号システム100で用いられる鍵のビット長Kを入力として受け取る。
共通パラメータ生成部202は、公開鍵MPKとマスター秘密鍵MSKとを生成し、その後、公開鍵PQCPKと秘密鍵PQCSKとを生成する。公開鍵MPKとマスター秘密鍵MSKとの各々は、暗号システム100で用いられる演算の基本となる属性ベース暗号の鍵である。マスター秘密鍵MSKは属性ベース暗号の秘密鍵とも呼ばれ、公開鍵MPKは属性ベース公開鍵とも呼ばれる。MPKはMSKに対応する。公開鍵PQCPKと秘密鍵PQCSKとの各々は、耐量子計算機暗号の鍵である。公開鍵PQCPKは耐量子計算機暗号の公開鍵とも呼ばれ、秘密鍵PQCSKは耐量子計算機暗号の秘密鍵とも呼ばれる。PQCSKはPQCPKに対応する。なお、図示していないが、MPKとMSKとPQCPKとPQCSKとの各々を生成するために、共通パラメータ生成部202は乱数生成機能などを備えてもよい。
送信部203は、共通パラメータ生成部202が生成した公開鍵MPKと公開鍵PQCPKとを、ユーザ秘密鍵生成装置300と、暗号化装置400と、復号可能検証装置500と、復号装置600との各々へ送信する。また、送信部203は、共通パラメータ生成部202が生成したマスター秘密鍵MSKと耐量子計算機暗号秘密鍵PQCSKとを、各ユーザ秘密鍵生成装置300へ送信する。
図4は、パラメータ生成装置200の構成例を示すブロック図である。図4に示すように、パラメータ生成装置200は、入力部201と、共通パラメータ生成部202と、送信部203とを備える。なお、図示していないが、パラメータ生成装置200は、パラメータ生成装置200の各部で使用されるデータを記憶する記録媒体を備える。
入力部201は、暗号システム100で用いられる鍵のビット長Kを入力として受け取る。
共通パラメータ生成部202は、公開鍵MPKとマスター秘密鍵MSKとを生成し、その後、公開鍵PQCPKと秘密鍵PQCSKとを生成する。公開鍵MPKとマスター秘密鍵MSKとの各々は、暗号システム100で用いられる演算の基本となる属性ベース暗号の鍵である。マスター秘密鍵MSKは属性ベース暗号の秘密鍵とも呼ばれ、公開鍵MPKは属性ベース公開鍵とも呼ばれる。MPKはMSKに対応する。公開鍵PQCPKと秘密鍵PQCSKとの各々は、耐量子計算機暗号の鍵である。公開鍵PQCPKは耐量子計算機暗号の公開鍵とも呼ばれ、秘密鍵PQCSKは耐量子計算機暗号の秘密鍵とも呼ばれる。PQCSKはPQCPKに対応する。なお、図示していないが、MPKとMSKとPQCPKとPQCSKとの各々を生成するために、共通パラメータ生成部202は乱数生成機能などを備えてもよい。
送信部203は、共通パラメータ生成部202が生成した公開鍵MPKと公開鍵PQCPKとを、ユーザ秘密鍵生成装置300と、暗号化装置400と、復号可能検証装置500と、復号装置600との各々へ送信する。また、送信部203は、共通パラメータ生成部202が生成したマスター秘密鍵MSKと耐量子計算機暗号秘密鍵PQCSKとを、各ユーザ秘密鍵生成装置300へ送信する。
図5は、ユーザ秘密鍵生成装置300の構成例を示すブロック図である。図5に示すように、ユーザ秘密鍵生成装置300は、入力部301と、鍵受信部302と、鍵生成部303と、鍵送信部304とを備える。なお、図示していないが、ユーザ秘密鍵生成装置300は、ユーザ秘密鍵生成装置300の各部で使用されるデータを記憶する記録媒体を備える。
入力部301は、属性の集合Γを入力として受け取る。Γは、パラメータであり、また、復号可能条件Lに対応する。
鍵受信部302は、MSKとPQCSKとを受信する。
鍵生成部303は、MSKとΓとを用いてユーザ秘密鍵SKΓを生成する。ユーザ秘密鍵SKΓは属性ベース暗号ユーザ秘密鍵とも呼ばれる。なお、図示していないが、SKΓを生成するために、鍵生成部303は乱数生成機能などを備えてもよい。
鍵送信部304は、鍵受信部302が受信したPQCSKと、鍵生成部303が生成したSKΓとの各々を復号装置600へ送信する。
入力部301は、属性の集合Γを入力として受け取る。Γは、パラメータであり、また、復号可能条件Lに対応する。
鍵受信部302は、MSKとPQCSKとを受信する。
鍵生成部303は、MSKとΓとを用いてユーザ秘密鍵SKΓを生成する。ユーザ秘密鍵SKΓは属性ベース暗号ユーザ秘密鍵とも呼ばれる。なお、図示していないが、SKΓを生成するために、鍵生成部303は乱数生成機能などを備えてもよい。
鍵送信部304は、鍵受信部302が受信したPQCSKと、鍵生成部303が生成したSKΓとの各々を復号装置600へ送信する。
図6は、暗号化装置400の構成例を示すブロック図である。図6に示すように、暗号化装置400は、入力部401と、鍵受信部402と、暗号化部403と、暗号文送信部404と、鍵出力部405とを備える。なお、図示していないが、暗号化装置400は、暗号化装置400の各部で使用されるデータを記憶する記録媒体を備える。
入力部401は、復号可能条件Lを入力として受け取る。
鍵受信部402は、MPKとPQCPKとを受信する。
