JP5836506B2 - 鍵生成装置、鍵生成プログラム、秘匿検索システム及び鍵配布方法 - Google Patents

鍵生成装置、鍵生成プログラム、秘匿検索システム及び鍵配布方法 Download PDF

Info

Publication number
JP5836506B2
JP5836506B2 JP2014556315A JP2014556315A JP5836506B2 JP 5836506 B2 JP5836506 B2 JP 5836506B2 JP 2014556315 A JP2014556315 A JP 2014556315A JP 2014556315 A JP2014556315 A JP 2014556315A JP 5836506 B2 JP5836506 B2 JP 5836506B2
Authority
JP
Japan
Prior art keywords
public parameter
key
generation
secret search
keyword
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014556315A
Other languages
English (en)
Other versions
JPWO2014109066A1 (ja
Inventor
充洋 服部
充洋 服部
貴人 平野
貴人 平野
伊藤 隆
伊藤  隆
松田 規
規 松田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Application granted granted Critical
Publication of JP5836506B2 publication Critical patent/JP5836506B2/ja
Publication of JPWO2014109066A1 publication Critical patent/JPWO2014109066A1/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Software Systems (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Algebra (AREA)
  • Databases & Information Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Description

この発明は、秘匿検索を実行する秘匿検索システム、秘匿検索システムで使用される鍵の鍵生成装置、鍵生成プログラム及び鍵配布方法に関する。
公開鍵暗号(PKC:Public Key Cryptography)の分野において、暗号化したままキーワード検索することを可能にする技術として、検索可能公開鍵暗号(PEKS:Public−key Encryption with Keyword Search)が知られている(例えば非特許文献1)。以下、検索可能公開鍵暗号をPEKSと記載する。
このPEKSは、例えば、次のようなアプリケーションを実現する。「送信者が機密情報を含んだデータファイルを外部データベース(以下、「サーバ」という)経由で受信者に送る」、という状況を考える。すなわち、送信者がサーバにデータファイルをアップロードしておき、受信者がキーワード検索により、必要なデータファイルをサーバからダウンロードする、という状況を考える。ここで、送信者と受信者は、データファイルとキーワードとの両方をサーバに知られずに共有したい。
受信者は、公開鍵暗号の公開鍵、秘密鍵のペア(データファイル本体の暗号化、復号に使用)と、PEKSの公開鍵、秘密鍵のペア(キーワードの暗号化、検索クエリの作成に使用)とを予め用意する。そして、受信者は、それぞれの公開鍵を公開しておく。
送信者は、受信者の公開鍵暗号の公開鍵を用いてデータファイルを暗号化してデータファイルの暗号文を生成する。これに加えて、送信者は、PEKSの公開鍵を用いてキーワードを暗号化してキーワードの暗号文を生成する。以下、PEKSの公開鍵を用いて生成したキーワードの暗号文を「暗号化タグ」という。送信者は、データファイルの暗号文と暗号化タグとを合わせてサーバにアップロードする。
受信者は、PEKSの秘密鍵を用いてキーワードのデジタル署名に相当するデータを生成する。以下、PEKSの秘密鍵を用いて生成したキーワードのデジタル署名に相当するデータを「トラップドア」という。受信者は、このトラップドアを検索クエリとしてサーバに送信する。サーバは、受け取ったトラップドアを用いてデータベース内の全てのデータファイルの暗号文それぞれの暗号化タグに対して秘匿検索を行う。そして、サーバは、秘匿検索でヒットしたデータファイルの暗号文を受信者に送信する。
このように、暗号化データの外部預託アプリケーションを実現する場合には、PEKSが本質的な役割を果たす。
特開2011−141472号公報 国際公開WO2012/098649号
Dan Boneh, Giovanni Di Crescenzo, Rafail Ostrovsky and Giuseppe Persiano, "ublic Key Encryption with Keyword Search," Eurocrypt 2004, Lecture Notes in Computer Science, vol. 3027, pp. 506−522, 2004. Jonathan Katz, Amit Sahai and Brent Waters, "Predicate Encryption Supporting Disjunctions, Polynomial Equations, and Inner Products," Eurocrypt 2008, Lecture Notes in Computer Science, vol. 4965, pp. 146−162, 2008. Tatsuaki Okamoto and Katsuyuki Takashima, "Adaptively Attribute−Hiding (Hierarchical) Inner Product Encryption," Eurocrypt 2012, Lecture Notes in Computer Science, vol. 7237, pp. 591−608, 2012. Mitsuhiro Hattori, Takato Hirano, Takashi Ito, Nori Matsuda, Takumi Mori, Yusuke Sakai and Kazuo Ohta, "Ciphertext−Policy Delegatable Hidden Vector Encryption and Its Application to Searchable Encryption in Multi−user Setting," IMA International Conference on Cryptography and Coding, Lecture Notes in Computer Science, vol. 7089, pp. 190−209, 2011. Emily Shen, Elaine Shi and Brent Waters, "Predicate Privacy in Encryption Systems," Theory of Cryptography Conference 2009, Lecture Notes in Computer Science, vol. 5444, pp. 457−473, 2009. Mototsugu Nishioka, "Perfect Keyword Privacy in PEKS Systems," ProvSec 2012, Lecture Notes in Computer Science, vol. 7496, pp. 175−192, 2012.
PEKSに関して、キーワードが関係するデータである暗号化タグとトラップドアのうち、暗号化タグの安全性については、これまで数多く研究され、また安全性を満たす方式も数多く提案されてきた。例えば、特許文献1、特許文献2および非特許文献1〜非特許文献4では、PEKSの様々な使用環境を想定した上で、「それらの環境のもとで暗号化タグが安全であるとはどういうことか」を定めた安全性モデルが提唱された。また、その安全性モデルの中で安全性が数学的に証明できるような方式が提案された。
