JP5596616B2 - Information providing system, mediating apparatus, mediating method, information providing method, and program - Google Patents

Information providing system, mediating apparatus, mediating method, information providing method, and program Download PDF

Info

Publication number
JP5596616B2
JP5596616B2 JP2011107076A JP2011107076A JP5596616B2 JP 5596616 B2 JP5596616 B2 JP 5596616B2 JP 2011107076 A JP2011107076 A JP 2011107076A JP 2011107076 A JP2011107076 A JP 2011107076A JP 5596616 B2 JP5596616 B2 JP 5596616B2
Authority
JP
Japan
Prior art keywords
phi
information
ciphertext
input information
group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011107076A
Other languages
Japanese (ja)
Other versions
JP2012237881A (en
Inventor
剛 山本
鉄太郎 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2011107076A priority Critical patent/JP5596616B2/en
Publication of JP2012237881A publication Critical patent/JP2012237881A/en
Application granted granted Critical
Publication of JP5596616B2 publication Critical patent/JP5596616B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、暗号化された情報を提供する技術に関し、特に、複数の装置間で情報提供を行う技術に関する。   The present invention relates to a technique for providing encrypted information, and particularly to a technique for providing information between a plurality of devices.

暗号文を格納した複数の情報提供装置が、当該暗号文を相手側の情報提供装置で復号可能な暗号文に再暗号化して提供する状況を想定する。このような情報提供方法には様々なものが想定できる。しかしながら、互いを信頼できない情報提供装置間でこのような処理を公平に行うことは容易ではない。相手から暗号文の提供を受けた情報提供装置が自らは情報の提供を行わず、先に情報を提供した情報提供装置が不利益を被る可能性があるからである(持ち逃げ問題)。   A situation is assumed in which a plurality of information providing apparatuses storing ciphertexts provide the ciphertexts by re-encrypting them into ciphertexts that can be decrypted by the information providing apparatus on the other side. Various information providing methods can be assumed. However, it is not easy to perform such processing fairly between information providing apparatuses that cannot trust each other. This is because the information providing apparatus that has received the ciphertext from the other party does not provide the information itself, and the information providing apparatus that previously provided the information may suffer disadvantage (carrying away problem).

持ち逃げ問題を抑制する手法として、同時交換プロトコルと呼ばれる手法が知られている(例えば、非特許文献1参照)。同時交換プロトコルの一つであるGradual Release of Secretでは、一方の情報提供装置が情報の一部を他方の情報提供装置に提供してから、当該他方の情報提供装置が情報の一部を当該一方の情報提供装置に提供するといった処理を繰り返す。   As a technique for suppressing the carry-away problem, a technique called a simultaneous exchange protocol is known (for example, see Non-Patent Document 1). In Gradual Release of Secret, which is one of the simultaneous exchange protocols, one information providing device provides a part of information to the other information providing device, and then the other information providing device sends a part of the information to the one The process of providing information to the information providing apparatus is repeated.

I. Damgard (Ed.), "Signing Contracts and Paying Electronically," Lectures on Data Security, Lecture Notes in Computer Science 1561I. Damgard (Ed.), "Signing Contracts and Paying Electronically," Lectures on Data Security, Lecture Notes in Computer Science 1561

しかしながら、Gradual Release of Secretの場合でも、情報を提供された情報提供装置が自らの情報を提供しない可能性があり、やはり先に情報を提供した情報提供装置が不利益を被る可能性がある。   However, even in the case of the Gradual Release of Secret, there is a possibility that the information providing apparatus provided with the information does not provide its own information, and the information providing apparatus that provided the information earlier may suffer a disadvantage.

また、情報提供装置間が互いに暗号文を提供した場合であっても、一方の情報提供装置が不正な暗号文を他方の情報提供装置に提供し、当該他方の情報提供装置が不利益を被る可能性もある。   Further, even when information providing apparatuses provide ciphertexts to each other, one information providing apparatus provides an illegal ciphertext to the other information providing apparatus, and the other information providing apparatus suffers a disadvantage. There is a possibility.

このような問題は、暗号文を格納した二つの情報提供装置が当該暗号文を相手側の情報提供装置で復号可能な暗号文に再暗号化して提供する場合に限定されたものではなく、複数の情報提供装置が当該暗号文を相手側の情報提供装置で復号可能な暗号文に再暗号化して提供する場合に共通する問題である。   Such a problem is not limited to the case where the two information providing devices storing the ciphertext provide the ciphertext by re-encrypting the ciphertext into a ciphertext that can be decrypted by the other information providing device. This is a common problem when the information providing apparatus re-encrypts the ciphertext into a ciphertext that can be decrypted by the information providing apparatus on the other side.

本発明はこのような点に鑑みてなされたものであり、暗号文を格納した複数の情報提供装置が、当該暗号文を相手側の情報提供装置で復号可能な暗号文に再暗号化して提供する場合の持ち逃げ問題を抑制できる技術を提供することを目的とする。   The present invention has been made in view of such a point, and a plurality of information providing apparatuses storing ciphertexts provide re-encrypted ciphertexts that can be decrypted by the information providing apparatus on the other side. It is an object to provide a technology capable of suppressing the problem of carrying away when carrying out.

本発明では、φ=1,…,Φ、σ(φ)=1,…,Φ、σ(φ)≠φ、Φが2以上の整数、Gφ,Hφが有限可換群、fφが第一暗号化方式ENCφ,1に則って平文mφを第一暗号化鍵y(φ,1)で暗号化して得られた群Hφの元である第一暗号文Cφ,1が与えられたとき、当該第一暗号文Cφ,1を、第二暗号化方式ENCφ,2に則って平文mφを第二暗号化鍵y(σ(φ),2)で暗号化して得られる群Gφの元である第二暗号文fφ(Cφ,1)=Cφ,2に変換するための関数、a(φ),b(φ)が互いに素である自然数、平文Mφを第二暗号化方式ENCφ,2に則って第二暗号化鍵y(σ(φ),2)で暗号化して得られる可能性がある暗号文を要素とする集合が、当該暗号文が属する暗号文の類、Xφ,1,Xφ,2が群Gφに値を持つ確率変数、xφ,1が確率変数Xφ,1の実現値、xφ,2が確率変数Xφ,2の実現値であり、仲介装置とΦ個の情報提供装置φとが次の処理を行う。 In the present invention, φ = 1,..., Φ, σ (φ) = 1,..., Φ, σ (φ) ≠ φ, Φ is an integer greater than or equal to 2, G φ and H φ are finite commutative groups, f φ There first encryption method ENC phi, the plaintext m phi in accordance with the 1 first encryption key y (phi, 1) the first ciphertext C phi is an encryption-obtained original group H phi, the 1 when given, the first ciphertext C phi, a 1, the second encryption method ENC phi, the plaintext m phi in accordance with the 2 second encryption key y (σ (φ), 2 ) in encrypted A function for converting to the second ciphertext f φ (C φ, 1 ) = C φ, 2 that is an element of the group G φ obtained in this way, a natural number in which a (φ) and b (φ) are relatively prime, plaintext M phi second encryption scheme ENC phi, in accordance with the 2 second encryption key y (σ (φ), 2 ) set to the ciphertext elements that may be obtained by encrypting with the, the The type of ciphertext to which the ciphertext belongs, X φ, 1 , X φ, 2 is the group G random variable with values in phi, x phi, 1 the random variable X phi, 1 of realizations, x phi, 2 is the random variable X phi, a second realization, the mediating apparatus and Φ pieces of the information providing apparatus phi And do the following:

仲介装置で、情報提供装置φそれぞれの第一暗号文Cφ,1に対応する群Hφの元である第一入力情報τφ,1及び第二入力情報τφ,2を出力する。情報提供装置φのそれぞれで、第一入力情報τφ,1を用い、或る確率より大きな確率でfφ(τφ,1)を正しく計算し、得られた演算結果を第一出力情報zφ,1とし、第二入力情報τφ,2を用い、或る確率より大きな確率でfφ(τφ,2)を正しく計算し、得られた演算結果を第二出力情報zφ,2とする。仲介装置で、第一出力情報zφ,1から演算結果uφ=fφ(Cφ,1b(φ)φ,1を生成し、第二出力情報zφ,2から演算結果vφ=fφ(Cφ,1a(φ)φ,2を生成し、演算結果uφに対する値uφ a(φ)と演算結果vφに対する値vφ b(φ)とが互いに同一の暗号文の類CLφ(Mφ)に属する場合の演算結果uφ及び演算結果vφと、a’(φ)a(φ)+b’(φ)b(φ)=1を満たす整数a’(φ),b’(φ)とに対する、値uφ b’(φ)φ a’(φ)を得、すべてのφ=1,…,Φについて値uφ b’(φ)φ a’(φ)が得られた後に、値uφ b’(φ)φ a’(φ)(φ=1,…,Φ)を出力する。 The intermediary device outputs the first input information τ φ, 1 and the second input information τ φ, 2 which are elements of the group H φ corresponding to the first cipher text C φ, 1 of each information providing device φ. In each information providing device φ, the first input information τ φ, 1 is used to correctly calculate f φφ, 1 ) with a probability larger than a certain probability, and the obtained calculation result is used as the first output information z. Using φ 2 , φ 2, second input information τ φ 2 , f φφ, 2 ) is correctly calculated with a probability greater than a certain probability, and the obtained operation result is obtained as second output information z φ 2 And In the intermediary device, the first output information z phi, 1 from the operation result u φ = f φ (C φ , 1) b (φ) x φ, to generate a 1, the second output information z phi, 2 from the calculation result v φ = f φ (C φ, 1) a (φ) x φ, generates two operation result u values for φ u φ a (φ) and the operation result v values for φ v φ b (φ) and to each other An integer satisfying the calculation result u φ and the calculation result v φ and a ′ (φ) a (φ) + b ′ (φ) b (φ) = 1 when belonging to the same ciphertext class CL φ (M φ ) a '(φ), b' (φ) and for the value u φ b '(φ) v φ a' (φ) give all phi = 1, ..., the value for Φ u φ b '(φ) v phi a 'after is obtained (phi), the value u φ b' (= 1 φ , ..., Φ) (φ) v φ a '(φ) and outputs a.

仲介装置で得られた各値uφ b’(φ)φ a’(φ)は、それぞれ高い確率で第二暗号化鍵y(σ(φ),2)に対応する復号鍵で復号可能な第二暗号文Cφ,2となる。そのため仲介装置は、すべての情報提供装置φ(φ=1,…,Φ)にそれぞれ対応する正しい第二暗号文Cφ,2を取得した後に、各第二暗号文Cφ,2を出力しているとみなせる。これにより、第二暗号文Cφ,2を提供すべき情報提供装置が正しい第二暗号文Cφ,2を提供することなく、他の情報提供装置から提供された第二暗号文を取得するといった持ち逃げ問題を抑制できる。すなわち本発明では、暗号文を格納した複数の情報提供装置が、当該暗号文を相手側の情報提供装置で復号可能な暗号文に再暗号化して提供する場合の持ち逃げ問題を抑制できる。 Mediation device values u phi b obtained in '(φ) v φ a' (φ) is respectively high probability second encryption key y (σ (φ), 2 ) to be decrypted by the decoding key corresponding Second ciphertext C φ, 2 . Therefore, the intermediary device obtains the correct second cipher text C φ, 2 corresponding to all the information providing devices φ (φ = 1,..., Φ), and then outputs each second cipher text C φ, 2. It can be regarded as. Thus, the second ciphertext C phi, 2 information providing device should provide a correct secondary ciphertext C phi, without providing 2 to obtain a second ciphertext provided by another information providing apparatus Can be avoided. That is, according to the present invention, it is possible to suppress a problem of carry-away when a plurality of information providing apparatuses storing ciphertexts provide the ciphertexts by re-encrypting the ciphertexts into ciphertexts that can be decrypted by the counterpart information providing apparatus.

実施形態の情報提供システムの構成を説明するためのブロック図。The block diagram for demonstrating the structure of the information provision system of embodiment. 実施形態の仲介装置の構成を説明するためのブロック図。The block diagram for demonstrating the structure of the mediation apparatus of embodiment. 実施形態の情報提供装置の構成を説明するためのブロック図。The block diagram for demonstrating the structure of the information provision apparatus of embodiment. 実施形態の入力情報提供部の構成を説明するためのブロック図。The block diagram for demonstrating the structure of the input information provision part of embodiment. 実施形態の入力情報提供部の構成を説明するためのブロック図。The block diagram for demonstrating the structure of the input information provision part of embodiment. 実施形態の仲介装置の処理を説明するためのフローチャート。The flowchart for demonstrating the process of the mediation apparatus of embodiment. 実施形態の自己訂正処理を説明するためのフローチャート。The flowchart for demonstrating the self-correction process of embodiment. 実施形態の情報提供装置の処理を説明するためのフローチャート。The flowchart for demonstrating the process of the information provision apparatus of embodiment. ステップS2103(S3103)の処理を説明するためのフローチャート。The flowchart for demonstrating the process of step S2103 (S3103). ステップS4103の処理を説明するためのフローチャート。The flowchart for demonstrating the process of step S4103. 実施形態の仲介装置の構成を説明するためのブロック図。The block diagram for demonstrating the structure of the mediation apparatus of embodiment. 実施形態の仲介装置の処理を説明するためのフローチャート。The flowchart for demonstrating the process of the mediation apparatus of embodiment. 実施形態の情報提供システムの構成を説明するためのブロック図。The block diagram for demonstrating the structure of the information provision system of embodiment.

以下、図面を参照して本発明の実施形態を説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

[第一実施形態]
まず、本発明の第一実施形態を説明する。本形態では、2個の情報提供装置が仲介装置を介し、これらが互いに暗号文の提供を行う例を説明する。すなわち、本発明はφ=1,…,Φ、σ(φ)=1,…,Φ、σ(φ)≠φ、Φが2以上の整数である場合に適用可能であるが、以下ではΦ=2、σ(1)=2、σ(2)=1の例を説明する。ただし、この例は本発明を限定するものではない。 [First embodiment]
First, a first embodiment of the present invention will be described. In this embodiment, an example will be described in which two information providing apparatuses provide ciphertexts to each other via an intermediary apparatus. That is, the present invention is applicable when φ = 1,..., Φ, σ (φ) = 1,..., Φ, σ (φ) ≠ φ, and Φ is an integer of 2 or more. = 2, σ (1) = 2, and σ (2) = 1 will be described. However, this example does not limit the present invention.

<構成>
図1に例示するように、第一実施形態の情報提供システム1は、例えば、仲介装置11と2個の情報提供装置12−1,12−2とを有する。各装置は情報のやり取りが可能なように構成される。例えば、各装置は伝送線やネットワークや可搬型記録媒体などを経由した情報のやり取りが可能とされている。 <Configuration>
As illustrated in FIG. 1, the information providing system 1 according to the first embodiment includes, for example, an intermediary device 11 and two information providing devices 12-1 and 12-2. Each device is configured to be able to exchange information. For example, each device can exchange information via a transmission line, a network, a portable recording medium, or the like.

本形態では、情報提供装置12−1が、第一暗号化方式ENC1,1に則って平文mを第一暗号化鍵y(1,1)で暗号化して得られた第一暗号文C1,1を、第二暗号化方式ENC1,2に則って平文mを第二暗号化鍵y(2,2)で暗号化して得られる第二暗号文C1,2に再暗号化する能力を仲介装置11に与える。また、情報提供装置12−2が、第一暗号化方式ENC2,1に則って平文mを第一暗号化鍵y(2,1)で暗号化した第一暗号文C2,1を、第二暗号化方式ENC2,2に則って平文mを第二暗号化鍵y(1,2)で暗号化した第二暗号文C2,2に再暗号化する能力を仲介装置11に与える。仲介装置11は、提供された能力を用い、情報提供装置12−1の第一暗号文C1,1を第二暗号文C1,2に再暗号化し、情報提供装置12−2の第一暗号文C2,1を第二暗号文C2,2に再暗号化する。その後、仲介装置11は、第二暗号文C1,2を情報提供装置12−2に出力し、第二暗号文C2,2を情報提供装置12−1に出力する。情報提供装置12−1は、第二復号鍵s(1,2)を用いて第二暗号文C2,2を復号して平文mを取得可能である。情報提供装置12−2は、第二復号鍵s(1,1)を用いて第二暗号文C1,2を復号して平文mを取得可能である。 In this embodiment, the information providing device 12-1, first ciphertext plaintext m 1 in accordance with the first encryption method ENC 1, 1 obtained by encrypting the first encryption key y (1, 1) C 1,1 is re-encrypted into second cipher text C 1,2 obtained by encrypting plain text m 1 with second encryption key y (2,2) according to second encryption scheme ENC 1,2. Is given to the intermediary device 11. Further, the information providing apparatus 12-2 obtains the first ciphertext C 2,1 obtained by encrypting the plaintext m 2 with the first encryption key y (2,1) in accordance with the first encryption scheme ENC 2,1. The intermediary device 11 has the ability to re-encrypt the plaintext m 2 into the second ciphertext C 2,2 encrypted with the second encryption key y (1,2) in accordance with the second encryption scheme ENC 2,2. To give. The intermediary device 11 re-encrypts the first ciphertext C 1,1 of the information providing device 12-1 into the second ciphertext C 1,2 using the provided capability, and the first of the information providing device 12-2. The ciphertext C 2,1 is re-encrypted into the second ciphertext C 2,2 . Thereafter, the intermediary device 11 outputs the second ciphertexts C 1 and 2 to the information providing device 12-2, and outputs the second ciphertexts C 2 and 2 to the information providing device 12-1. Information providing device 12 is capable of obtaining the plaintext m 2 decrypts the second ciphertext C 2, 2 by using the second decryption key s (1, 2). Information providing device 12-2 can acquire plaintext m 1 decrypts the second ciphertext C 1, 2 by using the second decryption key s (1, 1).

図2に例示するように、第一実施形態の仲介装置11は、例えば、自然数記憶部1101と自然数選択部1102と整数計算部1103と入力情報提供部1104と第一計算部1105と第一べき乗計算部1106と第一リスト記憶部1107と第二計算部1108と第二べき乗計算部1109と第二リスト記憶部1110と判定部1111と処理部1112と最終出力部1113と制御部1114とを有する。仲介装置11は、制御部1114の制御のもとで各処理を実行する。仲介装置11の例は、特別なプログラムが読み込まれたCPU(central processing unit)やRAM(random−access memory)を備えた公知又は専用のコンピュータや、サーバ装置やゲートウェイ装置やカードリーダライタ装置や携帯電話などの計算機能と記憶機能とを備えた機器などである。   As illustrated in FIG. 2, the mediation apparatus 11 according to the first embodiment includes, for example, a natural number storage unit 1101, a natural number selection unit 1102, an integer calculation unit 1103, an input information providing unit 1104, a first calculation unit 1105, and a first power. A calculation unit 1106, a first list storage unit 1107, a second calculation unit 1108, a second power calculation unit 1109, a second list storage unit 1110, a determination unit 1111, a processing unit 1112, a final output unit 1113, and a control unit 1114 . The mediation apparatus 11 executes each process under the control of the control unit 1114. Examples of the intermediary device 11 include a known or dedicated computer, a server device, a gateway device, a card reader / writer device, a portable device having a CPU (central processing unit) and a RAM (random-access memory) loaded with a special program. A device having a calculation function and a storage function such as a telephone.

図3に例示するように、第一実施形態の情報提供装置12−φ(φ=1,2)は、例えば、それぞれ、第一出力情報計算部1201−φと第二出力情報計算部1202−φと鍵記憶部1204−φと暗号文記憶部1205−φと出力部1206−φと復号部1207−φと制御部1208−φとを有する。情報提供装置12−φは、制御部1208−φの制御のもとで各処理を実行する。情報提供装置12−φの例は、特別なプログラムが読み込まれたCPUやRAMを備えた公知又は専用のコンピュータや、携帯電話などの計算機能と記憶機能とを備えた機器や、ICカードやICチップなどの耐タンパ性モジュールなどである。   As illustrated in FIG. 3, the information providing apparatus 12-φ (φ = 1, 2) of the first embodiment, for example, includes a first output information calculation unit 1201-φ and a second output information calculation unit 1202-, respectively. φ, key storage unit 1204-φ, ciphertext storage unit 1205-φ, output unit 1206-φ, decryption unit 1207-φ, and control unit 1208-φ. The information providing apparatus 12-φ executes each process under the control of the control unit 1208-φ. Examples of the information providing apparatus 12-φ include a known or dedicated computer having a CPU and RAM loaded with a special program, a device having a calculation function and a storage function such as a mobile phone, an IC card, an IC A tamper resistant module such as a chip.

<処理の前提>
φ,Hφが巡回群などの有限可換群であり、Xφ,1,Xφ,2が群Gφに値を持つ確率変数であり、xφ,1が確率変数Xφ,1の実現値であり、xφ,2が確率変数Xφ,2の実現値であり、fφが群Hφの元である第一暗号文Cφ,1を群Gφの元である第二暗号文fφ(Cφ,1)=Cφ,2に変換するための関数であるとする。ここで、第一暗号文Cφ,1は第一暗号化方式ENCφ,1に則って平文mφを第一暗号化鍵y(φ,1)で暗号化して得られた暗号文であり、第二暗号文Cφ,2は第二暗号化方式ENCφ,2に則って平文mφを第二暗号化鍵y(σ(φ),2)で暗号化して得られる暗号文である。第一暗号化方式ENCφ,1や第二暗号化方式ENCφ,2は、公開鍵暗号方式であってもよいし、共通鍵暗号方式であってもよい。また、第一暗号化方式ENCφ,1や第二暗号化方式ENCφ,2は、確率暗号方式であってもよいし、確定暗号方式であってもよい。第一暗号化方式ENCφ,1と第二暗号化方式ENCφ,2とが同一の暗号化方式であってもよいし、これらが異なる暗号化方式であってもよい。また、すべての第一暗号化方式ENCφ,1(φ=1,…,Φ)が互いに同一の暗号化方式であってもよいし、少なくとも一部のφ’≠φに対する第一暗号化方式ENCφ’,1が他の第一暗号化方式ENCφ,1と相違してもよい。また、すべての第二暗号化方式ENCφ,2(φ=1,…,Φ)が互いに同一の暗号化方式であってもよいし、少なくとも一部のφ’≠φに対する第二暗号化方式ENCφ’,2が他の第二暗号化方式ENCφ,2と相違してもよい。第一暗号化方式ENCφ,1や第二暗号化方式ENCφ,2の例は、準同型関数を暗号化関数及び復号関数とする暗号化方式である。そのような例は、ElGamal暗号方式(参考文献1:Taher Elgamal, "A Public-Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms," IEEE Transactions on Information Theory, v. IT-31, n. 4, 1985, pp. 469-472 or CRYPTO 84, pp. 10-18, Springer-Verlag.)や、RSA暗号方式(参考文献2:R.L.Rivest,A.Shamir,and L.Adelman, "A Method for Obtaining Digital Signature and Public-key Cryptsystems," MIT Laboratory for Computer Science, Thechnical Memo LCS/TM82, April 4,1977(Revised December 12,1977))などの公開鍵暗号方式などである。また、Gφ=Hφであってもよいし、Gφ≠Hφであってもよい。すべての群Gφ(φ=1,…,Φ)が互いに同一であってもよいし、少なくとも一部のφ’≠φに対する群Gφ’が他の群Gφと相違してもよい。また、すべての群Hφ(φ=1,…,Φ)が互いに同一であってもよいし、少なくとも一部のφ’≠φに対する群Hφ’が他の群Hφと相違してもよい。また、以下では群Gφ,Hφ上の演算を乗法的に表現する。 <Processing premise>
G φ and H φ are finite commutative groups such as cyclic groups, X φ, 1 , X φ, 2 are random variables having values in the group G φ , and x φ, 1 are random variables X φ, 1 a realization value, x phi, 2 is the random variable X phi, a second realization, f phi is first ciphertext C phi, which is the original group H phi, the is the original group G phi 1 It is assumed that the two ciphertexts f φ (C φ, 1 ) = C φ, 2 are functions for conversion. Here, the first ciphertext C φ, 1 is a ciphertext obtained by encrypting the plaintext m φ with the first encryption key y (φ, 1) in accordance with the first encryption scheme ENC φ, 1 . The second ciphertext C φ, 2 is a ciphertext obtained by encrypting the plaintext m φ with the second encryption key y (σ (φ), 2) in accordance with the second encryption scheme ENC φ, 2. . The first encryption method ENC φ, 1 and the second encryption method ENC φ, 2 may be a public key encryption method or a common key encryption method. Further, the first encryption method ENC φ, 1 and the second encryption method ENC φ, 2 may be a probability encryption method or a definite encryption method. The first encryption method ENC φ, 1 and the second encryption method ENC φ, 2 may be the same encryption method, or they may be different encryption methods. Also, all the first encryption schemes ENC φ, 1 (φ = 1,..., Φ) may be the same encryption scheme, or the first encryption scheme for at least some φ ′ ≠ φ. ENC φ ′, 1 may be different from other first encryption methods ENC φ, 1 . All the second encryption schemes ENC φ, 2 (φ = 1,..., Φ) may be the same encryption scheme, or the second encryption scheme for at least a part of φ ′ ≠ φ. ENC φ ′, 2 may be different from other second encryption methods ENC φ, 2 . Examples of the first encryption scheme ENC φ, 1 and the second encryption scheme ENC φ, 2 are encryption schemes using a homomorphic function as an encryption function and a decryption function. An example of this is the ElGamal cryptosystem (reference 1: Taher Elgamal, “A Public-Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms,” IEEE Transactions on Information Theory, v. IT-31, n. 4, 1985. , 469-472 or CRYPTO 84, pp. 10-18, Springer-Verlag.) and RSA cryptosystem (Reference 2: RLRivest, A. Shamir, and L. Adelman, "A Method for Obtaining Digital Signature and Public-key cryptosystems, "MIT Laboratory for Computer Science, Technical Memo LCS / TM82, April 4,1977 (Revised December 12,1977)). Further, G φ = H φ or G φ ≠ H φ may be sufficient. All the groups G φ (φ = 1,..., Φ) may be the same, or the group G φ ′ for at least some φ ′ ≠ φ may be different from other groups G φ . Further, all the groups H φ (φ = 1,..., Φ) may be the same, or even if the group H φ ′ for at least some φ ′ ≠ φ is different from other groups H φ. Good. In the following, operations on the groups G φ and H φ are expressed in a multiplicative manner.

第一暗号化鍵y(φ,1)には第一復号鍵s(φ,1)が対応し、第二暗号化鍵y(σ(φ),2)には第二復号鍵s(σ(φ),2)が対応する。第一暗号化方式ENCφ,1が公開鍵暗号方式である場合、第一暗号化鍵y(φ,1)は公開鍵であり、第一復号鍵s(φ,1)は秘密鍵である。一方、第一暗号化方式ENCφ,1が共通鍵暗号方式である場合、第一暗号化鍵y(φ,1)及び第一復号鍵は共通鍵である。第二暗号化方式ENCφ,2が公開鍵暗号方式である場合、第二暗号化鍵y(σ(φ),2)は公開鍵であり、第二復号鍵s(σ(φ),2)は秘密鍵である。一方、第二暗号化方式ENCφ,2が共通鍵暗号方式である場合、第二暗号化鍵y(σ(φ),2)及び第二復号鍵s(σ(φ),2)は共通鍵である。y(φ,1)=y(φ,2)であってもよいし、y(φ,1)≠y(φ,2)であってもよい。s(φ,1)=s(φ,2)であってもよいし、s(φ,1)≠s(φ,2)であってもよい。 The first encryption key y (φ, 1) corresponds to the first decryption key s (φ, 1), and the second encryption key y (σ (φ), 2) corresponds to the second decryption key s (σ (Φ), 2) correspond. When the first encryption scheme ENC φ, 1 is a public key cryptosystem, the first encryption key y (φ, 1) is a public key and the first decryption key s (φ, 1) is a secret key. . On the other hand, when the first encryption method ENC φ, 1 is a common key encryption method, the first encryption key y (φ, 1) and the first decryption key are common keys. When the second encryption scheme ENC φ, 2 is a public key cryptosystem, the second encryption key y (σ (φ), 2) is a public key and the second decryption key s (σ (φ), 2 ) Is a secret key. On the other hand, when the second encryption method ENC φ, 2 is a common key encryption method, the second encryption key y (σ (φ), 2) and the second decryption key s (σ (φ), 2) are common. Is the key. y (φ, 1) = y (φ, 2) may be satisfied, or y (φ, 1) ≠ y (φ, 2) may be satisfied. It may be s (φ, 1) = s (φ, 2), or s (φ, 1) ≠ s (φ, 2).

また、平文Mφを第二暗号化方式ENCφ,2に則って第二暗号化鍵y(σ(φ),2)で暗号化して得られる可能性がある暗号文を要素とする集合を「当該暗号文が属する暗号文の類CLφ(Mφ)」と呼ぶ。ここでa(φ),b(φ)は互いに素な自然数であり、「自然数」とは0以上の整数を表す。CLφ(Mφ)とCLφ’(Mφ’)(φ’≠φ)とは互いに異なる類である。同一の暗号文の類CLφ(Mφ)には、同一の平文Mφを第二暗号化鍵y(σ(φ),2)でそれぞれ暗号化して得られる可能性がある各暗号文が属する。例えば、第二暗号化方式ENCφ,2がElGamal暗号方式のような確率暗号方式である場合、同一の平文Mφと暗号化鍵y(σ(φ),2)との組に対して複数の暗号文Cφ,2が対応するため、同一の暗号文の類CLφ(Mφ)にはa(φ),b(φ)の組みごとに複数の要素が属する。一方、例えば、第二暗号化方式ENCφ,2がRSA暗号方式のような確定暗号方式である場合、同一の平文Mφと暗号化鍵y(σ(φ),2)との組に対して暗号文Cφ,2が一義的に定まるため、同一の暗号文の類CLφ(Mφ)にはa(φ),b(φ)の組みごとに一つの要素のみが属する。a(φ),b(φ)の組みごとに同一の暗号文の類CLφ(Mφ)に一つの要素のみが属する場合、二つの値が同一の暗号文の類CLφ(Mφ)に属することと当該二つの値が等しいこととが等価となる。すなわち、第二暗号化方式が確定暗号方式である場合、二つの値が同一の暗号文の類CLφ(Mφ)に属するかの判定は当該二つの値が等しいかを判定することで行うことができる。 A set of ciphertext elements that may be obtained by encrypting the plaintext M φ with the second encryption key y (σ (φ), 2) according to the second encryption scheme ENC φ, 2 The ciphertext class CL φ (M φ ) to which the ciphertext belongs is called. Here, a (φ) and b (φ) are relatively prime natural numbers, and “natural number” represents an integer of 0 or more. CL φ (M φ ) and CL φ ′ (M φ ′ ) (φ ′ ≠ φ) are different from each other. In the same ciphertext class CL φ (M φ ), each ciphertext that can be obtained by encrypting the same plaintext M φ with the second encryption key y (σ (φ), 2) is stored. Belongs. For example, when the second encryption method ENC φ, 2 is a stochastic encryption method such as the ElGamal encryption method, a plurality of combinations of the same plaintext M φ and the encryption key y (σ (φ), 2) are used. Therefore, the same ciphertext class CL φ (M φ ) includes a plurality of elements for each set of a (φ) and b (φ). On the other hand, for example, when the second encryption method ENC φ, 2 is a deterministic encryption method such as the RSA encryption method, for the same set of plaintext M φ and encryption key y (σ (φ), 2) Since the ciphertext C φ, 2 is uniquely determined, only one element belongs to the same ciphertext class CL φ (M φ ) for each combination of a (φ) and b (φ). a (phi), if only the class CL φ (M φ) to one element of the same ciphertext each set of b (phi) belongs, class two values are the same ciphertext CL φ (M φ) Is equivalent to the fact that the two values are equal. That is, when the second encryption method is a definite encryption method, whether two values belong to the same ciphertext class CL φ (M φ ) is determined by determining whether the two values are equal. be able to.

また、仲介装置11(図2)の自然数記憶部1101に、互いに素である2つの自然数a(φ),b(φ)の組(a(φ),b(φ))が複数種類記憶されているものとする。Iφを群Gφの位数未満の2つの自然数の組で互いに素なものの集合とすると、自然数記憶部1101にはIφの部分集合Sφに対応する自然数a(φ),b(φ)の組(a(φ),b(φ))が記憶されていると考えることができる。また、第一復号鍵s(φ,1)、第二復号鍵s(φ,2)、及び第二暗号化鍵y(σ(φ),2)が情報提供装置12−φ(図3)の鍵記憶部1204−φに格納され、第一暗号文Cφ,1∈Hφが情報提供装置12−φの暗号文記憶部1205−φに格納されているものとする。 In the natural number storage unit 1101 of the intermediary device 11 (FIG. 2), a plurality of types of sets (a (φ), b (φ)) of two natural numbers a (φ) and b (φ) that are mutually prime are stored. It shall be. When the set of disjoint things I phi of two natural numbers of sets of positions than the number of the group G phi, the natural number storage unit 1101 is a natural number corresponding to the subset S phi of I φ a (φ), b (φ ) Group (a (φ), b (φ)) can be considered stored. Further, the first decryption key s (φ, 1), the second decryption key s (φ, 2), and the second encryption key y (σ (φ), 2) are the information providing device 12-φ (FIG. 3). It is assumed that the first ciphertext C φ, 1 ∈H φ is stored in the ciphertext storage unit 1205-φ of the information providing device 12-φ.

