CN104919752B - 分割保管装置、秘密密钥分割保管方法 - Google Patents

Abstract

减少因秘密密钥的泄漏导致的秘密信息的泄漏风险。本发明的秘密密钥分割系统对秘密密钥(SK)进行分割使得能够在解密时或者署名生成时进行合并，并且将各自的分割秘密密钥k₁,…,sk_N在分割保管装置中记录。然后，定期地或者在满足预定的条件时，变更为满足能够合并的条件的另一分割秘密密钥的组。根据本发明的秘密密钥分割保管系统，如果不在变更分割秘密密钥的间隔内从所有的分割保管装置盗取分割秘密密钥，则不知道秘密密钥(SK)。从而，与秘密密钥从一个装置泄漏的风险相比，能够大幅减少泄漏的风险。

Description

分割保管装置、秘密密钥分割保管方法

技术领域

本发明涉及用于安全地保管用于密码/认证的秘密密钥的秘密密钥分割保管系统、分割保管装置、秘密密钥分割保管方法。

背景技术

保管用于密码/认证的秘密密钥是重要的问题。在现代密码学中，秘密密钥不泄漏是安全性的前提。因此，为了使秘密密钥不泄漏，研究用于保管密钥的防篡改的硬件，TPM(Trusted Platform Module，可信平台模块)或HSM(Hardware security module，硬件安全模块)那样的产品正在被付诸实用。

作为防止因秘密密钥的泄漏所导致的秘密信息泄漏的方法，还考虑更新秘密密钥的方法。作为这样的技术，已知专利文献1等。

[现有技术文献]

[专利文献]

[专利文献1]特开2012-150287号公报

发明内容

发明要解决的课题

但是，TPM或HSM那样的硬件大多为低速，当想要保管大量的密钥时容量不够充分。另一方面，定期或者基于规定的条件而更新秘密密钥的方法，也存在从秘密密钥泄漏起直到更新为止的期间秘密信息会泄漏的风险。

本发明鉴于这样的课题而完成，其目的在于减少因秘密密钥的泄漏导致的秘密信息的泄漏风险。

用于解决课题的方案

本发明的第一秘密密钥分割保管系统，包括：加密装置，利用公开密钥PK对明文M进行加密，并输出密文C；N个分割保管装置，记录将与公开密钥PK对应的秘密密钥SK进行分割后的分割秘密密钥sk₁，...，sk_N的其中一个；以及合并部件，求出对密文C进行解密后的明文M。首先，设为N是2以上的整数，n为1以上且N以下的整数，Dec(C，SK)为表示利用秘密密钥SK对密文C进行解密的情况的记号，g(sk₁，...，sk_N)为以sk₁，...，sk_N为变量的函数，f(m₁，...，m_N)为以m₁，...，m_N为变量的函数，且

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

＝f(Dec(C，sk₁)，…，Dec(C，sk_N))

的关系成立。并且，在第一秘密密钥分割保管系统中，所有的分割保管装置包括解密部和分割秘密密钥变更部。解密部利用各自记录的分割秘密密钥sk_n，如m_n＝Dec(C，sk_n)那样求出分割明文m_n，并将分割明文m_n送至合并部件。分割秘密密钥变更部求出

Dec(C，SK)＝Dec(C，g(sk₁’，…，sk_N’))

＝f(Dec(C，sk₁’)，…，Dec(C，sk_N’))

成立，并且与(sk₁，...，sk_N)不同的分割秘密密钥的组(sk₁′，...，sk_N′)，将各自记录的分割秘密密钥sk_n变更为sk_n′。合并部件如M＝f(m₁，...，m_N)那样求出明文M。

本发明的第二秘密密钥分割保管系统是包括如下装置的秘密密钥分割保管系统：加密装置，利用公开密钥PK对明文M进行加密，并输出密文C；以及N个分割保管装置，记录将与公开密钥PK对应的秘密密钥SK进行分割后的分割秘密密钥sk₁，...，sk_N的其中一个。首先，设为N是2以上的整数，n为1以上且N以下的整数，Dec(C，SK)为表示利用秘密密钥SK对密文C进行解密的情况的记号，g(sk₁，...，sk_N)为以sk₁，...，sk_N为变量的函数，f(Dec(C，sk_n)，m_n+1)为以Dec(C，sk_n)，m_n+1为变量的函数，且

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

m_N＝Dec(C，sk_N)

m_n＝f(Dec(C，sk_n)，m_n+1)

M＝m₁

的关系成立。记录分割秘密密钥sk_N的分割保管装置包括：解密部，该解密部利用分割秘密密钥sk_N如m_N＝Dec(C，sk_N)那样求出分割明文m_N，并将分割明文m_N送至记录分割秘密密钥sk_N-1的分割保管装置。记录分割秘密密钥sk_n(其中，N为3以上，且n为2，...，N-1的其中一个)的分割保管装置包括：解密部，该解密部利用从记录分割秘密密钥sk_n+1的分割保管装置取得的分割明文m_n+1和分割秘密密钥sk_n，如m_n＝f(Dec(C，sk_n)，m_n+1)那样求出分割明文m_n，并将分割明文m_n送至记录分割秘密密钥sk_n-1的分割保管装置。记录分割秘密密钥sk₁的分割保管装置包括：解密部，该解密部利用从记录分割秘密密钥sk₂的分割保管装置取得的分割明文m₂和分割秘密密钥sk₁，如M＝f(Dec(C，sk₁)，m₂)那样求出明文M。所有的分割保管装置还包括：分割秘密密钥变更部，该分割秘密密钥变更部求出

Dec(C，SK)＝Dec(C，g(sk₁’，…，sk_N’))

m_N＝Dec(C，sk_N’)

m_n＝f(Dec(C，sk_n’)，m_n+1)

M＝m₁

成立，并且与(sk₁，...，sk_N)不同的分割秘密密钥的组(sk₁′，...，sk_N′)，将各自记录的分割秘密密钥sk_n变更为sk_n′。

本发明的第三秘密密钥分割保管系统，包括：N个分割保管装置，记录将秘密密钥SK进行分割后的分割秘密密钥sk₁，...，sk_N的其中一个；以及合并部件，求出对于明文M的署名∑。首先，设为N是2以上的整数，n为1以上且N以下的整数，Sig(M，SK)为表示利用秘密密钥SK生成署名∑的情况的记号，g(sk₁，...，sk_N)为以sk₁，...，sk_N为变量的函数，f(σ₁，...，σ_N)为以σ₁，...，σ_N为变量的函数，且

Sig(M，SK)＝Sig(M，g(sk₁，…，sk_N))

＝f(Sig(M，sk₁)，…，Sig(M，sk_N))

的关系成立。所有的分割保管装置包括生成部和分割秘密密钥变更部。生成部利用各自记录的分割秘密密钥sk_n，如σ_n＝Sig(M，sk_n)那样求出分割署名σ_n，并将分割署名σ_n送至合并部件。分割秘密密钥变更部求出

Sig(M，SK)＝Sig(M，g(sk₁’，…，sk_N’))

＝f(Sig(M，sk₁’)，…，Sig(M，sk_N’))

成立，并且与(sk₁，...，sk_N)不同的分割秘密密钥的组(sk₁′，...，sk_N′)，将各自记录的分割秘密密钥sk_n变更为sk_n′。合并部件如∑＝f(σ₁，...，σ_N)那样求出署名∑。

本发明的第四秘密密钥分割保管系统，包括记录将秘密密钥SK进行分割后的分割秘密密钥sk₁，...，sk_N的其中一个的N个分割保管装置，且生成对于明文M的署名。首先，设为N是2以上的整数，n为1以上且N以下的整数，Sig(M，SK)为表示利用秘密密钥SK生成署名∑的情况的记号，g(sk₁，...，sk_N)为以sk₁，...，sk_N为变量的函数，f(Sig(M，sk_n)，σ_n+1)为以Sig(M，sk_n)，σ_n+1为变量的函数，且

Sig(M，SK)＝Sig(M，g(sk₁，…，sk_N))

σ_N＝Sig(M，sk_n)

σ_n＝f(Sig(M，sk_n)，σ_n+1)

∑＝σ₁

的关系成立。记录分割秘密密钥sk_N的分割保管装置包括：生成部，该生成部利用分割秘密密钥sk_N，如σ_N＝Sig(M，sk_N)那样求出分割署名σ_N，并将分割署名σ_N送至记录分割秘密密钥sk_N-1的分割保管装置。记录分割秘密密钥sk_n(其中，N为3以上，且n为2，...，N-1的其中一个)的分割保管装置包括：生成部，该生成部利用从记录分割秘密密钥sk_n+1的分割保管装置取得的分割署名σ_n+1和分割秘密密钥sk_n，如σ_n＝f(Sig(M，sk_n)，σ_n+1)那样求出分割署名σn，并将分割署名σ_n送至记录分割秘密密钥sk_n-1的分割保管装置。记录分割秘密密钥sk₁的分割保管装置包括：生成部，该生成部利用从记录分割秘密密钥sk₂的分割保管装置取得的分割署名σ₂和分割秘密密钥sk₁，如∑＝f(Sig(M，sk₁)，σ₂)那样求出署名∑。所有的分割保管装置还包括：分割秘密密钥变更部，该分割秘密密钥变更部求出

Sig(M，SK)＝Sig(M，g(sk₁’，…，sk_N’))

σ_N＝Sig(M，sk_n’)

σ_n＝f(Sig(M，sk_n’)，σ_n+1)

∑＝σ₁

成立，并且与(sk₁，...，sk_N)不同的分割秘密密钥的组(sk₁′，...，sk_N′)，将各自记录的分割秘密密钥sk_n变更为sk_n′。

发明效果

根据本发明的秘密密钥分割保管系统，如果不在变更分割秘密密钥的间隔内从所有的分割保管装置盗取分割秘密密钥，则不知道秘密密钥SK。从而，与秘密密钥从一个装置泄漏的风险相比，能够大幅减少泄漏的风险。