しかしながら、もう一方のデータである「トラップドア」については、非特許文献5、非特許文献6を除いて、安全性の研究やその安全性を満たす方式の提案がほとんどされていない。
非特許文献5では、公開鍵をまったく公開することなく、秘密鍵と同等の扱いにすることにより、トラップドアの安全性を確保する方法が開示されている。しかしながら、公開鍵をまったく公開せずに秘密鍵と同等の扱いにするということは、送信者と受信者が同一人物であるようなアプリケーションにしか利用できないことを意味する。したがって、適用可能なアプリケーションが限定されてしまうという課題があった。
また、非特許文献6では、安全な単射写像(secure injective−function)を用いてトラップドアの安全性を確保する方法が開示されている。しかしながら、この方法は単一キーワードの完全一致検索にしか適用できず、非特許文献2や非特許文献3に示されるようなAND/OR検索には適用できないという課題があった。
本発明は上記の課題を解決するためのものであり、PEKSにおいて、トラップドアの安全性を確保するための一般的な方法を提供することを目的のひとつとする。
この発明の鍵生成装置は、
暗号化データと前記暗号化データを検索するための暗号化されたキーワードである暗号化タグとを生成して送信する送信装置と、
前記送信装置から前記暗号化データと前記暗号化タグとを受信して保管すると共に秘匿検索の要求に応じて、前記秘匿検索を実行するサーバ装置と、
前記キーワードのデジタル署名に相当するデータであると共に前記サーバ装置に前記暗号化データの前記秘匿検索を要求するデータであるトラップドアを生成して前記サーバ装置に送信し、前記秘匿検索の結果を前記サーバ装置から受信する受信装置と
を備えた秘匿検索システムで使用される鍵情報であって、
前記送信装置による前記キーワードの暗号化と、前記受信装置による前記トラップドアの生成とに使用される真の公開パラメータPPと、
前記送信装置による前記キーワードの暗号化と、前記受信装置による前記トラップドアの生成と、前記サーバ装置による前記秘匿検索とに使用される保護鍵PK’と
を含む鍵情報である公開パラメータPK
に含まれる前記真の公開パラメータPPを生成する第1生成部と、
前記公開パラメータPKに含まれる前記保護鍵PK’を、前記第1生成部によって生成される前記真の公開パラメータPPとは分離して生成する第2生成部と
を備えたことを特徴とする。
本発明の鍵生成装置は、公開パラメータに含まれる真の公開パラメータPPと、保護鍵PK’とを分離して生成するので、トラップドアの安全性を向上できる。
実施の形態1の秘匿検索システム1000の構成図。 実施の形態1の公開パラメータPKとマスタ秘密鍵SKの構成を示す図。 実施の形態1の暗号化タグの作成に使用される暗号化(Enc)アルゴリズムのフローチャート。 実施の形態1のトラップドアの作成に使用される鍵生成(GenKey)アルゴリズムのフローチャート。 実施の形態1のサーバ200の秘匿検索に使用される復号(Dec)アルゴリズムのフローチャート。 実施の形態1の受信者300から送信者100およびサーバ200への公開パラメータPK等の配布方法を示すフローチャート。 実施の形態1の暗号化タグの生成、トラップドアの生成及び秘匿検索において使用される鍵情報をまとめた図。 実施の形態1の暗号化タグの生成、トラップドアの生成及び秘匿検索において使用される鍵情報をまとめた表形式の図。 実施の形態1の鍵生成装置310−1のブロック図。 実施の形態1の鍵生成装置310−2のブロック図。 実施の形態1の鍵生成装置310−3のブロック図。 実施の形態2において、非特許文献2と非特許文献3とに関して、関数型暗号として利用する場合のアルゴリズムと、PEKSとして利用する場合のアルゴリズムとの一覧を示す図。 実施の形態2の公開パラメータPKと、マスタ秘密鍵SKとの構成を示す図。 実施の形態2の暗号化タグを生成する際に使用される暗号化(Enc)アルゴリズムのフローチャート。 実施の形態2のトラップドアの作成に使用される鍵生成(GenKey)アルゴリズムのフローチャート。 実施の形態2のサーバ200の秘匿検索に使用される復号(Dec)アルゴリズムのフローチャート。 実施の形態3の送信装置100、受信装置300等の外観を示す図。 実施の形態3の送信装置100、受信装置300等のハードウェア構成を示す図。
以下、実施の形態を示すことにより、本発明の具体的内容を説明する。実施の形態1では、非特許文献2に記載のPEKSにおいて、トラップドアの安全性を確保する方法を開示する。実施の形態2では、非特許文献3に記載の関数型暗号をPEKSとして利用する場合において、トラップドアの安全性を確保する方法を開示する。
はじめに、以下で説明する各実施の形態に共通する構成を説明する。
図1は、各実施の形態に共通する秘匿検索システム1000の構成図である。
(1)送信者100−1から送信者100−nは、暗号化タグの作成者を表す。ここでnは任意の整数であり、PEKSにおいて暗号化タグを作成する送信者の数を表す。なお、送信者100−1から送信者100−nの実体は、送信者の使用する送信装置である。よって送信者100−1〜100−nとは、これら送信者の使用する1〜nの送信装置を意味する。以下では送信者100−1〜100−nを、送信装置100−1〜100−nと記載する場合がある。また、各送信者(各送信装置)を区別する必要が無い場合には、単に、送信者100(送信装置100)と記載する。
(2)受信者300は、公開鍵、マスタ秘密鍵、トラップドアの作成者を表す。なお受信者300の実体は、受信者300の使用する受信装置である。よって受信者300とは、受信者300の使用する受信装置を意味する。以下では受信者300を受信装置300と記載する場合がある。
(3)サーバ装置200(以下、サーバ200という)は、外部データベースを表す。これらはインターネットなどのネットワーク400を介して接続されているものとする。
(4)図1に示すように、秘匿検索システム1000は、送信装置100−1〜100−n、サーバ200及び受信装置300を備えている。
なお、PEKSを用いて暗号化データの外部預託アプリケーションを実現する場合、送信者100−1から送信者100−nは暗号化データの送信者となり、受信者300は暗号化データの受信者300となる。また、サーバ200は外部データベースである。サーバ200は、送信者100から暗号化データと暗号化タグを預かる。サーバ200は受信者300から送信される秘匿検索要求(トラップドア)に対して、受信者300から送信されたトラップドアと、受信者300から配布された公開パラメータPK(実際は図6で述べるように、公開パラメータPKのうちの真の公開パラメータPP)とを用いて秘匿検索を実行し、検索にヒットした暗号化データを受信者300に返す。
なお、ここでは簡単のために受信者300が1人である場合のみを仮定しているが、受信者300が複数存在する構成であってもよい。この場合、後述するセットアップ・アルゴリズム(図2)を各受信者が個別に実施する方法がある。また、PEKSの拡張として、階層型内積述語暗号(Hierarchical Inner−product Encryption)のように階層構造を含んだアルゴリズムを利用する方法により、受信者が1人である場合と同様にして暗号化データの外部預託アプリケーションを実現できる。
実施の形態1.
実施の形態1では、非特許文献2に記載のPEKSにおいて、トラップドアの安全性を確保する方法を開示する。まず、非特許文献2に記載のPEKSのアルゴリズムのうち、本実施の形態1に関係する部分について説明する。なお以下では、「非特許文献2に記載のPEKSのアルゴリズム」といえば、非特許文献2の4節「Our Main Construction」に記載のpredicate−only versionのアルゴリズムを指すものとする。非特許文献2の付録B節には「A Full−Fledged Predicate Encryption Scheme」として、4節のアルゴリズムを発展させ、いわゆる関数型暗号として用いる場合のアルゴリズムが記載されているが、PEKSとして用いる場合には4節のアルゴリズムで十分であることは、当業者であれば容易に理解できる。
図2は、非特許文献2に記載のPEKSのアルゴリズムのうち、セットアップ・アルゴリズムを実行して作成される、公開パラメータPKとマスタ秘密鍵SKの構成を示す。
図2において、
(1)p,q,rはそれぞれ素数を表す。
(2)Gはペアリング演算e^:G×G→G
が可能な楕円曲線上の、位数N=pqrの巡回群を表す。
(3)Gはペアリング演算後の位数Nの巡回群を表す。
(4)e^はペアリング演算を表す。
