DE112020007079B4

DE112020007079B4 - Neuverschlüsselungseinrichtung, kryptografisches system, neuverschlüsselungsverfahren und neuverschlüsselungsprogramm

Info

Publication number: DE112020007079B4
Application number: DE112020007079.4T
Authority: DE
Inventors: Yutaka Kawai
Original assignee: Mitsubishi Electric Corp
Current assignee: Mitsubishi Electric Corp
Priority date: 2020-06-17
Filing date: 2020-06-17
Publication date: 2024-04-25
Anticipated expiration: 2040-06-18
Also published as: CN115699670A; JPWO2021255845A1; DE112020007079T5; WO2021255845A1; JP7126635B2; US20230087142A1

Abstract

Neuverschlüsselungseinrichtung (50), umfassend:eine Chiffretext-Erwerbungseinheit (514), um einen Chiffretext ctSaus einem Sitzungsschlüssel K und den Chiffretext ctS'in dem der Sitzungsschlüssel K verschlüsselt ist, die durch einen Verschlüsselungsalgorithmus generiert werden, unter Verwendung als Eingabe von Attributinformationen S, die einen Bereich definieren, für den Entschlüsselung zulässig ist, zu erwerben;eine Schlüssel-Erwerbungseinheit (515), um einen Neuverschlüsselungsschlüssel rk, enthaltend einen konvertierten Entschlüsselungsschlüssel skΓ~, der durch Setzen einer Zufallszahl r in einen Entschlüsselungsschlüssel skr generiert wird, mit dem der Chiffretext cts entschlüsselt werden kann, einen Sitzungsschlüssel K' und einen Chiffretext ctS', in dem der Sitzungsschlüssel K' verschlüsselt ist, die durch den Verschlüsselungsalgorithmus generiert werden, unter Verwendung als Eingabe von Attributinformationen S', die einen Bereich definieren, für den Entschlüsselung zuzulassen ist, und Konvertierungsinformationen, die aus der Zufallszahl r generiert werden, zu erwerben;eine Neuverschlüsselter-Chiffretext-Generierungseinheit (512), um ein Chiffreelement K~durch Löschen eines Elements, das sich auf die Zufallszahl r bezieht, durch die Konvertierungsinformationen aus Entschlüsselungsinformationen K^, und Setzen des Sitzungsschlüssels K', wobei die Entschlüsselungsinformationen K^ durch Entschlüsseln des Chiffretextes ctSmit dem konvertierten Entschlüsselungsschlüssel skΓ~, der in dem Neuverschlüsselungsschlüssel rk enthalten ist, erhalten werden, zu generieren; undeine Ausgabeeinheit (513), um einen neuverschlüsselten Chiffretext rctS', der das Chiffreelement K~und den Chiffretext ctS'enthält, auszugeben.

Description

Gebiet der Technik
Die vorliegende Offenbarung bezieht sich auf eine Proxy-Neuverschlüsselungs-(PRE)-Technik in der funktionellen Verschlüsselung oder der attributbasierten Verschlüsselung, bei der ein Zugriffsbereich festgelegt werden kann.
Hintergrund zum Stand der Technik
PRE ist ein System, bei dem die Entschlüsselungsbefugnis für einen Chiffretext an eine andere Person übertragen wird, ohne den Chiffretext zu entschlüsseln.
In der Nicht-Patentliteratur 1 wird ein PRE-Schema bei attributbasierter Verschlüsselung (attributbasierte PRE, ABPRE) beschrieben. In der Nicht-Patentliteratur 2 wird ein Schema der attributbasierten Verschlüsselung beschrieben, bei dem ein bestimmter Nutzer beliebige Attributänderungen vornehmen kann (anpassbare, attributbasierte Verschlüsselung, Ad-PRE). In der Patentliteratur 1 wird ein PRE-Schema beschrieben, bei dem eine Zunahme der Datengröße eines Chiffretextes beim Wiederverschlüsseln im Vergleich zu Nicht-Patentliteratur 1 und Nicht-Patentliteratur 2 reduziert wird.
Liste der Entgegenhaltungen
Patentliteratur
Patentliteratur 1: WO 2015-107620 A1
US 2015 / 0 318 988 A1 betrifft eine funktionale Proxy-Neuverschlüsselung.
Nicht-Patentliteratur
Nicht-Patentliteratur 1: Song Luo, Jianbin Hu und Zhong Chen „Ciphertext Policy Attribute-Based Proxy Re-encryption“ Nicht-Patentliteratur 2: Junzuo Lai and Robert H. Deng and Yanjiang Yang and Jian Weng. „Adaptable Ciphertext-Policy Attribute-Based Encryption“
Kurzfassung der Erfindung
Technisches Problem
Bei dem in der Nichtpatentliteratur 1 beschriebenen PRE-Schema besteht das Problem darin, dass die Datengröße eines Chiffretextes bei jeder erneuten Durchführung von Verschlüsselung zunimmt. Insbesondere bei Durchführung einer N-maligen Neuverschlüsselung erhöht sich die Datengröße eines Chiffretextes um eine Größe, die proportional zu N ist. Daher besteht ein zweckmäßigkeitsbezogenes Problem, dass bei wiederholter Durchführung von Neuverschlüsselung die Datengröße eines Chiffretextes eine vom System festgelegte Größe überschreiten kann.
Wenn Daten einmal entschlüsselt und dann neuverschlüsselt werden, können Daten, die vergrößert wurden, gelöscht werden. Die einmalige Entschlüsselung der Daten führt jedoch dazu, dass die Daten wieder zu einem Klartext werden, so dass es ein Sicherheitsproblem gibt.
Bei dem in Nicht-Patentliteratur 2 beschriebenen PRE-Schema kann eine Entität mit einer bestimmten hochrangigen Autorität einen Zugriffsbereich für jeden beliebigen Chiffretext frei ändern. Da jedoch der Zugriffsbereich für jeden beliebigen Chiffretext beliebig verändert werden kann, ergibt sich ein Sicherheitsproblem.
Bei dem in der Patentliteratur 1 beschriebenen PRE-Schema kann eine Zunahme der Datengröße eines Chiffretextes beim Neuverschlüsseln unterdrückt werden. Die Datengröße eines Chiffretextes nimmt jedoch proportional zur Anzahl von Malen von Durchführung von Neuverschlüsselung zu, wie in Nicht-Patentliteratur 1 und Nicht-Patentliteratur 2.
Eine Aufgabe der vorliegenden Offenbarung besteht darin, die Datengröße eines durch Neuverschlüsselung generierten Chiffretextes nicht von der Anzahl von Malen von Durchführung der Neuverschlüsselung abhängig zu machen.
Lösung der des Problems
Eine Neuverschlüsselungseinrichtung gemäß der vorliegenden Offenbarung weist auf:

eine Chiffretext-Erwerbungseinheit, um einen Chiffretext ctS aus einem Sitzungsschlüssel K und den Chiffretext ctS, in dem der Sitzungsschlüssel K verschlüsselt ist, die durch einen Verschlüsselungsalgorithmus unter Verwendung als Eingabe von Attributinformationen S, die einen Bereich definieren, für den Entschlüsselung zuzulassen ist, generiert werden, zu erwerben;
eine Schlüssel-Erwerbungseinheit, um einen Neuverschlüsselungsschlüssel rk, enthaltend einen konvertierten Entschlüsselungsschlüssel skΓ^~, der durch Setzen einer Zufallszahl r in einen Entschlüsselungsschlüssel skΓ generiert wird, mit dem der Chiffretext ctS entschlüsselt werden kann, einen Sitzungsschlüssel K' und einen Chiffretext ctS', in dem der Sitzungsschlüssel K' verschlüsselt ist, die durch den Verschlüsselungsalgorithmus unter Verwendung als Eingabe von Attributinformationen S', die einen Bereich definieren, für den Entschlüsselung zuzulassen ist, und Konvertierungsinformationen, die aus der Zufallszahl r generiert werden, generiert werden, zu erwerben;
eine Neuverschlüsselter-Chiffretext-Generierungseinheit, um ein Chiffreelement K^~ durch Löschen eines Elements, das sich auf die Zufallszahl r bezieht, durch die Konvertierungsinformationen aus Entschlüsselungsinformationen K^, und Setzen des Sitzungsschlüssels K', wobei die Entschlüsselungsinformationen K^ durch Entschlüsseln des Chiffretextes cts mit dem konvertierten Entschlüsselungsschlüssel sk_Γ ^~, der in dem Neuverschlüsselungsschlüssel rk enthalten ist, erhalten werden, zu generieren; und
eine Ausgabeeinheit, um einen neuverschlüsselten Chiffretext rct_S', der das Chiffreelement K^~ und den Chiffretext ct_S' enthält, auszugeben.

Vorteilhafte Wirkungen der Erfindung
In der vorliegenden Offenbarung enthält ein neuverschlüsselter Chiffretext rct_S' ein Chiffreelement K^~, das aus einem Sitzungsschlüssel K und einem Sitzungsschlüssel K' generiert wird und einen Chiffretext ct_S' enthält. Der Sitzungsschlüssel K' wird durch Entschlüsseln des Chiffretextes ct_S' mit einem Entschlüsselungsschlüssel sk_Γ' generiert, und der Sitzungsschlüssel K kann aus dem Chiffreelement K^~ und dem Sitzungsschlüssel K' generiert werden.
Auch wenn ein Chiffretext ct_S' als ein Chiffretext cts behandelt wird, um einen neuverschlüsselten Chiffretext rct_S' zu generieren, wird ein ähnlicher neuverschlüsselter Chiffretext rct_S' ausgegeben und ein Sitzungsschlüssel K kann auf ähnliche Weise generiert werden.
Daher ist es möglich, die Datengröße eines durch Neuverschlüsselung generierten Chiffretextes nicht von der Anzahl von Malen von Durchführung von Neuverschlüsselungen abhängig zu machen.
Kurzbeschreibung der Zeichnungen

1 ist eine erläuternde Zeichnung einer Matrix M^ gemäß einer ersten Ausführungsform;
2 ist eine erläuternde Zeichnung einer Matrix M_δ gemäß der ersten Ausführungsform;
3 ist eine erläuternde Zeichnung von so gemäß der ersten Ausführungsform;
4 ist eine erläuternde Zeichnung von s^→T gemäß der ersten Ausführungsform;
5 ist ein Konfigurationsdiagramm eines kryptografischen Systems 100 gemäß der ersten Ausführungsform;
6 ist ein Konfigurationsdiagramm einer gemeinsamer-Parameter-Generierungseinrichtung 10 gemäß der ersten Ausführungsform;
7 ist ein Konfigurationsdiagramm einer Nutzer-Geheimschlüssel-Generierungseinrichtung 20 gemäß der ersten Ausführungsform;
8 ist ein Konfigurationsdiagramm einer Verschlüsselungseinrichtung 30 gemäß der ersten Ausführungsform;
9 ist ein Konfigurationsdiagramm einer Neuverschlüsselungsschlüssel-Generierungseinrichtung 40 gemäß der ersten Ausführungsform;
10 ist ein Konfigurationsdiagramm einer Neuverschlüsselungseinrichtung 50 gemäß der ersten Ausführungsform;
11 ist ein Konfigurationsdiagramm einer Entschlüsselungseinrichtung 60 gemäß der ersten Ausführungsform;
12 ist ein Flussdiagramm, das eine Funktionsweise der Gemeinsamer-Parameter-Generierungseinrichtung 10 gemäß der ersten Ausführungsform darstellt;
13 ist ein Flussdiagramm, das eine Funktionsweise der Nutzer-Geheimschlüssel-Generierungseinheit 20 gemäß der ersten Ausführungsform darstellt;
14 ist ein Flussdiagramm, das eine Funktionsweise der Verschlüsselungseinrichtung 30 gemäß der ersten Ausführungsform darstellt;
15 ist ein Flussdiagramm, das eine Funktionsweise der Neuverschlüsselungsschlüssel-Generierungseinrichtung 40 gemäß der ersten Ausführungsform darstellt;
16 ist ein Flussdiagramm, das eine Funktionsweise der Neuverschlüsselungseinrichtung 50 gemäß der ersten Ausführungsform darstellt;
17 ist ein Flussdiagramm, das eine Funktionsweise der Entschlüsselungseinrichtung 60, wenn ein Chiffretext cts entschlüsselt wird, gemäß der ersten Ausführungsform darstellt; und
18 ist ein Flussdiagramm, das eine Funktionsweise der Entschlüsselungseinrichtung 60, wenn ein neuverschlüsselter Chiffretext rct_S' neuverschlüsselt wird, gemäß der ersten Ausführungsform darstellt.

Beschreibung von Ausführungsformen
Erste Ausführungsform
*** Voraussetzungen ***
<Beschreibung der Notationen>
Wenn A eine Zufallsvariable oder Verteilung ist, drückt Formel 101 aus, dass y gemäß der Verteilung von A aus A zufällig ausgewählt wird. Das heißt, y in Formel 101 ist eine Zufallszahl. $y \overset{R}{\leftarrow} A$
Wenn A eine Menge ist, drückt Formel 102 aus, dass y aus A gleichverteilt ausgewählt wird. Das heißt, y in Formel 102 ist eine gleichverteilte Zufallszahl. $y \overset{U}{\leftarrow} A$
Formel 103 drückt aus, dass y eine Menge ist, die durch z definiert wird, oder dass y eine durch z ersetzte Menge ist. $y : = z$
Wenn a eine Konstante ist, drückt Formel 104 aus, dass eine Maschine (ein Algorithmus) A a ausgibt, wenn x eingegeben wird. $\begin{array}{l} A (x) \to a \\ for example, \\ A (x) \to 1 \end{array}$
Formel 105, das heißt F_q, drückt ein endliches Feld der Ordnung q aus. $F_{q}$
Die Formel 106 wird als Formel 107 dargestellt. $F_{q} \ {0}$
$F_{q}^{\times}$
Eine Vektordarstellung drückt eine Vektordarstellung in dem endlichen Feld F_q aus. Das heißt, diese ist in Formel 108 angegeben. $\begin{array}{l} \vec{x} dr \ddot{u} ckt aus \\ (x_{1}, \dots, x_{n}) \in F_{q}^{n} . \end{array}$
Es sei angemerkt, dass X^T die Transponierte einer Matrix X bezeichnet.
Ein Element in einem Vektorraum der Formel 109 wird als Formel 110 dargestellt. $V$
$x \in V$
Im Fall von Formel 111 wird ein Unterraum, der durch b_i, ..., b_n gebildet wird, als Formel 112 dargestellt. $b_{i} \in V (i = 1, \dots, n)$
$span < b_{1}, \dots, b_{n} > \subseteq V$
Formel 113 drückt das in der Formel 115 angegebene Skalarprodukt zweier Vektoren x^→ und v^→ aus, die in Formel 114 angegeben sind. $\vec{x} \cdot \vec{v}$
$\begin{array}{l} \vec{x} = (x_{1} \dots, x_{n}), \\ \vec{v} = (v_{1}, \dots, v_{n}) \end{array}$
$\sum_{i = 1}^{n} x_{i} v_{i}$
Für eine Basis B und eine Basis B*, die in Formel 116 angegeben sind, wird Formel 117 erstellt. $\begin{array}{l} B : = (b_{1}, \dots, b_{N}), \\ B * : = (b_{1}^{*}, \dots, b_{N}^{*}) \end{array}$
$\begin{array}{l} {(x_{1}, \dots, x_{N})}_{B} : = \sum_{i = 1}^{N} x_{i} b_{i}, \\ {(y_{1}, \dots, y_{N})}_{B *} : = \sum_{i = 1}^{N} y_{i} b_{i}^{*} \end{array}$
Es sei angemerkt, dass e^→ _j einen in Formel 118 angegebenen normalen Basisvektor bezeichnet. ${\vec{e}}_{j} : (\overset{j - 1}{\overset{︷}{0 \dots 0}},1, \overset{n - j}{\overset{︷}{0 \dots 0}}) \in F_{q}^{n} f \ddot{u} r j = 1, \dots, n,$
GL(n, F_q) ist eine allgemeine lineare Gruppe der Dimension n über dem endlichen Feld F_q.
