JP2014150494A - コミットメントシステム、共通参照情報生成装置、コミット生成装置、コミット受信装置、コミットメント方法、およびプログラム - Google Patents
コミットメントシステム、共通参照情報生成装置、コミット生成装置、コミット受信装置、コミットメント方法、およびプログラム Download PDFInfo
- Publication number
- JP2014150494A JP2014150494A JP2013019428A JP2013019428A JP2014150494A JP 2014150494 A JP2014150494 A JP 2014150494A JP 2013019428 A JP2013019428 A JP 2013019428A JP 2013019428 A JP2013019428 A JP 2013019428A JP 2014150494 A JP2014150494 A JP 2014150494A
- Authority
- JP
- Japan
- Prior art keywords
- value
- plaintext
- random number
- ciphertext
- commit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】CRS再利用型で、非対話型で、情報廃棄不要型の効率的な汎用結合可能コミットメントにおいて共通参照情報を短くする。
【解決手段】共通参照情報生成装置2は、公開鍵pkと秘密鍵skとを生成し、秘密鍵skを廃棄し、公開鍵pkを公開する。コミット生成装置3は、乱数rとサンプル値uとを生成し、平文mを公開鍵pkと乱数rとタグtとサンプル値uとを用いて暗号化して暗号文cを生成し、暗号文cとタグtとサンプル値uとをコミット受信装置4へ送信し、平文mと乱数rとをコミット受信装置4へ送信する。コミット受信装置4は、平文mを公開鍵pkと乱数rとタグtとサンプル値uとを用いて暗号化して暗号文c’を求め、暗号文c’と暗号文cとが等しいことを確認する。
【選択図】図1
【解決手段】共通参照情報生成装置2は、公開鍵pkと秘密鍵skとを生成し、秘密鍵skを廃棄し、公開鍵pkを公開する。コミット生成装置3は、乱数rとサンプル値uとを生成し、平文mを公開鍵pkと乱数rとタグtとサンプル値uとを用いて暗号化して暗号文cを生成し、暗号文cとタグtとサンプル値uとをコミット受信装置4へ送信し、平文mと乱数rとをコミット受信装置4へ送信する。コミット受信装置4は、平文mを公開鍵pkと乱数rとタグtとサンプル値uとを用いて暗号化して暗号文c’を求め、暗号文c’と暗号文cとが等しいことを確認する。
【選択図】図1
Description
この発明は情報セキュリティ技術に関し、特に、複数の暗号プロトコルに組み込まれ同時に動くような環境であっても高い安全性を保つコミットメント技術に関する。
暗号におけるコミットメントとは、電子的に行う「封じ手」のことである。コミットメント方式は、コミットする側の送信者(committer)と、コミットメントを受ける側の受信者(receiver)の間で行われるプロトコルのことである。送信者は、コミットフェーズで、受信者に情報を預託(コミット)する。この時、受信者は預託された情報の中身を知ることが出来ない(秘匿性)。次に、送信者は開示フェーズで秘匿した情報を受信者に納得いく形で開示するが、コミットフェーズで預託した情報と違う情報を開示して受信者を満足させることは出来ない(拘束性)。コミットメントは、基本的にこのような秘匿性と拘束性を満たさなければいけない。コミットメントのすぐ思いつく応用例は、電子的なジャンケンやコイン投げ(もちろん、将棋や碁に使う封じ手でもよい)であるが、実際に応用できる範囲はそれより遥かに広い。
コミットメントは、最も基本的な暗号プロトコルであるため、上位の暗号プロトコルの中で頻繁に利用される。近年では、暗号プロトコルをより現実の環境に近づけるため、コミットメントはさらに複雑な組み合わせの中で利用される場合が増えてきた。このような複雑な組み合わせの中では、古典的暗号安全性モデルで作られたコミットメントでは、秘匿性と拘束性を同時に満たすことが出来なくなってしまう。汎用結合可能コミットメントとは、そのような複雑な組み合わせでコミットメントが利用された場合にも、秘匿性と拘束性を満たすよう設計されたコミットメントのことである(汎用結合可能性については非特許文献1,2参照)。
汎用結合可能コミットメントが構成出来るためには、送信者と受信者の双方がアクセスできる第三者の作った共通参照情報(common reference string、以下CRSとも呼ぶ)が必要であることが知られている(非特許文献3参照)。技術的な問題により、このCRSは、コミットごとに使い捨てなければいけない場合(すなわち、コミットの回数だけ新しいCRSが必要となる)と、使い捨てずに同じCRSを再利用できる場合に分かれる。当然ながら、CRSをずっと使える「CRS再利用型」コミットメント方式の方が実用性が高い。従来のCRS再利用型汎用結合可能コミットメントには非特許文献1,3,4,5,6に記載された技術があった。
汎用結合可能コミットメントでは、送信者と受信者が、プロトコルの最中もしくは終了後、途中データを廃棄しないと安全性が担保出来ない方式と、廃棄しなくても安全性を担保できる方式が存在する。当然、後者の「情報廃棄不要型」汎用結合可能コミットメントの方が、安全性が高く望ましい。
さらに、計算量、通信量、交信回数なども、汎用結合コミットメントの良し悪しを判断する指標となる。当然、計算量、通信量、交信回数が少ないほど実用性が高い。特に、送信者から受信者に送るだけでコミットメントが完成する方式を「非対話型」汎用結合可能コミットメントという。
R. Canetti, "Universally composable security: A new paradigm for cryptographic protocols", 42nd Annual IEEE Symposium on Foundations of Computer Science (FOCS 2001), pp. 136-145, IEEE Computer Society, 2001.
Ran Canetti, "Universally composable security: A new paradigm for cryptograpic protocols", Technical report, Cryptology ePrint Archive, Report 2000/067, 2005. Preliminary version appeared in FOCS’01.
R. Canetti and M. Fischlin, "Universally composable commitments", CRYPTO 2001, volume 2139 of Lecture Notes in Computer Science, pp. 19-40, 2001.
R. Canetti, Y. Lindell, R. Ostrovsky, and A. Sahai, "Universally composable two-party and multiparty secure computation", STOC 2002, pp. 494-503, 2002.
Ivan Damgard and Jesper Buus Nielsen, "Perfect hiding and perfect binding universally composable commitment schemes with constant expansion factor", CRYPTO 2002, volume 2442 of Lecture Notes in Computer Science, pp. 581-596, 2002.
Ivan Damgard and Jens Groth, "Non-interactive and reusable non-malleable commitment schemes", STOC 2003, pp. 426-437, 2003.
Ryo Nishimaki, Eiichiro Fujisaki, and Keisuke Tanaka, "Efficient non-interactive universally composable string-commitment schemes", ProvSec 2009, volume 5848 of Lecture Notes in Computer Science, pp. 3-18, 2009.
Yehuda Lindell, "Highly-efficient universally-composable commitments based on the DDH assumption", EUROCRYPT 2011, volume 6632 of Lecture Notes in Computer Science, pp. 446-466, 2011.
Marc Fischlin, Beno^it Libert, and Mark Manulis, "Non-interactive and re-usable universally composable string commitments with adaptive security", ASIACRYPT 2011, volume 7073 of Lecture Notes in Computer Science, pp. 468-485, 2011.
Eiichiro Fujisaki, "A framework for efficient fully-equipped UC commitments", IACR Cryptology ePrint Archive, 2012:379, 2012.
