JP2012256008A - 評価対象情報自己評価システム、評価対象情報自己評価方法、装置、プログラム - Google Patents

Abstract

【課題】ユーザ装置が提供した評価対象情報に対する評価を当該ユーザ装置自身に安全に行わせる評価対象情報自己評価技術を提供する。
【解決手段】次のような暗号を利用する。暗号は、公開パラメータpkとマスター鍵skが定められており、KeyGen(sk,i)→sk_i（マスター鍵skと情報iを入力とし、情報iに対応する秘密鍵sk_iを出力するアルゴリズム）と、Enc(pk,j,x)→c_j（公開パラメータpkと情報jと平文xを入力とし、暗号文c_jを出力するアルゴリズム）と、Dec(pk,sk_i,c_j)→y（公開パラメータpkと秘密鍵sk_iと暗号文c_jを入力とし、情報yを出力するアルゴリズム）を含み、情報iと情報jが関係Ｒを満たすときに情報yとして平文xを得る。情報iを評価対象情報とし、情報jを評価対象情報iに対する評価基準を表す情報とする。
【選択図】図３

Description

本発明は、いわゆる関数型暗号を用いて、ユーザが提供した情報であって何らかの評価の対象となる情報（以下「評価対象情報」と云い、例えば、入学試験のユーザの解答である）に対する評価（先の例であれば入学試験の合否）を当該ユーザ自身に行わせて当該ユーザに認知させる評価対象情報自己評価技術に関する。

現代社会生活において、資格試験、入学試験、記名式アンケート、電子商取引（入札、オークションなど）などのように、個人に固有の情報を含む評価対象情報の授受は当然の如く存在しており、「個人に固有の情報は法的保護に値する」というのが、日本国、米国、欧州などの先進諸国の共通の認識になっている。日本国の例であれば、個人情報の保護に関する法律（平成一五年五月三十日法律第五十七号）が制定されている。また、TLS（Transport Layer Security）やP3P（Platform for Privacy Preferences）などの既存技術からも理解されるように、「個人に固有の情報は、技術的取り扱い上、保護に値する」ということも「個人に固有の情報」を取り扱う技術者の共通の認識になっている。

個人情報の保護に関する法律（平成一五年五月三十日法律第五十七号）、[平成２３年５月１１日検索]、インターネット〈http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/〉 RFC 2246、[平成２３年５月１１日検索]、インターネット〈http://www.ietf.org/rfc/rfc2246.txt〉 W3C Recommendation、[平成２３年５月１１日検索]、インターネット〈http://www.w3.org/TR/2002/REC-P3P-20020416/〉

このため、個人に固有の情報を含む評価対象情報の授受のセキュアな運用や、当該評価対象情報あるいは個人に固有の情報の管理などは、相応のコストを要するものとなっている。なぜなら、評価対象情報や個人に固有の情報が漏洩すると個人のプライバシー権侵害など法的、社会的、経済的に大きな問題となりえるからである。このような情報管理や運用のコストは、運用者や管理者にとってしばしば大きな問題となる。

もし、評価対象情報の評価を安全にユーザ自身が行うことができれば、上述の問題は解消されることになるが、現在、そのような技術は知られていない。なお、ここで「安全に」とは、ユーザが、評価対象情報に対する評価基準を知ったり、あるいは当該評価基準を改竄したりすることができないことを云う。換言すれば、「安全に」とは、ユーザ以外の評価者が評価対象情報を評価した場合の安全性および正当性と同等レベルの安全性および正当性を確保できることを云う。

そこで本発明は、ユーザ装置が提供した評価対象情報に対する評価を当該ユーザ装置自身に安全に行わせる評価対象情報自己評価技術を提供することを目的とする。

本発明の評価対象情報自己評価技術は、次のとおりである。この技術で用いる暗号は、公開パラメータpkとマスター鍵skが定められた暗号(KeyGen,Enc,Dec)が、KeyGen(sk,i)→sk_i：鍵生成アルゴリズム（マスター鍵skと情報iを入力とし、当該情報iに対応する秘密鍵sk_iを出力する確率的多項式時間アルゴリズム）と、Enc(pk,j,x)→c_j：暗号化アルゴリズム（公開パラメータpkと情報jと暗号化対象の情報（平文）xを入力とし、暗号文c_jを出力する確率的多項式時間アルゴリズム）と、Dec(pk,sk_i,c_j)→y：復号アルゴリズム（公開パラメータpkと秘密鍵sk_iと暗号文c_jを入力とし、情報yを出力する確率的多項式時間アルゴリズム）とを含み、情報iと情報jが予め定められた関係Ｒを満たすときに情報yとして平文xが得られるように構成されている。評価対象情報自己評価システムに含まれるユーザ装置は、情報iを評価対象情報として、当該評価対象情報iを上記評価者装置に送信する。評価対象情報自己評価システムに含まれる評価者装置では、評価対象情報iを用いて、暗号の鍵生成アルゴリズムKeyGen(sk,i)を実行して秘密鍵sk_i←KeyGen(sk,i)を生成し、情報jを評価対象情報iに対する評価基準を表す情報として、暗号の暗号化アルゴリズムEnc(pk,j,x)を実行して暗号文c_j←Enc(pk,j,x)を生成する。ユーザ装置では、秘密鍵sk_iと暗号文c_jを用いて、暗号の復号アルゴリズムDec(pk,sk_i,c_j)を実行する。

本発明に拠れば、上記暗号の構成を利用することによって、ユーザ装置が提供した評価対象情報に対する評価を当該ユーザ装置自身に安全に行わせることができる。

実施形態の評価対象情報自己評価システムを示す図。 各実施例に関わる評価対象情報自己評価システムの構成要素である評価者装置、運用者装置、ユーザ装置の機能構成を示す図。 実施例１，２，９における評価対象情報自己評価の処理手順を示す図。 実施例３における評価対象情報自己評価の処理手順を示す図。 実施例４，５における評価対象情報自己評価の処理手順を示す図。 実施例６における評価対象情報自己評価の処理手順を示す図。 実施例７における評価対象情報自己評価の処理手順を示す図。 実施例８における評価対象情報自己評価の処理手順を示す図。 実施例１０における評価対象情報自己評価の処理手順を示す図。 実施例１１における評価対象情報自己評価の処理手順を示す図。 命題変数PRO(1),PRO(2)と命題変数PRO(3)の否定¬PRO(3)と論理記号∧，∨とを含む標準形論理式PRO(1)∧PRO(2)∨¬PRO(3)を表現する木構造データを例示する図。 命題変数PRO(1),PRO(2),PRO(3),PRO(6),PRO(7)と命題変数PRO(4),PRO(5)の否定¬PRO(4),¬PRO(5)と論理記号∧，∨とを含む標準形論理式PRO(1)∧PRO(2)∨PRO(2)∧PRO(3)∨PRO(1)∧PRO(3)∨¬PRO(4)∨(¬PRO(5)∧PRO(6))∧PRO(7)を表現する木構造データを例示する図。 本発明の応用例（チケット発行システム） 本発明の応用例（処方箋発行システム） 本発明の応用例（行政文書発行システム） 本発明の応用例（宝くじ発行システム） 本発明の応用例（ポイントサービス発行システム）

初めに、本明細書において「個人に固有の情報」は、個人情報の保護に関する法律（平成一五年五月三十日法律第五十七号）に規定される「個人情報」と同義に限定するものではなく、より広い範囲の情報を包含し、個人識別性を有しない情報であってもよく、およそ個人に関連性の認められる情報を含む。例えば、選択肢から解答を選択する選択式試験問題に対する解答、即ち、受験者が選択した選択肢そのものは当該受験者を直截に識別する性質を有しないが、当該受験者の意思に基づき選択された選択肢であるという意味において当該受験者個人に関連性の認められる情報であるから、当該選択肢も「個人に固有の情報」に含まれることになる。

《原理》
本発明の評価対象情報自己評価技術は関数型暗号を利用して実現される。そこでまず関数型暗号について説明する。

＜関数型暗号＞
近年、関数型暗号と呼ばれるＩＤベース暗号の拡張暗号が話題となっている。関数型暗号は下記の４つのアルゴリズム(Setup,KeyGen,Enc,Dec)から構成される。プロトコルの概略は下記のとおりである。
《プロトコルFE》
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
・Setup(1^λ)→(pk,sk)：セットアップアルゴリズム
セキュリティパラメータ1^λを入力とし、公開パラメータpkとマスター鍵skを出力する確率的多項式時間アルゴリズム
・KeyGen(sk,i)→sk_i：鍵生成アルゴリズム
マスター鍵skと鍵識別子iを入力とし、当該鍵識別子iに対応する秘密鍵sk_iを出力する確率的多項式時間アルゴリズム
・Enc(pk,j,x)→c_j：暗号化アルゴリズム
公開パラメータpkと受信者識別子jと暗号化対象の情報（平文）xを入力とし、暗号文c_jを出力する確率的多項式時間アルゴリズム
・Dec(pk,sk_i,c_j)→y：復号アルゴリズム
公開パラメータpkと秘密鍵sk_iと暗号文c_jを入力とし、平文yを出力する確率的多項式時間アルゴリズム
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

関数型暗号では、ＩＤベース暗号の正当性が拡張されており、暗号文の受信者は鍵識別子iを持つ秘密鍵と受信者識別子jを持つ暗号文から平文xに関する何らかの関数f_i,j(x)を評価することができるようになっている。即ち、或る関数f_i,j(x)が存在し∀i，∀j，∀x∈{0,1}^poly(λ)に対して式（１）で表される確率Prがλに関して圧倒的（１との差が無視しうる）であるとき、その関数型暗号(Setup,KeyGen,Enc,Dec)は正当であると云う。なお、poly(λ)はλで決まる多項式長を表している。

特に、或る関係Ｒ(・,・)が存在し、式（２）で表されるタイプの関数f_i,j(x)を持つ関数型暗号は様々な暗号を包含している（⊥は正常に復号できなかったことを表す記号である）。

例えばＩＤベース暗号は式（３）で表される関数f_i,j(x)を持つ関数型暗号と定義することができる。

より高度な関係Ｒ(・,・)を持つ様々な関数型暗号が研究されている。このタイプの関数型暗号のうち最も汎用性の高いものは属性ベース暗号(attribute-based encryption, ABE)あるいは述語暗号(predicate encryption, PE)等と呼ばれ、よく研究されている。2010年に岡本龍明らは多項式サイズの述語および述語変数の集合に対応し、標準的な暗号学的仮定の下で適応的識別子攻撃に対してＣＣＡ安全が証明できる比較的実用的なこのタイプの関数型暗号を提案した（参考文献１参照）。
（参考文献１）Tatsuaki Okamoto and Katsuyuki Takashima, "Fully Secure Functional Encryption with General Relations from the Decisional Linear Assumption," In: Advances in Cryptology -- CRYPTO 2010, Lecture Notes in Computer Science, Volume 6223, 191-208, Springer-Verlag, 2010, Full paper: http://eprint.iacr.org/2010/563/

鍵識別子iを述語、受信者識別子jを述語変数のインスタンスとして式（４）で表される関係Ｒ(・,・)を持つ関数型暗号は鍵ポリシー関数型暗号と呼ばれる。このとき、暗号文が平文xだけでなく述語変数のインスタンスjも秘匿する事を属性秘匿と云う。

鍵識別子iを述語変数、受信者識別子jを述語のインスタンスとして式（５）で表される関係Ｒ(・,・)を持つ関数型暗号は暗号文ポリシー関数型暗号と呼ばれる。このとき、暗号文が平文xだけでなく述語jも秘匿する事を述語秘匿と云う。

属性秘匿を持つ鍵ポリシー関数型暗号あるいは述語秘匿を持つ暗号文ポリシー関数型暗号を述語暗号と呼ばれる（参考文献２参照）。
（参考文献２）Tatsuaki Okamoto and Katsuyuki Takashima, "Hierarchical Predicate Encryption for Inner-Products," ASIACRYPT 2009: pp.214-231, 2009.

＜閾値ゲート＞
関数型暗号における閾値ゲートの構成は、N個の分散情報のうち任意のt個が与えられれば秘密を復元できるが、任意のt-1個以下の分散情報が与えられても秘密を復元できない閾値秘密分散方式、即ちt-out-of-N秘密分散方式を用いて実現される。t-out-of-N秘密分散については参考文献３などを参照されたい。t-out-of-N秘密分散方式を用いた閾値ゲートはt-out-of-N閾値ゲートと呼ばれる。t-out-of-N閾値ゲートは入力のN個の条件式のうちt個以上の条件が成立すると真を出力し、それ以外は偽を出力するゲート構造を有する。t-out-of-N閾値ゲートの（出力の）否定は（全入力の）否定の(N-t+1)-out-of-N閾値ゲートと等価である。
（参考文献３）A. Shamir, "How to Share a Secret", Communicationsof the ACM, November 1979, Volume 22, Number 11, pp.612-613.

＜秘密鍵検証可能関数型暗号＞
関数暗号のうち、秘密鍵sk_iが鍵識別子iに対して正しく作られていることが納得できるものは、秘密鍵検証可能関数型暗号と呼ばれる。鍵生成手続きが正しく行われたことを証明する非対話零知識証明（参考文献４参照）を秘密鍵に付加することによって、秘密鍵検証可能関数型暗号を構成することができる。秘密鍵検証可能関数型暗号を用いれば秘密鍵sk_iが鍵識別子iに対して正しく作られていることが納得できる。
（参考文献４）Jens Groth and Amit Sahai, "Efficient Non-interactive Proof Systems for Bilinear Groups," Advances in Cryptology - EUROCRYPT 2008, LNCS 4965, pp.415-432, March 2010.

＜暗号文公開検証可能関数型暗号＞
関数暗号のうち、暗号文に対してKeyGenアルゴリズムから得られる如何なる鍵を持たなくとも、暗号文が正しく作られていることが納得できるものは暗号文公開検証可能関数型暗号と呼ばれる。暗号化手続きが正しく行われたことを証明する非対話零知識証明（上記参考文献４参照）を暗号文に付加することによって、暗号文公開検証可能関数型暗号を構成することができる。暗号文公開検証可能関数型暗号を用いれば暗号文に対して復号可能などの鍵を使っても同じ結果が得られることが納得できる。

＜電子署名＞
電子署名とは次の３つのアルゴリズム(KeyGen_Σ,Sign_Σ,Verify_Σ)のことである。プロトコルの概略は下記のとおりである。
《プロトコルES》
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
・KeyGen_Σ(1^λ)→(sk_Σ,pk_Σ)：鍵生成アルゴリズム
セキュリティパラメータ1^λを入力とし、電子署名検証用公開鍵pk_Σと電子署名用秘密鍵sk_Σを出力する確率的多項式時間アルゴリズム
・Sign_Σ(sk_Σ,m)→σ：署名アルゴリズム
電子署名用秘密鍵sk_Σと署名対象情報mを入力とし、署名σを出力する確率的多項式時間アルゴリズム
・Verify_Σ(pk_Σ,m,σ)→0/1：署名検証アルゴリズム
電子署名検証用公開鍵pk_Σと署名対象情報mと署名σを入力とし、検証結果(拒絶(0)または受理(1))を出力する確率的多項式時間アルゴリズム
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

なお、適当な暗号学的仮定の下、適応的選択文書攻撃に対して存在的偽造不可が証明可能な電子署名方式が提案されている（例えば、RSA-PSS（参考文献５参照））。
（参考文献５）藤岡淳、暗号アルゴリズム評価報告書RSA-PSS、日本電信電話株式会社、2001年

《実施形態》
一般に、資格試験、入学試験、記名式アンケート、電子商取引（入札、オークションなど）などのような、大勢のユーザに対して何らかの評価を行うシステム、即ち評価システムは、ユーザ、運用者、評価者の間のプロトコルが事前に取り決められたシステムと考えることができる。例えば評価対象情報を試験問題に対する解答とすると、まず各解答者（各ユーザ）に試験問題が送られ、それぞれの解答者（ユーザ）が試験問題の解答を採点者（運用者）に送信する。採点者（運用者）は、採点結果を評価者に送り、評価者が評価（例えば合否）を出力する。

［評価対象情報自己評価システム］
このような観点から、実施形態の評価対象情報自己評価システム１は、図１に示すように、評価者装置１００と、運用者装置２００と、ユーザ装置３００とを少なくとも含んで構成される。これらの各装置は、例えばインターネットなどの通信網５を経由して、相互に通信可能とされている。

本発明の評価対象情報自己評価システムでは、評価者装置１００と運用者装置２００とが同一である場合は妨げられないが、より一般性を有する構成を例示する観点から、評価者装置１００と運用者装置２００は異なる装置とする。また、本発明の評価対象情報自己評価システムは、運用の形態に応じて一つまたは複数の評価者装置１００と一つまたは複数の運用者装置２００を含みえるが、本発明の理解を容易にするため、後述の実施形態では、評価対象情報自己評価システム１は、１個の評価者装置１００と１個の運用者装置２００とＮ個のユーザ装置３００−１，・・・，３００−ｎ，・・・，３００−Ｎを含むとする。ただし、Ｎは１以上の整数とする。

評価対象情報自己評価システム１における評価対象情報自己評価処理を、図３−１０を参照しながら叙述する。各装置の機能構成については、図２を参照されたい。なお、Ｎ個のユーザ装置３００−１，・・・，３００−ｎ，・・・，３００−Ｎのうちのどのユーザ装置についても同じ情報処理となるから、この説明では、任意性を考慮してｎ番目のユーザ装置３００−ｎにおける情報処理を想定する。

実施例では、説明を具体的に行うために、評価対象情報を試験問題に対する解答とし、運用者を採点者とする。以下、説明の用語や語法もこの状況を想定したものとする。また、一つのユーザ装置３００−ｎには、一人のユーザ（解答者）が対応しているとする。

[[実施例１]]
関係Ｒ(・,・)が存在し、式（２）のタイプのf_i,j(x)を持つ関数型暗号(Setup,KeyGen,Enc,Dec)を用いると次のような評価対象情報自己評価システム（自己採点システム）を構成できる。評価対象情報自己評価処理は図３を参照のこと。

●ステップＳ０
採点者装置２００のセットアップ部２０１は、セットアップアルゴリズムSetup(1^λ)→(pk,sk)を実行して、公開パラメータpkとマスター鍵skを生成する。採点者装置２００の制御部（図示しない）は、公開パラメータpkを公開し、マスター鍵skを、採点者装置２００の記憶部２１０に安全に記憶する。

ここで、「公開パラメータpkを公開する」とは、採点者装置２００が公開パラメータpkを利用する装置に対して当該装置から要求に応じて公開パラメータpkを送信すること、あるいは、公開パラメータpkを利用する装置が自由に採点者装置２００にアクセスして制約無く公開パラメータpkを取得できること、あるいは、或るサーバ装置の記憶部に公開パラメータpkが登録されて、サーバ装置が公開パラメータpkを利用する装置に対して当該装置から要求に応じて公開パラメータpkを送信すること、あるいは、公開パラメータpkを利用する装置が自由にサーバ装置にアクセスして制約無く公開パラメータpkを取得できること、などを意味する。つまり、「公開パラメータpkを公開する」とは、公開という情報処理よりも、公開パラメータpkを利用する装置が自由に公開パラメータpkを取得できる状態やシステム構成が構築されていることを意味する。以下、「公開パラメータpkを公開する」との趣旨の記載は、上記説明と同様の意味である。

●ステップＳ１
ユーザ装置３００−ｎの受信部３０９は、例えば採点者装置２００から情報（試験問題）を受信する。そして、ユーザ装置３００−ｎの送信部３０８は試験問題の解答iを採点者装置２００に送信する。解答iは、通常、ユーザ装置３００−ｎを操作するユーザ（人間）によってユーザ装置３００−ｎに入力される。なお、運用形態によっては、ユーザ装置３００−ｎの受信部３０９が試験問題などの情報をどこかから受信する処理が不要となる場合があることに注意されたい。

●ステップＳ２
採点者装置２００の受信部２０９はユーザ装置３００−ｎから解答iを受信する。そして、採点者装置２００の秘密鍵生成部２０２は解答iとマスター鍵skを用いて鍵生成アルゴリズムKeyGen(sk,i)→sk_iを実行して秘密鍵sk_iを生成する。そして、採点者装置２００の送信部２０８は秘密鍵sk_iをユーザ装置３００−ｎに送信する。

●ステップＳ３
評価者装置１００の暗号文生成部１０１は、公開パラメータpkと、採点の評価基準jと、ユーザ（解答者）が合格したことを証明する平文xを用いて暗号化アルゴリズムEnc(pk,j,x)→c_jを実行し、評価者装置１００の送信部１０８は暗号文c_jをユーザ装置３００−ｎに送信する。採点の評価基準jは、例えば事前に採点者装置２００から評価者装置１００に送信されているとする。

●ステップＳ４
ユーザ装置３００−ｎの受信部３０９は、評価者装置１００からは暗号文c_jを、採点者装置２００からは秘密鍵sk_iを受信する。そして、ユーザ装置３００−ｎの復号部３０１は、公開パラメータpkと、秘密鍵sk_iと、暗号文c_jとを入力とし、復号アルゴリズムDec(pk,sk_i,c_j)→yを実行し、平文yを得る。
R(i,j)=Trueのとき、これは解答iが評価基準jを満足する、つまり解答iが正解である場合であるから、ユーザ装置３００−ｎの復号部３０１は、ユーザ（解答者）が合格したことを証明する平文y=xを得る。R(i,j)=Falseのとき、これは解答iが評価基準jを満足しない、つまり解答iが誤答である場合であるから、ユーザ装置３００−ｎの復号部３０１は、ユーザ（解答者）が不合格であることを意味する平文y=⊥を得る。

[[実施例２]]
試験問題が選択肢を選択して解答する選択式試験問題であるとき、暗号文ポリシー関数型暗号を用いて、ユーザ（解答者）が選択した選択肢を属性とし、評価者の評価基準をポリシーとする、評価対象情報自己評価システム（自己採点システム）を次のように構成できる。評価対象情報自己評価処理は図３を参照のこと。

●ステップＳ０
採点者装置２００のセットアップ部２０１は、セットアップアルゴリズムSetup(1^λ)→(pk,sk)を実行して、公開パラメータpkとマスター鍵skを生成する。採点者装置２００の制御部（図示しない）は、公開パラメータpkを公開し、マスター鍵skを、採点者装置２００の記憶部２１０に安全に記憶する。このとき、公開パラメータpkに含まれる述語変数に、解答用変数answer₁,answer₂,…が含まれるとする。

●ステップＳ１
ユーザ装置３００−ｎの受信部３０９は、例えば採点者装置２００から情報（選択式試験問題）を受信する。そして、ユーザ装置３００−ｎの送信部３０８は、解答用変数answer₁,answer₂,…に各試験問題に対する解答である選択肢choice₁,choice₂,…が設定された述語変数のインスタンスiを採点者装置２００に送信する。選択肢choice₁,choice₂,…は、通常、ユーザ装置３００−ｎを操作するユーザ（人間）によってユーザ装置３００−ｎに入力される。なお、運用形態によっては、ユーザ装置３００−ｎの受信部３０９が試験問題などの情報をどこかから受信する処理が不要となる場合があることに注意されたい。

●ステップＳ２
採点者装置２００の受信部２０９はユーザ装置３００−ｎから述語変数のインスタンスiを受信する。そして、採点者装置２００の秘密鍵生成部２０２は述語変数のインスタンスiとマスター鍵skを用いて鍵生成アルゴリズムKeyGen(sk,i)→sk_iを実行して秘密鍵sk_iを生成する。そして、採点者装置２００の送信部２０８は秘密鍵sk_iをユーザ装置３００−ｎに送信する。

●ステップＳ３
評価者装置１００の暗号文生成部１０１は、公開パラメータpkと、採点の評価基準である述語jと、ユーザ（解答者）が合格したことを証明する平文xを用いて暗号化アルゴリズムEnc(pk,j,x)→c_jを実行し、評価者装置１００の送信部１０８は暗号文c_jをユーザ装置３００−ｎに送信する。採点の評価基準である述語jは、例えば事前に採点者装置２００から評価者装置１００に送信されているとする。採点の評価基準である述語jは、各試験問題の正解correct_answer₁,correct_answer₂,…を用いてanswer_q=correct_answer_qとなるq∈{1,2,…}の個数が予め定められた一定数を超えたときに真となる述語である。

●ステップＳ４
ユーザ装置３００−ｎの受信部３０９は、評価者装置１００からは暗号文c_jを、採点者装置２００からは秘密鍵sk_iを受信する。そして、ユーザ装置３００−ｎの復号部３０１は、公開パラメータpkと、秘密鍵sk_iと、暗号文c_jとを入力とし、復号アルゴリズムDec(pk,sk_i,c_j)→yを実行し、平文yを得る。
述語変数のインスタンスiが述語jを充足するとき、即ち、ユーザ（解答者）が選択した選択肢choice₁,choice₂,…に関して、choice_q=correct_answer_qとなるq∈{1,2,…}の個数が予め定められた一定数を超えたとき、ユーザ装置３００−ｎの復号部３０１は、ユーザ（解答者）が合格したことを証明する平文y=xを得る。これ以外の場合、ユーザ装置３００−ｎの復号部３０１は、ユーザ（解答者）が不合格であることを意味する平文y=⊥を得る。

[[実施例３]]
この実施例は、復号結果の平文が変化する条件に氏名や受験番号などユーザ（解答者）の識別子に関する条件を含めることによって、なり済ましを防止する形態である。評価対象情報自己評価処理は図４を参照のこと。

