CN107454975A

CN107454975A - 加密系统和密钥生成装置

Info

Publication number: CN107454975A
Application number: CN201580078523.0A
Authority: CN
Inventors: 高岛克幸
Original assignee: Mitsubishi Electric Corp
Current assignee: Mitsubishi Electric Corp
Priority date: 2015-04-07
Filing date: 2015-04-07
Publication date: 2017-12-08
Anticipated expiration: 2035-04-07
Also published as: US20180357933A1; EP3282437A4; CN107454975B; JPWO2016162941A1; EP3282437B1; JP6305638B2; US10516534B2; WO2016162941A1; EP3282437A1

Abstract

加密系统(10)实现基于格子理论的函数型加密方式。在加密系统(10)中，密钥生成装置(100)生成作为密钥元素包含矩阵e的秘密密钥sk_v，作为与谓语向量v有关的秘密密钥sk_v，其中，所述矩阵e使得由作为输入参数Y的谓语向量v规定的矩阵A_Y与矩阵e之积，成为根据公开参数PP得到的多个矩阵u中的与包含多个值的集合[N]中的值j有关的矩阵u_j。

Description

加密系统和密钥生成装置

技术领域

本发明涉及基于格子理论的函数型加密方式。

背景技术

在非专利文献1～3中记载有基于格子理论的函数型加密方式。非专利文献1～3中记载的函数型加密方式基于格子理论，由此，针对量子计算机也具有耐性。

现有技术文献

非专利文献

非专利文献1：Shweta Agrawal,David Mandell Freeman,and VinodVaikuntanathan.Functional encryption for inner product predicates fromlearning with errors.In Advances in Cryptology-ASIACRYPT 2011-17thInternational Conference on the Theory and Application of Cryptology andInformation Security,Seoul,South Korea,December 4-8,2011.Proceedings,pages21-40,2011.

非专利文献2：Michel Abdalla,Angelo De Caro,and KarinaMochetti.Lattice-based hierarchical inner product encryption.In Progress inCryptology-LATINCRYPT 2012-2nd International Conference on Cryptology andInformation Security in Latin America,Santiago,Chile,October 7-10,2012.Proceedings,pages 121-138,2012.

非专利文献3：Keita Xagawa.Improved(hierarchical)inner-productencryption from lattices.In Public-Key Cryptography-PKC 2013-16thInternational Conference on Practice and Theory in Public-Key Cryptography,Nara,Japan,February 26-March 1,2013.Proceedings,pages 235-252,2013.

发明内容

发明要解决的课题

非专利文献1～3中记载的函数型加密方式是弱属性隐匿。即，非专利文献1～3中记载的函数型加密方式可能从具有满足秘密密钥条件的属性的密文泄露多余信息。

本发明的目的在于，不会从具有满足秘密密钥条件的属性的密文泄露多余信息。

用于解决课题的手段

本发明的加密系统具有：密钥生成装置，其生成作为密钥元素包含矩阵e的秘密密钥，作为与输入参数Y有关的秘密密钥，其中，所述矩阵e使得由所述输入参数Y规定的矩阵A_Y与所述矩阵e之积，成为根据公开参数PP得到的多个矩阵u中的与包含多个值的集合[N]中的值j有关的矩阵u_j；加密装置，其生成包含与所述集合[N]中包含的各值有关的加密元素的密文；以及解密装置，其使用所述密文中包含的加密元素中的与所述值j有关的加密元素和所述秘密密钥，对所述密文进行解密。

发明效果

在本发明中，生成作为密钥元素包含矩阵A_Y与矩阵e之积成为与集合N中包含的值j有关的矩阵u_j的矩阵e的秘密密钥。由此，能够使得不会从具有满足秘密密钥条件的属性的密文泄露多余信息。