Für eine in Formel 119 angegebene Matrix W und ein in Formel 120 angegebenes Element g in einem n-dimensionalen Vektorraum V ist Formel 121 definiert. $W : = {(w_{i, j})}_{i, j = 1, \dots, n} \in F_{q}^{n \times n}$
$g : = (G_{1}, \dots, G_{n})$
$g W : = (\sum_{i = 1}^{n} G_{i} w_{i,1}, \dots, \sum_{i = 1}^{n} G_{i} w_{i, n}) = (\sum_{i = 1}^{n} w_{i,1} G_{i}, \dots, \sum_{i = 1}^{n} w_{i, n} G_{i})$
<Symmetrisch-bilineare Paarungsgruppen>
Symmetrisch-bilineare Paarungsgruppen (q, G, G_T, g, e) sind ein Tupel aus einer Primzahl q, einer zyklischen additiven Gruppe G der Ordnung q, einer zyklischen multiplikativen Gruppe G_T der Ordnung q, g ≠ 0 ∈ G, und einer in einer Polynomialzeit berechenbaren, nicht ausgearteten bilinearen Zuordnung e: G × G → G_T. Die bilineare Zuordnung bedeutet e(sg, tg) = e(g, g)^st und e(g, g) ≠ 1.
In der folgenden Beschreibung, angenommen, dass G_bpg ein Algorithmus ist, der als Eingabe 1λ nimmt und Werte eines Parameters param_G := (q, G, G_T, g, e) von bilinearen Paarungsgruppen mit einem Sicherheitsparameter 1^λ ausgibt.
<Dualpaarungs-Vektorräume>
Dualpaarungs-Vektorräume (q, V, G_T, A, e) können aus einem direkten Produkt der symmetrisch-bilinearen Paarungsgruppen konstruiert werden (param_G := (q, G, G_T, g, e)). Die Dualpaarungs-Vektorräume (q, V, G_T, A, e) sind ein Tupel aus einer Primzahl q, einem N-dimensionalen Vektorraum V über F_q, wie in Formel 122 angegeben, einer zyklischen Gruppe G_T der Ordnung q und einer kanonischen Basis A := (a₁, ..., a_N) des Raumes V und einer Paarungsoperation e, wie in Formel 123 angegeben. Es sei angemerkt, dass a_i ist wie in Formel 124 angegeben. $V : = \overset{N}{\overset{︷}{G \times \dots \times G}}$
$e : V \times V \to G_{T}$
$a_{i} : = \overset{i - 1}{\overset{︷}{(0, \dots,0}}, g, \overset{N - i}{\overset{︷}{0, \dots,0)}}$
Eine Paarung im Raum V wird von Formel 125 definiert. Dies ist nicht entartet. Das heißt e(sx, ty) = e(x, y)^st und falls e(x, y) = 1 für jedes y ∈ V, dann x = 0. Für jedes i und j gilt: e (a_i, a_j) = e(g, g)^δi,j, wobei δ_i,j = 1 falls i = j und δ_i,j = 0, falls i ≠ j und e(g, g) ≠ 1 ∈ G_T. $e (x, y) : = Π_{i = 1}^{N} e (G_{i}, H_{i}) \in G_{T}$
wobei $(G_{1}, \dots, G_{N}) : = x \in V,$
$(H_{1}, \dots, H_{N}) : = y \in V .$
In der folgenden Beschreibung sei angenommen, dass G_dpvs ein Algorithmus ist, der 1^λ (λ ∈ natürliche Zahlen), N ∈ natürliche Zahlen und die Werte des Parameters param_G := (q, G, G_T, g, e) von bilinearen Paarungsgruppen als Eingabe nimmt, und Werte eines Parameters paramv:= (q, V, G_T, A, e) von Dualpaarungs-Vektorräumen des N-dimensionalen Vektorraums V mit einem Sicherheitsparameter λ ausgibt.
<Attributbasierte Verschlüsselung für nicht-monotone Zugriffsstruktur>
Bei der attributbasierten Verschlüsselung handelt es sich um ein Verschlüsselungsschema, bei dem die Funktionen der Verschlüsselung mit öffentlichen Schlüssel oder der Kennungs-(ID)-basierten Verschlüsselung erweitert werden. Die ABE ist eine Verschlüsselung mit öffentlichem Schlüssel, bei der eine Menge von Attributen Γ in einem von einem Chiffretext und einem Entschlüsselungsschlüssel und eine Zugriffsstruktur S für die Gesamtheit der Attribute in dem anderen von dem Chiffretext und dem Entschlüsselungsschlüssel festgelegt wird, und Entschlüsselung ist nur möglich, falls die Menge von Attributen Γ der Zugriffsstruktur S genügt.
Die ABE, bei der eine Zugriffsstruktur in einem Chiffretext festgelegt ist, wird als Chiffretext-Richtlinie-Attributbasierte-Verschlüsselung (CP-ABE) bezeichnet, und die ABE, bei der eine Zugriffsstruktur in einem Entschlüsselungsschlüssel festgelegt ist, wird als Schlüssel-Richtlinie-Attributbasierte-Verschlüsselung (KP-ABE) bezeichnet. In einer ersten Ausführungsform wird die CP-ABE erläutert. Es ist jedoch einfach, die CP-ABE in die KP-ABE zu konvertieren. Bei der ABE kann ein bedingter Ausdruck mit logischer Summe (OR) und logischer Konjunktion (AND) als eine Zugriffsstruktur festgelegt werden. Damit kann ein Zugriffsrecht wie „Abteilung A und mindestens Abteilungsleiter“ festgelegt werden, so dass die CP-ABE als nützlich für den sicheren Dateiaustausch in einem Unternehmen usw. angesehen wird.
<Span-Programm und nicht-monotone Zugriffsstruktur>
Eine Matrix M^ wird unter Bezugnahme auf 1 erläutert. Es sei angenommen, dass {p1, ..., pn} eine Menge von Variablen ist. M^ := (M, ρ) ist eine gekennzeichnete Matrix. Die Matrix M ist eine (L Zeilen × r Spalten) Matrix über F_q, und p ist eine Kennung von Spalten der Matrix M und bezieht sich auf eines von Literalen {p₁, ..., p_n, ¬p₁, ..., ¬p_n}. Eine Kennung ρ_i (i = 1, ..., L) jeder Zeile von M bezieht sich auf eines der Literale. Das heißt, ρ : {1, ..., L} → {p₁, ..., p_n, ¬p₁, ..., ¬p_n}.
Für jede Eingabesequenz δ ∈ {0, 1}ⁿ wird eine Untermatrix Mδ der Matrix M definiert. Die Matrix Mδ ist eine Untermatrix, die aus denjenigen Zeilen der Matrix M gebildet ist, deren Kennungen p sich durch die Eingabesequenz δ auf einen Wert „1“ beziehen. Das heißt, die Matrix Mδ ist eine Untermatrix, die aus den Zeilen der Matrix M gebildet ist, die sich auf p_i beziehen, so dass δ_i = 1 ist, und den Zeilen der Matrix M, die sich auf ¬p_i beziehen, so dass δ_i = 0.
Die Matrix M_δ wird unter Bezugnahme auf 2 erläutert. Es sei angemerkt, dass n = 7, L = 6 und r = 5 in 2. Das heißt, die Menge von Variablen ist {p₁, ..., p₇}, und die Matrix M ist eine (6 Zeilen × 5 Spalten) Matrix. In 2 wird angenommen, dass sich die Kennungen ρ so aufeinander beziehen, dass sich ρ₁ auf ¬p₂, ρ₂ auf p₁, ρ₃ auf p₄, ρ₄ auf ¬p₅, ρ₅ auf ¬p₃ und ρ₆ auf ρ₅ beziehen.
Es wird angenommen, dass in einer Eingabesequenz δ ∈ {0, 1}⁷, δ₁ = 1, δ₂ = 0, δ₃ = 1, δ₄ = 0, δ₅ = 0, δ₆ = 1, and δ₇ = 1. In diesem Fall ist eine Untermatrix, die aus den Zeilen der Matrix M gebildet, die sich auf Literale beziehen (p₁, p₃, p₆, p₇, ¬p₂, ¬p₄, ¬p₅), die von gestrichelten Linien umgeben sind, die Matrix Mδ. Das heißt, die Untermatrix, die aus der ersten Zeile (M₁), der zweiten Zeile (M₂) und der vierten Zeile (M₄) der Matrix M gebildet ist, ist die Matrix Mδ.
Mit anderen Worten, falls Zuordnung γ : {1, ..., L} -> {0, 1} [ρ(j) = p_i] ^ [δ_i = 1] oder [ρ(j) = ¬p_i] ^ [δ_i = 0] ist, dann γ(j) = 1; andernfalls γ(j) = 0. In diesem Fall ist Mδ := (M_j)γ_(j)=1. Es sei angemerkt, dass M_j die j-te Zeile der Matrix M ist.
Das heißt, in 2 ist die Zuordnung γ(j) = 1 (j = 1, 2, 4) und die Zuordnung γ(j) = 0 (j = 3, 5, 6). Daher ist (M_j)_γ(j)=1 M₁, M₂, und M₄, und ist die Matrix Mδ.
Konkreter, ob die j-te Zeile der Matrix M in der Matrix Mδ enthalten ist oder nicht, wird insbesondere davon abhängig bestimmt, ob der Wert der Zuordnung γ(j) „0“ oder „1“ ist.
Ein Span-Programm M^ akzeptiert eine Eingabesequenz δ falls und nur falls 1→ ∈ span<Mδ>, und lehnt die Eingabesequenz δ andernfalls ab. Das heißt, das Span-Programm M^ akzeptiert die Eingabesequenz δ falls und nur falls eine Linearkombination der Zeilen der Matrix Mδ, die aus der Matrix M^ durch die Eingabesequenz δ erhalten werden, 1→ ergibt. Es sei angemerkt, dass 1→ ein Zeilenvektor ist, der in jedem Element einen Wert „1“ hat. Das heißt, in einem Beispiel von 2, akzeptiert das Span-Programm M^ die Eingabesequenz δ falls und nur falls eine Linearkombination der jeweiligen Zeilen der Matrix Mδ, die aus der ersten, zweiten und vierten Zeile der Matrix M gebildet ist, 1→ ergibt. Das heißt, falls es α₁, α₂ und α₄ gibt, bei denen α₁(M₁) + α₂(M₂) + α₄(M₄) = 1→ ist, akzeptiert das Span-Programm M^ die Eingabesequenz δ.
Das Span-Programm wird als monoton bezeichnet, falls sich seine Kennungen p nur auf positive Literale {p₁, ..., p_n} beziehen. Das Span-Programm wird als monoton bezeichnet, falls seine Kennungen p nur auf die Literale {p₁, ..., p_n, ¬p₁, ..., ¬p_n} bezogen sind. Dabei wird hier angenommen, dass das Span-Programm zum nicht-monoton ist. Eine Zugriffsstruktur (nicht-monotone Zugriffsstruktur) wird mit Hilfe des nicht-monotonen Span-Programms aufgebaut. Kurz gesagt, eine Zugriffsstruktur kontrolliert den Zugang zur Verschlüsselung. Das heißt, sie kontrolliert, ob ein Chiffretext entschlüsselt werden kann oder nicht.
<Skalarprodukt aus Attributinformationen und Zugriffsstruktur>
Die oben beschriebene Zuordnung γ(j) wird mit Hilfe eines Skalarprodukts von Attributinformationen berechnet. Das heißt, das Skalarprodukt der Attributinformationen wird verwendet, um zu bestimmen, welche Zeilen der Matrix M in die Matrix M_δ aufgenommen werden sollen.
U_t (t = 1, ..., d und U_t ⊂ {0, 1}*) ist ein Sub-Universum und eine Menge von Attributen. Jedes U_t enthält Identifikationsinformationen (t) des Sub-Universums und einen n-dimensionalen Vektor (v^→). Das heißt, U_t ist (t, v^→), wobei t ∈ {1, ..., d} und v^→ ∈ F_q ⁿ.
Es sei angenommen, dass U_t := (t, v^→) eine Variable p in einem Span-Programm M^ := (M, ρ) ist. Das heißt, p := (t, v^→). Es sei angenommen, dass das Span-Programm M^ := (M, ρ) mit der Variablen (p := (t, v^→), (t, v'^→), ...) eine Zugriffstruktur S ist.
Das heißt, die Zugriffsstruktur S := (M, ρ) und ρ:{1, ..., L}→{(t, v^→), (t, v'^→), ..., ¬(t, v^→), ¬(t, v'^→),...}.
Als nächstes sei angenommen, dass Γ eine Menge von Attributen ist. Das heißt, Γ := {(t, x^→ _t) | x^→ _t ∈ Fqⁿ, 1 ≤ t ≤ d}.
Wenn Γ der Zugriffsstruktur S gegeben ist, wird eine Zuordnung γ:{1, ..., L}→{0, 1} für das Span-Programm M^ := (M, ρ) wie unten beschrieben definiert. Falls [ρ(i) = (t, v^→i)] ^ [(t, x^→t) ∈ Γ] ^ [v^→ _i·x^→t = 0] oder [ρ(i) = ¬(t, v^→i)] ^ [(t, x^→ _t) ∈ Γ] ^ [v^→ _i·x^→ _t ≠ 0] für jede ganze Zahl i von i = 1, ..., L, dann ist γ(j) = 1, und andernfalls y(j) = 0.
Das heißt, die Zuordnung γ wird auf Grundlage des Skalarprodukts der Attributinformationen v^→ und x^→ berechnet. Welche Zeilen der Matrix M in die Matrix M_δ aufgenommen werden, wird dann wie oben beschrieben durch die Zuordnung γ bestimmt. Das heißt, welche Zeilen der Matrix M in die Matrix M_δ aufgenommen werden sollen, wird durch das Skalarprodukt der Attributinformationen v^→ und x^→ bestimmt, und falls und nur falls 1^→ ∈ span<(M_i)_γ(i)=1>, akzeptiert die Zugriffsstruktur S := (M, ρ) Γ.
<Geheimverteilungsschema>
Die Geheimverteilung in einer nicht-monotonen Zugriffsstruktur (oder einem Span-Programm) wird definiert.
Das Geheimverteilungsschema verteilt Geheiminformationen, um sie zu unsinnigen verteilten Informationen zu machen. Zum Beispiel werden Ge- heiminformationen s in 10 Teile aufgeteilt, um 10 Teile von verteilten Informationen zu generieren. Jedes der 10 Teile von verteilten Informationen enthält keine Informationen über die Geheiminformationen s. Selbst wenn also eines der Teile von verteilten Informationen erlangt wird, können keine Informationen über die Geheiminformationen s erlangt werden. Wenn andererseits alle der 10 Teile von verteilten Informationen erlangt werden, können die Geheiminformationen s zurückgewonnen werden.
Es gibt ein anderes Geheimverteilungsschema, nach dem die Geheiminformationen s zurückgewonnen werden können, falls einige (zum Beispiel 8 Teile) von verteilten Informationen erlangt werden können, ohne alle der 10 Teile von verteilten Informationen zu erlangen. Ein solcher Fall, in dem die Geheiminformationen s mittels 8 Teilen von 10 Teilen von verteilten Informationen zurückgewonnen werden können, wird 8-von-10 genannt. Das heißt, ein Fall, in dem die Geheiminformationen s mittels t Teilen aus n Teilen von verteilten Informationen zurückgewonnen werden können, wird t-aus-n genannt. Dieses t wird als Schwellenwert bezeichnet.
Es gibt noch ein anderes Geheimverteilungsschema, nach dem, wenn 10 Teile von verteilten Informationen d₁, ..., d₁₀ generiert werden, die Geheiminformationen s mittels 8 Teilen von verteilten Informationen d₁, ..., d₈ zurückgewonnen werden können, aber die Geheiminformationen s nicht mit 8 Teilen von verteilten Informationen d₃, ..., d₁₀ zurückgewonnen werden können. Mit anderen Worten, es gibt auch ein Geheimverteilungsschema, bei dem nicht nur die Anzahl der Teile von erhaltenen verteilten Informationen, sondern auch die Kombination von erhaltenen verteilten Informationen darüber entscheidet, ob die Geheiminformationen s zurückgewonnen werden können oder nicht.
s₀ wird unter Bezugnahme auf 3 erläutert. s^→T wird unter Bezugnahme auf 4 erläutert.
Es sei angenommen, dass eine Matrix M eine (L Zeilen × r Spalten) Matrix ist. Es sei angenommen, dass f^→T ein in Formel 126 angegebener Spaltenvektor ist. ${\vec{f}}^{T} : = {(f_{1}, \dots f_{r})}^{T} \overset{U}{\leftarrow} F_{q}^{r}$
Es sei angenommen, dass der in Formel 127 angegebene Wert so zu teilende Geheiminformationen sind. $s_{0} : = \vec{1} \cdot {\vec{f}}^{T} : = \sum_{k = 1}^{r} f_{k}$
Es sei angenommen, dass s^→T, wie in Formel 128 angegeben, ein Vektor von L Teilen von verteilten Informationen von s₀ ist. ${\vec{s}}^{T} : = {(s_{1}, \dots s_{L})}^{T} : = M \cdot {\vec{f}}^{T}$
Es sei angenommen, dass die Verteilungsinformationen s_i zu p(i) gehören.