暗号化部403は、LとMPKとPQCPKとを用いて、検証パラメータCCHECKと、暗号文Cと、共通鍵秘密鍵KEYとを生成する。検証パラメータCCHECKは復号可能検証パラメータとも呼ばれる。具体的には、まず、暗号化部403は、鍵PKを属性ベース暗号の暗号鍵として用いてLを属性ベース暗号により暗号化することによって鍵Kと鍵Kに対応する暗号文Pとを生成する。ここで、PKはMPKとPQCPKとから成る。また、暗号文Pのうち秘密値に基づいてLが暗号化された箇所をP-Dとし、暗号文Pのうち分散された秘密値が暗号化された箇所をP-SSとする。分散された秘密値は秘密分散値とも呼ばれる。その後、暗号化部403は、鍵KとP-Dとのそれぞれを乱数Rを用いてランダム化することによりK’とP’-Dとを生成し、PQCPKを用いてP-Dと乱数Rとから成るデータを耐量子計算機暗号により暗号化することによって暗号文Cを生成する。ここで、P-SSとP’-DとK’とは、SKΓに対応する復号可能検証パラメータである。なお、図示していないが、検証パラメータCCHECKと暗号文Cとの各々を生成するために、暗号化部403には乱数生成機能などを備えてもよい。
暗号文送信部404は、暗号化部403が生成したCCHECKとCとの各々を、復号可能検証装置500と復号装置600との各々へ送信する。
鍵出力部405はKEYを出力する。
入力部401は、復号可能条件Lを入力として受け取る。
鍵受信部402は、MPKとPQCPKとを受信する。
暗号化部403は、LとMPKとPQCPKとを用いて、検証パラメータCCHECKと、暗号文Cと、共通鍵秘密鍵KEYとを生成する。検証パラメータCCHECKは復号可能検証パラメータとも呼ばれる。具体的には、まず、暗号化部403は、鍵PKを属性ベース暗号の暗号鍵として用いてLを属性ベース暗号により暗号化することによって鍵Kと鍵Kに対応する暗号文Pとを生成する。ここで、PKはMPKとPQCPKとから成る。また、暗号文Pのうち秘密値に基づいてLが暗号化された箇所をP-Dとし、暗号文Pのうち分散された秘密値が暗号化された箇所をP-SSとする。分散された秘密値は秘密分散値とも呼ばれる。その後、暗号化部403は、鍵KとP-Dとのそれぞれを乱数Rを用いてランダム化することによりK’とP’-Dとを生成し、PQCPKを用いてP-Dと乱数Rとから成るデータを耐量子計算機暗号により暗号化することによって暗号文Cを生成する。ここで、P-SSとP’-DとK’とは、SKΓに対応する復号可能検証パラメータである。なお、図示していないが、検証パラメータCCHECKと暗号文Cとの各々を生成するために、暗号化部403には乱数生成機能などを備えてもよい。
暗号文送信部404は、暗号化部403が生成したCCHECKとCとの各々を、復号可能検証装置500と復号装置600との各々へ送信する。
鍵出力部405はKEYを出力する。
図7は、復号可能検証装置500の構成例を示すブロック図である。図7に示すように、復号可能検証装置500は、暗号文受信部501と、鍵受信部502と、検証部503と、結果出力部504とを備える。
暗号文受信部501は、暗号化装置400からCCHECK(=P-SS,P’-D,K’)とCとの各々を受信する。
鍵受信部502は、ユーザ秘密鍵生成装置300からSKΓを受信する。
検証部503は検証処理を実行する。具体的には、検証部503は、SKΓを用いて復号可能検証パラメータを属性ベース暗号により復号し、K’と復号した結果とが一致する場合にSKΓが復号可能であると判定する。
結果出力部504は、具体例として、検証結果を示す値として0か1を出力する。
暗号文受信部501は、暗号化装置400からCCHECK(=P-SS,P’-D,K’)とCとの各々を受信する。
鍵受信部502は、ユーザ秘密鍵生成装置300からSKΓを受信する。
検証部503は検証処理を実行する。具体的には、検証部503は、SKΓを用いて復号可能検証パラメータを属性ベース暗号により復号し、K’と復号した結果とが一致する場合にSKΓが復号可能であると判定する。
結果出力部504は、具体例として、検証結果を示す値として0か1を出力する。
図8は、復号装置600の構成例を示すブロック図である。図8に示すように、復号装置600は、暗号文受信部601と、鍵受信部602と、復号部603と、結果出力部604とを備える。
暗号文受信部601は、暗号化装置400からCCHECK(=P-SS,P’-D,K’)とCとの各々を受信する。
鍵受信部602は、ユーザ秘密鍵生成装置300からSKΓとPQCSKとの各々を受信する。
復号部603は、復号処理を実行することにより復号された共通鍵秘密鍵KEYを計算する。具体的には、復号部603は、PQCSKを用いて暗号文Cを耐量子計算機暗号により復号し、乱数Rを用いてP’-DからP-Dを計算し、復号した結果が示すP-Dと、計算したP-Dとが一致する場合に、SKΓを用いてP-SSとP-Dとから成るデータを属性ベース暗号により復号する。
結果出力部604は、共通鍵秘密鍵KEYを出力する。
暗号文受信部601は、暗号化装置400からCCHECK(=P-SS,P’-D,K’)とCとの各々を受信する。
鍵受信部602は、ユーザ秘密鍵生成装置300からSKΓとPQCSKとの各々を受信する。
復号部603は、復号処理を実行することにより復号された共通鍵秘密鍵KEYを計算する。具体的には、復号部603は、PQCSKを用いて暗号文Cを耐量子計算機暗号により復号し、乱数Rを用いてP’-DからP-Dを計算し、復号した結果が示すP-Dと、計算したP-Dとが一致する場合に、SKΓを用いてP-SSとP-Dとから成るデータを属性ベース暗号により復号する。
結果出力部604は、共通鍵秘密鍵KEYを出力する。
図9は、パラメータ生成装置200と、各ユーザ秘密鍵生成装置300と、各暗号化装置400と、復号可能検証装置500と、復号装置600との各々のハードウェア資源の一例を示す図である。図9に示すように、各装置はコンピュータである。各装置は複数のコンピュータから成ってもよい。