非特許文献5,6以外の従来方式は、1ビットの秘密情報をコミットするのにO(к)ビット(кはセキュリティパラメータで、к=2048,160など)の平文空間を持つ選択暗号文攻撃に対して安全な公開鍵暗号が最低二つ必要であった。すなわち、1ビットの秘密情報をコミットするのに、O(к)ビットの情報量が必要であり効率が悪い。
非特許文献5,6の方式では、кビットの秘密情報をコミットするのにO(к)ビットで済むので効率は改善されている。しかし、これらのプロトコルは送信者と受信者間の交信回数を3回必要としている。また、非特許文献5の方式は、CRSのサイズが参加者の数に比例して増える。これは、コミットメント方式をサブプロトコルに使う上位のプロトコルの参加者数が増えると、それに応じてCRSのサイズが伸びることを意味する。一方、非特許文献6の方式は、CRSのサイズは固定だが、途中データを適切な時に廃棄しないと安全性が担保されない可能性がある。いずれにせよ、非特許文献5,6のいずれの方式とも送信者と受信者の間に3交信が必要であるという欠点がある。
近年、非特許文献7,8,9などの効率のよい方式が提案されているが、非特許文献7の方式は非対話型だがCRS再利用型ではない。非特許文献8の方式は通信量が少ないが5交信対話型であり途中データを適切に廃棄できなければいけない。非特許文献9の方式は非対話型だがやはり途中データを廃棄できなければいけない。
このように従来技術では、CRS再利用型で、非対話型で、情報廃棄不要型の効率的な(理想的にはкビットの秘密をコミットするのにO(к)ビットで済む)汎用結合可能コミットメントは存在しなかった。
最近、非特許文献10の方式が、CRS再利用型で、非対話型で、情報廃棄不要型の効率的な汎用結合可能コミットメントを発明した。しかし、非特許文献10の方式ではセキュリティパラメータのサイズкに対して、O(к2)のサイズのCRSを必要としていた。
この発明の目的は、CRS再利用型で、非対話型で、情報廃棄不要型の効率的な汎用結合可能コミットメントにおいて、共通参照情報を短くすることである。
上記の課題を解決するために、この発明のコミットメントシステムは、共通参照情報生成装置とコミット生成装置とコミット受信装置とを含む。この発明では、кは正の整数のセキュリティパラメータであり、COINは平文mと公開鍵pkとにより一意に定まる乱数空間であり、Uはあらかじめ定めた集合であり、MSPは公開鍵pkにより一意に定まる平文空間である。
共通参照情報生成装置は、セキュリティパラメータкに基づいて公開鍵pkと秘密鍵skとを生成する鍵生成部と、秘密鍵skを廃棄する鍵廃棄部と、公開鍵pkを公開する公開部とを有する。
コミット生成装置は、乱数空間COINから乱数rを選択し、集合Uからサンプル値uを選択する乱数生成部と、平文空間MSP上の平文mを公開鍵pkと乱数rとкビットのタグtとサンプル値uとを用いて暗号化して暗号文cを生成する暗号化部と、暗号文cとタグtとサンプル値uとをコミット受信装置へ送信するコミット部と、平文mと乱数rとをコミット受信装置へ送信する開示部とを有する。
コミット受信装置は、タグtがкビットのビット列であり、乱数rが乱数空間COINの元であり、サンプル値uが集合Uの元であり、平文mが平文空間MSPの元であることを確認する確認部と、平文mを公開鍵pkと乱数rとタグtとサンプル値uとを用いて暗号化して暗号文c’を求め、暗号文c’と暗号文cとが等しいことを確認する開封部とを有する。
この発明は、CRS再利用型で、非対話型で、情報廃棄不要型の効率的な汎用結合可能コミットメントにおいて、共通参照情報を短くすることができる。
実施形態の説明に先立ち、この明細書で用いる表記方法および用語を定義する。
[表記方法]
・上付き添字はべき乗を表す。例えば、xyはxのy乗である。
・^はべき乗を表す。例えば、x^yはxのy乗である。
・∃は存在記号である。例えば、∃xは「少なくとも1つのxが存在する」ことを表す。
・以下の記号は床関数を表す。すなわちx以下の最大の整数を表す。
・上付き添字はべき乗を表す。例えば、xyはxのy乗である。
・^はべき乗を表す。例えば、x^yはxのy乗である。
・∃は存在記号である。例えば、∃xは「少なくとも1つのxが存在する」ことを表す。
・以下の記号は床関数を表す。すなわちx以下の最大の整数を表す。
[All-But-Many暗号]
この発明では、All-but-many暗号(以下、ABM暗号と呼ぶ)を利用する。ABM暗号は、(weak) extractable Sigmaプロトコルと、出力値が予測不能な確率的な擬似ランダム関数を組み合わせることで構成することができる。(weak) extractable Sigmaプロトコルについての詳細は、「Eiichiro Fujisaki, “New constructions of efficient simulation-sound commitments using encryption and their applications”, CT-RSA, volume 7178 of Lecture Notes in Computer Science, pp. 136-155, 2012.(参考文献1)」を参照されたい。ABM暗号の構成方法の詳細は非特許文献10を参照されたい。
この発明では、All-but-many暗号(以下、ABM暗号と呼ぶ)を利用する。ABM暗号は、(weak) extractable Sigmaプロトコルと、出力値が予測不能な確率的な擬似ランダム関数を組み合わせることで構成することができる。(weak) extractable Sigmaプロトコルについての詳細は、「Eiichiro Fujisaki, “New constructions of efficient simulation-sound commitments using encryption and their applications”, CT-RSA, volume 7178 of Lecture Notes in Computer Science, pp. 136-155, 2012.(参考文献1)」を参照されたい。ABM暗号の構成方法の詳細は非特許文献10を参照されたい。
以下、ABM暗号の概略を説明する。ABM暗号は、鍵生成アルゴリズム(ABM.gen)、サンプリングアルゴリズム(ABM.spl)、暗号化アルゴリズム(ABM.enc)、復号アルゴリズム(ABM.dec)、コリジョンアルゴリズム(ABM.col)の、5つのアルゴリズムからなる公開鍵暗号方式である。
鍵生成アルゴリズム(ABM.gen)は確率的アルゴリズムである。セキュリティパラメータ1кを入力とし、公開鍵pkと秘密鍵skの鍵ペア(pk,sk)を出力する。公開鍵pkは集合の組(S,L)の記述を含む。ただし、S={0,1}к×U、L={0,1}к×Lu、LuはUの真部分集合、Uはあらかじめ定めた集合である。なお、記述の簡素化のため秘密鍵skは公開鍵pkを含むものとする。
サンプリングアルゴリズム(ABM.spl)は確率的アルゴリズムである。秘密鍵sk、タグt∈{0,1}кを入力とし、サンプル値u(=ABM.splL(sk,t;r))を出力する。ただし、(t,u)∈L(つまりu∈Lu)である。サンプル値uを出力するときに使用する乱数rをサンプルする領域をCOINsplとする。領域COINsplは公開鍵pkによって一意に定まる。
暗号化アルゴリズム(ABM.enc)は確率的アルゴリズムである。公開鍵pk、タグt∈{0,1}кとサンプル値uとの組(t,u)∈S、平文x∈MSPを入力とし、暗号文c(=ABM.enc(t,u)(pk,x;r))を出力する。ただし、rは乱数、MSPは平文空間、COINを乱数空間とする。平文空間MSPは公開鍵pkから一意に定まる。また、乱数空間COINは公開鍵pkと平文x∈MSPとによって一意に定まる。
復号アルゴリズム(ABM.dec)は確定的アルゴリズムである。秘密鍵sk、タグt∈{0,1}кとサンプル値uとの組(t,u)∈S、暗号文cを入力とし、平文x(=ABM.dec(t,u)(sk,c))を出力する。
コリジョンアルゴリズム(ABM.col)は2つの確率的アルゴリズム(ABM.col1、ABM.col2)の組である。第1のコリジョンアルゴリズム(ABM.col1)は、秘密鍵sk、乱数^r∈COINspl、タグt∈{0,1}кを入力とし、暗号文cと値ξの組(c,ξ)(←ABM.col1(sk,^r;t))を出力する。第2のコリジョンアルゴリズム(ABM.col2)は、値ξ、平文x∈MSPを入力とし、u=ABM.spl(sk,t;^r)かつc=ABM.enc(t,u)(pk,x;r)を満たす乱数r∈COINを出力する。