●ステップＳ０
採点者装置２００のセットアップ部２０１は、セットアップアルゴリズムSetup(1^λ)→(pk,sk)を実行して、公開パラメータpkとマスター鍵skを生成する。採点者装置２００の制御部（図示しない）は、公開パラメータpkを公開し、マスター鍵skを、採点者装置２００の記憶部２１０に安全に記憶する。このとき、公開パラメータpkに含まれる述語変数に、解答者識別子用変数nameが含まれるとする。

●ステップＳ１
ユーザ装置３００−ｎの受信部３０９は、例えば採点者装置２００から情報（試験問題）を受信する。ユーザ装置３００−ｎの送信部３０８は、解答者識別子用変数nameにユーザ（解答者）の識別子（氏名や受験番号など）name_instanceが設定され、解答用変数に試験問題に対する解答が設定された述語変数のインスタンスiを採点者装置２００に送信する。識別子name_instanceと解答は、通常、ユーザ装置３００−ｎを操作するユーザ（人間）によってユーザ装置３００−ｎに入力される。なお、運用形態によっては、ユーザ装置３００−ｎの受信部３０９が試験問題などの情報をどこかから受信する処理が不要となる場合があることに注意されたい。

●ステップＳ２
採点者装置２００の受信部２０９はユーザ装置３００−ｎから述語変数のインスタンスiを受信する。採点者装置２００の秘密鍵生成部２０２は述語変数のインスタンスiとマスター鍵skを用いて鍵生成アルゴリズムKeyGen(sk,i)→sk_iを実行して秘密鍵sk_iを生成する。そして、採点者装置２００の送信部２０８は秘密鍵sk_iをユーザ装置３００−ｎに送信する。

●ステップＳ３
ユーザ装置３００−ｎの送信部３０８は、識別子name_instanceを評価者装置１００に送信する。

●ステップＳ４
評価者装置１００の受信部１０９は、ユーザ装置３００−ｎからの識別子name_instanceを受信する。そして、評価者装置１００の暗号文生成部１０１は、公開パラメータpkと、採点の評価基準である述語jと、ユーザ（解答者）が合格したことを証明する平文xを用いて暗号化アルゴリズムEnc(pk,j,x)→c_jを実行し、評価者装置１００の送信部１０８は暗号文c_jをユーザ装置３００−ｎに送信する。採点の評価基準である述語jは、例えば事前に採点者装置２００から評価者装置１００に送信されている試験問題の正解だけでなく、解答者識別子用変数nameに関してname=name_instanceの成立も必要条件として含む述語である。

●ステップＳ５
ユーザ装置３００−ｎの受信部３０９は、評価者装置１００からは暗号文c_jを、採点者装置２００からは秘密鍵sk_iを受信する。そして、ユーザ装置３００−ｎの復号部３０１は、公開パラメータpkと、秘密鍵sk_iと、暗号文c_jとを入力とし、復号アルゴリズムDec(pk,sk_i,c_j)→yを実行し、平文yを得る。
述語変数のインスタンスiが述語jを充足するとき、ユーザ装置３００−ｎの復号部３０１は、ユーザ（解答者）が合格したことを証明する平文y=xを得る。このとき、name=name_instanceの成立が必要条件となるので、name≠name_instanceの場合の秘密鍵を用いて暗号文c_jを復号することはできない。これ以外の場合、ユーザ装置３００−ｎの復号部３０１は、ユーザ（解答者）が不合格であることを意味する平文y=⊥を得る。

[[実施例４]]
この実施例は、平文xに評価者の電子署名σを含める事によって、ユーザ（解答者）が解答に応じて適切な評価者の電子署名σを含む平文yを自力で得ることができる形態である。評価対象情報自己評価処理は図５を参照のこと。

●ステップＳ０
採点者装置２００のセットアップ部２０１は、セットアップアルゴリズムSetup(1^λ)→(pk,sk)を実行して、公開パラメータpkとマスター鍵skを生成する。採点者装置２００の制御部（図示しない）は、公開パラメータpkを公開し、マスター鍵skを、採点者装置２００の記憶部２１０に安全に記憶する。このとき、公開パラメータpkに含まれる述語変数に、解答者識別子用変数nameが含まれるとする。

●ステップＳ１
評価者装置１００の鍵生成部１０２は、電子署名用の鍵生成アルゴリズムKeyGen_Σ(1^λ)→(sk_Σ,pk_Σ)を実行し、評価者装置１００の電子署名検証用公開鍵pk_Σを公開し、評価者装置１００の電子署名用秘密鍵sk_Σを評価者装置１００の記憶部１１０に安全に記憶する。電子署名検証用公開鍵pk_Σの「公開」は、公開パラメータpkの「公開」と同様の意味である。

●ステップＳ２
ユーザ装置３００−ｎの受信部３０９は、例えば採点者装置２００から情報（試験問題）を受信する。そして、ユーザ装置３００−ｎの送信部３０８は、解答者識別子用変数nameにユーザ（解答者）の識別子（氏名や受験番号など）name_instanceが設定され、解答用変数ansに試験問題に対する解答ans_instanceが設定された述語変数のインスタンスiを採点者装置２００に送信する。識別子name_instanceと解答ans_instanceは、通常、ユーザ装置３００−ｎを操作するユーザ（人間）によってユーザ装置３００−ｎに入力される。なお、運用形態によっては、ユーザ装置３００−ｎの受信部３０９が試験問題などの情報をどこかから受信する処理が不要となる場合があることに注意されたい。

●ステップＳ３
採点者装置２００の受信部２０９はユーザ装置３００−ｎから述語変数のインスタンスiを受信する。そして、採点者装置２００の秘密鍵生成部２０２は述語変数のインスタンスiとマスター鍵skを用いて鍵生成アルゴリズムKeyGen(sk,i)→sk_iを実行して秘密鍵sk_iを生成し、採点者装置２００の送信部２０８は秘密鍵sk_iをユーザ装置３００−ｎに送信する。

●ステップＳ４
ユーザ装置３００−ｎの送信部３０８は、識別子name_instanceを評価者装置１００に送信する。

●ステップＳ５
評価者装置１００の受信部１０９は、ユーザ装置３００−ｎからの識別子name_instanceを受信する。そして、評価者装置１００の署名生成部１０３は、ユーザ（解答者）が合格したことを証明する情報mに対して、電子署名用秘密鍵sk_Σを用いて署名アルゴリズムSign_Σ(sk_Σ,m)→σを実行する。さらに、評価者装置１００の暗号文生成部１０１は、公開パラメータpkと、採点の評価基準である述語jと、平文x=(m,σ)を用いて暗号化アルゴリズムEnc(pk,j,x)→c_jを実行し、評価者装置１００の送信部１０８は暗号文c_jをユーザ装置３００−ｎに送信する。採点の評価基準である述語jは、例えば事前に採点者装置２００から評価者装置１００に送信されている試験問題の正解だけでなく、解答者識別子用変数nameに関してname=name_instanceの成立も必要条件として含む述語である。平文x=(m,σ)は例えば情報mと電子署名σとのビット結合m‖σである（以下同様）。

●ステップＳ６
ユーザ装置３００−ｎの受信部３０９は、評価者装置１００からは暗号文c_jを、採点者装置２００からは秘密鍵sk_iを受信する。そして、ユーザ装置３００−ｎの復号部３０１は、公開パラメータpkと、秘密鍵sk_iと、暗号文c_jとを入力とし、復号アルゴリズムDec(pk,sk_i,c_j)→yを実行し、平文yを得る。
述語変数のインスタンスiが述語jを充足するとき、ユーザ装置３００−ｎの復号部３０１は平文y=x=(m,σ)、つまり、ユーザ（解答者）が合格したことを証明する情報mと評価者装置１００の電子署名σを得る。また、name=name_instanceの成立が必要条件となるので、name≠name_instanceの場合の秘密鍵を用いて暗号文c_jを復号することはできない。これ以外の場合、ユーザ装置３００−ｎの復号部３０１は、ユーザ（解答者）が不合格であることを意味する平文y=⊥を得る。
なお、ユーザ装置３００−ｎの署名検証部３０２が、電子署名検証用公開鍵pk_Σと署名対象情報mと署名σを入力として、署名検証アルゴリズムVerify_Σ(pk_Σ,m,σ)→0/1を実行し、検証結果(拒絶(0)または受理(1))を得る。この処理によって、平文yの信用性を確認できる。

[[実施例４の変形例]]
この実施例は、実施例４の変形例である。実施例４では公開パラメータpkに含まれる述語変数に解答者識別子用変数nameが含まれたが、この変形例では、述語変数に解答者識別子用変数nameが含まれない。評価対象情報自己評価処理は図５を参照のこと。

●ステップＳ０
採点者装置２００のセットアップ部２０１は、セットアップアルゴリズムSetup(1^λ)→(pk,sk)を実行して、公開パラメータpkとマスター鍵skを生成する。採点者装置２００の制御部（図示しない）は、公開パラメータpkを公開し、マスター鍵skを、採点者装置２００の記憶部２１０に安全に記憶する。

●ステップＳ１
評価者装置１００の鍵生成部１０２は、電子署名用の鍵生成アルゴリズムKeyGen_Σ(1^λ)→(sk_Σ,pk_Σ)を実行し、評価者装置１００の電子署名検証用公開鍵pk_Σを公開し、評価者装置１００の電子署名用秘密鍵sk_Σを評価者装置１００の記憶部１１０に安全に記憶する。電子署名検証用公開鍵pk_Σの「公開」は、公開パラメータpkの「公開」と同様の意味である。

●ステップＳ２
ユーザ装置３００−ｎの受信部３０９は、例えば採点者装置２００から情報（試験問題）を受信する。そして、ユーザ装置３００−ｎの送信部３０８は、解答用変数ansに試験問題に対する解答ans_instanceが設定された述語変数のインスタンスiを採点者装置２００に送信する。解答ans_instanceは、通常、ユーザ装置３００−ｎを操作するユーザ（人間）によってユーザ装置３００−ｎに入力される。なお、運用形態によっては、ユーザ装置３００−ｎの受信部３０９が試験問題などの情報をどこかから受信する処理が不要となる場合があることに注意されたい。

●ステップＳ３
採点者装置２００の受信部２０９はユーザ装置３００−ｎから述語変数のインスタンスiを受信する。そして、採点者装置２００の秘密鍵生成部２０２は述語変数のインスタンスiとマスター鍵skを用いて鍵生成アルゴリズムKeyGen(sk,i)→sk_iを実行して秘密鍵sk_iを生成し、採点者装置２００の送信部２０８は秘密鍵sk_iをユーザ装置３００−ｎに送信する。

●ステップＳ４
評価者装置１００の署名生成部１０３は、ユーザ（解答者）が合格したことを証明する情報mに対して、電子署名用秘密鍵sk_Σを用いて署名アルゴリズムSign_Σ(sk_Σ,m)→σを実行する。さらに、評価者装置１００の暗号文生成部１０１は、公開パラメータpkと、採点の評価基準である述語jと、平文x=(m,σ)を用いて暗号化アルゴリズムEnc(pk,j,x)→c_jを実行し、評価者装置１００の送信部１０８は暗号文c_jをユーザ装置３００−ｎに送信する。採点の評価基準である述語jは、例えば事前に採点者装置２００から評価者装置１００に送信されている試験問題の正解を必要条件として含む述語である。

●ステップＳ５
ユーザ装置３００−ｎの受信部３０９は、評価者装置１００からは暗号文c_jを、採点者装置２００からは秘密鍵sk_iを受信する。そして、ユーザ装置３００−ｎの復号部３０１は、公開パラメータpkと、秘密鍵sk_iと、暗号文c_jとを入力とし、復号アルゴリズムDec(pk,sk_i,c_j)→yを実行し、平文yを得る。
述語変数のインスタンスiが述語jを充足するとき、ユーザ装置３００−ｎの復号部３０１は平文y=x=(m,σ)、つまり、ユーザ（解答者）が合格したことを証明する情報mと評価者装置１００の電子署名σを得る。これ以外の場合、ユーザ装置３００−ｎの復号部３０１は、ユーザ（解答者）が不合格であることを意味する平文y=⊥を得る。
なお、ユーザ装置３００−ｎの署名検証部３０２が、電子署名検証用公開鍵pk_Σと署名対象情報mと署名σを入力として、署名検証アルゴリズムVerify_Σ(pk_Σ,m,σ)→0/1を実行し、検証結果(拒絶(0)または受理(1))を得る。この処理によって、平文yの信用性を確認できる。

[[実施例５]]
この実施例は、電子署名の対象となる文書にユーザ（解答者）の識別子を含めることによって、なり済ましを防止する形態である。評価対象情報自己評価処理は図５を参照のこと。

●ステップＳ０
採点者装置２００のセットアップ部２０１は、セットアップアルゴリズムSetup(1^λ)→(pk,sk)を実行して、公開パラメータpkとマスター鍵skを生成する。採点者装置２００の制御部（図示しない）は、公開パラメータpkを公開し、マスター鍵skを、採点者装置２００の記憶部２１０に安全に記憶する。このとき、公開パラメータpkに含まれる述語変数に、解答者識別子用変数nameが含まれるとする。

●ステップＳ１
評価者装置１００の鍵生成部１０２は、電子署名用の鍵生成アルゴリズムKeyGen_Σ(1^λ)→(sk_Σ,pk_Σ)を実行し、評価者装置１００の電子署名検証用公開鍵pk_Σを公開し、評価者装置１００の電子署名用秘密鍵sk_Σを評価者装置１００の記憶部１１０に安全に記憶する。電子署名検証用公開鍵pk_Σの「公開」は、公開パラメータpkの「公開」と同様の意味である。

●ステップＳ２
ユーザ装置３００−ｎの受信部３０９は、例えば採点者装置２００から情報（試験問題）を受信する。そして、ユーザ装置３００−ｎの送信部３０８は、解答者識別子用変数nameにユーザ（解答者）の識別子（氏名や受験番号など）name_instanceが設定され、解答用変数ansに試験問題に対する解答ans_instanceが設定された述語変数のインスタンスiを採点者装置２００に送信する。識別子name_instanceと解答ans_instanceは、通常、ユーザ装置３００−ｎを操作するユーザ（人間）によってユーザ装置３００−ｎに入力される。なお、運用形態によっては、ユーザ装置３００−ｎの受信部３０９が試験問題などの情報をどこかから受信する処理が不要となる場合があることに注意されたい。

●ステップＳ３
採点者装置２００の受信部２０９はユーザ装置３００−ｎから述語変数のインスタンスiを受信する。そして、採点者装置２００の秘密鍵生成部２０２は述語変数のインスタンスiとマスター鍵skを用いて鍵生成アルゴリズムKeyGen(sk,i)→sk_iを実行して秘密鍵sk_iを生成し、採点者装置２００の送信部２０８は秘密鍵sk_iをユーザ装置３００−ｎに送信する。

●ステップＳ４
ユーザ装置３００−ｎの送信部３０８は、識別子name_instanceを評価者装置１００に送信する。

●ステップＳ５
評価者装置１００の受信部１０９は、ユーザ装置３００−ｎからの識別子name_instanceを受信する。そして、評価者装置１００の署名生成部１０３は、受信した識別子name_instanceを用いて、当該識別子name_instanceで特定される者が合格したことを証明する情報mに対して、電子署名用秘密鍵sk_Σを用いて署名アルゴリズムSign_Σ(sk_Σ,m)→σを実行する。さらに、評価者装置１００の暗号文生成部１０１は、公開パラメータpkと、採点の評価基準である述語jと、平文x=(m,σ)を用いて暗号化アルゴリズムEnc(pk,j,x)→c_jを実行し、評価者装置１００の送信部１０８は暗号文c_jをユーザ装置３００−ｎに送信する。採点の評価基準である述語jは、例えば事前に採点者装置２００から評価者装置１００に送信されている試験問題の正解だけでなく、解答者識別子用変数nameに関してname=name_instanceの成立も必要条件として含む述語である。

●ステップＳ６
ユーザ装置３００−ｎの受信部３０９は、評価者装置１００からは暗号文c_jを、採点者装置２００からは秘密鍵sk_iを受信する。そして、ユーザ装置３００−ｎの復号部３０１は、公開パラメータpkと、秘密鍵sk_iと、暗号文c_jとを入力とし、復号アルゴリズムDec(pk,sk_i,c_j)→yを実行し、平文yを得る。
述語変数のインスタンスiが述語jを充足するとき、ユーザ装置３００−ｎの復号部３０１は平文y=x=(m,σ)、つまり、識別子name_instanceで特定される者が合格したことが合格したことを証明する情報mと評価者装置１００の電子署名σを得る。また、name=name_instanceの成立が必要条件となるので、name≠name_instanceの場合の秘密鍵を用いて暗号文c_jを復号することはできない。これ以外の場合、ユーザ装置３００−ｎの復号部３０１は、ユーザ（解答者）が不合格であることを意味する平文y=⊥を得る。
なお、ユーザ装置３００−ｎの署名検証部３０２が、電子署名検証用公開鍵pk_Σと署名対象情報mと署名σを入力として、署名検証アルゴリズムVerify_Σ(pk_Σ,m,σ)→0/1を実行し、検証結果(拒絶(0)または受理(1))を得る。この処理によって、平文yの信用性を確認できる。

[[実施例６]]
この実施例は、関数型暗号として、秘密鍵検証可能関数型暗号を用いることによって、採点者装置の出力する秘密鍵がユーザ（解答者）の解答を正しく反映していることをユーザ（解答者）が納得できることを特徴とする形態である。評価対象情報自己評価処理は図６を参照のこと。

●ステップＳ０
採点者装置２００のセットアップ部２０１は、セットアップアルゴリズムSetup(1^λ)→(pk,sk)を実行して、公開パラメータpkとマスター鍵skを生成する。採点者装置２００の制御部（図示しない）は、公開パラメータpkを公開し、マスター鍵skを、採点者装置２００の記憶部２１０に安全に記憶する。

●ステップＳ１
ユーザ装置３００−ｎの受信部３０９は、例えば採点者装置２００から情報（試験問題）を受信する。そして、ユーザ装置３００−ｎの送信部３０８は試験問題の解答iを採点者装置２００に送信する。解答iは、通常、ユーザ装置３００−ｎを操作するユーザ（人間）によってユーザ装置３００−ｎに入力される。なお、運用形態によっては、ユーザ装置３００−ｎの受信部３０９が試験問題などの情報をどこかから受信する処理が不要となる場合があることに注意されたい。

●ステップＳ２
採点者装置２００の受信部２０９はユーザ装置３００−ｎから解答iを受信する。そして、採点者装置２００の秘密鍵生成部２０２は、解答iとマスター鍵skを用いて鍵生成アルゴリズムKeyGen(sk,i)→sk_iを実行して秘密鍵sk_iを生成し、さらに、秘密鍵sk_iが正しく鍵生成アルゴリズムKeyGen(sk,i)→sk_iによって生成されたことを証明する非対話零知識証明φ_iを生成する。そして、採点者装置２００の送信部２０８は秘密鍵sk_iと非対話零知識証明φ_iとの組(sk_i,φ_i)をユーザ装置３００−ｎに送信する。

●ステップＳ３
評価者装置１００の暗号文生成部１０１は、公開パラメータpkと、採点の評価基準jと、ユーザ（解答者）が合格したことを証明する平文xを用いて暗号化アルゴリズムEnc(pk,j,x)→c_jを実行し、評価者装置１００の送信部１０８は暗号文c_jをユーザ装置３００−ｎに送信する。採点の評価基準jは、例えば事前に採点者装置２００から評価者装置１００に送信されているとする。

●ステップＳ４
ユーザ装置３００−ｎの受信部３０９は、評価者装置１００からは暗号文c_jを、採点者装置２００からは秘密鍵sk_iと非対話零知識証明φ_iとの組(sk_i,φ_i)を受信する。ユーザ装置３００−ｎの知識証明部３０３は、非対話零知識証明φ_iを用いて非対話零知識証明を実行し、鍵生成アルゴリズムに納得がいかない場合には、復号処理を行わない。ユーザ装置３００−ｎの復号部３０１は、公開パラメータpkと、秘密鍵sk_iと、暗号文c_jとを入力とし、復号アルゴリズムDec(pk,sk_i,c_j)→yを実行し、平文yを得る。
R(i,j)=Trueのとき、これは解答iが評価基準jを満足する、つまり解答iが正解である場合であるから、ユーザ装置３００−ｎの復号部３０１は、ユーザ（解答者）が合格したことを証明する平文y=xを得る。R(i,j)=Falseのとき、これは解答iが評価基準jを満足しない、つまり解答iが誤答である場合であるから、ユーザ装置３００−ｎの復号部３０１は、ユーザ（解答者）が不合格であることを意味する平文y=⊥を得る。

[[実施例７]]
この実施例は、関数型暗号として、暗号文公開検証可能関数型暗号を用いることによって、評価者装置が出力する暗号文が正しく作成されており、評価が正しく行われることをユーザ（解答者）が納得できることを特徴とする形態である。評価対象情報自己評価処理は図７を参照のこと。

●ステップＳ０
採点者装置２００のセットアップ部２０１は、セットアップアルゴリズムSetup(1^λ)→(pk,sk)を実行して、公開パラメータpkとマスター鍵skを生成する。採点者装置２００の制御部（図示しない）は、公開パラメータpkを公開し、マスター鍵skを、採点者装置２００の記憶部２１０に安全に記憶する。

●ステップＳ１
ユーザ装置３００−ｎの受信部３０９は、例えば採点者装置２００から情報（試験問題）を受信する。そして、ユーザ装置３００−ｎの送信部３０８は試験問題の解答iを採点者装置２００に送信する。解答iは、通常、ユーザ装置３００−ｎを操作するユーザ（人間）によってユーザ装置３００−ｎに入力される。なお、運用形態によっては、ユーザ装置３００−ｎの受信部３０９が試験問題などの情報をどこかから受信する処理が不要となる場合があることに注意されたい。

●ステップＳ２
採点者装置２００の受信部２０９はユーザ装置３００−ｎから解答iを受信する。そして、採点者装置２００の秘密鍵生成部２０２は、解答iとマスター鍵skを用いて鍵生成アルゴリズムKeyGen(sk,i)→sk_iを実行して秘密鍵sk_iを生成する。そして、採点者装置２００の送信部２０８は秘密鍵sk_iをユーザ装置３００−ｎに送信する。

●ステップＳ３
評価者装置１００の暗号文生成部１０１は、公開パラメータpkと、採点の評価基準jと、ユーザ（解答者）が合格したことを証明する平文xを用いて暗号化アルゴリズムEnc(pk,j,x)→c_jを実行して暗号文c_jを生成し、さらに、暗号文c_jが正しく暗号化アルゴリズムEnc(pk,j,x)→c_jによって生成されたことを証明する非対話零知識証明φ_jを生成する。そして、評価者装置１００の送信部１０８は暗号文c_jと非対話零知識証明φ_iとの組(c_j,φ_i)をユーザ装置３００−ｎに送信する。採点の評価基準jは、例えば事前に採点者装置２００から評価者装置１００に送信されているとする。

●ステップＳ４
ユーザ装置３００−ｎの受信部３０９は、評価者装置１００からは暗号文c_jと非対話零知識証明φ_iとの組(c_j,φ_i)を、採点者装置２００からは秘密鍵sk_iを受信する。ユーザ装置３００−ｎの知識証明部３０３は、非対話零知識証明φ_jを用いて非対話零知識証明を実行し、暗号化アルゴリズムに納得がいかない場合には、復号処理を行わない。ユーザ装置３００−ｎの復号部３０１は、公開パラメータpkと、秘密鍵sk_iと、暗号文c_jとを入力とし、復号アルゴリズムDec(pk,sk_i,c_j)→yを実行し、平文yを得る。
R(i,j)=Trueのとき、これは解答iが評価基準jを満足する、つまり解答iが正解である場合であるから、ユーザ装置３００−ｎの復号部３０１は、ユーザ（解答者）が合格したことを証明する平文y=xを得る。R(i,j)=Falseのとき、これは解答iが評価基準jを満足しない、つまり解答iが誤答である場合であるから、ユーザ装置３００−ｎの復号部３０１は、ユーザ（解答者）が不合格であることを意味する平文y=⊥を得る。

[[実施例８]]
実施例２にてステップＳ３の処理をステップＳ１の処理よりも前に実行した場合、一般に暗号文ポリシー関数型暗号は述語秘匿の安全性を持たない為にユーザ（解答者）はステップＳ３で得られた述語からcorrect_answer_qを抽出してchoice_q←correct_answer_qとすることで、常に正答を得ることができてしまう。この攻撃を防ぐためには述語秘匿の安全性を持つ関数型暗号、即ち述語暗号を用いればよい。この実施例は、述語暗号を用いることによって、解答前に暗号文を配布しても評価者の評価基準をユーザ（解答者）から秘匿可能なことを特徴とする形態であり、述語暗号(Setup,KeyGen,Enc,Dec)を用いた評価対象情報自己評価システム（自己採点システム）は次のように構成できる。評価対象情報自己評価処理は図８を参照のこと。

●ステップＳ０
採点者装置２００のセットアップ部２０１は、セットアップアルゴリズムSetup(1^λ)→(pk,sk)を実行して、公開パラメータpkとマスター鍵skを生成する。採点者装置２００の制御部（図示しない）は、公開パラメータpkを公開し、マスター鍵skを、採点者装置２００の記憶部２１０に安全に記憶する。このとき、公開パラメータpkに含まれる述語変数に、解答用変数answer₁,answer₂,…が含まれるとする。