<処理>
図6に例示するように、まず、仲介装置11(図2)の制御部1114がφ=1とする(ステップS111)。 <Processing>
As illustrated in FIG. 6, first, the control unit 1114 of the mediation apparatus 11 (FIG. 2) sets φ = 1 (step S111).

次に、仲介装置11は情報提供装置12−φとの間でφについての自己訂正処理を実行する(ステップS112)。以下にφについての自己訂正処理を説明する。   Next, the intermediary device 11 executes self-correction processing for φ with the information providing device 12-φ (step S112). The self correction process for φ will be described below.

[φについての自己訂正処理]
まず、情報提供装置12−φ(図3)の出力部1206−φが、暗号文記憶部1205−φから読み出された第一暗号文Cφ,1を出力する。第一暗号文Cφ,1は仲介装置11(図2)の入力情報提供部1104に入力される。第一暗号文Cφ,1は、例えば、情報提供装置12−σ(φ)によって選択されたものである。また、この処理は複数の第一暗号文Cφ,1について実行されてもよいし、既に第一暗号文Cφ,1が入力情報提供部1104に入力されている場合にはこの処理が省略されてもよい。 [Self-correction processing for φ]
First, the output unit 1206-φ of the information providing device 12-φ (FIG. 3) outputs the first ciphertext Cφ, 1 read from the ciphertext storage unit 1205-φ. The first ciphertext C φ, 1 is input to the input information providing unit 1104 of the intermediary device 11 (FIG. 2). The first ciphertext Cφ, 1 is selected by the information providing device 12-σ (φ), for example. This process may be executed for a plurality of first ciphertexts C φ, 1 , and when the first ciphertext C φ, 1 has already been input to the input information providing unit 1104, this process is omitted. May be.

図7に例示するように、第一暗号文Cφ,1が入力情報提供部1104に入力された仲介装置11の自然数選択部1102は、自然数記憶部1101に記憶された複数の自然数の組(a(φ),b(φ))から1つの自然数の組(a(φ),b(φ))をランダムに読み込む。読み込まれた自然数の組(a(φ),b(φ))少なくとも一部の情報は、整数計算部1103、入力情報提供部1104、第一べき乗計算部1106及び第二べき乗計算部1109に送られる(ステップS1100)。 As illustrated in FIG. 7, the natural number selection unit 1102 of the mediation apparatus 11 in which the first ciphertext C φ, 1 is input to the input information providing unit 1104 has a plurality of sets of natural numbers stored in the natural number storage unit 1101 ( One natural number pair (a (φ), b (φ)) is randomly read from a (φ), b (φ)). At least a part of the read natural number set (a (φ), b (φ)) is sent to the integer calculation unit 1103, the input information providing unit 1104, the first power calculation unit 1106, and the second power calculation unit 1109. (Step S1100).

整数計算部1103は、送られた自然数の組(a(φ),b(φ))を用いて、a’(φ)a(φ)+b’(φ)b(φ)=1の関係を満たす整数a’(φ),b’(φ)を計算する。自然数a(φ),b(φ)は互いに素であるため、a’(φ)a(φ)+b’(φ)b(φ)=1の関係を満たす整数a’(φ),b’(φ)をEuclidの互除法などの公知のアルゴリズムによって計算することができる。自然数の組(a’(φ),b’(φ))の情報は、処理部1112に送られる(ステップS1101)。   The integer calculation unit 1103 uses the set of sent natural numbers (a (φ), b (φ)) to obtain a relationship of a ′ (φ) a (φ) + b ′ (φ) b (φ) = 1. The integers a ′ (φ) and b ′ (φ) that satisfy the conditions are calculated. Since the natural numbers a (φ) and b (φ) are relatively prime, integers a ′ (φ) and b ′ satisfying the relationship of a ′ (φ) a (φ) + b ′ (φ) b (φ) = 1. (Φ) can be calculated by a known algorithm such as Euclid mutual division. Information on the natural number pair (a ′ (φ), b ′ (φ)) is sent to the processing unit 1112 (step S1101).

制御部1114は、t=1とする(ステップS1102)。   The control unit 1114 sets t = 1 (step S1102).

入力情報提供部1104は、入力された第一暗号文Cφ,1にそれぞれ対応する群Hφの元である第一入力情報τφ,1及び第二入力情報τφ,2を生成して出力する。好ましくは、第一入力情報τφ,1及び第二入力情報τφ,2はそれぞれ第一暗号文Cφ,1との関係をかく乱させた情報である。これにより、仲介装置11は、第一暗号文Cφ,1を情報提供装置12−φに対して隠蔽できる。例えば、情報提供装置12−φが複数種類の第一暗号文Cφ,1を出力していた場合、仲介装置11は、どの第一暗号文Cφ,1に関する処理を行っているのかを情報提供装置12−φに対して隠蔽できる。また、好ましくは、本形態の第一入力情報τφ,1は自然数選択部1102で選択された自然数b(φ)にさらに対応し、第二入力情報τφ,2は自然数選択部1102で選択された自然数a(φ)にさらに対応する。これにより、情報提供装置12−φから提供された再暗号化能力を仲介装置11が高い精度で評価することができる(ステップS1103)。 The input information providing unit 1104 generates first input information τ φ, 1 and second input information τ φ, 2 that are elements of the group H φ corresponding to the input first ciphertext C φ, 1 respectively. Output. Preferably, the first input information τ φ, 1 and the second input information τ φ, 2 are information in which the relationship with the first ciphertext C φ, 1 is disturbed, respectively. Thereby, the intermediary device 11 can conceal the first ciphertext Cφ, 1 from the information providing device 12-φ. For example, when the information providing device 12-φ outputs a plurality of types of first ciphertext Cφ, 1 , the mediating device 11 is informed of which first ciphertext Cφ, 1 is being processed. The providing device 12-φ can be concealed. Preferably, the first input information τ φ, 1 of this embodiment further corresponds to the natural number b (φ) selected by the natural number selection unit 1102, and the second input information τ φ, 2 is selected by the natural number selection unit 1102. It further corresponds to the natural number a (φ). Thereby, the mediation apparatus 11 can evaluate the re-encryption capability provided from the information providing apparatus 12-φ with high accuracy (step S1103).

図8に例示するように、第一入力情報τφ,1は情報提供装置12−φ(図3)の第一出力情報計算部1201−φに入力され、第二入力情報τφ,2は第二出力情報計算部1202−φに入力される(ステップS1200)。 As illustrated in FIG. 8, the first input information τ φ, 1 is input to the first output information calculation unit 1201-φ of the information providing device 12-φ (FIG. 3), and the second input information τ φ, 2 is It is input to the second output information calculation unit 1202-φ (step S1200).

第一出力情報計算部1201−φは、第一入力情報τφ,1と鍵記憶部1204−φに格納された第一復号鍵s(φ,1)及び第二暗号化鍵y(σ(φ),2)とを用い、或る確率より大きな確率でfφ(τφ,1)を正しく計算し、得られた計算結果を第一出力情報zφ,1とする(ステップS1201)。第二出力情報計算部1202−φは、第二入力情報τφ,2と鍵記憶部1204−φに格納された第一復号鍵s(φ,1)及び第二暗号化鍵y(σ(φ),2)を用い、或る確率より大きな確率でfφ(τφ,2)を正しく計算し、得られた演算結果を第二出力情報zφ,2とする(ステップS1202)。なお、関数fφの例は、第一暗号化方式ENCφ,1に則って第一復号鍵s(φ,1)で暗号文を復号して得られる値を、第二暗号化方式ENCφ,2に則って第二暗号化鍵y(σ(φ),2)で暗号化するための準同型関数である。また、「或る確率」は100%未満の確率である。「或る確率」の例は無視することができない確率であり、「無視することができない確率」の例は、セキュリティパラメータkについての広義単調増加関数である多項式を多項式ψ(k)とした場合の1/ψ(k)以上の確率である。すなわち、第一出力情報計算部1201−φや第二出力情報計算部1202−φは、意図的又は意図的ではない誤差を含んだ計算結果を出力し得る。言い換えると、第一出力情報計算部1201−φでの計算結果がfφ(τφ,1)の場合もあればfφ(τφ,1)でない場合もあり、第二出力情報計算部1202−φでの計算結果がfφ(τφ,2)の場合もあればfφ(τφ,2)でない場合もある。第一出力情報計算部1201−φは第一出力情報zφ,1を出力し、第二出力情報計算部1202−φは第二出力情報zφ,2を出力する(ステップS1203)。 The first output information calculation unit 1201-φ has the first input information τ φ, 1 and the first decryption key s (φ, 1) and the second encryption key y (σ ( φ) and 2) are used to correctly calculate f φφ, 1 ) with a probability larger than a certain probability, and the obtained calculation result is set as first output information z φ, 1 (step S1201). The second output information calculation unit 1202-φ receives the second input information τ φ, 2 and the first decryption key s (φ, 1) and the second encryption key y (σ ( Using φ), 2), f φφ, 2 ) is correctly calculated with a probability larger than a certain probability, and the obtained calculation result is set as second output information z φ, 2 (step S1202). The example of the function f phi, the first encryption method ENC phi, first decryption key s (phi, 1) in accordance with the 1 values obtained by decoding the ciphertext, the second encryption method ENC phi , 2 is a homomorphic function for encryption with the second encryption key y (σ (φ), 2). The “certain probability” is a probability of less than 100%. The example of “certain probability” is a probability that cannot be ignored, and the example of “probability that cannot be ignored” is a case where a polynomial ψ (k) is a polynomial that is a broad monotone increasing function for the security parameter k. Of 1 / ψ (k) or more. That is, the first output information calculation unit 1201-φ and the second output information calculation unit 1202-φ can output a calculation result including an intentional or unintentional error. In other words, the first output information calculation unit 1201-phi calculation results for the f φ (τ φ, 1) if the case also f φ (τ φ, 1) may not be the second output information calculation unit 1202 calculation results for -φ is f φ φ, 2) in some cases the f φ φ, 2) may not be. The first output information calculation unit 1201-φ outputs the first output information z φ, 1 , and the second output information calculation unit 1202-φ outputs the second output information z φ, 2 (step S1203).

図7に戻り、第一出力情報zφ,1は仲介装置11(図2)の第一計算部1105に入力され、第二出力情報zφ,2は第二計算部1108に入力される。これらの第一出力情報zφ,1及び第二出力情報zφ,2が、情報提供装置12−φから仲介装置11に与えられた再暗号化能力に相当する(ステップS1104)。 Returning to FIG. 7, the first output information z φ, 1 is input to the first calculation unit 1105 of the mediation apparatus 11 (FIG. 2), and the second output information z φ, 2 is input to the second calculation unit 1108. The first output information z φ, 1 and the second output information z φ, 2 correspond to the re-encryption capability given to the mediation device 11 from the information providing device 12-φ (step S1104).

第一計算部1105は、第一出力情報zφ,1から演算結果uφ=fφ(Cφ,1b(φ)φ,1を生成する。ここで、fφ(Cφ,1b(φ)φ,1を生成(計算)するとは、fφ(Cφ,1b(φ)φ,1と定義される式の値を計算することである。式fφ(Cφ,1b(φ)φ,1の値を最終的に計算することができれば、途中の計算方法は問わない。これは、この出願で登場する他の式の計算についても同様である。演算結果uφは第一べき乗計算部1106に送られる(ステップS1105)。 The first calculation unit 1105 generates an operation result u φ = f φ (C φ, 1 ) b (φ) x φ, 1 from the first output information z φ, 1 . Here, f φ (C φ, 1 ) b (φ) x φ, 1 is generated (calculated) is the value of an expression defined as f φ (C φ, 1 ) b (φ) x φ, 1 Is to calculate As long as the value of the expression f φ (C φ, 1 ) b (φ) x φ, 1 can be finally calculated, the calculation method is not limited. The same applies to the calculation of other equations appearing in this application. Operation result u phi is sent to the first power calculating unit 1106 (step S1105).

第一べき乗計算部1106はuφ’=uφ a(φ)を計算する。計算結果uφとその計算結果に基づいて計算されたuφ’との組(uφ,uφ’)は、第一リスト記憶部1107に記憶される(ステップS1106)。 The first power calculating unit 1106 calculates the u φ '= u φ a ( φ). A set (u φ , u φ ′) of the calculation result u φ and u φ ′ calculated based on the calculation result is stored in the first list storage unit 1107 (step S1106).

判定部1111は、第一リスト記憶部1107に記憶された組(uφ,uφ’)及び第二リスト記憶部1110に記憶された組(vφ,vφ’)の中で、uφ’とvφ’とが互いに同一の暗号文の類CLφ(Mφ)に属するものがあるかを判定する。必ずしもMφを計算できる必要はなく、またMφ=mφであることまでは判定できなくてもよい(以下同様)。言い換えると、判定部1111は、同一の暗号文の類CLφ(Mφ)に属するuφ’とvφ’との組があるか判定する。例えば、第二暗号化方式ENCφ,2が確定暗号方式の場合、判定部1111は、uφ’=vφ’であるかを判定する(ステップS1107)。もし、第二リスト記憶部1110に組(vφ,vφ’)が記憶されていない場合には、このステップS1107の処理を行わずに、次のステップS1108の処理を行う。同一の暗号文の類CLφ(Mφ)に属するuφ’とvφ’との組があった場合には、ステップS1114に進む。同一の暗号文の類CLφ(Mφ)に属するuφ’とvφ’との組がなかった場合には、ステップS1108に進む。 Judging unit 1111, among the pairs stored in the first list storage unit 1107 (u φ, u φ ' ) and the set stored in the second list storage unit 1110 (v φ, v φ' ), u φ It is determined whether “and v φ ” belong to the same ciphertext class CL φ (M φ ). It is not always necessary to calculate M φ, and it may not be possible to determine that M φ = m φ (the same applies hereinafter). In other words, the determination unit 1111 determines whether there is a set of classes CL of the same ciphertext phi 'and v φ' (M φ) u φ belonging to the. For example, when the second encryption method ENC φ, 2 is a definite encryption method, the determination unit 1111 determines whether u φ ′ = v φ ′ (step S1107). If the set (v φ , v φ ′) is not stored in the second list storage unit 1110, the process of the next step S1108 is performed without performing the process of step S1107. If there is a set of u φ ′ and v φ ′ belonging to the same ciphertext class CL φ (M φ ), the process proceeds to step S1114. If there is no pair of u φ ′ and v φ ′ belonging to the same ciphertext class CL φ (M φ ), the process proceeds to step S1108.

ステップS1108では、第二計算部1108が、第二出力情報zφ,2から演算結果vφ=fφ(Cφ,1a(φ)φ,2を生成する。演算結果vφは第二べき乗計算部1109に送られる(ステップS1108)。 In step S < b > 1108, the second calculation unit 1108 generates an operation result v φ = f φ (C φ, 1 ) a (φ) x φ, 2 from the second output information z φ, 2 . Operation result v phi is fed into a second power calculating unit 1109 (step S1108).

第二べき乗計算部1109はvφ’=vφ b(φ)を計算する。計算結果vφとその計算結果に基づいて計算されたvφ’との組(vφ,vφ’)は、第二リスト記憶部1110に記憶される(ステップS1109)。 The second power calculation section 1109 v φ '= v calculating the φ b (φ). A set ( , ′) of the calculation result and ′ calculated based on the calculation result is stored in the second list storage unit 1110 (step S1109).

判定部1111は、第一リスト記憶部1107に記憶された組(uφ,uφ’)及び第二リスト記憶部1110に記憶された組(vφ,vφ’)の中で、uφ’とvφ’とが互いに同一の暗号文の類CLφ(Mφ)に属するものがあるかを判定する。例えば、第二暗号化方式ENCφ,2が確定暗号方式の場合、判定部1111は、uφ’=vφ’であるかを判定する(ステップS1110)。同一の暗号文の類CLφ(Mφ)に属するuφ’とvφ’との組があった場合には、ステップS1114に進む。同一の暗号文の類CLφ(Mφ)に属するuφ’とvφ’との組がなかった場合には、ステップS1111に進む。 Judging unit 1111, among the pairs stored in the first list storage unit 1107 (u φ, u φ ' ) and the set stored in the second list storage unit 1110 (v φ, v φ' ), u φ It is determined whether “and v φ ” belong to the same ciphertext class CL φ (M φ ). For example, when the second encryption method ENC φ, 2 is a definite encryption method, the determination unit 1111 determines whether u φ ′ = v φ ′ (step S1110). If there is a set of u φ ′ and v φ ′ belonging to the same ciphertext class CL φ (M φ ), the process proceeds to step S1114. If there is no set of u φ ′ and v φ ′ belonging to the same ciphertext class CL φ (M φ ), the process proceeds to step S1111.

ステップS1111では、制御部1114がt=Tであるか判定する(ステップS1111)。Tは予め定められた自然数である。Tはすべてのφについて同一値であってもよいし、φについての自己訂正処理でのTの値と、φ’(σ’≠σ,σ’=1,…,Φ)についての自己訂正処理でのTの値が相違する場合があってもよい。t=Tであれば、処理部1112が、計算をすることができなかった旨の情報、例えば記号「⊥」を出力して(ステップS1113)、処理を終える。t=Tでない場合には、制御部1114は、tを1だけインクリメント、すなわちt=t+1(t+1を新たなt)として(ステップS1112)、ステップS1103に戻る。   In step S1111, the control unit 1114 determines whether t = T (step S1111). T is a predetermined natural number. T may be the same value for all φ, or the value of T in the self-correction processing for φ and the self-correction processing for φ ′ (σ ′ ≠ σ, σ ′ = 1,..., Φ) There may be a case where the values of T in are different. If t = T, the processing unit 1112 outputs information indicating that the calculation could not be performed, for example, the symbol “⊥” (step S1113), and ends the process. If not t = T, the control unit 1114 increments t by 1, that is, sets t = t + 1 (t + 1 is a new t) (step S1112), and returns to step S1103.

計算をすることができなかった旨の情報(この例では記号「⊥」)は、情報提供装置12−φが正しく計算を行う信頼性がTで定められる基準を下回るということを意味する。言い換えれば、T回の繰り返しで正しい演算を行うことができなかったということを意味する。   Information indicating that the calculation could not be performed (in this example, the symbol “⊥”) means that the reliability with which the information providing apparatus 12-φ correctly performs the calculation is lower than the standard defined by T. In other words, it means that a correct operation could not be performed by repeating T times.

ステップS1114では、処理部1112が、同一の暗号文の類CLφ(Mφ)に属すると判定されたuφ’とvφ’との組に対応するuφ及びvφを用いてuφ b’(φ)φ a’(φ)を計算して、出力して処理を終える(ステップS1114)。このように計算されたuφ b’(φ)φ a’(φ)は、高い確率で第二暗号文fφ(Cφ,1)=Cφ,2∈Gφとなる(高い確率でuφ b’(φ)φ a’(φ)=fφ(Cφ,1)となる理由については後述する)。よって、少なくともφについての自己訂正処理を複数回繰り返し、ステップS1114で得られた値のうち最も頻度の高いuφ b’(φ)φ a’(φ)を選択すれば、選択されたuφ b’(φ)φ a’(φ)が第2暗号文Cφ,2であることの信頼度(確率など)は所定値以上となる。たとえば、セキュリティパラメータをkとするとき、k回の自己訂正処理を繰り返せば、無視できる確率をのぞいて正しい計算を行うことができる。また、後述するように、設定によっては圧倒的な確率でuφ b’(φ)φ a’(φ)=fφ(Cφ,1)となる。その場合にはステップS1114で得られたuφ b’(φ)φ a’(φ)が第2暗号文Cφ,2であることの信頼度は必ず所定値以上となる([φについての自己訂正処理]についての説明終わり)。 In step S1114, the processing unit 1112 uses u φ and v φ corresponding to a set of u φ ′ and v φ ′ determined to belong to the same ciphertext class CL φ (M φ ), and u φ. b ′ (φ) v φa ′ (φ) is calculated and output to finish the processing (step S1114). Thus calculated u φ b '(φ) v φ a' (φ) , the second ciphertext f phi with a high probability (C φ, 1) = C φ, a 2 ∈G phi (high probability in u φ b '(φ) v φ a' (φ) = f φ (C φ, 1) will be described later why the). Therefore, if at least self-correction processing for φ is repeated a plurality of times and u φ b ′ (φ) v φ a ′ (φ) having the highest frequency is selected from the values obtained in step S1114, the selected u The reliability (probability, etc.) that φ b ′ (φ) v φ a ′ (φ) is the second ciphertext C φ, 2 is a predetermined value or more. For example, when the security parameter is k, if k self-correction processes are repeated, correct calculation can be performed except for negligible probabilities. Further, as will be described later, depending on the setting, u φ b ′ (φ) v φ a ′ (φ) = f φ (C φ, 1 ) with an overwhelming probability. In that case, the reliability that u φ b ′ (φ) v φ a ′ (φ) obtained in step S1114 is the second ciphertext C φ, 2 is always greater than or equal to a predetermined value ([About φ End of explanation of self-correction processing].

図6に戻り、仲介装置11(図2)の処理部1112は、φについての自己訂正処理で得られたuφ b’(φ)φ a’(φ)が第2暗号文Cφ,2であることの信頼度が所定値以上であるかを判定する(ステップS113)。 Returning to FIG. 6, the processing unit 1112 of the intermediary device 11 (FIG. 2) determines that u φ b ′ (φ) v φ a ′ (φ) obtained by the self-correction processing for φ is the second ciphertext C φ, It is determined whether or not the reliability of 2 is equal to or greater than a predetermined value (step S113).

ここで得られたuφ b’(φ)φ a’(φ)が第2暗号文Cφ,2であることの信頼度が所定値以上でなかったと判定された場合、φを更新することなくステップS112に戻ってステップS112の処理が再び実行される。例えば、ステップS1113で計算をすることができなかった旨の情報が出力された場合には、信頼度が所定値以上でなかったと判定される。また、ステップS1114でuφ b’(φ)φ a’(φ)が得られたとしても、φについての自己訂正処理を複数回繰り繰り返さなくてはuφ b’(φ)φ a’(φ)の信頼度を評価できない場合には、信頼度を評価できる所定の回数だけφについての自己訂正処理が繰り返されるまで、信頼度が所定値以上でなかったと判定される。 When it is determined that the reliability of the obtained u φ b ′ (φ) v φ a ′ (φ) being the second ciphertext C φ, 2 is not greater than or equal to a predetermined value, φ is updated. Without returning to step S112, the process of step S112 is executed again. For example, if information indicating that the calculation could not be performed is output in step S1113, it is determined that the reliability is not greater than or equal to a predetermined value. Further, in step S1114 u φ b '(φ) v φ a' as (phi) is obtained, is not repeated repeated several times its own correction for φ u φ b '(φ) v φ a If the reliability of '(φ) cannot be evaluated, it is determined that the reliability is not greater than or equal to a predetermined value until the self-correction processing for φ is repeated a predetermined number of times that the reliability can be evaluated.

一方、得られたuφ b’(φ)φ a’(φ)が第2暗号文Cφ,2であることの信頼度が所定値以上であったと判定された場合、処理部1112は、信頼度が所定値以上のuφ b’(φ)φ a’(φ)を出力し、それが最終出力部1113に入力される。例えば、ステップS1114でuφ b’(φ)φ a’(φ)が得られた場合にその信頼度が必ず所定値以上となる設定の場合には、ステップS1114でuφ b’(φ)φ a’(φ)が最終出力部1113に入力される。また、φについての自己訂正処理を複数回繰り繰り返さなくてはuφ b’(φ)φ a’(φ)の信頼度を評価できない場合であって、かつ、信頼度を評価できる所定の回数だけφについての自己訂正処理が繰り返された場合には、それらの自己訂正処理で得られたuφ b’(φ)φ a’(φ)のうち最も頻度の高いものが最終出力部1113に入力される。最終出力部1113に入力されたuφ b’(φ)φ a’(φ)は図示していない最終出力部1113内の記憶部に格納され、ステップS114に進む。 On the other hand, if it is determined that the reliability of the obtained u φ b ′ (φ) v φ a ′ (φ) is the second ciphertext C φ, 2 , the processing unit 1112 , U φ b ′ (φ) v φ a ′ (φ) having a reliability greater than or equal to a predetermined value is output and input to the final output unit 1113. For example, when u φ b ′ (φ) v φ a ′ (φ) is obtained in step S1114, if the reliability is always set to a predetermined value or more, u φ b ′ (φ is set in step S1114. ) V φ a ′ (φ) is input to the final output unit 1113. Further, it is a case where the reliability of u φ b ′ (φ) v φ a ′ (φ) cannot be evaluated without repeating the self-correction processing for φ a plurality of times, and the reliability can be evaluated. When self correction processing for φ is repeated a number of times, the most frequent one of u φ b ′ (φ) v φ a ′ (φ) obtained by the self correction processing is the final output unit. 1113 is input. U φ b ′ (φ) v φa ′ (φ) input to the final output unit 1113 is stored in a storage unit in the final output unit 1113 (not shown ) , and the process proceeds to step S114.

ステップS114では、制御部1114がφ=Φであるかを判定する(ステップS114)。ここでφ=Φでなければ、制御部1114はφを1だけインクリメント、すなわちφ=φ+1(φ+1を新たなφ)として(ステップS115)、ステップS112に戻って[φについての自己訂正処理]が実行される。一方、φ=Φであれば、最終出力部1113は、最終出力部1113内の記憶部(図示せず)に格納されたすべての値uφ b’(φ)φ a’(φ)(φ=1,…,Φ)を出力する。すなわち、最終出力部1113は、上述のようにすべてのφ=1,…,Φについて値uφ b’(φ)φ a’(φ)が計算された後に、各uφ b’(φ)φ a’(φ)(φ=1,…,Φ)を出力する。これにより、情報提供装置12−1及び12−2による持ち逃げ問題を抑制できる。また、仲介装置11が第一復号鍵s(φ,1)や第二復号鍵s(φ,2)を利用可能でない場合、仲介装置11に平文mφの情報が知られることはない(ステップS116)。 In step S114, the control unit 1114 determines whether φ = Φ (step S114). If φ = φ is not satisfied, the control unit 1114 increments φ by 1, that is, φ = φ + 1 (φ + 1 is a new φ) (step S115), and returns to step S112 to [self correction processing for φ]. Executed. On the other hand, if φ = Φ, the final output unit 1113 displays all values u φ b ′ (φ) v φ a ′ (φ) ( φ) stored in a storage unit (not shown) in the final output unit 1113. φ = 1,..., Φ) are output. That is, the final output section 1113, all of phi = 1 as described above, ..., the value for Φ u φ b '(φ) v φ a' (φ) after is calculated, the u φ b '(φ ) V φ a ′ (φ) (φ = 1,..., Φ) is output. Thereby, the problem of being carried away by the information providing apparatuses 12-1 and 12-2 can be suppressed. If the mediation device 11 cannot use the first decryption key s (φ, 1) or the second decryption key s (φ, 2), the mediation device 11 does not know the plaintext information (step). S116).

各uφ b’(φ)φ a’(φ)は、それぞれ第2暗号文Cφ,2として情報提供装置12−σ(φ)に入力される。本形態では、uσ(φ) b’(σ(φ))σ(φ) a’(σ(φ))が第二暗号文Cσ(φ),2として情報提供装置12−φ(図3)の復号部1207−φに入力される。復号部1207−φは、鍵記憶部1204−φから第二復号鍵s(φ,2)を読み出し、それを用いて第2暗号文Cσ(φ),2を復号し、得られた復号結果を出力する。 Each u φ b '(φ) v φ a' (φ) , the second ciphertext C phi, respectively, are input to the 2 as an information providing apparatus 12-σ (φ). In this embodiment, u σ (φ) b ′ (σ (φ)) v σ (φ) a ′ (σ (φ)) is the second ciphertext C σ (φ), 2 and the information providing device 12-φ ( It is input to the decoding unit 1207-φ in FIG. The decryption unit 1207-φ reads the second decryption key s (φ, 2) from the key storage unit 1204-φ, decrypts the second ciphertext C σ (φ), 2 using it, and obtains the decryption obtained Output the result.

≪高い確率でuφ b’(φ)φ a’(φ)=fφ(Cφ,1)となる理由について≫
φを群Gφに値を持つ確率変数とする。wφ∈Gφについて、要求を受けるたびに確率変数Xφに従った標本xφ’に対応するwφφ’を返すものを、wφについて誤差Xφを持つ標本器(sampler)と呼ぶ。 «U φ b with a high probability '(φ) v φ a' (φ) = f φ (C φ, 1) to become a reason for»
Let Xφ be a random variable having a value in the group . For w φ ∈G φ , a sampler having an error X φ for w φ that returns w φ x φ 'corresponding to the sample x φ ' according to the random variable X φ every time a request is received. Call.

φ∈Gφについて、自然数a(φ)が与えられるたびに確率変数Xφに従った標本xφ’に対応するwφ a(φ)φ’を返すものを、wφについて誤差Xφを持つ乱数化可能標本器(randomizable sampler)と呼ぶ。乱数化可能標本器はa(φ)=1として用いられれば標本器として機能する。 For w φ ∈G φ , every time a natural number a (φ) is given, the one that returns w φ a (φ) x φ ′ corresponding to the sample x φ ′ according to the random variable X φ is the error X for w φ This is called a randomizable sampler having φ . A randomizable sampler functions as a sampler when a (φ) = 1 is used.

本実施形態の入力情報提供部1104と第一出力情報計算部1201−φと第一計算部1105との組み合わせが、fφ(Cφ,1)について誤差Xφ,1を持つ乱数化可能標本器(「第一乱数化可能標本器」と呼ぶ)であり、入力情報提供部1104と第二出力情報計算部1202−φと第二計算部1108との組み合わせが、fφ(Cφ,1)について誤差Xφ,2を持つ乱数化可能標本器(「第二乱数化可能標本器」と呼ぶ)である。 The combination of the input information providing unit 1104, the first output information calculating unit 1201-φ, and the first calculating unit 1105 of the present embodiment is a randomizable sample having an error X φ, 1 with respect to f φ (C φ, 1 ). A combination of the input information providing unit 1104, the second output information calculating unit 1202-φ, and the second calculating unit 1108 is f φ (C φ, 1 ) Is a randomizable sampler having an error X φ, 2 (referred to as “second randomizable sampler”).

φ’とvφ’とが互いに同一の暗号文の類CLφ(Mφ)に属するのは、第一乱数化可能標本器がuφ=fφ(Cφ,1b(φ)を正しく計算しており、第二乱数化可能標本器がvφ=fφ(Cφ,1a(φ)を正しく計算している(xφ,1及びxφ,2が群Gφの単位元eφ,gである)可能性が高いことを発明者は見出した。説明の簡略化の観点から、この証明は第五実施形態で行う。 u φ 'and v φ ' belong to the same ciphertext class CL φ (M φ ) because the first randomizable sampler is u φ = f φ (C φ, 1 ) b (φ) And the second randomizable sampler correctly calculates v φ = f φ (C φ, 1 ) a (φ) (x φ, 1 and x φ, 2 are group G φ The inventor has found that there is a high possibility that the unit element e φ, g of From the viewpoint of simplifying the explanation, this proof is performed in the fifth embodiment.

第一乱数化可能標本器がuφ=fφ(Cφ,1b(φ)を正しく計算しており、第二乱数化可能標本器がvφ=fφ(Cφ,1a(φ)を正しく計算しているとき(xφ,1及びxφ,2が群Gφの単位元eφ,gであるとき)、uφ b’(φ)=(fφ(Cφ,1b(φ)φ,1b’(φ)=(fφ(Cφ,1b(φ)φ,gb’(φ)=fφ(Cφ,1b(φ)b’(φ)となり、vφ a’(φ)=(fφ(Cφ,1a(φ)φ,2a’(φ)=(fφ(Cφ,1a(φ)φ,ga’(φ)=fφ(Cφ,1a(φ)a’(φ)となる。そのため、第二暗号化方式が確定暗号方式なのであればuφ b’(φ)φ a’(φ)=fφ(Cφ,1(b(φ)b’(φ)+a(φ)a’(φ))=fφ(Cφ,1)となる。一方、第二暗号化方式が確率暗号方式であったとしてもfφ(Cφ,1)が準同型関数なのであれば、uφ b’(φ)φ a’(φ)=fφ(Cφ,1 (b(φ)b’(φ)+a(φ)a’(φ)))=fφ(Cφ,1)となる。 The first randomization can sampler is u φ = f φ (C φ , 1) b (φ) has been correctly calculated, the second random number of possible sampler is v φ = f φ (C φ , 1) a When (φ) is correctly calculated (when x φ, 1 and x φ, 2 are unit elements e φ, g of group G φ ), u φ b ′ (φ) = (f φ (C φ , 1 ) b (φ) x φ, 1 ) b ′ (φ) = (f φ (C φ, 1 ) b (φ) e φ, g ) b ′ (φ) = f φ (C φ, 1 ) b (φ) b ′ (φ) and vφa ′ (φ) = ( ( Cφ, 1 ) a (φ) xφ, 2 ) a ′ (φ) = ( ( Cφ, 1 ) a (φ) e φ, g ) a ′ (φ) = f φ (C φ, 1 ) a (φ) a ′ (φ) Therefore, if the second encryption method is a definite encryption method, u φ b ′ (φ) v φ a ′ (φ) = f φ (C φ, 1 ) (b (φ) b ′ (φ) + a (φ ) A ′ (φ)) = f φ (C φ, 1 ). On the other hand, even if the second encryption method is a stochastic encryption method, if f φ (C φ, 1 ) is a homomorphic function, u φ b ′ (φ) v φa ′ (φ) = f φ ( C φ, 1 (b (φ) b ′ (φ) + a (φ) a ′ (φ)) ) = f φ (C φ, 1 ).