ABM暗号はall-but-many特性およびdual mode特性を有する公開鍵暗号方式である。all-but-many特性は、鍵生成アルゴリズム(ABM.gen)とサンプリングアルゴリズム(ABM.spl)が確率的擬似ランダム関数(probabilistic pseudo random function; PPRF)の性質を有することを言う。確率的擬似ランダム関数(PPRF)はeasy sampling, pseudo randomness, unforgeabilityの各種安全性を満たす関数である。dual mode特性は、復号方式(Decryption mode)と落とし戸方式(Trap-door mode)の両方を有することを言う。復号方式(Decryption mode)では、すべての(t,u)∈S\Lpk, x∈MSPについて、ABM.dec(t,u)(sk,ABM.enc(t,u)(pk,x))=xが成り立つ。落とし戸方式(Trap-door mode)では、すべての(t,u)∈Lpk, v∈COINspl, (c,ξ)←ABM.col1(sk,v,t), x∈MSPについて、c=ABM.enc(t,u)(pk,x;ABM.col2(ξ,x))が成り立つ。各種安全性条件の詳細及び証明は非特許文献10を参照されたい。
ABM暗号を用いて、CRS再利用型で、非対話型で、情報廃棄不要型の汎用結合可能コミットメントを構成することができる。具体的には、公開鍵pkを共通参照情報とし、暗号文c=ABM.enc(pk,x;r)をコミットメントとする。コミットメントを開示するには、証拠として乱数rを出せばよい。
この発明の汎用結合可能コミットメントでは、ABM暗号の鍵生成アルゴリズム(ABM.gen)と暗号化アルゴリズム(ABM.enc)のみを用いる。サンプリングアルゴリズム(ABM.spl)と復号アルゴリズム(ABM.dec)とコリジョンアルゴリズム(ABM.col)はコミットメントでは用いられることがないが、ABM暗号の安全性証明のために必要となるアルゴリズムである。
[Damgard-Jurik暗号]
Damgard-Jurik暗号(以下、DJ暗号とも呼ぶ)は準同型性をもつ選択平文攻撃に対して識別不可能な暗号方式である。Damgard-Jurik暗号の安全性はDCR(Decision Composite Residuosity)仮定のもと成り立つ。
Damgard-Jurik暗号(以下、DJ暗号とも呼ぶ)は準同型性をもつ選択平文攻撃に対して識別不可能な暗号方式である。Damgard-Jurik暗号の安全性はDCR(Decision Composite Residuosity)仮定のもと成り立つ。
Damgard-Jurik暗号は、鍵生成アルゴリズム(K)、暗号化アルゴリズム(E)、復号アルゴリズム(D)の、3つのアルゴリズムからなる公開鍵暗号方式である。
鍵生成アルゴリズム(K)は以下の処理を行う。セキュリティパラメータkを入力とし、kビットの素数p,qを選択し、n=pqを計算する。sを1以上の整数、jをnと互いに素な整数として、g=(1+n)jx mod ns+1を計算する。p-1とq-1の最小公倍数λを計算し、d mod n ∈Znかつd=0 mod λを満たす値dを選択する。(n,g)を公開鍵とし、dを秘密鍵とする。
暗号化アルゴリズム(E)は以下の処理を行う。ns+1を法とする剰余環Zn^s+1から乱数rを選択する。平文i∈Zn^sを入力とし、暗号文c=girn^s mod ns+1を計算する。
復号アルゴリズム(D)は以下の処理を行う。cd mod ns+1, gd mod ns+1を計算する。cd=(1+n)jid mod n^s, gd=(1+n)jid mod n^sであることから、jid mod ns, jd mod nsを計算し、平文i=(jid)・(jd)-1 mod ndを計算する。
Damgard-Jurik暗号の各アルゴリズムについての詳細は「I. Damgard and M. Jurik, “A generalisation, a simplification and some applications of Paillier’s probabilistic public-key system”, PKC 2001, volume 1992 of Lecture Notes in Computer Science, pp. 125-140, 2001.(参考文献2)」を参照されたい。DCR仮定についての詳細は「P. Pallier, “Public-Key Cryptosystems based on Composite Degree Residue Classes”, Proceedings of EuroCrypt 99, pp.223-238.(参考文献3)」を参照されたい。
[実施形態]
以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
この発明の第一実施形態は、任意のABM暗号から構成される汎用結合可能コミットメントである。第二実施形態は、Damgard-Jurik暗号を利用してNon-Mult仮定に基づいて構成した汎用結合可能コミットメントである。Non-Mult仮定についての詳細は非特許文献10に記載されている。
[第一実施形態]
上述の通り、第一実施形態は、任意のABM暗号から構成される汎用結合可能コミットメントである。上記のABM暗号の性質を有する暗号方式であれば適用することができる。
上述の通り、第一実施形態は、任意のABM暗号から構成される汎用結合可能コミットメントである。上記のABM暗号の性質を有する暗号方式であれば適用することができる。
<構成>
図1を参照して、この実施形態のコミットメントシステム1の構成例を説明する。コミットメントシステム1は共通参照情報生成装置2とコミット生成装置3とコミット受信装置4を含む。共通参照情報生成装置2とコミット生成装置3とコミット受信装置4とはそれぞれネットワーク5に接続される。ネットワーク5は、接続される各装置が相互に通信可能なように構成されていればよく、例えばインターネットやLAN(Local Area Network)、WAN(Wide Area Network)などで構成することができる。なお、各装置は必ずしもネットワークを介してオンラインで通信可能である必要はない。例えば、コミット生成装置3の出力する情報を磁気テープやUSBメモリなどの可搬型記録媒体に記憶し、その可搬型記録媒体からコミット受信装置4へオフラインで入力するように構成してもよい。他の装置間の情報伝播においても同様であるので詳細な説明は省略する。
図1を参照して、この実施形態のコミットメントシステム1の構成例を説明する。コミットメントシステム1は共通参照情報生成装置2とコミット生成装置3とコミット受信装置4を含む。共通参照情報生成装置2とコミット生成装置3とコミット受信装置4とはそれぞれネットワーク5に接続される。ネットワーク5は、接続される各装置が相互に通信可能なように構成されていればよく、例えばインターネットやLAN(Local Area Network)、WAN(Wide Area Network)などで構成することができる。なお、各装置は必ずしもネットワークを介してオンラインで通信可能である必要はない。例えば、コミット生成装置3の出力する情報を磁気テープやUSBメモリなどの可搬型記録媒体に記憶し、その可搬型記録媒体からコミット受信装置4へオフラインで入力するように構成してもよい。他の装置間の情報伝播においても同様であるので詳細な説明は省略する。
図2を参照して、コミットメントシステム1に含まれる共通参照情報生成装置2の構成例を説明する。共通参照情報生成装置2は、制御部201、メモリ202、入力部21、鍵生成部22、鍵廃棄部23、公開部24を有する。共通参照情報生成装置2は、例えば、CPU(Central Processing Unit)、RAM(Random Access Memory)等を有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。共通参照情報生成装置2は制御部201の制御のもとで各処理を実行する。共通参照情報生成装置2に入力されたデータや各処理で得られたデータはメモリ202に格納され、メモリ202に格納されたデータは必要に応じて読み出されて他の処理に利用される。
図3を参照して、コミットメントシステム1に含まれるコミット生成装置3の構成例を説明する。コミット生成装置3は、制御部301、メモリ302、記憶部303、入力部31、乱数生成部32、暗号化部33、コミット部34、開示部35、出力部36を有する。コミット生成装置3は、例えば、CPU(Central Processing Unit)、RAM(Random Access Memory)等を有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。コミット生成装置3は制御部301の制御のもとで各処理を実行する。コミット生成装置3に入力されたデータや各処理で得られたデータはメモリ302に格納され、メモリ302に格納されたデータは必要に応じて読み出されて他の処理に利用される。記憶部303は、例えば、RAM(Random Access Memory)などの主記憶装置、ハードディスクや光ディスクもしくはフラッシュメモリなどの半導体メモリ素子により構成される補助記憶装置、リレーショナルデータベースやキーバリューストアなどのミドルウェア、などにより構成することができる。