●ステップＳ１
評価者装置１００の暗号文生成部１０１は、公開パラメータpkと、採点の評価基準である述語jと、ユーザ（解答者）が合格したことを証明する平文xを用いて暗号化アルゴリズムEnc(pk,j,x)→c_jを実行し、評価者装置１００の送信部１０８は暗号文c_jをユーザ装置３００−ｎに送信する。採点の評価基準である述語jは、例えば事前に採点者装置２００から評価者装置１００に送信されているとする。採点の評価基準である述語jは、各試験問題の正解correct_answer₁,correct_answer₂,…を用いてanswer_q=correct_answer_qとなるq∈{1,2,…}の個数が予め定められた一定数を超えたときに真となる述語である。ユーザ装置３００−ｎの受信部３０９は、評価者装置１００からは暗号文c_jを受信する。

●ステップＳ２
ユーザ装置３００−ｎの受信部３０９は、例えば採点者装置２００から情報（選択式試験問題）を受信する。そして、ユーザ装置３００−ｎの送信部３０８は、解答用変数answer₁,answer₂,…に各試験問題に対する解答である選択肢choice₁,choice₂,…が設定された述語変数のインスタンスiを採点者装置２００に送信する。選択肢choice₁,choice₂,…は、通常、ユーザ装置３００−ｎを操作するユーザ（人間）によってユーザ装置３００−ｎに入力される。なお、運用形態によっては、ユーザ装置３００−ｎの受信部３０９が試験問題などの情報をどこかから受信する処理が不要となる場合があることに注意されたい。

●ステップＳ３
採点者装置２００の受信部２０９はユーザ装置３００−ｎから述語変数のインスタンスiを受信する。そして、採点者装置２００の秘密鍵生成部２０２は述語変数のインスタンスiとマスター鍵skを用いて鍵生成アルゴリズムKeyGen(sk,i)→sk_iを実行して秘密鍵sk_iを生成し、採点者装置２００の送信部２０８は秘密鍵sk_iをユーザ装置３００−ｎに送信する。

●ステップＳ４
ユーザ装置３００−ｎの受信部３０９は、採点者装置２００から秘密鍵sk_iを受信する。そして、ユーザ装置３００−ｎの復号部３０１は、公開パラメータpkと、秘密鍵sk_iと、暗号文c_jとを入力とし、復号アルゴリズムDec(pk,sk_i,c_j)→yを実行し、平文yを得る。
述語変数のインスタンスiが述語jを充足するとき、即ち、ユーザ（解答者）が選択した選択肢choice₁,choice₂,…に関して、choice_q=correct_answer_qとなるq∈{1,2,…}の個数が予め定められた一定数を超えたとき、ユーザ装置３００−ｎの復号部３０１は、ユーザ（解答者）が合格したことを証明する平文y=xを得る。これ以外の場合、ユーザ装置３００−ｎの復号部３０１は、ユーザ（解答者）が不合格であることを意味する平文y=⊥を得る。
述語暗号(Setup,KeyGen,Enc,Dec)の述語秘匿の性質によって、ユーザ（解答者）は暗号文c_jから述語jに関する如何なる情報も得ることはできないので、先述の攻撃を防止できる。

[[実施例９]]
この実施例は、閾値ゲートを用いることを特徴とする形態である。評価対象情報自己評価処理は図３を参照のこと。

●ステップＳ０
採点者装置２００のセットアップ部２０１は、セットアップアルゴリズムSetup(1^λ)→(pk,sk)を実行して、公開パラメータpkとマスター鍵skを生成する。採点者装置２００の制御部（図示しない）は、公開パラメータpkを公開し、マスター鍵skを、採点者装置２００の記憶部２１０に安全に記憶する。このとき、公開パラメータpkに含まれる述語変数に、解答用変数answer₁,answer₂,…,answer_Qが含まれるとする。Qは２以上の予め定められた整数である。

●ステップＳ１
ユーザ装置３００−ｎの受信部３０９は、例えば採点者装置２００から情報（選択式試験問題）を受信する。そして、ユーザ装置３００−ｎの送信部３０８は、解答用変数answer₁,answer₂,…,answer_Qに各試験問題に対する解答である選択肢choice₁,choice₂,…,choice_Qが設定された述語変数のインスタンスiを採点者装置２００に送信する。選択肢choice₁,choice₂,…,choice_Qは、通常、ユーザ装置３００−ｎを操作するユーザ（人間）によってユーザ装置３００−ｎに入力される。なお、運用形態によっては、ユーザ装置３００−ｎの受信部３０９が試験問題などの情報をどこかから受信する処理が不要となる場合があることに注意されたい。

●ステップＳ２
採点者装置２００の受信部２０９はユーザ装置３００−ｎから述語変数のインスタンスiを受信する。そして、採点者装置２００の秘密鍵生成部２０２は述語変数のインスタンスiとマスター鍵skを用いて鍵生成アルゴリズムKeyGen(sk,i)→sk_iを実行して秘密鍵sk_iを生成し、採点者装置２００の送信部２０８は秘密鍵sk_iをユーザ装置３００−ｎに送信する。

●ステップＳ３
評価者装置１００の暗号文生成部１０１は、公開パラメータpkと、採点の評価基準である述語jと、ユーザ（解答者）が合格したことを証明する平文xを用いて暗号化アルゴリズムEnc(pk,j,x)→c_jを実行し、評価者装置１００の送信部１０８は暗号文c_jをユーザ装置３００−ｎに送信する。採点の評価基準である述語jは、例えば事前に採点者装置２００から評価者装置１００に送信されているとする。採点の評価基準である述語jは、各試験問題の正解correct_answer₁,correct_answer₂,…,correct_answer_Qを用いてq∈{1,2,…,Q}に関してanswer_q=correct_answer_qとなる述語を入力とするb-out-of-Q閾値ゲートで構成された述語である（つまりQ問中b問以上の正解で合格する評価基準である）。bは１以上の予め定められた整数である。

●ステップＳ４
ユーザ装置３００−ｎの受信部３０９は、評価者装置１００からは暗号文c_jを、採点者装置２００からは秘密鍵sk_iを受信する。そして、ユーザ装置３００−ｎの復号部３０１は、公開パラメータpkと、秘密鍵sk_iと、暗号文c_jとを入力とし、復号アルゴリズムDec(pk,sk_i,c_j)→yを実行し、平文yを得る。
述語変数のインスタンスiが述語jを充足するとき、即ち、ユーザ（解答者）が選択した選択肢choice₁,choice₂,…,choice_Qに関して、choice_q=correct_answer_qとなるq∈{1,2,…,Q}の個数がb以上のとき、ユーザ装置３００−ｎの復号部３０１は、ユーザ（解答者）が合格したことを証明する平文y=xを得る。これ以外の場合、ユーザ装置３００−ｎの復号部３０１は、ユーザ（解答者）が不合格であることを意味する平文y=⊥を得る。

[[実施例１０]]
この実施例は、複数の暗号文をユーザ（解答者）に与えることによって、ユーザ（解答者）の相対的な順位に依存して評価が行えることを特徴とする形態である。評価対象情報自己評価処理は図９を参照のこと。

●ステップＳ０
採点者装置２００のセットアップ部２０１は、セットアップアルゴリズムSetup(1^λ)→(pk,sk)を実行して、公開パラメータpkとマスター鍵skを生成する。採点者装置２００の制御部（図示しない）は、公開パラメータpkを公開し、マスター鍵skを、採点者装置２００の記憶部２１０に安全に記憶する。このとき、公開パラメータpkに含まれる述語変数に、解答用変数answer₁,answer₂,…,answer_Qが含まれるとする。Qは２以上の予め定められた整数である。

●ステップＳ１
ユーザ装置３００−ｎの受信部３０９は、例えば採点者装置２００から情報（選択式試験問題）を受信する。そして、ユーザ装置３００−ｎの送信部３０８は、解答用変数answer₁,answer₂,…,answer_Qに各試験問題に対する解答である選択肢choice₁,choice₂,…,choice_Qが設定された述語変数のインスタンスiを採点者装置２００に送信する。選択肢choice₁,choice₂,…,choice_Qは、通常、ユーザ装置３００−ｎを操作するユーザ（人間）によってユーザ装置３００−ｎに入力される。なお、運用形態によっては、ユーザ装置３００−ｎの受信部３０９が試験問題などの情報をどこかから受信する処理が不要となる場合があることに注意されたい。

●ステップＳ２
採点者装置２００の受信部２０９はユーザ装置３００−ｎから述語変数のインスタンスiを受信する。そして、採点者装置２００の秘密鍵生成部２０２は述語変数のインスタンスiとマスター鍵skを用いて鍵生成アルゴリズムKeyGen(sk,i)→sk_iを実行して秘密鍵sk_iを生成し、採点者装置２００の送信部２０８は秘密鍵sk_iをユーザ装置３００−ｎに送信する。

●ステップＳ３
評価者装置１００の暗号文生成部１０１は、公開パラメータpkと、採点の評価基準である各t（t∈{1,2,…,Q}）に対応した述語j_tと、ユーザ（解答者）がt問以上正解したことを証明する平文x_tを用いて、各t（t∈{1,2,…,Q}）について暗号化アルゴリズムEnc(pk,j_t,x_t)→c_jtを実行し、Q個の暗号文c_jtを生成する。そして、評価者装置１００の送信部１０８はQ個の暗号文c_jtをユーザ装置３００−ｎに送信する。採点の評価基準である述語j_t（t∈{1,2,…,Q}）は、例えば事前に採点者装置２００から評価者装置１００に送信されているとする。採点の評価基準である述語j_t（t∈{1,2,…,Q}）は、各試験問題の正解correct_answer₁,correct_answer₂,…,correct_answer_Qを用いてq∈{1,2,…,Q}に関してanswer_q=correct_answer_qとなる述語を入力とするt-out-of-Q閾値ゲートで構成された述語である（つまりQ問中t問以上の正解で合格する評価基準である）。

●ステップＳ４
ユーザ装置３００−ｎの受信部３０９は、評価者装置１００からはQ個の暗号文c_jtを、採点者装置２００からは秘密鍵sk_iを受信する。そして、ユーザ装置３００−ｎの復号部３０１は、公開パラメータpkと、秘密鍵sk_iと、Q個の暗号文c_jtのうちの一つとを入力とし、各t（t∈{1,2,…,Q}）について復号アルゴリズムDec(pk,sk_i,c_jt)→y_tを実行し、平文y_tを得る。そして、ユーザ装置３００−ｎの送信部３０８は、正常に復号できたy_t=x_tについて最大のtに対応する平文x_tを評価者装置１００に送信する。
Q=10として具体的に説明すると、ユーザ（解答者）が選択した選択肢choice₁,choice₂,…,choice₁₀に関してchoice_q=correct_answer_qとなるq∈{1,2,…,Q}の個数が8のとき、述語変数のインスタンスiは述語j_t（t∈{1,2,…,8}）を充足するが、述語j_t（t∈{9,10}）を充足しない。よって、t∈{1,2,…,8}についてy_t=x_tとなるが、t∈{9,10}についてy_t=⊥となる。従って、ユーザ装置３００−ｎの送信部３０８は、y_t=x_tを満たす最大のt=8に対応する平文x₈を評価者装置１００に送信することになる。

●ステップＳ５
評価者装置１００の受信部１０９は、ユーザ装置３００−ｎから平文x_tを受信する。ユーザ装置３００−ｎ（n∈{1,2,…,N}）は全部でＮ個なので、評価者装置１００には、Ｎ個の平文x_tが集まる。そこで、平文x_tとユーザ装置３００−ｎ（n∈{1,2,…,N}）との対応関係を明示するため、ユーザ装置３００−ｎから受信した平文x_tをx_{t_n}と表すことにする。評価者装置１００のソート判定部１０４は、tに関してソートを実行し、tが大きい方から平文x_{t_n}を並べ、tが予め定められた選別基準T以上を満たす平文x_{t_n}を送信してきたユーザ装置３００−ｎを合格と判定する。選別基準Tは、試験問題の例であれば合格点や合格者として採用する人数に相当する。評価者装置１００は、合格と判定されたユーザ装置３００−ｎの識別子を公開するか、当該ユーザ装置３００−ｎに対して合格したことを表す情報を送信する。ここで、合格と判定されたユーザ装置３００−ｎの識別子の「公開」は、公開パラメータpkの「公開」と同様の意味である。
Q=10，T=7（ただし、選別基準Tは合格点とする），N=6とし、6個のユーザ装置から評価者装置１００に集まった平文を、x_{2_1}，x_{10_2}，x_{8_3}，x_{3_4}，x_{4_5}，x_{7_6}として具体的に説明する。ソート判定部１０４は、tに関してソートを実行し、tの大きい方から平文x_{t_n}を並べてx_{10_2}，x_{8_3}，x_{7_6}，x_{4_5}，x_{3_4}，x_{2_1}という並びを得る。T=7であるから、ソート判定部１０４は、x_{10_2}，x_{8_3}，x_{7_6}が合格と判定される平文であると特定し、これらの平文を送信してきたユーザ装置３００−２，３００−３，３００−６を合格と判定する。
なお、ソート判定部１０４がユーザ装置３００−ｎから受信した平文のソートを実行可能であるためには、試験問題における正答数ないし得点のように、あるいは、t-out-of-Q閾値ゲートの閾値tのように、ソート対象がいわゆる順序関係を持つことが前提となっている。

[[実施例１１]]
この実施例は、必要に応じて逐次、新しい評価基準を持つ暗号文をユーザ（解答者）に与えることによって、ユーザ（解答者）の相対的な順位に依存して評価が行えることを特徴とする形態である。評価対象情報自己評価処理は図１０を参照のこと。

●ステップＳ０
採点者装置２００のセットアップ部２０１は、セットアップアルゴリズムSetup(1^λ)→(pk,sk)を実行して、公開パラメータpkとマスター鍵skを生成する。採点者装置２００の制御部（図示しない）は、公開パラメータpkを公開し、マスター鍵skを、採点者装置２００の記憶部２１０に安全に記憶する。このとき、公開パラメータpkに含まれる述語変数に、解答用変数answer₁,answer₂,…,answer_Qが含まれるとする。Qは２以上の予め定められた整数である。

●ステップＳ１
ユーザ装置３００−ｎの受信部３０９は、例えば採点者装置２００から情報（選択式試験問題）を受信する。そして、ユーザ装置３００−ｎの送信部３０８は、解答用変数answer₁,answer₂,…,answer_Qに各試験問題に対する解答である選択肢choice₁,choice₂,…,choice_Qが設定された述語変数のインスタンスiを採点者装置２００に送信する。選択肢choice₁,choice₂,…,choice_Qは、通常、ユーザ装置３００−ｎを操作するユーザ（人間）によってユーザ装置３００−ｎに入力される。なお、運用形態によっては、ユーザ装置３００−ｎの受信部３０９が試験問題などの情報をどこかから受信する処理が不要となる場合があることに注意されたい。

●ステップＳ２
採点者装置２００の受信部２０９はユーザ装置３００−ｎから述語変数のインスタンスiを受信する。そして、採点者装置２００の秘密鍵生成部２０２は述語変数のインスタンスiとマスター鍵skを用いて鍵生成アルゴリズムKeyGen(sk,i)→sk_iを実行して秘密鍵sk_iを生成し、採点者装置２００の送信部２０８は秘密鍵sk_iをユーザ装置３００−ｎに送信する。

●ステップＳ３
評価者装置１００の暗号文生成部１０１は、公開パラメータpkと、採点の評価基準であるt（ここでtは、集合{1,2,…,Q}から選択された一つの値である）に対応した述語j_tと、ユーザ（解答者）がt問以上正解したことを証明する平文x_tを用いて、当該tについて暗号化アルゴリズムEnc(pk,j_t,x_t)→c_jtを実行し、１個の暗号文c_jtを生成する。そして、評価者装置１００の送信部１０８は当該暗号文c_jtをユーザ装置３００−ｎに送信する。採点の評価基準である述語j_tは、例えば事前に採点者装置２００から評価者装置１００に送信されているとする。採点の評価基準である述語j_tは、各試験問題の正解correct_answer₁,correct_answer₂,…,correct_answer_Qを用いてq∈{1,2,…,Q}に関してanswer_q=correct_answer_qとなる述語を入力とするt-out-of-Q閾値ゲートで構成された述語である（つまりQ問中t問以上の正解で合格する評価基準である）。
なお、後述するステップＳ６の処理によってステップＳ３の処理が２回以上実行される可能性があり、tはステップＳ３の処理が実行されるたびに更新される。過去においてステップＳ３の処理が実行される際に選択されたtの値の集合をSet_pとすると、新しくステップＳ３の処理が実行される際に選択されるtの値は、集合{1,2,…,Q}-Set_pから選択される。例えば、tが属する集合が正整数の大小を順序関係とする順序集合{1,2,…,Q}であって、上記選別基準Tが順序集合{1,2,…,Q}の元の大小に依存する場合には、例えばtの初期値を順序集合{1,2,…,Q}に含まれる最大元Qとし、後述するステップＳ６の処理を受けてステップＳ３の処理が実行される際に用いられるtを、一つ前に実行されたステップＳ３の処理で用いられたtの値から１を引いた値とすればよい。具体的には、上記選別基準Tが合格者として採用する人数である場合には、通常、成績上位者（正答数が多い者であり、正答数は順序集合{1,2,…,Q}に属する元（値）である）を合格とするから、tの初期値を順序集合{1,2,…,Q}に含まれる最大元Qとし、後述するステップＳ６の処理を受けてステップＳ３の処理が実行される際に用いられるtを、一つ前に実行されたステップＳ３の処理で用いられたtの値から１を引いた値とすることによって、効率良く成績上位者を決定できることになる。もちろん、運用形態に応じて、例えばtの初期値を順序集合{1,2,…,Q}に含まれる最小元１とし、後述するステップＳ６の処理を受けてステップＳ３の処理が実行される際に用いられるtを、一つ前に実行されたステップＳ３の処理で用いられたtの値に１を加えた値としてもよい。

●ステップＳ４
ユーザ装置３００−ｎの受信部３０９は、評価者装置１００からは１個の暗号文c_jtを、採点者装置２００からは秘密鍵sk_iを受信する。そして、ユーザ装置３００−ｎの復号部３０１は、公開パラメータpkと、秘密鍵sk_iと、暗号文c_jtとを入力とし、復号アルゴリズムDec(pk,sk_i,c_jt)→y_tを実行し、平文y_tを得る。そして、ユーザ装置３００−ｎの送信部３０８は、正常に復号できたならば平文y_t=x_tを評価者装置１００に送信する。

●ステップＳ５
評価者装置１００の受信部１０９は、ユーザ装置３００−ｎから平文x_tを受信する。評価者装置１００の平文判定部１０５は、ユーザ装置３００−ｎから受信した平文x_tが、ステップＳ３の処理で用いられた「ユーザ（解答者）がt問以上正解したことを証明する平文x_t」と一致するならば、当該ユーザ装置３００−ｎを合格と判定する。ユーザ装置３００−ｎ（n∈{1,2,…,N}）は全部でＮ個なので、評価者装置１００には、最大でもＮ個の平文x_tが集まることになることに留意されたい。なお、平文判定部１０５は、ステップＳ５の処理が実行されるたびに（後述するステップＳ６の処理によってステップＳ３の処理が実行されることに応じて、ステップＳ５の処理が２回以上行われる可能性がある）、合格と判定されたユーザ装置３００の数を累積計上する。累積計上された合格者総数を表す変数をPとする。Pの初期値は0である。平文判定部１０５は、一つ前に実行されたステップＳ５の処理で得られたPの値（一つ前に実行されたステップＳ５の処理がなければPの初期値）に、現在のステップＳ５の処理で得られた「合格と判定されたユーザ装置３００の数」を加える。

●ステップＳ６
評価者装置１００の制御部１０７は、選別基準Tを合格者として採用する人数とし、φを空集合として、{1,2,…,Q}-Set_p≠φ且つP＜Tならば、ステップＳ３の処理を実行する制御を行い、それ以外の場合には、一連の処理を終了する制御を行う。

上述の各実施例では、評価者装置１００と運用者装置２００とが異なる装置として説明したが、既述のように評価者装置１００と運用者装置２００とが同一であってもよく、この場合、上述の各実施例の説明において、例えば「採点者装置２００」を「評価者装置１００」に読み替えればよい。

上述の実施例は、必ずしも暗号文ポリシー関数型暗号による実施に限定されるものではなく、鍵ポリシー関数型暗号による実施も可能である。

例えば、上述の実施例２では、
（１）暗号文ポリシー関数型暗号による実施例として、述語変数に解答用変数answer₁,answer₂,…が含まれており、
（２）ユーザ装置では、解答用変数answer₁,answer₂,…に各試験問題に対する解答である選択肢choice₁,choice₂,…が設定された述語変数のインスタンスiが生成され、
（３）採点者装置では、述語変数のインスタンスiとマスター鍵skを用いた鍵生成アルゴリズムKeyGen(sk,i)→sk_iによって秘密鍵sk_iが生成され、
（４）評価者装置では、各試験問題の正解correct_answer₁,correct_answer₂,…を用いてanswer_q=correct_answer_qとなるq∈{1,2,…}の個数が予め定められた一定数を超えたときに真となる述語を採点の評価基準である述語jとして、暗号化アルゴリズムEnc(pk,j,x)→c_jによって暗号文c_jを生成した。

上述の実施例２の変形例として鍵ポリシー関数型暗号による場合の例を説明する。
[[実施例２の変形例]]
試験問題が選択肢を選択して解答する選択式試験問題であるとき、鍵ポリシー関数型暗号を用いて、ユーザ（解答者）が選択した選択肢をポリシーとし、評価者の評価基準を属性とする、評価対象情報自己評価システム（自己採点システム）を次のように構成できる。評価対象情報自己評価処理は図３を参照のこと。

●ステップＳ０
採点者装置２００のセットアップ部２０１は、セットアップアルゴリズムSetup(1^λ)→(pk,sk)を実行して、公開パラメータpkとマスター鍵skを生成する。採点者装置２００の制御部（図示しない）は、公開パラメータpkを公開し、マスター鍵skを、採点者装置２００の記憶部２１０に安全に記憶する。このとき、公開パラメータpkに含まれる述語変数に、解答用変数answer₁,answer₂,…が含まれるとする。

●ステップＳ１
ユーザ装置３００−ｎの受信部３０９は、例えば採点者装置２００から情報（選択式試験問題）を受信する。そして、ユーザ装置３００−ｎの送信部３０８は、述語iを採点者装置２００に送信する。述語iは、解答用変数answer₁,answer₂,…に各試験問題に対する解答である選択肢choice₁,choice₂,…が対応付けられており、正答数が予め定められた一定数（合格ライン）を超えたときに真となる述語である。合格ラインは予めシステムパラメータとして定められており、正答数が予め定められた一定数（合格ライン）を超えたときに真となる述語iはテンプレートとしてユーザ装置３００−ｎの記憶部に保存されているとする。例えば合格ラインがＱ問全てに正解である場合には、述語iのテンプレートは、¬（(answer₁-c₁)+(answer₂-c₂)+…+(answer_Q-c_Q)）で表される。記号¬は否定命題であることを表す。選択肢choice₁,choice₂,…は、通常、ユーザ装置３００−ｎを操作するユーザ（人間）によってユーザ装置３００−ｎに入力される。図示しない述語生成部は、選択肢choice₁,choice₂,…が入力されると、上記テンプレートを用いてc_qにchoice_q（q∈{1,2,…,Q}）を代入して述語i、つまり、¬（(answer₁-choice₁)+(answer₂-choice₂)+…+(answer_Q-choice_Q)）を生成する。なお、運用形態によっては、ユーザ装置３００−ｎの受信部３０９が試験問題などの情報をどこかから受信する処理が不要となる場合があることに注意されたい。

●ステップＳ２
採点者装置２００の受信部２０９はユーザ装置３００−ｎから述語iを受信する。そして、採点者装置２００の秘密鍵生成部２０２は述語iとマスター鍵skを用いて鍵生成アルゴリズムKeyGen(sk,i)→sk_iを実行して秘密鍵sk_iを生成する。そして、採点者装置２００の送信部２０８は秘密鍵sk_iをユーザ装置３００−ｎに送信する。

●ステップＳ３
評価者装置１００の暗号文生成部１０１は、公開パラメータpkと、採点の評価基準である述語変数のインスタンスjと、ユーザ（解答者）が合格したことを証明する平文xを用いて暗号化アルゴリズムEnc(pk,j,x)→c_jを実行し、評価者装置１００の送信部１０８は暗号文c_jをユーザ装置３００−ｎに送信する。採点の評価基準である述語変数のインスタンスjは、例えば事前に採点者装置２００から評価者装置１００に送信されているとする。採点の評価基準である述語変数のインスタンスjは、正答そのものであり、つまり各試験問題の正解correct_answer₁,correct_answer₂,…である。

●ステップＳ４
ユーザ装置３００−ｎの受信部３０９は、評価者装置１００からは暗号文c_jを、採点者装置２００からは秘密鍵sk_iを受信する。そして、ユーザ装置３００−ｎの復号部３０１は、公開パラメータpkと、秘密鍵sk_iと、暗号文c_jとを入力とし、復号アルゴリズムDec(pk,sk_i,c_j)→yを実行し、平文yを得る。
述語変数のインスタンスjが述語iを充足するとき、即ち、ユーザ（解答者）が選択した選択肢choice₁,choice₂,…に関して、correct_answer_q=choice_qとなるq∈{1,2,…}の個数が予め定められた一定数を超えたとき、ユーザ装置３００−ｎの復号部３０１は、ユーザ（解答者）が合格したことを証明する平文y=xを得る。これ以外の場合、ユーザ装置３００−ｎの復号部３０１は、ユーザ（解答者）が不合格であることを意味する平文y=⊥を得る。