附图说明

图1是实施方式1的加密系统10的结构图。

图2是实施方式1的密钥生成装置100的结构图。

图3是实施方式1的加密装置200的结构图。

图4是实施方式1的解密装置300的结构图。

图5是示出实施方式1的Setup算法的处理的流程图。

图6是示出实施方式1的KeyGen算法的处理的流程图。

图7是示出实施方式1的Enc算法的处理的流程图。

图8是示出实施方式1的Dec算法的处理的流程图。

图9是示出实施方式1的密钥生成装置100、加密装置200、解密装置300的硬件结构例的图。

具体实施方式

实施方式1

在实施方式1中，首先，对用于实现不会从具有满足秘密密钥条件的属性的密文泄露多余信息的强属性隐匿的关键技术进行说明。然后，对应用了关键技术的加密方式进行说明。

在实施方式1中，说明对非专利文献1中记载的函数型加密方式应用了关键技术的方式。但是，也可以对非专利文献2、3等中记载的函数型加密方式应用关键技术。

***关键技术***

在基于格子理论的函数型加密中，在与输入参数Y有关的秘密密钥生成中，关于由输入参数Y规定的矩阵A_Y、根据公开参数PP得到的矩阵u、范数比矩阵A_Y和矩阵u短的矩阵e，生成将满足矩阵目标等式“A_Y·e＝u”的矩阵e作为密钥元素的秘密密钥。

在实施方式1中，使用根据公开参数PP得到的矩阵u中的与从包含多个值的集合N中选择出的值j有关的矩阵u_j，生成将满足矩阵目标等式“A_Y·e＝u_j”的矩阵e作为密钥元素的秘密密钥。

在进行加密的情况下，无法确定选择了集合N中的哪个值作为值j，因此，对于集合N中包含的各值生成包含加密元素的密文。然后，在进行解密的情况下，使用与值j有关的加密元素和秘密密钥对密文进行解密。

***结构的说明***

根据图1对实施方式1的加密系统10的结构进行说明。

加密系统10具有密钥生成装置100、加密装置200、解密装置300。

密钥生成装置100将参数即1ⁿ、1^L、1^N作为输入，执行Setup算法，生成公开参数PP和主密钥MK。并且，密钥生成装置100将公开参数PP、主密钥MK、输入参数Y即谓语向量v作为输入，执行KeyGen算法，生成与谓语向量v有关的秘密密钥sk_v。

另外，在系统安装时等执行一次Setup算法，每当生成秘密密钥sk_v时执行KeyGen算法。并且，也可以设执行Setup算法的装置和执行KeyGen算法的装置为不同装置。

加密装置200将由密钥生成装置100生成的公开参数PP、属性向量w、示出0或1的1比特的消息M作为输入，执行Enc算法，生成密文CT。

解密装置300将由密钥生成装置100生成的公开参数PP和秘密密钥sk_v、由加密装置200生成的密文CT作为输入，执行Dec算法，输出0或1。

根据图2对实施方式1的密钥生成装置100的结构进行说明。

密钥生成装置100具有参数取得部110、主密钥生成部120、秘密密钥生成部130、参数公开部140、秘密密钥输出部150。

参数取得部110取得由加密系统10的管理者输入的参数即1ⁿ、1^L、1^N。

参数取得部110取得由加密系统10的管理者输入的谓语向量v。这里，谓语向量v表示秘密密钥sk_v的用户的属性。

主密钥生成部120将由参数取得部110取得的1ⁿ、1^L、1^N作为输入，执行Setup算法，生成公开参数PP和主密钥MK。

主密钥生成部120具有基本矩阵选择部121、随机矩阵选择部122、随机向量选择部123。

秘密密钥生成部130将由主密钥生成部120生成的公开参数PP和主密钥MK、由参数取得部110取得的谓语向量v作为输入，执行KeyGen算法，生成与谓语向量v有关的秘密密钥sk_v。

秘密密钥生成部130具有向量分解部131、谓语矩阵生成部132、密钥元素生成部133。

参数公开部140对由主密钥生成部120生成的公开参数PP进行公开。

这里，参数公开部140向公开用的服务器发送公开参数PP，能够经由因特网或局域网进行访问，由此对公开参数PP进行公开。也可以通过发送到加密装置200和解密装置300这样的其他方法对公开参数PP进行公开。

秘密密钥输出部150将由秘密密钥生成部130生成的秘密密钥sk_v秘密地输出到解密装置300。

这里，秘密密钥输出部150在利用某种加密方式对秘密密钥sk_v进行加密后经由网络进行发送，由此，秘密地输出秘密密钥sk_v。也可以通过存储在存储介质中然后将存储介质配送到解密装置300这样的其他方法，将秘密密钥sk_v秘密地输出到解密装置300。