図4を参照して、コミットメントシステム1に含まれるコミット受信装置4の構成例を説明する。コミット受信装置4は、制御部401、メモリ402、記憶部403、入力部41、確認部42、開封部43、出力部44を有する。コミット受信装置4は、例えば、CPU(Central Processing Unit)、RAM(Random Access Memory)等を有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。コミット受信装置4は制御部401の制御のもとで各処理を実行する。コミット受信装置4に入力されたデータや各処理で得られたデータはメモリ402に格納され、メモリ402に格納されたデータは必要に応じて読み出されて他の処理に利用される。記憶部403は、例えば、RAM(Random Access Memory)などの主記憶装置、ハードディスクや光ディスクもしくはフラッシュメモリなどの半導体メモリ素子により構成される補助記憶装置、リレーショナルデータベースやキーバリューストアなどのミドルウェア、などにより構成することができる。
<共通参照情報生成処理>
図5を参照して、共通参照情報生成装置2の実行する共通参照情報生成処理の動作例を説明する。
図5を参照して、共通参照情報生成装置2の実行する共通参照情報生成処理の動作例を説明する。
共通参照情報生成装置2の有する入力部21を介して鍵生成部22へセキュリティパラメータ1кが入力される(ステップS21)。鍵生成部22は、セキュリティパラメータ1кを入力とし、任意のABM暗号の鍵生成アルゴリズム(ABM.gen)を(pk,sk)←ABM.gen(1к)として実行し、公開鍵pkと秘密鍵skの鍵ペア(pk,sk)を生成する(ステップS22)。
鍵ペア(pk,sk)は鍵廃棄部23へ入力される。鍵廃棄部23は鍵ペア(pk,sk)に含まれる秘密鍵skを廃棄する(ステップS23)。
公開鍵pkは公開部24へ入力される。公開部24は公開鍵pkを共通参照情報として公開する(ステップS24)。公開の方法はコミット生成装置3とコミット受信装置4とが公開鍵pkを参照できる方法であればどのような方法であってもよい。共通参照情報生成装置2からコミット生成装置3とコミット受信装置4とへ個別の通信経路により公開鍵pkを送信してもよいし、任意の公開鍵基盤(Public Key Infrastructure; PKI)などを用いて公開鍵pkを公開し、コミット生成装置3とコミット受信装置4とが任意のタイミングで参照するように構成してもよい。コミット生成装置3は共通参照情報として公開された公開鍵pkを記憶部303へ記憶する。コミット受信装置4は同様に共通参照情報として公開された公開鍵pkを記憶部403へ記憶する。
<コミット(封じ手)フェーズ>
図6を参照して、コミット生成装置3とコミット受信装置4との間で実行されるコミット(封じ手)フェーズの動作例を手続きの順に従って詳細に説明する。
図6を参照して、コミット生成装置3とコミット受信装置4との間で実行されるコミット(封じ手)フェーズの動作例を手続きの順に従って詳細に説明する。
コミット生成装置3の有する入力部31へタグt∈{0,1}кと平文m∈MSPが入力される(ステップS31)。ただし、MSPは公開鍵pkにより一意に定まる平文空間である。
乱数生成部32は乱数r∈COINとサンプル値u∈Uを生成する(ステップS32)。ただし、COINは公開鍵pkと平文mとにより一意に定まる乱数空間、Uはあらかじめ定めた集合である。乱数生成部32は逐一ランダムに乱数rとサンプル値uを選択してもよいし、事前に生成されメモリ302に格納されている複数個の値から所定の規則に従って乱数rとサンプル値uを選択してもよい。
平文mと乱数rとタグtとサンプル値uとは暗号化部33へ入力される。暗号化部33は記憶部303から公開鍵pkを取得する。次に、暗号化部33は、平文mを入力とし、公開鍵pkと乱数rとタグtとサンプル値uを用いて、任意のABM暗号の暗号化アルゴリズム(ABM.enc)をc←ABM.enc(t,u)(pk,m;r)として実行し、暗号文cを生成する(ステップS33)。
平文mと乱数rとタグtとサンプル値uと暗号文cとはコミット部34へ入力される。コミット部34は出力部36を介してタグtとサンプル値uと暗号文cとをコミット受信装置4へ出力する(ステップS34)。コミット受信装置4は受信したタグtとサンプル値uと暗号文cとを記憶部403へ記憶する(ステップS403)。同時に、コミット部34は平文mと乱数rとを記憶部303へ記憶する(ステップS303)。
<デコミット(開示)フェーズ>
図6を参照して、コミット生成装置3とコミット受信装置4との間で実行されるデコミット(開示)フェーズの動作例を手続きの順に従って詳細に説明する。
図6を参照して、コミット生成装置3とコミット受信装置4との間で実行されるデコミット(開示)フェーズの動作例を手続きの順に従って詳細に説明する。
コミット生成装置3の有する開示部35は記憶部303から平文mと乱数rとを取得し、出力部36を介してコミット受信装置4へ出力する(ステップS35)。
平文mと乱数rとはコミット受信装置4の有する入力部41を介して確認部42へ入力される(ステップS41)。確認部42は記憶部403からタグtとサンプル値uとを読み出し、以下の条件を検証する(ステップS42)。以下の条件のいずれかが満たさないことを確認した場合には処理を中断する。
1.記憶部403から取得したタグtがкビットのビット列であること(t∈{0,1}к)。
2.記憶部403から取得したサンプル値uが集合Uの元であること(u∈U)。
3.入力された平文mが平文空間MSPの元であること(m∈MSP)。
4.入力された乱数rが乱数空間COINの元であること(r∈COIN)。
1.記憶部403から取得したタグtがкビットのビット列であること(t∈{0,1}к)。
2.記憶部403から取得したサンプル値uが集合Uの元であること(u∈U)。
3.入力された平文mが平文空間MSPの元であること(m∈MSP)。
4.入力された乱数rが乱数空間COINの元であること(r∈COIN)。
確認部42が上記の条件をすべて満たすことを確認した場合には、記憶部403から取得したタグtとサンプル値uおよび入力された平文mと乱数rとが開封部43へ入力される。開封部43は、平文mを入力とし、公開鍵pkと乱数rとタグtとサンプル値uを用いて、任意のABM暗号の暗号化アルゴリズム(ABM.enc)をc’←ABM.enc(t,u)(pk,m;r)として実行し、暗号文c’を生成する(ステップS43)。
次に、開封部43は記憶部403から暗号文cを取得し、生成した暗号文c’と取得した暗号文cとが等しいことを確認する。暗号文c’と暗号文cとが等しい場合には開封を承認する。暗号文c’と暗号文cとが等しくない場合には開封を拒絶する。
開封を承認するか開封を拒絶するかを示す開封結果は出力部44を介して出力される(ステップS44)。
[第二実施形態]
上述の通り、第二実施形態は、Damgard-Jurik暗号を利用してNon-Mult仮定に基づいて構成した汎用結合可能コミットメントである。第二実施形態では、кビットの情報をコミットするための情報量がO(к)ビットで済むため効率的であり、セキュリティパラメータкに対して共通参照情報のサイズがO(к)ビットのため従来よりも短くなっている。
上述の通り、第二実施形態は、Damgard-Jurik暗号を利用してNon-Mult仮定に基づいて構成した汎用結合可能コミットメントである。第二実施形態では、кビットの情報をコミットするための情報量がO(к)ビットで済むため効率的であり、セキュリティパラメータкに対して共通参照情報のサイズがO(к)ビットのため従来よりも短くなっている。
なお、この実施形態ではDamgard-Jurik暗号を用いてコミットメントシステムを構成する例を説明するが、準同型性をもつ選択平文攻撃に対して識別不可能な暗号方式であれば、容易に置換することが可能である。
<定義>
この実施形態では以下のように記号を定義する。
・p,qは素数であり、n=pqである。
・dは1以上の正の整数である(d≧1)。
・Π=(K,E,D)は、Damgard-Jurik暗号の各アルゴリズムである。Kは鍵生成アルゴリズムである。Eは暗号化アルゴリズムである。Dは復号アルゴリズムである。Damgard-Jurik暗号の各アルゴリズムの詳細は参考文献2を参照されたい。
・Zn^dはndを法とする剰余環である。
・Zn^d+1はnd+1を法とする剰余環である。
・Zn^d+1 ×は剰余環Zn^d+1の単数群である。すなわち、剰余環Zn^d+1の中でnd+1と互いに素となる要素の集合である。
・Hは(Zn^d+1)3→Zn^dとなるハッシュ関数である。
・SはS={0,1}к×(Zn^d+1)4の集合である。