また、(q,q)∈Iについて、i=1,2の各々について関数πをπ(q,q)=qで定義する。さらに、L=min(♯π(S),♯π(S))とする。♯・は、集合・の位数である。群Gφが巡回群などの有限可換群や位数の計算が困難な群であるときには、仲介装置11が「⊥」以外を出力するときの出力がfφ(Cφ,1)ではない確率は、無視できる程度の誤差の範囲で高々TL/♯S程度と期待することができる。もしL/♯Sが無視できる量でTが多項式オーダー程度の量であれば、仲介装置11は圧倒的な確率で正しいfφ(Cφ,1)を出力する。L/♯Sが無視できる量になるようなSの例には、例えばS={(1,d)|d∈[2,|Gφ|−1]}がある。 For (q 1 , q 2 ) ∈I, a function π i is defined as π i (q 1 , q 2 ) = q i for each of i = 1 and 2 . Further, L = min (# π 1 (S), # π 2 (S)). # · Is the order of the set. When the group G φ is a finite commutative group such as a cyclic group or a group whose order is difficult to calculate, the output when the mediating device 11 outputs something other than “⊥” is not f φ (C φ, 1 ). The probability can be expected to be at most about T 2 L / # S within a negligible error range. If L / # S is a negligible amount and T is an amount on the order of polynomials, the intermediary device 11 outputs the correct f φ (C φ, 1 ) with an overwhelming probability. For example, S = {(1, d) | dε [2, | G φ | −1]} is an example of S in which L / # S becomes a negligible amount.

[第二実施形態]
第二実施形態の情報提供システムは、上述した第一乱数化可能標本器及び第二乱数化可能標本器を具体化した例である。以下、第一実施形態と異なる部分を中心に説明し、共通する部分については重複説明を省略する。以下の説明において、同一の参照番号が付された部分は同一の機能を持つものとし、同一の参照番号が付されたステップは同一の処理を表すものとする。 [Second Embodiment]
The information providing system of the second embodiment is an example in which the first randomizable sampler and the second randomizable sampler described above are embodied. Hereinafter, the description will focus on the parts that are different from the first embodiment, and overlapping description will be omitted for common parts. In the following description, parts denoted by the same reference numbers have the same function, and steps denoted by the same reference numbers represent the same processing.

<構成>
図1に例示するように、第二実施形態の情報提供システム2は、仲介装置11が仲介装置21に置換され、情報提供装置12−φが情報提供装置22−φに置換されたものである。 <Configuration>
As illustrated in FIG. 1, the information providing system 2 according to the second embodiment is one in which the mediating device 11 is replaced with a mediating device 21 and the information providing device 12 -φ is replaced with an information providing device 22 -φ. .

図2に例示するように、第二実施形態の仲介装置21は、例えば、自然数記憶部1101と自然数選択部1102と整数計算部1103と入力情報提供部2104と第一計算部2105と第一べき乗計算部1106と第一リスト記憶部1107と第二計算部2108と第二べき乗計算部1109と第二リスト記憶部1110と判定部1111と処理部1112と最終出力部1113と制御部1114とを有する。図4に例示するように、本形態の入力情報提供部2104は、例えば、第一乱数生成部2104aと第一入力情報計算部2104bと第二乱数生成部2104cと第二入力情報計算部2104dとを有する。   As illustrated in FIG. 2, the intermediary device 21 of the second embodiment includes, for example, a natural number storage unit 1101, a natural number selection unit 1102, an integer calculation unit 1103, an input information provision unit 2104, a first calculation unit 2105, and a first power. A calculation unit 1106, a first list storage unit 1107, a second calculation unit 2108, a second power calculation unit 1109, a second list storage unit 1110, a determination unit 1111, a processing unit 1112, a final output unit 1113, and a control unit 1114 . As illustrated in FIG. 4, the input information providing unit 2104 of this embodiment includes, for example, a first random number generation unit 2104 a, a first input information calculation unit 2104 b, a second random number generation unit 2104 c, and a second input information calculation unit 2104 d. Have

図3に例示するように、第二実施形態の情報提供装置22−φ(φ=1,2)は、例えば、それぞれ、第一出力情報計算部2201−φと第二出力情報計算部2202−φと鍵記憶部1204−φと暗号文記憶部1205−φと出力部1206−φと復号部1207−φと制御部1208−φとを有する。   As illustrated in FIG. 3, the information providing apparatus 22-φ (φ = 1, 2) of the second embodiment, for example, includes a first output information calculation unit 2201-φ and a second output information calculation unit 2202-, respectively. φ, key storage unit 1204-φ, ciphertext storage unit 1205-φ, output unit 1206-φ, decryption unit 1207-φ, and control unit 1208-φ.

<処理の前提>
第二実施形態では、関数fφを準同型関数とし、群Hφの生成元をμφ,h、群Hφの位数をKφ,H、νφ=fφ(μφ,h)とする。その他の前提は、仲介装置11が仲介装置21に置換され、情報提供装置12−φが情報提供装置22−φに置換されている以外、第一実施形態と同一である。 <Processing premise>
In the second embodiment, the function f φ is a homomorphic function, the generation source of the group H φ is μ φ, h , the order of the group H φ is K φ, H , and ν φ = f φφ, h ). And Other preconditions are the same as those in the first embodiment except that the mediating device 11 is replaced with the mediating device 21 and the information providing device 12-φ is replaced with the information providing device 22-φ.

<処理>
図6〜図8に例示するように、第二実施形態の処理は第一実施形態のステップS113のステップS1103〜S1105,S1108,S1200〜S1203が、それぞれ、ステップS213のステップS2103〜S2105,S2108,S2200〜S2203に置換されたものである。以下ではステップS213のステップS2103〜S2105,S2108,S2200〜S2203の処理のみを説明する。 <Processing>
As illustrated in FIGS. 6 to 8, in the processing of the second embodiment, steps S <b> 1103 to S <b> 1105, S <b> 1108, and S <b> 1200 to S <b> 1203 of step S <b> 113 are steps S <b> 2103 to S <b> 2105, S <b> 2108, respectively. It has been replaced with S2200 to S2203. Only the processing of steps S2103 to S2105, S2108, and S2200 to S2203 of step S213 will be described below.

《ステップS2103の処理》
仲介装置21(図2)の入力情報提供部2104は、入力された第一暗号文Cφ,1にそれぞれ対応する第一入力情報τφ,1及び第二入力情報τφ,2を生成して出力する(図7/ステップS2103)。以下、図9を用いて本形態のステップS2103の処理を説明する。 << Processing in Step S2103 >>
The input information providing unit 2104 of the intermediary device 21 (FIG. 2) generates first input information τ φ, 1 and second input information τ φ, 2 corresponding to the input first ciphertext C φ, 1 respectively. (FIG. 7 / step S2103). Hereinafter, the processing in step S2103 of this embodiment will be described with reference to FIG.

第一乱数生成部2104a(図4)は、0以上Kφ,H未満の自然数の一様乱数r(φ,1)を生成する。生成された乱数r(φ,1)は、第一入力情報計算部2104b及び第一計算部2105に送られる(ステップS2103a)。第一入力情報計算部2104bは、入力された乱数r(φ,1)と第一暗号文Cφ,1と自然数b(φ)とを用いて第一入力情報τφ,1=μφ,h r(φ,1)φ,1 b(φ)を計算する(ステップS2103b)。 The first random number generator 2104a (FIG. 4) generates a natural random number r (φ, 1) that is a natural number of 0 or more and less than K φ, H. The generated random number r (φ, 1) is sent to the first input information calculation unit 2104b and the first calculation unit 2105 (step S2103a). The first input information calculation unit 2104b uses the input random number r (φ, 1), the first ciphertext C φ, 1 and the natural number b (φ) to input the first input information τ φ, 1 = μ φ, h r (φ, 1) C φ, 1 b (φ) is calculated (step S2103b).

第二乱数生成部2104cは、0以上Kφ,H未満の自然数の一様乱数r(φ,2)を生成する。生成された乱数r(φ,2)は、第二入力情報計算部2104d及び第二計算部2108に送られる(ステップS2103c)。第二入力情報計算部2104dは、入力された乱数r(φ,2)と第一暗号文Cφ,1と自然数a(φ)とを用いて第二入力情報τφ,2=μφ,h r(φ,2)φ,1 a(φ)を計算する(ステップS2103d)。 The second random number generation unit 2104c generates a natural random number r (φ, 2) that is a natural number of 0 or more and less than K φ, H. The generated random number r (φ, 2) is sent to the second input information calculation unit 2104d and the second calculation unit 2108 (step S2103c). The second input information calculation unit 2104d uses the input random number r (φ, 2), the first ciphertext C φ, 1 and the natural number a (φ) to input the second input information τ φ, 2 = μ φ, hr (φ, 2) C φ, 1 a (φ) is calculated (step S2103d).

第一入力情報計算部2104b及び第二入力情報計算部2104dは、以上のように生成した第一入力情報τφ,1及び第二入力情報τφ,2を出力する(ステップS2103e)。なお、本形態の第一入力情報τφ,1及び第二入力情報τφ,2は、それぞれ、乱数r(φ,1),r(φ,2)によって第一暗号文Cφ,1との関係をかく乱させた情報である。これにより、仲介装置22は、第一暗号文Cφ,1を情報提供装置22−φに対して隠蔽できる。また、本形態の第一入力情報τφ,1は自然数選択部1102で選択された自然数b(φ)にさらに対応し、第二入力情報τφ,2は自然数選択部1102で選択された自然数a(φ)にさらに対応する。これにより、情報提供装置22−φから提供された再暗号化能力を仲介装置21が高い精度で評価することができる。 The first input information calculation unit 2104b and the second input information calculation unit 2104d output the first input information τ φ, 1 and the second input information τ φ, 2 generated as described above (step S2103e). Note that the first input information τ φ, 1 and the second input information τ φ, 2 in this embodiment are the first ciphertext C φ, 1 and the random number r (φ, 1) and r (φ, 2), respectively. It is information that disturbed the relationship. Thereby, the mediation device 22 can conceal the first ciphertext Cφ, 1 from the information providing device 22-φ. In addition, the first input information τ φ, 1 of this embodiment further corresponds to the natural number b (φ) selected by the natural number selection unit 1102, and the second input information τ φ, 2 is the natural number selected by the natural number selection unit 1102. Further corresponds to a (φ). Thereby, the intermediary device 21 can evaluate the re-encryption capability provided from the information providing device 22-φ with high accuracy.

《ステップS2200〜S2203の処理》
図8に例示するように、まず、第一入力情報τφ,1=μφ,h r(φ,1)φ,1 b(φ)が情報提供装置22−φ(図3)の第一出力情報計算部2201−φに入力され、第二入力情報τφ,2=μφ,h r(φ,2)φ,1 a(φ)が第二出力情報計算部2202−φに入力される(ステップS2200)。 << Processes in Steps S2200 to S2203 >>
As illustrated in FIG. 8, first, the first input information τ φ, 1 = μ φ, hr (φ, 1) C φ, 1 b (φ) is the first information of the information providing device 22-φ (FIG. 3). The second input information τ φ, 2 = μ φ, hr (φ, 2) C φ, 1 a (φ) is input to the first output information calculation unit 2201-φ, and the second output information calculation unit 2202-φ. Input (step S2200).

第一出力情報計算部2201−φは、第一入力情報τφ,1=μφ,h r(φ,1)φ,1 b(φ)と鍵記憶部1204−φに格納された第一復号鍵s(φ,1)及び第二暗号化鍵y(σ(φ),2)とを用い、或る確率より大きな確率でfφ(μφ,h r(φ,1)φ,1 b(φ))を正しく計算し、得られた計算結果を第一出力情報zφ,1とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第一出力情報計算部2201−φでの計算結果がfφ(μφ,h r(φ,1)φ,1 b(φ))となる場合もあれば、fφ(μφ,h r(φ,1)φ,1 b(φ))とならない場合もある。なお、関数fφの例は、第一暗号化方式ENCφ,1に則って第一復号鍵s(φ,1)で暗号文を復号して得られる値を、第二暗号化方式ENCφ,2に則って第二暗号化鍵y(σ(φ),2)で暗号化するための準同型関数である。このような関数fφに対応する第一暗号化方式ENCφ,1や第二暗号化方式ENCφ,2の例はRSA暗号方式である(ステップS2201)。 The first output information calculation unit 2201-φ receives the first input information τ φ, 1 = μ φ, hr (φ, 1) C φ, 1 b (φ) and the first storage stored in the key storage unit 1204-φ. Using one decryption key s (φ, 1) and the second encryption key y (σ (φ), 2), f φφ, hr (φ, 1) C φ is greater than a certain probability. , 1 b (φ) ) is calculated correctly, and the obtained calculation result is defined as first output information z φ, 1 . This calculation result may or may not be correct. That is, the calculation result in the first output information calculation unit 2201-φ may be f φφ, hr (φ, 1) C φ, 1 b (φ) ), or f φφ , Hr (φ, 1) C φ, 1 b (φ) ). The example of the function f phi, the first encryption method ENC phi, first decryption key s (phi, 1) in accordance with the 1 values obtained by decoding the ciphertext, the second encryption method ENC phi , 2 is a homomorphic function for encryption with the second encryption key y (σ (φ), 2). Examples of the first encryption method ENC φ, 1 and the second encryption method ENC φ, 2 corresponding to such a function f φ are RSA encryption methods (step S2201).

第二出力情報計算部2202−φは、第二入力情報τφ,2=μφ,h r(φ,2)φ,1 a(φ)と鍵記憶部1204−φに格納された第一復号鍵s(φ,1)及び第二暗号化鍵y(σ(φ),2)とを用い、或る確率より大きな確率でfφ(μφ,h r(φ,2)φ,1 a(φ))を正しく計算し、得られた計算結果を第二出力情報zφ,2とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第二出力情報計算部2202−φでの計算結果がfφ(μφ,h r(φ,2)φ,1 a(φ))となる場合もあれば、fφ(μφ,h r(φ,2)φ,1 a(φ))とならない場合もある(ステップS2202)。 The second output information calculation unit 2202-φ receives the second input information τ φ, 2 = μ φ, hr (φ, 2) C φ, 1 a (φ) and the first storage stored in the key storage unit 1204-φ. Using one decryption key s (φ, 1) and the second encryption key y (σ (φ), 2), f φφ, hr (φ, 2) C φ is greater than a certain probability. , 1 a (φ) ) is correctly calculated, and the obtained calculation result is set as second output information z φ, 2 . This calculation result may or may not be correct. That is, the calculation result in the second output information calculation unit 2202-φ may be f φφ, hr (φ, 2) C φ, 1 a (φ) ), or f φφ , Hr (φ, 2) C φ, 1 a (φ) ) may not be satisfied (step S2202).

第一出力情報計算部2201−φは第一出力情報zφ,1を出力し、第二出力情報計算部2202−φは第二出力情報zφ,2を出力する(ステップS2203)。 The first output information calculation unit 2201-φ outputs the first output information z φ, 1 , and the second output information calculation unit 2202-φ outputs the second output information z φ, 2 (step S2203).

《ステップS2104及びS2105の処理》
図7に戻り、第一出力情報zφ,1は仲介装置21(図2)の第一計算部2105に入力され、第二出力情報zφ,2は第二計算部2108に入力される。これらの第一出力情報zφ,1及び第二出力情報zφ,2が、情報提供装置22−φから仲介装置21に与えられた再暗号化能力に相当する(ステップS2104)。 << Processing in Steps S2104 and S2105 >>
Returning to FIG. 7, the first output information z φ, 1 is input to the first calculation unit 2105 of the intermediary device 21 (FIG. 2), and the second output information z φ, 2 is input to the second calculation unit 2108. The first output information z φ, 1 and the second output information z φ, 2 correspond to the re-encryption capability given to the mediation device 21 from the information providing device 22-φ (step S2104).

第一計算部2105は、入力された乱数r(φ,1)及び第一出力情報zφ,1を用いてzφ,1νφ −r(φ,1)を計算してその計算結果をuφとする。計算結果uφは、第一べき乗計算部1106に送られる。ここで、uφ=zφ,1νφ −r(φ,1)=fφ(Cφ,1b(φ)φ,1となる。すなわち、zφ,1νφ −r(φ,1)は、fφ(Cφ,1)について誤差Xφ,1を持つ乱数化可能標本器の出力となる。その理由については後述する(ステップS2105)。 The first calculation unit 2105 calculates z φ, 1 ν φ −r (φ, 1) using the input random number r (φ, 1) and the first output information z φ, 1 and calculates the calculation result. Let u φ . The calculation result u φ is sent to the first power calculation unit 1106. Here, u φ = z φ, 1 ν φ -r (φ, 1) = f φ (C φ, 1) b (φ) x φ, a 1. That is, z φ, 1 ν φ −r (φ, 1) is the output of a randomizable sampler having an error X φ, 1 with respect to f φ (C φ, 1 ). The reason will be described later (step S2105).

《ステップS2108の処理》
第二計算部2108は、入力された乱数r(φ,2)及び第二出力情報zφ,2を用いてzφ,2νφ −r(φ,2)を計算してその計算結果をvφとする。計算結果vφは、第二べき乗計算部1109に送られる。ここで、vφ=zφ,2νφ −r(φ,2)=fφ(Cφ,1a(φ)φ,2となる。すなわち、zφ,2νφ −r(φ,2)は、fφ(Cφ,1)について誤差Xφ,2を持つ乱数化可能標本器の出力となる。その理由については後述する(ステップS2108)。 << Processing in Step S2108 >>
The second calculation unit 2108, a random number r (φ, 2) input and the second output information z phi, 2 with z φ, 2 ν φ -r ( φ, 2) the calculation result by calculating the v φ . Calculation result v phi is fed to the second power calculating unit 1109. Here, v φ = z φ, 2 ν φ -r (φ, 2) = f φ (C φ, 1) a (φ) x φ, two. That is, z φ, 2 ν φ −r (φ, 2) is the output of a randomizable sampler having an error X φ, 2 with respect to f φ (C φ, 1 ). The reason will be described later (step S2108).

≪zφ,1νφ −r(φ,1),zφ,2νφ −r(φ,2)がfφ(Cφ,1)についてそれぞれ誤差Xφ,1,Xφ,2を持つ乱数化可能標本器の出力となる理由について≫
cを自然数、R及びR’を乱数として、情報提供装置22−φがμφ,h φ,1 を用いて行う計算の計算結果をB(μφ,h φ,1 )とする。すなわち、第一出力情報計算部2201−φや第二出力情報計算部2202−φが仲介装置21に返す計算結果をzφ=B(μφ,h φ,1 )とする。さらに、群Gφに値を持つ確率変数XφをXφ=B(μφ,h R’)fφ(μφ,h R’−1と定義する。 ≪z φ, 1 ν φ −r (φ, 1) , z φ, 2 ν φ −r (φ, 2) respectively give errors X φ, 1 , X φ, 2 for f φ (C φ, 1 ). Reasons for the output of a randomizable sampler
The c is a natural number, as a random number R and R ', the information providing apparatus 22-phi is mu phi, h R C phi, the calculation results of the calculations carried out using 1 c B (μ φ, h R C φ, 1 c ). That is, the calculation result returned from the first output information calculation unit 2201-φ and the second output information calculation unit 2202-φ to the mediating device 21 is set to z φ = B (μ φ, h R C φ, 1 c ). Further, a random variable X φ having a value in the group G φ is defined as X φ = B (μ φ, h R ′ ) f φφ, h R ′ ) −1 .

このとき、zφνφ −R=B(μφ,h φ,1 )f(μφ,h−R=Xφφ(μφ,h φ,1 )fφ(μφ,h−R=Xφφ(μφ,hφ(Cφ,1φ(μφ,h−R=fφ(Cφ,1φとなる。すなわち、zφνφ −Rは、fφ(Cφ,1)について誤差Xφを持つ乱数化可能標本器の出力となる。 In this case, z φ ν φ -R = B (μ φ, h R C φ, 1 c) f (μ φ, h) -R = X φ f φ (μ φ, h R C φ, 1 c) f φ (μ φ, h) -R = X φ f φ (μ φ, h) R f φ (C φ, 1) c f φ (μ φ, h) -R = f φ (C φ, 1) c X φ . That is, z φ ν φ −R is an output of a randomizable sampler having an error X φ with respect to f φ (C φ, 1 ).

上記式展開において、Xφ=B(μφ,h R’)fφ(μφ,h R’−1=B(μφ,h φ,1 )fφ(μφ,h φ,1 −1であり、B(μφ,h φ,1 )=Xφφ(μφ,h φ,1 )であるという性質を用いている。この性質は、関数fφが準同型関数であり、R及びR’が乱数であることに基づく。 In the above formula deployment, X φ = B (μ φ , h R ') f φ (μ φ, h R') -1 = B (μ φ, h R C φ, 1 c) f φ (μ φ, h R C φ, 1 c ) −1 and B (μ φ, h R C φ, 1 c ) = X φ f φφ, h R C φ, 1 c ) are used. . This property is based on the fact that the function is a homomorphic function, and R and R ′ are random numbers.

したがって、a(φ),b(φ)が自然数、r(φ,1),r(φ,2)が乱数であることを考慮すると、同様に、zφ,1ν−r(φ,1),zφ,2ν−r(φ,2)がfφ(Cφ,1)についてそれぞれ誤差Xφ,1,Xφ,2を持つ乱数化可能標本器の出力となるのである。 Therefore, considering that a (φ) and b (φ) are natural numbers and r (φ, 1) and r (φ, 2) are random numbers, similarly, z φ, 1 v −r (φ, 1 ) , Zφ, 2ν− r (φ, 2) is the output of a randomizable sampler having errors X φ, 1 , X φ, 2 for f φ (C φ, 1 ), respectively.

[第三実施形態]
第三実施形態は第二実施形態の変形例であり、a(φ)=1やb(φ)=1のときに前述した標本器によってuφ又はvφの値を計算する。一般に乱数化可能標本器よりも標本器の計算量は小さい。a(φ)=1やb(φ)=1のときに乱数化可能標本器に代わり、標本器が計算を行うことで、情報提供システムの計算量を小さくすることができる。以下、第一実施形態及び第二実施形態と異なる部分を中心に説明し、共通する部分については重複説明を省略する。 [Third embodiment]
The third embodiment is a modification of the second embodiment. When a (φ) = 1 or b (φ) = 1, the value of or is calculated by the sampler described above. In general, the amount of calculation of a sampler is smaller than that of a randomizable sampler. When a (φ) = 1 or b (φ) = 1, the sampler performs the calculation instead of the randomizable sampler, so that the calculation amount of the information providing system can be reduced. Hereinafter, the description will focus on the parts that are different from the first embodiment and the second embodiment, and overlapping description will be omitted for the common parts.

<構成>
図1に例示するように、第三実施形態の情報提供システム3は、仲介装置21が仲介装置31に置換され、情報提供装置22−φが情報提供装置32−φに置換されたものである。 <Configuration>
As illustrated in FIG. 1, the information providing system 3 according to the third embodiment is one in which the mediating device 21 is replaced with a mediating device 31 and the information providing device 22 -φ is replaced with an information providing device 32 -φ. .

図2に例示するように、第三実施形態の仲介装置31は、例えば、自然数記憶部1101と自然数選択部1102と整数計算部1103と入力情報提供部2104と第一計算部2105と第一べき乗計算部1106と第一リスト記憶部1107と第二計算部2108と第二べき乗計算部1109と第二リスト記憶部1110と判定部1111と処理部1112と最終出力部1113と制御部1114と第三計算部3109とを有する。   As illustrated in FIG. 2, the intermediary device 31 of the third embodiment includes, for example, a natural number storage unit 1101, a natural number selection unit 1102, an integer calculation unit 1103, an input information providing unit 2104, a first calculation unit 2105, and a first power. Calculation unit 1106, first list storage unit 1107, second calculation unit 2108, second power calculation unit 1109, second list storage unit 1110, determination unit 1111, processing unit 1112, final output unit 1113, control unit 1114, and third And a calculation unit 3109.

図3に例示するように、第三実施形態の情報提供装置32−φは、例えば、第一出力情報計算部2201−φと第二出力情報計算部2202−φと鍵記憶部1204−φと暗号文記憶部1205−φと出力部1206−φと復号部1207−φと制御部1208−φと第三出力情報計算部3203−φとを有する。   As illustrated in FIG. 3, the information providing apparatus 32-φ of the third embodiment includes, for example, a first output information calculation unit 2201-φ, a second output information calculation unit 2202-φ, and a key storage unit 1204-φ. A ciphertext storage unit 1205-φ, an output unit 1206-φ, a decryption unit 1207-φ, a control unit 1208-φ, and a third output information calculation unit 3203-φ are included.

<処理>
次に本形態の処理を説明する。第二実施形態との相違点を説明する。 <Processing>
Next, the processing of this embodiment will be described. Differences from the second embodiment will be described.

図6〜図8に例示するように、第三実施形態の処理は第二実施形態のステップS213のステップS2103〜S2105,S2108,S2200〜S2203が、それぞれ、ステップS313のステップS3103〜S3105,S3108,S2200〜S2203及びS3205〜S3209に置換されたものである。以下ではステップS313のステップS3103〜S3105,S3108,S2200〜S2203及びS3205〜S3209の処理を中心に説明する。   As illustrated in FIG. 6 to FIG. 8, the processing of the third embodiment includes steps S2103 to S2105, S2108, and S2200 to S2203 of step S213 of the second embodiment, and steps S3103 to S3105 and S3108 of step S313, respectively. It is replaced with S2200 to S2203 and S3205 to S3209. Below, it demonstrates centering on the process of step S3103-S3105, S3108, S2200-S2203 of step S313, and S3205-S3209.

《ステップS3103の処理》
仲介装置31(図2)の入力情報提供部3104は、入力された第一暗号文Cφ,1にそれぞれ対応する第一入力情報τφ,1及び第二入力情報τφ,2を生成して出力する(図7/ステップS3103)。 << Processing in Step S3103 >>
The input information providing unit 3104 of the intermediary device 31 (FIG. 2) generates first input information τ φ, 1 and second input information τ φ, 2 corresponding to the input first ciphertext C φ, 1 respectively. (FIG. 7 / step S3103).

以下、図9を用いて本形態のステップS3103の処理を説明する。   Hereinafter, the processing in step S3103 of this embodiment will be described with reference to FIG.

制御部1114(図2)は、自然数選択部1102で選択された自然数(a(φ),b(φ))に応じて入力情報提供部3104を制御する。   The control unit 1114 (FIG. 2) controls the input information providing unit 3104 according to the natural numbers (a (φ), b (φ)) selected by the natural number selection unit 1102.

制御部1114でb(φ)が1であるかが判定され(ステップS3103a)、b(φ)≠1であると判定された場合、前述のステップS2103a及びS2103bの処理が実行され、ステップS3103gに進む。   Whether or not b (φ) is 1 is determined by the control unit 1114 (step S3103a), and if it is determined that b (φ) ≠ 1, the processing of steps S2103a and S2103b described above is executed, and step S3103g is executed. move on.

一方、ステップS3103aでb(φ)=1であると判定された場合、第三乱数生成部3104eが、0以上Kφ,H未満の自然数の乱数r(φ,3)を生成する。生成された乱数r(φ,3)は第三入力情報計算部3104f及び第三計算部3109に送られる(ステップS3103b)。第三入力情報計算部3104fは、入力された乱数r(φ,3)と第一暗号文Cφ,1とを用いてCφ,1 r(φ,3)を計算し、これを第一入力情報τφ,1とする(ステップS3103c)。その後、ステップS3103gに進む。 On the other hand, if it is determined in step S3103a that b (φ) = 1, the third random number generation unit 3104e generates a random number r (φ, 3) that is a natural number between 0 and less than K φ and H. The generated random number r (φ, 3) is sent to the third input information calculation unit 3104f and the third calculation unit 3109 (step S3103b). Third input information calculating unit 3104f generates a random number r (phi, 3) which is input to the first cipher text C phi, 1 and C phi with, 1 r (φ, 3) is calculated, and this first Input information τ φ, 1 is set (step S3103c). Thereafter, the process proceeds to step S3103g.

ステップS3103gでは、制御部1114でa(φ)が1であるかが判定され(ステップS3103g)、a(φ)≠1であると判定された場合、前述のステップS2103c及びステップS2103dの処理が実行される。   In step S3103g, whether or not a (φ) is 1 is determined by the control unit 1114 (step S3103g), and if it is determined that a (φ) ≠ 1, the processes in steps S2103c and S2103d described above are executed. Is done.

一方、ステップS3103gでa(φ)=1であると判定された場合、第三乱数生成部3104eが、0以上Kφ,H未満の自然数の乱数r(φ,3)を生成する。生成された乱数r(φ,3)は第三入力情報計算部3104fに送られる(ステップS3103h)。第三入力情報計算部3104fは、入力された乱数r(φ,3)と第一暗号文Cφ,1とを用いてCφ,1 r(φ,3)を計算し、これを第二入力情報τφ,2とする(ステップS3103i)。 On the other hand, if it is determined in step S3103g that a (φ) = 1, the third random number generation unit 3104e generates a random number r (φ, 3) that is a natural number greater than or equal to 0 and less than K φ and H. The generated random number r (φ, 3) is sent to the third input information calculation unit 3104f (step S3103h). Third input information calculating unit 3104f generates a random number r (phi, 3) which is input to the first cipher text C phi, 1 and C phi with, 1 r (φ, 3) is calculated, and this second Input information τ φ, 2 is set (step S3103i).

第一入力情報計算部2104b、第二入力情報計算部2104d、第三入力情報計算部3104fは、以上のように生成した第一入力情報τφ,1及び第二入力情報τφ,2を対応する自然数(a(φ),b(φ))の情報とともに出力する(ステップS3103e)。なお、本形態の第一入力情報τφ,1及び第二入力情報τφ,2は、それぞれ、乱数r(φ,1),r(φ,2),r(φ,3)によって第一暗号文Cφ,1との関係をかく乱させた情報である。これにより、仲介装置31は、第一暗号文Cφ,1を情報提供装置32−φに対して隠蔽できる。 The first input information calculation unit 2104b, the second input information calculation unit 2104d, and the third input information calculation unit 3104f correspond to the first input information τ φ, 1 and the second input information τ φ, 2 generated as described above. Are output together with information on natural numbers (a (φ), b (φ)) to be performed (step S3103e). Note that the first input information τ φ, 1 and the second input information τ φ, 2 of the present embodiment are respectively expressed by random numbers r (φ, 1), r (φ, 2), r (φ, 3). This is information that disturbs the relationship with the ciphertext C φ, 1 . Thereby, the intermediary device 31 can conceal the first ciphertext Cφ, 1 from the information providing device 32-φ.

《S2200〜S2203及びS3205〜S3209の処理》
以下、図8を用いて本形態のS2200〜S2203及びS3205〜S3209の処理を説明する。 << Processing of S2200 to S2203 and S3205 to S3209 >>
Hereinafter, the processing of S2200 to S2203 and S3205 to S3209 of this embodiment will be described with reference to FIG.

制御部1208−φ(図3)は、入力された自然数(a(φ),b(φ))に応じ、第一出力情報計算部2201−φ、第二出力情報計算部2202−φ、及び第三出力情報計算部3203−φを制御する。   The control unit 1208-φ (FIG. 3), depending on the input natural numbers (a (φ), b (φ)), the first output information calculation unit 2201-φ, the second output information calculation unit 2202-φ, and The third output information calculation unit 3203-φ is controlled.

制御部1208−φの制御に基づき、b(φ)≠1の場合の第一入力情報τφ,1=μφ,h r(φ,1)φ,1 b(φ)は情報提供装置32−φ(図3)の第一出力情報計算部2201−φに入力され、a(φ)≠1の場合の第二入力情報τφ,2=μφ,h r(φ,2)φ,1 a(φ)は第二出力情報計算部2202−φに入力される。また、b(φ)=1の場合の第一入力情報τφ,1=Cφ,1 r(φ,3)やa(φ)=1の場合の第二入力情報τφ,2=Cφ,1 r(φ,3)は第三出力情報計算部3203−φに入力される(ステップS3200)。 Based on the control of the control unit 1208-φ, the first input information τ φ, 1 = μ φ, hr (φ, 1) C φ, 1 b (φ) when b (φ) ≠ 1 is an information providing device The second input information τ φ, 2 = μ φ, hr (φ, 2) C when it is input to the first output information calculation unit 2201-φ of 32-φ (FIG. 3) and a (φ) ≠ 1 φ, 1a (φ) is input to the second output information calculation unit 2202-φ. Also, the first input information τ φ, 1 = C φ, 1 r (φ, 3) when b (φ) = 1, and the second input information τ φ, 2 = C when a (φ) = 1. φ, 1r (φ, 3) is input to the third output information calculation unit 3203-φ (step S3200).

制御部1114でb(φ)が1であるかが判定され(ステップS3205)、b(φ)≠1であると判定された場合、前述のステップS2201の処理が実行される。その後、制御部1114でa(φ)が1であるかが判定され(ステップS3208)、a(φ)≠1であると判定された場合、前述したステップS2202の処理が実行されてステップS3203に進む。   The controller 1114 determines whether b (φ) is 1 (step S3205), and if it is determined that b (φ) ≠ 1, the process of step S2201 described above is executed. Thereafter, the control unit 1114 determines whether a (φ) is 1 (step S3208). If it is determined that a (φ) ≠ 1, the process of step S2202 described above is executed, and the process proceeds to step S3203. move on.

