JP5256342B2 - 情報生成装置、方法、プログラム及びその記録媒体 - Google Patents

Description

この発明は、情報セキュリティ技術の応用技術に関する。例えば、復号鍵からより復号権限の制限された復号鍵を導出することができる階層型暗号に関するものである。

階層型暗号の従来技術として、非特許文献１に記載された技術が知られている。

Craig Gentry, Alice Silverberg, "Hierarchical ID-Based Cryptography", ASIACRYPT 2002, p.548-566

非特許文献１に記載された技術では、木構造の親ノードに対応する鍵から子ノードに対応する鍵を導出することはできるが、木構造以外の一般の半順序構造ｓで表される鍵導出を実現することはできなかった。例えば、共通の子ノードＣを持つ親ノードＡと親ノードＢに対して、親ノードＡの鍵から共通の子ノードＣの鍵を導出し、親ノードＢの鍵から共通の子ノードＣの鍵を導出することはできないという課題があった。

上記の課題を解決するために、請求項１の情報生成装置は、ｅが巡回群Ｇ_１のＮ個の元γ_Ｌ（Ｌ＝１，…，Ｎ）（Ｎ≧２）と巡回群Ｇ_２のＮ個の元γ_Ｌ ^＊（Ｌ＝１，…，Ｎ）との入力に対して巡回群Ｇ_Ｔの１個の元を出力する非退化な双線形関数であり、ｂ_ｉ∈Ｇ_１ ^Ｎ（ｉ＝１，…，Ｎ）のそれぞれが、上記巡回群Ｇ_１のＮ個の元を要素とするＮ次元の基底ベクトルであり、ｂ_ｊ ^＊∈Ｇ_２ ^Ｎ（ｊ＝１，…，Ｎ）のそれぞれが、上記巡回群Ｇ_２のＮ個の元を要素とするＮ次元の基底ベクトルであり、上記基底ベクトルｂ_ｉ∈Ｇ_１ ^Ｎ（ｉ＝１，…，Ｎ）の各要素と上記基底ベクトルｂ_ｊ ^＊∈Ｇ_２ ^Ｎ（ｊ＝１，…，Ｎ）の各要素とを上記双線形関数ｅに入力して得られる関数値が、ｉ＝ｊの場合にδ（ｉ，ｊ）＝１_Ｆとなってｉ≠ｊの場合にδ（ｉ，ｊ）＝０_Ｆとなるクロネッカーのデルタ関数δ（ｉ，ｊ）を用いてｇ_Ｔ ^{τ・δ（ｉ，ｊ）}∈Ｇ_Ｔと表現され、０_Ｆが有限体Ｆ_ｑの加法単位元であり、１_Ｆが有限体Ｆ_ｑの乗法単位元であり、τが０_Ｆを除く有限体Ｆ_ｑの元であり、ｇ_Ｔが上記巡回群Ｇ_Ｔの生成元であり、＊を不定文字とし、インデックスＹをＹ＝（Ｙ_１，…，Ｙ_Ｎ−１）∈Ｉ＝（Ｆ_ｑ∪｛＊｝）^Ｎ−１とし、インデックスＹに対応する集合ｗ（Ｙ）をｗ（Ｙ）＝｛ｉ｜Ｙ_ｉ＝＊｝として、乱数σ_Ｙ∈Ｚ_ｑ、及び、集合ｗ（Ｙ）の各要素ｊ∈ｗ（Ｙ）に対応する乱数σ_Ｙｊ∈Ｚ_ｑを生成する乱数生成部と、上記生成された乱数σ_Ｙを用いて、ｋ_Ｙ＝σ_ＹΣ_{ｉ∈｛１，…，Ｎ−１｝＼ｗ（Ｙ）}Ｙ_ｉｂ_ｉ ^＊＋ｂ_Ｎ ^＊の関係を満たす主情報ｋ_Ｙを計算する主情報生成部と、上記生成された乱数σ_Ｙｊを用いて、ｋ_Ｙｊ＝σ_ＹｊΣ_{ｉ∈｛１，…，Ｎ−１｝＼ｗ（Ｙ）}Ｙ_ｉｂ_ｉ ^＊＋ｂ_ｊ ^＊の関係を満たす導出情報ｋ_Ｙｊを集合ｗ（Ｙ）の各要素ｊ∈ｗ（Ｙ）ごとに計算する導出情報生成部と、を含む。

請求項４の情報生成装置は、ｅが巡回群Ｇ_１のＮ個の元γ_Ｌ（Ｌ＝１，…，Ｎ）（Ｎ≧２）と巡回群Ｇ_２のＮ個の元γ_Ｌ ^＊（Ｌ＝１，…，Ｎ）との入力に対して巡回群Ｇ_Ｔの１個の元を出力する非退化な双線形関数であり、ｂ_ｉ∈Ｇ_１ ^Ｎ（ｉ＝１，…，Ｎ）のそれぞれが、上記巡回群Ｇ_１のＮ個の元を要素とするＮ次元の基底ベクトルであり、ｂ_ｊ ^＊∈Ｇ_２ ^Ｎ（ｊ＝１，…，Ｎ）のそれぞれが、上記巡回群Ｇ_２のＮ個の元を要素とするＮ次元の基底ベクトルであり、上記基底ベクトルｂ_ｉ∈Ｇ_１ ^Ｎ（ｉ＝１，…，Ｎ）の各要素と上記基底ベクトルｂ_ｊ ^＊∈Ｇ_２ ^Ｎ（ｊ＝１，…，Ｎ）の各要素とを上記双線形関数ｅに入力して得られる関数値が、ｉ＝ｊの場合にδ（ｉ，ｊ）＝１_Ｆとなってｉ≠ｊの場合にδ（ｉ，ｊ）＝０_Ｆとなるクロネッカーのデルタ関数δ（ｉ，ｊ）を用いてｇ_Ｔ ^{τ・δ（ｉ，ｊ）}∈Ｇ_Ｔと表現され、０_Ｆが有限体Ｆ_ｑの加法単位元であり、１_Ｆが有限体Ｆ_ｑの乗法単位元であり、τが０_Ｆを除く有限体Ｆ_ｑの元であり、ｇ_Ｔが上記巡回群Ｇ_Ｔの生成元であり、＊を不定文字とし、インデックスＹをＹ＝（Ｙ_１，…，Ｙ_Ｎ−１）∈Ｉ＝（Ｆ_ｑ∪｛＊｝）^Ｎ−１とし、インデックスＹに対応する集合ｗ（Ｙ）をｗ（Ｙ）＝｛ｉ｜Ｙ_ｉ＝＊｝とし、σ_Ｙ∈Ｚ_ｑを乱数とし、σ_Ｙｉを集合ｗ（Ｙ）の各要素ｊ∈ｗ（Ｙ）に対応する乱数とし、インデックスＹに対応する主情報ｋ_Ｙはｋ_Ｙ＝σ_ＹΣ_{ｉ∈｛１，…，Ｎ−１｝＼ｗ（Ｙ）}Ｙ_ｉｂ_ｉ ^＊＋ｂ_Ｎ ^＊の関係を満たし、インデックスＹに対応する導出情報ｋ _Ｙｊ はｋ_Ｙｊ＝σ_ＹｊΣ_{ｉ∈｛１，…，Ｎ−１｝＼ｗ（Ｙ）}Ｙ_ｉｂ_ｉ ^＊＋ｂ_ｊ ^＊の関係を満たし、＊を不定文字とし、インデックスｖをｖ＝（ｖ_１，…，ｖ_Ｎ−１）∈Ｉ＝（Ｆ_ｑ∪｛＊｝）^Ｎ−１とし、インデックスｕをｕ＝（ｕ_１，…，ｕ_Ｎ−１）∈Ｉ＝（Ｆ_ｑ∪｛＊｝）^Ｎ−１とし、インデックスｖに対応する集合ｗ（ｖ）をｗ（ｖ）＝｛ｉ｜ｖ_ｉ＝＊｝とし、インデックスｕに対応する集合ｗ（ｕ）をｗ（ｕ）＝｛ｉ｜ｕ_ｉ＝＊｝とし、集合ｗ（ｕ）⊂集合ｗ（ｖ）とし、ｖ_ｉ＝ｕ_ｉ（ｉ∈｛１，…，Ｎ−１｝＼ｗ（ｖ））として、上記主情報ｋ_Ｙである又は上記主情報ｋ_Ｙ及び上記導出情報ｋ _Ｙｊ から導出されたインデックスｖに対応する主情報ｋ_ｖ、及び、上記導出情報ｋ _Ｙｊ である又は上記導出情報ｋ _Ｙｊ から導出されたインデックスｖに対応する導出情報ｋ_ｖｊを記憶する記憶部と、乱数σ_ｕ∈Ｚ_ｑを生成する子乱数生成部と、上記記憶部から読み込んだ主情報ｋ_ｖ、導出情報ｋ_ｖｉ及び上記生成された乱数σ_ｕを用いて、ｋ_ｕ＝σ_ｕΣ_{ｉ∈ｗ（ｖ）＼ｗ（ｕ）}ｕ_ｉｋ_ｖｉ＋ｋ_ｖの関係を満たす、インデックスｕに対応する主情報ｋ_ｕを計算する主情報導出部と、を含む。

請求項６の情報生成装置は、Ｇ、Ｇ_Ｔを素数位数ｑの巡回群とし、ｇを巡回群Ｇの生成元とし、巡回群Ｇにはｇ_Ｔ＝ｅ（ｇ，ｇ）が巡回群Ｇ_Ｔの生成元となるようなペアリング関数ｅ：Ｇ×Ｇ→Ｇ_Ｔが存在するとし、ａをＺ_ｐからランダムに選択された乱数とし、ｇとｇ_１＝ｇ^ａ∈Ｇと巡回群Ｇからランダムに選択されたｇ_２，ｇ_３，ｈ_１，…，ｈ_Ｎ−１∈Ｇとが公開鍵として公開されており、＊を不定文字とし、インデックスＹをＹ＝（Ｙ_１，…，Ｙ_Ｎ−１）∈Ｉ＝（Ｆ_ｑ∪｛＊｝）^Ｎ−１とし、インデックスＹに対応する集合ｗ（Ｙ）をｗ（Ｙ）＝｛ｉ｜Ｙ_ｉ＝＊｝として、乱数ｒ_Ｙ∈Ｚ_ｑを生成する乱数生成部と、上記生成された乱数ｒ_Ｙを用いて、ｋ_Ｙ＝ｇ_２ ^ａ（ｇ_３Π_{ｉ∈｛１，…，Ｎ−１｝＼ｗ（Ｙ）}ｈ_ｉ ^Ｙｉ）^ｒＹの関係を満たす第一主情報ｋ_Ｙを計算する第一主情報生成部と、上記生成された乱数ｒ_Ｙを用いて、第二主情報ｇ^ｒＹを計算する第二主情報生成部と、上記生成された乱数ｒ_Ｙを用いて、ｋ_Ｙｊ＝ｈ_ｊ ^ｒＹの関係を満たす導出情報ｋ_Ｙｊを集合ｗ（Ｙ）の各要素ｊ∈ｗ（Ｙ）ごとに計算する導出情報生成部と、を含む。

請求項９の情報生成装置は、Ｇ、Ｇ_Ｔを素数位数ｑの巡回群とし、ｇを巡回群Ｇの生成元とし、巡回群Ｇにはｇ_Ｔ＝ｅ（ｇ，ｇ）が巡回群Ｇ_Ｔの生成元となるようなペアリング関数ｅ：Ｇ×Ｇ→Ｇ_Ｔが存在するとし、ａをＺ_ｐからランダムに選択された乱数とし、ｇとｇ_１＝ｇ^ａ∈Ｇと巡回群Ｇからランダムに選択されたｇ_２，ｇ_３，ｈ_１，…，ｈ_Ｎ−１∈Ｇとが公開鍵として公開されており、＊を不定文字とし、インデックスＹをＹ＝（Ｙ_１，…，Ｙ_Ｎ−１）∈Ｉ＝（Ｆ_ｑ∪｛＊｝）^Ｎ−１とし、インデックスＹに対応する集合ｗ（Ｙ）をｗ（Ｙ）＝｛ｉ｜Ｙ_ｉ＝＊｝とし、ｒ_Ｙ∈Ｚ_ｑを乱数とし、インデックスＹに対応する第一主情報ｋ_Ｙはｋ_Ｙ＝ｇ_２ ^ａ（ｇ_３Π_{ｉ∈｛１，…，Ｎ−１｝＼ｗ（Ｙ）}ｈ_ｉ ^Ｙｉ）^ｒＹの関係を満たし、ｇ^ｒＹをインデックスＹに対応する第二主情報とし、インデックスＹに対応する導出情報ｋ _Ｙｊ はｋ_Ｙｊ＝ｈ_ｊ ^ｒＹの関係を満たし、＊を不定文字とし、インデックスｖをｖ＝（ｖ_１，…，ｖ_Ｎ−１）∈Ｉ＝（Ｆ_ｑ∪｛＊｝）^Ｎ−１とし、インデックスｖに対応する集合ｗ（ｖ）をｗ（ｖ）＝｛ｉ｜ｖ_ｉ＝＊｝とし、インデックスｕをｕ＝（ｕ_１，…，ｕ_Ｎ−１）∈Ｉ＝（Ｆ_ｑ∪｛＊｝）^Ｎ−１とし、インデックスｕに対応する集合ｗ（ｕ）をｗ（ｕ）＝｛ｉ｜ｕ_ｉ＝＊｝とし、集合ｗ（ｕ）⊂集合ｗ（ｖ）とし、ｖ_ｉ＝ｕ_ｉ（ｉ∈｛１，…，Ｎ−１｝＼ｗ（ｖ））として、乱数ｒ_ｕ∈Ｚ_ｑを生成する乱数生成部と、上記第一主情報ｋ_Ｙである又は上記第一主情報ｋ_Ｙ及び上記導出情報ｋ _Ｙｊ から導出されたインデックスｖに対応する第一主情報ｋ_ｖ、上記導出情報ｋ _Ｙｊ である又は上記導出情報ｋ _Ｙｊ から導出されたインデックスｖに対応する導出情報ｋ_ｖｊを記憶する記憶部と、上記記憶部から読み込んだ第一主情報ｋ_ｖ及び上記導出情報ｋ_ｖｉを用いて、ｋ_ｕ＝ｋ_ｖ（Π_{ｉ∈ｗ（ｖ）＼ｗ（ｕ）}ｋ_ｖｉ ^ｕｉ）（ｇ_３Π_{ｉ∈｛１，…，Ｎ−１｝＼ｗ（ｖ）}ｈ_ｉ ^ｖｉΠ_{ｉ∈ｗ（ｖ）＼ｗ（ｕ）}ｈ_ｉ ^ｕｉ）^ｒｕの関係を満たす、インデックスｕに対応する第一主情報ｋ_ｕを計算する第一主情報導出部と、上記生成された乱数ｒ_ｕを用いて、第二主情報ｇ^ｒｕを計算する第二主情報導出部と、を含む。