コンピュータは、CPU11(Central Processing Unit)を備えている。CPU11はプロセッサの具体例である。コンピュータは複数のCPU11を備えてもよい。CPU11は、バス12を介して、ROM(Read Only Memory)13と、RAM(Random Access Memory)14と、通信ボード15と、ディスプレイ16と、キーボード17と、マウス18と、ドライブ19と、磁気ディスク装置20などのハードウェアデバイスと接続され、これらのハードウェアデバイスを制御する。ディスプレイ16は表示装置である。ドライブ19は、FD(Flexible Disk Drive)、CD(Compact Disc)、又はDVD(Digital Versatile Disc)などの記憶媒体からデータを読み出し、また、当該記憶媒体にデータを書き込む装置である。
ROM13、RAM14、磁気ディスク装置20及びドライブ19は記憶装置の一例である。キーボード17、マウス18及び通信ボード15は入力装置の一例である。ディスプレイ16及び通信ボード15は出力装置の一例である。
通信ボード15は、有線又は無線で、LAN、インターネット、又は電話回線などの通信網に接続している。
磁気ディスク装置20には、OS(Operating System)21と、プログラム群22と、ファイル群23とが記憶されている。
プログラム群22には、本実施の形態において「~部」として説明する機能を実行するプログラムが含まれる。各プログラムは、CPU11により読み出され実行される。すなわち、プログラムは、「~部」としてコンピュータを機能させるものであり、また「~部」の手順又は方法などをコンピュータに実行させるものである。各プログラムは、コンピュータが読み取り可能な不揮発性の記録媒体に記録されていてもよい。不揮発性の記録媒体は、具体例として、光ディスク又はフラッシュメモリである。各プログラムは、プログラムプロダクトとして提供されてもよい。
ファイル群23には、本実施の形態において説明する「~部」で使用される各種データ(入力、出力、判定結果、計算結果、又は処理結果など)が含まれる。
フローチャートなどに基づいて説明する本実施の形態の処理は、CPU11と、記憶装置と、入力装置と、出力装置との少なくともいずれかなどのハードウェアを用いて実行される。
***動作の説明***
暗号システム100の各装置の動作手順は各装置の名前を冠する方法に相当する。また、暗号システム100の各装置の動作を実現するプログラムは各装置の名前を冠するプログラムに相当する。具体例として、暗号化装置400の動作手順は暗号化方法に相当し、暗号化装置400の動作を実現するプログラムは暗号化プログラムに相当する。
暗号システム100の各装置の動作手順は各装置の名前を冠する方法に相当する。また、暗号システム100の各装置の動作を実現するプログラムは各装置の名前を冠するプログラムに相当する。具体例として、暗号化装置400の動作手順は暗号化方法に相当し、暗号化装置400の動作を実現するプログラムは暗号化プログラムに相当する。
暗号システム100の動作を説明する前に、本実施の形態で使用する基本的な暗号技術と当該技術における表記について説明する。
暗号文ポリシー型属性ベース暗号は、復号可能条件Lで設定された復号条件を満たすような属性の集合Γから生成されたユーザ秘密鍵を所持するユーザのみが復号可能である暗号である。暗号文ポリシー型属性ベース暗号は、以下のようなアルゴリズムにより構成される。
セットアップABESETUPは、鍵長などを入力としてマスター秘密鍵MSKと公開鍵MPKとを出力する。
属性ベース暗号のユーザ秘密鍵生成ABEKEYGENは、MSKと属性の集合Γとを入力として、Γに該当するユーザのためのユーザ秘密鍵SKΓを生成する。
暗号化ABEENCは、公開鍵MPKと、復号可能条件Lとを入力として、共通鍵暗号用の鍵Kと鍵Kに対応する暗号文Pとを生成する。
復号ABEDECは、ユーザ秘密鍵SKΓと暗号文Pとを入力とし、Γと、Pを生成した際の復号可能条件Lとがマッチした場合に、Pが暗号化している鍵Kが出力される。
暗号文ポリシー型属性ベース暗号は、復号可能条件Lで設定された復号条件を満たすような属性の集合Γから生成されたユーザ秘密鍵を所持するユーザのみが復号可能である暗号である。暗号文ポリシー型属性ベース暗号は、以下のようなアルゴリズムにより構成される。
セットアップABESETUPは、鍵長などを入力としてマスター秘密鍵MSKと公開鍵MPKとを出力する。
属性ベース暗号のユーザ秘密鍵生成ABEKEYGENは、MSKと属性の集合Γとを入力として、Γに該当するユーザのためのユーザ秘密鍵SKΓを生成する。
暗号化ABEENCは、公開鍵MPKと、復号可能条件Lとを入力として、共通鍵暗号用の鍵Kと鍵Kに対応する暗号文Pとを生成する。
復号ABEDECは、ユーザ秘密鍵SKΓと暗号文Pとを入力とし、Γと、Pを生成した際の復号可能条件Lとがマッチした場合に、Pが暗号化している鍵Kが出力される。
[参考文献1]
Okamoto,T.,et al.,“Fully Secure Functional Encryption with General Relations from the Decisional Linear Assumption”,Annual Cryptology Conference.Springer,Berlin,Heidelberg,2010.
Okamoto,T.,et al.,“Fully Secure Functional Encryption with General Relations from the Decisional Linear Assumption”,Annual Cryptology Conference.Springer,Berlin,Heidelberg,2010.