附图说明

图1是表示实施例1的秘密密钥分割保管系统的功能结构例的图。

图2是表示将实施例1的秘密密钥分割保管系统的密文解密成明文的处理流程的图。

图3是表示变更本发明的分割秘密密钥的处理流程的第一个例子的图。

图4是表示变更本发明的分割秘密密钥的处理流程的第二个例子的图。

图5是表示变更本发明的分割秘密密钥的处理流程的第三个例子的图。

图6是表示实施例2的秘密密钥分割保管系统的功能结构例的图。

图7是表示将实施例2的秘密密钥分割保管系统的密文解密成明文的处理流程的图。

图8是表示实施例3的秘密密钥分割保管系统的功能结构例的图。

图9是表示生成实施例3的秘密密钥分割保管系统的署名的处理流程的图。

图10是表示实施例4的秘密密钥分割保管系统的功能结构例的图。

图11是表示生成实施例4的秘密密钥分割保管系统的署名的处理流程的图。

具体实施方式

以下，详细说明本发明的实施方式。另外，对于具有相同的功能的结构部附加相同的标号，并省略重复说明。

[实施例1]

图1表示实施例1的秘密密钥分割保管系统的功能结构例。图2表示将密文解密成明文的处理流程，图3～图5表示变更分割秘密密钥的处理流程的例子。实施例1的秘密密钥分割保管系统包括在网络900上连接的加密装置600、N个分割保管装置100₁，...，100_N、合并部件130。加密装置600利用公开密钥PK对明文M进行加密，输出密文C。分割保管装置100_n记录将对应于公开密钥PK的秘密密钥SK进行分割后的分割秘密密钥sk₁，...，sk_N中的分割秘密密钥sk_n。合并部件130求出对密文C进行了解密后的明文M。在图1中，合并部件130以虚线表示在各种场所。如此，合并部件130可以是独立的一个装置，也可以在其中一个分割保管装置100_n的内部具备。此外，也可以是各种装置具备合并部件130，且按照解密的每个处理流程而选择要使用哪个合并部件130。

在此，设为N是2以上的整数，n为1以上且N以下的整数，Dec(C，SK)为表示利用秘密密钥SK对密文C进行解密的情况的记号，g(sk₁，...，sk_N)为以sk₁，...，sk_N为变量的函数，f(m₁，...，m_N)为以m₁，...，m_N为变量的函数，^为表示取幂的记号，且如下的关系成立。

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

＝f(Dec(C，sk₁)，…，Dec(C，sk_N))

各个分割保管装置100_n包括解密部110_n、分割秘密密钥变更部120_n、记录部190_n。记录部190_n记录分割秘密密钥sk_n。解密部110_n利用分割秘密密钥sk_n，如m_n＝Dec(C，sk_n)那样求出分割明文m_n，并将分割明文m_n送至合并部件130(S110_n)。合并部件130如M＝f(m₁，...，m_N)那样求出明文M(S130)。

分割秘密密钥变更部120_n定期地或者在符合预定的条件时，求出

Dec(C，SK)＝Dec(C，g(sk₁’，…，sk_N’))

＝f(Dec(C，sk₁’)，…，Dec(C，sk_N’))

成立，并且与(sk₁，...，sk_N)不同的分割秘密密钥的组(sk₁′，...，sk_N′)，将各自记录的分割秘密密钥sk_n变更为sk_n′(S120_n)。符合预定的条件时是指，进行了预定次数的解密处理时等，适当规定即可。例如，以如果

SK＝sk₁+…+sk_N

的关系成立，则

Dec(C，SK)＝Dec(C，g(sk₁’，…，sk_N’))

＝f(Dec(C，sk₁’)，…，Dec(C，sk_N’))

成立那样决定了函数g、f的情况下，分割秘密密钥变更部120_n求出成为

sk₁’+…+sk_N’＝sk₁+…+sk_N

的分割秘密密钥的组(sk₁′，...，sk_N′)即可。此外，在以如果

SK＝sk₁+…+sk_N mod q

的关系成立，则

Dec(C，SK)＝Dec(C，g(sk₁’，…，sk_N’))

＝f(Dec(C，sk₁’)，…，Dec(C，sk_N’))

成立那样决定了函数g、f的情况下，分割秘密密钥变更部120_n求出成为

sk₁’+…+sk_N’mod q＝sk₁+…+sk_N mod q

的分割秘密密钥的组(sk₁′，...，sk_N′)即可。

在图3所示的变更分割秘密密钥的处理流程的情况下，将分割保管装置100_n的分割秘密密钥的变更量设为α_n，分割保管装置100₁，...，100_N以成为

α₁+…+α_N＝0

或者

α₁+…+α_N mod q＝0

的方式求出α₁，...，α_N，分割保管装置100_n取得α_n(S121)。并且，分割秘密密钥变更部120_n如下变更分割秘密密钥(S122_n)。

sk_n’＝sk_n+α_n

图4所示的变更分割秘密密钥的处理流程的情况下，选择两个分割保管装置100_i、100_j。另外，i和j是1以上且N以下的i≠j的整数。此外，当N＝2的情况下，i＝1，j＝2或者i＝2，j＝1。然后，在分割保管装置100_i、100_j之间共享变更量α(S121_ij)。然后，分割保管装置100_i的分割秘密密钥变更部120_i如

sk_i’＝sk_i+α

那样变更分割秘密密钥，分割保管装置100_j的分割秘密密钥变更部120_j如

sk_j’＝sk_j-α

那样变更分割秘密密钥(S122_ij)。确认是否所有的分割保管装置被选择，判断是否要重复该处理(S124)。通过该重复处理，所有的分割秘密密钥被变更。另外，这样在两个分割保管装置之间共享值α，利用α将分割秘密密钥sk_i、sk_j分别变更为sk_i′、sk_j′的方法的情况下，在共享值α的步骤(S121_ij)中，能够使用认证密钥交换协议。如果是认证密钥交换协议，则使用分割保管装置100_i和分割保管装置100_j的双方生成的随机数来决定α，因而哪个分割保管装置都无法随意地决定α。从而，能够进一步提高安全性。

图5所示的变更分割秘密密钥的处理流程是N＝2时的处理流程。该情况下，由于不需要选择分割保管装置，因而在分割保管装置100₁、100₂之间共享变更量α(S121)。然后，分割保管装置1001的分割秘密密钥变更部120₁如

sk₁’＝sk₁+α

那样变更分割秘密密钥，分割保管装置100₂的分割秘密密钥变更部120₂如

sk₂’＝sk₂-α

那样变更分割秘密密钥即可(S122)。该情况下也同样，在共享值α的步骤(S121)中，能够使用认证密钥交换协议。

根据实施例1的秘密密钥分割保管系统，如果不在变更分割秘密密钥的间隔内从所有的分割保管装置盗取分割秘密密钥，则不知道秘密密钥SK。从而，与秘密密钥从一个装置泄漏的风险相比，能够大幅减少泄漏的风险。

另外，若如下运用，则还能够将在一个装置中记录秘密密钥SK的现有的解密装置转变为实施例1的分割保管装置100_N。在现有的解密装置上追加分割秘密密钥变更部120_N，将在记录部190₁，...，190_N-1中记录了sk₁＝...＝sk_N-1＝0的分割保管装置100₁，...，100_N-1连接到网络900。若这样构成，则初始状态成为sk_N＝SK，sk₁＝...＝sk_N-1＝0。然后，若通过最初的分割秘密密钥的组(sk₁，...，sk_N)的变更来分割秘密密钥，则能够构成实施例1的秘密密钥分割保管系统。从而，如果是实施例1的秘密密钥分割保管系统，则从现有的系统也能够容易转变。

<能够应用的密码方式的具体例>

为了实现实施例1的秘密密钥分割保管系统，必须成立以下关系。

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

＝f(Dec(C，sk₁)，…，Dec(C，sk_N))

在此，介绍该关系成立的密码方式。但是，并不是说上述的关系要成立就限定于这些密码方式。

(1)RSA密码

在RSA密码中，将q设为两个大的素数的合成数(积)，将公开密钥PK设为{q，e}，将秘密密钥SK设为d时，明文M和密文C成立

C＝M^e mod q

M＝Dec(C，d)＝C^d mod q

的关系。若如

g(sk₁，…，sk_N)＝sk₁+…+sk_N

f(Dec(C，sk₁)，…，Dec(C，sk_N))

＝Dec(C，sk₁)×…×Dec(C，sk_N)mod q

那样决定函数g、f，并且选择分割秘密密钥的组(sk₁，...，sk_N)使得

d＝SK＝sk₁+…+sk_N

成立，则由于

Dec(C，sk_n)＝C^sk_n mod q

，因而成为如下。

f(Dec(C，sk₁)，…，Dec(C，sk_N))

＝C^(sk₁+…+sk_N)mod q

＝M

从而，下式成立。

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

＝f(Dec(C，sk₁)，…，Dec(C，sk_N))

(2)E|Gama|密码

在E|Gama|密码中，如果将公开密钥PK设为{g，h}，将秘密密钥SK设为x，将r设为随机数(其中，h＝g^x，x和r是0以上且q-1以下的整数，q是循环群G的位数，g是循环群G的生成元)，则作为循环群G的元素的明文M和密文C成立

C＝{C₁，C₂}＝{g^r，Mh^r}

M＝Dec(C，x)＝C₂/(C₁^x)

的关系。若如

g(sk₁，…，sk_N)＝sk₁+…+sk_N mod q

f(Dec(C，sk₁)，…，Dec(C，sk_N))

＝Dec(C，sk₁)×…×Dec(C，sk_N)/(C₂^(N-1))

那样决定函数g、f，并且选择分割秘密密钥的组(sk₁，...，sk_N)使得

x＝SK＝sk₁+…+sk_N mod q

成立，则由于

Dec(C，sk_n)＝C₂/(C₁^sk_n)