Falls die Zugriffsstruktur S := (M, ρ) Γ akzeptiert, das heißt, falls 1 → ∈ span<(M_i)γ_(i)=1> für γ: {1, ..., L} → {0, 1}, dann gibt es Konstanten {α_i ∈ F_q | i ∈ I}, so dass I ⊆ {i ∈ {1, ..., L} | γ(i) -= 1}.
Dies geht aus der Erläuterung über das Beispiel von 1 hervor, dass, falls es α₁, α₂, und α₄ gibt, mit welchen α₁(M₁) + α₂(M₂) + α₄(M₄) = 1→ das Span-Programm M^ die Eingabesequenz akzeptiert δ. Das heißt, falls das Span-Programm M^ die Eingabesequenz akzeptiert, δ, wenn es α₁, α₂ und α₄ gibt, mit welchen α₁(M₁) + α₂(M₂) + α₄(M₄) = 1→ dann gibt es α₁, α₂ und α₄, mit welchen α₁(M₁) + α₂(M₂) + α₄(M₄) = 1→.
Es sei auf Formel 129 hingewiesen. $\sum_{i \in I} α_{i} s_{i} : = s_{0}$
Es sei angemerkt, dass die Konstanten {α_i} in einer Zeit berechnet werden können, die polynomial zur Größe der Matrix M ist.
*** Beschreibung von Konfigurationen ***
Unter Bezugnahme auf 5 wird eine Konfiguration eines kryptographischen Systems 100 gemäß der ersten Ausführungsform beschrieben.
Das kryptografische System 100 umfasst eine Gemeinsamer-Parameter-Generierungseinrichtung 10, Nutzer-Geheimschlüssel-Generierungseinrichtungen 20, Verschlüsselungseinrichtungen 30, eine Neuverschlüsselungsschlüssel-Generierungseinrichtung 40, eine Neuverschlüsselungseinrichtung 50 und eine Entschlüsselungseinrichtung 60.
Die Gemeinsamer-Parameter-Generierungseinrichtung 10, jede der Nutzer-Geheimschlüssel-Generierungseinrichtungen 20, der Neuverschlüsselungsschlüssel-Generierungseinrichtung 40, jede der Verschlüsselungseinrichtungen 30, die Neuverschlüsselungseinrichtung 50 und die Entschlüsselungseinrichtung 60 sind über eine Übertragungsleitung 70 verbunden. Ein konkretes Beispiel für die Übertragungsleitung 70 ist das Internet oder ein lokales Netzwerk (LAN).
Unter Bezugnahme auf 6 wird eine Konfiguration der Gemeinsamer-Parameter-Generierungseinrichtung 10 gemäß der ersten Ausführungsform beschrieben.
Die Gemeinsamer-Parameter-Generierungseinrichtung 10 ist ein Computer.
Die Gemeinsamer-Parameter-Generierungseinrichtung 10 weist als Hardware einen Prozessor 11, einen Arbeitsspeicher 12, einen Datenspeicher 13 und eine Kommunikationsschnittstelle 14 auf. Der Prozessor 11 ist über Signalleitungen mit anderen Hardware-Komponenten verbunden und steuert diese anderen Hardware-Komponenten.
Die Gemeinsamer-Parameter-Generierungseinrichtung 10 umfasst als funktionelle Komponenten eine Erwerbungseinheit 111, eine Parameter-Generierungseinheit 112 und eine Ausgabeeinheit 113. Die Funktionen der funktionellen Komponenten der Gemeinsamer-Parameter-Generierungseinrichtung 10 werden durch Software realisiert.
Der Datenspeicher 13 speichert Programme, die die Funktionen der funktionellen Komponenten der Gemeinsamer-Parameter-Generierungseinrichtung 10 realisieren. Diese Programme werden von dem Prozessor 11 in den Arbeitsspeicher 12 gelesen und von dem Prozessor 11 ausgeführt. Dadurch werden die Funktionen der funktionellen Komponenten der Gemeinsamer-Parameter-Generierungseinrichtung 10 realisiert.
Unter Bezugnahme auf 7 wird eine Konfiguration der Nutzer-Geheimschlüssel-Generierungseinheit 20 gemäß der ersten Ausführungsform beschrieben.
Die Nutzer-Geheimschlüssel-Generierungseinrichtung 20 ist ein Computer. Die Nutzer-Geheimschlüssel-Generierungseinrichtung 20 weist als Hardware einen Prozessor 21, einen Arbeitsspeicher 22, einen Datenspeicher 23 und eine Kommunikationsschnittstelle 24 auf. Der Prozessor 21 ist über Signalleitungen mit anderen Hardware-Komponenten verbunden und steuert diese anderen Hardware-Komponenten.
Die Nutzer-Geheimschlüssel-Generierungseinrichtung 20 umfasst als funktionelle Komponenten eine Erwerbungseinheit 211, eine Nutzer-Geheimschlüssel-Generierungseinheit 212 und eine Ausgabeeinheit 213. Die Funktionen der funktionellen Komponenten der Nutzer-Geheimschlüssel-Generierungseinrichtung 20 werden durch Software realisiert.
Der Datenspeicher 23 speichert Programme, die die Funktionen der funktionellen Komponenten der Nutzer-Geheimschlüssel-Generierungseinheit 20 realisieren. Diese Programme werden von dem Prozessor 21 in den Arbeitsspeicher 22 gelesen und von dem Prozessor 21 ausgeführt. Dadurch werden die Funktionen der funktionellen Komponenten der Nutzer-Geheimschlüssel-Generierungseinrichtung 20 realisiert.
Unter Bezugnahme auf 8 wird eine Konfiguration der Verschlüsselungseinrichtung 30 gemäß der ersten Ausführungsform beschrieben.
Die Verschlüsselungseinrichtung 30 ist ein Computer.
Die Verschlüsselungseinrichtung 30 weist als Hardware einen Prozessor 31, einen Arbeitsspeicher 32, einen Datenspeicher 33 und eine Kommunikationsschnittstelle 34 auf. Der Prozessor 31 ist über Signalleitungen mit anderen Hardware-Komponenten verbunden und steuert diese anderen Hardware-Komponenten.
Die Verschlüsselungseinrichtung 30 umfasst als funktionelle Komponente eine Erwerbungseinheit 311, eine Chiffretext-Generierungseinheit 312 und eine Ausgabeeinheit 313. Die Funktionen der funktionellen Komponenten der Verschlüsselungseinrichtung 30 werden durch Software realisiert. Der Datenspeicher 33 speichert Programme, die die Funktionen der funktionellen Komponenten der Verschlüsselungseinrichtung 30 realisieren. Diese Programme werden von dem Prozessor 31 in den Arbeitsspeicher 32 gelesen und von dem Prozessor 31 ausgeführt. Dadurch werden die Funktionen der funktionellen Komponenten der Verschlüsselungseinrichtung 30 realisiert.
Unter Bezugnahme auf 9 wird eine Konfiguration der Neuverschlüsselungsschlüssel-Generierungseinrichtung 40 gemäß der ersten Ausführungsform beschrieben.
Die Neuverschlüsselungsschlüssel-Generierungseinrichtung 40 ist ein Computer.
Die Neuverschlüsselungsschlüssel-Generierungseinrichtung 40 weist als Hardware einen Prozessor 41, einen Arbeitsspeicher 42, einen Datenspeicher 43 und eine Kommunikationsschnittstelle 44 auf. Der Prozessor 41 ist über Signalleitungen mit anderen Hardware-Komponenten verbunden und steuert diese anderen Hardware-Komponenten.
Die Neuverschlüsselungsschlüssel-Generierungseinrichtung 40 umfasst als funktionelle Komponenten eine Erwerbungseinheit 411, eine Neuverschlüsselungsschlüssel-Generierungseinheit 412 und eine Ausgabeeinheit 413. Die Funktionen der funktionellen Komponenten der Neuverschlüsselungsschlüssel-Generierungseinrichtung 40 werden durch Software realisiert. Der Datenspeicher 43 speichert Programme, die die Funktionen der funktionellen Komponenten der Neuverschlüsselungsschlüssel-Generierungseinrichtung 40 realisieren. Diese Programme werden von dem Prozessor 41 in den Arbeitsspeicher 42 gelesen und von dem Prozessor 41 ausgeführt. Dadurch werden die Funktionen der funktionellen Komponenten der Neuverschlüsselungsschlüssel-Generierungseinrichtung 40 realisiert.
Unter Bezugnahme auf 10 wird eine Konfiguration der Neuverschlüsselungseinrichtung 50 gemäß der ersten Ausführungsform beschrieben. Die Neuverschlüsselungseinrichtung 50 ist ein Computer.
Die Neuverschlüsselungseinrichtung 50 weist als Hardware einen Prozessor 51, einen Arbeitsspeicher 52, einen Datenspeicher 53 und eine Kommunikationsschnittstelle 54 auf. Der Prozessor 51 ist über Signalleitungen mit anderen Hardware-Komponenten verbunden und steuert diese anderen Hardware-Komponenten.
Die Neuverschlüsselungseinrichtung 50 umfasst als funktionelle Komponente eine Erwerbungseinheit 511, eine Neuverschlüsselter-Chiffretext-Generierungseinheit 512 und eine Ausgabeeinheit 513. Die Erwerbungseinheit 511 umfasst eine Chiffretext-Erwerbungseinheit 514 und eine Schlüssel-Erwerbungseinheit 515. Die Funktionen der funktionellen Komponenten der Neuverschlüsselungseinrichtung 50 werden durch Software realisiert. Der Datenspeicher 53 speichert Programme, die die Funktionen der funktionellen Komponenten der Neuverschlüsselungseinrichtung 50 realisieren. Diese Programme werden von dem Prozessor 51 in den Arbeitsspeicher 52 gelesen und von dem Prozessor 51 ausgeführt. Dadurch werden die Funktionen der funktionellen Komponenten der Neuverschlüsselungseinrichtung 50 realisiert.
Unter Bezugnahme auf 11 wird eine Konfiguration der Entschlüsselungseinrichtung 60 gemäß der ersten Ausführungsform beschrieben. Die Entschlüsselungseinrichtung 60 ist ein Computer. Die Entschlüsselungseinrichtung 60 weist als Hardware einen Prozessor 61, einen Arbeitsspeicher 62, einen Datenspeicher 63 und eine Kommunikationsschnittstelle 64 auf. Der Prozessor 61 ist über Signalleitungen mit anderen Hardware-Komponenten verbunden und steuert diese anderen Hardware-Komponenten.
Die Entschlüsselungseinrichtung 60 weist als funktionelle Komponenten eine Erwerbungseinheit 611, eine Entschlüsselungseinheit 612 und eine Ausgabeeinheit 613 auf. Die Funktionen der funktionellen Komponenten der Entschlüsselungseinrichtung 60 werden durch Software realisiert.
Der Datenspeicher 63 speichert Programme, die die Funktionen der funktionellen Komponenten der Entschlüsselungseinrichtung 60 realisieren. Diese Programme werden von dem Prozessor 61 in den Arbeitsspeicher 62 gelesen und von dem Prozessor 61 ausgeführt. Dadurch werden die Funktionen der funktionellen Komponenten der Entschlüsselungseinrichtung 60 realisiert.
Jeder von den Prozessoren 11, 21, 31, 41, 51 und 61 ist ein integrierter Schaltkreis (IC), der Verarbeitung durchführt. Konkrete Beispiele für jeden der Prozessoren 11, 21, 31, 41, 51 und 61 sind eine zentrale Verarbeitungseinheit (CPU), ein Digitalsignalprozessor (DSP) und eine Grafikverarbeitungseinheit (GPU).
Jeder von den Arbeitsspeichern 12, 22, 32, 42, 52 und 62 ist eine Speichereinrichtung zum temporären Speichern von Daten. Konkrete Beispiele für jeden von den Arbeitsspeichern 12, 22, 32, 42, 52 und 62 sind ein statischer Random-Access Memory (SRAM) und ein dynamischer Random-Access Memory (DRAM).
Jeder von den Datenspeichern 13, 23, 33, 43, 53 und 63 ist eine Speichereinrichtung zum Speichern von Daten. Ein konkretes Beispiel für jeden von den Datenspeichern 13, 23, 33, 43, 53 und 63 ist ein Festplattenlaufwerk (HDD). Alternativ dazu kann jeder von den Datenspeichern 13, 23, 33, 43, 53 und 63 ein tragbares Speichermedium sein, wie etwa eine Secure Digital-Datenspeicherkarte (SD, eingetragene Marke), Compact Flash (CF, eingetragene Marke), NAND-Flash, eine flexible Scheibe, eine optische Scheibe, eine Compact Disk, eine Blu-ray-Disk (eingetragene Marke) oder eine Digital Versatile Disk (DVD).
Jede von den Kommunikationsschnittstellen 14, 24, 34, 44, 54 und 64 ist eine Schnittstelle für eine Kommunikation mit externen Einrichtungen. Konkrete Beispiele für jede von den Kommunikationsschnittstellen 14, 24, 34, 44, 54 und 64 sind ein Ethernet-Port (eingetragene Marke), ein Universal Serial Bus(USB)-Port und ein High-Definition Multimedia Interface(HDMI, eingetragene Marke)-Port.
6 stellt nur einen Prozessor 11 dar. Es können jedoch eine Vielzahl von Prozessoren 11 enthalten sein, und die Vielzahl von Prozessoren 11 können die Programme zur Realisierung der jeweiligen Funktionen zusammenwirkend ausführen.
Ebenso können eine Vielzahl von Prozessoren 21, eine Vielzahl von Prozessoren 31, eine Vielzahl von Prozessoren 41, eine Vielzahl von Prozessoren 51 und eine Vielzahl von Prozessoren 61 enthalten sein, und die Vielzahl von Prozessoren 21, die Vielzahl von Prozessoren 31, die Vielzahl von Prozessoren 41, die Vielzahl von Prozessoren 51 und die Vielzahl von Prozessoren 61 können zusammenwirkend die Programme ausführen, die die jeweiligen Funktionen realisieren.
*** Beschreibung der Funktionsweise ***
Unter Bezugnahme auf 12 bis 18 wird die Funktionsweise des kryptographischen Systems 100 gemäß der ersten Ausführungsform beschrieben.
Das kryptografische System 100 nach der ersten Ausführungsform realisiert die AB-PRE. Hier wird von einem Schlüsselkapselungsmechanismus (KEM) und einem Datenkapselungsmechanismus (DEM) ausgegangen, und es wird ein Beispiel beschrieben, bei dem die AB-PRE als der KEM verwendet wird.
Die AB-PRE umfasst einen Setup-Algorithmus, einen KG-Algorithmus, einen RKG-Algorithmus, einen Enc-Algorithmus, einen REnc-Algorithmus und einen Dec-Algorithmus.
Der Setup-Algorithmus ist ein probabilistischer Algorithmus, der als Eingabe einen Sicherheitsparameter 1^λ und Rauminformationen n^→ nimmt und einen öffentlichen Schlüssel pk und einen geheimen Hauptschlüssel msk ausgibt.
Der KG-Algorithmus ist ein probabilistischer Algorithmus, der als Eingabe den öffentlichen Schlüssel pk, den geheimen Hauptschlüssel msk und die Attributinformationen Γ nimmt und einen Entschlüsselungsschlüssel skr ausgibt.
Der Enc-Algorithmus ist ein probabilistischer Algorithmus, der als Eingabe den öffentlichen Schlüssel pk und Attributinformationen S nimmt und einen Chiffretext cts und einen Sitzungsschlüssel K ausgibt.
Der RKG-Algorithmus ist ein probabilistischer Algorithmus, der als Eingabe den öffentlichen Schlüssel pk, den Entschlüsselungsschlüssel skr und die Attributinformationen S' nimmt und einen Neuverschlüsselungsschlüssel rk ausgibt. Der REnc-Algorithmus ist ein probabilistischer Algorithmus, der als Eingabe den öffentlichen Schlüssel pk, den Neuverschlüsselungsschlüssel rk und den Chiffretext cts nimmt und einen neuverschlüsselten Chiffretext rct_S' ausgibt. Der Dec-Algorithmus ist ein deterministischer Algorithmus, der als Eingabe den öffentlichen Schlüssel pk, den Entschlüsselungsschlüssel skr und einen von dem Chiffretext cts und dem neuverschlüsselten Chiffretext rct_S' nimmt und den Sitzungsschlüssel K ausgibt.
In der ersten Ausführungsform sind die Attributinformationen S und die Attributinformationen S' gleichbedeutend mit der oben beschriebenen Zugriffsstruktur S := (M, ρ).