・LはL={0,1}к×Luの集合である。ここで、Lu={(u1,u2,e,π)|∃(r,k1,k2)}である。ただし、値u1,u2,e,π,r,k1,k2は、r=D(u1)=D(u2), D(e)=k1k2+rD(h), D(π)=rD(h1h2 t)の関係を満たさなければならない。
この実施形態では以下のように記号を定義する。
・p,qは素数であり、n=pqである。
・dは1以上の正の整数である(d≧1)。
・Π=(K,E,D)は、Damgard-Jurik暗号の各アルゴリズムである。Kは鍵生成アルゴリズムである。Eは暗号化アルゴリズムである。Dは復号アルゴリズムである。Damgard-Jurik暗号の各アルゴリズムの詳細は参考文献2を参照されたい。
・Zn^dはndを法とする剰余環である。
・Zn^d+1はnd+1を法とする剰余環である。
・Zn^d+1 ×は剰余環Zn^d+1の単数群である。すなわち、剰余環Zn^d+1の中でnd+1と互いに素となる要素の集合である。
・Hは(Zn^d+1)3→Zn^dとなるハッシュ関数である。
・SはS={0,1}к×(Zn^d+1)4の集合である。
・LはL={0,1}к×Luの集合である。ここで、Lu={(u1,u2,e,π)|∃(r,k1,k2)}である。ただし、値u1,u2,e,π,r,k1,k2は、r=D(u1)=D(u2), D(e)=k1k2+rD(h), D(π)=rD(h1h2 t)の関係を満たさなければならない。
<Damgard-Jurik暗号を用いて構成したABM暗号>
第一実施形態では任意のABM暗号を用いてコミットメントシステムを構成したが、第二実施形態ではDamgard-Jurik暗号を用いて構成したABM暗号を用いる。
第一実施形態では任意のABM暗号を用いてコミットメントシステムを構成したが、第二実施形態ではDamgard-Jurik暗号を用いて構成したABM暗号を用いる。
第二実施形態の鍵生成アルゴリズム(ABM.gen)はセキュリティパラメータкを入力とし公開鍵pkと秘密鍵skの鍵ペア(pk,sk)を出力する。具体的には以下の処理を実行する。кビット長の素数p,qを選択し、n=pqを計算する。ndを法とする剰余環Zn^dから乱数k1,k2,ζ1,ζ2,z1,z2,x1,x2,y1,y2を選択する。nd+1を法とする剰余環Zn^d+1から乱数Rgを選択する。値g=(1+n)Rg n^dmod nd+1を計算する。値g1=E(ζ1)を生成する。値g2=E(ζ2)を生成する。値h=E(ζ1z1+ζ2z2)を生成する。値h1=E(ζ1x1+ζ2x2)を生成する。値h2=E(ζ1y1+ζ2y2)を生成する。上記で定義した集合S,Lを生成する。公開鍵pk:=(n,d,g,g1,g2,h,h1,h2,(S,L))と秘密鍵sk:=(pk,k1,k2,ζ1,ζ2,z1,z2,x1,x2,y1,y2)を生成する。
第二実施形態のサンプリングアルゴリズム(ABM.spl)は秘密鍵sk:=(pk,k1,k2,ζ1,ζ2,z1,z2,x1,x2,y1,y2)とタグt∈{0,1}кとを入力としサンプル値uを出力する。具体的には以下の処理を実行する。ndを法とする剰余環Zn^dから乱数wを選択する。nd+1を法とする剰余環Zn^d+1から乱数Ru1,Ru2,Re,Rπを選択する。乱数γ:=(w,Ru1,Ru2,Re,Rπ)を生成する。値u1=E(w;Ru1)を生成する。値u2=E(w;Ru2)を生成する。値e=E(k1k2;Re)・hwを生成する。値π=E(0;Rπ)・(h1h2 t)wを生成する。サンプル値u:=(u1,u2,e,π)を生成する。
第二実施形態の暗号化アルゴリズム(ABM.enc)は公開鍵pk:=(n,d,g,g1,g2,h,h1,h2,(S,L))、タグt∈{0,1}кとサンプル値u:=(u1,u2,e,π)の組(t,u)∈S、平文m∈Zn^dを入力とし暗号文cを出力する。具体的には以下の処理を実行する。ndを法とする剰余環Zn^dから乱数s,vを選択する。nd+1を法とする剰余環Zn^d+1の単数群Zn^d+1 ×から乱数RA,Ra,Rb1,Rb2,Rb3を選択する。値A=K1 shvem・E(0;RA)を生成する。値a=gsK2 m・E(0;Ra)を生成する。値b1=g1 vu1 m・E(0;Rb1)を生成する。値b2=g2 vu2 m・E(0;Rb2)を生成する。値b3=(h1h2 t)vπm・E(0;Rb3)を生成する。暗号文c:=(A,a,b1,b2,b3)を生成する。
第二実施形態の復号アルゴリズム(ABM.dec)は秘密鍵sk:=(pk,k1,k2,ζ1,ζ2,z1,z2,x1,x2,y1,y2)、タグtとサンプル値uの組(t,u)∈S、暗号文c:=(A,a,b1,b2,b3)を入力とし平文m∈Zn^dを出力する。具体的には以下の処理を実行する。まず、以下の式(1)が成立するか否かを確認する。
式(1)が成立しない場合には、以下の式(2)により平文mを生成する。
式(1)が成立する場合には、以下の式(3)により平文mを生成する。
第二実施形態の第1のコリジョンアルゴリズム(ABM.col1)は秘密鍵sk:=(pk,k1,k2,ζ1,ζ2,z1,z2,x1,x2,y1,y2)、乱数γ:=(w,Ru1,Ru2,Re,Rπ)、タグt∈{0,1}кを入力とし暗号文cと値ξの組(c,ξ)を出力する。具体的には以下の処理を実行する。ndを法とする剰余環Zn^dから乱数ω,ηを選択する。nd+1を法とする剰余環Zn^d+1の単数群Zn^d+1 ×から乱数R’A,R’a,R’b1,R’b2,R’b3を選択する。値A=K1 ωhη・E(0;R’A)を生成する。値a=gω・E(0;R’a)を生成する。値b1=g1 η・E(0;R’b1)を生成する。値b2=g2 η・E(0;R’b2)を生成する。値b3=(h1h2 t)ηπm・E(0;R’b3)を生成する。暗号文c:=(A,a,b1,b2,b3)と値ξ:=(sk,γ,ω,η,R’A,R’a,R’b1,R’b2,R’b3)を生成する。
第二実施形態の第2のコリジョンアルゴリズム(ABM.col2)は値ξ:=(sk,γ,ω,η,R’A,R’a,R’b1,R’b2,R’b3)、平文x∈MSPを入力とし(s,v,RA,Ra,Rb1,Rb2,Rb3)を出力する。具体的には以下の処理を実行する。値s=ω-mk2 mod ndを生成する。値v=η-mr mod ndを生成する。値αを下記の式(4)により生成する。値βを下記の式(5)により生成する。
また、値RA=R’AK1 -αh-βRe -mを生成する。値Ra=R’ag-αRk1 -mを生成する。値Rb1=R’b1g1 -βRu1 -mを生成する。値Rb2=R’b2g2 -βRu2 -mを生成する。値Rb3=R’b3(h1h2 t)-βRu3 -mを生成する。そして、(s,v,RA,Ra,Rb1,Rb2,Rb3)を生成する。このとき、A=g1 shvem・E(0;RA), a=gsK2 m・E(0;Ra), b1=g1 vu1 m・E(0;Rb1), b2=g2 vu2 m・E(0;Rb2), b3=(h1h2 t)vπm・E(0;Rb3)が常に成り立つ。
<共通参照情報生成処理>
第二実施形態の共通参照情報生成処理の動作例を手続きの順に従って詳細に説明する。ただし、第一実施形態と同様のステップは説明を省略する。
第二実施形態の共通参照情報生成処理の動作例を手続きの順に従って詳細に説明する。ただし、第一実施形態と同様のステップは説明を省略する。
共通参照情報生成装置2の有する鍵生成部22はセキュリティパラメータ1кを入力として、公開鍵pkと秘密鍵skの鍵ペア(pk,sk)を生成する(ステップS22)。具体的には以下の処理を実行する。
まず、ndを法とする剰余環Zn^dから乱数k1,k2,ζ1,ζ2,z1,z2,x1,x2,y1,y2を選択する。nd+1を法とする剰余環Zn^d+1から乱数Rgを選択する。値g=(1+n)Rg n^d mod nd+1を計算する。値g1=E(ζ1)を生成する。値g2=E(ζ2)を生成する。値h=E(ζ1z1+ζ2z2)を生成する。値h1=E(ζ1x1+ζ2x2)を生成する。値h2=E(ζ1y1+ζ2y2)を生成する。
また、ndを法とする剰余環Zn^dから乱数wを選択する。nd+1を法とする剰余環Zn^d+1から乱数Ru1,Ru2,Re,Rπを選択する。値u1=E(w;Ru1)を生成する。値u2=E(w;Ru2)を生成する。値e=E(k1k2;Re)・hwを生成する。値π=E(0;Rπ)・(h1h2 t)wを生成する。集合Lu:={(u1,u2,e,π)|∃w,k1,k2}を生成する。集合S={0,1}к×(Zn^d+1)4を生成する。集合L={0,1}к×Luを生成する。
そして、公開鍵pk:=(n,d,g,g1,g2,h,h1,h2,(S,L))を生成する。秘密鍵sk:=(pk,k1,k2,ζ1,ζ2,z1,z2,x1,x2,y1,y2)を生成する。
<コミット(封じ手)フェーズ>
第二実施形態のコミット(封じ手)フェーズの動作例を手続きの順に従って詳細に説明する。ただし、第一実施形態と同様のステップは説明を省略する。