，因而成为如下。

f(Dec(C，sk₁)，…，Dec(C，sk_N))

＝C₂/(C₁^sk₁)×…×C₂/(C₁^sk_N)/(C₂^(N-1))

＝C₂/(C₁^(sk₁+…+sk_N)

＝M

从而，下式成立。

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

＝f(Dec(C，sk₁)，…，Dec(C，sk_N))

(3)椭圆E|Gama|密码

在椭圆E|Gama|密码中，如果将公开密钥PK设为{G，H}，将秘密密钥SK设为x，将r设为随机数(其中，H＝xG，x是1以上且q-1以下的整数，r是0以上且q-1以下的整数，q是椭圆曲线上的基点(Base point)G的位数)，则明文M和密文C成立

C＝{C₁，C₂}＝{rG，M+rH}

M＝Dec(C，x)＝C₂-xC₁

的关系。若如

g(sk₁，…，sk_N)＝sk₁+…+sk_N mod q

f(Dec(C，sk₁)，…，Dec(C，sk_N))

＝Dec(C，sk₁)+…+Dec(C，sk_N)-(N-1)C₂那样决定函数g、f，并且选择分割秘密密钥的组(sk₁，...，sk_N)使得

x＝SK＝sk₁+…+sk_N mod q

成立，则由于

Dec(C，sk_n)＝C₂-sk_nC₁

，因而成为如下。

f(Dec(C，sk₁)，…，Dec(C，sk_N))

＝C₂-sk₁C₁+…+C₂-sk_NC₁-(N-1)C₂

＝C₂-(sk₁+…+sk_N)C₁

＝M

从而，下式成立。

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

＝f(Dec(C，sk₁)，…，Dec(C，sk_N))

(4)基于ID的密码

在基于ID的密码中，如果将公开密钥PK设为{P_ID，P，Q}，将秘密密钥SK设为S_ID，将r设为随机数(其中，S_ID＝sP_ID，Q＝sP，P_ID是利用Hash函数将ID变换后的位数q的椭圆曲线上的点，P是所述椭圆曲线上的部分群的生成元，s是主秘密密钥，e(，)是所述椭圆曲线上的配对)，则明文M和密文C成立

C＝{C₁，C₂}＝{rP，M·e(P_ID，rQ)}

M＝Dec(C，S_ID)＝C₂·e(S_ID，C₁)^-1

的关系。若如

g(sk₁，…，sk_N)＝sk₁+…+sk_N mod q

f(Dec(C，sk₁)，…，Dec(C，sk_N))

＝Dec(C，sk₁)×…×Dec(C，sk_N)/(C₂^(N-1))

那样决定函数g、f，并且选择分割秘密密钥的组(sk₁，...，sk_N)使得

S_ID＝SK＝sk₁+…+sk_N mod q

成立，则由于

Dec(C，sk_n)＝C₂·e(sk_n，C₁)^-1

，因而成为如下。

f(Dec(C，sk₁)，…，Dec(C，sk_N))

＝C₂·e(sk₁，C₁)^-1…C₂·e(sk_N，C₁)^-1/(C₂^(N-1))

＝C₂·e(sk₁+…+sk_N，C₁)^-1

＝M

从而，下式成立。

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

＝f(Dec(C，sk₁)，…，Dec(C，sk_N))

实施例2

图6表示实施例2的秘密密钥分割保管系统的功能结构例，图7表示将密文解密成明文的处理流程。变更分割秘密密钥的处理流程的例子与图3～图5相同。实施例2的秘密密钥分割保管系统包括在网络900上连接的加密装置600、N个分割保管装置200₁，...，200_N。加密装置600利用公开密钥PK对明文M进行加密，并输出密文C。分割保管装置200_n记录将对应于公开密钥PK的秘密密钥SK进行分割后的分割秘密密钥sk₁，...，sk_N中的分割秘密密钥sk_n。

在此，设为N是2以上的整数，n为1以上且N以下的整数，Dec(C，SK)为表示利用秘密密钥SK对密文C进行解密的情况的记号，g(sk₁，...，sk_N)为以sk₁，...，sk_N为变量的函数，f(Dec(C，sk_n)，m_n+1)为以Dec(C，sk_n)和m_n+1为变量的函数，^为表示取幂的记号，且如下的关系成立。

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

m_N＝Dec(C，sk_N)

m_n＝f(Dec(C，sk_n)，m_n+1)

M＝m₁

各个分割保管装置200_n包括解密部210_n、分割秘密密钥变更部120_n、记录部190_n。记录部190_n记录分割秘密密钥sk_n。分割保管装置200_N的解密部210_N利用分割秘密密钥sk_N如m_N＝Dec(C，sk_N)那样求出分割明文m_N，并将分割明文m_N送至分割保管装置200_N-1(S210_N)。

分割保管装置200_n(其中，n＝2，...，N-1)的解密部210_n利用从分割保管装置200_n+1取得的分割明文m_n+1和分割秘密密钥sk_n如m_n＝f(Dec(C，sk_n)，m_n+1)那样求出分割明文m_n。然后，将分割明文m_n送至分割保管装置200_n-1(S210_n)。但是，当N＝2时，分割保管装置200_n(其中，n＝2，...，N-1)不存在。

分割保管装置200₁的解密部210₁利用从分割保管装置200₂取得的分割明文m₂和分割秘密密钥sk₁如M＝f(Dec(C，sk₁)，m₂)那样求出明文M(S210₁)。

分割秘密密钥变更部120_n定期地或者在符合预定的条件时，求出

Dec(C，SK)＝Dec(C，g(sk₁’，…，sk_N’))

m_N＝Dec(C，sk_N’)

m_n＝f(Dec(C，sk_n’)，m_n+1)

M＝m₁

成立，并且与(sk₁，...，sk_N)不同的分割秘密密钥的组(sk₁′，...，sk_N′)，将各自记录的分割秘密密钥sk_n变更为sk_n′(S120_n)。例如，以如果

SK＝sk₁+…+sk_N

的关系成立，则

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

m_N＝Dec(C，sk_N)

m_n＝f(Dec(C，sk_n)，m_n+1)

M＝m₁

成立那样决定了函数g、f的情况下，求出成为

sk₁’+…+sk_N’＝sk₁+…+sk_N

的分割秘密密钥的组(sk₁′，...，sk_N′)即可。此外，在以如果

SK＝sk₁+…+sk_N mod q

的关系成立，则

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

m_N＝Dec(C，sk_N)

m_n＝f(Dec(C，sk_n)，m_n+1)

M＝m₁

成立那样决定了函数g、f的情况下，求出成为

sk₁’+…+sk_N’mod q＝sk₁+…+sk_N mod q

的分割秘密密钥的组(sk₁′，...，sk_N′)即可。在这些例子的情况下，组(sk₁′，...，sk_N′)所要求的条件与实施例1相同，因此变更组(sk₁′，...，sk_N′)的流程与实施例1相同(图3～5)。

因此，实施例2的秘密密钥分割保管系统也同样，如果不在变更分割秘密密钥的间隔内从所有的分割保管装置盗取分割秘密密钥，则不知道秘密密钥SK。从而，与秘密密钥从一个装置泄漏的风险相比，能够大幅减少泄漏的风险。

另外，若如下运用，则还能够将在一个装置中记录着秘密密钥SK的现有的解密装置转变为实施例2的分割保管装置200_N。在现有的解密装置上追加分割秘密密钥变更部120_N，将在记录部190₁，...，190_N-1中记录了sk₁＝...＝sk_N-1＝0的分割保管装置200₁，...，200_N-1连接到网络900。若这样构成，则初始状态成为sk_N＝SK，sk₁＝...＝sk_N-1＝0。然后，若通过最初的分割秘密密钥的组(sk₁，...，sk_N)的变更来分割秘密密钥，则能够构成实施例2的秘密密钥分割保管系统。从而，如果是实施例2的秘密密钥分割保管系统，则从现有的系统也能够容易转变。

<能够应用的密码方式的具体例>

为了实现实施例2的秘密密钥分割保管系统，必须成立以下关系。

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

m_N＝Dec(C，sk_N)

m_n＝f(Dec(C，sk_n)，m_n+1)

M＝m₁

在此，介绍该关系成立的密码方式。但是，并不是说上述的关系要成立就限定于这些密码方式。

(1)RSA密码

在RSA密码中，将q设为两个大的素数的合成数(积)，将公开密钥PK设为{q，e}，将秘密密钥SK设为d时，明文M和密文C成立

C＝M^e mod q

M＝Dec(C，d)＝C^d mod q

的关系。因此，若如

g(sk₁，…，sk_N)＝sk₁+…+sk_N

f(Dec(C，sk_n)，m_n+1)

＝Dec(C，sk_n)×m_n+1 mod q

那样决定函数g、f，并且选择分割秘密密钥的组(sk₁，...，sk_N)使得

d＝SK＝sk₁+…+sk_N

成立，则由于

m_N＝Dec(C，sk_N)＝C^sk_N mod q

，因而成为如下。

m_N-1＝f(Dec(C，sk_N-1)，m_N)

＝C^(sk_N-1+sk_N)mod q

然后，由于它重复，因而成为

m_n＝f(Dec(C，sk_n)，m_n+1)

＝C^(sk_n+…+sk_N)mod q

，成为如下。

m₁＝C^(sk₁+…+sk_N)mod q

从而，下式成立。

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

m_N＝Dec(C，sk_N)

m_n＝f(Dec(C，sk_n)，m_n+1)

M＝m₁

(2)E|Gama|密码

在E|Gama|密码中，如果将公开密钥PK设为{g，h}，将秘密密钥SK设为x，将r设为随机数(其中，h＝g^x，x和r是0以上且q-1以下的整数，q是循环群G的位数，g是循环群G的生成元)，则作为循环群G的元素的明文M和密文C成立

