JP2011253148A - Commitment system, commitment generation device, commitment acquisition device, commitment generation method, commitment acquisition method, and program - Google Patents

Commitment system, commitment generation device, commitment acquisition device, commitment generation method, commitment acquisition method, and program Download PDF

Info

Publication number
JP2011253148A
JP2011253148A JP2010128692A JP2010128692A JP2011253148A JP 2011253148 A JP2011253148 A JP 2011253148A JP 2010128692 A JP2010128692 A JP 2010128692A JP 2010128692 A JP2010128692 A JP 2010128692A JP 2011253148 A JP2011253148 A JP 2011253148A
Authority
JP
Japan
Prior art keywords
commitment
unit
finite
input
acquisition device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010128692A
Other languages
Japanese (ja)
Inventor
Eiichiro Fujisaki
英一郎 藤崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2010128692A priority Critical patent/JP2011253148A/en
Publication of JP2011253148A publication Critical patent/JP2011253148A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide commitment system of which the calculation amount and the communication amount are less, by which one piece of common information is repeatedly used, and general-purpose coupling is possible.SOLUTION: A commitment generation device Paccepts input of common reference data crs and secret information s, generates (X of G), (a(1), a(2) of Z/qZ), (rof G), (A=g(i,1)*g(i,2)*ε(1, r) of G), and outputs A, X to a commitment acquisition device P. The Paccepts the input of the crs, and generates (b of Z/qZ) to be output to the P. The Pgenerates (B=ε((g), 1) of G), generates (C=(g(0)*B*X)*ε(1, r) of G), outputs a(1), a(2), rand C to the P, and stores history information sid, the secret information s and an origin r. The Pstores history information sid'.

Description

本発明は、情報セキュリティ技術の基礎技術に関するものであり、特に、コミットメントに関する。   The present invention relates to a basic technology of information security technology, and particularly relates to commitment.

暗号におけるコミットメントとは、電子的に行う「封じ手」のことである。コミットメントは、コミットする側 (committer) と、その受け手 (receiver) とによって行われる。コミットする側は、受け手に情報を秘匿しながらも、後に情報を開示する際、変更できない形で情報を預託する。コミットメントは、基本的にこの二つの性質(秘匿性と拘束性)を満たす。   A cryptographic commitment is an electronic “sealing hand”. A commitment is made by the committer and its receiver. The committing party keeps the information confidential to the recipient, but deposits the information in a form that cannot be changed when the information is disclosed later. Commitment basically satisfies these two characteristics (confidentiality and binding).

コミットメントのすぐ思いつく応用例は、電子的なジャンケンやコイン投げ(もちろん、将棋や碁でも良い)であるが、実際に応用できる範囲はそれより遥かに広い。コミットメントは、最も基本的な暗号プリミティブであるため、上位の暗号プロトコルの中で、頻繁に利用される。近年では、暗号プロトコルをより現実の環境に近づけるため、コミットメントはさらに複雑な組み合わせの中で利用される場合が増えてきた。このような複雑な組み合わせの中では、古典的暗号安全性モデルで作られたコミットメントでは、秘匿性と拘束性を満たすことが出来なくなってしまう。汎用結合可能コミットメントとは、そのような複雑な組み合わせでコミットメントが利用された場合にも、秘匿性と拘束性を満たすよう設計されたコミットメントのことである(汎用結合可能性については、例えば、非特許文献1,4参照)。   Examples of applications where commitments come to mind immediately are electronic janken and coin-throwing (of course, you can use shogi or samurai), but the range of practical applications is far wider. Since commitment is the most basic cryptographic primitive, it is frequently used in higher-level cryptographic protocols. In recent years, commitments have been increasingly used in more complex combinations to bring cryptographic protocols closer to the real environment. In such a complex combination, the commitment made with the classic cryptographic security model cannot satisfy confidentiality and constraint. A universal combinable commitment is a commitment designed to satisfy confidentiality and binding even when the commitment is used in such a complex combination (for example, (See Patent Documents 1 and 4).

汎用結合可能コミットメントを構成するためには、committerとreceiverの双方がアクセス出来る共通情報 (crs) が必ず必要であることが知られている(例えば、非特許文献2参照)。コミットメント方式は、技術的な問題により、この共通情報をコミットメントごとに使い捨てなければならない(すなわち、コミットメントの回数だけ新しい共通情報が必要となる)方式と、使い捨てずに同じ共通情報をずっと使い続けることができる方式とに分けられる。当然ながら、共通情報をずっと使い続けることができるコミットメント方式の方が実用性が高い。   It is known that common information (crs) that can be accessed by both the committer and the receiver is absolutely necessary in order to construct a universally connectable commitment (see Non-Patent Document 2, for example). In the commitment method, due to technical problems, this common information must be disposable for each commitment (that is, new common information is required for the number of commitments), and the same common information is used continuously without being disposable. Can be divided into methods that can Of course, the commitment method, which can continue to use common information for a long time, is more practical.

次に汎用結合可能コミットメントの計算量、通信量の点からの評価がある。当然、計算量、通信量が少ないほど実用性が高い。   Next, there is evaluation from the viewpoint of the amount of calculation and communication amount of commitment that can be combined. Naturally, the smaller the amount of calculation and communication, the higher the practicality.

一つの共通情報を繰り返し使える汎用結合可能コミットメント方式には、従来、非特許文献1,2,3,5の方式があった。   Conventional non-patent literatures 1, 2, 3, and 5 have been known as general-purpose combinable commitment methods that can repeatedly use one piece of common information.

R. Canetti, "Universally composable security: A new paradigm for cryptographic protocols", In Proceedings of the 42th IEEE Annual Symposium on Foundations of Computer Science (FOCS'01), pages 136-145, Oct 2001.R. Canetti, "Universally composable security: A new paradigm for cryptographic protocols", In Proceedings of the 42th IEEE Annual Symposium on Foundations of Computer Science (FOCS'01), pages 136-145, Oct 2001. R. Canetti and M. Fischlin, "Universally composable commitments", In J. Kilian, editor, Advances in Cryptology | CRYPTO 2001, volume 2139 of Lecture Notes in Computer Science, pages 19-40, Springer-Verlag, 2001.R. Canetti and M. Fischlin, "Universally composable commitments", In J. Kilian, editor, Advances in Cryptology | CRYPTO 2001, volume 2139 of Lecture Notes in Computer Science, pages 19-40, Springer-Verlag, 2001. R. Canetti, Y. Lindell, R. Ostrovsky, and A. Sahai, "Universally composable two-party and multi-party secure computation", In Proceedings of the 34th annual ACM Symposium on Theory of Com-puting (STOC'02), pages 494-503, 2002.R. Canetti, Y. Lindell, R. Ostrovsky, and A. Sahai, "Universally composable two-party and multi-party secure computation", In Proceedings of the 34th annual ACM Symposium on Theory of Com-puting (STOC'02) , pages 494-503, 2002. Ran Canetti, "Universally composable security: A new paradigm for cryptograpic protocols", Technical report, Cryptology ePrint Archive, Report 2000/067, 2005. Preliminary version appeared in FOCS'01.Ran Canetti, "Universally composable security: A new paradigm for cryptograpic protocols", Technical report, Cryptology ePrint Archive, Report 2000/067, 2005. Preliminary version appeared in FOCS'01. I. Damg_ard and J. Nielsen, "Perfect hiding and perfect binding universally composable commitment schemes with constant expansion factor", In Advances in Cryptology | CRYPTO2002, pages 581-596, 2002.I. Damg_ard and J. Nielsen, "Perfect hiding and perfect binding universally composable commitment schemes with constant expansion factor", In Advances in Cryptology | CRYPTO2002, pages 581-596, 2002.

しかしながら、非特許文献5を除いた従来方式は、1ビットの秘密情報をコミットするためにO(k)ビット(kはセキュリティパラメータで、k=2048,160など)の平文空間を持ち、選択暗号文攻撃に対して安全な公開鍵暗号が最低二つ必要であった。すなわち、特許文献5を除いた従来方式は、1ビットの秘密情報をコミットするのに、O(k)ビットの情報量が必要であり効率が悪い。一方、非特許文献5の方式では、kビットの秘密情報をコミットするためにO(k)ビットで済むので効率は改善されている。しかしながら、非特許文献5の方式は、実質、合成数N(大きな二つの奇素数の積)を法とするRSA公開鍵暗号方式上でしか構成できず、セキュリティパラメータも大きなk=2048に限定されるという問題がある。   However, the conventional system excluding Non-Patent Document 5 has a plaintext space of O (k) bits (k is a security parameter, k = 2048,160, etc.) for committing 1-bit secret information, and a selective encryption At least two public key ciphers that are safe against sentence attacks were required. In other words, the conventional method excluding Patent Document 5 requires an information amount of O (k) bits to commit 1-bit secret information, and is inefficient. On the other hand, in the method of Non-Patent Document 5, the efficiency is improved because only O (k) bits are required to commit the secret information of k bits. However, the method of Non-Patent Document 5 can be configured only on the RSA public key cryptosystem which modulo the composite number N (product of two large prime numbers), and the security parameter is limited to a large k = 2048. There is a problem that.

本発明はこのような点に鑑みてなされたものであり、計算量や通信量が少なく、一つの共通情報を繰り返し使用できる汎用結合可能なコミットメント方式を提供することを目的とする。   The present invention has been made in view of these points, and an object of the present invention is to provide a commitment method that can be combined universally and can use a single piece of common information repeatedly with a small amount of calculation and communication.

上記課題を解決するために、本発明の第1態様のコミットメントでは、n(n≧1)個のコミットメント生成装置P(i) (i∈{1,...,n})とコミットメント取得装置Pj (j≠i)とによって以下の処理を行う。まず、コミットメント生成装置 Piが、準同型公開鍵暗号方式の公開鍵 pkと有限可換群 Gcの元 g(0), g(1,1), g(1,2) ,..., g(n,1), g(n,2)∈Gcとを含む共通参照データ crsと、秘密情報s∈{0,1,...,L}(L, qは0<L≦qを満たす整数)の入力を受け付ける。コミットメント生成装置 Piは、有限可換群 Gcの任意の元 X∈Gcを生成し、正整数qを法とする剰余環 Z/qZの任意の元 a(1), a(2)∈Z/qZを生成し、有限可換群 Grの任意の元 ra∈Grを生成し、Gmを位数qの巡回群である有限可換群とし、有限可換群Gmの生成元をgmとし、有限可換群Gmの単位元を1mとし、準同型公開鍵暗号方式の暗号化関数を公開鍵 pkと平文M∈Gmと元 r∈Grに対してεpk(M, r)∈Gcを出力する準同型関数とした場合における、有限可換群 Gcの元 A=g(i,1)a(1)・g(i,2)a(2)・εpk(1m, ra)∈Gcを生成し、元 A, Xをコミットメント取得装置 Pjに対して出力する。コミットメント取得装置 Pjは、共通参照データ crsの入力を受け付け、剰余環 Z/qZの任意の元 b∈Z/qZを生成し、元 bをコミットメント生成装置 Piに対して出力する。コミットメント生成装置 Piは、有限可換群 Grの単位元を1rとした場合における、B=εpk((gm)b, 1r)∈Gcを生成し、有限可換群 Grの任意の元 rc∈Grを生成し、秘密情報s∈{0,1,...,L}をコミット対象として、有限可換群 Gcの元 C=(g(0)(a(1)+a(2))・B・X)s・εpk(1m, rc)∈Gcを生成し、元a(1), a(2), ra, Cをコミットメント取得装置 Pjに対して出力し、元 A, X, a(1), a(2), ra, b, Cを含む第1履歴情報sidと秘密情報sと元 rcとを格納する。コミットメント取得装置 Pjは、元 A, X, a(1), a(2), ra, b, Cを含む第2履歴情報sid'を格納する。 In order to solve the above problem, in the commitment according to the first aspect of the present invention, n (n ≧ 1) commitment generation devices P (i) (i∈ {1,..., N}) and commitment acquisition devices The following processing is performed according to P j (j ≠ i). First, the commitment generator P i has the public key pk of the homomorphic public key cryptosystem and the elements g (0), g (1,1), g (1,2), ... of the finite commutative group G c ... , g (n, 1), g (n, 2) ∈G c and secret information s∈ {0,1, ..., L} (L, q is 0 <L ≦ Integer that satisfies q) is accepted. The commitment generator P i generates an arbitrary element X∈G c of a finite commutative group G c and an arbitrary element of a remainder ring Z / qZ modulo a positive integer q a (1), a (2) Generate ∈Z / qZ, generate an arbitrary element r a ∈G r of the finite commutative group G r , and let G m be a finite commutative group that is a cyclic group of order q, and the finite commutative group G m the origin and g m, the unity of the finite Allowed換群G m and 1 m, to the public the encryption function key pk and the plaintext M∈G m and the original r∈G r homomorphic public-key cryptography Te ε pk (M, r) in the case of the homomorphic function for outputting ∈G c, based on a = g a finite friendly換群 G c (i, 1) a (1) · g (i, 2) a (2) · ε pk (1 m , r a ) εG c is generated, and elements A and X are output to the commitment acquisition device P j . The commitment acquisition device P j receives input of the common reference data crs, generates an arbitrary element b∈Z / qZ of the remainder ring Z / qZ, and outputs the element b to the commitment generation device P i . The commitment generator P i generates B = ε pk ((g m ) b , 1 r ) εG c when the unit element of the finite commutative group G r is 1 r, and the finite commutative group G generates random original r c ∈G r of r, secret information s∈ {0,1, ..., L} as commit object, finite-friendly換群G c of the original C = (g (0) ( a (1) + a (2))・ B ・ X) s・ ε pk (1 m , r c ) ∈G c and commit the elements a (1), a (2), r a , C Output to the acquisition device P j and store the first history information sid including the elements A, X, a (1), a (2), r a , b, C, the secret information s, and the element r c . Commitment acquisition device P j is based on A, X, a (1) , a (2), r a, b, and stores the second log information sid 'including C.

本発明の第1態様のデコミットメントでは、コミットメント生成装置 Piが、第1履歴情報sidと秘密情報 sと元 rcとをコミットメント取得装置 Pjに対して出力し、コミットメント取得装置 Pjが、第1履歴情報sidと第2履歴情報sid'とが一致し、なおかつ、秘密情報 sと元 rcとがC=(g(0)(a(1)+a(2))・B・X)s・εpk(1m, rc)∈Gc, B=εpk((gm)b, 1r)∈Gcを満たす場合に、秘密情報 sを承認する。 The de commitment first aspect of the present invention, the commitment generator P i is the first history information sid and secret information s the original r c and outputs the commitment acquisition device P j, commitment acquisition device P j , The first history information sid and the second history information sid 'match, and the secret information s and the source r c are C = (g (0) (a (1) + a (2)) · B · X) s · ε pk (1 m , r c ) εG c , B = ε pk ((g m ) b , 1 r ) εG c is satisfied, the secret information s is approved.

ここで、本発明の第1態様では、有限可換群 Gcの元 C=(g(0)(a(1)+a(2))・B・X)s・εpk(1m, rc)∈Gcによってコミット対象の秘密情報sが秘匿されるが、秘密情報sがkビットである場合、Cのビット長はO(k)で表現できる。また、暗号化関数εpk(M, r)としてどのような準同型公開鍵暗号方式のものを使用するかに制限はない。さらに、共通参照データ crsは、n(n≧1)個のコミットメント生成装置 P(i) (i∈{1,...,n})に対してそれぞれ使用可能である。 In the first aspect of the present invention, based on C = (g (0) ( a (1) + a (2)) · B · X) s · ε pk (1 m of the finite-friendly換群G c, The secret information s to be committed is concealed by r c ) ∈G c , but when the secret information s is k bits, the bit length of C can be expressed as O (k). Further, there is no limitation on what homomorphic public key cryptosystem is used as the encryption function ε pk (M, r). Furthermore, the common reference data crs can be used for each of n (n ≧ 1) commitment generation devices P (i) (i∈ {1,..., N}).