一方、ステップS3208でa(φ)=1であると判定された場合、第三出力情報計算部3203−φは、第二入力情報τφ,2=Cφ,1 r(φ,3)と鍵記憶部1204−φに格納された第一復号鍵s(φ,1)及び第二暗号化鍵y(σ(φ),2)とを用い、或る確率より大きな確率でfφ(Cφ,1 r(φ,3))を正しく計算し、得られた計算結果を第三出力情報zφ,3とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第三出力情報計算部3203−φでの計算結果がfφ(Cφ,1 r(φ,3))となる場合もあれば、fφ(Cφ,1 r(φ,3))とならない場合もある(ステップS3209)。その後、ステップS3203に進む。 On the other hand, if it is determined in step S3208 that a (φ) = 1, the third output information calculation unit 3203-φ outputs the second input information τ φ, 2 = C φ, 1 r (φ, 3) . Using the first decryption key s (φ, 1) and the second encryption key y (σ (φ), 2) stored in the key storage unit 1204-φ, f φ (C φ, 1 r (φ, 3) ) is correctly calculated, and the obtained calculation result is set as third output information z φ, 3 . This calculation result may or may not be correct. That is, the calculation result in the third output information calculation unit 3203-φ may be f φ (C φ, 1 r (φ, 3) ), or f φ (C φ, 1 r (φ, 3) ) May not be satisfied (step S3209). Thereafter, the process proceeds to step S3203.

また、ステップS3205でb(φ)=1であると判定された場合、第三出力情報計算部3203−φは、第二入力情報τφ,1=Cφ,1 r(φ,3)と鍵記憶部1204−φに格納された第一復号鍵s(φ,1)及び第二暗号化鍵y(σ(φ),2)とを用い、或る確率より大きな確率でfφ(Cφ,1 r(φ,3))を正しく計算し、得られた計算結果を第三出力情報zφ,3とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第三出力情報計算部3203−φでの計算結果がfφ(Cφ,1 r(φ,3))となる場合もあれば、fφ(Cφ,1 r(φ,3))とならない場合もある(ステップS3206)。 If it is determined in step S3205 that b (φ) = 1, the third output information calculation unit 3203-φ outputs the second input information τ φ, 1 = C φ, 1 r (φ, 3) . Using the first decryption key s (φ, 1) and the second encryption key y (σ (φ), 2) stored in the key storage unit 1204-φ, f φ (C φ, 1 r (φ, 3) ) is correctly calculated, and the obtained calculation result is set as third output information z φ, 3 . This calculation result may or may not be correct. That is, the calculation result in the third output information calculation unit 3203-φ may be f φ (C φ, 1 r (φ, 3) ), or f φ (C φ, 1 r (φ, 3) ) May not be satisfied (step S3206).

その後、制御部1114でa(φ)が1であるかが判定され(ステップS3207)、a(φ)=1であると判定された場合にはステップS3203に進み、a(φ)≠1であると判定された場合にはステップS2202に進む。   Thereafter, the control unit 1114 determines whether a (φ) is 1 (step S3207). If it is determined that a (φ) = 1, the process proceeds to step S3203, where a (φ) ≠ 1. If it is determined that there is, the process proceeds to step S2202.

ステップS3203では、第一出力情報zφ,1を生成した第一出力情報計算部2201−φは第一出力情報zφ,1を出力し、第二出力情報zφ,2を生成した第二出力情報計算部2202−φは第二出力情報zφ,2を出力し、第三出力情報zφ,3を生成した第三出力情報計算部3202は第三出力情報zφ,3を出力する(ステップS3203)。 In step S3203, the first output information z phi, the first output information calculation unit 2201-phi that generated a first output information z phi, and outputs a 1, the second generating the second output information z phi, 2 output information calculation unit 2202-phi second output information z phi, 2 outputs, the third output information z phi, third output information calculation unit 3202 that generated the 3 outputs a third output information z phi, 3 (Step S3203).

《ステップS3104及びS3105の処理》
図7に戻り、制御部1114の制御のもと、第一出力情報zφ,1は仲介装置31(図2)の第一計算部2105に入力され、第二出力情報zφ,2は第二計算部2108に入力され、第三出力情報zφ,3は第三計算部3109に入力される(ステップS3104)。 << Processing in Steps S3104 and S3105 >>
Returning to FIG. 7, under the control of the control unit 1114, the first output information z φ, 1 is input to the first calculation unit 2105 of the mediating device 31 (FIG. 2), and the second output information z φ, 2 The second calculation unit 2108 inputs the third output information z φ, 3 to the third calculation unit 3109 (step S3104).

b(φ)≠1であれば、第一計算部2105が、前述のステップS2105の処理によってuφを生成し、b(φ)=1であれば、第三計算部3109が、zφ,3 1/r(φ,3)を計算してその計算結果をuφとする。計算結果uφは第一べき乗計算部1106に送られる。ここで、b(φ)=1の場合、uφ=zφ,3 1/r(φ,3)=fφ(Cφ,1)xφ,3となる。すなわち、zφ,3 1/r(φ,3)は、fφ(Cφ,1)について誤差Xφ,3を持つ標本器となる。その理由については後述する(ステップS3105)。 If b (φ) ≠ 1, the first calculation unit 2105 generates u φ by the processing in step S2105 described above. If b (φ) = 1, the third calculation unit 3109 determines that z φ, 3 1 / r (φ, 3) is calculated, and the calculation result is u φ . The calculation result u φ is sent to the first power calculation unit 1106. Here, when b (φ) = 1, u φ = z φ, 3 1 / r (φ, 3) = f φ (C φ, 1 ) xφ, 3 . That is, z φ, 3 1 / r (φ, 3) becomes a sampler having an error X φ, 3 with respect to f φ (C φ, 1 ). The reason will be described later (step S3105).

《ステップS3108の処理》
a(φ)≠1であれば、第二計算部2108が、前述のステップS2108の処理によってvφを生成し、a(φ)=1であれば、第三計算部3109が、zφ,3 1/r(φ,3)を計算してその計算結果をvφとする。計算結果vφは第二べき乗計算部1109に送られる。ここで、a(φ)=1の場合、vφ=zφ,3 1/r(φ,3)=fφ(Cφ,1)xφ,3となる。すなわち、zφ,3 1/r(φ,3)は、fφ(Cφ,1)について誤差Xφ,3を持つ標本器となる。その理由については後述する(ステップS3108)。 << Process of Step S3108 >>
If a (φ) ≠ 1, the second calculation unit 2108 generates v φ by the process of step S2108 described above. If a (φ) = 1, the third calculation unit 3109 sets z φ, 3 1 / r (φ, 3) is calculated, and the calculation result is defined as v φ . Calculation result v phi is fed into a second power calculating unit 1109. Here, when a (φ) = 1, v φ = z φ, 3 1 / r (φ, 3) = f φ (C φ, 1 ) xφ, 3 . That is, z φ, 3 1 / r (φ, 3) becomes a sampler having an error X φ, 3 with respect to f φ (C φ, 1 ). The reason will be described later (step S3108).

なお、zφ,3 1/r(φ,3)の計算、すなわちzφ,3のべき乗根の計算が困難な場合には、次のようにしてuφ及び/又はvφを計算してもよい。第三計算部3109は、乱数r(φ,3)とその乱数r(φ,3)に基づいて計算されたzφ,3の組を順次(α,β),(α,β),…,(α,β),…として図示していない記憶部に記憶する。mは自然数である。第三計算部3109は、α,α,…,αの最小公倍数が1になれば、γ,γ,…,γを整数としてγα+γα+…+γα=1となるγ,γ,…,γを計算して、そのγ,γ,…,γを用いてΠi=1 β γi=β γ1β γ2…β γmを計算して、その計算結果をuφ及び/又はvφとしてもよい。 If it is difficult to calculate z φ, 3 1 / r (φ, 3) , that is, calculation of the power root of z φ, 3 , u φ and / or v φ are calculated as follows. Also good. The third calculation unit 3109 sequentially generates a set of (α 1 , β 1 ), (α 2 , β) for a set of z φ, 3 calculated based on the random number r (φ, 3) and the random number r (φ, 3). 2 ),..., (Α m , β m ),. m is a natural number. When the least common multiple of α 1 , α 2 ,..., Α m becomes 1, the third calculation unit 3109 sets γ 1 , γ 2 ,..., Γ m as integers to γ 1 α 1 + γ 2 α 2 +. m α m = 1 and becomes γ 1, γ 2, ..., γ m is calculated to the gamma, gamma 2, ..., gamma using m Π i = 1 m β i γi = β 1 γ1 β 2 γ2 ... Β m γm may be calculated and the calculation result may be u φ and / or v φ .

≪zφ,3 1/r(φ,3)がfφ(Cφ,1)について誤差Xφ,3を持つ標本器となる理由について≫
Rを乱数として、情報提供装置32−φがCφ,1 を用いて行う計算の計算結果をB(Cφ,1 )とする。すなわち、第一出力情報計算部2201−φや第二出力情報計算部2202−φや第三出力情報計算部3203−φが仲介装置31に返す計算結果をzφ=B(Cφ,1 )とする。さらに、群Gφに値を持つ確率変数XφをXφ=B(Cφ,1 1/Rφ(Cφ,1−1と定義する。 << Reasons why z φ, 3 1 / r (φ, 3) becomes a sampler having an error X φ, 3 for f φ (C φ, 1 ) >>
The R as a random number, the information providing apparatus 32-phi is C phi, 1 the calculation result of the calculation performed using the R B (C φ, 1 R ) to. That is, the calculation results returned from the first output information calculation unit 2201-φ, the second output information calculation unit 2202-φ, and the third output information calculation unit 3203-φ to the mediating device 31 are expressed as z φ = B (C φ, 1 R ). Further, a random variable X φ having a value in the group G φ is defined as X φ = B (C φ, 1 R ) 1 / R f φ (C φ, 1 ) −1 .

このとき、zφ 1/R=B(Cφ,1 1/R=Xφφ(Cφ,1)=fφ(Cφ,1)Xφとなる。すなわち、zφ 1/Rは、fφ(Cφ,1)について誤差Xφを持つ標本器となる。 In this case, z φ 1 / R = B (C φ, 1 R) 1 / R = X φ f φ (C φ, 1) = f φ (C φ, 1) a X phi. That is, z φ 1 / R becomes a sampler having an error X φ with respect to f φ (C φ, 1 ).

上記式展開において、Xφ=B(Cφ,1 1/Rφ(Cφ,1 −1であり、B(Cφ,1 1/R=Xφφ(Cφ,1 )であるという性質を用いている。この性質は、Rが乱数であることに基づく。 In the above formula expansion, X φ = B (C φ, 1 R ) 1 / R f φ (C φ, 1 R ) −1 and B (C φ, 1 R ) 1 / R = X φ f φ ( C φ, 1 R ). This property is based on the fact that R is a random number.

したがって、r(φ,3)が乱数であることを考慮すると、同様に、zφ 1/Rがfφ(Cφ,1)について誤差Xφ,3を持つ標本器となるのである。 Therefore, considering that r (φ, 3) is a random number, similarly, z φ 1 / R becomes a sampler having an error X φ, 3 with respect to f φ (C φ, 1 ).

[第四実施形態]
第四実施形態の情報提供システムは、上述した第一乱数化可能標本器及び第二乱数化可能標本器を具体化した他の例である。具体的には、第二暗号化方式ENCφ,2がElGamal暗号方式であり、関数fφが準同型関数である例を示す。なお、第一暗号化方式ENCφ,1には特に限定はなく、第一暗号化方式ENCφ,1はElGamal暗号方式のような確率暗号方式であってもよいし、RSA暗号方式のような確定暗号方式であってもよい。 [Fourth embodiment]
The information providing system according to the fourth embodiment is another example in which the first randomizable sampler and the second randomizable sampler described above are embodied. Specifically, an example is shown in which the second encryption method ENC φ, 2 is an ElGamal encryption method and the function f φ is a homomorphic function. The first encryption method ENC φ, 1 is not particularly limited, and the first encryption method ENC φ, 1 may be a stochastic encryption method such as an ElGamal encryption method or a RSA encryption method. A definite encryption method may be used.

以下、第一実施形態と異なる部分を中心に説明し、共通する部分については重複説明を省略する。   Hereinafter, the description will focus on the parts that are different from the first embodiment, and overlapping descriptions will be omitted for the common parts.

図1に例示するように、第四実施形態の情報提供システム4は、仲介装置11が仲介装置41に置換され、情報提供装置12−φが情報提供装置42−φに置換されたものである。   As illustrated in FIG. 1, the information providing system 4 of the fourth embodiment is one in which the mediating device 11 is replaced with a mediating device 41 and the information providing device 12 -φ is replaced with an information providing device 42 -φ. .

図2に例示するように、第四実施形態の仲介装置41は、例えば、自然数記憶部1101と自然数選択部1102と整数計算部1103と入力情報提供部4104と第一計算部4105と第一べき乗計算部1106と第一リスト記憶部1107と第二計算部4108と第二べき乗計算部1109と第二リスト記憶部1110と判定部4111と処理部1112と最終出力部1113と制御部1114とを有する。図5に例示するように、本形態の入力情報提供部4104は、例えば、第一乱数生成部4104aと第一入力情報計算部4104bと第二乱数生成部4104cと第二入力情報計算部4104dと鍵記憶部4104eとを有する。   As illustrated in FIG. 2, the intermediary device 41 of the fourth embodiment includes, for example, a natural number storage unit 1101, a natural number selection unit 1102, an integer calculation unit 1103, an input information provision unit 4104, a first calculation unit 4105, and a first power. A calculation unit 1106, a first list storage unit 1107, a second calculation unit 4108, a second power calculation unit 1109, a second list storage unit 1110, a determination unit 4111, a processing unit 1112, a final output unit 1113, and a control unit 1114; . As illustrated in FIG. 5, the input information providing unit 4104 of the present embodiment includes, for example, a first random number generation unit 4104a, a first input information calculation unit 4104b, a second random number generation unit 4104c, and a second input information calculation unit 4104d. A key storage unit 4104e.

図3に例示するように、第四実施形態の情報提供装置42−φは、例えば、第一出力情報計算部4201−φと第二出力情報計算部4202−φと鍵記憶部1204−φと暗号文記憶部1205−φと出力部1206−φと復号部1207−φと制御部1208−φとを有する。   As illustrated in FIG. 3, the information providing apparatus 42-φ of the fourth embodiment includes, for example, a first output information calculation unit 4201-φ, a second output information calculation unit 4202-φ, and a key storage unit 1204-φ. A ciphertext storage unit 1205-φ, an output unit 1206-φ, a decryption unit 1207-φ, and a control unit 1208-φ are included.

<処理の前提>
第四実施形態では、群Gφが巡回群などの有限可換群Gφ,1,Gφ,2の直積Gφ,1×Gφ,2、μφ,g1が群Gφ,1の生成元、μφ,g2が群Gφ,2の生成元、第二暗号化鍵y(σ(φ),2)がμφ,g2 s(σ(φ),2)、第二暗号文Cφ,2が(μφ,g1 r(φ),mφy(σ(φ),2)r(φ))∈Gφ,1×Gφ,2、r(φ)が整数の乱数、値uφ a(φ)が(cφ,1u,cφ,2u)∈Gφ,1×Gφ,2、値vφ b(φ)が(cφ,1v,cφ,2v)∈Gφ,1×Gφ,2である。Gφ,1=Gφ,2であってもよいし、Gφ,1≠Gφ,2であってもよい。また、前述のように第一暗号化方式ENCφ,1には限定はないが、例えば第一暗号化方式ENCφ,1がElGamal暗号方式である場合には、群Hφが巡回群などの有限可換群Hφ,1,Hφ,2の直積Hφ,1×Hφ,2、r’(φ)が整数の乱数、μφ,h1が群Hφ,1の生成元、μφ,h2が群Hφ,2の生成元、第一暗号化鍵y(φ,1)がμφ,h2 s(φ,1)、第一暗号文Cφ,1が(μφ,h1 r’(φ),mφy(φ,1)r’(φ))∈Hφ,1×Hφ,2となる。Hφ,1=Hφ,2であってもよいし、Hφ,1≠Hφ,2であってもよい。 <Processing premise>
In a fourth embodiment, the finite-friendly換群G phi such group G phi is a cyclic group, 1, G phi, 2 direct product G φ, 1 × G φ, 2, μ φ, g1 is the group G phi, 1 of The generator, μ φ, g2 is the generator of the group G φ, 2 , the second encryption key y (σ (φ), 2) is μ φ, g2 s (σ (φ), 2) , the second ciphertext C φ, 2 is (μ φ, g1 r (φ) , m φ y (σ (φ), 2) r (φ) ) ∈G φ, 1 × G φ, 2 , r (φ) is an integer random number , the value u φ a (φ) is (c φ, 1u, c φ , 2u) ∈G φ, 1 × G φ, 2, the value v φ b (φ) is (c φ, 1v, c φ , 2v) ∈G φ, 1 × G φ, is 2. G φ, 1 = G φ, 2 may be used, or G φ, 1 ≠ G φ, 2 may be used. As described above, the first encryption scheme ENC φ, 1 is not limited. For example, when the first encryption scheme ENC φ, 1 is an ElGamal encryption scheme, the group H φ is a cyclic group or the like. The direct product H φ, 1 × H φ, 2 of the finite commutative group H φ, 1 , H φ, 2 , r ′ (φ) is an integer random number, μ φ, h1 is the generator of the group H φ, 1 , μ φ and h2 are the generators of the group H φ, 2 , the first encryption key y (φ, 1) is μ φ, h2 s (φ, 1) , and the first ciphertext C φ, 1 is (μ φ, h1 r ′ (φ) , mφy (φ, 1) r ′ (φ) ) ∈Hφ , 1 × Hφ , 2 . H φ, 1 = H φ, 2 may be used, or H φ, 1 ≠ H φ, 2 may be used.

なお、Α=(α,α)∈Gφ,1×Gφ,2,Β=(β,β)∈Gφ,1×Gφ,2,及びεが自然数である場合、Αεは(α ε,α ε)を表し、Α−εは(α −ε,α −ε)を表し、ΑΒは(αβ,αβ)を表す。同様に、εが自然数、Α=(α,α)∈Hφ,1×Hφ,2,Β=(β,β)∈Hφ,1×Hφ,2である場合、Αεは(α ε,α ε)を表し、Α−εは(α −ε,α −ε)を表し、ΑΒは(αβ,αβ)を表す。また、eφ(α,β)を(α,β)∈Gφ,1×Gφ,2に対して巡回群などの有限可換群Gφ,Tの元を与える双線形写像とする。双線形写像の例は、WeilペアリングやTateペアリングなどのペアリング演算を行うための関数やアルゴリズムである(参考文献3:Alfred. J. Menezes,"ELLIPTIC CURVE PUBLIC KEY CRYPTOSYSTEMS," KLUWER ACADEMIC PUBLISHERS, ISBN0-7923-9368-6,pp. 61-81や、参考文献4:RFC 5091, "Identity-Based Cryptography Standard (IBCS) #1," Supersingular Curve Implementations of the BF and BB1 Cryptosystems等参照)。また、第一暗号化鍵y(φ,1)及び第二暗号化鍵y(σ(φ),2)が、仲介装置11の入力情報提供部4104が含む鍵記憶部4104eに格納されているものとする。 If Α = (α 1 , α 2 ) ∈G φ, 1 × G φ, 2 , Β = (β 1 , β 2 ) ∈G φ, 1 × G φ, 2 , and ε are natural numbers, Α ε represents (α 1 ε , α 2 ε ), Α represents (α 1 , α 2 ), and ΑΒ represents (α 1 β 1 , α 2 β 2 ). Similarly, if ε is a natural number, Α = (α 1 , α 2 ) ∈H φ, 1 × H φ, 2 , Β = (β 1 , β 2 ) ∈H φ, 1 × H φ, 2 , Α ε represents (α 1 ε , α 2 ε ), Α represents (α 1 , α 2 ), and ΑΒ represents (α 1 β 1 , α 2 β 2 ). Also, let e φ (α, β) be a bilinear map that gives an element of a finite commutative group G φ, T such as a cyclic group for (α, β) εG φ, 1 × G φ, 2 . Bilinear mapping examples are functions and algorithms for performing pairing operations such as Weil pairing and Tate pairing (Reference 3: Alfred. J. Menezes, "ELLIPTIC CURVE PUBLIC KEY CRYPTOSYSTEMS," KLUWER ACADEMIC PUBLISHERS , ISBN0-7923-9368-6, pp. 61-81, and Reference 4: RFC 5091, "Identity-Based Cryptography Standard (IBCS) # 1," Supersingular Curve Implementations of the BF and BB1 Cryptosystems etc.). Further, the first encryption key y (φ, 1) and the second encryption key y (σ (φ), 2) are stored in the key storage unit 4104e included in the input information providing unit 4104 of the mediating apparatus 11. Shall.

<処理>
図6〜図8に例示するように、第四実施形態の処理は第一実施形態のステップS113のステップS1103〜S1105,S1107,S1108,S1110,S1200〜S1203が、それぞれ、ステップS413のステップS4103〜S4105,S4107,S4108,S4110,S4200〜S4203に置換されたものである。以下ではステップS413のステップS4103〜S4105,S4107,S4108,S4110,S4200〜S4203の処理のみを説明する。 <Processing>
As illustrated in FIG. 6 to FIG. 8, the process of the fourth embodiment includes steps S1103 to S1105, S1107, S1108, S1110, and S1200 to S1203 of step S113 of the first embodiment, respectively, step S4103 of step S413. S4105, S4107, S4108, S4110, S4200 to S4203 are replaced. Hereinafter, only the processes of steps S4103 to S4105, S4107, S4108, S4110, and S4200 to S4203 of step S413 will be described.

《ステップS4103の処理》
仲介装置41(図2)の入力情報提供部4104は、入力された第一暗号文Cφ,1に対応する第一入力情報τφ,1及び第二入力情報τφ,2を生成して出力する(図7/ステップS4103)。以下、図10を用いて本形態のステップS4103の処理を説明する。 << Process of Step S4103 >>
The input information providing unit 4104 of the intermediary device 41 (FIG. 2) generates first input information τ φ, 1 and second input information τ φ, 2 corresponding to the input first ciphertext C φ, 1 It outputs (FIG. 7 / step S4103). Hereinafter, the processing in step S4103 of this embodiment will be described with reference to FIG.

第一乱数生成部4104a(図5)は、群Hφの任意の元φ,1∈Hφを生成する。本形態では群Hφからランダムかつ一様に元φ,1が選択される(一様乱数)。生成された元φ,1は、第一入力情報計算部4104b、及び第一計算部4105に送られる(ステップS4103a)。 The first random number generation unit 4104a (FIG. 5) generates an arbitrary element h r φ, 1 ∈H φ of the group H φ . In this embodiment, the element h r φ, 1 is selected randomly and uniformly from the group H φ (uniform random number). The generated element h r φ, 1 is sent to the first input information calculation unit 4104b and the first calculation unit 4105 (step S4103a).

第一入力情報計算部4104bは、自然数選択部1102で選択された自然数b(φ)、第一暗号文Cφ,1、元φ,1、及び鍵記憶部4104eから抽出した第一暗号化鍵y(φ,1)を用い、第一入力情報τφ,1としてCφ,1 b(φ)φ,1’を計算する(ステップS4103b)。なお、Cφ,1’は、第一暗号化方式ENCφ,1に則って元φ,1を第一暗号化鍵y(φ,1)で暗号化して得られた群Hφの元である。 The first input information calculation unit 4104b extracts the natural number b (φ) selected by the natural number selection unit 1102, the first ciphertext C φ, 1 , the element h r φ, 1 , and the first cipher extracted from the key storage unit 4104e. Using the encryption key y (φ, 1), C φ, 1 b (φ) C φ, 1 ′ is calculated as the first input information τ φ, 1 (step S4103b). Note that C φ, 1 ′ is a group H φ obtained by encrypting the element h r φ, 1 with the first encryption key y (φ, 1) in accordance with the first encryption scheme ENC φ, 1 . Is original.

第二乱数生成部4104cは、群Hφの任意の元φ,2∈Hφを生成する。本形態では群Hφからランダムかつ一様に元φ,2が選択される(一様乱数)。生成された元φ,2は、第二入力情報計算部4104d、及び第二計算部4108に送られる(ステップS4103c)。 Second random number generation unit 4104c includes any source h r phi group H phi, to produce a 2 ∈H φ. In this embodiment, the element h r φ, 2 is selected randomly and uniformly from the group H φ (uniform random number). The generated element h r φ, 2 is sent to the second input information calculation unit 4104d and the second calculation unit 4108 (step S4103c).

第二入力情報計算部4104bは、自然数選択部1102で選択された自然数a(φ)、第一暗号文Cφ,1、元φ,2、及び鍵記憶部4104eから抽出した第一暗号化鍵y(φ,1)を用い、第二入力情報τφ,2としてCφ,1 a(φ)φ,1”を計算する(ステップS4103d)。なお、Cφ,1”は、第一暗号化方式ENCφ,1に則って元φ,2を第一暗号化鍵y(φ,1)で暗号化して得られた群Hφの元である。 The second input information calculation unit 4104b extracts the natural number a (φ) selected by the natural number selection unit 1102, the first ciphertext C φ, 1 , the element h r φ, 2 , and the first cipher extracted from the key storage unit 4104e. key y (phi, 1) using the second input information τ φ, C φ, 1 a (φ) as a 2 C phi, 1 "to calculate the (step S4103d). Incidentally, C phi, 1" is This is an element of the group H φ obtained by encrypting the element h r φ, 2 with the first encryption key y (φ, 1) according to the first encryption scheme ENC φ, 1 .

第一入力情報計算部4104bは、以上のように生成した第一入力情報τφ,1=Cφ,1 b(φ)φ,1’を出力する。第二入力情報計算部4104dは、以上のように生成した第二入力情報τφ,2=Cφ,1 a(φ)φ,1”を出力する(ステップS4103e)。 The first input information calculation unit 4104b outputs the first input information τ φ, 1 = C φ, 1 b (φ) C φ, 1 ′ generated as described above. The second input information calculation unit 4104d outputs the second input information τ φ, 2 = C φ, 1 a (φ) C φ, 1 ″ generated as described above (step S4103e).

《ステップS4200〜S4203の処理》
図8に例示するように、まず、第一入力情報τφ,1=Cφ,1 b(φ)φ,1’が情報提供装置42−φ(図3)の第一出力情報計算部4201−φに入力され、第二入力情報τφ,2=Cφ,1 a(φ)φ,1”が第二出力情報計算部4202−φに入力される(ステップS4200)。 << Steps S4200 to S4203 >>
As illustrated in FIG. 8, first, the first input information τ φ, 1 = C φ, 1 b (φ) C φ, 1 ′ is the first output information calculation unit of the information providing device 42 -φ (FIG. 3). The second input information τ φ, 2 = C φ, 1 a (φ) C φ, 1 ″ is input to the second output information calculation unit 4202-φ (step S4200).

第一出力情報計算部4201−φは、第一入力情報τφ,1=Cφ,1 b(φ)φ,1’と鍵記憶部1204−φに格納された第一復号鍵s(φ,1)及び第二暗号化鍵y(σ(φ),2)とを用い、或る確率より大きな確率でfφ(Cφ,1 b(φ)φ,1’)を正しく計算し、計算結果を第一出力情報zφ,1とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第一出力情報計算部4201−φでの計算結果がfφ(Cφ,1 b(φ)φ,1’)となる場合もあれば、fφ(Cφ,1 b(φ)φ,1’)とならない場合もある(ステップS4201)。 The first output information calculation unit 4201-φ receives the first input information τ φ, 1 = C φ, 1 b (φ) C φ, 1 ′ and the first decryption key s ( Using φ, 1) and the second encryption key y (σ (φ), 2), f φ (C φ, 1 b (φ) C φ, 1 ′) is correctly calculated with a probability greater than a certain probability. The calculation result is first output information z φ, 1 . This calculation result may or may not be correct. That is, the calculation result in the first output information calculation unit 4201-φ may be f φ (C φ, 1 b (φ) C φ, 1 ′), or f φ (C φ, 1 b (φ ) C φ, 1 ′) may not be satisfied (step S4201).

なお、本形態の関数fφは、第一暗号化方式ENCφ,1に則って第一復号鍵s(φ,1)で暗号文を復号して得られる値をElGamal暗号方式に則って第二暗号化鍵y(σ(φ),2)で暗号化するための準同型関数である。例えば、第一暗号化方式ENCφ,1も第二暗号化方式ENCφ,2もElGamal暗号方式で或る場合、関数fφは、ElGamal暗号方式に則って第一復号鍵s(φ,1)で暗号文を復号して得られる値を、ElGamal暗号方式に則って第二暗号化鍵y(σ(φ),2)で暗号化するための準同型関数である。 Note that the function f phi of the present embodiment, first in line first encryption method ENC phi, first decryption key s (phi, 1) in accordance with the 1 values obtained by decoding the ciphertext to ElGamal cryptosystem This is a homomorphic function for encrypting with two encryption keys y (σ (φ), 2). For example, if both the first encryption scheme ENC φ, 1 and the second encryption scheme ENC φ, 2 are ElGamal encryption schemes, the function f φ is the first decryption key s (φ, 1 ) Is a homomorphic function for encrypting the value obtained by decrypting the ciphertext with the second encryption key y (σ (φ), 2) in accordance with the ElGamal cryptosystem.

第二出力情報計算部4202−φは、第二入力情報τφ,2=Cφ,1 a(φ)φ,1”と鍵記憶部1204−φに格納された第一復号鍵s(φ,1)及び第二暗号化鍵y(σ(φ),2)とを用い、或る確率より大きな確率でfφ(Cφ,1 a(φ)φ,1”)を正しく計算可能であり、得られた計算結果を第二出力情報zφ,2とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第二出力情報計算部4202−φでの計算結果がfφ(Cφ,1 a(φ)φ,1”)となる場合もあれば、fφ(Cφ,1 a(φ)φ,1”)とならない場合もある(ステップS4202)。 The second output information calculation unit 4202-φ receives the second input information τ φ, 2 = C φ, 1 a (φ) C φ, 1 ″ and the first decryption key s ( Using φ, 1) and the second encryption key y (σ (φ), 2), f φ (C φ, 1 a (φ) C φ, 1 ″) is correctly calculated with a probability greater than a certain probability. The obtained calculation result is set as second output information z φ, 2 . This calculation result may or may not be correct. That is, the calculation result of the second output information calculation unit 4202-φ may be f φ (C φ, 1 a (φ) C φ, 1 ″), or f φ (C φ, 1 a (φ ) C φ, 1 ″) may not be satisfied (step S4202).

第一出力情報計算部4201−φは第一出力情報zφ,1を出力し、第二出力情報計算部4202−φは第二出力情報zφ,2を出力する(ステップS4203)。 The first output information calculation unit 4201-φ outputs the first output information z φ, 1 , and the second output information calculation unit 4202-φ outputs the second output information z φ, 2 (step S4203).

《ステップS4104及びS4105の処理》
図7に戻り、第一出力情報zφ,1は仲介装置41(図2)の第一計算部4105に入力され、第二出力情報zφ,2は第二計算部4108に入力される(ステップS4104)。 << Processing in Steps S4104 and S4105 >>
Returning to FIG. 7, the first output information z φ, 1 is input to the first calculation unit 4105 of the mediation device 41 (FIG. 2), and the second output information z φ, 2 is input to the second calculation unit 4108 ( Step S4104).

第一計算部4105は、入力された第一出力情報zφ,1、元φ,1、及び鍵記憶部4104e(図5)から読み出した第二暗号化鍵y(σ(φ),2)を用い、zφ,1(Cφ,2’)−1を計算してその計算結果をuφとする(ステップS4105)。なお、Cφ,2’は、第二暗号化方式ENCφ,2に則って元φ,1を第二暗号化鍵y(σ(φ),2)で暗号化して得られる群Gφの元である。計算結果uφは、第一べき乗計算部1106に送られる。ここで、uφ=zφ,1(Cφ,2’)−1=fφ(Cφ,1b(φ)φ,1となる。すなわち、zφ,1(Cφ,2’)−1は、fφ(Cφ,1)について誤差Xφ,1を持つ乱数化可能標本器の出力となる。その理由については後述する。 The first calculation unit 4105 receives the input first output information z φ, 1 , element h r φ, 1 , and the second encryption key y (σ (φ), 2), z φ, 1 (C φ, 2 ′) −1 is calculated, and the calculation result is set as u φ (step S4105). C φ, 2 ′ is a group G obtained by encrypting the element h r φ, 1 with the second encryption key y (σ (φ), 2) in accordance with the second encryption scheme ENC φ, 2. It is the origin of φ . The calculation result u φ is sent to the first power calculation unit 1106. Here, u φ = z φ, 1 (C φ, 2 ′) −1 = f φ (C φ, 1 ) b (φ) x φ, 1 . That is, z φ, 1 (C φ, 2 ′) −1 is the output of a randomizable sampler having an error X φ, 1 with respect to f φ (C φ, 1 ). The reason will be described later.