C＝{C₁，C₂}＝{g^r，Mh^r}

M＝Dec(C，x)＝C₂/(C₁^x)

的关系。若如

g(sk₁，…，sk_N)＝sk₁+…+sk_N mod q

f(Dec(C，sk_n)，m_n+1)

＝(Dec(C，sk_n)×m_n+1)/C₂

那样决定函数g、f，并且选择分割秘密密钥的组(sk₁，...，sk_N)使得

x＝SK＝sk₁+…+sk_N mod q

成立，则由于

m_N＝Dec(C，sk_N)＝C₂/(C₁^sk_N)mod q

，因而成为如下。

m_N-1＝f(Dec(C，sk_N-1)，m_N)

＝(Dec(C，sk_N-1)×m_N)/C₂

＝(C₂/(C₁^sk_N-1)·C₂/(C₁^sk_N))/C₂

＝C₂/((C₁^sk_N-1)(C₁^sk_N))

＝C₂/(C₁^(sk_N-1+sk_N))

然后，由于它重复，因而成为

m_n＝f(Dec(C，sk_n)，m_n+1)

＝C₂/(C₁^(sk_n+…+sk_N))

，成为如下。

m₁＝C₂/(C₁^(sk₁+…+sk_N))

＝M

从而，下式成立。

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

m_N＝Dec(C，sk_N)

m_n＝f(Dec(C，sk_n)，m_n+1)

M＝m₁

(3)椭圆E|Gama|密码

在椭圆E|Gama|密码中，如果将公开密钥PK设为{G，H}，将秘密密钥SK设为x，将r设为随机数(其中，H＝xG，x是1以上且q-1以下的整数，r是0以上且q-1以下的整数，q是椭圆曲线上的基点(Base point)G的位数)，则明文M和密文C成立

C＝{C₁，C₂}＝{rG，M+rH}

M＝Dec(C，×)＝C₂-xC₁

的关系。若如

g(sk₁，…，sk_N)＝sk₁+…+sk_N mod q

f(Dec(C，sk_n)，m_n+1)

＝Dec(C，sk_n)+m_n+1-C₂

那样决定函数g、f，并且选择分割秘密密钥的组(sk₁，...，sk_N)使得

x＝SK＝sk₁+…+sk_N mod q

成立，则由于

m_N＝Dec(C，sk_N)＝C₂-sk_NC₁

，因而成为如下。

m_N-1＝f(Dec(C，sk_N-1)，m_N)

＝Dec(C，sk_N-1)+m_N-C₂

＝C₂-sk_N-1C₁+C₂-sk_NC₁-C₂

＝C₂-sk_N-1C₁-sk_NC₁

＝C₂-(sk_N-1+sk_N)C₁

然后，由于它重复，因而成为

m_n＝f(Dec(C，sk_n)，m_n+1)

＝C₂-(sk_n+…+sk_N)C₁

，成为如下。

m₁＝C₂-(sk₁+…+sk_N)C₁

＝M

从而，下式成立。

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

m_N＝Dec(C，sk_N)

m_n＝f(Dec(C，sk_n)，m_n+1)

M＝m₁

(4)基于ID的密码

在基于ID的密码中，如果将公开密钥PK设为{P_ID，P，Q}，将秘密密钥SK设为S_ID，将r设为随机数(其中，S_ID＝sP_ID，Q＝sP，P_ID是利用Hash函数将ID变换后的位数q的椭圆曲线上的点，P是所述椭圆曲线上的部分群的生成元，s是主秘密密钥，e(，)是所述椭圆曲线上的配对)，则明文M和密文C成立

C＝{C₁，C₂}＝{rP，M·e(P_ID，rQ)}

M＝Dec(C，S_ID)＝C₂·e(S_ID，C₁)^-1

的关系。若如

g(sk₁，…，sk_N)＝sk₁+…+sk_Nmod q

f(Dec(C，sk_n)，m_n+1)

＝(Dec(C，sk_n)×m_n+1)/C₂

那样决定函数g、f，并且选择分割秘密密钥的组(sk₁，...，sk_N)使得

S_ID＝SK＝sk₁+…+sk_N mod q

成立，则由于

m_N＝Dec(C，sk_N)＝C₂·e(sk_N，C₁)^-1

，因而成为如下。

m_N-1＝f(Dec(C，sk_N-1)，m_N)

＝(Dec(C，sk_N-1)×m_N)/C₂

＝(C₂·e(sk_N-1，C₁)^-1·C₂·e(sk_N，C₁)^-1)/C₂

＝C₂·e(sk_N-1，C₁)^-1e(sk_N，C₁)^-1

＝C₂·e(sk_N-1+sk_N，C₁)^-1

然后，由于它重复，因而成为

m_n＝f(Dec(C，sk_n)，m_n+1)

＝C₂·e(sk_n+…+sk_N，C₁)^-1

，成为如下。

m₁＝C₂·e(sk₁+…+sk_N，C₁)^-1

＝M

从而，下式成立。

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

m_N＝Dec(C，sk_N)

m_n＝f(Dec(C，sk_n)，m_n+1)

M＝m₁

实施例3

图8表示实施例3的秘密密钥分割保管系统的功能结构例，图9表示生成署名的处理流程。变更分割秘密密钥的处理流程与图3～5相同。实施例3的秘密密钥分割保管系统包括在网络900上连接的署名验证装置700、N个分割保管装置300₁，...，300_N、合并部件330。署名验证装置700是验证所制作的署名∑的正当性的装置。分割保管装置300_n记录将对应于公开密钥PK的秘密密钥SK进行分割后的分割秘密密钥sk₁，...，sk_N中的分割秘密密钥sk_n。合并部件330求出对于明文M的署名∑。在图8中，合并部件330以虚线表示在各种场所。如此，合并部件330可以是独立的一个装置，也可以在其中一个分割保管装置300_n的内部具备。此外，也可以是各种装置具备合并部件330，且按照署名的每个处理流程而选择要使用哪个合并部件330。

在此，设为N是2以上的整数，n为1以上且N以下的整数，Sig(M，SK)为表示利用秘密密钥SK生成署名∑的情况的记号，g(sk₁，...，sk_N)为以sk₁，...，sk_N为变量的函数，f(σ₁，...，σ_N)为以σ₁，...，σ_N为变量的函数，^为表示取幂的记号，且如下的关系成立。

Sig(M，SK)＝Sig(M，g(sk₁，…，sk_N))

＝f(Sig(M，sk₁)，…，Sig(M，sk_N))

各个分割保管装置300_n包括生成部310_n、分割秘密密钥变更部120_n、记录部190_n。记录部190_n记录分割秘密密钥sk_n。生成部310_n利用分割秘密密钥sk_n，如σ_n＝Sig(M，sk_n)那样求出分割署名σ_n，并将分割署名σ_n送至合并部件330(S310_n)。合并部件如∑＝f(σ₁，...，σ_N)那样求出署名∑(S330)。

分割秘密密钥变更部120_n定期地或者在符合预定的条件时，求出

Sig(M，SK)＝Sig(M，g(sk₁’，…，sk_N’))

＝f(Sig(M，sk₁’)，…，Sig(M，sk_N’))

成立，并且与(sk₁，...，sk_N)不同的分割秘密密钥的组(sk₁′，...，sk_N′)，将各自记录的分割秘密密钥sk_n变更为sk_n′(S120_n)。例如，以如果

SK＝sk₁+…+sk_N

的关系成立，则

Sig(M，SK)＝Sig(M，g(sk₁，…，sk_N))

＝f(Sig(M，sk₁)，…，Sig(M，sk_N))

成立那样决定了函数g、f的情况下，求出成为

sk₁’+…+sk_N’＝sk₁+…+sk_N

的分割秘密密钥的组(sk₁′，...，sk_N′)即可。此外，在以如果

SK＝sk₁+…+sk_N mod q

的关系成立，则

Sig(M，SK)＝Sig(M，g(sk₁，…，sk_N))

＝f(Sig(M，sk₁)，…，Sig(M，sk_N))

成立那样决定了函数g、f的情况下，求出成为

sk₁’+…+sk_N’mod q＝sk₁+…+sk_N mod q

的分割秘密密钥的组(sk₁′，...，sk_N′)即可。在这些例子的情况下，组(sk₁′，...，sk_N′)所要求的条件与实施例1相同，因此变更组(sk₁′，...，sk_N′)的流程与实施例1相同(图3～5)。

因此，实施例3的秘密密钥分割保管系统也同样，如果不在变更分割秘密密钥的间隔内从所有的分割保管装置盗取分割秘密密钥，则不知道秘密密钥SK。从而，与秘密密钥从一个装置泄漏的风险相比，能够大幅减少泄漏的风险。

另外，若如下运用，则还能够将在一个装置中记录着秘密密钥SK的现有的署名生成装置转变为实施例3的分割保管装置300_N。在现有的署名生成装置上追加分割秘密密钥变更部120_N，将在记录部190₁，...，190_N-1中记录了sk₁＝...＝sk_N-1＝0的分割保管装置300₁，...，300_N-1连接到网络900。若这样构成，则初始状态成为sk_N＝SK，sk₁＝...＝sk_N-1＝0。然后，若通过最初的分割秘密密钥的组(sk₁，...，sk_N)的变更来分割秘密密钥，则能够构成实施例3的秘密密钥分割保管系统。从而，如果是实施例3的秘密密钥分割保管系统，则从现有的系统也能够容易转变。

<能够应用的署名方式的具体例>

为了实现实施例3的秘密密钥分割保管系统，必须成立以下关系。

Sig(M，SK)＝Sig(M，g(sk₁，…，sk_N))

＝f(Sig(M，sk₁)，…，Sig(M，sk_N))

例如，在RSA署名的情况下，将q设为两个大的素数的合成数(积)，将公开密钥PK设为{q，e}，将秘密密钥SK设为d时，明文M和署名∑成立

∑＝Sig(M，d)＝M^d mod q(署名生成)

M＝∑^e mod q(署名验证)