また、本発明の第2態様のコミットメントでは、まず、コミットメント生成装置 Piが、準同型公開鍵暗号方式の公開鍵 pkと、それぞれがk個(kは正整数)の有限可換群 Gcの元を要素とするベクトルvg(0)=(g(0,1) ,..., g(0,k)), vg(1,1)=(g(1,1,1) ,..., g(1,1,k)), vg(1,2)=(g(1,2,1) ,..., g(1,2,k)), ..., vg(n,1)=(g(n,1,1) ,..., g(n,1,k)), vg(n,2)=(g(n,2,1) ,..., g(n,2,k))とを含む共通参照データ crsと、正整数qw (w=1,...,k)を法とする剰余環 Z/qwZの元vs(w)∈Z/qwZを各要素とする秘密情報ベクトルvs=(vs(1),...,vs(k))∈Πw=1 k Z/qwZとの入力を受け付ける。コミットメント生成装置 Piは、有限可換群 Gcの任意の元 X∈Gcを生成し、剰余環 Z/qwZの任意の元a(1,w)∈Z/qwZを各要素とするベクトルva(1)=(a(1,1) ,..., a(1,k))∈Πw=1 k Z/qwZと、剰余環 Z/qwZの任意の元a(2,w)∈Z/qwZを各要素とするベクトルva(2)=(a(2,1) ,..., a(2,k))∈Πw=1 k Z/qwZとを生成し、有限可換群 Grの任意の元 ra∈Grを生成し、Gmを位数qwの巡回群Gm,wの直積Gm=Gm,1×...×Gm,kからなる有限可換群とし、巡回群Gm,wの生成元をgm,wとし、有限可換群Gmの単位元を1mとし、準同型公開鍵暗号方式の暗号化関数を公開鍵 pkと平文M∈Gmと元 r∈Grに対してεpk(M, r)∈Gcを出力する準同型関数とし、vg(i,t)va(t)=(g(i,t,1)a(t,1) ,..., g(i,t,k)a(t,k)) (t∈{1,2})とした場合における、有限可換群 Gcの元A=vg(i,1)va(1)・vg(i,2)va(2)・εpk(1m, ra)∈Gcを生成し、元 A, Xをコミットメント取得装置 Pjに対して出力する。コミットメント取得装置 Pjは、共通参照データ crsの入力を受け付け、剰余環 Z/qwZの任意の元b(1,w)∈Z/qwZを各要素とするベクトルvb=(b(1) ,..., b(k))∈Πw=1 k Z/qwZを生成し、ベクトルvbをコミットメント生成装置 Piに対して出力する。コミットメント生成装置 Piは、有限可換群 Grの単位元を1rとした場合における、B=εpkw=1 k(gm,w)b(w), 1r)∈Gcを生成し、有限可換群 Grの任意の元 rc∈Grを生成し、秘密情報ベクトルvsをコミット対象として、有限可換群 Gcの元 C=(vg(0)(va(1)+va(2))・B・X)vs・εpk(1m, rc)∈Gcを生成し、va(1), va(2), ra, Cをコミットメント取得装置 Pjに対して出力し、A, X, va(1), va(2), ra, vb, Cを含む第1履歴情報sidと秘密情報ベクトルvsと元 rcとを格納する。コミットメント取得装置 Pjは、A, X, va(1), va(2), ra, vb, Cを含む第2履歴情報sid'を格納する。 In the commitment according to the second aspect of the present invention, first, the commitment generation device P i has a public key pk of the homomorphic public key cryptosystem and k finite commutative groups G c (k is a positive integer). Vector vg (0) = (g (0,1), ..., g (0, k)), vg (1,1) = (g (1,1,1),. .., g (1,1, k)), vg (1,2) = (g (1,2,1), ..., g (1,2, k)), ..., vg ( n, 1) = (g (n, 1,1), ..., g (n, 1, k)), vg (n, 2) = (g (n, 2,1), ..., g (n, 2, k)) and common reference data crs, and the remainder ring Z / q w Z modulo positive integer q w (w = 1, ..., k) vs (w) The secret information vector vs = (vs (1),..., Vs (k)) ∈Πw = 1 k Z / q w Z having εZ / q w Z as each element is accepted. Commitment generator P i, produce any original X∈G c of the finite-friendly換群G c, any source a (1, w) ∈Z / q w Z a residue ring Z / q w Z each An element vector va (1) = (a (1,1), ..., a (1, k)) ∈Π w = 1 k Z / q w Z and the remainder ring Z / q w Z Vector va (2) = (a (2,1), ..., a (2, k)) ∈Π w = 1 k with elements a (2, w) ∈Z / q w Z Z / q w Z and any element r a ∈G r of the finite commutative group G r and G m is the direct product G m = G m of the cyclic group G m, w of order q w , 1 × ... × G m, k is a finite commutative group , the generator of the cyclic group G m, w is g m, w , the unit of the finite commutative group G m is 1 m , The encryption function of the isomorphic public key cryptosystem is a homomorphic function that outputs ε pk (M, r) ∈ G c for the public key pk, plaintext M∈G m and element r∈G r , and vg (i, t) va (t) = (g (i, t, 1) a (t, 1) , ..., g (i, t, k) a (t, k) ) (t∈ {1,2} ) and in the case where, based on a = vg finite friendly換群 G c (i, 1) va (1) · vg (i, 2) va (2) · ε pk (1 m, r a) ∈G c And the original A, X Output to the element acquisition device P j . The commitment acquisition device P j accepts input of the common reference data crs, and a vector vb = (b () having an arbitrary element b (1, w) ∈Z / q w Z of the remainder ring Z / q w Z as an element. 1), ..., b (k)) ∈Πw = 1 k Z / q w Z is generated, and the vector vb is output to the commitment generator P i . The commitment generator P i uses B = ε pkw = 1 k (g m, w ) b (w) , 1 r ) ∈G when the unit of the finite commutative group G r is 1 r. generates c, produce any original r c ∈G r finite friendly換群G r, as the commit target secret information vector vs, the original C = (vg (0 finite friendly換群G c) (va (1) + va (2))・ B ・ X) vs・ ε pk (1 m , r c ) ∈G c and generates va (1), va (2), r a , C as commitment acquisition device and outputs the P j, a, X, va (1), va (2), r a, vb, stores a first history information sid and secret information vector vs the original r c including C. Commitment acquisition device P j, A, X, va (1), va (2), r a, vb, storing the second history information sid 'including C.

本発明の第2態様のデコミットメントでは、コミットメント生成装置 Piが、第1履歴情報sidと秘密情報ベクトルvsと元 rcとをコミットメント取得装置 Pjに対して出力し、コミットメント取得装置 Pjが、第1履歴情報sidと第2履歴情報sid'とが一致し、なおかつ、秘密情報ベクトルvsと元 rcとがC=(vg(0)(va(1)+va(2))・B・X)vs・εpk(1m, rc)∈Gc, B=εpkw=1 k(gm,w)b(w), 1r)∈Gcを満たす場合に、秘密情報ベクトルvsを承認する。 The de commitment second aspect of the present invention, the commitment generator P i is the first history information sid and secret information vector vs and the original r c and outputs the commitment acquisition device P j, commitment acquisition device P j However, the first history information sid and the second history information sid ′ match, and the secret information vector vs and the element r c are C = (vg (0) (va (1) + va (2)) · B ・ X) vs・ ε pk (1 m , r c ) ∈G c , B = ε pkw = 1 k (g m, w ) b (w) , 1 r ) ∈G c Approve the secret information vector vs.

ここで、本発明の第2態様では、有限可換群 Gcの元 C=(vg(0)(va(1)+va(2))・B・X)vs・εpk(1m, rc)∈Gcによってコミット対象の秘密情報ベクトルvs=(vs(1),...,vs(k))∈Πw=1 k Z/qwZが秘匿されるが、秘密情報ベクトルvsの各要素がkビットである場合、Cのビット長はO(k)で表現できる。また、暗号化関数εpk(M, r)∈Gcとしてどのような準同型公開鍵暗号方式のものを使用するかに制限はない。さらに、共通参照データ crsは、n(n≧1)個のコミットメント生成装置 P(i) (i∈{1,...,n})に対してそれぞれ使用可能である。 In the second aspect of the present invention, based on C = (vg (0) ( va (1) + va (2)) · B · X) vs · ε pk (1 m of the finite-friendly換群G c, The secret information vector vs = (vs (1), ..., vs (k)) ∈Π w = 1 k Z / q w Z is concealed by r c ) ∈G c , but the secret information vector When each element of vs is k bits, the bit length of C can be expressed as O (k). Further, there is no limitation on what homomorphic public key cryptosystem is used as the encryption function ε pk (M, r) εG c . Furthermore, the common reference data crs can be used for each of n (n ≧ 1) commitment generation devices P (i) (i∈ {1,..., N}).

本発明では、計算量や通信量が少なく、一つの共通情報を繰り返し使用できる汎用結合可能なコミットメント方式を実現できる。   In the present invention, it is possible to realize a commitment method that can be combined universally and that can use a single piece of common information repeatedly with a small amount of calculation and communication.

図1は、実施形態のコミットメントシステムの全体構成を説明するための図である。FIG. 1 is a diagram for explaining the overall configuration of the commitment system according to the embodiment. 図2は、第1実施形態のコミットメント生成装置の機能構成を説明するための図である。FIG. 2 is a diagram for explaining a functional configuration of the commitment generation device according to the first embodiment. 図3は、第1実施形態のコミットメント取得装置の機能構成を説明するための図である。FIG. 3 is a diagram for explaining a functional configuration of the commitment acquisition apparatus according to the first embodiment. 図4は、第1実施形態の共通参照データ生成装置の機能構成を説明するための図である。FIG. 4 is a diagram for explaining a functional configuration of the common reference data generation device according to the first embodiment. 図5は、第1実施形態のコミットメント(封じ手)処理を説明するための図である。FIG. 5 is a diagram for explaining a commitment (sealing hand) process according to the first embodiment. 図6Aは、第1実施形態のデコミットメント(開封)処理を説明するための図である。図6Bは、第1実施形態の共通参照データの生成処理を説明するための図である。FIG. 6A is a diagram for describing a decommitment (opening) process according to the first embodiment. FIG. 6B is a diagram for describing common reference data generation processing according to the first embodiment. 図7は、第2実施形態のコミットメント生成装置の機能構成を説明するための図である。FIG. 7 is a diagram for explaining a functional configuration of the commitment generation device according to the second embodiment. 図8は、第2実施形態のコミットメント取得装置の機能構成を説明するための図である。FIG. 8 is a diagram for explaining a functional configuration of the commitment acquisition apparatus according to the second embodiment. 図9は、第2実施形態の共通参照データ生成装置の機能構成を説明するための図である。FIG. 9 is a diagram for explaining a functional configuration of the common reference data generation device according to the second embodiment. 図10は、第2実施形態のコミットメント(封じ手)処理を説明するための図である。FIG. 10 is a diagram for explaining a commitment (sealing hand) process according to the second embodiment. 図11Aは、第2実施形態のデコミットメント(開封)処理を説明するための図である。図11Bは、第2実施形態の共通参照データの生成処理を説明するための図である。FIG. 11A is a diagram for explaining a decommitment (opening) process according to the second embodiment. FIG. 11B is a diagram for describing common reference data generation processing according to the second embodiment.

以下、図面を参照して本発明の実施形態を説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

〔第1実施形態〕
まず、本発明の第1実施形態を説明する。 [First Embodiment]
First, a first embodiment of the present invention will be described.

<定義>
Gm, Gr, Gcは、それぞれ有限可換(有限アーベル)群を表す。本形態のGmはgm∈Gmを生成元とする位数q(qは正整数)の巡回群である。すなわち、Gm=<gm>かつq=#Gmである。また、有限可換群Gmの単位元を1mと表し、有限可換群Grの単位元を1rと表す。有限可換群Gm, Gr, Gcの具体例は、例えば、楕円曲線上の有理点のなす群や有限体の乗法群などである。Gm, Gr, Gcは互いにすべて同一であってもよいし、Gm, Gr, Gcの一部が互いに異なっていてもよく、Gm, Gr, Gcが互いにすべて異なっていても良い。本形態では、有限可換群Gm, Gr, Gc上で定義された演算を乗法的に表現する。例えば、正整数qを法とする剰余環 Z/qZの元χ∈Zq/Z及び有限可換群Gcの元Ω∈Gcに対するΩχ∈Gcは、Ω∈Gcに対して有限可換群Gcで定義された演算をχ回施すことを意味し、Ω12∈Gcに対するΩ1・Ω2∈Gcは、Ω1∈GcとΩ2∈Gcとを被演算子として有限可換群Gcで定義された演算を行うことを意味する。なお、楕円曲線上の有理点のなす群や有限体の乗法群をコンピュータ上で実現するための具体的方法には様々なものが存在し、実際、このような群を用いたコンピュータ実装可能な暗号方式が数多く存在する。 <Definition>
G m , G r , and G c each represent a finite commutative (finite abel) group. G m in this embodiment is a cyclic group of order q (q is a positive integer) with g m ∈G m as a generator. That is, G m = <g m > and q = # G m . Furthermore, the identity element of the finite-friendly換群G m expressed as 1 m, representing the identity element of the finite-friendly換群G r and 1 r. Specific examples of the finite commutative groups G m , G r , and G c include, for example, a group formed by rational points on an elliptic curve and a multiplicative group of a finite field. G m, G r, to G c can be all identical to each other, G m, G r, may be different part of G c from each other, all different G m, G r, G c from each other May be. In this embodiment, the operations defined on the finite commutative groups G m , G r , G c are expressed in a multiplicative manner. For example, Omega chi ∈G c to the original Omega∈G c original χ∈Zq / Z and finite friendly換群G c of residue ring Z / qZ for a positive integer q modulo a finite relative Omega∈G c the defined operation in abelian G c means applying χ times, Ω 1, Ω 1 · Ω 2 ∈G c for Omega 2 ∈G c includes Omega 1 ∈G c and Omega 2 ∈G c Means that the operation defined by the finite commutative group G c is performed. There are various specific methods for realizing a group of rational points on an elliptic curve and a multiplicative group of a finite field on a computer, and in fact, it can be implemented by a computer using such a group. There are many encryption methods.

Π=(Gen, Enc, Dec)は準同型公開鍵暗号方式を表す。具体的には、Πは3つのアルゴリズムGen, Enc, Decの組であり、各アルゴリズムは次の性質を満たす。   Π = (Gen, Enc, Dec) represents a homomorphic public key cryptosystem. Specifically, Π is a set of three algorithms Gen, Enc, and Dec, and each algorithm satisfies the following properties.

Genは鍵生成アルゴリズムであり、セキュリティパラメータk(kは正整数)が入力され、それに対応する公開鍵・秘密鍵の組(pk, sk)を生成して出力する確率的アルゴリズムである。Encは暗号化アルゴリズムであり、公開鍵pkと平文M∈Gmを入力とし、乱数r∈Grを内部発生させ、それらを準同型関数εpk(M, r)∈Gcに代入して得られる暗号文cを計算して出力する確率的アルゴリズムである。Decは復号アルゴリズムであり、秘密鍵skと暗号文cを入力とし、平文M=Decsk(c)を計算して出力するアルゴリズムである。なお、εpk: Gm×Gr→Gcを関数としてみたとき、Gm, Gr, Gcが有限可換(有限アーベル)群であり、εpkが準同型関数であるとき(すなわち、任意のx,y∈Gm, y,z∈Grに対して、εpk(x, y)・εpk(y, z)=εpk(x・y, y・z)を満たす)、εpkを暗号化関数として用いる公開鍵暗号方式を準同型公開鍵暗号方式と呼ぶ。また、εpkが準同型関数であるとき、z∈Z(Zは整数集合を表す)に対してεpk(x, y)Zpk(xZ, yZ)を満たす。 Gen is a key generation algorithm, which is a stochastic algorithm that receives a security parameter k (k is a positive integer) and generates and outputs a corresponding public key / private key pair (pk, sk). Enc is an encryption algorithm that takes a public key pk and plaintext M∈G m as inputs, internally generates random numbers r∈G r, and assigns them to the homomorphic function ε pk (M, r) ∈G c This is a probabilistic algorithm that calculates and outputs the resulting ciphertext c. Dec is a decryption algorithm, which receives the secret key sk and the ciphertext c and calculates and outputs plaintext M = Dec sk (c). When ε pk : G m × G r → G c is seen as a function, G m , G r , G c is a finite abelian group, and ε pk is a homomorphic function (ie , For any x, y∈G m , y, z∈G r , ε pk (x, y) · ε pk (y, z) = ε pk (x · y, y · z) is satisfied) , Εpk as an encryption function is called a homomorphic public key cryptosystem. When ε pk is a homomorphic function, ε pk (x, y) Z = ε pk (x Z , y Z ) is satisfied with respect to zεZ (Z represents an integer set).