＜応用例＞
以下、本発明の応用例を説明する。ここで説明する応用例は、チケット発行システム、処方箋発行システム、行政文書発行システム、宝くじ発行システム、ポイントサービス発行システムである。チケット発行システム、処方箋発行システム、行政文書発行システム、宝くじ発行システムについては、上述の実施例１に即して説明するが、いずれの応用例も実施例１以外の実施例に即して実施することが可能である。ポイントサービス発行システムについては、上述の実施例８に即して説明する。

[[チケット発行システム]]
上述の実施例１において、採点者装置２００を鍵発行装置２００に、評価者装置１００をチケット発行装置１００に、読み替える。各装置の構成要素は実施例１を踏襲する。

●ステップＳ０
鍵発行装置２００のセットアップ部２０１は、セットアップアルゴリズムSetup(1^λ)→(pk,sk)を実行して、公開パラメータpkとマスター鍵skを生成する。鍵発行装置２００の制御部（図示しない）は、公開パラメータpkを公開し、マスター鍵skを、鍵発行装置２００の記憶部２１０に安全に記憶する。

●ステップＳ１
ユーザ装置３００−ｎの送信部３０８はユーザの属性iを鍵発行装置２００に送信する。ユーザの属性iは、通常、ユーザ装置３００−ｎを操作するユーザ（人間）によってユーザ装置３００−ｎに入力される。属性iとしては、チケット発行システムの場合、ユーザの氏名、住所、年齢、性別、チケット発行装置１００から予め与えられたユーザＩＤやパスワード、ユーザが希望する応募対象（例えば観覧対象、観覧日時、座席など）などである。

●ステップＳ２
鍵発行装置２００の受信部２０９はユーザ装置３００−ｎから属性iを受信する。そして、鍵発行装置２００の秘密鍵生成部２０２は属性iとマスター鍵skを用いて鍵生成アルゴリズムKeyGen(sk,i)→sk_iを実行して秘密鍵sk_iを生成する。そして、鍵発行装置２００の送信部２０８は秘密鍵sk_iをユーザ装置３００−ｎに送信する。

●ステップＳ２ａ
ユーザ装置３００−ｎの受信部３０９は、鍵発行装置２００から秘密鍵sk_iを受信する。そして、ユーザ装置３００−ｎの送信部３０８は、チケット発行装置１００に対して、チケット発行の要求を表す情報（リクエスト情報）を送信する。

●ステップＳ３
チケット発行装置１００の受信部１０９がユーザ装置３００−ｎからリクエスト情報を受信すると、チケット発行装置１００の暗号文生成部１０１は、公開パラメータpkと、チケット発行の評価基準（チケット発行条件）jと、チケットである平文xを用いて暗号化アルゴリズムEnc(pk,j,x)→c_jを実行し、チケット発行装置１００の送信部１０８は暗号文c_jをユーザ装置３００−ｎに送信する。チケット発行条件jは、例えば事前にチケット発行装置１００が決めている。チケット発行条件jは、例えば観覧対象に年齢制限がある場合には所定年齢以上であることを条件に含み、例えば事前にチケット発行装置１００に登録されたユーザだけにチケットを発行する場合には、ユーザの氏名、住所、年齢、性別、ユーザＩＤとパスワードを条件に含むことができる。

●ステップＳ４
ユーザ装置３００−ｎの受信部３０９は、チケット発行装置１００から暗号文c_jを受信する。そして、ユーザ装置３００−ｎの復号部３０１は、公開パラメータpkと、秘密鍵sk_iと、暗号文c_jとを入力とし、復号アルゴリズムDec(pk,sk_i,c_j)→yを実行し、平文yを得る。
R(i,j)=Trueのとき、これは属性iがチケット発行条件jを満足する場合であるから、ユーザ装置３００−ｎの復号部３０１は、チケットである平文y=xを得る。R(i,j)=Falseのとき、これは属性iがチケット発行条件jを満足しない場合であるから、ユーザ装置３００−ｎの復号部３０１は、チケットではない平文y=⊥を得ることとなる。

チケットを正しく入手できたユーザは、サービス事業者にチケットを提示してサービスの提供を得ることができる。

このように、正当なユーザ装置３００はチケットを入手できたことを自身で確認できる。他方、チケット発行装置１００は、チケットを発行する際に、ユーザの属性がチケット発行条件を満足するか否かの判断をする必要がないので運用コストを低減でき、さらには、ユーザに固有の情報が含まれる属性の情報管理をする必要がないので管理コストも低減できる。

[[処方箋発行システム]]
現状では、医師がカルテなどを見て患者の属性（氏名や病名など）を確認してから処方箋を発行している。

上述の実施例１において、ユーザ装置３００を患者装置３００、採点者装置２００を医療データ管理装置２００に、評価者装置１００をドクター専用装置１００に、読み替える。各装置の構成要素は実施例１を踏襲する。

●ステップＳ０
医療データ管理装置２００のセットアップ部２０１は、セットアップアルゴリズムSetup(1^λ)→(pk,sk)を実行して、公開パラメータpkとマスター鍵skを生成する。医療データ管理装置２００の制御部（図示しない）は、公開パラメータpkを公開し、マスター鍵skを、医療データ管理装置２００の記憶部２１０に安全に記憶する。また、医療データ管理装置２００の記憶部２１０には、各患者の氏名、年齢、性別、患者ＩＤ、パスワード、通院履歴、病歴、通院中の病名、処方薬の名前、最後に医師の対面診察を受けた年月日などが記憶されている。

●ステップＳ１
患者装置３００−ｎの送信部３０８は患者の属性iを医療データ管理装置２００に送信する。患者の属性iは、例えば、患者装置３００−ｎを操作する患者（人間）によって患者装置３００−ｎに入力される。属性iとしては、処方箋発行システムの場合、患者の氏名、年齢、性別、医療データ管理装置２００から予め与えられた患者ＩＤやパスワード、処方薬が必要な病名、処方薬の名前などである。

●ステップＳ２
医療データ管理装置２００の受信部２０９は患者装置３００−ｎから属性iを受信する。そして、医療データ管理装置２００の判定部（図示しない）は、例えば、属性iに含まれる患者の氏名、年齢、性別、患者ＩＤ、パスワードが記憶部２１０に記憶されている当該患者の氏名、年齢、性別、患者ＩＤ、パスワードに一致するか否か判定し、これに合格しないと鍵生成処理を行わない（患者装置３００に氏名、年齢、性別、患者ＩＤ、パスワードの入力に間違いがないか確かめることを促す通知を送信するようにしてもよい）。この判定に合格しても、判定部は、属性iに含まれる病名と処方薬の名前が、記憶部２１０に記憶されている当該患者の通院中の病名と処方薬の名前と一致しない場合、または、現在の年月日が記憶部２１０に記憶されている最後に医師の対面診察を受けた年月日から所定期間以上開いている場合には、鍵生成処理を行わない（この場合には、患者装置３００に、医師の対面診察を受けることを促す通知を送信するようにしてもよい）。判定部による所定の判定に合格すると、医療データ管理装置２００の秘密鍵生成部２０２は属性iとマスター鍵skを用いて鍵生成アルゴリズムKeyGen(sk,i)→sk_iを実行して秘密鍵sk_iを生成する。そして、医療データ管理装置２００の送信部２０８は秘密鍵sk_iを患者装置３００−ｎに送信する。

●ステップＳ２ａ
患者装置３００−ｎの受信部３０９は、医療データ管理装置２００から秘密鍵sk_iを受信する。そして、医療データ管理装置２００の送信部２０８は、ドクター専用装置１００に対して、処方箋の発行要求を表す情報（リクエスト情報）を送信する。リクエスト情報には、患者装置３００−ｎから受信した属性iが含まれる。

●ステップＳ３
ドクター専用装置１００の受信部１０９が医療データ管理装置２００からリクエスト情報（患者装置３００−ｎの属性iを含む）を受信すると、ドクター専用装置１００の暗号文生成部１０１は、公開パラメータpkと、処方箋発行の評価基準（処方箋発行条件）jと、処方箋である平文xを用いて暗号化アルゴリズムEnc(pk,j,x)→c_jを実行し、ドクター専用装置１００の送信部１０８は暗号文c_jを患者装置３００−ｎに送信する。処方箋発行条件jは、例えば患者の氏名、年齢、性別、患者ＩＤ、パスワード、処方薬が必要な病名、処方薬の名前を含むことができ、つまり、処方箋発行条件jは患者装置３００−ｎの属性iの全部または一部を含む。このような処方箋発行条件jは、定型化しておくことができる。

●ステップＳ４
患者装置３００−ｎの受信部３０９は、ドクター専用装置１００から暗号文c_jを受信する。そして、患者装置３００−ｎの復号部３０１は、公開パラメータpkと、秘密鍵sk_iと、暗号文c_jとを入力とし、復号アルゴリズムDec(pk,sk_i,c_j)→yを実行し、平文yを得る。
R(i,j)=Trueのとき、これは属性iが処方箋発行条件jを満足する場合であるから、患者装置３００−ｎの復号部３０１は、処方箋である平文y=xを得る。R(i,j)=Falseのとき、これは属性iが処方箋発行条件jを満足しない場合であるから、患者装置３００−ｎの復号部３０１は、処方箋ではない平文y=⊥を得ることとなる。

処方箋を正しく入手できた患者は、薬局に処方箋を提示して処方薬の提供を得ることができる。

このように、正当な患者装置３００は処方箋を入手できたことを自身で確認できる。他方、ドクター専用装置１００を使用する医師は、処方箋を発行する際に、患者の属性が処方箋発行条件を満足するか否かの判断をする必要がないので医師の負担を低減できる。

[[行政文書発行システム]]
上述の実施例１において、採点者装置２００を鍵発行装置２００に、評価者装置１００を行政庁装置１００に、読み替える。各装置の構成要素は実施例１を踏襲する。

●ステップＳ０
鍵発行装置２００のセットアップ部２０１は、セットアップアルゴリズムSetup(1^λ)→(pk,sk)を実行して、公開パラメータpkとマスター鍵skを生成する。鍵発行装置２００の制御部（図示しない）は、公開パラメータpkを公開し、マスター鍵skを、鍵発行装置２００の記憶部２１０に安全に記憶する。

●ステップＳ１
ユーザ装置３００−ｎの送信部３０８はユーザの属性iを鍵発行装置２００に送信する。ユーザの属性iは、通常、ユーザ装置３００−ｎを操作するユーザ（人間）によってユーザ装置３００−ｎに入力される。属性iとしては、行政文書発行システムの場合、ユーザの氏名、住所、年齢、性別、行政庁装置１００から予め与えられたユーザＩＤやパスワード、ユーザが希望する文書（戸籍謄本、住民票など）などである。

●ステップＳ２
鍵発行装置２００の受信部２０９はユーザ装置３００−ｎから属性iを受信する。そして、鍵発行装置２００の秘密鍵生成部２０２は属性iとマスター鍵skを用いて鍵生成アルゴリズムKeyGen(sk,i)→sk_iを実行して秘密鍵sk_iを生成する。そして、鍵発行装置２００の送信部２０８は秘密鍵sk_iをユーザ装置３００−ｎに送信する。

●ステップＳ２ａ
ユーザ装置３００−ｎの受信部３０９は、鍵発行装置２００から秘密鍵sk_iを受信する。そして、ユーザ装置３００−ｎの送信部３０８は、行政庁装置１００に対して、文書発行の要求を表す情報（リクエスト情報）を送信する。

●ステップＳ３
行政庁装置１００の受信部１０９がユーザ装置３００−ｎからリクエスト情報を受信すると、行政庁装置１００の暗号文生成部１０１は、公開パラメータpkと、文書発行の評価基準（文書発行条件）jと、発行要求された文書である平文xを用いて暗号化アルゴリズムEnc(pk,j,x)→c_jを実行し、行政庁装置１００の送信部１０８は暗号文c_jをユーザ装置３００−ｎに送信する。文書発行条件jは、例えば事前に行政庁装置１００が決めている。文書発行条件jは、例えばユーザの氏名、住所、年齢、性別、ユーザＩＤ、パスワード、ユーザが希望する文書などを含むことができ、つまり、文書発行条件jはユーザ装置３００−ｎの属性iの全部または一部を含む。

●ステップＳ４
ユーザ装置３００−ｎの受信部３０９は、行政庁装置１００から暗号文c_jを受信する。そして、ユーザ装置３００−ｎの復号部３０１は、公開パラメータpkと、秘密鍵sk_iと、暗号文c_jとを入力とし、復号アルゴリズムDec(pk,sk_i,c_j)→yを実行し、平文yを得る。
R(i,j)=Trueのとき、これは属性iが文書発行条件jを満足する場合であるから、ユーザ装置３００−ｎの復号部３０１は、所望の文書である平文y=xを得る。R(i,j)=Falseのとき、これは属性iが文書発行条件jを満足しない場合であるから、ユーザ装置３００−ｎの復号部３０１は、所望の文書ではない平文y=⊥を得ることとなる。

文書を正しく入手できたユーザは、文書提出先の機関に文書を提示することができる。

このように、正当なユーザ装置３００は所望の文書を入手できたことを自身で確認できる。他方、行政庁装置１００は、文書を発行する際に、ユーザの属性が文書発行条件を満足するか否かの判断をする必要がないので運用コストを低減でき、さらには、ユーザに固有の情報が含まれる属性の情報管理をする必要がないので管理コストも低減できる。

[[宝くじ発行システム]]
上述の実施例１において、採点者装置２００を籤発行装置２００に、評価者装置１００を抽選装置１００に、読み替える。各装置の構成要素は実施例１を踏襲する。

●ステップＳ０
籤発行装置２００のセットアップ部２０１は、セットアップアルゴリズムSetup(1^λ)→(pk,sk)を実行して、公開パラメータpkとマスター鍵skを生成する。籤発行装置２００の制御部（図示しない）は、公開パラメータpkを公開し、マスター鍵skを、籤発行装置２００の記憶部２１０に安全に記憶する。

●ステップＳ１
ユーザは籤発行者に対して宝くじ購入代金を支払う。この支払いは、例えばユーザがユーザ装置３００−ｎを利用して籤発行装置２００に電子マネーを支払う方法であってもよいし、（技術的手段に拠らない）通常の商取引における現金支払いなどであってもよい。宝くじの申込番号をユーザが決めることができる場合、宝くじ購入代金の支払いの際に、ユーザ装置３００−ｎの送信部３０８は申込番号iを籤発行装置２００に送信する。申込番号iは、通常、ユーザ装置３００−ｎを操作するユーザ（人間）によってユーザ装置３００−ｎに入力される。

●ステップＳ２
籤発行装置２００の受信部２０９はユーザ装置３００−ｎから申込番号iを受信する。宝くじの申込番号を籤発行装置２００が決める場合、籤発行装置２００の申込番号決定部（図示しない）がランダムに申込番号iを決定する。そして、籤発行装置２００の秘密鍵生成部２０２は申込番号iとマスター鍵skを用いて鍵生成アルゴリズムKeyGen(sk,i)→sk_iを実行して秘密鍵sk_iを生成する。そして、籤発行装置２００の送信部２０８は秘密鍵sk_iをユーザ装置３００−ｎに送信する。宝くじの申込番号を籤発行装置２００が決めた場合は、送信部２０８は、秘密鍵sk_iだけでなく申込番号iもユーザ装置３００−ｎに送信する。

●ステップＳ２ａ
ユーザ装置３００−ｎの受信部３０９は、鍵発行装置２００から秘密鍵sk_iを受信する。宝くじの申込番号を籤発行装置２００が決めた場合は、受信部３０９は申込番号iも鍵発行装置２００から受信する。そして、抽選装置１００の抽選番号決定部（図示しない）がランダムに抽選番号を決定する。ユーザ装置３００−ｎの送信部３０８は、抽選装置１００に対して、当選金の支払い要求を表す情報（リクエスト情報）を送信する。

●ステップＳ３
抽選装置１００の受信部１０９がユーザ装置３００−ｎからリクエスト情報を受信すると、抽選装置１００の暗号文生成部１０１は、公開パラメータpkと、当選金支払いの評価基準（当選金支払条件）jと、当選金（電子マネー）である平文xを用いて暗号化アルゴリズムEnc(pk,j,x)→c_jを実行し、抽選装置１００の送信部１０８は暗号文c_jをユーザ装置３００−ｎに送信する。当選金支払条件jは、例えば事前に抽選装置１００が決めている。当選金支払条件jは、例えば申込数字と抽選番号との完全一致を条件として含むことや、申込数字と抽選番号との間で一致する数字の個数に応じて異なる当選金を定めた条件を含むことができる。後者の一例を説明する。当選金支払条件jとして、６桁の抽選番号123456の下４桁が６桁の申込番号の下４桁と一致した場合に当選金が１万円、６桁の抽選番号123456の下５桁が６桁の申込番号の下５桁と一致した場合に当選金が１０万円、６桁の抽選番号123456が６桁の申込番号と一致した場合に当選金が１００万円、である場合、Enc(pk,"下４桁＝3456",１万円)→c_j，1、Enc(pk,"下５桁＝23456",９万円)→c_j，2、Enc(pk,"下６桁＝123456",９０万円)→c_j，3、という３個の暗号文を生成すればよい。このように複数の暗号文が生成された場合、抽選装置１００の送信部１０８は全ての暗号文c_j，k（k=1,2,3,…）をユーザ装置３００−ｎに送信する。

●ステップＳ４
ユーザ装置３００−ｎの受信部３０９は、抽選装置１００から暗号文c_jを受信する。そして、ユーザ装置３００−ｎの復号部３０１は、公開パラメータpkと、秘密鍵sk_iと、暗号文c_jとを入力とし、復号アルゴリズムDec(pk,sk_i,c_j)→yを実行し、平文yを得る。
R(i,j)=Trueのとき、これは申込番号iが当選金支払条件jを満足する場合であるから、ユーザ装置３００−ｎの復号部３０１は、電子マネーである平文y=xを得る。R(i,j)=Falseのとき、これは申込番号iが当選金支払条件jを満足しない場合であるから、ユーザ装置３００−ｎの復号部３０１は、電子マネーではない平文y=⊥を得ることとなる。
受信部３０９が複数の暗号文を受信した場合、復号部３０１は受信した全ての暗号文の復号処理を実行する。上述の６桁の抽選番号が123456の場合の例であれば、受信部３０９は、抽選装置１００から３個の暗号文c_j，k（k=1,2,3）を受信する。従って、復号部３０１は、Dec(pk,sk_i,c_j，1)→y₁、Dec(pk,sk_i,c_j，2)→y₂、Dec(pk,sk_i,c_j，3)→y₃を求める。申込番号iが例えば223456である場合（つまり、抽選番号と申込番号の下５桁が一致する場合）、復号部３０１は、電子マネーである平文y₁="１万円"および平文y₂="９万円"を得るが、暗号文c_j，3についてはy₃=⊥となり電子マネーを得ることができず、結果的に、１万円と９万円の合計額１０万円の電子マネーを得ることになる。これは、当選金支払条件jの、「６桁の抽選番号123456の下５桁が６桁の申込番号の下５桁と一致した場合に当選金が１０万円」である場合に相当する。同様にして、申込番号iが例えば233456である場合（つまり、抽選番号と申込番号の下４桁が一致する場合）には復号部３０１は１万円の電子マネーを得て、申込番号iが例えば123456である場合（つまり、抽選番号と申込番号の下６桁が一致する場合）には復号部３０１は１万円と９万円と９０万円の合計額１００万円の電子マネーを得ることになる。

このように、当選したユーザ装置３００は電子マネーを入手できたことを自身で確認できる。他方、抽選装置１００は、電子マネーを発行する際に、ユーザの申込番号が当選金支払条件を満足するか否かの判断をする必要がないので運用コストを低減できる。

[[ポイントサービス発行システム]]
上述の実施例８において、採点者装置２００をポイント管理装置２００に、評価者装置１００をチケット発行装置１００に、読み替える。各装置の構成要素は実施例１を踏襲する。この応用例では、実施例８で述べたように、述語秘匿の安全性を持つ関数型暗号、即ち述語暗号を用いる。

●ステップＳ０
ポイント管理装置２００のセットアップ部２０１は、セットアップアルゴリズムSetup(1^λ)→(pk,sk)を実行して、公開パラメータpkとマスター鍵skを生成する。ポイント管理装置２００の制御部（図示しない）は、公開パラメータpkを公開し、マスター鍵skを、ポイント管理装置２００の記憶部２１０に安全に記憶する。

●ステップＳ１
チケット発行装置１００の暗号文生成部１０１は、公開パラメータpkと、チケット発行の評価基準（チケット発行条件）jと、チケットである平文xを用いて暗号化アルゴリズムEnc(pk,j,x)→c_jを実行し、チケット発行装置１００の送信部１０８は暗号文c_jをユーザ装置３００−ｎに送信する。チケット発行条件jは、事前にチケット発行装置１００が決めている。チケット発行条件jは、例えばユーザの氏名、住所、年齢、性別、チケット発行装置１００から予め与えられたユーザＩＤやパスワード、所定のポイント以上であることを条件に含むことができる。ユーザ装置３００−ｎの受信部３０９は、チケット発行装置１００から暗号文c_jを受信する。

●ステップＳ２
ユーザ装置３００−ｎの送信部３０８はユーザの属性iをポイント管理装置２００に送信する。ユーザの属性iは、通常、ユーザ装置３００−ｎを操作するユーザ（人間）によってユーザ装置３００−ｎに入力される。属性iとしては、ポイントサービス発行システムの場合、ユーザの氏名、住所、年齢、性別、チケット発行装置１００から予め与えられたユーザＩＤやパスワード、ポイントなどである。

●ステップＳ３
ポイント管理装置２００の受信部２０９はユーザ装置３００−ｎから属性iを受信する。そして、ポイント管理装置２００の秘密鍵生成部２０２は属性iとマスター鍵skを用いて鍵生成アルゴリズムKeyGen(sk,i)→sk_iを実行して秘密鍵sk_iを生成する。そして、ポイント管理装置２００の送信部２０８は秘密鍵sk_iをユーザ装置３００−ｎに送信する。

●ステップＳ４
ユーザ装置３００−ｎの受信部３０９は、ポイント管理装置２００から秘密鍵sk_iを受信する。そして、ユーザ装置３００−ｎの復号部３０１は、公開パラメータpkと、秘密鍵sk_iと、暗号文c_jとを入力とし、復号アルゴリズムDec(pk,sk_i,c_j)→yを実行し、平文yを得る。
R(i,j)=Trueのとき、これは属性iがチケット発行条件jを満足する場合であるから、ユーザ装置３００−ｎの復号部３０１は、チケットである平文y=xを得る。R(i,j)=Falseのとき、これは属性iがチケット発行条件jを満足しない場合であるから、ユーザ装置３００−ｎの復号部３０１は、チケットではない平文y=⊥を得ることとなる。

チケットを正しく入手できたユーザは、サービス事業者にチケットを提示してサービスの提供を得ることができる。

このように、正当なユーザ装置３００はチケットを入手できたことを自身で確認できる。他方、チケット発行装置１００は、チケットを発行する際に、ユーザの属性がチケット発行条件を満足するか否かの判断をする必要がないので運用コストを低減でき、さらには、ユーザに固有の情報が含まれる属性の情報管理をする必要がないので管理コストも低減できる。

上述の説明から明らかなように、評価対象情報自己評価システムにおいて、評価基準がユーザの相対的な順位などに依存しない場合に、運用者や評価者が採点結果のような個人に固有の情報を取り扱わなくても、評価処理を安全にユーザ自身に行わせることができ、情報管理や運用のコストを省力化できる。
また、評価基準がユーザの相対的な順位などに依存する場合には、複数の暗号文をユーザに与えることによって評価処理を安全にユーザ自身に行わせることができ、情報管理や運用のコストを省力化できる。