共通の子ノードＣを持つ親ノードＡと親ノードＢに対して、親ノードＡの情報から共通の子ノードＣの情報を導出し、親ノードＢの情報から共通の子ノードＣの情報を導出することができる。

第一実施形態の情報生成装置の機能ブロック図の例。 第一実施形態の情報生成のフローチャートの例。 第一実施形態の情報導出のフローチャートの例。 第二実施形態の情報生成装置の機能ブロック図の例。 第二実施形態の情報生成のフローチャートの例。 第二実施形態の情報導出のフローチャートの例。

以下、この発明の実施の形態について、詳細に説明する。
［述語暗号］
まず、第一実施形態で用いる概念である述語暗号の概要について説明する。

〔定義〕
まず、本形態で使用する用語や記号を定義する。
行列：「行列」とは演算が定義された集合の元を矩形に並べたものを表す。環の元を要素とするものだけではなく、群の元を要素とするものも「行列」と表現する。

(・)^T：(・)^Tは・の転置行列を表す。
(・)^-1：(・)^-1は・の逆行列を表す。
∧：∧は論理積を表す。
∨：∨は論理和を表す。
Ｚ：Ｚは整数集合を表す。
ｋ：ｋはセキュリティパラメータ（k∈Z, k>0）を表す。

{0,1}^*：{0,1}^*は任意ビット長のバイナリ系列を表す。その一例は、整数0及び1からなる系列である。しかし、{0,1}^*は整数0及び1からなる系列に限定されない。{0,1}^*は位数2の有限体又はその拡大体と同義である。
{0,1}^ζ：{0,1}^ζはビット長ζ（ζ∈Z, ζ>0）のバイナリ系列を表す。その一例は、整数0及び1からなる系列である。しかし、{0,1}^ζは整数0及び1からなる系列に限定されない。{0,1}^ζは位数2の有限体（ζ=1の場合）又はそれをζ次拡大した拡大体（ζ>1の場合）と同義である。
(+):(+)はバイナリ系列間の排他的論理和演算子を表す。例えば、10110011(+)11100001=01010010を満たす。

F_q：F_qは位数qの有限体を表す。位数qは１以上の整数であり、例えば、素数や素数のべき乗値を位数qとする。すなわち、有限体F_qの例は素体やそれを基礎体とした拡大体である。なお、有限体F_qが素体である場合の演算は、例えば、位数qを法とする剰余演算によって容易に構成できる。また、有限体F_qが拡大体である場合の演算は、例えば、既約多項式を法とする剰余演算によって容易に構成できる。有限体F_qの具体的な構成方法は、例えば、参考文献１「ISO/IEC 18033-2: Information technology - Security techniques - Encryption algorithms - Part 2: Asymmetric ciphers」に開示されている。

0_F：0_Fは有限体F_qの加法単位元を表す。
1_F：1_Fは有限体F_qの乗法単位元を表す。
δ(i,j)：δ(i,j)はクロネッカーのデルタ関数を表す。i=jの場合にδ(i,j)=1_Fを満たし、i≠jの場合にδ(i,j)=0 _Fを満たす。
E：Eは有限体F_q上で定義された楕円曲線を表す。Eはアフィン（affine）座標版のWeierstrass方程式
y²+a₁・x・y+a₃・y=x³+a₂・x²+a₄・x+a₆ …(1)
（ただし、a₁,a₂,a₃,a₄,a₆∈F_q）を満たすx,y∈F_qからなる点(x,y)の集合に無限遠点と呼ばれる特別な点Ｏを付加したもので定義される。楕円曲線E上の任意の２点に対して楕円加算と呼ばれる二項演算＋及び楕円曲線E上の任意の１点に対して楕円逆元と呼ばれる単項演算−がそれぞれ定義できる。また、楕円曲線E上の有理点からなる有限集合が楕円加算に関して群をなすこと、楕円加算を用いて楕円スカラー倍算と呼ばれる演算が定義できること、及びコンピュータ上での楕円加算などの楕円演算の具体的な演算方法はよく知られている（例えば、参考文献１、参考文献２「RFC 5091: Identity-Based Cryptography Standard (IBCS) #1: Supersingular Curve Implementations of the BF and BB1 Cryptosystems」、参考文献３「イアン・Ｆ・ブラケ、ガディエル・セロッシ、ナイジェル・Ｐ・スマート＝著、「楕円曲線暗号」、出版＝ピアソン・エデュケーション、ISBN4-89471-431-0」等参照）。

また、楕円曲線E上の有理点からなる有限集合は位数p(p≧1)の部分群を持つ。例えば、楕円曲線E上の有理点からなる有限集合の要素数を＃Eとし、pを＃Eを割り切る大きい素数とした場合、楕円曲線Eのp等分点からなる有限集合E[p]は、楕円曲線E上の有理点からなる有限集合の部分群を構成する。なお、楕円曲線Eのp等分点とは、楕円曲線E上の点Aのうち、楕円曲線E上での楕円スカラー倍算値p・Aがp・A＝Ｏを満たす点を意味する。

G₁, G₂,G_T：G₁, G₂, G_Tは位数qの巡回群を表す。巡回群G₁, G₂の具体例は、楕円曲線Eのp等分点からなる有限集合E[p]やその部分群である。G₁=G₂であってもよいしG₁≠G₂であってもよい。また、巡回群G_Tの具体例は、有限体F_qを基礎体とする拡大体を構成する有限集合である。その一例は、有限体F_qの代数閉包における１のｐ乗根からなる有限集合である。

なお、本形態では、巡回群G₁, G₂上で定義された演算を加法的に表現し、巡回群G_T上で定義された演算を乗法的に表現する。すなわち、χ∈F_q及びΩ∈G₁に対するχ・Ω∈G₁は、Ω∈G₁に対して巡回群G₁で定義された演算をχ回施すことを意味し、Ω₁, Ω₂∈G₁に対するΩ₁+Ω₂∈G₁は、Ω₁∈G₁とΩ₂∈G₁とを被演算子として巡回群G₁で定義された演算を行うことを意味する。同様に、χ∈F_q及びΩ∈G₂に対するχ・Ω∈G₂は、Ω∈G₂に対して巡回群G₂で定義された演算をχ回施すことを意味し、Ω₁, Ω₂∈G₂に対するΩ₁+Ω₂∈G₂は、Ω₁∈G₂とΩ₂∈G₂とを被演算子として巡回群G₂で定義された演算を行うことを意味する。一方、χ∈F_q及びΩ∈G_Tに対するΩ^χ∈G_Tは、Ω∈G_Tに対して巡回群G_Tで定義された演算をχ回施すことを意味し、Ω₁,Ω₂∈G_Tに対するΩ₁・Ω₂∈G_Tは、Ω₁∈G_TとΩ₂∈G_Tとを被演算子として巡回群G_Tで定義された演算を行うことを意味する。

G₁ ⁿ⁺¹：G₁ ⁿ⁺¹はn+1(n≧1)個の巡回群G₁の直積を表す。
G₂ ⁿ⁺¹：G₂ ⁿ⁺¹はn+1個の巡回群G₂の直積を表す。
g₁, g₂, g_T：g₁, g₂, g_Tは巡回群G₁, G₂,G_Tの生成元を表す。
V：Vはn+1個の巡回群G₁の直積からなるn+1次元のベクトル空間を表す。
V^*：V^*はn+1個の巡回群G₂の直積からなるn+1次元のベクトル空間を表す。

e：eは直積G₁ ⁿ⁺¹と直積G₂ ⁿ⁺¹との直積G₁ ⁿ⁺¹×G₂ ⁿ⁺¹を巡回群G_Tに写す非退化な双線形写像（bilinear map）を計算するための関数（「双線形関数」と呼ぶ）を表す。双線形関数eは、巡回群G₁のn+1個の元γ_L(L=1,...,n+1)(n≧1)と巡回群G₂のn+1個の元γ_L ^*(L=1,...,n+1)とを入力とし、巡回群G_Tの１個の元を出力する。
e：G₁ ⁿ⁺¹×G₂ ⁿ⁺¹→G_T …(2)

双線形関数eは以下の性質を満たす。
［双線形性］すべてのΓ₁∈G₁ ⁿ⁺¹，Γ₂∈G₂ ⁿ⁺¹及びν，κ∈F_qについて以下の関係を満たす。
e(ν・Γ₁,κ・Γ₂)=e(Γ₁,Γ₂)^ν・κ …(3)
［非退化性］すべての
Γ₁∈G₁ ⁿ⁺¹，Γ₂∈G₂ ⁿ⁺¹ …(4)
を巡回群G_Tの単位元に写す関数ではない。
［計算可能性］あらゆるΓ₁∈G₁ ⁿ⁺¹，Γ₂∈G₂ ⁿ⁺¹についてe(Γ₁,Γ₂)を効率的に計算するアルゴリズムが存在する。

本形態では、巡回群G₁と巡回群G₂との直積G₁×G₂を巡回群G_Tに写す非退化な双線形写像を計算するための関数
Pair:G₁×G₂→G_T …(5)
を用いて双線形関数eを構成する。本形態の双線形関数eは、巡回群G₁のn+1個の元γ_L(L=1,...,n+1)からなるn+1次元ベクトル(γ₁,...,γ_n+1)と、巡回群G₂のn+1個の元γ_L ^*(L=1,...,n+1)からなるn+1次元ベクトル(γ₁ ^*,...,γ_n+1 ^*)との入力に対し、巡回群G_Tの１個の元
e=Π_L=1 ⁿ⁺¹ Pair(γ_L, γ_L ^*) …(6)
を出力する関数である。

なお、双線形関数Pairは、巡回群G₁の１個の元と巡回群G₂の１個の元との組を入力とし、巡回群G_Tの１個の元を出力する関数であり、以下の性質を満たす。
［双線形性］すべてのΩ₁∈G₁，Ω₂∈G₂及びν，κ∈F_qについて以下の関係を満たす。
Pair(ν・Ω₁,κ・Ω₂)=Pair(Ω₁,Ω₂)^ν・κ …(7)
［非退化性］すべての
Ω₁∈G₁，Ω₂∈G₂ …(8)
を巡回群G_Tの単位元に写す関数ではない。
［計算可能性］あらゆるΩ₁∈G₁，Ω₂∈G₂についてPair(Ω₁,Ω₂)を効率的に計算するアルゴリズムが存在する。

なお、双線形関数Pairの具体例は、WeilペアリングやTateペアリングなどのペアリング演算を行うための関数である（例えば、参考文献４「Alfred. J. Menezes，ELLIPTIC CURVE PUBLIC KEY CRYPTOSYSTEMS， KLUWER ACADEMIC PUBLISHERS， ISBN0-7923-9368-6，pp. 61-81」等参照）。また、楕円曲線Eの種類に応じ、Tateペアリングなどのペアリング演算を行うための関数と所定の関数phiを組み合わせた変更ペアリング関数e(Ω₁,phi(Ω₂))（Ω₁∈G₁，Ω₂∈G₂）を双線形関数Pairとして用いてもよい（例えば、参考文献２等参照）。また、ペアリング演算をコンピュータ上で行うためのアルゴリズムとしては、周知のMiller のアルゴリズム（参考文献５「V. S. Miller, “Short Programs for functions on Curves,”1986，インターネット＜http://crypto.stanford.edu/miller/miller.pdf＞」などが存在する。また、ペアリング演算を効率的に行うための楕円曲線や巡回群の構成方法はよく知られている（例えば、参考文献２、参考文献６「A. Miyaji, M. Nakabayashi, S.Takano, "New explicit conditions of elliptic curve Traces for FR-Reduction," IEICE Trans. Fundamentals, vol. E84-A, no05, pp. 1234-1243, May 2001」、参考文献７「P.S.L.M. Barreto, B. Lynn, M. Scott, "Constructing elliptic curves with prescribed embedding degrees," Proc. SCN '2002, LNCS 2576, pp.257-267, Springer-Verlag. 2003」、参考文献８「R. Dupont, A. Enge, F. Morain, "Building curves with arbitrary small MOV degree over finite prime fields," http://eprint.iacr.org/2002/094/」等参照）。

a_i(i=1,...,n+1)：巡回群G₁のn+1個の元を要素とするn+1次元の基底ベクトルを表す。基底ベクトルa_iの一例は、κ₁・g₁∈G₁をi次元目の要素とし、残りのn個の要素を巡回群G₁の単位元（加法的に「0」と表現）とするn+1次元の基底ベクトルである。この場合、n+1次元の基底ベクトルa_i(i=1,...,n+1)の各要素をそれぞれ列挙して表現すると、以下のようになる。
a₁=(κ₁・g₁,0,0,...,0)
a₂=(0,κ₁・g₁,0,...,0) …(9)
...
a_n+1=(0,0,0,...,κ₁・g₁)

