JP2012133214A - 暗号処理システム、鍵生成装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム - Google Patents

暗号処理システム、鍵生成装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム Download PDF

Info

Publication number
JP2012133214A
JP2012133214A JP2010286511A JP2010286511A JP2012133214A JP 2012133214 A JP2012133214 A JP 2012133214A JP 2010286511 A JP2010286511 A JP 2010286511A JP 2010286511 A JP2010286511 A JP 2010286511A JP 2012133214 A JP2012133214 A JP 2012133214A
Authority
JP
Japan
Prior art keywords
integer
coefficient
variable
identification information
vector
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010286511A
Other languages
English (en)
Other versions
JP5693206B2 (ja
JP2012133214A5 (ja
Inventor
Katsuyuki Takashima
克幸 高島
Tatsuaki Okamoto
龍明 岡本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Nippon Telegraph and Telephone Corp
Original Assignee
Mitsubishi Electric Corp
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to JP2010286511A priority Critical patent/JP5693206B2/ja
Application filed by Mitsubishi Electric Corp, Nippon Telegraph and Telephone Corp filed Critical Mitsubishi Electric Corp
Priority to EP11851495.9A priority patent/EP2613472A4/en
Priority to CN201180061703.XA priority patent/CN103270719B/zh
Priority to US13/823,507 priority patent/US8938623B2/en
Priority to PCT/JP2011/078164 priority patent/WO2012086405A1/ja
Priority to KR1020137012670A priority patent/KR101393899B1/ko
Publication of JP2012133214A publication Critical patent/JP2012133214A/ja
Publication of JP2012133214A5 publication Critical patent/JP2012133214A5/ja
Application granted granted Critical
Publication of JP5693206B2 publication Critical patent/JP5693206B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • H04L9/007Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models involving hierarchical structures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/008Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Mathematical Analysis (AREA)
  • Algebra (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】多くの暗号機能を有する安全な関数型暗号方式を提供することを目的とする。
【解決手段】スパンプログラムに属性ベクトルの内積を適用することにより、アクセスストラクチャを構成した。このアクセスストラクチャは、スパンプログラムの設計と、属性ベクトルの設計とに自由度があり、アクセス制御の設計に大きな自由度を有する。このアクセスストラクチャを、暗号文と復号鍵とのそれぞれに持たせて関数型暗号処理を実現した。
【選択図】図5