以下、関数型暗号について概説する。説明に先立ち記号等を定義する。
〔定義〕
行列：「行列」とは演算が定義された集合の元を矩形に並べたものを表す。環の元を要素とするものだけではなく、群の元を要素とするものも「行列」と表現する。
(・)^T：(・)^Tは・の転置行列を表す。
(・)^-1：(・)^-1は・の逆行列を表す。
∧：∧は論理積（ＡＮＤ）を表す論理記号である。
∨：∨は論理和（ＯＲ）を表す論理記号である。
¬：¬は否定（ＮＯＴ）を表す論理記号である。
命題変数：命題変数は命題の「真」,「偽」（"false","true"）を要素とする集合｛真，偽｝上の変数である。命題変数及び命題変数の否定を総称してリテラル（literal）と呼ぶ。
論理式：論理式とは数理論理学における命題を表す形式的文法を有する式を意味する。具体的には「真」及び「偽」は論理式であり、命題変数は論理式であり、論理式の否定は論理式であり、論理式と論理式との論理積は論理式であり、論理式と論理式との論理和は論理式である。
Ｚ：Ｚは整数集合を表す。
sec：secはセキュリティパラメータ（sec∈Z, sec>0）を表す。
0^*：0^*は*個の0からなる列を表す。
1^*：1^*は*個の１からなる列を表す。
F_q：F_qは位数qの有限体を表す。位数qは１以上の整数であり、例えば、素数や素数のべき乗値を位数qとする。すなわち、有限体F_qの例は素体やそれを基礎体とした拡大体である。なお、有限体F_qが素体である場合の演算は、例えば、位数qを法とする剰余演算によって容易に構成できる。また、有限体F_qが拡大体である場合の演算は、例えば、既約多項式を法とする剰余演算によって容易に構成できる。有限体F_qの具体的な構成方法は、例えば、参考文献１「ISO/IEC 18033-2: Information technology - Security techniques - Encryption algorithms - Part 2: Asymmetric ciphers」に開示されている。
0_F：0_Fは有限体F_qの加法単位元を表す。
1_F：1_Fは有限体F_qの乗法単位元を表す。
δ(i,j)：δ(i,j)はクロネッカーのデルタ関数を表す。i=jの場合にδ(i,j)=1_Fを満たし、i≠jの場合にδ(i,j)=0 _Fを満たす。
E：Eは有限体F_q上で定義された楕円曲線を表す。Eはアフィン（affine）座標版のWeierstrass方程式
y²+a₁・x・y+a₃・y=x³+a₂・x²+a₄・x+a₆
（ただし、a₁,a₂,a₃,a₄,a₆∈F_q）を満たすx,y∈F_qからなる点(x,y)の集合に無限遠点と呼ばれる特別な点Ｏを付加したもので定義される。楕円曲線Ｅ上の任意の２点に対して楕円加算と呼ばれる二項演算＋及び楕円曲線E上の任意の１点に対して楕円逆元と呼ばれる単項演算−がそれぞれ定義できる。また、楕円曲線E上の有理点からなる有限集合が楕円加算に関して群をなすこと、楕円加算を用いて楕円スカラー倍算と呼ばれる演算が定義できること、及びコンピュータ上での楕円加算などの楕円演算の具体的な演算方法はよく知られている（例えば、参考文献１、参考文献２「RFC 5091: Identity-Based Cryptography Standard (IBCS) #1: Supersingular Curve Implementations of the BF and BB1 Cryptosystems」、参考文献３「イアン・Ｆ・ブラケ、ガディエル・セロッシ、ナイジェル・Ｐ・スマート＝著、「楕円曲線暗号」、出版＝ピアソン・エデュケーション、ISBN4-89471-431-0」等参照）。
また、楕円曲線E上の有理点からなる有限集合は位数p(p≧1)の部分群を持つ。例えば、楕円曲線E上の有理点からなる有限集合の要素数を＃Eとし、pを＃Eを割り切る大きい素数とした場合、楕円曲線Eのp等分点からなる有限集合E[p]は、楕円曲線E上の有理点からなる有限集合の部分群を構成する。なお、楕円曲線Eのp等分点とは、楕円曲線E上の点Aのうち、楕円曲線E上での楕円スカラー倍算値p・Aがp・A＝Ｏを満たす点を意味する。
G₁, G₂, G_T：G₁, G₂,G_Tは位数qの巡回群を表す。巡回群G₁, G₂の具体例は、楕円曲線Eのp等分点からなる有限集合E[p]やその部分群である。G₁=G₂であってもよいしG₁≠G₂であってもよい。また、巡回群G_Tの具体例は、有限体F_qを基礎体とする拡大体を構成する有限集合である。その一例は、有限体F_qの代数閉包における１のｐ乗根からなる有限集合である。巡回群G₁, G₂,G_Tの位数と有限体F_qの位数とを同一とすることで安全性が向上する。
なお、本形態では、巡回群G₁, G₂上で定義された演算を加法的に表現し、巡回群G_T上で定義された演算を乗法的に表現する。すなわち、χ∈F_q及びΩ∈G₁に対するχ・Ω∈G₁は、Ω∈G₁に対して巡回群G₁で定義された演算をχ回施すことを意味し、Ω₁, Ω₂∈G₁に対するΩ₁+Ω₂∈G₁は、Ω₁∈G₁とΩ₂∈G₁とを被演算子として巡回群G₁で定義された演算を行うことを意味する。同様に、χ∈F_q及びΩ∈G₂に対するχ・Ω∈G₂は、Ω∈G₂に対して巡回群G₂で定義された演算をχ回施すことを意味し、Ω₁, Ω₂∈G₂に対するΩ₁+Ω₂∈G₂は、Ω₁∈G₂とΩ₂∈G₂とを被演算子として巡回群G₂で定義された演算を行うことを意味する。一方、χ∈F_q及びΩ∈G_Tに対するΩ^χ∈G_Tは、Ω∈G_Tに対して巡回群G_Tで定義された演算をχ回施すことを意味し、Ω₁,Ω₂∈G_Tに対するΩ₁・Ω₂∈G_Tは、Ω₁∈G_TとΩ₂∈G_Tとを被演算子として巡回群G_Tで定義された演算を行うことを意味する。

Ψ：Ψは1以上の整数を表す。
ψ：ψは0以上Ψ以下の整数ψ=0,...,Ψを表す。
λ：λは1以上Ψ以下の整数λ=1,...,Ψを表す。
n(ψ)：n(ψ)は1以上の整数を表す。
ζ(ψ)：ζ(ψ)は0以上の整数を表す。
G₁ ^n(ψ)+ζ(ψ)：G₁ ^n(ψ)+ζ(ψ)はn(ψ)+ζ(ψ)個の巡回群G₁の直積を表す。
G₂ ^n(ψ)+ζ(ψ)：G₂ ^n(ψ)+ζ(ψ)はn(ψ)+ζ(ψ)個の巡回群G₂の直積を表す。
g₁, g₂, g_T：g₁, g₂, g_Tは巡回群G, G₁, G₂, G_Tの生成元を表す。
V(ψ)：V(ψ)はn(ψ)+ζ(ψ)個の巡回群G₁の直積からなるn(ψ)+ζ(ψ)次元のベクトル空間を表す。
V^*(ψ)：V^*(ψ)はn(ψ)+ζ(ψ)個の巡回群G₂の直積からなるn(ψ)+ζ(ψ)次元のベクトル空間を表す。
e_ψ：e_ψは直積G₁ ^n(ψ)+ζ(ψ)と直積G₂ ^n(ψ)+ζ(ψ)との直積G₁ ^n(ψ)+ζ(ψ)×G₂ ^n(ψ)+ζ(ψ)を巡回群G_Tに写す非退化な双線形写像（bilinear map）を表す。双線形写像e_ψは、巡回群G₁のn(ψ)+ζ(ψ)個の元γ_β(β=1,...,n(ψ)+ζ(ψ))と巡回群G₂のn(ψ)+ζ(ψ)個の元γ_β ^*(β=1,...,n(ψ)+ζ(ψ))とを入力とし、巡回群G_Tの１個の元を出力する。
e_ψ：G₁ ^n(ψ)+ζ(ψ)×G₂ ^n(ψ)+ζ(ψ)→G_T …(1)
双線形写像e_ψは以下の性質を満たす。
［双線形性］すべてのΓ₁∈G₁ ^n(ψ)+ζ(ψ)，Γ₂∈G₂ ^n(ψ)+ζ(ψ)及びν，κ∈F_qについて以下の関係を満たす。
e_ψ(ν・Γ₁,κ・Γ₂)=e_ψ(Γ₁,Γ₂)^ν・κ …(2)
［非退化性］すべてのΓ₁∈G₁ ^n(ψ)+ζ(ψ)，Γ₂∈G₂ ^n(ψ)+ζ(ψ)を巡回群G_Tの単位元に写す写像ではない。
［計算可能性］あらゆる
Γ₁∈G₁ ^n(ψ)+ζ(ψ)，Γ₂∈G₂ ^n(ψ)+ζ(ψ) …(3)
についてe_ψ(Γ₁,Γ₂)を効率的に計算するアルゴリズムが存在する。
本形態では、巡回群G₁と巡回群G₂との直積G₁×G₂を巡回群G_Tに写す非退化な双線形写像
Pair:G₁×G₂→G_T …(4)
を用いて双線形写像e_ψを構成する。本形態の双線形写像e_ψは、巡回群G₁のn(ψ)+ζ(ψ)個の元γ_β (β=1,...,n(ψ)+ζ(ψ))からなるn(ψ)+ζ(ψ)次元ベクトル(γ₁,...,γ_n(ψ)+ζ(ψ))と、巡回群G₂のn(ψ)+ζ(ψ)個の元γ_β ^*(β=1,...,n(ψ)+ζ(ψ))からなるn(ψ)+ζ(ψ)次元ベクトル(γ₁ ^*,...,γ_n(ψ)+ζ(ψ) ^*)との入力に対し、巡回群G_Tの１個の元を出力する。
e_ψ：Π_β=1 ^n(ψ)+ζ(ψ)Pair(γ_β, γ_β ^*) …(5)
なお、双線形写像Pairは、巡回群G₁の１個の元と巡回群G₂の１個の元との組を入力とし、巡回群G_Tの１個の元を出力する。双線形写像Pairは、以下の性質を満たす。
［双線形性］すべてのΩ₁∈G₁，Ω₂∈G₂及びν，κ∈F_qについて以下の関係を満たす。
Pair(ν・Ω₁,κ・Ω₂)=Pair(Ω₁,Ω₂)^ν・κ …(6)
［非退化性］すべての
Ω₁∈G₁，Ω₂∈G₂ …(7)
を巡回群G_Tの単位元に写す写像ではない。
［計算可能性］あらゆるΩ₁∈G₁，Ω₂∈G₂についてPair(Ω₁,Ω₂)を効率的に計算するアルゴリズムが存在する。
双線形写像Pairの具体例は、WeilペアリングやTateペアリングなどのペアリング演算を行うための関数である（例えば、参考文献４「Alfred. J. Menezes，ELLIPTIC CURVE PUBLIC KEY CRYPTOSYSTEMS， KLUWER ACADEMIC PUBLISHERS， ISBN0-7923-9368-6，pp. 61-81」等参照）。また、楕円曲線Eの種類に応じ、Tateペアリングなどのペアリング演算を行うための関数と所定の関数phiを組み合わせた変更ペアリング関数e(Ω₁,phi(Ω₂))（Ω₁∈G₁，Ω₂∈G₂）を双線形写像Pairとして用いてもよい（例えば、参考文献２等参照）。また、ペアリング演算をコンピュータ上で行うためのアルゴリズムとしては、周知のMiller のアルゴリズム（参考文献５「V. S. Miller, “Short Programs for functions on Curves,”1986，インターネット＜http://crypto.stanford.edu/miller/miller.pdf＞」などが存在する。また、ペアリング演算を効率的に行うための楕円曲線や巡回群の構成方法はよく知られている（例えば、参考文献２、参考文献６「A. Miyaji, M. Nakabayashi, S.Takano, "New explicit conditions of elliptic curve Traces for FR-Reduction," IEICE Trans. Fundamentals, vol. E84-A, no05, pp. 1234-1243, May 2001」、参考文献７「P.S.L.M. Barreto, B. Lynn, M. Scott, "Constructing elliptic curves with prescribed embedding degrees," Proc. SCN '2002, LNCS 2576, pp.257-267, Springer-Verlag. 2003」、参考文献８「R. Dupont, A. Enge, F. Morain, "Building curves with arbitrary small MOV degree over finite prime fields," http://eprint.iacr.org/2002/094/」等参照）。

a_i(ψ)(i=1,...,n(ψ)+ζ(ψ))：a_i(ψ)は巡回群G₁のn(ψ)+ζ(ψ)個の元を要素とするn(ψ)+ζ(ψ)次元の基底ベクトルを表す。基底ベクトルa_i(ψ)の一例は、κ₁・g₁∈G₁をi次元目の要素とし、残りのn(ψ)+ζ(ψ)-1個の要素を巡回群G₁の単位元（加法的に「0」と表現）とするn(ψ)+ζ(ψ)次元の基底ベクトルである。この場合、n(ψ)+ζ(ψ)次元の基底ベクトルa_i(ψ)(i=1,...,n(ψ)+ζ(ψ))の各要素をそれぞれ列挙して表現すると、以下のようになる。
a₁(ψ)=(κ₁・g₁,0,0,...,0)
a₂(ψ)=(0,κ₁・g₁,0,...,0) …(8)
...
a_n(ψ)+ζ(ψ)(ψ)=(0,0,0,...,κ₁・g₁)
ここで、κ₁は加法単位元0_F以外の有限体F_qの元からなる定数であり、κ₁∈F_qの具体例はκ₁=1_Fである。基底ベクトルa_i(ψ)は直交基底であり、巡回群G₁のn(ψ)+ζ(ψ)個の元を要素とするすべてのn(ψ)+ζ(ψ)次元ベクトルは、n(ψ)+ζ(ψ)次元の基底ベクトルa_i(ψ)(i=1,...,n(ψ)+ζ(ψ))の線形和によって表される。すなわち、n(ψ)+ζ(ψ)次元の基底ベクトルa_i(ψ)は前述のベクトル空間V(ψ)を張る。

a_i ^*(ψ)(i=1,...,n(ψ)+ζ(ψ))：巡回群G₂のn(ψ)+ζ(ψ)個の元を要素とするn(ψ)+ζ(ψ)次元の基底ベクトルを表す。基底ベクトルa_i ^*(ψ)の一例は、κ₂・g₂∈G₂をi次元目の要素とし、残りのn(ψ)+ζ(ψ)-1個の要素を巡回群G₂の単位元（加法的に「0」と表現）とするn(ψ)+ζ(ψ)次元の基底ベクトルである。この場合、基底ベクトルa_i ^*(ψ)(i=1,...,n(ψ)+ζ(ψ))の各要素をそれぞれ列挙して表現すると、以下のようになる。
a₁ ^*(ψ)=(κ₂・g₂,0,0,...,0)
a₂ ^*(ψ)=(0,κ₂・g₂,0,...,0) …(9)
...
a_n(ψ)+ζ(ψ) ^*(ψ)=(0,0,0,...,κ₂・g₂)
ここで、κ₂は加法単位元0_F以外の有限体F_qの元からなる定数であり、κ₂∈F_qの具体例はκ₂=1_Fである。基底ベクトルa_i ^*(ψ)は直交基底であり、巡回群G₂のn(ψ)+ζ(ψ)個の元を要素とするすべてのn(ψ)+ζ(ψ)次元ベクトルは、n(ψ)+ζ(ψ)次元の基底ベクトルa_i ^*(ψ)(i=1,...,n(ψ)+ζ(ψ))の線形和によって表される。すなわち、n(ψ)+ζ(ψ)次元の基底ベクトルa_i ^*(ψ)は前述のベクトル空間V^*(ψ)を張る。

なお、基底ベクトルa_i(ψ)と基底ベクトルa_i ^*(ψ)とは、0_Fを除く有限体F_qの元τ=κ₁・κ₂について
e_ψ(a_i(ψ), a_j ^*(ψ))=g_T ^τ・δ(i,j) …(10)
を満たす。すなわち、i=jの場合には、式(5)(6)の関係から、
e_ψ(a_i(ψ), a_j ^*(ψ))= Pair(κ₁・g₁,κ₂・g₂)・Pair(0, 0)・...・Pair(0, 0)
= Pair(g₁, g₂)^κ1・κ2・Pair(g₁, g₂)^0・0・...・Pair(g₁, g₂)^0・0
= Pair(g₁, g₂)^κ1・κ2=g_T ^τ
を満たす。なお、上付き添え字κ1，κ2はそれぞれκ₁，κ₂を表す。一方、i≠jの場合には、e_ψ(a_i(ψ), a_j ^*(ψ))=Π_i=1 ^n(ψ)+ζ(ψ) Pair(a_i(ψ), a_j ^*(ψ))の右辺は、Pair(κ₁・g₁,κ₂・g₂)を含まず、Pair(κ₁・g₁,0)と Pair(0,κ₂・g₂)とPair(0,0)との積になる。さらに、式(6)の関係からPair(g₁, 0)=Pair(0, g₂)=Pair(g₁, g₂)⁰を満たす。そのため、i≠jの場合には、
e_ψ(a_i(ψ), a_j ^*(ψ))=e_ψ(g₁, g₂)⁰=g_T ⁰
を満たす。
特に、τ=κ₁・κ₂=1_Fである場合（例えば、κ₁=κ₂=1_Fの場合）、
e(a_i(ψ), a_j ^*(ψ))=g_T ^δ(i,j) …(11)
を満たす。ここで、g_T ⁰=1は巡回群G_Tの単位元であり、g_T ¹=g_Tは巡回群G_Tの生成元である。この場合、基底ベクトルa_i(ψ)と基底ベクトルa_i ^*(ψ)とは双対正規直交基底であり、ベクトル空間V(ψ)とベクトル空間V^*(ψ)とは、双線形写像を構成可能な双対ベクトル空間〔双対ペアリングベクトル空間（DPVS:Dual Paring Vector space)〕である。

A(ψ)：基底ベクトルa_i(ψ)(i=1,...,n(ψ)+ζ(ψ))を要素とするn(ψ)+ζ(ψ)行n(ψ)+ζ(ψ)列の行列を表す。例えば、基底ベクトルa_i(ψ)(i=1,...,n(ψ)+ζ(ψ))が式(8)によって表現される場合、行列A(ψ)は、

となる。

A^*(ψ)：基底ベクトルa_i ^*(ψ)(i=1,...,n(ψ)+ζ(ψ))を要素とするn(ψ)+ζ(ψ)行n(ψ)+ζ(ψ)列の行列を表す。例えば、基底ベクトルa_i ^*(ψ)(i=1,...,n(ψ)+ζ(ψ))が式(9)によって表現される場合、行列A^*(ψ)は、

となる。

X(ψ)：X(ψ)は有限体F_qの元を要素とするn(ψ)+ζ(ψ)行n(ψ)+ζ(ψ)列の行列を表す。行列X(ψ)は基底ベクトルa_i(ψ)の座標変換に用いられる。行列X(ψ)のi行j列(i=1,...,n(ψ)+ζ(ψ),j=1,...,n(ψ)+ζ(ψ))の要素をχ_i,j(ψ)∈F_qとすると、行列X(ψ)は、

となる。なお、行列X(ψ)の各要素χ_i,j(ψ)を変換係数と呼ぶ。

X ^*(ψ)：X ^*(ψ)と行列X(ψ)とはX^*(ψ)=τ'・(X(ψ)^-1)^Tの関係を満たす。ただし、τ'∈F_qは有限体F_qに属する任意の定数であり、例えば、τ'=1_Fである。X^*(ψ)は基底ベクトルa_i ^*(ψ)の座標変換に用いられる。行列X^*(ψ)のi行j列の要素をχ_i,j ^*(ψ)∈F_qとすると、行列Ｘ^*(ψ)は、

となる。なお、行列Ｘ^*(ψ)の各要素χ_i,j ^*(ψ)を変換係数と呼ぶ。
この場合、n(ψ)+ζ(ψ)行n(ψ)+ζ(ψ)列の単位行列をI(ψ)とするとX(ψ)・(X^*(ψ))^T=τ'・I(ψ)を満たす。すなわち、単位行列

に対し、

を満たす。ここで、n(ψ)+ζ(ψ)次元ベクトル
χ_i ^→(ψ)=(χ_i,1(ψ),...,χ_{i,n(ψ)+ζ(ψ)}(ψ)) …(18)
χ_j ^→*(ψ)=(χ_j,1 ^*(ψ),...,χ_{j,n(ψ)+ζ(ψ)} ^*(ψ)) …(19)
を定義する。すると、式(17)の関係から、n(ψ)+ζ(ψ)次元ベクトルχ_i ^→(ψ)とχ_j ^→*(ψ)との内積は、
χ_i ^→(ψ)・χ_j ^→*(ψ)=τ'・δ(i,j) …(20)
となる。

b_i(ψ)：b_i(ψ)は巡回群G₁のn(ψ)+ζ(ψ)個の元を要素とするn(ψ)+ζ(ψ)次元の基底ベクトルを表す。b_i(ψ)は行列X(ψ)を用いて基底ベクトルa_i(ψ) (i=1,...,n(ψ)+ζ(ψ))を座標変換することで得られる。具体的には、基底ベクトルb_i(ψ)は、
b_i(ψ)=Σ_j=1 ^n(ψ)+ζ(ψ)χ_i,j(ψ)・a_j(ψ) …(21)
の演算によって得られる。例えば、基底ベクトルa_j(ψ)(j=1,...,n(ψ)+ζ(ψ))が式(8)によって表現される場合、基底ベクトルb_i(ψ)の各要素をそれぞれ列挙して表現すると、以下のようになる。
b_i(ψ)=(χ_i,1(ψ)・κ₁・g₁,χ_i,2(ψ)・κ₁・g₁,
...,χ_{i,n(ψ)+ζ(ψ)}(ψ)・κ₁・g₁) …(22)
巡回群G₁のn(ψ)+ζ(ψ)個の元を要素とするすべてのn(ψ)+ζ(ψ)次元ベクトルは、n(ψ)+ζ(ψ)次元の基底ベクトルb_i(ψ)(i=1,...,n(ψ)+ζ(ψ))の線形和によって表される。すなわち、n(ψ)+ζ(ψ)次元の基底ベクトルb_i(ψ)は前述のベクトル空間V(ψ)を張る。

b_i ^*(ψ)：b_i ^*(ψ)は巡回群G₂のn(ψ)+ζ(ψ)個の元を要素とするn(ψ)+ζ(ψ)次元の基底ベクトルを表す。b_i ^*(ψ)は行列X^*(ψ)を用いて基底ベクトルa_i ^*(ψ)(i=1,...,n(ψ)+ζ(ψ))を座標変換することで得られる。具体的には、基底ベクトルb_i ^*(ψ)は、
b_i ^*(ψ)=Σ_j=1 ^n(ψ)+ζ(ψ)χ_i,j ^*(ψ)・a_j ^*(ψ) …(23)
の演算によって得られる。例えば、基底ベクトルa_j ^*(ψ) (j=1,...,n(ψ)+ζ(ψ))が式(9)によって表現される場合、基底ベクトルb_i ^*(ψ)の各要素をそれぞれ列挙して表現すると、以下のようになる。
b_i ^*(ψ)=(χ_i,1 ^*(ψ)・κ₂・g₂ ,χ_i,2 ^*(ψ)・κ₂・g₂,
...,χ_{i,n(ψ)+ζ(ψ)} ^*(ψ)・κ₂・g₂) …(24)
となる。巡回群G₂のn(ψ)+ζ(ψ)個の元を要素とするすべてのn(ψ)+ζ(ψ)次元ベクトルは、n(ψ)+ζ(ψ)次元の基底ベクトルb_i ^*(ψ)(i=1,...,n(ψ)+ζ(ψ))の線形和によって表される。すなわち、n(ψ)+ζ(ψ)次元の基底ベクトルb_i ^*(ψ)は前述のベクトル空間V^*(ψ)を張る。
なお、基底ベクトルb_i(ψ)と基底ベクトルb_i ^*(ψ)とは、0_Fを除く有限体F_qの元τ=κ₁・κ₂について
e_ψ(b_i(ψ), b_j ^*(ψ))=g_T ^{τ・τ'・δ(i,j)} …(25)
を満たす。すなわち、式(5)(20)(22)(24)の関係から、

を満たす。特にτ=κ₁・κ₂=1_F（例えば、κ₁=κ₂=1_F）及びτ'=1_Fである場合、
e_ψ(b_i(ψ), b_j ^*(ψ))=g_T ^δ(i,j) …(26)
を満たす。この場合、基底ベクトルb_i(ψ)と基底ベクトルb_i ^*(ψ)とは、双対ペアリングベクトル空間（ベクトル空間V(ψ)とベクトル空間V^*(ψ)）の双対正規直交基底である。
なお、式(25)の関係を満たすのであれば、式(8)(9)で例示したもの以外の基底ベクトルa_i(ψ)及びa_i ^*(ψ)や、式(21)(23)で例示したもの以外の基底ベクトルb_i(ψ)及びb_i ^*(ψ)を用いてもよい。

B(ψ)：B(ψ)は基底ベクトルb_i(ψ) (i=1,...,n(ψ)+ζ(ψ))を要素とするn(ψ)+ζ(ψ)行n(ψ)+ζ(ψ)列の行列である。B(ψ)=X(ψ)・A(ψ)を満たす。例えば、基底ベクトルb_i(ψ)が式(22)によって表現される場合、行列B(ψ)は、

となる。

B^*(ψ)：B^*(ψ)は基底ベクトルb_i ^*(ψ) (i=1,...,n(ψ)+ζ(ψ))を要素とするn(ψ)+ζ(ψ)行n(ψ)+ζ(ψ)列の行列を表す。B^*(ψ)=X^*(ψ)・A^*(ψ)を満たす。例えば、基底ベクトルb_i ^*(ψ) (i=1,...,n(ψ)+ζ(ψ))が式(24)によって表現される場合、行列B^*(ψ)は、

となる。

v(λ)^→：v(λ)^→は有限体F_qの元を要素とするn(λ)次元ベクトルを表す。
v(λ)^→=(v₁(λ)_,...,v_n(λ)(λ))∈F_q ^n(λ) …(29)
v_μ(λ)：v_μ(λ)はn(λ)次元ベクトルv(λ)^→のμ(μ=1,...,n(λ))番目の要素を表す。
w(λ)^→：w(λ)^→は有限体F_qの元を要素とするn(λ)次元ベクトルを表す。
w(λ)^→=(w₁(λ)_,...,w_n(λ)(λ))∈F_q ^n(λ) …(30)
w_μ(λ)：w_μ(λ)はn(λ)次元ベクトルw(λ)^→のμ(μ=1,...,n(λ))番目の要素を表す。
Enc：Encは共通鍵暗号方式の暗号化処理を示す共通鍵暗号関数を表す。
Enc_K(M)：Enc_K(M)は、共通鍵Kを用い、共通鍵暗号関数Encに従って平文Mを暗号化して得られた暗号文を表す。
Dec：Decは、共通鍵暗号方式の復号処理を示す共通鍵復号関数を表す。
Dec_K(C)：Dec_K(C)は、共通鍵Kを用い、共通鍵復号関数Decに従って暗号文Cを復号して得られた復号結果を表す。

