JP2003304232A - 秘密情報管理システム、秘密情報管理方法及びプログラム - Google Patents

秘密情報管理システム、秘密情報管理方法及びプログラム

Info

Publication number
JP2003304232A
JP2003304232A JP2002258308A JP2002258308A JP2003304232A JP 2003304232 A JP2003304232 A JP 2003304232A JP 2002258308 A JP2002258308 A JP 2002258308A JP 2002258308 A JP2002258308 A JP 2002258308A JP 2003304232 A JP2003304232 A JP 2003304232A
Authority
JP
Japan
Prior art keywords
information
secret
key
secret information
distributed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002258308A
Other languages
English (en)
Inventor
Nobuyuki Oguri
伸幸 小栗
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2002258308A priority Critical patent/JP2003304232A/ja
Publication of JP2003304232A publication Critical patent/JP2003304232A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 処理に必要な計算量が少なくてよい秘密情報
管理システム、秘密情報管理方法及びプログラムを提供
することを目的とする。 【解決手段】 ユーザ装置20は、NTRU暗号方式
で、該ユーザ装置の公開鍵hを用いて秘密情報mを暗号
化する暗号化手段23と、暗号化された秘密情報eをサ
ーバ装置30,40に送信する秘密情報送信手段24
と、暗号化された秘密情報eを復号化するための復号化
情報aを要求する要求手段25と、復号化情報aを用い
て暗号化された秘密情報eを復号化する復号化手段とを
具備し、サーバ装置30,40は、ユーザ装置20から
の要求に応じて、分散秘密鍵f及び暗号化された秘密
情報eを用いて計算した復号化情報aをユーザ装置20
に送信する復号化情報送信手段35,36とを具備す
る。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、複数のサーバ装置
とユーザ装置との間で秘密情報を管理する秘密情報管理
システム、秘密情報管理方法及びプログラムに関する。
【0002】
【従来の技術】従来、秘密鍵や個人情報等の重要な秘密
情報が紛失された場合であっても当該秘密情報を回復す
ることができるように、秘密情報を管理するための秘密
情報管理方法として、素因数分解問題に基づくRSA等
の公開鍵暗号方式(例えば、非特許文献1又は2参照)
や、離散対数問題に基づくElGamal等の公開鍵暗
号方式(例えば、非特許文献3参照)によって暗号化し
た秘密情報を、秘密分散法(SSS:secret s
haring scheme)によって複数のサーバ装
置に分散して管理させる方法が知られている。ここで、
秘密分散法として、閾値暗号を利用した(k,l)しき
い値秘密分散法(例えば、非特許文献4参照)を用いる
方法も知られている。
【0003】
【非特許文献1】A.Santis、Y.Desmed
t、Y.Rrankel、M.Yung著、「How
to Share a Function Secur
ity」、In 26th Annual ACM S
ymposium on Theory of Com
puting、1994年、p.522-533
【非特許文献2】V.Shoup著、「Practic
al Threshold Signatures」、
In Advanced in Cryptology
-Eurocrypt 2000、2000年、pp.
207-220
【非特許文献3】Y.Desmedt、Y.Frank
el著、「Threshold cryptosyst
ems」、In Advanced in Crypt
ology-Crypto '89、1989年、pp.
307-315
【非特許文献4】岡本龍明、山本博資著、「現代暗
号」、産業図書、p.209-219
【0004】
【発明が解決しようとする課題】しかしながら、従来の
秘密情報管理方法では、素因数分解問題や離散対数問題
に基づく公開鍵暗号化方式を用いるため、処理に必要な
計算量が多くなり、移動通信端末、ICカード等の小型
デバイスに適さないという問題点があった。
【0005】そこで、本発明は、以上の点に鑑みてなさ
れたもので、処理に必要な計算量が少なくてよい秘密情
報管理システム、秘密情報管理方法及びプログラムを提
供することを目的とする。
【0006】
【課題を解決するための手段】本発明に係る秘密情報管
理システム及び秘密情報管理方法は、複数のサーバ装置
とユーザ装置との間で秘密情報を管理するものであっ
て、前記ユーザ装置が、NTRU暗号方式で、該ユーザ
装置の公開鍵を用いて秘密情報を暗号化する暗号化手段
と、暗号化された前記秘密情報を前記サーバ装置に送信
する秘密情報送信手段と、前記サーバ装置に、前記暗号
化された秘密情報を復号化するための復号化情報を要求
する要求手段と、前記サーバ装置から送信された前記復
号化情報を用いて、前記暗号化された秘密情報を復号化
する復号化手段とを具備し、前記サーバ装置が、前記ユ
ーザ装置から送信された前記暗号化された秘密情報を記
憶する秘密情報記憶手段と、前記公開鍵に対応する秘密
鍵を、秘密分散法によって分散した分散秘密鍵を記憶す
る分散秘密鍵記憶手段と、前記ユーザ装置からの要求に
応じて、前記分散秘密鍵及び前記暗号化された秘密情報
を用いて計算した前記復号化情報を前記ユーザ装置に送
信する復号化情報送信手段とを具備することを特徴とす
るものである。
【0007】かかる発明によれば、処理に必要な計算量
が少なくて済む公開鍵暗号化方式であるNTRU暗号方
式と秘密分散法とを併用するため、秘密情報を管理する
ためにユーザ装置が行う処理の計算量を削減することが
可能となり、移動通信端末やICカードのような小型デ
バイスをユーザ装置として用いても、秘密情報を管理す
ることが可能となる。
【0008】上述の発明において、前記公開鍵及び前記
秘密鍵を生成する鍵生成手段と、前記公開鍵を前記ユー
ザ装置に通知する公開鍵通知手段と、前記秘密鍵を秘密
分散法によって分散した分散秘密鍵を前記サーバ装置に
通知する鍵分散手段とを具備する鍵生成サーバ装置を具
備することが好ましい。
【0009】また、上述の発明において、第1のモジュ
ラス値q及び第2のモジュラス値p(第1のモジュラス
値qが第2のモジュラス値pより大きい)と、秘密鍵
(f,g)と、公開鍵h(=F*g(mod q)、
はqを法とするfの逆元)と、任意の多項式rとを
用いるNTRU暗号方式が適用され、前記ユーザ装置の
暗号化手段が、前記NTRU暗号方式で、前記公開鍵h
を用いて、式e=p*r*h+m(mod q)によっ
て、前記秘密情報mを暗号化して前記暗号化された秘密
情報eを生成し、前記ユーザ装置の復号化手段が、l個
の前記サーバ装置の各々から送信された前記復号化情報
を用いて、式
【数60】 によって、前記暗号化された秘密情報eを復号化して前
記秘密情報mを取得し、前記サーバ装置の各々の分散秘
密鍵記憶手段が、前記秘密分散法
【数61】 によって分散された前記分散秘密鍵fを記憶し、前記
サーバ装置の各々の復号化情報送信手段が、前記ユーザ
装置からの要求に応じて、前記分散秘密鍵f及び前記
暗号化された秘密情報eを用いて、式a=f*e
(mod q)によって計算した前記復号化情報a
前記ユーザ装置に送信することが好ましい。
【0010】また、上述の発明において、前記サーバ装
置が、第1のサーバ装置と複数の第2のサーバ装置とに
よって構成されており、前記第1のサーバ装置が、前記
秘密情報記憶手段と、前記ユーザ装置からの要求に応じ
て、前記第2のサーバ装置から前記分散秘密鍵を収集す
る鍵収集手段と、収集した前記分散秘密鍵及び前記暗号
化された秘密情報を用いて計算した前記復号化情報を前
記ユーザ装置に送信する前記復号化情報送信手段とを具
備し、前記第2のサーバ装置の各々が、前記分散秘密鍵
記憶手段と、前記第1のサーバ装置からの要求に応じ
て、記憶している前記分散秘密鍵を提供する分散秘密鍵
提供手段とを具備することが好ましい。
【0011】また、上述の発明において、第1のモジュ
ラス値q及び第2のモジュラス値p(第1のモジュラス
値qが第2のモジュラス値pより大きい)と、秘密鍵
(f,g)と、公開鍵h(=F*g(mod q)、
はqを法とするfの逆元)と、任意の多項式rとを
用いるNTRU暗号方式が適用され、前記ユーザ装置の
暗号化手段が、前記NTRU暗号方式で、前記公開鍵h
を用いて、式e=p*r*h+m(mod q)によっ
て、前記秘密情報mを暗号化して前記暗号化された秘密
情報eを生成し、前記ユーザ装置の復号化手段が、前記
第1のサーバ装置から送信された前記復号化情報aを用
いて、式m=a(mod p)(modq)によって、
前記暗号化された秘密情報eを復号化して前記秘密情報
mを取得し、前記第2のサーバ装置の分散秘密鍵記憶手
段は、上述の(式2)による前記秘密分散法によって分
散された前記分散秘密鍵fを記憶し、前記第1のサー
バ装置の復号化情報送信手段が、前記ユーザ装置からの
要求に応じて、収集した前記分散秘密鍵f及び前記暗
号化された秘密情報eを用いて、式
【数62】 によって計算した前記復号化情報aを前記ユーザ装置に
送信することが好ましい。
【0012】また、上述の発明において、前記サーバ装
置が、第1のサーバ装置と複数の第2のサーバ装置とに
よって構成されており、前記第1のサーバ装置が、前記
秘密情報記憶手段と、前記ユーザ装置からの要求に応じ
て、前記第2のサーバ装置に前記暗号化された秘密情報
を送信することによって、前記第2のサーバ装置から前
記復号化情報を収集する復号化情報収集手段と、収集し
た前記復号化情報を前記ユーザ装置に送信する前記復号
化情報送信手段とを具備し、前記第2のサーバ装置の各
々が、前記分散秘密鍵記憶手段と、前記第1のサーバ装
置からの要求に応じて、記憶している前記分散秘密鍵及
び前記第1のサーバ装置から送信された前記暗号化され
た秘密情報を用いて計算した前記復号化情報を提供する
復号化情報提供手段とを具備することが好ましい。
【0013】さらに、上述の発明において、第1のモジ
ュラス値q及び第2のモジュラス値p(第1のモジュラ
ス値qが第2のモジュラス値pより大きい)と、秘密鍵
(f,g)と、公開鍵h(=F*g(mod q)、
はqを法とするfの逆元)と、任意の多項式rとを
用いるNTRU暗号方式が適用され、前記ユーザ装置の
暗号化手段が、前記NTRU暗号方式で、前記公開鍵h
を用いて、式e=p*r*h+m(mod q)によっ
て、前記秘密情報mを暗号化して前記暗号化された秘密
情報eを生成し、前記ユーザ装置の復号化手段が、前記
第1のサーバ装置から送信された前記復号化情報aを用
いて、式m=a(mod p)(modq)によって、
前記暗号化された秘密情報eを復号化して前記秘密情報
mを取得し、前記第2のサーバ装置の分散秘密鍵記憶手
段が、(式2)による秘密分散法によって分散された前
記分散秘密鍵fを記憶し、前記第2のサーバ装置の復
号化情報提供手段が、前記第1のサーバ装置からの要求
に応じて、記憶している前記分散秘密鍵f及び前記第
1のサーバ装置から送信された前記暗号化された秘密情
報eを用いて、式a=f*e(mod q)によっ
て計算した前記復号化情報aを提供することが好まし
い。
【0014】また、本発明に係る秘密情報管理システム
及び秘密情報管理方法は、複数のサーバ装置とユーザ装
置との間で秘密情報を管理するものであって、前記ユー
ザ装置が、NTRU暗号方式で、該ユーザ装置の公開鍵
を用いて秘密情報を暗号化する暗号化手段と、暗号化さ
れた前記秘密情報を前記サーバ装置に送信する秘密情報
送信手段と、前記サーバ装置に、前記暗号化された秘密
情報を復号化するための復号化情報を要求する要求手段
と、前記サーバ装置から送信された前記復号化情報を用
いて、前記暗号化された秘密情報を復号化する復号化手
段とを具備し、前記サーバ装置が、前記ユーザ装置から
送信された前記暗号化された秘密情報を記憶する秘密情
報記憶手段と、前記公開鍵に対応する秘密鍵を、秘密分
散法によって分散した前記分散秘密鍵を記憶する分散秘
密鍵記憶手段と、秘密分散法によって分散された所定情
報を記憶する所定情報記憶手段と、前記ユーザ装置から
の要求に応じて、前記分散秘密鍵と前記所定情報と前記
暗号化された秘密情報とを用いて計算した前記復号化情
報を前記ユーザ装置に送信する復号化情報送信手段とを
具備することを特徴とするものである。
【0015】かかる発明によれば、所定情報をサーバ装
置側で任意に変更することができるため、秘密情報をよ
り安全に保護することが可能となる。
【0016】上述の発明において、前記公開鍵と前記秘
密鍵と前記所定情報とを生成する鍵生成手段と、前記公
開鍵を前記ユーザ装置に通知する公開鍵通知手段と、前
記秘密鍵及び前記所定情報を秘密分散法によって分散し
た分散秘密鍵を前記サーバ装置に通知する鍵分散手段と
を具備する鍵生成サーバ装置を具備することが好まし
い。
【0017】また、上述の発明において、第1のモジュ
ラス値q及び第2のモジュラス値p(第1のモジュラス
値qが第2のモジュラス値pより大きい)と、秘密鍵
(f,g)と、公開鍵h(=F*g(mod q)、
はqを法とするfの逆元)と、任意の多項式rとを
用いるNTRU暗号方式が適用され、前記ユーザ装置の
暗号化手段が、前記NTRU暗号方式で、前記公開鍵h
を用いて、式e=p*r*h+m(mod q)によっ
て、前記秘密情報mを暗号化して前記暗号化された秘密
情報eを生成し、前記ユーザ装置の復号化手段が、l個
の前記サーバ装置の各々から送信された前記復号化情報
を用いて、上述の(式1)によって、前記暗号化さ
れた秘密情報eを復号化して前記秘密情報mを取得し、
前記サーバ装置の各々の分散秘密鍵記憶手段が、上述の
(式2)による前記秘密分散法によって分散された前記
分散秘密鍵fを記憶し、前記サーバ装置の各々の所定
情報記憶手段が、前記秘密分散法
【数63】 (短い多項式δ(mod p)=0)によって分散され
た所定情報δを記憶し、前記サーバ装置の各々の復号
化情報送信手段が、前記ユーザ装置からの要求に応じ
て、前記分散秘密鍵fと前記所定情報δと前記暗号
化された秘密情報eとを用いて、式a=f*e+δ
(mod q)によって計算した前記復号化情報a
を前記ユーザ装置に送信することが好ましい。
【0018】また、上述の発明において、前記サーバ装
置が、第1のサーバ装置と複数の第2のサーバ装置とに
よって構成されており、前記第1のサーバ装置が、前記
秘密情報記憶手段と、前記ユーザ装置からの要求に応じ
て、前記第2のサーバ装置から前記分散秘密鍵及び前記
所定情報を収集する鍵収集手段と、収集した前記分散秘
密鍵と前記所定情報と前記暗号化された秘密情報とを用
いて計算した前記復号化情報を前記ユーザ装置に送信す
る前記復号化情報送信手段とを具備し、前記第2のサー
バ装置が、前記分散秘密鍵記憶手段と、前記所定情報記
憶手段と、前記第1のサーバ装置からの要求に応じて、
記憶している前記分散秘密鍵及び前記所定情報を提供す
る分散秘密鍵提供手段とを具備することが好ましい。
【0019】また、上述の発明において、第1のモジュ
ラス値q及び第2のモジュラス値p(第1のモジュラス
値qが第2のモジュラス値pより大きい)と、秘密鍵
(f,g)と、公開鍵h(=F*g(mod q)、
はqを法とするfの逆元)と、任意の多項式rとを
用いるNTRU暗号方式が適用され、前記ユーザ装置の
暗号化手段が、前記NTRU暗号方式で、前記公開鍵h