In 12 wird die Funktionsweise der Gemeinsamer-Parameter-Generierungseinrichtung 10 gemäß der ersten Ausführungsform beschrieben. Ein Ablauf der Funktionsweise der Gemeinsamer-Parameter-Generierungseinrichtung 10 gemäß der ersten Ausführungsform ist gleichbedeutend mit einem gemeinsamer-Parameter-Generierungsverfahren gemäß der ersten Ausführungsform. Ein Programm, das die Funktionsweise der Gemeinsamer-Parameter-Generierungseinrichtung 10 gemäß der ersten Ausführungsform realisiert, ist gleichbedeutend mit einem Gemeinsamer-Parameter-Generierungsprogramm gemäß der ersten Ausführungsform. Die Gemeinsamer-Parameter-Generierungseinrichtung 10 führt den Setup-Algorithmus aus.
(Schritt 511: Erwerbungsprozess)
Die Erwerbungseinheit 111 erwirbt einen Sicherheitsparameter 1^λ und Rauminformationen n^→ := (d; n₁, ..., n_d).
Konkret erwirbt die Erwerbungseinheit 111 den Sicherheitsparameter 1^λ und die Rauminformationen n^→, die von einem Administrator oder dergleichen des kryptografischen Systems 100 über die Kommunikationsschnittstelle 14 eingegeben werden. Die Erwerbungseinheit 111 schreibt den Sicherheitsparameter 1^λ und die Rauminformationen n^→ in den Arbeitsspeicher 12. Die Rauminformationen n^→ sind ein Parameter, der eine Konfiguration wie die Anzahl von Dimensionen der von dem kryptografischen System 100 verwendeten Dualpaarungs-Vektorräume bestimmt.
(Schritt S12: Parameter-Generierungsprozess)
Die Parameter-Generierungseinheit 112 generiert einen öffentlichen Schlüssel pk und einen geheimen Hauptschlüssel msk, unter Verwendung als Eingabe der Sicherheitsparameter 1^λ und der erworbenen Rauminformationen n^→, die in Schritt S11 erworben werden..
Insbesondere führt die Parameter-Generierungseinheit 112 einen in Formel 130 angegebenen Algorithmus G_ob aus, unter Verwendung als Eingabe der Sicherheitsparameter 1^λ und der Rauminformationen n^→, um param_n, ein Element gt und Basen {Bt, B*_t}_t=0,...,d zu generieren. $({param}_{n}, g_{t}, {B_{t}, B_{t}^{*}}_{t = 0, \dots, d}) \leftarrow G_{o b} (1^{λ}, \vec{n} = (d; n_{1}, \dots, n_{d}))$
wobei $G_{o b} (1^{λ}, \vec{n} = (d; n_{1}, \dots, n_{d}))$
${param}_{G} : = (q, G, G_{t}, g, e) \leftarrow G_{b p g} (1^{λ}),$
$N_{0} : = 6, N_{t} : = 3 n_{t} + 1 f \ddot{u} r t = 1, \dots, d, ψ \overset{U}{\leftarrow} F_{q}^{\times}, g_{T} = e {(g, g)}^{ψ},$
$f \ddot{u} r t = 0, \dots, d,$
${param}_{V_{t}} : = (q, V_{t}, G_{t}, A_{t}, e) \overset{R}{\leftarrow} G_{d p v s} (1^{λ}, N_{t}),$
$X_{t} : = (\begin{matrix} {\vec{χ}}_{t,1} \\ ⋮ \\ {\vec{χ}}_{t, N_{t}} \end{matrix}) : = {(χ_{t, i, j})}_{i, j} \overset{U}{\leftarrow} G L (N_{t}, F_{q}),$
$X_{t} : = (\begin{matrix} {\vec{ν}}_{t,1} \\ ⋮ \\ {\vec{ν}}_{t, N_{t}} \end{matrix}) : = {(ν_{t, i, j})}_{i, j} : = ψ \cdot {(X_{t}^{T})}^{- 1},$
${param}_{n} : = ({{param}_{V_{t}}}_{t = 0, \dots, d}),$
$b_{t, i} : = \sum_{j = 1}^{N_{t}} χ_{t, i, j} a_{t, j}, B_{t} : = (b_{t,1}, \dots, b_{t, N_{t}}),$
$b_{t, i}^{*} : = \sum_{j = 1}^{N_{t}} ν_{t, i, j} a_{t, j}, B_{t}^{*} : = (b_{t,1}^{*}, \dots, b_{t, N_{t}}^{*}),$
$zur \ddot{u} ckgeben : {param}_{n,} g_{T}, {B_{t}, B_{t}^{*}}_{t = 0, \dots, d} .$
Die Parameter-Generierungseinheit 112 generiert Teilbasen {B^_t, B^*_t}_t=0,...,d auf Grundlage der Basen {Bt, B*_t}_t=0,...,d wie in Formel 131 angegeben. $\begin{array}{l} {\hat{B}}_{0} : = (b_{0,1}, b_{0,2}, b_{0,5}), \\ {\hat{B}}_{t} : = (b_{t,1}, \dots, b_{t, n_{t}}, b_{t, N_{t}}) f \ddot{u} r t = 1, \dots, d, \\ {\hat{B}}_{0}^{*} : = (b_{0,1}^{*}, b_{0,2}^{*}, b_{0,4}^{*}), \\ {\hat{B}}_{t}^{*} : = (b_{t,1}^{*}, \dots, b_{t, n_{t}}^{*}, b_{t,2 n_{t} + 1}^{*}, \dots b_{t,3 n_{t}}^{*}) f \ddot{u} r t = 1, \dots, d \end{array}$
Die Parameter-Generierungseinheit 112 generiert ein Element a, ein Element A und ein Element c, wie in Formel 132 angegeben. $\begin{array}{l} α \overset{U}{\leftarrow} F_{q}, A : = g_{T}^{α}, \\ η \overset{U}{\leftarrow} F_{q}, c : = {(0,0,0,0, η, α)}_{B_{0}} \end{array}$
Die Parameter-Generierungseinheit 112 setzt den Sicherheitsparameter 1^λ, den param_n, das Element g_t, die Teilbasis {B^_t}_t=0,...,d, das Element A und das Element c in den öffentlichen Schlüssel pk. Die Parameter-Generierungseinheit 112 setzt die Teilbasis {B^*_t}_t=0,...,d, das Element a und einen Basisvektor b*_0,6 in den geheimen Hauptschlüssel msk.
(Schritt S13: Ausgabeprozess)
Die Ausgabeeinheit 113 gibt den öffentlichen Schlüssel pk und den geheimen Hauptschlüssel msk aus, die in Schritt S12 generiert wurden.
Insbesondere überträgt die Ausgabeeinheit 113 den öffentlichen Schlüssel pk über die Kommunikationsschnittstelle 14 an jede von den Nutzer-Geheimschlüssel-Generierungseinrichtungen 20, jede von den Verschlüsselungseinrichtungen 30, die Neuverschlüsselungsschlüssel-Generierungseinrichtung 40, die Neuverschlüsselungseinrichtung 50 und an die Entschlüsselungseinrichtung 60. Die Ausgabeeinheit 113 überträgt den geheimen Hauptschlüssel msk über die Kommunikationsschnittstelle 14 an jede von den Nutzer-Geheimschlüssel-Generierungseinrichtungen 20. Zu diesem Zeitpunkt überträgt die Ausgabeeinheit 113 den geheimen Hauptschlüssel msk, nachdem dieser durch ein Verfahren wie Verschlüsselung mit einem vorhandenen Verschlüsselungsalgorithmus vertraulich gemacht wurde.
Der öffentliche Schlüssel pk und der geheime Hauptschlüssel msk können auf einem Speichermedium gespeichert und per Post versandt werden, anstatt über die Kommunikationsschnittstelle 14 übertragen zu werden.
Das heißt, die Gemeinsamer-Parameter-Generierungseinrichtung 10 führt den in Formel 133 angegebenen Setup-Algorithmus aus. $Setup (1^{λ}, \vec{n} = (d; n_{1}, \dots, n_{d})) :$
$({param}_{n}, g_{t}, {B_{t}, B_{t}^{*}}_{t = 0, \dots, d}) \leftarrow G_{o b} (1^{λ}, \vec{n} = (d; n_{1}, \dots, n_{d})),$
${\hat{B}}_{0} : = (b_{0,1}, b_{0,2}, b_{0,5}),$
${\hat{B}}_{t} : = (b_{t 1,}, \dots, b_{t, n_{t}}, b_{t, N_{t}}) f \ddot{u} r t = 1, \dots, d,$
${\hat{B}}_{0}^{*} : = (b_{0,1}^{*}, b_{0,2}^{*}, b_{0,4}^{*}),$
${\hat{B}}_{t}^{*} : = (b_{t,1}^{*}, \dots, b_{t, n_{t}}^{*}, b_{t,2 n_{t} + 1}^{*}, \dots b_{t,3 n_{t}}^{*}) f \ddot{u} r t = 1, \dots, d,$
$α \overset{U}{\leftarrow} F_{q}, A : = g_{T}^{a},$
$η \overset{U}{\leftarrow} F_{q}, c : = {(0,0,0,0, η, a)}_{B_{0}},$
$zur \ddot{u} ckgeben : p k : = (1^{λ}, {param}_{n}, g_{t}, {B_{t}}_{t = 0, \dots, d}, A, c),$
$m s k : = ({B_{t}^{*}}_{t = 0, \dots, d}, a, b_{0,6}^{*}) .$
Unter Bezugnahme auf 13 wird die Funktionsweise der Nutzer-Geheimschlüssel-Generierungseinheit 20 gemäß der ersten Ausführungsform beschrieben.
Ein Ablauf der Funktionsweise der Nutzer-Geheimschlüssel-Generierungseinheit 20 gemäß der ersten Ausführungsform ist gleichbedeutend mit einem Nutzer-Geheimschlüssel-Generierungsverfahren gemäß der ersten Ausführungsform. Ein Programm, das die Funktionsweise der Nutzer-Geheimschlüssel-Generierungseinheit 20 gemäß der ersten Ausführungsform realisiert, ist gleichbedeutend mit einem Nutzer-Geheimschlüssel-Generierungsprogramm gemäß der ersten Ausführungsform.
Die Nutzer-Geheimschlüssel-Generierungseinrichtung 20 führt den KG-Algorithmus aus.
(Schritt S21: Erwerbungsprozess)
Die Erwerbungseinheit 211 erwirbt den öffentlichen Schlüssel pk, den geheimen Hauptschlüssel msk und Attributinformationen Γ := {t, x^→ _t|x^→ _t ∈ F_q ^nt\{0^→}, 1 ≤ t ≤ d}.
Konkret empfängt die Erwerbungseinheit 211 über die Kommunikationsschnittstelle 24 den öffentlichen Schlüssel pk und den geheimen Hauptschlüssel msk, die von der Gemeinsamer-Parameter-Generierungseinrichtung 10
übermittelt werden. Die Erwerbungseinheit 211 erwirbt die Attributinformationen Γ, die über die Kommunikationsschnittstelle 14 von einem Nutzer oder dergleichen der Nutzer-Geheimschlüssel-Generierungseinheit 20 eingegeben werden. Die Erwerbungseinheit 211 schreibt den öffentlichen Schlüssel pk, den geheimen Hauptschlüssel msk und die Attributinformationen Γ in den Arbeitsspeicher 22.
Die Attributinformationen Γ geben Attribute wie eine zugehörige Organisation und eine Position des Nutzers eines Entschlüsselungsschlüssels sk_Γ an. So wird beispielsweise jedem t ein Attribut-Typ zugewiesen, und ein Attribut des t zugewiesenen Typs wird in x^→ _t gesetzt. Als konkretes Beispiel wird ein zugehöriges Unternehmen t = 1 zugewiesen, eine zugehörige Abteilung t = 2 zugewiesen, eine zugehörige Unterabteilung t = 3 zugewiesen und eine Position t = 4 zugewiesen. Dann wird das Unternehmen, zu dem der Nutzer gehört, in x^→ ₁ gesetzt, die Abteilung, zu der der Nutzer gehört, in x^→ ₂ gesetzt, die Unterabteilung, zu der der Nutzer gehört, in x^→ ₃ gesetzt und die Position des Nutzers in x^→ ₄ gesetzt.
(Schritt S22: Nutzer-Geheimschlüssel-Generierungsprozess)
Die Nutzer-Geheimschlüssel-Generierungseinheit 212 generiert den Entschlüsselungsschlüssel sk_Γ, unter Verwendung als Eingabe des öffentlichen Schlüssels pk, des geheimen Hauptschlüssels msk und der Attributinformationen Γ, die in Schritt S21 erworben werden.
Insbesondere generiert die Nutzer-Geheimschlüssel-Generierungseinheit 212 Zufallszahlen, wie in Formel 134 angegeben. $δ, φ_{0} \overset{U}{\leftarrow} F_{q}, {\vec{φ}}_{t} \overset{U}{\leftarrow} F_{q}^{n_{t}} f \ddot{u} r (t, {\vec{x}}_{t}) \in Γ$
Die Nutzer-Geheimschlüssel-Generierungseinheit 212 generiert ein Schlüsselelement k*₀ und ein Schlüsselelement k*_t für jedes in den Attributinformationen Γ enthaltene t, wie in Formel 135 angegeben. $\begin{array}{l} k_{0}^{*} : = {(1, δ,0, φ_{0},0,0)}_{B_{0}^{*}}, \\ k_{t}^{*} : = \overset{n_{1}}{\overset{︷}{(δ {\vec{x}}_{t}}}, \overset{n_{t}}{\overset{︷}{0^{n_{t}}}}, \overset{n_{t}}{\overset{︷}{{\vec{φ}}_{t}}}, {\overset{1}{\overset{︷}{0)}}}_{B_{t}^{*}} f \ddot{u} r (t, {\vec{x}}_{t}) \in Γ \end{array}$
(Schritt S23: Ausgabeprozess)
Die Ausgabeeinheit 213 gibt als den Entschlüsselungsschlüssel skr die Attributinformationen Γ, das Schlüsselelement k*₀ und die Schlüsselelemente k*t, die in Schritt S22 generiert wurden, sowie den Basisvektor b*_0,6 aus. Insbesondere überträgt die Ausgabeeinheit 213 den Entschlüsselungsschlüssel sk_Γ über die Kommunikationsschnittstelle 24 an die Neuverschlüsselungsschlüssel-Generierungseinrichtung 40 und die Entschlüsselungseinrichtung 60. Zu diesem Zeitpunkt überträgt die Ausgabeeinheit 213 den Entschlüsselungsschlüssel sk_Γ, nachdem dieser durch ein Verfahren wie Verschlüsselung mit einem vorhandenen Verschlüsselungsalgorithmus vertraulich gemacht wurde. Der Entschlüsselungsschlüssel sk_Γ kann auf einem Speichermedium gespeichert und per Post versandt werden, anstatt über die Kommunikationsschnittstelle 24 übertragen zu werden.
Das heißt, die Nutzer-Geheimschlüssel-Generierungseinrichtung 20 führt den in Formel 136 angegebenen KG-Algorithmus aus. $KG (p k, m s k, Γ : = ({(t, {\vec{x}}_{t}) | {\vec{x}}_{t} \in F_{q}^{n_{t}} \ {\vec{0}},1 \leq t \leq d})) :$
$δ, φ_{0} \overset{U}{\leftarrow} F_{q}, {\vec{φ}}_{t} \overset{U}{\leftarrow} F_{q}^{n_{t}} f \ddot{u} r (t, {\vec{x}}_{t}) \in Γ,$
$k_{0}^{*} : = {(1, δ,0, φ_{0},0,0)}_{B_{0}^{*}},$
$k_{t}^{*} : = \overset{n_{t}}{\overset{︷}{(δ {\vec{x}}_{t}}}, \overset{n_{t}}{\overset{︷}{0^{n_{t}}}}, \overset{n_{t}}{\overset{︷}{{\vec{φ}}_{t}}}, {\overset{1}{\overset{︷}{0)}}}_{B_{t}^{*}} for (t, {\vec{x}}_{t}) \in Γ,$
$zur \ddot{u} ckgeben : s k_{Γ} : = (Γ, k_{0}^{*}, {k_{t}^{*}}_{(t, {\vec{x}}_{t}) \in Γ}, b_{0,6}^{*}) .$
Unter Bezugnahme auf 14 wird die Funktionsweise der Entschlüsselungseinrichtung 30 gemäß der ersten Ausführungsform beschrieben. Ein Ablauf der Funktionsweise der Entschlüsselungseinrichtung 30 gemäß der ersten Ausführungsform ist gleichbedeutend mit einem Verschlüsselungsverfahren gemäß der ersten Ausführungsform. Ein Programm, das die Funktionsweise der Verschlüsselungseinrichtung 30 gemäß der ersten Ausführungsform realisiert, ist gleichbedeutend mit einem Verschlüsselungsprogramm gemäß der ersten Ausführungsform.