ここで、κ₁は加法単位元0_F以外の有限体F_qの元からなる定数であり、κ₁∈F_qの具体例はκ₁=1_Fである。基底ベクトルa_iは直交基底であり、巡回群G₁のn+1個の元を要素とするすべてのn+1次元ベクトルは、n+1次元の基底ベクトルa_i(i=1,...,n+1)の線形和によって表される。すなわち、n+1次元の基底ベクトルa_iは前述のベクトル空間Vを張る。

a_i ^*(i=1,...,n+1)：a_i ^*は巡回群G₂のn+1個の元を要素とするn+1次元の基底ベクトルを表す。基底ベクトルa_i ^*の一例は、κ₂・g₂∈G₂をi次元目の要素とし、残りのn個の要素を巡回群G₂の単位元（加法的に「0」と表現）とするn+1次元の基底ベクトルである。この場合、基底ベクトルa_i ^*(i=1,...,n+1)の各要素をそれぞれ列挙して表現すると、以下のようになる。
a₁ ^*=(κ₂・g₂,0,0,...,0)
a₂ ^*=(0,κ₂・g₂,0,...,0) …(10)
...
a_n+1 ^*=(0,0,0,...,κ₂・g₂)

ここで、κ₂は加法単位元0_F以外の有限体F_qの元からなる定数であり、κ₂∈F_qの具体例はκ₂=1_Fである。基底ベクトルa_i ^*は直交基底であり、巡回群G₂のn+1個の元を要素とするすべてのn+1次元ベクトルは、n+1次元の基底ベクトルa_i ^*(i=1,...,n+1)の線形和によって表される。すなわち、n+1次元の基底ベクトルa_i ^*は前述のベクトル空間V^*を張る。

なお、基底ベクトルa_iと基底ベクトルa_i ^*とは、0_Fを除く有限体F_qの元τ=κ₁・κ₂について
e(a_i, a_j ^*)=g_T ^τ・δ(i,j) …(11)
を満たす。すなわち、i=jの場合には、式(6)(7)の関係から、
e(a_i, a_j ^*)= Pair(κ₁・g₁,κ₂・g₂)・Pair(0, 0)・...・Pair(0, 0)
= Pair(g₁, g₂)^κ1・κ2・Pair(g₁, g₂)^0・0・...・Pair(g₁, g₂)^0・0
= Pair(g₁, g₂)^κ1・κ2=g_T ^τ
を満たす。一方、i≠jの場合には、e(a_i, a_j ^*)は、Pair(κ₁・g₁,κ₂・g₂)を含まず、Pair(κ₁・g₁,0)と Pair(0,κ₂・g₂)とPair(0,0)との積になる。さらに、式(7)の関係からPair(g₁, 0)=Pair(0, g₂)=Pair(g₁, g₂)⁰を満たす。そのため、i≠jの場合には、
e(a_i, a_j ^*)=e(g₁, g₂)⁰=g_T ⁰
を満たす。

特に、τ=κ₁・κ₂=1_Fである場合（例えば、κ₁=κ₂=1_Fの場合）、
e(a_i, a_j ^*)=g_T ^δ(i,j) …(12)
を満たす。ここで、g_T ⁰=1は巡回群G_Tの単位元であり、g_T ¹=g_Tは巡回群G_Tの生成元である。この場合、基底ベクトルa_iと基底ベクトルa_i ^*とは双対正規直交基底であり、ベクトル空間Vとベクトル空間V^*とは、双線形写像を構成可能な双対ベクトル空間〔双対ペアリングベクトル空間（DPVS:Dual Paring Vector space)〕である。

A：Aは基底ベクトルa_i(i=1,...,n+1)を要素とするn+1行n+1列の行列を表す。例えば、基底ベクトルa_i(i=1,...,n+1)が式(9)によって表現される場合、行列Aは、

となる。
A^*：A^*は基底ベクトルa_i ^*(i=1,...,n+1)を要素とするn+1行n+1列の行列を表す。例えば、基底ベクトルa_i ^*(i=1,...,n+1)が式(10)によって表現される場合、行列A^*は、

となる。
X：Xは有限体F_qの元を要素とするn+1行n+1列の行列を表す。行列Xは基底ベクトルa_iの座標変換に用いられる。行列Xのi行j列(i=1,...,n+1,j=1,...,n+1)の要素をχ_i,j∈F_qとすると、行列Xは、

となる。なお、行列Ｘの各要素χ_i,jを変換係数と呼ぶ。
X ^*：X ^*は行列Xの逆行列の転置行列X^*=( X^-1)^Tを表す。行列X ^*は基底ベクトルa_i ^*の座標変換に用いられる。行列X ^*のi行j列の要素をχ_i,j ^*∈F_qとすると、行列X^*は、

となる。なお、行列Ｘ^*の各要素χ_i,j ^*を変換係数と呼ぶ。
この場合、n+1行n+1列の単位行列をIとするとＸ・(Ｘ^*)^T=Ｉを満たす。すなわち、単位行列

に対し、

を満たす。ここで、n+1次元ベクトル
χ_i ^→=(χ_i,1,...,χ_i,n+1) …(19)
χ_j ^→*=(χ_j,1 ^*,...,χ_j,n+1 ^*) …(20)
を定義する。すると、式(18)の関係から、n+1次元ベクトルχ_i ^→とχ_j ^→*との内積は、
χ_i ^→・χ_j ^→*=δ(i,j) …(21)
となる。

b_i：b_iは巡回群G₁のn+1個の元を要素とするn+1次元の基底ベクトルを表す。基底ベクトルb_iは行列Xを用いて基底ベクトルa_i(i=1,...,n+1)を座標変換することで得られる。具体的には、基底ベクトルb_iは、
b_i=Σ_j=1 ⁿ⁺¹χ_i,j・a_j …(22)
の演算によって得られる。例えば、基底ベクトルa_j(j=1,...,n+1)が式(9)によって表現される場合、基底ベクトルb_iの各要素をそれぞれ列挙して表現すると、以下のようになる。
b_i=(χ_i,1・κ₁・g₁ ,χ_i,2・κ₁・g₁ ,...,χ_i,n+1・κ₁・g₁) …(23)

巡回群G₁のn+1個の元を要素とするすべてのn+1次元ベクトルは、n+1次元の基底ベクトルb_i(i=1,...,n+1)の線形和によって表される。すなわち、n+1次元の基底ベクトルb_iは前述のベクトル空間Vを張る。

b_i ^*：b_i ^*は巡回群G₂のn+1個の元を要素とするn+1次元の基底ベクトルを表す。行列X^*を用いて基底ベクトルa_i ^*(i=1,...,n+1)を座標変換することで得られる。具体的には、基底ベクトルb_i ^*は、
b_i ^*=Σ_j=1 ⁿ⁺¹χ_i,j ^*・a_j ^* …(24)
の演算によって得られる。例えば、基底ベクトルa_j ^*(j=1,...,n+1)が式(10)によって表現される場合、基底ベクトルb_i ^*の各要素をそれぞれ列挙して表現すると、以下のようになる。
b_i ^*=(χ_i,1 ^*・κ₂・g₂ ,χ_i,2 ^*・κ₂・g₂ ,...,χ_i,n+1 ^*・κ₂・g₂) …(25)
巡回群G₂のn+1個の元を要素とするすべてのn+1次元ベクトルは、n+1次元の基底ベクトルb_i ^*(i=1,...,n+1)の線形和によって表される。すなわち、n+1次元の基底ベクトルb_i ^*は前述のベクトル空間V^*を張る。

なお、基底ベクトルb_iと基底ベクトルb_i ^*とは、0_Fを除く有限体F_qの元τ=κ₁・κ₂について
e(b_i, b_j ^*)=g_T ^τ・δ(i,j) …(26)
を満たす。すなわち、式(6)(21)(23)(25)の関係から、

を満たす。特に、τ=κ₁・κ₂=1_Fである場合（例えば、κ₁=κ₂=1_Fの場合）、
e(b_i, b_j ^*)=g_T ^δ(i,j) …(27)
を満たす。この場合、基底ベクトルb_iと基底ベクトルb_i ^*とは、双対ペアリングベクトル空間（ベクトル空間Vとベクトル空間V^*）の双対正規直交基底である。
なお、式(26)の関係を満たすのであれば、式(9)(10)で例示したもの以外の基底ベクトルa_i及びa_i ^*や、式(22)(24)で例示したもの以外の基底ベクトルb_i及びb_i ^*を用いてもよい。

B：Bは基底ベクトルb_i(i=1,...,n+1)を要素とするn+1行n+1列の行列を表す。B=X・Aを満たす。例えば、基底ベクトルb_iが式(23)によって表現される場合、行列Bは、

となる。
B^*：B^*は基底ベクトルb_i ^*(i=1,...,n+1)を要素とするn+1行n+1列の行列を表す。B^*=X^*・A^*を満たす。例えば、基底ベクトルb_i ^*(i=1,...,n+1)が式(25)によって表現される場合、行列B^*は、

となる。
w^→：w^→は有限体F_qの元を要素とするn次元ベクトルを表す。
w^→=(w_1,...,w_n)∈F_q ⁿ …(30)
w_μ：w_μはn次元ベクトルのμ(μ=1,...,n)番目の要素を表す。
v^→：v^→は有限体F_qの元を要素とするn次元ベクトルを表す。
v^→=(v_1,...,v_n)∈F_q ⁿ …(31)
v_μ：v_μはn次元ベクトルのμ(μ=1,...,n)番目の要素を表す。

衝突困難な関数：「衝突困難な関数」とは、十分大きなセキュリティパラメータkに対して以下の条件を満たす関数h、又は、それとみなせる関数を表す。
Pr[A(h)=(x,y)|h(x)=h(y)∧x≠y]<ε(k) …(32)
ただし、Pr[・]は事象[・]の確率であり、A(h)は関数hに対してh(x)=h(y)を満たす値x,y（x≠y）を算出する確率的多項式時間アルゴリズムであり、ε(k)はセキュリティパラメータkについての多項式である。衝突困難な関数の例は、参考文献１に開示された「cryptographic hash function」などのハッシュ関数である。

単射関数：「単射関数」とは、値域に属する元が何れもその定義域のただ一つの元の像として表される関数、又は、それとみなせる関数を表す。

擬似的なランダム関数：「擬似的なランダム関数」とは、任意の確率的多項式時間アルゴリズムが集合Φ_ζとその部分集合φ_ζとを区別できない場合における、当該部分集合φ_ζに属する関数、又は、それとみなせる関数を表す。ただし、集合Φ_ζは集合{0,1}^ζの元を集合{0,1}^ζの元へ写すすべての関数の集合である。擬似的なランダム関数の例は、上述のようなハッシュ関数である。

H₁：H₁は２つのバイナリ系列（ω₁,ω₂）∈{0,1}^k×{0,1}^*を入力とし、有限体F_qの２つの元（ψ₁,ψ₂）∈F_q×F_qを出力する衝突困難な関数を表す。
H₁：{0,1}^k×{0,1}^*→F_q×F_q …(33)

このような関数H₁の例は、ω₁とω₂とのビット連結値ω₁||ω₂を入力とし、参考文献１に開示された「cryptographic hash function」などのハッシュ関数と、「バイナリ系列から整数への変換関数（Octet string/integer conversion）」と、「バイナリ系列から有限体の元への変換関数（Octet string and integer/finite field conversion）」との演算を行い、有限体F_qの２つの元（ψ₁,ψ₂）∈F_q×F_qを出力する関数である。なお、関数H₁は、擬似的なランダム関数であることが望ましい。

H₂：H₂は巡回群G_Tの元とバイナリ系列（ξ,ω₂）∈G_T×{0,1}^*を入力とし、有限体F_qの１つの元ψ∈F_qを出力する衝突困難な関数を表す。
H₂：G_T×{0,1}^*→F_q …(34)

このような関数H₂の例は、巡回群G_Tの元ξ∈G_Tとバイナリ系列ω₂∈{0,1}^*とを入力とし、巡回群G_Tの元ξ∈G_Tを参考文献１に開示された「有限体の元からバイナリ系列への変換関数（Octet string and integer/finite field conversion）」に入力してバイナリ系列を求め、そのバイナリ系列とバイナリ系列ω₂∈{0,1}^*とのビット連結値に対して参考文献１に開示された「cryptographic hash function」などのハッシュ関数演算を行い、さらに「バイナリ系列から有限体の元への変換関数（Octet string and integer/finite field conversion）」の演算を行い、有限体F_qの１つの元ψ∈F_qを出力する関数である。なお、安全性の観点から、関数H₂は擬似的なランダム関数であることがより望ましい。

R:Rは１つの巡回群G_Tの元ξ∈G_Tを入力とし、１つのバイナリ系列ω∈{0,1}^kを出力する単射関数を表す。
R：G_T→{0,1}^k …(35)

このような単射関数Rの例は、巡回群G_Tの元ξ∈G_Tを入力とし、参考文献１に開示された「有限体の元からバイナリ系列への変換関数（Octet string and integer/finite field conversion）」と、参考文献１に開示された「KDF(Key Derivation Function)」などのハッシュ関数との演算を行い、１つのバイナリ系列ω∈{0,1}^kを出力する関数である。なお、安全性の観点から、関数Rは衝突困難な関数であることが望ましく、擬似的なランダム関数であることがより望ましい。