《ステップS4108の処理》
第二計算部4108は、入力された第二出力情報zφ,2、元φ,2、及び鍵記憶部4104e(図5)から読み出した第二暗号化鍵y(σ(φ),2)を用い、zφ,2(Cφ,2”)−1を計算してその計算結果をvφとする。なお、Cφ,2”は、第二暗号化方式ENCφ,2に則って元φ,2を第二暗号化鍵y(σ(φ),2)で暗号化して得られる群Gφの元である。計算結果vφは、第二べき乗計算部1109に送られる。ここで、vφ=zφ,2(Cφ,2”)−1=fφ(Cφ,1a(φ)φ,2となる。すなわち、zφ,2(Cφ,2”)−1は、fφ(Cφ,1)について誤差Xφ,2を持つ乱数化可能標本器の出力となる。その理由については後述する。 << Process of Step S4108 >>
The second calculation unit 4108 receives the input second output information z φ, 2 , the element h r φ, 2 , and the second encryption key y (σ (φ), 2), z φ, 2 (C φ, 2 ″) −1 is calculated and the calculation result is set to v φ . C φ, 2 ″ is the second encryption scheme ENC φ, 2 Accordingly, the element h r φ, 2 is an element of the group G φ obtained by encrypting the element h r φ, 2 with the second encryption key y (σ (φ), 2). Calculation result v phi is fed to the second power calculating unit 1109. Here, v φ = z φ, 2 (C φ, 2 ″) −1 = f φ (C φ, 1 ) a (φ) x φ, 2 That is, z φ, 2 (C φ, 2 ") -1 is an output of a randomizable sampler having an error Xφ, 2 with respect to ( Cφ, 1 ). The reason will be described later.

《ステップS4107の処理》
判定部4111は、第一リスト記憶部1107に記憶された組(uφ,uφ’)及び第二リスト記憶部1110に記憶された組(vφ,vφ’)の中で、uφ’とvφ’とが互いに同一の暗号文の類CLφ(Mφ)に属するものがあるかを判定する。本形態の判定部4111は、uφ’=(cφ,1u,cφ,2u)及びvφ’=(cφ,1v,cφ,2v)に対して、関係eφ(μφ,g1,cφ,2u)/eφ(cφ,1u,y(σ(φ),2))=eφ(μφ,g1,cφ,2v)/eφ(cφ,1v,y(σ(φ),2))を満たすものがあるかを判定する(ステップS4107)。uφ’とvφ’がこの関係を満たすかを判定することで、uφ’とvφ’とが互いに同一の暗号文の類CLφ(Mφ)に属することを判定できる理由については後述する。 << Process of Step S4107 >>
Judging unit 4111, among the stored set in the first list storage unit 1107 (u φ, u φ ' ) and the set stored in the second list storage unit 1110 (v φ, v φ' ), u φ It is determined whether “and v φ ” belong to the same ciphertext class CL φ (M φ ). Determination unit 4111 of the present embodiment, u φ '= (c φ , 1u, c φ, 2u) and v φ' = (c φ, 1v, c φ, 2v) relative to the relation e φ φ, g1, c φ, 2u) / e φ (c φ, 1u, y (σ (φ), 2)) = e φ (μ φ, g1, c φ, 2v) / e φ (c φ, 1v, y It is determined whether there is any one that satisfies (σ (φ), 2)) (step S4107). The reason why it is possible to determine that u φ 'and v φ ' belong to the same ciphertext class CL φ (M φ ) by determining whether u φ 'and v φ ' satisfy this relationship. It will be described later.

もし、第二リスト記憶部1110に組(vφ,vφ’)が記憶されていない場合には、このステップS4107の処理を行わずに、次のステップS1108の処理を行う。同一の暗号文の類CLφ(Mφ)に属するuφ’とvφ’との組があった場合(上記の関係を満たすuφ’とvφ’との組があった場合)には、ステップS1114に進む。同一の暗号文の類CLφ(Mφ)に属するuφ’とvφ’との組がなかった場合には、ステップS4108に進む。 If the set (v φ , v φ ′) is not stored in the second list storage unit 1110, the process of the next step S1108 is performed without performing the process of step S4107. When there is a set of u φ 'and v φ ' belonging to the same ciphertext class CL φ (M φ ) (when there is a set of u φ 'and v φ ' satisfying the above relationship) Advances to step S1114. If there is no pair of u φ ′ and v φ ′ belonging to the same ciphertext class CL φ (M φ ), the process proceeds to step S4108.

《ステップS4110の処理》
判定部4111は、第一リスト記憶部1107に記憶された組(uφ,uφ’)及び第二リスト記憶部4110に記憶された組(vφ,vφ’)の中で、uφ’とvφ’とが互いに同一の暗号文の類CLφ(Mφ)に属するものがあるかを判定する。本形態の判定部4111は、uφ’=(cφ,1u,cφ,2u)及びvφ’=(cφ,1v,cφ,2v)に対して、関係eφ(μφ,g1,cφ,2u)/eφ(cφ,1u,y(σ(φ),2))=eφ(μφ,g1,cφ,2v)/eφ(cφ,1v,y(σ(φ),2))を満たすものがあるかを判定する(ステップS4110)。同一の暗号文の類CLφ(Mφ)に属するuφ’とvφ’との組があった場合には、ステップS1114に進む。同一の暗号文の類CLφ(Mφ)に属するuφ’とvφ’との組がなかった場合には、ステップS1111に進む。 << Processing in Step S4110 >>
Judging unit 4111, among the stored set in the first list storage unit 1107 (u φ, u φ ' ) and the set stored in the second list storage unit 4110 (v φ, v φ' ), u φ It is determined whether “and v φ ” belong to the same ciphertext class CL φ (M φ ). Determination unit 4111 of the present embodiment, u φ '= (c φ , 1u, c φ, 2u) and v φ' = (c φ, 1v, c φ, 2v) relative to the relation e φ φ, g1, c φ, 2u) / e φ (c φ, 1u, y (σ (φ), 2)) = e φ (μ φ, g1, c φ, 2v) / e φ (c φ, 1v, y It is determined whether there is any one that satisfies (σ (φ), 2)) (step S4110). If there is a set of u φ ′ and v φ ′ belonging to the same ciphertext class CL φ (M φ ), the process proceeds to step S1114. If there is no set of u φ ′ and v φ ′ belonging to the same ciphertext class CL φ (M φ ), the process proceeds to step S1111.

なお、特殊な群Gφ,1,Gφ,2や双線形写像eφを用いた場合、ステップS4107及びS4110の処理を仲介装置41に実行させることができる者を制限できる。この詳細については後述する。 Note that when the special groups G φ, 1 , G φ, 2 and the bilinear map e φ are used, the number of persons who can cause the mediating apparatus 41 to execute the processes of steps S4107 and S4110 can be limited. Details of this will be described later.

《zφ,1(Cφ,2’)−1,zφ,2(Cφ,2”)−1がfφ(Cφ,1)についてそれぞれ誤差Xφ,1,Xφ,2を持つ乱数化可能標本器の出力となる理由について》
任意の元φ,1を固定して考えると、第二暗号文Cφ,2=(μφ,g1 r(φ),mφy(σ(φ),2)r(φ))における乱数r(φ)を確率空間とする確率分布について、以下の関係が成り立つ。ただし、Dφ,1(s(φ,1),xφ)は、第一暗号化方式ENCφ,1に則って第一暗号文xφを第一復号鍵s(φ,1)で復号するための関数を表す。rを乱数として、あるr2が存在して
φ(xφ a(φ)φ,1”)(Cφ,2”)−1
=(μφ,g1 r(φ),Dφ,1(s(φ,1),xφa(φ) φ,2y(σ(φ),2)r(φ)
×(μφ,g1 r2φ,2y(σ(φ),2)r2−1
となるから、
φ(xφ a(φ)φ,1”)(Cφ,2”)−1
=(μφ,g1 r(φ)−r2,Dφ,1(s(φ,1),xφa(φ)y(σ(φ),2)r−r2
となる。したがって、確率分布fφ(xφ a(φ)φ,1”)(Cφ,2”)−1は確率分布f(xφと等しい。 << z φ, 1 (C φ, 2 ′) −1 , z φ, 2 (C φ, 2 ″) −1 gives errors X φ, 1 , X φ, 2 for f φ (C φ, 1 ), respectively. Reasons for the output of a randomizable sampler
If an arbitrary element h r φ, 1 is fixed, the second ciphertext C φ, 2 = (μ φ, g1 r (φ) , m φ y (σ (φ), 2) r (φ) ) The following relation holds for the probability distribution with the random number r (φ) in the probability space. However, D φ, 1 (s (φ, 1), x φ ) decrypts the first ciphertext x φ with the first decryption key s (φ, 1) according to the first encryption scheme ENC φ, 1. Represents a function to do When r is a random number, there exists a certain r2 and f φ (x φ a (φ) C φ, 1 ″) (C φ, 2 ″) −1
= (Μ φ, g1 r ( φ), D φ, 1 (s (φ, 1), x φ) a (φ) h r φ, 2 y (σ (φ), 2) r (φ))
× ( μφ, g1 r2 , h r φ, 2 y (σ (φ), 2) r2 ) −1
So,
f φ (x φ a (φ) C φ, 1 ″) (C φ, 2 ″) −1
= (Μ φ, g1 r ( φ) -r2, D φ, 1 (s (φ, 1), x φ) a (φ) y (σ (φ), 2) r-r2)
It becomes. Therefore, the probability distribution ( xφa (φ) Cφ, 1 ″) ( Cφ, 2 ″) − 1 is equal to the probability distribution f ( ) a .

φ,1”を確率変数とみなして、群Gφに値を持つ確率変数Xφ,2=zφ,2φ(xφ a(φ)φ,1”)−1を考えると、
φ,2(Cφ,2”)−1
=zφ,2φ(xφ a(φ)φ,1”)−1φ(xφ a(φ)φ,1”)(Cφ,2”)−1
であるから、この確率分布はxφ,2∈Xφ,2についてxφ,2φ(xφa(φ)の確率分布と等しい。同様に、zφ,1(Cφ,2’)−1の確率分布はxφ,1∈Xφ,1についてfφ(xφb(φ)φ,1の確率分布と等しい。 Considering C φ, 1 ″ as a random variable and considering a random variable X φ, 2 = z φ, 2 f φ (x φ a (φ) C φ, 1 ″) −1 having a value in the group G φ ,
z φ, 2 (C φ, 2 ″) −1
= Z φ, 2 f φ (x φ a (φ) C φ, 1 ″) − 1 f φ (x φ a (φ) C φ, 1 ″) (C φ, 2 ″) − 1
Therefore, this probability distribution is equal to the probability distribution of x φ, 2 f φ (x φ ) a (φ) for x φ, 2 ∈X φ, 2 . Similarly, the probability distribution of z φ, 1 (C φ, 2 ′) −1 is equal to the probability distribution of f φ (x φ ) b (φ) x φ, 1 for x φ, 1 ∈X φ, 1 .

φ,1”を確率変数とみなすとき、xφ a(φ)φ,1”の分布はCφ,1”の分布と等しいから、確率変数Xφ,2の確率分布はa(φ)に依存しない。同様に、確率変数Xφ,1の確率分布はb(φ)に依存しない。したがって、zφ,1(Cφ,2’)−1,zφ,2(Cφ,2”)−1はfφ(Cφ,1)についてそれぞれ誤差Xφ,1,Xφ,2を持つ乱数化可能標本器の出力となる。 When C φ, 1 ″ is regarded as a random variable, the distribution of x φ a (φ) C φ, 1 ″ is equal to the distribution of C φ, 1, so the probability distribution of random variable X φ, 2 is a (φ Similarly, the probability distribution of the random variable X φ, 1 does not depend on b (φ), and therefore z φ, 1 (C φ, 2 ′) −1 , z φ, 2 (C φ, 2 ″) −1 is the output of a randomizable sampler with errors X φ, 1 , X φ, 2 for f φ (C φ, 1 ), respectively.

《関係eφ(μφ,g1,cφ,2u)/eφ(cφ,1u,y(σ(φ),2))=eφ(μφ,g1,cφ,2v)/eφ(cφ,1v,y(σ(φ),2))を満たすかを判定することで、uφ’とvφ’とが互いに同一の暗号文の類CLφ(Mφ)に属することを判定できる理由》
φ’とvφ’とが互いに平文Mφ=mφに対応する同一の暗号文の類CLφ(Mφ)に属すると仮定する。この場合には第一乱数化可能標本器がuφ=fφ(Cφ,1b(φ)を正しく計算しており、第二乱数化可能標本器がvφ=fφ(Cφ,1a(φ)を正しく計算している(xφ,1及びxφ,2が群Gφの単位元eφ,gである)可能性が高い。よって、uφ’=(μφ,g1 r’’(φ),mφy(σ(φ),2)r’’(φ))かつvφ’=(μφ,g1 r’’’(φ),mφy(σ(φ),2)r’’’(φ))である可能性が高い。ただし、r’’(φ)及びr’’’(φ)は、ElGamal暗号方式の乱数成分と自然数選択部1102で選択された自然数の組とによって定まる値である。その場合、双線形写像eφの性質から、uφ’=(cφ,1u,cφ,2u)に対して
φ(μφ,g1,cφ,2u)/eφ(cφ,1u,y(σ(φ),2))
=eφ(μφ,g1,mφy(σ(φ),2)r’’(φ))/eφ(μφg1 r’’ (φ),y(σ(φ),2))
=eφ(μφ,g1,mφy(σ(φ),2))r’’(φ)/eφ(μφ,g1,y(σ(φ),2))r’’(φ)
=eφ(μφ,g1,mφ)eφ(μφ,g1,y(σ(φ),2))/eφ(μφ,g1,y(σ(φ),2))
=eφ(μφ,g1,mφ
を満たす可能性が高い。また、vφ’=(cφ,1v,cφ,2v)に対して
φ(μφ,g1,cφ,2v)/eφ(cφ,1v,y(σ(φ),2))
=eφ(μφ,g1,mφy(σ(φ),2)r’’’(φ))/eφ(μφ,g1 r’’’(φ),y(σ(φ),2))
=eφ(μφ,g1,mφy(σ(φ),2))r’’’(φ)/eφ(μφ,g1,y(σ(φ),2))r’’’(φ)
=eφ(μφ,g1,mφ)eφ(μφ,g1,y(σ(φ),2))/eφ(μφ,g1,y(σ(φ),2))
=eφ(μφ,g1,mφ
を満たす可能性が高い。よって、uφ’とvφ’とが互いに同一の暗号文の類CLφ(Mφ)に属する場合、関係eφ(μφ,g1,cφ,2u)/eφ(cφ,1u,y(σ(φ),2))=eφ(μφ,g1,cφ,2v)/eφ(cφ,1v,y(σ(φ),2))を満たす可能性が高い。 "Relationship e φ (μ φ, g1, c φ, 2u) / e φ (c φ, 1u, y (σ (φ), 2)) = e φ (μ φ, g1, c φ, 2v) / e By determining whether or not φ (c φ, 1v , y (σ (φ), 2)) is satisfied, u φ ′ and v φ ′ belong to the same ciphertext class CL φ (M φ ). Reasons for judging
Assume that u φ ′ and v φ ′ belong to the same ciphertext class CL φ (M φ ) corresponding to plaintext M φ = m φ . In this case, the first randomizable sampler correctly calculates = ( Cφ, 1 ) b (φ) , and the second randomizable sampler calculates = ( Cφ , 1 ) There is a high possibility that a (φ) is correctly calculated (x φ, 1 and x φ, 2 are unit elements e φ, g of the group G φ ). Therefore, ′ = ( μφ, g1r ″ (φ) , mφy (σ (φ), 2) r ″ (φ) ) and ′ = ( μφ, g1r ′ ″) (Φ) , m φ y (σ (φ), 2) r ′ ″ (φ) ) is highly likely. However, r ″ (φ) and r ′ ″ (φ) are values determined by the random number component of the ElGamal cryptosystem and the set of natural numbers selected by the natural number selection unit 1102. In that case, the nature of bilinear mapping e φ, u φ '= ( c φ, 1u, c φ, 2u) with respect to e φ (μ φ, g1, c φ, 2u) / e φ (c φ, 1u , y (σ (φ), 2))
= E φ (μ φ, g1 , m φ y (σ (φ), 2) r '' (φ)) / e φ (μ φg1 r '' (φ), y (σ (φ), 2))
= E φ (μ φ, g1 , m φ y (σ (φ), 2)) r '' (φ) / e φ (μ φ, g1, y (σ (φ), 2)) r '' ( φ)
= ( μφ, g1 , ) ( μφ, g1 , y (σ (φ), 2)) / ( μφ, g1 , y (σ (φ), 2))
= E φφ, g1 , m φ )
There is a high possibility of satisfying. Further, e φφ, g 1 , c φ, 2 v ) / e φ (c φ, 1 v , y (σ (φ), 2) with respect to v φ ′ = (c φ, 1 v , c φ, 2 v ) ))
= E φ (μ φ, g1 , m φ y (σ (φ), 2) r '''(φ)) / e φ (μ φ, g1 r''' (φ), y (σ (φ) , 2))
= E φ (μ φ, g1 , m φ y (σ (φ), 2)) r '''(φ) / e φ (μ φ, g1, y (σ (φ), 2)) r'''(Φ)
= ( μφ, g1 , ) ( μφ, g1 , y (σ (φ), 2)) / ( μφ, g1 , y (σ (φ), 2))
= E φφ, g1 , m φ )
There is a high possibility of satisfying. Therefore, if u φ ′ and v φ ′ belong to the same ciphertext class CL φ (M φ ), the relationship e φφ, g 1 , c φ, 2 u ) / e φ (c φ, 1 u , Y (σ (φ), 2)) = e φφ, g1 , c φ, 2v ) / e φ (c φ, 1v , y (σ (φ), 2)) .

次に、uφ’とvφ’とが互いに異なる暗号文の類に属すると仮定する。すなわち、uφ’が平文mφ,uに対応する暗号文の類CLφ(mφ,u)に属し、vφ’が平文mφ,v(mφ,v≠mφ,u)に対応する暗号文の類CLφ(mφ,v)に属すると仮定する。すると、uφ’=(μφ,g1 r’’(φ),mφ,uy(σ(φ),2)r’’(φ))xφ,1かつvφ’=(μφ,g1 r’’’(φ),mφ,vy(σ(φ),2)r’’’(φ))xφ,2となる。そのため、uφ’=(cφ,1u,cφ,2u)に対してeφ,(μφ,g1,cφ,2u)/eφ(cφ,1u,y(σ(φ),2))=eφ(μφ,g1,mφ,u)xφ,1を満たし、vφ’=(cφ,1v,cφ,2v)に対してeφ(μφ,g1,cφ,2v)/eφ(cφ,1v,y(σ(φ),2))=eφ(μφ,g1,mφ,v)xφ,2を満たす。よって、uφ’とvφ’とが互いに異なる暗号文の類に属する場合、関係eφ(μφ,g1,cφ,2u)/eφ(cφ,1u,y(σ(φ),2))≠eφ(μφ,g1,cφ,2v)/eφ(cφ,1v,y(σ(φ),2))となる可能性が高い。 Next, it is assumed that u φ ′ and v φ ′ belong to different ciphertext classes. That, u phi 'plaintext m phi, s CL φ (m φ, u) of the ciphertext corresponding to u belongs to, v phi' plaintext m φ, v (m φ, v ≠ m φ, u) in Assume that it belongs to the corresponding ciphertext class CL φ (m φ, v ). Then, ′ = ( μφ, g1r ″ (φ) , mφ, uy (σ (φ), 2) r ″ (φ) ) xφ, 1, and ′ = ( μφ , G1 r ′ ″ (φ) , m φ, vy (σ (φ), 2) r ′ ″ (φ) ) x φ, 2 . Therefore, u φ '= (c φ , 1u, c φ, 2u) with respect to e φ, (μ φ, g1 , c φ, 2u) / e φ (c φ, 1u, y (σ (φ), 2)) = e φ (μ φ, g1, m φ, u) x φ, satisfies the 1, v φ '= (c φ, 1v, c φ, 2v) against e φ φ, g1, c φ, 2v) / e φ (c φ, 1v, y (σ (φ), 2)) = e φ (μ φ, g1, m φ, v) x φ, satisfy 2. Therefore, when u φ ′ and v φ ′ belong to different ciphertext classes, the relationship e φφ, g 1 , c φ, 2 u ) / e φ (c φ, 1 u , y (σ (φ)) , 2)) ≠ e φ ( μ φ, g1, c φ, 2v) / e φ (c φ, 1v, y (σ (φ), 2)) and is likely to become.

《特殊な群Gφ,1,Gφ,2や双線形写像eφ
群Gφ,1,Gφ,2や双線形写像eφの構成を以下のように限定した場合、ステップS4107及びS4110の処理を仲介装置41に実行させることができる者を制限することができる。以下にその詳細を述べる。 << Special Group G φ, 1 , G φ, 2 and Bilinear Map e φ >>
When the configurations of the groups G φ, 1 , G φ, 2 and the bilinear map e φ are limited as follows, it is possible to limit who can cause the mediation device 41 to execute the processes of steps S4107 and S4110. . Details are described below.

この特殊な例では、Nφが素数ωφと素数ιφの合成数、群Gφ,1,Gφ,2がそれぞれ合成数Nφを法とした剰余環Z/NφZ上で定義された第一楕円曲線Eφ,1上の点からなる部分群、Gφ,1ω,Gφ,2ωが素数ωφを法とした剰余体Z/ωφZ上で定義された第二楕円曲線Eφ,2上の点からなる部分群、Gφ,1ι,Gφ,2ιが素数ιφを法とした剰余体Z/ιφZ上で定義された第三楕円曲線Eφ,3上の点からなる部分群、eφ(α,β)が(α,β)∈Gφ,1×Gφ,2に対して巡回群などの有限可換群Gφ,Tの元を与える双線形写像、eφ,ω(αω,βω)が(αω,βω)∈Gφ,1ω×Gφ,2ωに対して巡回群などの有限可換群Gφ,Tωの元を与える第二双線形写像、eφ,ι(αι,βι)が(αι,βι)∈Gφ,1ι×Gφ,2ιに対して巡回群などの有限可換群Gφ,Tιの元を与える第三双線形写像、HMφが第一楕円曲線Eφ,1上の点を第二楕円曲線Eφ,2上の点と第三楕円曲線Eφ,3上の点とに写す同型写像、HMφ −1が同型写像HMφの逆像である。 In this particular example, N φ is a composite number of prime number ω φ and prime number ι φ , and groups G φ, 1 , G φ, 2 are defined on the remainder ring Z / N φ Z modulo the composite number N φ. Sub- group consisting of points on the first elliptic curve E φ, 1 and the second ellipse defined on the remainder field Z / ω φ Z modulo the prime number ω φ by G φ, 1ω , G φ, 2ω Subgroup consisting of points on the curve E φ, 2 , G φ, 1ι , G φ, 2ι is the third elliptic curve E φ, 3 defined on the remainder field Z / ι φ Z modulo the prime ι φ A subgroup consisting of the above points, e φ (α, β) gives an element of a finite commutative group G φ, T such as a cyclic group for (α, β) ∈G φ, 1 × G φ, 2 bilinear mapping, e φ, ω (α ω , β ω) is (α ω, β ω) ∈G φ, 1ω × G φ, finite-friendly, such as the cyclic group against 換群G φ, Tω of the original second bilinear mapping giving, e φ, ι (α ι , β ι) is (α ι, β ι ) ∈G φ, 1ι × G φ, 2ι is a third bilinear map that gives elements of finite commutative groups G φ, Tι such as cyclic groups, HM φ is on the first elliptic curve E φ, 1 HM φ −1 is a reverse image of the isomorphic map HM φ , in which a point is mapped to a point on the second elliptic curve E φ, 2 and a point on the third elliptic curve E φ, 3 .

この例の場合、双線形写像eφ(α,β)は剰余環Z/NφZ上で定義された第一楕円曲線Eφ,1上で定義される。しかしながら、剰余環上で定義された楕円曲線上で定義された双線形写像eφ(α,β)を多項式時間で計算する方法は知られておらず、多項式時間で計算可能な剰余環上で定義された楕円曲線上で定義された双線形写像eφ(α,β)の構成方法も知られていない(参考文献5:Alexander W. Dent and Steven D. Galbraith, "Hidden Pairings and Trapdoor DDH Groups," ANTS 2006, LNCS 4076, pp. 436-451, 2006.)。このような設定の場合、判定部4111は、双線形写像eφを剰余環Z/NφZ上で直接計算して関係eφ(μφ,g1,cφ,2u)/eφ(cφ,1u,y(σ(φ),2))=eφ(μφ,g1,cφ,2v)/eφ(cφ,1v,y(σ(φ),2))を満たすか否かを判定することができない。 In this example, the bilinear map e φ (α, β) is defined on the first elliptic curve E φ, 1 defined on the remainder ring Z / N φ Z. However, there is no known method for calculating the bilinear map e φ (α, β) defined on the elliptic curve defined on the remainder ring in polynomial time, and on the remainder ring that can be computed in polynomial time. The construction method of the bilinear map e φ (α, β) defined on the defined elliptic curve is also not known (Reference 5: Alexander W. Dent and Steven D. Galbraith, “Hidden Pairings and Trapdoor DDH Groups , "ANTS 2006, LNCS 4076, pp. 436-451, 2006.). In such a setting, the determination unit 4111 directly calculates the bilinear map e φ on the remainder ring Z / N φ Z, and the relationship e φφ, g 1 , c φ, 2 u ) / e φ (c φ, 1u, y (σ ( φ), 2)) = or e φ (μ φ, g1, c φ, 2v) / e φ (c φ, 1v, y (σ (φ), 2)) satisfying the It cannot be determined whether or not.

一方、剰余体Z/ωφZ,Z/ιφZ上で定義された楕円曲線上で定義されたeφ,ω(αω,βω)やeφ,ι(αι,βι)としては、多項式時間で計算可能なWeilペアリングやTateペアリングなどが存在する(参考文献3,4等参照)。また、このようなeφ,ω(αω,βω)やeφ,ι(αι,βι)を多項式時間で行うアルゴリズムとしてMiller のアルゴリズム(参考文献6:V. S. Miller, “Short Programs for functions on Curves,”1986,インターネット<http://crypto.stanford.edu/miller/miller.pdf>」などがよく知られている。さらに、このようなeφ,ω(αω,βω)やeφ,ι(αι,βι)を効率的に行うための楕円曲線や巡回群などの有限可換群の構成方法もよく知られている(例えば、参考文献4、参考文献7:A. Miyaji, M. Nakabayashi, S.Takano, "New explicit conditions of elliptic curve Traces for FR-Reduction," IEICE Trans. Fundamentals, vol. E84-A, no05, pp. 1234-1243, May 2001」、参考文献8:P.S.L.M. Barreto, B. Lynn, M. Scott, "Constructing elliptic curves with prescribed embedding degrees," Proc. SCN '2002, LNCS 2576, pp.257-267, Springer-Verlag. 2003」、参考文献9:R. Dupont, A. Enge, F. Morain, "Building curves with arbitrary small MOV degree over finite prime fields," http://eprint.iacr.org/2002/094/等参照)。 On the other hand, e φ, ωω , β ω ) and e φ, ιι , β ι ) defined on the elliptic curve defined on the remainder fields Z / ω φ Z, Z / ι φ Z For example, there are Weil pairing and Tate pairing that can be calculated in polynomial time (see References 3, 4, etc.). Further, Miller's algorithm (reference 6: VS Miller, “Short Programs for” is used as an algorithm for performing such e φ, ωω , β ω ) and e φ, ιι , β ι ) in polynomial time. functions on Curves, “1986, Internet <http://crypto.stanford.edu/miller/miller.pdf>”, etc. Furthermore, such e φ, ωω , β ω ) And a method of constructing a finite commutative group such as an elliptic curve or a cyclic group for efficiently carrying out and e φ, ιι , β ι ) are well known (for example, Reference 4 and Reference 7: A. Miyaji, M. Nakabayashi, S. Takano, "New explicit conditions of elliptic curve Traces for FR-Reduction," IEICE Trans. Fundamentals, vol. E84-A, no05, pp. 1234-1243, May 2001, reference Reference 8: PSLM Barreto, B. Lynn, M. Scott, "Constructing elliptic curves with prescribed embedding degrees," Proc. SCN '2002, LNCS 2576, pp.257-267, Springer-Verlag. 2003 ", Reference 9: R. Dupont, A. Enge, F. Morain, "Building curves with arbitrary small MOV degree over finite prime fields," http://eprint.iacr.org/2002/094/ etc.).

また、中国人の剰余定理(Chinese remainder theorem)に基づき、合成数Nφ(Nφ=ωφ・ιφ)を法とした剰余環Z/NφZから剰余体Z/ωφZと剰余体Z/ιφZとの直積に写す同型写像が存在すること、及び剰余体Z/ωφZと剰余体Z/ιφZとの直積から剰余環Z/NφZに写す同型写像が存在することがよく知られている(参考文献10:ヨハネス ブーフマン,”暗号理論入門”,シュプリンガー・フェアラーク東京 (2001/07), ISBN-10: 4431708669 ISBN-13,pp. 52-56)。すなわち、第一楕円曲線Eφ,1上の点を第二楕円曲線Eφ,2上の点と第三楕円曲線Eφ,3上の点とに写す同型写像HMφ、及びその逆像HMφ −1が存在する。一例を挙げると、剰余環Z/NφZの元κ mod Nφを剰余体Z/ωφZの元κ mod ωφと剰余体Z/ιφZの元κ mod ιφとに写す同型写像をHMφとし、剰余体Z/ωφZの元κω mod ωφと剰余体Z/ιφZの元κι mod ιφとを剰余環Z/NφZの元κωιφιφ’+κιωφωφ’mod Nφに写す写像をHMφ −1とすることができる。ただし、ωφ’及びιφ’はωφωφ’+ιφιφ’=1を満たす自然数である。このようなωφ’,ιφ’は拡張ユークリッドの互除法を用いて容易に生成できる。ωφωφ’+ιφιφ’=1の関係から、κωιφιφ’+κιωφωφ’mod NにHMφを作用させると
κωιφιφ’+κιωφωφ’ mod ωφ=κωιφιφ’mod ωφ=κω(1−ωφωφ’)mod ωφ=κω mod ωφ∈Z/ωφ
κωιφιφ’+κιωφωφ’ modιφ=κιωφωφ’ modιφ=κι(1−ιφιφ’) modιφ=κι modιφ∈Z/ιφ
となり、この一例での写像はHMφとHMφ −1との関係にあることが分かる。 Also, based on the Chinese remainder theorem, the remainder ring Z / N φ Z modulo the composite number N φ (N φ = ω φ · ι φ ) and the remainder field Z / ω φ Z and the remainder the isomorphic mapping which maps the Cartesian product of the body Z / iota phi Z is present, and isomorphic mapping which maps the Cartesian product of residue field Z / ω φ Z and remainder body Z / iota phi Z to residue ring Z / N φ Z is It is well known that it exists (Reference 10: Johannes Buchman, “Introduction to Cryptology”, Springer Fairlark Tokyo (2001/07), ISBN-10: 4431708669 ISBN-13, pp. 52-56). That is, an isomorphism HM φ that maps a point on the first elliptic curve E φ, 1 to a point on the second elliptic curve E φ, 2 and a point on the third elliptic curve E φ, 3 , and its inverse HM φ −1 exists. For example, the same type that maps the element κ mod N φ of the remainder ring Z / N φ Z to the element κ mod ω φ of the remainder field Z / ω φ Z and the element κ mod ι φ of the residue field Z / ι φ Z mapping the HM phi, residue field Z / ω φ Z of the original kappa omega mod omega phi and the original kappa iota mod iota phi of residue field Z / iota phi Z residue ring Z / N phi Z of the original kappa omega iota phi ι φ '+ κ ι ω φ ω φ ' mod N Φ can be mapped to HM φ −1 . However, ω φ 'and ι φ ' are natural numbers satisfying ω φ ω φ '+ ι φ ι φ ' = 1. Such ω φ 'and ι φ ' can be easily generated using the extended Euclidean algorithm. from ω φ ω φ '+ ι φ ι φ' = 1 relationship, when the action of HM phi in κ ω ι φ ι φ '+ κ ι ω φ ω φ' mod N κ ω ι φ ι φ '+ κ ι ω φ ω φ 'mod ω φ = κ ω ι φ ι φ ' mod ω φ = κ ω (1-ω φ ω φ ') mod ω φ = κ ω mod ω φ ∈Z / ω φ Z
κ ω ι φ ι φ '+ κ ι ω φ ω φ ' modι φ = κ ι ω φ ω φ 'modι φ = κ ι (1-ι φ ι φ ') modι φ = κ ι modι φ ∈Z / ι φZ
Thus, it can be seen that the mapping in this example has a relationship between HM φ and HM φ −1 .

そのため、合成数Nφを素因数分解した値、すなわち素数ωφと素数ιφとの値が与えられるのであれば、判定部4111は、以下のステップA〜Dの処理によって、剰余環Z/NφZ上で定義された第一楕円曲線Eφ,1上の双線形写像eφ(α,β)を計算することができる。 Therefore, if a value obtained by factoring the composite number N φ , that is, a value of the prime number ω φ and the prime number ι φ , is given, the determination unit 4111 performs the remainder ring Z / N by the processing of the following steps AD. phi first elliptic curve E phi defined on Z, bilinear map on 1 e φ (α, β) can be calculated.

(ステップA)判定部4111は、同型写像HMφを用い、剰余環Z/NφZ上で定義された第一楕円曲線Eφ,1上の点α∈Gφ,1を、剰余体Z/ωφZ上で定義された第二楕円曲線Eφ,2上の点θω(α)∈Gφ,1ωと剰余体Z/ιφZ上で定義された第三楕円曲線Eφ,3上の点θι(α)∈Gφ,1ιとに写す。 (Step A) The determination unit 4111 uses the isomorphism HM φ to convert the point αεG φ, 1 on the first elliptic curve E φ, 1 defined on the remainder ring Z / N φ Z into a remainder field Z The second elliptic curve E φ defined on / ω φ Z, the point θ ω (α) ∈G φ, 1ω on the second and the third elliptic curve E φ defined on the remainder field Z / ι φ Z , Copy to the point θ ι (α) ∈G φ, 1ι on 3 .

(ステップB)判定部4111は、同型写像HMφを用い、剰余環Z/NφZ上で定義された第一楕円曲線Eφ,1上の点β∈Gφ,2を、剰余体Z/ωφZ上で定義された第二楕円曲線Eφ,2上の点θω(β)∈Gφ,2ωと剰余体Z/ιφZ上で定義された第三楕円曲線Eφ,3上の点θι(β)∈Gφ,2ιとに写す。 (Step B) The determination unit 4111 uses the isomorphism HM φ to convert the point β∈G φ, 2 on the first elliptic curve E φ, 1 defined on the remainder ring Z / N φ Z to the remainder field Z / omega phi second elliptic curve E phi defined on Z, a point on the 2 θ ω (β) ∈G φ , third elliptic curve E phi defined over and residue field Z / iota phi Z, Copy to the point θ ι (β) ∈G φ, 2ι on 3 .

(ステップC)判定部4111は、第二楕円曲線Eφ,2及び第三楕円曲線Eφ,3でのeφ,ω(θω(α),θω(β))及びeφ,ι(θι(α),θι(β))を求める。 (Step C) The determination unit 4111 determines e φ, ωω (α), θ ω (β)) and e φ, ι in the second elliptic curve E φ, 2 and the third elliptic curve E φ, 3. Findι (α), θ ι (β)).

(ステップD)判定部4111は、得られた演算結果eφ,ω(θω(α),θω(β))及びeφ,ι(θι(α),θι(β))に逆像HMφ −1を作用させた値をeφ(α,β)とする。 (Step D) The determination unit 4111 calculates the obtained calculation results e φ, ωω (α), θ ω (β)) and e φ, ιι (α), θ ι (β)). A value obtained by applying the inverse image HM φ −1 is defined as e φ (α, β).

よって素数ωφと素数ιφとの値が与えられるのであれば、判定部4111は、ステップA〜Dに従ってeφ(μφ,g1,cφ,2u),eφ(cφ,1u,y(σ(φ),2)),eφ(μφ,g1,cφ,2v),eφ(cφ,1v,y(σ(φ),2))を計算し、関係eφ(μφ,g1,cφ,2u)/eφ(cφ,1u,y(σ(φ),2))=eφ(μφ,g1,cφ,2v)/eφ(cφ,1v,y(σ(φ),2))を満たすか否かを判定することができる。 Therefore, if the values of the prime number ω φ and the prime number ι φ are given, the determination unit 4111 determines e φφ, g 1 , c φ, 2 u ), e φ (c φ, 1 u , y (σ (φ), 2)), e φφ, g1 , c φ, 2v ), e φ (c φ, 1v , y (σ (φ), 2)) are calculated and the relationship e φ (μ φ, g1, c φ , 2u) / e φ (c φ, 1u, y (σ (φ), 2)) = e φ (μ φ, g1, c φ, 2v) / e φ (c φ , 1v , y (σ (φ), 2)) can be determined.

一方、大きな合成数Nφの素因数分解を多項式時間で行う方法は知られていない。よって、この設定の場合、素数ωφ及び素数ιφの少なくとも一方が与えられていない判定部4111は、関係eφ(μφ,g1,cφ,2u)/eφ(cφ,1u,y(σ(φ),2))=eφ(μφ,g1,cφ,2v)/eφ(cφ,1v,y(σ(φ),2))を満たすか否かを判定することができない。 Meanwhile, a method of performing factoring large synthetic number N phi in polynomial time is not known. Therefore, in this setting, the determination unit 4111 to which at least one of the prime number ω φ and the prime number ι φ is not given is the relationship e φφ, g 1 , c φ, 2 u ) / e φ (c φ, 1 u , y (σ (φ), 2 )) = e φ (μ φ, g1, c φ, 2v) / e φ (c φ, 1v, y (σ (φ), 2) determine whether meet) Can not do it.

以上のような特殊な群Gφ,1,Gφ,2や双線形写像eφを用いた場合、ステップS4107及びS4110の処理を仲介装置41に実行させることができる者を素数ωφ及び素数ιφの少なくとも一方を知る者に制限することができる。 When the special groups G φ, 1 , G φ, 2 and the bilinear map e φ as described above are used, the prime number ω φ and the prime number are those who can cause the mediating device 41 to execute the processes of steps S4107 and S4110. ι Can be restricted to those who know at least one of φ .

[第五実施形態]
上述の各実施形態では、仲介装置の自然数記憶部1101に、互いに素である2つの自然数a(φ),b(φ)の組(a(φ),b(φ))が複数種類記憶され、これらの組(a(φ),b(φ))を用いて各処理が実行されることとした。しかしながら、a(φ),b(φ)の一方が定数であってもよい。例えば、a(φ)が1に固定されていてもよいし、b(φ)が1に固定されていてもよい。言い換えると、第一乱数化可能標本器又は第二乱数化可能標本器の一方が標本器に置換されていてもよい。a(φ),b(φ)の一方が定数である場合、定数とされたa(φ)又はb(φ)を選択する処理が不要となり、各処理部は定数とされたa(φ)又はb(φ)が入力されることなく、それを定数として扱って計算を行うことができる。また、定数とされたa(φ)又はb(φ)が1である場合には、a’(φ)やb’(φ)を用いることなく、fφ(Cφ,1)=uφ b’(φ)φ a’(φ)をfφ(Cφ,1)=vφ又はfφ(Cφ,1)=uφとして得ることができる。 [Fifth embodiment]
In each of the above-described embodiments, the natural number storage unit 1101 of the intermediary device stores a plurality of types of sets of two natural numbers a (φ) and b (φ) that are relatively prime (a (φ) and b (φ)). Each process is executed using these sets (a (φ), b (φ)). However, one of a (φ) and b (φ) may be a constant. For example, a (φ) may be fixed to 1, or b (φ) may be fixed to 1. In other words, one of the first randomizable sampler and the second randomizable sampler may be replaced with a sampler. When one of a (φ) and b (φ) is a constant, the processing for selecting a (φ) or b (φ) as a constant becomes unnecessary, and each processing unit has a (φ) as a constant. Alternatively, the calculation can be performed by treating b (φ) as a constant without being input. When a (φ) or b (φ) set as a constant is 1, f φ (C φ, 1 ) = u φ without using a ′ (φ) or b ′ (φ). b ′ (φ) v φa ′ (φ) can be obtained as f φ (C φ, 1 ) = v φ or f φ (C φ, 1 ) = u φ .

第五実施形態は、そのような変形の一例であり、b(φ)が1に固定され、第二乱数化可能標本器が標本器に置換された形態である。以下では、第一実施形態との相違点を中心に説明する。また、第一乱数化可能標本器や標本器の具体例は、第二実施形態から第四実施形態で説明したのと同様であるため、説明を省略する。   The fifth embodiment is an example of such a modification, in which b (φ) is fixed to 1, and the second randomizable sampler is replaced with a sampler. Below, it demonstrates centering on difference with 1st embodiment. Further, specific examples of the first randomizable sampler and the sampler are the same as those described in the second to fourth embodiments, and thus the description thereof is omitted.

<構成>
図1に例示するように、第五実施形態の情報提供システム5は、第一実施形態の仲介装置11が仲介装置51に置換され、情報提供装置12−φが情報提供装置52−φに置換されたものである。 <Configuration>
As illustrated in FIG. 1, in the information providing system 5 of the fifth embodiment, the mediating device 11 of the first embodiment is replaced with the mediating device 51, and the information providing device 12 -φ is replaced with the information providing device 52 -φ. It has been done.

図11に例示するように、第五実施形態の仲介装置51は、例えば、自然数記憶部5101と自然数選択部5102と入力情報提供部5104と第一計算部5105と第一べき乗計算部1106と第一リスト記憶部1107と第二計算部5108と第二リスト記憶部5110と判定部5111と処理部1112と最終出力部1113と制御部1114とを有する。   As illustrated in FIG. 11, the intermediary device 51 of the fifth embodiment includes, for example, a natural number storage unit 5101, a natural number selection unit 5102, an input information providing unit 5104, a first calculation unit 5105, a first power calculation unit 1106, One list storage unit 1107, second calculation unit 5108, second list storage unit 5110, determination unit 5111, processing unit 1112, final output unit 1113, and control unit 1114 are provided.

図3に例示するように、第五実施形態の情報提供装置52−φは、例えば、第一出力情報計算部5201−φと第二出力情報計算部5202−φと鍵記憶部1204−φと暗号文記憶部1205−φと出力部1206−φと復号部1207−φと制御部1208−φとを有する。   As illustrated in FIG. 3, the information providing apparatus 52 -φ of the fifth embodiment includes, for example, a first output information calculation unit 5201 -φ, a second output information calculation unit 5202 -φ, and a key storage unit 1204 -φ. A ciphertext storage unit 1205-φ, an output unit 1206-φ, a decryption unit 1207-φ, and a control unit 1208-φ are included.

<処理の前提>
仲介装置51の自然数記憶部5101には自然数b(φ)が記憶されておらず、自然数a(φ)のみが複数種類記憶されている。その他の前提は、上述の第一実施形態から第四実施形態の何れかと同様である。 <Processing premise>
The natural number storage unit 5101 of the intermediary device 51 does not store the natural number b (φ), but stores only a plurality of types of natural numbers a (φ). The other premise is the same as that in any of the first to fourth embodiments described above.

<処理>
図12に例示するように、まず、仲介装置51(図11)の自然数選択部5102が、自然数記憶部5101に記憶された複数の自然数a(φ)から1つの自然数a(φ)をランダムに読み込む。読み込まれた自然数a(φ)の情報は、入力情報提供部5104及び第一べき乗計算部1106に送られる(ステップS5100)。 <Processing>
As illustrated in FIG. 12, first, the natural number selection unit 5102 of the intermediary device 51 (FIG. 11) randomly selects one natural number a (φ) from a plurality of natural numbers a (φ) stored in the natural number storage unit 5101. Read. The read information on the natural number a (φ) is sent to the input information providing unit 5104 and the first power calculation unit 1106 (step S5100).

制御部1114は、t=1とする(ステップS1102)。   The control unit 1114 sets t = 1 (step S1102).

入力情報提供部5104は、入力された第一暗号文Cφ,1にそれぞれ対応する第一入力情報τφ,1及び第二入力情報τφ,2を生成して出力する。好ましくは、第一入力情報τφ,1及び第二入力情報τφ,2はそれぞれ第一暗号文Cφ,1との関係をかく乱させた情報である。これにより、仲介装置51は、第一暗号文Cφ,1を情報提供装置52−φに対して隠蔽できる。また、好ましくは、本形態の第二入力情報τφ,2は自然数選択部5102で選択された自然数a(φ)にさらに対応する。これにより、情報提供装置52−φから提供された再暗号化能力を仲介装置51が高い精度で評価することが可能となる(ステップS5103)。第一入力情報τφ,1及び第二入力情報τφ,2の組みの具体例は、第二実施形態から第四実施形態の何れかのb(φ)=1とした第一入力情報τφ,1及び第二入力情報τφ,2の組みである。 The input information providing unit 5104 generates and outputs first input information τ φ, 1 and second input information τ φ, 2 respectively corresponding to the input first ciphertext C φ, 1 . Preferably, the first input information τ φ, 1 and the second input information τ φ, 2 are information in which the relationship with the first ciphertext C φ, 1 is disturbed, respectively. Thereby, the intermediary device 51 can conceal the first ciphertext Cφ, 1 from the information providing device 52-φ. Preferably, the second input information τ φ, 2 in this embodiment further corresponds to the natural number a (φ) selected by the natural number selection unit 5102. As a result, the mediation device 51 can evaluate the re-encryption capability provided from the information providing device 52-φ with high accuracy (step S5103). A specific example of the set of the first input information τ φ, 1 and the second input information τ φ, 2 is the first input information τ in which b (φ) = 1 in the second embodiment to the fourth embodiment. It is a set of φ, 1 and second input information τ φ, 2 .

図8に例示するように、第一入力情報τφ,1は情報提供装置52−φ(図3)の第一出力情報計算部5201−φに入力され、第二入力情報τφ,2は第二出力情報計算部5202−φに入力される(ステップS5200)。 As illustrated in FIG. 8, the first input information τ φ, 1 is input to the first output information calculation unit 5201-φ of the information providing device 52-φ (FIG. 3), and the second input information τ φ, 2 is The second output information calculation unit 5202-φ is input (step S5200).

第一出力情報計算部5201−φは、第一入力情報τφ,1と鍵記憶部1204−φに格納された第一復号鍵s(φ,1)及び第二暗号化鍵y(σ(φ),2)とを用い、或る確率より大きな確率でfφ(τφ,1)を正しく計算し、得られた計算結果を第一出力情報zφ,1とする(ステップS5201)。第二出力情報計算部5202−φは、第二入力情報τφ,2と鍵記憶部1204−φに格納された第一復号鍵s(φ,1)及び第二暗号化鍵y(σ(φ),2)を用い、或る確率より大きな確率でfφ(τφ,2)を正しく計算し、得られた演算結果を第二出力情報zφ,2とする(ステップS5202)。すなわち、第一出力情報計算部5201−φや第二出力情報計算部5202−φは、意図的又は意図的ではない誤差を含んだ計算結果を出力し得る。言い換えると、第一出力情報計算部5201−φでの計算結果がfφ(τφ,1)の場合もあればfφ(τφ,1)でない場合もあり、第二出力情報計算部5202−φでの計算結果がfφ(τφ,2)の場合もあればfφ(τφ,2)でない場合もある。第一出力情報zφ,1及び第二出力情報zφ,2の組の具体例は、第二実施形態から第四実施形態の何れかのb(φ)=1とした第一出力情報zφ,1及び第二出力情報zφ,2の組である。 The first output information calculation unit 5201-φ includes the first input information τ φ, 1 and the first decryption key s (φ, 1) and the second encryption key y (σ ( φ) and 2) are used to correctly calculate f φφ, 1 ) with a probability larger than a certain probability, and the obtained calculation result is set as the first output information z φ, 1 (step S5201). The second output information calculation unit 5202-φ includes the second input information τ φ, 2 and the first decryption key s (φ, 1) and the second encryption key y (σ ( Using φ), 2), f φφ, 2 ) is correctly calculated with a probability larger than a certain probability, and the obtained calculation result is set as second output information z φ, 2 (step S5202). That is, the first output information calculation unit 5201-φ and the second output information calculation unit 5202-φ can output a calculation result including an intentional or unintentional error. In other words, the calculation result in the first output information calculation unit 5201-phi is f φ (τ φ, 1) if the case also f φ (τ φ, 1) may not be the second output information calculation unit 5202 calculation results for -φ is f φ φ, 2) in some cases the f φ φ, 2) may not be. A specific example of the set of the first output information z φ, 1 and the second output information z φ, 2 is the first output information z in which b (φ) = 1 in the second embodiment to the fourth embodiment. A set of φ, 1 and second output information z φ, 2 .

第一出力情報計算部5201−φは第一出力情報zφ,1を出力し、第二出力情報計算部5202−φは第二出力情報zφ,2を出力する(ステップS5203)。 The first output information calculation unit 5201-φ outputs the first output information z φ, 1 , and the second output information calculation unit 5202-φ outputs the second output information z φ, 2 (step S5203).

図12に戻り、第一出力情報zφ,1は仲介装置51(図11)の第一計算部5105に入力され、第二出力情報zφ,2は第二計算部5108に入力される。これらの第一出力情報zφ,1及び第二出力情報zφ,2が、情報提供装置52−φから仲介装置51に与えられた再暗号化能力に相当する(ステップS5104)。 Returning to FIG. 12, the first output information z φ, 1 is input to the first calculation unit 5105 of the intermediary device 51 (FIG. 11), and the second output information z φ, 2 is input to the second calculation unit 5108. The first output information z φ, 1 and the second output information z φ, 2 correspond to the re-encryption capability given to the mediation device 51 from the information providing device 52-φ (step S5104).

第一計算部5105は、第一出力情報zφ,1から演算結果uφ=fφ(Cφ,1)xφ,1を生成する。演算結果uφの具体例は、第二実施形態から第四実施形態の何れかのb(φ)=1とした演算結果uφである。演算結果uφは第一べき乗計算部1106に送られる(ステップS5105)。 The first calculator 5105 generates the operation result u φ = f φ (C φ, 1 ) x φ, 1 from the first output information z φ, 1 . Specific examples of the operation result u phi is any b (φ) = 1 and the operation result u phi of the fourth embodiment from the second embodiment. Operation result u phi is sent to the first power calculating unit 1106 (step S5105).

第一べき乗計算部1106はuφ’=uφ a(φ)を計算する。計算結果uφとその計算結果に基づいて計算されたuφ’との組(uφ,uφ’)は、第一リスト記憶部1107に記憶される(ステップS1106)。 The first power calculating unit 1106 calculates the u φ '= u φ a ( φ). A set (u φ , u φ ′) of the calculation result u φ and u φ ′ calculated based on the calculation result is stored in the first list storage unit 1107 (step S1106).

第二計算部5108は、第二出力情報zφ,2から演算結果vφ=fφ(Cφ,1a(φ)φ,2を生成する。演算結果vφの具体例は、第二実施形態から第四実施形態の何れかの演算結果vφである。演算結果vφは第二リスト記憶部5110に記憶される(ステップS5108)。 The second calculation unit 5108 generates an operation result v φ = f φ (C φ, 1 ) a (φ) x φ, 2 from the second output information z φ, 2 . Specific examples of the calculation result v phi is any operation result v phi of the fourth embodiment from the second embodiment. Operation result v phi is stored in the second list storage unit 5110 (Step S5108).

判定部5111は、第一実施形態から第四実施形態の何れかと同様に、第一リスト記憶部1107に記憶された組(uφ,uφ’)及び第二リスト記憶部5110に記憶されたvφの中で、uφ’とvφとが互いに同一の暗号文の類CLφ(Mφ)に属するものがあるかを判定する(ステップS5110)。同一の暗号文の類CLφ(Mφ)に属するuφ’とvφとの組があった場合には、ステップS5114に進む。同一の暗号文の類CLφ(Mφ)に属するuφ’とvφとの組がなかった場合には、ステップS1111に進む。 The determination unit 5111 stores the set (u φ , u φ ′) stored in the first list storage unit 1107 and the second list storage unit 5110 in the same manner as in any of the first to fourth embodiments. In v φ , it is determined whether u φ ′ and v φ belong to the same ciphertext class CL φ (M φ ) (step S5110). If there is a set of u φ ′ and v φ belonging to the same ciphertext class CL φ (M φ ), the process proceeds to step S5114. If there is no set of u φ ′ and v φ belonging to the same ciphertext class CL φ (M φ ), the process proceeds to step S1111.

ステップS1111では、制御部1114がt=Tであるか判定する(ステップS1111)。Tは予め定められた自然数である。t=Tであれば、処理部1112が、計算をすることができなかった旨の情報、例えば記号「⊥」を出力して(ステップS1113)、処理を終える。t=Tでない場合には、制御部1114は、tを1だけインクリメント、すなわちt=t+1として(ステップS1112)、ステップS5103に戻る。   In step S1111, the control unit 1114 determines whether t = T (step S1111). T is a predetermined natural number. If t = T, the processing unit 1112 outputs information indicating that the calculation could not be performed, for example, the symbol “⊥” (step S1113), and ends the process. If not t = T, the control unit 1114 increments t by 1, that is, sets t = t + 1 (step S1112), and returns to step S5103.

ステップS5114では、処理部1112が、同一の暗号文の類CLφ(Mφ)に属すると判定されたuφ’とvφとの組が含むuφ’に対応するuφを出力する(ステップS5114)。このように得られたuφは、第一実施形態から第四実施形態でb(φ)=1とした場合のuφ b’(φ)φ a’(φ)に相当する。すなわち、このように得られたuφは高い確率でfφ(Cφ,1)となる。よって、少なくともφについての自己訂正処理を複数回繰り返し、ステップS5114で得られた値のうち最も頻度の高い値uφを選択すれば、選択されたuφが第2暗号文Cφ,2であることの信頼度は所定値以上となる。また、後述するように、設定によっては圧倒的な確率でuφ=fφ(Cφ,1)となる。その場合にはステップS5114で得られた値uφが第2暗号文Cφ,2であることの信頼度は必ず所定値以上となる。 In step S5114, processing unit 1112 outputs a u phi corresponding to 'u phi a set contains a and v phi' identical to belong to the class of the ciphertext CL φ (M φ) the determined u phi ( Step S5114). The thus obtained u phi corresponds to b in the fourth embodiment from the first embodiment (phi) = 1 and u phi b in the case of '(φ) v φ a' (φ). That is, u φ obtained in this way becomes f φ (C φ, 1 ) with high probability. Therefore, if the self-correction process for at least φ is repeated a plurality of times and the most frequently used value u φ is selected from the values obtained in step S5114, the selected u φ becomes the second ciphertext C φ, 2 . The reliability of being is over a predetermined value. As will be described later, u φ = f φ (C φ, 1 ) with an overwhelming probability depending on the setting. In that case, the reliability that the value u φ obtained in step S5114 is the second ciphertext C φ, 2 is always greater than or equal to a predetermined value.

≪fφ(Cφ,1)が得られる理由について≫
次に、本形態の仲介装置51で復号結果fφ(Cφ,1)が得られる理由を説明する。まず、説明に必要な事項を定義する。 ≪Reason for obtaining f φ (C φ, 1 ) ≫
Next, the reason why the decryption result f φ (C φ, 1 ) is obtained by the mediation device 51 of this embodiment will be described. First, the matters necessary for explanation are defined.

ブラックボックス(black−box):
φ(τφ)のブラックボックスFφ(τφ)とは、τφ∈Hφを入力としてzφ∈Gφを出力する処理部を意味する。本形態では、第一出力情報計算部5201−φ及び第二出力情報計算部5202−φが、それぞれ関数fφ(τφ)のブラックボックスFφ(τφ)に相当する。群Hφから任意に選択された元τφφ及びzφ=Fφ(τφ)に対してzφ=fφ(τφ)を満たす確率がδ(0<δ≦1)よりも大きい場合、すなわち、
Pr[zφ=fφ(τφ)|τφφ,zφ=Fφ(τφ)]>δ …(1)
を満たすfφ(τφ)のブラックボックスFφ(τφ)のことを、信頼性δ(δ−reliable)のfφ(τφ)のブラックボックスFφ(τφ)という。なお、δは正の値であり、前述した「或る確率」に相当する。 Black-box:
f phi black box F phi of (τ φ) φ) means a processing section for outputting z phi ∈G phi as input τ φ ∈H φ. In this embodiment, the first output information calculation unit 5201-φ and the second output information calculation unit 5202-φ correspond to the black box F φφ ) of the function f φφ ), respectively. The probability of satisfying z φ = f φφ ) for an element τ φU H φ and z φ = F φφ ) arbitrarily selected from the group H φ is δ (0 <δ ≦ 1) Is greater than, i.e.
Pr [z φ = f φφ ) | τ φU H φ , z φ = F φφ )]> δ (1)
That f phi of (tau phi) black box F phi of (tau phi) which satisfies the reliability δ (δ-reliable) of f φ φ) black box F phi of (tau phi) of. Δ is a positive value and corresponds to the “certain probability” described above.

自己訂正器(self−corrector):
自己訂正器C(xφ)とは、xφ∈Hφを入力とし、fφ(τφ)のブラックボックスFφ(τφ)を用いて計算を行い、j∈G∪⊥を出力する処理部を意味する。本形態では、仲介装置51が自己訂正器C(xφ)に相当する。 Self-corrector:
The self-corrector C F (x φ ) takes x φ ∈H φ as input, performs calculation using the black box F φφ ) of f φφ ), and outputs j∈G∪⊥ Means a processing unit. In this embodiment, the intermediary device 51 corresponds to the self-corrector C F (x φ ).

オールモスト自己訂正器(almost self−corrector):
自己訂正器C(xφ)が、xφ∈Hφを入力とし、δ−reliableのfφ(τφ)のブラックボックスFφ(τφ)を用い、正しい値j=fφ(xφ)を出力する確率が、誤った値j≠fφ(xφ)を出力する確率よりも十分大きい場合を想定する。すなわち、
Pr[j=fφ(xφ)|j=C(xφ),j≠⊥]
>Pr[j≠fφ(xφ)|j=C(xφ),j≠⊥]+Δ …(2)
を満たす場合を想定する。なお、Δは或る正の値(0<Δ<1)である。このような場合、自己訂正器C(xφ)はオールモスト自己訂正器であるという。例えば、或る正の値Δ’(0<Δ’<1)に対して
Pr[j=fφ(xφ)|j=C(xφ)]>(1/3)+Δ’
Pr[j=⊥|j=C(xφ)]<1/3
Pr[j≠fφ(xφ)かつj≠⊥|j=C(xφ)]<1/3
を満たす場合、自己訂正器C(xφ)はオールモスト自己訂正器である。Δ’の例はΔ’=1/12や1/3である。 Almost self-corrector:
The self-corrector C F (x φ ) receives x φ ∈H φ as input, uses the black box F φφ ) of δ-reliable f φφ ), and uses the correct value j = f φ (x probability that outputs phi) is, than the probability of outputting incorrect value j ≠ f phi a (x phi) assume a case large enough. That is,
Pr [j = ( ) | j = C F ( ), j ≠ ⊥]
> Pr [j ≠ f φ (x φ ) | j = C F (x φ ), j ≠ ⊥] + Δ (2)
Assuming that Δ is a certain positive value (0 <Δ <1). In such a case, the self-corrector C F (x φ ) is said to be an all-most self-corrector. For example, Pr [j = ( ) | j = C F ( )]> (1/3) + Δ ′ for a certain positive value Δ ′ (0 <Δ ′ <1)
Pr [j = ⊥ | j = C F (x φ )] <1/3
Pr [j ≠ f φ (x φ ) and j ≠ ⊥ | j = C F (x φ )] <1/3
If the condition is satisfied, the self-corrector C F (x φ ) is an all-most self-corrector. Examples of Δ ′ are Δ ′ = 1/12 and 1/3.

ローバスト自己訂正器(robust self−corrector):
自己訂正器C(xφ)が、xφ∈Hを入力とし、δ−reliableのfφ(τφ)のブラックボックスFφ(τφ)を用い、正しい値j=fφ(xφ)又はj=⊥を出力する確率が圧倒的である場合を想定する。すなわち、無視することができる誤差ξ(0≦ξ<1)に対して
Pr[j=fφ(xφ)またはj=⊥|j=C(xφ)]>1−ξ …(3)
を満たす場合を想定する。このような場合、自己訂正器C(xφ)はローバスト自己訂正器であるという。なお、無視することができる誤差ξの例は、セキュリティパラメータkの関数値ξ(k)である。関数値ξ(k)の例は、任意の多項式p(k)について、十分大きいkに対して{ξ(k)p(k)}が0に収束するものである。関数値ξ(k)の具体例は、ξ(k)=2−kやξ(k)=2−√kなどである。 Robust self-corrector:
The self-corrector C F (x φ ) receives x φ ∈H, uses the black box F φφ ) of δ-reliable f φφ ), and uses the correct value j = f φ (x φ ) Or j = ⊥ is assumed to be overwhelming. That is, Pr [j = ( ) or j = ⊥ | j = C F ( )]> 1-ξ (3) for an error ξ (0 ≦ ξ <1) that can be ignored. )
Assuming that In such a case, the self-corrector C F (x φ ) is said to be a robust self-corrector. An example of the error ξ that can be ignored is the function value ξ (k) of the security parameter k. An example of the function value ξ (k) is such that {ξ (k) p (k)} converges to 0 for a sufficiently large k for an arbitrary polynomial p (k). Specific examples of the function value ξ (k) are ξ (k) = 2− k and ξ (k) = 2− √k .

また、オールモスト自己訂正器からローバスト自己訂正器を構成することができる。すなわち、同一のxに対してオールモスト自己訂正器を複数回実行させ、⊥を除いて最も頻度が高い出力値をjとすることで、ローバスト自己訂正器を構成できる。例えば、同一のxに対してオールモスト自己訂正器をO(log(1/ξ))回実行させ、最も頻度が高い出力値をjとすることで、ローバスト自己訂正器を構成できる。なお、O(・)はオー記法を表す。   In addition, a robust self-corrector can be constructed from an all-most self-corrector. That is, a robust self-corrector can be configured by executing the all-most self-corrector a plurality of times for the same x and setting j as the most frequent output value excluding wrinkles. For example, a robust self-corrector can be constructed by executing an all-most self-corrector O (log (1 / ξ)) times for the same x and setting j as the most frequent output value. O (•) represents the O-notation.

擬似自由(pseudo−free)な作用:
群Gφ、自然数の集合Ωφ={0,...,Mφ}(Mφは1以上の自然数)、群Gφに値を持つ確率変数Xφ,1,Xφ,2の各実現値αφ∈Xφ,1(αφ≠eφ,g),βφ∈Xφ,2、及びa(φ)∈Ωφについて、αφ a(φ)=βφとなる確率
Pr[αφ a(φ)=βφかつαφ≠eφ,g|a(φ)∈Ω,αφ∈Xφ,1,βφ∈Xφ,2] …(4)
について、あらゆる可能なXφ,1,Xφ,2に関する上限値を、組(Gφ,Ωφ)の疑似自由指標とよび、これをP(Gφ,Ωφ)と表すことにする。ある無視することができる関数ζ(k)が存在して、
P(Gφ,Ωφ)<ζ(k) …(5)
である場合、組(Gφ,Ωφ)によって定義される演算は擬似自由な作用であるという。なお、「αφ a(φ)」は、群Gφで定義された演算をαφに対してa(φ)回作用させることを意味する。また、無視することができる関数ζ(k)の例は、任意の多項式p(k)について、十分大きいkに対して{ζ(k)p(k)}が0に収束するものである。関数ζ(k)の具体例は、ζ(k)=2−kやζ(k)=2−√kなどである。例えば、セキュリティパラメータkとに対し、式(4)の確率がO(2−k)未満である場合、組(Gφ,Ωφ)によって定義される演算は擬似自由な作用である。また、例えば、任意のαφ∈Gφでαφ≠eφ,gであるものについて、集合Ωφ・αφ={a(φ)(αφ)|a(φ)∈Ωφ}の要素数|Ωφ・αφ|が2を超える場合、組(Gφ,Ωφ)によって定義される演算は擬似自由な作用といえる。なお、a(φ)(αφ)は、a(φ)とαφに所定の演算を作用させた結果を表す。このような具体例は数多く存在する。例えば、群Gφが素数pを法とする剰余群Z/pZであり、素数pが2のオーダーであり、集合Ωφ={0,...,p−2}であり、a(φ)(αφ)がαφ a(φ)∈Z/pZであり、αφ≠eφ,gである場合、Ωφ・αφ={αφ a(φ)|a(φ)=0,...,p−2}={eφ,g,αφ ,...,αφ p−2}となり、|Ωφ・αφ|=p−1である。素数pが2のオーダーであるため、ある定数Cが存在して、kが十分大きければ|Ωφ・αφ|>C2を満たす。ここで式(4)の確率はC−1−k未満であり、このような組(Gφ,Ωφ)によって定義される演算は擬似自由な作用である。 Pseudo-free action:
Group G φ , set of natural numbers Ω φ = {0,. . . , M φ } (M φ is a natural number greater than or equal to 1) , each real value of a random variable X φ, 1 , X φ, 2 having a value in the group G φ α φ ∈X φ, 1φ ≠ e φ, g), β φ ∈X φ, 2, and for a (φ) ∈Ω φ, α φ a (φ) = β φ to become probability Pr [α φ a (φ) = β φ cutlet α φ ≠ e φ , g | a (φ) ∈ U Ω, α φ ∈X φ, 1, β φ ∈X φ, 2] ... (4)
For, all possible X φ, 1, X φ, the upper limit about 2, referred to as pseudo-free indicator of the set (G φ, Ω φ), which will be expressed as P (G φ, Ω φ) . There is a function ζ (k) that can be ignored,
P (G φ , Ω φ ) <ζ (k) (5)
The operation defined by the pair (G φ , Ω φ ) is a pseudo-free action. Note that “α φ a (φ) ” means that the operation defined by the group G φ is applied to α φ a (φ) times. An example of the function ζ (k) that can be ignored is that {ζ (k) p (k)} converges to 0 for a sufficiently large k for an arbitrary polynomial p (k). Specific examples of the function ζ (k) include ζ (k) = 2 −k and ζ (k) = 2 −√k . For example, when the probability of the expression (4) is less than O (2 −k ) with respect to the security parameter k, the operation defined by the pair (G φ , Ω φ ) is a pseudo-free action. For example, for an arbitrary α φ ∈G φ and α φ ≠ e φ, g , the set Ω φ · α φ = {a (φ) (α φ ) | a (φ) ∈Ω φ } When the number of elements | Ω φ · α φ | exceeds 2 k , the operation defined by the pair (G φ , Ω φ ) can be said to be a pseudo-free action. Note that a (φ) (α φ ) represents a result obtained by applying a predetermined calculation to a (φ) and αφ . There are many such examples. For example, the group G φ is a residue group Z / pZ modulo the prime p, the prime p is on the order of 2 k , and the set Ω φ = {0,. . . , P−2} and a (φ) (α φ ) is α φ a (φ) ∈Z / pZ and α φ ≠ e φ, g , Ω φ · α φ = {α φ a (φ) | a (φ) = 0,. . . , P−2} = {e φ, g , α φ 1 ,. . . , Α φ p−2 }, and | Ω φ · α φ | = p−1. Since prime p is of the order of 2 k, then there exists a constant C, if k is sufficiently large | Ω φ · α φ |> meet C2 k. Here, the probability of equation (4) is less than C - 12- k , and the operation defined by such a set (G [ phi] , [Omega] [ phi] ) is a pseudo-free action.