を用いて、式e=p*r*h+m(mod q)によっ
て、前記秘密情報mを暗号化して前記暗号化された秘密
情報eを生成し、前記ユーザ装置の復号化手段が、前記
第1のサーバ装置から送信された前記復号化情報aを用
いて、式m=a(mod p)(modq)によって、
前記暗号化された秘密情報eを復号化して前記秘密情報
mを取得し、前記第2のサーバ装置の分散秘密鍵記憶手
段が、上述の(式2)による前記秘密分散法によって分
散された前記分散秘密鍵fを記憶し、前記第2のサー
バ装置の所定情報記憶手段が、上述の(式4)による前
記秘密分散法によって分散した前記所定情報δを記憶
し、前記第1のサーバ装置の復号化情報送信手段が、前
記ユーザ装置からの要求に応じて、収集した前記分散秘
密鍵fと前記所定情報δと前記暗号化された秘密情
報eとを用いて、式
【数64】 によって計算した前記復号化情報aを前記ユーザ装置に
送信することが好ましい。
【0020】また、上述の発明において、前記サーバ装
置が、第1のサーバ装置と複数の第2のサーバ装置とに
よって構成されており、前記第1のサーバ装置が、前記
秘密情報記憶手段と、前記ユーザ装置からの要求に応じ
て、前記第2のサーバ装置に前記暗号化された秘密情報
を送信することによって、前記第2のサーバ装置から前
記復号化情報を収集する復号化情報収集手段と、収集し
た前記復号化情報を前記ユーザ装置に送信する前記復号
化情報送信手段とを具備し、前記第2のサーバ装置が、
前記分散秘密鍵記憶手段と、前記所定情報記憶手段と、
前記第1のサーバ装置からの要求に応じて、記憶してい
る前記分散秘密鍵及び前記所定情報と、前記第1のサー
バ装置から送信された前記暗号化された秘密情報とを用
いて計算した前記復号化情報を提供する復号化情報提供
手段とを具備することが好ましい。
【0021】また、上述の発明において、第1のモジュ
ラス値q及び第2のモジュラス値p(第1のモジュラス
値qが第2のモジュラス値pより大きい)と、秘密鍵
(f,g)と、公開鍵h(=F*g(mod q)、
はqを法とするfの逆元)と、任意の多項式rとを
用いるNTRU暗号方式が適用され、前記ユーザ装置の
暗号化手段が、前記NTRU暗号方式で、前記公開鍵h
を用いて、式e=p*r*h+m(mod q)によっ
て、前記秘密情報mを暗号化して前記暗号化された秘密
情報eを生成し、前記ユーザ装置の復号化手段が、前記
第1のサーバ装置から送信された前記復号化情報aを用
いて、式m=a(mod p)(modq)によって、
前記暗号化された秘密情報eを復号化して前記秘密情報
mを取得し、前記第2のサーバ装置の分散秘密鍵記憶手
段が、(式2)による秘密分散法によって分散された前
記分散秘密鍵fを記憶し、前記第2のサーバ装置の所
定情報記憶手段が、(式4)による秘密分散法によって
分散した前記所定情報δを記憶し、前記第2のサーバ
装置の復号化情報提供手段が、前記第1のサーバ装置か
らの要求に応じて、前記分散秘密鍵fと前記所定情報
δと前記暗号化された秘密情報eとを用いて、式a
=f*e+δ(mod q)によって計算した前記
復号化情報aを前記第1のサーバ装置に送信すること
が好ましい。
【0022】さらに、上述の発明において、前記秘密分
散法として、(k,l)しきい値秘密分散法が用いられ
ることが好ましい。
【0023】かかる発明によれば、一部のサーバ装置か
らの復号化情報を受信できなかった場合であっても、所
定の閾値k以上のサーバ装置から復号化情報を受信する
ことによって、ユーザ装置で秘密情報を復号化すること
ができる。
【0024】また、上述の発明において、第1のモジュ
ラス値q及び第2のモジュラス値p(第1のモジュラス
値qが第2のモジュラス値pより大きい)と、秘密鍵
(f,g)と、公開鍵h(=F*g(mod q)、
はqを法とするfの逆元)と、任意の多項式rとを
用いるNTRU暗号方式が適用され、前記ユーザ装置の
暗号化手段は、前記NTRU暗号方式で、前記公開鍵h
を用いて、式e=p*r*h+m(mod q)によっ
て、前記秘密情報mを暗号化して前記暗号化された秘密
情報eを生成し、前記ユーザ装置の復号化手段は、l個
の前記サーバ装置の各々から送信された前記復号化情報
を用いて、上述の(式1)によって、前記暗号化さ
れた秘密情報eを復号化して前記秘密情報mを取得し、
前記サーバ装置の各々の分散秘密鍵記憶手段は、(式
2)による前記秘密分散法によって分散された前記分散
秘密鍵fを記憶し、前記サーバ装置の各々の所定情報
記憶手段は、前記秘密分散法
【数65】 (各々のjについて、短い多項式δ(j)(mod
p)=0)によって分散された所定情報δ(j)(j
=1,…,k)を記憶し、前記サーバ装置の各々の復号化
情報送信手段は、前記ユーザ装置からの要求に応じて、
前記分散秘密鍵fとδ(1)から順番に用いられる
前記所定情報δ(j)と前記暗号化された秘密情報e
とを用いて、式a=f*e+δ(j)によって計
算した前記復号化情報aを前記ユーザ装置に送信する
ことが好ましい。
【0025】また、上述の発明において、第1のモジュ
ラス値q及び第2のモジュラス値p(第1のモジュラス
値qが第2のモジュラス値pより大きい)と、秘密鍵
(f,g)と、公開鍵h(=F*g(mod q)、
はqを法とするfの逆元)と、任意の多項式rとを
用いるNTRU暗号方式が適用され、前記ユーザ装置の
暗号化手段は、前記NTRU暗号方式で、前記公開鍵h
を用いて、式e=p*r*h+m(mod q)によっ
て、前記秘密情報mを暗号化して前記暗号化された秘密
情報eを生成し、前記ユーザ装置の復号化手段は、l個
の前記サーバ装置の各々から送信された前記復号化情報
を用いて、上述の(式1)によって、前記暗号化さ
れた秘密情報eを復号化して前記秘密情報mを取得し、
前記サーバ装置の各々の分散秘密鍵記憶手段は、(式
2)による前記秘密分散法によって分散された前記分散
秘密鍵fを記憶し、前記サーバ装置の各々の復号化情
報送信手段は、前記ユーザ装置からの要求に応じて、前
記分散秘密鍵fと任意の多項式δ(δ≠0,δ
=0(mod p)と前記暗号化された秘密情報eとを
用いて、式a=f*e+δによって計算した前記
復号化情報aを前記ユーザ装置に送信することが好ま
しい。
【0026】また、上述の発明において、第1のモジュ
ラス値q及び第2のモジュラス値p(第1のモジュラス
値qが第2のモジュラス値pより大きい)と、秘密鍵
(f,g)と、公開鍵h(=F*g(mod q)、
はqを法とするfの逆元)と、任意の多項式rとを
用いるNTRU暗号方式が適用され、前記ユーザ装置の
暗号化手段は、前記NTRU暗号方式で、前記公開鍵h
を用いて、式e=p*r*h+m(mod q)によっ
て、前記秘密情報mを暗号化して前記暗号化された秘密
情報eを生成し、前記ユーザ装置の復号化手段は、前記
第1のサーバ装置から送信された前記復号化情報aを用
いて、式m=a(mod p)(modq)によって、
前記暗号化された秘密情報eを復号化して前記秘密情報
mを取得し、前記第2のサーバ装置の分散秘密鍵記憶手
段は、(式2)による前記秘密分散法によって分散され
た前記分散秘密鍵fを記憶し、前記第2のサーバ装置
の所定情報記憶手段は、(式6)による前記秘密分散法
(各々のjについて、短い多項式δ(j)(mod
p)=0)によって分散した前記所定情報δ(j)
(j=1,…,k)を記憶し、前記第1のサーバ装置の
復号化情報送信手段は、前記ユーザ装置からの要求に応
じて、収集した前記分散秘密鍵fとδ(1)から順
番に用いられる前記所定情報δ(j)と前記暗号化さ
れた秘密情報eとを用いて、式
【数66】 によって計算した前記復号化情報aを前記ユーザ装置に
送信することが好ましい。
【0027】また、上述の発明において、第1のモジュ
ラス値q及び第2のモジュラス値p(第1のモジュラス
値qが第2のモジュラス値pより大きい)と、秘密鍵
(f,g)と、公開鍵h(=F*g(mod q)、
はqを法とするfの逆元)と、任意の多項式rとを
用いるNTRU暗号方式が適用され、前記ユーザ装置の
暗号化手段は、前記NTRU暗号方式で、前記公開鍵h
を用いて、式e=p*r*h+m(mod q)によっ
て、前記秘密情報mを暗号化して前記暗号化された秘密
情報eを生成し、前記ユーザ装置の復号化手段は、前記
第1のサーバ装置から送信された前記復号化情報aを用
いて、式m=a(mod p)(modq)によって、
前記暗号化された秘密情報eを復号化して前記秘密情報
mを取得し、前記第2のサーバ装置の分散秘密鍵記憶手
段は、(式2)による前記秘密分散法によって分散され
た前記分散秘密鍵fを記憶し、前記第1のサーバ装置
の復号化情報送信手段は、前記ユーザ装置からの要求に
応じて、収集した前記分散秘密鍵fと任意の多項式δ
(δ≠0,δ=0(mod p)と前記暗号化さ
れた秘密情報eとを用いて、上述の(式5)によって計
算した前記復号化情報aを前記ユーザ装置に送信するこ
とが好ましい。
【0028】また、上述の発明において、第1のモジュ
ラス値q及び第2のモジュラス値p(第1のモジュラス
値qが第2のモジュラス値pより大きい)と、秘密鍵
(f,g)と、公開鍵h(=F*g(mod q)、
はqを法とするfの逆元)と、任意の多項式rとを
用いるNTRU暗号方式が適用され、前記ユーザ装置の
暗号化手段は、前記NTRU暗号方式で、前記公開鍵h
を用いて、式e=p*r*h+m(mod q)によっ
て、前記秘密情報mを暗号化して前記暗号化された秘密
情報eを生成し、前記ユーザ装置の復号化手段は、前記
第1のサーバ装置から送信された前記復号化情報aを用
いて、式m=a(mod p)(modq)によって、
前記暗号化された秘密情報eを復号化して前記秘密情報
mを取得し、前記第2のサーバ装置の分散秘密鍵記憶手
段は、(式2)による前記秘密分散法によって分散され
た前記分散秘密鍵fを記憶し、前記第2のサーバ装置
の所定情報記憶手段は、(式6)による前記秘密分散法
(各々のjについて、短い多項式δ(j)(mod
p)=0)によって分散された所定情報δ(j)(j
=1,…,k)を記憶し、前記第2のサーバ装置の復号化
情報提供手段は、前記第1のサーバ装置からの要求に応
じて、前記分散秘密鍵fとδ(1)から順番に用い
られる前記所定情報δ(j)と前記暗号化された秘密
情報eとを用いて、式a=f*e+δ(j)(m
od q)によって計算した前記復号化情報aを前記
第1のサーバ装置に送信することが好ましい。
【0029】また、上述の発明において、第1のモジュ
ラス値q及び第2のモジュラス値p(第1のモジュラス
値qが第2のモジュラス値pより大きい)と、秘密鍵
(f,g)と、公開鍵h(=F*g(mod q)、
はqを法とするfの逆元)と、任意の多項式rとを
用いるNTRU暗号方式が適用され、前記ユーザ装置の
暗号化手段は、前記NTRU暗号方式で、前記公開鍵h
を用いて、式e=p*r*h+m(mod q)によっ
て、前記秘密情報mを暗号化して前記暗号化された秘密
情報eを生成し、前記ユーザ装置の復号化手段は、前記
第1のサーバ装置から送信された前記復号化情報aを用
いて、式m=a(mod p)(modq)によって、
前記暗号化された秘密情報eを復号化して前記秘密情報
mを取得し、前記第2のサーバ装置の分散秘密鍵記憶手
段は、(式2)による前記秘密分散法によって分散され
た前記分散秘密鍵fを記憶し、前記第2のサーバ装置
の復号化情報提供手段は、前記第1のサーバ装置からの
要求に応じて、前記分散秘密鍵fと任意の多項式δ
(δ≠0,δ=0(mod p)と前記暗号化され
た秘密情報eとを用いて、式a=f*e+δ(m
od q)によって計算した前記復号化情報aを前記
第1のサーバ装置に送信することが好ましい。
【0030】
【発明の実施の形態】(本発明の実施形態1に係る秘密
情報管理システムの構成)本発明の実施形態に係る秘密
情報管理システム1の構成について図1乃至5を参照し
ながら説明する。
【0031】本実施形態に係る秘密情報管理システム1
は、登録センター30及び復号センター40乃至40
(複数のサーバ装置)と秘密情報登録者端末20(ユ
ーザ装置)との間で秘密情報を管理するためのものであ
る。
【0032】秘密情報管理システム1は、図1に示すよ
うに、鍵生成センター10と、秘密情報登録者端末20
と、登録センター30と、復号センター40乃至40
とによって構成されている。
【0033】鍵生成センター10は、図2に示すよう
に、鍵生成部11と、公開鍵通知部12と、秘密鍵送信
部13とを具備する鍵生成用のサーバ装置である。
【0034】鍵生成部11は、公開鍵通知部12と秘密
鍵送信部13とに接続されており、NTRU暗号方式の
公開鍵及び秘密鍵のペアを生成し、当該公開鍵を公開鍵
通知部12に送信し、当該秘密鍵を秘密鍵送信部13に
送信するものである。
【0035】NTRU暗号方式は、後述のラティス問題
に基づく公開鍵暗号方式である。NTRU暗号方式のア
ルゴリズムは、以下のとおりである。
【0036】この前提として、多項式環R=Z〔X〕/
(X−1)としたとき、
【数67】
【数68】 とみなし、そのセンターノルムを
【数69】 で定義する。このとき、
【数70】 を満たすa(x)を「短い多項式」と呼ぶこととする。
【0037】また、
【数71】 の積a(x)・b(x)(mod X−1)を、a*
bで表す。そして、
【数72】 を、各
【数73】 としたベクトル
【数74】 とみなすことができ、2つのベクトルa=(a
,…,aN−1)とb=(b,b,…,b
N−1)の積として定義する。このとき、
【数75】 となる。
【0038】まず、NTRU暗号方式のアルゴリズムで
は、適当な自然数N、第1のモジュラス値(多項式)
q、第2のモジュラス値(多項式)pを定める。この
際、第1のモジュラス値qが、第2のモジュラス値pよ
り大きくなるように定める。また、xN−1,p,q
は、互いに素であるように定める。また、N,q,p
を、秘密情報管理システムに共通の値とする。また、R
をZの元を係数とする(N−1)次多項式の集合、
をZの元を係数とする(N−1)次多項式の集合
とする。
【0039】そして、短い多項式f,gを任意に定め
て、f*F=1(mod q),f*F=1(mo
d p)となるF,Fを計算した後、h=F*g
(mod q)を計算する。ここで、f(mod p)
=1となるようにする。また、f,gが、秘密鍵であ
り、hが、公開鍵である。
【0040】かかる条件の下、NTRU暗号方式におい
て、秘密情報m
【数76】 を暗号化すると、暗号化された秘密情報eは、e=p*
r*h+m(mod q)となる。ここで、rは、任意
の短い多項式rとする。
【0041】そして、NTRU暗号方式における復号化
は、式a=f*e(mod q)、式m=a(mod
p)(mod q)によって行われる。
【0042】また、ラティス問題(NTRU仮定)と
は、多項式
【数77】 が与えられたとき、f*h=g(mod p)を満たす
短い多項式f,gを求めることが困難であるということ
を示す。degh=N−1のとき、f,gを求める最も
効率的な方法は、2N次元ラティス上の短いベクトルを
探す問題を解くことと考えられる。
【0043】公開鍵通知部12は、鍵生成部11に接続
されており、鍵生成部11から送信された公開鍵を、イ
ンターネット等を介して公開するものである。また、公
開鍵通知部12は、所定の秘密情報登録者20に、当該
秘密情報登録者20の公開鍵を通知することもできる。
【0044】秘密鍵送信部13は、鍵生成部11に接続
されており、鍵生成部11から送信された秘密鍵を、秘
密分散法によって分散秘密鍵に分散し、当該分散秘密鍵
を復号センター40乃至40に通知するものであ
る。
【0045】秘密情報登録者端末20は、図3に示すよ
うに、公開鍵入手部21と、秘密情報入力部22と、暗
号文生成部23と、暗号文送信部24と、秘密情報要求
部25と、計算結果受信部26と、秘密情報回復部27
とを具備する通信端末(ユーザ装置)である。
【0046】公開鍵入手部21は、暗号文生成部23に
接続されており、鍵生成センター10によって通知され
た秘密情報登録者端末20の公開鍵を入手し、当該公開
鍵を暗号文生成部23に送信するものである。
【0047】秘密情報入力部22は、暗号文生成部23