(5)g,g,gは、「それぞれ位数がp,q,rであるようなG、G、G」の部分群の生成元を表す。
(6)Rは、群G上で一様ランダムに選ばれた要素を表す。
(7){h1,i,h2,ii=1,・・・,nは、群G上で一様ランダムに選ばれた要素を表す。
ここでnは、暗号化タグの生成とトラップドアの生成の際に用いる述語ベクトルの次元数を表す。
(8){R1,i,R2,ii=1,・・・,nは、群G上で一様ランダムに選ばれた要素を表す。
非特許文献2に記載のPEKSのアルゴリズムでは、PEKSを利用するすべてのエンティティ(図1の例で言えば送信者100−1〜100−n、サーバ200、受信者300)が、この公開パラメータPKの情報を共有することが前提となっている。後述のように、サーバ200が秘匿検索を実行する際に利用するアルゴリズムである復号(Dec)アルゴリズムにおいて、公開パラメータPKの情報が使用される。
実施の形態1は、公開パラメータPKを各エンティティに配布する方法に特徴がある。つまり、実施の形態1の目的は、公開パラメータPKの配布方法を工夫することにより、トラップドアの安全性を確保することにある。この詳細は図6の説明で後述する。
なお、図2に示すように、後の説明のために、本実施の形態1においては、
「N,G,G,e^」
の部分を真の公開パラメータPPと呼び、
残りの構成要素、すなわち、
「g,g,Q,{H1,i,H2,i i=1,・・・,n
の部分を保護鍵PK’と呼ぶことにする。
つまり、非特許文献2に記載のセットアップ・アルゴリズムで生成される公開パラメータPKは、真の公開パラメータPPと保護鍵PK’からなるものとする。公開パラメータPPと保護鍵PK’との違いは、後の説明で明らかになる。
(暗号化タグの生成)
次に、図3を用いて、非特許文献2に記載のPEKSのアルゴリズムのうち、送信者100が暗号化タグを生成する際に利用するアルゴリズムである暗号化(Enc)アルゴリズムの手順を示す。従って図3の動作の主語は送信者(送信装置)である。暗号化タグを生成する際には、送信者100は、受信者300から配布された公開パラメータPK(PPとPK’の両方)を使用して、暗号化タグを生成する。
図3は、暗号化(Enc)アルゴリズムの手順を示したフローチャートである。
図3において、
送信者100は
属性ベクトルx=(x1,2,・・・,)∈Z
を暗号化して暗号化タグを生成したいとする。
ここで、
属性ベクトルx∈Z
は暗号化するキーワードに対応したデータであり、完全一致検索やAND検索、OR検索など検索する内容によって異なる形式を取るデータである。例えば1キーワードの完全一致検索の場合には、x=(1,キーワード)
である。
なお、
は、0からN−1までの整数の集合を表す。
また、上記の
=(1,キーワード)
における「キーワード」は、整数化されたキーワードであり、後述の他の場合も同様である。
(1)図3において、送信者100は、まずステップS301にて、Zからs,α,βをランダムに選ぶ。
(2)次に、ステップS302にて、送信者100は、
群Gから、
Figure 0005836506
 をランダムに選ぶ。
(3)最後に、ステップS303にて、送信者100は
Figure 0005836506
 を暗号化タグとして出力する。
図3に示す暗号化(Enc)アルゴリズムの手順において、ステップS301やステップS302を実行する際に、公開パラメータPKが必要となる。特に、ステップS302を実行する際に
公開パラメータPK=(PP,PK’)
のうちの保護鍵PK’が必要となる。
(トラップドアの生成)
次に、図4を用いて、非特許文献2に記載のPEKSのアルゴリズムのうち、受信者300がトラップドアを生成する際に利用するアルゴリズムである鍵生成(GenKey)アルゴリズムの手順を示す。従って図4の動作の主語は受信者(受信装置)である。受信者300は、図2に示した公開パラメータPK(PP、PK’の両方)と、マスタ秘密鍵SKとを用いて、トラップドアを生成する。
図4は、鍵生成(GenKey)アルゴリズムの手順を示したフローチャートである。
図4において、受信者300は
述語ベクトルv=(v,v2,・・・,)∈Z
にデジタル署名してトラップドアを生成したいとする。
ここで述語ベクトルv∈Z
は、検索するキーワードに対応したデータであり、完全一致検索やAND検索、OR検索など検索する内容によって異なる形式を取るデータである。
例えば1キーワードの完全一致検索の場合には、
=(キーワード,N−1)である。
(1)図4において、受信者300は、まずステップS401にて、Zから
Figure 0005836506
 をランダムに選ぶ。
(2)次に、ステップS402にて、受信者300は、GからRをランダムに選ぶ。
(3)次に、ステップS403にて、受信者300は、Zからf,fをランダムに選ぶ。
(4)最後に、ステップS404にて、受信者300は、
Figure 0005836506
 をトラップドアとして出力する。
(サーバ200による秘匿検索)
次に、図5を用いて、サーバ200が秘匿検索を実行する際に利用するアルゴリズムである復号(Dec)アルゴリズムの手順を示す。従って図5の動作の主語はサーバ200である。サーバ200による秘匿検索では、サーバ200は、受信者から送信された一つのトラップドアを基に、複数の送信者から送信された複数の暗号化タグのそれぞれに対して秘匿検索を実行する。この秘匿検索の際に、後述のように、公開パラメータPKのうち、真の公開パラメータPPが必要となる。言い換えれば、図2のように公開パラメータPKは、真の公開パラメータPPと、保護鍵PK’とを含むが、サーバ200の秘匿検索には、保護鍵PK’は、無くてもよい。
図5は、復号(Dec)アルゴリズムの手順を示したフローチャートである。
(1)図5において、サーバ200は、まずステップS501にて、
Figure 0005836506
 を計算する。
(2)次に、ステップS502にて、サーバ200はT=1かどうかを判断する。T=1であれば、ステップS503にて1を返して終了する。T=1でなければ、ステップS504にて0を返して終了する。
(PP,PK’との区別の基準)
この復号(Dec)アルゴリズムの手順において、ステップS501を実行する際に公開パラメータPKが必要となる。
ただし、必要となるのは、
公開パラメータPK=(PP,PK’)
のうちの真の公開パラメータPPの部分のみであって、保護鍵PK’の部分は必要ない。これが図2に示す、真の公開パラメータPPと保護鍵PK’との区別の基準である。つまり、保護鍵PK’は、公開パラメータPKの成分のうち、暗号化アルゴリズム(送信者の暗号化タグの生成、及び受信者のトラップドアの生成)には必要であるが、復号アルゴリズム(サーバの秘匿検索)には必要のない成分をいう。また、真の公開パラメータPPは、公開パラメータPKの成分のうち、暗号化アルゴリズムと復号アルゴリズムの両方に必要な成分をいう。
以上、非特許文献2に記載のPEKSのアルゴリズムのうち、本実施の形態1に関係する部分について説明した。
次に、図6を用いて、本実施の形態1における公開パラメータPKの各エンティティへの配布方法(鍵配布方法)を説明する。図6は、本実施の形態1における受信者300から送信者100およびサーバ200への公開パラメータPKの配布手順を示したフローチャートである。
(受信者300)
(1)まず受信者300は、ステップS601において、セットアップ・アルゴリズムにより
公開パラメータPK=(PP,PK’)
を生成する。公開パラメータPKの具体的な生成方法は、非特許文献2に記載のセットアップ・アルゴリズムに準じる。また、真の公開パラメータPPと保護鍵PK’との区別は、前述のとおりである。(2)次に受信者300は、ステップS602において、公開パラメータPKを送信者100−1〜100−nへ配布する。この際、保護鍵PK’がサーバ200に漏洩しないような方法で配布することが望ましい。このような配布方法には、例えば以下の(a),(b)がある。
なお図9〜図11で後述する鍵生成装置310−1等の場合、公開パラメータPKは、真の公開パラメータPPと保護鍵PK’とが分離された状態で配布されても構わない。
(a)送信者に保護鍵PK’をオフラインで直接供給する方法である。例えばICカードなどの格納媒体に格納して全送信者100に直接手交する方法である。
(b)あるいは、送信者100だけが閲覧できるネットワーク上の電子掲示板に保護鍵PK’を掲示する方法などがある。送信者100は電子掲示板を介して保護鍵PK’を取得する。
