JP5929905B2 - 順序保存暗号化システム、装置、方法及びプログラム - Google Patents

順序保存暗号化システム、装置、方法及びプログラム Download PDF

Info

Publication number
JP5929905B2
JP5929905B2 JP2013515004A JP2013515004A JP5929905B2 JP 5929905 B2 JP5929905 B2 JP 5929905B2 JP 2013515004 A JP2013515004 A JP 2013515004A JP 2013515004 A JP2013515004 A JP 2013515004A JP 5929905 B2 JP5929905 B2 JP 5929905B2
Authority
JP
Japan
Prior art keywords
ciphertext
key
data
vecn
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013515004A
Other languages
English (en)
Other versions
JPWO2012157279A1 (ja
Inventor
勇 寺西
勇 寺西
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2012157279A1 publication Critical patent/JPWO2012157279A1/ja
Application granted granted Critical
Publication of JP5929905B2 publication Critical patent/JP5929905B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • H04L9/0656Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
    • H04L9/0662Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher with particular pseudorandom sequence generator
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Description

本発明は、順序保存暗号化システム、暗号化装置、順序保存暗号化方法及び順序保存暗号化プログラムに関する。
暗号方式は通信におけるデータの秘匿性を保障する為に用いられている。関連する技術として、例えば非特許文献1に記載された方式がある。
Alexandra Boldyreva, Nathan Chenette, Younho Lee and Adam O'Neill. Order-Preserving Symmetric Encryption. EUROCRYPT 2009. pp.224-241.
暗号方式は通信におけるデータの秘匿性を保障する為に用いられるが、データを完全に秘匿する事が常に応用上有用になるとは限らず、データを秘匿しすぎた事が原因で逆に有用性を損ねる場合がある。
例えば、2つの数値データの大小を比較したい場合には問題となる。2つのデータm、m'を直接読み込む事ができれば、mとm'の大小を比較できるが、mとm'がAESやDESなどの暗号方式により暗号化された状態で保管されていると、これらの暗号文を読み込んでもmとm'の大小を比較する事ができない。もちろん、これらの暗号文を復号してmとm'を復元すればmとm'の大小を比較できるが、暗号文を復号するには秘密鍵が必要であるので、秘密鍵を知らないユーザは大小比較ができない。また復号には計算コストがかかるので、秘密鍵を知っているユーザであっても、多数のデータの大小比較をするのは容易ではない。
特にセキュア・データベースでは、上記の事が大きな問題となる。というのも安全性の観点から平文をそのままデータベースに保管するのは望ましくない為、平文を暗号化して保管する必要があるからである。これら暗号文の鍵自身をデータベースに保存してしまうと暗号化した意味がなくなってしまうので、鍵の無い状態で暗号化されたデータを大小比較する必要が生じる。また鍵が手に入る状態であったとしても、データベースには数多くのデータが保管されている為、これら多くのデータを全て復号して大小比較するのは効率の面から現実的ではない。
また、近年のクラウドコンピューティング技術の発展により、ユーザが自身のデータをクラウド上のデータベースに預ける事がこれまで以上に増えるものと予想される。したがってデータベースにあるデータを暗号化されたまま大小比較する技術は今後非常に重要になる可能性が高い。
非特許文献1で提案されている方式は、非特許文献1の著者達も認めているように、安全性に対する考察が不完全にしかなされておらず、この事がこの方式を実用化する際に障害となる。
そこで、本発明は、安全性が保障できる順序保存暗号化をする順序保存暗号化システム、暗号化装置、順序保存暗号化方法および順序保存暗号化プログラムを提供することを目的とする。
本発明による順序保存暗号化システムは、第1の確率分布に従う値以下のビット長を持つデータを出力する第2の確率分布に従って選択したデータを含む鍵を生成する鍵生成手段と、鍵に含まれるデータの和により暗号文を生成する暗号化手段を含むことを特徴とする。
本発明による順序保存暗号化方法は、鍵生成手段が、第1の確率分布に従う値以下のビット長を持つデータを出力する第2の確率分布に従って選択したデータを含む鍵を生成し、暗号化手段が、鍵に含まれるデータの和により暗号文を生成することを特徴とする。
本発明によれば、安全性が保障できる順序保存暗号化をすることができる。
本発明の装置の構成例を表すブロック図である。 本発明の装置間の関係を示した説明図である。 第一の実施形態の鍵生成処理を示すフローチャートである。 第一の実施形態の暗号化処理を示すフローチャートである。 第一の実施形態の復号処理を示すフローチャートである。 第二の実施形態の鍵生成処理を示すフローチャートである。 第二の実施形態におけるRecEncアルゴリズム示すフローチャートである。 第二の実施形態の暗号化処理を示すフローチャートである。 第二の実施形態におけるRecDecアルゴリズム示すフローチャートである。 第二の実施形態における復号処理を示すフローチャートである。 第三の実施形態の暗号化処理を示すフローチャートである。 第三の実施形態の復号処理を示すフローチャートである。 順序保存暗号化システムの最小の構成例を示すブロック図である。
まず後述する第一〜第三の実施形態の全てに共通するアイデアを説明する。{1,...,N}を平文空間とする。また、Xをほとんどの場合に正の値を出力する確率分布とし、ζを定数とする。各i∈{-ζ,...,N}に対し、第一〜第三の実施形態において平文m∈{1,...,N}の暗号文は、Enc(K,m)=Σi=-ζ,...,mα[i]という形で書ける。ここでα[i]は確率分布Xに従う乱数であり、秘密鍵Kを知っている人のみがα[i]を計算できる。