Description

この発明は、関数型暗号(Functional Encryption,FE)方式に関するものである。
非特許文献3−6,10,12,13,15,18には、関数型暗号方式の1つのクラスであるIDベース暗号(Identity−Based Encryption,IBE)方式についての記載がある。
Beimel, A., Secure schemes for secret sharing and key distribution. PhD Thesis, Israel Institute of Technology, Technion, Haifa, Israel, 1996 Bethencourt, J., Sahai, A., Waters, B.: Ciphertextpolicy attribute−based encryption. In: 2007 IEEE Symposium on Security and Privacy, pp. 321・34. IEEE Press (2007) Boneh, D., Boyen, X.: Efficient selective−ID secure identity based encryption without random oracles. In:Cachin, C., Camenisch, J. (eds.) EUROCRYPT 2004. LNCS, vol. 3027, pp. 223・38. Springer Heidelberg(2004) Boneh, D., Boyen, X.: Secure identity based encryption without random oracles. In: Franklin, M.K. (ed.)CRYPTO 2004. LNCS, vol. 3152, pp. 443・59. Springer Heidelberg (2004) Boneh, D., Boyen, X., Goh, E.: Hierarchical identity based encryption with constant size ciphertext. In:Cramer, R. (ed.) EUROCRYPT 2005. LNCS, vol. 3494, pp. 440・56. Springer Heidelberg (2005) Boneh, D., Franklin, M.: Identity−based encryption from the Weil pairing. In: Kilian, J. (ed.) CRYPTO2001. LNCS, vol. 2139, pp. 213・29. Springer Heidelberg (2001) Boneh, D., Hamburg, M.: Generalized identity based and broadcast encryption scheme. In: Pieprzyk, J.(ed.) ASIACRYPT 2008. LNCS, vol. 5350, pp. 455・70. Springer Heidelberg (2008) Boneh, D., Katz, J., Improved efficiency for CCA−secure cryptosystems built using identity based encryption. RSA−CT 2005, LNCS, Springer Verlag (2005) Boneh, D., Waters, B.: Conjunctive, subset, and range queries on encrypted data. In: Vadhan, S.P. (ed.)TCC 2007. LNCS, vol. 4392, pp. 535・54. Springer Heidelberg (2007) Boyen, X., Waters, B.: Anonymous hierarchical identity−based encryption (without random oracles). In:Dwork, C. (ed.) CRYPTO 2006. LNCS, vol. 4117, pp. 290・07. Springer Heidelberg (2006) Canetti, R., Halevi S., Katz J., Chosen−ciphertext security from identity−based encryption. EUROCRYPT2004, LNCS, Springer−Verlag (2004) Cocks, C.: An identity based encryption scheme based on quadratic residues. In: Honary, B. (ed.) IMAInt. Conf. LNCS, vol. 2260, pp. 360・63. Springer Heidelberg (2001) Gentry, C.: Practical identity−based encryption without random oracles. In: Vaudenay, S. (ed.) EUROCRYPT 2006. LNCS, vol. 4004, pp. 445・64. Springer Heidelberg (2006) Gentry, C., Halevi, S.: Hierarchical identity−based encryption with polynomially many levels. In: Reingold,O. (ed.) TCC 2009. LNCS, vol. 5444, pp. 437・56. Springer Heidelberg (2009) Gentry, C., Silverberg, A.: Hierarchical ID−based cryptography. In: Zheng, Y. (ed.) ASIACRYPT 2002.LNCS, vol. 2501, pp. 548・66. Springer Heidelberg (2002) Goyal, V., Pandey, O., Sahai, A., Waters, B.: Attribute−based encryption for fine−grained access controlof encrypted data. In: ACM Conference on Computer and Communication Security 2006, pp. 89・8, ACM(2006) Groth, J., Sahai, A.: Efficient non−interactive proof systems for bilinear groups. In: Smart, N.P. (ed.)EUROCRYPT 2008. LNCS, vol. 4965, pp. 415・32. Springer Heidelberg (2008) Horwitz, J., Lynn, B.: Towards hierarchical identity−based encryption. In: Knudsen, L.R. (ed.) EUROCRYPT 2002. LNCS, vol. 2332, pp. 466・81. Springer Heidelberg (2002) Katz, J., Sahai, A., Waters, B.: Predicate encryption supporting disjunctions, polynomial equations, andinner products. In: Smart, N.P. (ed.) EUROCRYPT 2008. LNCS, vol. 4965, pp. 146・62. Springer Heidelberg (2008) Lewko, A., Okamoto, T., Sahai, A., Takashima, K., Waters, B.: Fully secure functional encryption: Attribute−based encryption and (hierarchical) inner product encryption, In: Gilbert, H. (ed.) EUROCRYPT 2010. LNCS, vol. 6110, pp. 62−91. Springer, Heidelberg (2010) Lewko, A.B., Waters, B.: Fully secure HIBE with short ciphertexts. ePrint, IACR, http://eprint.iacr.org/2009/482 Okamoto, T., Takashima, K.: Homomorphic encryption and signatures from vector decomposition. In:Galbraith, S.D., Paterson, K.G. (eds.) Pairing 2008. LNCS, vol. 5209, pp. 57・4. Springer Heidelberg(2008) Okamoto, T., Takashima, K.: Hierarchical predicate encryption for Inner−Products, In: ASIACRYPT 2009,Springer Heidelberg (2009) Okamoto, T., Takashima, K.: Fully Secure Functional Encryption with General Relations from the Decisional Linear Assumption, In: CRYPTO 2010, LNCS vol. 6223, pp. 191−208. Springer Heidelberg (2010) Ostrovsky, R., Sahai, A., Waters, B.: Attribute−based encryption with non−monotonic access structures.In: ACM Conference on Computer and Communication Security 2007, pp. 195・03, ACM (2007) Pirretti, M., Traynor, P., McDaniel, P., Waters, B.: Secure attribute−based systems. In: ACM Conferenceon Computer and Communication Security 2006, pp. 99・12, ACM, (2006) Sahai, A., Waters, B.: Fuzzy identity−based encryption. In: Cramer, R. (ed.) EUROCRYPT 2005. LNCS,vol. 3494, pp. 457・73. Springer Heidelberg (2005) Shi, E., Waters, B.: Delegating capability in predicate encryption systems. In: Aceto, L., Damgard, I.,Goldberg, L.A., Halldosson, M.M., Ingofsdotir, A., Walukiewicz, I. (eds.) ICALP (2) 2008. LNCS, vol.5126, pp. 560・78. Springer Heidelberg (2008) Waters, B.: Efficient identity based encryption without random oracles. Eurocrypt 2005, LNCS No. 3152,pp.443・59.Springer Verlag, 2005. Waters, B.: Ciphertext−policy attribute−based encryption: an expressive, efficient, and provably securerealization. ePrint, IACR, http://eprint.iacr.org/2008/290 Waters, B.: Dual system encryption: Realizing fully secure IBE and HIBE under simple assumptions. In:Halevi, S. (ed.) CRYPTO 2009. LNCS, vol. 5677, pp. 619・36. Springer Heidelberg (2009)
この発明は、多機能な暗号機能を有する安全な関数型暗号方式を提供することを目的とする。
この発明に係る暗号処理システムは、
鍵生成装置と暗号化装置と復号装置とを備え、基底B及び基底B と、t=1,...,dKP(dKPは1以上の整数)の各整数tについての基底B KP及び基底B KPと、t=1,...,dCP(dCPは1以上の整数)の各整数tについての基底B CP及び基底B CPとを用いて暗号処理を実行する暗号処理システムであり、
前記鍵生成装置は、
i=1,...,LKP(LKPは1以上の整数)の各整数iについての変数ρKP(i)であって、識別情報t(t=1,...,dKPのいずれかの整数)と、属性ベクトルv KP:=(vi,i’ KP)(i’=1,...,n KP,n KPは1以上の整数)との肯定形の組(t,v KP)又は否定形の組¬(t,v KP)のいずれかである変数ρKP(i)と、LKP行rKP列(rKPは1以上の整数)の所定の行列MKPとを入力する第1KP情報入力部と、
t=1,...,dCPの少なくとも1つ以上の整数tについて、識別情報tと、属性ベクトルx CP:=(xt,i’ CP)(i’=1,...,n CP,n CPは1以上の整数)とを有する属性集合ΓCPを入力する第1CP情報入力部と、
基底B の基底ベクトルb 0,p(pは所定の値)の係数として値−s KP(s KP:=h→KP・(f→KP,h→KP及びf→KPはrKP個の要素を有するベクトル)を設定し、基底ベクトルb 0,p’(p’は前記pとは異なる所定の値)の係数として乱数δCPを設定し、基底ベクトルb 0,q(qは前記p及び前記p’とは異なる所定の値)の係数として所定の値κを設定して要素k を生成する主復号鍵生成部と、
前記f→KPと、前記第1KP情報入力部が入力した行列MKPに基づき生成される列ベクトル(s→KP:=(s KP,...,s KP:=MKP・(f→KP(i=LKP)と、乱数θ KP(i=1,...,LKP)とに基づき、i=1,...,LKPの各整数iについての要素k KPを生成するKP復号鍵生成部であって、i=1,...,LKPの各整数iについて、変数ρKP(i)が肯定形の組(t,v KP)である場合には、その組の識別情報tが示す基底B KPの基底ベクトルb t,1 KPの係数としてs KP+θ KPi,1 KPを設定するとともに、前記識別情報tとi’=2,...,n KPの各整数i’とが示す基底ベクトルb t,i’ KPの係数としてθ KPi,i’ KPを設定して要素k KPを生成し、変数ρKP(i)が否定形の組¬(t,v KP)である場合には、その組の識別情報tとi’=1,...,n KPの各整数i’とが示す基底ベクトルb t,i’ KPの係数としてs KPi,i’ KPを設定して要素k KPを生成するKP復号鍵生成部と、
前記第1CP情報入力部が入力した属性集合ΓCPに含まれる各識別情報tについての要素k CPを生成するCP復号鍵生成部であって、基底B CPの基底ベクトルb t,i’ CP(i’=1,...,n CP)の係数として前記乱数δCP倍したxt,i’ CPを設定して要素k CPを生成するCP復号鍵生成部と
を備え、
前記暗号化装置は、
t=1,...,dKPの少なくとも1つ以上の整数tについて、識別情報tと、属性ベクトルx KP:=(xt,i’ KP)(i’=1,...,n KP)とを有する属性集合ΓKPを入力する第2KP情報入力部と、
i=1,...,LCP(LCPは1以上の整数)の各整数iについての変数ρCP(i)であって、識別情報t(t=1,...,dCPのいずれかの整数)と、属性ベクトルv CP:=(vi,i’ CP)(i’=1,...,n CP)との肯定形の組(t,v CP)又は否定形の組¬(t,v CP)のいずれかである変数ρCP(i)と、LCP行rCP列(rCPは1以上の整数)の所定の行列MCPとを入力する第2CP情報入力部と、
基底Bの基底ベクトルb0,pの係数として乱数ωKPを設定し、基底ベクトルb0,p’の係数として値−s CP(s CP:=h→CP・(f→CP,h→CP及びf→CPはrCP個の要素を有するベクトル)を設定し、基底ベクトルb0,qの係数として乱数ζを設定して要素cを生成する主暗号化データ生成部と、
前記第2KP情報入力部が入力した属性集合ΓKPに含まれる各識別情報tについての要素c KPを生成するKP暗号化データ生成部であって、基底B KPの基底ベクトルbt,i’ KP(i’=1,...,n)の係数として前記乱数ωKP倍したxt,i’ KPを設定して要素c KPを生成するKP暗号化データ生成部と、
前記f→CPと、前記第2CP情報入力部が入力した行列MCPとに基づき生成される列ベクトル(s→CP:=(s CP,...,s CP:=MCP・(f→CP(i=LCP)と、乱数θ CP(i=1,...,LCP)とに基づき、i=1,...,LCPの各整数iについての要素c CPを生成するCP暗号化データ生成部であって、i=1,...,LCPの各整数iについて、変数ρCP(i)が肯定形の組(t,v CP)である場合には、その組の識別情報tが示す基底B CPの基底ベクトルbt,1 CPの係数としてs CP+θ CPi,1 CPを設定するとともに、前記識別情報tとi’=2,...,n CPの各整数i’とが示す基底ベクトルbt,i’ CPの係数としてθ CPi,i’ CPを設定して要素c CPを生成し、変数ρCP(i)が否定形の組¬(t,v CP)である場合には、その組の識別情報tとi’=1,...,n CPの各整数i’とが示す基底ベクトルbt,i’ CPの係数としてs CPi,i’ CPを設定して要素c CPを生成するCP暗号化データ生成部と
を備え、
前記復号装置は、
前記主暗号化データ生成部が生成した要素cと、前記KP暗号化データ生成部が生成した要素c KPと、前記CP暗号化データ生成部が生成した要素c CPと、前記属性集合ΓKPと、前記変数ρCP(i)とを含む暗号化データct(ΓKP,SCP)を取得するデータ取得部と、
前記主復号鍵生成部が生成した要素k と、前記KP復号鍵生成部が生成した要素k KPと、前記CP復号鍵生成部が生成した要素k CPと、前記変数ρKP(i)と、前記属性集合ΓCPとを含む復号鍵sk(SKP,ΓCP)を取得する復号鍵取得部と、
前記データ取得部が取得した暗号化データct(ΓKP,SCP)に含まれる属性集合ΓKPと、前記復号鍵取得部が取得した復号鍵sk(SKP,ΓCP)に含まれる変数ρKP(i)とに基づき、i=1,...,LKPの各整数iのうち、変数ρKP(i)が肯定形の組(t,v KP)であり、かつ、その組のv KPと、その組の識別情報tが示すΓKPに含まれるx KPとの内積が0となるiと、変数ρKP(i)が否定形の組¬(t,v KP)であり、かつ、その組のv KPと、その組の識別情報tが示すΓKPに含まれるx KPとの内積が0とならないiとの集合IKPを特定するとともに、特定した集合IKPに含まれるiについて、α KP KPを合計した場合に前記h→KPとなる補完係数α KPを計算するKP補完係数計算部と、
前記暗号化データct(ΓKP,SCP)に含まれるi=1,...,LCPの各整数iについての変数ρCP(i)と、前記復号鍵sk(SKP,ΓCP)に含まれる属性集合ΓCPとに基づき、i=1,...,LCPの各整数iのうち、変数ρCP(i)が肯定形の組(t,v CP)であり、かつ、その組のv CPと、その組の識別情報tが示すΓCPに含まれるx CPとの内積が0となるiと、変数ρCP(i)が否定形の組¬(t,v CP)であり、かつ、その組のv CPと、その組の識別情報tが示すΓCPに含まれるx CPとの内積が0とならないiとの集合ICPを特定するとともに、特定した集合ICPに含まれるiについて、α CP CPを合計した場合に前記h→CPとなる補完係数α CPを計算するCP補完係数計算部と、
前記暗号化データct(ΓKP,SCP)に含まれる要素cと要素c KPと要素c CPと、前記復号鍵sk(SKP,ΓCP)に含まれる要素k と要素k KPと要素k CPとについて、前記KP補完係数計算部が特定した集合IKPと、前記KP補完係数計算部が計算した補完係数α KPと、前記CP補完係数計算部が特定した集合ICPと、前記CP補完係数計算部が計算した補完係数α CPとに基づき、数1に示すペアリング演算を行い値Kを計算するペアリング演算部と
を備えることを特徴とする。
Figure 2012133214
この発明に係る暗号処理システムは、復号鍵と暗号文との両方にアクセスストラクチャが埋め込まれており、多機能な暗号機能を実現している。
行列M^の説明図。 行列Mδの説明図。 の説明図。 →Tの説明図。 Unified−Policy関数型暗号方式を実行する暗号処理システム10の構成図。 鍵生成装置100の機能を示す機能ブロック図。 暗号化装置200の機能を示す機能ブロック図。 復号装置300の機能を示す機能ブロック図。 Setupアルゴリズムの処理を示すフローチャート。 KeyGenアルゴリズムの処理を示すフローチャート。 Encアルゴリズムの処理を示すフローチャート。 Decアルゴリズムの処理を示すフローチャート。 鍵生成装置100、暗号化装置200、復号装置300のハードウェア構成の一例を示す図。
以下、図に基づき、発明の実施の形態を説明する。
以下の説明において、処理装置は後述するCPU911等である。記憶装置は後述するROM913、RAM914、磁気ディスク920等である。通信装置は後述する通信ボード915等である。入力装置は後述するキーボード902、通信ボード915等である。つまり、処理装置、記憶装置、通信装置、入力装置はハードウェアである。
以下の説明における記法について説明する。
Aがランダムな変数または分布であるとき、数101は、Aの分布に従いAからyをランダムに選択することを表す。つまり、数101において、yは乱数である。
Figure 2012133214
 Aが集合であるとき、数102は、Aからyを一様に選択することを表す。つまり、数102において、yは一様乱数である。
Figure 2012133214
 数103は、yがzにより定義された集合であること、又はyがzを代入された集合であることを表す。
Figure 2012133214
 aが定数であるとき、数104は、機械(アルゴリズム)Aが入力xに対しaを出力することを表す。