根据图3对实施方式1的加密装置200的结构进行说明。

加密装置200具有参数取得部210、密文生成部220、密文输出部230。

参数取得部210取得由密钥生成装置100生成的公开参数PP。

参数取得部210取得由加密装置200的用户输入的属性向量w和消息M。这里，属性向量w表示能够对密文CT进行解密的用户的属性。并且，这里，消息M是示出0或1的1比特的值。

密文生成部220将由参数取得部210取得的公开参数PP、属性向量w和消息M作为输入，执行Enc算法，生成密文CT。

密文生成部220具有随机矩阵选择部221、随机数选择部222、噪声选择部223、加密元素生成部224。

密文输出部230将由密文生成部220生成的密文CT输出到解密装置300。

这里，密文输出部230经由网络向解密装置300发送密文CT，由此将密文CT输出到解密装置300。也可以通过存储在存储介质中然后将存储介质配送到解密装置300这样的其他方法，将密文CT输出到解密装置300。

根据图4对实施方式1的解密装置300的结构进行说明。

解密装置300具有参数取得部310、解密部320。

参数取得部310取得由密钥生成装置100生成的公开参数PP和秘密密钥sk_v。

参数取得部310取得由加密装置200生成的密文CT。

解密部320将由参数取得部310取得的公开参数PP、秘密密钥sk_v和密文CT作为输入，执行Dec算法，输出0或1。即，解密部320输出通过秘密密钥sk_v对密文CT进行解密后的结果。

解密部320具有矩阵计算部321、值计算部322、结果输出部323。

***动作的说明***

根据图5～图8对实施方式1的加密系统10的动作进行说明。

实施方式1的加密系统10的动作相当于实施方式1的加密方法。并且，实施方式1的加密系统10的动作相当于实施方式1的加密程序的处理。

根据图5对实施方式1的Setup算法的处理进行说明。

如上所述，Setup算法由密钥生成装置100来执行。

在S101的参数取得处理中，参数取得部110取得作为Setup算法的输入的参数1ⁿ、1^L、1^N。

这里，n是安全性参数，是1以上的整数。L是表示谓语向量v和属性向量w的长度的1以上的整数。N是2以上的整数。

在以下的说明中，设q是大于2的整数，m是大于n的整数。并且，设σ和α是正实数高斯参数。

在S102的基本矩阵选择处理中，基本矩阵选择部121选择矩阵A∈Z_q ^n×m和数式11所示的向量的最大阶数集合T_A。基本矩阵选择部121能够通过使用非专利文献1中记载的TrapGen算法，选择矩阵A和向量的最大阶数集合T_A。

【数式11】

这里，是对T_A进行克施密特正交而得到的。ω是表示渐进的下限的记号，ω(√log m)是与√log m相同或稍大的意思。

在S103的随机矩阵选择处理中，随机矩阵选择部122选择与i＝1,...,L的各整数i和γ＝0,...,k的各整数γ有关的L·(k+1)个均匀且随机的矩阵A_i,γ∈Z_q ^n×m。

另外，Z_q意味着将q作为除数的整数空间。并且，Z_q ^a中的a表示元素数。因此，矩阵A_i,γ∈Z_q ^n×m意味着将q作为除数的整数空间中的n行m列的矩阵。

在S104的随机向量选择处理中，随机向量选择部123选择与j＝1,...,N的各整数j有关的j个均匀且随机的向量u_j∈Z_q ⁿ。

在S105的密钥生成处理中，主密钥生成部120将在S102～S104中生成的矩阵A、L·(k+1)个矩阵A_i,γ、j个向量u_j作为公开参数PP。并且，主密钥生成部120将在S102中生成的向量的集合T_A作为主密钥MK。

在S106的参数公开处理中，参数公开部140对在S105中生成的公开参数PP进行公开。

根据图6对实施方式1的KeyGen算法的处理进行说明。

如上所述，KeyGen算法由密钥生成装置100来执行。

在S201的参数取得处理中，参数取得部110取得谓语向量v：＝(v₁,...,v_L)∈Z_q ^L。并且，秘密密钥生成部130取得由主密钥生成部120生成的公开参数PP和主密钥MK。