的关系。因此，若如

g(sk₁，…，sk_N)＝sk₁+…+sk_N

f(Sig(M，sk₁)，…，Sig(M，sk_N))

＝Sig(M，sk₁)×…×Sig(M，sk_N)mod q

那样决定函数g、f，并且选择分割秘密密钥的组(sk₁，...，sk_N)使得

d＝SK＝sk₁+…+sk_N

成立，则由于

Sig(M，sk_n)＝M^sk_n

，因而成为如下。

f(Sig(M，sk₁)，…，Sig(M，sk_N))

＝M^(sk₁+…+sk_N)mod q

＝∑

从而，下式成立。

Sig(M，SK)＝Sig(M，g(sk₁，…，sk_N))

＝f(Sig(M，sk₁)，…，Sig(M，sk_N))

但是，该说明并非要限定实现本实施例的署名方式。只要满足上述的条件则也可以是其他的署名方式。

实施例4

图10表示实施例4的秘密密钥分割保管系统的功能结构例，图11表示生成署名的处理流程。变更分割秘密密钥的处理流程与图3～5相同。实施例4的秘密密钥分割保管系统包括在网络900上连接的署名验证装置700、N个分割保管装置400₁，...，400_N。署名验证装置700是验证所制作的署名∑的正当性的装置。分割保管装置400_n记录将对应于公开密钥PK的秘密密钥SK进行分割后的分割秘密密钥sk₁，...，sk_N中的分割秘密密钥sk_n。

在此，设为N是2以上的整数，n为1以上且N以下的整数，Sig(M，SK)为表示利用秘密密钥SK生成署名∑的情况的记号，g(sk₁，...，sk_N)为以sk₁，...，sk_N为变量的函数，f(Sig(M，sk_n)，σ_n+1)为以Sig(M，sk_n)，σ_n+1为变量的函数，^为表示取幂的记号，且如下的关系成立。

Sig(M，SK)＝Sig(M，g(sk₁，…，sk_N))

σ_N＝Sig(M，sk_N)

σ_n＝f(Sig(M，sk_n)，σ_n+1)

∑＝σ₁

各个分割保管装置400_n包括生成部410_n、分割秘密密钥变更部120_n、记录部190_n。记录部190_n记录分割秘密密钥sk_n。分割保管装置400_N的生成部410_N利用分割秘密密钥sk_N，如σ_N＝Sig(M，sk_N)那样求出分割署名σ_N，并将分割署名σ_N送至分割保管装置400_N-1(S410_N)。

分割保管装置400_n(其中，n＝2，...，N-1)的生成部410_n利用从分割保管装置400_n+1取得的分割署名σ_n+1和分割秘密密钥sk_n，如σ_n＝f(Sig(M，sk_n)，σ_n+1)那样求出分割署名σ_n，并将分割署名σ_n送至分割保管装置400_n-1(S410_n)。但是，当N＝2时，分割保管装置400_n(其中，n＝2，...，N-1)不存在。分割保管装置400₁利用从分割保管装置400₂取得的分割署名σ₂和分割秘密密钥sk₁，如∑＝f(Sig(M，sk₁)，σ₂)那样求出署名∑(S410₁)。

分割秘密密钥变更部120_n定期地或者在符合预定的条件时，求出

Sig(M，SK)＝Sig(M，g(sk₁’，…，sk_N’))

σ_N＝Sig(M，sk_N’)

σ_n＝f(Sig(M，sk_n’)，σ_n+1)

∑＝σ₁

成立，并且与(sk₁，...，sk_N)不同的分割秘密密钥的组(sk₁′，...，sk_N′)，将各自记录的分割秘密密钥sk_n变更为sk_n′(S120_n)。例如，以如果

SK＝sk₁+…+sk_N

的关系成立，则

Sig(M，SK)＝Sig(M，g(sk_]，…，sk_N))

σ_N＝Sig(M，sk_N)

σ_n＝f(Sig(M，sk_n)，σ_n+1)

∑＝σ₁

成立那样决定了函数g、f的情况下，求出成为

sk₁’+…+sk_N’＝sk₁+…+sk_N

的分割秘密密钥的组(sk₁′，...，sk_N′)即可。此外，在以如果

SK＝sk₁+…+sk_N mod q

的关系成立，则

Sig(M，SK)＝Sig(M，g(sk₁，…，sk_N))

σ_N＝Sig(M，sk_N)

σ_n＝f(Sig(M，sk_n)，σ_n+1)

∑＝σ₁

成立那样决定了函数g、f的情况下，求出成为

sk₁’+…+sk_N’mod q＝sk₁+…+sk_N mod q

的分割秘密密钥的组(sk₁′，...，sk_N′)即可。在这些例子的情况下，组(sk₁′，...，sk_N′)所要求的条件与实施例1相同，因此变更组(sk₁′，...，sk_N′)的流程与实施例1相同(图3～5)。

因此，实施例4的秘密密钥分割保管系统也同样，如果不在变更分割秘密密钥的间隔内从所有的分割保管装置盗取分割秘密密钥，则不知道秘密密钥SK。从而，与秘密密钥从一个装置泄漏的风险相比，能够大幅减少泄漏的风险。

另外，若如下运用，则还能够将在一个装置中记录着秘密密钥SK的现有的署名生成装置转变为实施例4的分割保管装置400_N。在现有的署名生成装置上追加分割秘密密钥变更部120_N，将在记录部190₁，...，190_N-1中记录了sk₁＝...＝sk_N-1＝0的分割保管装置400₁，...，400_N-1连接到网络900。若这样构成，则初始状态成为sk_N＝SK，sk₁＝...＝sk_N-1＝0。然后，若通过最初的分割秘密密钥的组(sk₁，...，sk_N)的变更来分割秘密密钥，则能够构成实施例4的秘密密钥分割保管系统。从而，如果是实施例4的秘密密钥分割保管系统，则从现有的系统也能够容易转变。

<能够应用的署名方式的具体例>

为了实现实施例4的秘密密钥分割保管系统，必须成立以下关系。

Sig(M，SK)＝Sig(M，g(sk₁，…，sk_N))

σ_n＝f(Sig(M，sk_n)，σ_n+1)

例如，在RSA署名的情况下，将q设为两个大的素数的合成数(积)，将公开密钥PK设为{q，e}，将秘密密钥SK设为d时，明文M和署名∑成立

∑＝Sig(M，d)＝M^d mod q(署名生成)

M＝∑^e mod q(署名验证)

的关系。因此，若如

g(sk₁，…，sk_N)＝sk₁+…+sk_N

f(Sig(M，sk_n)，σ_n+1)

＝(Sig(M，sk_n)×σ_n+1 mod q

那样决定函数g、f，并且选择分割秘密密钥的组(sk₁，...，sk_N)使得

d＝SK＝sk₁+…+sk_N

成立，则由于

σ_N＝Sig(M，sk_N)＝M^sk_N mod q

因而成为如下。

σ_N-1＝f(Sig(M，sk_N-1)，σ_N)

＝M^(sk_N-1+sk_N)mod q

从而，成为

σ_n＝f(Sig(M，sk_n)，σ_n+1)

＝M^(sk_n+…+sk_N)mod q，

成为如下。

m₁＝M^(sk₁+…+sk_N)mod q

＝∑

从而，下式成立。

Sig(M，SK)＝Sig(M，g(sk₁，…，sk_N))

σ_N＝Sig(M，sk_N)

σ_n＝f(Sig(M，sk_n)，σ_n+1)

∑＝σ₁

但是，该说明并非要限定实现本实施例的署名方式。只要满足上述的条件则也可以是其他的署名方式。

[程序、记录介质]

上述的各种处理不仅可以按照记载以时序方式执行，也可以根据执行处理的装置的处理能力或者需要而并行地或者单独地执行。除此之外，在不脱离本发明的宗旨的范围内能够进行适当变更是不言而喻的。

此外，在通过计算机实现上述的结构的情况下，各装置应具有的功能的处理内容由程序记述。并且，通过在计算机上执行该程序，从而在计算机上实现上述处理功能。

记述了该处理内容的程序能够记录在计算机可读取的记录介质中。作为计算机可读取的记录介质，例如可以是磁记录介质、光盘、光磁记录介质、半导体存储器等任意介质。

此外，该程序的流通例如通过对记录了该程序的DVD、CD-ROM等的可移动型记录介质进行销售、转让、出借等而进行。进而，也可以设为如下结构：将该程序保存到服务器计算机的存储装置中，经由网络从服务器计算机将该程序转发给其他的计算机，从而使该程序流通。

执行这样的程序的计算机例如首先将记录在可移动型记录介质中的程序或者从服务器计算机转发的程序暂时保存到自身的存储装置。然后，在执行处理时，该计算机读取在自身的记录介质中保存的程序，执行按照读取的程序的处理。此外，作为该程序的其他执行方式，可以设为计算机从可移动型记录介质直接读取程序，执行按照该程序的处理，进而，也可以设为每当从服务器计算机向该计算机转发程序时，依次执行按照获取的程序的处理。此外，也可以设为如下结构：通过不从服务器计算机向该计算机转发程序而仅根据其执行指示和结果取得来实现处理功能的、所谓的ASP(Application Service Provider)型的服务，执行上述的处理。另外，假设在本方式的程序中包含提供用于电子计算机的处理且遵循程序的信息(不是对于计算机的直接的指令但具有规定计算机的处理的性质的数据等)。

此外，在该方式中，设为通过使计算机执行预定的程序而构成本装置，但也可以设为将这些处理内容的至少一部分以硬件方式实现。

标号说明

100、200、300、400 分割保管装置

110、210解密部 120分割秘密密钥变更部

130、330合并部件 190记录部

310、410生成部 600加密装置

700署名验证装置 900网络

Claims (12)