Figure 2012133214
 数105、つまりFは、位数qの有限体を示す。
Figure 2012133214
 ベクトル表記は、有限体Fにおけるベクトル表示を表す。つまり、数106である。
Figure 2012133214
 数107は、数108に示す2つのベクトルxとvとの数109に示す内積を表す。
Figure 2012133214
Figure 2012133214
Figure 2012133214
は、行列Xの転置行列を表す。
数110に示す基底Bと基底Bとに対して、数111である。
Figure 2012133214
Figure 2012133214
 t,j KP,e t,j CPは、それぞれ数112に示す正規基底ベクトルを示す。
Figure 2012133214
また、以下の説明において、F ntCPにおけるntCPはn CPのことである。
同様に、復号鍵sk(SKP,ΓCP)におけるSKPはSKPのことであり、ΓCPはΓCPのことである。暗号化データct(ΓKP,SCP)におけるΓKPはΓKPのことであり、SCPはSCPのことである。
同様に、paramV0におけるV0はVのことである。paramVtKPにおけるVtKPはV KPのことである。paramVtCPにおけるVtCPはV CPのことである。
同様に、“δi,j”が上付きで示されている場合、このδi,jは、δi,jを意味する。
また、ベクトルを意味する“→”が下付き文字又は上付き文字に付されている場合、この“→”は下付き文字又は上付き文字に上付きで付されていることを意味する。
また、以下の説明において、暗号処理とは、鍵生成処理、暗号化処理、復号処理を含むものである。
実施の形態1.
この実施の形態では、「関数型暗号(Functional Encryption)方式」を実現する基礎となる概念と、関数型暗号の構成について説明する。
第1に、関数型暗号について簡単に説明する。
第2に、関数型暗号を実現するための空間である「双対ペアリングベクトル空間(Dual Pairing Vector Spaces,DPVS)」という豊かな数学的構造を有する空間を説明する。
第3に、関数型暗号を実現するための概念を説明する。ここでは、「スパンプログラム(Span Program)」、「属性ベクトルの内積とアクセスストラクチャ」、「秘密分散方式(秘密共有方式)」について説明する。
第4に、この実施の形態に係る「関数型暗号方式」を説明する。この実施の形態では、「Unified−Policy関数型暗号(Unified−Policy Functional Encryption,UP−FE)方式」について説明する。そこで、まず、「Unified−Policy関数型暗号方式」の基本構成について説明する。次に、この「Unified−Policy関数型暗号方式」を実現する「暗号処理システム10」の基本構成について説明する。そして、この実施の形態に係る「Unified−Policy関数型暗号方式」及び「暗号処理システム10」について詳細に説明する。
<第1.関数型暗号方式>
関数型暗号方式は、暗号化鍵(encryption−key,ek)と、復号鍵(decryption−key,dk)との間の関係をより高度化し、より柔軟にした暗号方式である。
関数型暗号方式において、暗号化鍵と復号鍵とは、それぞれ、属性xと属性vとが設定されている。そして、関係Rに対してR(x,v)が成立する場合に限り、復号鍵dk:=(dk,v)は暗号化鍵ek:=(ek,x)で暗号化された暗号文を復号することができる。
関数型暗号方式には、データベースのアクセスコントロール、メールサービス、コンテンツ配布等の様々なアプリケーションが存在する(非特許文献2,7,9,16,19,25−28,30参照)。
Rが等号関係である場合、つまり、x=vである場合に限りR(x,v)が成立する場合、関数型暗号方式はIDベース暗号方式である。
IDベース暗号方式よりも一般化された関数型暗号方式として、属性ベース暗号方式がある。
属性ベース暗号方式では、暗号化鍵と復号鍵とに設定される属性が属性の組である。例えば、暗号化鍵と復号鍵とに設定される属性が、それぞれ、X:=(x,...,x)と、V:=(v,...,v)とである。
そして、属性のコンポーネントについて、コンポーネント毎の等号関係(例えば、{x=v}t∈{1,...,d})がアクセスストラクチャSに入力される。そして、アクセスストラクチャSが入力を受理した場合にのみ、R(X,V)が成立する。つまり、暗号化鍵で暗号化された暗号文を復号鍵で復号することができる。
アクセスストラクチャSが復号鍵dkに埋め込まれている場合、属性ベース暗号(ABE)方式は、Key−Policy ABE(KP−ABE)と呼ばれる。一方、アクセスストラクチャSが暗号文に埋め込まれている場合、属性ベース暗号(ABE)方式は、Ciphertext−Policy ABE(CP−ABE)と呼ばれる。そして、アクセスストラクチャSが復号鍵dkと暗号文との両方に埋め込まれている場合、属性ベース暗号(ABE)方式は、Unified−Policy ABE(UP−ABE)と呼ばれる。
非特許文献19に記載された内積述語暗号(Inner−Product Encryption,IPE)も関数型暗号の1つのクラスである。ここでは、暗号化鍵と復号鍵とに設定される属性がぞれぞれ体又は環上のベクトルである。例えば、x:=(x,...,x)∈F とv:=(v,...,v)∈F とがそれぞれ暗号化鍵と復号鍵とに設定される。そして、x・v=0である場合に限り、R(x,v)が成立する。
<第2.双対ペアリングベクトル空間>
まず、対称双線形ペアリング群(Symmetric Bilinear Pairing Groups)について説明する。
対称双線形ペアリング群(q,G,G,g,e)は、素数qと、位数qの巡回加法群Gと、位数qの巡回乗法群Gと、g≠0∈Gと、多項式時間で計算可能な非退化双線形ペアリング(Nondegenerate Bilinear Pairing)e:G×G→Gとの組である。非退化双線形ペアリングは、e(sg,tg)=e(g,g)stであり、e(g,g)≠1である。
以下の説明において、数113を、1λを入力として、セキュリティパラメータをλとする双線形ペアリング群のパラメータparam:=(q,G,G,g,e)の値を出力するアルゴリズムとする。
Figure 2012133214
次に、双対ペアリングベクトル空間について説明する。
双対ペアリングベクトル空間(q,V,G,A,e)は、対称双線形ペアリング群(param:=(q,G,G,g,e))の直積によって構成することができる。双対ペアリングベクトル空間(q,V,G,A,e)は、素数q、数114に示すF上のN次元ベクトル空間V、位数qの巡回群G、空間Vの標準基底A:=(a,...,a)の組であり、以下の演算(1)(2)を有する。ここで、aは、数115に示す通りである。
Figure 2012133214
Figure 2012133214
演算(1):非退化双線形ペアリング
空間Vにおけるペアリングは、数116によって定義される。
Figure 2012133214
 これは、非退化双線形である。つまり、e(sx,ty)=e(x,y)stであり、全てのy∈Vに対して、e(x,y)=1の場合、x=0である。また、全てのiとjとに対して、e(a,a)=e(g,g)δi,jである。ここで、i=jであれば、δi,j=1であり、i≠jであれば、δi,j=0である。また、e(g,g)≠1∈Gである。
演算(2):ディストーション写像
数117に示す空間Vにおける線形変換φi,jは、数118を行うことができる。
Figure 2012133214
Figure 2012133214
 ここで、線形変換φi,jをディストーション写像と呼ぶ。
以下の説明において、数119を、1λ(λ∈自然数)、N∈自然数、双線形ペアリング群のパラメータparam:=(q,G,G,g,e)の値を入力として、セキュリティパラメータがλであり、N次元の空間Vとする双対ペアリングベクトル空間のパラメータparam:=(q,V,G,A,e)の値を出力するアルゴリズムとする。
Figure 2012133214
なお、ここでは、上述した対称双線形ペアリング群により、双対ペアリングベクトル空間を構成した場合について説明する。なお、非対称双線形ペアリング群により双対ペアリングベクトル空間を構成することも可能である。以下の説明を、非対称双線形ペアリング群により双対ペアリングベクトル空間を構成した場合に応用することは容易である。
<第3.関数型暗号を実現するための概念>
<第3−1.スパンプログラム>
図1は、行列M^の説明図である。
{p,...,p}を変数の集合とする。M^:=(M,ρ)は、ラベル付けされた行列である。ここで、行列Mは、F上の(L行×r列)の行列である。また、ρは、行列Mの各列に付されたラベルであり、{p,...,p,¬p,...,¬p}のいずれか1つのリテラルへ対応付けられる。なお、Mの全ての行に付されたラベルρi(i=1,...,L)がいずれか1つのリテラルへ対応付けられる。つまり、ρ:{1,...,L}→{p,...,p,¬p,...,¬p}である。
全ての入力列δ∈{0,1}に対して、行列Mの部分行列Mδは定義される。行列Mδは、入力列δによってラベルρに値“1”が対応付けられた行列Mの行から構成される部分行列である。つまり、行列Mδは、δ=1であるようなpに対応付けられた行列Mの行と、δ=0であるような¬pに対応付けられた行列Mの行とからなる部分行列である。
図2は、行列Mδの説明図である。なお、図2では、n=7,L=6,r=5としている。つまり、変数の集合は、{p,...,p}であり、行列Mは(6行×5列)の行列である。また、図2において、ラベルρは、ρが¬pに、ρがpに、ρがpに、ρが¬pに、ρが¬pに、ρがpにそれぞれ対応付けられているとする。
ここで、入力列δ∈{0,1}が、δ=1,δ=0,δ=1,δ=0,δ=0,δ=1,δ=1であるとする。この場合、破線で囲んだリテラル(p,p,p,p,¬p,¬p,¬p)に対応付けられている行列Mの行からなる部分行列が行列Mδである。つまり、行列Mの1行目(M),2行目(M),4行目(M)からなる部分行列が行列Mδである。
言い替えると、写像γ:{1,...,L}→{0,1}が、[ρ(j)=p]∧[δ=1]又は[ρ(j)=¬p]∧[δ=0]である場合、γ(j)=1であり、他の場合、γ(j)=0であるとする。この場合に、Mδ:=(Mγ(j)=1である。ここで、Mは、行列Mのj番目の行である。
つまり、図2では、写像γ(j)=1(j=1,2,4)であり、写像γ(j)=0(j=3,5,6)である。したがって、(Mγ(j)=1は、M,M,Mであり、行列Mδである。
すなわち、写像γ(j)の値が“0”であるか“1”であるかによって、行列Mのj番目の行が行列Mδに含まれるか否かが決定される。
∈span<Mδ>である場合に限り、スパンプログラムM^は入力列δを受理し、他の場合には入力列δを拒絶する。つまり、入力列δによって行列M^から得られる行列Mδの行を線形結合して1が得られる場合に限り、スパンプログラムM^は入力列δを受理する。なお、1とは、各要素が値“1”である行ベクトルである。
例えば、図2の例であれば、行列Mの1,2,4行目からなる行列Mδの各行を線形結合して1が得られる場合に限り、スパンプログラムM^は入力列δを受理する。つまり、α(M)+α(M)+α(M)=1となるα,α,αが存在する場合には、スパンプログラムM^は入力列δを受理する。
ここで、ラベルρが正のリテラル{p,...,p}にのみ対応付けられている場合、スパンプログラムはモノトーンと呼ばれる。一方、ラベルρがリテラル{p,...,p,¬p,...,¬p}に対応付けられている場合、スパンプログラムはノンモノトーンと呼ばれる。ここでは、スパンプログラムはノンモノトーンとする。そして、ノンモノトーンスパンプログラムを用いて、アクセスストラクチャ(ノンモノトーンアクセスストラクチャ)を構成する。アクセスストラクチャとは、簡単に言うと暗号へのアクセス制御を行うものである。つまり、暗号文を復号できるか否かの制御を行うものである。
詳しくは後述するが、スパンプログラムがモノトーンではなく、ノンモノトーンであることにより、スパンプログラムを利用して構成する関数型暗号方式の利用範囲が広がる。
<第3−2.属性ベクトルの内積とアクセスストラクチャ>
ここでは、属性ベクトルの内積を用いて上述した写像γ(j)を計算する。つまり、属性ベクトルの内積を用いて、行列Mのどの行を行列Mδに含めるかを決定する。
(t=1,...,dでありU⊂{0,1})は、部分全集合(sub−universe)であり、属性の集合である。そして、Uは、それぞれ部分全集合の識別情報(t)と、n次元ベクトル(v)とを含む。つまり、Uは、(t,v)である。ここで、t∈{1,...,d}であり、v∈F ntである。
:=(t,v)をスパンプログラムM^:=(M,ρ)における変数pとする。つまり、p:=(t,v)である。そして、変数(p:=(t,v),(t’,v’),...)としたスパンプログラムM^:=(M,ρ)をアクセスストラクチャSとする。
つまり、アクセスストラクチャS:=(M,ρ)であり、ρ:{1,...,L}→{(t,v),(t’,v’),...,¬(t,v),¬(t’,v’),...}である。
次に、Γを属性の集合とする。つまり、Γ:={(t,x )|x ∈Fqnt,1≦t≦d}である。
アクセスストラクチャSにΓが与えられた場合、スパンプログラムM^:=(M,ρ)に対する写像γ:{1,...,L}→{0,1}は、以下のように定義される。i=1,...,Lの各整数iについて、[ρ(i)=(t,v )]∧[(t,x )∈Γ]∧[v ・x =0]、又は、[ρ(i)=¬(t,v )]∧[(t,x )∈Γ]∧[v ・x ≠0]である場合、γ(j)=1であり、他の場合、γ(j)=0とする。
つまり、属性ベクトルvとxとの内積に基づき、写像γが計算される。そして、上述したように、写像γにより、行列Mのどの行を行列Mδに含めるかが決定される。すなわち、属性ベクトルvとxとの内積により、行列Mのどの行を行列Mδに含めるかが決定され、1∈span<(Mγ(i)=1>である場合に限り、アクセスストラクチャS:=(M,ρ)はΓを受理する。
<第3−3.秘密分散方式>
アクセスストラクチャS:=(M,ρ)に対する秘密分散方式について説明する。
なお、秘密分散方式とは、秘密情報を分散させ、意味のない分散情報にすることである。例えば、秘密情報sを10個に分散させ、10個の分散情報を生成する。ここで、10個の分散情報それぞれは、秘密情報sの情報を有していない。したがって、ある1個の分散情報を手に入れても秘密情報sに関して何ら情報を得ることはできない。一方、10個の分散情報を全て手に入れれば、秘密情報sを復元できる。
また、10個の分散情報を全て手に入れなくても、一部だけ(例えば、8個)手に入れれば秘密情報sを復元できる秘密分散方式もある。このように、10個の分散情報のうち8個で秘密情報sを復元できる場合を、8−out−of−10と呼ぶ。つまり、n個の分散情報のうちt個で秘密情報sを復元できる場合を、t−out−of−nと呼ぶ。このtを閾値と呼ぶ。
また、d,...,d10の10個の分散情報を生成した場合に、d,...,dまでの8個の分散情報であれば秘密情報sを復元できるが、d,...,d10までの8個の分散情報であれば秘密情報sを復元できないというような秘密分散方式もある。つまり、手に入れた分散情報の数だけでなく、分散情報の組合せに応じて秘密情報sを復元できるか否かを制御する秘密分散方式もある。
図3は、sの説明図である。図4は、s→Tの説明図である。
行列Mを(L行×r列)の行列とする。f→Tを数120に示す列ベクトルとする。
Figure 2012133214
 数121に示すsを共有される秘密情報とする。
Figure 2012133214
 また、数122に示すs→TをsのL個の分散情報のベクトルとする。
Figure 2012133214
 そして、分散情報sをρ(i)に属するものとする。
アクセスストラクチャS:=(M,ρ)がΓを受理する場合、つまりγ:{1,...,L}→{0,1}について1∈span<(Mγ(i)=1>である場合、I⊆{i∈{1,...,L}|γ(i)-=1}である定数{α∈F|i∈I}が存在する。
これは、図2の例で、α(M)+α(M)+α(M)=1となるα,α,αが存在する場合には、スパンプログラムM^は入力列δを受理すると説明したことからも明らかである。つまり、α(M)+α(M)+α(M)=1となるα,α,αが存在する場合には、スパンプログラムM^が入力列δを受理するのであれば、α(M)+α(M)+α(M)=1となるα,α,αが存在する。
そして、数123である。
Figure 2012133214
 なお、定数{α}は、行列Mのサイズにおける多項式時間で計算可能である。
この実施の形態及び以下の実施の形態に係る関数型暗号方式は、上述したように、スパンプログラムに内積述語と秘密分散方式とを適用してアクセスストラクチャを構成する。そのため、スパンプログラムにおける行列Mや、内積述語における属性情報x及び属性情報v(述語情報)を設計するにより、アクセス制御を自由に設計することができる。つまり、非常に高い自由度でアクセス制御の設計を行うことができる。なお、行列Mの設計は、秘密分散方式の閾値等の条件設計に相当する。
例えば、上述した属性ベース暗号方式は、この実施の形態及び以下の実施の形態に係る関数型暗号方式におけるアクセスストラクチャにおいて、内積述語の設計をある条件に限定した場合に相当する。つまり、この実施の形態及び以下の実施の形態に係る関数型暗号方式におけるアクセスストラクチャに比べ、属性ベース暗号方式におけるアクセスストラクチャは、内積述語における属性情報x及び属性情報v(述語情報)を設計の自由度がない分、アクセス制御の設計の自由度が低い。なお、具体的には、属性ベース暗号方式は、属性情報{x t∈{1,...,d}と{v t∈{1,...,d}とを、等号関係に対する2次元ベクトル、例えばx :=(1,x)とv :=(v,−1)とに限定した場合に相当する。
また、上述した内積述語暗号方式は、この実施の形態及び以下の実施の形態に係る関数型暗号方式におけるアクセスストラクチャにおいて、スパンプログラムにおける行列Mの設計をある条件に限定した場合に相当する。つまり、この実施の形態及び以下の実施の形態に係る関数型暗号方式におけるアクセスストラクチャに比べ、内積述語暗号方式におけるアクセスストラクチャは、スパンプログラムにおける行列Mの設計の自由度がない分、アクセス制御の設計の自由度が低い。なお、具体的には、内積述語暗号方式は、秘密分散方式を1−out−of−1(あるいは、d−out−of−d)に限定した場合である。
特に、この実施の形態及び以下の実施の形態に係る関数型暗号方式におけるアクセスストラクチャは、ノンモノトーンスパンプログラムを用いたノンモノトーンアクセスストラクチャを構成する。そのため、アクセス制御の設計の自由度がより高くなる。
具体的には、ノンモノトーンスパンプログラムには、否定形のリテラル(¬p)を含むため、否定形の条件を設定できる。例えば、第1会社には、A部とB部とC部とD部との4つの部署があったとする。ここで、第1会社のB部以外の部署の属するユーザにのみアクセス可能(復号可能)というアクセス制御をしたいとする。この場合に、否定形の条件の設定ができないとすると、「第1会社のA部とC部とD部とのいずれかに属すること」という条件を設定する必要がある。一方、否定形の条件の設定ができるとすると、「第1会社の社員であって、B部以外に属すること」という条件を設定することができる。つまり、否定形の条件が設定できることで、自然な条件設定が可能となる。なお、ここでは部署の数が少ないが、部署の数が多い場合等は非常に有効であることが分かる。
<第4.関数型暗号方式の基本構成>
<第4−1.Unified−Policy関数型暗号方式の基本構成>
Unified−Policy関数型暗号方式の構成を簡単に説明する。なお、Unified−Policyとは、復号鍵及び暗号文にPolicyが埋め込まれること、つまりアクセスストラクチャが埋め込まれることを意味する。
Unified−Policy関数型暗号方式は、Setup、KeyGen、Enc、Decの4つのアルゴリズムを備える。
(Setup)
Setupアルゴリズムは、セキュリティパラメータλと、属性のフォーマットn:=((dKP;n KP,u KP,w KP,z KP(t=1,...,dKP)),(dCP;n CP,u CP,w CP,z CP(t=1,...,dCP)))とが入力され、公開パラメータpkと、マスター鍵skとを出力する確率的アルゴリズムである。
(KeyGen)
KeyGenアルゴリズムは、アクセスストラクチャSKP:=(MKP,ρKP)と、属性の集合であるΓCP:={(t,x CP)|x CP∈F ntCP\{0},1≦t≦dCP}と、公開パラメータpkと、マスター鍵skとを入力として、復号鍵sk(SKP,ΓCP)を出力する確率的アルゴリズムである。
(Enc)
Encアルゴリズムは、メッセージmと、属性の集合であるΓKP:={(t,x KP)|x KP∈F ntKP\{0},1≦t≦dKP}と、アクセスストラクチャSCP:=(MCP,ρCP)と、公開パラメータpkとを入力として、暗号化データct(ΓKP,SCP)を出力する確率的アルゴリズムである。
(Dec)
Decアルゴリズムは、属性の集合及びアクセスストラクチャ(ΓKP,SCP)の下で暗号化された暗号化データct(ΓKP,SCP)と、アクセスストラクチャ及び属性の集合(SKP,ΓCP)に対する復号鍵sk(SKP,ΓCP)と、公開パラメータpkとを入力として、メッセージm(平文情報)、又は、識別情報⊥を出力するアルゴリズムである。
Unified−Policy関数型暗号方式は、数124に示す全ての公開パラメータpk及びマスター鍵skと、全てのアクセスストラクチャSKPと、全ての属性の集合ΓCPと、数125に示す全ての復号鍵sk(SKP,ΓCP)と、全てのメッセージmと、全ての属性の集合ΓKPと、全てのアクセスストラクチャSCPと、数126に示す全ての暗号化データct(ΓKP,SCP)とに対して、アクセスストラクチャSKPが属性の集合ΓKPを受理し、かつ、アクセスストラクチャSCPが属性の集合ΓCPを受理する場合、圧倒的な確率でm=Dec(pk,sk(SKP,ΓCP),ct(ΓKP,SCP))である。つまり、公開パラメータpkと、復号鍵sk(SKP,ΓCP)と、暗号化データct(ΓKP,SCP)とを入力としてDecアルゴリズムを実行することで、メッセージmを得ることができる。
Figure 2012133214
Figure 2012133214
Figure 2012133214
<第4−2.暗号処理システム10>
上述したUnified−Policy関数型暗号方式のアルゴリズムを実行する暗号処理システム10について説明する。