Die Verschlüsselungseinrichtung 30 führt den Enc-Algorithmus aus.
(Schritt S31: Erwerbungsprozess)
Die Erwerbungseinheit 311 erwirbt den öffentlichen Schlüssel pk und die Attributinformationen S = (M, ρ).
Konkret empfängt die Erwerbungseinheit 311 über die Kommunikationsschnittstelle 34 den von der Gemeinsamer-Parameter-Generierungseinrichtung 10 übermittelten öffentlichen Schlüssel pk. Die Erwerbungseinheit 311 erwirbt die Attributinformationen S, die von einem Nutzer oder dergleichen der Verschlüsselungseinrichtung 30 über die Kommunikationsschnittstelle 14 eingegeben werden. Die Erwerbungseinheit 311 schreibt den öffentlichen Schlüssel pk und die Attributinformationen S in den Arbeitsspeicher 32.
Die Attributinformationen S geben einen Bereich von Attributen an, für den Entschlüsselung eines Chiffretextes cts zuzulassen ist. Die Attributinformationen S geben den Bereich von Attributen an, für den Entschlüsselung des Chiffretextes cts zuzulassen ist, und zwar als bedingter Ausdruck mit logischem ODER und logischem UND.
(Schritt S32: Chiffretext-Generierungsprozess)
Die Chiffretext-Generierungseinheit 312 generiert den Chiffretext cts, unter Verwendung als Eingabe des öffentlichen Schlüssels pk und der Attributinformationen S, die in Schritt S31 erworben wurden. Konkret generiert die Chiffretext-Generierungseinheit 312 verteilte Informationen s_i für jede ganze Zahl i von i = 1, ..., L und Geheiminformationen so, wie in Formel 137 angegeben. $\begin{array}{l} \vec{f} \overset{U}{\leftarrow} F_{q}^{r}, \\ {\vec{s}}^{T} : = {(s_{1}, \dots, s_{L})}^{T} : = M \cdot {\vec{f}}^{T}, \\ s_{0} : = \vec{1} \cdot {\vec{f}}^{T} \end{array}$
Die Chiffretext-Generierungseinheit 312 generiert Zufallszahlen, wie in Formel 138 angegeben. $η_{0}, ζ \overset{U}{\leftarrow} F_{q}$
Die Chiffretext-Generierungseinheit 312 generiert ein Chiffreelement c₀, wie in Formel 139 angegeben. $c_{0} : = c + {(ζ, - s_{0},0,0, η_{0},0)}_{B_{0}}$
Die Chiffretext-Generierungseinheit 312 generiert einen Sitzungsschlüssel K, wie in Formel 140 angegeben. $K : = g_{T}^{ζ}$
Die Chiffretext-Generierungseinheit 312 generiert ein Chiffreelement c_i für jede ganze Zahl i von i = 1, ..., L, wie in Formel 141 angegeben. $f \ddot{u} r i = 1, \dots, L,$
$falls ρ (i) = (t, {\vec{ν}}_{i} : = (ν_{i 1,}, \dots, ν_{i, n_{t}}) \in F_{q}^{n_{t}} \ {\vec{0}}) (ν_{i, n_{t}} \neq 0),$
$θ_{i}, η_{i} \overset{U}{\leftarrow} F_{q},$
$c_{i} : = \overset{n_{t}}{\overset{︷}{(s_{i} {\vec{e}}_{t,1} + θ_{i} {\vec{ν}}_{i}}}, \overset{n_{t}}{\overset{︷}{0^{n_{t}}}}, \overset{n_{t}}{\overset{︷}{0^{n_{t}}}}, {\overset{1}{\overset{︷}{η_{i})}}}_{B_{t}},$
$falls ρ (i) = \neg (t, {\vec{ν}}_{i}),$
$η_{i} \overset{U}{\leftarrow} F_{q},$
$c_{i} : = \overset{n_{t}}{\overset{︷}{(s_{i} {\vec{ν}}_{i}}}, \overset{n_{t}}{\overset{︷}{0^{n_{t}}}}, \overset{n_{t}}{\overset{︷}{0^{n_{t}}}}, {\overset{1}{\overset{︷}{η_{i})}}}_{B_{t}}$
(Schritt S33: Ausgabeprozess)
Die Ausgabeeinheit 313 gibt den in Schritt S32 generierten Chiffretext ct_S mit den Attributinformationen S und dem Chiffreelement c_i für jede ganze Zahl i von i = 0, ..., L sowie die in Schritt S32 generierte Sitzung K aus. Insbesondere überträgt die Ausgabeeinheit 313 den Chiffretext ct_S über die Kommunikationsschnittstelle 34 an die Neuverschlüsselungseinrichtung 50 und die Entschlüsselungseinrichtung 60. Die Ausgabeeinheit 313 schreibt den Sitzungsschlüssel K in den Arbeitsspeicher 32.
Das heißt, die Verschlüsselungseinrichtung 30 führt den in Formel 142 angegebenen Enc-Algorithmus aus. $Enc (p k, S : = (M, ρ)) :$
$\vec{f} \overset{U}{\leftarrow} F_{q}^{r}, {\vec{s}}^{T} : = {(s_{1}, \dots, s_{L})}^{T} : = M \cdot {\vec{f}}^{T}, s_{0} : = \vec{1} \cdot {\vec{f}}^{T},$
$η_{0}, ζ \overset{U}{\leftarrow} F_{q}, c_{0} : = c + {(ζ, - s_{0},0,0, η_{0},0)}_{B_{0}}, K : = g_{T}^{ζ},$
$f \ddot{u} r i = 1, \dots, L,$
$falls ρ (i) = (t, {\vec{ν}}_{i} : = (ν_{i,1}, \dots, ν_{i, n_{t}}) \in F_{q}^{n_{t}} \ {\vec{0}}) (ν_{i, n_{t}} \neq 0),$
$θ_{i}, η_{i} \overset{U}{\leftarrow} F_{q},$
$c_{i} : = \overset{n_{t}}{\overset{︷}{(s_{i} {\vec{e}}_{t,1} + θ_{i} {\vec{ν}}_{i}}}, \overset{n_{t}}{\overset{︷}{0^{n_{t}}}}, \overset{n_{t}}{\overset{︷}{0^{n_{t}}}}, {\overset{1}{\overset{︷}{η_{i})}}}_{B_{t}},$
$falls ρ (i) = \neg (t, {\vec{ν}}_{i}),$
$η_{i} \overset{U}{\leftarrow} F_{q},$
$c_{i} : = \overset{n_{t}}{\overset{︷}{(s_{i} {\vec{ν}}_{i}}}, \overset{n_{t}}{\overset{︷}{0^{n_{t}}}}, \overset{n_{t}}{\overset{︷}{0^{n_{t}}}}, {\overset{1}{\overset{︷}{η_{i})}}}_{B_{t}},$
$zur \ddot{u} ckgeben : c t_{S} : = (S, {c_{i}}_{i = 0, \dots, L}), K .$
Unter Bezugnahme auf 15 wird die Funktionsweise der Neuverschlüsselungsschlüssel-Generierungseinrichtung 40 gemäß der ersten Ausführungsform beschrieben.
Ein Ablauf der Funktionsweise der Neuverschlüsselungsschlüssel-Generierungseinrichtung 40 gemäß der ersten Ausführungsform ist gleichbedeutend mit einem Neuverschlüsselungsschlüssel-Generierungsverfahren gemäß der ersten Ausführungsform. Ein Programm, das die Funktionsweise der Neuverschlüsselungsschlüssel-Generierungseinrichtung 40 gemäß der ersten Ausführungsform realisiert, ist gleichbedeutend mit einem Neuverschlüsselungsschlüssel-Generierungsprogramm gemäß der ersten Ausführungsform.
Die Neuverschlüsselungsschlüssel-Generierungseinrichtung 40 führt den RKG-Algorithmus aus.
(Schritt S41: Erwerbungsprozess)
Die Erwerbungseinheit 411 erwirbt den öffentlichen Schlüssel pk, den Entschlüsselungsschlüssel skr und die Attributinformationen S':= (M, ρ).
Konkret empfängt die Erwerbungseinheit 411 über die Kommunikationsschnittstelle 44 den von der Gemeinsamer-Parameter-Generierungseinrichtung 10 übermittelten öffentlichen Schlüssel pk. Die Erwerbungseinheit 411 empfängt über die Kommunikationsschnittstelle 44 den Entschlüsselungsschlüssel sk_Γ, der von der Nutzer-Geheimschlüssel-Generierungseinheit 20 übermittelt wurde. Die Erwerbungseinheit 411 erwirbt die Attributinformationen S', die von einem Nutzer oder dergleichen der Neuverschlüsselungsschlüssel-Generierungseinrichtung 40 über die Kommunikationsschnittstelle 14 eingegeben werden. Die Erwerbungseinheit 411 schreibt den öffentlichen Schlüssel pk, den Entschlüsselungsschlüssel skr und die Attributinformationen S' in den Arbeitsspeicher 42.
Die Attributinformationen S geben eine Bereich von Attributen an, für den Entschlüsselung eines neuverschlüsselten Chiffretextes rct_S' zuzulassen ist. Konkret, wie die Attributinformationen S, geben auch die Attributinformationen S' den Bereich von Attributen an, für den Entschlüsselung des neuverschlüsselten Chiffretextes rct_S' zuzulassen ist, und zwar als bedingter Ausdruck unter Verwendung von logischem ODER und logischem UND.
(Schritt S42: Neuverschlüsselungsschlüssel-Generierungsprozess) Die Neuverschlüsselungsschlüssel-Generierungseinheit 412 generiert den Neuverschlüsselungsschlüssel rk, unter Verwendung als Eingabe des öffentlichen Schlüssels pk, des Entschlüsselungsschlüssels sk_Γ und der Attributinformationen S', die in Schritt S41 erworben wurden.
Konkret generiert die Neuverschlüsselungsschlüssel-Generierungseinheit 412 Zufallszahlen, wie in Formel 143 angegeben. $r \overset{U}{\leftarrow} F_{q}$
Die Neuverschlüsselungsschlüssel-Generierungseinheit 412 generiert einen konvertierten Entschlüsselungsschlüssel sk_Γ ^~, wie in Formel 144 angegeben. $s {\tilde{k}}_{Γ} : = (Γ, k_{0}^{*} + r b_{0,6}^{*}, {k_{t}^{*}}_{(t, {\vec{x}}_{t}) \in Γ})$
Infolgedessen ist k*₀ in dem konvertierten Entschlüsselungsschlüssel sk_Γ ^~ wie in Formel 145 angegeben. $k_{0}^{*} : = {(1, δ,0, φ_{0},0, r)}_{B_{0}^{*}}$
Die Neuverschlüsselungsschlüssel-Generierungseinheit 412 führt den Enc-Algorithmus aus, unter Verwendung als Eingabe des öffentlichen Schlüssels pk und der Attributinformationen S', um einen Chiffretext ct_S' und einen Sitzungsschlüssel K' zu generieren, wie in Formel 146 angegeben. $(c t_{S'}, K') \leftarrow Enc (p k, S')$
Das heißt, die Neuverschlüsselungsschlüssel-Generierungseinheit 412 führt die Prozesse von Schritt S32 von 14 aus, unter Verwendung als Eingabe des öffentlichen Schlüssels pk und der Attributinformationen S', um den Chiffretext ct_S' und den Sitzungsschlüssel K' zu generieren.
(Schritt S43: Ausgabeprozess)
Die Ausgabeeinheit 413 gibt als den Neuverschlüsselungsschlüssel rk, den konvertierten Entschlüsselungsschlüssel sk_Γ ^~, ein Element A^r·K' und den Chiffretext ct_S' aus. Das Element A^r·K' wird durch Multiplizieren eines Elements A^r, das aus dem Element A und der in dem öffentlichen Schlüssel pk enthaltenen Zufallszahl r erhalten wird, mit dem Sitzungsschlüssel K' erhalten.
Insbesondere überträgt die Ausgabeeinheit 413 den Neuverschlüsselungsschlüssel rk über die Kommunikationsschnittstelle 44 an die Neuverschlüsselungseinrichtung 50.
Das heißt, die Neuverschlüsselungsschlüssel-Generierungseinrichtung 40 führt den in Formel 147 angegebenen RKG-Algorithmus aus. $RKG (p k, s k_{Γ} : = (Γ, k_{0}^{*}, {k_{t}^{*}}_{(t, {\vec{x}}_{t}) \in Γ}, b_{0,6}^{*}), S : = (M', ρ')) :$
$r \overset{U}{\leftarrow} F_{q},$
$s {\tilde{k}}_{Γ} : = (Γ, k_{0}^{*} + r b_{0,6}^{*}, {k_{t}^{*}}_{(t, {\vec{x}}_{t}) \in Γ}),$
$(c t_{S'}, K') \leftarrow Enc (p k, S'),$
$zur \ddot{u} ckgeben : r k : = (s {\tilde{k}}_{Γ}, A^{r} \cdot K', c t_{S'}) .$
Unter Bezugnahme auf 16 wird die Funktionsweise der Neuverschlüsselungseinrichtung 50 gemäß der ersten Ausführungsform beschrieben.
Ein Ablauf der Funktionsweise der Neuverschlüsselungseinrichtung 50 gemäß der ersten Ausführungsform ist gleichbedeutend mit einem Neuverschlüsselungsverfahren gemäß der ersten Ausführungsform. Ein Programm, das die Funktionsweise der Neuverschlüsselungseinrichtung 50 gemäß der ersten Ausführungsform realisiert, ist gleichbedeutend mit einem Neuverschlüsselungsprogramm gemäß der ersten Ausführungsform. Die Neuverschlüsselungseinrichtung 50 führt den REnc-Algorithmus aus.
(Schritt S51: Chiffretext-Erwerbungsprozess)
Die Chiffretext-Erwerbungseinheit 514 erwirbt den Chiffretext cts. Das heißt, die Chiffretext-Erwerbungseinheit 514 erwirbt den Chiffretext cts aus dem Sitzungsschlüssel K und dem Chiffretext cts, in dem der Sitzungsschlüssel K verschlüsselt ist, die durch den Enc-Algorithmus, der ein Verschlüsselungsalgorithmus ist, generiert wurden, unter Verwendung als Eingabe der Attributinformationen S, die den Bereich definieren, für den Entschlüsselung zuzulassen ist.
Konkret empfängt die Chiffre-Erwerbungseinheit 514 über die Kommunikationsschnittstelle 54 den von der Verschlüsselungseinrichtung 30 übertragenen Chiffretext cts. Die Erwerbungseinheit 514 schreibt den Chiffretext cts in den Arbeitsspeicher 52.
(Schritt S52: Schlüssel-Erwerbungsprozess)
Die Schlüssel-Erwerbungseinheit 515 erwirbt den Neuverschlüsselungsschlüssel rk. Das heißt, die Schlüssel-Erwerbungseinheit 515 erwirbt den Neuverschlüsselungsschlüssel rk, enthaltend den konvertierten Entschlüsselungsschlüssel sk_Γ ^~, der durch Setzen der Zufallszahl r in den Entschlüsselungsschlüssel skr generiert wurde, mit dem der Chiffretext cts entschlüsselt werden kann, den Sitzungsschlüssel K' und den Chiffretext ct_S', in dem der Sitzungsschlüssel K' verschlüsselt ist, die durch den Enc-Algorithmus generiert wurden, welcher ein Verschlüsselungsalgorithmus ist, unter Verwendung als Eingabe der Attributinformationen S', die den Bereich definieren, für den Entschlüsselung zuzulassen ist, und Konvertierungsinformationen, die aus der Zufallszahl r generiert wurden. Die Schlüssel-Erwerbungseinheit 515 erwirbt außerdem den öffentlichen Schlüssel pk.
Insbesondere empfängt die Schlüssel-Erwerbungseinheit 515 über die Kommunikationsschnittstelle 54 den von der Gemeinsamer-Parameter-Generierungseinrichtung 10 übertragenen öffentlichen Schlüssel pk und den von der Neuverschlüsselungsschlüssel-Generierungseinrichtung 40 übertragenen Neuverschlüsselungsschlüssel rk. Die Schlüssel-Erwerbungseinheit 515 schreibt den öffentlichen Schlüssel pk und den Neuverschlüsselungsschlüssel rk in den Arbeitsspeicher 52.