在S202的向量分解处理中，如数式12所示，向量分解部131对与i＝1,...,L的各整数i有关的谓语向量v的元素v_i进行二进制分解。

【数式12】

这里，v_i,γ是0或1。

在S203的谓语矩阵生成处理中，谓语矩阵生成部132使用在S202中分解生成的值v_i,γ、在S201中取得的公开参数PP中包含的矩阵A_i,γ，如数式13所示生成矩阵C_v和矩阵A_v。

【数式13】

这里，输入参数Y是谓语向量v，因此，矩阵A_v相当于关键技术中说明的矩阵A_Y。

在S204的索引选择处理中，密钥元素生成部133从集合[N]：＝1,...,N中包含的值中随机选择值j。

在S205的密钥元素生成处理中，密钥元素生成部133针对在S204中选择出的值j，计算使得矩阵A_v与向量e之积成为向量u_j即成为A_v·e＝u_j mod q的向量e。

这里，密钥元素生成部133将在S201中取得的公开参数PP中包含的矩阵A、在S203中生成的矩阵C_v、主密钥MK即集合T_A、公开参数PP中包含的向量u_j、高斯参数σ作为输入，执行SampleLeft算法，随机计算向量e。另外，SampleLeft算法记载在非专利文献1中。只要能够计算向量e即可，也可以是SampleLeft算法以外的方法。

在S206的秘密密钥输出处理中，秘密密钥输出部150输出将在S201中取得的谓语向量v、在S204中选择出的值j、在S205中计算出的向量e作为密钥元素的秘密密钥sk_v。

根据图7对实施方式1的Enc算法的处理进行说明。

如上所述，Enc算法由加密装置200来执行。

在S301的参数取得处理中，参数取得部210取得由参数公开部140公开的公开参数PP。并且，参数取得部210取得属性向量w：＝(w₁,...,w_L)和消息M∈{0,1}。

在S302的随机矩阵选择处理中，随机矩阵选择部221选择均匀且随机的矩阵B∈Z_q ⁿ ^×m。

在S303的随机数选择处理中，随机数选择部222随机选择向量s∈Z_q ⁿ。

在S304的噪声选择处理中，噪声选择部223从概率分布中随机选择具有m个元素的噪声向量X，并且从概率分布中随机选择噪声项x。

这里，概率分布是以如下方式得到的Z_q：＝Z/qZ上的概率分布：针对α∈(0,1)和大于2的整数q，根据平均0、标准偏差α/√(2π)的正态分布(高斯分布)生成实数x，输出最接近qx的整数。

在S305的c₀生成处理中，加密元素生成部224使用在S301中取得的公开参数PP中包含的矩阵A、在S303中选择出的向量s、在S304中生成的噪声向量X，如c₀：＝A^Ts+X那样计算矩阵c₀。

在S306的c_i,γ生成处理中，加密元素生成部224针对i＝1,...,L的各整数i和γ＝0,...,k的各整数γ执行以下的(a)(b)。

(a)加密元素生成部224选择随机的矩阵R_i,γ∈{0,1}^m×m。(b)加密元素生成部224使用在S301中取得的公开参数PP中包含的矩阵A_i,γ、在S301中取得的属性向量w、在S302中选择出的矩阵B、在S303中选择出的向量s、在S304中生成的噪声向量X，如c_i,γ：＝(A_i,γ+2^γw_iB)^Ts+R_i,γ ^TX那样计算矩阵c_i,γ。

在S307的c’_j生成处理中，加密元素生成部224针对j＝1,...,N的各整数j，使用在S301中取得的公开参数PP中包含的向量u_j、在S303中选择出的向量s、在S304中选择出的噪声项x、在S301中取得的消息M，如c’_j：＝u_j ^Ts+x+M·“2/q”∈Z_q那样计算矩阵c’_j。即，加密元素生成部224针对集合[N]中包含的各值计算矩阵c’_j。

这里，“2/q”意味着最接近2/q的整数。

在S308的密文输出处理中，密文输出部230输出将在S305中计算出的矩阵c₀、在S306中计算出的矩阵c_i,γ、在S307中计算出的矩阵c’_j作为加密元素的密文CT。