(3)最後に受信者300は、ステップS603において、公開パラメータPKのうち、真の公開パラメータPPを、サーバ200へ配布する。サーバ200への配布の際は、特に漏洩の防止を図る必要はない。
(送信者100)
各送信者100−1〜100−nは、ステップS611において受信者300から公開パラメータPKを受け取る。受け取った公開パラメータPKは、ICカードなどのデータ格納機器に格納される。
(サーバ200)
サーバ200は、ステップS621において受信者300から真の公開パラメータPPを受け取る。受け取った真の公開パラメータPPは、データ格納機器に格納される。
図7は、図6で述べた公開パラメータPK等の配布方法に関連し、送信者100による暗号化タグの生成、受信者300によるトラップドアの生成、及びサーバ200による秘匿検索において使用される公開パラメータPK等の鍵情報をまとめた図である。図8は、図7を表形式にした図である。図7、図8等に示すように、送信者100は、暗号化タグの生成に、公開パラメータPK=(PP,PK’)を使用する。受信者300は、トラップドアの生成に、公開パラメータPK=(PP,PK’)と、マスタ秘密鍵SKを使用する。サーバ200は、秘匿検索に公開パラメータPK=(PP,PK’)のうち、真の公開パラメータPPのみを使用する。
図9は、受信装置300が備える鍵生成装置310−1のブロック図である。図9に示すように、受信装置300は鍵生成装置310−1を備える。そして鍵生成装置310−1は、真の公開パラメータPPを生成する真の公開パラメータ生成部311(第1生成部)と、保護鍵PK’を生成する保護鍵生成部312(第2生成部)とを備えている。
以上に述べたように、公開パラメータPKとは、
暗号化データと暗号化データを検索するための暗号化されたキーワードである暗号化タグとを生成して送信する送信装置100と、
送信装置100から暗号化データと暗号化タグとを受信して保管すると共に秘匿検索の要求に応じて、秘匿検索を実行するサーバ200と、
前記キーワードのデジタル署名に相当するデータであると共にサーバ200に暗号化データの秘匿検索を要求するデータであるトラップドアを生成してサーバ200に送信し、秘匿検索の結果をサーバ200から受信する受信装置300と
を備えた秘匿検索システム1000(図7)で使用される鍵情報である。
そして、公開パラメータPKは、図2に示すように、真の公開パラメータPPと保護鍵PK’とを含む鍵情報である。また図7、図8に示すように、真の公開パラメータPPは、送信装置100による暗号化タグの生成、受信装置300によるトラップドアの生成、及びサーバ200による秘匿検索に使用される。また保護鍵PK’は、送信装置100による暗号化タグの生成及び受信装置300によるトラップドアの生成に使用されるが、サーバ200の秘匿検索には使用されない。そこで鍵生成装置310−1では、それぞれ、真の公開パラメータ生成部311と保護鍵生成部312とで、真の公開パラメータPP、保護鍵PK’を分離して生成する。分離して生成された真の公開パラメータPPのみが、図6のように、受信装置300からサーバ200に配布される。これにより、トラップドアの安全性が高まる。
図10は、受信装置300が、鍵生成装置310−2を備える場合を示す図である。鍵生成装置310−1に対して、鍵生成装置310−2は、さらに、公開パラメータPKを入力する入力部313を有する。入力部313は、既に生成されている公開パラメータPKを入力する。真の公開パラメータ生成部311は、入力部313が入力した公開パラメータPKから真の公開パラメータPPを抽出することによって、真の公開パラメータPPを生成する。保護鍵生成部312は、入力部313が入力した公開パラメータPKから保護鍵PK’を抽出することによって、保護鍵PK’を生成する。鍵生成装置310−2によれば、既に生成された公開パラメータPKから、真の公開パラメータPPと保護鍵PK’を分離することができる。これにより、トラップドアの安全性が高まる。
図11は、受信装置300が、鍵生成装置310−3を備える場合を示す図である。鍵生成装置310−2に対して、鍵生成装置310−3は公開パラメータPKを生成する公開パラメータ生成部314(第3生成部)を有する。入力部313は公開パラメータ生成部314が生成した公開パラメータPKを入力する。真の公開パラメータ生成部311は入力部313が入力した公開パラメータPKから真の公開パラメータPPを抽出することによって真の公開パラメータPPを生成し、保護鍵生成部312は入力部313が入力した公開パラメータPKから保護鍵PK’を抽出することによって保護鍵PK’を生成する。鍵生成装置310−3によれば、公開パラメータ生成部314が生成した公開パラメータPKを送信者100に配布し、真の公開パラメータ生成部311が生成した真の公開パラメータPPをサーバ200に配布できる。よってトラップドアの安全性が高まる。
図6では本実施の形態1における公開パラメータPKの各エンティティへの配布方法を説明した。このような配布方法をとることにより、送信者100には公開パラメータPKが配布され、サーバ200には公開パラメータPKのうちの真の公開パラメータPPのみが配布される。また図9〜図11では、公開パラメータPKのうち、真の公開パラメータPPと保護鍵PK’とを分離して生成する鍵生成装置310−1〜310−3を説明した。鍵生成装置310−1〜310−3は真の公開パラメータPPを保護鍵PK’と分離して生成する。よって、図6において真の公開パラメータPPのみをサーバ200に配布することが可能になる。
以上に述べたような公開パラメータPKの各エンティティへの配布方法(及び鍵生成装置)を利用すれば、トラップドアを受け取るサーバ200に対して、トラップドアの安全性が向上する効果がある。以下では、図6の配布方法よって上記効果が生じる理由を簡単に述べる。厳密な安全性証明を付けることも可能であるが、本明細書では割愛し、直感的な説明に留めるものとする。
非特許文献2のような従来のPEKSでは、すべてのエンティティが公開パラメータPKを取得できることが仮定されていた。したがって、送信者100だけでなくサーバ200も、本実施の形態1の保護鍵PK’(図2)を取得することができた。このことは、サーバ200が暗号化アルゴリズムを用いて適当なキーワードを自由に暗号化できることを意味する。つまり、サーバ200は送信者100とまったく同じ権限を持っていることになる。
この場合、サーバ200は以下に述べるような手段を用いて、受け取ったトラップドアから、その内部に含まれているキーワードに関する情報を引き出すことができてしまう。ここでは簡単のため、完全一致検索の場合で説明する。
(1)受信者300からトラップドアを受け取ったサーバ200は、まずトラップドアの内部に含まれているであろうキーワードを推定する。
(2)そして、サーバ200は保護鍵PK’をも用いて、そのキーワードに対する暗号化タグを作成する。
(3)そしてサーバ200はトラップドアと暗号化タグとを復号アルゴリズムにかけ、出力を見る。もし出力が1であれば、推定したキーワードがトラップドアの内部に含まれているキーワードと一致していることがわかる。もし出力が0であれば、推定したキーワードがトラップドアの内部に含まれているキーワードと一致していないことがわかるので、サーバ200は次のキーワードを推定し、同じことを繰り返す。
(4)以上の処理をサーバ200の能力の許す限り続けることで、キーワードの候補が次々に絞られていく。また、使われるキーワードの種類がある程度限られていることが事前にわかっている場合には、遅かれ早かれ、上記の方法でキーワードの情報が完全にわかってしまう。このようにして、トラップドアからその内部に含まれているキーワードに関する情報が引き出されてしまう。
一方、本実施の形態1の図6に示した公開パラメータPKの配布方法をとれば、上述のような攻撃を防ぐことができる。なぜならば、サーバ200がキーワードを推定したとしても、それを確かめるのに必要となる保護鍵PK’をサーバ200が持っていないからである。なお、図3から図5までの各アルゴリズムの記述を見れば、暗号化以外の手段を使ったとしても、やはり推定したキーワードを確かめる手段がないことは、当業者であれば理解できる。
以上、トラップドアの安全性を向上させるという効果が生じる理由を簡単に述べた。なお、本実施の形態1に示した公開パラメータPKの配布方法をとることにより、受信者300とサーバ200との間の通信量を低減できるという別の効果も生じる。
実施の形態2.