準同型公開鍵暗号方式の具体例には、例えば、El Gamal暗号(参考文献1「T. El Gamal, "A public key cryptosystem and a signature scheme based on discrete logarithms", In IEEE Transactions on Information Theory, IT-31, pages 469-472, 1985.」)や、Damgard-Juric暗号(参考文献2「I. Damg_ard and M. Jurik, "A generalisation, a simpli_cation and some applications of Paillier's probabilistic public-key system", In K. Kim, editor, 4th International Workshop on Practice and Theory in Public Key Cryptography-PKC'01, volume 1992 of Lecture Notes in Computer Science, pages 125-140, february 2001.」)などが存在する。本形態では、どのような準同型公開鍵暗号方式を用いてもかまわない。   Specific examples of the homomorphic public key cryptosystem include, for example, El Gamal cipher (Reference Document 1 “T. El Gamal,“ A public key cryptosystem and a signature scheme based on discrete logarithms ”, In IEEE Transactions on Information Theory, IT -31, pages 469-472, 1985.) and Damgard-Juric ciphers (reference 2 “I. Damg_ard and M. Jurik,“ A generalization, a simpli_cation and some applications of Paillier's probabilistic public-key system ”, In K. Kim, editor, 4th International Workshop on Practice and Theory in Public Key Cryptography-PKC'01, volume 1992 of Lecture Notes in Computer Science, pages 125-140, february 2001. In this embodiment, any homomorphic public key cryptosystem may be used.

<構成>
第1実施形態のコミットメントシステム1(図1)は、n(n≧1)個のコミットメント生成装置110−i(P(i): i∈{1,...,n})と、コミットメント取得装置120−j( Pj:(j≠i))と、共通参照データ生成装置130とを有する。コミットメント生成装置110−i、コミットメント取得装置120−j及び共通参照データ生成装置130は、ネットワークや可搬型記録媒体等(以下「ネットワーク等」という)を経由した情報のやり取りが可能とされている。なお、図1では、表記便宜上から、コミットメント生成装置110−iやコミットメント取得装置120−jが1つずつ表記されているが、これらが複数存在していてもかまわない。また、共通参照データ生成装置130が複数存在する構成でもかまわない。 <Configuration>
The commitment system 1 (FIG. 1) according to the first embodiment includes n (n ≧ 1) commitment generation devices 110-i (P (i): i∈ {1,..., N}) and commitment acquisition. A device 120-j ( Pj : (j ≠ i)) and a common reference data generation device 130. The commitment generation device 110-i, the commitment acquisition device 120-j, and the common reference data generation device 130 can exchange information via a network, a portable recording medium or the like (hereinafter referred to as “network or the like”). In FIG. 1, for the sake of convenience of description, the commitment generation device 110-i and the commitment acquisition device 120-j are shown one by one, but there may be a plurality of them. Also, a configuration in which a plurality of common reference data generation devices 130 exist may be used.

<コミットメント生成装置110−iの構成>
本形態のコミットメント生成装置110−i(図2)は、記憶部111と、入力部112a,112bと、出力部113と、任意元生成部114a,114b,114c,114fと、演算部114d,114e,114gと、制御部115とを有する。 <Configuration of commitment generation device 110-i>
The commitment generation apparatus 110-i (FIG. 2) of this embodiment includes a storage unit 111, input units 112a and 112b, an output unit 113, arbitrary element generation units 114a, 114b, 114c, and 114f, and calculation units 114d and 114e. , 114 g and a control unit 115.

コミットメント生成装置110−iは、例えば、CPU(central processing unit)、RAM(random-access memory)、ROM(read-only memory)などを含む公知又は専用のコンピュータと特別なプログラムとによって構成される特別な装置である。すなわち、記憶部111は、例えば、RAM、キャッシュメモリ、レジスタ、ハードディスクやそれらの少なくとも一部を結合した記憶領域であり、入力部112a,112bや出力部113は、通信装置や入出力インタフェースや入出力ポートなどであり、任意元生成部114a,114b,114c,114fと演算部114d,114e,114gと制御部115とは、読み込まれた特別なプログラムを実行するCPUなどである。また、任意元生成部114a,114b,114c,114fと演算部114d,114e,114gと制御部115の少なくとも一部が集積回路によって構成されていてもよい。コミットメント生成装置110−iは、制御部115の制御のもと各処理を実行し、各処理で得られたデータは記憶部111に格納され、格納されたデータは必要に応じて読み出されて各処理に利用される。   The commitment generation device 110-i is a special or dedicated computer including a CPU (central processing unit), RAM (random-access memory), ROM (read-only memory), etc. and a special program. Device. That is, the storage unit 111 is, for example, a RAM, a cache memory, a register, a hard disk, or a storage area that combines at least a part of them, and the input units 112a and 112b and the output unit 113 are communication devices, input / output interfaces, The arbitrary element generation units 114a, 114b, 114c, and 114f, the calculation units 114d, 114e, and 114g, and the control unit 115 are output ports and the like, which are CPUs that execute special programs that are read. Further, at least part of the arbitrary element generation units 114a, 114b, 114c, and 114f, the calculation units 114d, 114e, and 114g, and the control unit 115 may be configured by an integrated circuit. The commitment generation device 110-i executes each process under the control of the control unit 115, the data obtained by each process is stored in the storage unit 111, and the stored data is read out as necessary. Used for each process.

<コミットメント取得装置120−jの構成>
本形態のコミットメント取得装置120−j(図3)は、記憶部121と、入力部122と、出力部123と、任意元生成部124aと、演算部124b,124dと、判定部124b,124c,124eと、制御部125とを有する。 <Configuration of commitment acquisition apparatus 120-j>
The commitment acquisition apparatus 120-j (FIG. 3) of this embodiment includes a storage unit 121, an input unit 122, an output unit 123, an arbitrary element generation unit 124a, calculation units 124b and 124d, and determination units 124b and 124c, 124e and a control unit 125.

コミットメント取得装置120−jは、例えば、CPU、RAM、ROMなどを含む公知又は専用のコンピュータと特別なプログラムとによって構成される特別な装置である。すなわち、記憶部121は、例えば、RAM、キャッシュメモリ、レジスタ、ハードディスクやそれらの少なくとも一部を結合した記憶領域であり、入力部122や出力部123は、通信装置や入出力インタフェースや入出力ポートなどであり、任意元生成部124aと演算部124b,124dと判定部124b,124c,124eと制御部125とは、読み込まれた特別なプログラムを実行するCPUなどである。また、任意元生成部124aと演算部124b,124dと判定部124b,124c,124eと制御部125との少なくとも一部が集積回路によって構成されていてもよい。コミットメント取得装置120−jは、制御部125の制御のもと各処理を実行し、各処理で得られたデータは記憶部121に格納され、格納されたデータは必要に応じて読み出されて各処理に利用される。   The commitment acquisition device 120-j is a special device configured by a known or dedicated computer including a CPU, a RAM, a ROM, and the like and a special program, for example. That is, the storage unit 121 is, for example, a RAM, a cache memory, a register, a hard disk, or a storage area that combines at least a part of them, and the input unit 122 and the output unit 123 are communication devices, input / output interfaces, and input / output ports The arbitrary element generation unit 124a, the calculation units 124b and 124d, the determination units 124b, 124c, and 124e, and the control unit 125 are a CPU that executes a read special program. Further, at least part of the arbitrary element generation unit 124a, the calculation units 124b and 124d, the determination units 124b, 124c, and 124e, and the control unit 125 may be configured by an integrated circuit. The commitment acquisition device 120-j executes each process under the control of the control unit 125, the data obtained by each process is stored in the storage unit 121, and the stored data is read out as necessary. Used for each process.

<共通参照データ生成装置130>
本形態の共通参照データ生成装置130(図4)は、記憶部131と、入力部132と、出力部133と、鍵生成部134aと、任意元生成部134bと、演算部134cと、制御部135とを有する。 <Common Reference Data Generation Device 130>
The common reference data generation device 130 (FIG. 4) of this embodiment includes a storage unit 131, an input unit 132, an output unit 133, a key generation unit 134a, an arbitrary element generation unit 134b, a calculation unit 134c, and a control unit. 135.

共通参照データ生成装置130は、例えば、CPU、RAM、ROMなどを含む公知又は専用のコンピュータと特別なプログラムとによって構成される特別な装置である。すなわち、記憶部131は、例えば、RAM、キャッシュメモリ、レジスタ、ハードディスクやそれらの少なくとも一部を結合した記憶領域であり、入力部132や出力部133は、通信装置や入出力インタフェースや入出力ポートなどであり、鍵生成部134aと任意元生成部134bと演算部134cと制御部135とは、読み込まれた特別なプログラムを実行するCPUなどである。また、鍵生成部134aと任意元生成部134bと演算部134cと制御部135との少なくとも一部が集積回路によって構成されていてもよい。共通参照データ生成装置130は、制御部135の制御のもと各処理を実行し、各処理で得られたデータは記憶部131に格納され、格納されたデータは必要に応じて読み出されて各処理に利用される。   The common reference data generation device 130 is a special device configured by a known or dedicated computer including a CPU, RAM, ROM, and the like and a special program, for example. That is, the storage unit 131 is, for example, a RAM, a cache memory, a register, a hard disk, or a storage area that combines at least a part of them, and the input unit 132 and the output unit 133 are a communication device, an input / output interface, and an input / output port. The key generation unit 134a, the arbitrary element generation unit 134b, the calculation unit 134c, and the control unit 135 are a CPU that executes a read special program. In addition, at least a part of the key generation unit 134a, the arbitrary element generation unit 134b, the calculation unit 134c, and the control unit 135 may be configured by an integrated circuit. The common reference data generation device 130 executes each process under the control of the control unit 135, the data obtained by each process is stored in the storage unit 131, and the stored data is read out as necessary. Used for each process.

<共通参照データ生成処理>
図6Bを用いて本形態の共通参照データ生成処理を説明する。 <Common reference data generation processing>
The common reference data generation process of this embodiment will be described using FIG. 6B.

まず、共通参照データ生成装置130(図4)の入力部132に、セキュリティパラメータkと整数L(Lは、0<L≦qなる正整数である)が入力される(ステップS1301)。セキュリティパラメータkと整数Lとは鍵生成部134aに入力される。鍵生成部134aは、上述した鍵生成アルゴリズムGenを作動させ、セキュリティパラメータkに対応する公開鍵・秘密鍵の組(pk, sk)を生成し、公開鍵pkと整数Lとを演算部134cに出力し、秘密鍵skを破棄する(ステップS1302)。次に、任意元生成部134bが、ランダムに有限可換群Gcの元 g(0), g(1,1), g(1,2) ,..., g(n,1), g(n,2)∈Gc (言い換えるとg(0), g(i,t)∈Gc (i=1,...,n, t=1,2))を選択して演算部134cに出力する(ステップS1303)。次に、演算部134cが、共通参照データ
crs=(Π, pk, L, gm, g(0), g(1,1), g(1,2) ,..., g(n,1), g(n,2)) …(1)
を生成して出力部133に出力する(ステップS1304)。出力部133は、共通参照データcrsを各コミットメント生成装置110−i及びコミットメント取得装置120−jに対して出力し、ネットワーク等経由で各コミットメント生成装置110−i及びコミットメント取得装置120−jに送る(ステップS1305)。 First, the security parameter k and the integer L (L is a positive integer satisfying 0 <L ≦ q) are input to the input unit 132 of the common reference data generating apparatus 130 (FIG. 4) (step S1301). The security parameter k and the integer L are input to the key generation unit 134a. The key generation unit 134a operates the above-described key generation algorithm Gen to generate a public key / private key pair (pk, sk) corresponding to the security parameter k, and outputs the public key pk and the integer L to the calculation unit 134c. The secret key sk is discarded (step S1302). Then, any source generating unit 134b is randomly element g of the finite-friendly換群G c (0), g ( 1,1), g (1,2), ..., g (n, 1), g (n, 2) ∈G c (in other words, g (0), g (i, t) ∈G c (i = 1, ..., n, t = 1,2)) It outputs to 134c (step S1303). Next, the calculation unit 134c uses the common reference data.
crs = (Π, pk, L, g m , g (0), g (1,1), g (1,2), ..., g (n, 1), g (n, 2))… (1)
And output to the output unit 133 (step S1304). The output unit 133 outputs the common reference data crs to each commitment generation device 110-i and commitment acquisition device 120-j, and sends the common reference data crs to each commitment generation device 110-i and commitment acquisition device 120-j via a network or the like. (Step S1305).

<コミットメント(封じ手)処理>
図5を用いて本形態のコミットメント処理を説明する。 <Commitment (sealing) processing>
The commitment process according to this embodiment will be described with reference to FIG.

コミットメント生成装置110−i(図2)の入力部112aに共通参照データcrsが入力され、記憶部111に格納される(ステップS1101)。また、コミットメント取得装置120−j(図3)の入力部122に共通参照データcrsが入力され、記憶部121に格納される(ステップS1201)。なお、ステップS1101,S1201はコミットメント処理の前に実行されていてもよく、また、既に共通参照データcrsが記憶部111,121に格納されている場合には、ステップS1101,S1201は省略可能である。また、コミットメント生成装置110−iを表すPiとコミットメント取得装置120−jを表すPjとが、コミットメント生成装置110−i(図2)の記憶部111とコミットメント取得装置120−j(図3)の記憶部121とに格納される。 The common reference data crs is input to the input unit 112a of the commitment generation device 110-i (FIG. 2) and stored in the storage unit 111 (step S1101). Further, the common reference data crs is input to the input unit 122 of the commitment acquisition device 120-j (FIG. 3) and stored in the storage unit 121 (step S1201). Note that steps S1101 and S1201 may be executed before the commitment process, and if the common reference data crs is already stored in the storage units 111 and 121, steps S1101 and S1201 can be omitted. . Further, P i representing the commitment generation device 110-i and P j representing the commitment acquisition device 120-j are the storage unit 111 of the commitment generation device 110-i (FIG. 2) and the commitment acquisition device 120-j (FIG. 3). ) Storage unit 121.

次に、コミットメント生成装置110−i(図2)の入力部112bに、コミットする秘密情報s∈{0,1,...,L}(L, qは0<L≦qを満たす整数)が入力され、記憶部111に格納される(ステップS1102)。   Next, the secret information sε {0, 1,..., L} to be committed (L, q is an integer satisfying 0 <L ≦ q) is input to the input unit 112b of the commitment generation device 110-i (FIG. 2). Is input and stored in the storage unit 111 (step S1102).

次に、任意元生成部114cが、有限可換群 Gcの任意の元 X∈Gcをランダムに生成して記憶部111に格納し(ステップS1103)、任意元生成部114aが、正整数qを法とする剰余環 Z/qZの任意の元a(1), a(2)∈Z/qZをランダムに生成して記憶部111に格納し(ステップS1104)、任意元生成部114bが、有限可換群 Grの任意の元 ra∈Grをランダムに生成して記憶部111に格納する(ステップS1105)。演算部114dは、記憶部111からa(1), a(2), ra, crsのg(i,1), g(i,2)を読み出し、有限可換群 Gcの元
A=g(i,1)a(1)・g(i,2)a(2)・εpk(1m, ra)∈Gc …(2)
を計算して記憶部111に格納する(ステップS1106)。 Then, any element generation unit 114c is, any original X∈G c of the finite-friendly換群G c and randomly generated and stored in the storage unit 111 (step S1103), any element generation unit 114a is a positive integer Arbitrary elements a (1) and a (2) ∈Z / qZ of the remainder ring Z / qZ modulo q are randomly generated and stored in the storage unit 111 (step S1104), and the arbitrary element generation unit 114b Then, an arbitrary element r a ∈G r of the finite commutative group G r is randomly generated and stored in the storage unit 111 (step S1105). Calculating unit 114d from the storage unit 111 a (1), a ( 2), r a, crs of g (i, 1), reads out g (i, 2), elements of the finite-friendly換群G c
A = g (i, 1) a (1)・ g (i, 2) a (2)・ ε pk (1 m , r a ) ∈G c … (2)
Is calculated and stored in the storage unit 111 (step S1106).

記憶部111に格納されたA, Xは出力部113に送られ、出力部113はA, Xをコミットメント取得装置120−jに対して出力する(ステップS1107)。A, Xは、ネットワーク等を経由してコミットメント取得装置120−j(図3)の入力部122に入力され、記憶部121に格納される(ステップS1202)。   A and X stored in the storage unit 111 are sent to the output unit 113, and the output unit 113 outputs A and X to the commitment acquisition device 120-j (step S1107). A and X are input to the input unit 122 of the commitment acquisition device 120-j (FIG. 3) via a network or the like, and stored in the storage unit 121 (step S1202).

次に、コミットメント取得装置120−jの任意元生成部124aが、剰余環 Z/qZの任意の元 b∈Z/qZをランダムに生成して記憶部121に格納する(ステップS1203)。記憶部121に格納されたbは出力部123に入力され、出力部123がコミットメント生成装置110−iに対してbを出力する(ステップS1204)。bはネットワーク等を経由してコミットメント生成装置110−i(図2)の入力部112aに入力され、記憶部111に格納される(ステップS1108)。   Next, the arbitrary element generation unit 124a of the commitment acquisition device 120-j randomly generates an arbitrary element bεZ / qZ of the remainder ring Z / qZ and stores it in the storage unit 121 (step S1203). B stored in the storage unit 121 is input to the output unit 123, and the output unit 123 outputs b to the commitment generation device 110-i (step S1204). b is input to the input unit 112a of the commitment generation device 110-i (FIG. 2) via a network or the like and stored in the storage unit 111 (step S1108).