第二実施形態のコミット(封じ手)フェーズの動作例を手続きの順に従って詳細に説明する。ただし、第一実施形態と同様のステップは説明を省略する。
コミット生成装置3の有する乱数生成部32は乱数rとサンプル値uとを生成する(ステップS32)。具体的には以下の処理を実行する。ndを法とする剰余環Zn^dから乱数s,vを選択する。nd+1を法とする剰余環Zn^d+1の単数群Zn^d+1 ×から乱数RA,Ra,Rb1,Rb2,Rb3を選択する。乱数r:=(s,v,RA,Ra,Rb1,Rb2,Rb3)を生成する。サンプル値u:=(u1,u2,e,π)を生成する。
コミット生成装置3の有する暗号化部33は、平文m∈Zn^dを公開鍵pk:=(n,d,g,g1,g2,h,h1,h2,(S,L))と乱数r:=(s,v,RA,Ra,Rb1,Rb2,Rb3)とタグt∈{0,1}кとサンプル値u:=(u1,u2,e,π)とを用いて、Damgard-Jurik暗号の暗号化アルゴリズムEにより暗号化して暗号文cを生成する(ステップS33)。具体的には以下の処理を実行する。値K1=E(k1)を生成する。値K2=E(k2)を生成する。値A=K1 shvem・E(0;RA)を生成する。値a=gsK2 m・E(0;Ra)を生成する。値b1=g1 vu1 m・E(0;Rb1)を生成する。値b2=g2 vu2 m・E(0;Rb2)を生成する。値b3=(h1h2 t)vπm・E(0;Rb3)を生成する。暗号文c:=(A,a,b1,b2,b3)を生成する。
<デコミット(開示)フェーズ>
第二実施形態のデコミット(開示)フェーズの動作例を手続きの順に従って詳細に説明する。ただし、第一実施形態と同様のステップは説明を省略する。
第二実施形態のデコミット(開示)フェーズの動作例を手続きの順に従って詳細に説明する。ただし、第一実施形態と同様のステップは説明を省略する。
コミット受信装置4の有する開封部43は、平文m∈Zn^dを公開鍵pk:=(n,d,g,g1,g2,h,h1,h2,(S,L))と乱数r:=(s,v,RA,Ra,Rb1,Rb2,Rb3)とタグt∈{0,1}кとサンプル値u:=(u1,u2,e,π)とを用いて、Damgard-Jurik暗号の暗号化アルゴリズムEにより暗号化して暗号文c’を生成する(ステップS43)。具体的には以下の処理を実行する。値K1=E(k1)を生成する。値K2=E(k2)を生成する。値A’=K1 shvem・E(0;RA)を生成する。値a’=gsK2 m・E(0;Ra)を生成する。値b’1=g1 vu1 m・E(0;Rb1)を生成する。値b’2=g2 vu2 m・E(0;Rb2)を生成する。値b’3=(h1h2 t)vπm・E(0;Rb3)を生成する。暗号文c’:=(A’,a’,b’1,b’2,b’3)を生成する。
次に、開封部43は、暗号文cと暗号文c’とが等しいことを確認する。暗号文cの各要素と暗号文c’の各要素がすべて等しい場合には暗号文cと暗号文c’とが等しいとする。すなわち、A=A’, a=a’, b1=b’1, b2=b’2, b3=b’3をすべて満たす場合には暗号文cと暗号文c’とが等しいものとする。いずれかの条件を満たさない場合には暗号文cと暗号文c’とが等しくないものとする。
[プログラム、記録媒体]
この発明は上述の実施形態に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。上記実施例において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。
この発明は上述の実施形態に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。上記実施例において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。
また、上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
1 コミットメントシステム
2 共通参照情報生成装置
3 コミット生成装置
4 コミット受信装置
5 ネットワーク
21 入力部
22 鍵生成部
23 鍵廃棄部
24 公開部
31 入力部
32 乱数生成部
33 暗号化部
34 コミット部
35 開示部
36 出力部
41 入力部
42 確認部
43 開封部
44 出力部
201 制御部
202 メモリ
203 記憶部
301 制御部
302 メモリ
303 記憶部
401 制御部
402 メモリ
403 記憶部
2 共通参照情報生成装置
3 コミット生成装置
4 コミット受信装置
5 ネットワーク
21 入力部
22 鍵生成部
23 鍵廃棄部
24 公開部
31 入力部
32 乱数生成部
33 暗号化部
34 コミット部
35 開示部
36 出力部
41 入力部
42 確認部
43 開封部
44 出力部
201 制御部
202 メモリ
203 記憶部
301 制御部
302 メモリ
303 記憶部
401 制御部
402 メモリ
403 記憶部
Claims (7)
- 共通参照情報生成装置とコミット生成装置とコミット受信装置とを含むコミットメントシステムであって、
кは正の整数のセキュリティパラメータであり、COINは平文mと公開鍵pkとにより一意に定まる乱数空間であり、Uはあらかじめ定めた集合であり、MSPは公開鍵pkにより一意に定まる平文空間であり、
前記共通参照情報生成装置は、
前記セキュリティパラメータкに基づいて前記公開鍵pkと秘密鍵skとを生成する鍵生成部と、
前記秘密鍵skを廃棄する鍵廃棄部と、
前記公開鍵pkを公開する公開部と、
を有し、
前記コミット生成装置は、
前記乱数空間COINから乱数rを選択し、前記集合Uからサンプル値uを選択する乱数生成部と、
前記平文空間MSP上の平文mを前記公開鍵pkと前記乱数rとкビットのタグtと前記サンプル値uとを用いて暗号化して暗号文cを生成する暗号化部と、
前記暗号文cと前記タグtと前記サンプル値uとを前記コミット受信装置へ送信するコミット部と、
前記平文mと前記乱数rとを前記コミット受信装置へ送信する開示部と、
を有し、
前記コミット受信装置は、
前記タグtがкビットのビット列であり、前記乱数rが前記乱数空間COINの元であり、前記サンプル値uが前記集合Uの元であり、前記平文mが前記平文空間MSPの元であることを確認する確認部と、
前記平文mを前記公開鍵pkと前記乱数rと前記タグtと前記サンプル値uとを用いて暗号化して暗号文c’を求め、前記暗号文c’と前記暗号文cとが等しいか否かを確認する開封部と、
を有するコミットメントシステム。 - 請求項1に記載のコミットメントシステムであって、
^はべき乗を表し、p,qは素数であり、n=pqであり、dは1以上の整数であり、Zn^dはndを法とする剰余環であり、Zn^d+1はnd+1を法とする剰余環であり、Zn^d+1 ×は剰余環Zn^d+1の単数群であり、Πは準同型性をもつ選択平文攻撃に対して識別不可能な暗号方式であり、Eは前記暗号方式Πの暗号化アルゴリズムであり、Sは{0,1}к×(Zn^d+1)4の集合であり、Luは前記集合Uの真部分集合であり、Lは{0,1}к×Luの集合であり、
前記鍵生成部は、前記剰余環Zn^dから乱数k1,k2,ζ1,ζ2,z1,z2,x1,x2,y1,y2,wを選択し、前記剰余環Zn^d+1から乱数Rg,Ru1,Ru2,Re,Rπを選択し、値g=(1+n)Rg n^d mod nd+1を計算し、値g1=E(ζ1)を生成し、値g2=E(ζ2)を生成し、値h=E(ζ1z1+ζ2z2)を生成し、値h1=E(ζ1x1+ζ2x2)を生成し、値h2=E(ζ1y1+ζ2y2)を生成し、値u1=E(w;Ru1)を生成し、値u2=E(w;Ru2)を生成し、値e=E(k1k2;Re)・hwを生成し、値π=E(0;Rπ)・(h1h2 t)wを生成し、前記集合Sを生成し、前記集合Luへ値u1,u2,e,π,w,k1,k2を含めて前記集合Lを生成し、公開鍵pk:=(n,d,g,g1,g2,h,h1,h2,(S,L))を生成し、秘密鍵sk:=(pk,k1,k2,ζ1,ζ2,z1,z2,x1,x2,y1,y2)を生成し、
前記乱数生成部は、前記剰余環Zn^dから乱数s,vを選択し、前記単数群Zn^d+1 ×から乱数RA,Ra,Rb1,Rb2,Rb3を選択し、前記乱数r:=(s,v,RA,Ra,Rb1,Rb2,Rb3)を生成し、前記サンプル値u:=(u1,u2,e,π)を生成し、
前記暗号化部は、前記平文mと前記公開鍵pkと前記乱数rと前記タグtと前記サンプル値uとを入力とし、値K1=E(k1)を生成し、値K2=E(k2)を生成し、値A=K1 shvem・E(0;RA)を生成し、値a=gsK2 m・E(0;Ra)を生成し、値b1=g1 vu1 m・E(0;Rb1)を生成し、値b2=g2 vu2 m・E(0;Rb2)を生成し、値b3=(h1h2 t)vπm・E(0;Rb3)を生成し、前記暗号文c:=(A,a,b1,b2,b3)を生成し、