根据图8对实施方式1的Dec算法的处理进行说明。

如上所述，Dec算法由解密装置300来执行。

在S401的参数取得处理中，参数取得部310取得由参数公开部140公开的公开参数PP。并且，参数取得部310取得由秘密密钥输出部150输出的秘密密钥sk_v。并且，参数取得部310取得由密文输出部230输出的密文CT。

在S402的矩阵计算处理中，矩阵计算部321使用在S401中取得的秘密密钥sk_v中包含的谓语向量v、在S401中取得的密文CT中包含的矩阵c_i,γ，如数式14所示计算矩阵c_v。

【数式14】

在S403的值计算处理中，值计算部322连接密文CT中包含的矩阵c₀和在S402中计算出的矩阵c_v而计算矩阵c。即，值计算部322设c：＝[c₀||c_v]。

然后，值计算部322使用密文CT中包含的矩阵c’_j、秘密密钥sk_v中包含的向量e、矩阵c，如z：＝c’_j-e^Tc mod q那样计算值z。

在S404的结果输出处理中，如果在S403中计算出的值z的绝对值|z|小于q/4，则结果输出部323输出0，如果在S403中计算出的值z的绝对值|z|不小于q/4，则结果输出部323输出1。

将噪声向量X和噪声项x记作“noise”。于是，如果谓语向量v与属性向量w的内积为0(v·w＝0)，则c_v：＝Σ_i＝1 ^LΣ_γ＝0 ^kv_i,γc_i,γ＝C_v ^Ts+noise。因此，c：＝[c₀||c_v]＝[A||C_v]^Ts+noise＝A_v ^Ts+noise。由于A_v·e＝u_j，因此，e^Tc＝e^TA_v ^Ts+noise＝u^Ts+noise。因此，z＝M·"q/2"+noise。这里，“2/q”是最接近2/q的整数。

消息M是0或1，noise是从中选择出的，是较小的值。因此，如果绝对值|z|小于q/4，则消息M是0，如果绝对值|z|不小于q/4，则消息M是1。

***效果的说明***

如上所述，实施方式1的加密系统10实现基于格子理论的函数型加密方式。特别地，实施方式1的加密系统10使用与从包含多个值的集合N中选择出的值j有关的矩阵u_j，生成将满足矩阵目标等式“A_v·e＝u_j”的向量e作为密钥元素的秘密密钥sk_v。

由此，能够使得不会从具有满足秘密密钥条件的属性的密文泄露多余信息。

另外，在上述函数型加密方式中，e和u_j是向量。但是，根据应用关键技术的算法，e和u_j成为矩阵。

并且，在上述说明中，针对矩阵A_Y、矩阵e、矩阵u_j，生成将满足矩阵目标等式A_Y·e＝u_j的矩阵e作为密钥元素的秘密密钥。但是，矩阵A_Y、矩阵e、矩阵u_j也可以改写成函数空间的元素。并且，矩阵A_Y、矩阵e、矩阵u_j也可以改写成无限维度向量。

并且，在上述说明中，设矩阵e的范数比矩阵A_Y的范数短。

通过SampleLeft算法计算矩阵e。在SampleLeft算法中，根据高斯分布D_Λ,σ进行采样来选择矩阵e。因此，矩阵e大致依照高斯分布D_Λ,σ进行分布。

该情况下，标准偏差值σ将实质上的分布宽度规定成2σ√(m+m₁)。标准偏差值σ大体上与O(√(n·(m+m1))·log q·log(m+m₁))相同。因此，矩阵e的长度也使用适当的常数c，大致为c√(n·(m+m₁))·log q·log(m+m₁)。另外，m₁是正整数。

密钥生成装置100、加密装置200、解密装置300是计算机。

密钥生成装置100、加密装置200、解密装置300具有处理器901、辅助存储装置902、存储器903、通信装置904、输入接口905、显示器接口906这样的硬件。

处理器901经由信号线910而与其它硬件连接，对这些其他硬件进行控制。

输入接口905通过缆线911而与输入装置907连接。

显示器接口906通过缆线912而与显示器908连接。

处理器901是进行处理的IC(Integrated Circuit：集成电路)。处理器901例如是CPU(Central Processing Unit：中央处理单元)、DSP(Digital Signal Processor：数字信号处理器)、GPU(Graphics Processing Unit：图形处理单元)。

辅助存储装置902例如是ROM(Read Only Memory：只读存储器)、闪存、HDD(HardDisk Drive：硬盘驱动器)。

存储器903例如是RAM(Random Access Memory：随机存取存储器)。

通信装置904包含接收数据的接收机9041和发送数据的发送机9042。通信装置904例如是通信芯片或NIC(Network Interface Card：网络接口卡)。

输入接口905是连接输入装置907的缆线911的端口。输入接口905例如是USB(Universal Serial Bus：通用串行总线)端子。

显示器接口906是连接显示器908的缆线912的端口。显示器接口906例如是USB端子或HDMI(注册商标)(High Definition Multimedia Interface：高分辨率多媒体接口)端子。

输入装置907例如是鼠标、键盘或触摸面板。

显示器908例如是LCD(Liquid Crystal Display：液晶显示器)。

参数取得部110、参数公开部140、秘密密钥输出部150、参数取得部210、密文输出部230、参数取得部310由通信装置904来实现。参数取得部110、参数取得部210、参数取得部310也可以由输入接口905来实现。

结果输出部323由显示器接口906来实现。

在辅助存储装置902中存储有实现上述主密钥生成部120、基本矩阵选择部121、随机矩阵选择部122、随机向量选择部123、秘密密钥生成部130、向量分解部131、谓语矩阵生成部132、密钥元素生成部133、密文生成部220、随机矩阵选择部221、随机数选择部222、噪声选择部223、加密元素生成部224、解密部320、矩阵计算部321、值计算部322(下面，将主密钥生成部120、基本矩阵选择部121、随机矩阵选择部122、随机向量选择部123、秘密密钥生成部130、向量分解部131、谓语矩阵生成部132、密钥元素生成部133、密文生成部220、随机矩阵选择部221、随机数选择部222、噪声选择部223、加密元素生成部224、解密部320、矩阵计算部321、值计算部322统一记作“部”)的功能的程序。

该程序载入到存储器903，读入到处理器901，由处理器901来执行。

进而，在辅助存储装置902中还存储有OS(Operating System：操作系统)。

而且，OS的至少一部分载入到存储器903，处理器901执行OS，并且执行实现“部”的功能的程序。

在图9中图示出一个处理器901，但是，密钥生成装置100、加密装置200、解密装置300也可以具有多个处理器901。而且，多个处理器901也可以协作执行实现“部”的功能的程序。

并且，表示“部”的处理结果的信息、数据、信号值和变量值作为文件存储在存储器903、辅助存储装置902或处理器901内的寄存器或缓存中。

也可以利用“电路系统(circuitry)”来提供“部”。并且，也可以将“部”改写成“电路”或“工序”或“步骤”或“处理”。“电路”和“电路系统”是不仅包含处理器901，而且包含逻辑IC或GA(Gate Array：门阵列)或ASIC(Application Specific Integrated Circuit：面向特定用途的集成电路)或FPGA(Field-Programmable Gate Array：现场可编程门阵列)这样的其他种类的处理电路的概念。

标号说明

10：加密系统；100：密钥生成装置；110：参数取得部；120：主密钥生成部；121：基本矩阵选择部；122：随机矩阵选择部；123：随机向量选择部；130：秘密密钥生成部；131：向量分解部；132：谓语矩阵生成部；133：密钥元素生成部；140：参数公开部；150：秘密密钥输出部；200：加密装置；210：参数取得部；220：密文生成部；221：随机矩阵选择部；222：随机数选择部；223：噪声选择部；224：加密元素生成部；230：密文输出部；300：解密装置；310：参数取得部；320：解密部；321：矩阵计算部；322：值计算部；323：结果输出部。

Claims

1.一种加密系统，其中，所述加密系统具有：

密钥生成装置，其生成作为密钥元素包含矩阵e的秘密密钥，作为与输入参数Y有关的秘密密钥，其中，所述矩阵e使得由所述输入参数Y规定的矩阵A_Y与所述矩阵e之积，成为根据公开参数PP得到的多个矩阵u中的与包含多个值的集合[N]中的值j有关的矩阵u_j；

加密装置，其生成包含与所述集合[N]中包含的各值有关的加密元素的密文；以及

解密装置，其使用所述密文中包含的加密元素中的与所述值j有关的加密元素和所述秘密密钥，对所述密文进行解密。

2.根据权利要求1所述的加密系统，其中，

所述矩阵e的范数比所述矩阵A_Y和矩阵u_j的范数短。

3.根据权利要求1或2所述的加密系统，其中，

与所述各值有关的加密元素是使用与该值有关的矩阵u生成的。

4.根据权利要求1～3中的任意一项所述的加密系统，其中，

所述矩阵A_Y是设定有作为所述输入参数Y的谓语向量v的矩阵A_v，

所述加密装置生成除了包含与所述各值有关的加密元素以外还包含设定有属性向量w的加密元素的密文。

5.根据权利要求4所述的加密系统，其中，

所述密钥生成装置生成数式1所示的矩阵e作为所述密钥元素，

所述加密装置生成数式2所示的c₀、数式3所示的c_i,γ、数式4所示的c’_j作为所述加密元素，

所述解密装置进行数式5所示的计算，对所述密文进行解密，

【数式1】

A_v·e＝u_j mod q，

<mrow> <mi>A</mi> <mo>&Element;</mo> <msubsup> <mi>Z</mi> <mi>q</mi> <mrow> <mi>n</mi> <mo>&times;</mo> <mi>m</mi> </mrow> </msubsup> <mo>,</mo> </mrow>

<mrow> <msub> <mi>C</mi> <mi>v</mi> </msub> <mo>:</mo> <mo>=</mo> <munderover> <mo>&Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>L</mi> </munderover> <munderover> <mo>&Sigma;</mo> <mrow> <mi>&gamma;</mi> <mo>=</mo> <mn>0</mn> </mrow> <mi>k</mi> </munderover> <msub> <mi>v</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>&gamma;</mi> </mrow> </msub> <msub> <mi>A</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>&gamma;</mi> </mrow> </msub> <mo>&Element;</mo> <msubsup> <mi>Z</mi> <mi>q</mi> <mrow> <mi>n</mi> <mo>&times;</mo> <mi>m</mi> </mrow> </msubsup> <mo>,</mo> </mrow>

<mrow> <msub> <mi>v</mi> <mi>i</mi> </msub> <mo>=</mo> <munderover> <mo>&Sigma;</mo> <mrow> <mi>&gamma;</mi> <mo>=</mo> <mn>0</mn> </mrow> <mi>k</mi> </munderover> <msub> <mi>v</mi> <mrow> <mi>i</mi> <mo>,</mo> </mrow> </msub> <mi>&gamma;</mi> <mo>&CenterDot;</mo> <mn>2</mn> <mi>&gamma;</mi> <mo>,</mo> </mrow>

v：＝(v₁，...，v_L)，

n是1以上的整数，

m是n以上的整数，

q是大于2的整数，

L是1以上的整数，

【数式2】

c₀：＝A^Ts+X，

<mrow> <mi>s</mi> <mover> <mo>&LeftArrow;</mo> <mi>U</mi> </mover> <msubsup> <mi>Z</mi> <mi>q</mi> <mi>n</mi> </msubsup> <mo>,</mo> </mrow>

<mrow> <mi>X</mi> <mover> <mo>&LeftArrow;</mo> <mi>R</mi> </mover> <msubsup> <mover> <mi>&phi;</mi> <mo>&OverBar;</mo> </mover> <mi>&alpha;</mi> <mi>m</mi> </msubsup> <mo>,</mo> </mrow>

是上的概率分布，

【数式3】

<mrow> <msub> <mi>c</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>&gamma;</mi> </mrow> </msub> <mo>:</mo> <mo>=</mo> <msup> <mrow> <mo>(</mo> <msub> <mi>A</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>&gamma;</mi> </mrow> </msub> <mo>+</mo> <mn>2</mn> <msub> <mi>&gamma;w</mi> <mi>i</mi> </msub> <mi>B</mi> <mo>)</mo> </mrow> <mi>T</mi> </msup> <mi>s</mi> <mo>+</mo> <msubsup> <mi>R</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>&gamma;</mi> </mrow> <mi>T</mi> </msubsup> <mi>X</mi> <mo>,</mo> </mrow>

w：＝(w₁，...，w_L)，

<mrow> <mi>B</mi> <mover> <mo>&LeftArrow;</mo> <mi>U</mi> </mover> <msubsup> <mi>Z</mi> <mi>q</mi> <mrow> <mi>n</mi> <mo>&times;</mo> <mi>m</mi> </mrow> </msubsup> <mo>,</mo> </mrow>