(Schritt S53: Bestimmungsprozess)
Die Neuverschlüsselter-Chiffretext-Generierungseinheit 512 bestimmt, ob die Attributinformationen S, die die in dem Chiffretext cts enthaltene Zugriffsstruktur ist, die in dem Neuverschlüsselungsschlüssel rk enthaltenen Attributinformationen Γ akzeptieren.
Falls diese akzeptiert werden, führt die Neuverschlüsselter-Chiffretext-Generierungseinheit 512 den Prozess weiter zu Schritt S54. Falls diese nicht akzeptiert werden, bestimmt die Neuverschlüsselter-Chiffretext-Generierungseinheit 512, dass ein neuverschlüsselter Chiffretext rct_S' nicht generiert werden kann und beendet den Prozess.
(Schritt S54: Neuverschlüsselter-Chiffretext-Generierungsprozess) Die Neuverschlüsselter-Schlüssel-Generierungseinheit 512 generiert einen neuverschlüsselten Chiffretext rct_S', unter Verwendung als Eingabe des in Schritt S51 erworbenen Chiffretextes ct_S und des in Schritt S52 erworbenen öffentlichen Schlüssels pk und des Neuverschlüsselungsschlüssels rk.
Insbesondere generiert die Neuverschlüsselter-Chiffretext-Generierungseinheit 512 Entschlüsselungsinformationen K^, indem der Chiffretext cts mit dem konvertierten Entschlüsselungsschlüssel sk_Γ ^~ entschlüsselt wird, der in dem Neuverschlüsselungsschlüssel rk enthalten ist. Die Neuverschlüsselter-Chiffretext-Generierungseinheit 512 generiert ein Chiffreelement K~, indem das Element, das sich auf die Zufallszahl r bezieht, aus den Entschlüsselungsinformationen K^ durch die Konvertierungsinformationen A_r gelöscht wird und der Sitzungsschlüssel K' gesetzt wird.
Dies wird nachstehend konkreter beschrieben.
Die Neuverschlüsselter-Chiffretext-Generierungseinheit 512 berechnet einen Index I und einen komplementären Koeffizienten {α_i}_i∈I, wie in Formel 148 angegeben. $\begin{array}{l} \vec{1} = \sum_{i \in I} α_{i} M_{i}, \\ I \subseteq {i \in {1, \dots, L} | [ρ (i) = (t, {\vec{v}}_{i}) \land (t, {\vec{x}}_{t}) \in Γ \land {\vec{v}}_{i} \cdot {\vec{x}}_{t} = 0] \lor \\ [ρ (i) = \neg (t, {\vec{v}}_{i}) \land (t, {\vec{x}}_{t}) \in Γ \land {\vec{v}}_{i} \cdot {\vec{x}}_{t} \neq 0]} \end{array}$
Es sei angemerkt, dass M_i eine i-te Zeile der Matrix M ist.
Die Neuverschlüsselter-Chiffretext-Generierungseinheit 512 generiert die Entschlüsselungsinformationen K^ durch Entschlüsselung des Chiffretextes cts mit dem konvertierten Entschlüsselungsschlüssel sk_Γ ^~, wie in Formel 149 angegeben. $\hat{K} : = e (c_{0}, k_{0}^{*}) \prod_{i \in I \land ρ (i) = (t, {\vec{v}}_{i})} e {(c_{i}, k_{t}^{*})}^{α_{i}} {\prod_{i \in I \land ρ (i) = \neg (l, {\vec{v}}_{i})} e (c_{i}, k_{t}^{*})}^{α_{i} / ({\vec{v}}_{i} \cdot {\vec{x}}_{t})}$
Die Neuverschlüsselter-Chiffretext-Generierungseinheit 512 generiert ein Chiffreelement K^~, indem das Element, das sich auf die Zufallszahl r bezieht, aus den Entschlüsselungsinformationen K^ durch das Element A^r·K', das die Konvertierungsinformationen A^r enthält, gelöscht wird und der Sitzungsschlüssel K^τ gesetzt wird. Insbesondere generiert die Neuverschlüsselter-Chiffretext-Generierungseinheit 512 das Chiffreelement K^~ durch Dividieren der Entschlüsselungsinformationen K^ durch das Element A^r·K'.
(Schritt S55: Ausgabeprozess)
Die Ausgabeeinheit 513 gibt als den neuverschlüsselten Chiffretext rct_S' den Chiffretext ct_S' und das Chiffreelement K^~ aus.
Insbesondere überträgt die Ausgabeeinheit 513 den neuverschlüsselten Chiffretext rct_S' über die Kommunikationsschnittstelle 54 an die Entschlüsselungseinrichtung 60.
Das heißt, die Neuverschlüsselungseinrichtung 50 führt den in Formel 150 angegebenen REnc-Algorithmus aus. $REnc (p k, r k : = (s {\tilde{k}}_{Γ}, A^{r} \cdot K', c t_{S'}), c t_{S} : = (S, {c_{i}}_{i = 0, \dots, L})) :$
$falls S Γ akzeptiert, dann I und {α_{i}}_{i \in I so berechnen, dass}$
$\vec{1} = \sum_{i \in I} α_{i} M_{i},$
$\begin{array}{l} I \subseteq {i \in {1, \dots, L} | [ρ (i) = (t, {\vec{v}}_{i}) \land (t, {\vec{x}}_{t}) \in Γ \land {\vec{v}}_{i} \cdot {\vec{x}}_{t} = 0] \lor \\ [ρ (i) = \neg (t, {\vec{v}}_{i}) \land (t, {\vec{x}}_{t}) \in Γ \land {\vec{v}}_{i} \cdot {\vec{x}}_{t} \neq 0]}, \end{array}$
$\hat{K} : = e (c_{0}, k_{0}^{*}) \prod_{i \in I \land ρ (i) = (t, {\vec{v}}_{i})} e {(c_{i}, k_{t}^{*})}^{α_{i}} {\prod_{i \in I \land ρ (i) = \neg (t, {\vec{v}}_{i})} e (c_{i}, k_{t}^{*})}^{α_{i} / ({\vec{v}}_{i} \cdot {\vec{x}}_{t})},$
$\tilde{K} : = \hat{K} / A^{r} \cdot K',$
$zur \ddot{u} ckgeben : r c t_{S'} : = (c t_{S'} : = (S', {c_{i}}_{i = 0, \dots, L}), \tilde{K}) .$
Die Neuverschlüsselungseinrichtung 50 verschlüsselt den von der Verschlüsselungseinrichtung 30 generierten Chiffretext cts neu und ändert dabei den Bereich, für den Entschlüsselung zuzulassen ist, hier von den Attributinformationen S auf die Attributinformationen S'. Das Neuverschlüsselungseinrichtung 50 kann jedoch auch den neuverschlüsselten Chiffretext rct_S' neu verschlüsseln und den Bereich ändern, für den Entschlüsselung zuzulassen ist. In diesem Fall kann die Chiffretext-Erwerbungseinheit 514 in Schritt S51 als den Chiffretext ct_S den in dem neuverschlüsselten Chiffretext rct_S' enthaltenen Chiffretext ct_S' erwerben. Die folgenden Prozesse sind die gleichen wie in dem Fall, in dem der durch die Verschlüsselungseinrichtung 30 generierte Chiffretext ct_S neu verschlüsselt wird.
Unter Bezugnahme auf die 17 und 18 wird die Funktionsweise der Entschlüsselungseinrichtung 60 gemäß der ersten Ausführungsform beschrieben.
Ein Ablauf der Funktionsweise der Entschlüsselungseinrichtung 60 gemäß der ersten Ausführungsform ist gleichbedeutend mit einem Entschlüsselungsverfahren gemäß der ersten Ausführungsform. Ein Programm, das die Funktionsweise der Entschlüsselungseinrichtung 60 gemäß der ersten Ausführungsform realisiert, ist gleichbedeutend mit einem Entschlüsselungsprogramm gemäß der ersten Ausführungsform.
Die Entschlüsselungseinrichtung 60 führt den Dec-Algorithmus aus.
Unter Bezugnahme auf 17 werden Prozesse, wenn der Chiffretext cts entschlüsselt wird, gemäß der ersten Ausführungsform erläutert. (Schritt S61: Erwerbungsprozess)
Die Erwerbungseinheit 611 erwirbt den öffentlichen Schlüssel pk, den Entschlüsselungsschlüssel sk_Γ und den Chiffretext ct_S.
Konkret empfängt die Erwerbungseinheit 611 über die Kommunikationsschnittstelle 64 den von der Gemeinsamer-Parameter-Generierungseinrichtung 10 übermittelten öffentlichen Schlüssel pk. Die Erwerbungseinheit 611 empfängt über die Kommunikationsschnittstelle 64 den Entschlüsselungsschlüssel sk_Γ, der von der Nutzer-Geheimschlüssel-Generierungseinheit 20 übermittelt wurde. Die Erwerbungseinheit 611 erwirbt über die Kommunikationsschnittstelle 64 den von der Verschlüsselungseinrichtung 30 übertragenen Chiffretext ct_S. Die Erwerbungseinheit 611 schreibt den öffentlichen Schlüssel pk, den Entschlüsselungsschlüssel sk_Γ und den Chiffretext ct_S in den Arbeitsspeicher 62.
(Schritt S62: Bestimmungsprozess)
Die Entschlüsselungseinheit 612 bestimmt, ob die Attributinformationen S, die die in dem Chiffretext cts enthaltene Zugriffsstruktur ist, die in dem Entschlüsselungsschlüssel sk_Γ enthaltenen Attributinformationen Γ akzeptieren.
Falls diese akzeptiert werden, führt die Entschlüsselungseinheit 612 den Prozess weiter zu Schritt S63. Falls diese nicht akzeptiert werden, bestimmt die Entschlüsselungseinheit 612, dass der Chiffretext ct_S nicht entschlüsselt werden kann und beendet den Prozess.
(Schritt S63: Entschlüsselungsprozess)
Die Entschlüsselungseinheit 612 entschlüsselt den Chiffretext ct_S mit dem Entschlüsselungsschlüssel sk_Γt, um den Sitzungsschlüssel K zu generieren. Insbesondere berechnet die Entschlüsselungseinheit 612 einen Index I und einen komplementären Koeffizienten {α_i}_i∈I, wie in Formel 151 angegeben. $\begin{array}{l} \vec{1} = \sum_{i \in I} α_{i} M_{i}, \\ I \subseteq {i \in {1, \dots, L} | [ρ (i) = (t, {\vec{v}}_{i}) \land (t, {\vec{x}}_{t}) \in Γ \land {\vec{v}}_{i} \cdot {\vec{x}}_{t} = 0] \lor \\ [ρ (i) = \neg (t, {\vec{v}}_{i}) \land (t, {\vec{x}}_{t}) \in Γ \land {\vec{v}}_{i} \cdot {\vec{x}}_{t} \neq 0]} \end{array}$
Es sei angemerkt, dass M_i die i-te Zeile der Matrix M ist. Die Entschlüsselungseinheit 612 berechnet die Formel 152, um den Sitzungsschlüssel K zu generieren. $K : = e (c_{0}, k_{0}^{*}) \prod_{i \in I \land ρ (i) = (t, {\vec{v}}_{i})} e {(c_{i}, k_{t}^{*})}^{α_{i}} {\prod_{i \in I \land ρ (i) = \neg (l, {\vec{v}}_{i})} e (c_{i}, k_{t}^{*})}^{α_{i} / ({\vec{v}}_{i} \cdot {\vec{x}}_{t})}$
Das heißt, die Entschlüsselungseinrichtung 60 führt den in Formel 153 angegebenen Dec-Algorithmus aus. $Dec (p k, s k_{Γ} : = (Γ, k_{0}^{*}, {k_{t}^{*}}_{(t, {\vec{x}}_{t}) \in Γ}), c t_{S} : = (S, {c_{i}}_{i = 0, \dots, L})) :$
$Falls S Γ akzeptiert, dann I und {α_{i}}_{i \in I berechnen, dass}$
$\vec{1} = \sum_{i \in I} α_{i} M_{i},$
$\begin{array}{l} I \subseteq {i \in {1, \dots, L} | [ρ (i) = (t, {\vec{v}}_{i}) \land (t, {\vec{x}}_{t}) \in Γ \land {\vec{v}}_{i} \cdot {\vec{x}}_{t} = 0] \lor \\ [ρ (i) = \neg (t, {\vec{v}}_{i}) \land (t, {\vec{x}}_{t}) \in Γ \land {\vec{v}}_{i} \cdot {\vec{x}}_{t} \neq 0]} \end{array}$
$K : = e (c_{0}, k_{0}^{*}) \prod_{i \in I \land ρ (i) = (t, {\vec{v}}_{i})} e {(c_{i}, k_{t}^{*})}^{α_{i}} {\prod_{i \in I \land ρ (i) = \neg (t, {\vec{v}}_{i})} e (c_{i}, k_{t}^{*})}^{α_{i} / ({\vec{v}}_{i} \cdot {\vec{x}}_{t})},$
$zur \ddot{u} ckgeben : K .$
Unter Bezugnahme auf 18 werden Prozesse, wenn der neuverschlüsselte Chiffretext rct_S' entschlüsselt wird, gemäß der ersten Ausführungsform beschrieben.
(Schritt S71: Erwerbungsprozess)
Die Erwerbungseinheit 611 erwirbt den öffentlichen Schlüssel pk, den Entschlüsselungsschlüssel sk_Γ, und den neuverschlüsselten Chiffretext rct_S'. Hier wird davon ausgegangen, dass die von der Zugriffsstruktur akzeptierten Attributinformationen, welche die Attributinformationen S', die Attributinformationen Γ' sind, und dass ein Entschlüsselungsschlüssel, der unter Verwendung der Attributinformationen Γ' als Eingabe generiert wird, der Entschlüsselungsschlüssel sk_Γ, ist.
Konkret empfängt die Erwerbungseinheit 611 über die Kommunikationsschnittstelle 64 den von der Gemeinsamer-Parameter-Generierungseinrichtung 10 übermittelten öffentlichen Schlüssel pk. Die Erwerbungseinheit 611 empfängt über die Kommunikationsschnittstelle 64 den Entschlüsselungsschlüssel sk_Γ, der von der Nutzer-Geheimschlüssel-Generierungseinheit 20 übermittelt wurde. Die Erwerbungseinheit 611 empfängt über die Kommunikationsschnittstelle 64 den durch die Neuverschlüsselungseinrichtung 50 generierten neuverschlüsselten Chiffretext rct_S'. Die Erwerbungseinheit 611 schreibt den öffentlichen Schlüssel pk, den Entschlüsselungsschlüssel sk_Γ, und den neuverschlüsselten Chiffretext rct_S' in den Arbeitsspeicher 62.
(Schritt S72: Bestimmungsprozess)
Die Entschlüsselungseinheit 612 bestimmt, ob die Attributinformationen S', welche die in dem neuverschlüsselten Chiffretext rct_S' enthaltene Zugriffsstruktur sind, die in dem Entschlüsselungsschlüssel sk_Γ, enthaltenen Attributinformationen Γ' akzeptieren.
Falls diese akzeptiert werden, führt die Entschlüsselungseinheit 612 den Prozess weiter zu Schritt S73. Falls diese nicht akzeptiert werden, bestimmt die Entschlüsselungseinheit 612, dass der neuverschlüsselte Chiffretext rct_S' nicht entschlüsselt werden kann und beendet den Prozess.
(Schritt S73: Entschlüsselungsprozess)
Die Entschlüsselungseinheit 612 entschlüsselt den neuverschlüsselten Chiffretext rct_S' mit dem Entschlüsselungsschlüssel sk_Γ', um den Sitzungsschlüssel K zu generieren.
Insbesondere entschlüsselt die Entschlüsselungseinheit 612 den in dem neuverschlüsselten Chiffretext rct_S' enthaltenen Chiffretext ct_S' mit dem Entschlüsselungsschlüssel sk_Γ, um den Sitzungsschlüssel K' zu generieren, und generiert den Sitzungsschlüssel K aus dem in dem neuverschlüsselten Chiffretext rct_S' enthaltenen Chiffreelement K^~ und dem Sitzungsschlüssel K'.
Dies wird nachstehend konkreter beschrieben.
Der neuverschlüsselte Chiffretext rct_S' wird mit dem Entschlüsselungsschlüssel sk_Γ' entschlüsselt, um den Sitzungsschlüssel K zu generieren. Insbesondere berechnet die Entschlüsselungseinheit 612 einen Index I und einen komplementären Koeffizienten {α_i}_i∈I, wie in Formel 154 angegeben. $\begin{array}{l} \vec{1} = \sum_{i \in I} α_{i} M_{i}, \\ I \subseteq {i \in {1, \dots, L} | [ρ (i) = (t, {\vec{v}}_{i}) \land (t, {\vec{x}}_{t}) \in Γ \land {\vec{v}}_{i} \cdot {\vec{x}}_{t} = 0] \lor \\ [ρ (i) = \neg (t, {\vec{v}}_{i}) \land (t, {\vec{x}}_{t}) \in Γ \land {\vec{v}}_{i} \cdot {\vec{x}}_{t} \neq 0]} \end{array}$
Es sei angemerkt, dass M_i die i-te Zeile der Matrix M ist.