また、参考文献1などは、暗号文Pに復号可能条件Lをエンコードする方法として秘密分散計算を用いる方法を開示している。秘密分散計算を用いる方法は、復号するために必要な秘密値Sを復号可能条件Lとして記述されている論理式に応じて秘密分散する方法である。具体例として、A AND B、すなわちAとBとの両方の属性を持つユーザ秘密鍵でのみ復号が成功するよう設定する場合を考える。この場合において、まず、暗号化対象をS、もしくはSから計算することができる値を用いて平文を暗号化して暗号文を生成する。次に、SをS=S1+S2とし、AにS1を埋め込み、BにS2を埋め込む。次に、Aが埋め込まれたユーザ秘密鍵を用いてS1を抽出し、Bが埋め込まれたユーザ秘密鍵を用いてS2を抽出し、結果として、S、もしくはSから計算することができる値を復元して最終計算することにより暗号文を復号する。なお、参考文献1は効率的な属性ベース暗号を提案しているが、当該属性ベース暗号には量子コンピュータに対する解読耐性がないことが知られている。
ここで、暗号文Pの中で、秘密分散値が暗号化された箇所をP-SSと記述し、暗号化対象が秘密値S、もしくはSから計算することができる値を用いて暗号化された箇所をP-Dと記述する。また、復号ABEDECのうち、秘密分散値を復元する箇所を秘密分散復元演算ABEDEC-SSと記述し、最終復号を行う箇所を最終復号演算ABEDEC-Dと記述する。
ここで、暗号文Pの中で、秘密分散値が暗号化された箇所をP-SSと記述し、暗号化対象が秘密値S、もしくはSから計算することができる値を用いて暗号化された箇所をP-Dと記述する。また、復号ABEDECのうち、秘密分散値を復元する箇所を秘密分散復元演算ABEDEC-SSと記述し、最終復号を行う箇所を最終復号演算ABEDEC-Dと記述する。
耐量子計算機公開鍵暗号(PQC)は、以下のようなアルゴリズムで構成される。
耐量子計算機暗号鍵生成PQCKGは、鍵長などを入力として秘密鍵PQCSKと公開鍵PQCPKを出力する。
耐量子計算機暗号暗号化PQCENCは、PQCPKと平文Mとを入力として暗号文PQCCを出力する。
耐量子計算機暗号復号PQCDECは、PQCSKと暗号文PQCCとを入力として復号結果を出力する。
耐量子計算機暗号鍵生成PQCKGは、鍵長などを入力として秘密鍵PQCSKと公開鍵PQCPKを出力する。
耐量子計算機暗号暗号化PQCENCは、PQCPKと平文Mとを入力として暗号文PQCCを出力する。
耐量子計算機暗号復号PQCDECは、PQCSKと暗号文PQCCとを入力として復号結果を出力する。
以下、本実施の形態に係る各装置の計算方法に相当する、暗号システム100の動作について説明する。
図10は、パラメータ生成装置200によるパラメータ生成処理の一例を表しているフローチャートである。図10を参照してパラメータ生成処理を説明する。
図10は、パラメータ生成装置200によるパラメータ生成処理の一例を表しているフローチャートである。図10を参照してパラメータ生成処理を説明する。
(ステップS201:情報入力ステップ)
入力部201は、鍵のビット長Kを入力として受け取る。
入力部201は、鍵のビット長Kを入力として受け取る。
(ステップS202:属性ベース暗号鍵生成ステップ)
共通パラメータ生成部202は、ビット長Kを用いて属性ベース暗号のセットアップSETUPを実行することにより、MSKとMPKとの各々を生成する。
共通パラメータ生成部202は、ビット長Kを用いて属性ベース暗号のセットアップSETUPを実行することにより、MSKとMPKとの各々を生成する。
(ステップS203:耐量子計算機暗号鍵生成ステップ)
共通パラメータ生成部202は、PQCKGを実行することにより、PQCSKとPQCPKとの各々を生成する。
共通パラメータ生成部202は、PQCKGを実行することにより、PQCSKとPQCPKとの各々を生成する。
(ステップS204:配布ステップ)
送信部203は、SK=(MSK,PQCSK)と、PK=(MPK,PQCPK)との各々を各装置へ送信する。
送信部203は、SK=(MSK,PQCSK)と、PK=(MPK,PQCPK)との各々を各装置へ送信する。
図11は、ユーザ秘密鍵生成装置300によるユーザ秘密鍵生成処理の一例を表しているフローチャートである。図11を参照してユーザ秘密鍵生成処理を説明する。
(ステップS301:属性入力ステップ)
入力部301は、属性の集合Γを入力として受け取る。
入力部301は、属性の集合Γを入力として受け取る。
(ステップS302:鍵入力ステップ)
鍵受信部302は、SK=(MSK,PQCSK)を受け取る。
鍵受信部302は、SK=(MSK,PQCSK)を受け取る。
(ステップS303:ユーザ秘密鍵生成ステップ)
鍵生成部303は、MSKとΓとを用いてABEKEYGENを実行することによりSKΓを生成する。
鍵生成部303は、MSKとΓとを用いてABEKEYGENを実行することによりSKΓを生成する。
(ステップS304:送信ステップ)
鍵送信部304は、PQCSKとSKΓとをユーザ秘密鍵USK=(PQCSK,SKΓ)とし、USKを各装置へ送信する。
鍵送信部304は、PQCSKとSKΓとをユーザ秘密鍵USK=(PQCSK,SKΓ)とし、USKを各装置へ送信する。
図12は、暗号化装置400による暗号化処理の一例を表しているフローチャートである。図12を参照して暗号化処理を説明する。
(ステップS401:属性入力ステップ)
鍵受信部402は、PK=(MPK,PQCPK)を受信する。
鍵受信部402は、PK=(MPK,PQCPK)を受信する。
(ステップS402:復号可能条件入力ステップ)
入力部401は、復号可能条件Lを受け取る。
入力部401は、復号可能条件Lを受け取る。
(ステップS403:属性ベース暗号化ステップ)
暗号化部403は、PKとLとを用いてABEENCを実行することにより、P=(P-SS,P-D)とKとを生成する。
暗号化部403は、PKとLとを用いてABEENCを実行することにより、P=(P-SS,P-D)とKとを生成する。
(ステップS404:ランダム化ステップ)
暗号化部403は、KとP-Dとのそれぞれを乱数Rを用いてランダム化することによりK’とP’-Dとを生成する。ここで、P’=(P-SS,P’-D)を正しく復号するとK’が生成されるものとする。なお、本ステップの処理は参考文献1が開示する技術により実施可能である。
暗号化部403は、KとP-Dとのそれぞれを乱数Rを用いてランダム化することによりK’とP’-Dとを生成する。ここで、P’=(P-SS,P’-D)を正しく復号するとK’が生成されるものとする。なお、本ステップの処理は参考文献1が開示する技術により実施可能である。
(ステップS405:耐量子計算機暗号化ステップ)