図5は、Unified−Policy関数型暗号方式を実行する暗号処理システム10の構成図である。
暗号処理システム10は、鍵生成装置100、暗号化装置200、復号装置300を備える。
鍵生成装置100は、セキュリティパラメータλと、属性のフォーマットn:=((dKP;n KP,u KP,w KP,z KP(t=1,...,dKP)),(dCP;n CP,u CP,w CP,z CP(t=1,...,dCP)))とを入力としてSetupアルゴリズムを実行して、公開パラメータpkとマスター鍵skとを生成する。そして、鍵生成装置100は、生成した公開パラメータpkを公開する。また、鍵生成装置100は、アクセスストラクチャSKPと、属性の集合ΓCPと、公開パラメータpkと、マスター鍵skとを入力としてKeyGenアルゴリズムを実行して、復号鍵sk(SKP,ΓCP)を生成して復号装置300へ秘密裡に配布する。
暗号化装置200は、メッセージmと、属性の集合ΓKPと、アクセスストラクチャSCPと、公開パラメータpkとを入力としてEncアルゴリズムを実行して、暗号化データct(ΓKP,SCP)を生成する。暗号化装置200は、生成した暗号化データct(ΓKP,SCP)を復号装置300へ送信する。
復号装置300は、公開パラメータpkと、復号鍵sk(SKP,ΓCP)と、暗号化データct(ΓKP,SCP)とを入力としてDecアルゴリズムを実行して、メッセージm又は識別情報⊥を出力する。
<第4−3.Unified−Policy関数型暗号方式及び暗号処理システム10の詳細>
図6から図12に基づき、Unified−Policy関数型暗号方式、及び、Unified−Policy関数型暗号方式を実行する暗号処理システム10の機能と動作とについて説明する。
図6は、鍵生成装置100の機能を示す機能ブロック図である。図7は、暗号化装置200の機能を示す機能ブロック図である。図8は、復号装置300の機能を示す機能ブロック図である。
図9と図10とは、鍵生成装置100の動作を示すフローチャートである。なお、図9はSetupアルゴリズムの処理を示すフローチャートであり、図10はKeyGenアルゴリズムの処理を示すフローチャートである。図11は、暗号化装置200の動作を示すフローチャートであり、Encアルゴリズムの処理を示すフローチャートである。図12は、復号装置300の動作を示すフローチャートであり、Decアルゴリズムの処理を示すフローチャートである。
なお、ここでは、xt,1 KP:=1,xt,1 CP:=1に正規化する。なお、xt,1 KP及びxt,1 CPが正規化されていない場合、(1/xt,1 KP)・xt,1 KP、及び、(1/xt,1 CP)・xt,1 CPとして正規化すればよい。この場合、xt,i KP及びxt,i CPは0でないものとする。
鍵生成装置100の機能と動作とについて説明する。
図6に示すように、鍵生成装置100は、マスター鍵生成部110、マスター鍵記憶部120、情報入力部130(第1情報入力部)、復号鍵生成部140、鍵配布部150を備える。
また、情報入力部130は、KP情報入力部131(第1KP情報入力部)、CP情報入力部132(第1CP情報入力部)を備える。また、復号鍵生成部140は、fベクトル生成部141、sベクトル生成部142、乱数生成部143、主復号鍵生成部144、KP復号鍵生成部145、CP復号鍵生成部146を備える。
まず、図9に基づき、Setupアルゴリズムの処理について説明する。
(S101:正規直交基底生成ステップ)
マスター鍵生成部110は、処理装置により、数127を計算して、paramn→と、基底B及び基底B と、t=1,...,dKPの各整数tについて基底B KP及び基底B KPと、t=1,...,dCPの各整数tについて基底B CP及び基底B CPとをランダムに生成する。
Figure 2012133214
つまり、マスター鍵生成部110は以下の処理を実行する。
まず、マスター鍵生成部110は、入力装置により、セキュリティパラメータλ(1λ)と、属性のフォーマットn:=((dKP;n KP,u KP,w KP,z KP(t=1,...,dKP)),(dCP;n CP,u CP,w CP,z CP(t=1,...,dCP)))とを入力する。ここで、dKPは1以上の整数であり、t=1,...,dKPまでの各整数tについてn KP,u KP,w KP,z KPは1以上の整数である。また、dCPは1以上の整数であり、t=1,...,dCPまでの各整数tについてn CP,u CP,w CP,z CPは1以上の整数である。
次に、マスター鍵生成部110は、処理装置により、数128を計算する。
Figure 2012133214
 つまり、マスター鍵生成部110は、セキュリティパラメータλ(1λ)を入力としてアルゴリズムGbpgを実行して、双線形ペアリング群のパラメータparam:=(q,G,G,g,e)の値を生成する。
次に、マスター鍵生成部110は、処理装置により、数129を計算する。
Figure 2012133214
 つまり、マスター鍵生成部110は、乱数ψを生成する。また、マスター鍵生成部110は、Nに2+u+1+w+zを設定し、t=1,...,dKPの各整数tについてN KPにn KP+u KP+w KP+z KPを設定し、t=1,...,dCPの各整数tについてN CPにn CP+u CP+w CP+z CPを設定する。ここで、u,w,zは1以上の整数である。
次に、マスター鍵生成部110は、処理装置により、数130を計算する。
Figure 2012133214
 つまり、マスター鍵生成部110は、入力したセキュリティパラメータλ(1λ)と、設定したNと、生成したparam:=(q,G,G,g,e)の値とを入力としてアルゴリズムGdpvsを実行して、双対ペアリングベクトル空間のパラメータparamV0:=(q,V,G,A,e)の値を生成する。
また、マスター鍵生成部110は、設定したNと、Fとを入力として、線形変換X:=(χ0,i,ji,jをランダムに生成する。なお、GLは、General Linearの略である。つまり、GLは、一般線形群であり、行列式が0でない正方行列の集合であり、乗法に関し群である。また、(χ0,i,ji,jは、行列χ0,i,jの添え字i,jに関する行列という意味であり、ここでは、i,j=1,...,Nである。
また、マスター鍵生成部110は、乱数ψと線形変換Xとに基づき、(ν0,i,ji,j:=ψ・(X −1を生成する。なお、(ν0,i,ji,jも(χ0,i,ji,jと同様に、行列ν0,i,jの添え字i,jに関する行列という意味であり、ここでは、i,j=1,...,Nである。
そして、マスター鍵生成部110は、線形変換Xに基づき、標準基底Aから基底Bを生成する。同様に、マスター鍵生成部110は、(ν0,i,ji,jに基づき、標準基底Aから基底B を生成する。
次に、マスター鍵生成部110は、処理装置により、数131を計算する。
Figure 2012133214
 つまり、マスター鍵生成部110は、t=1,...,dKPの各整数tについて以下の処理を実行する。
マスター鍵生成部110は、入力したセキュリティパラメータλ(1λ)と、設定したN KPと、生成したparam:=(q,G,G,g,e)の値とを入力としてアルゴリズムGdpvsを実行して、双対ペアリングベクトル空間のパラメータparamVtKP:=(q,V KP,G,A KP,e)の値を生成する。
また、マスター鍵生成部110は、設定したN KPと、Fとを入力として、線形変換X KP:=(χ KP ,i,ji,jをランダムに生成する。(χ KP ,i,ji,jは、行列χ KP ,i,jの添え字i,jに関する行列という意味であり、ここでは、i,j=1,...,N KPである。
また、マスター鍵生成部110は、乱数ψと線形変換X KPとに基づき、(ν KP ,i,ji,j:=ψ・((X KP−1を生成する。なお、(ν KP ,i,ji,jも(χ KP ,i,ji,jと同様に、行列ν KP ,i,jの添え字i,jに関する行列という意味であり、ここでは、i,j=1,...,N KPである。
そして、マスター鍵生成部110は、線形変換X KPに基づき、標準基底A KPから基底B KPを生成する。同様に、マスター鍵生成部110は、(ν KP ,i,ji,jに基づき、標準基底A KPから基底B KPを生成する。
次に、マスター鍵生成部110は、処理装置により、数132を計算する。
Figure 2012133214
 つまり、マスター鍵生成部110は、t=1,...,dCPの各整数tについて以下の処理を実行する。
マスター鍵生成部110は、入力したセキュリティパラメータλ(1λ)と、設定したN CPと、生成したparam:=(q,G,G,g,e)の値とを入力としてアルゴリズムGdpvsを実行して、双対ペアリングベクトル空間のパラメータparamVtCP:=(q,V CP,G,A CP,e)の値を生成する。
また、マスター鍵生成部110は、設定したN CPと、Fとを入力として、線形変換X CP:=(χ CP ,i,ji,jをランダムに生成する。(χ CP ,i,ji,jは、行列χ CP ,i,jの添え字i,jに関する行列という意味であり、ここでは、i,j=1,...,N CPである。
また、マスター鍵生成部110は、乱数ψと線形変換X CPとに基づき、(ν CP ,i,ji,j:=ψ・((X CP−1を生成する。なお、(ν CP ,i,ji,jも(χ CP ,i,ji,jと同様に、行列ν CP ,i,jの添え字i,jに関する行列という意味であり、ここでは、i,j=1,...,N CPである。
そして、マスター鍵生成部110は、線形変換X CPに基づき、標準基底A CPから基底B CPを生成する。同様に、マスター鍵生成部110は、(ν CP ,i,ji,jに基づき、標準基底A CPから基底B CPを生成する。
次に、マスター鍵生成部110は、処理装置により、数133を計算する。
Figure 2012133214
 つまり、マスター鍵生成部110は、gにe(g,g)ψを設定する。
また、マスター鍵生成部110は、paramn→にparamV0と、t=1,...,dKPの各整数tについてのparamVtKPと、t=1,...,dCPの各整数tについてのparamVtCPと、gとを設定する。なお、i=1,...,Nの各整数iについて、g=e(b0,i,b 0,i)である。また、t=1,...,dKPとi=1,...,N KPとの各整数t,iについて、g=e(bt,i,b t,i)である。また、t=1,...,dCPとi=1,...,N CPとの各整数t,iについて、g=e(bt,i,b t,i)である。
そして、マスター鍵生成部110は、paramn→と、{B、B }と、t=1,...,dKPの各整数tについての{B KP、B KP}と、t=1,...,dCPの各整数tについての{B CP、B CP}とを得る。
(S102:公開パラメータ生成ステップ)
マスター鍵生成部110は、処理装置により、基底Bの部分基底B^と、t=1,...,dKPの各整数tについて、基底B KPの部分基底B^ KPと、t=1,...,dCPの各整数tについて、基底B CPの部分基底B^ CPとを数134に示すように生成する。
Figure 2012133214
 マスター鍵生成部110は、生成した部分基底B^,部分基底B^ KP,部分基底B^ CPと、(S101)で入力されたセキュリティパラメータλ(1λ)と、(S101)で生成したparamn→とを合わせて、公開パラメータpkとする。
(S103:マスター鍵生成ステップ)
マスター鍵生成部110は、処理装置により、基底B の部分基底B^ と、t=1,...,dKPの各整数tについて、基底B KPの部分基底B^ KPと、t=1,...,dCPの各整数tについて、基底B CPの部分基底B^ CPとを数135に示すように生成する。
Figure 2012133214
 マスター鍵生成部110は、生成した部分基底B^ ,部分基底B^ KP,部分基底B^ CPをマスター鍵skとする。
(S104:マスター鍵記憶ステップ)
マスター鍵記憶部120は、(S102)で生成した公開パラメータpkを記憶装置に記憶する。また、マスター鍵記憶部120は、(S103)で生成したマスター鍵skを記憶装置に記憶する。
つまり、(S101)から(S103)において、鍵生成装置100は数136に示すSetupアルゴリズムを実行して、公開パラメータpkとマスター鍵skとを生成する。そして、(S104)で、鍵生成装置100は生成された公開パラメータpkとマスター鍵skとを記憶装置に記憶する。
なお、公開パラメータは、例えば、ネットワークを介して公開され、暗号化装置200や復号装置300が取得可能な状態にされる。
Figure 2012133214
次に、図10に基づき、KeyGenアルゴリズムの処理について説明する。
(S201:情報入力ステップ)
第1KP情報入力部131は、入力装置により、アクセスストラクチャSKP:=(MKP,ρKP)を入力する。なお、行列MKPは、LKP行×rKP列の行列である。LKP,rKPは、1以上の整数である。
また、第1CP情報入力部132は、入力装置により、属性の集合ΓCP:={(t,x CP:=(xt,i CP(i=1,...,n CP))∈F ntCP\{0})|1≦t≦dCP}を入力する。tは、1以上dCP以下の全ての整数ではなく、1以上dCP以下の少なくとも一部の整数であってもよい。
なお、アクセスストラクチャSKPの行列MKPの設定については、実現したいシステムの条件に応じて設定されるものである。また、アクセスストラクチャSKPのρKPや属性の集合ΓCPは、例えば、復号鍵sk(SKP,ΓCP)の使用者の属性情報が設定されている。
(S202:fベクトル生成ステップ)
fベクトル生成部141は、処理装置により、rKP個の要素を有するベクトルf→KPを数137に示すようにランダムに生成する。
Figure 2012133214
(S203:sベクトル生成ステップ)
sベクトル生成部142は、処理装置により、(S201)で入力したアクセスストラクチャSKPに含まれる(LKP行×rKP列)の行列MKPと、(S202)で生成したrKP個の要素を有するベクトルf→KPとに基づき、ベクトル(s→KPを数138に示すように生成する。
Figure 2012133214
 また、sベクトル生成部142は、処理装置により、(S202)で生成したベクトルf→KPに基づき、値s KPを数139に示すように生成する。なお、1は、全ての要素が値1のベクトルである。
Figure 2012133214
(S204:乱数生成ステップ)
乱数生成部143は、処理装置により、乱数δCPと、ΓCPに含まれる(t,x CP)の各整数tについて乱数η CPと、乱数η とを数140に示すように生成する。
Figure 2012133214
(S205:主復号鍵生成ステップ)
主復号鍵生成部144は、処理装置により、復号鍵sk(SKP,ΓCP)の要素である主復号鍵k を数141に示すように生成する。
Figure 2012133214
 なお、上述したように、数110に示す基底Bと基底Bとに対して、数111である。したがって、数141は、以下のように、基底B の基底ベクトルの係数が設定されることを意味する。ここでは、表記を簡略化して、基底ベクトルb 0,iのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルb 0,1を意味する。また、基底ベクトル1,...,3であれば、基底ベクトルb 0,1,...,b 0,3を意味する。
基底B の基底ベクトル1の係数として−s KPが設定される。基底ベクトル2の係数として乱数δCPが設定される。基底ベクトル2+1,...,2+uの係数として0が設定される。基底ベクトル2+u+1の係数として1が設定される。基底ベクトル2+u+1+1,...,2+u+1+wの係数として乱数η0,1,...,η0,w0(ここで、w0はwのことである)が設定される。基底ベクトル2+u+1+w+1,...,2+u+1+w+zの係数として0が設定される。
(S206:KP復号鍵生成ステップ)
KP復号鍵生成部145は、処理装置により、i=1,...,LKPの各整数iについて、復号鍵sk(SKP,ΓCP)の要素であるKP復号鍵k KPを数142に示すように生成する。
Figure 2012133214
 つまり、数142は、数141と同様に、以下のように、基底B KPの基底ベクトルの係数が設定されることを意味する。なお、ここでは、表記を簡略化して、基底ベクトルb t,i KPのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルb t,1 KPを意味する。また、基底ベクトル1,...,3であれば、基底ベクトルb t,1 KP,...,b t,3 KPを意味する。
ρKP(i)が肯定形の組(t,v KP)である場合には、基底ベクトル1の係数としてs KP+θ KPi,1 KPが設定される。なお、上述したように、e t,j KPは、数112に示す正規基底ベクトルを示す。また、基底ベクトル2,...,n KPの係数としてθ KPi,2 KP,...,θ KPi,ntKP KP(ここで、ntKPはn KPのことである)が設定される。基底ベクトルn KP+1,...,n KP+u KPの係数として0が設定される。基底ベクトルn KP+u KP+1,...,n KP+u KP+w KPの係数としてηi,1 KP,...,ηi,wtKP KP(ここで、wtKPはw KPのことである)が設定される。基底ベクトルn KP+u KP+w KP+1,...,n KP+u KP+w KP+z KPの係数として0が設定される。
一方、ρKP(i)が否定形の組¬(t,v KP)である場合には、基底ベクトル1,...,n KPの係数としてs KPi,1 KP,...,s KPi,ntKP KP(ここで、ntKPはn KPのことである)が設定される。基底ベクトルn KP+1,...,n KP+u KPの係数として0が設定される。基底ベクトルn KP+u KP+1,...,n KP+u KP+w KPの係数としてηi,1 KP,...,ηi,wtKP KP(ここで、wtKPはw KPのことである)が設定される。基底ベクトルn KP+u KP+w KP+1,...,n KP+u KP+w KP+z KPの係数として0が設定される。
なお、θ KP及びη KPは乱数生成部143によって生成される乱数である。
(S207:CP復号鍵生成ステップ)
CP復号鍵生成部146は、処理装置により、ΓCPに含まれる(t,x CP)の各整数tについて、復号鍵sk(SKP,ΓCP)の要素であるCP復号鍵k CPを数143に示すように生成する。
Figure 2012133214
 つまり、数143は、数141と同様に、以下のように、基底B CPの基底ベクトルの係数が設定されることを意味する。なお、ここでは、表記を簡略化して、基底ベクトルb t,i CPのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルb t,1 CPを意味する。また、基底ベクトル1,...,3であれば、基底ベクトルb t,1 CP,...,b t,3 CPを意味する。
基底ベクトル1,...,n CPの係数としてδCPt,1 CP,...,δCPt,ntCP CP(ここで、ntCPはn CPのことである)が設定される。基底ベクトルn CP+1,...,n CP+u CPの係数として0が設定される。基底ベクトルn CP+u CP+1,...,n CP+u CP+w CPの係数としてηt,1 CP,...,ηt,wtCP CP(ここで、wtCPはw CPのことである)が設定される。基底ベクトルn CP+u CP+w CP+1,...,n CP+u CP+w CP+z CPの係数として0が設定される。
(S208:鍵配布ステップ)
鍵配布部150は、主復号鍵k と、アクセスストラクチャSKP及びKP復号鍵k KP(i=1,...,LKP)と、属性の集合ΓCP及びCP復号鍵k CP(tは属性の集合ΓCPに含まれる(t,x CP)におけるt)とを要素とする復号鍵sk(SKP,ΓCP)を、例えば通信装置によりネットワークを介して秘密裡に復号装置300へ配布する。もちろん、復号鍵sk(SKP,ΓCP)は、他の方法により復号装置300へ配布されてもよい。
つまり、(S201)から(S207)において、鍵生成装置100は数144に示すKeyGenアルゴリズムを実行して、復号鍵sk(SKP,ΓCP)を生成する。そして、(S208)で、鍵生成装置100は生成された復号鍵sk(SKP,ΓCP)を復号装置300へ配布する。
Figure 2012133214
暗号化装置200の機能と動作とについて説明する。
図7に示すように、暗号化装置200は、公開パラメータ取得部210、情報入力部220(第2情報入力部)、暗号化データ生成部230、データ送信部240(データ出力部)を備える。
また、情報入力部220は、KP情報入力部221(第2KP情報入力部)、CP情報入力部222(第2CP情報入力部)、メッセージ入力部223を備える。また、暗号化データ生成部230は、fベクトル生成部231、sベクトル生成部232、乱数生成部233、主暗号化データ生成部234、KP暗号化データ生成部235、CP暗号化データ生成部236、メッセージ暗号化データ生成部237を備える。
図11に基づき、Encアルゴリズムの処理について説明する。
(S301:公開パラメータ取得ステップ)
公開パラメータ取得部210は、例えば、通信装置によりネットワークを介して、鍵生成装置100が生成した公開パラメータpkを取得する。
(S302:情報入力ステップ)
KP情報入力部221は、入力装置により、属性の集合ΓKP:={(t,x KP:=(xt,i KP(i=1,...,n KP))∈F ntKP\{0})|1≦t≦dKP}を入力する。tは、1以上dKP以下の全ての整数ではなく、1以上dKP以下の少なくとも一部の整数であってもよい。
また、CP情報入力部222は、入力装置により、アクセスストラクチャSCP:=(MCP,ρCP)を入力する。なお、行列MCPは、LCP行×rCP列の行列である。LCP,rCPは、1以上の整数である。
また、メッセージ入力部は、入力装置により、復号装置300へ送信するメッセージmを入力する。
なお、アクセスストラクチャSCPの行列MCPの設定については、実現したいシステムの条件に応じて設定されるものである。アクセスストラクチャSCPのρCPや属性の集合ΓKPは、例えば、復号可能なユーザの属性情報が設定されている。
(S303:乱数生成ステップ)
乱数生成部233は、処理装置により、乱数ωKPと、乱数φ と、ΓKPに含まれる(t,x KP)の各整数tについてφ KPと、乱数ζとを数145に示すように生成する。
Figure 2012133214
(S304:fベクトル生成ステップ)
fベクトル生成部231は、処理装置により、rCP個の要素を有するベクトルf→CPを数146に示すようにランダムに生成する。