信頼性δγ(δγ−reliable)の乱数化可能標本器:
自然数a(φ)が与えられるたびに、δ−reliableのfφ(τφ)のブラックボックスFφ(τφ)を用い、wφ∈Gφについて、確率変数Xφに従った標本xφ’に対応するwφ a(φ)φ’を返す乱数化可能標本器であって、wφ a(φ)φ’=wφ a(φ)である確率がδγよりも大きい(γは正定数)、すなわち、
Pr[wφ a(φ)φ’=wφ a(φ)]>δγ …(6)
を満たすものを、信頼性δγの乱数化可能標本器という。本形態の入力情報提供部5104と第二出力情報計算部5202−φと第二計算部5108との組は、wφ=fφ(xφ)について、信頼性δγの乱数化可能標本器である。 A randomizable sampler with reliability δ γγ -reliable):
Each time a natural number a (φ) is given, a sample x φ according to a random variable X φ is used for w φ ∈G φ using a black box F φφ ) of δ-reliable f φφ ). a random number of possible sampler that returns' to w φ a (φ) x φ corresponding ', the probability that w φ a (φ) x φ ' = w φ a (φ) is greater than [delta] gamma ( γ is a positive constant)
Pr [w φ a (φ) x φ '= w φ a (φ)]> δ γ ... (6)
A sampler that satisfies the above condition is called a randomizable sampler with reliability δγ. The set of the input information providing unit 5104, the second output information calculating unit 5202-φ, and the second calculating unit 5108 according to this embodiment is a randomizable sampler with reliability δ γ for w φ = f φ (x φ ). It is.

次に、これらの定義を用い、本形態の仲介装置51でfφ(Cφ,1)が得られる理由を説明する。 Next, using these definitions, the reason why f φ (C φ, 1 ) can be obtained by the mediation device 51 of this embodiment will be described.

本形態のステップS5110では同一の暗号文の類CLφ(Mφ)に属するuφ’とvφとの組があるか、すなわち、同一の暗号文の類CLφ(Mφ)に属するuφ a(φ)とvφとの組があるかを判定している。本形態の入力情報提供部5104と第二出力情報計算部5202−φと第二計算部5108との組は信頼性δγの乱数化可能標本器であるため(式(6))、Tをk、δ、γから定まる一定値よりも大きい値とすれば、漸近的に大きい確率でuφ a(φ)とvφとが同一の暗号文の類CLφ(Mφ)に属することになる(ステップS5110でyesとなる)場合が生じる。たとえば、T≧4/δγとすれば、uφ a(φ)とvφとが同一の暗号文の類CLφ(Mφ)に属する(ステップS5110でyesとなる)確率は1/2よりも大きいことがMarkovの不等式によってわかる。 Or class CL in step S5110 the same ciphertext of this embodiment φ (M φ) u φ 'belonging to the v is the set of the phi, i.e., class CL identical ciphertext phi u belonging to (M phi) It is determined whether there is a set of φ a (φ) and v φ . For set of input information providing unit 5104 of the present embodiment and the second output information calculation unit 5202-phi and the second calculating unit 5108 is a random number of possible sampler reliability [delta] gamma (equation (6)), the T If the value is larger than a constant value determined from k, δ, and γ, u φ a (φ) and v φ are asymptotically large and belong to the same ciphertext class CL φ (M φ ). (Yes in step S5110). For example, if T ≧ 4 / δ γ, (a yes in step S5110) u φ a (φ) and v phi and is belonging to the same class of ciphertext CL φ (M φ) probability 1/2 Is greater by the Markov inequality.

また、本形態ではuφ=fφ(Cφ,1)xφ,1及びvφ=fφ(Cφ,1a(φ)φ,2なのであるから、uφ a(φ)とvφとが同一の暗号文の類CLφ(Mφ)に属する場合にはDφ,2(s(σ(φ),2),fφ(Cφ,1)xφ,1)=Dφ,2(s(σ(φ),2),fφ(Cφ,1)xφ,2 1/a(φ))が成立する。ただし、Dφ,2(s(σ(φ),2),υ)は第二暗号化方式ENCφ,2に則ってυ∈Gφを第二復号鍵s(σ(φ),2)で復号するための関数を表す。この場合、第2暗号化方式ENCφ,2が確定暗号方式なのであればxφ,1 a(φ)=xφ,2が成立する。また、第2暗号化方式ENCφ,2が確率暗号方式であったとしてもfφ(Cφ,1)が準同型関数なのであればxφ,1 a(φ)=xφ,2が成立する。 In this embodiment, since u φ = f φ (C φ, 1 ) x φ, 1 and v φ = f φ (C φ, 1 ) a (φ) x φ, 2 , u φ a (φ) And v φ belong to the same ciphertext class CL φ (M φ ), D φ, 2 (s (σ (φ), 2), f φ (C φ, 1 ) x φ, 1 ) = Dφ, 2 (s (σ (φ), 2), ( Cφ, 1 ) xφ, 2 1 / a (φ) ) holds. However, D φ, 2 (s (σ (φ), 2), υ) is νεG φ in accordance with the second encryption scheme ENC φ, 2 , and the second decryption key s (σ (φ), 2) Represents a function for decoding with. In this case, if the second encryption method ENC φ, 2 is a definite encryption method, x φ, 1 a (φ) = x φ, 2 is established. Even if the second encryption method ENC φ, 2 is a stochastic encryption method, if φ φ (C φ, 1 ) is a homomorphic function, x φ, 1 a (φ) = x φ, 2 is established. To do.

φ,1 a(φ)=xφ,2が成立する場合には、xφ,1=xφ,2=eφ,gである場合とxφ,1≠eφ,gである場合とがある。xφ,1=xφ,2=eφ,gである場合には、uφ=fφ(Cφ,1)となるのであるから、ステップS5114で出力されるuφは正しいfφ(Cφ,1)となる。一方、xφ,1≠eφ,gである場合には、uφ≠fφ(Cφ,1)となるのであるから、ステップS5114で出力されるuφは正しいfφ(Cφ,1)ではない。 When x φ, 1 a (φ) = x φ, 2 holds, x φ, 1 = x φ, 2 = e φ, g and x φ, 1 ≠ e φ, g There is. When x φ, 1 = x φ, 2 = e φ, g , u φ = f φ (C φ, 1 ), so u φ output in step S5114 is the correct f φ ( C φ, 1 ). On the other hand, if x φ, 1 ≠ e φ, g , u φ ≠ f φ (C φ, 1 ), the u φ output in step S5114 is the correct f φ (C φ, 1 ) Not.

群Gφと自然数a(φ)が属する集合Ωφとの組(Gφ,Ωφ)によって定義される演算が擬似自由な作用であるか、疑似自由指標P(Gφ,Ωφ)についてTP(Gφ,Ωφ)が漸近的に小さい場合、xφ,1 a(φ)=xφ,2の場合にxφ,1≠eφ,gである確率(式(4))は漸近的に小さい。したがって、xφ,1 a(φ)=xφ,2の場合にxφ,1=eφ,gである確率は漸近的に大きい。よって、組(Gφ,Ωφ)によって定義される演算が擬似自由な作用であるか、TP(Gφ,Ωφ)が漸近的に小さい場合、uφ a(φ)とvφとが同一の暗号文の類CLφ(Mφ)に属する場合に誤ったfφ(Cφ,1)が出力される確率は、uφ a(φ)とvφとが同一の暗号文の類CLφ(Mφ)に属する場合に正しいfφ(Cφ,1)が出力される確率よりも十分小さい。この場合の仲介装置51はオールモスト自己訂正器であるといえる(式(2)参照)。そのため、前述のように、仲介装置51からローバスト自己訂正器を構成することが可能であり、圧倒的な確率で正しいfφ(Cφ,1)を得ることができる。(Gφ,Ωφ)で定義される演算が疑似自由な作用である場合には、uφ a(φ)とvφとが同一の暗号文の類CLφ(Mφ)に属する場合に誤ったfφ(Cφ,1)が出力される確率も無視できる。この場合の仲介装置51は、圧倒的な確率で正しいfφ(Cφ,1)または⊥を出力する。 Or operations group G phi and natural numbers a (phi) is defined by a set of a set Omega phi belonging (G φ, Ω φ) is a pseudo-free action, pseudo free indicator P (G φ, Ω φ) for When T 2 P (G φ , Ω φ ) is asymptotically small, the probability that x φ, 1 ≠ e φ, g when x φ, 1 a (φ) = x φ, 2 (formula (4) ) Is asymptotically small. Therefore, in the case of xφ, 1 a (φ) = xφ, 2 , the probability that xφ , 1 = eφ, g is asymptotically large. Therefore, if the operation defined by the pair (G φ , Ω φ ) is a pseudo-free action or if T 2 P (G φ , Ω φ ) is asymptotically small, u φ a (φ) and v φ DOO wrong f φ (C φ, 1) if it belongs to the same class of ciphertext CL φ (M φ) probability is output, u φ a (φ) and v phi and the same ciphertext This is sufficiently smaller than the probability that the correct f φ (C φ, 1 ) is output when it belongs to the class CL φ (M φ ). It can be said that the mediating device 51 in this case is an all-most self-correcting device (see equation (2)). Therefore, as described above, a robust self-corrector can be configured from the intermediary device 51, and correct f φ (C φ, 1 ) can be obtained with an overwhelming probability. If the operation defined by (G φ , Ω φ ) is a pseudo-free action, then u φ a (φ) and v φ belong to the same ciphertext class CL φ (M φ ). The probability that an erroneous f φ (C φ, 1 ) is output can be ignored. In this case, the mediating device 51 outputs the correct f φ (C φ, 1 ) or ⊥ with an overwhelming probability.

なお、任意の定数ρに対してkが定まり、このkに対してk<k’を満たす任意のk’に対する関数値η(k’)がρ未満となる場合「η(k’)が漸近的に小さい」という。k’の例はセキュリティパラメータkである。また、任意の定数ρに対してkが定まり、このkに対してk<k’を満たす任意のk’に対する関数値1−η(k’)がρ未満となる場合「η(k’)が漸近的に大きい」という。 If k 0 is determined for an arbitrary constant ρ, and the function value η (k ′) for an arbitrary k ′ that satisfies k 0 <k ′ for this k 0 is less than ρ, “η (k ′ ) Is asymptotically small. " An example of k ′ is a security parameter k. Further, Sadamari is k 0 for any constant [rho, for this k 0 k 0 <If function value for 'any k satisfying' k 1-eta of (k ') is less than [rho "eta ( k ′) is asymptotically large ”.

また、a(φ)をa(φ)/b(φ)に置換すれば分かるように、上述の証明は第一実施形態で述べた「uφ’とvφ’とが互いに同一の暗号文の類CLφ(Mφ)に属するのは、第一乱数化可能標本器がuφ=fφ(Cφ,1b(φ)を正しく計算しており、第二乱数化可能標本器がvφ=fφ(Cφ,1a(φ)を正しく計算している(xφ,1及びxφ,2が群Gφの単位元eφ,gである)可能性が高い」ことの証明ともなる。 As can be seen by replacing a (φ) with a (φ) / b (φ), the above proof is the ciphertext in which “u φ ′” and “v φ ′” described in the first embodiment are identical to each other. Belongs to the class CL φ (M φ ) because the first randomizable sampler correctly calculates u φ = f φ (C φ, 1 ) b (φ) , and the second randomizable sampler Is correctly calculating v φ = f φ (C φ, 1 ) a (φ) (x φ, 1 and x φ, 2 are unit elements e φ, g of group G φ ) It is also a proof of that.

《信頼性δγの乱数化可能標本器と安全性について》
以下のような攻撃を想定する。 《Reliable δγ randomizable sampler and safety》
Assume the following attacks.

・ブラックボックスFφ(τφ)又はその部分が意図的に不正なzφを出力する、又は、ブラックボックスFφ(τφ)から出力された値が不正なzφに改ざんされる。 The black box F φφ ) or its part intentionally outputs an illegal z φ , or the value output from the black box F φφ ) is altered to an illegal z φ .

・不正なzφに対応するwφ a(φ)φ’が乱数化可能標本器から出力される。 • w φ a (φ) x φ ′ corresponding to an illegal z φ is output from a randomizable sampler.

・不正なzφに対応するwφ a(φ)φ’は、自己訂正器C(Cφ,1)にuφ a(φ)とvφとが同一の暗号文の類CLφ(Mφ)に属すると判定させる(ステップS5110でyesなる)にもかかわらず、自己訂正器C(Cφ,1)が誤った値を出力する確率を増加させる。 The w φ a (φ) x φ ′ corresponding to the illegal z φ is a ciphertext class CL φ in which u φ a (φ) and v φ are the same in the self-corrector C F (C φ, 1 ). The probability that the self-corrector C F (C φ, 1 ) outputs an incorrect value is increased, although it is determined that it belongs to (M φ ) (yes in step S5110).

このような攻撃は、与えられた自然数a(φ)に対して乱数化可能標本器から出力されたwφ a(φ)φ’の誤差の確率分布D=wφ a(φ)φ’wφ −a(φ)が自然数a(φ)に依存する場合に可能となる。例えば、第二計算部5108から出力されるvφがfφ(Cφ,1a(φ)φ,1 a(φ)となるような不正が行われた場合、xφ,1の値にかかわらず、必ずuφ a(φ)=vφが成立してuφ a(φ)とvφとが同一の暗号文の類CLφ(Mφ)に属すると判定されることになる。よって、与えられた自然数a(φ)に対して乱数化可能標本器から出力されたwφ a(φ)φ’の誤差の確率分布D=wφ a(φ)φ’wφ −a(φ)が当該自然数a(φ)に依存しないことが望ましい。 Such an attack is caused by the probability distribution D a = w φ a (φ) x of the error of w φ a (φ) x φ ′ output from the randomizable sampler for a given natural number a (φ). φ 'w φ -a (φ) it is possible to be dependent on the natural number a (φ). For example, when an illegal operation is performed in which v φ output from the second calculation unit 5108 becomes f φ (C φ, 1 ) a (φ) x φ, 1 a (φ) , x φ, 1 Regardless of the value, u φ a (φ) = v φ is always established, and it is determined that u φ a (φ) and v φ belong to the same ciphertext class CL φ (M φ ). Become. Therefore, the probability distribution D a = w φ a (φ) x φ 'w φ of the error of w φ a (φ) x φ ' output from the randomizable sampler for a given natural number a (φ) It is desirable that −a (φ) does not depend on the natural number a (φ).

あるいは、集合Ωφのいかなる元a(φ)∈Ωφについても、wφ a(φ)φ’の誤差の確率分布D=wφ a(φ)φ’wφ −a(φ)と区別することができない群Gφに値を持つ確率分布Dが存在する(確率分布Dと確率分布Dとが統計的に近似する(statistically−close))乱数化可能標本器であることが望ましい。なお、確率分布Dは自然数a(φ)に依存しない。また、確率分布Dと確率分布Dとを区別することができないとは、多項式時間アルゴリズムによって確率分布Dと確率分布Dとを区別することができないことを意味し、例えば、無視することができるζ(0≦ζ<1)に対して
Σg∈G|Pr[g∈D]−Pr[g∈D]|<ζ …(7)
を満たすならば、多項式時間アルゴリズムによって確率分布Dと確率分布Dとを区別することができない。無視することができるζの例は、セキュリティパラメータkの関数値ζ(k)である。関数値ζ(k)の例は、任意の多項式p(k)について、十分大きなkに対して{ζ(k)p(k)}が0に収束するものである。関数値ζ(k)の具体例は、ζ(k)=2−kやζ(k)=2−√kなどである。また、これらの点は自然数a(φ)及びb(φ)を使用する第一実施形態から第四実施形態についても同様である。 Alternatively, for any original a (φ) Ω φ of the set Ω φ, w φ a (φ ) ' probability distribution of the error D of a = w φ a (φ) x φ' x φ w φ -a ( There is a probability distribution D having a value in the group G φ that cannot be distinguished from ( φ) (the probability distribution D a and the probability distribution D are statistically approximated (statistically-close)). It is desirable. Note that the probability distribution D does not depend on the natural number a (φ). Further, the inability to distinguish between probability distributions D a probability distribution D, which means that it is impossible to distinguish between the probability distribution D a probability distribution D by a polynomial time algorithm, for example, be ignored For possible ζ (0 ≦ ζ <1), ΣgεG | Pr [gεD] −Pr [gεD a ] | <ζ (7)
If it satisfies, the probability distribution D a and the probability distribution D cannot be distinguished by the polynomial time algorithm. An example of ζ that can be ignored is the function value ζ (k) of the security parameter k. An example of the function value ζ (k) is such that {ζ (k) p (k)} converges to 0 for a sufficiently large k for an arbitrary polynomial p (k). Specific examples of the function value ζ (k) include ζ (k) = 2 −k and ζ (k) = 2 −√k . These points are the same in the first to fourth embodiments using the natural numbers a (φ) and b (φ).

[変形例等]
上記の各実施形態ではΦ=2、σ(1)=2、σ(2)=1の場合を例示したが、その他のΦ,σ(φ)について本発明が実施されてもよい。図13では、Φ=3の場合の情報提供システム6を例示している。図13の例の場合、例えば、Φ=3、σ(1)=2、σ(2)=3、σ(3)=1として上記の各実施形態の処理を実行すればよい。その他、Φ=4の場合には、例えば、σ(1)=2、σ(2)=3、σ(3)=4、σ(4)=1としたり、σ(1)=2、σ(2)=1、σ(3)=4、σ(4)=3としたりしてもよい。 [Modifications, etc.]
In each of the above embodiments, the case of Φ = 2, σ (1) = 2, and σ (2) = 1 is exemplified, but the present invention may be implemented for other Φ and σ (φ). FIG. 13 illustrates the information providing system 6 when Φ = 3. In the case of the example in FIG. 13, for example, the processing of each of the above embodiments may be executed with Φ = 3, σ (1) = 2, σ (2) = 3, and σ (3) = 1. In addition, when Φ = 4, for example, σ (1) = 2, σ (2) = 3, σ (3) = 4, σ (4) = 1, or σ (1) = 2, σ (2) = 1, σ (3) = 4, and σ (4) = 3.

確率変数Xφ,1、Xφ,2及びXφ,3は、同じでも異なっていてもよい。 The random variables X φ, 1 , X φ, 2 and X φ, 3 may be the same or different.

第一乱数生成部、第二乱数生成部、第三乱数生成部のそれぞれは、一様乱数を生成することにより、情報提供システムの安全性が最も高くなる。しかし、求める安全性のレベルがそれほど高くない場合には、第一乱数生成部、第二乱数生成部、第三乱数生成部の少なくとも一部が、一様乱数ではない乱数を生成してもよい。また、演算効率上からは、上述の各実施形態のように、選択される自然数の乱数は0以上Kφ,H未満の自然数であることが望ましいが、その代わりにKφ,H以上の自然数の乱数が選択されてもよい。 Each of the first random number generation unit, the second random number generation unit, and the third random number generation unit generates the uniform random number, so that the security of the information providing system is maximized. However, if the required level of security is not so high, at least some of the first random number generator, the second random number generator, and the third random number generator may generate random numbers that are not uniform random numbers. . Further, from the viewpoint of calculation efficiency, it is desirable that the random number of the natural number to be selected is a natural number of 0 or more and less than Kφ, H as in the above embodiments, but instead, a natural number of Kφ, H or more. May be selected.

仲介装置が同一のa(φ),b(φ)に対応する第一入力情報τφ,1及び第二入力情報τφ,2を情報提供装置に提供するたびに、情報提供装置の処理が複数回実行させてもよい。これにより、仲介装置が第一入力情報τφ,1及び第二入力情報τφ,2を情報提供装置に一回提供するたびに、仲介装置は第一出力情報zφ,1や第二出力情報zφ,2や第三出力情報zφ,3を複数個得ることができる。これにより、仲介装置と情報提供装置との間のやり取り回数や通信量を減らすことができる。 Each time the intermediary device provides the first input information τ φ, 1 and the second input information τ φ, 2 corresponding to the same a (φ), b (φ) to the information providing device, the processing of the information providing device is performed. It may be executed multiple times. Thus, each time the mediation device provides the first input information τ φ, 1 and the second input information τ φ, 2 to the information providing device once, the mediation device can output the first output information z φ, 1 and the second output information. A plurality of pieces of information z φ, 2 and third output information z φ, 3 can be obtained. Thereby, the frequency | count and communication amount of communication between a mediation apparatus and an information provision apparatus can be reduced.

また、仲介装置が複数種類の第一入力情報τφ,1及び第二入力情報τφ,2を情報提供装置にまとめて提供し、対応する第一出力情報zφ,1や第二出力情報zφ,2や第三出力情報zφ,3を複数個まとめて取得してもよい。これにより、仲介装置と情報提供装置との間のやり取り回数を減らすことができる。 Further, the intermediary device collectively provides a plurality of types of first input information τ φ, 1 and second input information τ φ, 2 to the information providing device, and corresponding first output information z φ, 1 and second output information. A plurality of z φ, 2 and third output information z φ, 3 may be acquired together. Thereby, the frequency | count of exchange between a mediation apparatus and an information provision apparatus can be reduced.

仲介装置の各部間のデータのやり取りは直接行われてもよいし、図示していない記憶部を介して行われてもよい。同様に、情報提供装置の各部間のデータのやり取りは直接行われてもよいし、図示していない記憶部を介して行われてもよい。   Data exchange between each unit of the mediation apparatus may be performed directly or may be performed via a storage unit (not shown). Similarly, data exchange between the units of the information providing apparatus may be performed directly or via a storage unit (not shown).

また、各実施形態の第一計算部や第二計算部において得られたuφやvφが群Gφの元であるかを確認し、群Gφの元であった場合には上述した処理を続行し、uφ又はvφが群Gφの元でなかった場合には、計算をすることができなかった旨の情報、例えば記号「⊥」が出力されてもよい。 Further, u phi and v phi obtained in the first calculation unit and the second calculation portion of the embodiment confirms whether the original group G phi, described above in the case were the original group G phi If the processing is continued and u φ or v φ is not an element of the group G φ , information indicating that the calculation could not be performed, for example, the symbol “⊥” may be output.

その他、本発明は上述の実施形態に限定されるものではない。例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。   In addition, the present invention is not limited to the above-described embodiment. For example, the various processes described above are not only executed in time series according to the description, but may also be executed in parallel or individually as required by the processing capability of the apparatus that executes the processes. Needless to say, other modifications are possible without departing from the spirit of the present invention.

また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。   Further, when the above-described configuration is realized by a computer, processing contents of functions that each device should have are described by a program. The processing functions are realized on the computer by executing the program on the computer.

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。   The program describing the processing contents can be recorded on a computer-readable recording medium. As the computer-readable recording medium, for example, any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory may be used.

また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。   The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。   A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, this computer reads the program stored in its own recording device and executes the process according to the read program. As another execution form of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and the program is transferred from the server computer to the computer. Each time, the processing according to the received program may be executed sequentially. Also, the program is not transferred from the server computer to the computer, and the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes the processing function only by the execution instruction and result acquisition. It is good. Note that the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).

1〜6 情報提供システム
11〜51 仲介装置
12−φ〜52−φ 情報提供装置 1-6 Information Providing System 11-51 Intermediary Device 12-φ-52-φ Information Providing Device

Claims (13)