暗号化部403は、PQCPKと平文M=(P-D,R)とをPQCENCに入力することにより、暗号文C=PQCC-DRを生成する。
暗号化部403は、PQCPKと平文M=(P-D,R)とをPQCENCに入力することにより、暗号文C=PQCC-DRを生成する。
(ステップS406:送信ステップ)
暗号文送信部404は、検証パラメータCCHECK=(P-SS,,K’)と、暗号文C=PQCC-DRとを各装置に送信する。
暗号文送信部404は、検証パラメータCCHECK=(P-SS,,K’)と、暗号文C=PQCC-DRとを各装置に送信する。
図13は、復号可能検証装置500による復号可能検証処理の一例を表しているフローチャートである。図13を参照して復号可能検証処理を説明する。
(ステップS501:暗号文受信ステップ)
暗号文受信部501は、検証パラメータCCHECK=(P-SS,P’-D,K’)を受信する。
暗号文受信部501は、検証パラメータCCHECK=(P-SS,P’-D,K’)を受信する。
(ステップS502:鍵受信ステップ)
鍵受信部502は、ユーザ秘密鍵USK=(PQCSK,SKΓ)を受信する。
鍵受信部502は、ユーザ秘密鍵USK=(PQCSK,SKΓ)を受信する。
(ステップS503:検証ステップ)
検証部503は、SKΓと、属性ベース暗号の暗号文としての(P-SS,P’-D)とを入力としてABEDECを実行することにより復号結果K’’を得る。
検証部503は、SKΓと、属性ベース暗号の暗号文としての(P-SS,P’-D)とを入力としてABEDECを実行することにより復号結果K’’を得る。
(ステップS504:出力ステップ)
結果出力部504は、K’’がK’と一致する場合に0を出力し、それ以外の場合に1を出力する。
結果出力部504は、K’’がK’と一致する場合に0を出力し、それ以外の場合に1を出力する。
図14は、復号装置600による復号処理の一例を表しているフローチャートである。図14を参照して復号処理を説明する。
(ステップS601:鍵受信ステップ)
鍵受信部602は、PK=(MPK,PQCPK)と、USK=(PQCSK,SKΓ)とを受信する。
鍵受信部602は、PK=(MPK,PQCPK)と、USK=(PQCSK,SKΓ)とを受信する。
(ステップS602:暗号文受信ステップ)
暗号文受信部601は、検証パラメータCCHECK=(P-SS,P’-D,K’)と、暗号文C=PQCC-DRとを受信する。
暗号文受信部601は、検証パラメータCCHECK=(P-SS,P’-D,K’)と、暗号文C=PQCC-DRとを受信する。
(ステップS603:復号ステップ)
まず、復号部603は、秘密鍵PQCSKと暗号文C=PQCC-DRとを入力としてPQCDECを実行することによりM=(P-D,R)を得る。
次に、復号部603は、得られた乱数Rを用いてP’-DからP-Dを計算する。計算したP-DがPQCDECの実行結果が示すP-Dと一致しない場合、復号部603は0を出力する。これらのP-Dが一致する場合、復号部603は、ユーザ秘密鍵SKΓと、属性ベース暗号の暗号文としての(P-SS,P-D)とを入力としてABEDECを実行することによりKEYを得る。
まず、復号部603は、秘密鍵PQCSKと暗号文C=PQCC-DRとを入力としてPQCDECを実行することによりM=(P-D,R)を得る。
次に、復号部603は、得られた乱数Rを用いてP’-DからP-Dを計算する。計算したP-DがPQCDECの実行結果が示すP-Dと一致しない場合、復号部603は0を出力する。これらのP-Dが一致する場合、復号部603は、ユーザ秘密鍵SKΓと、属性ベース暗号の暗号文としての(P-SS,P-D)とを入力としてABEDECを実行することによりKEYを得る。
(ステップS604:出力ステップ)
結果出力部604は、KEYを出力する。
結果出力部604は、KEYを出力する。
***実施の形態1の効果の説明***
以上のように、本実施の形態によれば、量子コンピュータに対する耐性があり、復号して平文を取り出さなくても属性ベース暗号の復号が可能か否かを検証することができる二重暗号化技術を提供することができる。また、本実施の形態によれば、暗号文のデータサイズ又は復号の処理時間などがシステムによって決められた最大値に依存しない。そのため、本実施の形態によれば、より安全にかつ効率的に使用可能な耐量子計算機属性ベース暗号を実現することができる。
また、本実施の形態によれば、復号可能条件と属性集合に関しては耐量子計算機暗号ではない属性ベース暗号と同等に構成することができ、また、復号可能条件と属性集合との対応確認を復号処理とは別に実行することができる。そのため、本実施の形態によれば、二重暗号化技術を、量子コンピュータに対する耐性がある属性ベース暗号として効率的に運用することができる。
以上のように、本実施の形態によれば、量子コンピュータに対する耐性があり、復号して平文を取り出さなくても属性ベース暗号の復号が可能か否かを検証することができる二重暗号化技術を提供することができる。また、本実施の形態によれば、暗号文のデータサイズ又は復号の処理時間などがシステムによって決められた最大値に依存しない。そのため、本実施の形態によれば、より安全にかつ効率的に使用可能な耐量子計算機属性ベース暗号を実現することができる。
また、本実施の形態によれば、復号可能条件と属性集合に関しては耐量子計算機暗号ではない属性ベース暗号と同等に構成することができ、また、復号可能条件と属性集合との対応確認を復号処理とは別に実行することができる。そのため、本実施の形態によれば、二重暗号化技術を、量子コンピュータに対する耐性がある属性ベース暗号として効率的に運用することができる。
ここで、図15を用いて本実施の形態の効果を説明する。「耐量子」は量子計算機耐性があることを意味する。図15の(a)に示すように、従来技術では、量子コンピュータに対する耐性がある関数型暗号を格子暗号技術により直接的に構成するので、量子計算機耐性があるという利点があるものの、関数型暗号機能の構成が難しいために構成が複雑化するという課題がある。一方、本実施の形態によれば、一部において量子計算機耐性が従来技術と比較して劣るものの、従来技術である耐量子計算機暗号と関数型暗号とを組み合わせた構成であるために従来技術と比較して構成が簡素化される。
また、図16を用いて本実施の形態の効果を説明する。ここで、C0は全体を統括してKEM鍵をエンコードしている成分であり、CiはLの中の属性がエンコードされている成分である。図16の(a)に示すように、従来技術では復号可能条件をチェックするためにkeyFEを復号する必要があり、keyFEを復号するとKEM鍵の素ζが漏れるという課題がある。一方、図16の(b)に示すように、本実施の形態によればKEM鍵の成分はPQCで守られる。また、復号可能条件をチェックするためのパラメータに対する一致判定をPQCによらずに実行することができる。さらに、当該一致判定はKEM鍵の素ζと無関係に実行することができるため、当該一致判定においてKEM鍵の素ζが漏れるリスクはない。
また、図16を用いて本実施の形態の効果を説明する。ここで、C0は全体を統括してKEM鍵をエンコードしている成分であり、CiはLの中の属性がエンコードされている成分である。図16の(a)に示すように、従来技術では復号可能条件をチェックするためにkeyFEを復号する必要があり、keyFEを復号するとKEM鍵の素ζが漏れるという課題がある。一方、図16の(b)に示すように、本実施の形態によればKEM鍵の成分はPQCで守られる。また、復号可能条件をチェックするためのパラメータに対する一致判定をPQCによらずに実行することができる。さらに、当該一致判定はKEM鍵の素ζと無関係に実行することができるため、当該一致判定においてKEM鍵の素ζが漏れるリスクはない。
***他の構成***
<変形例1>
図17は、本変形例に係る各装置のハードウェア構成例を示している。
各装置は、CPU11、CPU11とRAM14、CPU11とROM13、あるいはCPU11とRAM14とROM13とに代えて、処理回路31を備える。
処理回路31は、各装置が備える各部の少なくとも一部を実現するハードウェアである。
処理回路31は、専用のハードウェアであってもよく、また、RAM14に格納されるプログラムを実行するプロセッサであってもよい。
<変形例1>
図17は、本変形例に係る各装置のハードウェア構成例を示している。
各装置は、CPU11、CPU11とRAM14、CPU11とROM13、あるいはCPU11とRAM14とROM13とに代えて、処理回路31を備える。
処理回路31は、各装置が備える各部の少なくとも一部を実現するハードウェアである。
処理回路31は、専用のハードウェアであってもよく、また、RAM14に格納されるプログラムを実行するプロセッサであってもよい。
処理回路31が専用のハードウェアである場合、処理回路31は、具体例として、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)又はこれらの組み合わせである。
各装置は、処理回路31を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路31の役割を分担する。
各装置は、処理回路31を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路31の役割を分担する。
各装置において、一部の機能が専用のハードウェアによって実現されて、残りの機能がソフトウェア又はファームウェアによって実現されてもよい。
処理回路31は、具体例として、ハードウェア、ソフトウェア、ファームウェア、又はこれらの組み合わせにより実現される。
CPU11とRAM14とROM13と処理回路31とを、総称して「プロセッシングサーキットリー」という。つまり、各装置の各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。
CPU11とRAM14とROM13と処理回路31とを、総称して「プロセッシングサーキットリー」という。つまり、各装置の各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。
***他の実施の形態***
実施の形態1について説明したが、本実施の形態のうち、複数の部分を組み合わせて実施しても構わない。あるいは、本実施の形態を部分的に実施しても構わない。その他、本実施の形態は、必要に応じて種々の変更がなされても構わず、全体としてあるいは部分的に、どのように組み合わせて実施されても構わない。
なお、前述した実施の形態は、本質的に好ましい例示であって、本開示と、その適用物と、用途の範囲とを制限することを意図するものではない。フローチャートなどを用いて説明した手順は、適宜変更されてもよい。
実施の形態1について説明したが、本実施の形態のうち、複数の部分を組み合わせて実施しても構わない。あるいは、本実施の形態を部分的に実施しても構わない。その他、本実施の形態は、必要に応じて種々の変更がなされても構わず、全体としてあるいは部分的に、どのように組み合わせて実施されても構わない。
なお、前述した実施の形態は、本質的に好ましい例示であって、本開示と、その適用物と、用途の範囲とを制限することを意図するものではない。フローチャートなどを用いて説明した手順は、適宜変更されてもよい。
11 CPU、12 バス、13 ROM、14 RAM、15 通信ボード、16 ディスプレイ、17 キーボード、18 マウス、19 ドライブ、20 磁気ディスク装置、21 OS、22 プログラム群、23 ファイル群、31 処理回路、100 暗号システム、101 インターネット、200 パラメータ生成装置、201 入力部、202 共通パラメータ生成部、203 送信部、300 ユーザ秘密鍵生成装置、301 入力部、302 鍵受信部、303 鍵生成部、304 鍵送信部、400 暗号化装置、401 入力部、402 鍵受信部、403 暗号化部、404 暗号文送信部、405 鍵出力部、500 復号可能検証装置、501 暗号文受信部、502 鍵受信部、503 検証部、504 結果出力部、600 復号装置、601 暗号文受信部、602 鍵受信部、603 復号部、604 結果出力部。
Claims (6)
- 属性ベース暗号の秘密鍵MSKと、復号可能条件Lに対応する属性の集合Γとを用いてユーザ秘密鍵SKΓが生成されたとき、
前記秘密鍵MSKに対応する公開鍵MPKと、耐量子計算機暗号の公開鍵PQCPKとから成る鍵PKを属性ベース暗号の暗号鍵として用いて前記復号可能条件Lを属性ベース暗号により暗号化することによって鍵Kと前記鍵Kに対応する暗号文Pとを生成し、前記暗号文Pのうち秘密値に基づいて前記復号可能条件Lが暗号化された箇所をP-Dとし、前記暗号文Pのうち分散された前記秘密値が暗号化された箇所をP-SSとし、
前記鍵Kと前記P-Dとのそれぞれを乱数Rを用いてランダム化することによりK’とP’-Dとを生成し、
前記公開鍵PQCPKを用いて前記P-Dと前記乱数Rとから成るデータを耐量子計算機暗号により暗号化することによって暗号文Cを生成する暗号化部
を備え、
前記P-SSと前記P’-Dと前記K’とは、前記ユーザ秘密鍵SKΓに対応する復号可能検証パラメータである暗号化装置。 - 属性ベース暗号の秘密鍵MSKと、復号可能条件Lに対応する属性の集合Γとを用いてユーザ秘密鍵SKΓが生成され、前記秘密鍵MSKに対応する公開鍵MPKと、耐量子計算機暗号の公開鍵PQCPKとから成る鍵PKを属性ベース暗号の暗号鍵として用いて前記復号可能条件Lを属性ベース暗号により暗号化することによって鍵Kと前記鍵Kに対応する暗号文Pとが生成され、前記暗号文Pのうち秘密値に基づいて前記復号可能条件Lが暗号化された箇所がP-Dとされ、前記暗号文Pのうち分散された前記秘密値が暗号化された箇所がP-SSとされ、前記鍵Kと前記P-Dとのそれぞれを乱数Rを用いてランダム化することによりK’とP’-Dとが生成され、前記公開鍵PQCPKを用いて前記P-Dと前記乱数Rとから成るデータを耐量子計算機暗号により暗号化することによって暗号文Cが生成されたとき、
前記暗号文Cと、前記P-SSと、前記P’-Dとの各々を受信する暗号文受信部と、
前記公開鍵PQCPKに対応する秘密鍵PQCSKと、前記ユーザ秘密鍵SKΓとの各々を受信する鍵受信部と、
前記秘密鍵PQCSKを用いて前記暗号文Cを耐量子計算機暗号により復号し、前記乱数Rを用いて前記P’-DからP-Dを計算し、復号した結果が示すP-Dと、計算したP-Dとが一致する場合に、前記ユーザ秘密鍵SKΓを用いて前記P-SSと前記P-Dとから成るデータを属性ベース暗号により復号する復号部と
を備える復号装置。 - 属性ベース暗号の秘密鍵MSKと、復号可能条件Lに対応する属性の集合Γとを用いてユーザ秘密鍵SKΓが生成され、前記秘密鍵MSKに対応する公開鍵MPKと、耐量子計算機暗号の公開鍵PQCPKとから成る鍵PKを属性ベース暗号の暗号鍵として用いて前記復号可能条件Lを属性ベース暗号により暗号化することによって鍵Kと前記鍵Kに対応する暗号文Pとが生成され、前記暗号文Pのうち秘密値に基づいて前記復号可能条件Lが暗号化された箇所がP-Dとされ、前記暗号文Pのうち分散された前記秘密値が暗号化された箇所がP-SSとされ、前記鍵Kと前記P-Dとのそれぞれを乱数Rを用いてランダム化することによりK’とP’-Dとが生成され、前記P-SSと前記P’-Dと前記K’とが前記ユーザ秘密鍵SKΓに対応する復号可能検証パラメータとされたとき、
前記復号可能検証パラメータを受信する暗号文受信部と、
前記ユーザ秘密鍵SKΓを受信する鍵受信部と、
前記ユーザ秘密鍵SKΓを用いて前記復号可能検証パラメータを属性ベース暗号により復号し、前記K’と復号した結果とが一致する場合に前記ユーザ秘密鍵SKΓが復号可能であると判定する検証部と
を備える復号可能検証装置。 - 請求項1に記載の暗号化装置と、請求項2に記載の復号装置と、請求項3に記載の復号可能検証装置とを備える暗号システム。
- 属性ベース暗号の秘密鍵MSKと、復号可能条件Lに対応する属性の集合Γとを用いてユーザ秘密鍵SKΓが生成されたとき、
コンピュータが、前記秘密鍵MSKに対応する公開鍵MPKと、耐量子計算機暗号の公開鍵PQCPKとから成る鍵PKを属性ベース暗号の暗号鍵として用いて前記復号可能条件Lを属性ベース暗号により暗号化することによって鍵Kと前記鍵Kに対応する暗号文Pとを生成し、前記暗号文Pのうち秘密値に基づいて前記復号可能条件Lが暗号化された箇所をP-Dとし、前記暗号文Pのうち分散された前記秘密値が暗号化された箇所をP-SSとし、
前記コンピュータが、前記鍵Kと前記P-Dとのそれぞれを乱数Rを用いてランダム化することによりK’とP’-Dとを生成し、
前記コンピュータが、前記公開鍵PQCPKを用いて前記P-Dと前記乱数Rとから成るデータを耐量子計算機暗号により暗号化することによって暗号文Cを生成する暗号化方法であって、
前記P-SSと前記P’-Dと前記K’とは、前記ユーザ秘密鍵SKΓに対応する復号可能検証パラメータである暗号化方法。 - 属性ベース暗号の秘密鍵MSKと、復号可能条件Lに対応する属性の集合Γとを用いてユーザ秘密鍵SKΓが生成されたとき、
前記秘密鍵MSKに対応する公開鍵MPKと、耐量子計算機暗号の公開鍵PQCPKとから成る鍵PKを属性ベース暗号の暗号鍵として用いて前記復号可能条件Lを属性ベース暗号により暗号化することによって鍵Kと前記鍵Kに対応する暗号文Pとを生成し、前記暗号文Pのうち秘密値に基づいて前記復号可能条件Lが暗号化された箇所をP-Dとし、前記暗号文Pのうち分散された前記秘密値が暗号化された箇所をP-SSとし、
前記鍵Kと前記P-Dとのそれぞれを乱数Rを用いてランダム化することによりK’とP’-Dとを生成し、
前記公開鍵PQCPKを用いて前記P-Dと前記乱数Rとから成るデータを耐量子計算機暗号により暗号化することによって暗号文Cを生成する暗号化処理
をコンピュータである暗号化装置に実行させる暗号化プログラムであって、
前記P-SSと前記P’-Dと前記K’とは、前記ユーザ秘密鍵SKΓに対応する復号可能検証パラメータである暗号化プログラム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2022/000537 WO2023135642A1 (ja) | 2022-01-11 | 2022-01-11 | 暗号化装置、復号装置、復号可能検証装置、暗号システム、暗号化方法、及び暗号化プログラム |
| JP2023550656A JP7466791B2 (ja) | 2022-01-11 | 2022-01-11 | 暗号化装置、復号装置、復号可能検証装置、暗号システム、暗号化方法、及び暗号化プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2022/000537 WO2023135642A1 (ja) | 2022-01-11 | 2022-01-11 | 暗号化装置、復号装置、復号可能検証装置、暗号システム、暗号化方法、及び暗号化プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2023135642A1 true WO2023135642A1 (ja) | 2023-07-20 |
Family
ID=87278571
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/JP2022/000537 WO2023135642A1 (ja) | 2022-01-11 | 2022-01-11 | 暗号化装置、復号装置、復号可能検証装置、暗号システム、暗号化方法、及び暗号化プログラム |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP7466791B2 (ja) |