に接続されており、秘密情報登録者によって、個人情報
等の秘密情報管理システム1によって管理したい秘密情
報を入力させるものである。秘密情報入力部22は、入
力された秘密情報を暗号文生成部23に送信する。
【0048】暗号文生成部23は、公開鍵入手部21と
秘密情報入力部22と暗号文送信部24とに接続されて
おり、NTRU暗号方式で、公開鍵入手部21から送信
された公開鍵を用いて、秘密情報入力部22から送信さ
れた秘密情報を暗号化するものである。暗号文生成部2
3は、暗号化された秘密情報を暗号文送信部24に送信
する。
【0049】暗号文送信部24は、暗号文生成部23に
接続されており、暗号文生成部23から送信された暗号
化された秘密情報を、登録センター30に送信するもの
である。
【0050】秘密情報要求部25は、秘密情報登録者
が、紛失した秘密情報を回復したい場合に、秘密情報登
録者からの指示に応じて、登録センター30に、暗号化
された秘密情報を復号化するための復号化情報を要求す
るものである。
【0051】計算結果受信部26は、秘密情報回復部2
7に接続されており、登録センター30から送信された
復号化情報を受信し、受信した復号化情報を秘密情報回
復部27に送信するものである。
【0052】秘密情報回復部27は、計算結果受信部2
6に接続されており、計算結果受信部26から送信され
た復号化情報を用いて、暗号化された秘密情報を復号化
するものである。
【0053】登録センター40は、図4に示すように、
暗号文登録部31と、秘密情報要求受信部32と、秘密
情報要求送信部33と、分散秘密鍵受信部34と、計算
部35と、計算結果送信部36とを具備する第1のサー
バ装置である。
【0054】暗号文登録部31は、秘密情報要求送信部
33と計算部35とに接続されており、秘密情報登録者
端末20から送信された暗号化された秘密情報を受信し
て記憶するものである。
【0055】秘密情報要求受信部32は、秘密情報要求
送信部33に接続されており、秘密情報登録者端末20
からの復号化情報の要求を受信するものである。
【0056】秘密情報要求送信部33は、暗号文登録部
31と秘密情報要求受信部32とに接続されており、秘
密情報要求受信部32による上述の復号化情報の要求の
受信に応じて、復号センター40乃至40の各々に
対して、分散秘密鍵を提供するように指示するものであ
る。
【0057】若しくは、秘密情報要求送信部33は、秘
密情報要求受信部32による上述の復号化情報の要求の
受信に応じて、復号センター40乃至40の各々に
対して、復号化情報を送信するように指示してもよい。
かかる場合、秘密情報要求送信部33は、暗号文登録部
31に記憶されている暗号化された秘密情報eを共に送
信する。
【0058】分散秘密鍵受信部34は、計算部35に接
続されており、復号センター40乃至40の各々か
ら分散秘密鍵又は復号化情報を収集し、収集した分散秘
密鍵又は復号化情報を計算部35に送信するものであ
る。
【0059】計算部35は、暗号文登録部31と分散秘
密鍵受信部34と計算結果送信部36とに接続されてお
り、分散秘密鍵受信部34から送信された分散秘密鍵及
び暗号文登録部31に記憶されている暗号化された秘密
情報を用いて復号化情報を計算するものである。計算部
35は、計算した復号化情報を計算結果送信部36に送
信する。
【0060】また、計算部35は、分散秘密鍵受信部3
4から復号化情報を受信した場合、受信した復号化情報
を計算結果送信部36に送信する。
【0061】計算結果送信部36は、計算部35に接続
されており、計算部35から送信された復号化情報を、
秘密情報登録者端末20に送信するものである。
【0062】復号センター40は、図5に示すように、
分散秘密鍵登録部41と、秘密情報要求受信部42と、
分散秘密鍵送信部43とを具備する第2のサーバ装置で
ある。
【0063】分散秘密鍵登録部41は、分散秘密鍵送信
部43に接続されており、鍵生成センター10から秘密
分散法によって分散された分散秘密鍵を受信して記憶す
るものである。
【0064】秘密情報要求受信部42は、分散秘密鍵送
信部43に接続されており、登録センター30から分散
秘密鍵f又は復号化情報aを提供するように指示さ
れた場合、その旨を分散秘密鍵送信部43に通知するも
のである。
【0065】分散秘密鍵送信部43は、分散秘密鍵登録
部41と秘密情報要求受信部42とに接続されており、
秘密情報要求受信部42からの上述の通知に応じて、分
散秘密鍵登録部41に記憶されている分散秘密鍵f
又は分散秘密鍵f及び暗号化された秘密情報を用いて
計算した復号化情報aを登録センター30に送信する
ものである。
【0066】(本実施形態に係る秘密情報管理システム
1の動作)本実施形態に係る秘密情報管理システム1の
動作を、図6及び図7を参照にして説明する。図6は、
本実施形態に係る秘密情報管理システム1において、秘
密情報を登録する動作を示すタイムチャート図であり、
図7は、本実施形態に係る秘密情報管理システム1にお
いて、秘密情報を回復する動作を示すタイムチャート図
である。
【0067】図6及び7では、第1のモジュラス値q及
び第2のモジュラス値p(第1のモジュラス値qが第2
のモジュラス値pより大きい)と、秘密鍵(f,g)
と、公開鍵h(=F*g(mod q)、Fはqを
法とするfの逆元)と、任意の多項式rとを用いるNT
RU暗号方式が適用される場合について説明する。
【0068】秘密情報を登録する動作は、図6に示すよ
うに、ステップ201において、鍵生成センター10の
鍵生成部11が、秘密鍵fと公開鍵hを生成する。
【0069】ステップ202において、鍵生成センター
10の公開鍵通知部12が、公開鍵hを、秘密情報登録
者端末20に通知する。ステップ203において、鍵生
成センター10の秘密鍵送信部13が、上述の(式2)
による秘密分散法によって秘密鍵fを分散した分散秘密
鍵fを復号センター40に送信する。
【0070】ステップ204において、秘密情報登録者
端末20の公開鍵入手部21が、鍵生成センター10に
よって通知された公開鍵hを入手する。そして、秘密情
報登録者端末20の暗号文生成部23が、秘密情報入力
部22より入力された秘密情報mを、式e=p*r*h
+m(mod q)によって暗号化して、暗号化された
秘密情報eを生成する。
【0071】ステップ205において、秘密情報登録者
端末20の暗号文送信部24が、暗号化された秘密情報
eを、登録センター30に送信する。そして、登録セン
ター30の暗号文登録部31が、暗号化された秘密情報
eを受信して記憶する。
【0072】秘密情報を回復する動作は、図7に示すよ
うに、ステップ301において、秘密情報を紛失等して
しまって回復を望む秘密情報登録者が、秘密情報登録者
端末20の秘密情報要求部25を介して、登録センター
30に、暗号化された秘密情報eを復号化するための復
号化情報aを要求する。
【0073】ステップ302において、登録センター3
0の秘密情報要求受信部32が、秘密情報登録者端末2
0からの上述の要求を受信し、登録センター30の秘密
情報要求送信部33が、秘密情報要求受信部32による
上述の復号化情報の要求の受信に応じて、l個の復号セ
ンター40の各々に対して、分散秘密鍵fを提供す
るように指示する。
【0074】また、ステップ302において、登録セン
ター30の秘密情報要求送信部33が、秘密情報要求受
信部32による上述の復号化情報の要求の受信に応じ
て、l個の復号センター40の各々に対して、暗号文
登録部31に記憶されている暗号化された秘密情報eを
送信することによって、復号化情報aを提供するよう
に指示してもよい。
【0075】ステップ303において、復号センター4
の各々の秘密情報要求受信部42が、登録センター
からの分散秘密鍵fを提供するように指示された旨を
分散秘密鍵送信部43に通知する。そして、分散秘密鍵
送信部43が、秘密情報要求受信部42からの上述の通
知に応じて、分散秘密鍵登録部41に記憶されている分
散秘密鍵fを登録センター30に送信する。
【0076】また、ステップ303において、復号セン
ター40の各々の秘密情報要求受信部42が、登録セ
ンターから復号化情報aを提供するように指示された
場合、復号センター40の各々の分散秘密鍵送信部4
3が、分散秘密鍵登録部41に記憶している分散秘密鍵
及び登録センター30から送信された暗号化された
秘密情報eを用いて、式a=f*e(mod q)
によって復号化情報a を計算して、計算した復号化情
報aを登録センター30に送信する。
【0077】ステップ304において、登録センター3
0の分散秘密鍵受信部34が、l個の復号センター40
の各々から送信された分散秘密鍵fを収集し、登録
センター30の計算部35が、収集した分散秘密鍵f
及び暗号文登録部31に記憶されている暗号化された秘
密情報eを用いて、上述の(式3)によって復号化情報
aを計算する。
【0078】また、ステップ304において、登録セン
ター30の分散秘密鍵受信部34が、l個の復号センタ
ー40の各々から送信された復号化情報aを収集し
た場合、登録センター30の計算部35が、式
【数78】 によって、復号化情報aを計算する。
【0079】ステップ305において、登録センター3
0の計算結果送信部36が、計算部35によって計算さ
れた復号化情報aを、秘密情報登録者端末20に送信す
る。
【0080】ステップ306において、秘密情報登録者
端末20の計算結果受信部26が、復号化情報aを受信
し、秘密情報登録者端末20の秘密情報回復部27が、
受信した復号化情報aを用いて、式m=a(mod
p)(mod q)によって、暗号化された秘密情報e
を復号化して秘密情報mを回復する。
【0081】(変更例1)本発明の変更例1に係る秘密
情報管理システムについて、図1乃至7を参照しながら
説明する。
【0082】本変更例に係る秘密情報管理システム1の
全体構成は、実施形態1に係る秘密情報管理システム1
の全体構成と同一である。以下、本変更例に係る秘密情
報管理システムと実施形態1に係る秘密情報管理システ
ム1との間の相違点についてのみ説明する。
【0083】本変更例に係る鍵生成センター10は、実
施形態1における鍵生成センター10の機能に加えて、
鍵生成センター10が任意に選択した所定情報δ(短い
多項式δ(mod p)=0)を、上述の(式4)によ
る秘密分散法によって復号センター40乃至40
分散する鍵分散手段(図示せず)を具備する。
【0084】すなわち、本変更例に係る秘密情報管理シ
ステム1における秘密情報を登録する動作(図6参照)
では、ステップ203において、上述の鍵分散手段が、
上述の(式4)による秘密分散法によって分散された所
定情報δを復号センター40乃至40の各々に送
信し、復号センター40乃至40の各々が、所定情
報δを記憶する。
【0085】そして、本変更例に係る秘密情報管理シス
テム1における秘密情報を回復する動作(図7参照)で
は、ステップ303において、分散秘密鍵送信部43
が、秘密情報要求受信部42からの上述の通知に応じ
て、分散秘密鍵登録部41に記憶されている分散秘密鍵
と共に、記憶している所定情報δを登録センター
30に送信する。
【0086】また、ステップ303において、分散秘密
鍵送信部43が、秘密情報要求受信部42からの上述の
通知に応じて、分散秘密鍵登録部41に記憶されている
分散秘密鍵fと、記憶している所定情報δと、登録
センター30から送信された暗号化された秘密情報eと
を用いて、式a=f*e+δ(mod q)によ
って、復号化情報aを計算して、計算した復号化情報
を登録センター30に送信してもよい。
【0087】そして、ステップ304において、登録セ
ンター30の計算部35が、収集した分散秘密鍵f
び所定情報δと暗号文登録部31に記憶されている暗
号化された秘密情報eとを用いて、上述の(式5)によ
って復号化情報aを計算する。
【0088】若しくは、ステップ304において、登録
センター30の計算部35が、収集した復号化情報a
を用いて、上述の(式5)によって、復号化情報aを計
算する。
【0089】(変更例2)本発明の変更例2に係る秘密
情報管理システムについて、図1乃至7を参照しながら
説明する。
【0090】本変更例に係る秘密情報管理システム1の
全体構成は、実施形態1に係る秘密情報管理システム1
の全体構成と同一である。以下、本変更例に係る秘密情
報管理システムと実施形態1に係る秘密情報管理システ
ム1との間の相違点についてのみ説明する。
【0091】本変更例に係る鍵生成センター10は、実
施形態1における鍵生成センター10の機能に加えて、
鍵生成センター10が任意に選択した所定情報δ(j)
(j=1,…,k)(短い多項式δ(j)(mod p)
=0)を、上述の(式4)による秘密分散法によって復
号センター40乃至40に分散する鍵分散手段(図
示せず)を具備する。
【0092】すなわち、本変更例に係る秘密情報管理シ
ステム1における秘密情報を登録する動作(図6参照)
では、ステップ203において、上述の鍵分散手段が、
上述の(式4)による秘密分散法によって分散された所
定情報δ(j)(j=1,…,k)を復号センター40
乃至40の各々に送信し、復号センター40乃至
40の各々が、所定情報δ(j)(j=1,…,k)
を記憶する。
【0093】そして、本変更例に係る秘密情報管理シス
テム1における秘密情報を回復する動作(図7参照)で
は、ステップ303において、分散秘密鍵送信部43
が、秘密情報要求受信部42からの上述の通知に応じ
て、分散秘密鍵登録部41に記憶されている分散秘密鍵
と共に、記憶している所定情報δ(j)(jとし
て、送信されていない最も小さな値のものを選択する)
を登録センター30に送信する。
【0094】また、ステップ303において、分散秘密
鍵送信部43が、秘密情報要求受信部42からの上述の
通知に応じて、分散秘密鍵登録部41に記憶されている
分散秘密鍵fと、記憶している所定情報δ(j)
(jとして、利用されていない最も小さな値のものを
選択する)と、登録センター30から送信された暗号化
された秘密情報eとを用いて、式a=f*e+δ
(j)(mod q)によって、復号化情報aを計
算して、計算した復号化情報aを登録センター30に
送信してもよい。
【0095】そして、ステップ304において、登録セ
ンター30の計算部35が、収集した分散秘密鍵f
び所定情報δ(j)(jは、利用されていない最も小
さな値とする)と暗号文登録部31に記憶されている暗
号化された秘密情報eとを用いて、上述の(式5)によ
って復号化情報aを計算する。
【0096】若しくは、ステップ304において、登録
センター30の計算部35が、収集した復号化情報a
を用いて、上述の(式5)によって、復号化情報aを計
算する。
【0097】本変更例に係る秘密情報管理システムによ
れば、鍵生成センター10が事前に複数の所定情報δ
(j)を用意し、復号センター40乃至40が分散
された所定情報δ(j)を保管してδ(1)から順
番に利用するため、かかる所定情報δ(j)を使い捨
て情報とすることができる。
【0098】(変更例3)本発明の変更例3に係る秘密
情報管理システムについて、図1乃至7を参照しながら
説明する。
【0099】本変更例に係る秘密情報管理システム1の
全体構成は、実施形態1に係る秘密情報管理システム1
の全体構成と同一である。以下、本変更例に係る秘密情
報管理システムと実施形態1に係る秘密情報管理システ
ム1との間の相違点についてのみ説明する。
【0100】本変更例に係る秘密情報管理システム1に
おける秘密情報を回復する動作(図7参照)では、ステ
ップ303において、分散秘密鍵送信部43が、秘密情
報要求受信部42からの上述の通知に応じて、分散秘密
鍵登録部41に記憶されている分散秘密鍵fと共に、
復号センター40が任意に選択する所定情報をδ
(δ≠0,(mod p)=0)を登録センター3
0に送信する。
【0101】また、ステップ303において、分散秘密
鍵送信部43が、秘密情報要求受信部42からの上述の
通知に応じて、分散秘密鍵登録部41に記憶されている
分散秘密鍵fと、復号センター40が任意に選択す
る所定情報(任意の多項式)δ(δ≠0,δ(m
od p)=0)と、登録センター30から送信された