Enc：Encは共通鍵暗号方式の暗号化処理を示す共通鍵暗号関数を表す。共通鍵暗号方式の具体例は、カメリア（Camellia）やAESなどである。
Enc_k(M)：Enc_k(M)は、共通鍵Kを用い、共通鍵暗号関数Encに従って平文Mを暗号化して得られた暗号文を表す。
Dec：Decは、共通鍵暗号方式の復号処理を示す共通鍵復号関数を表す。
Dec_k(C)：Dec_k(C)は、共通鍵Kを用い、共通鍵復号関数Decに従って暗号文Cを復号して得られた復号結果を表す。

〔内積述語暗号〕
次に、内積述語暗号の基本的な構成について説明する。
＜述語暗号＞
述語暗号（「関数暗号」と呼ぶ場合もある）とは、「属性情報」と呼ばれる情報と「述語情報」と呼ばれる情報との組み合わせが所定の論理式を「真」にする場合に暗号文が復号できる方式である。「属性情報」と「述語情報」の一方が暗号文に埋め込まれ、他方が鍵情報に埋め込まれる。従来の述語暗号の構成は、例えば、参考文献９「"Predicate Encryption Supporting Disjunctions, Polynomial Equations, and Inner Products," with Amit Sahai and Brent Waters One of 4 papers from Eurocrypt 2008 invited to the Journal of Cryptology」等に開示されている。

＜内積述語暗号＞
内積述語暗号は、属性情報や述語情報としてベクトルを用い、それらの内積が０となる場合に暗号文が復号される述語暗号である。内積述語暗号では、内積が０となることと論理式が「真」となることとが等価である。

［論理式と多項式との関係］
内積述語暗号では、論理和や論理積からなる論理式を多項式で表現する。
まず、「xがη₁である」という命題１と「xがη₂である」という命題２との論理和 (x=η₁)∨(x=η₂)を
(x-η₁)・(x-η₂) …(36)
という多項式で表現する。すると、各真理値と式(36)の関数値との関係は以下のようになる。

[表1]から分かるように、論理和(x=η₁)∨(x=η₂)が真である場合、式(36)の関数値は0になり、論理和(x=η₁)∨(x=η₂)が偽である場合、式(36)の関数値は0以外の値となる。すなわち、論理和(x=η₁)∨(x=η₂)が真であることと、式(36)の関数値が0となることとは等価である。よって、論理和は式(36)で表現できる。

また、「xがη₁である」という命題１と「xがη₂である」という命題２との論理積 (x=η₁)∧(x=η₂)を
ι₁・(x-η₁)+ι₂・(x-η₂) …(37)
という多項式で表現する。ただし、ι₁及びι₂は乱数である。すると、真理値と式(37)の関数値とは以下の関係となる。

[表２]から分かるように、論理積 (x=η₁)∧(x=η₂)が真である場合、式(37)の関数値は0になり、論理積 (x=η₁)∧(x=η₂)が偽である場合、式(37)の関数値は0以外の値となる。すなわち、論理積 (x=η₁)∧(x=η₂)が真であることと、式(37)の関数値が0となることとは等価である。よって、論理積は式(37)で表現できる。

以上のように、式(36)と式(37)とを用いることで論理和や論理積からなる論理式を多項式f(x)で表現できる。例えば、論理式{(x=η₁)∨(x=η₂)∨(x=η₃)}∧(x=η₄)∧(x=η₅)は、多項式
f(x)=ι₁・{(x-η₁)・(x-η₂)・(x-η₃)}+ι₂・(x-η₄)+ι₃・(x-η₅) …(38)
で表現できる。

なお、式(36）では、１つの不定元xを用いて論理和を表現したが、複数の不定元を用いて論理和を表現することも可能である。例えば、２つの不定元x₀及びx₁を用い、「x₀がη₀である」という命題１と「x₁がη₁である」という命題２との論理和 (x₀=η₀)∨(x₁=η₁)を
(x₀-η₀)・(x₁-η₁)
という多項式で表現することも可能であり、３つ以上の不定元を用い、論理和を多項式で表現することも可能である。

また、式(37）では、１つの不定元xを用いて論理積を表現したが、複数の不定元を用いて論理積を表現することも可能である。例えば、また、「x₀がη₀である」という命題１と「x₁がη₁である」という命題２との論理積 (x₀=η₀)∧(x₁=η₁)を
ι₀・(x₀-η₀)+ι₁・(x₁-η₁)
という多項式で表現することも可能であり、３つ以上の不定元を用い、論理積を多項式で表現することも可能である。

論理和及び／又は論理積を含む論理式をH(H≧1)種類の不定元x₀,...,x_H-1を用いて表現した多項式をf(x₀,...,x_H-1)と表現する。また、各不定元x₀,...,x_H-1に対応する命題を「x_hがη_hである」とする。ただし、η_h（h=0,...H-1）は命題ごとに定まる定数である。この場合、当該論理式を示す多項式f(x₀,...,x_H-1)は、不定元x_hと定数η_hとの差をとる多項式によって当該不定元x_hが当該定数η_hであるという命題を表現し、命題をそれぞれ表現する多項式の積によって当該命題の論理和を表現し、命題又は命題の論理和をそれぞれ表現する多項式の線形和によって当該命題又は命題の論理和の論理積を表現し、それによって論理式を表現した多項式となる。例えば、５つの不定元x₀,...,x₄を用い、論理式{(x₀=η₀)∨(x₁=η₁)∨(x₂=η₂)}∧(x₃=η₃)∧(x₄=η₄)を多項式で表現すると、
f(x₀,...,x₄)
=ι₀・{(x₀-η₀)・(x₁-η₁)・(x₂-η₂)}+ι₁・(x₃ -η₃)+ι₂・(x₄ -η₄)
となる。

［多項式と内積の関係］
論理式を示す多項式f(x₀,...,x_H-1)は、２つのn次元ベクトルの内積で表現できる。すなわち、多項式f(x₀,...,x_H-1)は、当該多項式f(x₀,...,x_H-1)の各項の不定元成分を各要素とするベクトル
v^→=(v_1,...,v_n)
と、当該多項式f(x₀,...,x_H-1)の各項の係数成分を各要素とするベクトル
w^→=(w_1,...,w_n)
との内積
f(x₀,...,x_H-1)=w^→・v^→
に等しい。すなわち、論理式を示す多項式f(x₀,...,x_H-1)が0であるか否かと、多項式f(x₀,...,x_H-1)の各項の不定元成分を各要素とするベクトルv^→と、多項式f(x₀,...,x_H-1)の各項の係数成分を各要素とするベクトルw^→との内積が0であるか否かとは等価である。

f(x₀,...,x_H-1)=0 ←→ w^→・v^→=0
例えば、１つの不定元xで表現された多項式f(x)=θ₀・x⁰+θ₁・x+...+θ_n-1・x^n-1は、２つのn次元ベクトル
w^→=(w_1,...,w_n)=(θ_0,...,θ_n-1) …(39)
v^→=(v_1,...,v_n)=(x⁰ _,...,x^n-1) …(40)
の内積
f(x)= w^→・v^→ …(41)
で表現できる。すなわち、論理式を示す多項式f(x)が0であるか否かと、式(41)の内積が0であるか否かとは等価である。

f(x)=0 ←→ w^→・v^→=0 …(42)
また、多項式f(x₀,...,x_H-1)の各項の不定元成分を各要素とするベクトルを
w^→=(w_1,...,w_n)
とし、多項式f(x₀,...,x_H-1)の各項の係数成分を各要素とするベクトル
v^→=(v_1,...,v_n)
としても、論理式を示す多項式f(x₀,...,x_H-1)が0であるか否かと、ベクトルw^→とベクトルv^→との内積が0であるか否かとは等価である。

例えば、式(39)(40)の代わりに
w^→=(w_1,...,w_n)=(x⁰ _,...,x ^n-1 ) …(43)
v^→=(v_1,...,v_n)=(θ _0,...,θ_n-1) …(44)
としても、論理式を示す多項式f(x)が0であるか否かと、式(41)の内積が0であるか否かとは等価である。

内積述語暗号では、ベクトルv^→=(v_0,...,v_n-1)及びw^→=(w_0,...,w_n-1)の何れか一方を属性情報とし、他方を述語情報とし、属性情報と述語情報の一方が暗号文に埋め込まれ、他方が鍵情報に埋め込まれる。例えば、n次元ベクトル(θ_0,...,θ_n-1)が述語情報とされ、n次元ベクトル(x⁰ _,...,x^n-1)が属性情報とされ、属性情報と述語情報の一方が暗号文に埋め込まれ、他方が鍵情報に埋め込まれる。なお、以下では、鍵情報に埋め込まれるn次元ベクトルをw^→=(w_1,...,w_n)とし、暗号文に埋め込まれるn次元ベクトルをv^→=(v_1,...,v_n)とする。例えば、
述語情報：w^→=(w_1,...,w_n)=(θ_0,...,θ_n-1)
属性情報：v^→=(v_1,...,v_n)=(x⁰ _,...,x^n-1)
であるか、
述語情報：v^→=(v_1,...,v_n)=(θ_0,...,θ_n-1)
属性情報：w^→=(w_1,...,w_n)=(x⁰ _,...,x^n-1)
である。

［内積述語暗号の基本構成］
以下では、内積述語暗号を用いて鍵カプセル化メカニズムKEM (Key Encapsulation Mechanisms)を構成する場合の基本構成を例示する。この構成はSetup(1^k)，GenKey(MSK,w^→)，Enc(PA,v^→)，Dec(SKw,C₂)を含む。

《Setup(1^k)：セットアップ》
−入力：セキュリティパラメータk
−出力：マスター鍵情報MSK，公開パラメータPK
Setup(1^k)の一例では、まず、セキュリティパラメータkをnとして、n+1次元の基底ベクトルa_i(i=1,...,n+1)を要素とするn+1行n+1列の行列Aと、基底ベクトルa_i ^*(i=1,...,n+1)を要素とするn+1行n+1列の行列A^*と、座標変換のためのn+1行n+1列の行列X，X^*とが選択される。次に、式(22)に従って座標変換されたn+1次元の基底ベクトルb_i(i=1,...,n+1)が算出され、式(24)に従って座標変換されたn+1次元の基底ベクトルb_i ^*(i=1,...,n+1)が算出される。そして、基底ベクトルb_i ^*(i=1,...,n+1)を要素とするn+1行n+1列の行列B^*がマスター鍵情報MSKとして出力され、ベクトル空間V, V^*、基底ベクトルb_i(i=1,...,n+1)を要素とするn+1行n+1列の行列B、セキュリティパラメータk、有限体F_q、楕円曲線E、巡回群G₁, G₂,G_T、生成元g₁, g₂, g_T、双線形関数eなどが公開パラメータPKとして出力される。

《GenKey(MSK,w^→)：鍵情報生成》
−入力：マスター鍵情報MSK，ベクトルw^→
−出力：ベクトルw^→に対応する鍵情報D^*
GenKey(MSK,w^→)の一例では、まず、有限体F_qから元α∈F_qが選択される。そして、マスター鍵情報MSKである行列B^*を用い、ベクトルw^→に対応する鍵情報
D^*=α・(Σ_μ=1 ⁿw_μ・b_μ ^*)+b_n+1 ^*∈G₂ ⁿ⁺¹ …(45)
が生成され、出力される。なお、巡回群G₂上での離散対数問題の求解が困難である場合、鍵情報D^*からw_μ・b_μ ^*やb_n+1 ^*の成分を分離抽出することは困難である。

《Enc(PA,v^→)：暗号化》
−入力：公開パラメータPK，ベクトルv^→
−出力：暗号文C₂，共通鍵K
Enc(PA,v^→)の一例では、まず、共通鍵Kと有限体F_qの元である乱数υ₁とが生成される。そして、行列Bなどの公開パラメータPKと、共通鍵Kを含む値に対応する有限体F_qの元υ₂と、ベクトルv^→と、乱数υ₁とを用い、暗号文
C₂=υ₁・(Σ_μ=1 ⁿv_μ・b_μ)+υ₂・b_n+1∈G₁ ⁿ⁺¹ …(46)
が生成される。そして、暗号文C₂と共通鍵Kとが出力される。共通鍵Kの一例はK=g_T ^τ・υ2∈G_Tである。ここで、添え字のυ2はυ₂を意味する。また、前述のようにτの一例はτ=1_Fである。なお、巡回群G₁上での離散対数問題の求解が困難である場合、暗号文C₂からv_μ・b_μやυ₂・b_n+1の成分を分離抽出することは困難である。

《Dec(SKw,C₂)：復号・鍵共有》
−入力：ベクトルw^→に対応する鍵情報D₁ ^*，暗号文C₂
−出力：共通鍵K
Dec(SKw,C₂)の一例では、まず、暗号文C₂と鍵情報D₁ ^*とが式(2)の双線形関数eに入力される。すると、式(3)(26)の性質から、

を満たす。
ここで、内積w^→・v^→=0であれば、式(47)は、

と変形できる。この結果から共通鍵Kが生成され出力される。共通鍵Kの一例はK=g_T ^τ・υ2∈G_Tである。

［第一実施形態］
第一実施形態の情報生成装置及び方法は、前述した述語暗号を用いて階層型暗号を実現したものである。具体的には、前述した述語暗号で登場する基底ｂ^＊を用いて、木構造以外の一般の半順序構造で表される情報導出を実現するものである。
図１に、第一実施形態の情報生成装置の機能ブロック図を例示する。