1.一种分割保管装置，是秘密密钥分割保管系统中的一个分割保管装置，所述秘密密钥分割保管系统包括分别记录将秘密密钥SK进行分割后的分割秘密密钥sk₁，...，sk_N的其中一个的N个分割保管装置，

其特征在于，

设为N是2以上的整数，n为1以上且N以下的整数，Dec(C，SK)为表示利用秘密密钥SK对密文C进行解密的情况的记号，g(sk₁，...，sk_N)为以sk₁，...，sk_N为变量的函数，f(m₁，...，m_N)为以m₁，...，m_N为变量的函数，且

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

＝f(Dec(C，sk₁)，…，Dec(C，sk_N))

的关系成立，

{g，h}是公开密钥PK，x是0以上且q-1以下的整数、h＝g^x，r是0以上且q-1以下的整数，q是循环群G的位数，g是循环群G的生成元，明文M和密文C是循环群G的元素，C₁和C₂是构成密文C的元素，

C＝{C₁，C₂}＝{g^r，Mh^r}

M＝Dec(C，x)＝C₂/(C₁^x)

的关系成立，

该分割保管装置包括：

解密部，利用记录的分割秘密密钥sk_n，如m_n＝Dec(C，sk_n)那样求出分割明文m_n，并将分割明文m_n送至合并部件；以及

分割秘密密钥变更部，求出

Dec(C，SK)＝Dec(C，g(sk₁’，…，sk_N’))

＝f(Dec(C，sk₁’)，…，Dec(C，sk_N’))

成立，并且与(sk₁，...，sk_N)不同的分割秘密密钥的组(sk₁’，...，sk_N’)，将各自记录的分割秘密密钥sk_n变更为sk_n’，

其中

g(sk₁，…，sk_N)＝sk₁+…+sk_N mod q

f(Dec(C，sk₁)，…，Dec(C，sk_N))

＝Dec(C，sk₁)×…×Dec(C，sk_N)/(C₂^(N-1))。

2.一种分割保管装置，是秘密密钥分割保管系统中的一个分割保管装置，所述秘密密钥分割保管系统包括分别记录将秘密密钥SK进行分割后的分割秘密密钥sk₁，...，sk_N的其中一个的N个分割保管装置，

其特征在于，

设为N是2以上的整数，n为1以上且N以下的整数，Dec(C，SK)为表示利用秘密密钥SK对密文C进行解密的情况的记号，g(sk₁，...，sk_N)为以sk₁，...，sk_N为变量的函数，f(Dec(C，sk_n)，m_n+1)为以Dec(C，sk_n)，m_n+1为变量的函数，且

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

m_N＝Dec(C，sk_N)

m_n＝f(Dec(C，sk_n)，m_n+1)

M＝m₁

的关系成立，

{g，h}是公开密钥PK，x是0以上且q-1以下的整数、h＝g^x，r是0以上且q-1以下的整数，q是循环群G的位数，g是循环群G的生成元，明文M和密文C是循环群G的元素，C₁和C₂是构成密文C的元素，

C＝{C₁，C₂}＝{g^r，Mh^r}

M＝Dec(C，x)＝C₂/(C₁^x)

的关系成立，

该分割保管装置包括：

解密部，在记录分割秘密密钥skN的情况下，利用分割秘密密钥sk_N如m_N＝Dec(C，sk_N)那样求出分割明文m_N，并将分割明文m_N送至记录分割秘密密钥sk_N-1的所述分割保管装置，

在记录分割秘密密钥sk₁的情况下，利用从记录分割秘密密钥sk₂的所述分割保管装置取得的分割明文m₂和分割秘密密钥sk₁，如M＝f(Dec(C，sk₁)，m₂)那样求出明文M，

当N为3以上，记录分割秘密密钥sk_n(其中，n为2，...，N-1的其中一个)的情况下，利用从记录分割秘密密钥sk_n+1的所述分割保管装置取得的分割明文m_n+1和分割秘密密钥sk_n，如m_n＝f(Dec(C，sk_n)，m_n+1)那样求出分割明文m_n，并将分割明文m_n送至记录分割秘密密钥sk_n-1的所述分割保管装置；以及

分割秘密密钥变更部，将分割秘密密钥sk_n变更为sk_n’，使得

Dec(C，SK)＝Dec(C，g(sk₁’，…，sk_N’))

m_N＝Dec(C，sk_N’)

m_n＝f(Dec(C，sk_n’)，m_n+1)

M＝m₁

成立，并且成为与(sk₁，...，sk_N)不同的分割秘密密钥的组(sk₁’，...，sk_N’)，

其中

g(sk₁，…，sk_N)＝sk₁+…+sk_N mod q

f(Dec(C，sk_n)，m_n+1)

＝(Dec(C，sk_n)×m_n+1)/C₂。

3.一种分割保管装置，是包括分别记录将秘密密钥SK进行分割后的分割秘密密钥sk₁，...，sk_N的其中一个的N个分割保管装置的秘密密钥分割保管系统中的一个分割保管装置，其特征在于，

设为N是2以上的整数，n为1以上且N以下的整数，Dec(C，SK)为表示利用秘密密钥SK对密文C进行解密的情况的记号，g(sk₁，...，sk_N)为以sk₁，...，sk_N为变量的函数，f(m₁，...，m_N)为以m₁，...，m_N为变量的函数，且

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

＝f(Dec(C，sk₁)，…，Dec(C，sk_N))

的关系成立，

{G，H}是公开密钥PK，x是0以上且q-1以下的整数、H＝xG，r是0以上且q-1以下的整数，q是椭圆曲线上的基点G的位数，C₁和C₂是构成密文C的元素，明文M和密文C

C＝{C₁，C₂}＝{rG，M+rH}

M＝Dec(C，x)＝C₂-xC₁

的关系成立，

该分割保管装置包括：

解密部，利用该分割保管装置记录的分割秘密密钥sk_n，如m_n＝Dec(C，sk_n)那样求出分割明文m_n，并将分割明文m_n送至合并部件；以及

分割秘密密钥变更部，将分割秘密密钥sk_n变更为sk_n’，使得成为

Dec(C，SK)＝Dec(C，g(sk₁’，…，sk_N’))

＝f(Dec(C，sk₁’)，…，Dec(C，sk_N’))

成立，并且与(sk₁，...，skN)不同的分割秘密密钥的组(sk₁’，...，skN’)，

其中

g(sk₁，…，sk_N)＝sk₁+…+sk_N mod q

f(Dec(C，sk₁)，…，Dec(C，sk_N))

＝Dec(C，sk₁)+…+Dec(C，sk_N)-(N-1)C₂。

4.一种分割保管装置，是秘密密钥分割保管系统中的一个分割保管装置，所述秘密密钥分割保管系统包括分别记录将秘密密钥SK进行分割后的分割秘密密钥sk₁，...，sk_N的其中一个的N个分割保管装置，其特征在于，

设为N是2以上的整数，n为1以上且N以下的整数，Dec(C，SK)为表示利用秘密密钥SK对密文C进行解密的情况的记号，g(sk₁，...，sk_N)为以sk₁，...，sk_N为变量的函数，f(Dec(C，sk_n)，m_n+1)为以Dec(C，sk_n)，m_n+1为变量的函数，且

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

m_N＝Dec(C，sk_N)

m_n＝f(Dec(C，sk_n)，m_n+1)

M＝m₁

的关系成立，

{G，H}是公开密钥PK，x是0以上且q-1以下的整数、H＝xG，r是0以上且q-1以下的整数，q是椭圆曲线上的基点G的位数，C₁和C₂是构成密文C的元素，明文M和密文C

C＝{C₁，C₂}＝{rG，M+rH}

M＝Dec(C，x)＝C₂-xC₁

的关系成立，

该分割保管装置包括：

解密部，在记录分割秘密密钥skN的情况下，利用分割秘密密钥sk_N如m_N＝Dec(C，sk_N)那样求出分割明文m_N，并将分割明文m_N送至记录分割秘密密钥sk_N-1的所述分割保管装置，

在记录分割秘密密钥sk₁的情况下，利用从记录分割秘密密钥sk₂的所述分割保管装置取得的分割明文m₂和分割秘密密钥sk₁，如M＝f(Dec(C，sk₁)，m₂)那样求出明文M，

当N为3以上且记录分割秘密密钥sk_n(其中，n为2，...，N-1的其中一个)的情况下，利用从记录分割秘密密钥sk_n+1的所述分割保管装置取得的分割明文m_n+1和分割秘密密钥sk_n，如m_n＝f(Dec(C，sk_n)，m_n+1)那样求出分割明文m_n，并将分割明文m_n送至记录分割秘密密钥sk_n-1的所述分割保管装置；以及

分割秘密密钥变更部，将分割秘密密钥sk_n变更为sk_n’，使得分割秘密密钥的组成为

Dec(C，SK)＝Dec(C，g(sk₁’，…，sk_N’))

m_N＝Dec(C，sk_N’)

m_n＝f(Dec(C，sk_n’)，m_n+1)

M＝m₁

成立，并且与(sk₁，...，sk_N)不同的分割秘密密钥的组(sk₁’，...，sk_N’)，

其中

g(sk₁，…，sk_N)＝sk₁+…+sk_N mod q

f(Dec(C，sk_n)，m_n+1)

＝Dec(C，sk_n)+m_n+1-C₂。

5.一种分割保管装置，是秘密密钥分割保管系统中的一个分割保管装置，所述秘密密钥分割保管系统包括分别记录将秘密密钥SK进行分割后的分割秘密密钥sk₁，...，sk_N的其中一个的N个分割保管装置，其特征在于，

设为N是2以上的整数，n为1以上且N以下的整数，Dec(c，SK)为表示利用秘密密钥SK对密文c进行解密的情况的记号，g(sk₁，...，sk_N)为以sk₁，...，sk_N为变量的函数，f(m₁，...，m_N)为以m₁，...，m_N为变量的函数，且

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

＝f(Dec(C，sk₁)，…，Dec(C，sk_N))