暗号化された秘密情報eとを用いて、式a=f*e
+δ(mod q)によって、復号化情報aを計算
して、計算した復号化情報aを登録センター30に送
信してもよい。
【0102】そして、ステップ304において、登録セ
ンター30の計算部35が、収集した分散秘密鍵f
び所定情報δと暗号文登録部31に記憶されている暗
号化された秘密情報eとを用いて、上述の(式5)によ
って復号化情報aを計算する。
【0103】若しくは、ステップ304において、登録
センター30の計算部35が、収集した復号化情報a
を用いて、上述の(式5)によって、復号化情報aを計
算する。
【0104】(本発明の実施形態2に係る秘密情報管理
システムの構成)本発明の実施形態に係る秘密情報管理
システム1の構成について図8乃至11を参照しながら
説明する。
【0105】本実施形態に係る秘密情報管理システム1
は、復号センター401乃至40l(複数のサーバ装
置)と秘密情報登録者端末20(ユーザ装置)との間で
秘密情報を管理するためのものである。以下、実施形態
1に係る秘密情報管理システム1の構成と本実施形態に
係る秘密情報管理システム1の構成との間の相違点につ
いてのみ説明する。
【0106】秘密情報管理システム1は、図8に示すよ
うに、鍵生成センター10と、秘密情報登録者端末20
と、復号センター401乃至40lとによって構成され
ている。すなわち、実施形態1に係る秘密情報管理シス
テム1の全体構成と本実施形態に係る秘密情報管理シス
テム1の全体構成の相違点は、登録センター30の有無
である。
【0107】図9に、本実施形態に係る秘密情報管理シ
ステム1の復号センター40の機能ブロックを示す。
【0108】復号センター40は、図9に示すように、
分散秘密鍵登録部41と、秘密情報要求受信部42と、
暗号文受信部44と、計算部45と、計算結果送信部4
6とを具備している。
【0109】暗号文受信部44は、計算部45に接続さ
れており、秘密情報登録者端末20から送信された暗号
化された秘密情報を受信して記憶するものである。
【0110】計算部45は、分散秘密鍵登録部41と秘
密情報要求受信部42と暗号文受信部44と計算結果送
信部46とに接続されており、秘密情報要求受信部42
による秘密情報登録者端末20からの要求の受信に応じ
て、分散秘密鍵登録部41に記憶されている分散秘密鍵
及び暗号文受信部44に記憶されている暗号化された秘
密情報を用いて復号化情報を計算し、計算した復号化情
報を計算結果送信部46に送信するものである。
【0111】計算結果送信部46は、計算部45に記憶
されており、計算部35によって計算された復号化情報
を、秘密情報登録者端末20に送信するものである。
【0112】(本実施形態に係る秘密情報管理システム
1の動作)本実施形態に係る秘密情報管理システム1の
動作を、図10及び図11を参照にして説明する。図1
0は、本実施形態に係る秘密情報管理システム1におい
て、秘密情報を登録する動作を示すタイムチャート図で
あり、図11は、本実施形態に係る秘密情報管理システ
ム1において、秘密情報を回復する動作を示すタイムチ
ャート図である。
【0113】図10及び11では、第1のモジュラス値
q及び第2のモジュラス値p(第1のモジュラス値qが
第2のモジュラス値pより大きい)と、秘密鍵(f,
g)と、公開鍵h(=F*g(mod q)、F
qを法とするfの逆元)と、任意の多項式rとを用いる
NTRU暗号方式が適用される場合について説明する。
【0114】秘密情報を登録する動作は、図10に示す
ように、ステップ501において、鍵生成センター10
の鍵生成部11が、秘密鍵fと公開鍵hと所定情報δを
生成する。
【0115】ステップ502において、鍵生成センター
10の公開鍵通知部12が、公開鍵hを、秘密情報登録
者端末20に通知する。ステップ503において、鍵生
成センター10の秘密鍵送信部13が、上述の(式2)
による秘密分散法によって秘密鍵fを分散した分散秘密
鍵fを復号センター40に送信する。また、鍵生成
センター10は、上述の(式4)による秘密分散法によ
って所定情報δを分散した所定情報δを復号センター
40に送信する。
【0116】ステップ504において、秘密情報登録者
端末20の公開鍵入手部21が、鍵生成センター10に
よって通知された公開鍵hを入手する。そして、秘密情
報登録者端末20の暗号文生成部23が、秘密情報入力
部22より入力された秘密情報mを、式e=p*r*h
+m(mod q)によって暗号化して、暗号化された
秘密情報eを生成する。
【0117】ステップ505において、秘密情報登録者
端末20の暗号文送信部24が、暗号化された秘密情報
eを、l個の復号センター40の各々に送信する。ス
テップ506において、復号センター40の各々の暗
号文受信部44が、暗号化された秘密情報eを受信して
記憶する。
【0118】秘密情報を回復する動作は、図11に示す
ように、ステップ601において、秘密情報を紛失等し
てしまって回復を望む秘密情報登録者が、秘密情報登録
者端末20の秘密情報要求部25を介して、l個の復号
センター40の各々に、暗号化された秘密情報eを復
号化するための復号化情報aを要求する。
【0119】ステップ602において、復号センター4
の各々の秘密情報要求受信部42が、秘密情報登録
者端末20からの上述の要求を受信し、復号化情報a
を提供するように指示された旨を計算部45に通知す
る。そして、復号センター40 の各々の計算部45
が、分散秘密鍵登録部41に記憶されている分散秘密鍵
及び暗号文受信部44に記憶されている暗号化され
た秘密情報eを用いて、式a=f*e(mod
q)によって、復号化情報aを計算する。そして、復
号センター40の各々の計算結果送信部46が、復号
化情報aを秘密情報登録者端末20に送信する。
【0120】ステップ603において、秘密情報登録者
端末20の計算結果受信部26が、復号化情報aを受
信し、秘密情報登録者端末20の秘密情報回復部27
が、受信した復号化情報aを用いて、上述の(式1)
によって、暗号化された秘密情報eを復号化して秘密情
報mを回復する。
【0121】(変更例4)本発明の変更例2に係る秘密
情報管理システムについて、図8乃至11を参照しなが
ら説明する。
【0122】本変更例に係る秘密情報管理システム1の
全体構成は、実施形態2に係る秘密情報管理システム1
の全体構成と同一である。以下、本変更例に係る秘密情
報管理システムと実施形態2に係る秘密情報管理システ
ム1との間の相違点についてのみ説明する。
【0123】本変更例に係る鍵生成センター10は、実
施形態1における鍵生成センター10の機能に加えて、
鍵生成センター10が任意に選択した所定情報δ(短い
多項式δ(mod p)=0)を、上述の(式4)によ
る秘密分散法によって復号センター40乃至40
分散する鍵分散手段(図示せず)を具備する。
【0124】すなわち、本変更例に係る秘密情報管理シ
ステム1における秘密情報を登録する動作(図10参
照)では、ステップ503において、上述の鍵分散手段
が、上述の(式4)による秘密分散法によって分散され
た所定情報δを復号センター40乃至40の各々
に送信し、復号センター40乃至40の各々が、所
定情報δを記憶する。
【0125】そして、本変更例に係る秘密情報管理シス
テム1における秘密情報を回復する動作(図11参照)
では、ステップ602において、復号センター40
至40の各々の計算部45が、秘密情報要求受信部4
2からの上述の通知に応じて、分散秘密鍵登録部41に
記憶されている分散秘密鍵f及び所定情報δと暗号
文受信部44に記憶されている暗号化された秘密情報e
とを用いて、式(a=f*e+δ)によって復号
化情報aを計算して、復号センター40乃至40
の各々の計算結果送信部46が、復号化情報aを秘密
情報登録者端末20に送信する。
【0126】(変更例5)本発明の変更例2に係る秘密
情報管理システムについて、図8乃至11を参照しなが
ら説明する。
【0127】本変更例に係る秘密情報管理システム1の
全体構成は、実施形態2に係る秘密情報管理システム1
の全体構成と同一である。以下、本変更例に係る秘密情
報管理システムと実施形態2に係る秘密情報管理システ
ム1との間の相違点についてのみ説明する。
【0128】本変更例に係る鍵生成センター10は、実
施形態1における鍵生成センター10の機能に加えて、
鍵生成センター10が任意に選択した所定情報δ(j)
(j=1,…,k)(短い多項式δ(j)(mod p)
=0)を、上述の(式4)による秘密分散法によって復
号センター40乃至40に分散する鍵分散手段(図
示せず)を具備する。
【0129】すなわち、本変更例に係る秘密情報管理シ
ステム1における秘密情報を登録する動作(図10参
照)では、ステップ503において、上述の鍵分散手段
が、上述の(式4)による秘密分散法によって分散され
た所定情報δ(j)(j=1,…,k)を復号センター
40乃至40の各々に送信し、復号センター40
乃至40の各々が、所定情報δ(j)(j=1,…,
k)を記憶する。
【0130】そして、本変更例に係る秘密情報管理シス
テム1における秘密情報を回復する動作(図11参照)
では、ステップ602において、復号センター40
至40の各々の計算部45が、秘密情報要求受信部4
2からの上述の通知に応じて、分散秘密鍵登録部41に
記憶されている分散秘密鍵f及び所定情報δ(j)
(j=1,…,k)(jとして、利用されていない最も小
さな値のものを選択する)と暗号文受信部44に記憶さ
れている暗号化された秘密情報eとを用いて、式(a
=f*e+δ(j))によって復号化情報aを計
算して、復号センター40乃至40の各々の計算結
果送信部46が、復号化情報aを秘密情報登録者端末
20に送信する。
【0131】本変更例に係る秘密情報管理システムによ
れば、鍵生成センター10が事前に複数の所定情報δ
(j)を用意し、復号センター40乃至40が分散
された所定情報δ(j)を保管してδ(1)から順
番に利用するため、かかる所定情報δ(j)を使い捨
て情報とすることができる。
【0132】(変更例6)本発明の変更例2に係る秘密
情報管理システムについて、図8乃至11を参照しなが
ら説明する。
【0133】本変更例に係る秘密情報管理システム1の
全体構成は、実施形態2に係る秘密情報管理システム1
の全体構成と同一である。以下、本変更例に係る秘密情
報管理システムと実施形態2に係る秘密情報管理システ
ム1との間の相違点についてのみ説明する。
【0134】本変更例に係る秘密情報管理システム1に
おける秘密情報を回復する動作(図11参照)では、ス
テップ602において、復号センター40乃至40
の各々の計算部45が、秘密情報要求受信部42からの
上述の通知に応じて、分散秘密鍵登録部41に記憶され
ている分散秘密鍵f及び復号センター40乃至40
がランダムに選択する所定情報(任意の多項式)(δ
≠0,δ(modp)=0)と暗号文受信部44に
記憶されている暗号化された秘密情報eとを用いて、式
(a=f*e+δ)によって復号化情報aを計
算して、復号センター40乃至40の各々の計算結
果送信部46が、復号化情報aを秘密情報登録者端末
20に送信する。
【0135】(変更例7)本発明の変更例3に係る秘密
情報管理システムについて、図8乃至11を参照しなが
ら説明する。
【0136】本変更例に係る秘密情報管理システム1の
全体構成は、変更例4に係る秘密情報管理システム1の
全体構成と同一である。以下、本変更例に係る秘密情報
管理システムと変更例4に係る秘密情報管理システム1
との間の相違点についてのみ説明する。
【0137】本変更例に係る秘密情報管理システム1
は、変更例4に係る秘密情報管理システム1において、
秘密分散法として、(k,l)しきい値秘密分散法が用
いられるものである。
【0138】本変更例に係る秘密情報管理システム1に
おける秘密情報を登録する動作(図10参照)では、ス
テップ503において、鍵生成センター10の秘密鍵送
信部13が、式
【数79】 による秘密分散法によって秘密鍵fを分散した分散秘密
鍵F(i)を復号センター40に送信する。また、鍵
生成センター10は、式
【数80】 による秘密分散法によって所定情報δを分散した所定情
報Δ(i)を復号センター40iに送信する。そして、
復号センター40乃至40の各々が、分散秘密鍵F
(i)及び所定情報Δ(i)を記憶する。
【0139】そして、本変更例に係る秘密情報管理シス
テム1における秘密情報を回復する動作(図11参照)
では、ステップ602において、復号センター40
至40の各々の計算部45が、秘密情報要求受信部4
2からの上述の通知に応じて、分散秘密鍵登録部41に
記憶されている分散秘密鍵F(i)及び所定情報Δ
(i)と暗号文受信部44に記憶されている暗号化され
た秘密情報eとを用いて、式(a=F(i)*e+Δ
(i))によって復号化情報aを計算して、復号セン
ター40乃至40の各々の計算結果送信部46が、
復号化情報aを秘密情報登録者端末20に送信する。
【0140】ステップ603において、秘密情報登録者
端末20の秘密情報回復部27が、受信した復号化情報
を用いて、ラグランジェの補間法の式
【数81】 によって、暗号化された秘密情報eを復号化して秘密情
報mを回復する。
【0141】なお、コンピュータ50に、本実施形態に
係る秘密情報管理システムの機能(鍵生成センター1
0、秘密情報登録者端末20、登録センター30、復号
センター40)を実行させるためのプログラム(以下、
秘密情報管理プログラム)を、コンピュータ読み取り可
能な記録媒体に記録することができる。このコンピュー
タ読み取り可能な記録媒体は、図12に示すように、例
えば、フロッピィーディスク51、コンパクトディスク
52、ICチップ53、カセットテープ54等が挙げら
れる。このような秘密情報管理プログラムを記録したコ
ンピュータ読み取り可能な記録媒体によれば、秘密情報
管理プログラムの保存、運搬、販売等を容易に行うこと
ができる。
【0142】
【発明の効果】以上説明したように本発明によれば、処
理に必要な計算量が少なくてよい秘密情報管理システ
ム、秘密情報管理方法及びプログラムを提供することが
できる。
【図面の簡単な説明】
【図1】本発明の一実施形態に係る秘密情報管理システ
ムの全体構成図である。
【図2】本発明の一実施形態に係る秘密情報管理システ
ムの鍵生成センターの機能ブロック図である。
【図3】本発明の一実施形態に係る秘密情報管理システ
ムの秘密情報登録者端末の機能ブロック図である。
【図4】本発明の一実施形態に係る秘密情報管理システ
ムの登録センターの機能ブロック図である。
【図5】本発明の一実施形態に係る秘密情報管理システ
ムの復号センターの機能ブロック図である。
【図6】本発明の一実施形態に係る秘密情報管理システ
ムにおいて、秘密情報を登録する動作を示すタイムチャ
ート図である。
【図7】本発明の一実施形態に係る秘密情報管理システ
ムにおいて、秘密情報を回復する動作を示すタイムチャ
ート図である。
【図8】本発明の一実施形態に係る秘密情報管理システ
ムの全体構成図である。
【図9】本発明の一実施形態に係る秘密情報管理システ
ムの復号センターの機能ブロック図である。
【図10】本発明の一実施形態に係る秘密情報管理シス
テムにおいて、秘密情報を登録する動作を示すタイムチ
ャート図である。
【図11】本発明の一実施形態に係る秘密情報管理シス
テムにおいて、秘密情報を回復する動作を示すタイムチ
ャート図である。
【図12】本発明の一実施形態に係る秘密情報管理プロ
グラムを記録するコンピュータ読み取り可能な記録媒体
を示す図である。
【符号の説明】
1…秘密情報管理システム 10…鍵生成センター 11…鍵生成部 12…公開鍵通知部 13…秘密鍵送信部 20…秘密情報登録者端末 21…公開鍵入手部 22…秘密情報入力部 23…暗号文生成部 24…暗号文送信部 25…秘密情報要求部 26…計算結果受信部 27…秘密情報回復部 30…登録センター 31…暗号文登録部 32、42…秘密情報要求受信部 33…秘密情報要求送信部 34…分散秘密鍵受信部 35、45…計算部 36、46…計算結果送信部 40、401、40i、40l…復号センター 41…分散秘密鍵登録部 43…分散秘密鍵送信部