暗号文Cを復号するには、C=Σi=-ζ,...,mα[i]を満たすmを平文として出力する。本発明ではEnc(K,m)は-ζからmまでの和であるが、これを0からmまでの和にしてしまうと、1の暗号文Enc(K,1)がEnc(K,1)=α[1]という非常に簡単な形になってしまい、安全性が保証されない為である。
本発明では、Enc(K,m)=Σi=-ζ,...,mα[i]の右辺はmが大きければ大きいほど加えられるα[i]の数が増える。そのため、mが大きければ大きいほどEnc(K,m)は大きくなる。したがってm<m'ならEnc(K,m)<Enc(K,m')が成立する。
本発明は原理的には任意のXに対して実行する事ができるが、安全性上の観点からいえば、低い確率でビット数が大きくなる分布である事が望ましい。Xがこのような性質を満たすと、各α[m]はXに従って選ばれるので、α[m]は低い確率でα[m+1],α[m+2],...よりも長いビット長を持つ。この場合ビット長の長い乱数であるα[m]がビット長がより短い乱数であるα[m+1],α[m+2],...を隠すので、α[m],α[m]+α[m+1],α[m]+α[m+2],...はほぼ同じ値となり、識別ができない。よってEnc(K,m)=Σi=-ζ,...,mα[i],Enc(K,m+1)=Σi=-ζ,...,m+1α[i],Enc(K,m+2)=Σi=-ζ,...,m+2α[i],...も識別できず、安全性が保証される。
前述した性質を満たすXとして、例えば以下のように定義される分布を用いる事ができる。p[1],...,p[U]を、p[1]+…+p[U]=1となる非負整数とし、さらにn[1],...,n[U]を非負整数とする。D[p[1],...,p[U]]を整数jを出力する確率分布で、確率p[i]でj=iとなるものとする。B[1]を長さn[1]以下のビット長を持つ非負整数を出力する確率分布とし、B[U]を長さn[U]以下のビット長を持つ非負整数を出力する確率分布とする。Xは「D[p[1],...,p[U]]に従って整数jが選び、次にB[j]に従ってαを選ぶ」という方法でαを選んだときαが従う分布である。
以上のようにXを定義すると、Xは確率p[1]で長さn[1]以下のビット長を持つ非負整数を出力し、確率p[2]でn[1]よりも大きいビット長n[2]を持つ非負整数を出力し、確率p[3]でn[2]よりも大きいビット長n[3]を持つ非負整数を出力し...となる。よってp[1],...,p[U],n[1],...,n[U]を適切に選べば、Xは前述した性質を満たす。
次に、後述する第一の実施形態の概要について説明する。第一の実施形態では、秘密鍵KをK=(α[-ζ],...,α[N])により定義し、暗号化の際にはα[1],...,α[m]の和を計算する事によって暗号文Enc(K,m)=Σi=-ζ,...,mα[i]を得る。
また、与えられた暗号文Cを復号するには、各mに対してΣi=-ζ,...,mα[i]を計算し、C=Σi=-ζ,...,mα[i]となるmを見つけ出す。
第一の実施形態では、mを暗号化する際に、m+ζ+1個のデータα[-ζ],...,α[m]を足しあわせる必要があるので、暗号化の計算量がmの大きさに比例してしまう。また、同様の複号の計算量もmの大きさに比例してしまう。従って第一の実施形態は、mが小さければ効果を得ることができるが、mが大きい場合には、後述する他の実施形態と比較して効率的ではないともいえる。
次に、後述する第二の実施形態の概要について説明する。第二の実施形態も第一の実施形態のそれと同じく、mの暗号文Enc(K,m)は、Enc(K,m)=Σi=-ζ,...,mα[i]であるが、より効率的な方法で暗号化および復号がなされる。第二の実施形態では、効率的な暗号化および復号を実現する為、分布B[j]を二項分布B(τ[j],q)とする。
ここでτ[1],...,τ[U]およびqをパラメータとする。また、二項分布B(k,p')とは表が出る確率がp'であるコインをk枚ふった時に表が出る枚数が従う分布である。
第二の実施形態の詳細を述べる為記号を定義し、本発明の暗号文の性質を示す。B[j]に従ってα[i]が選ばれているiの集合をS[j]とし、S[j]の元でm以下のものの集合をS[m,j]とし、Σi∈S[m,j]α[i]をC[m,j]とすると、mの暗号文Enc(K,m)をC[m]と書くと、C[m]の定義から、C[m]=Σi=1,...,UC[m,j]が成立する。
S[m,j]の元の個数をn[m,j]とする。iがS[m,j]に属する場合、各α[i]は分布B[j]に従い、S[m,j]はn[m,j]個の元を持つので、二項分布の再生性より、C[m,j]=Σi∈S[m,j]α[i]は、分布B(τ[j]n[m,j],q)に従うという事実が分かる。
vecn[m]=(n[m,1],...,n[m,U])とし、ベクトルvecu=(u[1],...,u[U])に対し、s(vecu)をΣj=1,...,Uτ[j]u[m]とする。C[m]=Σi=1,...,UC[m,j]だったので、二項分布の再生性より、C[m]は、分布B(s(vecn[m]),q)に従うという事実が分かる。
従って、C[m]の従う分布は、vecn[m]に依存して決まる事が分かる。同様に平文m,m'<mに対し、C[m]-C[m']は分布B(s(vecn[m]-vecn[m']),q)に従うという事実が分かる。そこで以下、vecn[m]-vecn[m']を{m'+1,...,m}上の「分布決定パラメータ」と呼ぶ。vecn[m]=vecn[m]-vec[-ζ-1]なので、vecn[m]自身は{-ζ-1,...,m}上の分布決定パラメータである。そこでvecn[m]の事も分布決定パラメータと呼ぶ。
Σi=1,...,Up'[i]=1を満たすvecp'=(p'[1],...,p'[U])に対し、vecB(k,vecp')を「数値iが出る確率がp'[i]である確率変数Xに従ってk個の値a[1],...,a[k]を独立に選んだとき、値a[1],...,a[k]のうちjに等しいものの個数をn'[j]とする」という方法で出力vecn'=(n'[1],...,n'[U])を決める分布とする。B[j]に従ってα[i]が選ばれる確率はp[j]だったので、vecp=(p[1],...,p[U])とすると、二項分布の再生性よりvecn[m]=(n[m,1],...,n[m,U])は、分布vecB(m+ζ+1,vecp)に従うという事実が分かる。
Algo(k,p')を二項分布B(k,p')に従って出力を選ぶアルゴリズムとし、vecAlgo(k,vecp')を分布vecB(k,vecp')に従って出力を選ぶアルゴリズムとする。
第二の実施形態では、以上で説明した事実を用いて、平文空間に属する最大の元最大のMの暗号文C[M]を以下のように求める。