実施の形態1では、非特許文献2に記載のPEKSにおいて、トラップドアの安全性を確保する方法を開示した。本実施の形態2では、非特許文献3に記載の関数型暗号を、PEKSとして利用する場合において、トラップドアの安全性を確保する方法を開示する。システム構成は、図1である。
まず、非特許文献3に記載の関数型暗号のアルゴリズムのうち、本実施の形態2に関係する部分について説明する。これ以降、「非特許文献3に記載の関数型暗号のアルゴリズム」といえば、非特許文献3の4節「Proposed (Basic) IPE Scheme」に記載のアルゴリズムを指すものとする。なお、関数型暗号をPEKSとして利用するため、アルゴリズムの一部を変更した上で、変更後のアルゴリズムを記載する。具体的には、暗号化(Enc)アルゴリズムと復号(Dec)アルゴリズムに一部変更を加えて、簡略化したアルゴリズムとする。したがって、セットアップ(Setup)アルゴリズムと鍵生成(KeyGen)アルゴリズムは非特許文献3に記載のとおりである。参考のため、図12に、非特許文献2と非特許文献3とに関して、関数型暗号として利用する場合のアルゴリズムと、PEKSとして利用する場合のアルゴリズムとの一覧を示す。
ここで、本実施の形態2の説明に必要となる概念、記号および記法を説明する。なお、簡単のため、非特許文献3と同様に対称ペアリング群の場合のみを考える。また、群演算は乗法的に記述する。
(1)qを素数とする。
(2)位数qの有限体をFとする。
(3)位数qの対称ペアリング群をGとする。
(4)Gの生成元をgとする。
(5)G上のペアリング演算を、e:G×G→Gとする。
ここでGはペアリング演算後の位数qの巡回群である。
(6)対称ペアリング群の直積(direct product of symmetric pairing groups)で構成される双対ペアリングベクトル空間(DPVS:Dual Pairing Vector Space)を、
V=G×…×G
とする。
(7)VがN次元のDPVSのとき、
Vの標準基底を
A=(a0,・・・,N−1
と表す。
ここでa(i=0,...,N−1)は
Figure 0005836506
 で構成されるN次元のベクトルである。
(8)F上の乱数からなるN次正則行列を、X=(Xi,j)とする。
(9)AにXを掛けて得られるランダム基底XAを、
B=(b0,・・・,N−1)と表す。
すなわち、
Figure 0005836506
 である。
(i=0,・・・,N−1)
は、それぞれN次元のベクトルである。
(10)Xの転置逆行列(X−1に乱数ψを掛けて得られる行列を、
θ=(θi,j)=ψ(X−1とする。
(11)Aにθを掛けて得られる基底を、
=(b 0,・・・, N−1
と表す。
すなわち、
Figure 0005836506
 である。b (i=0,...,N−1)はそれぞれN次元のベクトルである。BをBの双対基底と呼ぶ。
(12)ランダム基底Bについて、F上の
ベクトルx=(x0,・・・,N−1)∈F
を係数とする線型結合を
(x0,・・・,N−1
と表す。
すなわち、
Figure 0005836506
 である。
(13)同様に、Bの双対基底Bについて、F上の
ベクトルv=(v0,・・・,N−1)∈F
を係数とする線型結合を
(v0,・・・,N−1B*と表す。
すなわち、
Figure 0005836506
 である。
(14)V上の2つの
ベクトルg=(g0,・・・,N−1)と
h=(h0,・・・,N−1
のペアリング演算をe(g,h)と表す。
すなわち、
Figure 0005836506
 である。
(PK、SKの構成)
続いて、図13を用いて、非特許文献3に記載の関数型暗号のアルゴリズムのうち、セットアップ・アルゴリズムを実行して作成される公開パラメータPKとマスタ秘密鍵SKとの構成を説明する。
図13は、本実施の形態2における公開パラメータPKと、マスタ秘密鍵SKとの構成を示す。実施の形態1と同様に、受信者300が公開パラメータPK、マスタ秘密鍵SKを生成するのは上記のとおりである。
図13において、公開パラメータPKは、実施の形態1と同様に、真の公開パラメータPPと保護鍵PK’とから構成される。真の公開パラメータPPは、
PP=(q,V,G,A,e,g
である。
ここで、
(1)qは素数、
(2)Vは4n+2次元(nは、暗号化タグの生成とトラップドアの生成の際に用いる述語ベクトルの次元数)の双対ペアリングベクトル空間、
(3)Gはペアリング演算後の位数qの巡回群、
(4)AはVの標準基底、
(5)eはペアリング演算、
(6)gはGの生成元、
を表す。
また、
保護鍵PK’は
B^=(b0,・・・,,b4n+1
で構成される。
なお、B^の「^」は、上記の基底Bの一部を用いて作ったことを示す。
また、マスタ秘密鍵SKは、
^=(b 0,・・・, ,b 3n+1,・・・, 4n
で構成される。
なお、B^の「^」は、上記の基底Bの一部を用いて作ったことを示す。
なお、これらは、非特許文献3に記載のアルゴリズムGob(λ,4n+2)により生成される。
(暗号化タグの生成アルゴリズム)
次に、図14を用いて、非特許文献3に記載の関数型暗号のアルゴリズムのうち、送信者100が暗号化タグを生成する際に利用するアルゴリズムである暗号化(Enc)アルゴリズムの手順を示す。従って図14の動作の主語は送信者(送信装置)である。暗号化タグを生成する際には、送信者100は、受信者300から配布された図13の公開パラメータPK(PPとPK’の両方)を使用して、暗号化タグを生成する。なお、関数型暗号をPEKSとして利用するため、アルゴリズムの一部を変更した上で、変更後のアルゴリズムを記載する。
図14は、暗号化(Enc)アルゴリズムの手順を示したフローチャートである。
図14において、送信者100は
属性ベクトルx=(x,x2,・・・,)∈F
を暗号化して暗号化タグを生成したいとする。
ここで
属性ベクトルx∈F
は暗号化するキーワードに対応したデータであり、完全一致検索やAND検索、OR検索など検索する内容によって異なる形式を取るデータである。
例えば1キーワードの完全一致検索の場合には、
=(1,キーワード)
である。
(1)このとき、送信者100は、まずステップS901にて、Fからω,φをランダムに選ぶ。
(2)次に、ステップS902にて、送信者100は、
Figure 0005836506
 を暗号化タグとして出力する。
この暗号化(Enc)アルゴリズムの手順において、ステップS901やステップS902を実行する際に図13の公開パラメータPKが必要となる。特に、ステップS902を実行する際に公開パラメータPKのうちの保護鍵PK’が必要となる。
(トラップドアの生成)
次に、図15を用いて、非特許文献3に記載の関数型暗号のアルゴリズムのうち、受信者300がトラップドアを生成する際に利用するアルゴリズムである鍵生成(KeyGen)アルゴリズムの手順を示す。従って図15の動作の主語は受信者(受信装置)である。受信者300は、図13に示した公開パラメータPK(PP、PK’の両方)と、マスタ秘密鍵SKとを用いて、トラップドアを生成する。
図15は、鍵生成(KeyGen)アルゴリズムの手順を示したフローチャートである。
図15において、受信者300は、
述語ベクトルv=(v,v2,・・・,)∈F
にデジタル署名してトラップドアを生成したいとする。
ここで、
述語ベクトルv∈F
は検索するキーワードに対応したデータであり、完全一致検索やAND検索、OR検索など検索する内容によって異なる形式を取るデータである。
例えば1キーワードの完全一致検索の場合には、
=(キーワード,N−1)
である。
(1)このとき、受信者300は、まずステップS1001にて、Fからσをランダムに選ぶ。
(2)次に、受信者300は、ステップS1002にて、F からηをランダムに選ぶ。
(3)最後に受信者300は、ステップS1003にて、
Figure 0005836506
 をトラップドアとして出力する。
(サーバ200による秘匿検索)
次に、図16を用いて、サーバ200が秘匿検索を実行する際に利用するアルゴリズムである復号(Dec)アルゴリズムの手順を示す。従って図16の動作の主語はサーバ200である。サーバ200による秘匿検索では、サーバ200は、実施の形態1と同様に、受信者から送信された一つのトラップドアを基に、送信者から送信された複数の暗号化タグのそれぞれに対して秘匿検索を実行する。この秘匿検索の際に、公開パラメータPK(図13)のうち、真の公開パラメータPPが必要となる。サーバ200の秘匿検索に保護鍵PK’が無くてもよいのは実施の形態1と同様である。なお、関数型暗号をPEKSとして利用するため、アルゴリズムの一部を変更した上で、変更後のアルゴリズムを記載する。