Claims (48)

    【特許請求の範囲】
  1. 【請求項1】 複数のサーバ装置とユーザ装置との間で
    秘密情報を管理する秘密情報管理システムであって、 前記ユーザ装置は、 NTRU暗号方式で、該ユーザ装置の公開鍵を用いて秘
    密情報を暗号化する暗号化手段と、 暗号化された前記秘密情報を前記サーバ装置に送信する
    秘密情報送信手段と、 前記サーバ装置に、前記暗号化された秘密情報を復号化
    するための復号化情報を要求する要求手段と、 前記サーバ装置から送信された前記復号化情報を用い
    て、前記暗号化された秘密情報を復号化する復号化手段
    とを具備し、 前記サーバ装置は、 前記ユーザ装置から送信された前記暗号化された秘密情
    報を記憶する秘密情報記憶手段と、 前記公開鍵に対応する秘密鍵を、秘密分散法によって分
    散した分散秘密鍵を記憶する分散秘密鍵記憶手段と、 前記ユーザ装置からの要求に応じて、前記分散秘密鍵及
    び前記暗号化された秘密情報を用いて計算した前記復号
    化情報を前記ユーザ装置に送信する復号化情報送信手段
    とを具備することを特徴とする秘密情報管理システム。
  2. 【請求項2】 前記公開鍵及び前記秘密鍵を生成する鍵
    生成手段と、 前記公開鍵を前記ユーザ装置に通知する公開鍵通知手段
    と、 前記秘密鍵を秘密分散法によって分散した分散秘密鍵を
    前記サーバ装置に通知する鍵分散手段とを具備する鍵生
    成サーバ装置を具備することを特徴とする請求項1に記
    載の秘密情報管理システム。
  3. 【請求項3】 第1のモジュラス値q及び第2のモジュ
    ラス値p(第1のモジュラス値qが第2のモジュラス値
    pより大きい)と、秘密鍵(f,g)と、公開鍵h(=
    Fq*g(mod q)、Fqはqを法とするfの逆
    元)と、任意の多項式rとを用いるNTRU暗号方式が
    適用される秘密情報管理システムであって、 前記ユーザ装置の暗号化手段は、前記NTRU暗号方式
    で、前記公開鍵hを用いて、式e=p*r*h+m(m
    od q)によって、前記秘密情報mを暗号化して前記
    暗号化された秘密情報eを生成し、 前記ユーザ装置の復号化手段は、l個の前記サーバ装置
    の各々から送信された前記復号化情報aを用いて、式 【数1】 によって、前記暗号化された秘密情報eを復号化して前
    記秘密情報mを取得し、 前記サーバ装置の各々の分散秘密鍵記憶手段は、前記秘
    密分散法 【数2】 によって分散された前記分散秘密鍵fを記憶し、 前記サーバ装置の各々の復号化情報送信手段は、前記ユ
    ーザ装置からの要求に応じて、前記分散秘密鍵f及び
    前記暗号化された秘密情報eを用いて、式a=f
    e(mod q)によって計算した前記復号化情報a
    を前記ユーザ装置に送信することを特徴とする請求項1
    又は2に記載の秘密情報管理システム。
  4. 【請求項4】 前記サーバ装置は、第1のサーバ装置と
    複数の第2のサーバ装置とによって構成されており、 前記第1のサーバ装置は、 前記秘密情報記憶手段と、 前記ユーザ装置からの要求に応じて、前記第2のサーバ
    装置から前記分散秘密鍵を収集する鍵収集手段と、 収集した前記分散秘密鍵及び前記暗号化された秘密情報
    を用いて計算した前記復号化情報を前記ユーザ装置に送
    信する前記復号化情報送信手段とを具備し、 前記第2のサーバ装置の各々は、 前記分散秘密鍵記憶手段と、 前記第1のサーバ装置からの要求に応じて、記憶してい
    る前記分散秘密鍵を提供する分散秘密鍵提供手段とを具
    備することを特徴とする請求項1に記載の秘密情報管理
    システム。
  5. 【請求項5】 第1のモジュラス値q及び第2のモジュ
    ラス値p(第1のモジュラス値qが第2のモジュラス値
    pより大きい)と、秘密鍵(f,g)と、公開鍵h(=
    *g(mod q)、Fはqを法とするfの逆
    元)と、任意の多項式rとを用いるNTRU暗号方式が
    適用される秘密情報管理システムであって、 前記ユーザ装置の暗号化手段は、前記NTRU暗号方式
    で、前記公開鍵hを用いて、式e=p*r*h+m(m
    od q)によって、前記秘密情報mを暗号化して前記
    暗号化された秘密情報eを生成し、 前記ユーザ装置の復号化手段は、前記第1のサーバ装置
    から送信された前記復号化情報aを用いて、式m=a
    (mod p)(mod q)によって、前記暗号化さ
    れた秘密情報eを復号化して前記秘密情報mを取得し、 前記第2のサーバ装置の分散秘密鍵記憶手段は、前記秘
    密分散法 【数3】 によって分散された前記分散秘密鍵fを記憶し、 前記第1のサーバ装置の復号化情報送信手段は、前記ユ
    ーザ装置からの要求に応じて、収集した前記分散秘密鍵
    及び前記暗号化された秘密情報eを用いて、式 【数4】 によって計算した前記復号化情報aを前記ユーザ装置に
    送信することを特徴とする請求項4に記載の秘密情報管
    理システム。
  6. 【請求項6】 前記サーバ装置は、第1のサーバ装置と
    複数の第2のサーバ装置とによって構成されており、 前記第1のサーバ装置は、 前記秘密情報記憶手段と、 前記ユーザ装置からの要求に応じて、前記第2のサーバ
    装置に前記暗号化された秘密情報を送信することによっ
    て、前記第2のサーバ装置から前記復号化情報を収集す
    る復号化情報収集手段と、 収集した前記復号化情報を前記ユーザ装置に送信する前
    記復号化情報送信手段とを具備し、 前記第2のサーバ装置の各々は、 前記分散秘密鍵記憶手段と、 前記第1のサーバ装置からの要求に応じて、記憶してい
    る前記分散秘密鍵及び前記第1のサーバ装置から送信さ
    れた前記暗号化された秘密情報を用いて計算した前記復
    号化情報を提供する復号化情報提供手段とを具備するこ
    とを特徴とする請求項1に記載の秘密情報管理システ
    ム。
  7. 【請求項7】 第1のモジュラス値q及び第2のモジュ
    ラス値p(第1のモジュラス値qが第2のモジュラス値
    pより大きい)と、秘密鍵(f,g)と、公開鍵h(=
    *g(mod q)、Fはqを法とするfの逆
    元)と、任意の多項式rとを用いるNTRU暗号方式が
    適用される秘密情報管理システムであって、 前記ユーザ装置の暗号化手段は、前記NTRU暗号方式
    で、前記公開鍵hを用いて、式e=p*r*h+m(m
    od q)によって、前記秘密情報mを暗号化して前記
    暗号化された秘密情報eを生成し、 前記ユーザ装置の復号化手段は、前記第1のサーバ装置
    から送信された前記復号化情報aを用いて、式m=a
    (mod p)(mod q)によって、前記暗号化さ
    れた秘密情報eを復号化して前記秘密情報mを取得し、 前記第2のサーバ装置の分散秘密鍵記憶手段は、前記秘
    密分散法 【数5】 によって分散された前記分散秘密鍵fを記憶し、 前記第2のサーバ装置の復号化情報提供手段は、前記第
    1のサーバ装置からの要求に応じて、記憶している前記
    分散秘密鍵f及び前記第1のサーバ装置から送信され
    た前記暗号化された秘密情報eを用いて、式a=f
    *e(modq)によって計算した前記復号化情報a
    を提供することを特徴とする請求項6に記載の秘密情報
    管理システム。
  8. 【請求項8】 複数のサーバ装置とユーザ装置との間で
    秘密情報を管理する秘密情報管理システムであって、 前記ユーザ装置は、 NTRU暗号方式で、該ユーザ装置の公開鍵を用いて秘
    密情報を暗号化する暗号化手段と、 暗号化された前記秘密情報を前記サーバ装置に送信する
    秘密情報送信手段と、 前記サーバ装置に、前記暗号化された秘密情報を復号化
    するための復号化情報を要求する要求手段と、 前記サーバ装置から送信された前記復号化情報を用い
    て、前記暗号化された秘密情報を復号化する復号化手段
    とを具備し、 前記サーバ装置は、 前記ユーザ装置から送信された前記暗号化された秘密情
    報を記憶する秘密情報記憶手段と、 前記公開鍵に対応する秘密鍵を、秘密分散法によって分
    散した前記分散秘密鍵を記憶する分散秘密鍵記憶手段
    と、 秘密分散法によって分散された所定情報を記憶する所定
    情報記憶手段と、 前記ユーザ装置からの要求に応じて、前記分散秘密鍵と
    前記所定情報と前記暗号化された秘密情報とを用いて計
    算した前記復号化情報を前記ユーザ装置に送信する復号
    化情報送信手段とを具備することを特徴とする秘密情報
    管理システム。
  9. 【請求項9】 前記公開鍵と前記秘密鍵と前記所定情報
    とを生成する鍵生成手段と、 前記公開鍵を前記ユーザ装置に通知する公開鍵通知手段
    と、 前記秘密鍵を秘密分散法によって分散した分散秘密鍵及
    び秘密分散法によって分散された前記所定情報を前記サ
    ーバ装置に通知する鍵分散手段とを具備する鍵生成サー
    バ装置を具備することを特徴とする請求項8に記載の秘
    密情報管理システム。
  10. 【請求項10】 第1のモジュラス値q及び第2のモジ
    ュラス値p(第1のモジュラス値qが第2のモジュラス
    値pより大きい)と、秘密鍵(f,g)と、公開鍵h
    (=F*g(mod q)、Fはqを法とするfの
    逆元)と、任意の多項式rとを用いるNTRU暗号方式
    が適用される秘密情報管理システムであって、 前記ユーザ装置の暗号化手段は、前記NTRU暗号方式
    で、前記公開鍵hを用いて、式e=p*r*h+m(m
    od q)によって、前記秘密情報mを暗号化して前記
    暗号化された秘密情報eを生成し、 前記ユーザ装置の復号化手段は、l個の前記サーバ装置
    の各々から送信された前記復号化情報aを用いて、式 【数6】 によって、前記暗号化された秘密情報eを復号化して前
    記秘密情報mを取得し、 前記サーバ装置の各々の分散秘密鍵記憶手段は、前記秘
    密分散法 【数7】 によって分散された前記分散秘密鍵fを記憶し、 前記サーバ装置の各々の所定情報記憶手段は、前記秘密
    分散法 【数8】 (短い多項式δ(mod p)=0)によって分散され
    た所定情報δを記憶し、 前記サーバ装置の各々の復号化情報送信手段は、前記ユ
    ーザ装置からの要求に応じて、前記分散秘密鍵fと前
    記所定情報δと前記暗号化された秘密情報eとを用い
    て、式a=f*e+δによって計算した前記復号
    化情報aを前記ユーザ装置に送信することを特徴とす
    る請求項8又は9に記載の秘密情報管理システム。
  11. 【請求項11】 前記サーバ装置は、第1のサーバ装置
    と複数の第2のサーバ装置とによって構成されており、 前記第1のサーバ装置は、 前記秘密情報記憶手段と、 前記ユーザ装置からの要求に応じて、前記第2のサーバ
    装置から前記分散秘密鍵及び前記所定情報を収集する鍵
    収集手段と、 収集した前記分散秘密鍵と前記所定情報と前記暗号化さ
    れた秘密情報とを用いて計算した前記復号化情報を前記
    ユーザ装置に送信する前記復号化情報送信手段とを具備
    し、 前記第2のサーバ装置は、 前記分散秘密鍵記憶手段と、 前記所定情報記憶手段と、 前記第1のサーバ装置からの要求に応じて、記憶してい
    る前記分散秘密鍵及び前記所定情報を提供する分散秘密
    鍵提供手段とを具備することを特徴とする請求項8又は
    9に記載の秘密情報管理システム。
  12. 【請求項12】 第1のモジュラス値q及び第2のモジ
    ュラス値p(第1のモジュラス値qが第2のモジュラス
    値pより大きい)と、秘密鍵(f,g)と、公開鍵h
    (=F*g(mod q)、Fはqを法とするfの
    逆元)と、任意の多項式rとを用いるNTRU暗号方式
    が適用される秘密情報管理システムであって、 前記ユーザ装置の暗号化手段は、前記NTRU暗号方式
    で、前記公開鍵hを用いて、式e=p*r*h+m(m
    od q)によって、前記秘密情報mを暗号化して前記
    暗号化された秘密情報eを生成し、 前記ユーザ装置の復号化手段は、前記第1のサーバ装置
    から送信された前記復号化情報aを用いて、式m=a
    (mod p)(mod q)によって、前記暗号化さ
    れた秘密情報eを復号化して前記秘密情報mを取得し、 前記第2のサーバ装置の分散秘密鍵記憶手段は、前記秘
    密分散法 【数9】 によって分散された前記分散秘密鍵fを記憶し、 前記第2のサーバ装置の所定情報記憶手段は、前記秘密
    分散法 【数10】 によって分散した前記所定情報δを記憶し、 前記第1のサーバ装置の復号化情報送信手段は、前記ユ
    ーザ装置からの要求に応じて、収集した前記分散秘密鍵
    と前記所定情報δと前記暗号化された秘密情報e
    とを用いて、式 【数11】 によって計算した前記復号化情報aを前記ユーザ装置に
    送信することを特徴とする請求項11に記載の秘密情報
    管理システム。
  13. 【請求項13】 前記サーバ装置は、第1のサーバ装置
    と複数の第2のサーバ装置とによって構成されており、 前記第1のサーバ装置は、 前記秘密情報記憶手段と、 前記ユーザ装置からの要求に応じて、前記第2のサーバ
    装置に前記暗号化された秘密情報を送信することによっ
    て、前記第2のサーバ装置から前記復号化情報を収集す
    る復号化情報収集手段と、 収集した前記復号化情報を前記ユーザ装置に送信する前
    記復号化情報送信手段とを具備し、 前記第2のサーバ装置は、 前記分散秘密鍵記憶手段
    と、 前記所定情報記憶手段と、 前記第1のサーバ装置からの要求に応じて、記憶してい
    る前記分散秘密鍵及び前記所定情報と、前記第1のサー
    バ装置から送信された前記暗号化された秘密情報とを用
    いて計算した前記復号化情報を提供する復号化情報提供
    手段とを具備することを特徴とする請求項8又は9に記
    載の秘密情報管理システム。
  14. 【請求項14】 第1のモジュラス値q及び第2のモジ
    ュラス値p(第1のモジュラス値qが第2のモジュラス
    値pより大きい)と、秘密鍵(f,g)と、公開鍵h
    (=F*g(mod q)、Fはqを法とするfの
    逆元)と、任意の多項式rとを用いるNTRU暗号方式
    が適用される秘密情報管理システムであって、 前記ユーザ装置の暗号化手段は、前記NTRU暗号方式
    で、前記公開鍵hを用いて、式e=p*r*h+m(m
    od q)によって、前記秘密情報mを暗号化して前記
    暗号化された秘密情報eを生成し、 前記ユーザ装置の復号化手段は、前記第1のサーバ装置
    から送信された前記復号化情報aを用いて、式m=a
    (mod p)(mod q)によって、前記暗号化さ
    れた秘密情報eを復号化して前記秘密情報mを取得し、 前記第2のサーバ装置の分散秘密鍵記憶手段は、前記秘
    密分散法 【数12】 によって分散された前記分散秘密鍵fを記憶し、 前記第2のサーバ装置の所定情報記憶手段は、前記秘密
    分散法 【数13】 によって分散した前記所定情報δを記憶し、 前記第2のサーバ装置の復号化情報提供手段は、前記第
    1のサーバ装置からの要求に応じて、前記分散秘密鍵f
    と前記所定情報δと前記暗号化された秘密情報eと
    を用いて、式a=f*e+δ(mod q)によ
    って計算した前記復号化情報aを前記第1のサーバ装
    置に送信することを特徴とする請求項13に記載の秘密
    情報管理システム。
  15. 【請求項15】 前記秘密分散法として、(k,l)し
    きい値秘密分散法が用いられることを特徴とする請求項
    1乃至14のいずれか一項に記載の秘密情報管理システ
    ム。
  16. 【請求項16】 複数のサーバ装置とユーザ装置との間
    で秘密情報を管理する秘密情報管理方法であって、 前記ユーザ装置において、NTRU暗号方式で、該ユー
    ザ装置の公開鍵を用いて秘密情報を暗号化する第1工程
    と、 前記ユーザ装置において、暗号化された前記秘密情報を
    前記サーバ装置に送信する第2工程と、 前記ユーザ装置において、前記サーバ装置に、前記暗号
    化された秘密情報を復号化するための復号化情報を要求
    する第3工程と、 前記サーバ装置において、前記ユーザ装置からの要求に
    応じて、前記公開鍵に対応する秘密鍵を秘密分散法によ
    って分散した分散秘密鍵及び前記暗号化された秘密情報
    を用いて計算した前記復号化情報を前記ユーザ装置に送
    信する第4工程と、 前記ユーザ装置において、前記サーバ装置から送信され
    た前記復号化情報を用いて、前記暗号化された秘密情報
    を復号化する第5工程とを有することを特徴とする秘密
    情報管理方法。
  17. 【請求項17】 鍵生成サーバ装置において、前記公開
    鍵及び前記秘密鍵を生成する工程と、前記公開鍵を前記
    ユーザ装置に通知する工程と、前記秘密鍵を秘密分散法
    によって分散した前記分散秘密鍵を前記サーバ装置に送
    信する工程とを有することを特徴とする請求項16に記
    載の秘密情報管理方法。
  18. 【請求項18】 第1のモジュラス値q及び第2のモジ
    ュラス値p(第1のモジュラス値qが第2のモジュラス
    値pより大きい)と、秘密鍵(f,g)と、公開鍵h
    (=F*g(mod q)、Fはqを法とするfの
    逆元)と、任意の多項式rとを用いるNTRU暗号方式
    が適用される秘密情報管理方法であって、 前記第1工程において、前記NTRU暗号方式で、前記
    公開鍵hを用いて、式e=p*r*h+m(mod
    q)によって、前記秘密情報mを暗号化して前記暗号化
    された秘密情報eを生成し、 前記第5工程において、l個の前記サーバ装置の各々か