各情報には、インデックスｖが付けられている。インデックスｖは、ｖ＝（ｖ_１，…，ｖ_Ｎ−１）∈Ｉ＝（Ｆ_ｑ∪｛＊｝）^Ｎ−１であり、インデックスｖには対応する集合ｗ（ｖ）＝｛ｉ｜ｖ_ｉ＝＊｝が定義されている。＊は不定文字である。以下に登場するインデックスｕ，インデックスＹ等のインデックスはインデックスｖと同様の構造を持ち、インデックスｕ＝（ｕ_１，…，ｕ_Ｎ−１）∈Ｉ＝（Ｆ_ｑ∪｛＊｝）^Ｎ−１、インデックスＹ＝（Ｙ_１，…，Ｙ_Ｎ−１）∈Ｉ＝（Ｆ_ｑ∪｛＊｝）^Ｎ−１であるとする。インデックスｕ∈Ｉとインデックスｖ∈Ｉに対して、ｗ（ｕ）⊂ｗ（ｖ）かつｖ_ｉ＝ｕ_ｉ（ｉ∈｛１，…，Ｎ−１｝＼ｗ（ｖ））であるとき、すなわち、ｗ（ｕ）⊂ｗ（ｖ）かつ任意のｉ∈｛１，…，Ｎ−１｝＼ｗ（ｖ）に対してｖ_ｉ＝ｕ_ｉであるとき、インデックスｕ≦インデックスｖであり、インデックスｖはインデックスｕよりも上位の情報であるとする。ここで、記号「＼」は集合の減算を意味し、例えば集合Ａ＝｛１，２，３｝、集合Ｂ＝｛１｝のとき、Ａ＼Ｂ＝｛２，３｝である。

例えば、インデックスｖ＝｛ｖ_１，ｖ_２，ｖ_３｝＝｛２，＊，＊｝であり、インデックスｕ＝｛ｕ_１，ｕ_２，ｕ_３｝＝｛２，＊，４｝であるとする。このとき、ｗ（ｖ）＝｛２，３｝、ｗ（ｕ）＝｛２｝となり、ｗ（ｕ）⊂ｗ（ｖ）が成立する。また、ｖ_１＝ｕ_１＝２である。したがって、インデックスｕ≦インデックスｖであり、インデックスｖはインデックスｕよりも上位の情報であるといえる。

以下、基底ｂ_ｉ ^＊から生成される情報に対するインデックスをインデックスＹと表記し、導出基の情報に対するインデックスをインデックスｖと表記し、その導出基の情報から導出された情報に対するインデックスをインデックスｕと表記する。

＜情報生成＞
情報生成装置及び方法は、図２のステップＡ１からステップＡ３において、基底ｂ_ｉ ^＊を用いてインデックスＹに対応する情報Ｋ_Ｙを生成する。情報Ｋ_Ｙは、主情報ｋ_Ｙと導出情報ｋ_Ｙｊとを含む。主情報ｋ_Ｙは、述語暗号において例えば復号鍵として使用される。導出情報ｋ_Ｙｊは、インデックスＹに対応する情報Ｋ_Ｙよりも下位の情報を生成するために用いられる。

情報生成装置には、インデックスＹ∈Ｉが入力される。
乱数生成部１は、乱数σ_Ｙ∈Ｚ_ｑ、及び、集合ｗ（Ｙ）の各要素ｊ∈ｗ（Ｙ）に対応する乱数σ_Ｙｊ∈Ｚ_ｑを生成する（ステップＡ１）。生成された乱数σ_Ｙは、主情報生成部２に送られる。生成された乱数σ_Ｙｊは、導出情報生成部３に送られる。例えば、集合ｗ（Ｙ）＝｛２，３｝である場合には、乱数生成部１はσ_Ｙ、σ_Ｙ２及びσ_Ｙ３の３つの乱数を生成する。

主情報生成部２は、上記生成された乱数σ_Ｙを用いて、ｋ_Ｙ＝σ_ＹΣ_{ｉ∈｛１，…，Ｎ−１｝＼ｗ（Ｙ）}Ｙ_ｉｂ_ｉ ^＊＋ｂ_Ｎ ^＊の関係を満たす主情報ｋ_Ｙを計算する（ステップＡ２）。計算された主情報ｋ_Ｙは記憶部４に格納される。

導出情報生成部３は、上記生成された乱数σ_Ｙｊを用いて、ｋ_Ｙｊ＝σ_ＹｊΣ_{ｉ∈｛１，…，Ｎ−１｝＼ｗ（Ｙ）}Ｙ_ｉｂ_ｉ ^＊＋ｂ_ｊ ^＊の関係を満たす導出情報ｋ_Ｙｊを集合ｗ（Ｙ）の各要素ｊ∈ｗ（Ｙ）ごとに計算する（ステップＡ３）。計算された導出情報ｋ_Ｙｊは記憶部４に格納される。

＜情報導出＞
情報生成装置及び方法は、図３のステップＢ１からステップＢ３において、ｕ≦ｖとして、上位のインデックスｖに対応する情報Ｋ_ｖから、下位のインデックスｕに対応する情報Ｋ_ｕを生成する。

インデックスｖに対応する情報Ｋ_ｖは、主情報ｋ_ｖと導出情報ｋ_ｖｊを含む。主情報ｋ_ｖは、述語暗号において例えば復号鍵として使用される。導出情報ｋ_ｖｊは、インデックスｖに対応する情報Ｋ_ｖよりも下位の情報を生成するために用いられる。例えば、インデックスｖ＝Ｙであり、情報Ｋ_ｖ＝情報Ｋ_Ｙである。また、ステップＢ１からステップＢ３の処理により生成された情報Ｋ_ｕを新たな情報Ｋ_ｖとして、インデックスｕに対応する情報Ｋ_ｕよりも下位の情報Ｋ_ｕ’（ｕ’≦ｕ）を生成してもよい。

インデックスｕに対応する情報Ｋ_ｕは、主情報ｋ_ｕと導出情報ｋ_ｕｊを含む。主情報ｋ_ｕは、述語暗号において例えば復号鍵として使用される。導出情報ｋ_ｕｊは、インデックスｕに対応する情報Ｋ_ｕよりも下位の情報を生成するために用いられる。
情報生成装置には、インデックスｖ及びインデックスｕが入力される。
記憶部４には、インデックスｖに対応する情報Ｋ_ｖが格納されているとする。

乱数生成部１は、乱数σ_ｕ∈Ｚ_ｑ及び集合ｗ（ｕ）の各要素ｊ∈ｗ（ｕ）に対応する乱数σ_ｕｊ∈Ｚ_ｑを生成する（ステップＢ１）。生成された乱数σ_ｕは主情報導出部５に送られ、生成された乱数σ_ｕｊは導出情報導出部６に送られる。

主情報導出部５は、記憶部４から読み込んだ主情報ｋ_ｖ、導出情報ｋ_ｖｉ及び上記生成された乱数σ_ｕを用いて、ｋ_ｕ＝σ_ｕΣ_{ｉ∈ｗ（ｖ）＼ｗ（ｕ）}ｕ_ｉｋ_ｖｉ＋ｋ_ｖの関係を満たす、インデックスｕに対応する主情報ｋ_ｕを計算する（ステップＢ２）。計算された主情報ｋ_ｕは、記憶部４に格納される。

導出情報導出部６は、記憶部４から読み込んだ導出情報ｋ_ｖｊ及び上記生成された乱数σ_ｕｊを用いて、ｋ_ｕｊ＝σ_ｕｊΣ_{ｉ∈ｗ（ｖ）＼ｗ（ｕ）}ｕ_ｉｋ_ｖｉ＋ｋ_ｖｊの関係を満たすインデックスｕに対応する導出情報ｋ_ｕｊを集合ｗ（ｕ）の各要素ｊ∈ｗ（ｕ）ごとに計算する（ステップＢ３）。計算された導出情報ｋ_ｕｊは、記憶部４に格納される。

このようにして、インデックスＹに対応する情報Ｋ_Ｙを生成して、この情報Ｋ_Ｙを基にして下位のインデックスに対応する情報を導出することにより、共通の子ノードＣを持つ親ノードＡと親ノードＢに対して、親ノードＡの情報から共通の子ノードＣの情報を導出し、親ノードＢの情報から共通の子ノードＣの情報を導出することができる。

＜具体例１＞
以下、各ノードの情報が述語暗号における鍵であり、インデックスｖ^１の情報から生成したインデックスｖ^３の情報と、インデックスｖ^２の情報から生成したインデックスｖ^３の情報とが、述語暗号における鍵という観点から一致することを説明する。以下に示すインデックスｖ^１、インデックスｖ^２、インデックスｖ^３は一例であり、他のインデックスについても同様のことが言える。

インデックスｖ^１＝｛ｖ_１，ｖ_２，＊，＊｝とし、インデックスｖ^２＝｛＊，＊，ｖ_３，ｖ_４｝とし、インデックスｖ^３＝｛ｖ_１，ｖ_２，ｖ_３，ｖ_４｝とする。定義より、ｖ^１≧ｖ^３、ｖ^２≧ｖ^３であり、親ノードであるインデックスｖ^１及び親ノードであるインデックスｖ^２は、インデックスｖ^３を共通する子ノードとして有する。なお、以下では、ｖ^ｉ（ｉ＝１，２，３）をｖ＾ｉと表記することもある。また、インデックスｖ^ｉのｊ番目の要素をｖ＾ｉｊと表記することもある。

Ｎ＝５として、Ｎ個の基底ｂ_１ ^＊，ｂ_２ ^＊，ｂ_３ ^＊，ｂ_４ ^＊，ｂ_５ ^＊から、インデックスｖ^１に対応する情報Ｋ_ｖ＾１及びインデックスｖ^２に対応する情報Ｋ_ｖ＾２を生成する。σ_ｖ＾１、σ_ｖ＾１３、σ_ｖ＾１４、σ_ｖ＾２、σ_ｖ＾２３、σ_ｖ＾２４、σ_ｖ＾３、σ_ｖ＾３’は乱数生成部１により生成される乱数である。

インデックスｖ^１に対応する情報Ｋ_ｖ＾１（主情報ｋ_ｖ＾１、導出情報ｋ_ｖ＾１３、ｋ_ｖ＾１４）は以下のようになる。
ｋ_ｖ＾１＝σ_ｖ＾１（ｖ_１ｂ_１ ^＊＋ｖ_２ｂ_２ ^＊）＋ｂ_５ ^＊
ｋ_ｖ＾１３＝σ_ｖ＾１３（ｖ_１ｂ_１ ^＊＋ｖ_２ｂ_２ ^＊）＋ｂ_３ ^＊
ｋ_ｖ＾１４＝σ_ｖ＾１４（ｖ_１ｂ_１ ^＊＋ｖ_２ｂ_２ ^＊）＋ｂ_４ ^＊

また、インデックスｖ^２に対応する情報Ｋ_ｖ＾２（主情報ｋ_ｖ＾２、導出情報ｋ_ｖ＾２１、ｋ_ｖ＾２２）は以下のようになる。
ｋ_ｖ＾２＝σ_ｖ＾２（ｖ_３ｂ_３ ^＊＋ｖ_４ｂ_４ ^＊）＋ｂ_５ ^＊
ｋ_ｖ＾２１＝σ_ｖ＾２３（ｖ_３ｂ_３ ^＊＋ｖ_４ｂ_４ ^＊）＋ｂ_１ ^＊
ｋ_ｖ＾２２＝σ_ｖ＾２４（ｖ_３ｂ_３ ^＊＋ｖ_４ｂ_４ ^＊）＋ｂ_２ ^＊

インデックスｖ^１に対応する情報Ｋ_ｖ＾１からインデックスｖ^３に対応する主情報ｋ_ｖ＾３を導出すると以下のようになる。以下の式において、ａ＝（σ_ｖ＾３（ｖ_３σ_ｖ＾１３＋ｖ_４σ_ｖ＾１４）＋σ _ｖ＾１ ）であり、ｂ＝σ_ｖ＾３である。
ｋ_ｖ＾３＝σ_ｖ＾３（ｖ_３ｋ_ｖ＾１３＋ｖ_４ｋ_ｖ＾１４）＋ｋ_ｖ＾１
＝（σ_ｖ＾３（ｖ_３σ_ｖ＾１３＋ｖ_４σ_ｖ＾１４）＋σ_ｖ＾１）（ｖ_１ｂ_１ ^＊＋ｖ_２ｂ_２ ^＊）＋σ_ｖ＾３（ｖ_３ｂ_３ ^＊＋ｖ_４ｂ_４ ^＊）＋ｂ_５ ^＊
＝ａ（ｖ_１ｂ_１ ^＊＋ｖ_２ｂ_２ ^＊）＋ｂ（ｖ_３ｂ_３ ^＊＋ｖ_４ｂ_４ ^＊）＋ｂ_５ ^＊
…（Ａ）

インデックスｖ^２に対応する情報Ｋ_ｖ＾２からインデックスｖ^３に対応する主情報ｋ_ｖ＾３を導出すると以下のようになる。以下の式において、ｃ＝σ_ｖ＾３’であり、ｄ＝（σ_ｖ＾３’（ｖ_１σ_ｖ＾２３＋ｖ_４σ_ｖ＾２４）＋σ_ｖ＾２）である。
ｋ_ｖ＾３＝σ_ｖ＾３’（ｖ_１ｋ_ｖ＾２１＋ｖ_２ｋ_ｖ＾２２）＋ｋ_ｖ＾２
＝（σ_ｖ＾３’（ｖ_１σ_ｖ＾２３＋ｖ_４σ_ｖ＾２４）＋σ_ｖ＾２）（ｖ_３ｂ_３ ^＊＋ｖ_４ｂ_４ ^＊）＋σ_ｖ＾３’（ｖ_１ｂ_１ ^＊＋ｖ_２ｂ_２ ^＊）＋ｂ_５ ^＊
＝ｃ（ｖ_１ｂ_１ ^＊＋ｖ_２ｂ_２ ^＊）＋ｄ（ｖ_３ｂ_３ ^＊＋ｖ_４ｂ_４ ^＊）＋ｂ_５ ^＊
…（Ｂ）