Figure 2012133214
(S305:sベクトル生成ステップ)
sベクトル生成部232は、処理装置により、(S302)で入力したアクセスストラクチャSCPに含まれる(LCP行×rCP列)の行列MCPと、(S304)で生成したrCP個の要素を有するベクトルf→CPとに基づき、ベクトル(s→CPを数147に示すように生成する。
Figure 2012133214
 また、sベクトル生成部142は、処理装置により、(S304)で生成したベクトルf→CPに基づき、値s CPを数148に示すように生成する。なお、1は、全ての要素が値1のベクトルである。
Figure 2012133214
(S306:主暗号化データ生成ステップ)
主暗号化データ生成部234は、処理装置により、暗号化データct(ΓKP,SCP)の要素である主暗号化データcを数149に示すように生成する。
Figure 2012133214
 なお、上述したように、数110に示す基底Bと基底Bとに対して、数111である。したがって、数149は、以下のように、基底Bの基底ベクトルの係数が設定されることを意味する。ここでは、表記を簡略化して、基底ベクトルb0,iのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルb0,1を意味する。また、基底ベクトル1,...,3であれば、基底ベクトルb0,1,...,b0,3を意味する。
基底Bの基底ベクトル1の係数として乱数ωKPが設定される。基底ベクトル2の係数として−s CPが設定される。基底ベクトル2+1,...,2+uの係数として0が設定される。基底ベクトル2+u+1の係数として乱数ζが設定される。基底ベクトル2+u+1+1,...,2+u+1+wの係数として0が設定される。基底ベクトル2+u+1+w+1,...,2+u+1+w+zの係数として乱数φ0,1,...,φ0,z0(ここで、z0はzのことである)が設定される。
(S307:KP暗号化データ生成ステップ)
KP暗号化データ生成部235は、処理装置により、ΓKPに含まれる(t,x KP)の各整数tについて、暗号化データct(ΓKP,SCP)の要素であるKP暗号化データc KPを数150に示すように生成する。
Figure 2012133214
 つまり、数150は、数149と同様に、以下のように、基底B KPの基底ベクトルの係数が設定されることを意味する。なお、ここでは、表記を簡略化して、基底ベクトルbt,i KPのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルbt,1 KPを意味する。また、基底ベクトル1,...,3であれば、基底ベクトルbt,1 KP,...,bt,3 KPを意味する。
基底ベクトル1,...,n KPの係数としてωKPt,1 KP,...,ωKPt,ntKP KP(ここで、ntKPはn KPのことである)が設定される。基底ベクトルn KP+1,...,n KP+u KP+w KPの係数として0が設定される。基底ベクトルn KP+u KP+w KP+1,...,n KP+u KP+w KP+z KPの係数としてφt,1 KP,...,φt,ztKP KP(ここで、ztCPはz CPのことである)が設定される。
(S308:CP暗号化データ生成ステップ)
CP暗号化データ生成部236は、処理装置により、i=1,...,LCPの各整数iについて、暗号化データct(ΓKP,SCP)の要素であるCP暗号化データc CPを数151に示すように生成する。
Figure 2012133214
 つまり、数151は、数150と同様に、以下のように、基底B CPの基底ベクトルの係数が設定されることを意味する。なお、ここでは、表記を簡略化して、基底ベクトルbt,i CPのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルbt,1 CPを意味する。また、基底ベクトル1,...,3であれば、基底ベクトルbt,1 CP,...,bt,3 CPを意味する。
ρCP(i)が肯定形の組(t,v CP)である場合には、基底ベクトル1の係数としてs CP+θ CPi,1 CPが設定される。なお、上述したように、e t,j CPは、数112に示す正規基底ベクトルを示す。また、基底ベクトル2,...,n CPの係数としてθ CPi,2 CP,...,θ CPi,ntCP CP(ここで、ntCPはn CPのことである)が設定される。基底ベクトルn CP+1,...,n CP+u CP+w CPの係数として0が設定される。基底ベクトルn CP+u CP+w CP+1,...,n CP+u CP+w CP+z CPの係数としてφi,1 CP,...,φi,ztCP CP(ここで、ztCPはz CPのことである)が設定される。
一方、ρCP(i)が否定形の組¬(t,v CP)である場合には、基底ベクトル1,...,n CPの係数としてs CPi,1 CP,...,s CPi,ntCP CP(ここで、ntCPはn CPのことである)が設定される。基底ベクトルn CP+1,...,n CP+u CP+w CPの係数として0が設定される。基底ベクトルn CP+u CP+w CP+1,...,n CP+u CP+w CP+z CPの係数としてφi,1 CP,...,φi,ztCP CP(ここで、ztCPはz CPのことである)が設定される。
なお、θ CP及びφ CPは乱数生成部233によって生成される乱数である。
(S309:メッセージ暗号化データ生成ステップ)
メッセージ暗号化データ生成部237は、処理装置により、暗号化データct(ΓKP,SCP)の要素であるメッセージ暗号化データcd+1を数152に示すように生成する。
Figure 2012133214
 なお、上述したように、数153である。
Figure 2012133214
(S310:データ送信ステップ)
データ送信部240は、主暗号化データcと、属性の集合ΓKP及びKP暗号化データc KPと、アクセスストラクチャSCP及びCP暗号化データc CPと、メッセージ暗号化データcd+1とを要素とする暗号化データct(ΓKP,SCP)を、例えば通信装置によりネットワークを介して復号装置300へ送信する。もちろん、暗号化データct(ΓKP,SCP)は、他の方法により復号装置300へ送信されてもよい。
つまり、(S301)から(S309)において、暗号化装置200は、数154に示すEncアルゴリズムを実行して、暗号化データct(ΓKP,SCP)を生成する。そして、(S310)で、暗号化装置200は、生成された暗号化データct(ΓKP,SCP)を復号装置300へ送信する。
Figure 2012133214
復号装置300の機能と動作とについて説明する。
図8に示すように、復号装置300は、復号鍵取得部310、データ受信部320(データ取得部)、スパンプログラム計算部330、補完係数計算部340、ペアリング演算部350、メッセージ計算部360を備える。
また、スパンプログラム計算部330は、KPスパンプログラム計算部331、CPスパンプログラム計算部332を備える。また、補完係数計算部340は、KP補完係数計算部341、CP補完係数計算部342を備える。
図12に基づき、Decアルゴリズムの処理について説明する。
(S401:復号鍵取得ステップ)
復号鍵取得部310は、例えば、通信装置によりネットワークを介して、鍵生成装置100から配布された復号鍵sk(SKP,ΓCP)を取得する。また、復号鍵取得部310は、鍵生成装置100が生成した公開パラメータpkを取得する。
(S402:データ受信ステップ)
データ受信部320は、例えば、通信装置によりネットワークを介して、暗号化装置200が送信した暗号化データct(ΓKP,SCP)を受信する。
(S403:スパンプログラム計算ステップ)
KPスパンプログラム計算部331は、処理装置により、(S401)で取得した復号鍵sk(SKP,ΓCP)に含まれるアクセスストラクチャSKPが、(S402)で受信した暗号化データct(ΓKP,SCP)に含まれる属性の集合ΓKPを受理するか否かを判定する。
また、CPスパンプログラム計算部332は、処理装置により、(S402)で受信した暗号化データct(ΓKP,SCP)に含まれるアクセスストラクチャSCPが、(S401)で取得した復号鍵sk(SKP,ΓCP)に含まれる属性の集合ΓCPを受理するか否かを判定する。
なお、アクセスストラクチャが属性の集合を受理するか否かの判定方法は、「第3.関数型暗号を実現するための概念」で説明した通りである。
スパンプログラム計算部330は、アクセスストラクチャSKPが属性の集合ΓKPを受理し、かつ、アクセスストラクチャSCPが属性の集合ΓCPを受理する場合(S403で受理)、処理を(S404)へ進める。一方、アクセスストラクチャSKPが属性の集合ΓKPを拒絶する場合と、アクセスストラクチャSCPが属性の集合ΓCPを拒絶する場合との少なくともいずれかの場合(S403で拒絶)、暗号化データct(ΓKP,SCP)を復号鍵sk(SKP,ΓCP)で復号できないとして、識別情報⊥を出力して、処理を終了する。
(S404:補完係数計算ステップ)
KP補完係数計算部341は、処理装置により、数155となるIKPと、IKPに含まれる各整数iについて定数(補完係数)α KPとを計算する。
Figure 2012133214
 また、CP補完係数計算部342は、処理装置により、数156となるICPと、ICPに含まれる各整数iについて定数(補完係数)α CPとを計算する。
Figure 2012133214
(S405:ペアリング演算ステップ)
ペアリング演算部350は、処理装置により、数157を計算して、セッション鍵K=g ζを生成する。
Figure 2012133214
 なお、数158に示すように、数157を計算することにより鍵K=g ζが得られる。
Figure 2012133214
(S406:メッセージ計算ステップ)
メッセージ計算部360は、処理装置により、m’=cd+1/Kを計算して、メッセージm’(=m)を生成する。なお、メッセージ暗号化データcd+1は数152に示す通りg ζmであり、Kはg ζであるから、m’=cd+1/Kを計算すればメッセージmが得られる。
つまり、(S401)から(S406)において、復号装置300は、数159に示すDecアルゴリズムを実行して、メッセージm’(=m)を生成する。
Figure 2012133214
以上のように、暗号処理システム10は、スパンプログラムと内積述語と秘密分散とを用いて構成したアクセスストラクチャSKP及びSCPを用いて、暗号方式(関数型暗号方式)を実現する。したがって、暗号処理システム10は、非常に高い自由度でアクセス制御の設計を行うことが可能な暗号方式を実現する。
特に、暗号処理システム10は、アクセスストラクチャSKPを復号鍵に持たせ、アクセスストラクチャSCPを暗号化データに持たせている。したがって、暗号処理システム10は、復号鍵と暗号化データとの両方でアクセスコントロールを行うことができる。
なお、上記説明において、u、w、z(t=0,...,d+1)の次元は、安全性を高めるために設けた次元である。したがって、安全性が低くなってしまうが、u、w、z(t=0,...,d+1)をそれぞれ0として、u、w、z(t=0,...,d+1)の次元を設けなくてもよい。
また、上記説明では、(S101)でNに2+u+1+w+zを設定した。しかし、2+u+1+w+zを2+2+1+2+1として、Nに8を設定してもよい。
また、上記説明では、(S101)でN KPにn KP+u KP+w KP+z KPを設定した。しかし、n KP+u KP+w KP+z KPをn KP+n KP+n KP+1として、N KPに3n KP+1を設定してもよい。
同様に、(S101)でN CPにn CP+u CP+w CP+z CPを設定した。しかし、n CP+u CP+w CP+z CPをn CP+n CP+n CP+1として、N CPに3n CP+1を設定してもよい。
この場合、数136に示すSetupアルゴリズムは、数160のように書き換えられる。なお、Gob UPは数161のように書き換えられる。
Figure 2012133214
Figure 2012133214
 また、数144に示すKeyGenアルゴリズムは、数162のように書き換えられる。
Figure 2012133214
 また、数154に示すEncアルゴリズムは、数163のように書き換えられる。
Figure 2012133214
 なお、数159に示すDecアルゴリズムには変更はない。
また、上記説明では、(S101)でNに8を設定した。しかし、Nは8ではなく、3以上の整数であればよい。Nが3であると、基底Bと基底B とが2次元になる。Nが3の場合、KeyGenアルゴリズムにおいて、k :=(−s KP,δCP,1))B*0とし、Encアルゴリズムにおいて、c:=(ωKP,−s CP,ζ)B0とすればよい。ここで、B*0はB のことであり、B0はBのことである。
また、上記説明では、KeyGenアルゴリズムにおいて、k :=(−s,δCP,0,0,1,η0,1,η0,2,0)B*0とした。しかし、暗号化装置200が知りえる所定の値κを用いて、k :=(−s,δCP,0,0,κ,η0,1,η0,2,0)B*0としてもよい。ここで、B*0はB のことであり、B0はBのことである。この場合、Decアルゴリズムで計算されるK:=gζκ となるため、Encアルゴリズムにおいて、cd+1:=gζκ mとすればよい。
また、上記説明では、vi,ntCP CP(ここでntCPはn CPのことである)の値について特に限定しなかった。しかし、安全性の証明の観点から、vi,ntCP CP:=1である限定としてもよい。
また、安全性の証明の観点から、i=1,...,LKPの各整数iについてのρKP(i)は、それぞれ異なる識別情報tについての肯定形の組(t,v KP)又は否定形の組¬(t,v KP)であると限定してもよい。
言い替えると、ρKP(i)=(t,v KP)又はρKP(i)=¬(t,v KP)である場合に、関数ρ〜KPを、ρ〜KP(i)=tである{1,...,L}→{1,..,dKP}の写像であるとする。この場合、ρ〜KPが単射であると限定してもよい。なお、ρKP(i)は、上述したアクセスストラクチャSKP:=(MKP,ρKP(i))のρKP(i)である。
同様に、i=1,...,LCPの各整数iについてのρCP(i)は、それぞれ異なる識別情報tについての肯定形の組(t,v CP)又は否定形の組¬(t,v CP)であると限定してもよい。
言い替えると、ρCP(i)=(t,v CP)又はρCP(i)=¬(t,v CP)である場合に、関数ρ〜CPを、ρ〜CP(i)=tである{1,...,L}→{1,..,dCP}の写像であるとする。この場合、ρ〜CPが単射であると限定してもよい。なお、ρCP(i)は、上述したアクセスストラクチャSCP:=(MCP,ρCP(i))のρCP(i)である。
また、Setupアルゴリズムは、暗号処理システム10のセットアップ時に一度実行すればよく、復号鍵を生成する度に実行する必要はない。また、上記説明では、SetupアルゴリズムとKeyGenアルゴリズムとを鍵生成装置100が実行するとしたが、SetupアルゴリズムとKeyGenアルゴリズムとをそれぞれ異なる装置が実行するとしてもよい。
また、上記説明では、スパンプログラムM^は、入力列δによって行列M^から得られる行列Mδの行を線形結合して1が得られる場合に限り、入力列δを受理するとした。しかし、スパンプログラムM^は、1ではなく、他のベクトルhが得られる場合に限り、入力列δを受理するとしてもよい。
この場合、KeyGenアルゴリズムにおいて、s KP:=1・(f→KPではなく、s:=h→KP・(f→KPとすればよい。同様に、Encアルゴリズムにおいて、s CP:=1・(f→CPではなく、s:=h→CP・(f→CPとすればよい。
実施の形態2.
以上の実施の形態では、双対ベクトル空間において暗号処理を実現する方法について説明した。この実施の形態では、双対加群において暗号処理を実現する方法について説明する。
つまり、以上の実施の形態では、素数位数qの巡回群において暗号処理を実現した。しかし、合成数Mを用いて数164のように環Rを表した場合、環Rを係数とする加群においても、上記実施の形態で説明した暗号処理を適用することができる。
Figure 2012133214
例えば、実施の形態1で説明したUnified−Policy関数型暗号を、環Rを係数とする加群において実現すると数165から数169のようになる。
Figure 2012133214
Figure 2012133214
Figure 2012133214
Figure 2012133214
Figure 2012133214
また、上記説明における暗号処理は、権限の委譲を行うことも可能である。権限の委譲とは、復号鍵を有する者がその復号鍵よりも権限の弱い下位の復号鍵を生成することである。ここで、権限が弱いとは、復号できる暗号化データが限定されるという意味である。
例えば、第1階層目(最上位)においては、t=1の基底Bと基底B とを用い、第2階層目においては、t=1,2の基底Bと基底B とを用い、・・・、第k階層目においては、t−1,...,kの基底Bと基底B とを用いる。用いる基底Bと基底B とが増える分、属性情報が多く設定されることになる。したがって、より復号鍵の権限が限定されることになる。
次に、実施の形態における暗号処理システム10(鍵生成装置100、暗号化装置200、復号装置300)のハードウェア構成について説明する。
図13は、鍵生成装置100、暗号化装置200、復号装置300のハードウェア構成の一例を示す図である。
図13に示すように、鍵生成装置100、暗号化装置200、復号装置300は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、LCD901(Liquid Crystal Display)、キーボード902(K/B)、通信ボード915、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920(固定ディスク装置)の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。磁気ディスク装置920は、所定の固定ディスクインタフェースを介して接続される。
ROM913、磁気ディスク装置920は、不揮発性メモリの一例である。RAM914は、揮発性メモリの一例である。ROM913とRAM914と磁気ディスク装置920とは、記憶装置(メモリ)の一例である。また、キーボード902、通信ボード915は、入力装置の一例である。また、通信ボード915は、通信装置の一例である。さらに、LCD901は、表示装置の一例である。
磁気ディスク装置920又はROM913などには、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
プログラム群923には、上記の説明において「マスター鍵生成部110」、「情報入力部130」、「復号鍵生成部140」、「鍵配布部150」、「公開パラメータ取得部210」、「情報入力部220」、「暗号化データ生成部230」、「データ送信部240」、「復号鍵取得部310」、「データ受信部320」、「スパンプログラム計算部330」、「補完係数計算部340」、「ペアリング演算部350」、「メッセージ計算部360」等として説明した機能を実行するソフトウェアやプログラムやその他のプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、上記の説明において「公開パラメータpk」、「マスター鍵sk」、「暗号化データct(ΓKP,SCP)」、「復号鍵sk(SKP,ΓCP)」、「アクセスストラクチャSKP,SCP」、「属性の集合ΓKP,ΓCP」、「メッセージm」等の情報やデータや信号値や変数値やパラメータが、「ファイル」や「データベース」の各項目として記憶される。「ファイル」や「データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPU911の動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPU911の動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、上記の説明におけるフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、その他光ディスク等の記録媒体やICチップに記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体や電波によりオンライン伝送される。
また、上記の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「〜手段」、「〜機能」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。また、「〜装置」として説明するものは、「〜回路」、「〜機器」、「〜手段」、「〜機能」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。さらに、「〜処理」として説明するものは「〜ステップ」であっても構わない。すなわち、「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、ROM913等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、上記で述べた「〜部」としてコンピュータ等を機能させるものである。あるいは、上記で述べた「〜部」の手順や方法をコンピュータ等に実行させるものである。
10 暗号処理システム、100 鍵生成装置、110 マスター鍵生成部、120 マスター鍵記憶部、130 情報入力部、131 KP情報入力部、132 CP情報入力部、140 復号鍵生成部、141 fベクトル生成部、142 sベクトル生成部、143 乱数生成部、144 主復号鍵生成部、145 KP復号鍵生成部、146 CP復号鍵生成部、150 鍵配布部、200 暗号化装置、210 公開パラメータ取得部、220 情報入力部、221 KP情報入力部、222 CP情報入力部、223 メッセージ入力部、230 暗号化データ生成部、231 fベクトル生成部、232 sベクトル生成部、233 乱数生成部、234 主暗号化データ生成部、235 KP暗号化データ生成部、236 CP暗号化データ生成部、237 メッセージ暗号化データ生成部、240 データ送信部、300 復号装置、310 復号鍵取得部、320 データ受信部、330 スパンプログラム計算部、331 KPスパンプログラム計算部、332 CPスパンプログラム計算部、340 補完係数計算部、341 KP補完係数計算部、342 CP補完係数計算部、350 ペアリング演算部、360 メッセージ計算部。