次に、演算部114eが、記憶部111からbとcrsのgmとを読み出し、
B=εpk((gm)b, 1r)∈Gc …(3)
を生成して記憶部111に格納する(ステップS1109)。 Next, the calculation unit 114e reads b and g m of crs from the storage unit 111,
B = ε pk ((g m ) b , 1 r ) εG c (3)
Is stored in the storage unit 111 (step S1109).

次に、任意元生成部114fが、有限可換群 Grの任意の元 rc∈Grを生成して記憶部111に格納する(ステップS1110)。さらに、演算部114gが、記憶部111からa(1), a(2), B, X, s, crsのg(0)を読み出し、秘密情報sをコミット対象として、有限可換群 Gcの元
C=(g(0)(a(1)+a(2))・B・X)s・εpk(1m, rc)∈Gc …(4)
を生成して記憶部111に格納する(ステップS1111)。 Next, the arbitrary element generation unit 114f generates an arbitrary element r c εG r of the finite commutative group G r and stores it in the storage unit 111 (step S1110). Further, the calculation unit 114g reads g (0) of a (1), a (2), B, X, s, crs from the storage unit 111, sets the secret information s as a commit target, and uses the finite commutative group G c Origin of
C = (g (0) (a (1) + a (2))・ B ・ X) s・ ε pk (1 m , r c ) εG c (4)
Is stored in the storage unit 111 (step S1111).

次に、記憶部111に格納されたa(1), a(2), ra, Cが出力部113に入力され、出力部113は、(a(1), a(2), ra), Cをコミットメント取得装置120−jに対して出力する(ステップS1112)。なお、コミットメント生成装置110−iの記憶部111には、A, X, a(1), a(2), ra, b, C, Pi, Pj,を含む履歴情報
sid=(Pi, Pj, A, X, a(1), a(2), ra, b, C) …(5)
と(s, rc)が保管される。 Next, a (1), a (2), r a , C stored in the storage unit 111 are input to the output unit 113, and the output unit 113 receives (a (1), a (2), r a ), C is output to the commitment acquisition device 120-j (step S1112). Note that the storage unit 111 of the commitment generator 110-i, the history information including A, X, a (1) , a (2), r a, b, C, P i, P j, the
sid = (P i , P j , A, X, a (1), a (2), r a , b, C)… (5)
And (s, r c ) are stored.

出力部113から出力された(a(1), a(2), ra), Cは、ネットワーク等を経由して、コミットメント取得装置120−j(図3)の入力部122に入力され、記憶部121に格納される(ステップS1205)。次に、判定部124bが、記憶部121から、A, a(1), a(2), crsのg(i,1)及びg(i,2)を読み出し、
A=g(i,1)a(1)・g(i,2)a(2)・εpk(1m, ra) …(6)
を満たすか否かを判定する(ステップS1206)。ここで、式(6)を満たすと判定されたならば、記憶部121に格納された履歴情報
sid'=(Pi, Pj, A, X, a(1), a(2), ra, b, C) …(7)
を保管してコミットメント処理を正常終了する(ステップS1207)。一方、式(6)を満たさないと判定されたならば、記憶部121に格納された履歴情報を破棄してコミットメント処理をエラー終了する(ステップS1208)。 (A (1), a (2), r a ), C output from the output unit 113 are input to the input unit 122 of the commitment acquisition device 120-j (FIG. 3) via the network or the like, It is stored in the storage unit 121 (step S1205). Next, the determination unit 124b reads out g (i, 1) and g (i, 2) of A, a (1), a (2), crs from the storage unit 121,
A = g (i, 1) a (1)・ g (i, 2) a (2)・ ε pk (1 m , r a )… (6)
It is determined whether or not the condition is satisfied (step S1206). Here, if it is determined that the expression (6) is satisfied, the history information stored in the storage unit 121
sid '= (P i , P j , A, X, a (1), a (2), r a , b, C)… (7)
Is stored and the commitment process is normally terminated (step S1207). On the other hand, if it is determined that the expression (6) is not satisfied, the history information stored in the storage unit 121 is discarded and the commitment process is terminated with an error (step S1208).

<デコミットメント(開封)処理>
図6Aを用いて本形態のデコミットメント処理を説明する。 <Decommitment (opening) processing>
The decommitment process of this embodiment will be described with reference to FIG. 6A.

まず、コミットメント生成装置110−i(図2)の記憶部111から出力部113に履歴情報sidと(s, rc)とが入力され、出力部113が履歴情報sid'と(s, rc)とをコミットメント取得装置120−jに対して出力する(ステップS1121)。履歴情報sidと(s, rc)とは、ネットワーク等を経由してコミットメント取得装置120−j(図3)の入力部122に入力され、記憶部121に格納される(ステップS1211)。 First, history information sid and (s, r c ) are input from the storage unit 111 of the commitment generation device 110-i (FIG. 2) to the output unit 113, and the output unit 113 outputs the history information sid ′ and (s, r c). ) To the commitment acquisition device 120-j (step S1121). History information sid and (s, r c) and is input to the input unit 122 of a network of commitments acquisition device 120-j (FIG. 3) is stored in the storage unit 121 (step S1211).

次に、判定部124cが、記憶部121から履歴情報sidとsid'とを読み出し、
sid=sid' …(8)
を満たすか否かを判定する(ステップS1212)。ここで、式(8)を満たさないと判定された場合、コミットメント生成装置110−iによるデコミットメントを拒絶して処理をエラー終了する(ステップS1215)。一方、式(8)を満たすと判定された場合、次に、演算部124dが、記憶部121からb, crsのgmを読み出して
B=εpk((gm)b, 1r)∈Gc …(9)
を生成して判定部124eに入力する(ステップS1213)。判定部124eは、さらに記憶部121からa(1), a(2), X, s, crsのg(0)を読み出し、秘密情報 sと元 rcとが
C=(g(0)(a(1)+a(2))・B・X)s・εpk(1m, rc)∈Gc …(10)
を満たすか否かを判定する(ステップS1214)。ここで、式(10)を満たさないと判定された場合、コミットメント生成装置110−iによるデコミットメントを拒絶して処理をエラー終了する(ステップS1215)。一方、式(10)を満たすと判定された場合、コミットメント生成装置110−iによるデコミットメントを承認することで秘密情報 sを承認し、その旨の判定結果を出力して処理を正常終了する(ステップS1216)。 Next, the determination unit 124c reads the history information sid and sid ′ from the storage unit 121,
sid = sid '… (8)
It is determined whether or not the condition is satisfied (step S1212). Here, when it is determined that the expression (8) is not satisfied, the de-commitment by the commitment generation device 110-i is rejected, and the process ends in error (step S1215). On the other hand, if it is determined that the expression (8) is satisfied, then the calculation unit 124d reads g m of b and crs from the storage unit 121.
B = ε pk ((g m ) b , 1 r ) εG c (9)
Is generated and input to the determination unit 124e (step S1213). The determination unit 124e further reads g (0) of a (1), a (2), X, s, crs from the storage unit 121, and the secret information s and the source r c are obtained.
C = (g (0) (a (1) + a (2))・ B ・ X) s・ ε pk (1 m , r c ) εG c (10)
It is determined whether or not the condition is satisfied (step S1214). Here, when it is determined that the expression (10) is not satisfied, the de-commitment by the commitment generation device 110-i is rejected, and the process ends in error (step S1215). On the other hand, when it is determined that the expression (10) is satisfied, the secret information s is approved by approving the decommitment by the commitment generation device 110-i, the determination result is output, and the processing is terminated normally ( Step S1216).

〔第2実施形態〕
次に、本発明の第2実施形態を説明する。第2実施形態は、第1実施形態の公開鍵暗号方式の平文空間をベクトル空間に変更したものである。以下では、第1実施形態との相違点を中心に説明する。 [Second Embodiment]
Next, a second embodiment of the present invention will be described. In the second embodiment, the plaintext space of the public key cryptosystem of the first embodiment is changed to a vector space. Below, it demonstrates centering on difference with 1st Embodiment.

<定義>
本形態でもGm, Gr, Gcは、それぞれ有限可換(有限アーベル)群を表す。ただし、本形態のGmは、位数qw(w=1,...,k)の巡回群Gm,wの直積Gm=Gm,1×...×Gm,kからなる有限可換群である(任意の有限アーベル群はこの形で一般化できる)。すなわち、巡回群Gm,wの生成元をgm,wとし、Gm=<gm,1>×...×<gm,k>とする。また、巡回群Gm,wの位数をqwとおくと、#Gmw=1 k qwである。また、有限可換群Gmの生成元vgmをvgm=(gm,1,...,gm,k)と定義する。また、有限可換群Gmの単位元を1mと表し、有限可換群Grの単位元を1rと表す。Gm,w, Gr, Gcの具体例は、例えば、楕円曲線上の有理点のなす群や有限体の乗法群などである。Gm,w, Gr, Gcは互いにすべて同一であってもよいし、Gm,w, Gr, Gcの一部が互いに異なっていてもよく、Gm,w, Gr, Gcが互いにすべて異なっていても良い。本形態でも、有限可換群Gm, Gr, Gc上で定義された演算を乗法的に表現する。 <Definition>
Also in this embodiment, G m , G r , and G c each represent a finite commutative (finite abel) group. However, G m in this embodiment is from the direct product G m = G m, 1 × ... × G m, k of the cyclic group G m, w of order q w (w = 1, ..., k) (Any finite abelian group can be generalized in this form). That is, the generation source of the cyclic group G m, w is g m, w and G m = <g m, 1 > × ... × <g m, k >. If the order of the cyclic group G m, w is q w , #G m = Πw = 1 k q w . Further, a generator vg m of the finite commutative group G m is defined as vg m = (g m, 1 , ..., g m, k ). Furthermore, the identity element of the finite-friendly換群G m expressed as 1 m, representing the identity element of the finite-friendly換群G r and 1 r. Specific examples of G m, w , G r , and G c are, for example, a group of rational points on an elliptic curve, a multiplicative group of a finite field, and the like. G m, w , G r , G c may all be the same as each other, or part of G m, w , G r , G c may be different from each other, G m, w , G r , G c may be all different from each other. Also in this embodiment, the operations defined on the finite commutative groups G m , G r and G c are expressed in a multiplicative manner.

Π=(Gen, Enc, Dec)は準同型公開鍵暗号方式を表す。Gen, Enc, Decの定義は第1実施形態と同様である。また、本形態で利用する準同型公開鍵暗号方式の具体例は、El Gamal暗号やDamgard-Juric暗号など第1実施形態と同様である。本形態でも、どのような準同型公開鍵暗号方式を用いてもかまわない。   Π = (Gen, Enc, Dec) represents a homomorphic public key cryptosystem. The definitions of Gen, Enc, and Dec are the same as in the first embodiment. A specific example of the homomorphic public key cryptosystem used in this embodiment is the same as that of the first embodiment such as El Gamal encryption and Damgard-Juric encryption. Also in this embodiment, any homomorphic public key cryptosystem may be used.

<構成>
第2実施形態のコミットメントシステム2(図1)は、n(n≧1)個のコミットメント生成装置210−i(P(i): i∈{1,...,n})と、コミットメント取得装置220−j( Pj:(j≠i))と、共通参照データ生成装置230とを有する。コミットメント生成装置210−i、コミットメント取得装置220−j及び共通参照データ生成装置230は、ネットワーク等を経由した情報のやり取りが可能とされている。なお、図1では、表記便宜上から、コミットメント生成装置210−iやコミットメント取得装置220−jが1つずつ表記されているが、これらが複数存在していてもかまわない。また、共通参照データ生成装置230が複数存在する構成でもかまわない。 <Configuration>
The commitment system 2 (FIG. 1) of the second embodiment includes n (n ≧ 1) commitment generation devices 210-i (P (i): i∈ {1,..., N}) and commitment acquisition. A device 220-j ( Pj : (j ≠ i)) and a common reference data generation device 230. The commitment generation device 210-i, the commitment acquisition device 220-j, and the common reference data generation device 230 can exchange information via a network or the like. In FIG. 1, for the sake of convenience, one commitment generation device 210-i and one commitment acquisition device 220-j are shown one by one, but there may be a plurality of these. Also, a configuration in which a plurality of common reference data generation devices 230 exist may be used.

<コミットメント生成装置210−iの構成>
本形態のコミットメント生成装置210−i(図7)は、記憶部211と、入力部212a,212bと、出力部213と、任意元生成部214a,114b,114c,114fと、演算部214d,214e,214gと、制御部115とを有する。 <Configuration of Commitment Generation Device 210-i>
The commitment generation device 210-i (FIG. 7) of this embodiment includes a storage unit 211, input units 212a and 212b, an output unit 213, arbitrary element generation units 214a, 114b, 114c, and 114f, and calculation units 214d and 214e. , 214 g and a control unit 115.

コミットメント生成装置210−iは、例えば、CPU、RAM、ROMなどを含む公知又は専用のコンピュータと特別なプログラムとによって構成される特別な装置である。すなわち、記憶部211は、例えば、RAM、キャッシュメモリ、レジスタ、ハードディスクやそれらの少なくとも一部を結合した記憶領域であり、入力部212a,212bや出力部213は、通信装置や入出力インタフェースや入出力ポートなどであり、任意元生成部214a,114b,114c,114fと演算部214d,214e,214gと制御部115とは、読み込まれた特別なプログラムを実行するCPUなどである。また、任意元生成部214a,114b,114c,114fと演算部214d,214e,214gと制御部115の少なくとも一部が集積回路によって構成されていてもよい。コミットメント生成装置210−iは、制御部115の制御のもと各処理を実行し、各処理で得られたデータは記憶部211に格納され、格納されたデータは必要に応じて読み出されて各処理に利用される。   The commitment generation device 210-i is a special device configured by a known or dedicated computer including a CPU, RAM, ROM, and the like and a special program, for example. That is, the storage unit 211 is, for example, a RAM, a cache memory, a register, a hard disk, or a storage area that combines at least a part of them, and the input units 212a and 212b and the output unit 213 include a communication device, an input / output interface, and an input unit. The arbitrary element generation units 214a, 114b, 114c, 114f, the calculation units 214d, 214e, 214g, and the control unit 115 are CPUs that execute the read special programs. Moreover, at least a part of the arbitrary element generation units 214a, 114b, 114c, 114f, the calculation units 214d, 214e, 214g, and the control unit 115 may be configured by an integrated circuit. The commitment generation device 210-i executes each process under the control of the control unit 115, the data obtained by each process is stored in the storage unit 211, and the stored data is read out as necessary. Used for each process.

<コミットメント取得装置220−jの構成>
本形態のコミットメント取得装置220−j(図8)は、記憶部221と、入力部222と、出力部223と、任意元生成部224aと、演算部224b,224dと、判定部224b,224c,224eと、制御部125とを有する。 <Configuration of Commitment Acquisition Device 220-j>
The commitment acquisition apparatus 220-j (FIG. 8) of this embodiment includes a storage unit 221, an input unit 222, an output unit 223, an arbitrary element generation unit 224a, arithmetic units 224b and 224d, and determination units 224b and 224c, 224e and a control unit 125.

コミットメント取得装置220−jは、例えば、CPU、RAM、ROMなどを含む公知又は専用のコンピュータと特別なプログラムとによって構成される特別な装置である。すなわち、記憶部221は、例えば、RAM、キャッシュメモリ、レジスタ、ハードディスクやそれらの少なくとも一部を結合した記憶領域であり、入力部222や出力部223は、通信装置や入出力インタフェースや入出力ポートなどであり、任意元生成部224aと演算部224b,224dと判定部224b,224c,224eと制御部125とは、読み込まれた特別なプログラムを実行するCPUなどである。また、任意元生成部224aと演算部224b,224dと判定部224b,224c,224eと制御部125との少なくとも一部が集積回路によって構成されていてもよい。コミットメント取得装置220−jは、制御部125の制御のもと各処理を実行し、各処理で得られたデータは記憶部221に格納され、格納されたデータは必要に応じて読み出されて各処理に利用される。   The commitment acquisition device 220-j is a special device configured by a known or dedicated computer including a CPU, a RAM, a ROM, and the like and a special program, for example. That is, the storage unit 221 is, for example, a RAM, a cache memory, a register, a hard disk, or a storage area that combines at least a part of them, and the input unit 222 and the output unit 223 include a communication device, an input / output interface, and an input / output port. The arbitrary element generation unit 224a, the calculation units 224b and 224d, the determination units 224b, 224c, and 224e, and the control unit 125 are a CPU that executes a read special program. Further, at least part of the arbitrary element generation unit 224a, the calculation units 224b and 224d, the determination units 224b, 224c, and 224e, and the control unit 125 may be configured by an integrated circuit. The commitment acquisition device 220-j executes each process under the control of the control unit 125, the data obtained in each process is stored in the storage unit 221, and the stored data is read out as necessary. Used for each process.