上記（Ａ）式に示した情報Ｋ_ｖ＾１から導出した主情報ｋ_ｖ＾３と、上記（Ｂ）式に示した情報Ｋ _ｖ＾２ から導出した主情報ｋ _ｖ＾３ とを比較すると、値は一致しないが、述語暗号において同値な鍵となる。すなわち、（ｖ_１ｂ_１ ^＊＋ｖ_２ｂ_２ ^＊）をベクトル（ｂ_１ ^＊，ｂ_２ ^＊）とベクトル（ｖ_１，ｖ_２）の内積と見ると、ベクトル（ｂ_１ ^＊，ｂ_２ ^＊）に対するベクトル（ｖ_１，ｖ_２）の方向が（Ａ）式と（Ｂ）式で一致しており、同様に、（ｖ_３ｂ_３ ^＊＋ｖ_４ｂ_４ ^＊）をベクトル（ｂ_３ ^＊，ｂ_４ ^＊）とベクトル（ｖ_３，ｖ_４）の内積と見ると、ベクトル（ｂ_３ ^＊，ｂ_４ ^＊）に対するベクトル（ｖ_３，ｖ_４）の方向が（Ａ）式と（Ｂ）式で一致しており、両鍵は述語暗号において同値な鍵となる。

［第二実施形態］
図４に、第二実施形態の情報生成装置の機能ブロック図を例示する。

Ｇ、Ｇ_Ｔを素数位数ｑの巡回群とし、ｇを巡回群Ｇの生成元とし、巡回群Ｇにはｇ_Ｔ＝ｅ（ｇ，ｇ）が巡回群Ｇ_Ｔの生成元となるようなペアリング関数ｅ：Ｇ×Ｇ→Ｇ_Ｔが存在するとし、ａをＺ_ｐからランダムに選択された乱数とし、ｇとｇ_１＝ｇ^ａ∈Ｇと巡回群Ｇからランダムに選択されたｇ_２，ｇ_３，ｈ_１，…，ｈ_Ｎ−１∈Ｇとが公開鍵として公開されているとする。

＜情報生成＞
情報生成装置及び方法は、図５のステップＣ１からステップＣ４において、公開鍵を用いてインデックスＹに対応する情報Ｋ_Ｙを生成する。情報Ｋ_Ｙは、第一主情報ｋ_Ｙと第二主情報ｇ^ｒＹと導出情報ｋ_Ｙｊとを含む。第一主情報ｋ_Ｙ及び第二主情報ｇ^ｒＹは、例えば復号鍵として使用される。導出情報ｋ_Ｙｉは、インデックスＹに対応する情報Ｋ_Ｙよりも下位の情報を生成するために用いられる。

情報生成装置には、インデックスＹ∈Ｉが入力される。
乱数生成部１は、乱数ｒ_Ｙ∈Ｚ_ｑを生成する（ステップＣ１）。生成された乱数ｒ_Ｙは、第一主情報生成部２１、第二主情報生成部２２及び導出情報生成部３に送られる。

第一主情報生成部２１は、上記生成された乱数ｒ_Ｙを用いて、ｋ_Ｙ＝ｇ_２ ^ａ（ｇ_３Π_{ｉ∈｛１，…，Ｎ−１｝＼ｗ（Ｙ）}ｈ_ｉ ^Ｙｉ）^ｒＹの関係を満たす第一主情報ｋ_Ｙを計算する（ステップＣ２）。計算された第一主情報ｋ_Ｙは記憶部４に格納される。
第二主情報生成部２２は、上記生成された乱数ｒ_Ｙを用いて、第二主情報ｇ^ｒＹを計算する（ステップＣ３）。計算された第二主情報ｋ_Ｙは記憶部４に格納される。

導出情報生成部３は、上記生成された乱数ｒ_Ｙを用いて、ｋ_Ｙｊ＝ｈ_ｊ ^ｒＹの関係を満たす導出情報ｋ_Ｙｊを集合ｗ（Ｙ）の各要素ｊ∈ｗ（Ｙ）ごとに計算する（ステップＣ４）。計算された導出情報ｋ_Ｙｉは、記憶部４に格納される。

＜情報導出＞
情報生成装置及び方法は、図６のステップＤ１からステップＤ４において、ｕ≦ｖとして、上位のインデックスｖに対応する情報Ｋ_ｖから、下位のインデックスｕに対応する情報Ｋ_ｕを生成する。

インデックスｖに対応する情報Ｋ_ｖは、第一主情報ｋ_ｖと第二主情報ｇ^ｒｖと導出情報ｋ_ｖｊとを含む。第一主情報ｋ_ｖ及び第二主情報ｇ^ｒｖは、例えば復号鍵として使用される。導出情報ｋ_ｖｊは、インデックスｖに対応する情報Ｋ_ｖよりも下位の情報を生成するために用いられる。例えば、インデックスｖ＝Ｙであり、情報Ｋ_ｖ＝情報Ｋ_Ｙである。また、ステップＤ１からステップＤ４の処理により生成された情報Ｋ_ｕを新たな情報Ｋ_ｖとして、インデックスｕに対応する情報Ｋ_ｕよりも下位の情報Ｋ_ｕ’（ｕ’≦ｕ）を生成してもよい。

インデックスｕに対応する情報Ｋ_ｕは、第一主情報ｋ_ｕと第二主情報ｇ^ｒｕと導出情報ｋ_ｕｊとを含む。第一主情報ｋ_ｕ及び第二主情報ｇ^ｒｕは、例えば復号鍵として使用される。導出情報ｋ_ｕｊは、インデックスｕに対応する情報Ｋ_ｕよりも下位の情報を生成するために用いられる。

情報生成装置には、インデックスｖ及びインデックスｕが入力される。
記憶部４には、インデックスｖに対応する情報Ｋ_ｖが格納されているとする。
乱数生成部１は、乱数ｒ_ｕを生成する（ステップＤ１）。生成された乱数は、第一主情報導出部５１、第二主情報導出部５２及び導出情報導出部６に送られる。

第一主情報導出部５１は、上記生成された乱数ｒ_ｕ、記憶部４から読み込んだ第一主情報ｋ_ｖ及び導出情報ｋ_ｖｉを用いて、ｋ_ｕ＝ｋ_ｖ（Π_{ｉ∈ｗ（ｖ）＼ｗ（ｕ）}ｋ_ｖｉ ^ｕｉ）（ｇ_３Π_{ｉ∈｛１，…，Ｎ−１｝＼ｗ（ｖ）}ｈ_ｉ ^ｖｉΠ_{ｉ∈ｗ（ｖ）＼ｗ（ｕ）}ｈ_ｉ ^ｕｉ）^ｒｕの関係を満たす、インデックスｕに対応する第一主情報ｋ_ｕを計算する（ステップＤ２）。計算された第一主情報ｋ_ｕは、記憶部４に格納される。

第二主情報導出部５２は、上記生成された乱数ｒ_ｕを用いて、第二主情報ｇ^ｒｕを計算する（ステップＤ３）。計算された第二主情報ｇ^ｒｕは、記憶部４に格納される。

導出情報導出部６は、上記記憶部から読み込んだ導出情報ｋ_ｖｉ及び上記生成された乱数ｒ_ｕを用いて、ｋ_ｕｊ＝ｋ_ｖｊｈ_ｊ ^ｒｕの関係を満たす導出情報ｋ_ｕｊを集合ｗ（ｕ）の各要素ｊ∈ｗ（ｕ）ごとに計算する（ステップＤ４）。計算された導出情報ｋ_ｕｊは、記憶部４に記憶される。

このようにして、インデックスＹに対応する情報Ｋ_Ｙを生成して、この情報Ｋ _Ｙ を基にして下位のインデックスに対応する情報を導出することにより、共通の子ノードＣを持つ親ノードＡと親ノードＢに対して、親ノードＡの情報から共通の子ノードＣの情報を導出し、親ノードＢの情報から共通の子ノードＣの情報を導出することができる。

＜具体例２＞
以下、各ノードの情報が述語暗号における鍵であり、インデックスｖ^１の情報から生成したインデックスｖ^３の情報と、インデックスｖ^２の情報から生成したインデックスｖ^３の情報とが、述語暗号における鍵という観点から一致することを説明する。以下に示すインデックスｖ^１、インデックスｖ^２、インデックスｖ^３は一例であり、他のインデックスについても同様のことが言える。

インデックスｖ^１＝｛ｖ_１，ｖ_２，＊，＊｝とし、インデックスｖ^２＝｛＊，＊，ｖ_３，ｖ_４｝とし、インデックスｖ^３＝｛ｖ_１，ｖ_２，ｖ_３，ｖ_４｝とする。定義より、ｖ^１≧ｖ^３、ｖ^２≧ｖ^３であり、親ノードであるインデックスｖ^１及び親ノードであるインデックスｖ^２は、インデックスｖ^３を共通する子ノードとして有する。なお、以下では、ｖ^ｉ（ｉ＝１，２，３）をｖ＾ｉと表記することもある。また、インデックスｖ^ｉのｊ番目の要素をｖ＾ｉｊと表記することもある。

Ｎ＝５として、ｇ_１＝ｇ^ａ，ｇ_２，ｇ_３，ｈ_１，ｈ_２，ｈ_３，ｈ_４∈Ｇが公開鍵として公開されているとする。これらの公開鍵から、インデックスｖ^１に対応する情報Ｋ_ｖ＾１及びインデックスｖ^２に対応する情報Ｋ_ｖ＾２を生成する。ｒ_ｖ＾１、ｒ_ｖ＾２は乱数生成部１により生成される乱数である。

インデックスｖ^１に対応する情報Ｋ_ｖ＾１（第一主情報ｋ_ｖ＾１、第二主情報ｇ^ｒｖ＾１、導出情報ｋ_ｖ＾１３、ｋ_ｖ＾１４）は以下のようになる。
ｋ_ｖ＾１＝ｇ_２ ^ａ（ｇ_３ｈ_１ ^ｖ１ｈ_２ ^ｖ２）^ｒｖ＾１
ｇ^ｒｖ＾１
ｋ_ｖ＾１３＝ｈ_３ ^ｒｖ＾１
ｋ_ｖ＾１４＝ｈ_４ ^ｒｖ＾１

また、インデックスｖ^２に対応する情報Ｋ_ｖ＾２（第一主情報ｋ_ｖ＾２、第二主導出情報ｇ^ｒｖ＾２、導出情報ｋ_ｖ＾２１、ｋ_ｖ＾２２）は以下のようになる。
ｋ_ｖ＾２＝ｇ_２ ^ａ（ｇ_３ｈ_３ ^ｖ３ｈ_４ ^ｖ４）^ｒｖ＾２
ｇ^ｒｖ＾２
ｋ_ｖ＾２１＝ｈ_１ ^ｒｖ＾２
ｋ_ｖ＾２２＝ｈ_２ ^ｒｖ＾２

インデックスｖ^１に対応する情報Ｋ_ｖ＾１からインデックスｖ^３に対応する第一主情報ｋ_ｖ＾３を導出すると以下のようになる。なお、ｒ_ｖ＾３は乱数生成部１により生成される乱数であり、ｒ＝ｒ_ｖ＾１＋ｒ_ｖ＾３である。
ｋ_ｖ＾３＝ｋ_ｖ＾１(ｋ_ｖ＾１３ ^ｖ３ｋ_ｖ＾１４ ^ｖ４)(ｇ_３ｈ_１ ^ｖ１ｈ_２ ^ｖ２ｈ_３ ^ｖ３ｈ_４ ^ｖ４)^ｒｖ＾３
＝ｇ_２ ^ａ（ｇ_３ｈ_１ ^ｖ１ｈ_２ ^ｖ２ｈ_３ ^ｖ３ｈ_４ ^ｖ４）^ｒ …（Ｃ）
インデックスｖ^２に対応する情報Ｋ_ｖ＾２からインデックスｖ^３に対応する主情報ｋ_ｖ＾３を導出すると以下のようになる。なお、ｒ_ｖ＾３’は乱数であり、ｒ’＝ｒ_ｖ＾２＋ｒ_ｖ＾３’である。
ｋ_ｖ＾３＝ｋ_ｖ＾２(ｋ_ｖ＾２１ ^ｖ１ｋ_ｖ＾２２ ^ｖ２)(ｇ_３ｈ_１ ^ｖ１ｈ_２ ^ｖ２ｈ_３ ^ｖ３ｈ_４ ^ｖ４)^{ｒｖ＾３’}
＝ｇ_２ ^ａ（ｇ_３ｈ_１ ^ｖ１ｈ_２ ^ｖ２ｈ_３ ^ｖ３ｈ_４ ^ｖ４）^ｒ’ …（Ｄ）

上記（Ｃ）式に示した情報Ｋ_ｖ＾１から導出した第一主情報ｋ_ｖ＾３及び第二主情報ｇ^ｒｖ＾３と、上記（Ｄ）式に示した情報Ｋ_ｖ＾２から導出した第一主情報ｋ_ｖ＾３及び第二主情報ｇ^{ｒｖ＾３’}とを比較すると、これらの値は一致しないが、公開鍵ｇ_３，ｈ_１，ｈ_２，ｈ_３，ｈ_４の指数の比が一致しており、述語暗号において同値な鍵となる。