仲介装置とΦ個の情報提供装置φとを有し、
φ=1,…,Φ、σ(φ)=1,…,Φ、σ(φ)≠φ、Φが2以上の整数、Gφ,Hφが有限可換群、fφが第一暗号化方式ENCφ,1に則って平文mφを第一暗号化鍵y(φ,1)で暗号化して得られた群Hφの元である第一暗号文Cφ,1が与えられたとき、当該第一暗号文Cφ,1を、第二暗号化方式ENCφ,2に則って前記平文mφを第二暗号化鍵y(σ(φ),2)で暗号化して得られる群Gφの元である第二暗号文fφ(Cφ,1)=Cφ,2に変換するための関数、a(φ),b(φ)が互いに素である自然数、平文Mφを前記第二暗号化方式ENCφ,2に則って前記第二暗号化鍵y(σ(φ),2)で暗号化して得られる可能性がある暗号文を要素とする集合が、当該暗号文が属する暗号文の類CLφ(Mφ)、Xφ,1,Xφ,2が群Gφに値を持つ確率変数、xφ,1が確率変数Xφ,1の実現値、xφ,2が確率変数Xφ,2の実現値であり、
前記仲介装置が、
前記情報提供装置φそれぞれの前記第一暗号文Cφ,1に対応する群Hφの元である第一入力情報τφ,1及び第二入力情報τφ,2を出力する入力情報提供部を含み、
前記情報提供装置φのそれぞれが、
前記第一入力情報τφ,1を用い、或る確率より大きな確率でfφ(τφ,1)を正しく計算し、得られた演算結果を第一出力情報zφ,1とする第一出力情報計算部と、
前記第二入力情報τφ,2を用い、或る確率より大きな確率でfφ(τφ,2)を正しく計算し、得られた演算結果を第二出力情報zφ,2とする第二出力情報計算部と、を含み、
前記仲介装置が、さらに
前記第一出力情報zφ,1から演算結果uφ=fφ(Cφ,1b(φ)φ,1を生成する第一計算部と、
前記第二出力情報zφ,2から演算結果vφ=fφ(Cφ,1a(φ)φ,2を生成する第二計算部と、
前記演算結果uφに対する値uφ a(φ)と前記演算結果vφに対する値vφ b(φ)とが互いに同一の暗号文の類CLφ(Mφ)に属する場合の前記演算結果uφ及び前記演算結果vφと、a’(φ)a(φ)+b’(φ)b(φ)=1を満たす整数a’(φ),b’(φ)とに対する、値uφ b’(φ)φ a’(φ)を得る処理部と、
すべてのφ=1,…,Φについて前記値uφ b’(φ)φ a’(φ)が得られた後に、前記値uφ b’(φ)φ a’(φ)(φ=1,…,Φ)を出力する最終出力部とを含む、
情報提供システム。 Having an intermediary device and Φ information providing devices φ,
φ = 1, ..., Φ, σ (φ) = 1, ..., Φ, σ (φ) ≠ φ, Φ is an integer of 2 or more, G φ, H φ finite friendly換群, f phi is the first encryption The first ciphertext C φ, 1 which is the element of the group H φ obtained by encrypting the plaintext m φ with the first encryption key y (φ, 1) according to the encryption scheme ENC φ , 1 is given. Then, the first ciphertext C φ, 1 is obtained by encrypting the plaintext m φ with the second encryption key y (σ (φ), 2) in accordance with the second encryption scheme ENC φ, 2. A function for converting to the second ciphertext f φ (C φ, 1 ) = C φ, 2 that is an element of the group G φ , a natural number in which a (φ) and b (φ) are relatively prime, plaintext M φ Is a ciphertext element that may be obtained by encrypting the second encryption method ENC φ, 2 with the second encryption key y (σ (φ), 2). kind of cipher text that statement belongs CL φ (M φ), X φ, 1 X phi, random variable 2 has a value in the group G φ, x φ, 1 is the random variable X phi, 1 of realizations, x phi, 2 random variable X phi, a second actual values,
The intermediary device is
An input information providing unit that outputs first input information τ φ, 1 and second input information τ φ, 2 that are elements of the group H φ corresponding to the first ciphertext C φ, 1 of each of the information providing devices φ. Including
Each of the information providing devices φ
The first input information τ φ, 1 is used to correctly calculate f φφ, 1 ) with a probability greater than a certain probability, and the obtained calculation result is set as first output information z φ, 1 An output information calculator ,
The second input information τ φ, 2 is used to correctly calculate f φφ, 2 ) with a probability greater than a certain probability, and the obtained calculation result is set as second output information z φ, 2 An output information calculation unit,
The intermediary device further generates a calculation result u φ = f φ (C φ, 1 ) b (φ) x φ, 1 from the first output information z φ, 1 ;
A second calculation unit for generating an operation result v φ = f φ (C φ, 1 ) a (φ) x φ, 2 from the second output information z φ, 2 ;
The calculation result u when the value u φ a (φ) for the calculation result u φ and the value v φ b (φ) for the calculation result v φ belong to the same ciphertext class CL φ (M φ ). The value u φ b for φ and the calculation result v φ and integers a ′ (φ) and b ′ (φ) satisfying a ′ (φ) a (φ) + b ′ (φ) b (φ) = 1. A processing unit for obtaining '(φ) v φ a'(φ);
After the values u φ b ′ (φ) v φ a ′ (φ) are obtained for all φ = 1,..., Φ, the values u φ b ′ (φ) v φ a ′ (φ) (φ = 1,..., Φ)
Information provision system. 請求項1の情報提供システムであって、
前記仲介装置が、前記自然数a(φ),b(φ)の少なくとも一方を選択する自然数選択部を含み、
前記第一入力情報τφ,1が前記自然数b(φ)にさらに対応し、前記第二入力情報τφ,2が前記自然数a(φ)にさらに対応する、
情報提供システム。 The information providing system according to claim 1,
The intermediary device includes a natural number selection unit that selects at least one of the natural numbers a (φ) and b (φ),
The first input information τ φ, 1 further corresponds to the natural number b (φ), and the second input information τ φ, 2 further corresponds to the natural number a (φ).
Information provision system. 請求項1又は2の情報提供システムにおいて、
前記入力情報提供部が、前記第一暗号文Cφ,1との関係をかく乱させた情報を前記第一入力情報τφ,1及び前記第二入力情報τφ,2とする、
情報提供システム。 In the information provision system of Claim 1 or 2,
The input information providing unit sets the information that disturbs the relationship with the first ciphertext C φ, 1 as the first input information τ φ, 1 and the second input information τ φ, 2 .
Information provision system. 請求項1から3の何れかの情報提供システムであって、
前記関数fφが準同型関数であり、
前記入力情報提供部が、
群Hφの任意の元φ,1を生成する第一乱数生成部と、
第一暗号化方式ENCφ,1に則って前記元φ,1を前記第一暗号化鍵y(φ,1)で暗号化して得られた群Hφの元Cφ,1’に対応するCφ,1 b(φ)φ,1’を前記第一入力情報τ φ,として得る第一入力情報計算部と、
群Hφの任意の元φ,2を生成する第二乱数生成部と、
第一暗号化方式ENCφ,1に則って前記元φ,2を前記第一暗号化鍵y(φ,1)で暗号化して得られた群Hφの元Cφ,1”に対応するCφ,1 a(φ)φ,1”を前記第二入力情報τ φ,として得る第二入力情報計算部と、を含み、
前記第一出力情報計算部は、前記第一入力情報Cφ,1 b(φ)φ,1’を用い、或る確率より大きな確率でfφ(Cφ,1 b(φ)φ,1’)を正しく計算し、得られた計算結果を前記第一出力情報zφ,1とし、
前記第二出力情報計算部は、前記第二入力情報Cφ,1 a(φ)φ,1”を用い、或る確率より大きな確率でfφ(Cφ,1 a(φ)φ,1”)を正しく計算し、得られた計算結果を第二出力情報zφ,2とし、
前記第一計算部は、前記第二暗号化方式ENCφ,2に則って前記元φ,1を前記第二暗号化鍵y(σ(φ),2)で暗号化して得られる群Gφの元Cφ,2’に対応するzφ,1(Cφ,2’)−1を前記uφとし、
前記第二計算部は、前記第二暗号化方式ENCφ,2に則って前記元φ,2を前記第二暗号化鍵y(σ(φ),2)で暗号化して得られる群Gφの元Cφ,2”に対応するzφ,2(Cφ,2”)−1を前記vφとする、
情報提供システム。 The information providing system according to any one of claims 1 to 3,
The function is a homomorphic function;
The input information providing unit
A first random number generator for generating an arbitrary element h r φ, 1 of the group H φ ;
In accordance with the first encryption scheme ENC φ, 1 , the element h r φ, 1 is encrypted with the first encryption key y (φ, 1) to the element C φ, 1 ′ of the group H φ. A first input information calculation unit for obtaining corresponding C φ, 1 b (φ) C φ, 1 ′ as the first input information τ φ, 1 ;
A second random number generator for generating an arbitrary element h r φ, 2 of the group H φ ;
In accordance with the first encryption scheme ENC φ, 1 , the element h r φ, 2 is encrypted with the first encryption key y (φ, 1) to the element C φ, 1 ″ of the group H φ. A second input information calculation unit that obtains corresponding C φ, 1 a (φ) C φ, 1 ″ as the second input information τ φ, 2 ,
The first output information calculation unit uses the first input information C φ, 1 b (φ) C φ, 1 ′, and f φ (C φ, 1 b (φ) C φ with a probability larger than a certain probability. , 1 ′) is correctly calculated, and the obtained calculation result is the first output information z φ, 1 ,
The second output information calculation unit uses the second input information C φ, 1 a (φ) C φ, 1 ″, and f φ (C φ, 1 a (φ) C φ with a probability larger than a certain probability. , 1 ") is correctly calculated, and the obtained calculation result is set as the second output information zφ, 2 ,
The first calculation unit is a group obtained by encrypting the element h r φ, 1 with the second encryption key y (σ (φ), 2) in accordance with the second encryption scheme ENC φ, 2. Let z φ, 1 (C φ, 2 ′) −1 corresponding to element C φ, 2 ′ of G φ be u φ ,
The second calculation unit is a group obtained by encrypting the element h r φ, 2 with the second encryption key y (σ (φ), 2) in accordance with the second encryption scheme ENC φ, 2. Let z φ, 2 (C φ, 2 ″) −1 corresponding to element C φ, 2 ″ of G φ be v φ ,
Information provision system. 請求項1から4の何れかの情報提供システムにおいて、
前記関数fφが準同型関数、群Gφが群Gφ,1,Gφ,2の直積Gφ,1×Gφ,2、μφ,g1が群Gφ,1の生成元、μφ,g2が群Gφ,2の生成元、s(σ(φ),2)が前記第二暗号化鍵y(σ(φ),2)に対応する復号鍵、前記第二暗号化鍵y(σ(φ),2)がμφ,g2 s(σ(φ),2)、r(φ)が整数の乱数、前記第二暗号文Cφ,2が(μφ,g1 r(φ),mφy(σ(φ),2)r(φ))、前記値uφ a(φ)が(cφ,1u,cφ,2u)∈Gφ,1×Gφ,2、前記値vφ b(φ)が(cφ,1v,cφ,2v)∈Gφ,1×Gφ,2、eφ(α,β)が(α,β)∈Gφ,1×Gφ,2に対して有限可換群Gφ,Tの元を与える双線形写像であり、
前記処理部は、関係eφ(μφ,g1,cφ,2u)/eφ(cφ,1u,y(σ(φ),2))=eφ(μφ,g1,cφ,2v)/eφ(cφ,1v,y(σ(φ),2))を満たす場合の前記値uφ b’(φ)φ a’(φ)を出力する、
情報提供システム。 In the information provision system in any one of Claim 1 to 4,
Wherein the function f phi is homomorphic function, the group G phi is the group G φ, 1, G φ, 2 direct product G φ, 1 × G φ, 2, μ φ, g1 is the group G phi, 1 of origin, mu φ, g2 is a generation source of the group G φ, 2 , s (σ (φ), 2) is a decryption key corresponding to the second encryption key y (σ (φ), 2), and the second encryption key y (σ (φ), 2) is μ φ, g2 s (σ (φ), 2) , r (φ) is an integer random number, and the second ciphertext C φ, 2 is (μ φ, g1 r ( φ) , m φ y (σ (φ), 2) r (φ) ), and the value u φ a (φ) is (c φ, 1u , c φ, 2u ) ∈G φ, 1 × G φ, 2 the value v φ b (φ) is (c φ, 1v, c φ , 2v) ∈G φ, 1 × G φ, 2, e φ (α, β) is (α, β) ∈G φ, 1 XG φ, 2 is a bilinear map giving elements of the finite commutative group G φ, T ,
Wherein the processing unit, the relationship e φ (μ φ, g1, c φ, 2u) / e φ (c φ, 1u, y (σ (φ), 2)) = e φ (μ φ, g1, c φ, 2v ) / e φ (c φ, 1v , y (σ (φ), 2)), the value u φ b ′ (φ) v φa ′ (φ) is output.
Information provision system. 請求項5の情報提供システムであって、
φが素数ωφと素数ιφの合成数、前記群Gφ,1,Gφ,2がそれぞれ前記合成数Nφを法とした剰余環上で定義された第一楕円曲線Eφ,1上の点からなる部分群、Gφ,1ω,Gφ,2ωが前記素数ωφを法とした剰余体上で定義された第二楕円曲線Eφ,2上の点からなる部分群、Gφ,1ι,Gφ,2ιが前記素数ιφを法とした剰余体上で定義された第三楕円曲線Eφ,3上の点からなる部分群、eφ,ω(αω,βω)が(αω,βω)∈Gφ,1ω×Gφ,2ωに対して有限可換群Gφ,Tωの元を与える第二双線形写像、eφ,ι(αι,βι)が(αι,βι)∈Gφ,1ι×Gφ,2ιに対して有限可換群Gφ,Tιの元を与える第三双線形写像、HMφが前記第一楕円曲線Eφ,1上の点を前記第二楕円曲線Eφ,2上の点と前記第三楕円曲線Eφ,3上の点とに写す同型写像、HMφ −1が前記同型写像HMφの逆像であり、
前記仲介装置は、
前記同型写像HMφを用いて前記第一楕円曲線Eφ,1上の点αを前記第二楕円曲線Eφ,2上の点θω(α)と前記第三楕円曲線Eφ,3上の点θι(α)とに写し、前記同型写像HMφを用いて前記第一楕円曲線Eφ,1上の点βを前記第二楕円曲線Eφ,2上の点θω(β)と前記第三楕円曲線Eφ,3上の点θι(β)とに写し、eφ,ω(θω(α),θω(β))及びeφ,ι(θι(α),θι(β))を求め、eφ,ω(θω(α),θω(β))及びeφ,ι(θι(α),θι(β))に対する前記逆像HMφ −1をeφ(α,β)として求め、前記関係を満たすか否かを判定する判定部をさらに含む、
情報提供システム。 The information providing system according to claim 5,
N φ is a composite number of a prime number ω φ and a prime number ι φ , and the group G φ, 1 , G φ, 2 is a first elliptic curve E φ defined on a remainder ring modulo the composite number N φ , respectively . A subgroup consisting of points on 1 ; a subgroup consisting of points on a second elliptic curve E φ, 2 where G φ, 1ω , G φ, 2ω is defined on a remainder field modulo the prime number ω φ , G φ, 1ι , G φ, 2ι are subgroups consisting of points on the third elliptic curve E φ, 3 defined on the remainder field modulo the prime number ι φ , e φ, ωω , β ω ) is a second bilinear map that gives an element of the finite commutative group G φ, Tω for (α ω , β ω ) ∈G φ, 1ω × G φ, 2ω , e φ, ιι , β ι ) is a third bilinear map giving elements of the finite commutative group G φ, Tι for (α ι , β ι ) ∈G φ, 1ι × G φ, 2ι , and HM φ is the first elliptic curve E The point on φ, 1 is the second elliptic curve E on φ, 2 An isomorphism mapping HM φ −1 to a point and a point on the third elliptic curve E φ, 3 is an inverse image of the isomorphism HM φ ,
The intermediary device is:
Using the isomorphism HM φ , the point α on the first elliptic curve E φ, 1 is changed to the point θ ω (α) on the second elliptic curve E φ, 2 and the third elliptic curve E φ, 3 . a copy in the point theta iota and (alpha), the isomorphism HM using said phi first elliptic curve E phi, the points on 1 beta second elliptic curve E phi, point on 2 θ ω (β) And a point θ ι (β) on the third elliptic curve E φ, 3 , e φ, ωω (α), θ ω (β)) and e φ, ιι (α) , Θ ι (β)), and the inverse image HM for e φ, ωω (α), θ ω (β)) and e φ, ιι (α), θ ι (β)). a determination unit for determining φ −1 as e φ (α, β) and determining whether or not the relationship is satisfied;
Information provision system. 請求項1から3の何れかの情報提供システムにおいて、
前記関数fφが準同型関数、μφ,hが群Hの生成元、Kφ,Hが群Hφの位数、νφ=fφ(μφ,h)であり、
前記入力情報提供部は、
0以上の自然数の乱数r(φ,1)を生成する第一乱数生成部と、
前記第一入力情報τφ,1としてμφ,h r(φ,1)φ,1 b(φ)を計算する第一入力情報計算部と、
0以上の自然数の乱数r(φ,2)を生成する第二乱数生成部と、
前記第二入力情報τφ,2としてμφ,h r(φ,2)φ,1 a(φ)を計算する第二入力情報計算部と、を含み、
前記第一出力情報計算部は、前記第一入力情報μφ,h r(φ,1)φ,1 b(φ)を用い、或る確率より大きな確率でfφ(μφ,h r(φ,1)φ,1 b(φ))を正しく計算し、得られた計算結果を前記第一出力情報zφ,1とし、
前記第二出力情報計算部は、前記第二入力情報μφ,h r(φ,2)φ,1 a(φ)を用い、或る確率より大きな確率でfφ(μφ,h r(φ,2)φ,1 a(φ))を正しく計算し、得られた計算結果を第二出力情報zφ,2とし、
前記第一計算部は、zφ,1νφ −r(φ,1)を計算してその計算結果を前記uφとし、
前記第二計算部は、zφ,2νφ −r(φ,2)を計算してその計算結果を前記vφとする、
情報提供システム。 In the information provision system in any one of Claim 1 to 3,
The function f φ is a homomorphic function, μ φ, h is a generator of the group H, K φ, H is the order of the group H φ , ν φ = f φφ, h ),
The input information providing unit
A first random number generator that generates a random number r (φ, 1) having a natural number of 0 or more;
A first input information calculation unit for calculating μ φ, hr (φ, 1) C φ, 1 b (φ) as the first input information τ φ, 1 ;
A second random number generator for generating a random number r (φ, 2) having a natural number of 0 or more;
A second input information calculation unit for calculating μ φ, hr (φ, 2) C φ, 1 a (φ) as the second input information τ φ, 2 .
The first output information calculation unit uses the first input information μ φ, hr (φ, 1) C φ, 1 b (φ) , and f φφ, h r with a probability larger than a certain probability. (Φ, 1) C φ, 1 b (φ) ) is correctly calculated, and the obtained calculation result is the first output information z φ, 1 ,
The second output information calculation unit uses the second input information μ φ, hr (φ, 2) C φ, 1 a (φ) , and f φφ, h r with a probability larger than a certain probability. (Φ, 2) C φ, 1 a (φ) ) is correctly calculated, and the obtained calculation result is set as the second output information z φ, 2 ,
The first calculation unit calculates z φ, 1 ν φ −r (φ, 1) and sets the calculation result as u φ ,
The second calculating unit, z φ, 2 ν φ -r (φ, 2) calculated by the to the calculation result and the v phi,
Information provision system. 請求項7の情報提供システムにおいて、
前記第一乱数生成部は、b(φ)≠1のときに前記乱数r(φ,1)を生成し、
前記第一入力情報計算部は、b(φ)≠1のときに前記第一入力情報τφ,1として前記μφ,h r(φ,1)φ,1 b(φ)を計算し、
前記第一出力情報計算部は、b(φ)≠1のときに前記第一入力情報μφ,h r(φ,1)φ,1 b(φ)を用いて得られた前記計算結果を前記第一出力情報zφ,1とし、
前記第一計算部が、b(φ)≠1のときにzφ,1νφ −r(φ,1)を計算してその計算結果を前記uφとし、
前記第二乱数生成部が、a(φ)≠1のときに前記乱数r(φ,2)を生成し、
前記第二入力情報計算部が、a(φ)≠1のときに前記第二入力情報τφ,2としてμφ,h r(φ,2)φ,1 a(φ)を計算し、
前記第二出力情報計算部が、a(φ)≠1のときに前記第二入力情報μφ,h r(φ,2)φ,1 a(φ)を用いて得られた前記計算結果を第二出力情報zφ,2とし、
前記第二計算部が、a(φ)≠1のときにzφ,2νφ −r(φ,2)を計算してその計算結果を前記vφとし、
前記入力情報提供部が、
0以上の自然数の乱数r(φ,3)を生成する第三乱数生成部と、
b(φ)=1のときにCφ,1 r(φ,3)を前記第一入力情報τφ,1とし、a(φ)=1のときにCφ,1 r(φ,3)を前記第二入力情報τφ,2とする第三入力情報計算部と、を含み、
前記情報提供装置が、
前記Cφ,1 r(φ,3)を用い、或る確率より大きな確率でfφ(Cφ,1 r(φ,3))を正しく計算し、得られた計算結果を第三出力情報zφ,3とする第三出力情報計算部を含み、
前記仲介装置が、
b(φ)=1のときにzφ,3 1/r(φ,3)を前記uφとし、a(φ)=1のときにzφ,3 1/r(φ,3)を前記vφとする第三計算部を含む、
情報提供システム。 In the information provision system of Claim 7,
The first random number generator generates the random number r (φ, 1) when b (φ) ≠ 1;
The first input information calculation unit calculates the μ φ, hr (φ, 1) C φ, 1 b (φ) as the first input information τ φ, 1 when b (φ) ≠ 1. ,
The first output information calculation unit obtains the calculation result obtained by using the first input information μφ, hr (φ, 1) C φ, 1 b (φ) when b (φ) ≠ 1. Is the first output information z φ, 1 ,
The first calculation unit calculates z φ, 1 v φ −r (φ, 1) when b (φ) ≠ 1, and sets the calculation result as u φ ,
The second random number generator generates the random number r (φ, 2) when a (φ) ≠ 1;
The second input information calculation unit calculates μ φ, hr (φ, 2) C φ, 1 a (φ) as the second input information τ φ, 2 when a (φ) ≠ 1;
The calculation result obtained by the second output information calculation unit using the second input information μφ, hr (φ, 2) C φ, 1 a (φ) when a (φ) ≠ 1 Is the second output information z φ, 2 ,
The second calculation unit calculates z φ, 2 ν φ −r (φ, 2) when a (φ) ≠ 1 and sets the calculation result as v φ ,
The input information providing unit
A third random number generator for generating a random number r (φ, 3) having a natural number of 0 or more;
When b (φ) = 1, C φ, 1 r (φ, 3) is the first input information τ φ, 1 , and when a (φ) = 1, C φ, 1 r (φ, 3) A third input information calculation unit that sets the second input information τ φ, 2 as
The information providing device is
Using C φ, 1 r (φ, 3) , f φ (C φ, 1 r (φ, 3) ) is correctly calculated with a probability larger than a certain probability, and the obtained calculation result is used as third output information. including a third output information calculator with z φ, 3 ,
The intermediary device is
When b (φ) = 1, z φ, 3 1 / r (φ, 3) is set as u φ , and when a (φ) = 1, z φ, 3 1 / r (φ, 3) is set as the above. including a third calculator with v φ
Information provision system. 請求項1から8の何れかの情報提供システムにおいて、
前記演算結果uφのfφ(Cφ,1b(φ)に対する誤差の確率分布が前記自然数b(φ)に依存しない、並びに/若しくは、前記演算結果vφのfφ(Cφ,1a(φ)に対する誤差の確率分布が前記自然数a(φ)に依存しない、又は、前記演算結果uφのfφ(Cφ,1b(φ)に対する誤差の確率分布と区別することができない前記自然数b(φ)に依存しない確率分布が存在する、並びに/若しくは、前記演算結果vφのfφ(Cφ,1a(φ)に対する誤差の確率分布と区別することができない前記自然数a(φ)に依存しない確率分布が存在する、
情報提供システム。 In the information provision system in any one of Claim 1 to 8,
The operation result u phi of f φ (C φ, 1) b (φ) error probability distribution for does not depend the natural number b (phi), and / or of the calculation result v φ f φ (C φ, distinguishing the 1) a (φ) probability distribution of errors with respect to not depend on the natural number a (phi), or, f φ (C φ of the operation result u φ, 1) b (φ ) with respect to the probability distribution of the error There is a probability distribution that does not depend on the natural number b (φ) that cannot be performed and / or can be distinguished from the error probability distribution of the calculation result v φ with respect to f φ (C φ, 1 ) a (φ) . There is a probability distribution that does not depend on the natural number a (φ),
Information provision system. φ=1,…,Φ、σ(φ)=1,…,Φ、σ(φ)≠φ、Φが2以上の整数、Gφ,Hφが有限可換群、fφが第一暗号化方式ENCφ,1に則って平文mφを第一暗号化鍵y(φ,1)で暗号化して得られた群Hφの元である第一暗号文Cφ,1が与えられたとき、当該第一暗号文Cφ,1を、第二暗号化方式ENCφ,2に則って前記平文mφを第二暗号化鍵y(σ(φ),2)で暗号化して得られる群Gφの元である第二暗号文fφ(Cφ,1)=Cφ,2に変換するための関数、a(φ),b(φ)が互いに素である自然数、平文Mφを前記第二暗号化方式ENCφ,2に則って前記第二暗号化鍵y(σ(φ),2)で暗号化して得られる可能性がある暗号文を要素とする集合が、当該暗号文が属する暗号文の類CLφ(Mφ)、Xφ,1,Xφ,2が群Gφに値を持つ確率変数、xφ,1が確率変数Xφ,1の実現値、xφ,2が確率変数Xφ,2の実現値であり、
演算結果uφ=fφ(Cφ,1b(φ)φ,1を生成する第一計算部と、
演算結果vφ=fφ(Cφ,1a(φ)φ,2を生成する第二計算部と、
前記演算結果uφに対する値uφ a(φ)と前記演算結果vφに対する値vφ b(φ)とが互いに同一の暗号文の類CLφ(Mφ)に属する場合の前記演算結果uφ及び前記演算結果vφと、a’(φ)a(φ)+b’(φ)b(φ)=1を満たす整数a’(φ),b’(φ)とに対する、値uφ b’(φ)φ a’(φ)を得る処理部と、
すべてのφ=1,…,Φについて前記値uφ b’(φ)φ a’(φ)が得られた後に、前記値uφ b’(φ)φ a’(φ)(φ=1,…,Φ)を出力する最終出力部と、
を有する仲介装置。 φ = 1, ..., Φ, σ (φ) = 1, ..., Φ, σ (φ) ≠ φ, Φ is an integer of 2 or more, G φ, H φ finite friendly換群, f phi is the first encryption The first ciphertext C φ, 1 which is the element of the group H φ obtained by encrypting the plaintext m φ with the first encryption key y (φ, 1) according to the encryption scheme ENC φ , 1 is given. Then, the first ciphertext C φ, 1 is obtained by encrypting the plaintext m φ with the second encryption key y (σ (φ), 2) in accordance with the second encryption scheme ENC φ, 2. A function for converting to the second ciphertext f φ (C φ, 1 ) = C φ, 2 that is an element of the group G φ , a natural number in which a (φ) and b (φ) are relatively prime, plaintext M φ Is a ciphertext element that may be obtained by encrypting the second encryption method ENC φ, 2 with the second encryption key y (σ (φ), 2). kind of cipher text that statement belongs CL φ (M φ), X φ, 1 X phi, random variable 2 has a value in the group G φ, x φ, 1 is the random variable X phi, 1 of realizations, x phi, 2 random variable X phi, a second actual values,
A first calculation unit for generating an operation result u φ = f φ (C φ, 1 ) b (φ) x φ, 1 ;
A second calculation unit for generating an operation result v φ = f φ (C φ, 1 ) a (φ) x φ, 2 ;
The calculation result u when the value u φ a (φ) for the calculation result u φ and the value v φ b (φ) for the calculation result v φ belong to the same ciphertext class CL φ (M φ ). The value u φ b for φ and the calculation result v φ and integers a ′ (φ) and b ′ (φ) satisfying a ′ (φ) a (φ) + b ′ (φ) b (φ) = 1. A processing unit for obtaining '(φ) v φ a'(φ);
After the values u φ b ′ (φ) v φ a ′ (φ) are obtained for all φ = 1,..., Φ, the values u φ b ′ (φ) v φ a ′ (φ) (φ = 1,..., Φ)
Having a mediating device. φ=1,…,Φ、σ(φ)=1,…,Φ、σ(φ)≠φ、Φは2以上の整数、Gφ,Hφが有限可換群、fφが第一暗号化方式ENCφ,1に則って平文mφを第一暗号化鍵y(φ,1)で暗号化して得られた群Hφの元である第一暗号文Cφ,1が与えられたとき、当該第一暗号文Cφ,1を、第二暗号化方式ENCφ,2に則って前記平文mφを第二暗号化鍵y(σ(φ),2)で暗号化して得られる群Gφの元である第二暗号文fφ(Cφ,1)=Cφ,2に変換するための関数、a(φ),b(φ)が互いに素である自然数、平文Mφを前記第二暗号化方式ENCφ,2に則って前記第二暗号化鍵y(σ(φ),2)で暗号化して得られる可能性がある暗号文を要素とする集合が、当該暗号文が属する暗号文の類CLφ(Mφ)、Xφ,1,Xφ,2が群Gφに値を持つ確率変数、xφ,1が確率変数Xφ,1の実現値、xφ,2が確率変数Xφ,2の実現値であり、
仲介装置で、前記情報提供装置φそれぞれの前記第一暗号文Cφ,1に対応する群Hφの元である第一入力情報τφ,1及び第二入力情報τφ,2を出力する入力情報提供ステップと、
情報提供装置φのそれぞれで、前記第一入力情報τφ,1を用い、或る確率より大きな確率でfφ(τφ,1)を正しく計算し、得られた演算結果を第一出力情報zφ,1とする第一出力情報計算ステップと、
前記情報提供装置φのそれぞれで、前記第二入力情報τφ,2を用い、或る確率より大きな確率でfφ(τφ,2)を正しく計算し、得られた演算結果を第二出力情報zφ,2とする第二出力情報計算ステップと、
前記仲介装置で、前記第一出力情報zφ,1から演算結果uφ=fφ(Cφ,1b(φ)φ,1を生成する第一計算ステップと、
前記仲介装置で、前記第二出力情報zφ,2から演算結果vφ=fφ(Cφ,1a(φ)φ,2を生成する第二計算ステップと、
前記仲介装置で、前記演算結果uφに対する値uφ a(φ)と前記演算結果vφに対する値vφ b(φ)とが互いに同一の暗号文の類CLφ(Mφ)に属する場合の前記演算結果uφ及び前記演算結果vφと、a’(φ)a(φ)+b’(φ)b(φ)=1を満たす整数a’(φ),b’(φ)とに対する、値uφ b’(φ)φ a’(φ)を得る処理ステップと、
前記仲介装置で、すべてのφ=1,…,Φについて前記値uφ b’(φ)φ a’(φ)が得られた後に、前記値uφ b’(φ)φ a’(φ)(φ=1,…,Φ)を出力する最終出力ステップと、
を有する情報提供方法。 φ = 1,..., Φ, σ (φ) = 1,..., Φ, σ (φ) ≠ φ, Φ is an integer of 2 or more, G φ , H φ are finite commutative groups, and f φ is the first cipher. The first ciphertext C φ, 1 which is the element of the group H φ obtained by encrypting the plaintext m φ with the first encryption key y (φ, 1) according to the encryption scheme ENC φ , 1 is given. Then, the first ciphertext C φ, 1 is obtained by encrypting the plaintext m φ with the second encryption key y (σ (φ), 2) in accordance with the second encryption scheme ENC φ, 2. A function for converting to the second ciphertext f φ (C φ, 1 ) = C φ, 2 that is an element of the group G φ , a natural number in which a (φ) and b (φ) are relatively prime, plaintext M φ Is a ciphertext element that may be obtained by encrypting the second encryption method ENC φ, 2 with the second encryption key y (σ (φ), 2). kind of cipher text that statement belongs CL φ (M φ), X φ, 1 X phi, random variable 2 has a value in the group G φ, x φ, 1 is the random variable X phi, 1 of realizations, x phi, 2 random variable X phi, a second actual values,
The intermediary device outputs first input information τ φ, 1 and second input information τ φ, 2 that are elements of the group H φ corresponding to the first cipher text C φ, 1 of each of the information providing devices φ. An input information providing step;
In each information providing device φ, the first input information τ φ, 1 is used to correctly calculate f φφ, 1 ) with a probability larger than a certain probability, and the obtained calculation result is the first output information. a first output information calculation step with z φ, 1 ,
Each of the information providing devices φ uses the second input information τ φ, 2 to correctly calculate f φφ, 2 ) with a probability larger than a certain probability, and outputs the obtained calculation result to the second output. A second output information calculation step with information z φ, 2 ,
A first calculation step of generating an operation result u φ = f φ (C φ, 1 ) b (φ) x φ, 1 from the first output information z φ, 1 in the intermediary device;
A second calculation step of generating an operation result v φ = f φ (C φ, 1 ) a (φ) x φ, 2 from the second output information z φ, 2 in the intermediary device;
In the intermediary device, the operation result if it belongs to the value for u φ u φ a (φ) and the calculation result v values for φ v φ b (φ) and the same kind of ciphertext CL phi each other (M phi) for the the operation result u phi and the calculation result v phi of, a '(φ) a ( φ) + b' (φ) b (φ) = 1 integers a satisfying '(φ), b' and (phi) Processing steps to obtain a value u φ b ′ (φ) v φ a ′ (φ) ;
In the intermediary device, all phi = 1, ..., the values for Φ u φ b '(φ) v φ a' after (phi) is obtained, the value u φ b '(φ) v φ a' (φ) (φ = 1, ..., Φ) and the final output step of outputting,
A method for providing information. φ=1,…,Φ、σ(φ)=1,…,Φ、σ(φ)≠φ、Φは2以上の整数、Gφ,Hφが有限可換群、fφが第一暗号化方式ENCφ,1に則って平文mφを第一暗号化鍵y(φ,1)で暗号化して得られた群Hφの元である第一暗号文Cφ,1が与えられたとき、当該第一暗号文Cφ,1を、第二暗号化方式ENCφ,2に則って前記平文mφを第二暗号化鍵y(σ(φ),2)で暗号化して得られる群Gφの元である第二暗号文fφ(Cφ,1)=Cφ,2に変換するための関数、a(φ),b(φ)が互いに素である自然数、平文Mφを前記第二暗号化方式ENCφ,2に則って前記第二暗号化鍵y(σ(φ),2)で暗号化して得られる可能性がある暗号文を要素とする集合が、当該暗号文が属する暗号文の類CLφ(Mφ)、Xφ,1,Xφ,2が群Gφに値を持つ確率変数、xφ,1が確率変数Xφ,1の実現値、xφ,2が確率変数Xφ,2の実現値であり、
第一計算部で、演算結果uφ=fφ(Cφ,1b(φ)φ,1を生成する第一計算ステップと、
第二計算部で、演算結果vφ=fφ(Cφ,1a(φ)φ,2を生成する第二計算ステップと、
処理部で、前記演算結果uφに対する値uφ a(φ)と前記演算結果vφに対する値vφ b(φ)とが互いに同一の暗号文の類CLφ(Mφ)に属する場合の前記演算結果uφ及び前記演算結果vφと、a’(φ)a(φ)+b’(φ)b(φ)=1を満たす整数a’(φ),b’(φ)とに対する、値uφ b’(φ)φ a’(φ)を得る処理ステップと、
最終出力部で、すべてのφ=1,…,Φについて前記値uφ b’(φ)φ a’(φ)が得られた後に、前記値uφ b’(φ)φ a’(φ)(φ=1,…,Φ)を出力する最終出力ステップと、
を有する仲介方法。 φ = 1,..., Φ, σ (φ) = 1,..., Φ, σ (φ) ≠ φ, Φ is an integer of 2 or more, G φ , H φ are finite commutative groups, and f φ is the first cipher. The first ciphertext C φ, 1 which is the element of the group H φ obtained by encrypting the plaintext m φ with the first encryption key y (φ, 1) according to the encryption scheme ENC φ , 1 is given. Then, the first ciphertext C φ, 1 is obtained by encrypting the plaintext m φ with the second encryption key y (σ (φ), 2) in accordance with the second encryption scheme ENC φ, 2. A function for converting to the second ciphertext f φ (C φ, 1 ) = C φ, 2 that is an element of the group G φ , a natural number in which a (φ) and b (φ) are relatively prime, plaintext M φ Is a ciphertext element that may be obtained by encrypting the second encryption method ENC φ, 2 with the second encryption key y (σ (φ), 2). kind of cipher text that statement belongs CL φ (M φ), X φ, 1 X phi, random variable 2 has a value in the group G φ, x φ, 1 is the random variable X phi, 1 of realizations, x phi, 2 random variable X phi, a second actual values,
A first calculation step for generating an operation result u φ = f φ (C φ, 1 ) b (φ) x φ, 1 in the first calculation unit;
A second calculation step of generating an operation result v φ = f φ (C φ, 1 ) a (φ) x φ, 2 in the second calculation unit;
When the value u φ a (φ) for the calculation result u φ and the value v φ b (φ) for the calculation result v φ belong to the same ciphertext class CL φ (M φ ) in the processing unit For the calculation result u φ and the calculation result v φ and integers a ′ (φ) and b ′ (φ) satisfying a ′ (φ) a (φ) + b ′ (φ) b (φ) = 1, Processing steps to obtain a value u φ b ′ (φ) v φ a ′ (φ) ;
In the final output portion, all of phi = 1, ..., the values for Φ u φ b '(φ) v φ a' after (phi) is obtained, the value u φ b '(φ) v φ a' A final output step for outputting (φ) (φ = 1,..., Φ);
Mediating method having. 請求項10の仲介装置としてコンピュータを機能させるためのプログラム。   The program for functioning a computer as an intermediary device of Claim 10.
JP2011107076A 2011-05-12 2011-05-12 Information providing system, mediating apparatus, mediating method, information providing method, and program Active JP5596616B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011107076A JP5596616B2 (en) 2011-05-12 2011-05-12 Information providing system, mediating apparatus, mediating method, information providing method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011107076A JP5596616B2 (en) 2011-05-12 2011-05-12 Information providing system, mediating apparatus, mediating method, information providing method, and program

Publications (2)

Publication Number Publication Date
JP2012237881A JP2012237881A (en) 2012-12-06
JP5596616B2 true JP5596616B2 (en) 2014-09-24

Family

ID=47460826

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011107076A Active JP5596616B2 (en) 2011-05-12 2011-05-12 Information providing system, mediating apparatus, mediating method, information providing method, and program

Country Status (1)

Country Link
JP (1) JP5596616B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6006809B2 (en) 2013-01-16 2016-10-12 日本電信電話株式会社 Decoding service providing apparatus, processing apparatus, safety evaluation apparatus, program, and recording medium
EP3010178B1 (en) 2013-07-18 2018-05-09 Nippon Telegraph And Telephone Corporation Calculation device, calculation method, and program for self-correction
JP6058514B2 (en) * 2013-10-04 2017-01-11 株式会社日立製作所 Cryptographic processing method, cryptographic system, and server
JP6273951B2 (en) * 2014-03-24 2018-02-07 富士通株式会社 ENCRYPTION DEVICE, ENCRYPTION METHOD, INFORMATION PROCESSING DEVICE, AND ENCRYPTION SYSTEM

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011088314A (en) * 2009-10-21 2011-05-06 Seiko Epson Corp Printing apparatus
EP2525341B1 (en) * 2010-01-12 2016-04-06 Nippon Telegraph And Telephone Corporation Proxy calculation system, proxy calculation method, proxy calculation requesting apparatus, and proxy calculation program and recording medium therefor
JP5562284B2 (en) * 2011-04-12 2014-07-30 日本電信電話株式会社 Re-encryption system, re-encryption device, capability providing device, re-encryption method, capability provision method, and program

Also Published As

Publication number Publication date
JP2012237881A (en) 2012-12-06

Similar Documents

Publication Publication Date Title
JP5491638B2 (en) Proxy calculation system, calculation device, capability providing device, proxy calculation method, capability providing method, program, and recording medium
JP5562284B2 (en) Re-encryption system, re-encryption device, capability providing device, re-encryption method, capability provision method, and program
JP5424974B2 (en) Cryptographic processing system, key generation device, encryption device, decryption device, signature processing system, signature device, and verification device
JP5618881B2 (en) Cryptographic processing system, key generation device, encryption device, decryption device, cryptographic processing method, and cryptographic processing program
JP5562475B2 (en) Secret sharing system, distributed device, distributed management device, acquisition device, processing method thereof, secret sharing method, program
JP5466763B2 (en) ENCRYPTION DEVICE, DECRYPTION DEVICE, ENCRYPTION METHOD, DECRYPTION METHOD, PROGRAM, AND RECORDING MEDIUM
US8938068B2 (en) Functional encryption applied system, information output apparatus, information processing apparatus, encryption protocol execution method, information output method, information processing method, program and recording medium
KR101866935B1 (en) Systems and methods for faster public key encryption using the associated private key portion
US9037623B2 (en) Proxy calculation system, proxy calculation method, proxy calculation requesting apparatus, and proxy calculation program and recording medium therefor
JPWO2012011565A1 (en) Secret sharing system, distributed device, distributed management device, acquisition device, secret sharing method, program, and recording medium
JP5596616B2 (en) Information providing system, mediating apparatus, mediating method, information providing method, and program
KR101423956B1 (en) System of attribute-based encryption and Method thereof
JP2010160235A (en) Retrieval system, terminal device, database device, retrieval method, and program
Zhou et al. Secure fine-grained access control of mobile user data through untrusted cloud
JP5097137B2 (en) Cryptographic communication system, terminal device, secret key generation method and program
JP5612494B2 (en) Timed cryptographic system, timed cryptographic method, apparatus, and program using function encryption
WO2017203743A1 (en) Cipher apparatus, decoding apparatus, and cipher system
Okunbor et al. Homomorphic encryption: A survey
JP2008064853A (en) Key management system, cipher processing method, and data creation method of granting decryption right
Purushothama et al. Provably secure public key cryptosystem with limited number of encryptions for authorised sharing of outsourced data
JP6000207B2 (en) ENCRYPTION SYSTEM, SYSTEM PARAMETER GENERATION DEVICE, ENCRYPTION DEVICE, DECRYPTION DEVICE, METHOD THEREOF, AND PROGRAM

Legal Events

Date Code Title Description
A621 Written request for application examination

Effective date: 20130718

Free format text: JAPANESE INTERMEDIATE CODE: A621

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140416

A131 Notification of reasons for refusal

Effective date: 20140422

Free format text: JAPANESE INTERMEDIATE CODE: A131

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140605

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Effective date: 20140805

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140807

R150 Certificate of patent (=grant) or registration of utility model

Ref document number: 5596616

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150