    ら送信された前記復号化情報aを用いて、式 【数14】 によって、前記暗号化された秘密情報eを復号化して前
    記秘密情報mを取得し、 前記第4工程において、前記ユーザ装置からの要求に応
    じて、前記秘密分散法 【数15】 によって分散された前記分散秘密鍵f及び前記暗号化
    された秘密情報eを用いて、式a=f*e(mod
    q)によって計算した前記復号化情報aを前記ユー
    ザ装置に送信することを特徴とする請求項16又は17
    に記載の秘密情報管理方法。
  19. 【請求項19】 前記サーバ装置は、第1のサーバ装置
    と複数の第2のサーバ装置とによって構成されており、 前記第4工程において、前記第1のサーバ装置が、前記
    ユーザ装置からの要求に応じて、前記第2のサーバ装置
    から前記分散秘密鍵を収集し、収集した前記分散秘密鍵
    及び前記暗号化された秘密情報を用いて計算した前記復
    号化情報を前記ユーザ装置に送信することを特徴とする
    請求項16又は17に記載の秘密情報管理方法。
  20. 【請求項20】 第1のモジュラス値q及び第2のモジ
    ュラス値p(第1のモジュラス値qが第2のモジュラス
    値pより大きい)と、秘密鍵(f,g)と、公開鍵h
    (=F*g(mod q)、Fはqを法とするfの
    逆元)と、任意の多項式rとを用いるNTRU暗号方式
    が適用される秘密情報管理方法であって、 前記第1工程において、前記NTRU暗号方式で、前記
    公開鍵hを用いて、式e=p*r*h+m(mod
    q)によって、前記秘密情報mを暗号化して前記暗号化
    された秘密情報eを生成し、 前記第5工程において、前記第1のサーバ装置の各々か
    ら送信された前記復号化情報aを用いて、式m=a(m
    od p)(mod q)によって、前記暗号化された
    秘密情報eを復号化して前記秘密情報mを取得し、 前記第4工程において、前記ユーザ装置からの要求に応
    じて、前記秘密分散法 【数16】 によって分散された前記分散秘密鍵fを前記第2のサ
    ーバ装置から収集し、収集した前記分散秘密鍵f及び
    前記暗号化された秘密情報eを用いて、式 【数17】 によって計算した前記復号化情報aを前記ユーザ装置に
    送信することを特徴とする請求項19に記載の秘密情報
    管理方法。
  21. 【請求項21】 前記サーバ装置は、第1のサーバ装置
    と複数の第2のサーバ装置とによって構成されており、 前記第4工程において、前記第1のサーバ装置が、前記
    ユーザ装置からの要求に応じて、前記第2のサーバ装置
    に前記暗号化された秘密情報を送信し、前記第2のサー
    バ装置が、前記分散秘密鍵及び前記暗号化された秘密情
    報を用いて計算した前記復号化情報を第1のサーバ装置
    に送信し、前記第1のサーバ装置が、前記第2のサーバ
    装置から収集した前記復号化情報を前記ユーザ装置に送
    信することを特徴とする請求項16又は17に記載の秘
    密情報管理方法。
  22. 【請求項22】 第1のモジュラス値q及び第2のモジ
    ュラス値p(第1のモジュラス値qが第2のモジュラス
    値pより大きい)と、秘密鍵(f,g)と、公開鍵h
    (=F*g(mod q)、Fはqを法とするfの
    逆元)と、任意の多項式rとを用いるNTRU暗号方式
    が適用される秘密情報管理方法であって、 前記第1工程において、前記NTRU暗号方式で、前記
    公開鍵hを用いて、式e=p*r*h+m(mod
    q)によって、前記秘密情報mを暗号化して前記暗号化
    された秘密情報eを生成し、 前記第5工程において、前記第1のサーバ装置から送信
    された前記復号化情報aを用いて、式m=a(mod
    p)(mod q)によって、前記暗号化された秘密情
    報eを復号化して前記秘密情報mを取得し、 前記第4工程において、前記第2のサーバ装置が、前記
    秘密分散法 【数18】 によって分散された前記分散秘密鍵f及び前記暗号化
    された秘密情報eを用いて、式a=f*e(mod
    q)によって計算した前記復号化情報aを第1のサ
    ーバ装置に送信することを特徴とする請求項21に記載
    の秘密情報管理方法。
  23. 【請求項23】 複数のサーバ装置とユーザ装置との間
    で秘密情報を管理する秘密情報管理方法であって、 前記ユーザ装置において、NTRU暗号方式で、該ユー
    ザ装置の公開鍵を用いて秘密情報を暗号化する第1工程
    と、 前記ユーザ装置において、暗号化された前記秘密情報を
    前記サーバ装置に送信する第2工程と、 前記ユーザ装置において、前記サーバ装置に、前記暗号
    化された秘密情報を復号化するための復号化情報を要求
    する第3工程と、 前記サーバ装置において、前記ユーザ装置からの要求に
    応じて、前記公開鍵に対応する秘密鍵を秘密分散法によ
    って分散した分散秘密鍵と秘密分散法によって分散され
    た所定情報と前記暗号化された秘密情報とを用いて計算
    した前記復号化情報を前記ユーザ装置に送信する第4工
    程と、 前記ユーザ装置において、前記サーバ装置から送信され
    た前記復号化情報を用いて、前記暗号化された秘密情報
    を復号化する第5工程とを有することを特徴とする秘密
    情報管理方法。
  24. 【請求項24】 鍵生成サーバ装置において、前記公開
    鍵と前記秘密鍵と前記所定情報とを生成する工程と、 前記鍵生成サーバ装置において、前記公開鍵を前記ユー
    ザ装置に通知する工程と、 前記鍵生成サーバ装置において、前記秘密鍵を秘密分散
    法によって分散した分散秘密鍵及び秘密分散法によって
    分散された前記所定情報をサーバ装置に通知する工程と
    を有することを特徴とする請求項23に記載の秘密情報
    管理方法。
  25. 【請求項25】 第1のモジュラス値q及び第2のモジ
    ュラス値p(第1のモジュラス値qが第2のモジュラス
    値pより大きい)と、秘密鍵(f,g)と、公開鍵h
    (=F*g(mod q)、Fはqを法とするfの
    逆元)と、任意の多項式rとを用いるNTRU暗号方式
    が適用される秘密情報管理方法であって、 前記第1工程において、前記NTRU暗号方式で、前記
    公開鍵hを用いて、式e=p*r*h+m(mod
    q)によって、前記秘密情報mを暗号化して前記暗号化
    された秘密情報eを生成し、 前記第5工程において、l個の前記サーバ装置の各々か
    ら送信された前記復号化情報aを用いて、式 【数19】 によって、前記暗号化された秘密情報eを復号化して前
    記秘密情報mを取得し、 前記第4工程において、前記ユーザ装置からの要求に応
    じて、前記秘密分散法 【数20】 によって分散された前記分散秘密鍵fと、前記秘密分
    散法 【数21】 (短い多項式δ(mod p)=0)によって分散され
    た所定情報δと、前記暗号化された秘密情報eとを用
    いて、式a=f*e+δ(mod q)によって
    計算した前記復号化情報aを前記ユーザ装置に送信す
    ることを特徴とする請求項23又は24に記載の秘密情
    報管理方法。
  26. 【請求項26】 前記サーバ装置は、第1のサーバ装置
    と複数の第2のサーバ装置とによって構成されており、 前記第4工程において、前記第1のサーバ装置が、前記
    ユーザ装置からの要求に応じて、前記第2のサーバ装置
    から前記分散秘密鍵及び前記所定情報を収集し、収集し
    た前記分散秘密鍵と前記所定情報と前記暗号化された秘
    密情報とを用いて計算した前記復号化情報を前記ユーザ
    装置に送信することを特徴とする請求項23又は24に
    記載の秘密情報管理方法。
  27. 【請求項27】 第1のモジュラス値q及び第2のモジ
    ュラス値p(第1のモジュラス値qが第2のモジュラス
    値pより大きい)と、秘密鍵(f,g)と、公開鍵h
    (=F*g(mod q)、Fはqを法とするfの
    逆元)と、任意の多項式rとを用いるNTRU暗号方式
    が適用される秘密情報管理方法であって、 前記第1工程において、前記NTRU暗号方式で、前記
    公開鍵hを用いて、式e=p*r*h+m(mod
    q)によって、前記秘密情報mを暗号化して前記暗号化
    された秘密情報eを生成し、 前記第5工程において、前記第1のサーバ装置から送信
    された前記復号化情報aを用いて、式m=a(mod
    p)(mod q)によって、前記暗号化された秘密情
    報eを復号化して前記秘密情報mを取得し、 前記第4工程において、前記ユーザ装置からの要求に応
    じて、前記秘密分散法 【数22】 によって分散された前記分散秘密鍵f、及び、前記秘
    密分散法 【数23】 によって分散された前記所定情報δを、前記第2のサ
    ーバ装置から収集し、収集した前記分散秘密鍵fと前
    記所定情報δと前記暗号化された秘密情報eとを用い
    て、式 【数24】 によって計算した前記復号化情報aを前記ユーザ装置に
    送信することを特徴とする請求項26に記載の秘密情報
    管理方法。
  28. 【請求項28】 前記サーバ装置は、第1のサーバ装置
    と複数の第2のサーバ装置とによって構成されており、 前記第4工程において、前記第1のサーバ装置が、前記
    ユーザ装置からの要求に応じて、前記第2のサーバ装置
    に前記暗号化された秘密情報を送信し、前記第2のサー
    バ装置が、前記分散秘密鍵と前記所定情報と前記暗号化
    された秘密情報とを用いて計算した前記復号化情報を第
    1のサーバ装置に送信し、前記第1のサーバ装置が、前
    記第2のサーバ装置から収集した前記復号化情報を前記
    ユーザ装置に送信することを特徴とする請求項23又は
    24に記載の秘密情報管理方法。
  29. 【請求項29】 第1のモジュラス値q及び第2のモジ
    ュラス値p(第1のモジュラス値qが第2のモジュラス
    値pより大きい)と、秘密鍵(f,g)と、公開鍵h
    (=F*g(mod q)、Fはqを法とするfの
    逆元)と、任意の多項式rとを用いるNTRU暗号方式
    が適用される秘密情報管理方法であって、 前記第1工程において、前記NTRU暗号方式で、前記
    公開鍵hを用いて、式e=p*r*h+m(mod
    q)によって、前記秘密情報mを暗号化して前記暗号化
    された秘密情報eを生成し、 前記第5工程において、前記第1のサーバ装置から送信
    された前記復号化情報aを用いて、式m=a(mod
    p)(mod q)によって、前記暗号化された秘密情
    報eを復号化して前記秘密情報mを取得し、 前記第4工程において、前記第2のサーバ装置が、前記
    秘密分散法 【数25】 によって分散された前記分散秘密鍵fと、前記秘密分
    散法 【数26】 によって分散された前記所定情報δと、前記暗号化さ
    れた秘密情報eとを用いて、式a=f*e+δ
    (mod q)によって計算した前記復号化情報a
    を第1のサーバ装置に送信することを特徴とする請求項
    28に記載の秘密情報管理方法。
  30. 【請求項30】 前記秘密分散法として、(k,l)し
    きい値秘密分散法が用いられることを特徴とする請求項
    16乃至29のいずれか一項に記載の秘密情報管理方
    法。
  31. 【請求項31】 通信端末を、 第1のモジュラス値q及び第2のモジュラス値p(第1
    のモジュラス値qが第2のモジュラス値pより大きい)
    と、秘密鍵(f,g)と、公開鍵h(=F*g(mo
    d q)、Fはqを法とするfの逆元)と、任意の多
    項式rとを用いるNTRU暗号方式で、自身の前記公開
    鍵hを用いて、式e=p*r*h+m(mod q))
    によって、前記秘密情報mを暗号化して前記暗号化され
    た秘密情報eを生成する暗号化手段と、 暗号化された前記秘密情報mを、l個のサーバ装置に送
    信する秘密情報送信手段と、 前記サーバ装置の各々に、前記暗号化された秘密情報m
    を復号化するための復号化情報aを要求する要求手段
    と、 前記サーバ装置の各々から送信された前記復号化情報a
    を用いて、式 【数27】 によって、前記暗号化された秘密情報eを復号化して前
    記秘密情報mを取得する復号化手段として機能させるた
    めのプログラム。
  32. 【請求項32】 通信端末を、 第1のモジュラス値q及び第2のモジュラス値p(第1
    のモジュラス値qが第2のモジュラス値pより大きい)
    と、秘密鍵(f,g)と、公開鍵h(=F*g(mo
    d q)、Fはqを法とするfの逆元)と、任意の多
    項式rとを用いるNTRU暗号方式で、自身の前記公開
    鍵hを用いて、式e=p*r*h+m(mod q)に
    よって、前記秘密情報mを暗号化して前記暗号化された
    秘密情報eを生成する暗号化手段と、 暗号化された前記秘密情報eを、サーバ装置に送信する
    秘密情報送信手段と、 前記サーバ装置に、前記暗号化された秘密情報eを復号
    化するための復号化情報aを要求する要求手段と、 前記サーバ装置から送信された前記復号化情報aを用い
    て、式m=a(modp)(mod q)によって、前
    記暗号化された秘密情報eを復号化して前記秘密情報m
    を取得する復号化手段として機能させるためのプログラ
    ム。
  33. 【請求項33】 コンピュータを、 第1のモジュラス値q及び第2のモジュラス値p(第1
    のモジュラス値qが第2のモジュラス値pより大きい)
    と、秘密鍵(f,g)と、公開鍵h(=F*g(mo
    d q)、Fはqを法とするfの逆元)と、任意の多
    項式rとを用いるNTRU暗号方式で、式e=p*r*
    h+m(mod q)を用いて暗号化された秘密情報e
    を記憶する秘密情報記憶手段と、 前記公開鍵hに対応する秘密鍵fを、秘密分散法 【数28】 によって分散した分散秘密鍵fを記憶する分散秘密鍵
    記憶手段と、 要求に応じて、前記分散秘密鍵f及び前記暗号化され
    た秘密情報eを用いて、式a=f*e(mod
    q)によって計算した復号化情報aを送信する復号化
    情報送信手段として機能させるためのプログラム。
  34. 【請求項34】 コンピュータを、 第1のモジュラス値q及び第2のモジュラス値p(第1
    のモジュラス値qが第2のモジュラス値pより大きい)
    と、秘密鍵(f,g)と、公開鍵h(=F*g(mo
    d q)、Fはqを法とするfの逆元)と、任意の多
    項式rとを用いるNTRU暗号方式で、式e=p*r*
    h+m(mod q)を用いて暗号化された秘密情報e
    を記憶する秘密情報記憶手段と、 前記公開鍵hに対応する秘密鍵fを、秘密分散法 【数29】 によって分散した分散秘密鍵fを記憶する分散秘密鍵
    記憶手段と、 秘密分散法 【数30】 (短い多項式δ(mod p)=0)によって分散され
    た所定情報δを記憶する所定情報記憶手段と、 要求に応じて、前記分散秘密鍵fと所定情報δと前
    記暗号化された秘密情報eとを用いて、式a=f
    e+δ(mod q)によって計算した復号化情報a
    を送信する復号化情報送信手段として機能させるため
    のプログラム。
  35. 【請求項35】 第1のモジュラス値q及び第2のモジ
    ュラス値p(第1のモジュラス値qが第2のモジュラス
    値pより大きい)と、秘密鍵(f,g)と、公開鍵h
    (=F*g(mod q)、Fはqを法とするfの
    逆元)と、任意の多項式rとを用いるNTRU暗号方式
    が適用される秘密情報管理システムであって、 前記ユーザ装置の暗号化手段は、前記NTRU暗号方式
    で、前記公開鍵hを用いて、式e=p*r*h+m(m
    od q)によって、前記秘密情報mを暗号化して前記
    暗号化された秘密情報eを生成し、 前記ユーザ装置の復号化手段は、l個の前記サーバ装置
    の各々から送信された前記復号化情報aを用いて、式 【数31】 によって、前記暗号化された秘密情報eを復号化して前
    記秘密情報mを取得し、 前記サーバ装置の各々の分散秘密鍵記憶手段は、前記秘
    密分散法 【数32】 によって分散された前記分散秘密鍵fを記憶し、 前記サーバ装置の各々の所定情報記憶手段は、前記秘密
    分散法 【数33】 (各々のjについて、短い多項式δ(j)(mod
    p)=0)によって分散された所定情報δ(j)(j
    =1,…,k)を記憶し、 前記サーバ装置の各々の復号化情報送信手段は、前記ユ
    ーザ装置からの要求に応じて、前記分散秘密鍵fとδ
    (1)から順番に用いられる前記所定情報δ(j)
    と前記暗号化された秘密情報eとを用いて、式a=f
    *e+δ(j)によって計算した前記復号化情報a
    を前記ユーザ装置に送信することを特徴とする請求項
    8又は9に記載の秘密情報管理システム。
  36. 【請求項36】 第1のモジュラス値q及び第2のモジ
    ュラス値p(第1のモジュラス値qが第2のモジュラス
    値pより大きい)と、秘密鍵(f,g)と、公開鍵h
    (=F*g(mod q)、Fはqを法とするfの
    逆元)と、任意の多項式rとを用いるNTRU暗号方式
    が適用される秘密情報管理システムであって、 前記ユーザ装置の暗号化手段は、前記NTRU暗号方式
    で、前記公開鍵hを用いて、式e=p*r*h+m(m
    od q)によって、前記秘密情報mを暗号化して前記
    暗号化された秘密情報eを生成し、 前記ユーザ装置の復号化手段は、l個の前記サーバ装置
    の各々から送信された前記復号化情報aを用いて、式 【数34】 によって、前記暗号化された秘密情報eを復号化して前
    記秘密情報mを取得し、 前記サーバ装置の各々の分散秘密鍵記憶手段は、前記秘