<共通参照データ生成装置230>
本形態の共通参照データ生成装置230(図9)は、記憶部231と、入力部232と、出力部233と、鍵生成部134aと、任意元生成部234bと、演算部234cと、制御部135とを有する。 <Common Reference Data Generation Device 230>
The common reference data generation device 230 (FIG. 9) of this embodiment includes a storage unit 231, an input unit 232, an output unit 233, a key generation unit 134a, an arbitrary element generation unit 234b, a calculation unit 234c, and a control unit. 135.

共通参照データ生成装置230は、例えば、CPU、RAM、ROMなどを含む公知又は専用のコンピュータと特別なプログラムとによって構成される特別な装置である。すなわち、記憶部231は、例えば、RAM、キャッシュメモリ、レジスタ、ハードディスクやそれらの少なくとも一部を結合した記憶領域であり、入力部232や出力部233は、通信装置や入出力インタフェースや入出力ポートなどであり、鍵生成部134aと任意元生成部234bと演算部234cと制御部135とは、読み込まれた特別なプログラムを実行するCPUなどである。また、鍵生成部134aと任意元生成部234bと演算部234cと制御部135との少なくとも一部が集積回路によって構成されていてもよい。共通参照データ生成装置230は、制御部135の制御のもと各処理を実行し、各処理で得られたデータは記憶部231に格納され、格納されたデータは必要に応じて読み出されて各処理に利用される。   The common reference data generation device 230 is a special device configured by a known or dedicated computer including a CPU, RAM, ROM, and the like and a special program, for example. That is, the storage unit 231 is, for example, a RAM, a cache memory, a register, a hard disk, or a storage area that combines at least a part of them, and the input unit 232 and the output unit 233 include a communication device, an input / output interface, and an input / output port The key generation unit 134a, the arbitrary element generation unit 234b, the calculation unit 234c, and the control unit 135 are a CPU that executes a read special program. In addition, at least a part of the key generation unit 134a, the arbitrary element generation unit 234b, the calculation unit 234c, and the control unit 135 may be configured by an integrated circuit. The common reference data generation device 230 executes each process under the control of the control unit 135, the data obtained by each process is stored in the storage unit 231, and the stored data is read out as necessary. Used for each process.

<共通参照データ生成処理>
図11Bを用いて本形態の共通参照データ生成処理を説明する。 <Common reference data generation processing>
The common reference data generation process of this embodiment will be described using FIG. 11B.

まず、共通参照データ生成装置230(図9)の入力部232に、セキュリティパラメータkが入力される(ステップS2301)。セキュリティパラメータkは鍵生成部134aに入力される。鍵生成部134aは、上述した鍵生成アルゴリズムGenを作動させ、セキュリティパラメータkに対応する公開鍵・秘密鍵の組(pk, sk)を生成し、公開鍵pkを演算部234cと任意元生成部234bとに出力し、秘密鍵skを破棄する(ステップS2302)。次に、任意元生成部234bが、Encpkに生成元gm=(gm,1,...,gm,k)を入力してベクトル
vg(0)=(g(0,1) ,..., g(0,k)) …(11)
を生成して演算部234cに出力する。つまり、任意元生成部234bは、乱数rw∈Gr(w=1,...,k)を生成し、
g(0,w)=εpk(gm,w, rw)∈Gc …(12)
によって有限可換群 Gcの元g(0,w)(w=1,...,k)を求め、ベクトルvg(0)の各要素とする。なお、Encpkに生成元gm=(gm,1,...,gm,k)を入力してベクトルvg(0)を求めるのではなく、有限可換群 Gcの任意の元g(0,w)(w=1,...,k)をランダムに定めてベクトルvg(0)を求めてもよい。また、任意元生成部234bは、有限可換群 Gcの任意の元g(i,w)(i=1,...,n, w=1,...,k)をランダムに定め、vg(i,t)=(g(i,t,1),...,g(i,t,k))∈Gc k (t=1,2)として、vg(1,1), vg(1,2),...,vg(n,1), vg(n,2)を生成して演算部234cに出力する。つまり、任意元生成部234bは、それぞれがk個の有限可換群 Gcの元を要素とするベクトルvg(0)=(g(0,1) ,..., g(0,k)), vg(1,1)=(g(1,1,1) ,..., g(1,1,k)), vg(1,2)=(g(1,2,1) ,..., g(1,2,k)), ..., vg(n,1)=(g(n,1,1) ,..., g(n,1,k)), vg(n,2)=(g(n,2,1) ,..., g(n,2,k))を選択して演算部234cに出力する(ステップS2303)。 First, the security parameter k is input to the input unit 232 of the common reference data generation device 230 (FIG. 9) (step S2301). The security parameter k is input to the key generation unit 134a. The key generation unit 134a operates the above-described key generation algorithm Gen to generate a public key / private key pair (pk, sk) corresponding to the security parameter k, and calculates the public key pk from the calculation unit 234c and the arbitrary element generation unit. The secret key sk is discarded (step S2302). Next, the arbitrary element generation unit 234b inputs the generation element g m = (g m, 1 , ..., g m, k ) to Enc pk , and a vector
vg (0) = (g (0,1), ..., g (0, k))… (11)
Is output to the calculation unit 234c. That is, the arbitrary element generation unit 234b generates a random number r w εG r (w = 1,..., K),
g (0, w) = ε pk (g m, w , r w ) εG c (12)
To obtain the element g (0, w) (w = 1,..., K) of the finite commutative group G c and set it as each element of the vector vg (0). Note that the generator g m = (g m, 1 , ..., g m, k ) is not input to Enc pk to obtain the vector vg (0), but any element of the finite commutative group G c The vector vg (0) may be obtained by randomly determining g (0, w) (w = 1,..., k). The arbitrary element generation unit 234b randomly determines an arbitrary element g (i, w) (i = 1,..., N, w = 1,..., K) of the finite commutative group G c. , Vg (i, t) = (g (i, t, 1), ..., g (i, t, k)) ∈G c k (t = 1,2), vg (1,1) , vg (1,2),... vg (n, 1), vg (n, 2) are generated and output to the calculation unit 234c. That is, any element generation unit 234b includes a vector vg (0), each of which is k pieces of the original elements of the finite-friendly換群G c = (g (0,1) , ..., g (0, k) ), vg (1,1) = (g (1,1,1), ..., g (1,1, k)), vg (1,2) = (g (1,2,1), ..., g (1,2, k)), ..., vg (n, 1) = (g (n, 1,1), ..., g (n, 1, k)), vg (n, 2) = (g (n, 2,1)..., g (n, 2, k)) is selected and output to the computing unit 234c (step S2303).

次に、演算部234cが、共通参照データ
crs=(Π, pk, L, vgm, vg(0), vg(1,1), vg(1,2) ,..., vg(n,1), vg(n,2)) …(13)
を生成して出力部233に出力する(ステップS2304)。出力部233は、共通参照データcrsを各コミットメント生成装置210−i及びコミットメント取得装置220−jに対して出力し、ネットワーク等経由で各コミットメント生成装置210−i及びコミットメント取得装置220−jに送る(ステップS2305)。 Next, the calculation unit 234c receives the common reference data.
crs = (Π, pk, L, vg m , vg (0), vg (1,1), vg (1,2), ..., vg (n, 1), vg (n, 2))… (13)
And output to the output unit 233 (step S2304). The output unit 233 outputs the common reference data crs to each commitment generation device 210-i and commitment acquisition device 220-j, and sends it to each commitment generation device 210-i and commitment acquisition device 220-j via a network or the like. (Step S2305).

<コミットメント(封じ手)処理>
図10を用いて本形態のコミットメント処理を説明する。 <Commitment (sealing) processing>
The commitment process of this embodiment will be described with reference to FIG.

コミットメント生成装置210−i(図7)の入力部212aに共通参照データcrsが入力され、記憶部211に格納される(ステップS2101)。また、コミットメント取得装置220−j(図8)の入力部222に共通参照データcrsが入力され、記憶部221に格納される(ステップS2201)。なお、ステップS2101,S2201はコミットメント処理の前に実行されていてもよく、また、既に共通参照データcrsが記憶部212に格納されている場合には、ステップS2101,S2201は省略可能である。また、コミットメント生成装置210−iを表すPiとコミットメント取得装置220−jを表すPjとが、コミットメント生成装置210−i(図7)の記憶部211とコミットメント取得装置220−j(図8)の記憶部221とに格納される。 The common reference data crs is input to the input unit 212a of the commitment generation device 210-i (FIG. 7) and stored in the storage unit 211 (step S2101). Further, the common reference data crs is input to the input unit 222 of the commitment acquisition device 220-j (FIG. 8) and stored in the storage unit 221 (step S2201). Note that steps S2101 and S2201 may be executed before the commitment process, and if the common reference data crs is already stored in the storage unit 212, steps S2101 and S2201 may be omitted. Further, P i representing the commitment generation device 210-i and P j representing the commitment acquisition device 220-j are the storage unit 211 of the commitment generation device 210-i (FIG. 7) and the commitment acquisition device 220-j (FIG. 8). ) Storage unit 221.

次に、コミットメント生成装置210−i(図7)の入力部212bに、正整数qw(w=1,...,k)を法とする剰余環 Z/qwZの元vs(w)∈Z/qwZを各要素とする秘密情報ベクトルvs=(vs(1),...,vs(k))∈Πw=1 k Z/qwZが入力され、記憶部211に格納される(ステップS2102)。本形態では、秘密情報ベクトルvs=(vs(1),...,vs(k))∈Πw=1 k Z/qwZがコミット対象である。 Next, the element vs (w) of the remainder ring Z / q w Z modulo a positive integer q w (w = 1,..., K) is input to the input unit 212b of the commitment generator 210-i (FIG. 7). ) ∈Z / q w Z as secret information vectors vs = (vs (1), ..., vs (k)) ∈Πw = 1 k Z / q w Z are input and the storage unit 211 (Step S2102). In this embodiment, the secret information vector vs = (vs (1),..., Vs (k)) ∈Πw = 1 k Z / q w Z is the commit target.

次に、任意元生成部114cが、有限可換群 Gcの任意の元 X∈Gcをランダムに生成して記憶部211に格納する(ステップS2103)。また、任意元生成部214aが、剰余環 Z/qwZの任意の元a(1,w)∈Z/qwZを各要素とするベクトルva(1)=(a(1,1) ,..., a(1,k))∈Πw=1 k Z/qwZと、剰余環 Z/qwZの任意の元a(2,w)∈Z/qwZを各要素とするベクトルva(2)=(a(2,1) ,..., a(2,k))∈Πw=1 k Z/qwZとを生成して記憶部211に格納する(ステップS2104)。さらに、任意元生成部114bが、有限可換群 Grの任意の元 ra∈Grをランダムに生成して記憶部211に格納する(ステップS1105)。演算部214dは、記憶部211からva(1), va(2), ra, crsのvg(i,1), vg(i,2)を読み出し、有限可換群 Gcの元
A=vg(i,1)va(1)・vg(i,2)va(2)・εpk(1m, ra)∈Gc …(14)
を計算して記憶部211に格納する(ステップS2106)。ただし、va(t)=(a(t,1) ,..., a(t,k))に対してvg(i,t)va(t)=(g(i,t,1)a(t,1),..., g(i,t,k)a(t,k)) (t∈{1,2})である。 Next, the arbitrary element generation unit 114c randomly generates an arbitrary element XεG c of the finite commutative group G c and stores it in the storage unit 211 (step S2103). Also, the arbitrary element generation unit 214a generates a vector va (1) = (a (1,1)) having each element of an arbitrary element a (1, w) ∈Z / q w Z of the remainder ring Z / q w Z. , ..., a (1, k)) ∈Π w = 1 k Z / q w Z and any element a (2, w) ∈Z / q w Z of the remainder ring Z / q w Z A vector va (2) = (a (2,1), ..., a (2, k)) ∈Π w = 1 k Z / q w Z is generated and stored in the storage unit 211. (Step S2104). Further, the arbitrary element generation unit 114b randomly generates an arbitrary element r a ∈G r of the finite commutative group G r and stores it in the storage unit 211 (step S1105). Calculating unit 214d from the storage unit 211 va (1), va ( 2), r a, vg of crs (i, 1), reads out vg (i, 2), elements of the finite-friendly換群G c
A = vg (i, 1) va (1)・ vg (i, 2) va (2)・ ε pk (1 m , r a ) εG c (14)
Is calculated and stored in the storage unit 211 (step S2106). Where vg (i, t) va (t) = (g (i, t, 1) a for va (t) = (a (t, 1), ..., a (t, k)) (t, 1) , ..., g (i, t, k) a (t, k) ) (t∈ {1,2}).

記憶部211に格納されたA, Xは出力部213に送られ、出力部213はA, Xをコミットメント取得装置220−jに対して出力する(ステップS1107)。A, Xは、ネットワーク等を経由してコミットメント取得装置220−j(図8)の入力部222に入力され、記憶部221に格納される(ステップS1202)。   A and X stored in the storage unit 211 are sent to the output unit 213, and the output unit 213 outputs A and X to the commitment acquisition device 220-j (step S1107). A and X are input to the input unit 222 of the commitment acquisition device 220-j (FIG. 8) via the network or the like, and stored in the storage unit 221 (step S1202).

次に、コミットメント取得装置220−jの任意元生成部224aが、剰余環 Z/qwZの任意の元b(1,w)∈Z/qwZを各要素とするベクトルvb=(b(1) ,..., b(k))∈Πw=1 k Z/qwZを生成生成して記憶部221に格納する(ステップS2203)。記憶部221に格納されたvbは出力部223に入力され、出力部223がコミットメント生成装置210−iに対してvbを出力する(ステップS2204)。vbはネットワーク等を経由してコミットメント生成装置210−i(図7)の入力部212aに入力され、記憶部211に格納される(ステップS2108)。 Next, the arbitrary element generation unit 224a of the commitment acquisition device 220-j uses the vector vb = (b) with each element of an arbitrary element b (1, w) εZ / q w Z of the remainder ring Z / q w Z. (1),..., B (k)) ∈Πw = 1 k Z / q w Z is generated and generated and stored in the storage unit 221 (step S2203). The vb stored in the storage unit 221 is input to the output unit 223, and the output unit 223 outputs vb to the commitment generation device 210-i (step S2204). vb is input to the input unit 212a of the commitment generation device 210-i (FIG. 7) via a network or the like and stored in the storage unit 211 (step S2108).

次に、演算部214eが、記憶部211からvbとcrsのvgm=(gm,1,...,gm,k)とを読み出し、
B=εpkw=1 k(gm,w)b(w), 1r)∈Gc …(15)
を生成して記憶部211に格納する(ステップS2109)。 Next, the calculation unit 214e reads vb and crs vg m = (g m, 1 , ..., g m, k ) from the storage unit 211,
B = ε pkw = 1 k (g m, w ) b (w) , 1 r ) ∈G c … (15)
Is stored in the storage unit 211 (step S2109).

次に、任意元生成部114fが、有限可換群 Grの任意の元 rc∈Grを生成して記憶部211に格納する(ステップS1210)。さらに、演算部214gが、記憶部211からva(1), va(2), B, X, vs, crsのvg(0)を読み出し、秘密情報ベクトルvsをコミット対象として、有限可換群 Gcの元
C=(vg(0)(va(1)+va(2))・B・X)vs・εpk(1m, rc)∈Gc …(16)
を生成して記憶部211に格納する(ステップS2111)。ただし、ベクトルα=(α(1) ,..., a(k))とベクトルβ=(β(1) ,...,β(k))とに対して、αβ=(α(1)β(1),..., a(k)β(k))である。 Next, the arbitrary element generation unit 114f generates an arbitrary element r c εG r of the finite commutative group G r and stores it in the storage unit 211 (step S1210). Further, the calculation unit 214g reads vg (0) of va (1), va (2), B, X, vs, crs from the storage unit 211, sets the secret information vector vs as a commit target, and uses the finite commutative group G origin of c
C = (vg (0) (va (1) + va (2))・ B ・ X) vs・ ε pk (1 m , r c ) εG c (16)
Is stored in the storage unit 211 (step S2111). However, for the vector α = (α (1), ..., a (k)) and the vector β = (β (1), ..., β (k)), α β = (α ( 1) β (1) , ..., a (k) β (k) ).

次に、記憶部211に格納されたva(1), va(2), ra, Cが出力部213に入力され、出力部213は、(va(1), va(2), ra), Cをコミットメント取得装置220−jに対して出力する(ステップS2112)。なお、コミットメント生成装置210−iの記憶部211には、A, X, va(1), va(2), ra, vb, C, Pi, Pj,を含む履歴情報
sid=(Pi, Pj, A, X, va(1), va(2), ra, vb, C) …(17)
と(vs, rc)が保管される。 Then, stored in the storage unit 211 va (1), va ( 2), r a, C are input to the output unit 213, an output unit 213, (va (1), va (2), r a ), C is output to the commitment acquisition device 220-j (step S2112). Note that the storage unit 211 of the commitment generator 210-i, the history information including A, X, va (1) , va (2), r a, vb, C, P i, P j, the
sid = (P i, P j , A, X, va (1), va (2), r a, vb, C) ... (17)
And (vs, r c ) are stored.

出力部213から出力された(va(1), va(2), ra), Cは、ネットワーク等を経由して、コミットメント取得装置220−j(図8)の入力部222に入力され、記憶部221に格納される(ステップS2205)。次に、判定部224bが、記憶部221から、A, va(1), va(2), crsのvg(i,1)及びvg(i,2)を読み出し、
A=vg(i,1)va(1)・vg(i,2)va(2)・εpk(1m, ra)∈Gc …(18)
を満たすか否かを判定する(ステップS2206)。ここで、式(18)を満たすと判定されたならば、記憶部221に格納された履歴情報
sid'=(Pi, Pj, A, X, va(1), va(2), ra, vb, C) …(19)
を保管してコミットメント処理を正常終了する(ステップS2207)。一方、式(18)を満たさないと判定されたならば、記憶部221に格納された履歴情報を破棄してコミットメント処理をエラー終了する(ステップS2208)。 Output from the output unit 213 (va (1), va (2), r a), C , via a network or the like is input to the input unit 222 of the commitments acquisition device 220-j (FIG. 8), It is stored in the storage unit 221 (step S2205). Next, the determination unit 224b reads out vg (i, 1) and vg (i, 2) of A, va (1), va (2), crs from the storage unit 221;
A = vg (i, 1) va (1)・ vg (i, 2) va (2)・ ε pk (1 m , r a ) εG c (18)
It is determined whether or not the condition is satisfied (step S2206). Here, if it is determined that the expression (18) is satisfied, the history information stored in the storage unit 221 is stored.
sid '= (P i, P j, A, X, va (1), va (2), r a, vb, C) ... (19)
Is stored and the commitment process is normally terminated (step S2207). On the other hand, if it is determined that the expression (18) is not satisfied, the history information stored in the storage unit 221 is discarded and the commitment process is terminated with an error (step S2208).

<デコミットメント(開封)処理>
図11Aを用いて本形態のデコミットメント処理を説明する。 <Decommitment (opening) processing>
The decommitment process according to this embodiment will be described with reference to FIG. 11A.

まず、コミットメント生成装置210−i(図7)の記憶部211から出力部213に履歴情報sidと(vs, rc)とが入力され、出力部213が履歴情報sid'と(vs, rc)とをコミットメント取得装置220−jに対して出力する(ステップS2121)。履歴情報sidと(vs, rc)とは、ネットワーク等を経由してコミットメント取得装置220−j(図8)の入力部222に入力され、記憶部221に格納される(ステップS2211)。 First, history information sid and (vs, r c ) are input from the storage unit 211 of the commitment generation device 210-i (FIG. 7) to the output unit 213, and the output unit 213 receives the history information sid ′ and (vs, r c). ) To the commitment acquisition device 220-j (step S2121). The history information sid and (vs, r c ) are input to the input unit 222 of the commitment acquisition device 220-j (FIG. 8) via a network or the like and stored in the storage unit 221 (step S2211).

次に、判定部224cが、記憶部221から履歴情報sidとsid'とを読み出し、式(8)
sid=sid' …(20)
を満たすか否かを判定する(ステップS1212)。ここで、式(20)を満たさないと判定された場合、コミットメント生成装置210−iによるデコミットメントを拒絶して処理をエラー終了する(ステップS2215)。一方、式(20)を満たすと判定された場合、次に、演算部224dが、記憶部221からvb, crsのvgm=(gm,1,...,gm,k)を読み出して、
B=εpkw=1 k(gm,w)b(w), 1r)∈Gc …(21)
を生成して判定部224eに入力する(ステップS2213)。判定部224eは、さらに記憶部221からva(1), va(2), X, vs, crsのvg(0)を読み出し、秘密情報 vsと元 rcとが
C=(vg(0)(va(1)+va(2))・B・X)vs・εpk(1m, rc)∈Gc …(22)
を満たすか否かを判定する(ステップS2214)。ここで、式(22)を満たさないと判定された場合、コミットメント生成装置210−iによるデコミットメントを拒絶して処理をエラー終了する(ステップS2215)。一方、式(22)を満たすと判定された場合、コミットメント生成装置210−iによるデコミットメントを承認することで秘密情報ベクトル vsを承認し、その旨の判定結果を出力して処理を正常終了する(ステップS2216)。 Next, the determination unit 224c reads the history information sid and sid ′ from the storage unit 221, and the equation (8)
sid = sid '… (20)
It is determined whether or not the condition is satisfied (step S1212). Here, when it is determined that the expression (20) is not satisfied, the de-commitment by the commitment generation device 210-i is rejected, and the process ends in error (step S2215). On the other hand, when it is determined that the expression (20) is satisfied, the arithmetic unit 224d then reads vg m = (g m, 1 ,..., G m, k ) of vb, crs from the storage unit 221. And
B = ε pkw = 1 k (g m, w ) b (w) , 1 r ) ∈G c … (21)
Is generated and input to the determination unit 224e (step S2213). Determining unit 224e further from the storage unit 221 va (1), va ( 2), X, vs, reads vg (0) of the crs, and the secret vs the original r c
C = (vg (0) (va (1) + va (2))・ B ・ X) vs・ ε pk (1 m , r c ) εG c (22)
It is determined whether or not the condition is satisfied (step S2214). Here, when it is determined that the expression (22) is not satisfied, the de-commitment by the commitment generation device 210-i is rejected, and the process ends in error (step S2215). On the other hand, if it is determined that the expression (22) is satisfied, the secret information vector vs is approved by approving the decommitment by the commitment generation device 210-i, and the determination result is output to terminate the processing normally. (Step S2216).

〔変形例等〕
なお、本発明は上述の実施の形態に限定されるものではない。例えば、第1実施形態では、共通参照データ crsの例として式(1)のものを例示したが、pk, g(0), g(1,1), g(1,2) ,..., g(n,1), g(n,2)を含む他のデータを共通参照データ crsとしてもよい。例えば、pk, g(0), g(1,1), g(1,2) ,..., g(n,1), g(n,2)を含むのであれば、共通参照データ crsが式(1)の少なくとも一部の要素を含まなくてもよいし、式(1)以外の要素を含んでいてもよい。同様に、第2実施形態では、共通参照データ crsの例として式(13)のものを例示したが、pk, vg(0), vg(1,1), vg(1,2) ,..., vg(n,1), vg(n,2)を含む他のデータを共通参照データ crsとしてもよい。例えば、pk, vg(0), vg(1,1), vg(1,2) ,..., vg(n,1), vg(n,2)を含むのであれば、共通参照データ crsが式(13)の少なくとも一部の要素を含まなくてもよいし、式(13)以外の要素を含んでいてもよい。 [Modifications, etc.]
The present invention is not limited to the embodiment described above. For example, in the first embodiment, the example of the common reference data crs is exemplified by the formula (1), but pk, g (0), g (1,1), g (1,2),. , g (n, 1), g (n, 2) may be used as the common reference data crs. For example, if pk, g (0), g (1,1), g (1,2), ..., g (n, 1), g (n, 2) are included, the common reference data crs May not include at least some elements of the formula (1), or may include elements other than the formula (1). Similarly, in the second embodiment, the equation (13) is illustrated as an example of the common reference data crs, but pk, vg (0), vg (1,1), vg (1,2),. ., vg (n, 1), and other data including vg (n, 2) may be used as the common reference data crs. For example, if pk, vg (0), vg (1,1), vg (1,2), ..., vg (n, 1), vg (n, 2) are included, the common reference data crs May not include at least some of the elements of formula (13), or may include elements other than formula (13).

また、第1実施形態では、式(5)のようにA, X, a(1), a(2), ra, b, C, Pi, Pj,を含む履歴情報を例示したが、A, X, a(1), a(2), ra, b, Cを含むその他の情報を履歴情報としてもよい。同様に、第2実施形態では、式(17)のようにA, X, va(1), va(2), ra, vb, C, Pi, Pj,を含む履歴情報を例示したが、A, X, va(1), va(2), ra, vb, Cを含むその他の情報を履歴情報としてもよい。 In the first embodiment, A as in Equation (5), X, a ( 1), a (2), r a, b, C, P i, is exemplified history information including P j, the , a, X, a (1 ), a (2), r a, b, or as history information and other information including C. Similarly, in the second embodiment, A as in Equation (17), X, va ( 1), va (2), r a, exemplified vb, C, P i, P j, the history information including the but, a, X, va (1 ), va (2), r a, vb, or as history information and other information including C.

また、上記の各実施形態においてランダムに生成される情報が、予め定められた順序(選択順序は非公開)で選択される情報であってもよい。   In addition, the information generated randomly in each of the above embodiments may be information selected in a predetermined order (the selection order is not disclosed).

また、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。   In addition, the various processes described above are not only executed in time series according to the description, but may be executed in parallel or individually according to the processing capability of the apparatus that executes the processes or as necessary. Needless to say, other modifications are possible without departing from the spirit of the present invention.

また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。   Further, when the above-described configuration is realized by a computer, processing contents of functions that each device should have are described by a program. The processing functions are realized on the computer by executing the program on the computer.

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。   The program describing the processing contents can be recorded on a computer-readable recording medium. As the computer-readable recording medium, for example, any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory may be used.

また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。   The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。   A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, this computer reads the program stored in its own recording device and executes the process according to the read program. As another execution form of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and the program is transferred from the server computer to the computer. Each time, the processing according to the received program may be executed sequentially. Also, the program is not transferred from the server computer to the computer, and the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes the processing function only by the execution instruction and result acquisition. It is good. Note that the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).

また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。   In this embodiment, the present apparatus is configured by executing a predetermined program on a computer. However, at least a part of these processing contents may be realized by hardware.

1,2 コミットメントシステム
110−i,210−i コミットメント生成装置
120−i,220−i コミットメント取得装置
130,230 共通参照データ生成装置 1,2 Commitment system 110-i, 210-i Commitment generation device 120-i, 220-i Commitment acquisition device 130, 230 Common reference data generation device

Claims (16)

n(n≧1)個のコミットメント生成装置 P(i) (i∈{1,...,n})とコミットメント取得装置 Pj (j≠i)とを有し、
前記コミットメント生成装置 Piは、
準同型公開鍵暗号方式の公開鍵 pkと有限可換群 Gcの元 g(0), g(1,1), g(1,2) ,..., g(n,1), g(n,2)∈Gcとを含む共通参照データ crsの入力を受け付ける第1入力部と、
秘密情報s∈{0,1,...,L}(L, qは0<L≦qを満たす整数)の入力を受け付ける第2入力部と、
有限可換群 Gcの任意の元 X∈Gcを生成する第1任意元生成部と、
正整数qを法とする剰余環 Z/qZの任意の元 a(1), a(2)∈Z/qZを生成する第2任意元生成部と、
有限可換群 Grの任意の元 ra∈Grを生成する第3任意元生成部と、
Gmを位数qの巡回群である有限可換群とし、前記有限可換群Gmの生成元をgmとし、前記有限可換群Gmの単位元を1mとし、前記準同型公開鍵暗号方式の暗号化関数を前記公開鍵 pkと平文M∈Gmと元 r∈Grに対してεpk(M, r)∈Gcを出力する準同型関数とした場合における、前記有限可換群 Gcの元 A=g(i,1)a(1)・g(i,2)a(2)・εpk(1m, ra)∈Gcを生成する第1演算部と、
前記元 A, Xを前記コミットメント取得装置 Pjに対して出力する第1出力部と、を有し、
前記コミットメント取得装置 Pjは、
前記共通参照データ crsの入力を受け付ける第3入力部と、
前記剰余環Z/qZの任意の元 b∈Z/qZを生成する第4任意元生成部と、
前記元 bを前記コミットメント生成装置 Piに対して出力する第2出力部と、を有し、
前記コミットメント生成装置 Piは、
前記有限可換群Grの単位元を1rとした場合における、B=εpk((gm)b, 1r)∈Gcを生成する第2演算部と、
前記有限可換群Grの任意の元 rc∈Grを生成する第5任意元生成部と、
前記秘密情報s∈{0,1,...,L}をコミット対象として、前記有限可換群 Gcの元 C=(g(0)(a(1)+a(2))・B・X)s・εpk(1m, rc)∈Gcを生成する第3演算部と、
前記元a(1), a(2), ra, Cを前記コミットメント取得装置 Pjに対して出力する第3出力部と、
前記元 A, X, a(1), a(2), ra, b, Cを含む第1履歴情報sidと前記秘密情報sと前記元 rcとを格納する第1記憶部と、をさらに有し、
前記コミットメント取得装置 Pjは、
前記元 A, X, a(1), a(2), ra, b, Cを含む第2履歴情報sid'を格納する第2記憶部をさらに有する、
ことを特徴とするコミットメントシステム。 n (n ≧ 1) commitment generation devices P (i) (i∈ {1, ..., n}) and commitment acquisition devices P j (j ≠ i),
The commitment generator P i is
Homomorphic public key cryptography public key pk and finite commutative group G c elements g (0), g (1,1), g (1,2), ..., g (n, 1), g a first input unit that receives input of common reference data crs including (n, 2) ∈G c ;
A second input unit that accepts input of secret information s∈ {0,1, ..., L} (L, q is an integer satisfying 0 <L ≦ q);
A first optional element generation unit for generating an arbitrary original X∈G c of the finite-friendly換群G c,
A second arbitrary element generator for generating arbitrary elements a (1), a (2) ∈Z / qZ of a remainder ring Z / qZ modulo a positive integer q;
A third arbitrary element generator for generating an arbitrary element r a ∈G r of the finite commutative group G r ;
G m is a finite commutative group that is a cyclic group of order q, the generator of the finite commutative group G m is g m , the unit element of the finite commutative group G m is 1 m, and the homomorphism When the encryption function of the public key cryptosystem is a homomorphic function that outputs ε pk (M, r) εG c for the public key pk, plaintext M∈G m and element r∈G r , A first operation that generates an element A = g (i, 1) a (1) · g (i, 2) a (2) · ε pk (1 m , r a ) εG c of the finite commutative group G c And
A first output unit that outputs the elements A and X to the commitment acquisition device P j ,
The commitment acquisition device P j is
A third input unit for receiving input of the common reference data crs;
A fourth arbitrary element generator for generating an arbitrary element b∈Z / qZ of the remainder ring Z / qZ;
A second output unit that outputs the element b to the commitment generation device P i ,
The commitment generator P i is
A second computing unit for generating B = ε pk ((g m ) b , 1 r ) εG c when the unit element of the finite commutative group G r is 1 r ;
A fifth arbitrary element generator for generating an arbitrary element r c ∈G r of the finite commutative group G r ;
Using the secret information s∈ {0,1, ..., L} as a commit target, the element C = (g (0) (a (1) + a (2)) · B of the finite commutative group G c A third arithmetic unit for generating X) s · ε pk (1 m , r c ) εG c ;
A third output unit for outputting the elements a (1), a (2), r a , C to the commitment acquisition device P j ;
The source A, X, a (1) , a (2), r a, b, a first storage unit for storing said original r c as the first history information sid and the secret information s including C, and In addition,
The commitment acquisition device P j is
A second storage unit for storing second history information sid ′ including the elements A, X, a (1), a (2), r a , b, C;
A commitment system characterized by that. 請求項1のコミットメントシステムであって、
前記コミットメント生成装置 Piは、
前記第1履歴情報sidと前記秘密情報 sと前記元 rcとを前記コミットメント取得装置 Pjに対して出力する第4出力部をさらに有し、
前記コミットメント取得装置 Pjは、
前記第1履歴情報sidと前記第2履歴情報sid'とが一致し、なおかつ、前記秘密情報 sと前記元 rcとがC=(g(0)(a(1)+a(2))・B・X)s・εpk(1m, rc)∈Gc, B=εpk((gm)b, 1r)∈Gcを満たす場合に、前記秘密情報 sを承認する判定部と、をさらに有する、
ことを特徴とするコミットメントシステム。 The commitment system of claim 1,
The commitment generator P i is
Further comprising a fourth output unit for outputting said first history information sid and the secret information s and the original r c to the Commitment acquisition device P j,
The commitment acquisition device P j is
The first history information sid and the second history information sid ′ match, and the secret information s and the element r c are C = (g (0) (a (1) + a (2))・ B ・ X) s・ ε pk (1 m , r c ) ∈G c , B = ε pk ((g m ) b , 1 r ) ∈G c And further comprising:
A commitment system characterized by that. n(n≧1)個のコミットメント生成装置 Pi (i∈{1,...,n})とコミットメント取得装置 Pj (j≠i)とを有し、
前記コミットメント生成装置 Piは、
準同型公開鍵暗号方式の公開鍵 pkと、それぞれがk個(kは正整数)の有限可換群 Gcの元を要素とするベクトルvg(0)=(g(0,1) ,..., g(0,k)), vg(1,1)=(g(1,1,1) ,..., g(1,1,k)), vg(1,2)=(g(1,2,1) ,..., g(1,2,k)), ..., vg(n,1)=(g(n,1,1) ,..., g(n,1,k)), vg(n,2)=(g(n,2,1) ,..., g(n,2,k))とを含む共通参照データ crsの入力を受け付ける第1入力部と、
正整数qw(w=1,...,k)を法とする剰余環 Z/qwZの元vs(w)∈Z/qwZを各要素とする秘密情報ベクトルvs=(vs(1),...,vs(k))∈Πw=1 k Z/qwZの入力を受け付ける第2入力部と、
有限可換群 Gcの任意の元 X∈Gcを生成する第1任意元生成部と、
前記剰余環Z/qwZの任意の元a(1,w)∈Z/qwZを各要素とするベクトルva(1)=(a(1,1) ,..., a(1,k))∈Πw=1 k Z/qwZと、前記剰余環 Z/qwZの任意の元a(2,w)∈Z/qwZを各要素とするベクトルva(2)=(a(2,1) ,..., a(2,k))∈Πw=1 k Z/qwZとを生成する第2任意元生成部と、
有限可換群 Grの任意の元 ra∈Grを生成する第3任意元生成部と、
Gmを位数qwの巡回群Gm,wの直積Gm=Gm,1×...×Gm,kからなる有限可換群とし、前記巡回群Gm,wの生成元をgm,wとし、前記有限可換群Gmの単位元を1mとし、前記準同型公開鍵暗号方式の暗号化関数を前記公開鍵 pkと平文M∈Gmと元 r∈Grに対してεpk(M, r)∈Gcを出力する準同型関数とし、vg(i,t)va(t)=(g(i,t,1)a(t,1) ,..., g(i,t,k)a(t,k)) (t∈{1,2})とした場合における、前記有限可換群 Gcの元A=vg(i,1)va(1)・vg(i,2)va(2)・εpk(1m, ra)∈Gcを生成する第1演算部と、
前記元 A, Xを前記コミットメント取得装置 Pjに対して出力する第1出力部と、を有し、
前記コミットメント取得装置 Pjは、
前記共通参照データ crsの入力を受け付ける第3入力部と、
前記剰余環Z/qwZの任意の元b(1,w)∈Z/qwZを各要素とするベクトルvb=(b(1) ,..., b(k))∈Πw=1 k Z/qwZを生成する第4任意元生成部と、
前記ベクトルvbを前記コミットメント生成装置 Piに対して出力する第2出力部と、を有し、
前記コミットメント生成装置 Piは、
前記有限可換群Grの単位元を1rとした場合における、B=εpkw=1 k(gm,w)b(w), 1r)∈Gcを生成する第2演算部と、
前記有限可換群Grの任意の元 rc∈Grを生成する第5任意元生成部と、
前記秘密情報ベクトルvsをコミット対象として、前記有限可換群 Gcの元 C=(vg(0)(va(1)+va(2))・B・X)vs・εpk(1m, rc)∈Gcを生成する第3演算部と、
前記va(1), va(2), ra, Cを前記コミットメント取得装置 Pjに対して出力する第3出力部と、
前記A, X, va(1), va(2), ra, vb, Cを含む第1履歴情報sidと前記秘密情報ベクトルvsと前記元 rcとを格納する第1記憶部と、をさらに有し、
前記コミットメント取得装置 Pjは、
前記A, X, va(1), va(2), ra, vb, Cを含む第2履歴情報sid'を格納する第2記憶部をさらに有する、
ことを特徴とするコミットメントシステム。 n (n ≧ 1) commitment generation devices P i (i∈ {1, ..., n}) and commitment acquisition devices P j (j ≠ i),
The commitment generator P i is
A vector vg (0) = (g (0,1),..., Whose elements are elements of the homomorphic public key cryptosystem public key pk and k finite commutative groups G c (k is a positive integer). .., g (0, k)), vg (1,1) = (g (1,1,1), ..., g (1,1, k)), vg (1,2) = ( g (1,2,1), ..., g (1,2, k)), ..., vg (n, 1) = (g (n, 1,1), ..., g ( n, 1, k)), vg (n, 2) = (g (n, 2,1), ..., g (n, 2, k)) 1 input unit,
Secret information vector vs = (vs) with elements vs (w) ∈Z / q w Z of the remainder ring Z / q w Z modulo a positive integer q w (w = 1, ..., k) (1), ..., vs (k)) ∈Πw = 1 k Z / q w Z
A first optional element generation unit for generating an arbitrary original X∈G c of the finite-friendly換群G c,
A vector va (1) = (a (1,1), ..., a (1) with each element of an arbitrary element a (1, w) ∈Z / q w Z of the remainder ring Z / q w Z , k)) ∈Π w = 1 k Z / q w Z and a vector va (2) with each element of an arbitrary element a (2, w) ∈Z / q w Z of the remainder ring Z / q w Z ) = (a (2,1), ..., a (2, k)) ∈Πw = 1 k Z / q w Z,
A third arbitrary element generator for generating an arbitrary element r a ∈G r of the finite commutative group G r ;
G m is a direct product G m = G m, 1 × ... × G m, k of a cyclic group G m, w of order q w , and the generator of the cyclic group G m, w G m, w , the unit element of the finite commutative group G m is 1 m, and the encryption function of the homomorphic public key cryptosystem is the public key pk, plaintext M∈G m and element r∈G r and ε pk (M, r) homomorphic function for outputting ∈G c respect, vg (i, t) va (t) = (g (i, t, 1) a (t, 1), .. ., g (i, t, k) a (t, k)) ( in case of the t∈ {1,2}), based on a = vg of the finite-friendly換群 G c (i, 1) va ( 1) · vg (i, 2 ) va (2) · ε pk (1 m, and a first arithmetic unit for generating a r a) ∈G c,
A first output unit that outputs the elements A and X to the commitment acquisition device P j ,
The commitment acquisition device P j is
A third input unit for receiving input of the common reference data crs;
A vector vb = (b (1), ..., b (k)) ∈Π w with each element of an arbitrary element b (1, w) ∈Z / q w Z of the remainder ring Z / q w Z = 1 k Z / q w Z, a fourth arbitrary element generator,
A second output unit that outputs the vector vb to the commitment generator P i ,
The commitment generator P i is
A second unit for generating B = ε pk ( Πw = 1 k (g m, w ) b (w) , 1 r ) εG c when the unit element of the finite commutative group G r is 1 r An arithmetic unit;
A fifth arbitrary element generator for generating an arbitrary element r c ∈G r of the finite commutative group G r ;
The secret information vector vs as the commit object, based on C = (vg (0) ( va (1) + va (2)) · B · X) vs · ε pk (1 m of the finite-friendly換群G c, a third arithmetic unit for generating r c ) ∈G c ;
The va (1), and va (2), r a, the third output unit for outputting the C to the Commitment acquisition device P j,
Wherein A, X, va (1) , va (2), r a, vb, a first storage unit for storing said original r c as the first history information sid and the secret information vector vs including C, and In addition,
The commitment acquisition device P j is
Wherein A, X, va (1) , va (2), further comprising a second storage unit for storing a r a, vb, second historical information sid containing C ',
A commitment system characterized by that. 請求項3のコミットメントシステムであって、
前記コミットメント生成装置 Piは、
前記第1履歴情報sidと前記秘密情報ベクトルvsと前記元rcとを前記コミットメント取得装置 Pjに対して出力する第4出力部をさらに有し、
前記コミットメント取得装置 Pjは、
前記第1履歴情報sidと前記第2履歴情報sid'とが一致し、なおかつ、前記秘密情報ベクトルvsと前記元 rcとがC=(vg(0)(va(1)+va(2))・B・X)vs・εpk(1m, rc)∈Gc, B=εpkw=1 k(gm,w)b(w), 1r)∈Gcを満たす場合に、前記秘密情報ベクトルvsを承認する判定部と、をさらに有する、
ことを特徴とするコミットメントシステム。 The commitment system of claim 3,
The commitment generator P i is
Further comprising a fourth output unit for outputting said first history information sid and the secret information vector vs with the original r c to the Commitment acquisition device P j,
The commitment acquisition device P j is
The first history information sid and the second history information sid ′ match, and the secret information vector vs and the element r c are C = (vg (0) (va (1) + va (2) )・ B ・ X) vs・ ε pk (1 m , r c ) ∈G c , B = ε pkw = 1 k (g m, w ) b (w) , 1 r ) ∈G c A determination unit that approves the secret information vector vs.
A commitment system characterized by that. 準同型公開鍵暗号方式の公開鍵 pkと有限可換群 Gcの元 g(0), g(1,1), g(1,2) ,..., g(n,1), g(n,2)∈Gcとを含む共通参照データ crsの入力を受け付ける第1入力部と、
秘密情報s∈{0,1,...,L}(L, qは0<L≦qを満たす正整数)の入力を受け付ける第2入力部と、
有限可換群 Gcの任意の元 X∈Gcを生成する第1任意元生成部と、
前記正整数qを法とする剰余環 Z/qZの任意の元 a(1), a(2)∈Z/qZを生成する第2任意元生成部と、
有限可換群 Grの任意の元 ra∈Grを生成する第3任意元生成部と、
Gmを位数qの巡回群である有限可換群とし、前記有限可換群Gmの生成元をgmとし、前記有限可換群Gmの単位元を1mとし、前記準同型公開鍵暗号方式の暗号化関数を前記公開鍵 pkと平文M∈Gmと元 r∈Grに対してεpk(M, r)∈Gcを出力する準同型関数とした場合における、前記有限可換群 Gcの元 A=g(i,1)a(1)・g(i,2)a(2)・εpk(1m, ra)∈Gc(i∈{1,...,n}, n≧1)を生成する第1演算部と、
前記元 A, Xをコミットメント取得装置 Pjに対して出力する第1出力部と、
前記剰余環Z/qZの元b∈Z/qZの入力を受け付ける第3入力部と、
前記有限可換群Grの単位元を1rとした場合における、B=εpk((gm)b, 1r)∈Gcを生成する第2演算部と、
前記有限可換群Grの任意の元 rc∈Grを生成する第4任意元生成部と、
前記秘密情報s∈{0,1,...,L}をコミット対象として、前記有限可換群 Gcの元 C=(g(0)(a(1)+a(2))・B・X)s・εpk(1m, rc)∈Gcを生成する第3演算部と、
前記元a(1), a(2), ra, Cを前記コミットメント取得装置 Pjに対して出力する第2出力部と、
前記元 A, X, a(1), a(2), ra, b, Cを含む第1履歴情報sidと前記秘密情報sと前記元 rcとを格納する記憶部と、
を有するコミットメント生成装置。 Homomorphic public key cryptography public key pk and finite commutative group G c elements g (0), g (1,1), g (1,2), ..., g (n, 1), g a first input unit that receives input of common reference data crs including (n, 2) ∈G c ;
A second input unit that accepts input of secret information s∈ {0,1, ..., L} (L, q is a positive integer satisfying 0 <L ≦ q);
A first optional element generation unit for generating an arbitrary original X∈G c of the finite-friendly換群G c,
A second arbitrary element generator for generating arbitrary elements a (1), a (2) ∈Z / qZ of the remainder ring Z / qZ modulo the positive integer q;
A third arbitrary element generator for generating an arbitrary element r a ∈G r of the finite commutative group G r ;
G m is a finite commutative group that is a cyclic group of order q, the generator of the finite commutative group G m is g m , the unit element of the finite commutative group G m is 1 m, and the homomorphism When the encryption function of the public key cryptosystem is a homomorphic function that outputs ε pk (M, r) εG c for the public key pk, plaintext M∈G m and element r∈G r , Elements of the finite commutative group G c A = g (i, 1) a (1)・ g (i, 2) a (2)・ ε pk (1 m , r a ) ∈G c (i∈ {1, ..., n}, n ≧ 1)
A first output unit for outputting the elements A and X to the commitment acquisition device P j ;
A third input unit for receiving an input of the element b∈Z / qZ of the remainder ring Z / qZ;
A second computing unit for generating B = ε pk ((g m ) b , 1 r ) εG c when the unit element of the finite commutative group G r is 1 r ;
A fourth arbitrary element generation unit for generating an arbitrary element r c ∈G r of the finite commutative group G r ;
Using the secret information s∈ {0,1, ..., L} as a commit target, the element C = (g (0) (a (1) + a (2)) · B of the finite commutative group G c A third arithmetic unit for generating X) s · ε pk (1 m , r c ) εG c ;
A second output unit that outputs the elements a (1), a (2), r a , C to the commitment acquisition device P j ;
The source A, X, a (1) , and a (2), r a, b, a storage unit for storing the first history information sid including C and the secret information s and the original r c,
A commitment generator. 請求項5のコミットメント生成装置であって、
前記第1履歴情報 sidと前記秘密情報 sと前記元 rcとを前記コミットメント取得装置 Pjに対して出力する第3出力部をさらに有する、
ことを特徴とするコミットメントシステム。 The commitment generation device according to claim 5,
Further comprising a third output unit for outputting said first history information sid and the secret information s and the original r c to the Commitment acquisition device P j,
A commitment system characterized by that. 準同型公開鍵暗号方式の公開鍵 pkと有限可換群 Gcの元 g(0), g(1,1), g(1,2) ,..., g(n,1), g(n,2)∈Gcとを含む共通参照データ crsの入力を受け付ける第1入力部と、
前記有限可換群Gcの元 A, X∈Gcの入力を受け付ける第2入力部と、
正整数qを法とする剰余環 Z/qZの任意の元 b∈Z/qZを生成する第1任意元生成部と、
前記元 bを前記コミットメント生成装置 Piに対して出力する出力部と、
前記剰余環Z/qZの任意の元 a(1), a(2)∈Z/qZと、有限可換群 Grの元 ra∈Grと、前記有限可換群 Gcの元 C∈Gcとの入力を受け付ける第3入力部と、
前記元 A, X, a(1), a(2), ra, b, Cを含む第2履歴情報sid'を格納する記憶部と、
を有するコミットメント取得装置。 Homomorphic public key cryptography public key pk and finite commutative group G c elements g (0), g (1,1), g (1,2), ..., g (n, 1), g a first input unit that receives input of common reference data crs including (n, 2) ∈G c ;
A second input unit for receiving an input of the element A, X∈G c of the finite commutative group G c ;
A first arbitrary element generator for generating an arbitrary element b∈Z / qZ of a remainder ring Z / qZ modulo a positive integer q;
An output unit for outputting the element b to the commitment generation device P i ;
Arbitrary element a (1), a (2) ∈Z / qZ of the remainder ring Z / qZ, element r a ∈G r of finite commutative group G r , element C of the finite commutative group G c A third input unit for receiving an input of ∈ G c ;
A storage unit for storing the original A, X, a (1) , a (2), r a, b, second historical information sid containing C ',
A commitment acquisition device. 請求項7のコミットメント取得装置であって、
第1履歴情報sidと、秘密情報 s∈{0,1,...,L}(L, qは0<L≦qを満たす整数)と、有限可換群 Grの元 rc∈Gとの入力を受け付ける第4入力部と、
前記第1履歴情報sidと前記第2履歴情報sid'とが一致し、なおかつ、前記秘密情報 sと前記元 rcとがC=(g(0)(a(1)+a(2))・B・X)s・εpk(1m, rc)∈Gc, B=εpk((gm)b, 1r)∈Gcを満たす場合に、前記秘密情報 sを承認する判定部と、
を有するコミットメント取得装置 The commitment acquisition device according to claim 7,
First history information sid, secret information s∈ {0,1, ..., L} (L, q is an integer satisfying 0 <L ≦ q), element r c ∈G of finite commutative group G r A fourth input unit that accepts an input of
The first history information sid and the second history information sid ′ match, and the secret information s and the element r c are C = (g (0) (a (1) + a (2))・ B ・ X) s・ ε pk (1 m , r c ) ∈G c , B = ε pk ((g m ) b , 1 r ) ∈G c And
Commitment acquisition device 準同型公開鍵暗号方式の公開鍵 pkと、それぞれがk個(kは正整数)の有限可換群 Gcの元を要素とするベクトルvg(0)=(g(0,1) ,..., g(0,k)), vg(1,1)=(g(1,1,1) ,..., g(1,1,k)), vg(1,2)=(g(1,2,1) ,..., g(1,2,k)), ..., vg(n,1)=(g(n,1,1) ,..., g(n,1,k)), vg(n,2)=(g(n,2,1) ,..., g(n,2,k))とを含む共通参照データ crsの入力を受け付ける第1入力部と、
正整数qw(w=1,...,k)を法とする剰余環 Z/qwZの元vs(w)∈Z/qwZを各要素とする秘密情報ベクトルvs=(vs(1),...,vs(k))∈Πw=1 k Z/qwZの入力を受け付ける第2入力部と、
有限可換群 Gcの任意の元 X∈Gcを生成する第1任意元生成部と、
前記剰余環Z/qwZの任意の元a(1,w)∈Z/qwZを各要素とするベクトルva(1)=(a(1,1) ,..., a(1,k))∈Πw=1 k Z/qwZと、前記剰余環 Z/qwZの任意の元a(2,w)∈Z/qwZを各要素とするベクトルva(2)=(a(2,1) ,..., a(2,k))∈Πw=1 k Z/qwZとを生成する第2任意元生成部と、
有限可換群 Grの任意の元 ra∈Grを生成する第3任意元生成部と、
Gmを位数qwの巡回群Gm,wの直積Gm=Gm,1×...×Gm,kからなる有限可換群とし、前記巡回群Gm,wの生成元をgm,wとし、前記有限可換群Gmの単位元を1mとし、前記準同型公開鍵暗号方式の暗号化関数を前記公開鍵 pkと平文M∈Gmと元 r∈Grに対してεpk(M, r)∈Gcを出力する準同型関数とし、vg(i,t)va(t)=(g(i,t,1)a(t,1) ,..., g(i,t,k)a(t,k)) (t∈{1,2}, i∈{1,...,n}, n≧1)とした場合における、前記有限可換群 Gcの元A=vg(i,1)va(1)・vg(i,2)va(2)・εpk(1m, ra)∈Gcを生成する第1演算部と、
前記元 A, Xを前記コミットメント取得装置 Pjに対して出力する第1出力部と、
前記剰余環Z/qwZの任意の元b(1,w)∈Z/qwZを各要素とするベクトルvb=(b(1) ,..., b(k))∈Πw=1 k Z/qwZの入力を受け付ける第3入力部と、
前記有限可換群Grの単位元を1rとした場合における、B=εpkw=1 k(gm,w)b(w), 1r)∈Gcを生成する第2演算部と、
前記有限可換群Grの任意の元 rc∈Grを生成する第4任意元生成部と、
前記秘密情報ベクトルvsをコミット対象として、前記有限可換群 Gcの元 C=(vg(0)(va(1)+va(2))・B・X)vs・εpk(1m, rc)∈Gcを生成する第3演算部と、
前記va(1), va(2), ra, Cを前記コミットメント取得装置 Pjに対して出力する第2出力部と、
前記A, X, va(1), va(2), ra, vb, Cを含む第1履歴情報sidと前記秘密情報ベクトルvsと前記元 rcとを格納する記憶部と、
を有するコミットメント生成装置。 A vector vg (0) = (g (0,1),.., Whose elements are elements of a homomorphic public key cryptosystem public key pk and k finite commutative groups G c (k is a positive integer). .., g (0, k)), vg (1,1) = (g (1,1,1), ..., g (1,1, k)), vg (1,2) = ( g (1,2,1), ..., g (1,2, k)), ..., vg (n, 1) = (g (n, 1,1), ..., g ( n, 1, k)), vg (n, 2) = (g (n, 2,1), ..., g (n, 2, k)) 1 input unit,
Secret information vector vs = (vs) with elements vs (w) ∈Z / q w Z of the remainder ring Z / q w Z modulo a positive integer q w (w = 1, ..., k) (1), ..., vs (k)) ∈Πw = 1 k Z / q w Z
A first optional element generation unit for generating an arbitrary original X∈G c of the finite-friendly換群G c,
A vector va (1) = (a (1,1), ..., a (1) with each element of an arbitrary element a (1, w) ∈Z / q w Z of the remainder ring Z / q w Z , k)) ∈Π w = 1 k Z / q w Z and a vector va (2) with each element of an arbitrary element a (2, w) ∈Z / q w Z of the remainder ring Z / q w Z ) = (a (2,1), ..., a (2, k)) ∈Πw = 1 k Z / q w Z,
A third arbitrary element generator for generating an arbitrary element r a ∈G r of the finite commutative group G r ;
G m is a direct product G m = G m, 1 × ... × G m, k of a cyclic group G m, w of order q w , and the generator of the cyclic group G m, w G m, w , the unit element of the finite commutative group G m is 1 m, and the encryption function of the homomorphic public key cryptosystem is the public key pk, plaintext M∈G m and element r∈G r and ε pk (M, r) homomorphic function for outputting ∈G c respect, vg (i, t) va (t) = (g (i, t, 1) a (t, 1), .. , g (i, t, k) a (t, k) ) (t∈ {1,2}, i∈ {1, ..., n}, n ≧ 1) A first arithmetic unit for generating an element A = vg (i, 1) va (1) · vg (i, 2) va (2) · ε pk (1 m , ra) εG c of a permutation group G c ; ,
A first output unit that outputs the elements A and X to the commitment acquisition device P j ;
A vector vb = (b (1), ..., b (k)) ∈Π w with each element of an arbitrary element b (1, w) ∈Z / q w Z of the remainder ring Z / q w Z A third input unit that accepts an input of = 1 k Z / q w Z;
A second unit for generating B = ε pk ( Πw = 1 k (g m, w ) b (w) , 1 r ) εG c when the unit element of the finite commutative group G r is 1 r An arithmetic unit;
A fourth arbitrary element generation unit for generating an arbitrary element r c ∈G r of the finite commutative group G r ;
The secret information vector vs as the commit object, based on C = (vg (0) ( va (1) + va (2)) · B · X) vs · ε pk (1 m of the finite-friendly換群G c, a third arithmetic unit for generating r c ) ∈G c ;
The va (1), and va (2), r a, the second output unit for outputting the C to the Commitment acquisition device P j,
Wherein A, X, va (1) , and va (2), r a, vb, storage unit for storing said original r c as the first history information sid and the secret information vector vs containing C,
A commitment generator. 請求項9のコミットメント生成装置であって、
前記第1履歴情報sidと前記秘密情報ベクトルvsと前記元rcとを前記コミットメント取得装置 Pjに対して出力する第3出力部をさらに有する、
ことを特徴とするコミットメント生成装置。 The commitment generation device according to claim 9, comprising:
Further comprising a third output unit for outputting said first history information sid and the secret information vector vs with the original r c to the Commitment acquisition device P j,
A commitment generation device characterized by that. 準同型公開鍵暗号方式の公開鍵 pkと、それぞれがk個(kは正整数)の有限可換群 Gcの元を要素とするベクトルvg(0)=(g(0,1) ,..., g(0,k)), vg(1,1)=(g(1,1,1) ,..., g(1,1,k)), vg(1,2)=(g(1,2,1) ,..., g(1,2,k)), ..., vg(n,1)=(g(n,1,1) ,..., g(n,1,k)), vg(n,2)=(g(n,2,1) ,..., g(n,2,k))とを含む共通参照データ crsの入力を受け付ける第1入力部と、
前記有限可換群Gcの元A, X∈Gcの入力を受け付ける第2入力部と、
正整数qw(w=1,...,k)を法とする剰余環 Z/qwZの任意の元b(1,w)∈Z/qwZを各要素とするベクトルvb=(b(1) ,..., b(k))∈Πw=1 k Z/qwZを生成する任意元生成部と、
前記ベクトルvbをコミットメント生成装置 Piに対して出力する第1出力部と、
前記剰余環Z/qwZの元a(1,w)∈Z/qwZを各要素とするベクトルva(1), va(2)∈Πw=1 k Z/qwZと、有限可換群 Grの元 ra∈Grと、前記有限可換群 Gcの元 Cとの入力を受け付ける第3入力部と、
前記A, X, va(1), va(2), ra, vb, Cを含む第2履歴情報sid'を格納する記憶部と、
を有するコミットメント取得装置。 A vector vg (0) = (g (0,1),..., Whose elements are elements of the homomorphic public key cryptosystem public key pk and k finite commutative groups G c (k is a positive integer). .., g (0, k)), vg (1,1) = (g (1,1,1), ..., g (1,1, k)), vg (1,2) = ( g (1,2,1), ..., g (1,2, k)), ..., vg (n, 1) = (g (n, 1,1), ..., g ( n, 1, k)), vg (n, 2) = (g (n, 2,1), ..., g (n, 2, k)) 1 input unit,
A second input unit for receiving an input of element A, X∈G c of the finite commutative group G c ;
Vector vb = with each element b (1, w) ∈Z / q w Z of the remainder ring Z / q w Z modulo a positive integer q w (w = 1, ..., k) (b (1), ..., b (k)) ∈Π w = 1 k Z / q w Z
A first output unit for outputting the vector vb to the commitment generator P i ;
A vector va (1), va (2) ∈Π w = 1 k Z / q w Z having elements a (1, w) ∈Z / q w Z of the remainder ring Z / q w Z as elements, a third input unit for receiving the original r a ∈G r of the finite-friendly換群G r, the inputs of the original C of the finite-friendly換群G c,
Said A, X, va (1) , va (2), r a, vb, storage unit for storing the second history information sid 'containing C,
A commitment acquisition device. 請求項11のコミットメント取得装置であって、
第1履歴情報sidと、正整数qw (w=1,...,k)を法とする剰余環 Z/qwZの元vs(w)∈Z/qwZを各要素とする秘密情報ベクトルvs=(vs(1),...,vs(k))∈Πw=1 k Z/qwZと、有限可換群 Grの任意の元 rc∈Grとの入力を受け付ける第4入力部と、
前記第1履歴情報sidと前記第2履歴情報sid'とが一致し、なおかつ、前記秘密情報ベクトルvsと前記元 rcとがC=(vg(0)(va(1)+va(2))・B・X)vs・εpk(1m, rc)∈Gc, B=εpkw=1 k(gm,w)b(w), 1r)∈Gcを満たす場合に、前記秘密情報ベクトルvsを承認する判定部と、
を有するコミットメント取得装置。 The commitment acquisition device according to claim 11,
First history information sid and elements of remainder ring Z / q w Z modulo positive integer q w (w = 1, ..., k) vs (w) ∈Z / q w Z secret information vector vs = (vs (1), ..., vs (k)) and ∈Π w = 1 k Z / q w Z, and any of the original r c ∈G r of the finite Allowed換群G r of A fourth input unit for receiving input;
The first history information sid and the second history information sid ′ match, and the secret information vector vs and the element r c are C = (vg (0) (va (1) + va (2) )・ B ・ X) vs・ ε pk (1 m , r c ) ∈G c , B = ε pkw = 1 k (g m, w ) b (w) , 1 r ) ∈G c A determination unit that approves the secret information vector vs;
A commitment acquisition device. 請求項5、6、9又は10の何れかに記載のコミットメント生成装置としての処理を実行するコミットメント生成方法。   A commitment generation method for executing processing as the commitment generation device according to any one of claims 5, 6, 9, and 10. 請求項7、8、11又は12の何れかに記載のコミットメント取得装置としての処理を実行するコミットメント取得方法。   A commitment acquisition method for executing processing as the commitment acquisition device according to claim 7, 8, 11, or 12. 請求項5、6、9又は10の何れかに記載のコミットメント生成装置としてコンピュータを機能させるためのプログラム。   The program for functioning a computer as a commitment production | generation apparatus in any one of Claim 5, 6, 9 or 10. 請求項7、8、11又は12の何れかに記載のコミットメント取得装置としてコンピュータを機能させるためのプログラム。   The program for functioning a computer as a commitment acquisition apparatus in any one of Claim 7, 8, 11 or 12.
JP2010128692A 2010-06-04 2010-06-04 Commitment system, commitment generation device, commitment acquisition device, commitment generation method, commitment acquisition method, and program Pending JP2011253148A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010128692A JP2011253148A (en) 2010-06-04 2010-06-04 Commitment system, commitment generation device, commitment acquisition device, commitment generation method, commitment acquisition method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010128692A JP2011253148A (en) 2010-06-04 2010-06-04 Commitment system, commitment generation device, commitment acquisition device, commitment generation method, commitment acquisition method, and program

Publications (1)

Publication Number Publication Date
JP2011253148A true JP2011253148A (en) 2011-12-15

Family

ID=45417098

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010128692A Pending JP2011253148A (en) 2010-06-04 2010-06-04 Commitment system, commitment generation device, commitment acquisition device, commitment generation method, commitment acquisition method, and program

Country Status (1)

Country Link
JP (1) JP2011253148A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013243421A (en) * 2012-05-17 2013-12-05 Nippon Telegr & Teleph Corp <Ntt> Commitment system, common reference information generation device, commitment generation device, commitment receiving device, and commitment method
JP2014150494A (en) * 2013-02-04 2014-08-21 Nippon Telegr & Teleph Corp <Ntt> Commitment system, common reference string generation apparatus, commitment generation apparatus, commitment reception apparatus, commitment method and program
JP2015011048A (en) * 2013-06-26 2015-01-19 日本電信電話株式会社 Commitment system, common reference information generation device, commit generation device, commit reception device, commitment method and program

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013243421A (en) * 2012-05-17 2013-12-05 Nippon Telegr & Teleph Corp <Ntt> Commitment system, common reference information generation device, commitment generation device, commitment receiving device, and commitment method
JP2014150494A (en) * 2013-02-04 2014-08-21 Nippon Telegr & Teleph Corp <Ntt> Commitment system, common reference string generation apparatus, commitment generation apparatus, commitment reception apparatus, commitment method and program
JP2015011048A (en) * 2013-06-26 2015-01-19 日本電信電話株式会社 Commitment system, common reference information generation device, commit generation device, commit reception device, commitment method and program

Similar Documents

Publication Publication Date Title
KR102627039B1 (en) Threshold digital signature method and system
KR102627049B1 (en) Computer-implemented method for generating threshold vaults
Ion et al. Private intersection-sum protocol with applications to attributing aggregate ad conversions
US10277395B2 (en) Cryptographic key-generation with application to data deduplication
TWI821248B (en) Computer implemented method and system for transferring control of a digital asset
JP3560860B2 (en) Secret sharing system, device, and storage medium
Chauhan et al. Homomorphic encryption for data security in cloud computing
JP7316283B2 (en) Computer-implemented method and system for obtaining digitally signed data
JP2021523620A (en) Methods and systems for communicating secrets
Li et al. Privacy-aware secure anonymous communication protocol in CPSS cloud computing
Bhatia et al. Secure sharing of mobile personal healthcare records using certificateless proxy re‐encryption in cloud
Kosba et al. C $\emptyset $ C $\emptyset $: A Framework for Building Composable Zero-Knowledge Proofs
Dua et al. A study of applications based on elliptic curve cryptography
JP2011253148A (en) Commitment system, commitment generation device, commitment acquisition device, commitment generation method, commitment acquisition method, and program
Fiore et al. Cuckoo commitments: registration-based encryption and key-value map commitments for large spaces
Al-Zubi et al. Efficient signcryption scheme based on El-Gamal and Schnorr
Doshi An enhanced approach for CP-ABE with proxy re-encryption in IoT paradigm
Jubrin et al. Fully Homomorphic Encryption: An Antidote to Cloud Data Security and Privacy Concerns
Elashry et al. Identity-based mediated RSA revisited
Mangala et al. Lightweight Ring Learning With Errors Cryptographic Scheme for Secure Cloud-IoT Systems
Kumar A secure and efficient authentication protocol based on elliptic curve diffie-hellman algorithm and zero knowledge property
Swathi et al. Secure cloud computing using homomorphic construction
Deligiannidis Implementing elliptic curve cryptography
Jafarian et al. An Efficient Scheme for Secure Medical Data Sharing in the Cloud.
Mihăilescu et al. Computational number theory and cryptography