まずvecAlgo(M+ζ+1,vecp)に従ってMに対する分布決定パラメータvecn[M]を選ぶ。次いで、分布Algo(s(vecn[M]),q)に従ってC[M]を選ぶ。
他の暗号文を使って再帰的に求める。本発明における再帰は何らかの平文u,v>uが以下の条件を満たしている状態で用いられる。
・uの暗号文C[u]とvの暗号文C[v]とが求まっている。
・{u+1,...,v}上の分布決定パラメータvecnが求まっている。
・暗号文を算出したい平文mは区間{u+1,...,v}に属している。
初期状態では、uとvとはそれぞれ-ζ-1とMとにセットされる。初期状態では、C[u]は0であり、C[v]とvecnとは、それぞれすでに求めたC[M]とvecn[M]とである。また初期状態では区間{u+1,...,v}は平文空間に一致するので、暗号文を算出したい平文mは区間{u+1,...,v}に属している。よって初期状態では上述の条件が満たされている。
mの暗号文は以下のように関数RecEnc(K',u,v,C[u],C[v],vecn,m)を用いて二分法により再帰的に計算される。ここでK'は秘密鍵の一部である乱数列である。また、Ceil(x)は入力された実数xの小数点以下を切り上げた値を出力する関数である。
・m=uであれば、C[u]を出力し、m=vであれば、C[v]を出力する。
・w=Ceil(u+v/2)を計算する。
・{u+1,...,w}上の分布決定パラメータvecn'を関数Dist(u,v,w,vecn)に従って計算する。ただしここでvecDist(u,v,w,vecn)が用いる乱数として、K'を使って選ばれた擬似乱数列を用いる。
・vecn'を用いる事で、「uの暗号文とvの暗号文とがそれぞれC[u],C[v]であるという条件下wの暗号文が従う」分布Dist(C[u],C[v],vecn,vecn')に従ってC[w]を選ぶ。Dist(C[u],C[v],vecn,vecn')に従ってC[w]を選ぶ際に用いる乱数は、K'を使って選ばれた擬似乱数列を用いる。
・m≦wであれば、RecEnc(K',u,w,C[u],C[w],vecn',m)を再帰的に実行する。
・そうでなければRecEnc(K',w,v,C[w],C[v],vecn-vecn',m)を再帰的に実行する。
上述のアルゴリズムでDist(C[u],C[v],vecn,vecn')から元を選ぶ際に擬似乱数を用いるのは、同じ(C[u],C[v],vecn,vecn')に対しては常に同じ暗号文C[w]が出力される事を保証する為である。上述のアルゴリズムは様々な入力mに対して実行され、その度にC[w]が計算される。C[w]はwに対する暗号文であるから、値C[w]はmによらず常に同じ値になる必要がある。しかし、Dist(C[u],C[v],vecn,vecn')の計算に真の乱数を用いると常に同じ値になる事が保証されない。一方擬似乱数列は確定的に値が決まる為、真の乱数の代わりに擬似乱数列を用いる事でDist(C[u],C[v],vecn,vecn')が常に同じ値C[w]を出力する事が保証される。
関数HG(k,t,l)、およびvecHG(k,vect,l)を以下のように定義する。ここでk,t,lは非負の整数である。また、vect=(t[1],...,t[U])は=Σi=1,...,Ut[i]を満たす非負整数t[1],...,t[U]からなるベクトルである。
・HG(k,t,l):k-t個の白いボールとt個の黒いボールとが入った瓶からl個のボールを選んだときに、選ばれたボールの中にある黒いボールの数の従う分布(超幾何分布)に従って出力を決める確率的アルゴリズムである。
・vecHG(k,vect,l):以下の分布に従って出力n'=(n'[1],...,n'[U])を決める確率的アルゴリズム:瓶にk個のボールが入っている。ボールには1,...,Uのいずれかのマークが書かれており、iのマークのついたボールの数はt[i]個であるという状況下でこの瓶からl個のボールを選んだとき、選ばれたボールに含まれているマークiのボールの数をn'[j]とする。
このとき、前述したvecDist(u,v,w,vecn)およびDist(C[u],C[v],vecn,vecn')は、vecDist(u,v,w,vecn)=vecHG(v-u,vecn,w-u;cc)、Dist(C[u],C[v],vecn,vecn')=C[u]+HG(s(vecn),C[v]-C[u],s(vecn');cc')となる。ここで記号「A(x;r)」は「乱数としてrを使ってA(x)を実行したときの出力」の意味である。ccおよびcc'は、K'を使って選ばれた擬似乱数列である。
第二の実施形態における復号アルゴリズムは以上で説明した暗号化アルゴリズムと同様、二分法的かつ再帰的に実行される。第二の実施形態における暗号化アルゴリズムと復号アルゴリズムとの違いは以下のものである。
暗号化アルゴリズムにおける「m=uならC[u]を出力し、m=vならC[v]を出力する」の部分が「C=C[u]ならuを出力し、C=C[v]ならvを出力し、u=vならCが不正な暗号文であると言う趣旨のメッセージを出力する」に変わる。ここでCは復号したい暗号文である。また、RecEncを再帰的に呼び出す代わりにRecDecを再帰的に呼び出す点で異なる。
次に、後述する第三の実施形態の概要について説明する。第三の実施形態においては、B[j]として二項分布B(τ[j],q)を用いた場合を説明するが、原理的には以下の性質を満たす分布であれば第二の実施形態と同様の動作を行う。
・α[j],...,α[k]をB[j],...,B[k]に従って選んだときにα[j]+…+α[k]の従う分布から元を選ぶのが容易である。
・「各jに対しS[j]の元で区間{u+1,...,v}に属しているものの個数がn[j]である」という条件下、「S[j]の元で区間{u+1,...,Ceil(u+v/2)}に属しているものの個数」の従う分布から元を選ぶのが容易である。
・uの暗号文がC[u]であり、vの暗号文がC[v]であり、しかも「各jに対しS[j]の元で区間{u+1,...,v}に属しているものの個数がn[j]である」という条件下、w=Ceil(u+v/2)の暗号文が従う分布から元を選ぶのが容易である。
たとえばB[j]として正規分布N(τ[j],V[j])で、τ[j]=V[j]=2/2としたものを用いる事ができる。ここでN(μ,V)は平均がμで分散がVの正規分布を表す。このときは、第二の実施形態におけるAlgo,Distを適切な関数Algo',Dist'に置き換える、さらに擬似乱数列cc,cc'のビット数を変更する事で動作を行う。
最後に第二の実施形態の安全性について述べる。前述したように第二の実施形態の暗号文は第一の実施形態の発明の暗号文と同一となる。よって第二の実施形態の安全性も第一の実施形態の安全性と同様となる。前述したように第一の実施形態では安全性が担保できているので、この事は第二の実施形態の安全性を保証する。
第一の実施形態.