〔関数型暗号方式〕
次に、関数型暗号方式の基本的な構成について説明する。
関数型暗号方式とは、第１情報と第２情報との組み合わせによって定まる論理式の真理値が「真」となる場合に暗号文が復号される方式である。「第１情報」と「第２情報」の一方が暗号文に埋め込まれ、他方が鍵情報に埋め込まれる。例えば、「"Predicate Encryption Supporting Disjunctions, Polynomial Equations, and Inner Products," with Amit Sahai and Brent Waters One of 4 papers from Eurocrypt 2008 invited to the Journal of Cryptology」（参考文献９）に開示された述語暗号方式は関数型暗号方式の一種である。
これ以外にも様々な公知の関数型暗号方式が存在するが、以下に説明する関数型暗号方式では秘密情報に応じた値が所定の論理式に応じた態様で階層的に秘密分散される。所定の論理式は、第１情報と第２情報との組み合わせによって真理値が定まる命題変数を含み、必要に応じてさらに論理記号∧，∨，¬の何れか又はすべてを含む。そして、各命題変数の真理値が特定されることで定まる当該所定の論理式の真理値が「真」となる場合に秘密情報に応じた値が復元され、それに基づいて暗号文が復号される。

＜論理式と階層的な秘密分散との関係＞
上述した所定の論理式と階層的な秘密分散との関係を説明する。
秘密分散とは、しきい値K_t(K_t≧1)個以上のシェア情報が得られた場合にのみ秘密情報が復元されるように、秘密情報をN(N≧2)個のシェア情報に分散することである。K_t=Nを満たす秘密分散の方式（SSS: Secret Sharing Scheme）をN-out-of-N分散方式（或いは「N-out-of-Nしきい値分散方式」）といい、K_t＜Nを満たす秘密分散の方式をK_t-out-of-N分散方式（或いは「K_t-out-of-Nしきい値分散方式」）という（例えば、参考文献１０「黒沢馨、尾形わかは、“現代暗号の基礎数理 (電子情報通信レクチャーシリーズ)”、コロナ社 、２００４年３月、p.116-119」、参考文献１１「A. Shamir, "How to Share a Secret", Communications of the ACM, November 1979, Volume 22, Number 11, pp.612-613.」等参照）。

N-out-of-N分散方式は、すべてのシェア情報share(1),...,share(N)が与えられれば秘密情報SEを復元できるが、任意のN-1個のシェア情報share(φ₁),...,share(φ_N-1)が与えられても秘密情報SEの情報はまったく得られない方式である。以下に、その一例を示す。
・SH₁,...,SH_N-1をランダムに選択する。
・SH_N=SE-(SH₁+...+SH_N-1)の計算を行う。
・SH₁,...,SH_Nを各シェア情報share(1),...,share(N)とする。
・すべてのシェア情報share(1),...,share(N)が与えられれば、
SE=share(1)+...+share(N) …(31)
の復元処理によって秘密情報SEの復元が可能である。
K_t-out-of-N分散方式は、任意の相違なるK_t個のシェア情報share(φ₁),...,share(φ_Kt)が与えられれば秘密情報SEを復元できるが、任意のK_t-1個のシェア情報share(φ₁),...,share(φ_Kt-1)が与えられても秘密情報SEの情報はまったく得られない方式である。なお、添え字のKtはK_tを表す。以下にK_t-out-of-N分散方式の一例を示す。
・f(0)=SEを満たすK_t-1次の多項式f(x)=ξ₀+ξ₁・x+ξ₂・x²+...+ξ_Kt-1・x^Kt-1をランダムに選ぶ。すなわち、ξ₀=SEとし、ξ₁,..., ξ_Kt-1をランダムに選ぶ。シェア情報をshare(ρ)=(ρ, f(ρ))（ρ=1,...,N）とする。なお、(ρ, f(ρ))はρ及びf(ρ)の値をそれぞれ抽出可能な情報であり、例えばρとf(ρ)とのビット結合値である。
・任意の相違なるK_t個のシェア情報share(φ₁),...,share(φ_Kt)（(φ₁,...,φ_Kt)⊂(1,...,N)）が得られた場合、例えば、ラグランジェ(Lagrange)の補間公式を用い、以下のような復元処理によって秘密情報SEの復元が可能である。
SE=f(0)=LA₁・f(φ₁)+...+ LA_Kt・f(φ_Kt) …(32)

は先頭からρ番目の被演算子〔分母の要素(φ_ρ-φ_ρ)、分子の要素(x-φ_ρ)〕が存在しないことを意味する。すなわち、式(33)の分母は、
(φ_ρ-φ₁)・...・(φ_ρ-φ_ρ-1)・(φ_ρ-φ_ρ+1)・...・(φ_ρ-φ_Kt)
であり、式(33)の分子は、
(x-φ₁)・...・(x-φ_ρ-1)・(x-φ_ρ+1)・...・(x-φ_Kt)
である。

上述した各秘密分散は体上でも実行可能である。また、これらを拡張して秘密情報SEに応じた値をシェア情報shareに秘密分散することもできる。秘密情報SEに応じた値とは秘密情報SEそのものや秘密情報SEの関数値であり、シェア情報shareに応じた値とはシェア情報shareそのものやシェア情報の関数値である。例えば、有限体F_qの元である秘密情報SE∈F_qに応じた巡回群G_Tの元g_T ^SE∈G_Tを秘密情報SEの各シェア情報share(1),share(2)に応じた巡回群G_Tの元g_T ^share(1),g_T ^share(2)∈G_Tに秘密分散することもできる。また、上述した秘密情報SEはシェア情報shareの線形結合となる（式(31)(32)）。このように秘密情報SEがシェア情報shareの線形結合となる秘密分散方式を線形秘密分散方式と呼ぶ。

上述した所定の論理式は、秘密情報を階層的に秘密分散して得られる木構造データによって表現できる。すなわち、ド・モルガンの法則により、上述した所定の論理式はリテラルからなる論理式、又は、論理記号∧，∨の少なくとも一部とリテラルとからなる論理式（これらを「標準形論理式」と呼ぶことにする）によって表現でき、この標準形論理式は秘密情報を階層的に秘密分散して得られる木構造データによって表現できる。

標準形論理式を表現する木構造データは複数のノードを含み、少なくとも一部のノードは１個以上の子ノードの親ノードとされ、親ノードの１つはルートノードとされ、子ノードの少なくとも一部は葉ノードとされる。ルートノードの親ノードや、葉ノードの子ノードは存在しない。ルートノードには秘密情報に応じた値が対応し、各親ノードの子ノードには当該親ノードに対応する値を秘密分散したシェア情報に応じた値が対応する。各ノードでの秘密分散形態（秘密分散方式やしきい値）は標準形論理式に応じて定まる。また、各葉ノードには標準形論理式を構成する各リテラルが対応し、当該各リテラルの真理値は第１情報と第２情報との組み合わせによって定まる。

ここで、真理値が真となったリテラルに対応する葉ノードに対応するシェア情報に応じた値は得られるが、真理値が偽となったリテラルに対応する葉ノードに対応するシェア情報に応じた値は得られないものとする。また、上述した秘密分散の性質により、親ノードに対応するシェア情報に応じた値（その親ノードがルートノードであれば秘密情報に応じた値）は、その子ノードに対応するシェア情報に応じた値が当該親ノードに対応するしきい値以上の個数だけ得られた場合にのみ復元される。そのため、どの葉ノードに対応するリテラルの真理値が真になったのかと木構造データの構成（各ノードでの秘密分散の形態を含む）とに応じ、最終的にルートノードに対応する秘密情報に応じた値が復元できるか否かが定まる。そして、各葉ノードに対応する各リテラルの真理値が標準形論理式の真理値を真にする場合にのみ最終的にルートノードに対応する秘密情報に応じた値が復元できるように木構造データが構成されている場合、このような木構造データは標準形論理式を表現する。このような標準形論理式を表現する木構造データは容易に設定できる。以下に具体例を示す。

図１１は、命題変数PRO(1),PRO(2)と命題変数PRO(3)の否定¬PRO(3)と論理記号∧，∨とを含む標準形論理式PRO(1)∧PRO(2)∨¬PRO(3)を表現する木構造データを例示する図である。図１１に例示する木構造データは複数のノードN₁,...,N₅を含む。ノードN₁はノードN₂,N₅の親ノードとされ、ノードN₂はノードN₃,N₄の親ノードとされ、親ノードの１つノードN₁がルートノードとされ、子ノードの一部であるノードN₃,N₄,N₅が葉ノードとされる。ノードN₁には秘密情報SEに応じた値が対応し、ノードN₁の子ノードN₂,N₅には、秘密情報SEに応じた値が1-out-of-2分散方式で秘密分散された各シェア情報SE,SEに応じた値がそれぞれ対応する。ノードN₂の子ノードN₃,N₄には、シェア情報SEに応じた値が2-out-of-2分散方式で秘密分散された各シェア情報SE-SH₁,SH₁に応じた値がそれぞれ対応する。すなわち、葉ノードN₃にはシェア情報share(1)=SE-SH₁に応じた値が対応し、葉ノードN₄にはシェア情報share(2)=SH₁に応じた値が対応し、葉ノードN₅にはシェア情報share(3)=SEに応じた値が対応する。また、葉ノードN₃,N₄,N₅には標準形論理式PRO(1)∧PRO(2)∨¬PRO(3)を構成する各リテラルPRO(1),PRO(2),¬PRO(3)がそれぞれ対応し、当該各リテラルPRO(1),PRO(2),¬PRO(3)の真理値は第１情報と第２情報との組み合わせによって定まる。ここで、真理値が真となったリテラルに対応する葉ノードに対応するシェア情報に応じた値は得られるが、真理値が偽となったリテラルに対応する葉ノードに対応するシェア情報に応じた値は得られない。この場合、第１情報と第２情報との組み合わせが標準形論理式PRO(1)∧PRO(2)∨¬PRO(3)の真理値を真にする場合にのみ秘密情報SEに応じた値が復元される。

図１２は、命題変数PRO(1),PRO(2),PRO(3),PRO(6),PRO(7)と命題変数PRO(4),PRO(5)の否定¬PRO(4),¬PRO(5)と論理記号∧，∨とを含む標準形論理式PRO(1)∧PRO(2)∨PRO(2)∧PRO(3)∨PRO(1)∧PRO(3)∨¬PRO(4)∨(¬PRO(5)∧PRO(6))∧PRO(7)を表現する木構造データを例示する図である。
図１２に例示する木構造データは複数のノードN₁,...,N₁₁を含む。ノードN₁はノードN₂,N₆,N₇の親ノードとされ、ノードN₂はノードN₃,N₄,N₅の親ノードとされ、ノードN₇はノードN₈,N₁₁の親ノードとされ、ノードN₈はノードN₉,N₁₀の親ノードとされ、親ノードの１つであるノードN₁がルートノードとされ、ノードN₃,N₄,N₅,N₆,N₉,N₁₀,N₁₁が葉ノードとされる。ノードN₁には秘密情報SEに応じた値が対応し、ノードN₁の子ノードN₂,N₆,N₇には、秘密情報SEに応じた値が1-out-of-3分散方式で秘密分散された各シェア情報SE,SE,SEに応じた値がそれぞれ対応する。ノードN₂の子ノードN₃,N₄,N₅には、シェア情報SEに応じた値が2-out-of-3分散方式で秘密分散された各シェア情報(1,f(1)),(2,f(2)),(3,f(3))に応じた値がそれぞれ対応する。ノードN₇の子ノードN₈,N₁₁には、シェア情報SEに応じた値が2-out-of-2分散方式で秘密分散された各シェア情報SH₄,SE-SH₄に応じた値がそれぞれ対応する。ノードN₈の子ノードN₉,N₁₀には、シェア情報SH₄に応じた値が1-out-of-2分散方式で秘密分散された各シェア情報SH₄,SH₄に応じた値がそれぞれ対応する。すなわち、葉ノードN₃にはシェア情報share(1)=(1,f(1))に応じた値が対応し、葉ノードN₄にはシェア情報share(2)=(2,f(2))に応じた値が対応し、葉ノードN₅にはシェア情報share(3)=(3,f(3))に応じた値が対応し、葉ノードN₆にはシェア情報share(4)=SEに応じた値が対応し、葉ノードN₉にはシェア情報share(5)=SH₄に応じた値が対応し、葉ノードN₁₀にはシェア情報share(6)=SH₄に応じた値が対応し、葉ノードN₁₁にはシェア情報share(7)=SE-SH₄に応じた値が対応する。また、葉ノードであるノードN₃,N₄,N₅,N₆,N₉,N₁₀,N₁₁には標準形論理式PRO(1)∧PRO(2)∨PRO(2)∧PRO(3)∨PRO(1)∧PRO(3)∨¬PRO(4)∨(¬PRO(5)∧PRO(6))∧PRO(7)を構成する各リテラルPRO(1),PRO(2),PRO(2),PRO(3),PRO(1),PRO(3),¬PRO(4),¬PRO(5),PRO(6),PRO(7)がそれぞれ対応し、各リテラルPRO(1),PRO(2),PRO(2),PRO(3),PRO(1),PRO(3),¬PRO(4),¬PRO(5),PRO(6),PRO(7)の真理値は第１情報と第２情報との組み合わせによって定まる。ここで、真理値が真となったリテラルに対応する葉ノードに対応するシェア情報に応じた値は得られるが、真理値が偽となったリテラルに対応する葉ノードに対応するシェア情報に応じた値は得られない。この場合、第１情報と第２情報との組み合わせが標準形論理式PRO(1)∧PRO(2)∨PRO(2)∧PRO(3)∨PRO(1)∧PRO(3)∨¬PRO(4)∨(¬PRO(5)∧PRO(6))∧PRO(7)の真理値を真にする場合にのみ秘密情報SEに応じた値が復元される。

＜アクセス構造＞
上述のように秘密情報を階層的に秘密分散して得られる木構造データによって所定の論理式を表現した場合、第１情報と第２情報との組み合わせに対して得られる葉ノードでのシェア情報に応じた値から秘密情報に応じた値を復元できるか否かによって、第１情報と第２情報との組み合わせによって定まる論理式の真理値が「真」となるか「偽」となるかを判定できる。以下、第１情報と第２情報との組み合わせによって定まる論理式の真理値が「真」となる場合に第１情報と第２情報との組み合わせを受け入れ、「偽」となる場合に第１情報と第２情報との組み合わせを拒絶する仕組みをアクセス構造と呼ぶ。
上述のように所定の論理式を表現した木構造データの葉ノードの総数をΨとし、各葉ノードに対応する識別子をλ=1,...,Ψとする。各葉ノードに対応するn(λ)次元ベクトルv(λ)^→の集合{v(λ)^→}_λ=1,...,Ψを第１情報とし、n(λ)次元ベクトルw(λ)^→の集合{w(λ)^→}_λ=1,...,Ψを第２情報とする。また、上述した木構造データをラベル付き行列LMT(MT,LAB)として実装する。
ラベル付き行列LMT(MT,LAB)は、Ψ行COL列（COL≧1）の行列

と、行列MTの各行λ=1,...,Ψに対応付けられたラベルLAB(λ)とを含む。
行列MTの各要素mt_λ,col（col=1,...,COL）は次の２つの要件を満たす。第１に、上述のように所定の論理式を表現した木構造データのルートノードに秘密情報SE∈F_qに応じた値が対応する場合、予め定められた有限体F_qの元を要素とするCOL次元ベクトル
GV^→=(gv₁,...,gv_COL)∈F_q ^COL …(35)
と、秘密情報SEに応じた有限体F_qの元を要素とするCOL次元ベクトル
CV^→=(cv₁,...,cv_COL)∈F_q ^COL …(36)
とに対して
SE=GV^→・(CV^→)^T …(37)
が成立する。COL次元ベクトルGV^→の具体例は、
GV^→=(1_F,...,1_F)∈F_q ^COL …(38)
であるが、GV^→=(1_F,0_F,...,0_F)∈F_q ^COLなどのその他のCOL次元ベクトルであってもよい。第２に、識別子λに対応する葉ノードにシェア情報share(λ)∈F_qに応じた値が対応する場合、
(share(1),...,share(Ψ))^T=MT・(CV^→)^T …(39)
が成立する。上述のように所定の論理式を表現した木構造データが定まれば、これら２つの要件を満たす行列MTを選択することは容易である。また、秘密情報SEやシェア情報share(λ)が変数であったとしても、これら２つの要件を満たす行列MTを選択することは容易である。すなわち、行列MTを定めた後で秘密情報SEやシェア情報share(λ)の値が定められてもよい。
また、行列MTの各行λ=1,...,Ψに対応付けられたラベルLAB(λ)は、識別子λに対応する葉ノードに対応するリテラル（PRO(λ)又は¬PRO(λ)）に対応する。ここで、命題変数PRO(λ)の真理値が「真」であることと第１情報VSET1={λ,v(λ)^→|λ=1,...,Ψ}が含むv(λ)^→と第２情報VSET2={λ,w(λ)^→|λ=1,...,Ψ}が含むw(λ)^→との内積v(λ)^→・w(λ)^→が０となることとが等価であると扱い、命題変数PRO(λ)の真理値が「偽」であることと内積v(λ)^→・w(λ)^→が０とならないこととが等価であると扱う。そして、PRO(λ)に対応するラベルLAB(λ)がv(λ)^→を表し、¬PRO(λ)に対応するラベルLAB(λ)が¬v(λ)^→を表すものとする。なお、¬v(λ)^→はv(λ)^→の否定を表す論理式であり、¬v(λ)^→からv(λ)^→の特定が可能である。また、LAB(λ)がv(λ)^→を表すことを「LAB(λ)=v(λ)^→」と表記し、LAB(λ)が¬v(λ)^→を表すことを「LAB(λ)=¬v(λ)^→」と表記する。また、LAB(λ)（λ=1,...,Ψ）の集合{LAB(λ)}_λ=1,...,ΨをLABと表記する。
さらに、Ψ次元ベクトル
TFV^→=(tfv(1),...,tfv(Ψ)) …(40)
を定義する。要素tfv(λ)は、内積v(λ)^→・w(λ)^→が０のときにtfv(λ)=１となり、０以外のときにtfv(λ)=0となる。
tfv(λ)=1 （PRO(λ)が真） if v(λ)^→・w(λ)^→=0 …(41)
tfv(λ)=0 （PRO(λ)が偽） if v(λ)^→・w(λ)^→≠0 …(42)
さらに、論理式
{(LAB(λ)=v(λ)^→)∧(tfv(λ)=1)}∨{(LAB(λ)=¬v(λ)^→)∧(tfv(λ)=0)} …(43)
の真理値が「真」になるときLIT(λ)=1と表記し「偽」になるときLIT(λ)=0と表記する。すなわち、識別子λに対応する葉ノードに対応するリテラルの真理値が「真」になるときLIT(λ)=1と表記し「偽」になるときLIT(λ)=0と表記する。すると、行列MTが含む行ベクトルのうちLIT(λ)=1となる行ベクトルmt_λ ^→=(mt_λ,1,...,mt_λ,COL)のみからなる部分行列MT_TFVは以下のように表記できる。
MT_TFV=(MT)_LIT(λ)=1 …(44)
上述した秘密分散方式が線形秘密分散方式である場合、識別子λに対応するシェア情報share(λ)に応じた値から秘密情報SEに応じた値が復元できることと、識別子λに対応する行ベクトルmt_λ ^→で張られるベクトル空間にCOL次元ベクトルGV^→が属することとは等価である。すなわち、識別子λに対応する行ベクトルmt_λ ^→で張られるベクトル空間にCOL次元ベクトルGV^→が属するか否かを判定することで、識別子λに対応するシェア情報share(λ)に応じた値から秘密情報SEに応じた値が復元できるか否かが判定できる。なお、行ベクトルmt_λ ^→で張られるベクトル空間とは、行ベクトルmt_λ ^→の線形結合で表すことができるベクトル空間を意味する。
ここで、上述の部分行列MT_TFVの各行ベクトルmt_λ ^→で張られるベクトル空間span<MT_TFV>にCOL次元ベクトルGV^→が属する場合に第１情報と第２情報との組み合わせが受け入れられ、そうでない場合に第１情報と第２情報との組み合わせが拒絶されることにする。これにより、上述のアクセス構造が具体化される。なお、上述したようにラベル付き行列LMT(MT,LAB)が第１情報に対応する場合、アクセス構造が第１情報と第２情報との組み合わせを受け入れることを「アクセス構造が第２情報を受け入れる」といい、アクセス構造が第１情報と第２情報との組み合わせを受け入れないことを「アクセス構造が第２情報を拒絶する」という。
受け入れ if GV^→∈span<MT_TFV>
拒絶 if ¬(GV^→∈span<MT_TFV>)
また、GV^→∈span<MT_TFV>の場合、
SE=Σ_μ∈SETconst(μ)・share(μ) …(45)
{const(μ)∈F_q|μ∈SET},SET⊆{1,...,λ|LIT(λ)=1}
を満たす係数const(μ)が存在し、このような係数const(μ)は行列MTのサイズの多項式時間で求めることができる。

＜アクセス構造を用いた関数型暗号方式の基本構成＞
以下では、アクセス構造を用いた関数型暗号方式によって鍵カプセル化メカニズムKEM (Key Encapsulation Mechanisms)を構成する場合の基本構成を例示する。この構成はSetup(1^sec，(Ψ;n(1),...,n(Ψ)))，GenKey(PK,MSK,LMT(MT,LAB))，Enc(PK,M,{λ,v(λ)^→|λ=1,...,Ψ})(v₁(λ)=1_F)，Dec(PK,SKS,C)を含む。また、第２情報VSET2={λ,w(λ)^→|λ=1,...,Ψ}の1番目の要素w₁(λ)が1_Fとされる。

［Setup(1^sec，(Ψ;n(1),...,n(Ψ)))：セットアップ］
−入力：1^sec，(Ψ;n(1),...,n(Ψ))
−出力：マスター鍵情報MSK，公開パラメータPK
Setupでは各ψ=0,...,Ψについて以下の処理が実行される。
(Setup-1) 1^secを入力としてセキュリティパラメータsecでの位数q、楕円曲線E、巡回群G₁, G₂, G_T、双線形写像e_ψ(ψ=0,...,Ψ)が生成される（param=(q, E, G₁, G₂, G_T, e_ψ)）。
(Setup-2) τ'∈F_qが選択され、X^*(ψ)=τ'・(X(ψ)^-1)^Tを満たす行列X(ψ)，X^*(ψ)が選択される。
(Setup-3) 基底ベクトルa_i(ψ) (i=1,...,n(ψ)+ζ(ψ))が式(21)に従って座標変換され、n(ψ)+ζ(ψ)次元の基底ベクトルb_i(ψ) (i=1,...,n(ψ)+ζ(ψ))が生成される。基底ベクトルb_i(ψ) (i=1,...,n(ψ)+ζ(ψ))を要素とするn(ψ)+ζ(ψ)行n(ψ)+ζ(ψ)列の行列B(ψ)が生成される。
(Setup-4) 基底ベクトルa_i ^*(ψ) (i=1,...,n(ψ)+ζ(ψ))が式(23)に従って座標変換され、n(ψ)+ζ(ψ)次元の基底ベクトルb_i ^*(ψ)(i=1,...,n(ψ)+ζ(ψ))が生成される。基底ベクトルb_i ^*(ψ) (i=1,...,n(ψ)+ζ(ψ))を要素とするn(ψ)+ζ(ψ)行n(ψ)+ζ(ψ)列の行列B^*(ψ)が生成される。
(Setup-5) B^*(ψ)＾の集合{B^*(ψ)＾}_ψ=0,...,Ψをマスター鍵情報MSK={B^*(ψ)＾}_ψ=0,...,Ψとする。また、B(ψ)＾の集合{B(ψ)＾}_ψ=0,...,Ψと1^secとparamとを公開パラメータPKとする。ただし、B^*(ψ)＾は行列B^*(ψ)又はその部分行列であり、B(ψ)＾は行列B(ψ)又はその部分行列である。また、集合{B^*(ψ)＾}_ψ=0,...,Ψは、少なくとも、b₁ ^*(0),b₁ ^*(λ) …,b_n(λ) ^*(λ)（λ=1,...,Ψ）を含む。また、集合{B(ψ)＾}_ψ=0,...,Ψは、少なくとも、b₁(0),b₁(λ),…,b_n(λ)(λ)（λ=1,...,Ψ）を含む。以下に一例を示す。
・n(0)+ζ(0)≧5, ζ(λ)=3・n(λ)
・B(0)＾=(b₁(0) b₃(0) b₅(0))^T
・B(λ)＾=(b₁(λ) … b_n(λ)(λ) b_3・n(λ)+1(λ) … b_4・n(λ)(λ))^T（λ=1,...,Ψ）
・B^*(0)＾=(b₁ ^*(0) b₃ ^*(0) b₄ ^*(0))^T
・B^*(λ)＾=(b₁ ^*(λ) … b_n(λ) ^*(λ) b_2・n(λ)+1 ^*(λ) … b_3・n(λ) ^*(λ))^T（λ=1,...,Ψ）