［変形例等］
上記の実施形態では、情報生成装置は、主情報生成部２、導出情報生成部３、主情報導出部５及び導出情報導出部６の全てを有していたが、これらの少なくとも１つの部を有していればよい。例えば、主情報生成部２及び導出情報生成部３のみを有していてもよい。また、主情報導出部５及び導出情報導出部６のみを有しており、既に生成され記憶部４に格納された情報Ｋ_ｖを用いて、情報Ｋ_ｕを生成してもよい。

また、上述の有限体F_q上で定義された各演算を位数qの有限環Z_q上で定義された演算に置き換えてもよい。有限体F_q上で定義された各演算を有限環Z_q上で定義された演算に置き換える方法の一例は、素数やそのべき乗値以外のqを許容する方法である。

情報生成装置は、コンピュータによって実現することができる。この場合、これらの装置がそれぞれ有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、これらの装置における各処理機能が、コンピュータ上で実現される。

この処理内容を記述した情報生成プログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、これらの装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

この発明は、上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。

Claims (14)

1. ｅが巡回群Ｇ_１のＮ個の元γ_Ｌ（Ｌ＝１，…，Ｎ）（Ｎ≧２）と巡回群Ｇ_２のＮ個の元γ_Ｌ ^＊（Ｌ＝１，…，Ｎ）との入力に対して巡回群Ｇ_Ｔの１個の元を出力する非退化な双線形関数であり、ｂ_ｉ∈Ｇ_１ ^Ｎ（ｉ＝１，…，Ｎ）のそれぞれが、上記巡回群Ｇ_１のＮ個の元を要素とするＮ次元の基底ベクトルであり、ｂ_ｊ ^＊∈Ｇ_２ ^Ｎ（ｊ＝１，…，Ｎ）のそれぞれが、上記巡回群Ｇ_２のＮ個の元を要素とするＮ次元の基底ベクトルであり、上記基底ベクトルｂ_ｉ∈Ｇ_１ ^Ｎ（ｉ＝１，…，Ｎ）の各要素と上記基底ベクトルｂ_ｊ ^＊∈Ｇ_２ ^Ｎ（ｊ＝１，…，Ｎ）の各要素とを上記双線形関数ｅに入力して得られる関数値が、ｉ＝ｊの場合にδ（ｉ，ｊ）＝１_Ｆとなってｉ≠ｊの場合にδ（ｉ，ｊ）＝０_Ｆとなるクロネッカーのデルタ関数δ（ｉ，ｊ）を用いてｇ_Ｔ ^{τ・δ（ｉ，ｊ）}∈Ｇ_Ｔと表現され、０_Ｆが有限体Ｆ_ｑの加法単位元であり、１_Ｆが有限体Ｆ_ｑの乗法単位元であり、τが０_Ｆを除く有限体Ｆ_ｑの元であり、ｇ_Ｔが上記巡回群Ｇ_Ｔの生成元であり、
   ＊を不定文字とし、インデックスＹをＹ＝（Ｙ_１，…，Ｙ_Ｎ−１）∈Ｉ＝（Ｆ_ｑ∪｛＊｝）^Ｎ−１とし、インデックスＹに対応する集合ｗ（Ｙ）をｗ（Ｙ）＝｛ｉ｜Ｙ_ｉ＝＊｝として、
   乱数σ_Ｙ∈Ｚ_ｑ、及び、集合ｗ（Ｙ）の各要素ｊ∈ｗ（Ｙ）に対応する乱数σ_Ｙｊ∈Ｚ_ｑを生成する乱数生成部と、
   上記生成された乱数σ_Ｙを用いて、ｋ_Ｙ＝σ_ＹΣ_{ｉ∈｛１，…，Ｎ−１｝＼ｗ（Ｙ）}Ｙ_ｉｂ_ｉ ^＊＋ｂ_Ｎ ^＊の関係を満たす主情報ｋ_Ｙを計算する主情報生成部と、
   上記生成された乱数σ_Ｙｊを用いて、ｋ_Ｙｊ＝σ_ＹｊΣ_{ｉ∈｛１，…，Ｎ−１｝＼ｗ（Ｙ）}Ｙ_ｉｂ_ｉ ^＊＋ｂ_ｊ ^＊の関係を満たす導出情報ｋ_Ｙｊを集合ｗ（Ｙ）の各要素ｊ∈ｗ（Ｙ）ごとに計算する導出情報生成部と、
   を含むことを特徴とする情報生成装置。
2. 請求項１に記載の情報生成装置において、
   ＊を不定文字とし、インデックスｖをｖ＝（ｖ_１，…，ｖ_Ｎ−１）∈Ｉ＝（Ｆ_ｑ∪｛＊｝）^Ｎ−１とし、インデックスｖに対応する集合ｗ（ｖ）をｗ（ｖ）＝｛ｉ｜ｖ_ｉ＝＊｝とし、インデックスｕをｕ＝（ｕ_１，…，ｕ_Ｎ−１）∈Ｉ＝（Ｆ_ｑ∪｛＊｝）^Ｎ−１とし、インデックスｕに対応する集合ｗ（ｕ）をｗ（ｕ）＝｛ｉ｜ｕ_ｉ＝＊｝とし、集合ｗ（ｕ）⊂集合ｗ（ｖ）とし、ｖ_ｉ＝ｕ_ｉ（ｉ∈｛１，…，Ｎ−１｝＼ｗ（ｖ））として、
   インデックスｖに対応する主情報ｋ_ｖ及びインデックスｖに対応する導出情報ｋ_ｖｊを記憶する記憶部と、
   上記乱数生成部は、更に乱数σ_ｕ∈Ｚ_ｑを生成し、
   上記記憶部から読み込んだ主情報ｋ_ｖ、導出情報ｋ_ｖｉ及び上記生成された乱数σ_ｕを用いて、ｋ_ｕ＝σ_ｕΣ_{ｉ∈ｗ（ｖ）＼ｗ（ｕ）}ｕ_ｉｋ_ｖｉ＋ｋ_ｖの関係を満たす、インデックスｕに対応する主情報ｋ_ｕを計算する主情報導出部と、
   を含む情報生成装置。
3. 請求項２に記載の情報生成装置において、
   上記乱数生成部は、更に集合ｗ（ｕ）の各要素ｊ∈ｗ（ｕ）に対応する乱数σ_ｕｊ∈Ｚ_ｑを生成し、
   上記記憶部から読み込んだ導出情報ｋ_ｖｊ及び上記生成された乱数σ _ｕｊ を用いて、ｋ_ｕｊ＝σ_ｕｊΣ_{ｉ∈ｗ（ｖ）＼ｗ（ｕ）}ｕ_ｉｋ_ｖｉ＋ｋ_ｖｊの関係を満たすインデックスｕに対応する導出情報ｋ_ｕｊを集合ｗ（ｕ）の各要素ｊ∈ｗ（ｕ）ごとに計算する導出情報導出部を更に含む、
   ことを特徴とする情報生成装置。
4. ｅが巡回群Ｇ_１のＮ個の元γ_Ｌ（Ｌ＝１，…，Ｎ）（Ｎ≧２）と巡回群Ｇ_２のＮ個の元γ_Ｌ ^＊（Ｌ＝１，…，Ｎ）との入力に対して巡回群Ｇ_Ｔの１個の元を出力する非退化な双線形関数であり、ｂ_ｉ∈Ｇ_１ ^Ｎ（ｉ＝１，…，Ｎ）のそれぞれが、上記巡回群Ｇ_１のＮ個の元を要素とするＮ次元の基底ベクトルであり、ｂ_ｊ ^＊∈Ｇ_２ ^Ｎ（ｊ＝１，…，Ｎ）のそれぞれが、上記巡回群Ｇ_２のＮ個の元を要素とするＮ次元の基底ベクトルであり、上記基底ベクトルｂ_ｉ∈Ｇ_１ ^Ｎ（ｉ＝１，…，Ｎ）の各要素と上記基底ベクトルｂ_ｊ ^＊∈Ｇ_２ ^Ｎ（ｊ＝１，…，Ｎ）の各要素とを上記双線形関数ｅに入力して得られる関数値が、ｉ＝ｊの場合にδ（ｉ，ｊ）＝１_Ｆとなってｉ≠ｊの場合にδ（ｉ，ｊ）＝０_Ｆとなるクロネッカーのデルタ関数δ（ｉ，ｊ）を用いてｇ_Ｔ ^{τ・δ（ｉ，ｊ）}∈Ｇ_Ｔと表現され、０_Ｆが有限体Ｆ_ｑの加法単位元であり、１_Ｆが有限体Ｆ_ｑの乗法単位元であり、τが０_Ｆを除く有限体Ｆ_ｑの元であり、ｇ_Ｔが上記巡回群Ｇ_Ｔの生成元であり、
   ＊を不定文字とし、インデックスＹをＹ＝（Ｙ_１，…，Ｙ_Ｎ−１）∈Ｉ＝（Ｆ_ｑ∪｛＊｝）^Ｎ−１とし、インデックスＹに対応する集合ｗ（Ｙ）をｗ（Ｙ）＝｛ｉ｜Ｙ_ｉ＝＊｝とし、σ_Ｙ∈Ｚ_ｑを乱数とし、σ_Ｙｉを集合ｗ（Ｙ）の各要素ｊ∈ｗ（Ｙ）に対応する乱数とし、インデックスＹに対応する主情報ｋ_Ｙはｋ_Ｙ＝σ_ＹΣ_{ｉ∈｛１，…，Ｎ−１｝＼ｗ（Ｙ）}Ｙ_ｉｂ_ｉ ^＊＋ｂ_Ｎ ^＊の関係を満たし、インデックスＹに対応する導出情報ｋ _Ｙｊ はｋ_Ｙｊ＝σ_ＹｊΣ_{ｉ∈｛１，…，Ｎ−１｝＼ｗ（Ｙ）}Ｙ_ｉｂ_ｉ ^＊＋ｂ_ｊ ^＊の関係を満たし、
   ＊を不定文字とし、インデックスｖをｖ＝（ｖ_１，…，ｖ_Ｎ−１）∈Ｉ＝（Ｆ_ｑ∪｛＊｝）^Ｎ−１とし、インデックスｕをｕ＝（ｕ_１，…，ｕ_Ｎ−１）∈Ｉ＝（Ｆ_ｑ∪｛＊｝）^Ｎ−１とし、インデックスｖに対応する集合ｗ（ｖ）をｗ（ｖ）＝｛ｉ｜ｖ_ｉ＝＊｝とし、インデックスｕに対応する集合ｗ（ｕ）をｗ（ｕ）＝｛ｉ｜ｕ_ｉ＝＊｝とし、集合ｗ（ｕ）⊂集合ｗ（ｖ）とし、ｖ_ｉ＝ｕ_ｉ（ｉ∈｛１，…，Ｎ−１｝＼ｗ（ｖ））として、
   上記主情報ｋ_Ｙである又は上記主情報ｋ_Ｙ及び上記導出情報ｋ _Ｙｊ から導出されたインデックスｖに対応する主情報ｋ_ｖ、及び、上記導出情報ｋ _Ｙｊ である又は上記導出情報ｋ _Ｙｊ から導出されたインデックスｖに対応する導出情報ｋ_ｖｊを記憶する記憶部と、
   乱数σ_ｕ∈Ｚ_ｑを生成する乱数生成部と、
   上記記憶部から読み込んだ主情報ｋ_ｖ、導出情報ｋ_ｖｉ及び上記生成された乱数σ_ｕを用いて、ｋ_ｕ＝σ_ｕΣ_{ｉ∈ｗ（ｖ）＼ｗ（ｕ）}ｕ_ｉｋ_ｖｉ＋ｋ_ｖの関係を満たす、インデックスｕに対応する主情報ｋ_ｕを計算する主情報導出部と、
   を含む情報生成装置。
5. 請求項４に記載の情報生成装置において、
   上記乱数生成部は、さらに集合ｗ（ｕ）の各要素ｊ∈ｗ（ｕ）に対応する乱数σ_ｕｊ∈Ｚ_ｑを生成し、
   上記記憶部から読み込んだ導出情報ｋ_ｖｊ及び上記生成された乱数σ _ｕｊ を用いて、ｋ_ｕｊ＝σ_ｕｊΣ_{ｉ∈ｗ（ｖ）＼ｗ（ｕ）}ｕ_ｉｋ_ｖｉ＋ｋ_ｖｊの関係を満たす導出情報ｋ_ｕｊを集合ｗ（ｕ）の各要素ｊ∈ｗ（ｕ）ごとに計算する導出情報導出部を更に含む、
   ことを特徴とする情報生成装置。
6. Ｇ、Ｇ_Ｔを素数位数ｑの巡回群とし、ｇを巡回群Ｇの生成元とし、巡回群Ｇにはｇ_Ｔ＝ｅ（ｇ，ｇ）が巡回群Ｇ_Ｔの生成元となるようなペアリング関数ｅ：Ｇ×Ｇ→Ｇ_Ｔが存在するとし、ａをＺ_ｐからランダムに選択された乱数とし、ｇとｇ_１＝ｇ^ａ∈Ｇと巡回群Ｇからランダムに選択されたｇ_２，ｇ_３，ｈ_１，…，ｈ_Ｎ−１∈Ｇとが公開鍵として公開されており、