前記開封部は、前記平文mと前記公開鍵pkと前記乱数rと前記タグtと前記サンプル値uと前記暗号文cとを入力とし、値K1=E(k1)を生成し、値K2=E(k2)を生成し、値A’=K1 shvem・E(0;RA)を生成し、値a’=gsK2 m・E(0;Ra)を生成し、値b’1=g1 vu1 m・E(0;Rb1)を生成し、値b’2=g2 vu2 m・E(0;Rb2)を生成し、値b’3=(h1h2 t)vπm・E(0;Rb3)を生成し、前記暗号文c’:=(A’,a’,b’1,b’2,b’3)を生成し、前記暗号文c’と前記暗号文cとが等しいか否かを確認する
ことを特徴とするコミットメントシステム。 - кは正の整数のセキュリティパラメータであり、
前記セキュリティパラメータкに基づいて公開鍵pkと秘密鍵skとを生成する鍵生成部と、
前記秘密鍵skを廃棄する鍵廃棄部と、
前記公開鍵pkを公開する公開部と、
を有する共通参照情報生成装置。 - кは正の整数のセキュリティパラメータであり、COINは平文mと公開鍵pkとにより一意に定まる乱数空間であり、Uはあらかじめ定めた集合であり、MSPは公開鍵pkにより一意に定まる平文空間であり、
前記乱数空間COINから乱数rを選択し、前記集合Uからサンプル値uを選択する乱数生成部と、
前記平文空間MSP上の平文mを前記公開鍵pkと前記乱数rとкビットのタグtと前記サンプル値uとを用いて暗号化して暗号文cを生成する暗号化部と、
前記暗号文cと前記タグtと前記サンプル値uとをコミット受信装置へ送信するコミット部と、
前記平文mと前記乱数rとを前記コミット受信装置へ送信する開示部と、
を有するコミット生成装置。 - кは正の整数のセキュリティパラメータであり、COINは平文mと公開鍵pkとにより一意に定まる乱数空間であり、Uはあらかじめ定めた集合であり、MSPは公開鍵pkにより一意に定まる平文空間であり、
タグtがкビットのビット列であり、乱数rが前記乱数空間COINの元であり、サンプル値uが前記集合Uの元であり、平文mが前記平文空間MSPの元であることを確認する確認部と、
前記平文mをセキュリティパラメータкに基づいて生成された公開鍵pkと前記乱数rと前記タグtと前記サンプル値uとを用いて暗号化して暗号文c’を求め、前記暗号文c’とコミット生成装置から受信した暗号文cとが等しいことを確認する開封部と、
を有するコミット受信装置。 - кは正の整数のセキュリティパラメータであり、COINは平文mと公開鍵pkとにより一意に定まる乱数空間であり、Uはあらかじめ定めた集合であり、MSPは公開鍵pkにより一意に定まる平文空間であり、
鍵生成部が、セキュリティパラメータкに基づいて前記公開鍵pkと秘密鍵skとを生成する鍵生成ステップと、
鍵廃棄部が、前記秘密鍵skを廃棄する鍵廃棄ステップと、
公開部が、前記公開鍵pkを公開する公開ステップと、
乱数生成部が、前記乱数空間COINから乱数rを選択し、前記集合Uからサンプル値uを選択する乱数生成ステップと、
暗号化部が、前記平文空間MSP上の平文mを前記公開鍵pkと前記乱数rとкビットのタグtと前記サンプル値uとを用いて暗号化して暗号文cを生成する暗号化ステップと、
コミット部が、前記暗号文cと前記タグtと前記サンプル値uとをコミット受信装置へ送信するコミットステップと、
開示部が、前記平文mと前記乱数rとを前記コミット受信装置へ送信する開示ステップと、
確認部が、前記タグtがкビットのビット列であり、前記乱数rが前記乱数空間COINの元であり、前記サンプル値uが前記集合Uの元であり、前記平文mが前記平文空間MSPの元であることを確認する確認ステップと、
開封部が、前記平文mを前記公開鍵pkと前記乱数rと前記タグtと前記サンプル値uとを用いて暗号化して暗号文c’を求め、前記暗号文c’と前記暗号文cとが等しいことを確認する開封ステップと、
を含むコミットメント方法。 - 請求項3に記載の共通参照情報生成装置もしくは請求項4に記載のコミット生成装置もしくは請求項5に記載のコミット受信装置としてコンピュータを機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013019428A JP5863683B2 (ja) | 2013-02-04 | 2013-02-04 | コミットメントシステム、共通参照情報生成装置、コミット生成装置、コミット受信装置、コミットメント方法、およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013019428A JP5863683B2 (ja) | 2013-02-04 | 2013-02-04 | コミットメントシステム、共通参照情報生成装置、コミット生成装置、コミット受信装置、コミットメント方法、およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014150494A true JP2014150494A (ja) | 2014-08-21 |
| JP5863683B2 JP5863683B2 (ja) | 2016-02-17 |
Family
ID=51573128
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013019428A Active JP5863683B2 (ja) | 2013-02-04 | 2013-02-04 | コミットメントシステム、共通参照情報生成装置、コミット生成装置、コミット受信装置、コミットメント方法、およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5863683B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112329931A (zh) * | 2021-01-04 | 2021-02-05 | 北京智源人工智能研究院 | 基于代理模型的对抗样本生成方法和装置 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5943880B2 (ja) * | 2013-06-26 | 2016-07-05 | 日本電信電話株式会社 | コミットメントシステム、共通参照情報生成装置、コミット生成装置、コミット受信装置、コミットメント方法、およびプログラム |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008022158A2 (en) * | 2006-08-14 | 2008-02-21 | The Regents Of The University Of California | System for non-interactive zero-knowledge proofs |
| WO2008127428A2 (en) * | 2006-11-17 | 2008-10-23 | The Regents Of The University Of California | Efficient non-interactive proof systems for bilinear groups |
| JP2010164876A (ja) * | 2009-01-19 | 2010-07-29 | Nippon Telegr & Teleph Corp <Ntt> | ビットコミットメントシステム、ビットコミットメント方法、ビットコミットメント送信装置、ビットコミットメント受信装置、ビットコミットメント送信方法、ビットコミットメント受信方法、ビットコミットメントプログラム |
| JP2011145591A (ja) * | 2010-01-18 | 2011-07-28 | Nippon Telegr & Teleph Corp <Ntt> | コミットメントシステム、マスター装置、送信装置、受信装置、コミットメント方法、プログラム、記録媒体 |
| JP2011253148A (ja) * | 2010-06-04 | 2011-12-15 | Nippon Telegr & Teleph Corp <Ntt> | コミットメントシステム、コミットメント生成装置、コミットメント取得装置、コミットメント生成方法、コミットメント取得方法、及びプログラム |
| JP2013243421A (ja) * | 2012-05-17 | 2013-12-05 | Nippon Telegr & Teleph Corp <Ntt> | コミットメントシステム、共通参照情報生成装置、コミット生成装置、コミット受信装置、コミットメント方法 |
-
2013
- 2013-02-04 JP JP2013019428A patent/JP5863683B2/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008022158A2 (en) * | 2006-08-14 | 2008-02-21 | The Regents Of The University Of California | System for non-interactive zero-knowledge proofs |