<mrow> <msubsup> <mi>R</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>&gamma;</mi> </mrow> <mi>T</mi> </msubsup> <mo>&Element;</mo> <msup> <mrow> <mo>{</mo> <mn>0</mn> <mo>,</mo> <mn>1</mn> <mo>}</mo> </mrow> <mrow> <mi>m</mi> <mo>&times;</mo> <mi>m</mi> </mrow> </msup> </mrow>

【数式4】

<mrow> <msubsup> <mi>c</mi> <mi>j</mi> <mo>&prime;</mo> </msubsup> <mo>:</mo> <mo>=</mo> <msubsup> <mi>u</mi> <mi>j</mi> <mi>T</mi> </msubsup> <mi>s</mi> <mo>+</mo> <mi>x</mi> <mo>+</mo> <mi>M</mi> <msup> <mo>&CenterDot;</mo> <mrow> <mo>&prime;</mo> <mo>&prime;</mo> </mrow> </msup> <mn>2</mn> <mo>/</mo> <msup> <mi>q</mi> <mrow> <mo>&prime;</mo> <mo>&prime;</mo> </mrow> </msup> <mo>&Element;</mo> <msub> <mi>Z</mi> <mi>q</mi> </msub> <mi>f</mi> <mi>o</mi> <mi>r</mi> <mi> </mi> <mi>j</mi> <mo>&Element;</mo> <mo>&lsqb;</mo> <mi>N</mi> <mo>&rsqb;</mo> <mo>,</mo> </mrow>

<mrow> <mi>x</mi> <mover> <mo>&LeftArrow;</mo> <mi>R</mi> </mover> <msub> <mover> <mi>&phi;</mi> <mo>&OverBar;</mo> </mover> <mi>&alpha;</mi> </msub> <mo>,</mo> </mrow>

M∈{0，1}，

″2/q″是最接近2/q的整数，

【数式5】

<mrow> <mtable> <mtr> <mtd> <mrow> <msub> <mi>c</mi> <mi>v</mi> </msub> <mo>:</mo> <mo>=</mo> <munderover> <mo>&Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>L</mi> </munderover> <munderover> <mo>&Sigma;</mo> <mrow> <mi>&gamma;</mi> <mo>=</mo> <mn>0</mn> </mrow> <mi>k</mi> </munderover> <msub> <mi>v</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>&gamma;</mi> </mrow> </msub> <msub> <mi>c</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>&gamma;</mi> </mrow> </msub> <mo>,</mo> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mi>c</mi> <mo>:</mo> <mo>=</mo> <mo>&lsqb;</mo> <msub> <mi>c</mi> <mn>0</mn> </msub> <mo>|</mo> <mo>|</mo> <msub> <mi>c</mi> <mi>v</mi> </msub> <mo>&rsqb;</mo> <mo>,</mo> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mi>z</mi> <mo>:</mo> <mo>=</mo> <msubsup> <mi>c</mi> <mi>j</mi> <mo>&prime;</mo> </msubsup> <mo>-</mo> <msup> <mi>e</mi> <mi>T</mi> </msup> <mi>c</mi> <mrow> <mo>(</mo> <mi>mod</mi> <mi> </mi> <mi>q</mi> <mo>)</mo> </mrow> </mrow> </mtd> </mtr> </mtable> <mo>.</mo> </mrow>

6.一种密钥生成装置，其中，所述密钥生成装置具有：

参数取得部，其取得输入参数Y和公开参数PP；以及

秘密密钥生成部，其生成矩阵e作为秘密密钥的密钥元素，所述矩阵e使得由所述参数取得部取得的输入参数Y规定的矩阵A_Y与所述矩阵e之积，成为根据公开参数PP得到的多个矩阵u中的与包含多个值的集合[N]中的值j有关的矩阵u_j。