図16は、復号(Dec)アルゴリズムの手順を示したフローチャートである。
(1)図16において、サーバ200は、まずステップS1101にて、
T=e(C,k*)を計算する。
(2)次に、サーバ200は、ステップS1102にて、T=gかどうかを判断する。T=gであれば、ステップS1103にて1を返して終了する。T=gでなければ、ステップS1104にて0を返して終了する。
この復号(Dec)アルゴリズムの手順において、ステップS1101とS1102を実行する際に図13の公開パラメータPKが必要となる。ただし、必要となるのは公開パラメータPKのうちの真の公開パラメータPPの部分のみであって、保護鍵PK’の部分は必要ない。以上、非特許文献3に記載の関数型暗号のアルゴリズムのうち、本実施の形態2に関係する部分について説明した。
(公開パラメータPKの各エンティティへの配布方法)
次に、実施の形態2における公開パラメータPKの各エンティティへの配布方法を説明する。実施の形態2における公開パラメータPKの各エンティティへの配布方法は、実施の形態1の図6と同様である。すなわち、図6において、ステップS601からステップS603、およびステップS611とステップS621により、公開パラメータPKを各送信者100に配布し、真の公開パラメータPPをサーバ200に配布する。実施の形態1との違いは、公開パラメータPKの具体的な中身の違いであり、それはすでに述べたようなアルゴリズムの違いに起因したものである。
また、実施の形態2の図9〜図11で説明した鍵生成装置310−1〜310−3は、実施の形態2にも適用できることは当然である。その場合の公開パラメータPKは、図13の公開パラメータPKである。
以上の実施の形態2で述べたような公開パラメータPKの各エンティティへの配布方法をとれば、非特許文献3に記載の関数型暗号をPEKSとして用いた場合において、トラップドアを受け取るサーバ200に対して、トラップドアの安全性を向上させるという効果がある。
また、本実施の形態2に示した公開パラメータPKの配布方法をとることにより、受信者300とサーバ200との間の通信量を低減できるという効果がある。
以上、実施の形態1および実施の形態2にわたって、それぞれの内容を説明した。まとめると、以上の実施の形態における発明は、PEKSにおいて、トラップドアの安全性を確保するための一般的な方法を提供するものである。すなわち以上の実施の形態における発明は、実施の形態1で取り上げた非特許文献2のようなPEKSのアルゴリズムや、実施の形態2で取り上げた非特許文献3のような関数型暗号のアルゴリズムをPEKSとして用いた場合において、トラップドアの安全性を確保するための一般的な方法を提供する。
なお、以上の実施の形態1、実施の形態2における発明は、非特許文献2や非特許文献3に限らず、一般にPEKSや関数型暗号と呼ばれるような様々なアルゴリズムに適用できることは、当業者であれば容易に理解できる。そして、関数型暗号をPEKSとして用いた場合にはトラップドアの安全性が確保されるという効果であったが、関数型暗号そのものとして用いた場合には、ユーザの復号鍵の権限に関する情報を保護することができるという効果があることも、当業者であれば容易に理解できることである。
実施の形態3.
図17、図18を参照して実施の形態3を説明する。実施の形態3は、コンピュータである送信装置100、受信装置300、サーバ200のハードウェア構成を説明する。送信装置100、受信装置300、サーバ200はいずれも同様のコンピュータであるので、以下の説明では、受信装置300を想定して説明する。受信装置300の説明は送信装置100、サーバ200にも当てはまる。
図17は、コンピュータである受信装置300の外観の一例を示す図である。図18は、受信装置300のハードウェア資源の一例を示す図である。
外観を示す図17において、受信装置300は、システムユニット830、CRT(Cathode・Ray・Tube)やLCD(液晶)の表示画面を有する表示装置813、キーボード814(Key・Board:K/B)、マウス815、コンパクトディスク装置818(CDD:Compact Disk Drive)などのハードウェア資源を備え、これらはケーブルや信号線で接続されている。システムユニット830はネットワークに接続している。
またハードウェア資源を示す図18において、受信装置300は、プログラムを実行するCPU810(Central Processing Unit)を備えている。CPU810は、バス825を介してROM(Read Only Memory)811、RAM(Random Access Memory)812、表示装置813、キーボード814、マウス815、通信ボード816、CDD818、磁気ディスク装置820と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置820の代わりに、光ディスク装置、フラッシュメモリなどの記憶装置でもよい。
RAM812は、揮発性メモリの一例である。ROM811、CDD818、磁気ディスク装置820等の記憶媒体は、不揮発性メモリの一例である。これらは、「記憶装置」あるいは記憶部、格納部、バッファの一例である。通信ボード816、キーボード814などは、入力部、入力装置の一例である。また、通信ボード816、表示装置813などは、出力部、出力装置の一例である。通信ボード816は、ネットワークに接続されている。
磁気ディスク装置820には、オペレーティングシステム821(OS)、ウィンドウシステム822、プログラム群823、ファイル群824が記憶されている。プログラム群823のプログラムは、CPU810、オペレーティングシステム821、ウィンドウシステム822により実行される。
上記プログラム群823には、以上の実施の形態の説明において「〜部」として説明した機能を実行するプログラムが記憶されている。プログラムは、CPU810により読み出され実行される。
ファイル群824には、「〜の判定結果」、「〜の算出結果」、「〜の抽出結果」、「〜の生成結果」、「〜の処理結果」等の情報や、データや信号値や変数値やパラメータなどが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU810によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以上に述べた実施の形態の説明において、データや信号値は、RAM812のメモリ、CDD818のコンパクトディスク、磁気ディスク装置820の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disk)等の記録媒体に記録される。また、データや信号は、バス825や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
また、以上の実施の形態の説明において、「〜部」として説明したものは、「〜手段」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明したものは、ソフトウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU810により読み出され、CPU810により実行される。すなわち、プログラムは、以上に述べた「〜部」としてコンピュータを機能させるものである。あるいは、以上に述べた「〜部」の手順や方法をコンピュータに実行させるものである。
以上の実施の形態では、受信装置300等を説明したが、受信装置300(鍵生成装置)は、鍵生成プログラムとしても把握できることは以上の説明から当然である。
以上の実施の形態では以下の鍵生成装置を説明した。関数型暗号またはPEKSの公開パラメータを、真の公開パラメータと保護鍵とに分離して生成する鍵生成装置。
以上の実施の形態では以下の鍵生成装置を説明した。関数型暗号またはPEKSの既存の公開パラメータを、真の公開パラメータと保護鍵とに分離する鍵生成装置。
以上の実施の形態では以下の公開パラメータ配布方法を説明した。送信者100には真の公開パラメータと保護鍵とを配布するが、サーバ装置には真の公開パラメータしか配布しない公開パラメータ配布方法。
1000 秘匿検索システム、100,101−1,100−n 送信装置、200 サーバ、300 受信装置、310−1,310−2,310−3 鍵生成装置、311 真の公開パラメータ生成部、312 保護鍵生成部、313 入力部、314 公開パラメータ生成部、400 ネットワーク。