Claims (8)

  1. 鍵生成装置と暗号化装置と復号装置とを備え、基底B及び基底B と、t=1,...,dKP(dKPは1以上の整数)の各整数tについての基底B KP及び基底B KPと、t=1,...,dCP(dCPは1以上の整数)の各整数tについての基底B CP及び基底B CPとを用いて暗号処理を実行する暗号処理システムであり、
    前記鍵生成装置は、
    i=1,...,LKP(LKPは1以上の整数)の各整数iについての変数ρKP(i)であって、識別情報t(t=1,...,dKPのいずれかの整数)と、属性ベクトルv KP:=(vi,i’ KP)(i’=1,...,n KP,n KPは1以上の整数)との肯定形の組(t,v KP)又は否定形の組¬(t,v KP)のいずれかである変数ρKP(i)と、LKP行rKP列(rKPは1以上の整数)の所定の行列MKPとを入力する第1KP情報入力部と、
    t=1,...,dCPの少なくとも1つ以上の整数tについて、識別情報tと、属性ベクトルx CP:=(xt,i’ CP)(i’=1,...,n CP,n CPは1以上の整数)とを有する属性集合ΓCPを入力する第1CP情報入力部と、
    基底B の基底ベクトルb 0,p(pは所定の値)の係数として値−s KP(s KP:=h→KP・(f→KP,h→KP及びf→KPはrKP個の要素を有するベクトル)を設定し、基底ベクトルb 0,p’(p’は前記pとは異なる所定の値)の係数として乱数δCPを設定し、基底ベクトルb 0,q(qは前記p及び前記p’とは異なる所定の値)の係数として所定の値κを設定して要素k を生成する主復号鍵生成部と、
    前記f→KPと、前記第1KP情報入力部が入力した行列MKPに基づき生成される列ベクトル(s→KP:=(s KP,...,s KP:=MKP・(f→KP(i=LKP)と、乱数θ KP(i=1,...,LKP)とに基づき、i=1,...,LKPの各整数iについての要素k KPを生成するKP復号鍵生成部であって、i=1,...,LKPの各整数iについて、変数ρKP(i)が肯定形の組(t,v KP)である場合には、その組の識別情報tが示す基底B KPの基底ベクトルb t,1 KPの係数としてs KP+θ KPi,1 KPを設定するとともに、前記識別情報tとi’=2,...,n KPの各整数i’とが示す基底ベクトルb t,i’ KPの係数としてθ KPi,i’ KPを設定して要素k KPを生成し、変数ρKP(i)が否定形の組¬(t,v KP)である場合には、その組の識別情報tとi’=1,...,n KPの各整数i’とが示す基底ベクトルb t,i’ KPの係数としてs KPi,i’ KPを設定して要素k KPを生成するKP復号鍵生成部と、
    前記第1CP情報入力部が入力した属性集合ΓCPに含まれる各識別情報tについての要素k CPを生成するCP復号鍵生成部であって、基底B CPの基底ベクトルb t,i’ CP(i’=1,...,n CP)の係数として前記乱数δCP倍したxt,i’ CPを設定して要素k CPを生成するCP復号鍵生成部と
    を備え、
    前記暗号化装置は、
    t=1,...,dKPの少なくとも1つ以上の整数tについて、識別情報tと、属性ベクトルx KP:=(xt,i’ KP)(i’=1,...,n KP)とを有する属性集合ΓKPを入力する第2KP情報入力部と、
    i=1,...,LCP(LCPは1以上の整数)の各整数iについての変数ρCP(i)であって、識別情報t(t=1,...,dCPのいずれかの整数)と、属性ベクトルv CP:=(vi,i’ CP)(i’=1,...,n CP)との肯定形の組(t,v CP)又は否定形の組¬(t,v CP)のいずれかである変数ρCP(i)と、LCP行rCP列(rCPは1以上の整数)の所定の行列MCPとを入力する第2CP情報入力部と、
    基底Bの基底ベクトルb0,pの係数として乱数ωKPを設定し、基底ベクトルb0,p’の係数として値−s CP(s CP:=h→CP・(f→CP,h→CP及びf→CPはrCP個の要素を有するベクトル)を設定し、基底ベクトルb0,qの係数として乱数ζを設定して要素cを生成する主暗号化データ生成部と、
    前記第2KP情報入力部が入力した属性集合ΓKPに含まれる各識別情報tについての要素c KPを生成するKP暗号化データ生成部であって、基底B KPの基底ベクトルbt,i’ KP(i’=1,...,n)の係数として前記乱数ωKP倍したxt,i’ KPを設定して要素c KPを生成するKP暗号化データ生成部と、
    前記f→CPと、前記第2CP情報入力部が入力した行列MCPとに基づき生成される列ベクトル(s→CP:=(s CP,...,s CP:=MCP・(f→CP(i=LCP)と、乱数θ CP(i=1,...,LCP)とに基づき、i=1,...,LCPの各整数iについての要素c CPを生成するCP暗号化データ生成部であって、i=1,...,LCPの各整数iについて、変数ρCP(i)が肯定形の組(t,v CP)である場合には、その組の識別情報tが示す基底B CPの基底ベクトルbt,1 CPの係数としてs CP+θ CPi,1 CPを設定するとともに、前記識別情報tとi’=2,...,n CPの各整数i’とが示す基底ベクトルbt,i’ CPの係数としてθ CPi,i’ CPを設定して要素c CPを生成し、変数ρCP(i)が否定形の組¬(t,v CP)である場合には、その組の識別情報tとi’=1,...,n CPの各整数i’とが示す基底ベクトルbt,i’ CPの係数としてs CPi,i’ CPを設定して要素c CPを生成するCP暗号化データ生成部と
    を備え、
    前記復号装置は、
    前記主暗号化データ生成部が生成した要素cと、前記KP暗号化データ生成部が生成した要素c KPと、前記CP暗号化データ生成部が生成した要素c CPと、前記属性集合ΓKPと、前記変数ρCP(i)とを含む暗号化データct(ΓKP,SCP)を取得するデータ取得部と、
    前記主復号鍵生成部が生成した要素k と、前記KP復号鍵生成部が生成した要素k KPと、前記CP復号鍵生成部が生成した要素k CPと、前記変数ρKP(i)と、前記属性集合ΓCPとを含む復号鍵sk(SKP,ΓCP)を取得する復号鍵取得部と、
    前記データ取得部が取得した暗号化データct(ΓKP,SCP)に含まれる属性集合ΓKPと、前記復号鍵取得部が取得した復号鍵sk(SKP,ΓCP)に含まれる変数ρKP(i)とに基づき、i=1,...,LKPの各整数iのうち、変数ρKP(i)が肯定形の組(t,v KP)であり、かつ、その組のv KPと、その組の識別情報tが示すΓKPに含まれるx KPとの内積が0となるiと、変数ρKP(i)が否定形の組¬(t,v KP)であり、かつ、その組のv KPと、その組の識別情報tが示すΓKPに含まれるx KPとの内積が0とならないiとの集合IKPを特定するとともに、特定した集合IKPに含まれるiについて、α KP KPを合計した場合に前記h→KPとなる補完係数α KPを計算するKP補完係数計算部と、
    前記暗号化データct(ΓKP,SCP)に含まれるi=1,...,LCPの各整数iについての変数ρCP(i)と、前記復号鍵sk(SKP,ΓCP)に含まれる属性集合ΓCPとに基づき、i=1,...,LCPの各整数iのうち、変数ρCP(i)が肯定形の組(t,v CP)であり、かつ、その組のv CPと、その組の識別情報tが示すΓCPに含まれるx CPとの内積が0となるiと、変数ρCP(i)が否定形の組¬(t,v CP)であり、かつ、その組のv CPと、その組の識別情報tが示すΓCPに含まれるx CPとの内積が0とならないiとの集合ICPを特定するとともに、特定した集合ICPに含まれるiについて、α CP CPを合計した場合に前記h→CPとなる補完係数α CPを計算するCP補完係数計算部と、
    前記暗号化データct(ΓKP,SCP)に含まれる要素cと要素c KPと要素c CPと、前記復号鍵sk(SKP,ΓCP)に含まれる要素k と要素k KPと要素k CPとについて、前記KP補完係数計算部が特定した集合IKPと、前記KP補完係数計算部が計算した補完係数α KPと、前記CP補完係数計算部が特定した集合ICPと、前記CP補完係数計算部が計算した補完係数α CPとに基づき、数1に示すペアリング演算を行い値Kを計算するペアリング演算部と
    を備えることを特徴とする暗号処理システム。
    Figure 2012133214
  2. 前記暗号処理システムは、
    少なくとも基底ベクトルb0,i(i=1,2,...,2+u,2+u+1,...,2+u+1+w,...,2+u+1+z)を有する基底Bと、
    少なくとも基底ベクトルb 0,i(i=1,2,...,2+u,2+u+1,...,2+u+1+w,...,2+u+1+z)を有する基底B と、
    少なくとも基底ベクトルbt,i KP(i=1,...,n KP,...,n KP+u KP,...,n KP+u KP+w KP,...,n KP+u KP+w KP+z KP)(u KP,w KP,z KPは1以上の整数、)を有する基底B KP(t=1,...,d)と、
    少なくとも基底ベクトルb t,i KP(i=1,...,n KP,...,n KP+u KP,...,n KP+u KP+w KP,...,n KP+u KP+w KP+z KP)を有する基底B KP(t=1,...,dKP)と、
    少なくとも基底ベクトルbt,i CP(i=1,...,n CP,...,n CP+u CP,...,n CP+u CP+w CP,...,n CP+u CP+w CP+z CP)(u CP,w CP,z CPは1以上の整数、)を有する基底B CP(t=1,...,d)と、
    少なくとも基底ベクトルb t,i CP(i=1,...,n CP,...,n CP+u CP,...,n CP+u CP+w CP,...,n CP+u CP+w CP+z CP)を有する基底B CP(t=1,...,dCP)と
    を用いて暗号処理を実行し、
    前記鍵生成装置では、
    前記主復号鍵生成部は、乱数δCP,η0,i(i=1,...,w)と所定の値κとに基づき数2に示す要素k を生成し、
    前記KP復号鍵生成部は、前記変数ρKP(i)が肯定形の組(t,v KP)である場合には、乱数θ KP,ηi,i’ KP(i=1,...,LKP,i’=1,...,w KP)に基づき数3に示す要素k KPを生成し、変数ρKP(i)が否定形の組¬(t,v KP)である場合には、乱数ηi,i’ KP(i=1,...,LKP,i’=1,...,w KP)に基づき数4に示す要素k KPを生成し、
    前記CP復号鍵生成部は、前記乱数δCPと乱数ηt,i CP(i=1,...,w CP)に基づき数5に示す要素k CPとを生成し、
    前記暗号化装置では、
    前記主暗号化データ生成部は、前記乱数ωKPと乱数ζ,φ0,i(i=1,...,z)とに基づき数6に示す要素cを生成し、
    前記KP暗号化データ生成部は、前記乱数ωKPと乱数φt,i KP(i=1,...,z KP)に基づき数7に示す要素c KPとを生成し、
    前記CP暗号化データ生成部は、前記変数ρCP(i)が肯定形の組(t,v CP)である場合には、乱数θ CP,φi,i’ CP(i=1,...,LCP,i’=1,...,z CP)に基づき数8に示す要素c CPを生成し、変数ρCP(i)が否定形の組¬(t,v CP)である場合には、乱数φi,i’ CP(i=1,...,LCP,i’=1,...,z CP)に基づき数9に示す要素c CPを生成する
    ことを特徴とする請求項1に記載の暗号処理システム。
    Figure 2012133214
    Figure 2012133214
    Figure 2012133214
    Figure 2012133214
    Figure 2012133214
    Figure 2012133214
    Figure 2012133214
    Figure 2012133214
  3. 前記暗号化装置は、さらに、
    所定の値iについてg=e(b0,i,b 0,i)であり、t=1,...,dKPの各整数tと所定の値iとについてg=e(bt,i,b t,i)であり、t=1,...,dCPの各整数tと所定の値iとについてg=e(bt,i,b t,i)である値gを用いて、メッセージmを埋め込んだ要素cd+1=g ζmを生成するメッセージ暗号化データ生成部
    を備え、
    前記復号装置では、
    前記データ取得部は、さらに前記要素cd+1を含む暗号化データct(ΓKP,SCP)を取得し、
    前記復号装置は、さらに、
    前記暗号化データct(ΓKP,SCP)に含まれる前記要素cd+1を、前記ペアリング演算部が計算した値Kで除して、前記メッセージmを計算するメッセージ計算部
    を備えることを特徴とする請求項1又は2に記載の暗号処理システム。
  4. 基底B及び基底B と、t=1,...,dKP(dKPは1以上の整数)の各整数tについての基底B KP及び基底B KPと、t=1,...,dCP(dCPは1以上の整数)の各整数tについての基底B CP及び基底B CPとを用いて暗号処理を実行する暗号処理システムにおいて、復号鍵sk(SKP,ΓCP)を生成する鍵生成装置であり、
    i=1,...,LKP(LKPは1以上の整数)の各整数iについての変数ρKP(i)であって、識別情報t(t=1,...,dKPのいずれかの整数)と、属性ベクトルv KP:=(vi,i’ KP)(i’=1,...,n KP,n KPは1以上の整数)との肯定形の組(t,v KP)又は否定形の組¬(t,v KP)のいずれかである変数ρKP(i)と、LKP行rKP列(rKPは1以上の整数)の所定の行列MKPとを入力する第1KP情報入力部と、
    t=1,...,dCPの少なくとも1つ以上の整数tについて、識別情報tと、属性ベクトルx CP:=(xt,i’ CP)(i’=1,...,n CP,n CPは1以上の整数)とを有する属性集合ΓCPを入力する第1CP情報入力部と、
    基底B の基底ベクトルb 0,p(pは所定の値)の係数として値−s KP(s KP:=h→KP・(f→KP,h→KP及びf→KPはrKP個の要素を有するベクトル)を設定し、基底ベクトルb 0,p’(p’は前記pとは異なる所定の値)の係数として乱数δCPを設定し、基底ベクトルb 0,q(qは前記p及び前記p’とは異なる所定の値)の係数として所定の値κを設定して復号鍵sk(SKP,ΓCP)の要素k を生成する主復号鍵生成部と、
    前記f→KPと、前記第1KP情報入力部が入力した行列MKPに基づき生成される列ベクトル(s→KP:=(s KP,...,s KP:=MKP・(f→KP(i=LKP)と、乱数θ KP(i=1,...,LKP)とに基づき、i=1,...,LKPの各整数iについての要素k KPを生成するKP復号鍵生成部であって、i=1,...,LKPの各整数iについて、変数ρKP(i)が肯定形の組(t,v KP)である場合には、その組の識別情報tが示す基底B KPの基底ベクトルb t,1 KPの係数としてs KP+θ KPi,1 KPを設定するとともに、前記識別情報tとi’=2,...,n KPの各整数i’とが示す基底ベクトルb t,i’ KPの係数としてθ KPi,i’ KPを設定して復号鍵sk(SKP,ΓCP)の要素k KPを生成し、変数ρKP(i)が否定形の組¬(t,v KP)である場合には、その組の識別情報tとi’=1,...,n KPの各整数i’とが示す基底ベクトルb t,i’ KPの係数としてs KPi,i’ KPを設定して復号鍵sk(SKP,ΓCP)の要素k KPを生成するKP復号鍵生成部と、
    前記第1CP情報入力部が入力した属性集合ΓCPに含まれる各識別情報tについての要素k CPを生成するCP復号鍵生成部であって、基底B CPの基底ベクトルb t,i’ CP(i’=1,...,n CP)の係数として前記乱数δCP倍したxt,i’ CPを設定して復号鍵sk(SKP,ΓCP)の要素k CPを生成するCP復号鍵生成部と
    を備えることを特徴とする鍵生成装置。
  5. 基底B及び基底B と、t=1,...,dKP(dKPは1以上の整数)の各整数tについての基底B KP及び基底B KPと、t=1,...,dCP(dCPは1以上の整数)の各整数tについての基底B CP及び基底B CPとを用いて暗号処理を実行する暗号処理システムにおいて、暗号化データct(ΓKP,SCP)を生成する暗号化装置であり、
    t=1,...,dKPの少なくとも1つ以上の整数tについて、識別情報tと、属性ベクトルx KP:=(xt,i’ KP)(i’=1,...,n KP)とを有する属性集合ΓKPを入力する第2KP情報入力部と、
    i=1,...,LCP(LCPは1以上の整数)の各整数iについての変数ρCP(i)であって、識別情報t(t=1,...,dCPのいずれかの整数)と、属性ベクトルv CP:=(vi,i’ CP)(i’=1,...,n CP)との肯定形の組(t,v CP)又は否定形の組¬(t,v CP)のいずれかである変数ρCP(i)と、LCP行rCP列(rCPは1以上の整数)の所定の行列MCPとを入力する第2CP情報入力部と、
    基底Bの基底ベクトルb0,pの係数として乱数ωKPを設定し、基底ベクトルb0,p’の係数として値−s CP(s CP:=h→CP・(f→CP,h→CP及びf→CPはrCP個の要素を有するベクトル)を設定し、基底ベクトルb0,qの係数として乱数ζを設定して暗号化データct(ΓKP,SCP)の要素cを生成する主暗号化データ生成部と、
    前記第2KP情報入力部が入力した属性集合ΓKPに含まれる各識別情報tについての要素c KPを生成するKP暗号化データ生成部であって、基底B KPの基底ベクトルbt,i’ KP(i’=1,...,n)の係数として前記乱数ωKP倍したxt,i’ KPを設定して暗号化データct(ΓKP,SCP)の要素c KPを生成するKP暗号化データ生成部と、
    前記f→CPと、前記第2CP情報入力部が入力した行列MCPとに基づき生成される列ベクトル(s→CP:=(s CP,...,s CP:=MCP・(f→CP(i=LCP)と、乱数θ CP(i=1,...,LCP)とに基づき、i=1,...,LCPの各整数iについての要素c CPを生成するCP暗号化データ生成部であって、i=1,...,LCPの各整数iについて、変数ρCP(i)が肯定形の組(t,v CP)である場合には、その組の識別情報tが示す基底B CPの基底ベクトルbt,1 CPの係数としてs CP+θ CPi,1 CPを設定するとともに、前記識別情報tとi’=2,...,n CPの各整数i’とが示す基底ベクトルbt,i’ CPの係数としてθ CPi,i’ CPを設定して暗号化データct(ΓKP,SCP)の要素c CPを生成し、変数ρCP(i)が否定形の組¬(t,v CP)である場合には、その組の識別情報tとi’=1,...,n CPの各整数i’とが示す基底ベクトルbt,i’ CPの係数としてs CPi,i’ CPを設定して暗号化データct(ΓKP,SCP)の要素c CPを生成するCP暗号化データ生成部と
    を備えることを特徴とする暗号化装置。
  6. 基底B及び基底B と、t=1,...,dKP(dKPは1以上の整数)の各整数tについての基底B KP及び基底B KPと、t=1,...,dCP(dCPは1以上の整数)の各整数tについての基底B CP及び基底B CPとを用いて暗号処理を実行する暗号処理システムにおいて、暗号化データct(ΓKP,SCP)を復号鍵sk(SKP,ΓCP)で復号する復号装置であり、
    t=1,...,dKPの少なくとも1つ以上の整数tについて、識別情報tと、属性ベクトルx KP:=(xt,i’ KP)(i’=1,...,n KP,n KPは1以上の整数)とを有する属性集合ΓKPと、
    i=1,...,LCP(LCPは1以上の整数)の各整数iについての変数ρCP(i)であって、識別情報t(t=1,...,dCPのいずれかの整数)と、属性ベクトルv CP:=(vi,i’ CP)(i’=1,...,n CP,n CPは1以上の整数)との肯定形の組(t,v CP)又は否定形の組¬(t,v CP)のいずれかである変数ρCP(i)と、
    CP行rCP列(rCPは1以上の整数)の所定の行列MCPと、
    基底Bの基底ベクトルb0,pの係数として乱数ωKPが設定され、基底ベクトルb0,p’の係数として値−s CP(s CP:=h→CP・(f→CP,h→CP及びf→CPはrCP個の要素を有するベクトル)が設定され、基底ベクトルb0,qの係数として乱数ζが設定された要素cと、
    前記属性集合ΓKPに含まれる各識別情報tについて、基底B KPの基底ベクトルbt,i’ KP(i’=1,...,n)の係数として前記乱数ωKP倍したxt,i’ KPが設定された要素c KPと、
    前記f→CPと、前記行列MCPとに基づき生成される列ベクトル(s→CP:=(s CP,...,s CP:=MCP・(f→CP(i=LCP)と、乱数θ CP(i=1,...,LCP)とに基づき、i=1,...,LCPの各整数iについて生成された要素c CPであって、i=1,...,LCPの各整数iについて、変数ρCP(i)が肯定形の組(t,v CP)である場合には、その組の識別情報tが示す基底B CPの基底ベクトルbt,1 CPの係数としてs CP+θ CPi,1 CPが設定されるとともに、前記識別情報tとi’=2,...,n CPの各整数i’とが示す基底ベクトルbt,i’ CPの係数としてθ CPi,i’ CPが設定され、変数ρCP(i)が否定形の組¬(t,v CP)である場合には、その組の識別情報tとi’=1,...,n CPの各整数i’とが示す基底ベクトルbt,i’ CPの係数としてs CPi,i’ CPが設定された要素c CP
    を含む暗号化データct(ΓKP,SCP)を取得するデータ取得部と、