Die Entschlüsselungseinheit 612 berechnet die Formel 155, um den Sitzungsschlüssel K' zu generieren. $K' : = e (c_{0}, k_{0}^{*}) \prod_{i \in I \land ρ (i) = (t, {\vec{v}}_{i})} e {(c_{i}, k_{t}^{*})}^{α_{i}} {\prod_{i \in I \land ρ (i) = \neg (t, {\vec{v}}_{i})} e (c_{i}, k_{t}^{*})}^{α_{i} / ({\vec{v}}_{i} \cdot {\vec{x}}_{t})}$
Die Entschlüsselungseinheit 612 multipliziert das Chiffreelement K^~ mit dem Sitzungsschlüssel K', um den Sitzungsschlüssel K zu generieren.
Das heißt, die Entschlüsselungseinrichtung 60 führt den in Formel 156 angegebenen Dec-Algorithmus aus. $Dec (p k, s k_{Γ'} : = (Γ', k_{0}^{*}, {k_{t}^{*}}_{(t, {\vec{x}}_{t}) \in Γ}), r c t_{S'} : = (c t_{S'} : = (S', {c_{i}}_{i = 0, \dots, L}), \tilde{K})) :$
$Falls S Γ akzeptiert, dann I und {α_{i}}_{i \in I so berechnen, dass}$
$\vec{1} = \sum_{i \in I} α_{i} M_{i},$
$\begin{array}{l} I \subseteq {i \in {1, \dots, L} | [ρ (i) = (t, {\vec{v}}_{i}) \land (t, {\vec{x}}_{t}) \in Γ \land {\vec{v}}_{i} \cdot {\vec{x}}_{t} = 0] \lor \\ [ρ (i) = \neg (t, {\vec{v}}_{i}) \land (t, {\vec{x}}_{t}) \in Γ \land {\vec{v}}_{i} \cdot {\vec{x}}_{t} \neq 0]}, \end{array}$
$K' : = e (c_{0}, k_{0}^{*}) \prod_{i \in I \land ρ (i) = (t, {\vec{v}}_{i})} e {(c_{i}, k_{t}^{*})}^{α_{i}} {\prod_{i \in I \land ρ (i) = \neg (t, {\vec{v}}_{i})} e (c_{i}, k_{t}^{*})}^{α_{i} / ({\vec{v}}_{i} \cdot {\vec{x}}_{t})},$
$K : = \tilde{K} \cdot K',$
$zur \ddot{u} ckgeben : K .$
*** Wirkungen der ersten Ausführungsform ***
Wie oben beschrieben, generiert das kryptographische System 100 gemäß der ersten Ausführungsform den neuverschlüsselten Chiffretext rct_S', der als wesentliche Elemente nur den Chiffretext ct_S' und das Chiffreelement K^~ enthält. Selbst wenn das kryptografische System 100 gemäß der ersten Ausführungsform den neuverschlüsselten Chiffretext rct_S' neu verschlüsselt, sind wesentliche Elemente des neuverschlüsselten Chiffretextes rct_S' nur der Chiffretext ct_S' und das Chiffreelement K^~. Das heißt, selbst wenn die Verschlüsselung wiederholt wird, werden die wesentlichen Elemente nicht zunehmen.
Daher ist es möglich, die Datengröße eines durch Neuverschlüsselung generierten Chiffretextes nicht von der Anzahl von Malen von Durchführung von Neuverschlüsselungen abhängig zu machen.
*** Andere Konfigurationen ***
<Erste Variante>
In der ersten Ausführungsform werden die funktionellen Komponenten durch Software realisiert. Jedoch können als erste Variante die funktionellen Komponenten durch Hardware realisiert werden. In Bezug auf diese erste Variante werden Unterschiede zu der ersten Ausführungsform beschrieben.
Eine Konfiguration der Gemeinsamer-Parameter-Generierungseinrichtung 10 gemäß der ersten Variante wird beschrieben.
Wenn die funktionellen Komponenten durch Hardware realisiert werden, weist die Gemeinsamer-Parameter-Generierungseinrichtung 10 einen elektronischen Schaltkreis 15 anstelle des Prozessors 11, des Arbeitsspeichers 12 und des Datenspeichers 13 auf. Der elektronische Schaltkreis 15 ist eine dedizierte Schaltung, die die Funktionen der funktionellen Komponenten, des Arbeitsspeichers 12 und des Datenspeichers 13 realisiert.
Eine Konfiguration der Nutzer-Geheimschlüssel-Generierungseinheit 20 gemäß der ersten Variante wird beschrieben.
Wenn die funktionellen Komponenten durch Hardware realisiert werden, weist die Nutzer-Geheimschlüssel-Generierungseinheit 20 einen elektronischen Schaltkreis 25 anstelle des Prozessors 21, des Arbeitsspeichers 22 und des Datenspeichers 23 auf. Der elektronische Schaltkreis 25 ist eine dedizierte Schaltung, die die Funktionen der funktionellen Komponenten, des Arbeitsspeichers 22 und des Datenspeichers 23 realisiert.
Eine Konfiguration der Verschlüsselungseinrichtung 30 gemäß der ersten Variante wird beschrieben.
Wenn die funktionellen Komponenten durch Hardware realisiert werden, enthält die Verschlüsselungseinrichtung 30 einen elektronischen Schaltkreis 35 anstelle des Prozessors 31, des Arbeitsspeichers 32 und des Datenspeichers 33. Der elektronische Schaltkreis 35 ist eine dedizierte Schaltung, die die Funktionen der funktionellen Komponenten, des Arbeitsspeichers 32 und des Datenspeichers 33 realisiert.
Eine Konfiguration der Neuverschlüsselungsschlüssel-Generierungseinrichtung 40 gemäß der ersten Variante wird beschrieben.
Wenn die funktionellen Komponenten durch Hardware realisiert werden, enthält die Neuverschlüsselungsschlüssel-Generierungseinrichtung 40 einen elektronischen Schaltkreis 45 anstelle des Prozessors 41, des Arbeitsspeichers 42 und des Datenspeichers 43. Der elektronische Schaltkreis 45 ist eine dedizierte Schaltung, die die Funktionen der funktionellen Komponenten, des Arbeitsspeichers 42 und des Datenspeichers 43 realisiert.
Eine Konfiguration der Neuverschlüsselungseinrichtung 50 gemäß der ersten Variante wird beschrieben.
Wenn die funktionellen Komponenten durch Hardware realisiert werden, enthält die Neuverschlüsselungseinrichtung 50 einen elektronischen Schaltkreis 55 anstelle des Prozessors 51, des Arbeitsspeichers 52 und des Datenspeichers 53. Der elektronische Schaltkreis 55 ist eine dedizierte Schaltung, die die Funktionen der funktionellen Komponenten, des Arbeitsspeichers 52 und des Datenspeichers 53 realisiert.
Eine Konfiguration der Entschlüsselungseinrichtung 60 gemäß der ersten Variante wird beschrieben.
Wenn die funktionellen Komponenten durch Hardware realisiert werden, enthält die Entschlüsselungseinrichtung 60 einen elektronischen Schaltkreis 65 anstelle des Prozessors 61, des Arbeitsspeichers 62 und des Datenspeichers 63. Der elektronische Schaltkreis 65 ist eine dedizierte Schaltung, die die Funktionen der funktionellen Komponenten, des Arbeitsspeichers 62 und des Datenspeichers 63 realisiert.
Für jeden von den elektronischen Schaltkreisen 15, 25, 35, 45, 55 und 65 wird angenommen, eine einzelne Schaltung, eine zusammengesetzte Schaltung, ein programmierter Prozessor, ein paralleler-programmierter Prozessor, eine logische IC, eine Gatteranordnung (GA), eine anwendungsspezifische integrierte Schaltung (ASIC) oder eine feldprogrammierbare Gatteranordnung (FPGA) zu sein.
Die jeweiligen funktionellen Komponenten können durch einen elektronischen Schaltkreis 15, einen elektronischen Schaltkreis 25, einen elektronischen Schaltkreis 35, einen elektronischen Schaltkreis 45, einen elektronischen Schaltkreis 55 und einen elektronischen Schaltkreis 65 realisiert werden, oder die jeweiligen funktionellen Komponenten können auf eine Vielzahl von elektronischen Schaltkreisen 15, eine Vielzahl von elektronischen Schaltkreisen 25, eine Vielzahl von elektronischen Schaltkreisen 35, eine Vielzahl von elektronischen Schaltkreisen 45, eine Vielzahl von elektronischen Schaltkreisen 55 und eine Vielzahl von elektronischen Schaltkreisen 65 verteilt und durch diese realisiert werden.
<Zweite Variante>
Als eine zweite Variante können einige der funktionellen Komponenten durch Hardware realisiert werden und die übrigen funktionellen Komponenten können durch Software realisiert werden.
Jeder von den Prozessoren 11, 21, 31, 41, 51, 61, den Arbeitsspeichern 12, 22, 32, 42, 52, 62, den Datenspeichern 13, 23, 33, 43, 53, 63 und den elektronischen Schaltkreisen 15, 25, 35, 45, 55, 65 werden als Verarbeitungsschaltkreis bezeichnet. Das heißt, dass die Funktionen der funktionellen Komponenten durch den Verarbeitungsschaltkreis realisiert werden.
Bezugszeichenliste
100: Kryptografisches System, 10: Gemeinsame Parameter-Generierungseinheit, 11: Prozessor, 12: Arbeitsspeicher, 13: Datenspeicher, 14: Kommunikationsschnittstelle, 15: Elektronischer Schaltkreis, 111: Erwerbungseinheit, 112: Parameter-Generierungseinheit, 113: Ausgabeeinheit, 20: Nutzer-Geheimschlüssel-Generierungseinheit, 21: Prozessor, 22: Arbeitsspeicher, 23: Datenspeicher, 24: Kommunikationsschnittstelle, 25: elektronischer Schaltkreis, 211: Erwerbungseinheit, 212: Nutzer-Geheimschlüssel-Generierungseinheit, 213: Ausgabeeinheit, 30: Verschlüsselungseinrichtung, 31: Prozessor, 32: Arbeitsspeicher, 33: Datenspeicher, 34: Kommunikationsschnittstelle, 35: elektronischer Schaltkreis, 311: Erwerbungseinheit, 312: Chiffretext-Generierungseinheit, 313: Ausgabeeinheit, 40: Neuverschlüsselungsschlüssel-Generierungseinheit, 41: Prozessor, 42: Arbeitsspeicher, 43: Datenspeicher, 44: Kommunikationsschnittstelle, 45: elektronischer Schaltkreis, 411: Erwerbungseinheit, 412: Neuverschlüsselungsschlüssel-Generierungseinheit, 413: Ausgabeeinheit, 50: Neuverschlüsselungseinrichtung, 51: Prozessor, 52: Arbeitsspeicher, 53: Datenspeicher, 54: Kommunikationsschnittstelle, 55: elektronischer Schaltkreis, 511: Erwerbungseinheit, 512: Neuverschlüsselter-Chiffretext-Generierungseinheit, 513: Ausgabeeinheit, 514: Chiffretext-Erwerbungseinheit, 515: Schlüssel-Erwerbungseinheit, 60: Entschlüsselungseinrichtung, 61: Prozessor, 62: Arbeitsspeicher, 63: Datenspeicher, 64: Kommunikationsschnittstelle, 65: elektronischer Schaltkreis, 611: Erwerbungseinheit, 612: Entschlüsselungseinheit, 613: Ausgabeeinheit.

Claims

Neuverschlüsselungseinrichtung (50), umfassend: eine Chiffretext-Erwerbungseinheit (514), um einen Chiffretext ct_S aus einem Sitzungsschlüssel K und den Chiffretext ct_S' in dem der Sitzungsschlüssel K verschlüsselt ist, die durch einen Verschlüsselungsalgorithmus generiert werden, unter Verwendung als Eingabe von Attributinformationen S, die einen Bereich definieren, für den Entschlüsselung zulässig ist, zu erwerben; eine Schlüssel-Erwerbungseinheit (515), um einen Neuverschlüsselungsschlüssel rk, enthaltend einen konvertierten Entschlüsselungsschlüssel sk_Γ ^~, der durch Setzen einer Zufallszahl r in einen Entschlüsselungsschlüssel skr generiert wird, mit dem der Chiffretext cts entschlüsselt werden kann, einen Sitzungsschlüssel K' und einen Chiffretext ct_S', in dem der Sitzungsschlüssel K' verschlüsselt ist, die durch den Verschlüsselungsalgorithmus generiert werden, unter Verwendung als Eingabe von Attributinformationen S', die einen Bereich definieren, für den Entschlüsselung zuzulassen ist, und Konvertierungsinformationen, die aus der Zufallszahl r generiert werden, zu erwerben; eine Neuverschlüsselter-Chiffretext-Generierungseinheit (512), um ein Chiffreelement K^~ durch Löschen eines Elements, das sich auf die Zufallszahl r bezieht, durch die Konvertierungsinformationen aus Entschlüsselungsinformationen K^, und Setzen des Sitzungsschlüssels K', wobei die Entschlüsselungsinformationen K^ durch Entschlüsseln des Chiffretextes ct_S mit dem konvertierten Entschlüsselungsschlüssel sk_Γ ^~, der in dem Neuverschlüsselungsschlüssel rk enthalten ist, erhalten werden, zu generieren; und eine Ausgabeeinheit (513), um einen neuverschlüsselten Chiffretext rct_S', der das Chiffreelement K^~ und den Chiffretext ct_S' enthält, auszugeben.
Neuverschlüsselungseinrichtung (50) nach Anspruch 1, wobei der Chiffretext cts ein Chiffreelement c₀ enthält, das ein Vektor in einer Basis B₀ ist, wobei der Entschlüsselungsschlüssel sk_Γ ein Schlüsselelement k*₀ enthält, das ein Vektor in einer Basis B*₀ ist, wobei der konvertierte Entschlüsselungsschlüssel sk_Γ ^~ durch Setzen der Zufallszahl r in einen bestimmten Basisvektor der Basis B*₀ generiert wird, wobei die Konvertierungsinformationen durch Multiplizieren eines Elements A mit der Zufallszahl r erhalten werden, wobei das Element A durch Durchführen einer Paarungsoperation auf ein Element der Basis B₀ und ein Element der Basis B*₀ erhalten wird, und wobei die Neuverschlüsselter-Chiffretext-Generierungseinheit (512) die Entschlüsselungsinformationen K^ durch Durchführen einer Paarungsoperation auf ein Chiffreelement c des Chiffretextes cts und ein Schlüsselelement k* des konvertierten Entschlüsselungsschlüssels sk_Γ ^~ generiert, und den Sitzungsschlüssel K durch Dividieren der Entschlüsselungsinformationen K^ durch die Konvertierungsinformationen generiert.