Claims (9)

  1. 暗号化データと前記暗号化データを検索するための暗号化されたキーワードである暗号化タグとを生成して送信する送信装置と、
    前記送信装置から前記暗号化データと前記暗号化タグとを受信して保管すると共に秘匿検索の要求に応じて、前記秘匿検索を実行するサーバ装置と、
    前記キーワードのデジタル署名に相当するデータであると共に前記サーバ装置に前記暗号化データの前記秘匿検索を要求するデータであるトラップドアを生成して前記サーバ装置に送信し、前記秘匿検索の結果を前記サーバ装置から受信する受信装置と
    を備えた秘匿検索システムで使用される鍵情報であって、
    前記送信装置による前記キーワードの暗号化と、前記受信装置による前記トラップドアの生成と、前記サーバ装置による前記秘匿検索とに使用される真の公開パラメータPPと、
    前記送信装置による前記キーワードの暗号化と、前記受信装置による前記トラップドアの生成とに使用される保護鍵PK’と
    を含む鍵情報である公開パラメータPK
    に含まれる前記真の公開パラメータPPを生成する第1生成部と、
    前記公開パラメータPKに含まれる前記保護鍵PK’を、前記第1生成部によって生成される前記真の公開パラメータPPとは分離して生成する第2生成部と
    を備えたことを特徴とする鍵生成装置。
  2. 前記鍵生成装置は、さらに、
    前記公開パラメータPKを入力する入力部を備え、
    前記第1生成部は、
    前記入力部が入力した前記公開パラメータPKから前記真の公開パラメータPPを抽出することによって、前記真の公開パラメータPPを生成し、
    前記第2生成部は、
    前記入力部が入力した前記公開パラメータPKから前記保護鍵PK’を抽出することによって、前記保護鍵PK’を生成する
    ことを特徴とする請求項1記載の鍵生成装置。
  3. 前記鍵生成装置は、さらに、
    前記公開パラメータPKを生成する第3生成部を備え、
    前記入力部は、
    前記第3生成部が生成した前記公開パラメータPKを入力することを特徴とする請求項2記載の鍵生成装置。
  4. コンピュータ
    暗号化データと前記暗号化データを検索するための暗号化されたキーワードである暗号化タグとを生成して送信する送信装置と、
    前記送信装置から前記暗号化データと前記暗号化タグとを受信して保管すると共に秘匿検索の要求に応じて、前記秘匿検索を実行するサーバ装置と、
    前記キーワードのデジタル署名に相当するデータであると共に前記サーバ装置に前記暗号化データの前記秘匿検索を要求するデータであるトラップドアを生成して前記サーバ装置に送信し、前記秘匿検索の結果を前記サーバ装置から受信する受信装置と
    を備えた秘匿検索システムで使用される鍵情報であって、
    前記送信装置による前記キーワードの暗号化と、前記受信装置による前記トラップドアの生成と、前記サーバ装置による前記秘匿検索とに使用される真の公開パラメータPPと、
    前記送信装置による前記キーワードの暗号化と、前記受信装置による前記トラップドアの生成とに使用される保護鍵PK’と
    を含む鍵情報である公開パラメータPK
    に含まれる前記真の公開パラメータPPを生成する第1生成処理
    前記公開パラメータPKに含まれる前記保護鍵PK’を、前記第1生成処理によって生成される前記真の公開パラメータPPとは分離して生成する第2生成処理
    を実行させるための鍵生成プログラム。
  5. 暗号化データと前記暗号化データを検索するための暗号化されたキーワードである暗号化タグとを生成して送信する送信装置と、
    前記送信装置から前記暗号化データと前記暗号化タグとを受信して保管すると共に秘匿検索の要求に応じて、前記秘匿検索を実行するサーバ装置と、
    前記キーワードのデジタル署名に相当するデータであると共に前記サーバ装置に前記暗号化データの前記秘匿検索を要求するデータであるトラップドアを生成して前記サーバ装置に送信し、前記秘匿検索の結果を前記サーバ装置から受信する受信装置と
    を備えた秘匿検索システムにおいて、
    前記受信装置は、
    前記秘匿検索システムで使用される鍵情報であって、
    前記送信装置による前記キーワードの暗号化と、前記受信装置による前記トラップドアの生成と、前記サーバ装置による前記秘匿検索とに使用される真の公開パラメータPPと、
    前記送信装置による前記キーワードの暗号化と、前記受信装置による前記トラップドアの生成とに使用される保護鍵PK’と
    を含む鍵情報である公開パラメータPK
    に含まれる前記真の公開パラメータPPを生成する第1生成部と、
    前記公開パラメータPKに含まれる前記保護鍵PK’を、前記第1生成部によって生成される前記真の公開パラメータPPとは分離して生成する第2生成部と
    を有する鍵生成装置
    を備えたことを特徴とする秘匿検索システム。
  6. 前記サーバ装置は、
    前記鍵生成装置が生成した前記真の公開パラメータPPと前記保護鍵PK’とのうち、前記真の公開パラメータPPのみが配布されることを特徴とする請求項5記載の秘匿検索システム。
  7. 前記送信装置は、
    前記鍵生成装置の前記第2生成部が生成した前記保護鍵PK’が、オフラインで供給されることを特徴とする請求項5または6のいずれかに記載の秘匿検索システム。
  8. 前記送信装置は、
    前記鍵生成装置の前記第2生成部が生成した前記保護鍵PK’が、前記送信装置だけが閲覧可能な電子掲示板を介して供給されることを特徴とする請求項5または6のいずれかに記載の秘匿検索システム。
  9. 暗号化データと前記暗号化データを検索するための暗号化されたキーワードである暗号化タグとを生成して送信する送信装置と、
    前記送信装置から前記暗号化データと前記暗号化タグとを受信して保管すると共に秘匿検索の要求に応じて、前記秘匿検索を実行するサーバ装置と、
    前記キーワードのデジタル署名に相当するデータであると共に前記サーバ装置に前記暗号化データの前記秘匿検索を要求するデータであるトラップドアを生成して前記サーバ装置に送信し、前記秘匿検索の結果を前記サーバ装置から受信する受信装置と
    を備えた秘匿検索システムで使用される鍵情報であって、
    前記送信装置による前記キーワードの暗号化と、前記受信装置による前記トラップドアの生成と、前記サーバ装置による前記秘匿検索とに使用される真の公開パラメータPPと、
    前記送信装置による前記キーワードの暗号化と、前記受信装置による前記トラップドアの生成とに使用される保護鍵PK’と
    を含む鍵情報である公開パラメータPKのうち、
    前記送信装置には、前記真の公開パラメータPPと前記保護鍵PK’との両方が配布され、
    前記サーバ装置には、前記真の公開パラメータPPのみが配布される
    ことを特徴とする鍵配布方法。
JP2014556315A 2013-01-12 2013-01-12 鍵生成装置、鍵生成プログラム、秘匿検索システム及び鍵配布方法 Active JP5836506B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2013/050495 WO2014109066A1 (ja) 2013-01-12 2013-01-12 鍵生成装置、鍵生成プログラム、秘匿検索システム及び鍵配布方法