［GenKey(PK,MSK,LMT(MT,LAB))：鍵情報生成］
−入力：公開パラメータPK，マスター鍵情報MSK，第１情報VSET1={λ,v(λ)^→|λ=1,...,Ψ}に対応するラベル付き行列LMT(MT,LAB)
−出力：鍵情報SKS
(GenKey-1) 式(35)-(39)を満たす秘密情報SEに対して以下の処理が実行される。
D^*(0)=-SE・b₁ ^*(0)+Σ_ι=2 ^Icoef_ι(0)・b_ι ^*(0) …(46)
ただし、Iは2以上n(0)+ζ(0)以下の定数である。coef_ι(0)∈F_qは定数又は乱数である。「乱数」とは真性乱数や擬似乱数を意味する。以下にD^*(0)の一例を示す。なお、式(47)のcoef₄(0)は乱数である。
D^*(0)=-SE・b₁ ^*(0)+b₃ ^*(0)+coef₄(0)・b₄ ^*(0) …(47)
(GenKey-2) 式(35)-(39)を満たすshare(λ)(λ=1,...,Ψ)に対して以下の処理が実行される。
LAB(λ)=v(λ)^→となるλに対して
D^*(λ)=(share(λ)+coef(λ)・v₁(λ))・b₁ ^*(λ)
+Σ_ι=2 ^n(λ)coef(λ)・v_ι(λ)・b_ι ^*(λ)
+Σ_ι=n(λ)+1 ^n(λ)+ζ(λ)coef_ι(λ)・b_ι ^*(λ) …(48)
が生成され、
LAB(λ)=¬v(λ)^→となるλに対して
D^*(λ)=share(λ)・Σ_ι=1 ^n(λ)v_ι(λ)・b_ι ^*(λ)
+Σ_ι=n(λ)+1 ^n(λ)+ζ(λ)coef_ι(λ)・b_ι ^*(λ) …(49)
が生成される。ただしcoef(λ),coef_ι(λ)∈F_qは定数又は乱数である。以下に一例を示す。
LAB(λ)=v(λ)^→となるλに対して
D^*(λ)=(share(λ)+coef(λ)・v₁(λ))・b₁ ^*(λ)
+Σ_ι=2 ^n(λ)coef(λ)・v_ι(λ)・b_ι ^*(λ)
+Σ_{ι=2・n(λ)+1} ^3・n(λ)coef_ι(λ)・b_ι ^*(λ) …(50)
が生成され、
LAB(λ)=¬v(λ)^→となるλに対して
D^*(λ)=share(λ)・Σ_ι=1 ^n(λ)v_ι(λ)・b_ι ^*(λ)
+Σ_{ι=2・n(λ)+1} ^3・n(λ)coef_ι(λ)・b_ι ^*(λ) …(51)
が生成される。なお、式(50)(51)のcoef(λ)及びcoef_ι(λ)は乱数である。
(GenKey-3) 鍵情報
SKS=(LMT(MT,LAB),D^*(0),D^*(1),...,D(Ψ)) …(52)
生成される。

［Enc(PK,M,VSET2)：暗号化］
−入力：公開パラメータPK，平文M，第２情報VSET2={λ,w(λ)^→|λ=1,...,Ψ}(w₁(λ)=1_F)
−出力：暗号文C
(Enc-1) 以下の処理によって共通鍵Kの暗号文C(ψ)(ψ=0,...,Ψ)が生成される。
C(0)=υ・b₁(0)+Σ_ι=2 ^Iυ_ι(0)・b_ι(0) …(53)
C(λ)=υ・Σ_ι=1 ^n(λ)w_ι(λ)・b_ι(λ)+Σ_ι=n(λ)+1 ^n(λ)+ζ(λ)υ_ι(λ)・b_ι(λ) …(54)
ただし、υ,υ_ι(ψ)∈F_q(ψ=0,...,Ψ)は定数又は乱数であり、
(coef₂(0),...,coef_I(0))・(υ₂(0),...,υ_I(0))=υ' …(55)
coef_ι(λ)・υ_ι(λ)=0_F (ι=n(λ)+1,...,n(λ)+ζ(λ)) …(56)
を満たす。υ'の例はυ₂(0),...,υ_I(0)の何れか１個である。例えば、υ,υ₃(0),υ₅(0),υ_3・n(λ)+1(λ),...,υ_4・n(λ)(λ)が乱数であり、ζ(λ)=3・n(λ)、I=5であり、
(υ₂(0),...,υ_I(0))=(0_F,υ₃(0),0_F,υ₅(0))
υ'=υ₃(0)
(υ_n(λ)+1(λ),...,υ_3・n(λ)(λ))=(0_F,...,0_F)
である。
(Enc-2) 共通鍵
K=g_T ^{τ・τ'・υ'}∈G_T …(57)
が生成される。例えば、τ=τ'=1_Fの場合、
K=g_T ^υ'∈G_T …(58)
である。
(Enc-3) 共通鍵Kを用いて平文Mの暗号文
C(Ψ+1)=Enc_K(M) …(59)
が生成される。なお、共通鍵暗号方式Encは、例えば共通鍵Kを用いて暗号化可能に構成されたカメリア（Camellia）（登録商標）やAESや共通鍵と平文との排他的論理和などでよいが、その他の簡単な例として以下のようにEnc_K(M)を生成してもよい。ただし、式(60)の例ではM∈G_Tとされる。
C(Ψ+1)=g_T ^υ'・M …(60)
(Enc-4) 暗号文
C=(VSET2,C(0),{C(λ)}_{(λ,w(λ)→)∈VSET2},C(Ψ+1)) …(61)
が生成される。ただし、下付き添え字の「w(λ)→」は「w(λ)^→」を表す。

［Dec(PK,SKS,C)：復号］
−入力：公開パラメータPK，鍵情報SKS，暗号文C
−出力：平文M'
(Dec-1) λ=1,...,Ψについて、鍵情報SKSが含むラベル付き行列LMT(MT,LAB)の各ラベルLAB(λ)であるn(λ)次元ベクトルv(λ)^→と暗号文CのVSET2が含むn(λ)次元ベクトルw(λ)^→との内積v(λ)^→・w(λ)^→が0となるか否かが判定され、これとLMT(MT,LAB)の各ラベルLAB(λ)とによってGV^→∈span<MT_TFV>であるか否かが判定される（式(40)-(45)）。GV^→∈span<MT_TFV>でなければ暗号文Cが拒絶され、GV^→∈span<MT_TFV>であれば暗号文Cが受け入れられる。
(Dec-2) 暗号文Cが受け入れられると、SET⊆{1,...,λ|LIT(λ)=1}と式(45)を満たす係数const(μ)(μ∈SET)とが計算される。
(Dec-3) 共通鍵

が生成される。ここで、式(6)(25)(55)から、

を満たす。また、式(6)(25)(41)(48)(54)(56)及びw₁(λ)=1_Fから

を満たす。また、式(6)(25)(42)(49)(54)(56)から

を満たす。よって、式(45)(63)-(65)から

を満たす。例えば、τ=τ'=1_Fの場合、
K=g_T ^υ'∈G_T …(67)
を満たす。
(Dec-4) 共通鍵Kを用いて平文
M'=Dec_K(C(Ψ+1))=Dec_K(C(Ψ+1)) …(68)
が生成される。例えば、式(60)に例示した共通鍵暗号方式の場合、
M'=C(Ψ+1)/K …(69)
によって平文M'が生成される。
なお、g_TをG_Tの生成元とする代わりにg_T ^τやg_T ^τ'やg_T ^τ・τ'をG_Tの生成元と扱ってもよい。また、鍵情報SKSのλと暗号文のλとを対応関係を特定する写像を用いてC(λ)とD^*(λ)との組み合わせを特定し、［Dec(PK,SKS,C)：復号］の処理が実行されてもよい。また、第２情報VSET2={λ,w(λ)^→|λ=1,...,Ψ}の1番目の要素w₁(λ)が1_Fとされるだけではなく、第１情報VSET1={λ,v(λ)^→|λ=1,...,Ψ}のn(λ)番目の要素v_n(λ)(λ)が1_Fとされてもよい。また、要素w₁(λ)が1_Fでない場合にはw(λ)^→の代わりにw(λ)^→/w₁(λ)を用いてもよく、要素v_n(λ)(λ)が1_Fでない場合にはv(λ)^→の代わりにv(λ)^→/v_n(λ)(λ)を用いてもよい。また、第１情報VSET1={λ,v(λ)^→|λ=1,...,Ψ}の代わりに第２情報VSET2={λ,w(λ)^→|λ=1,...,Ψ}が用いられ、第２情報VSET2={λ,w(λ)^→|λ=1,...,Ψ}の代わりに第１情報VSET1={λ,v(λ)^→|λ=1,...,Ψ}が用いられてもよい。この場合には第１情報VSET1={λ,v(λ)^→|λ=1,...,Ψ}の1番目の要素v₁(λ)が1_Fとされる。

次に、関数型暗号の一形態である述語暗号の一例として内積を用いた述語暗号について説明する。なお、数式の番号は本節で改めて付け直している。また、説明の都合、上述の説明で用いた文言や記号と同じ文言や記号であっても意味が異なる場合があるので注意されたい。述語暗号は1-out-of-1分散方式を用いた関数型暗号に相当する。

〔定義〕
次に、用語や記号を定義する。
行列：「行列」とは演算が定義された集合の元を矩形に並べたものを表す。環の元を要素とするものだけではなく、群の元を要素とするものも「行列」と表現する。
(・)^T：(・)^Tは・の転置行列を表す。
(・)^-1：(・)^-1は・の逆行列を表す。
∧：∧は論理積を表す。
∨：∨は論理和を表す。
Ｚ：Ｚは整数集合を表す。
sec：secはセキュリティパラメータ（sec∈Z, sec>0）を表す。
F_q：F_qは位数qの有限体を表す。位数qは１以上の整数であり、例えば、素数や素数のべき乗値を位数qとする。すなわち、有限体F_qの例は素体やそれを基礎体とした拡大体である。
0_F：0_Fは有限体F_qの加法単位元（零元）を表す。一般化した加法単位元を0と表す。
1_F：1_Fは有限体F_qの乗法単位元を表す。一般化した乗法単位元を1と表す。
δ(i,j)：δ(i,j)はクロネッカーのデルタ関数を表す。i=jの場合にδ(i,j)=1_Fを満たし、i≠jの場合にδ(i,j)=0_Fを満たす。
E：Eは有限体F_q上で定義された楕円曲線を表す。
G₁, G₂, G_T：G₁, G₂,G_Tは位数qの巡回群を表す。巡回群G₁, G₂の具体例は、楕円曲線Eのp等分点からなる有限集合E[p]やその部分群である。G₁=G₂であってもよいしG₁≠G₂であってもよい。また、巡回群G_Tの具体例は、有限体F_qを基礎体とする拡大体を構成する有限集合である。その一例は、有限体F_qの代数閉包における１のｐ乗根からなる有限集合である。
なお、本形態では、巡回群G₁, G₂上で定義された演算を加法的に表現し、巡回群G_T上で定義された演算を乗法的に表現する。すなわち、χ∈F_q及びΩ∈G₁に対するχ・Ω∈G₁は、Ω∈G₁に対して巡回群G₁で定義された演算をχ回施すことを意味し、Ω₁, Ω₂∈G₁に対するΩ₁+Ω₂∈G₁は、Ω₁∈G₁とΩ₂∈G₁とを被演算子として巡回群G₁で定義された演算を行うことを意味する。同様に、χ∈F_q及びΩ∈G₂に対するχ・Ω∈G₂は、Ω∈G₂に対して巡回群G₂で定義された演算をχ回施すことを意味し、Ω₁, Ω₂∈G₂に対するΩ₁+Ω₂∈G₂は、Ω₁∈G₂とΩ₂∈G₂とを被演算子として巡回群G₂で定義された演算を行うことを意味する。一方、χ∈F_q及びΩ∈G_Tに対するΩ^χ∈G_Tは、Ω∈G_Tに対して巡回群G_Tで定義された演算をχ回施すことを意味し、Ω₁,Ω₂∈G_Tに対するΩ₁・Ω₂∈G_Tは、Ω₁∈G_TとΩ₂∈G_Tとを被演算子として巡回群G_Tで定義された演算を行うことを意味する。
n：nは1以上の整数を表す。
ζ：ζは1以上の整数を表す。ζの一例は２又は３である。
G₁ ^n+ζ：G₁ ^n+ζはn+ζ個の巡回群G₁の直積を表す。
G₂ ^n+ζ：G₂ ^n+ζはn+ζ個の巡回群G₂の直積を表す。
g₁, g₂,g_T：g₁, g₂, g_Tは巡回群G, G₁, G₂, G_Tの生成元を表す。
V：Vはn+ζ個の巡回群G₁の直積からなるn+ζ次元のベクトル空間を表す。
V^*：V^*はn+ζ個の巡回群G₂の直積からなるn+ζ次元のベクトル空間を表す。

e：eは直積G₁ ^n+ζと直積G₂ ^n+ζとの直積G₁ ^n+ζ×G₂ ^n+ζを巡回群G_Tに写す非退化な双線形写像（bilinear map）を表す。双線形写像eは、巡回群G₁のn+ζ個の元γ_β(β=1,...,n+ζ)と巡回群G₂のn+ζ個の元γ_β ^*(β=1,...,n+ζ)とを入力とし、巡回群G_Tの１個の元を出力する。
e：G₁ ^n+ζ×G₂ ^n+ζ→G_T …(1)
双線形写像eは以下の性質を満たす。
［双線形性］すべてのΓ₁∈G₁ ^n+ζ，Γ₂∈G₂ ^n+ζ及びν，κ∈F_qについて以下の関係を満たす。
e(ν・Γ₁,κ・Γ₂)=e(Γ₁,Γ₂)^ν・κ …(2)
［非退化性］すべてのΓ₁∈G₁ ^n+ζ，Γ₂∈G₂ ^n+ζを巡回群G_Tの単位元に写すものではない。
［計算可能性］あらゆる
Γ₁∈G₁ ^n+ζ，Γ₂∈G₂ ^n+ζ …(3)
についてe(Γ₁,Γ₂)を効率的に計算するアルゴリズムが存在する。
本形態では、巡回群G₁と巡回群G₂との直積G₁×G₂を巡回群G_Tに写す非退化な双線形写像を計算するための関数
Pair:G₁×G₂→G_T …(4)
を用いて双線形写像eを構成する。本形態の双線形写像eは、巡回群G₁のn+ζ個の元γ_β (β=1,...,n+ζ)からなるn+ζ次元ベクトル(γ₁,...,γ_n+ζ)と、巡回群G₂のn+ζ個の元γ_β ^*(β=1,...,n+ζ)からなるn+ζ次元ベクトル(γ₁ ^*,...,γ_n+ζ ^*)との入力に対し、巡回群G_Tの１個の元
e=Π_β=1 ^n+ζPair(γ_β, γ_β ^*) …(5)
を出力する。
なお、双線形写像Pairは、巡回群G₁の１個の元と巡回群G₂の１個の元との組を入力とし、巡回群G_Tの１個の元を出力するものであり、以下の性質を満たす。
［双線形性］すべてのΩ₁∈G₁，Ω₂∈G₂及びν，κ∈F_qについて以下の関係を満たす。
Pair(ν・Ω₁,κ・Ω₂)=Pair(Ω₁,Ω₂)^ν・κ …(6)
［非退化性］すべての
Ω₁∈G₁，Ω₂∈G₂ …(7)
を巡回群G_Tの単位元に写すものではない。
［計算可能性］あらゆるΩ₁∈G₁，Ω₂∈G₂についてPair(Ω₁,Ω₂)を効率的に計算するアルゴリズムが存在する。
なお、双線形写像Pairの具体例は、WeilペアリングやTateペアリングなどのペアリングである（例えば、参考文献１「Alfred. J. Menezes，ELLIPTIC CURVE PUBLIC KEY CRYPTOSYSTEMS， KLUWER ACADEMIC PUBLISHERS，ISBN0-7923-9368-6，pp. 61-81」、参考文献２「RFC 5091: Identity-Based Cryptography Standard (IBCS) #1: Supersingular Curve Implementations of the BF and BB1 Cryptosystems」等参照）。

a_i(i=1,...,n+ζ)：a_iは巡回群G₁のn+ζ個の元を要素とするn+ζ次元の基底ベクトルを表す。基底ベクトルa_iの一例は、κ₁・g₁∈G₁をi次元目の要素とし、残りのn個の要素を巡回群G₁の単位元（加法的に「0」と表現）とするn+ζ次元の基底ベクトルである。この場合、n+ζ次元の基底ベクトルa_i(i=1,...,n+ζ)の各要素をそれぞれ列挙して表現すると、以下のようになる。
a₁=(κ₁・g₁,0,0,...,0)
a₂=(0,κ₁・g₁,0,...,0) …(8)
...
a_n+ζ=(0,0,0,...,κ₁・g₁)
ここで、κ₁は加法単位元0_F以外の有限体F_qの元からなる定数であり、κ₁∈F_qの具体例はκ₁=1_Fである。基底ベクトルa_iは直交基底であり、巡回群G₁のn+ζ個の元を要素とするすべてのn+ζ次元ベクトルは、n+ζ次元の基底ベクトルa_i(i=1,...,n+ζ)の線形和によって表される。すなわち、n+ζ次元の基底ベクトルa_iはベクトル空間Vを張る。

a_i ^*(i=1,...,n+ζ)：巡回群G₂のn+ζ個の元を要素とするn+ζ次元の基底ベクトルを表す。基底ベクトルa_i ^*の一例は、κ₂・g₂∈G₂をi次元目の要素とし、残りのn個の要素を巡回群G₂の単位元（加法的に「0」と表現）とするn+ζ次元の基底ベクトルである。この場合、基底ベクトルa_i ^*(i=1,...,n+ζ)の各要素をそれぞれ列挙して表現すると、以下のようになる。
a₁ ^*=(κ₂・g₂,0,0,...,0)
a₂ ^*=(0,κ₂・g₂,0,...,0) …(9)
...
a_n+ζ ^*=(0,0,0,...,κ₂・g₂)
ここで、κ₂は加法単位元0_F以外の有限体F_qの元からなる定数であり、κ₂∈F_qの具体例はκ₂=1_Fである。基底ベクトルa_i ^*は直交基底であり、巡回群G₂のn+ζ個の元を要素とするすべてのn+ζ次元ベクトルは、n+ζ次元の基底ベクトルa_i ^*(i=1,...,n+ζ)の線形和によって表される。すなわち、n+ζ次元の基底ベクトルa_i ^*はベクトル空間V^*を張る。
なお、基底ベクトルa_iと基底ベクトルa_i ^*とは、0_Fを除く有限体F_qの元τ=κ₁・κ₂について
e(a_i, a_j ^*)=g_T ^τ・δ(i,j) …(10)
を満たす。すなわち、i=jの場合には、式(5)(6)の関係から、
e(a_i, a_j ^*)= Pair(κ₁・g₁,κ₂・g₂)・Pair(0, 0)・...・Pair(0, 0)
= Pair(g₁, g₂)^κ1・κ2・Pair(g₁, g₂)^0・0・...・Pair(g₁, g₂)^0・0
= Pair(g₁, g₂)^κ1・κ2=g_T ^τ
を満たす。一方、i≠jの場合には、e(a_i, a_j ^*)=Π_i=1 ^n+ζ Pair(a_i, a_j ^*)の右辺は、Pair(κ₁・g₁,κ₂・g₂)を含まず、Pair(κ₁・g₁,0)と Pair(0,κ₂・g₂)とPair(0,0)との積になる。さらに、式(6)の関係からPair(g₁, 0)=Pair(0, g₂)=Pair(g₁, g₂)⁰を満たす。そのため、i≠jの場合には、
e(a_i, a_j ^*)=e(g₁, g₂)⁰=g_T ⁰
を満たす。
特に、τ=κ₁・κ₂=1_Fである場合（例えば、κ₁=κ₂=1_Fの場合）、
e(a_i, a_j ^*)=g_T ^δ(i,j) …(11)
を満たす。ここで、g_T ⁰=1は巡回群G_Tの単位元であり、g_T ¹=g_Tは巡回群G_Tの生成元である。この場合、基底ベクトルa_iと基底ベクトルa_i ^*とは双対正規直交基底であり、ベクトル空間Vとベクトル空間V^*とは、双線形写像を構成可能な双対ベクトル空間〔双対ペアリングベクトル空間（DPVS:Dual Paring Vector space)〕である。

A：基底ベクトルa_i(i=1,...,n+ζ)を要素とするn+ζ行n+ζ列の行列を表す。例えば、基底ベクトルa_i(i=1,...,n+ζ)が式(8)によって表現される場合、行列Aは、

となる。

A^*：基底ベクトルa_i ^*(i=1,...,n+ζ)を要素とするn+ζ行n+ζ列の行列を表す。例えば、基底ベクトルa_i ^*(i=1,...,n+ζ)が式(9)によって表現される場合、行列A^*は、

となる。

X：有限体F_qの元を要素とするn+ζ行n+ζ列の行列を表す。基底ベクトルa_iの座標変換に用いられる。行列Ｘのi行j列(i=1,...,n+ζ,j=1,...,n+ζ)の要素をχ_i,j∈F_qとすると、行列Xは、

となる。なお、行列Ｘの各要素χ_i,jを変換係数と呼ぶ。

X ^*：X ^*は行列Xの逆行列の転置行列Ｘ^*=(Ｘ^-1)^Tを表す。基底ベクトルa_i ^*の座標変換に用いられる。行列X^*のi行j列の要素をχ_i,j ^*∈F_qとすると、行列Ｘ^*は、

となる。なお、行列Ｘ^*の各要素χ_i,j ^*を変換係数と呼ぶ。
この場合、n+ζ行n+ζ列の単位行列をIとするとＸ・(Ｘ^*)^T=Ｉを満たす。すなわち、単位行列

に対し、

を満たす。ここで、n+ζ次元ベクトル
χ_i ^→=(χ_i,1,...,χ_i,n+ζ) …(18)
χ_j ^→*=(χ_j,1 ^*,...,χ_j,n+ζ ^*) …(19)
を定義する。すると、式(17)の関係から、n+ζ次元ベクトルχ_i ^→とχ_j ^→*との内積は、
χ_i ^→・χ_j ^→*=δ(i,j) …(20)
となる。

b_i：b_iは巡回群G₁のn+ζ個の元を要素とするn+ζ次元の基底ベクトルを表す。行列Xを用いて基底ベクトルa_i(i=1,...,n+ζ)を座標変換することで得られる。具体的には、基底ベクトルb_iは、
b_i=Σ_j=1 ^n+ζχ_i,j・a_j …(21)
の演算によって得られる。例えば、基底ベクトルa_j(j=1,...,n+ζ)が式(8)によって表現される場合、基底ベクトルb_iの各要素をそれぞれ列挙して表現すると、以下のようになる。
b_i=(χ_i,1・κ₁・g₁ ,χ_i,2・κ₁・g₁ ,...,χ_i,n+ζ・κ₁・g₁) …(22)
巡回群G₁のn+ζ個の元を要素とするすべてのn+ζ次元ベクトルは、n+ζ次元の基底ベクトルb_i(i=1,...,n+ζ)の線形和によって表される。すなわち、n+ζ次元の基底ベクトルb_iは前述のベクトル空間Vを張る。
b_i ^*：b_i ^*は巡回群G₂のn+ζ個の元を要素とするn+ζ次元の基底ベクトルを表す。行列X^*を用いて基底ベクトルa_i ^*(i=1,...,n+ζ)を座標変換することで得られる。具体的には、基底ベクトルb_i ^*は、
b_i ^*=Σ_j=1 ^n+ζχ_i,j ^*・a_j ^* …(23)
の演算によって得られる。例えば、基底ベクトルa_j ^*(j=1,...,n+ζ)が式(9)によって表現される場合、基底ベクトルb_i ^*の各要素をそれぞれ列挙して表現すると、以下のようになる。
b_i ^*=(χ_i,1 ^*・κ₂・g₂ ,χ_i,2 ^*・κ₂・g₂ ,...,χ_i,n+ζ ^*・κ₂・g₂) …(24)
となる。巡回群G₂のn+ζ個の元を要素とするすべてのn+ζ次元ベクトルは、n+ζ次元の基底ベクトルb_i ^*(i=1,...,n+ζ)の線形和によって表される。すなわち、n+ζ次元の基底ベクトルb_i ^*は前述のベクトル空間V^*を張る。
なお、基底ベクトルb_iと基底ベクトルb_i ^*とは、0_Fを除く有限体F_qの元τ=κ₁・κ₂について
e(b_i, b_j ^*)=g_T ^τ・δ(i,j) …(25)
を満たす。すなわち、式(5)(20)(22)(24)の関係から、

を満たす。特に、τ=κ₁・κ₂=1_Fである場合（例えば、κ₁=κ₂=1_Fの場合）、
e(b_i, b_j ^*)=g_T ^δ(i,j) …(26)
を満たす。この場合、基底ベクトルb_iと基底ベクトルb_i ^*とは、双対ペアリングベクトル空間（ベクトル空間Vとベクトル空間V^*）の双対正規直交基底である。
なお、式(25)の関係を満たすのであれば、式(8)(9)で例示したもの以外の基底ベクトルa_i及びa_i ^*や、式(21)(23)で例示したもの以外の基底ベクトルb_i及びb_i ^*を用いてもよい。

B：Bは基底ベクトルb_i(i=1,...,n+ζ)を要素とするn+ζ行n+ζ列の行列。B=X・Aを満たす。例えば、基底ベクトルb_iが式(22)によって表現される場合、行列Bは、

となる。

B^*：B^*は基底ベクトルb_i ^*(i=1,...,n+ζ)を要素とするn+ζ行n+ζ列の行列を表す。B^*=X^*・A^*を満たす。例えば、基底ベクトルb_i ^*(i=1,...,n+ζ)が式(24)によって表現される場合、行列B^*は、

となる。

〔内積述語暗号方式〕
次に、内積述語暗号方式について説明する。内積述語暗号方式とは、暗号文に対応するベクトルと復号鍵に対応するベクトルとの内積が0となるときに当該暗号文が当該復号鍵で復号可能となる暗号方式である。内積述語暗号方式では、内積が0となることと論理式の真理値が真となることとが等価である。