    密分散法 【数35】 によって分散された前記分散秘密鍵fを記憶し、 前記サーバ装置の各々の復号化情報送信手段は、前記ユ
    ーザ装置からの要求に応じて、前記分散秘密鍵fと任
    意の多項式δ(δ≠0,δ=0(modp)と前
    記暗号化された秘密情報eとを用いて、式a=f
    e+δによって計算した前記復号化情報aを前記ユ
    ーザ装置に送信することを特徴とする請求項8又は9に
    記載の秘密情報管理システム。
  37. 【請求項37】 第1のモジュラス値q及び第2のモジ
    ュラス値p(第1のモジュラス値qが第2のモジュラス
    値pより大きい)と、秘密鍵(f,g)と、公開鍵h
    (=F*g(mod q)、Fはqを法とするfの
    逆元)と、任意の多項式rとを用いるNTRU暗号方式
    が適用される秘密情報管理システムであって、 前記ユーザ装置の暗号化手段は、前記NTRU暗号方式
    で、前記公開鍵hを用いて、式e=p*r*h+m(m
    od q)によって、前記秘密情報mを暗号化して前記
    暗号化された秘密情報eを生成し、 前記ユーザ装置の復号化手段は、前記第1のサーバ装置
    から送信された前記復号化情報aを用いて、式m=a
    (mod p)(mod q)によって、前記暗号化さ
    れた秘密情報eを復号化して前記秘密情報mを取得し、 前記第2のサーバ装置の分散秘密鍵記憶手段は、前記秘
    密分散法 【数36】 によって分散された前記分散秘密鍵fを記憶し、 前記第2のサーバ装置の所定情報記憶手段は、前記秘密
    分散法 【数37】 (各々のjについて、短い多項式δ(j)(mod
    p)=0)によって分散した前記所定情報δ(j)
    (j=1,…,k)を記憶し、 前記第1のサーバ装置の復号化情報送信手段は、前記ユ
    ーザ装置からの要求に応じて、収集した前記分散秘密鍵
    とδ(1)から順番に用いられる前記所定情報δ
    (j)と前記暗号化された秘密情報eとを用いて、式 【数38】 によって計算した前記復号化情報aを前記ユーザ装置に
    送信することを特徴とする請求項11に記載の秘密情報
    管理システム。
  38. 【請求項38】 第1のモジュラス値q及び第2のモジ
    ュラス値p(第1のモジュラス値qが第2のモジュラス
    値pより大きい)と、秘密鍵(f,g)と、公開鍵h
    (=F*g(mod q)、Fはqを法とするfの
    逆元)と、任意の多項式rとを用いるNTRU暗号方式
    が適用される秘密情報管理システムであって、 前記ユーザ装置の暗号化手段は、前記NTRU暗号方式
    で、前記公開鍵hを用いて、式e=p*r*h+m(m
    od q)によって、前記秘密情報mを暗号化して前記
    暗号化された秘密情報eを生成し、 前記ユーザ装置の復号化手段は、前記第1のサーバ装置
    から送信された前記復号化情報aを用いて、式m=a
    (mod p)(mod q)によって、前記暗号化さ
    れた秘密情報eを復号化して前記秘密情報mを取得し、 前記第2のサーバ装置の分散秘密鍵記憶手段は、前記秘
    密分散法 【数39】 によって分散された前記分散秘密鍵fを記憶し、 前記第1のサーバ装置の復号化情報送信手段は、前記ユ
    ーザ装置からの要求に応じて、収集した前記分散秘密鍵
    と任意の多項式δ(δ≠0,δ=0(mod
    p)と前記暗号化された秘密情報eとを用いて、式 【数40】 によって計算した前記復号化情報aを前記ユーザ装置に
    送信することを特徴とする請求項11に記載の秘密情報
    管理システム。
  39. 【請求項39】 第1のモジュラス値q及び第2のモジ
    ュラス値p(第1のモジュラス値qが第2のモジュラス
    値pより大きい)と、秘密鍵(f,g)と、公開鍵h
    (=F*g(mod q)、Fはqを法とするfの
    逆元)と、任意の多項式rとを用いるNTRU暗号方式
    が適用される秘密情報管理システムであって、 前記ユーザ装置の暗号化手段は、前記NTRU暗号方式
    で、前記公開鍵hを用いて、式e=p*r*h+m(m
    od q)によって、前記秘密情報mを暗号化して前記
    暗号化された秘密情報eを生成し、 前記ユーザ装置の復号化手段は、前記第1のサーバ装置
    から送信された前記復号化情報aを用いて、式m=a
    (mod p)(mod q)によって、前記暗号化さ
    れた秘密情報eを復号化して前記秘密情報mを取得し、 前記第2のサーバ装置の分散秘密鍵記憶手段は、前記秘
    密分散法 【数41】 によって分散された前記分散秘密鍵fを記憶し、 前記第2のサーバ装置の所定情報記憶手段は、前記秘密
    分散法 【数42】 (各々のjについて、短い多項式δ(j)(mod
    p)=0)によって分散された所定情報δ(j)(j
    =1,…,k)を記憶し、 前記第2のサーバ装置の復号化情報提供手段は、前記第
    1のサーバ装置からの要求に応じて、前記分散秘密鍵f
    とδ(1)から順番に用いられる前記所定情報δ
    (j)と前記暗号化された秘密情報eとを用いて、式
    =f*e+δ(j)(mod q)によって計
    算した前記復号化情報aを前記第1のサーバ装置に送
    信することを特徴とする請求項13に記載の秘密情報管
    理システム。
  40. 【請求項40】 第1のモジュラス値q及び第2のモジ
    ュラス値p(第1のモジュラス値qが第2のモジュラス
    値pより大きい)と、秘密鍵(f,g)と、公開鍵h
    (=F*g(mod q)、Fはqを法とするfの
    逆元)と、任意の多項式rとを用いるNTRU暗号方式
    が適用される秘密情報管理システムであって、 前記ユーザ装置の暗号化手段は、前記NTRU暗号方式
    で、前記公開鍵hを用いて、式e=p*r*h+m(m
    od q)によって、前記秘密情報mを暗号化して前記
    暗号化された秘密情報eを生成し、 前記ユーザ装置の復号化手段は、前記第1のサーバ装置
    から送信された前記復号化情報aを用いて、式m=a
    (mod p)(mod q)によって、前記暗号化さ
    れた秘密情報eを復号化して前記秘密情報mを取得し、 前記第2のサーバ装置の分散秘密鍵記憶手段は、前記秘
    密分散法 【数43】 によって分散された前記分散秘密鍵fを記憶し、 前記第2のサーバ装置の復号化情報提供手段は、前記第
    1のサーバ装置からの要求に応じて、前記分散秘密鍵f
    と任意の多項式δ(δ≠0,δ=0(mod
    p)と前記暗号化された秘密情報eとを用いて、式a
    =f*e+δ (mod q)によって計算した前記
    復号化情報aを前記第1のサーバ装置に送信すること
    を特徴とする請求項13に記載の秘密情報管理システ
    ム。
  41. 【請求項41】 第1のモジュラス値q及び第2のモジ
    ュラス値p(第1のモジュラス値qが第2のモジュラス
    値pより大きい)と、秘密鍵(f,g)と、公開鍵h
    (=F*g(mod q)、Fはqを法とするfの
    逆元)と、任意の多項式rとを用いるNTRU暗号方式
    が適用される秘密情報管理方法であって、 前記第1工程において、前記NTRU暗号方式で、前記
    公開鍵hを用いて、式e=p*r*h+m(mod
    q)によって、前記秘密情報mを暗号化して前記暗号化
    された秘密情報eを生成し、 前記第5工程において、l個の前記サーバ装置の各々か
    ら送信された前記復号化情報aを用いて、式 【数44】 によって、前記暗号化された秘密情報eを復号化して前
    記秘密情報mを取得し、 前記第4工程において、前記ユーザ装置からの要求に応
    じて、前記秘密分散法 【数45】 によって分散された前記分散秘密鍵fと、前記秘密分
    散法 【数46】 (各々のjについて、短い多項式δ(j)(mod
    p)=0)によって分散された所定情報δ(j)(j
    =1,…,k)(所定情報δ(j)は、δ(1)から
    順番に用いられる)と、前記暗号化された秘密情報eと
    を用いて、式a=f*e+δ(j)(mod
    q)によって計算した前記復号化情報aを前記ユーザ
    装置に送信することを特徴とする請求項23又は24に
    記載の秘密情報管理方法。
  42. 【請求項42】 第1のモジュラス値q及び第2のモジ
    ュラス値p(第1のモジュラス値qが第2のモジュラス
    値pより大きい)と、秘密鍵(f,g)と、公開鍵h
    (=F*g(mod q)、Fはqを法とするfの
    逆元)と、任意の多項式rとを用いるNTRU暗号方式
    が適用される秘密情報管理方法であって、 前記第1工程において、前記NTRU暗号方式で、前記
    公開鍵hを用いて、式e=p*r*h+m(mod
    q)によって、前記秘密情報mを暗号化して前記暗号化
    された秘密情報eを生成し、 前記第5工程において、l個の前記サーバ装置の各々か
    ら送信された前記復号化情報aを用いて、式 【数47】 によって、前記暗号化された秘密情報eを復号化して前
    記秘密情報mを取得し、 前記第4工程において、前記ユーザ装置からの要求に応
    じて、前記秘密分散法 【数48】 によって分散された前記分散秘密鍵fと、任意の多項
    式δ(δ≠0,δ=0(mod p)と、前記暗
    号化された秘密情報eとを用いて、式a=f*e+
    δ(mod q)によって計算した前記復号化情報a
    を前記ユーザ装置に送信することを特徴とする請求項
    23又は24に記載の秘密情報管理方法。
  43. 【請求項43】 第1のモジュラス値q及び第2のモジ
    ュラス値p(第1のモジュラス値qが第2のモジュラス
    値pより大きい)と、秘密鍵(f,g)と、公開鍵h
    (=F*g(mod q)、Fはqを法とするfの
    逆元)と、任意の多項式rとを用いるNTRU暗号方式
    が適用される秘密情報管理方法であって、 前記第1工程において、前記NTRU暗号方式で、前記
    公開鍵hを用いて、式e=p*r*h+m(mod
    q)によって、前記秘密情報mを暗号化して前記暗号化
    された秘密情報eを生成し、 前記第5工程において、前記第1のサーバ装置から送信
    された前記復号化情報aを用いて、式m=a(mod
    p)(mod q)によって、前記暗号化された秘密情
    報eを復号化して前記秘密情報mを取得し、 前記第4工程において、前記ユーザ装置からの要求に応
    じて、前記秘密分散法 【数49】 によって分散された前記分散秘密鍵f、及び、前記秘
    密分散法 【数50】 (各々のjについて、短い多項式δ(j)(mod
    p)=0)によって分散された所定情報δ(j)(j
    =1,…,k)(δ(j)は、δ(1)から順番に用
    いられる)を、前記第2のサーバ装置から収集し、収集
    した前記分散秘密鍵fと所定情報δ(j)(j=
    1,…,k)と前記暗号化された秘密情報eとを用いて、
    式 【数51】 によって計算した前記復号化情報aを前記ユーザ装置に
    送信することを特徴とする請求項26に記載の秘密情報
    管理方法。
  44. 【請求項44】 第1のモジュラス値q及び第2のモジ
    ュラス値p(第1のモジュラス値qが第2のモジュラス
    値pより大きい)と、秘密鍵(f,g)と、公開鍵h
    (=F*g(mod q)、Fはqを法とするfの
    逆元)と、任意の多項式rとを用いるNTRU暗号方式
    が適用される秘密情報管理方法であって、 前記第1工程において、前記NTRU暗号方式で、前記
    公開鍵hを用いて、式e=p*r*h+m(mod
    q)によって、前記秘密情報mを暗号化して前記暗号化
    された秘密情報eを生成し、 前記第5工程において、前記第1のサーバ装置から送信
    された前記復号化情報aを用いて、式m=a(mod
    p)(mod q)によって、前記暗号化された秘密情
    報eを復号化して前記秘密情報mを取得し、 前記第4工程において、前記ユーザ装置からの要求に応
    じて、前記秘密分散法 【数52】 によって分散された前記分散秘密鍵f、及び、任意の
    多項式δ(δ≠0,δ=0(mod p)を、前
    記第2のサーバ装置から収集し、収集した前記分散秘密
    鍵fと前記任意の多項式δと前記暗号化された秘密
    情報eとを用いて、式 【数53】 によって計算した前記復号化情報aを前記ユーザ装置に
    送信することを特徴とする請求項26に記載の秘密情報
    管理方法。
  45. 【請求項45】 第1のモジュラス値q及び第2のモジ
    ュラス値p(第1のモジュラス値qが第2のモジュラス
    値pより大きい)と、秘密鍵(f,g)と、公開鍵h
    (=F*g(mod q)、Fはqを法とするfの
    逆元)と、任意の多項式rとを用いるNTRU暗号方式
    が適用される秘密情報管理方法であって、 前記第1工程において、前記NTRU暗号方式で、前記
    公開鍵hを用いて、式e=p*r*h+m(mod
    q)によって、前記秘密情報mを暗号化して前記暗号化
    された秘密情報eを生成し、 前記第5工程において、前記第1のサーバ装置から送信
    された前記復号化情報aを用いて、式m=a(mod
    p)(mod q)によって、前記暗号化された秘密情
    報eを復号化して前記秘密情報mを取得し、 前記第4工程において、前記第2のサーバ装置が、前記
    秘密分散法 【数54】 によって分散された前記分散秘密鍵fと、前記秘密分
    散法 【数55】 (各々のjについて、短い多項式δ(j)(mod
    p)=0)によって分散された所定情報δ(j)(j
    =1,…,k)(δ(j)は、δ(1)から順番に用
    いられる)と、前記暗号化された秘密情報eとを用い
    て、式a=f*e+δ(j)(mod q)によ
    って計算した前記復号化情報aを第1のサーバ装置に
    送信することを特徴とする請求項28に記載の秘密情報
    管理方法。
  46. 【請求項46】 第1のモジュラス値q及び第2のモジ
    ュラス値p(第1のモジュラス値qが第2のモジュラス
    値pより大きい)と、秘密鍵(f,g)と、公開鍵h
    (=F*g(mod q)、Fはqを法とするfの
    逆元)と、任意の多項式rとを用いるNTRU暗号方式
    が適用される秘密情報管理方法であって、 前記第1工程において、前記NTRU暗号方式で、前記
    公開鍵hを用いて、式e=p*r*h+m(mod
    q)によって、前記秘密情報mを暗号化して前記暗号化
    された秘密情報eを生成し、 前記第5工程において、前記第1のサーバ装置から送信
    された前記復号化情報aを用いて、式m=a(mod
    p)(mod q)によって、前記暗号化された秘密情
    報eを復号化して前記秘密情報mを取得し、 前記第4工程において、前記第2のサーバ装置が、前記
    秘密分散法 【数56】 によって分散された前記分散秘密鍵fと、任意の多項
    式δ(δ≠0,δ=0(mod p)と、前記暗
    号化された秘密情報eとを用いて、式a=f*e+
    δ(mod q)によって計算した前記復号化情報a
    を第1のサーバ装置に送信することを特徴とする請求
    項28に記載の秘密情報管理方法。
  47. 【請求項47】 コンピュータを、 第1のモジュラス値q及び第2のモジュラス値p(第1
    のモジュラス値qが第2のモジュラス値pより大きい)
    と、秘密鍵(f,g)と、公開鍵h(=F*g(mo
    d q)、Fはqを法とするfの逆元)と、任意の多
    項式rとを用いるNTRU暗号方式で、式e=p*r*
    h+m(mod q)を用いて暗号化された秘密情報e
    を記憶する秘密情報記憶手段と、 前記公開鍵hに対応する秘密鍵fを、秘密分散法 【数57】 によって分散した分散秘密鍵fを記憶する分散秘密鍵
    記憶手段と、 秘密分散法 【数58】 (各々のjについて、短い多項式δ(j)(mod
    p)=0)によって分散された所定情報δ(j)(j
    =1,…,k)を記憶する所定情報記憶手段と、 要求に応じて、前記分散秘密鍵fとδ(1)から順
    番に用いられる前記所定情報δ(j)と前記暗号化さ
    れた秘密情報eとを用いて、式a=f*e+δ
    (j)(mod q)によって計算した復号化情報a
    を送信する復号化情報送信手段として機能させるため
    のプログラム。
  48. 【請求項48】 コンピュータを、 第1のモジュラス値q及び第2のモジュラス値p(第1
    のモジュラス値qが第2のモジュラス値pより大きい)
    と、秘密鍵(f,g)と、公開鍵h(=F*g(mo
    d q)、Fはqを法とするfの逆元)と、任意の多
    項式rとを用いるNTRU暗号方式で、式e=p*r*
    h+m(mod q)を用いて暗号化された秘密情報e
    を記憶する秘密情報記憶手段と、 前記公開鍵hに対応する秘密鍵fを、秘密分散法 【数59】 によって分散した分散秘密鍵fを記憶する分散秘密鍵
    記憶手段と、 要求に応じて、前記分散秘密鍵fと任意の多項式δ
    (δ≠0,δ=0(mod p)と前記暗号化され
    た秘密情報eとを用いて、式a=f*e+δ(m
    od q)によって計算した復号化情報aを送信する
    復号化情報送信手段として機能させるためのプログラ
    ム。
JP2002258308A 2002-02-07 2002-09-03 秘密情報管理システム、秘密情報管理方法及びプログラム Pending JP2003304232A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002258308A JP2003304232A (ja) 2002-02-07 2002-09-03 秘密情報管理システム、秘密情報管理方法及びプログラム