Publications (2)

Publication Number Publication Date
JP5836506B2 true JP5836506B2 (ja) 2015-12-24
JPWO2014109066A1 JPWO2014109066A1 (ja) 2017-01-19

Family

ID=51166733

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014556315A Active JP5836506B2 (ja) 2013-01-12 2013-01-12 鍵生成装置、鍵生成プログラム、秘匿検索システム及び鍵配布方法

Country Status (5)

Country Link
US (1) US9237137B2 (ja)
EP (1) EP2945313B1 (ja)
JP (1) JP5836506B2 (ja)
CN (1) CN104798339B (ja)
WO (1) WO2014109066A1 (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9391965B2 (en) 2012-01-25 2016-07-12 Mitsubishi Electric Corporation Data search device, data search method, data search program, data registration device, data registration method, data registration program, and information processing device
US10235539B2 (en) 2013-02-25 2019-03-19 Mitsubishi Electric Corporation Server device, recording medium, and concealed search system
JP6228912B2 (ja) * 2014-12-18 2017-11-08 日本電信電話株式会社 ブラインド秘密鍵発行システム、ブラインドデータ検索システム、これらの方法、鍵生成サーバ、復号装置及びプログラム
JP6272546B2 (ja) * 2015-02-20 2018-01-31 三菱電機株式会社 データ保管装置及びデータ処理方法及びデータ処理プログラム
CN105490807A (zh) * 2016-01-04 2016-04-13 成都卫士通信息产业股份有限公司 一种开盖毁钥的vpn设备
EP3483867B1 (en) * 2016-07-06 2022-04-20 Nippon Telegraph and Telephone Corporation System, device, method, and program for indexing a secret-shared array with secure multiparty computations
CN106603636B (zh) * 2016-11-29 2020-05-26 中国银联股份有限公司 一种差错交易的标准化方法及装置
EP3675086B1 (en) * 2017-09-12 2021-10-27 Mitsubishi Electric Corporation Registration terminal, search terminal, search server, search system, registration program, and search program
EP3731107B1 (en) * 2018-01-17 2021-10-27 Mitsubishi Electric Corporation Data management device, search device, registration device, data management method, and data management program
CN112074889B (zh) * 2018-05-15 2023-07-04 三菱电机株式会社 隐匿检索装置和隐匿检索方法
US11032251B2 (en) * 2018-06-29 2021-06-08 International Business Machines Corporation AI-powered cyber data concealment and targeted mission execution
JP7060115B2 (ja) * 2019-01-10 2022-04-26 日本電信電話株式会社 秘密配列アクセス装置、秘密配列アクセス方法、およびプログラム
CN112861153B (zh) * 2021-02-10 2024-10-15 华中科技大学 一种关键字可搜索延迟加密方法及系统

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007235659A (ja) 2006-03-02 2007-09-13 Mebius Corp 鍵管理方法、暗号処理方法、電子署名方法、アクセス管理方法
JP2007318583A (ja) 2006-05-29 2007-12-06 Sony Ericsson Mobilecommunications Japan Inc コンテンツ再生装置
US8520842B2 (en) * 2010-01-07 2013-08-27 Microsoft Corporation Maintaining privacy during user profiling
JP5334873B2 (ja) 2010-01-08 2013-11-06 三菱電機株式会社 暗号処理システム、鍵生成装置、鍵委譲装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム
WO2011086687A1 (ja) * 2010-01-15 2011-07-21 三菱電機株式会社 秘匿検索システム及び暗号処理システム
JP5424974B2 (ja) 2010-04-27 2014-02-26 三菱電機株式会社 暗号処理システム、鍵生成装置、暗号化装置、復号装置、署名処理システム、署名装置及び検証装置
JP5400740B2 (ja) 2010-10-05 2014-01-29 日本電信電話株式会社 検索可能暗号システム、検索可能暗号方法、ストレージ装置、検索装置、及び登録者装置
JP2012098649A (ja) 2010-11-05 2012-05-24 Nippon Shokubai Co Ltd 輝度向上フィルム
CN103329478B (zh) 2011-01-18 2015-11-25 三菱电机株式会社 密码系统以及密码系统的密码处理方法

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
JPN6015039747; Camenisch, J. et al.: 'Blind and Anonymous Identity-Based Encryption and Authorised Private Searches on Public Key Encrypte' Lecture Notes in Computer Science Vol.5443, 2009, p.196-214 *
JPN6015039748; Tang, Q. and Chen, L.: 'Public-Key Encryption with Registered Keyword Search' Lecture Notes in Computer Science Vol.6391, 2010, p.163-178 *
JPN6015039749; Tan, Y. et al.: 'New Security Notions for Public-Key Encryptionwith Keyword Search' 2009年暗号と情報セキュリティシンポジウム講演論文集 , 2009 *
JPN6015039750; NISHIOKA, M: 'Perfect Keyword Privacy in PEKS Systems' Lecture Notes in Computer Science Vol.7496, 2012, p.175-192 *
JPN6015039753; Boneh, D. et al.: 'Public Key Encryption That Allows PIR Queries' Lecture Notes in Computer Science Vol.4622, 2007, p.50-67 *

Also Published As

Publication number Publication date
JPWO2014109066A1 (ja) 2017-01-19
EP2945313A1 (en) 2015-11-18
CN104798339A (zh) 2015-07-22
CN104798339B (zh) 2018-06-01
WO2014109066A1 (ja) 2014-07-17
EP2945313B1 (en) 2017-09-06
EP2945313A4 (en) 2016-09-07
US20150207782A1 (en) 2015-07-23
US9237137B2 (en) 2016-01-12

Similar Documents

Publication Publication Date Title
JP5836506B2 (ja) 鍵生成装置、鍵生成プログラム、秘匿検索システム及び鍵配布方法
US11381398B2 (en) Method for re-keying an encrypted data file
JP6941183B2 (ja) データのトークン化
CN108989026B (zh) 一种发布/订阅环境下用户属性可撤销的方法
Liu et al. Time-based proxy re-encryption scheme for secure data sharing in a cloud environment
JP5420085B2 (ja) データ処理装置及びデータ保管装置
WO2021057073A1 (zh) 一种非对称密钥中的私钥生成和使用方法、装置和设备
KR101866935B1 (ko) 연관된 개인 키 부분을 사용하는 보다 빠른 공개 키 암호화를 위한 시스템들 및 방법들
CN107077469B (zh) 服务器装置、检索系统、终端装置以及检索方法
JP5680007B2 (ja) 暗号システム、暗号方法及び暗号プログラム
JP6363032B2 (ja) 鍵付替え方向制御システムおよび鍵付替え方向制御方法
Rahmani et al. Encryption as a Service (EaaS) as a Solution for Cryptography in Cloud
US20140143541A1 (en) Method and Apparatus for Managing Encrypted Files in Network System
EP4073673B1 (en) Encrypted search with a public key
WO2016129259A1 (ja) サーバ装置、データ検索システム、検索方法および記録媒体
Lee et al. A secure index management scheme for providing data sharing in cloud storage
WO2018047698A1 (ja) 暗号化メッセージ検索方法、メッセージ送受信システム、サーバ、端末、プログラム
CN116346310A (zh) 基于同态加密的匿踪查询方法、装置和计算机设备
Chamili et al. Searchable encryption: a review
JP6494893B2 (ja) 暗号化タグ生成装置、検索クエリ生成装置及び秘匿検索システム
KR102126295B1 (ko) 암호문 비교 방법 및 이를 수행하기 위한 장치
JP2010160235A (ja) 検索システム、端末装置、データベース装置、検索方法及びプログラム
KR102526114B1 (ko) 암호화 및 복호화를 위한 장치 및 방법
Odelu et al. DMAMA: Dynamic migration access control mechanism for mobile agents in distributed networks
Lee et al. A study of practical proxy reencryption with a keyword search scheme considering cloud storage structure

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20151006

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20151102

R150 Certificate of patent or registration of utility model

Ref document number: 5836506

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250