| WO2008127428A2 (en) * | 2006-11-17 | 2008-10-23 | The Regents Of The University Of California | Efficient non-interactive proof systems for bilinear groups |
| JP2010164876A (ja) * | 2009-01-19 | 2010-07-29 | Nippon Telegr & Teleph Corp <Ntt> | ビットコミットメントシステム、ビットコミットメント方法、ビットコミットメント送信装置、ビットコミットメント受信装置、ビットコミットメント送信方法、ビットコミットメント受信方法、ビットコミットメントプログラム |
| JP2011145591A (ja) * | 2010-01-18 | 2011-07-28 | Nippon Telegr & Teleph Corp <Ntt> | コミットメントシステム、マスター装置、送信装置、受信装置、コミットメント方法、プログラム、記録媒体 |
| JP2011253148A (ja) * | 2010-06-04 | 2011-12-15 | Nippon Telegr & Teleph Corp <Ntt> | コミットメントシステム、コミットメント生成装置、コミットメント取得装置、コミットメント生成方法、コミットメント取得方法、及びプログラム |
| JP2013243421A (ja) * | 2012-05-17 | 2013-12-05 | Nippon Telegr & Teleph Corp <Ntt> | コミットメントシステム、共通参照情報生成装置、コミット生成装置、コミット受信装置、コミットメント方法 |
Non-Patent Citations (2)
| Title |
|---|
| JPN6015039554; Eiichiro Fujisaki: '"A Framework for Efficient Fully-Equipped UC Commitments"' Cryptology ePrint Archive: Report 2012/379 Version: 20121221:062714, 20121221, p.1-22, [online] * |
| JPN6015039557; Eiichiro Fujisaki: '"A Framework for Efficient Fully-Equipped UC Commitments"' 2013年 暗号と情報セキュリティシンポジウム SCIS2013 [CD-ROM] 2B2-1, 20130125, p.1-8, 電子情報通信学会情報セキュリティ研究専門委員会 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112329931A (zh) * | 2021-01-04 | 2021-02-05 | 北京智源人工智能研究院 | 基于代理模型的对抗样本生成方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5863683B2 (ja) | 2016-02-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ling et al. | Group signatures from lattices: simpler, tighter, shorter, ring-based | |
| Sen | Homomorphic encryption-theory and application | |
| Katz et al. | Constant-round private function evaluation with linear complexity | |
| Liang et al. | An adaptively CCA-secure ciphertext-policy attribute-based proxy re-encryption for cloud data sharing | |
| JP2012150378A (ja) | プロキシ再暗号化システム、鍵生成装置、再暗号化装置、プロキシ再暗号化方法、プログラム | |
| Katz et al. | Feasibility and infeasibility of adaptively secure fully homomorphic encryption | |
| Wang et al. | Proxy re-encryption schemes with key privacy from LWE | |
| CN106713349B (zh) | 一种能抵抗选择密文攻击的群组间代理重加密方法 | |
| CN110011782A (zh) | 一种多对一全同态加密算法 | |
| Tang et al. | Towards asymmetric searchable encryption with message recovery and flexible search authorization | |
| Hazay et al. | One-sided adaptively secure two-party computation | |
| JP5863683B2 (ja) | コミットメントシステム、共通参照情報生成装置、コミット生成装置、コミット受信装置、コミットメント方法、およびプログラム | |
| JP5730804B2 (ja) | 暗号化装置、再暗号化鍵難読化装置、再暗号化装置、復号装置、および再暗号化システム | |
| Qin et al. | Strongly secure and cost-effective certificateless proxy re-encryption scheme for data sharing in cloud computing | |
| JP6075785B2 (ja) | 暗号通信システム、暗号通信方法、プログラム | |
| Ahila et al. | State of art in homomorphic encryption schemes | |
| Catalano et al. | Fully non-interactive onion routing with forward-secrecy | |
| Fan et al. | Attribute-based proxy re-encryption with dynamic membership | |
| JP6563857B2 (ja) | コミットメントシステム、共通参照情報生成装置、コミット生成装置、コミット受信装置、コミットメント方法、プログラム | |
| Shao et al. | CCA-secure PRE scheme without random oracles | |
| JP5943880B2 (ja) | コミットメントシステム、共通参照情報生成装置、コミット生成装置、コミット受信装置、コミットメント方法、およびプログラム | |
| Li et al. | Chosen-ciphertext secure multi-use unidirectional attribute-based proxy re-encryptions | |
| JP5755600B2 (ja) | コミットメントシステム、共通参照情報生成装置、コミット生成装置、コミット受信装置、コミットメント方法 | |
| JP5572580B2 (ja) | 紛失通信システム、紛失通信方法、およびプログラム | |
| JP6000207B2 (ja) | 暗号化システム、システムパラメータ生成装置、暗号化装置、復号装置、及びその方法、プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150127 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150909 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151006 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151124 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20151222 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20151222 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5863683 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |