CN103946910A - 密码处理系统、密码处理方法、密码处理程序以及密钥生成装置 - Google Patents

Abstract

目的在于使公开参数、主秘密密钥的大小变小，并且缩短向用户提供的秘密密钥的生成的处理、加密的处理所花费的时间。密钥生成装置(100)使用在各行各列中至少一个具有0以外的值的稀疏矩阵，生成成为公开参数、主秘密密钥的基底B和基底B^*。加密装置(200)生成基底B中的嵌入了规定的信息的矢量作为密码矢量，解密装置(300)将基底B^*中的规定的矢量作为密钥矢量，对密码矢量和密钥矢量进行配对运算而对密码矢量进行解密。

Description

密码处理系统、密码处理方法、密码处理程序以及密钥生成装置

技术领域

本发明涉及内积密码(Inner-Product Encryption，IPE)。

背景技术

在非专利文献13、16、17中有关于内积密码的记载。

在非专利文献13、16、17记载的内积密码中，利用矢量空间的基底来提供公开参数、主秘密密钥。

非专利文献1：Abdalla，M.，Kiltz，E.，Neven，G.：Generalized key delegation for hierarchical identity-based encryption.ESORICS’07，LNCS4734，pp.139-154.Springer，(2007)

非专利文献2：Attrapadung，N.，Libert，B.：Functionalencryption for inner product：Achieving constant-size ciphertextswith adaptive security or support for negation.PKC2010.LNCS，vol.6056，pp.384-402.Springer Heidelberg(2010)

非专利文献3：Attrapadung，N.，Libert，B.，De Panafieu，E.：Expressive key-policy attribute-based encryption withconstant-size ciphertexts.PKC2011.LNCS，vol.6571，pp.90-108.Springer Heidelberg(2011)

非专利文献4：Bethencourt，J.，Sahai，A.，Waters，B.：Ciphertext-policy attribute-based encryption.In：2007IEEESymposium on Security and Privacy，pp.321-334.IEEE Press(2007)

非专利文献5：Boneh，D.，Hamburg，M.：Generalized identitybased and broadcast encryption scheme.In：Pieprzyk，J.(ed.)ASIACRYPT2008.LNCS，vol.5350，pp.455-470.SpringerHeidelberg(2008)

非专利文献6：Delerablee，C.：Identity-based broadcastencryption with constant size ciphertexts and private keys.In：ASIACRYPT2007，LNCS，pp.200-215.Springer-Verlag(2007)

非专利文献7：Emura，K.，Miyaji，A.，Nomura，A.，Omote，K.，Soshi，M.：A ciphertext-policy attribute-based encryption schemewith constant ciphertext length.Proceedings of ISPEC2009，LNCS，pp.13-23.Springer-Verlag(2009)

非专利文献8：Gentry，C.，Waters，B.：Adaptive security inbroadcast encryption systems(with short ciphertexts).In：Joux，A.(ed.)EUROCRYPT2009.LNCS，vol.5479，pp.171-188.Springer Heidelberg(2009)

非专利文献9：Goyal，V.，Pandey，O.，Sahai，A.，Waters，B.：Attribute-based encryption for fine-grained access control ofencrypted data.In：ACM Conference on Computer andCommunication Security2006，pp.89-98，ACM(2006)

非专利文献10：Herranz，J.，Laguillaumie，F.，Rafols，C.：Constant size ciphertexts in thereshold attribute-basedencryption，In Nguyen，P.Q.，Pointcheval，D.(eds.)PKC2010.LNCS，vol.6056，pp.19-34.Springer Heidelberg(2010)

非专利文献11：Katz，J.，Sahai，A.，Waters，B.：Predicateencryption supporting disjunctions，polynomial equations，andinner products.In：Smart，N.P.(ed.)EUROCRYPT2008.LNCS，vol.4965，pp.146-162.Springer Heidelberg(2008)

非专利文献12：Lewko，A.，Sahai，A.，Waters，B.：Revocation systems with very small private keys，In IEEESymposium on Security and Privacy2010(2010)

非专利文献13：Lewko，A.，Okamoto，T.，Sahai，A.，Takashima，K.，Waters，B.：Fully secure functional encryption：Attribute-based encryption and(hierarchical)inner productencryption，EUROCRYPT2010.LNCS，Springer Heidelberg(2010)Full version is available at http：//eprint.iacr.org/2010/110

非专利文献14：Lewko，A.B.，Waters，B.：New techniquesfor dual system encryption and fully secure HIBE with shortciphertexts.In：Micciancio，D.(ed.)TCC2010.LNCS，vol.5978，pp.455-479.Springer Heidelberg(2010)

非专利文献15：Okamoto，T.，Takashima，K.：Homomorphicencryption and signatures from vector decomposition.In：Galbraith，S.D.，Paterson，K.G.(eds.)Pairing2008.LNCS，vol.5209，pp.57-74，Springer Heidelberg(2008)

非专利文献16：Okamoto，T.，Takashima，K.：Hierarchicalpredicate encryption for inner-products，In：Matsui，M.(ed.)ASIACRYPT2009.LNCS，vol.5912，pp.214-231.SpringerHeidelberg(2009)

非专利文献17：Okamoto，T.，Takashima，K.：Fully securefunctional encryption with general relations from the decisionallinear assumption.In：Rabin，T.(ed.)CRYPTO2010.LNCS，vol.6223，pp.191-208.Springer Heidelberg(2010).Full version isavailable at http：//eprint.iacr.org/2010/563

非专利文献18：Sahai，A.，Waters，B.：Fuzzy identity-basedencryption.In：Cramer，R.(ed.)EUROCRYPT2005.LNCS，vol.3494，pp.457-473.Springer Heidelberg(2005)

非专利文献19：Sakai，R.，Furukawa，J.：Identity-basedbroadcast encryption，IACR ePrint Archive：Report2007/217http：//eprint.iacr.org/2007/217(2007).

非专利文献20：Waters，B.：Dual system encryption：realizingfully secure IBE and HIBE under simple assumptions.In：Halevi，S.(ed.)CRYPTO2009.LNCS，vol.5677，pp.619-636.SpringerHeidelberg(2009)

发明内容

在非专利文献13、16、17记载的内积密码中，如果将内积密码中使用的矢量的长度设为N，则公开参数、主秘密密钥的大小与N²成比例，在向用户提供的秘密密钥的生成、加密的处理中花费与N²成比例的时间。

本发明的目的在于，使公开参数、主秘密密钥的大小变小，并且缩短向用户提供的秘密密钥的生成的处理、加密的处理所花费的时间。

本发明的密码处理系统，利用使用在各行各列中至少一个具有0以外的值的稀疏矩阵使规定的基底A变形而生成的基底B和基底B^*，进行密码处理，其特征在于，具备：

加密装置，生成所述基底B中的嵌入了规定的信息的矢量而作为密码矢量；以及

解密装置，将所述基底B^*中的规定的矢量作为密钥矢量，对所述加密装置所生成的密码矢量和所述密钥矢量进行配对运算而对所述密码矢量进行解密，抽出与所述规定的信息有关的信息。

在本发明的密码处理系统中，在为了生成成为公开参数、主秘密密钥的基底B和基底B^*而使用的矩阵中使用稀疏矩阵。由此，公开参数、主秘密密钥的大小变小，并且向用户提供的秘密密钥的生成的处理、加密的处理所花费的时间变短。

附图说明

图1是执行零内积密码方式和非零内积密码方式的密码处理系统10的结构图。

图2是随机的线性变换X的特别的形式的说明图。

图3是实施方式2的密钥生成装置100的结构图。

图4是实施方式2的加密装置200的结构图。

图5是实施方式2的解密装置300的结构图。

图6是示出实施方式2的Setup算法的处理的流程图。

图7是示出实施方式2的KeyGen算法的处理的流程图。

图8是示出实施方式2的Enc算法的处理的流程图。

图9是示出实施方式2的Dec算法的处理的流程图。

图10是示出实施方式3的Setup算法的处理的流程图。

图11是示出实施方式3的KeyGen算法的处理的流程图。

图12是示出实施方式3的Enc算法的处理的流程图。

图13是示出实施方式3的Dec算法的处理的流程图。

图14是示出实施方式4的Setup算法的处理的流程图。

图15是示出实施方式4的KeyGen算法的处理的流程图。

图16是示出实施方式4的Enc算法的处理的流程图。

图17是示出实施方式4的Dec算法的处理的流程图。

图18是示出实施方式5的Setup算法的处理的流程图。

图19是示出实施方式5的KeyGen算法的处理的流程图。

图20是示出实施方式5的Enc算法的处理的流程图。

图21是示出实施方式5的Dec算法的处理的流程图。

图22是比较了在实施方式2-4中说明的非零内积密码方式以及零内积密码方式、和非专利文献2记载的非零内积密码方式以及零内积密码方式的图。

图23是示出密钥生成装置100、加密装置200、解密装置300、密钥移交装置400的硬件结构的一个例子的图。

(符号说明)

10：密码处理系统；100：密钥生成装置；110：主密钥生成部；111：空间生成部；112：矩阵生成部；113：基底生成部；114：密钥生成部；120：主密钥存储部；130：信息输入部；140：解密密钥生成部；141：随机数生成部；142：密钥要素生成部；150：密钥分发部；200：加密装置；210：公开参数取得部；220：信息输入部；230：密文生成部；231：随机数生成部；232：密码要素生成部；240：数据发送部；300：解密装置；310：解密密钥取得部；320：数据接收部；330：配对运算部；340：消息计算部。

具体实施方式

以下，根据附图，说明发明的实施方式。

在以下的说明中，处理装置是后述的CPU911等。存储装置是后述的ROM913、RAM914、磁盘920等。通信装置是后述的通信板915等。输入装置是后述的键盘902、通信板915等。输出装置是后述的RAM914、磁盘920、通信板915、LCD901等。即，处理装置、存储装置、通信装置、输入装置、输出装置是硬件。

说明以下的说明中的记法。

在A是随机的变量或者分布时，式101表示按照A的分布从A中随机地选择y。即，在式101中，y是随机数。

[式101]

在A是集合时，式102表示从A中均匀地选择y。即，在式102中，y是均匀随机数。

[式102]

矢量标记表示位数q的有限域F_q中的矢量显示。例如，是式103。

[式103]

x^→表示：

式104表示式105中示出的2个矢量x^→和v^→的式106所示的内积。

[式104]

$\stackrel{\→}{x}\·\stackrel{\→}{v}$

[式105]

$\stackrel{\→}{x}=(x_1,...,x_n),$

$\stackrel{\→}{v}=(v_1,...,v_n)$

[式106]

${\mathrm{\Σ}}_{i=1}^n{x}_i{v}_i$

X^T表示矩阵X的转置矩阵。

在b_i(i＝1，...，n)是空间V的矢量的要素时、即是式107时，式108表示通过式109生成的部分空间。

[式107]

[式108]

[式109]

$b_1,...,b_L(\mathrm{resp}.\stackrel{\→}{x}1,...,\stackrel{\→}{x}L)$

相对式110所示的基底B和基底B^*，是式111。

[式110]

[式111]

针对j＝1、...、n的n个矢量，e^→ _j表示式112所示的标准基底矢量。

[式112]

对于j=1，...，n

GL(n，F_q)表示有限域F_q中的次数n的一般线性群。

另外，在以下的说明中，在对下标文字或者上标文字附加了表示矢量的“→”的情况下，表示对于下标文字或者上标文字以上标方式附加该“→”。同样地，在对下标文字或者上标文字附加了基底B^*中的“*”的情况下，表示对于下标文字或者上标文字以上标方式附加该“*”。另外，同样地，在对下标文字或者上标文字附加了空间V_t中的t的情况下，表示对于下标文字或者上标文字以下标方式附加该“t”。

另外，在以下的说明中，密码处理包括加密处理、解密处理、密钥生成处理。

实施方式1.

在该实施方式中，说明成为实现内积密码的基础的概念、和内积密码的结构。

第1，说明内积密码的概念。

第2，说明作为用于实现内积密码的空间的双重配对矢量空间(Dual Pairing Vector Spaces，DPVS)。

第3，说明在以下的实施方式中说明的内积密码方式的基本结构。

第4，说明执行在以下的实施方式中说明的内积密码方式的密码处理系统10的基本结构。

第5，说明在以下的实施方式中说明的内积密码方式的基本的观点。

<第1.内积密码的概念>

首先，说明函数型密码(Functional Encryption)。

函数型密码是进步了的密码的概念。另外，函数型密码是公开密钥密码(Public-Key Encryption，PKE)、基于ID的密码(Identity-Based Encryption，IBE)的一般化。在函数型密码系统中，如果对于确定密文的参数y适合地对应关联了参数x，则接收者能够使用与参数x对应的秘密密钥对密文进行解密。即，在解密中，针对某关系R(针对(x，y)成立的关系R)，需要R(x，y)＝1。

内积密码是函数型密码的一种。

在内积密码中，有零内积密码(Zero Inner Product Encryption，ZIPE)、和非零内积密码(Non-zero Inner Product Encryption，NIPE)。

在零内积密码中，对矢量x^→进行加密而得到的密文能够用与x^→·y^→＝0的矢量y^→对应关联的秘密密钥来解密。即，仅限于是x^→·y^→＝0的情况，需要是R^ZIPE(x^→，y^→)＝1。

在非零内积密码中，对矢量x^→进行加密而得到的密文能够用与x^→·y^→≠0的矢量y^→对应关联的秘密密钥来解密。即，仅限于是x^→·y^→≠0的情况，需要是R^NIPE(x^→，y^→)＝1。

<第2.双重配对矢量空间>

首先，说明对称双线性配对群(Symmetric Bilinear PairingGroups)。

对称双线性配对群(q，G，G_T，g，e)是素数q、位数q的循环加法群G、位数q的循环乘法群G_T、要素g≠0∈G、以及可通过多项式时间来计算的非退化双线性配对(Nondegenerate BilinearPairing)e：G×G→G_T的组。非退化双线性配对是e(sg，tg)＝e(g，g)^st，且是e(g，g)≠1。

在以下的说明中，关于G_bpg，设为如下算法：以1^λ为输入，而输出将保密参数设为λ的双线性配对群的参数paramG：＝(q，G，G_T，g，e)的值。

接下来，说明双重配对矢量空间。

双重配对矢量空间(q，V，G_T，A，e)能够通过对称双线性配对群(param_G：＝(q，G，G_T，g，e))的直积来构成。双重配对矢量空间(q，V，G_T，A，e)是素数q、式113所示的有限域F_q上的N维矢量空间V、位数q的循环群G_T、空间V的标准基底A：＝(a₁，...，a_N)的组，具有以下的运算(1)(2)。此处，a_i如式114所示。

[式113]

[式114]

运算(1)：非退化双线性配对

空间V中的配对通过式115来定义。

[式115]

此处，是如下：

这是非退化双线性。即，e(sx，ty)＝e(x，y)^st，在针对所有的y∈V是e(x，y)＝1的情况下，是x＝0。另外，针对所有的i和j，是e(a_i，a_j)＝e(g，g)^δi，j(该δi，j表示δ_i，j)。此处，如果是i＝j，则是δ_i，j＝1，如果是i≠j，则是δ_i，j＝0。另外，是e(g，g)≠1∈G_T。

运算(2)：标准映射

式116所示的空间V中的线性变换φ_i，j能够通过式117来容易地实现。

[式116]

φ_i，j(a_j)＝a_i，

如果k≠j，则φ_i，j(a_k)＝0。

[式117]

此处，(g₁，...g_N):=x

此处，将线性变换φ_i，j称为标准映射。

在以下的说明中，关于G_dpvs，设为如下算法：将1^λ(λ∈自然数)、N∈自然数作为输入，输出保密参数是λ、且作为N维的空间V的双重配对矢量空间的参数paramV：＝(q，V，G_T，A，e)的值。

另外，此处，说明通过上述对称双线性配对群来构成了双重配对矢量空间的情况。也可以通过非对称双线性配对群来构成双重配对矢量空间。容易将以下的说明应用于通过非对称双线性配对群来构成了双重配对矢量空间的情况。

<第3.内积密码方式的基本结构>

首先，说明零内积密码方式。

零内积密码方式中的关系R^ZIPE是在矢量x^→∈Fⁿ _q\{0^→}、和矢量v^→∈Fⁿ _q\{0^→}下被定义的。另外，仅限于x^→·v^→＝0的情况，是关系R^ZIPE(x^→，v^→)：＝1。

同样地，非零内积密码方式中的关系R^NIPE是在矢量x^→∈Fⁿ _q\{0^→}、和矢量v^→∈Fⁿ _q\{0^→}下被定义的。并且，仅限于x^→·v^→≠0的情况，是关系R^NIPE(x^→，v^→)：＝1。

零内积密码方式和非零内积密码方式具备Setup、KeyGen、Enc、Dec这4个算法。

(Setup)

Setup算法是被输入保密参数λ、并输出公开参数pk和主秘密密钥sk的概率性的算法。

(KeyGen)

KeyGen算法是将矢量v^→、公开参数pk以及主秘密密钥sk作为输入而输出解密密钥sk_v→的概率性的算法。

(Enc)

Enc算法是将消息m、矢量x^→以及公开参数pk作为输入而输出密文ct_x→的概率性的算法。

(Dec)

Dec算法是将在矢量x^→下加密了的密文ct_x→、针对矢量v^→的解密密钥sk_v→、以及公开参数pk作为输入而输出消息m或者识别信息⊥的算法。识别信息⊥是表示未能解密的信息。

<第4.密码处理系统10的基本结构>

图1是执行零内积密码方式和非零内积密码方式的密码处理系统10的结构图。

密钥生成装置100将保密参数λ作为输入来执行Setup算法，生成公开参数pk和主秘密密钥sk。然后，密钥生成装置100公开所生成的公开参数pk。另外，密钥生成装置100将矢量v^→作为输入而执行KeyGen算法，生成解密密钥sk_v→并秘密地分发到解密装置300。

加密装置200将消息m、矢量x^→以及公开参数pk作为输入而执行Enc算法，生成密文ct_x→。加密装置200将所生成的密文ct_x→发送到解密装置300。

解密装置300将公开参数pk、解密密钥sk_v→以及密文ct_x→作为输入而执行Dec算法，输出消息m’(＝m)或者识别信息⊥。

<第5.密码方式的基本的观点>

在将双重配对矢量空间应用于密码处理的典型的应用程序中，生成双重基底(或者标准正交基底)的对即基底B和基底B^*。使用从GL(N，F_q)均匀地选择的、完全随机的线性变换X(基底变换矩阵)来生成基底B和基底B^*。特别是，通过线性变换X和(X^-1)^T对标准基底A进行变换而分别生成基底B和基底B^*。另外，N是span<B>和span<B^*>的维数。

另外，在将双重配对矢量空间应用于密码处理的典型的应用程序中，基底B的一部分(称为B^{^})被用作公开参数，与它对应的基底B^*的一部分(称为B^{^*})被用作秘密密钥或者陷门。

在以下的实施方式中说明的内积密码中，代替上述完全随机的线性变换X，而使用X∈GL(N，F_q)的随机的线性变换X的特别的形式。通过该特别的形式的线性变换X，能够减小密文或者秘密密钥的大小，并且能够减少在处理中花费时间的配对运算的数量。

图2是特别的形式的线性变换X的说明图。

图2(a)示出完全随机的线性变换X，图2(b)示出特别的形式的线性变换X。在图2(a)、(b)中，方形所示的部分表示成分的值是0以外的随机数，在图2(b)中，空白部分表示成分的值是0。另外，在图2(b)中，划有斜线的方形所示的部分表示成分的值是相同的值。另外，此处设为N＝5。

如图2(a)所示，以往的线性变换X是N²(此处，5²＝25)的大小。相对于此，如图2(b)所示，在以下的实施方式中说明的内积密码中使用的线性变换X(以下，新的线性变换X)是N+1(此处，5+1＝6)的大小。

如上述那样，使用线性变换X对标准基底A进行变换来生成基底B和基底B^*。因此，基底B和基底B^*的大小与线性变换X的大小成比例。另外，如上述那样，关于基底B和基底B^*，其一部分成为公开参数和秘密密钥。因此，公开参数和秘密密钥的大小与线性变换X的大小成比例。即，在使用了以往的线性变换X的情况下，公开参数和秘密密钥的大小与N²成比例。相对于此，在使用了新的线性变换X的情况下，公开参数和秘密密钥的大小与N+1成比例。

其结果，在使用了以往的线性变换X的情况下，在用户密钥的生成的处理、加密的处理中花费与N²成比例的时间。相对于此，在使用了新的线性变换X的情况下，在用户密钥的生成的处理、加密的处理中成为与N+1成比例的时间。即，在使用了新的线性变换X的情况下，计算时间成为N的等级。

接下来，以非零内积密码方式为例，说明实现常数大小的密文和高效的解密的具体的方法。

另外，在说明密文的大小的情况下，设为矢量的描述不包含于密文的一部分中。在说明解密密钥的大小的情况下，也同样地设为矢量的描述不包含于密文的一部分中。

使用将在以下的实施方式中说明的非零内积密码方式进行简化而得到的例子来进行说明。

简化了的非零内积密码方式中的密文由2个矢量要素(c₀，c₁)∈G⁵×Gⁿ、以及c₃∈G_T构成。秘密密钥由2个矢量要素k^* ₀、k^* ₁∈G⁵×Gⁿ构成。另外，(c₀，c₁)∈G⁵×Gⁿ意味着，c₀是G的5个要素，c₁是G的n个要素。同样地，k^* ₀、k^* ₁∈G⁵×Gⁿ意味着，k^* ₀是G的5个要素，k^* ₁是G的n个要素。

因此，为了使密文的大小成为常数大小，需要将c₁∈Gⁿ压缩为关于n的常数大小。

使用式118所示的特别的线性变换X。

[式118]

此处，μ、μ’₁、...、μ’_n是从有限域F_q均匀地选择的值，线性变换X中的空白表示是常数值0∈F_q。常数值0意味着，值被固定为0。即，μ、μ’₁、...、μ’_n是还能够取0的均匀随机数，相对于此，线性变换X中的空白的值被固定为0。另外，H(n，F_q)表示以有限域F_q为要素的N维的矩阵的集合。

系统参数或者DPVS的公开基底是式119所示的基底B。

[式119]

将与x^→：＝(x₁，...，x_n)对应关联的密文设为式120所示的密文c₁。

[式120]

此处，ω是从有限域F_q均匀地选择的值。

于是，密文c₁能够压缩为式121所示的2个群组的要素C₁、C₂、和矢量x^→。

[式121]

$C_1:=\mathrm{\&omega;\&mu;g},$

$C_2:=\mathrm{\&omega;}\left({\mathrm{\&Sigma;}}_{i=1}^n{x}_i{\mathrm{\&mu;}}_i^{\&prime;}\right)g$

这是因为，密文c₁是通过(x₁C₁，...，x_n-1C₁，C₂)得到的。另外，关于i＝1、...、n-1的各i，是x_iC₁＝x_iωμg。

因此，密文(除了矢量x^→以外的部分)能够设为2个群组的要素，成为关于n的常数大小。

将B^*：＝(b^* _i)设为B：＝(b_i)的双重标准正交基底，将基底B^*设为是简化了的非零内积密码方式中的主秘密密钥。将(c₀，k^* ₀，c₃)规定为e(c₀，k^* ₀)＝g_T ^ζ·g_T ^ωδ、且c₃：＝g_T ^ζm∈G_T。另外，如k^* ₁：＝(δv^→)_B*＝δ(v₁b^* ₁+···+v_nb^* _n)那样设定针对矢量v^→的秘密密钥。

通过基底B和基底B^*的双重标准正交性，e(c₁，k^* ₁)＝g_T ^{ωδ(x→ ·v→)}成立。因此，解密者仅限于x^→·v^→≠0的情况，能够计算g_T ^ωδ。即，解密者能够通过式122得到消息m。

[式122]

$c_3\&CenterDot;e{(c_0,k_0^{*})}^{-1}\&CenterDot;e{(c_1,k_1^{*})}^{(\stackrel{\&RightArrow;}{x}\&CenterDot;\stackrel{\&RightArrow;}{v})-1}$

密文c₁被表示为(x₁C₁，...，x_n-1C₁，C₂)∈Gⁿ，秘密密钥k^* ₁被分解为(K₁，...，K_n)的n组。因此，e(c₁，k^* ₁)的值是式123。

[式123]

$\begin{array}{c}{\mathrm{\&Pi;}}_{i=1}^{n-1}e(x_i{C}_1,K_i)\&CenterDot;e(C_2,K_n)\\ ={\mathrm{\&Pi;}}_{i=1}^{n-1}e(C_1,x_i{K}_i)\&CenterDot;e(C_2,K_n)\\ =e(C_1,{\mathrm{\&Sigma;}}_1^{n-1}{x}_i{K}_i)\&CenterDot;e(C_2,K_n)\end{array}$

即，为了计算e(c₁，k^* ₁)，通过G中的n-1个标量乘法和2个配对运算就足够了。即，在解密中，仅需要少的数量(常数)的配对运算。一般，配对运算是花费处理时间的运算，所以通过减少配对运算的数量，能够缩短处理整体的处理时间。

另外，在简化了的非零内积密码方式中，密文c₁仅具备设定矢量x^→的基底矢量(实际的编码部)，秘密密钥k^* ₁仅具备设定矢量v^→的基底矢量(实际的编码部)。

在以下的实施方式中说明的非零内积密码方式中，为了提高安全性，对于密文c₁和秘密密钥k^* ₁，除了实际的编码部以外，还追加用于隐匿部、秘密密钥随机化部、以及密文随机化部的基底矢量。

因此，如式124那样扩展线性变换X。

[式124]

$X:=\left(\begin{array}{ccc}{X}_{\mathrm{1,1}}& \&CenterDot;\&CenterDot;\&CenterDot;& X_{\mathrm{1,4}}\\ \&CenterDot;& & \&CenterDot;\\ \&CenterDot;& & \&CenterDot;\\ \&CenterDot;& & \&CenterDot;\\ X_{\mathrm{4,1}}& \&CenterDot;\&CenterDot;\&CenterDot;& X_{\mathrm{4,4}}\end{array}\right)$

此处，各X_i，j是式118所示的X∈H(n，F_q)。并且，矢量空间由4个正交的部分空间构成。即，矢量空间由用于编码部、隐匿部、秘密密钥随机化部、以及密文随机化部的4个正交的部分空间构成。

实施方式2.

在实施方式2中，说明将密文的大小设为常数大小的非零内积密码方式。

图3是实施方式2的密钥生成装置100的结构图。图4是实施方式2的加密装置200的结构图。图5是实施方式2的解密装置300的结构图。

图6和图7是示出实施方式2的密钥生成装置100的动作的流程图。另外，图6是示出实施方式2的Setup算法的处理的流程图，图7是示出实施方式2的KeyGen算法的处理的流程图。图8是示出实施方式2的加密装置200的动作的流程图，是示出实施方式2的Enc算法的处理的流程图。图9是示出实施方式2的解密装置300的动作的流程图，是示出实施方式2的Dec算法的处理的流程图。

另外，在以下的说明中，设为所输入的矢量x^→：＝(x₁，...，x_n)关于L＝1、...、n-1的各整数L是x_L≠0，所输入的矢量v^→：＝(v₁，...，v_n)是v_n≠0。

说明密钥生成装置100。

如图3所示，密钥生成装置100具备主密钥生成部110、主密钥存储部120、信息输入部130、解密密钥生成部140、密钥分发部150。主密钥生成部110具备空间生成部111、矩阵生成部112、基底生成部113、密钥生成部114。解密密钥生成部140具备随机数生成部141、密钥要素生成部142。

根据图6，说明Setup算法的处理。

(S101：空间生成步骤)

空间生成部111将保密参数1^λ作为输入，通过处理装置执行G_bpg，生成对称双线性配对群的参数param_G：＝(q，G，G_T，g，e)。

而且，空间生成部111设定N₀：＝5、N₁：＝4n。然后，空间生成部111针对t＝0、1的各t，将保密参数1^λ、N_t、以及对称双线性配对群的参数param_G作为输入，通过处理装置执行G_dpvs，生成双重配对矢量空间的参数param_Vt：＝(q，V_t，G_T，A_t，e)。

(S102：线性变换生成步骤)

矩阵生成部112如式125所示，通过处理装置生成线性变换X₀。

[式125]

另外，式125中的(χ_0，i，j)_{i，j＝1，...，5}是与矩阵χ_0，i，j的下标i，j有关的矩阵这样的意思。

另外，矩阵生成部112如式126所示，通过处理装置生成线性变换X₁。

[式126]

式126中的L(N，F_q)如式127所示。

[式127]

另外，以下，{μ_i，j，μ’_i，j，L}_{i，j＝1，...，4；L＝1，...，n}表示线性变换X₁中的常数值0以外的要素。

(S103：基底B生成步骤)

基底生成部113如式128所示，通过处理装置生成基底B₀、变量B_i，j、以及变量B’_i，j，L。

[式128]

另外，基底生成部113如式129所示，通过处理装置生成基底B^* ₀和基底B^* ₁。

[式129]

对于t=0，1

${\left({\mathrm{\&theta;}}_{t,i,j}\right)}_{i,j=1,...,}{N}_t:\mathrm{\&psi;}\&CenterDot;{\left(X_t^T\right)}^{-1},$

(S104：基底B^{^}生成步骤)

密钥生成部114如式130所示，通过处理装置生成基底B^{^} ₀、基底B^{^*} ₀、以及基底B^{^*} ₁。

[式130]

(S105：主密钥生成步骤)

密钥生成部114通过处理装置，设公开参数pk：＝(1^λ，param_n，B^{^} ₀，{B_i，j，B’_i，j，L}_{i＝1，4；j＝1，...，4；L＝1，...，n})，设主秘密密钥sk：＝{B^{^*} _t}_t＝0，1。然后，密钥生成部114将公开参数pk和主秘密密钥sk存储到主密钥存储部120中。

另外，param_n：＝({param_Vt}_t＝0，1，g_T)。

即，在S101至S105中，密钥生成装置100执行使用了式131所示的算法G⁽¹⁾ _ob的、式132所示的Setup算法，生成公开参数pk和主秘密密钥sk。

[式131]

N₀：=5，N₁:=4n，

此后，

表示X₁的非零项，

对于 $t=\mathrm{0,1}{\left({\mathrm{\&theta;}}_{t,i,j}\right)}_{i,j=1,...,}{N}_t:\mathrm{\&psi;}\&CenterDot;{\left(X_t^T\right)}^{-1},$

返回

[式132]

Setup(i^λ，n)

返回

另外，公开参数例如经由网络而被公开，成为加密装置200、解密装置300可取得的状态。

在S103中，不生成基底B₁，取而代之生成了变量B_i，j。如果生成基底B₁，则成为式133。

[式133]

对于i=1，...，4，

式133的矩阵中的空白部分表示成分的值是0∈G。基底B₁是基底B^* ₁的标准正交基底。即，e(b_1，i，b^* _1，j)＝g^T，针对1≤i≠j≤4n的整数i、j，是e(b_1，i，b^* _1，j)＝1。

根据图7，说明KeyGen算法的处理。

(S111：信息输入步骤)

信息输入部130通过输入装置来输入矢量v^→。

(S112：随机数生成步骤)

随机数生成部141如式134所示，通过处理装置来生成随机数。

[式134]

(S113：要素k^* ₀生成步骤)

密钥要素生成部142如式135所示，通过处理装置，生成解密密钥sk_v→的要素即要素k^* ₀。

[式135]

另外，如上述那样，针对式110所示的基底B和基底B^*，是式111。因此，式135意味着，作为基底B^* ₀的基底矢量b^* _0，1的系数而设定δ，作为基底矢量b^* _0，2的系数而设定0，作为基底矢量b^* _0，3的系数而设定1，作为基底矢量b^* _0，4的系数而设定φ₀，作为基底矢量b^* _0，5的系数而设定0。

(S114：要素k^* ₁生成步骤)

密钥要素生成部142如式136所示，通过处理装置来生成解密密钥sk_v→的要素即要素k^* ₁。

[式136]

式136意味着，与式135同样地，作为基底B^* ₁的基底矢量b^* ₁，₁、...、b^* _1，n的系数而设定δv₁、...、δv_n，作为基底矢量b^* _1，n+1、...、b^* _1，2n的系数而设定0，作为基底矢量b^* _1，2n+1、...、b^* _1，3n的系数而设定φ₁v₁、...、φ₁v_n，作为基底矢量b^* _1，3n+1、...、b^* _1，4n的系数而设定0。

(S115：密钥分发步骤)

密钥分发部150将以在S111中输入的矢量v^→、在S113中生成的要素k^* ₀、以及在S114中生成的要素k^* ₁为要素的解密密钥sk_v→通过例如通信装置经由网络而秘密地分发到解密装置300。当然，解密密钥sk_v→也可以通过其他方法而分发到解密装置300。

即，在S111至S114中，密钥生成装置100执行式137所示的KeyGen算法，生成解密密钥sk_v→。然后，在S115中，密钥生成装置100将所生成的解密密钥sk_v→分发到解密装置300。

[式137]

$\mathrm{KeyGen}(\mathrm{pk},\mathrm{sk},\stackrel{\&RightArrow;}{v}):$

返回 ${\mathrm{sk}}_{\stackrel{\&RightArrow;}{v}}=(\stackrel{\&RightArrow;}{v},k_0^{*},k_1^{*}).$

说明加密装置200。

如图4所示，加密装置200具备公开参数取得部210、信息输入部220、密文生成部230、数据发送部240。密文生成部230具备随机数生成部231、密码要素生成部232。

根据图8，说明Enc算法的处理。

(S121：公开参数取得步骤)

公开参数取得部210通过例如通信装置，经由网络而取得密钥生成装置100生成的公开参数pk。

(S122：信息输入步骤)

信息输入部220通过输入装置来输入矢量x^→。

另外，信息输入部220通过输入装置来输入消息m。

(S123：随机数生成步骤)

随机数生成部231如式138所示，通过处理装置来生成随机数。

[式138]

(S124：要素c₀生成步骤)

密码要素生成部232如式139所示，通过处理装置来生成密文ct_x→的要素即要素c₀。

[式139]

式139意味着，与式135同样地，作为基底B₀的基底矢量b_0，1的系数而设定-ω，作为基底矢量b_0，2的系数而设定0，作为基底矢量b_0，3的系数而设定ζ，作为基底矢量b_0，4的系数而设定0，作为基底矢量b_0，5的系数而设定η₀。

(S125：要素C生成步骤)

密码要素生成部232如式140所示，通过处理装置来生成密文ct_x→的要素即要素C_1，j和要素C_2，j。

[式140]

对于j=1，...，4

C_1，j：=ωB_1，j+η₁B_4j，

$C_{2,j}:={\mathrm{\&Sigma;}}_{L=1}^n{x}_L(\mathrm{\&omega;}{B}_{1,j,L}^{\&prime;}+{\mathrm{\&eta;}}_1{B}_{4,j,L}^{\&prime;})$

(S126：要素c₃生成步骤)

密码要素生成部232如式141所示，通过处理装置来生成密文ct_x→的要素即要素c₃。

[式141]

$c_3:=g_T^{\mathrm{\&zeta;}}m$

(S127：数据发送步骤)

数据发送部240将以在S122中输入的矢量x^→、在S124中生成的要素c₀、在S125中生成的要素C_1，j、C_2，j、以及在S126中生成的要素c₃为要素的密文ct_x→通过例如通信装置经由网络而发送到解密装置300。当然，密文ct_x→也可以通过其他方法来发送到解密装置300。

即，在S121至S126中，加密装置200执行式142所示的Enc算法，生成密文ct_x→。然后，在S127中，加密装置200将所生成的密文ct_x→发送到解密装置300。

[式142]

$\mathrm{Enc}(\mathrm{pk},m,\stackrel{\&RightArrow;}{x}):$

返回 ${\mathrm{ct}}_{\stackrel{\&RightArrow;}{x}}:=(\stackrel{\&RightArrow;}{x},c_0,\{C_{1,j},C_{2,j}{\}}_{j=1,...,4},c_3).$

说明解密装置300。

如图5所示，解密装置300具备解密密钥取得部310、数据接收部320、配对运算部330、消息计算部340。

根据图9，说明Dec算法的处理。

(S131：解密密钥取得步骤)

解密密钥取得部310通过例如通信装置，经由网络而取得从密钥生成装置100分发的sk_v→。

另外，解密密钥取得部310取得密钥生成装置100生成的公开参数pk。

(S132：数据接收步骤)

数据接收部320通过例如通信装置，经由网络而接收加密装置200发送的密文ct_x→。

(S133：值D^* _j计算步骤)

配对运算部330如式143所示，通过处理装置来计算值D^* _j。

[式143]

对于j=l，...，4

$D_j^{*}:={\mathrm{\&Sigma;}}_{L-1}^{n-1}\left({(\stackrel{\&RightArrow;}{x}\&CenterDot;\stackrel{\&RightArrow;}{v})}^{-1}{x}_L\right)K_{(j-1)n+L}^{*}$

此处，要素k^* ₁被分解为(K^* ₁，...，K^* _4n)∈G⁴ⁿ的4n组。

(S134：配对运算步骤)

配对运算部330如式144所示，通过处理装置来执行配对运算，计算值F。

[式144]

$F:=e(C_0,K_0^{*})\&CenterDot;{\mathrm{\&Pi;}}_{j=1}^4(e(D_{1,j},K_j^{*})\&CenterDot;e(C_{2,j},K_{\mathrm{jn}}^{*}))$

(S135：消息计算步骤)

消息计算部340如式145所示，通过处理装置来计算消息m’。

[式145]

m′：=c₃/F

即，在S131至S135中，解密装置300执行式146所示的Dec算法，而计算消息m’。

[式146]

$\mathrm{Dec}(\mathrm{pk},{\mathrm{sk}}_{\stackrel{\&OverBar;}{v}}:=(\stackrel{\&RightArrow;}{v},k_0^{*},k_1^{*}),{\mathrm{ct}}_{\stackrel{\&RightArrow;}{x}}:=(\stackrel{\&RightArrow;}{x},c_0,\{C_{1,j},C_{2,j}{\}}_{j=1,...,4},c_3));$

被分解为的4n组，

$F:=e(C_0,K_0^{*})\&CenterDot;{\mathrm{\&Pi;}}_{j=1}^4(e(C_{1,j},D_j^{*})\&CenterDot;e(C_{2,j},K_{\mathrm{jn}}^{*})),$

返回m′：=c₃/F

另外，根据式133，通过{B_i，j，B’_i，j，L}_{i，j＝1，...，4；L＝1，...，n}来确定B₁：＝(b_1，1，...，b_1，4n)。另外，Setup算法的输出中包含的{B_i，j，B’_i，j，L}_{i＝1，4；j＝1，...，4；L＝1，...，n}是通过B^{^} ₁：＝(b_1，1，...，b_1，n，b_1，3n+1，...，b_1，4n)来确定的。

并且，能够如式147所示的Dec’算法那样描述Dec算法。

[式147]

$\text{'}(\mathrm{pk},{\mathrm{sk}}_{\stackrel{\&OverBar;}{v}}:=(\stackrel{\&RightArrow;}{v},k_0^{*},k_1^{*}),{\mathrm{ct}}_{\stackrel{\&RightArrow;}{x}}:=(\stackrel{\&RightArrow;}{x},c_0,\{C_{1,j},C_{2,j}{\}}_{j=1,...,4},c_3));$

即，

返回m′：=c₃/F.

如式148所示，在使用了Dec'算法的情况下，如果是x^→·v^→≠0，则得到F＝g^ζ _T。因此，通过将c₃＝g^ζ _Tm除以F，得到消息m’(＝m)。

[式148]

在实施方式2中说明的非零内积密码方式中，密文ct_x→包括由式139所示的要素c₀得到的5个要素和由式140所示的关于j＝1、...、4的各整数j的要素C_1，j以及要素C_2，j得到的8个要素合计13个的G的要素。另外，在式141所示的要素c₃中包括1个G_T的要素。即，密文ct_x→关于n是常数大小。

另外，在实施方式2中说明的非零内积密码方式中，解密处理(Dec算法)仅执行由式144所示的e(c₀，k^* ₀)得到的5个和由Π_j＝1 ⁴(e(C_1，j，D^* _j)·e(C_2，j，K^* _jn))得到的8个合计13个的配对运算。即，解密处理仅需要少的数量的配对运算。

实施方式3.

在实施方式3中，说明将秘密密钥的大小设为常数大小的非零内积密码方式。

密钥生成装置100、加密装置200、解密装置300的结构分别与图3、图4、图5所示的实施方式2的密钥生成装置100、加密装置200、解密装置300的结构相同。

图10和图11是示出实施方式3的密钥生成装置100的动作的流程图。另外，图10是示出实施方式3的Setup算法的处理的流程图，图11是示出实施方式3的KeyGen算法的处理的流程图。图12是示出实施方式3的加密装置200的动作的流程图，是示出实施方式3的Enc算法的处理的流程图。图13是示出实施方式3的解密装置300的动作的流程图，是示出实施方式3的Dec算法的处理的流程图。

另外，在以下的说明中，设为所输入的矢量v^→：＝(v₁，...，v_n)关于L＝1、...、n-1的各整数L是v_L≠0，所输入的矢量x^→：＝(x₁，...，x_n)是x_n≠0。

说明密钥生成装置100。

根据图10，说明Setup算法的处理。

S201至S202的处理与图6所示的S101至S102的处理相同。

(S203：基底B生成步骤)

基底生成部113与实施方式2中的基底B₀和变量B_i，j同样地，如式149所示，通过处理装置来生成基底D₀、变量D_i，j、以及变量D’_i，j，L。

[式149]

另外，基底生成部113与实施方式2中的基底B^* ₀和基底B^* ₁同样地，如式150所示，通过处理装置来生成基底D^* ₀和基底D^* ₁。

[式150]

对于t:O，1

${\left({\mathrm{\&theta;}}_{t,i,j}\right)}_{i,j=1,...,}{N}_t:=\mathrm{\&psi;}\&CenterDot;{\left(X_t^T\right)}^{-1},$

然后，基底生成部113将基底D^* ₀作为基底B₀，将基底D₀作为基底B^* ₀，将基底D^* ₁作为基底B₁。另外，基底生成部113关于i、j＝1、...、4的各整数i、j、和L＝1、...、n的各整数L，将变量D_i，j作为变量B^* _i，j，将变量D’_i，j，L作为变量B’^* _i，j，L。

(S204：基底B^{^}生成步骤)

密钥生成部114如式151所示，通过处理装置来生成基底B^{^} ₀、基底B^{^} ₁、以及基底B^{^*} ₀。

[式151]

(S205：主密钥生成步骤)

密钥生成部114通过处理装置，设为公开参数pk：＝(1^λ，param_n，{B^{^} _t}_t＝0，1)，设为主秘密密钥sk：＝B^{^*} ₀，{B^* _i，j，B’^* _i，j，L}_{i＝1，3；j＝1，...，4； L＝1，...，n}。然后，密钥生成部114将公开参数pk、主秘密密钥sk存储到主密钥存储部120中。

另外，param_n：＝({param_Vt}_t＝0，1，g_T)。

即，在S201至S205中，密钥生成装置100执行使用了式152所示的算法G⁽²⁾ _ob的、式153所示的Setup算法，生成公开参数pk和主秘密密钥sk。此处，如式152所示，在算法G⁽²⁾ _ob中使用式131所示的算法G⁽¹⁾ _ob。

[式152]

对于i，j=1，...4；L=1，...，n，

返回

[式153]

SetuP(1^λ，n)：

返回

另外，公开参数例如经由网络被公开，成为加密装置200、解密装置300可取得的状态。

根据图11，说明KeyGen算法的处理。

S211至S213的处理与图7所示的S111至S113的处理相同。

(S214：要素K^*生成步骤)

密钥要素生成部142如式154所示，通过处理装置来生成解密密钥sk_v→的要素即要素K^* _1，j和要素K^* _2，j。

[式154]

对于j=1，...，4

(S215：密钥分发步骤)

密钥分发部150将以在S211中输入的矢量v^→、在S213中生成的要素k^* ₀、以及在S214中生成的要素K^* _1，j、K^* _2，j为要素的解密密钥sk_v→通过例如通信装置经由网络而秘密地分发到解密装置300。当然，解密密钥sk_v→也可以通过其他方法而分发到解密装置300。

即，在S211至S214中，密钥生成装置100执行式155所示的KeyGen算法，生成解密密钥sk_v→。然后，在S215中，密钥生成装置100将所生成的解密密钥sk_v→分发到解密装置300。

[式155]

$\mathrm{keyGen}(\mathrm{pk},\mathrm{sk},\stackrel{\&RightArrow;}{v}):$

返回 ${\mathrm{sk}}_{\stackrel{\&RightArrow;}{v}}:=(\stackrel{\&RightArrow;}{v},K_0^{*},\{K_{1,j}^{*},K_{2,j}^{*}{\}}_{j=1,...,4}).$

说明加密装置200。

根据图12，说明Enc算法的处理。

S221至S224的处理与图8所示的S121至S124的处理相同。

(S225：要素c₁生成步骤)

密码要素生成部232如式156所示，通过处理装置，生成密文ct_x→的要素即要素c₁。

[式156]

式156意味着，与式135同样地，作为基底B₁的基底矢量b^* _1，1、...、b^* _1，n的系数而设定ωx₁、...、ωx_n，作为基底矢量b^* _1，n+1、...、b^* _1，3n的系数而设定0，作为基底矢量b^* _1，3n+1、...、b^* _1，4n的系数而设定η₁x₁、...、η₁x_n。

S226的处理与图8所示的S126的处理相同。

(S227：数据发送步骤)

数据发送部240将以在S222中输入的矢量x^→、在S224中生成的要素c₀、在S225中生成的要素c₁、以及在S226中生成的要素c₃为要素的密文ct_x→通过例如通信装置经由网络而分发到解密装置300。当然，密文ct_x→也可以通过其他方法而分发到解密装置300。

即，在S221至S226中，加密装置200执行式157所示的Enc算法，生成密文ct_x→。然后，在S227中，加密装置200将所生成的密文ct_x→发送到解密装置300。

[式157]

$\mathrm{Enc}(\mathrm{pk},m,\stackrel{\&OverBar;}{x}):$

$c_3:=g_T^{\mathrm{\&zeta;}}m,$

返回 ${\mathrm{ct}}_{\stackrel{\&OverBar;}{x}}:=(\stackrel{\&RightArrow;}{x},c_0,c_1,c_3).$

说明解密装置300。

根据图13，说明Dec算法的处理。

S231至S232的处理与图9所示的S131至S132的处理相同。

(S233：值D_j计算步骤)

配对运算部330如式158所示，通过处理装置来计算值D_j。

[式158]

对于j=1，...，4

$D_j:={\mathrm{\&Sigma;}}_{L=1}^{n-1}{v}_L\left({(\stackrel{\&RightArrow;}{x}\&CenterDot;\stackrel{\&RightArrow;}{v})}^{-1}{v}_L\right)C_{(j-1)n+L}$

此处，要素c₁被分解为(C₁，...，C_4n)∈G⁴ⁿ的4n组。

(S234：配对运算步骤)

配对运算部330如式159所示，通过处理装置来执行配对运算，计算值F。

[式159]

$F:=e(C_0,K_0^{*})\&CenterDot;{\mathrm{\&Pi;}}_{j=1}^4(e(D_j,K_{1,j}^{*})\&CenterDot;e(C_{\mathrm{jn}},K_{2,j}^{*}))$

S235的处理与图9所示的S135的处理相同。

即，在S231至S235中，解密装置300执行式160所示的Dec算法，计算消息m’。

[式160]

$\mathrm{Dec}(\mathrm{pk},s{k}_{\&RightArrow;v}:=(\stackrel{\&RightArrow;}{v},K_0^{*},{\{K}_{1,j}^{*},K_{2,j}^{*}{\}}_{j=1,...,4}),c{t}_{\&RightArrow;x}:=(\stackrel{\&OverBar;}{x},c,c_3)):$

c₁被分解为的4n组，

$F:=e(C_0,K_0^{*})\&CenterDot;{\mathrm{\&Pi;}}_{j=1}^4(e(D_j,K_{1,j}^{*})\&CenterDot;e(C_{\mathrm{jn}},K_{2,j}^{*})),$

返回m′：=c₃/F.

另外，通过{B^* _i，j，B’^* _{i，j，L}i，j＝1，...，4；L＝1，...，n}来确定B^* ₁：＝(b^* _1，1，...，b^* _1，4n)。另外，Setup算法的输出中包含的{B^* _i，j，B’^* _i，j，L}_{i＝1，3；j＝1，...， 4；L＝1，...，n}是通过B^{^*} ₁：＝(b^* _1，1，...，b^* _1，n，b^* _1，2n+1，...，b^* _1，3n)来确定的。

并且，能够如式161所示的Dec’算法那样描述Dec算法。

[式161]

$\mathrm{Dec}\&prime;(\mathrm{pk},s{k}_{\&RightArrow;v}:=(\stackrel{\&RightArrow;}{v},K_0^{*},\{K_{1,j}^{*},K_{2,j}^{*}{\}}_{j=1,...,4}),c{t}_{\&RightArrow;x}:=(\stackrel{\&OverBar;}{x},c_0,c_1,c_3)):$

即

返回m′：=c₃/F.

在实施方式3中说明的非零内积密码方式中，解密密钥sk_v→包括由式135所示的要素k^* ₀得到的5个和由式154所示的关于j＝1、...、4的各整数j的要素K^* _1，j以及要素K^* _2，j得到的8个合计13个的G的要素。即，解密密钥sk_v→关于n是常数大小。

另外，在实施方式3中说明的非零内积密码方式中，解密处理(Dec算法)仅执行由式159所示的e(c₀，k^* ₀)得到的5个和由Π_j＝1 ⁴(e(D_j，K^* _1，j)·e(C_jn，K^* _2，j))得到的8个合计13个的配对运算。即，解密处理仅需要少的数量的配对运算。

实施方式4.

在实施方式4中，说明将密文的大小设为常数大小的零内积密码方式。

密钥生成装置100、加密装置200、解密装置300的结构分别与图3、图4、图5所示的实施方式2的密钥生成装置100、加密装置200、解密装置300的结构相同。

图14和图15是示出实施方式4的密钥生成装置100的动作的流程图。另外，图14是示出实施方式4的Setup算法的处理的流程图，图15是示出实施方式4的KeyGen算法的处理的流程图。图16是示出实施方式4的加密装置200的动作的流程图，是示出实施方式4的Enc算法的处理的流程图。图17是示出实施方式4的解密装置300的动作的流程图，是示出实施方式4的Dec算法的处理的流程图。

另外，在以下的说明中，设为所输入的矢量x^→：＝(x₁，...，x_n)关于L＝1、...、n-1的各整数L是x_L≠0，所输入的矢量v^→：=(v₁，...，v_n)是v_n≠0。

说明密钥生成装置100。

根据图14，说明Setup算法的处理。

(S301：空间生成步骤)

空间生成部111将保密参数1^λ作为输入，通过处理装置来执行G_bpg，生成对称双线性配对群的参数param_G：＝(q，G，G_T，g，e)。

而且，空间生成部111设定N：＝4n+1。然后，空间生成部111将保密参数1^λ、N、以及对称双线性配对群的参数param_G作为输入，通过处理装置来执行G_dpvs，生成双重配对矢量空间的参数param_Vt：＝(q，V，G_T，A，e)。

(S302：线性变换生成步骤)

矩阵生成部112如式162所示，通过处理装置来生成线性变换X。

[式162]

式162中的L’(N，F_q)如式163所示。

[式163]

另外，以下，{χ_0，0，χ_0，j，χ_i，0，L，μ_i，j，μ’_i，j，L}_{i，j＝1，...，4；L＝1，...，n}表示线性变换X中的常数值0以外的要素。

(S303：基底B生成步骤)

基底生成部113如式164所示，通过处理装置来生成变量B_0，0、变量B_0，j、变量B_i，0，L、变量B_i，j、以及变量B’_i，j，L。

[式164]

对于i，j=1，...，4；L=1，...，n

B_0，0：=X_0，09，

B_0，j：=X_0，jg，

B_i，0，L:=X_i，0，Lg，

B_i，j：=μ_i，jg，

B′_i，j，L:=μ′_i，j，Lg

另外，基底生成部113如式165所示，通过处理装置来生成基底B^*。

[式165]

${\left({\mathrm{\&theta;}}_{i,j}\right)}_{i,j=0,...,4n}:=\mathrm{\&psi;}\&CenterDot;{\left(X^T\right)}^{-1},$

(S304：基底B^{^}生成步骤)

密钥生成部114如式166所示，通过处理装置来生成基底B^{^*}。

[式166]

(S305：主密钥生成步骤)

密钥生成部114通过处理装置，设为公开参数pk：＝(1^λ，param_n，B^{^} ₀，{B_0，0，B_0，j，B_i，0，L，B_i，j，B’_i，j，L}_{i＝1，4；j＝1，...，4；L＝1，...，n})，设为主秘密密钥sk：＝B^{^*}。然后，密钥生成部114将公开参数pk和主秘密密钥sk存储到主密钥存储部120中。

另外，param_n：＝(param_V，g_T)。

即，在S301至S305中，密钥生成装置100执行使用了式167所示的算法G⁽³⁾ _ob的、式168所示的Setup算法，生成公开参数pk和主秘密密钥sk。

[式167]

此后，

{X_0，0，X_0，j，X_i，0，L，μ_i，j，μ′_i，j，L}_{i，j=1，...，4；L=1，...，n}表示X的非零项，

${\left({\mathrm{\&theta;}}_{i,j}\right)}_{i,j=0,...,4n}:=\mathrm{\&psi;}\&CenterDot;{\left(X^T\right)}^{-1},$

B_0，0：=X_0，0g，B_0，j：=X_0，jg，B_i，0，L：=X_{i，0，Lg，}B_i，j：=μ_i，jg，B′_i，j，L：=μ′_i，j，Lg

对于i，j=1，...，4；L=1，...，n，

返回

[式168]

SetuP(1^λ，n):

返回pk：=(1^λ，param_n，{B_0，0，B_0，j，B_i，0，L，B_i，j，B′_ij，L}_{i=1，4；=1，..，，4；L=1..，n})，

另外，公开参数例如经由网络而被公开，成为加密装置200、解密装置300可取得的状态。

根据图15，说明KeyGen算法的处理。

S311的处理与图7所示的S111的处理相同。

(S312：随机数生成步骤)

随机数生成部141如式169所示，通过处理装置来生成随机数。

[式169]

(S313：要素k^*生成步骤)

密钥要素生成部142如式170所示，通过处理装置来生成作为解密密钥sk_v→的要素的要素k^*。

[式170]

式170意味着，与式135同样地，作为基底B^*的基底矢量b^* ₀的系数而设定1，作为基底矢量b^* ₁、...、b^* _n的系数而设定δv₁、...、δv_n，作为基底矢量b^* _n+1、...、b^* _2n的系数而设定0，作为基底矢量b^* _2n+1、...、b^* _3n的系数而设定φv₁、...、φv_n，作为基底矢量b^* _3n+1、...、b^* _4n的系数而设定0。

(S314：密钥分发步骤)

密钥分发部150将以在S313中生成的要素k^*为要素的解密密钥sk_v→通过例如通信装置经由网络而秘密地分发到解密装置300。当然，解密密钥sk_v→也可以通过其他方法而分发到解密装置300。

即，在S311至S313中，密钥生成装置100执行式171所示的KeyGen算法，生成解密密钥sk_v→。然后，在S314中，密钥生成装置100将所生成的解密密钥sk_v→分发到解密装置300。

[式171]

$\mathrm{KeyGen}(\mathrm{pk},\mathrm{psk},\stackrel{\&RightArrow;}{v}):$

返回 $\stackrel{}{}{\mathrm{sk}}_{\stackrel{\&RightArrow;}{v}}:=k^{*}.$

说明加密装置200。

根据图16，说明Enc算法的处理。

S321至S322的处理与图8所示的S121至S122的处理相同。

(S323：随机数生成步骤)

随机数生成部231如式172所示，通过处理装置来生成随机数。

[式172]

(S324：要素C生成步骤)

密码要素生成部232如式173所示，通过处理装置来生成密文ct_x→的要素即要素C₀、要素C_1，j、以及要素C_2，j。

[式173]

$C_0:=\mathrm{\&zeta;}{B}_{\mathrm{0,0}}+{\mathrm{\&Sigma;}}_{L=1}^n{x}_L(\mathrm{\&omega;}{B}_{\mathrm{1,0},L}+\mathrm{\&eta;}{B}_{\mathrm{4,0},L}),$

对于j=1，...，4

C_1，j：=ωB_1，j+ηB_4，j，

$C_{2,j}:=\mathrm{\&zeta;}{B}_{0,j}+{\mathrm{\&Sigma;}}_{L=1}^n{x}_L(\mathrm{\&omega;}{B}_{1,j,L}^{\&prime;}+\mathrm{\&eta;}{B}_{4,j4L}^{\&prime;})$

S325的处理与图8所示的S126的处理相同。

(S326：数据发送步骤)

数据发送部240将以在S322中输入的矢量x^→、在S324中生成的要素C₀、C_1，j、C_2，j以及在S325中生成的要素c₃为要素的密文ct_x→通过例如通信装置经由网络而分发到解密装置300。当然，密文ct_x→也可以通过其他方法而发送到解密装置300。

即，在S321至S325中，加密装置200执行式174所示的Enc算法，生成密文ct_x→。然后，在S326中，加密装置200将所生成的密文ct_x→发送到解密装置300。

[式174]

$\mathrm{Enc}(\mathrm{pk},m,\stackrel{\&RightArrow;}{x}):$

$C_0:=\mathrm{\&zeta;}{B}_{\mathrm{0,0}}+{\mathrm{\&Sigma;}}_{L=1}^n{x}_L(\mathrm{\&omega;}{B}_{\mathrm{1,0},L}+\mathrm{\&eta;}{B}_{\mathrm{4,0},L}),$

$c_3:=g_T^{\mathrm{\&zeta;}}m,$

C_1，j：=ωB_1，j+ηB_4，j，

返回 ${\mathrm{ct}}_{\stackrel{\&RightArrow;}{x}}:=(\stackrel{\&RightArrow;}{x},C_0,\{C_{1,j},C_{2,j}{\}}_{j=1,...,4},c_3).$

说明解密装置300。

根据图17，说明Dec算法的处理。

S331至S332的处理与图9所示的S131至S132的处理相同。

(S333：值D^* _j计算步骤)

配对运算部330如式175所示，通过处理装置来计算值D^* _j。

[式175]

对于j=1，...，4

$D_j^{*}:={\mathrm{\&Sigma;}}_{L=1}^{n-1}{x}_L{K}_{(j-1)n+L}^{*}$

此处，要素k^*被分解为(K^* ₀，...，K^* _4n)∈G⁴ⁿ⁺¹的(4n+1)组。

(S334：配对运算步骤)

配对运算部330如式176所示，通过处理装置来执行配对运算，计算值F。

[式176]

$F:=e(C_0,K_0^{*})\&CenterDot;{\mathrm{\&Pi;}}_{j=1}^4(e(D_{1,j},K_j^{*})\&CenterDot;e(C_{2,j},K_{\mathrm{jn}}^{*}))$

S335的处理与图9所示的S135的处理相同。

即，在S331至S335中，解密装置300执行式177所示的Dec算法，计算消息m’。

[式177]

$\mathrm{Dec}(\mathrm{pk},s{k}_{\&RightArrow;v}:=k^{*},{\mathrm{ct}}_{\stackrel{\&RightArrow;}{x}}(\stackrel{\&RightArrow;}{x},C_0,\{C_{1,j},C_{2,j}{\}}_{j=1,...,4},c_3\left)\right):$

k^*被分解为的(4n+1)组，

$F:=e(C_0,K_0^{*})\&CenterDot;{\mathrm{\&Pi;}}_{j=1}^4(e(D_j,K_{1,j}^{*})\&CenterDot;e(C_{\mathrm{jn}},K_{2,j}^{*})),$

返回m′：=c₃/F.

另外，通过{B_0，0，B_0，j，B_i，0，L，B_i，j，B’_i，j，L}_{i，j＝1，...，4；L＝1，...，n}来确定B：＝(b₀，...，b_4n)。另外，Setup算法的输出中包含的{B_0，0，B_0，j，B_i，0，L，B_i，j，B’_i，j，L}_{i＝1，4；j＝1，...，4；L＝1，...，n}是通过B^{^}：＝(b₀，...，b_n，b_3n+1，...，b_4n)来确定的。

另外，能够如式178所示的Dec’算法那样描述Dec算法。

[式178]

$\mathrm{Dec}(\mathrm{pk},s{k}_{\&RightArrow;v}:=k^{*},{\mathrm{ct}}_{\stackrel{\&RightArrow;}{x}}(\stackrel{\&RightArrow;}{x},C_0,\{C_{1,j},C_{2,j}{\}}_{j=1,...,4},c_3\left)\right):$

即

返回m′：=c₃/F.

如式179所示，在使用了Dec'算法的情况下，如果是x^→·v^→＝0，则得到F＝g^ζ _T。因此，通过将c₃＝g^ζ _Tm除以F，得到消息m’(＝m)。

[式179]

$F=e(c,k)=g_T^{\mathrm{\&zeta;}+\mathrm{\&omega;\&delta;}\stackrel{\&RightArrow;}{x}\&CenterDot;\stackrel{\&RightArrow;}{v}}=g_T^{\mathrm{\&zeta;}}$ 如果 $\stackrel{\&RightArrow;}{x}\&CenterDot;\stackrel{\&RightArrow;}{v}=0.$

在实施方式4中说明的零内积密码方式中，密文ct_x→包括由式173所示的要素C₀得到的1个和由关于j＝1、...、4的各整数j的要素C_1，j以及要素C_2，j得到的8个合计9个的G的要素。另外，在要素c₃中包括1个G_T的要素。即，密文ct_x→关于n是常数大小。

另外，在实施方式4中说明的零内积密码方式中，解密处理(Dec算法)仅执行由式176所示的e(C₀，K^* ₀)得到的1个和由Π_j＝1 ⁴(e(C_1，j，D^* _j)·e(C_2，j，K^* _jn))得到的8个合计9个的配对运算。即，解密处理仅需要少的数量的配对运算。

实施方式5.

在实施方式5中，说明将秘密密钥的大小设为常数大小的零内积密码方式。

密钥生成装置100、加密装置200、解密装置300的结构分别与图3、图4、图5所示的实施方式2的密钥生成装置100、加密装置200、解密装置300的结构相同。

图18和图19是示出实施方式5的密钥生成装置100的动作的流程图。另外，图18是示出实施方式5的Setup算法的处理的流程图，图19是示出实施方式5的KeyGen算法的处理的流程图。图20是示出实施方式5的加密装置200的动作的流程图，是示出实施方式5的Enc算法的处理的流程图。图21是示出实施方式5的解密装置300的动作的流程图，是示出实施方式5的Dec算法的处理的流程图。

另外，在以下的说明中，设为所输入的矢量v^→：＝(v₁，...，v_n)关于L＝1、...、n-1的各整数L是v_L≠0，所输入的矢量x^→：＝(x₁，...，x_n)是x_n≠0。

说明密钥生成装置100。

根据图18，说明Setup算法的处理。

S401至S402的处理与图14所示的S301至S302的处理相同。

(S403：基底B生成步骤)

基底生成部113与实施方式4中的变量B_0，0、变量B_0，j、变量B_i，0，L、变量B_i，j、以及变量B’_i，j，L同样地，如式180所示，通过处理装置来生成变量D_0，0、变量D_0，j、变量D_i，0，L、变量D_i，j、以及变量D’_i，j，L。

[式180]

对于i，j=1，...，4；L=1，...，n

D_0，0:＝X_0，0g，

D_0，j：=X_0，jg，

D_i，O，L:=X_i，0，Lg，

D_i，j：=μ_i，j9，

D′_i，j，L:=μ′_i，j，Lg

另外，基底生成部113与实施方式4中的基底B^*同样地，如式181所示，通过处理装置来生成基底D^*。

[式181]

${\left({\mathrm{\&theta;}}_{i,j}\right)}_{i,j=0,...,4n}:=\mathrm{\&psi;}\&CenterDot;{\left(X^T\right)}^{-1},$

然后，基底生成部113将基底D^*设为基底B。另外，基底生成部113针对i、j＝1、...、4的各整数i、j、和L＝1、...、n的各整数L，将变量D_0，0设为变量B^* _0，0，将变量D_0，j设为变量B^* _0，j，将变量D_i，0，L设为变量B^* _i，0，L，将变量D_i，j设为变量B^* _i，j，将变量D’^i，j，L设为变量B’^* _i，j，L。

(S404：基底B^{^}生成步骤)

密钥生成部114如式182所示，通过处理装置来生成基底B^{^}。

[式182]

(S405：主密钥生成步骤)

密钥生成部114通过处理装置，设为公开参数pk：＝(1^λ，param_n，B^{^})，设为主秘密密钥sk：＝({B^* _0，0，B^* _0，j，B^* _i，0，L，B^* _i，j，B’^* _i,j,L}_i＝1，_{3；j＝1，...，4；L＝1，...，n})。然后，密钥生成部114将公开参数pk和主秘密密钥sk存储到主密钥存储部120中。

另外，param_n：＝(param_V，g_T)。

即，在S401至S405中，密钥生成装置100执行使用了式183所示的算法G⁽⁴⁾ _ob的、式184所示的Setup算法，生成公开参数pk和主秘密密钥sk。此处，如式183所示，算法G⁽⁴⁾ _ob使用式167所示的算法G⁽³⁾ _ob。

[式183]

对于i，j=1，...4；L=1，...，n，

返回

[式184]

Setup(1^λ，n):

返回

$\mathrm{sk}:=\{B_{\mathrm{0,0}}^{*},B_{0,j}^{*},B_{i,0,L}^{*},B_{i,j}^{*},B_{i,j,L}^{\&prime;*}\}i=\mathrm{1,3};j=1,...,4;L=1,...,n$

另外，公开参数例如经由网络而被公开，成为加密装置200、解密装置300可取得的状态。

根据图19，说明KeyGen算法的处理。

S411至S412的处理与图15所示的S311至S312的处理相同。

(S413：要素K^*生成步骤)

密钥要素生成部142如式185所示，通过处理装置来生成解密密钥sk_v→的要素即要素K^* ₀、要素K^* _1，j、以及要素K^* _2，j。

[式185]

对于j=1，...，4

(S414：密钥分发步骤)

密钥分发部150将以在S411中输入的矢量v^→和在S313中生成的要素K^* ₀、K^* _1，j、K^* _2，j为要素的解密密钥sk_v→通过例如通信装置经由网络而秘密地分发到解密装置300。当然，解密密钥sk_v→也可以通过其他方法而分发到解密装置300。

即，在S411至S413中，密钥生成装置100执行式186所示的KeyGen算法，生成解密密钥sk_v→。然后，在S414中，密钥生成装置100将所生成的解密密钥sk_v→分发到解密装置300。

[式186]

$\mathrm{Keygen}(\mathrm{pk},\mathrm{sk},\stackrel{\&RightArrow;}{v}):$

对于j=1，...，4，

返回 ${\mathrm{sk}}_{\stackrel{\&RightArrow;}{v}}:=\&prime;(\stackrel{\&RightArrow;}{v},K_0^{*},\{K_{1,j}^{*},K_{2,j}^{*}{\}}_{j=1,...,4}.$

说明加密装置200。

根据图20，说明Enc算法的处理。

S421至S423的处理与图16所示的S321至S323的处理相同。

(S424：要素c生成步骤)

密码要素生成部232如式187所示，通过处理装置来生成密文ctx→的要素即要素c。

[式187]

式187意味着，与式135同样地，作为基底B的基底矢量b₀的系数而设定ζ，作为基底矢量b₁、...、b_n的系数而设定ωx₁、...、ωx_n，作为基底矢量b_n+1、...、b_3n的系数而设定0，作为基底矢量b_3n+1、...、b_4n的系数而设定ηx₁、...、ηx_n。

S425的处理与图16所示的S325的处理相同。

(S426：数据发送步骤)

数据发送部240将以在S422中输入的矢量x^→、在S424中生成的要素c、以及在S425中生成的要素c₃为要素的密文ct_x→通过例如通信装置经由网络而发送到解密装置300。当然，密文ct_x→也可以通过其他方法而发送到解密装置300。

即，在S421至S425中，加密装置200执行式188所示的Enc算法，生成密文ct_x→。然后，在S426中，加密装置200将所生成的密文ct_x→发送到解密装置300。

[式188]

$\mathrm{Enc}(\mathrm{pk},m,\stackrel{\&RightArrow;}{x}):$

$c_3:=g_T^{\mathrm{\&zeta;}}m,$

返回 ${\mathrm{ct}}_{\stackrel{\&RightArrow;}{x}}:=(\stackrel{\&RightArrow;}{x},c,c_3).$

说明解密装置300。

根据图21，说明Dec算法的处理。

S431至S432的处理与图17所示的S331至S332的处理相同。

(S433：值D_j计算步骤)

配对运算部330如式189所示，通过处理装置来计算值D_j。

[式189]

对于j=1，...，4

$D_j:={\mathrm{\&Sigma;}}_{L=1}^{n-1}{v}_L{C}_{(j-1)n+L}$

此处，要素c被分解为(C^* ₀，...，C^* _4n)∈G⁴ⁿ⁺¹的(4n+1)组。

(S434：配对运算步骤)

配对运算部330如式190所示，通过处理装置来执行配对运算，计算值F。

[式190]

$F:=e(C_0,K_0^{*})\&CenterDot;{\mathrm{\&Pi;}}_{j=1}^4(e(D_j,K_{1,j}^{*})\&CenterDot;e(C_{\mathrm{jn}},K_{2,j}^{*}))$

S435的处理与图17所示的S335的处理相同。

即，在S431至S435中，解密装置300执行式191所示的Dec算法，计算消息m’。

[式191]

$\mathrm{Dec}(\mathrm{pk},s{k}_{\&RightArrow;v}:=(\stackrel{\&RightArrow;}{v},K_0^{*},{\{K}_{1,j}^{*},K_{2,j}^{*}{\}}_{j=1,...,4}),c{t}_{\&RightArrow;x}:=(\stackrel{\&OverBar;}{x},c,c_3)):$

c被分解为的(4n+l)组，

$F:=e(C_0,K_0^{*})\&CenterDot;{\mathrm{\&Pi;}}_{j=1}^4(e(D_j,K_{1,j}^{*})\&CenterDot;e(C_{\mathrm{jn}},K_{2,j}^{*})),$

返回m′：=c₃/F.

另外，通过{B^* _0，0，B^* _0，j，B^* _i，0，L，B^* _i，j，B’^* _i，j，L}_{i，j＝1，...，4；L＝1，...， n}来确定B^*：＝(b^* ₀，...，b^* _4n)。另外，Setup算法的输出中包含的{B^* _0，0，B^* _0，j，B^* _i，0，L，B^* _i，j，B’^* _i，j，L}_{i＝1，3；j＝1，...，4；L＝1，...，n}是通过B^{^*}：＝(b^* ₀，...，b^* _n，b^* _2n+1，...，b^* _3n)来确定的。

并且，能够如式192所示的Dec’算法那样描述Dec算法。

[式192]

$\mathrm{Dec}\&prime;(\mathrm{pk},s{k}_{\&RightArrow;v}:=(\stackrel{\&RightArrow;}{v},K_0^{*},\{K_{1,j}^{*},K_{2,j}^{*}{\}}_{j=1,...,4}),c{t}_{\&RightArrow;x}:=(\stackrel{\&OverBar;}{x},c,c_3)):$

即

返回m′：=c₃/F

在实施方式5中说明的零内积密码方式中，解密密钥sk_v→包括由式185所示的要素K^* ₀得到的1个和由关于j＝1、...、4的各整数j的要素K^* _1，j以及要素K^* _2，j得到的8个合计9个的G的要素。即，解密密钥sk_v→关于n是常数大小。

另外，在实施方式5中说明的零内积密码方式中，解密处理(Dec算法)仅执行由式190所示的e(C₀，K^* ₀)得到的1个和由Π_j＝1 ⁴(e(D_j，K^* _1，j)·e(C_jn，K^* _2，j))得到的8个合计9个的配对运算。即，解密处理仅需要少的数量的配对运算。

另外，在以上的实施方式中，使用了图2(b)所示的线性变换X。但是，线性变换X不限于图2(b)所示的变换。例如，也可以将图2(b)中的划有斜线的方形表示的部分分别设为不同的值。另外，在图2(b)中，将N列中的所有的成分设为常数值0以外的随机数，但也可以并非是N列，而是将其他某个至少1列中的所有的成分设为常数值0以外的随机数。

更一般而言，关于线性变换X，是在各行各列中至少一个具有常数值0以外的值的稀疏矩阵即可。而且，关于线性变换X，在是n行n列的矩阵的情况下，作为常数值0以外的值而具有至少n个不同的值即可。而且，关于线性变换X，至少一个列中的所有的成分是常数值0以外的值即可。而且，关于线性变换X，对角成分和至少一个列中的所有的成分是常数值0以外的值即可。而且，关于线性变换X，除了所有成分是常数值0以外的值的列以外，对角成分的值相同即可。

在使用了这样的线性变换X的情况下，相比于使用了以往的线性变换X的情况，公开参数和秘密密钥的大小也变小。另外，用户密钥的生成、加密的处理的处理时间也变短。

但是，根据线性变换X的形式，还有无法减少配对运算的数量的情况。

在以上的实施方式中，矢量空间由用于编码部、隐匿部、秘密密钥随机化部、以及密文随机化部的4个正交的部分空间构成。并且，为了与其对应，如式124所示，使用n行n列的矩阵X_i，j(i，j＝1，...，4)来构成了线性变换X。线性变换X的该结构的前提为，隐匿部、秘密密钥随机化部、以及密文随机化部的部分空间是与编码部的部分空间相同的n维。

但是，隐匿部、秘密密钥随机化部、以及密文随机化部的部分空间也可以并非是与编码部的部分空间相同的n维。例如，也可以如下：隐匿部的部分空间是n×u维、秘密密钥随机化部的部分空间是n×w维、密文随机化部的部分空间是n×z维(u，w，z是0以上的整数)。在该情况下，如式193所示，使用n行n列的矩阵X_i，j(i，j＝1，...，1+u+w+z)来构成线性变换X即可。

[式193]

$X:=\left(\begin{array}{ccc}{X}_{\mathrm{1,1}}& \&CenterDot;\&CenterDot;\&CenterDot;& X_{\mathrm{1,1}+u+w+z}\\ \&CenterDot;& & \&CenterDot;\\ \&CenterDot;& & \&CenterDot;\\ \&CenterDot;& & \&CenterDot;\\ X_{1+u+w+z,1}& \&CenterDot;\&CenterDot;\&CenterDot;& X_{1+u+w+z,1+u+w+z}\end{array}\right)$

作为函数型密码的一种，有基于ID的撤销(Identity-BasedRevocation，IBR)、基于ID的广播密码(Identity-Based BroadcastEncryption，IBBE)(参照非专利文献1、5、6、8、19、12)。

在基于ID的撤销中，密文针对标识符的集合S＝(ID₁，...，ID_n)被加密，通过与并非ID∈S的ID对应关联的秘密密钥，对密文进行解密。即，在解密中，仅限于并非ID∈S的情况，需要R^IBR(ID，S)＝1。

在基于ID的广播密码中，密文针对标识符的集合S＝(ID₁，...，ID_n)被加密，通过与是ID∈S的ID对应关联的秘密密钥，对密文进行解密。即，在解密中，仅限于是ID∈S的情况，需要R^IBBE(ID，S)＝1。

在S：＝{ID₁，...，ID_n}的情况下，设为S(X)：＝Σ_i＝0 ⁿv_iXⁱ：＝Π_i＝1 ⁿ(X-ID_i)。并且，设为矢量v^→：＝(v₀，v₁，...，v_n)，设为矢量x^→：＝(1，ID，...，IDⁿ)。

于是，在实施方式2、3中说明的非零内积密码方式成为基于ID的撤销方式，在实施方式4、5中说明的零内积密码方式成为基于ID的广播密码方式。

即，通过在以上的实施方式中说明的内积密码方式，能够实现基于ID的撤销方式以及基于ID的广播密码方式。在该情况下，也能够将密文或者解密密钥设为关于n的常数大小，能够通过少的数量的配对运算来进行解密。

除了在实施方式2-4中说明的具体的密码方式以外，通过在非专利文献13、15、16、17等中说明的密码方式中应用上述线性变换X，公开参数和秘密密钥的大小变小。另外，用户密钥的生成、加密的处理的处理时间也变短。

图22是比较了在实施方式2-4中说明的非零内积密码方式以及零内积密码方式、和非专利文献2记载的非零内积密码方式以及零内积密码方式的图。

另外，在图22中，|G|、|G_T|、|F_q|、P、M分别表示G的大小、G_T的大小、F_q的大小、配对运算、G中的标量积运算。另外，CT、SK、IP、DBDH分别表示密文、秘密密钥(解密密钥)、内积、决定性的双线性Diffie-Hellman。

实施方式6.

在以上的实施方式中，说明了在双重矢量空间中实现密码处理的方法。在实施方式6中，说明在双重加法群中实现密码处理的方法。

即，在以上的实施方式中，在素数位数q的循环群中实现了密码处理。但是，在使用合成数M如式194那样示出了环R的情况下，在以环R为系数的加法群中，也能够应用在上述实施方式中说明的密码处理。

[式194]

此处，

Z：整数；

M：合成数。

如果将在以上的实施方式中说明的算法中的F_q变更为R，则能够实现双重加法群中的密码处理。

接下来，说明实施方式中的密码处理系统10(密钥生成装置100、加密装置200、解密装置300)的硬件结构。

图23是示出密钥生成装置100、加密装置200、解密装置300、密钥移交装置400的硬件结构的一个例子的图。

如图23所示，密钥生成装置100、加密装置200、解密装置300、密钥移交装置400具备执行程序的CPU911(Central Processing Unit，还称为中央处理装置、处理装置、运算装置、微处理器、微型计算机、处理器)。CPU911经由总线912而与ROM913、RAM914、LCD901(Liquid Crystal Display，液晶显示器)、键盘902(K/B)、通信板915、磁盘装置920连接，并控制这些硬件设备。也可以代替磁盘装置920(固定盘装置)，而是光盘装置、存储卡读写装置等存储装置。磁盘装置920经由规定的固定盘接口而被连接。

ROM913、磁盘装置920是非易失性存储器的一个例子。RAM914是易失性存储器的一个例子。ROM913、RAM914、以及磁盘装置920是存储装置(存储器)的一个例子。另外，键盘902、通信板915是输入装置的一个例子。另外，通信板915是通信装置的一个例子。而且，LCD901是显示装置的一个例子。

在磁盘装置920或者ROM913等中，存储有操作系统921(OS)、视窗系统922、程序群923、文件群924。程序群923的程序由CPU911、操作系统921、视窗系统922来执行。

在程序群923中，存储有执行在上述说明中说明为“主密钥生成部110”、“主密钥存储部120”、“信息输入部130”、“解密密钥生成部140”、“密钥分发部150”、“公开参数取得部210”、“信息输入部220”、“密文生成部230”、“数据发送部240”、“解密密钥取得部310”、“数据接收部320”、“配对运算部330”、“消息计算部340”等的功能的软件、程序、其他程序。程序由CPU911读出并执行。

在文件群924中，在上述说明中将“公开参数pk”、“主秘密密钥sk”、“解密密钥sk_v→”、“密文ct_x→”等信息、数据、信号值、变量值、参数存储为“文件”、“数据库”的各项目。“文件”、“数据库”被存储到盘、存储器等记录介质中。盘、存储器等存储介质中存储的信息、数据、信号值、变量值、参数经由读写电路而由CPU911读出到主存储器、高速缓冲存储器中，用于抽出、检索、参照、比较、运算、计算、处理、输出、印刷、显示等CPU911的动作。在抽出、检索、参照、比较、运算、计算、处理、输出、印刷、显示的CPU911的动作的期间，信息、数据、信号值、变量值、参数被临时存储到主存储器、高速缓冲存储器、缓冲存储器中。

另外，上述说明中的流程图的箭头部分主要表示数据、信号的输入输出，数据、信号值记录在RAM914的存储器、其他光盘等记录介质、IC芯片中。另外，数据、信号通过总线912、信号线、电缆、其他传送介质、电波而被在线传送。

另外，在上述说明中说明为“～部”的部分既可以是“～电路”、“～装置”、“～仪器”、“～单元”、“～功能”，另外也可以是“～步骤”、“～过程”、“～处理”。另外，说明为“～装置”的部分既可以是“～电路”、“～仪器”、“～单元”、“～功能”，另外也可以是“～步骤”、“～过程”、“～处理”。而且，说明为“～处理”的部分也可以是“～步骤”。即，说明为“～部”的部分也可以通过在ROM913中存储的固件来实现。或者，也可以仅通过软件、或者仅通过元件、设备、基板、布线等硬件、或者通过软件和硬件的组合、进一步通过与固件的组合来实施。固件和软件作为程序而被存储到ROM913等记录介质中。程序由CPU911读出并由CPU911执行。即，程序使计算机等作为在上述中叙述的“～部”而发挥功能。或者，使计算机等执行在上述中叙述的“～部”的过程、方法。

Claims (15)

1.一种密码处理系统，利用使用在各行各列中至少一个具有常数值0以外的值的稀疏矩阵使规定的基底A变形而生成的基底B和基底B^*，进行密码处理，其特征在于，具备：

加密装置，生成所述基底B中的嵌入了规定的信息的矢量而作为密码矢量；以及

解密装置，将所述基底B^*中的规定的矢量作为密钥矢量，对所述加密装置所生成的密码矢量和所述密钥矢量进行配对运算而对所述密码矢量进行解密，抽出与所述规定的信息有关的信息。

2.根据权利要求1所述的密码处理系统，其特征在于，

所述稀疏矩阵是n行n列的矩阵，作为常数值0以外的值，具有至少n个不同的值，其中，n是2以上的整数。

3.根据权利要求2所述的密码处理系统，其特征在于，

在所述稀疏矩阵中，至少一个列中的所有成分是常数值0以外的值。

4.根据权利要求3所述的密码处理系统，其特征在于，

在所述稀疏矩阵中，对角成分和至少一个列中的所有的成分是常数值0以外的值。

5.根据权利要求4所述的密码处理系统，其特征在于，

在所述稀疏矩阵中，除了所有的成分是常数值0以外的值的列以外，对角成分的值相同。

6.根据权利要求5所述的密码处理系统，其特征在于，

所述稀疏矩阵是式1所示的矩阵，

[式1]

此处，μ、μ’₁、...、μ’_n是常数值0以外的规定的值，空栏是常数值0。

7.根据权利要求1所述的密码处理系统，其特征在于，

所述密码处理系统使用利用1行1列至n行n列的值是式2所示的稀疏矩阵的N行N列的线性变换X而如式3所示根据所述基底A生成的基底B和基底B^*，其中，N是n以上的整数，

所述加密装置生成包含式4的矢量而作为所述密码矢量，

所述解密装置将包含式5的矢量k^*作为所述密钥矢量，对所述密码矢量进行解密，

[式2]

此处，μ₁、...、μ_n-1和μ’₁、...、μ’_n是常数值0以外的规定的值，空栏是常数值0，

[式3]

$b_i:={\mathrm{\&Sigma;}}_{j=1}^N{X}_i,j^{a}j$ 对于i=1，...，N，

${\mathrm{\&theta;}}_{i,j}:=\mathrm{\&psi;}\&CenterDot;{\left(X^T\right)}^{-1},$

$b_i^{*}:={\mathrm{\&Sigma;}}_{j=1}^N{\mathrm{\&theta;}}_{i,j}{a}_j$ 对于i=1...，N，

此处，χ_i，j是线性变换X的i行j列的成分，Ψ是规定的值，a_j是基底A的第j个基底矢量，

[式4]

${\mathrm{\&Sigma;}}_{i=1}^n{\mathrm{\&omega;x}}_i{b}_i$

此处，ω和x₁、...、x_n是规定的值，

[式5]

${\mathrm{\&Sigma;}}_{i=1}^n{\mathrm{\&delta;v}}_i{b}_i^{*}$

此处，δ和v₁、...、v_n是规定的值。

8.根据权利要求7所述的密码处理系统，其特征在于，

所述式2所示的稀疏矩阵的值B_i的值是同一值B，其中，i＝1，...，n-1，

所述加密装置生成包括包含式6的矢量C₁和包含式7的矢量C₂的矢量而作为所述密码矢量，

所述解密装置计算式8所示的D^*，进行式9所示的配对运算，

[式6]

C₁:=ωB₁

[式7]

$C_2:={\mathrm{\&Sigma;}}_{i=1}^n{x}_i\left(\mathrm{\&omega;}{B}_i^{\&prime;}\right)$

[式8]

$D*:={\mathrm{\&Sigma;}}_{i=1}^{n-1}\left({(\stackrel{\&RightArrow;}{x}\&CenterDot;\stackrel{\&RightArrow;}{v})}^{-1}{x}_i\right)K_i^{*}$

此处，K^* ₁、...、K^* _n-1是将所述矢量k*分解为每个基底矢量的成分的情况下的关于基底矢量b^* ₁、...、b^* _n-1的成分，

[式9]

$e(C_1,D*)\&CenterDot;e(C_2,K_n^{*})$

此处，K^* _n是将所述矢量k*分解为每个基底矢量的成分的情况下的关于基底矢量b^* _n的成分。

9.根据权利要求7所述的密码处理系统，其特征在于，

所述式2所示的稀疏矩阵的值B_i的值是同一值B，其中，i＝1，...，n-1，

所述加密装置生成包括包含式10的矢量C₁和包含式11的矢量C₂的矢量而作为所述密码矢量，

所述解密装置计算式12所示的D^*，进行式13所示的配对运算，

[式10]

C₁：=ωB₁

[式11]

$C_2:={\mathrm{\&Sigma;}}_{i=1}^n{x}_i\left(\mathrm{\&omega;}{B}_i^{\&prime;}\right)$

[式12]

$D*:={\mathrm{\&Sigma;}}_{i=1}^{n-1}{x}_i{K}_i^{*}$

此处，K^* ₁、...、K^* _n-1是将所述矢量k*分解为每个基底矢量的成分的情况下的关于基底矢量b^* ₁、...、b^* _n-1的成分，

[式13]

$e(C_1,D*)\&CenterDot;e(C_2,K_n^{*})$

此处，K^* _n是将所述矢量k*分解为每个基底矢量的成分的情况下的关于基底矢量b^* _n的成分。

10.根据权利要求1所述的密码处理系统，其特征在于，

所述密码处理系统利用使用1行1列至n行n列的值是式14所示的稀疏矩阵的N行N列的线性变换X而如式15所示根据所述基底A生成的基底B和基底B^*，其中，N是n以上的整数，

所述加密装置生成包含式16的矢量c而作为所述密码矢量，

所述解密装置将包含式17的矢量作为所述密钥矢量，对所述密码矢量进行解密，

[式14]

此处，μ₁、...、μ_n-1和μ’₁、...、μ’_n是常数值0以外的规定的值，空栏是常数值0，

[式15]

$b_i^{*}:={\mathrm{\&Sigma;}}_{j=1}^N{X}_i,j^{a}j$ 对于i=1，...，N，

${\mathrm{\&theta;}}_{i,j}:=\mathrm{\&psi;}\&CenterDot;{\left(X^T\right)}^{-1},$

$b_i:={\mathrm{\&Sigma;}}_{j=1}^N{\mathrm{\&theta;}}_{i,j}{a}_j$ 对于i=1，...，N，

此处，χ_i，j是线性变换X的i行j列的成分，Ψ是规定的值，a_j是基底A的第j个基底矢量，

[式16]

${\mathrm{\&Sigma;}}_{i=1}^n{\mathrm{\&omega;x}}_i{b}_i$

此处，ω和x₁、...、x_n是规定的值，

[式17]

${\mathrm{\&Sigma;}}_{i=1}^n{\mathrm{\&delta;v}}_i{b}_i^{*}$

此处，δ和v₁、...、v_n是规定的值。

11.根据权利要求10所述的密码处理系统，其特征在于，

所述式14所示的稀疏矩阵的值B_i的值是同一值B，其中，i＝1，...，n-1，

所述解密装置将包括包含式18的矢量K^* ₁和包含式19的矢量K^* ₂的矢量作为所述密钥矢量，计算式20所示的D，进行式21所示的配对运算，

[式18]

$K_1^{*}:=\mathrm{\&delta;}{B}_1$

[式19]

$K_2^{*}={\mathrm{\&Sigma;}}_{i=1}^{n-1}{v}_i\left(\mathrm{\&delta;}{B}_i^{\&prime;}\right)$

[式20]

$D:={\mathrm{\&Sigma;}}_{i=1}^{n-1}\left({(\stackrel{\&RightArrow;}{x}\&CenterDot;\stackrel{\&RightArrow;}{v})}^{-1}{v}_i\right)C_i$

此处，C₁、...、C_n-1是将所述矢量c分解为每个基底矢量的成分的情况下的关于基底矢量b₁、...、b_n-1的成分，

[式21]

$e(D,K_1^{*})\&CenterDot;e(C_n,K_2^{*})$

此处，C_n是将所述矢量c分解为每个基底矢量的成分的情况下的关于基底矢量b_n的成分。

12.根据权利要求10所述的密码处理系统，其特征在于，

所述式14所示的稀疏矩阵的值B_i的值是同一值B，其中，i＝1，...，n-1，

所述解密装置将包括包含式22的矢量K^* ₁和包含式23的矢量K^* ₂的矢量作为所述密钥矢量，计算式24所示的D，进行式25所示的配对运算，

[式22]

$K_1^{*}:=\mathrm{\&delta;}{B}_1$

[式23]

$K_2^{*}={\mathrm{\&Sigma;}}_{i=1}^{n-1}{v}_i\left(\mathrm{\&delta;}{B}_i^{\&prime;}\right)$

[式24]

$D:={\mathrm{\&Sigma;}}_{i=1}^{n-1}{v}_i{C}_i$

此处，C₁、...、C_n-1是将所述矢量c分解为每个基底矢量的成分的情况下的关于基底矢量b₁、...、b_n-1的成分，

[式25]

$e(D,K_1^{*})\&CenterDot;e(C_n,K_2^{*})$

此处，C_n是将所述矢量c分解为每个基底矢量的成分的情况下的关于基底矢量b_n的成分。

13.一种密码处理方法，利用使用在各行各列中至少一个具有0以外的值的稀疏矩阵使规定的基底A变形而生成的基底B和基底B^*，进行密码处理，其特征在于，

加密装置生成所述基底B中的嵌入了规定的信息的矢量作为密码矢量，

解密装置将所述基底B^*中的规定的矢量作为密钥矢量，对所述加密装置所生成的密码矢量和所述密钥矢量进行配对运算而对所述密码矢量进行解密，抽出与所述规定的信息有关的信息。

14.一种密码处理程序，利用使用在各行各列中至少一个具有0以外的值的稀疏矩阵使规定的基底A变形而生成的基底B和基底B^*，进行密码处理，其特征在于，使计算机执行：

加密处理，生成所述基底B中的嵌入了规定的信息的矢量作为密码矢量；以及

解密处理，将所述基底B^*中的规定的矢量作为密钥矢量，对在所述加密处理中所生成的密码矢量和所述密钥矢量进行配对运算而对所述密码矢量进行解密，抽出与所述规定的信息有关的信息。

15.一种密钥生成装置，生成公开密钥密码中的公开参数和秘密密钥，其特征在于，具备：

矩阵生成部，生成线性变换X，该线性变换X包括在各行各列中至少一个具有0以外的值的稀疏矩阵；

基底生成部，使用所述矩阵生成部所生成的线性变换X，根据规定的基底A如式26所示生成基底D和基底D^*；以及

主密钥生成部，将所述基底生成部所生成的所述基底D和所述基底D^*的一方的基底的至少一部分基底矢量作为公开参数，将另一方的基底的至少一部分基底矢量作为秘密密钥来生成，

[式26]

$b_i:={\mathrm{\&Sigma;}}_{j=1}^N{X}_i,j^{a}j$ 对于i=1，...，N，

${\mathrm{\&theta;}}_{i,j}:=\mathrm{\&psi;}\&CenterDot;{\left(X^T\right)}^{-1},$

$b_i^{*}:={\mathrm{\&Sigma;}}_{j=1}^N{\mathrm{\&theta;}}_{i,j}{a}_j$ 对于i=1，...，W，

此处，χ_i，j是线性变换X的i行j列的成分，Ψ是规定的值，a_j是基底A的第j个基底矢量。