本発明による順序保存暗号化システムの構成を図1、図2を参照して説明する。図1に示すように、本実施形態の各装置(図2に示す暗号化装置100、復号装置200および鍵生成装置300)は、それぞれ入出力部11、演算部12、記憶部13および通信部14を備えている。これらの装置は、例えばプログラムに従って動作するパーソナルコンピュータ等の情報処理装置によって実現される。また、この場合、入出力部11、演算部12、記憶部13および通信部14は、例えば、それぞれキーボード、CPU、メモリ、およびネットワークインタフェース部によって実現される。また、図2に示すように、本実施形態では、順序保存暗号化システムは、暗号化装置100、復号装置200および鍵生成装置300を含む。
本実施形態では、暗号化装置100は、暗号化手段101を含む。また、復号装置200は、復号手段201を含む。なお、ここでは暗号化装置100と、復号装置200との二種類の装置を用いる場合を想定して説明するが、一つの装置が暗号化手段と復号手段との両方を含むように構成してもよい。また、以降、暗号化アルゴリズムや復号アルゴリズムについて記載するが、具体的には、順序保存暗号化システムを実現する1つ又は複数の情報処理装置のCPUがこれらのアルゴリズムに従って処理を実行する。
暗号化装置100および復号装置200の記憶部13には、事前に鍵というビット列K(以下、鍵Kという)が記憶されているものとする。鍵Kは鍵生成手段、という手段により生成される。図2に示す例では、鍵生成装置300を暗号化装置100や復号装置200とは別に用意し、この装置が鍵生成手段301を含み、鍵Kを生成する処理を実行する場合を想定している。しかしながら、この例に限らず、鍵生成手段を暗号化装置100、復号装置200、またはそれらとは異なる第三の装置のいずれかが含み、鍵Kを生成する処理を実行するように構成してもよい。ただし安全性上の観点から言えば、暗号化装置100または復号装置200以外の装置に鍵Kを明かすべきではないので、暗号化装置100または復号装置200が鍵生成手段を含み、鍵Kを生成する処理を実行する事が望ましい。
図2に示される各手段が入出力するデータは以下のとおりである。
鍵生成手段301は、鍵Kを生成し、生成した鍵Kを出力する。鍵生成手段301は、具体的には、プログラムに従って動作する情報処理装置のCPUによって実現される。
暗号化手段101は、鍵Kと平文mとを入力として受け取り、受け取った平文mを鍵Kを用いて暗号化し、暗号文Cを出力する。暗号化手段101は、具体的には、プログラムに従って動作する情報処理装置のCPUによって実現される。
復号手段201は、鍵Kと暗号文Cとを入力として受け取り、受け取った暗号文Cを鍵Kを用いて復号し、平文mを出力する。復号201手段は、具体的には、プログラムに従って動作する情報処理装置のCPUによって実現される。
本実施形態では、以下の手順で処理が実施される。なお、事前に鍵生成手段301によって生成された鍵Kが暗号化装置100および復号装置200の記憶部13に書き込まれているものとする。
まず、暗号化装置100は、入出力部11で入力した平文mを、記憶部13に書き込む。
次いで、暗号化装置100は、記憶部13から鍵Kと平文mとを読み込み、これらを入力として暗号化手段101によって暗号化処理を実行し、その出力として暗号文Cを計算する。
次いで、暗号化装置100は、通信部14から暗号文Cを復号装置200に送信する。
復号装置200は、通信部14を使って暗号文Cを受信する。そして、復号装置200は、記憶部13から鍵Kを読み込み、鍵Kと暗号文Cとを入力として復号手段201によって復号処理を実行し、その出力として平文mを計算する。
次に、順序保存暗号化装置が実行する処理の詳細について説明する。ここでは、{1,...,M}を平文空間とし、Uとλとζとを定数とする。i=1,...,Uに対し、B[i]を確率分布とする。B[j]としては、例えば、区間{0,...,τ[j]}上の一様分布や、二項分布B(τ[j],p[j])、正規分布N(τ[j],V[j])を用いる事ができる。
安全性上の観点から言えば、λは80以上の値とする事が望ましい。τ[j],p[j],V[j]としては、例えば、τ[j]=V[j]=2,p[j]=qとすればよい。
二項分布および正規分布を計算するアルゴリズムについては、例えば文献(四辻哲章,計算機シミュレーションのための確率分布乱数生成法。プレアデス出版。2010年6月発売)に記載されている。
p[1],...,p[U]を非負の実数でΣi=1,...,Up[i]=1を満たすものとし、vecp=(p[1],...,p[U])とする。vecBernoulli(vecp)を、1以上U以下の値を出力するアルゴリズムで、jを出力する確率がp[j]であるものとする。vecBernoulli(vecp)はどのような方法で実現してもよいが、例えば以下の方法で実現できる。ここではP[k]=Σi=1,..,kp[i]である。ただしP[0]=0である。
・区間{0,...,2λ}から一様かつランダムにxを選ぶ。
・2λP[j-1]<x≦2λP[j]となるjを見つけ、そのようなjを出力する。
パラメータM,U,ζ,λおよびvecpは各装置の記憶部13に記憶されており、各装置は必要に応じてこれらの値を使う事ができる。
次に、鍵生成手段が実行する処理について説明する。本実施形態において鍵生成手段301が実行する処理の詳細は以下のとおりである。
鍵生成手段301は、i=-ζ,...,Nに対して以下の処理を実行する(図3のステップ1K1)。
・鍵生成手段301は、vecBernoulli(vecp)を実行し、その出力j[i]を得る(1K1)。
・鍵生成手段301は、B[j[i]]に従ってα[i]を選択する(1K1)。
次いで、鍵生成手段301は、K=(α[-ζ],...,α[N])を鍵Kとして出力する(図3のステップ1K2)。本実施形態では、鍵生成手段301は、暗号化装置100および復号装置200に鍵Kを出力する。
次に、暗号化手段が実行する処理について説明する。本実施形態において暗号化手段101が実行する処理の詳細は以下のとおりである。
暗号化手段101は、鍵K=(α[-ζ],...,α[N])と平文mとを記憶部13から読み込む(図4のステップ1E1)。