    i=1,...,LKP(LKPは1以上の整数)の各整数iについての変数ρKP(i)であって、識別情報t(t=1,...,dKPのいずれかの整数)と、属性ベクトルv KP:=(vi,i’ KP)(i’=1,...,n KP)との肯定形の組(t,v KP)又は否定形の組¬(t,v KP)のいずれかである変数ρKP(i)と、
    KP行rKP列(rKPは1以上の整数)の所定の行列MKPと、
    t=1,...,dCPの少なくとも1つ以上の整数tについて、識別情報tと、属性ベクトルx CP:=(xt,i’ CP)(i’=1,...,n CP)とを有する属性集合ΓCP
    基底B の基底ベクトルb 0,p(pは所定の値)の係数として値−s KP(s KP:=h→KP・(f→KP,h→KP及びf→KPはrKP個の要素を有するベクトル)が設定され、基底ベクトルb 0,p’(p’は前記pとは異なる所定の値)の係数として乱数δCPが設定され、基底ベクトルb 0,q(qは前記p及び前記p’とは異なる所定の値)の係数として所定の値κが設定された要素k と、
    前記f→KPと、前記第1KP情報入力部が入力した行列MKPに基づき生成される列ベクトル(s→KP:=(s KP,...,s KP:=MKP・(f→KP(i=LKP)と、乱数θ KP(i=1,...,LKP)とに基づき、i=1,...,LKPの各整数iについて生成された要素k KPであって、i=1,...,LKPの各整数iについて、変数ρKP(i)が肯定形の組(t,v KP)である場合には、その組の識別情報tが示す基底B KPの基底ベクトルb t,1 KPの係数としてs KP+θ KPi,1 KPが設定されるとともに、前記識別情報tとi’=2,...,n KPの各整数i’とが示す基底ベクトルb t,i’ KPの係数としてθ KPi,i’ KPが設定され、変数ρKP(i)が否定形の組¬(t,v KP)である場合には、その組の識別情報tとi’=1,...,n KPの各整数i’とが示す基底ベクトルb t,i’ KPの係数としてs KPi,i’ KPが設定された要素k KPと、
    前記属性集合ΓCPに含まれる各識別情報tについて、基底B CPの基底ベクトルb t,i’ CP(i’=1,...,n CP)の係数として前記乱数δCP倍したxt,i’ CPが設定された要素k CP
    を含む復号鍵sk(SKP,ΓCP)を取得する復号鍵取得部と、
    前記データ取得部が取得した暗号化データct(ΓKP,SCP)に含まれる属性集合ΓKPと、前記復号鍵取得部が取得した復号鍵sk(SKP,ΓCP)に含まれる変数ρKP(i)とに基づき、i=1,...,LKPの各整数iのうち、変数ρKP(i)が肯定形の組(t,v KP)であり、かつ、その組のv KPと、その組の識別情報tが示すΓKPに含まれるx KPとの内積が0となるiと、変数ρKP(i)が否定形の組¬(t,v KP)であり、かつ、その組のv KPと、その組の識別情報tが示すΓKPに含まれるx KPとの内積が0とならないiとの集合IKPを特定するとともに、特定した集合IKPに含まれるiについて、α KP KPを合計した場合に前記h→KPとなる補完係数α KPを計算するKP補完係数計算部と、
    前記暗号化データct(ΓKP,SCP)に含まれるi=1,...,LCPの各整数iについての変数ρCP(i)と、前記復号鍵sk(SKP,ΓCP)に含まれる属性集合ΓCPとに基づき、i=1,...,LCPの各整数iのうち、変数ρCP(i)が肯定形の組(t,v CP)であり、かつ、その組のv CPと、その組の識別情報tが示すΓCPに含まれるx CPとの内積が0となるiと、変数ρCP(i)が否定形の組¬(t,v CP)であり、かつ、その組のv CPと、その組の識別情報tが示すΓCPに含まれるx CPとの内積が0とならないiとの集合ICPを特定するとともに、特定した集合ICPに含まれるiについて、α CP CPを合計した場合に前記h→CPとなる補完係数α CPを計算するCP補完係数計算部と、
    前記暗号化データct(ΓKP,SCP)に含まれる要素cと要素c KPと要素c CPと、前記復号鍵sk(SKP,ΓCP)に含まれる要素k と要素k KPと要素k CPとについて、前記KP補完係数計算部が特定した集合IKPと、前記KP補完係数計算部が計算した補完係数α KPと、前記CP補完係数計算部が特定した集合ICPと、前記CP補完係数計算部が計算した補完係数α CPとに基づき、数10に示すペアリング演算を行い値Kを計算するペアリング演算部と
    を備えることを特徴とする復号装置。
    Figure 2012133214
  7. 基底B及び基底B と、t=1,...,dKP(dKPは1以上の整数)の各整数tについての基底B KP及び基底B KPと、t=1,...,dCP(dCPは1以上の整数)の各整数tについての基底B CP及び基底B CPとを用いた暗号処理方法であり、
    鍵生成装置が、i=1,...,LKP(LKPは1以上の整数)の各整数iについての変数ρKP(i)であって、識別情報t(t=1,...,dKPのいずれかの整数)と、属性ベクトルv KP:=(vi,i’ KP)(i’=1,...,n KP,n KPは1以上の整数)との肯定形の組(t,v KP)又は否定形の組¬(t,v KP)のいずれかである変数ρKP(i)と、LKP行rKP列(rKPは1以上の整数)の所定の行列MKPとを入力する第1KP情報入力工程と、
    前記鍵生成装置が、t=1,...,dCPの少なくとも1つ以上の整数tについて、識別情報tと、属性ベクトルx CP:=(xt,i’ CP)(i’=1,...,n CP,n CPは1以上の整数)とを有する属性集合ΓCPを入力する第1CP情報入力工程と、
    前記鍵生成装置が、基底B の基底ベクトルb 0,p(pは所定の値)の係数として値−s KP(s KP:=h→KP・(f→KP,h→KP及びf→KPはrKP個の要素を有するベクトル)を設定し、基底ベクトルb 0,p’(p’は前記pとは異なる所定の値)の係数として乱数δCPを設定し、基底ベクトルb 0,q(qは前記p及び前記p’とは異なる所定の値)の係数として所定の値κを設定して要素k を生成する主復号鍵生成工程と、
    前記鍵生成装置が、前記f→KPと、前記第1KP情報入力工程で入力した行列MKPに基づき生成される列ベクトル(s→KP:=(s KP,...,s KP:=MKP・(f→KP(i=LKP)と、乱数θ KP(i=1,...,LKP)とに基づき、i=1,...,LKPの各整数iについての要素k KPを生成するKP復号鍵生成工程であって、i=1,...,LKPの各整数iについて、変数ρKP(i)が肯定形の組(t,v KP)である場合には、その組の識別情報tが示す基底B KPの基底ベクトルb t,1 KPの係数としてs KP+θ KPi,1 KPを設定するとともに、前記識別情報tとi’=2,...,n KPの各整数i’とが示す基底ベクトルb t,i’ KPの係数としてθ KPi,i’ KPを設定して要素k KPを生成し、変数ρKP(i)が否定形の組¬(t,v KP)である場合には、その組の識別情報tとi’=1,...,n KPの各整数i’とが示す基底ベクトルb t,i’ KPの係数としてs KPi,i’ KPを設定して要素k KPを生成するKP復号鍵生成工程と、
    前記鍵生成装置が、前記第1CP情報入力工程で入力した属性集合ΓCPに含まれる各識別情報tについての要素k CPを生成するCP復号鍵生成工程であって、基底B CPの基底ベクトルb t,i’ CP(i’=1,...,n CP)の係数として前記乱数δCP倍したxt,i’ CPを設定して要素k CPを生成するCP復号鍵生成工程と、
    暗号化装置が、t=1,...,dKPの少なくとも1つ以上の整数tについて、識別情報tと、属性ベクトルx KP:=(xt,i’ KP)(i’=1,...,n KP)とを有する属性集合ΓKPを入力する第2KP情報入力工程と、
    前記暗号化装置が、i=1,...,LCP(LCPは1以上の整数)の各整数iについての変数ρCP(i)であって、識別情報t(t=1,...,dCPのいずれかの整数)と、属性ベクトルv CP:=(vi,i’ CP)(i’=1,...,n CP)との肯定形の組(t,v CP)又は否定形の組¬(t,v CP)のいずれかである変数ρCP(i)と、LCP行rCP列(rCPは1以上の整数)の所定の行列MCPとを入力する第2CP情報入力工程と、
    前記暗号化装置が、基底Bの基底ベクトルb0,pの係数として乱数ωKPを設定し、基底ベクトルb0,p’の係数として値−s CP(s CP:=h→CP・(f→CP,h→CP及びf→CPはrCP個の要素を有するベクトル)を設定し、基底ベクトルb0,qの係数として乱数ζを設定して要素cを生成する主暗号化データ生成工程と、
    前記暗号化装置が、前記第2KP情報入力工程で入力した属性集合ΓKPに含まれる各識別情報tについての要素c KPを生成するKP暗号化データ生成工程であって、基底B KPの基底ベクトルbt,i’ KP(i’=1,...,n)の係数として前記乱数ωKP倍したxt,i’ KPを設定して要素c KPを生成するKP暗号化データ生成工程と、
    前記暗号化装置が、前記f→CPと、前記第2CP情報入力工程で入力した行列MCPとに基づき生成される列ベクトル(s→CP:=(s CP,...,s CP:=MCP・(f→CP(i=LCP)と、乱数θ CP(i=1,...,LCP)とに基づき、i=1,...,LCPの各整数iについての要素c CPを生成するCP暗号化データ生成工程であって、i=1,...,LCPの各整数iについて、変数ρCP(i)が肯定形の組(t,v CP)である場合には、その組の識別情報tが示す基底B CPの基底ベクトルbt,1 CPの係数としてs CP+θ CPi,1 CPを設定するとともに、前記識別情報tとi’=2,...,n CPの各整数i’とが示す基底ベクトルbt,i’ CPの係数としてθ CPi,i’ CPを設定して要素c CPを生成し、変数ρCP(i)が否定形の組¬(t,v CP)である場合には、その組の識別情報tとi’=1,...,n CPの各整数i’とが示す基底ベクトルbt,i’ CPの係数としてs CPi,i’ CPを設定して要素c CPを生成するCP暗号化データ生成工程と、
    復号装置が、前記主暗号化データ生成工程で生成した要素cと、前記KP暗号化データ生成工程で生成した要素c KPと、前記CP暗号化データ生成工程で生成した要素c CPと、前記属性集合ΓKPと、前記変数ρCP(i)とを含む暗号化データct(ΓKP,SCP)を取得するデータ取得工程と、
    前記復号装置が、前記主復号鍵生成工程で生成した要素k と、前記KP復号鍵生成工程で生成した要素k KPと、前記CP復号鍵生成工程で生成した要素k CPと、前記変数ρKP(i)と、前記属性集合ΓCPとを含む復号鍵sk(SKP,ΓCP)を取得する復号鍵取得工程と、
    前記復号装置が、前記データ取得工程で取得した暗号化データct(ΓKP,SCP)に含まれる属性集合ΓKPと、前記復号鍵取得工程で取得した復号鍵sk(SKP,ΓCP)に含まれる変数ρKP(i)とに基づき、i=1,...,LKPの各整数iのうち、変数ρKP(i)が肯定形の組(t,v KP)であり、かつ、その組のv KPと、その組の識別情報tが示すΓKPに含まれるx KPとの内積が0となるiと、変数ρKP(i)が否定形の組¬(t,v KP)であり、かつ、その組のv KPと、その組の識別情報tが示すΓKPに含まれるx KPとの内積が0とならないiとの集合IKPを特定するとともに、特定した集合IKPに含まれるiについて、α KP KPを合計した場合に前記h→KPとなる補完係数α KPを計算するKP補完係数計算工程と、
    前記復号装置が、前記暗号化データct(ΓKP,SCP)に含まれるi=1,...,LCPの各整数iについての変数ρCP(i)と、前記復号鍵sk(SKP,ΓCP)に含まれる属性集合ΓCPとに基づき、i=1,...,LCPの各整数iのうち、変数ρCP(i)が肯定形の組(t,v CP)であり、かつ、その組のv CPと、その組の識別情報tが示すΓCPに含まれるx CPとの内積が0となるiと、変数ρCP(i)が否定形の組¬(t,v CP)であり、かつ、その組のv CPと、その組の識別情報tが示すΓCPに含まれるx CPとの内積が0とならないiとの集合ICPを特定するとともに、特定した集合ICPに含まれるiについて、α CP CPを合計した場合に前記h→CPとなる補完係数α CPを計算するCP補完係数計算工程と、
    前記復号装置が、前記暗号化データct(ΓKP,SCP)に含まれる要素cと要素c KPと要素c CPと、前記復号鍵sk(SKP,ΓCP)に含まれる要素k と要素k KPと要素k CPとについて、前記KP補完係数計算工程で特定した集合IKPと、前記KP補完係数計算工程で計算した補完係数α KPと、前記CP補完係数計算工程で特定した集合ICPと、前記CP補完係数計算工程で計算した補完係数α CPとに基づき、数1に示すペアリング演算を行い値Kを計算するペアリング演算工程と
    を備えることを特徴とする暗号処理方法。
    Figure 2012133214
  8. 鍵生成プログラムと暗号化プログラムと復号プログラムとを備え、基底B及び基底B と、t=1,...,dKP(dKPは1以上の整数)の各整数tについての基底B KP及び基底B KPと、t=1,...,dCP(dCPは1以上の整数)の各整数tについての基底B CP及び基底B CPとを用いて暗号処理を実行する暗号処理プログラムであり、
    前記鍵生成プログラムは、
    i=1,...,LKP(LKPは1以上の整数)の各整数iについての変数ρKP(i)であって、識別情報t(t=1,...,dKPのいずれかの整数)と、属性ベクトルv KP:=(vi,i’ KP)(i’=1,...,n KP,n KPは1以上の整数)との肯定形の組(t,v KP)又は否定形の組¬(t,v KP)のいずれかである変数ρKP(i)と、LKP行rKP列(rKPは1以上の整数)の所定の行列MKPとを入力する第1KP情報入力処理と、
    t=1,...,dCPの少なくとも1つ以上の整数tについて、識別情報tと、属性ベクトルx CP:=(xt,i’ CP)(i’=1,...,n CP,n CPは1以上の整数)とを有する属性集合ΓCPを入力する第1CP情報入力処理と、
    基底B の基底ベクトルb 0,p(pは所定の値)の係数として値−s KP(s KP:=h→KP・(f→KP,h→KP及びf→KPはrKP個の要素を有するベクトル)を設定し、基底ベクトルb 0,p’(p’は前記pとは異なる所定の値)の係数として乱数δCPを設定し、基底ベクトルb 0,q(qは前記p及び前記p’とは異なる所定の値)の係数として所定の値κを設定して要素k を生成する主復号鍵生成処理と、
    前記f→KPと、前記第1KP情報入力処理で入力した行列MKPに基づき生成される列ベクトル(s→KP:=(s KP,...,s KP:=MKP・(f→KP(i=LKP)と、乱数θ KP(i=1,...,LKP)とに基づき、i=1,...,LKPの各整数iについての要素k KPを生成するKP復号鍵生成処理であって、i=1,...,LKPの各整数iについて、変数ρKP(i)が肯定形の組(t,v KP)である場合には、その組の識別情報tが示す基底B KPの基底ベクトルb t,1 KPの係数としてs KP+θ KPi,1 KPを設定するとともに、前記識別情報tとi’=2,...,n KPの各整数i’とが示す基底ベクトルb t,i’ KPの係数としてθ KPi,i’ KPを設定して要素k KPを生成し、変数ρKP(i)が否定形の組¬(t,v KP)である場合には、その組の識別情報tとi’=1,...,n KPの各整数i’とが示す基底ベクトルb t,i’ KPの係数としてs KPi,i’ KPを設定して要素k KPを生成するKP復号鍵生成処理と、
    前記第1CP情報入力処理で入力した属性集合ΓCPに含まれる各識別情報tについての要素k CPを生成するCP復号鍵生成処理であって、基底B CPの基底ベクトルb t,i’ CP(i’=1,...,n CP)の係数として前記乱数δCP倍したxt,i’ CPを設定して要素k CPを生成するCP復号鍵生成処理と
    をコンピュータに実行させ、
    前記暗号化プログラムは、
    t=1,...,dKPの少なくとも1つ以上の整数tについて、識別情報tと、属性ベクトルx KP:=(xt,i’ KP)(i’=1,...,n KP)とを有する属性集合ΓKPを入力する第2KP情報入力処理と、
    i=1,...,LCP(LCPは1以上の整数)の各整数iについての変数ρCP(i)であって、識別情報t(t=1,...,dCPのいずれかの整数)と、属性ベクトルv CP:=(vi,i’ CP)(i’=1,...,n CP)との肯定形の組(t,v CP)又は否定形の組¬(t,v CP)のいずれかである変数ρCP(i)と、LCP行rCP列(rCPは1以上の整数)の所定の行列MCPとを入力する第2CP情報入力処理と、
    基底Bの基底ベクトルb0,pの係数として乱数ωKPを設定し、基底ベクトルb0,p’の係数として値−s CP(s CP:=h→CP・(f→CP,h→CP及びf→CPはrCP個の要素を有するベクトル)を設定し、基底ベクトルb0,qの係数として乱数ζを設定して要素cを生成する主暗号化データ生成処理と、
    前記第2KP情報入力処理で入力した属性集合ΓKPに含まれる各識別情報tについての要素c KPを生成するKP暗号化データ生成処理であって、基底B KPの基底ベクトルbt,i’ KP(i’=1,...,n)の係数として前記乱数ωKP倍したxt,i’ KPを設定して要素c KPを生成するKP暗号化データ生成処理と、
    前記f→CPと、前記第2CP情報入力処理で入力した行列MCPとに基づき生成される列ベクトル(s→CP:=(s CP,...,s CP:=MCP・(f→CP(i=LCP)と、乱数θ CP(i=1,...,LCP)とに基づき、i=1,...,LCPの各整数iについての要素c CPを生成するCP暗号化データ生成処理であって、i=1,...,LCPの各整数iについて、変数ρCP(i)が肯定形の組(t,v CP)である場合には、その組の識別情報tが示す基底B CPの基底ベクトルbt,1 CPの係数としてs CP+θ CPi,1 CPを設定するとともに、前記識別情報tとi’=2,...,n CPの各整数i’とが示す基底ベクトルbt,i’ CPの係数としてθ CPi,i’ CPを設定して要素c CPを生成し、変数ρCP(i)が否定形の組¬(t,v CP)である場合には、その組の識別情報tとi’=1,...,n CPの各整数i’とが示す基底ベクトルbt,i’ CPの係数としてs CPi,i’ CPを設定して要素c CPを生成するCP暗号化データ生成処理と
    をコンピュータに実行させ、
    前記復号プログラムは、
    前記主暗号化データ生成処理で生成した要素cと、前記KP暗号化データ生成処理で生成した要素c KPと、前記CP暗号化データ生成処理で生成した要素c CPと、前記属性集合ΓKPと、前記変数ρCP(i)とを含む暗号化データct(ΓKP,SCP)を取得するデータ取得処理と、
    前記主復号鍵生成処理で生成した要素k と、前記KP復号鍵生成処理で生成した要素k KPと、前記CP復号鍵生成処理で生成した要素k CPと、前記変数ρKP(i)と、前記属性集合ΓCPとを含む復号鍵sk(SKP,ΓCP)を取得する復号鍵取得処理と、
    前記データ取得処理で取得した暗号化データct(ΓKP,SCP)に含まれる属性集合ΓKPと、前記復号鍵取得処理で取得した復号鍵sk(SKP,ΓCP)に含まれる変数ρKP(i)とに基づき、i=1,...,LKPの各整数iのうち、変数ρKP(i)が肯定形の組(t,v KP)であり、かつ、その組のv KPと、その組の識別情報tが示すΓKPに含まれるx KPとの内積が0となるiと、変数ρKP(i)が否定形の組¬(t,v KP)であり、かつ、その組のv KPと、その組の識別情報tが示すΓKPに含まれるx KPとの内積が0とならないiとの集合IKPを特定するとともに、特定した集合IKPに含まれるiについて、α KP KPを合計した場合に前記h→KPとなる補完係数α KPを計算するKP補完係数計算処理と、
    前記暗号化データct(ΓKP,SCP)に含まれるi=1,...,LCPの各整数iについての変数ρCP(i)と、前記復号鍵sk(SKP,ΓCP)に含まれる属性集合ΓCPとに基づき、i=1,...,LCPの各整数iのうち、変数ρCP(i)が肯定形の組(t,v CP)であり、かつ、その組のv CPと、その組の識別情報tが示すΓCPに含まれるx CPとの内積が0となるiと、変数ρCP(i)が否定形の組¬(t,v CP)であり、かつ、その組のv CPと、その組の識別情報tが示すΓCPに含まれるx CPとの内積が0とならないiとの集合ICPを特定するとともに、特定した集合ICPに含まれるiについて、α CP CPを合計した場合に前記h→CPとなる補完係数α CPを計算するCP補完係数計算処理と、
    前記暗号化データct(ΓKP,SCP)に含まれる要素cと要素c KPと要素c CPと、前記復号鍵sk(SKP,ΓCP)に含まれる要素k と要素k KPと要素k CPとについて、前記KP補完係数計算処理で特定した集合IKPと、前記KP補完係数計算処理で計算した補完係数α KPと、前記CP補完係数計算処理で特定した集合ICPと、前記CP補完係数計算処理で計算した補完係数α CPとに基づき、数1に示すペアリング演算を行い値Kを計算するペアリング演算処理と
    をコンピュータに実行させることを特徴とする暗号処理プログラム。
    Figure 2012133214
JP2010286511A 2010-12-22 2010-12-22 暗号処理システム、鍵生成装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム Active JP5693206B2 (ja)