| WO (1) | WO2023135642A1 (ja) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017203743A1 (ja) * | 2016-05-27 | 2017-11-30 | 三菱電機株式会社 | 暗号化装置、復号装置及び暗号システム |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11222134B2 (en) | 2020-03-04 | 2022-01-11 | Sotero, Inc. | System and methods for data encryption and application-agnostic querying of encrypted data |
-
2022
- 2022-01-11 JP JP2023550656A patent/JP7466791B2/ja active Active
- 2022-01-11 WO PCT/JP2022/000537 patent/WO2023135642A1/ja active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017203743A1 (ja) * | 2016-05-27 | 2017-11-30 | 三菱電機株式会社 | 暗号化装置、復号装置及び暗号システム |
Non-Patent Citations (2)
| Title |
|---|
| MIYAZAWA. TOMOKI ET AL.: "Semi-Adaptively Secure Inner-Product Encryption from Lattices", IPSJ TECHNICAL REPORT: COMPUTER SECURITY (CSEC), vol. 2019-CSEC-87, no. 1, 26 November 2019 (2019-11-26), pages 1 - 8, XP009547741 * |
| TOMMASO GAGLIARDONI ; JULIANE KRMER ; PATRICK STRUCK: "Quantum Indistinguishability for Public Key Encryption", IACR, INTERNATIONAL ASSOCIATION FOR CRYPTOLOGIC RESEARCH, 19 February 2021 (2021-02-19), International Association for Cryptologic Research , pages 1 - 39, XP061052147 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2023135642A1 (ja) | 2023-07-20 |
| JP7466791B2 (ja) | 2024-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11818262B2 (en) | Method and system for one-to-many symmetric cryptography and a network employing the same | |
| US11233659B2 (en) | Method of RSA signature or decryption protected using a homomorphic encryption | |
| JP5932040B2 (ja) | 再暗号化鍵生成装置及びプログラム | |
| JP6363032B2 (ja) | 鍵付替え方向制御システムおよび鍵付替え方向制御方法 | |
| WO2006080165A1 (ja) | ファイルの暗号化・復号化方法、装置、プログラム、及びこのプログラムを記録したコンピュータ読み取り可能な記録媒体 | |
| US11063743B2 (en) | Method of RSA signature of decryption protected using assymetric multiplicative splitting | |
| CA3056814A1 (en) | Symmetric cryptographic method and system and applications thereof | |
| US20240063999A1 (en) | Multi-party cryptographic systems and methods | |
| US20240048377A1 (en) | Ciphertext conversion system, conversion key generation method, and non-transitory computer readable medium | |
| WO2023135642A1 (ja) | 暗号化装置、復号装置、復号可能検証装置、暗号システム、暗号化方法、及び暗号化プログラム | |
| WO2021044465A1 (ja) | 暗号化装置、復号装置、コンピュータプログラム、暗号化方法、復号方法及びデータ構造 | |
| WO2023199435A1 (ja) | 暗号文変換システム、暗号文変換方法、及び暗号文変換プログラム | |
| JP6949276B2 (ja) | 再暗号化装置、再暗号化方法、再暗号化プログラム及び暗号システム | |
| WO2023199436A1 (ja) | 暗号文変換システム、暗号文変換方法、及び暗号文変換プログラム | |
| JP7486693B2 (ja) | 暗号文変換システム、暗号文変換方法、及び暗号文変換プログラム | |
| WO2021144842A1 (ja) | 秘匿情報処理システム、準同型演算装置、復号装置、秘匿情報処理方法、および、秘匿情報処理プログラム | |
| Telesca | Benchmarking Ternary Computing for Increased Information Assurance | |
| JP2004147270A (ja) | 情報処理システム及び情報処理方法 | |
| JP2005269587A (ja) | 鍵共有システム、暗号システム、ファイル認証システム | |
| JP2004234371A (ja) | ファイル管理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| WWE | Wipo information: entry into national phase |
Ref document number: 2023550656 Country of ref document: JP |
|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 22920168 Country of ref document: EP Kind code of ref document: A1 |