次いで、暗号化手段101は、C=Σi=-ζ,...,mα[i]を計算する(図4のステップ1E2)。
次いで、暗号化手段101は、Cを暗号文Cとして出力する(図4のステップ1E3)。本実施形態では、暗号化手段101は、復号装置200に暗号文Cを出力する。
次に、復号手段が実行する処理について説明する。本実施形態において復号手段201が実行する処理の詳細は以下のとおりである。
復号手段201は、鍵K=(α[-ζ],...,α[N])と暗号文Cとを記憶部13から読み込む(図5のステップ1D1)。
復号手段201は、S=Σi=-ζ,...,0α[i]を計算する(図5のステップ1D2)。
次いで、C≦Sであれば、復号手段201は、不正な暗号文である事を示すメッセージを出力して異常停止する(ステップ1D2)。一方、C≦Sでなければ、復号手段201は、i=1,...,Nに対して以下の(1),(2)の処理を実行する(ステップ1D2)。
(1)S+α[i]を新しくSとする(ステップ1D2)。
(2)C≦Sなら復号結果としてiを出力して正常停止する(ステップ1D2)。
また、復号手段201は、入力が不正なデータだった場合には、不正な暗号文である事を示すメッセージを出力して異常停止する(ステップ1D2)。なお、不正な暗号文である事を示すことができれば、メッセージの出力に限らず、どのような通知であってもよい。
以上に説明したように、本実施形態では、安全性が保障された暗号化状態で平文の大小比較を効率的に行う事ができる。
第二の実施形態.
第二の実施形態の装置構成、およびパラメータM,U,ζ,λ,vecpは第一の実施形態のそれと同一である。ただし、本実施形態では、第一の実施形態と比較して、各手段の機能が異なる。
本実施形態では、第一の実施形態の構成に加えて、ρをパラメータとする。安全性上の観点から言えば、ρは160ビット以上である事が望ましい。また、本実施形態では、τ[1],...,τ[U]をパラメータとする。安全性上の観点から言えば、τ[j+1]/τ[j]は2λ以上である事が望ましい。例えばτ[j]=2とすると、この性質が満たされる。各パラメータは各装置の記憶部13に記憶されており、各装置は必要に応じてこれらの値を使う事ができる。
ベクトルvecu=(u[1],...,u[U])に対し、s(vecu)をΣj=1,...,Uτ[j]u[m]とする。Algo,vecAlgo,Dist,vecDistを次のようなアルゴリズムとする。
・Algo(k,p'):二項分布B(k,p')に従って出力を選ぶ。
・vecAlgo(k,vecp'): 上述の概要で説明した分布vecB(k,vecp')に従って出力を選ぶ。
・Dist(C1,C2,vecn,vecn'):C1+HG(s(vecn),C2-C1,s(vecn'))を出力する。ここでHGは上述の概要で説明した関数である。
・vecDist(u,v,w,vecn):vecHG(v-u,vecn,w-u)を出力する。ここでvecHGは上述の概要で説明した関数である。
二項分布およびHGを計算するアルゴリズムについては文献(四辻哲章,計算機シミュレーションのための確率分布乱数生成法。プレアデス出版。2010年6月発売)に記載されている。
vecAlgo(k,vecp')は例えば以下の方法で計算できる。ただしここでvecp'=(p'[1],...,p'[U]),Σj=1,...,Up'[j]=1である。
1.k'=kとする。
2.j=1,...,U-1に対して以下の(1)(2)を実行する。
(1)二項分布B(k,p'[j])に従ってn[j]を選ぶ。
(2)k'にk'-n[j]を上書きする。
3.n[U]=k'とする。
4.vecn=(n[1],...,n[U])を出力する。
vecHG(k,vect,l)は、例えば以下の方法で計算できる。ただしここでvect=(t[1],...,t[U]),Σj=1,...,Ut[j]=kである。
1.k'=k,l'=lとする。
2.j=1,...,U-1に対して以下の(1)(2)を実行する。
(1)HG(k',t[j],l')を実行し、出力n[j]を得る。
(2)k'-t[j]をk'に上書きし、l'-n[j]をl'に上書きする。
3.n[U]=l'とする。
4.vecn=(n[1],...,n[U])を出力する。
次に、鍵生成手段が実行する処理について説明する。本実施形態において鍵生成手段301が実行する処理の詳細は以下のとおりである。
鍵生成手段301は、ρビットのビット列K'をランダムに選択する(図6のステップ2K1)。
次いで、鍵生成手段301は、vecAlgo(M+ζ+1,vecp)を実行し、出力vecn[M]を得る(図6のステップ2K2)。
次いで、鍵生成手段301は、Algo(s(vecn[M]),q)を実行し、出力C[M]を得る(図6のステップ2K3)。
次いで、鍵生成手段301は、K=(K',vecn[M],C[M])を出力する(図6のステップ2K4)。
Ceil(x)を入力された実数xの小数点以下を切り上げた値を出力する関数とし、アルゴリズムDist,vecDistが計算に用いる乱数のビット数をそれぞれL,L'とし、PRF(K,・)をKを鍵として用いる擬似ランダム関数で出力がLビットの擬似乱数であるものとし、PRF'(K,・)をKを鍵として用いる擬似ランダム関数で出力がL'ビットの擬似乱数であるものとする。さらに記号「a||b」でビット列aとbの連結を表し、アルゴリズムAに対し「A(x;r)」で「乱数としてrを使ってA(x)を実行したときの出力」を表す。
アルゴリズムRecEnc(K',u,v,C[u],C[v],vecn,m)を以下のように再帰的に定義する。
m=uであれば、C[u]を、m=vであれば、C[v]を出力する(図7のステップ2RE1)。
次いで、w=Ceil((u+v)/2)を計算する(図7のステップ2RE2)。
次いで、cc=PRF(K',(v-u||vecn||w-u)を計算する(図7のステップ2RE3)。また、vecn'=vecDist(u,v,w,vecn;cc)を計算する(図7のステップ2RE3)。
次いで、cc'=PRF'(K',s(vecn)||(C[v]-C[u])||s(vecn'))を計算する(図7のステップ2RE4)。また、C[w]=Dist(C[u],C[v],vecn,vecn';cc')を計算する(図7のステップ2RE4)。
次いで、m≦wであれば、RecEnc(K',u,w,C[u],C[w],vecn',m)を出力する(図7のステップ2RE5)。
一方、m>wであれば、RecEnc(K',w,v,C[w],C[v],vecn-vecn',m)を出力する(図7のステップ2RE6)。
次に、暗号化手段が実行する処理について説明する。本実施形態において暗号化手段101が実行する処理の詳細は以下のとおりである。
暗号化手段101は、K=(K',C[M],vecn[M])を入力として受け取る(図8のステップ2E1)。
次いで、暗号化手段101は、RecEnc'(K',-ζ-1,M,0,C[M],vecn[M],m)を実行する(図8のステップ2E2)。
アルゴリズムRecDec(K',u,v,C[u],C[v],vecn,m)を以下のように再帰的に定義する。
u≦0なら次の処理を行う(図9のステップ2RD1)。具体的には、C=C[u]ならuを、m=C[v]ならvを出力し、u=vなら暗号文が不正である事を示すメッセージを出力する(2RD1)。
次いで、w=Ceil((u+v)/2)を計算する(図9のステップ2RD2)。
次いで、cc=PRF(K',(v-u||vecn||w-u)を計算する(図9のステップ2RD3)。また、vecn'=vecDist(u,v,w,vecn;cc)を計算する(図9のステップ2RD3)。
次いで、cc'=PRF'(K',s(vecn)||(C[v]-C[u])||s(vecn'))を計算する(図9のステップ2RD4)。また、C[w]=Dist(C[u],C[v],vecn,vecn';cc')を計算する(図9のステップ2RD4)。
次いで、m≦wであれば、RecDec(K',u,w,C[u],C[w],vecn',m)を出力する(図9のステップ2RD5)。
一方、m>wであれば、RecDec(K',w,v,C[w],C[v],vecn-vecn',m)を出力する(図9のステップ2RD6)。
次に、復号手段が実行する処理について説明する。本実施形態において復号手段201が実行する処理の詳細は以下のとおりである。
復号手段201は、K=(K',C[M],vecn[M])を入力として受け取る(図10のステップ2D1)。
次いで、復号手段201は、RecDec'(K',-ζ-1,M,0,C[M],vecn[M],m)を実行する(図10のステップ2D2)。
以上に説明したように、本実施形態では、安全性が保障された暗号化状態で平文の大小比較を効率的に行う事ができる。また、本実施形態では、第一の実施形態と比較して、より効率的な方法で暗号化および復号処理を行うことができる。
第三の実施形態.
第三の実施形態の装置構成、およびパラメータM,U,ζ,λ,vecpは第一の実施形態のそれと同一である。ただし、本実施形態では、第一の実施形態と比較して、各手段の機能が異なる。
本実施形態では、第一の実施形態の構成に加えて、V[1],...,V[n]をパラメータとし、vecu=(u[1],...,u[U])に対し、t(vecn[M])=Σi=1,...,Uu[i]V[i]とする。
V[j]は例えばV[j]=2と設定できる。Normal(μ,V)を、平均μ,分散Vの正規分布に従って出力を選ぶアルゴリズムとする。第三の実施形態における鍵生成処理は、第二の実施形態の鍵生成手段によるAlgo(s(vecn[M]),q)を以下のアルゴリズムAlgo'(s(vecn[M]),t(vecn[M]))に変更したものである。
・Normal(s(vecn[M]),t(vecn[M]))に従ってC[M]を選ぶ。
・C[M]を出力する。
アルゴリズムDist'(C[u],C[v],vecn,vecn')を以下のように定義する。
C=C[u]+s(vecn')+Normal(2(C[v]-C[u]-s(vecn))√(t(vecn')/t(vecn)),√(t(vecn')t(vecn-vecn')/t(vecn)))とし、Cを出力する。
アルゴリズムDist'が計算に用いる乱数のビット数をL''とし、PRF''(K,・)をKを鍵として用いる擬似ランダム関数で出力がL''ビットの擬似乱数であるものとする。RecEnc'(K',u,v,C[u],C[v],vecn,m)を、第二の実施形態におけるRecEnc(K',u,v,C[u],C[v],vecn,m)の(ステップ2RE4)を以下の手続きにかえたものとする。
cc'=PRF''(K',s(vecn)||(C[v]-C[u])||s(vecn'))を計算する。また、C[w]=Dist'(C[u],C[v],vecn,vecn';cc')を計算する。
次に、暗号化手段が実行する処理について説明する。本実施形態において暗号化手段101が実行する処理の詳細は以下のとおりである。
暗号化手段101は、K=(K',C[M],vecn[M])を入力として受け取る(図11のステップ3E1)。
暗号化手段101は、RecEnc'(K',-ζ-1,M,0,C[M],vecn[M],m)を実行する(図11のステップ3E2)。
ここでは、RecDec'(K',u,v,C[u],C[v],vecn,m)を、第二の実施形態におけるRecDec(K',u,v,C[u],C[v],vecn,m)の(ステップ2RD4)を以下の手続きにかえたものとする。
cc'=PRF''(K',s(vecn)||(C[v]-C[u])||s(vecn'))を計算する。また、C[w]=Dist'(C[u],C[v],vecn,vecn';cc')を計算する。
次に、復号手段が実行する処理について説明する。本実施形態において復号手段201が実行する処理の詳細は以下のとおりである。
復号手段201は、K=(K',C[M],vecn[M])を入力として受け取る(図12のステップ3D1)。
復号手段201は、RecDec'(K',-ζ-1,M,0,C[M],vecn[M],m)を実行する(図12のステップ3D2)。
以上に説明したように、本実施形態では、安全性が保障された暗号化状態で平文の大小比較を効率的に行う事ができる。また、本実施形態では、第一の実施形態と比較して、より効率的な方法で暗号化および復号処理を行うことができる。
第四の実施形態.
第四の実施形態の暗号文は第一の実施形態の暗号文に乱数Rを加えたものである。乱数Rを加える事で暗号文が撹拌される為、より高い安全性が保証される。第四の実施形態の装置構成は第一の実施形態のそれと同一である。ただし、本実施形態では、第一の実施形態と比較して、各手段の機能が異なる。
なお、本実施形態では、ζを0にセットしてもよい。それ以外のパラメータは第一の実施形態のそれと同一である。
次に、鍵生成手段が実行する処理について説明する。本実施形態において鍵生成手段301が実行する処理の詳細は以下のとおりである。
第一の実施形態における鍵生成処理と同様に、鍵生成手段301は、鍵K'を生成する。
次いで、鍵生成手段301は、ρビットの乱数Rを選択する。
次いで、鍵生成手段301は、鍵K=(K',ρ)を出力する。
次に、暗号化手段が実行する処理について説明する。本実施形態において暗号化手段101が実行する処理の詳細は以下のとおりである。
暗号化手段101は、K=(K',ρ)と平文mとを記憶部13から読み込む。
次いで、暗号化手段101は、K'とmとを入力して第一の実施形態と同様の暗号化処理を行う事で、その出力C'を得る。
次いで、暗号化手段101は、暗号文C=C'+Rを出力する。
次に、復号手段が実行する処理について説明する。本実施形態において復号手段201が実行する処理の詳細は以下のとおりである。
復号手段201は、鍵K=(K',R)と暗号文Cとを記憶部13から読み込む。
次いで、復号手段201は、C'=C-Rを計算する。
次いで、復号手段201は、K'とC'とを入力して、第一の実施形態と同様の復号処理を行う事でその出力mを得る。
次いで、復号手段201は、平文mを出力する。
以上に説明したように、本実施形態では、安全性が保障された暗号化状態で平文の大小比較を効率的に行う事ができる。また、本実施形態では、乱数Rを加える事で暗号文が撹拌される為、第一の実施形態と比較して、より高い安全性が保証される。
第五の実施形態.
第五の実施形態は、第四の実施形態中にある「第一の実施形態」の構成を「第二の実施形態」の構成にかえたものである。すなわち、第二の実施形態で示した構成に第四の実施形態で示した構成を適用したものである。これによって、本実施形態では、第四の実施形態と比較して、より効率的な方法で暗号化および復号処理を行うことができる。
第六の実施形態.
第六の実施形態は、第四の実施形態中にある「第一の実施形態」の構成を「第三の実施形態」の構成にかえたものである。すなわち、第三の実施形態で示した構成に第四の実施形態で示した構成を適用したものである。これによって、本実施形態では、第四の実施形態と比較して、より効率的な方法で暗号化および復号処理を行うことができる。
以上に説明したように、本発明は、例えばセキュア・データベースにおいて安全性を担保しつつ順序によるデータ検索を可能にする。よって本発明はデータを不正に読まれないという有用性と、検索によるデータ利用という有用性とを持つ。
新規性に関しては、非特許文献1に記載された方式でも、本発明の第二の実施形態と同様に、二分法的な再帰を行っているが、分布決定パラメータが本発明の新規性を保証する。非特許文献1に記載された方式には、本発明における分布決定パラメータvecnに相当するデータは無い。本発明では分布決定パラメータによって分布を決定する事ではじめて再帰をまわす事ができる為、本発明と非特許文献1に記載された方式とは大きく異なり、新規性があるといえる。
また、分布決定パラメータは本発明の進歩性をも保証する。分布決定パラメータを使った再起を使った事により、第二の実施形態の暗号文は第一の実施形態の暗号文と同一となり、したがって前述したように第二の実施形態の発明も安全性が担保される。非特許文献1に記載された方式は安全性が担保されていなかったので、本発明には進歩性があるといえる。
次に、本発明による順序保存暗号化システムの最小構成について説明する。図13は、順序保存暗号化システムの最小の構成例を示すブロック図である。図13に示すように、順序保存暗号化システムは、最小の構成要素として、暗号化手段101を含む。
図13に示す最小構成の順序保存暗号化システムでは、暗号化手段101は、暗号文を事前に定められた分布Xに従うデータの和として生成する。また、暗号化手段101は、分布Xとして、ランダムに決められたビット長のデータがビット長に応じた分布に従ってランダムに選択されるという形式であらわされる分布を用いて暗号文を生成する。
従って、最小構成の順序保存暗号化システムによれば、安全性が保障できる順序保存暗号化を実現することができる。
なお、本実施形態では、以下の(1)〜(7)に示すような順序保存暗号化システムの特徴的構成が示されている。
(1)順序保存暗号化システムは、暗号文を事前に定められた分布Xに従うデータ(例えば、α[j])の和として生成する暗号化手段(例えば、暗号化手段101によって実現される)を含み、暗号化手段は、分布Xとして、ランダムに決められたビット長(例えば、j[i])のデータ(例えば、α[j])がビット長に応じた分布(例えば、B[j])に従ってランダムに選択されるという形式であらわされる分布を用いて暗号文を生成することを特徴とする。
(2)順序保存暗号化システムにおいて、平文空間の元の数に比例した数のデータを選択し(例えば、(α[-ζ],...,α[N]))、選択したデータを全て含む組を鍵として生成し出力する鍵生成手段(例えば、鍵生成手段301)を含み、鍵生成手段は、データを選択する際には、データの長さを決定する乱数を選択し、選択した乱数に従ったビット長のデータを選択するように構成されていてもよい。