   ＊を不定文字とし、インデックスＹをＹ＝（Ｙ_１，…，Ｙ_Ｎ−１）∈Ｉ＝（Ｆ_ｑ∪｛＊｝）^Ｎ−１とし、インデックスＹに対応する集合ｗ（Ｙ）をｗ（Ｙ）＝｛ｉ｜Ｙ_ｉ＝＊｝として、
   乱数ｒ_Ｙ∈Ｚ_ｑを生成する乱数生成部と、
   上記生成された乱数ｒ_Ｙを用いて、ｋ_Ｙ＝ｇ_２ ^ａ（ｇ_３Π_{ｉ∈｛１，…，Ｎ−１｝＼ｗ（Ｙ）}ｈ_ｉ ^Ｙｉ）^ｒＹの関係を満たす第一主情報ｋ_Ｙを計算する第一主情報生成部と、
   上記生成された乱数ｒ_Ｙを用いて、第二主情報ｇ^ｒＹを計算する第二主情報生成部と、
   上記生成された乱数ｒ_Ｙを用いて、ｋ_Ｙｊ＝ｈ_ｊ ^ｒＹの関係を満たす導出情報ｋ_Ｙｊを集合ｗ（Ｙ）の各要素ｊ∈ｗ（Ｙ）ごとに計算する導出情報生成部と、
   を含むことを特徴とする情報生成装置。
7. 請求項６に記載の情報生成装置において、
   上記乱数生成部は、更に乱数ｒ_ｕ∈Ｚ_ｑを生成し、
   ＊を不定文字とし、インデックスｖをｖ＝（ｖ_１，…，ｖ_Ｎ−１）∈Ｉ＝（Ｆ_ｑ∪｛＊｝）^Ｎ−１とし、インデックスｖに対応する集合ｗ（ｖ）をｗ（ｖ）＝｛ｉ｜ｖ_ｉ＝＊｝とし、インデックスｕをｕ＝（ｕ_１，…，ｕ_Ｎ−１）∈Ｉ＝（Ｆ_ｑ∪｛＊｝）^Ｎ−１とし、インデックスｕに対応する集合ｗ（ｕ）をｗ（ｕ）＝｛ｉ｜ｕ_ｉ＝＊｝とし、集合ｗ（ｕ）⊂集合ｗ（ｖ）とし、ｖ_ｉ＝ｕ_ｉ（ｉ∈｛１，…，Ｎ−１｝＼ｗ（ｖ））として、
   インデックスｖに対応する第一主情報ｋ_ｖ、第二主情報ｇ^ｒ及びインデックスｖに対応する導出情報ｋ_ｖｊを記憶する記憶部と、
   上記記憶部から読み込んだ第一主情報ｋ_ｖ及び導出情報ｋ_ｖｉを用いて、ｋ_ｕ＝ｋ_ｖ（Π_{ｉ∈ｗ（ｖ）＼ｗ（ｕ）}ｋ_ｖｉ ^ｕｉ）（ｇ_３Π_{ｉ∈｛１，…，Ｎ−１｝＼ｗ（ｖ）}ｈ_ｉ ^ｖｉΠ_{ｉ∈ｗ（ｖ）＼ｗ（ｕ）}ｈ_ｉ ^ｕｉ）^ｒｕの関係を満たす、インデックスｕに対応する第一主情報ｋ_ｕを計算する第一主情報導出部と、
   上記生成された乱数ｒ_ｕを用いて、第二主情報ｇ^ｒｕを計算する第二主情報導出部と、
   を含むことを特徴とする情報生成装置。
8. 請求項７に記載の情報生成装置において、
   上記記憶部から読み込んだ導出情報ｋ_ｖｉ及び上記生成された乱数ｒ_ｕを用いて、ｋ_ｕｊ＝ｋ_ｖｊｈ_ｊ ^ｒｕの関係を満たす導出情報ｋ_ｕｊを集合ｗ（ｕ）の各要素ｊ∈ｗ（ｕ）ごとに計算する導出情報導出部を更に含む、
   ことを特徴とする情報生成装置。
9. Ｇ、Ｇ_Ｔを素数位数ｑの巡回群とし、ｇを巡回群Ｇの生成元とし、巡回群Ｇにはｇ_Ｔ＝ｅ（ｇ，ｇ）が巡回群Ｇ_Ｔの生成元となるようなペアリング関数ｅ：Ｇ×Ｇ→Ｇ_Ｔが存在するとし、ａをＺ_ｐからランダムに選択された乱数とし、ｇとｇ_１＝ｇ^ａ∈Ｇと巡回群Ｇからランダムに選択されたｇ_２，ｇ_３，ｈ_１，…，ｈ_Ｎ−１∈Ｇとが公開鍵として公開されており、
   ＊を不定文字とし、インデックスＹをＹ＝（Ｙ_１，…，Ｙ_Ｎ−１）∈Ｉ＝（Ｆ_ｑ∪｛＊｝）^Ｎ−１とし、インデックスＹに対応する集合ｗ（Ｙ）をｗ（Ｙ）＝｛ｉ｜Ｙ_ｉ＝＊｝とし、
   ｒ_Ｙ∈Ｚ_ｑを乱数とし、インデックスＹに対応する第一主情報ｋ_Ｙはｋ_Ｙ＝ｇ_２ ^ａ（ｇ_３Π_{ｉ∈｛１，…，Ｎ−１｝＼ｗ（Ｙ）}ｈ_ｉ ^Ｙｉ）^ｒＹの関係を満たし、ｇ^ｒＹをインデックスＹに対応する第二主情報とし、インデックスＹに対応する導出情報ｋ _Ｙｊ はｋ_Ｙｊ＝ｈ_ｊ ^ｒＹの関係を満たし、
   ＊を不定文字とし、インデックスｖをｖ＝（ｖ_１，…，ｖ_Ｎ−１）∈Ｉ＝（Ｆ_ｑ∪｛＊｝）^Ｎ−１とし、インデックスｖに対応する集合ｗ（ｖ）をｗ（ｖ）＝｛ｉ｜ｖ_ｉ＝＊｝とし、インデックスｕをｕ＝（ｕ_１，…，ｕ_Ｎ−１）∈Ｉ＝（Ｆ_ｑ∪｛＊｝）^Ｎ−１とし、インデックスｕに対応する集合ｗ（ｕ）をｗ（ｕ）＝｛ｉ｜ｕ_ｉ＝＊｝とし、集合ｗ（ｕ）⊂集合ｗ（ｖ）とし、ｖ_ｉ＝ｕ_ｉ（ｉ∈｛１，…，Ｎ−１｝＼ｗ（ｖ））として、
   乱数ｒ_ｕ∈Ｚ_ｑを生成する乱数生成部と、
   上記第一主情報ｋ_Ｙである又は上記第一主情報ｋ_Ｙ及び上記導出情報ｋ _Ｙｊ から導出されたインデックスｖに対応する第一主情報ｋ_ｖ、上記導出情報ｋ _Ｙｊ である又は上記導出情報ｋ _Ｙｊ から導出されたインデックスｖに対応する導出情報ｋ_ｖｊを記憶する記憶部と、
   上記記憶部から読み込んだ第一主情報ｋ_ｖ及び上記導出情報ｋ_ｖｉを用いて、ｋ_ｕ＝ｋ_ｖ（Π_{ｉ∈ｗ（ｖ）＼ｗ（ｕ）}ｋ_ｖｉ ^ｕｉ）（ｇ_３Π_{ｉ∈｛１，…，Ｎ−１｝＼ｗ（ｖ）}ｈ_ｉ ^ｖｉΠ_{ｉ∈ｗ（ｖ）＼ｗ（ｕ）}ｈ_ｉ ^ｕｉ）^ｒｕの関係を満たす、インデックスｕに対応する第一主情報ｋ_ｕを計算する第一主情報導出部と、
   上記生成された乱数ｒ_ｕを用いて、第二主情報ｇ^ｒｕを計算する第二主情報導出部と、
   を含む情報生成装置。
10. 請求項９に記載された情報生成装置において、
    上記記憶部から読み込んだ導出情報ｋ_ｖｉ及び上記生成された乱数ｒ_ｕを用いて、ｋ_ｕｊ＝ｋ_ｖｊｈ_ｊ ^ｒｕの関係を満たす導出情報ｋ_ｕｊを集合ｗ（ｕ）の各要素ｊ∈ｗ（ｕ）ごとに計算する導出情報導出部を更に含む、
    情報生成装置。
11. ｅが巡回群Ｇ_１のＮ個の元γ_Ｌ（Ｌ＝１，…，Ｎ）（Ｎ≧２）と巡回群Ｇ_２のＮ個の元γ_Ｌ ^＊（Ｌ＝１，…，Ｎ）との入力に対して巡回群Ｇ_Ｔの１個の元を出力する非退化な双線形関数であり、ｂ_ｉ∈Ｇ_１ ^Ｎ（ｉ＝１，…，Ｎ）のそれぞれが、上記巡回群Ｇ_１のＮ個の元を要素とするＮ次元の基底ベクトルであり、ｂ_ｊ ^＊∈Ｇ_２ ^Ｎ（ｊ＝１，…，Ｎ）のそれぞれが、上記巡回群Ｇ_２のＮ個の元を要素とするＮ次元の基底ベクトルであり、上記基底ベクトルｂ_ｉ∈Ｇ_１ ^Ｎ（ｉ＝１，…，Ｎ）の各要素と上記基底ベクトルｂ_ｊ ^＊∈Ｇ_２ ^Ｎ（ｊ＝１，…，Ｎ）の各要素とを上記双線形関数ｅに入力して得られる関数値が、ｉ＝ｊの場合にδ（ｉ，ｊ）＝１_Ｆとなってｉ≠ｊの場合にδ（ｉ，ｊ）＝０_Ｆとなるクロネッカーのデルタ関数δ（ｉ，ｊ）を用いてｇ_Ｔ ^{τ・δ（ｉ，ｊ）}∈Ｇ_Ｔと表現され、０_Ｆが有限体Ｆ_ｑの加法単位元であり、１_Ｆが有限体Ｆ_ｑの乗法単位元であり、τが０_Ｆを除く有限体Ｆ_ｑの元であり、ｇ_Ｔが上記巡回群Ｇ_Ｔの生成元であり、
    ＊を不定文字とし、インデックスＹをＹ＝（Ｙ_１，…，Ｙ_Ｎ−１）∈Ｉ＝（Ｆ_ｑ∪｛＊｝）^Ｎ−１とし、インデックスＹに対応する集合ｗ（Ｙ）をｗ（Ｙ）＝｛ｉ｜Ｙ_ｉ＝＊｝として、
    乱数生成部が、乱数σ_Ｙ∈Ｚ_ｑ、及び、集合ｗ（Ｙ）の各要素ｊ∈ｗ（Ｙ）に対応する乱数σ_Ｙｊ∈Ｚ_ｑを生成する乱数生成ステップと、
    主情報生成部が、上記生成された乱数σ_Ｙを用いて、ｋ_Ｙ＝σ_ＹΣ_{ｉ∈｛１，…，Ｎ−１｝＼ｗ（Ｙ）}Ｙ_ｉｂ_ｉ ^＊＋ｂ_Ｎ ^＊の関係を満たす主情報ｋ_Ｙを計算する主情報生成ステップと、
    導出情報生成部が、上記生成された乱数σ_Ｙｊを用いて、ｋ_Ｙｊ＝σ_ＹｊΣ_{ｉ∈｛１，…，Ｎ−１｝＼ｗ（Ｙ）}Ｙ_ｉｂ_ｉ ^＊＋ｂ_ｊ ^＊の関係を満たす導出情報ｋ_Ｙｊを集合ｗ（Ｙ）の各要素ｊ∈ｗ（Ｙ）ごとに計算する導出情報生成ステップと、
    を含むことを特徴とする情報生成方法。
12. Ｇ、Ｇ_Ｔを素数位数ｑの巡回群とし、ｇを巡回群Ｇの生成元とし、巡回群Ｇにはｇ_Ｔ＝ｅ（ｇ，ｇ）が巡回群Ｇ_Ｔの生成元となるようなペアリング関数ｅ：Ｇ×Ｇ→Ｇ_Ｔが存在するとし、ａをＺ_ｐからランダムに選択された乱数とし、ｇとｇ_１＝ｇ^ａ∈Ｇと巡回群Ｇからランダムに選択されたｇ_２，ｇ_３，ｈ_１，…，ｈ_Ｎ−１∈Ｇとが公開鍵として公開されており、
    ＊を不定文字とし、インデックスＹをＹ＝（Ｙ_１，…，Ｙ_Ｎ−１）∈Ｉ＝（Ｆ_ｑ∪｛＊｝）^Ｎ−１とし、インデックスＹに対応する集合ｗ（Ｙ）をｗ（Ｙ）＝｛ｉ｜Ｙ_ｉ＝＊｝として、
    乱数生成部が、乱数ｒ_Ｙ∈Ｚ_ｑを生成する乱数生成ステップと、
    第一主情報生成部が、上記生成された乱数ｒ_Ｙを用いて、ｋ_Ｙ＝ｇ_２ ^ａ（ｇ_３Π_{ｉ∈｛１，…，Ｎ−１｝＼ｗ（Ｙ）}ｈ_ｉ ^Ｙｉ）^ｒＹの関係を満たす第一主情報ｋ_Ｙを計算する第一主情報生成ステップと、
    第二主情報生成部が、上記生成された乱数ｒ_Ｙを用いて、第二主情報ｇ^ｒＹを計算する第二主情報生成ステップと、
    導出情報生成部が、上記生成された乱数ｒ_Ｙを用いて、ｋ_Ｙｊ＝ｈ_ｊ ^ｒＹの関係を満たす導出情報ｋ_Ｙｊを集合ｗ（Ｙ）の各要素ｊ∈ｗ（Ｙ）ごとに計算する導出情報生成ステップと、
    を含むことを特徴とする情報生成方法。
13. 請求項１から１０の何れかに記載された情報生成装置の各部としてコンピュータを機能させるための情報生成プログラム。
14. 請求項１３に記載された情報生成プログラムを記録したコンピュータ読み取り可能な記録媒体。

Images