的关系成立，

{P_ID，P，Q}是公开密钥PK，S_ID是具有S_ID＝sP_ID的关系的位数q的椭圆曲线上的点，r是随机数，Q＝sP，P_ID是利用Hash函数将ID变换后的位数q的椭圆曲线上的点，P是所述椭圆曲线上的部分群的生成元，s是主秘密密钥，e(，)是所述椭圆曲线上的配对，C₁和C₂是构成密文C的元素，明文M和密文C

C＝{C₁，C₂}＝{rP，M·e(P_ID，rQ)}

M＝Dec(C，S_ID)＝C₂·e(S_ID，C₁)^-1

的关系成立，

该分割保管装置包括：

解密部，利用记录的分割秘密密钥sk_N，如m_n＝Dec(C，sk_n)那样求分割明文m_n，并将分割明文m_n送至合并部件；以及

分割秘密密钥变更部，将分割秘密密钥sk_n变更为sk_n’，使得分割秘密密钥的组成为

Dec(C，SK)＝Dec(C，g(sk₁’，…，sk_N’))

＝f(Dec(C，sk₁’)，…，Dec(C，sk_N’))

成立，并且与(sk₁，...，sk_N)不同的分割秘密密钥的组(sk₁’，...，sk_N’)，

其中

g(sk₁，…，sk_N)＝sk₁+…+sk_N mod q

f(Dec(C，sk₁)，…，Dec(C，sk_N))

＝Dec(C，sk₁)×…×Dec(C，sk_N)/(C₂^(N-1))。

6.一种分割保管装置，是秘密密钥分割保管系统中的一个分割保管装置，所述秘密密钥分割保管系统包括分别记录将秘密密钥SK进行分割后的分割秘密密钥sk₁，...，sk_N的其中一个的N个分割保管装置，其特征在于，

设为N是2以上的整数，n为1以上且N以下的整数，Dec(C，SK)为表示利用秘密密钥SK对密文C进行解密的情况的记号，g(sk₁，...，sk_N)为以sk₁，...，sk_N为变量的函数，f(Dec(C，sk_n)，m_n+1)为以Dec(C，sk_n)，m_n+1为变量的函数，且

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

m_N＝Dec(C，sk_N)

m_n＝f(Dec(C，sk_n)，m_n+1)

M＝m₁

的关系成立，

{P_ID，P，Q}是公开密钥PK，S_ID是具有S_ID＝sP_ID的关系的位数q的椭圆曲线上的点，r是随机数，Q＝sP，P_ID是利用Hash函数将ID变换后的位数q的椭圆曲线上的点，P是所述椭圆曲线上的部分群的生成元，s是主秘密密钥，e(，)是所述椭圆曲线上的配对，C₁和C₂是构成密文C的元素，明文M和密文C

C＝{C₁，C₂}＝{rP，M·e(P_ID，rQ)}

M＝Dec(C，S_ID)＝C₂·e(S_ID，C₁)^-1

的关系成立，

该分割保管装置包括：

解密部，在记录分割秘密密钥sk_N的情况下，利用分割秘密密钥sk_N如m_N＝Dec(C，Sk_N)那样求出分割明文m_N，并将分割明文m_N送至记录分割秘密密钥sk_N-1的所述分割保管装置，

在记录分割秘密密钥sk₁的情况下，利用从记录分割秘密密钥sk₂的所述分割保管装置取得的分割明文m₂和分割秘密密钥sk₁，如M＝f(Dec(C，sk₁)，m₂)那样求出明文M，

当N为3以上且记录分割秘密密钥sk_n(其中，n为2，...，N-1的其中一个)的情况下，利用从记录分割秘密密钥sk_n+1的所述分割保管装置取得的分割明文m_n+1和分割秘密密钥sk_n，如m_n＝f(Dec(C，sk_n)，m_n+1)那样求出分割明文m_n，并将分割明文m_n送至记录分割秘密密钥sk_n-1的所述分割保管装置；以及

分割秘密密钥变更部，将分割秘密密钥sk_n变更为sk_n’，使得分割秘密密钥的组成为

Dec(C，SK)＝Dec(C，g(sk₁’，…，sk_N’))

m_N＝Dec(C，sk_N’)

m_n＝f(Dec(C，sk_n’)，m_n+1)

M＝m₁

成立，并且与(sk₁，...，sk_N)不同的分割秘密密钥的组(sk₁’，...，sk_N’)，

其中

g(sk₁，…，sk_N)＝sk₁+…+sk_N mod q

f(Dec(C，sk_n)，m_n+1)

＝(Dec(C，sk_n)×m_n+1)/C₂。

7.一种秘密密钥分割保管方法，利用了：

N个分割保管装置，分别记录将与公开密钥PK对应的秘密密钥SK进行分割后的分割秘密密钥sk₁，...，sk_N的其中一个；以及

合并部件，求出对密文C进行解密后的明文M，

其中，

设为N是2以上的整数，n为1以上且N以下的整数，Dec(C，SK)为表示利用秘密密钥SK对密文C进行解密的情况的记号，g(sk₁，...，sk_N)为以sk₁，...，sk_N为变量的函数，f(m₁，...，m_N)为以m₁，...，m_N为变量的函数，且

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

＝f(Dec(C，sk₁)，…，Dec(C，sk_N))

的关系成立，

{g，h}是公开密钥PK，x是0以上且q-1以下的整数、h＝g^x，r是0以上且q-1以下的整数，q是循环群G的位数，g是循环群G的生成元，明文M和密文C是循环群G的元素，C₁和C₂是构成密文C的元素，

C＝{C₁，C₂}＝{g^r，Mh^r}

M＝Dec(C，x)＝C₂/(C₁^x)

的关系成立，

所述秘密密钥分割保管方法具有：

解密步骤，所有的所述分割保管装置利用各自记录的分割秘密密钥sk_n，如m_n＝Dec(C，sk_n)那样求出分割明文m_n，并将分割明文m_n送至所述合并部件；

合并步骤，所述合并部件如M＝f(m₁，...，m_N)那样求出明文M；以及

分割秘密密钥变更步骤，所述分割保管装置求出

Dec(C，SK)＝Dec(C，g(sk₁’，…，sk_N’))

＝f(Dec(C，sk₁’)，…，Dec(C，sk_N’))

成立，并且与(sk₁，...，sk_N)不同的分割秘密密钥的组(sk₁’，...，sk_N’)，将各自记录的分割秘密密钥sk_n变更为sk_n’，

其中

g(sk₁，…，sk_N)＝sk₁+…+sk_N mod q

f(Dec(C，sk₁)，…，Dec(C，sk_N))

＝Dec(C，sk₁)×…×Dec(C，sk_N)/(C₂^(N-1))。

8.一种秘密密钥分割保管方法，利用了分别记录将与公开密钥PK对应的秘密密钥SK进行分割后的分割秘密密钥sk₁，...，sk_N的其中一个的N个分割保管装置，其中，

设为N是2以上的整数，n为1以上且N以下的整数，Dec(C，SK)为表示利用秘密密钥SK对密文C进行解密的情况的记号，g(sk₁，...，sk_N)为以sk₁，...，sk_N为变量的函数，f(Dec(C，sk_n)，m_n+1)为以Dec(C，sk_n)，m_n+1为变量的函数，且

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

m_N＝Dec(C，sk_N)

m_n＝f(Dec(C，sk_n)，m_n+1)

M＝m₁

的关系成立，

{g，h}是公开密钥PK，x是0以上且q-1以下的整数、h＝g^x，r是0以上且q-1以下的整数，q是循环群G的位数，g是循环群G的生成元，明文M和密文C是循环群G的元素，C₁和C₂是构成密文C的元素，

C＝{C₁，C₂}＝{g^r，Mh^r}

M＝Dec(C，x)＝C₂/(C₁^x)

的关系成立，

所述秘密密钥分割保管方法具有：

第N解密步骤，记录分割秘密密钥sk_N的所述分割保管装置利用分割秘密密钥sk_N，如m_N＝Dec(C，sk_N)那样求出分割明文m_N，并将分割明文m_N送至记录分割秘密密钥sk_N-1的所述分割保管装置；

第n解密步骤，当N为3以上的情况下，记录分割秘密密钥sk_n(其中，n为2，...，N-1的其中一个)的所述分割保管装置利用从记录分割秘密密钥sk_n+1的所述分割保管装置取得的分割明文m_n+1和分割秘密密钥sk_n，如m_n＝f(Dec(C，sk_n)，m_n+1)那样求出分割明文m_n，并将分割明文m_n送至记录分割秘密密钥sk_n-1的所述分割保管装置；

第1解密步骤，记录分割秘密密钥sk₁的所述分割保管装置利用从记录分割秘密密钥sk₂的所述分割保管装置取得的分割明文m₂和分割秘密密钥sk₁，如M＝f(Dec(C，sk₁)，m₂)那样求出明文M；以及

分割秘密密钥变更步骤，所有的所述分割保管装置求出

Dec(C，SK)＝Dec(C，g(sk₁’，…，sk_N’))

m_N＝Dec(C，sk_N’)

m_n＝f(Dec(C，sk_n’)，m_n+1)

M＝m₁

成立，并且与(sk₁，...，sk_N)不同的分割秘密密钥的组(sk₁’，...，sk_N’)，将各自记录的分割秘密密钥sk_n变更为sk_n’，

其中

g(sk₁，…，sk_N)＝sk₁+…+sk_N mod q

f(Dec(C，sk_n)，m_n+1)

＝(Dec(C，sk_n)×m_n+1)/C₂。

9.一种秘密密钥分割保管方法，利用了分别记录将与公开密钥PK对应的秘密密钥SK进行分割后的分割秘密密钥sk₁，...，sk_N的其中一个的N个分割保管装置，以及求出对密文C解密后的明文M的合并部件，其中，

设为N是2以上的整数，n为1以上且N以下的整数，Dec(C，SK)为表示利用秘密密钥SK对密文C进行解密的情况的记号，g(sk₁，...，sk_N)为以sk₁，...，sk_N为变量的函数，f(m₁，...，m_N)为以m₁，...，m_N为变量的函数，且

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

＝f(Dec(C，sk₁)，…，Dec(C，sk_N))

的关系成立，

{G，H}是公开密钥PK，x是0以上且q-1以下的整数、H＝xG，r是0以上且q-1以下的整数，q是椭圆曲线上的基点G的位数，C₁和C₂是构成密文C的元素，明文M和密文C

C＝{C₁，C₂}＝{rG，M+rH}

M＝Dec(C，x)＝C₂-xC₁

的关系成立，

所述秘密密钥分割保管方法具有：

解密步骤，所有的所述分割保管装置利用各自记录的分割秘密密钥sk_n，如m_n＝Dec(C，sk_n)那样求出分割明文m_n，并将分割明文m_n送至所述合并部件；

合并步骤，所述合并部件如M＝f(m₁，...，m_N)那样求出明文M；以及

分割秘密密钥变更步骤，所述分割保管装置求出

Dec(C，SK)＝Dec(C，g(sk₁’，…，sk_N’))

＝f(Dec(C，sk₁’)，…，Dec(C，sk_N’))

成立，并且与(sk₁，...，sk_N)不同的分割秘密密钥的组(sk₁’，...，sk_N’)，将各自记录的分割秘密密钥sk_n变更为sk_n’，

其中

g(sk₁，…，sk_N)＝sk₁+…+sk_N mod q

f(Dec(C，sk₁)，…，Dec(C，sk_N))

＝Dec(C，sk₁)+…+Dec(C，sk_N)-(N-1)C₂。

10.一种秘密密钥分割保管方法，利用了分别记录将与公开密钥PK对应的秘密密钥SK进行分割后的分割秘密密钥sk₁，...，sk_N的其中一个的N个分割保管装置，其中，

设为N是2以上的整数，n为1以上且N以下的整数，Dec(C，SK)为表示利用秘密密钥SK对密文C进行解密的情况的记号，g(sk₁，...，sk_N)为以sk₁，...，sk_N为变量的函数，f(Dec(C，sk_n)，m_n+1)为以Dec(C，sk_n)，m_n+1为变量的函数，且

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

m_N＝Dec(C，sk_N)

m_n＝f(Dec(C，sk_n)，m_n+1)

M＝m₁

的关系成立，

{G，H}是公开密钥PK，x是0以上且q-1以下的整数、H＝xG，r是0以上且q-1以下的整数，q是椭圆曲线上的基点G的位数，C₁和C₂是构成密文C的元素，明文M和密文C

C＝{C₁，C₂}＝(rG，M+rH}

M＝Dec(C，x)＝C₂-xC₁

的关系成立，

所述秘密密钥分割保管方法具有：

第N解密步骤，记录分割秘密密钥sk_N的所述分割保管装置利用分割秘密密钥sk_N，如m_N＝Dec(C，sk_N)那样求出分割明文m_N，并将分割明文m_N送至记录分割秘密密钥sk_N-1的所述分割保管装置；

第n解密步骤，当N为3以上的情况下，记录分割秘密密钥sk_n(其中，n为2，...，N-1的其中一个)的所述分割保管装置利用从记录分割秘密密钥sk_n+1的所述分割保管装置取得的分割明文m_n+1和分割秘密密钥sk_n，如m_n＝f(Dec(C，sk_n)，m_n+1)那样求出分割明文m_n，并将分割明文m_n送至记录分割秘密密钥sk_n-1的所述分割保管装置；

第1解密步骤，记录分割秘密密钥sk₁的所述分割保管装置利用从记录分割秘密密钥sk₂的所述分割保管装置取得的分割明文m₂和分割秘密密钥sk₁，如M＝f(Dec(C，sk₁)，m₂)那样求出明文M；以及

分割秘密密钥变更步骤，所有的所述分割保管装置求出

Dec(C，SK)＝Dec(C，g(sk₁’，…，sk_N’))

m_N＝Dec(C，sk_N’)

m_n＝f(Dec(C，sk_n’)，m_n+1)

M＝m₁

成立，并且与(sk₁，...，sk_N)不同的分割秘密密钥的组(sk₁’，...，sk_N’)，将各自记录的分割秘密密钥sk_n变更为sk_n’，

其中

g(sk₁，…，sk_N)＝sk₁+…+sk_N mod q

f(Dec(C，sk_n)，m_n+1)

＝(Dec(C，sk_n)×m_n+1)/C₂。

11.一种秘密密钥分割保管方法，利用了分别记录将与公开密钥PK对应的秘密密钥SK进行分割后的分割秘密密钥sk₁，...，sk_N的其中一个的N个分割保管装置，其中，

设为N是2以上的整数，n为1以上且N以下的整数，Dec(C，SK)为表示利用秘密密钥SK对密文C进行解密的情况的记号，g(sk₁，...，sk_N)为以sk₁，...，sk_N为变量的函数，f(m₁，...，m_N)为以m₁，...，m_N为变量的函数，且

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

＝f(Dec(C，sk₁)，…，Dec(C，sk_N))

的关系成立，

{P_ID，P，Q}是公开密钥PK，S_ID是具有S_ID＝sP_ID的关系的位数q的椭圆曲线上的点，r是随机数，Q＝sP，P_ID是利用Hash函数将ID变换后的位数q的椭圆曲线上的点，P是所述椭圆曲线上的部分群的生成元，s是主秘密密钥，e(，)是所述椭圆曲线上的配对，C₁和C₂是构成密文C的元素，明文M和密文C

C＝{C₁，C₂}＝{rP，M·e(P_ID，rQ)}

M＝Dec(C，S_ID)＝C₂·e(S_ID，C₁)^-1

的关系成立，

所述秘密密钥分割保管方法具有：

解密步骤，利用记录的分割秘密密钥sk_N，如m_n＝Dec(C，sk_n)那样求明文m_n，并将分割明文m_n送至合并部件；

合并步骤，所述合并部件如M＝f(m₁，...，m_N)那样求出明文M；以及

分割秘密密钥变更步骤，所述分割保管装置求出

Dec(C，SK)＝Dec(C，g(sk₁’，…，sk_N’))

＝f(Dec(C，sk₁’)，…，Dec(C，sk_N’))

成立，并且与(sk₁，...，sk_N)不同的分割秘密密钥的组(sk₁’，...，sk_N’)，将各自记录的分割秘密密钥sk_n变更为sk_n’，

其中

g(sk₁，…，sk_N)＝sk₁+…+sk_N mod q

f(Dec(C，sk₁)，…，Dec(C，sk_N))

＝Dec(C，sk₁)×…×Dec(C，sk_N)/(C₂^(N-1))。

12.一种秘密密钥分割保管方法，利用了分别记录将与公开密钥PK对应的秘密密钥SK进行分割后的分割秘密密钥sk₁，...，sk_N的其中一个的N个分割保管装置，其中，

设为N是2以上的整数，n为1以上且N以下的整数，Dec(c，SK)为表示利用秘密密钥SK对密文c进行解密的情况的记号，g(sk₁，...，sk_N)为以sk₁，...，sk_N为变量的函数，f(Dec(C，sk_n)，m_n+1)为以Dec(C，sk_n)，m_n+1为变量的函数，且

Dec(C，SK)＝Dec(C，g(sk₁，…，sk_N))

m_N＝Dec(C，sk_N)

m_n＝f(Dec(C，sk_n)，m_n+1)

M＝m₁

的关系成立，

{P_ID，P，Q}是公开密钥PK，S_ID是具有S_ID＝sP_ID的关系的位数q的椭圆曲线上的点，r是随机数，Q＝sP，P_ID是利用Hash函数将ID变换后的位数q的椭圆曲线上的点，P是所述椭圆曲线上的部分群的生成元，s是主秘密密钥，e(，)是所述椭圆曲线上的配对，C₁和C₂是构成密文C的元素，明文M和密文C

C＝{C₁，C₂}＝{rP，M·e(P_ID，rQ)}

M＝Dec(C，S_ID)＝C₂·e(S_ID，C₁)^-1

的关系成立，

所述秘密密钥分割保管方法具有：

第N解密步骤，记录分割秘密密钥sk_N的所述分割保管装置利用分割秘密密钥sk_N，如m_N＝Dec(C，sk_N)那样求出分割明文m_N，并将分割明文m_N送至记录分割秘密密钥sk_N-1的所述分割保管装置；

第n解密步骤，当N为3以上的情况下，记录分割秘密密钥sk_n(其中，n为2，...，N-1的其中一个)的所述分割保管装置利用从记录分割秘密密钥sk_n+1的所述分割保管装置取得的分割明文m_n+1和分割秘密密钥sk_n，如m_n＝f(Dec(C，sk_n)，m_n+1)那样求出分割明文m_n，并将分割明文m_n送至记录分割秘密密钥sk_n-1的所述分割保管装置；

第1解密步骤，记录分割秘密密钥sk₁的所述分割保管装置利用从记录分割秘密密钥sk₂的所述分割保管装置取得的分割明文m₂和分割秘密密钥sk₁，如M＝f(Dec(C，sk₁)，m₂)那样求出明文M；以及

分割秘密密钥变更步骤，所有的所述分割保管装置求出

Dec(C，SK)＝Dec(C，g(sk₁’，…，sk_N’))

m_N＝Dec(C，sk_N’)

m_n＝f(Dec(C，sk_n’)，m_n+1)

M＝m₁

成立，并且与(sk₁，...，sk_N)不同的分割秘密密钥的组(sk₁’，...，sk_N’)，将各自记录的分割秘密密钥sk_n变更为sk_n’，

其中

g(sk₁，…，sk_N)＝sk₁+…+sk_N mod q

f(Dec(C，sk_n)，m_n+1)

＝(Dec(C，sk_n)×m_n+1)/C₂。