Neuverschlüsselungseinrichtung (50) nach Anspruch 1 oder 2, wobei die Chiffretext-Erwerbungseinheit (514) den Chiffretext ct_S wie in Formel 1 angegeben erwirbt, wobei die Schlüssel-Erwerbungseinheit (515) den in Formel 2 angegebenen Neuverschlüsselungsschlüssel rk erwirbt, und wobei die Neuverschlüsselter-Chiffretext-Generierungseinheit (512) das in Formel 3 angegebene Chiffreelement K^~ generiert $c t_{S} : = (S : (M, ρ), {c_{i}}_{i = 0, \dots, L}) \leftarrow Enc (p k, S : = (M, ρ))$
wobei $Enc (p k, S : = (M, ρ)) :$
$\vec{f} \overset{U}{\leftarrow} F_{q}^{r}, {\vec{s}}^{T} : = {(s_{1}, \dots, s_{L})}^{T} : = M \cdot {\vec{f}}^{T}, s_{0} : = \vec{1} \cdot {\vec{f}}^{T},$
$η_{0}, ζ \overset{U}{\leftarrow} F_{q}, c_{0} : = c + {(ζ, - s_{0},0,0, η_{0},0)}_{B_{0}},$
$f \ddot{u} r i = 1, \dots, L,$
$falls ρ (i) = (t, {\vec{v}}_{i} : = (v_{i,1}, \dots, v_{i, n_{t}}) \in F_{q}^{n_{t}} \ {\vec{0}}) (v_{i, n_{t}} \neq 0),$
$θ_{i}, η_{i} \overset{U}{\leftarrow} F_{q},$
$c_{i} : = \overset{n_{t}}{\overset{︷}{(s_{i} {\vec{e}}_{t,1} + θ_{i} {\vec{v}}_{i}}}, \overset{n_{t}}{\overset{︷}{0^{n_{t}}}}, \overset{n_{t}}{\overset{︷}{0^{n_{t}}}}, \overset{1}{\overset{︷}{η_{i})}} B_{t},$
$falls ρ (i) = \neg (t, {\vec{v}}_{i}),$
$η_{i} \overset{U}{\leftarrow} F_{q},$
$c_{i} : = \overset{n_{t}}{\overset{︷}{(s_{i} {\vec{v}}_{i}}}, \overset{n_{t}}{\overset{︷}{0^{n_{t}}}}, \overset{n_{t}}{\overset{︷}{0^{n_{t}}}}, {\overset{1}{\overset{︷}{η_{i})}}}_{B_{t}},$
$zur \ddot{u} ckgeben : c t_{S} : = (S, {c_{i}}_{i = 0, \dots, L}), K$
$r k : = (s {\tilde{k}}_{Γ}, A^{r} \cdot K', c t_{S'})$
wobei $s {\tilde{k}}_{Γ} : = (Γ, k_{0}^{*} + r b_{0,6}^{*}, {k_{t}^{*}}_{(t, {\vec{x}}_{t}) \in Γ}),$
$k_{0}^{*} : = {(1, δ,0, φ_{0},0,0)}_{B_{0}^{*}},$
$k_{t}^{*} : = \overset{n_{t}}{\overset{︷}{(δ {\vec{x}}_{t}}}, \overset{n_{t}}{\overset{︷}{0^{n_{t}}}}, \overset{n_{t}}{\overset{︷}{{\vec{φ}}_{t}}}, {\overset{1}{\overset{︷}{0)}}}_{B_{t}^{*}} f \ddot{u} r (t, {\vec{x}}_{t}) \in Γ,$
$δ, φ_{0}, r \overset{U}{\leftarrow} F_{q}, {\vec{φ}}_{t} \overset{U}{\leftarrow} F_{q}^{n_{t}} f \ddot{u} r (t, {\vec{x}}_{t}) \in Γ,$
$(c t_{S'}, K') \leftarrow Enc (p k, S')$
$\tilde{K} : = \hat{K} / A^{r} \cdot K'$
wobei $\hat{K} : = e (c_{0}, k_{0}^{*}) \prod_{i \in I \land ρ (i) = (t, {\vec{v}}_{i})} e {(c_{i}, k_{t}^{*})}^{α_{i}} {\prod_{i \in I \land ρ (i) = \neg (t, {\vec{v}}_{i})} e (c_{i}, k_{t}^{*})}^{α_{i} / ({\vec{v}}_{i} \cdot {\vec{x}}_{t})},$
$\vec{1} = \sum_{i \in I} α_{i} M_{i},$
$\begin{array}{l} I \subseteq {i \in {1, \dots, L} | [ρ (i) = (t, {\vec{v}}_{i}) \land (t, {\vec{x}}_{t}) \in Γ \land {\vec{v}}_{i} \cdot {\vec{x}}_{t} = 0] \lor \\ [ρ (i) = \neg (t, {\vec{v}}_{i}) \land (t, {\vec{x}}_{t}) \in Γ \land {\vec{v}}_{i} \cdot {\vec{x}}_{t} \neq 0]}, \end{array}$
$M_{i} ist die i - te Reihe von M .$
Kryptographisches System (100), umfassend: eine Verschlüsselungseinrichtung (30), um einen Chiffretext ct_S aus einem Sitzungsschlüssel K und den Chiffretext ct_S, in dem der Sitzungsschlüssel K verschlüsselt ist, die durch einen Verschlüsselungsalgorithmus generiert werden, unter Verwendung als Eingabe von Attributinformationen S, die einen Bereich definieren, für den Entschlüsselung zulässig ist, zu generieren; eine Neuverschlüsselungsschlüssel-Generierungseinrichtung (40), um einen Neuverschlüsselungsschlüssel rk, enthaltend einen konvertierten Entschlüsselungsschlüssel sk_Γ ^~, der durch Setzen einer Zufallszahl r in einen Entschlüsselungsschlüssel sk_Γ generiert wird, mit dem der Chiffretext ct_S entschlüsselt werden kann, einen Sitzungsschlüssel K' und einen Chiffretext ct_S', in dem der Sitzungsschlüssel K' verschlüsselt ist, die durch den Verschlüsselungsalgorithmus generiert werden, unter Verwendung als Eingabe von Attributinformationen S', die einen Bereich definieren, für den Entschlüsselung zuzulassen ist, und Konvertierungsinformationen, die aus der Zufallszahl r generiert werden, zu generieren; und eine Neuverschlüsselungseinrichtung (50), um ein Chiffreelement K^~ durch Löschen eines Elements, das sich auf die Zufallszahl r bezieht, durch die Konvertierungsinformationen aus Entschlüsselungsinformationen K^, und Setzen des Sitzungsschlüssels K', wobei die Entschlüsselungsinformationen K^ durch Entschlüsseln des Chiffretextes ct_S mit dem konvertierten Entschlüsselungsschlüssel sk_Γ ^~, der in dem Neuverschlüsselungsschlüssel rk enthalten ist, erhalten werden, zu generieren und einen neuverschlüsselten Chiffretext rct_S', der das Chiffreelement K^~ und den Chiffretext ct_S' enthält, auszugeben.
Kryptografisches System (100) nach Anspruch 4, wobei der Chiffretext cts ein Chiffreelement c₀ enthält, das ein Vektor in einer Basis B₀ ist, wobei der Entschlüsselungsschlüssel sk_Γ ein Schlüsselelement k*₀ enthält, das ein Vektor in einer Basis B*₀ ist, wobei der konvertierte Entschlüsselungsschlüssel sk_Γ ^~ durch Setzen der Zufallszahl r in einen bestimmten Basisvektor der Basis B*₀ generiert wird, wobei die Konvertierungsinformationen durch Multiplizieren eines Elements A mit der Zufallszahl r erhalten werden, wobei das Element A durch Durchführen einer Paarungsoperation auf ein Element der Basis B₀ und ein Element der Basis B*₀ erhalten wird, und wobei die Neuverschlüsselungseinrichtung (50) die Entschlüsselungsinformationen K^ durch Durchführen einer Paarungsoperation auf ein Chiffreelement c des Chiffretextes ct_S und ein Schlüsselelement k* des konvertierten Entschlüsselungsschlüssels sk_Γ ^~ generiert, und den Sitzungsschlüssel K durch Dividieren der Entschlüsselungsinformationen K^ durch die Konvertierungsinformationen generiert.
Kryptografisches System (100) nach Anspruch 4 oder 5, wobei die Verschlüsselungseinrichtung (30) den in Formel 4 angegebenen Chiffretext ct_S generiert, wobei die Neuverschlüsselungsschlüssel-Generierungseinrichtung (40) den in Formel 5 angegebenen Neuverschlüsselungsschlüssel rk generiert, und wobei die Neuverschlüsselungseinrichtung (50) das in Formel 6 angegebene Chiffreelement K^~ generiert, $c t_{S} : = (S : = (M, ρ), {c_{i}}_{i = 0, \dots, L}) \leftarrow Enc (p k, S : = (M, ρ))$
wobei $Enc (p k, S : = (M, ρ)) :$
$\vec{f} \overset{U}{\leftarrow} F_{q}^{r}, {\vec{s}}^{T} : = {(s_{1}, \dots, s_{L})}^{T} : = M \cdot {\vec{f}}^{T}, s_{0} : = \vec{1} \cdot {\vec{f}}^{T},$
$η_{0}, ζ \overset{U}{\leftarrow} F_{q}, c_{0} : = c + {(ζ, - s_{0},0,0, η_{0},0)}_{B_{0}},$
$f \ddot{u} r i = 1, \dots, L,$
$falls ρ (i) = (t, {\vec{v}}_{i} : = (v_{i,1}, \dots, v_{i, n_{t}}) \in F_{q}^{n_{i}} \ {\vec{0}}) (v_{i, n_{t}} \neq 0),$
$θ_{i}, η_{i} \overset{U}{\leftarrow} F_{q},$
$c_{i} : = \overset{n_{t}}{\overset{︷}{(s_{i} {\vec{e}}_{t,1} + θ_{i} {\vec{v}}_{i}}}, \overset{n_{t}}{\overset{︷}{0^{n_{t}}}}, \overset{n_{t}}{\overset{︷}{0^{n_{t}}}}, {\overset{1}{\overset{︷}{η_{i})}}}_{B_{t}},$
$falls ρ (i) = \neg (t, {\vec{v}}_{i}),$
$η_{i} \overset{U}{\leftarrow} F_{q},$
$c_{i} : = \overset{n_{t}}{\overset{︷}{(s_{i} {\vec{v}}_{i}}}, \overset{n_{t}}{\overset{︷}{0^{n_{t}}}}, \overset{n_{t}}{\overset{︷}{0^{n_{t}}}}, {\overset{1}{\overset{︷}{η_{i})}}}_{B_{t}},$
$zur \ddot{u} ckgeben : c t_{S} : = (S, {c_{i}}_{i = 0, \dots, L}), K$
$r k : = (s {\tilde{k}}_{Γ}, A^{r} \cdot K', c t_{S'})$
wobei $s {\tilde{k}}_{Γ} : = (Γ, k_{0}^{*} + r b_{0,6}^{*}, {k_{t}^{*}}_{(t, {\vec{x}}_{t}) \in Γ}),$
$k_{0}^{*} : = {(1, δ,0, φ_{0},0,0)}_{B_{0}^{*}},$
$k_{t}^{*} : = \overset{n_{t}}{\overset{︷}{(δ {\vec{x}}_{t}}}, \overset{n_{t}}{\overset{︷}{0^{n_{t}}}}, \overset{n_{t}}{\overset{︷}{{\vec{φ}}_{t}}}, {\overset{1}{\overset{︷}{0)}}}_{B_{t}^{*}} f \ddot{u} r (t, {\vec{x}}_{t}) \in Γ,$
$δ, φ_{0}, r \overset{U}{\leftarrow} F_{q}, {\vec{φ}}_{t} \overset{U}{\leftarrow} F_{q}^{n_{t}} f \ddot{u} r (t, {\vec{x}}_{t}) \in Γ,$
$(c t_{S'}, K') \leftarrow Enc (p k, S')$
$\tilde{K} : = \hat{K} / A^{r} \cdot K'$
wobei $\hat{K} : = e (c_{0}, k_{0}^{*}) \prod_{i \in I \land ρ (i) = (t, {\vec{v}}_{i})} e {(c_{i}, k_{t}^{*})}^{α_{i}} {\prod_{i \in I \land ρ (i) = \neg (t, {\vec{v}}_{i})} e (c_{i}, k_{t}^{*})}^{α_{i} / ({\vec{v}}_{i} \cdot {\vec{x}}_{t})},$
$\vec{1} = \sum_{i \in I} α_{i} M_{i},$
$\begin{array}{l} I \subseteq {i \in {1, \dots, L} | [ρ (i) = (t, {\vec{v}}_{i}) \land (t, {\vec{x}}_{t}) \in Γ \land {\vec{v}}_{i} \cdot {\vec{x}}_{t} = 0] \lor \\ [ρ (i) = \neg (t, {\vec{v}}_{i}) \land (t, {\vec{x}}_{t}) \in Γ \land {\vec{v}}_{i} \cdot {\vec{x}}_{t} \neq 0]}, \end{array}$
$M_{i} ist die i - te Reihe von M .$
Kryptografisches System (100) nach Anspruch 6, ferner umfassend: eine Entschlüsselungseinrichtung (60), um den in dem neuverschlüsselten Chiffretext rct_S' enthaltenen Chiffretext ct_S' mit einem Entschlüsselungsschlüssel sk_Γ' zu entschlüsseln, um den Sitzungsschlüssel K' zu generieren, und den Sitzungsschlüssel K aus einem in dem neuverschlüsselten Chiffretext rct_S' enthaltenen Chiffreelement K^∼ und dem Sitzungsschlüssel K' zu generieren.
Kryptografisches System (100) nach Anspruch 7, wobei die Entschlüsselungseinrichtung (60) den in Formel 7 angegebenen Sitzungsschlüssel K generiert, $K : = \tilde{K} \cdot K^{t} .$
Neuverschlüsselungsverfahren, umfassend: Erwerben eines Chiffretextes ct_S aus einem Sitzungsschlüssel K und des Chiffretextes ct_S, in dem der Sitzungsschlüssel K verschlüsselt ist, die durch einen Verschlüsselungsalgorithmus unter Verwendung als Eingabe von Attributinformationen S, die einen Bereich definieren, für den Entschlüsselung zuzulassen ist, generiert werden, durch eine Chiffretext-Erwerbungseinheit (514); Erwerben eines Neuverschlüsselungsschlüssels rk, enthaltend einen konvertierten Entschlüsselungsschlüssel sk_Γ ^∼, der durch Setzen einer Zufallszahl r in einen Entschlüsselungsschlüssel sk_Γ, mit dem der Chiffretext ct_S entschlüsselt werden kann, generiert wird, einen Sitzungsschlüssel K' und einen Chiffretext ct_S', in dem der Sitzungsschlüssel K' verschlüsselt ist, die durch den Verschlüsselungsalgorithmus unter Verwendung als Eingabe von Attributinformationen S', die einen Bereich definieren, für den Entschlüsselung zuzulassen ist, und Konvertierungsinformationen, die aus der Zufallszahl r generiert werden, generiert werden, durch eine Schlüssel-Erwerbungseinheit (515); Generieren eines Chiffreelements K^∼ durch Löschen eines Elements, das sich auf die Zufallszahl r bezieht, durch die Konvertierungsinformationen aus Entschlüsselungsinformationen K^, und Setzen des Sitzungsschlüssels K', wobei die Entschlüsselungsinformationen K^ durch Entschlüsseln des Chiffretextes ct_S mit dem konvertierten Entschlüsselungsschlüssel sk_Γ ^∼, der in dem Neuverschlüsselungsschlüssel rk enthalten ist, erhalten werden, durch eine Neuverschlüsselter-Chiffretext-Generierungseinheit (512); und Ausgeben eines neuverschlüsselten Chiffretextes rct_S', der das Chiffreelement K^~ und den Chiffretext ct_S' enthält, durch eine Ausgabeeinheit (513).
Neuverschlüsselungsprogramm, das einen Computer veranlasst, als eine Neuverschlüsselungseinrichtung (50) zu funktionieren, um durchzuführen: einen Chiffretext-Erwerbungsprozess des Erwerbens eines Chiffretextes ct_S aus einem Sitzungsschlüssel K und des Chiffretextes ct_S, in dem der Sitzungsschlüssel K verschlüsselt ist, die durch einen Verschlüsselungsalgorithmus unter Verwendung als Eingabe von Attributinformationen S, die einen Bereich definieren, für den Entschlüsselung zuzulassen ist, generiert werden; einen Schlüssel-Erwerbungsprozess des Erwerbens eines Neuverschlüsselungsschlüssels rk, enthaltend einen konvertierten Entschlüsselungsschlüssel sk_Γ ^∼, der durch Setzen einer Zufallszahl r in einen Entschlüsselungsschlüssel skr generiert wird, mit dem der Chiffretext ct_S entschlüsselt werden kann, einen Sitzungsschlüssel K' und einen Chiffretextes ct_S', in dem der Sitzungsschlüssel K' verschlüsselt ist, die durch den Verschlüsselungsalgorithmus unter Verwendung als Eingabe von Attributinformationen S', die einen Bereich definieren, für den Entschlüsselung zuzulassen ist, und Konvertierungsinformationen, die aus der Zufallszahl r generiert werden, generiert werden; einen neuverschlüsselter-Chiffretext-Generierungsprozess des Generierens eines Chiffreelements K^~ durch Löschen eines Elements, das sich auf die Zufallszahl r bezieht, durch die Konvertierungsinformationen aus den Entschlüsselungsinformationen K^, und Setzens des Sitzungsschlüssels K', wobei die Entschlüsselungsinformationen K^ durch Entschlüsseln des Chiffretextes ct_S mit dem konvertierten Entschlüsselungsschlüssel sk_Γ ^∼, der in dem Neuverschlüsselungsschlüssel rk enthalten ist, erhalten werden; und einen Ausgabeprozess des Ausgebens eines neuverschlüsselten Chiffretextes rct_S', der das Chiffreelement K^~ und den Chiffretext ct_S' enthält.