Priority Applications (6)

Application Number Priority Date Filing Date Title
JP2010286511A JP5693206B2 (ja) 2010-12-22 2010-12-22 暗号処理システム、鍵生成装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム
CN201180061703.XA CN103270719B (zh) 2010-12-22 2011-12-06 密码处理系统、密钥生成装置、加密装置、解密装置、密码处理方法
US13/823,507 US8938623B2 (en) 2010-12-22 2011-12-06 Cryptographic processing system, key generation device, encryption device, decryption device, cryptographic processing method, and cryptographic processing program
PCT/JP2011/078164 WO2012086405A1 (ja) 2010-12-22 2011-12-06 暗号処理システム、鍵生成装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム
EP11851495.9A EP2613472A4 (en) 2010-12-22 2011-12-06 Encryption processing system, key generation device, encryption device, decryption device, encryption processing method, and encryption processing program
KR1020137012670A KR101393899B1 (ko) 2010-12-22 2011-12-06 암호 처리 시스템, 키 생성 장치, 암호화 장치, 복호 장치, 암호 처리 방법 및 암호 처리 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010286511A JP5693206B2 (ja) 2010-12-22 2010-12-22 暗号処理システム、鍵生成装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム

Publications (3)

Publication Number Publication Date
JP2012133214A true JP2012133214A (ja) 2012-07-12
JP2012133214A5 JP2012133214A5 (ja) 2014-01-09
JP5693206B2 JP5693206B2 (ja) 2015-04-01

Family

ID=46313685

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010286511A Active JP5693206B2 (ja) 2010-12-22 2010-12-22 暗号処理システム、鍵生成装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム

Country Status (6)

Country Link
US (1) US8938623B2 (ja)
EP (1) EP2613472A4 (ja)
JP (1) JP5693206B2 (ja)
KR (1) KR101393899B1 (ja)
CN (1) CN103270719B (ja)
WO (1) WO2012086405A1 (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014061324A1 (ja) * 2012-10-19 2014-04-24 三菱電機株式会社 暗号システム
JP2014095847A (ja) * 2012-11-12 2014-05-22 Nippon Telegr & Teleph Corp <Ntt> 関数型暗号システム、鍵生成装置、暗号化装置、復号装置、関数型暗号方法、およびプログラム
WO2014112048A1 (ja) 2013-01-16 2014-07-24 三菱電機株式会社 暗号システム、再暗号化鍵生成装置、再暗号化装置、暗号方法及び暗号プログラム
WO2015052799A1 (ja) 2013-10-09 2015-04-16 三菱電機株式会社 暗号システム、暗号化装置、再暗号化鍵生成装置、再暗号化装置及び暗号プログラム
WO2015083210A1 (ja) * 2013-12-02 2015-06-11 三菱電機株式会社 データ処理システム及び暗号装置及び復号装置及びプログラム
WO2015107620A1 (ja) 2014-01-14 2015-07-23 三菱電機株式会社 暗号システム、再暗号化鍵生成装置、再暗号化装置及び暗号プログラム
US9640090B2 (en) 2014-02-24 2017-05-02 Mitsubishi Electric Corporation Cryptographic system and computer readable medium
US10050782B2 (en) 2014-12-05 2018-08-14 Mitsubishi Electric Corporation Decryption condition addition device, cryptographic system, and computer readable medium
US10516534B2 (en) 2015-04-07 2019-12-24 Mitsubishi Electric Corporation Cryptographic system and key generation apparatus
WO2020070973A1 (ja) * 2018-10-04 2020-04-09 三菱電機株式会社 復号装置、暗号システム、復号方法及び復号プログラム

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5606344B2 (ja) 2011-01-25 2014-10-15 三菱電機株式会社 署名処理システム、鍵生成装置、署名装置、検証装置、署名処理方法及び署名処理プログラム
EP2860905A1 (en) * 2013-10-09 2015-04-15 Thomson Licensing Method for ciphering a message via a keyed homomorphic encryption function, corresponding electronic device and computer program product
KR102447476B1 (ko) * 2015-08-20 2022-09-27 삼성전자주식회사 암복호 장치, 그것을 포함하는 저장 장치 및 그것의 암복호 방법
US10205713B2 (en) * 2017-04-05 2019-02-12 Fujitsu Limited Private and mutually authenticated key exchange
KR101994236B1 (ko) * 2017-04-21 2019-09-30 한국전자통신연구원 프라이버시 보존형 각도 기반 이상치 검출 방법 및 장치
EP3698515B1 (en) * 2017-10-17 2021-02-17 Koninklijke Philips N.V. Configurable device for lattice-based cryptography
US10778410B2 (en) * 2019-06-18 2020-09-15 Alibaba Group Holding Limited Homomorphic data encryption method and apparatus for implementing privacy protection
US12099997B1 (en) 2020-01-31 2024-09-24 Steven Mark Hoffberg Tokenized fungible liabilities
CN113271309B (zh) * 2021-05-24 2022-04-08 四川师范大学 一种分层文件加密方法及系统

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7349538B2 (en) * 2002-03-21 2008-03-25 Ntt Docomo Inc. Hierarchical identity-based encryption and signature schemes
CN101483523A (zh) * 2002-04-15 2009-07-15 株式会社Ntt都科摩 利用双线性映射的签名方案
US6886096B2 (en) * 2002-11-14 2005-04-26 Voltage Security, Inc. Identity-based encryption system
US7003117B2 (en) * 2003-02-05 2006-02-21 Voltage Security, Inc. Identity-based encryption system for secure data distribution
US7499544B2 (en) * 2003-11-03 2009-03-03 Microsoft Corporation Use of isogenies for design of cryptosystems
EP1646174A1 (en) * 2004-10-07 2006-04-12 Axalto SA Method and apparatus for generating cryptographic sets of instructions automatically and code generation
CN101401141B (zh) * 2006-03-14 2011-12-07 日本电气株式会社 信息处理系统以及信息处理方法
WO2008066671A2 (en) * 2006-11-08 2008-06-05 Voltage Security, Inc. Indentity-based-encryption extensions formed using multiple instances of an identity based encryption scheme
JP5424974B2 (ja) 2010-04-27 2014-02-26 三菱電機株式会社 暗号処理システム、鍵生成装置、暗号化装置、復号装置、署名処理システム、署名装置及び検証装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN7014002590; Tatsuaki Okamoto, Katsuyuki Takashima: Fully Secure Functional Encryption with General Relations from the Decisional Linear Assumption , 20101105, pp.1-49 *

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101676977B1 (ko) 2012-10-19 2016-11-16 미쓰비시덴키 가부시키가이샤 암호 시스템
US9722783B2 (en) 2012-10-19 2017-08-01 Mitsubishi Electric Corporation Cryptographic system
EP2911137A4 (en) * 2012-10-19 2016-09-07 Mitsubishi Electric Corp ENCRYPTION SYSTEM
JP2014085358A (ja) * 2012-10-19 2014-05-12 Mitsubishi Electric Corp 暗号システム
WO2014061324A1 (ja) * 2012-10-19 2014-04-24 三菱電機株式会社 暗号システム
KR20150070383A (ko) * 2012-10-19 2015-06-24 미쓰비시덴키 가부시키가이샤 암호 시스템
CN104718566A (zh) * 2012-10-19 2015-06-17 三菱电机株式会社 密码系统
JP2014095847A (ja) * 2012-11-12 2014-05-22 Nippon Telegr & Teleph Corp <Ntt> 関数型暗号システム、鍵生成装置、暗号化装置、復号装置、関数型暗号方法、およびプログラム
WO2014112048A1 (ja) 2013-01-16 2014-07-24 三菱電機株式会社 暗号システム、再暗号化鍵生成装置、再暗号化装置、暗号方法及び暗号プログラム
US9344276B2 (en) 2013-01-16 2016-05-17 Mitsubishi Electric Corporation Cryptographic system, re-encryption key generation device, re-encryption device, cryptographic method, and cryptographic program
CN104871477A (zh) * 2013-01-16 2015-08-26 三菱电机株式会社 加密系统、重加密密钥生成装置、重加密装置、加密方法和加密程序
CN104871477B (zh) * 2013-01-16 2018-07-10 三菱电机株式会社 加密系统、重加密密钥生成装置、重加密装置、加密方法
WO2015052799A1 (ja) 2013-10-09 2015-04-16 三菱電機株式会社 暗号システム、暗号化装置、再暗号化鍵生成装置、再暗号化装置及び暗号プログラム
US9979536B2 (en) 2013-10-09 2018-05-22 Mitsubishi Electric Corporation Cryptographic system, encryption device, re-encryption key generation device, re-encryption device, and cryptographic program
WO2015083210A1 (ja) * 2013-12-02 2015-06-11 三菱電機株式会社 データ処理システム及び暗号装置及び復号装置及びプログラム
JPWO2015083210A1 (ja) * 2013-12-02 2017-03-16 三菱電機株式会社 データ処理システム及び暗号装置及び復号装置及びプログラム
JP6026017B2 (ja) * 2013-12-02 2016-11-16 三菱電機株式会社 データ処理システム及び暗号装置及び復号装置及びプログラム
WO2015107620A1 (ja) 2014-01-14 2015-07-23 三菱電機株式会社 暗号システム、再暗号化鍵生成装置、再暗号化装置及び暗号プログラム
US9640090B2 (en) 2014-02-24 2017-05-02 Mitsubishi Electric Corporation Cryptographic system and computer readable medium
US10050782B2 (en) 2014-12-05 2018-08-14 Mitsubishi Electric Corporation Decryption condition addition device, cryptographic system, and computer readable medium
US10516534B2 (en) 2015-04-07 2019-12-24 Mitsubishi Electric Corporation Cryptographic system and key generation apparatus
WO2020070973A1 (ja) * 2018-10-04 2020-04-09 三菱電機株式会社 復号装置、暗号システム、復号方法及び復号プログラム
JP2020056960A (ja) * 2018-10-04 2020-04-09 三菱電機株式会社 復号装置、暗号システム、復号方法及び復号プログラム
JP7117964B2 (ja) 2018-10-04 2022-08-15 三菱電機株式会社 復号装置、暗号システム、復号方法及び復号プログラム

Also Published As

Publication number Publication date
US8938623B2 (en) 2015-01-20
CN103270719A (zh) 2013-08-28
WO2012086405A1 (ja) 2012-06-28
JP5693206B2 (ja) 2015-04-01
CN103270719B (zh) 2015-09-30
EP2613472A1 (en) 2013-07-10
KR101393899B1 (ko) 2014-05-12
KR20130084669A (ko) 2013-07-25
US20130173929A1 (en) 2013-07-04
EP2613472A4 (en) 2017-07-12

Similar Documents

Publication Publication Date Title
JP5693206B2 (ja) 暗号処理システム、鍵生成装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム
JP5424974B2 (ja) 暗号処理システム、鍵生成装置、暗号化装置、復号装置、署名処理システム、署名装置及び検証装置
JP5618881B2 (ja) 暗号処理システム、鍵生成装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム
JP5680007B2 (ja) 暗号システム、暗号方法及び暗号プログラム
JP5769401B2 (ja) 暗号処理システム、鍵生成装置、鍵委譲装置、暗号化装置、復号装置、暗号処理方法及びプログラム
JP5606344B2 (ja) 署名処理システム、鍵生成装置、署名装置、検証装置、署名処理方法及び署名処理プログラム
JP5334873B2 (ja) 暗号処理システム、鍵生成装置、鍵委譲装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム
JP5921410B2 (ja) 暗号システム
JP5606351B2 (ja) 暗号処理システム、鍵生成装置、暗号化装置、復号装置、鍵委譲装置、暗号処理方法及び暗号処理プログラム
Wang et al. New identity-based key-encapsulation mechanism and its applications in cloud computing

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131114

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20131114

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140902

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141003

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150106

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150203

R150 Certificate of patent or registration of utility model

Ref document number: 5693206

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250