［内積と論理式の真理値との関係］
内積述語暗号では、論理和や論理積からなる論理式を多項式で表現する。
まず、「x₁がη₁である」という命題１と「x₂がη₂である」という命題２との論理和 (x₁=η₁)∨(x₂=η₂)を
(x₁-η₁)・(x₂-η₂) …(29)
という多項式で表現する。すると、各真理値と式(29)の関数値との関係は以下のようになる。

[表1]から分かるように、論理和(x₁=η₁)∨(x₂=η₂)が真である場合、式(29)の関数値は0になり、論理和(x₁=η₁)∨(x₂=η₂)が偽である場合、式(29)の関数値は0以外の値となる。すなわち、論理和(x₁=η₁)∨(x₂=η₂)が真であることと、式(29)の関数値が0となることとは等価である。よって、論理和は式(29)で表現できる。
また、「x₁がη₁である」という命題１と「x₂がη₂である」という命題２との論理積 (x₁=η₁)∧(x₂=η₂)を
ι₁・(x₁-η₁)+ι₂・(x₂-η₂) …(30)
という多項式で表現する。ただし、ι₁及びι₂は乱数である。すると、真理値と式(30)の関数値とは以下の関係となる。

[表２]から分かるように、論理積 (x₁=η₁)∧(x₂=η₂)が真である場合、式(30)の関数値は0になり、論理積 (x₁=η₁)∧(x₂=η₂)が偽である場合、式(30)の関数値は0以外の値となる。すなわち、論理積 (x₁=η₁)∧(x₂=η₂)が真であることと、式(30)の関数値が0となることとは等価である。よって、論理積は式(30)で表現できる。
以上から、論理和や論理積からなる任意の論理式を多項式で表現できることが分かる。例えば、論理式{(x₁=η₁)∨(x₂=η₂)}∧(x₃=η₃)∧(x₄=η₄)は、多項式
ι₁・{(x₁-η₁)・(x₂-η₂)}+ι₂・(x₃-η₃)+ι₃・(x₄-η₄) …(31)
で表現できる。以下、このように論理式を表現する多項式のことを述語多項式と呼ぶ。

述語多項式は２つのベクトルの内積で表現できる。すなわち、述語多項式は、各項の不定元成分と１とを各要素とするベクトルと、各項の係数成分を各要素とするベクトルとの内積に等しい。例えば、式(31)の述語多項式は、各項の不定元成分と１を各要素とするベクトル(x₁・x₂, x₁, x₂, x₃, x₄, 1)と、各項の係数成分を各要素とするベクトル(ι₁, -ι₁・η₂, -ι₁・η₁, ι₂, -ι₂・η₃+ι₃, ι₁・η₁・η₂-ι₃・η₄)との内積に等しい。
そのため、述語多項式の値が0であるか否かと、述語多項式の各項の不定元成分と１とを各要素とするベクトルと各項の係数成分を各要素とするベクトルとの内積が0であるか否かとは等価である。言い換えると、論理式の真理値が真であるか否かと、当該論理式を示す述語多項式の各項の不定元成分と１とを各要素とするベクトルと各項の係数成分を各要素とするベクトルとの内積が0であるか否かとは等価である。
内積述語暗号方式では、上述の各項の不定元成分と１を各要素とするベクトル及び各項の係数成分を各要素とするベクトルの何れか一方のベクトルが暗号文に埋め込まれ、他方のベクトルが復号鍵に埋め込まれる。以下では、暗号文に埋め込まれるベクトルをw^→=(w_1,...,w_n)とし、復号鍵に埋め込まれるベクトルをv^→=(v_1,...,v_n)とする。

［内積述語暗号方式の基本構成］
内積述語暗号方式で鍵カプセル化メカニズムKEM (Key Encapsulation Mechanisms)を構成する例を示す。この構成はSetup，GenKey，Enc，Decを含む。

《Setup：セットアップ》
−入力：セキュリティパラメータsec
−出力：マスター鍵情報MSK，公開パラメータPK
Setupの一例では、まず、セキュリティパラメータsecをnとして、n+ζ次元の基底ベクトルa_i(i=1,...,n+ζ)を要素とするn+ζ行n+ζ列の行列Aと、基底ベクトルa_i ^*(i=1,...,n+ζ)を要素とするn+ζ行n+ζ列の行列A^*と、座標変換のためのn+ζ行n+ζ列の行列X，X^*とが選択される。次に、式(21)に従って座標変換されたn+ζ次元の基底ベクトルb_i(i=1,...,n+ζ)が算出され、式(23)に従って座標変換されたn+ζ次元の基底ベクトルb_i ^*(i=1,...,n+ζ)が算出される。そして、基底ベクトルb_i ^*(i=1,...,n+ζ)を要素とするn+ζ行n+ζ列の行列B^*がマスター鍵情報MSKとして出力され、ベクトル空間V, V^*、基底ベクトルb_i(i=1,...,n+ζ)を要素とするn+ζ行n+ζ列の行列B、セキュリティパラメータsec、有限体F_q、楕円曲線E、巡回群G₁, G₂, G_T、生成元g₁, g₂, g_T、双線形写像eなどが公開パラメータPKとして出力される。

《GenKey：復号鍵生成》
−入力：マスター鍵情報MSK，ベクトルv^→
−出力：ベクトルv^→に対応する復号鍵D^*
GenKeyの一例では、まず、有限体F_qから元σ,σ_ι-n∈F_qが選択される。そして、マスター鍵情報MSKである行列B^*を用い、ベクトルv^→に対応する復号鍵
D^*=σ・(Σ_μ=1 ⁿv_μ・b_μ ^*)+Σ_ι=n+1 ^n+ζ'σ_ι-n・b_ι ^*∈G₂ ^n+ζ' …(32)
が生成され、出力される。ただし、σ,σ_ι-nは乱数などの変数や定数などであり、ζ'≦ζである（例えばζ=3, ζ'=2）。またΣ_ι=n+1 ^n+ζ'σ_ι-nはシステムで共有される定数値とされる。以下では
Σ_ι=n+1 ^n+ζ'σ_ι-n=1_F …(33)
とされた例を説明する。これは本発明を限定しない。

《Enc：暗号化》
−入力：公開パラメータPK，ベクトルw^→，平文mes
−出力：暗号文(C₁，C₂)
Encの一例では、行列Bなどの公開パラメータPKと、有限体F_qの元である乱数υ₀,υ₁,...,υ_ζと、ベクトルw^→とを用い、暗号文
C₁=υ₀・(Σ_μ=1 ⁿw_μ・b_μ)+Σ_μ=n+1 ^n+ζυ_μ-ｎ・b_μ∈G₁ ^n+ζ …(34)
が生成される。ただし、
υ₁=...=υ_ζ' …(35)
を満たす（例えばζ'=2のときにはυ₁=υ₂）。また、g_T ^τ・υ1を共通鍵Kとし、所定の共通鍵暗号方式（第２暗号方式）に則って平文mesの暗号文C₂が生成される。暗号文C₂の一例は、
C₂=g_T ^τ・υ1・mes …(36)
である。添え字のυ1はυ₁を意味する。前述のように定数τの一例はτ=1_Fである。生成された暗号文(C₁，C₂)は出力される。

《Dec：復号》
−入力：ベクトルv^→に対応する復号鍵D^*，暗号文(C₁，C₂)
−出力：復号値mes'
Decの一例では、まず、暗号文C₁と復号鍵D^*とが式(1)の双線形写像eに入力され、その演算結果を共通鍵K=e(C₁,D^*)とし、以下のように復号値mes'が求められる。
mes'=C₂/e(C₁,D^*)∈G_T …(37)
ここで、式(2)(25)(33)(35)の性質から、

を満たす。
内積w^→・v^→=0であれば、式(38)は、

を満たす。式(36)(37)(39)から、内積w^→・v^→=0であればmes'=mesとなり、正しく復号されることがわかる。

［階層的内積述語暗号方式の基本構成］
階層的内積述語暗号方式は内積述語暗号方式の一種であり、暗号文に対応するベクトルと復号鍵に対応するベクトルとの内積が0となるときに当該暗号文が当該復号鍵で復号可能となる。さらに階層的内積述語暗号方式では階層的な処理によって復号鍵を生成できる。すなわち、階層的内積述語暗号方式では属性が階層化され、各階層までの属性に対応する鍵情報が存在するとともに、上位の階層に対応する鍵情報を用いて下位の階層に対応する鍵情報を生成できる。そして、このような階層的な処理によって生成された最終的な鍵情報が復号鍵となる。以下に階層的内積述語暗号方式の基本構成を例示する。以下では、階層的内積述語暗号方式を用いて鍵カプセル化メカニズムKEMを構成する場合の基本構成を例示する。ただし、これは本発明を限定するものではない。

《前提》
深さdの属性空間の階層フォーマットを以下の式によって定義する。ただし、dは1以上n以下の整数である。
ξ^→=(n,d;ξ₁,...,ξ_d) (0=ξ₀<ξ₁<...<ξ_d=n) …(40)
有限体F_qの元を要素とするξ_ω-ξ_ω-1(ω=1,...,d)次元のベクトル（零ベクトルを除く）を階層ωに対応するベクトル

とし、階層1から階層m（m≦d）までに対応するベクトルを(w₁ ^→,...,w_m ^→)とする。有限体F_qの元を要素とするξ_ω-ξ_ω-1次元（ω=1,...,d）のベクトル（零ベクトルを除く）を階層ωに対応するベクトル

とし、階層1から階層mまでに対応するベクトルを(v₁ ^→,...,v_m ^→)とする。

《Setup：セットアップ》
−入力：セキュリティパラメータsec
−出力：階層フォーマットξ^→，マスター秘密鍵MSK，公開パラメータmpk
Setupの一例では、セキュリティパラメータsecの単調増加関数値をnとし、階層フォーマットξ^→=(n,d;ξ₁,...,ξ_d)が定められる。また、この例ではζ=3とし、n+3次元の基底ベクトルa_i(i=1,...,n+3)を要素とするn+3行n+3列の行列Aと、基底ベクトルa_i ^*(i=1,...,n+3)を要素とするn+3行n+3列の行列A^*と、座標変換のためのn+3行n+3列の行列X，X^*とが選択される。次に、式(21)に従って座標変換されたn+3次元の基底ベクトルb_i(i=1,...,n+3)が算出され、式(23)に従って座標変換されたn+3次元の基底ベクトルb_i ^*(i=1,...,n+3)が算出される。
この例では、基底ベクトル(b₁ ^*,...,b_n ^*,b_n+1 ^*,b_n+2 ^*,b_n+3 ^*)と行列Xとがマスター秘密鍵MSKとして出力され、基底ベクトル(b₁,...,b_n,b_n+1+b_n+2,b_n+3)、ベクトル空間V, V^*、セキュリティパラメータsec、有限体F_q、楕円曲線E、巡回群G₁, G₂,G_T、生成元g₁, g₂, g_T、双線形写像eなどが公開パラメータmpkとして出力される。

《GenKey：鍵情報生成》
−入力：マスター秘密鍵MSK，公開パラメータmpk，ベクトル(v₁ ^→,...,v_m ^→)
−出力：ベクトル(v₁ ^→,...,v_m ^→)に対応する鍵情報k_m ^*
GenKeyの一例では、まず、有限体F_qから元σ_α，ω，Ψ，Φ_α∈F_q (α=0,...,m+1,ξ_m+1,...,n; ω=1,...,m)が任意に選択される。この例では、これらとマスター秘密鍵MSKである基底ベクトル(b₁ ^*,...,b_n ^*,b_n+1 ^*,b_n+2 ^*,b_n+3 ^*)とベクトル(v₁ ^→,...,v_m ^→)とを用い、ベクトル(v₁ ^→,...,v_m ^→)に対応する鍵情報

が生成されて出力される。ただし、

である。

《Delegate(m')：鍵情報生成委譲》
−入力：公開パラメータmpk，鍵情報k_m' ^*，ベクトルv_m'+1 ^→
−出力：ベクトル(v₁ ^→,...,v_m'+1 ^→)に対応する鍵情報k_m'+1 ^*
階層的内積述語暗号方式では、マスター秘密鍵MSKを用いることなく、公開パラメータmpk，鍵情報k_m' ^*，ベクトルv_m'+1 ^→からベクトル(v₁ ^→,...,v_m'+1 ^→)に対応する鍵情報k_m'+1 ^*を生成できる。ただし、m'=1,...,d-1である。
Delegate(m')の一例では、有限体F_qから元σ'_α，ω，Ψ'，Φ'_α∈F_q(α=0,...,m'+2,ξ_m'+1+1,...,n; ω=1,...,m'+1)が任意に選択される。この例では、これらと鍵情報k_m' ^*とベクトルv_m'+1 ^→と用い、ベクトル(v₁ ^→,...,v_m'+1 ^→)に対応する鍵情報

が生成されて出力される。ただし、

である。

《Enc：暗号化》
−入力：公開パラメータmpk，ベクトル(w₁ ^→,...,w_m ^→)，平文mes
−出力：暗号文(C₁，C₂)
Encの一例では、まず、有限体F_qから任意の元υ₁,...,υ_d,υ_n+3,υが選択される。そして、これらと公開パラメータmpkとベクトル(w₁ ^→,...,w_m ^→)とを用い、暗号文

が生成される。また、g_T ^τ・υを共通鍵Kとし、所定の共通鍵暗号方式（第２暗号方式）に則って平文mesの暗号文C₂が生成される。暗号文C₂の一例は、
C₂=g_T ^τ・υ・mes …(52)
である。なお、前述のように定数τの一例はτ=1_Fである。その後、以上のように生成された暗号文(C₁，C₂)が出力される。

《Dec：復号》
−入力：公開パラメータmpk，ベクトル(v₁ ^→,...,v_m ^→)に対応する鍵情報k_m ^*，暗号文(C₁，C₂)
−出力：復号値mes'
Decの一例では、
mes'=C₂/e(C₁,k_m,0 ^*) …(53)
によって復号値mes'を計算する。
暗号文C₁と鍵情報k_m ^*のk_m,0 ^*とが式(1)の双線形写像e（この例ではζ=3）に入力されると、式(2)(25)の性質から、

を満たす。なお、σ_ω及びσは有限体F_qの元である。Delegate(m')がなされることなく鍵情報k_m ^*が生成された場合にはσ_ω=σ_0，ωである。Delegate(m')が１回以上なされた場合には、GenKeyに使用された有限体F_qの元σ_α，ωやDelegate(m')時に使用された有限体F_qの元σ'_α，ωやΦ'_αに応じてσ_ωの値が定まる。ここで、すべてのω=1,...,mについて内積v_ω ^→・w_ω ^→=0_Fであれば、式(54)は、
e(C₁,k_m,0 ^*)=g_T ^τ・υ …(55)
と変形できる。式(52)(53)(55)より、すべてのω=1,...,mについて内積v_ω ^→・w_ω ^→=0_Fである場合にmes'=mesとなり、正しく復号がなされることがわかる。

＜補記＞
評価対象情報自己評価システムに含まれるハードウェアエンティティ（評価者装置、運用者装置、ユーザ装置）は、キーボードなどが接続可能な入力部、液晶ディスプレイなどが接続可能な出力部、ハードウェアエンティティの外部に通信可能な通信装置（例えば通信ケーブル）が接続可能な通信部、ＣＰＵ（Central Processing Unit）〔キャッシュメモリやレジスタなどを備えていてもよい。〕、メモリであるＲＡＭやＲＯＭ、ハードディスクである外部記憶装置並びにこれらの入力部、出力部、通信部、ＣＰＵ、ＲＡＭ、ＲＯＭ、外部記憶装置の間のデータのやり取りが可能なように接続するバスを有している。また必要に応じて、ハードウェアエンティティに、ＣＤ−ＲＯＭなどの記録媒体を読み書きできる装置（ドライブ）などを設けるとしてもよい。このようなハードウェア資源を備えた物理的実体としては、汎用コンピュータなどがある。

ハードウェアエンティティの外部記憶装置には、上述の機能を実現するために必要となるプログラムおよびこのプログラムの処理において必要となるデータなどが記憶されている（外部記憶装置に限らず、例えばプログラムを読み出し専用記憶装置であるＲＯＭに記憶させておくなどでもよい。）。また、これらのプログラムの処理によって得られるデータなどは、ＲＡＭや外部記憶装置などに適宜に記憶される。上述の説明では、演算結果やその格納領域のアドレスなどを記憶するＲＡＭやレジスタなどの記憶装置を単に「記憶部」とした。

ハードウェアエンティティでは、外部記憶装置〔あるいはＲＯＭなど〕に記憶された各プログラムとこの各プログラムの処理に必要なデータが必要に応じてメモリに読み込まれて、適宜にＣＰＵで解釈実行・処理される。その結果、ＣＰＵが所定の機能（例えば、セットアップ部、秘密鍵生成部、暗号文生成部、鍵生成部、署名生成部、署名検証部、知識証明部、ソート判定部、平文判定部、復号部など）を実現する。

各実施形態で説明したハードウェアエンティティの細部においては、数論における数値計算処理が必要となる場合があるが、数論における数値計算処理自体は、周知技術と同様にして達成されるので、その演算処理方法などの詳細な説明は省略した（この点の技術水準を示す数論における数値計算処理が可能なソフトウェアとしては、例えばＰＡＲＩ／ＧＰ、ＫＡＮＴ／ＫＡＳＨなどが挙げられる。ＰＡＲＩ／ＧＰについては、例えばインターネット〈URL: http://pari.math.u-bordeaux.fr/〉［平成23年5月11日検索］を参照のこと。ＫＡＮＴ／ＫＡＳＨについては、例えばインターネット〈URL: http://www.math.tu-berlin.de/algebra/やhttp://www.math.tu-berlin.de/~kant/kash.html〉［平成23年5月11日検索］を参照のこと。）。
また、この点に関する文献として、参考文献Ａを挙げることができる。
（参考文献Ａ）H. Cohen, "A Course in Computational Algebraic Number Theory", GTM 138, Springer-Verlag, 1993.

本発明は上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。上述の二つ以上の実施例を組み合わせた実施例や、或る実施例に記載された技術的特徴を他の実施例に組み込んだ実施例（ただし、当該技術的特徴の導入によって当該他の実施例の実施が不可能になる場合を除く）も本発明の実施例に含まれる。例えば、上述の実施例９，１０，１１では、公開パラメータpkに含まれる述語変数に解答者識別子用変数nameが含まれていないが、公開パラメータpkに含まれる述語変数に解答者識別子用変数nameが含め、上述の実施例３，４，５で説明したように、解答者識別子用変数nameに関してname=name_instanceの成立を必要条件として含むように述語jを構成することによって、name≠name_instanceの場合に秘密鍵を用いて暗号文c_jを復号することができないように実施することもできる。また、上記実施形態において説明した処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されるとしてもよい。

また、上記実施形態において説明したハードウェアエンティティにおける処理機能をコンピュータによって実現する場合、ハードウェアエンティティが有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記ハードウェアエンティティにおける処理機能がコンピュータ上で実現される。

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、ＤＶＤ（Digital Versatile Disc）、ＤＶＤ−ＲＡＭ（Random Access Memory）、ＣＤ−ＲＯＭ（Compact Disc Read Only Memory）、ＣＤ−Ｒ（Recordable）／ＲＷ（ReWritable）等を、光磁気記録媒体として、ＭＯ（Magneto-Optical disc）等を、半導体メモリとしてＥＥＰ−ＲＯＭ（Electronically Erasable and Programmable-Read Only Memory）等を用いることができる。

また、このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ−ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、ハードウェアエンティティを構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims (10)

1. 評価者装置とユーザ装置とを含み、当該ユーザ装置が提供した情報に対する評価を当該ユーザ装置に行わせる評価対象情報自己評価システムであって、
   公開パラメータpkとマスター鍵skが定められた暗号(KeyGen,Enc,Dec)が、
   KeyGen(sk,i)→sk_i：鍵生成アルゴリズム（マスター鍵skと情報iを入力とし、当該情報iに対応する秘密鍵sk_iを出力する確率的多項式時間アルゴリズム）と、
   Enc(pk,j,x)→c_j：暗号化アルゴリズム（公開パラメータpkと情報jと暗号化対象の情報（以下、平文という）xを入力とし、暗号文c_jを出力する確率的多項式時間アルゴリズム）と、
   Dec(pk,sk_i,c_j)→y：復号アルゴリズム（公開パラメータpkと秘密鍵sk_iと暗号文c_jを入力とし、情報yを出力する確率的多項式時間アルゴリズム）と
   を含み、上記情報iと上記情報jが予め定められた関係Ｒを満たすときに上記情報yとして上記平文xが得られるように構成されており、
   上記評価者装置は、
   上記情報iを上記ユーザ装置が送信した情報（以下、評価対象情報という）として、上記暗号の鍵生成アルゴリズムKeyGen(sk,i)を実行して秘密鍵sk_i←KeyGen(sk,i)を生成する秘密鍵生成部と、
   上記情報jを上記評価対象情報iに対する評価基準を表す情報（以下、「評価基準」という）として、上記暗号の暗号化アルゴリズムEnc(pk,j,x)を実行して暗号文c_j←Enc(pk,j,x)を生成する暗号文生成部と
   を含み、
   上記ユーザ装置は、
   上記評価対象情報iを上記評価者装置に送信する送信部と、
   上記評価者装置が送信した上記秘密鍵sk_iと上記暗号文c_jを用いて、上記暗号の復号アルゴリズムDec(pk,sk_i,c_j)を実行する復号部と
   を含む
   評価対象情報自己評価システム。
2. 請求項１に記載の評価対象情報自己評価システムにおいて、
   上記関係Ｒは、評価対象を述語変数として記述された述語である上記評価基準jと当該述語変数に代入されうる上記評価対象情報iとの関係である
   ことを特徴とする評価対象情報自己評価システム。
3. 請求項２に記載の評価対象情報自己評価システムにおいて、
   上記評価基準jは、上記ユーザ装置を識別するためのユーザ識別子が代入されうる述語変数と上記ユーザ装置が送信したユーザ識別子との一致について真偽を与える述語を含む
   ことを特徴とする評価対象情報自己評価システム。
4. 請求項２または請求項３に記載の評価対象情報自己評価システムにおいて、
   上記評価基準jは、閾値秘密分散を定義する閾値ゲートを記述する述語を含む
   ことを特徴とする評価対象情報自己評価システム。
5. 請求項４に記載の評価対象情報自己評価システムにおいて、
   上記暗号文生成部は、上記閾値ごとに上記暗号文を生成し、
   上記復号部は、上記閾値ごとに生成された各上記暗号文を復号し、
   上記ユーザ装置は、
   上記閾値ごとに生成された各上記暗号文の復号に成功したもののうち、上記閾値が最良のものを上記評価者装置に送信する送信部を含む
   ことを特徴とする評価対象情報自己評価システム。
6. 請求項１に記載の評価対象情報自己評価システムにおいて、
   上記関係Ｒは、述語変数を用いて記述された述語である上記評価対象情報iと当該述語変数に代入されうる上記評価基準jとの関係である
   ことを特徴とする評価対象情報自己評価システム。
7. 評価者装置とユーザ装置とを含み、当該ユーザ装置が提供した情報に対する評価を当該ユーザ装置に行わせる評価対象情報自己評価システムにおける評価対象情報自己評価方法であって、
   公開パラメータpkとマスター鍵skが定められた暗号(KeyGen,Enc,Dec)が、
   KeyGen(sk,i)→sk_i：鍵生成アルゴリズム（マスター鍵skと情報iを入力とし、当該情報iに対応する秘密鍵sk_iを出力する確率的多項式時間アルゴリズム）と、
   Enc(pk,j,x)→c_j：暗号化アルゴリズム（公開パラメータpkと情報jと暗号化対象の情報（以下、平文という）xを入力とし、暗号文c_jを出力する確率的多項式時間アルゴリズム）と、
   Dec(pk,sk_i,c_j)→y：復号アルゴリズム（公開パラメータpkと秘密鍵sk_iと暗号文c_jを入力とし、情報yを出力する確率的多項式時間アルゴリズム）と
   を含み、上記情報iと上記情報jが予め定められた関係Ｒを満たすときに上記情報yとして上記平文xが得られるように構成されており、
   上記情報iを評価対象情報として、上記ユーザ装置の送信部が、当該評価対象情報iを上記評価者装置に送信する送信ステップと、
   上記評価者装置の秘密鍵生成部が、上記評価対象情報iを用いて、上記暗号の鍵生成アルゴリズムKeyGen(sk,i)を実行して秘密鍵sk_i←KeyGen(sk,i)を生成する秘密鍵生成ステップと、
   上記情報jを上記評価対象情報iに対する評価基準を表す情報として、上記評価者装置の暗号文生成部が、上記暗号の暗号化アルゴリズムEnc(pk,j,x)を実行して暗号文c_j←Enc(pk,j,x)を生成する暗号文生成ステップと、
   上記ユーザ装置の復号部が、上記秘密鍵sk_iと上記暗号文c_jを用いて、上記暗号の復号アルゴリズムDec(pk,sk_i,c_j)を実行する復号ステップと
   を有する
   評価対象情報自己評価方法。
8. 請求項１から請求項６のいずれかに記載の評価対象情報自己評価システムにおいて用いられる評価者装置。
9. 請求項１から請求項６のいずれかに記載の評価対象情報自己評価システムにおいて用いられるユーザ装置。
10. 請求項８に記載の評価者装置、請求項９に記載のユーザ装置のいずれかとしてコンピュータを機能させるプログラム。

Images