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2002031567 2002-02-07
JP2002-31567 2002-02-07
JP2002258308A JP2003304232A (ja) 2002-02-07 2002-09-03 秘密情報管理システム、秘密情報管理方法及びプログラム

Publications (1)

Publication Number Publication Date
JP2003304232A true JP2003304232A (ja) 2003-10-24

Family

ID=29404962

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002258308A Pending JP2003304232A (ja) 2002-02-07 2002-09-03 秘密情報管理システム、秘密情報管理方法及びプログラム

Country Status (1)

Country Link
JP (1) JP2003304232A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008228137A (ja) * 2007-03-15 2008-09-25 Fuji Electric Holdings Co Ltd Icカードシステム、その分割情報/秘密情報生成端末、プログラム
JP2020043464A (ja) * 2018-09-11 2020-03-19 ネクスト・イット株式会社 仮想通貨を用いた仮想通貨取引システム、利用者側の利用者端末、仮想通貨取引システムの支援システム及び仮想通貨取引方法
JP2020043465A (ja) * 2018-09-11 2020-03-19 ネクスト・イット株式会社 仮想通貨を用いた仮想通貨取引システムに用いられる、コンピュータを機能させるプログラムが記録させたコンピュータ読み取り可能な記録媒体

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008228137A (ja) * 2007-03-15 2008-09-25 Fuji Electric Holdings Co Ltd Icカードシステム、その分割情報/秘密情報生成端末、プログラム
JP2020043464A (ja) * 2018-09-11 2020-03-19 ネクスト・イット株式会社 仮想通貨を用いた仮想通貨取引システム、利用者側の利用者端末、仮想通貨取引システムの支援システム及び仮想通貨取引方法
JP2020043465A (ja) * 2018-09-11 2020-03-19 ネクスト・イット株式会社 仮想通貨を用いた仮想通貨取引システムに用いられる、コンピュータを機能させるプログラムが記録させたコンピュータ読み取り可能な記録媒体

Similar Documents

Publication Publication Date Title
Hwang et al. An ElGamal-like cryptosystem for enciphering large messages
JP5361920B2 (ja) ファイルサーバシステム
US7239701B1 (en) Key sharing method, secret key generating method, common key generating method and cryptographic communication method in ID-NIKS cryptosystem
EP0821504A2 (en) Method and system for depositing private key used in RSA cryptosystem
JP6363032B2 (ja) 鍵付替え方向制御システムおよび鍵付替え方向制御方法
JP5047638B2 (ja) 暗号文復号権委譲システム
CN105490806B (zh) 一种同态密钥生成、共享方法及装置
CN107086912B (zh) 一种异构存储系统中的密文转换方法、解密方法及系统
JP2011055309A (ja) 二機能付きidベース暗号化方法及び暗号システム
JP5135070B2 (ja) 暗号文復号権限委譲システム
JP2002026892A (ja) 鍵共有方法,秘密鍵生成方法,共通鍵生成方法,暗号通信方法,秘密鍵生成器,共通鍵生成器,暗号通信システム及び記録媒体
US20070183600A1 (en) Secure Cryptographic Communication System Using Kem-Dem
JP4288184B2 (ja) 鍵更新方法、暗号システム、暗号サーバ、端末装置及び外部装置
CN104639319A (zh) 基于身份的代理重加密方法和系统
JP2006227411A (ja) 通信システム、暗号化装置、鍵生成装置、鍵生成方法、復元装置、通信方法、暗号化方法、暗号復元方法
JP2003304232A (ja) 秘密情報管理システム、秘密情報管理方法及びプログラム
KR20030047148A (ko) Rsa를 이용한 클라이언트/서버 기반의 메신저 보안 방법
Yeh et al. P2P email encryption by an identity-based one-way group key agreement protocol
JP2005176144A (ja) 端末装置、通信システム及び通信方法
Wang et al. Secure outsourced calculations with homomorphic encryption
JP2010113181A (ja) 鍵管理方法、鍵生成方法、暗号処理方法、復号処理方法、アクセス管理方法、通信ネットワークシステム
JP2005321719A (ja) 通信システム、復号装置、復元装置、鍵生成装置及び通信方法
JP4230162B2 (ja) 公開鍵暗号通信方法
JP2018107625A (ja) データ配信システム、データ生成装置、仲介装置、データ配信方法、及びプログラム
Usha et al. Multiple attribute authority based access control and anonymous authentication in decentralized cloud