(3)順序保存暗号化システムにおいて、暗号化手段は、複数のデータの組を含む鍵(例えば、K=(α[-ζ],...,α[N]))を暗号化に用い、平文を暗号化するために、平文の大きさに比例した数のデータを足しあわせて(例えば、C=Σi=-ζ,...,mα[i])暗号化するように構成されていてもよい。
(4)順序保存暗号化システムにおいて、複数のデータの組を含む鍵(例えば、K=(α[-ζ],...,α[N]))を用いて暗号化された暗号文を復号する復号手段(例えば、復号手段201によって実現される)を含み、復号手段は、暗号文を復号するために、各mに対してmの大きさに比例した数のデータを足しあわせた値を計算し(例えば、Σi=-ζ,...,mα[i])、足しあわせた値が暗号文と一致するmを出力し、暗号文と一致するmが存在しない場合には暗号文が不正なものである事を通知するように構成されていてもよい。
(5)順序保存暗号化システムにおいて、複数のデータの組を含む鍵を暗号化に用いる暗号化手段を含む暗号化装置と、鍵を用いて暗号化された暗号文を復号する復号手段を含む復号装置とを備え、平文空間の元の数に比例した数のデータを選択し、選択したデータを全て含む組を鍵として生成し出力する鍵生成手段を含み、鍵生成手段は、データを選択する際には、データの長さを決定する乱数を選択し、選択した乱数に従ったビット長のデータを選択し、暗号化手段は、鍵と平文とを入力して該平文の大きさに比例した数のデータを足しあわせて暗号化する暗号文を計算し、復号手段は、鍵と暗号文とを入力して、各mに対してmの大きさに比例した数のデータを足しあわせたものを計算し、足しあわせたものが暗号文と一致するmを出力し、暗号文と一致するmが存在しない場合には暗号文が不正なものである事を通知するように構成されていてもよい。
(6)順序保存暗号化システムにおいて、K'をランダムに選択し、分布を決めるパラメータvecn[M]を事前に定められたアルゴリズムに従って選択し、vecn[M]をパラメータとして入力して分布に従って暗号文C[M]を選択し、K'とvecn[M]とC[M]とを含む組を鍵として出力する鍵生成手段を含むように構成されていてもよい。
(7)順序保存暗号化システムにおいて、vecn[M]は、複数のデータを含む組であり、鍵生成手段は、vecn[M]に含まれるデータを、それらの総和が事前に定められた値になるという条件下で二項分布に従って選択するように構成されていてもよい。
上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
(付記1)vecn[M]は、複数のデータを含む組であり、鍵生成手段は、前記vecn[M]に含まれる前記データを、それらの総和が事前に定められた値になるという条件下で正規分布に従って選択する請求項6記載の順序保存暗号化システム。
(付記2)暗号化手段は、鍵と平文とを入力として受け取ってサブルーチンを実行し(例えば、RecEnc')、前記サブルーチンは、前記平文を含む区間を入力として受け取り(例えば、u,v)、さらに前記区間の両端の値に対応する暗号文も入力として受け取り(例えば、C[u],C[v])、さらに前記区間における分布決定パラメータvecnも入力として受け取り、値wを指定してwに対応する暗号文を計算し、さらに前記区間をwによって2つに分割し、前記平文が前記分割された区間のいずれに属しているかに応じて、属している方の区間を入力として該サブルーチンを再帰的に実行し、前記wに対応する前記暗号文を計算する際には、まず分布決定パラメータvecn'を事前に定められたアルゴリズムに従って選択し、次に前記vecnと前記vecn'と前記区間の両端の値に対応する前記暗号文とを使って選択された分布に従って前記wに対応する前記暗号文を選択し、さらに前記分布に従ってデータを選択する際には擬似乱数を用い、さらに前記入力平文がすでに暗号文を計算された値のいずれかと一致するときには該暗号文を出力する請求項1記載の順序保存暗号化システム。
(付記3)vecn'は、複数のデータを含む組であり、サブルーチンは、前記vecn'に含まれる前記データを、それらの総和が事前に定められた値になるという条件下で超幾何分布に従って選択する付記2記載の順序保存暗号化システム。
(付記4)定められた分布は、超幾何分布に区間の端に対応する暗号文を加えたものである付記3記載の順序保存暗号化システム。
(付記5)定められた分布は、正規分布である付記3記載の順序保存暗号化システム。
(付記6)復号手段は、鍵と暗号文とを入力として受け取ってサブルーチンを実行し(例えば、RecEnc')、前記サブルーチンは、暗号文空間の区間で前記入力暗号文がその区間に属しているものを入力として受け取り(例えば、C[u],C[v])、さらに前記区間の両端に当たる暗号文に対応する平文も入力として受け取り(例えば、u,v.)、さらに前記区間における分布決定パラメータvecnも入力として受け取り、値wを指定してwに対応する暗号文C[w]を計算し、さらに前記区間をC[w]によって2つに分割し、前記入力暗号文が前記分割された区間のいずれに属しているかに応じて、属している方の区間を入力として該サブルーチンを再帰的に実行し、前記wに対応する前記暗号文を計算する際には、まず分布決定パラメータvecn'を事前に定められたアルゴリズムに従って選択し、次に前記vecnと前記vecn'と前記区間の両端の値に対応する前記暗号文とを使って選択された分布に従って前記wに対応する前記暗号文を選択し、さらに前記分布に従ってデータを選択する際には擬似乱数を用い、さらに前記入力暗号文がすでに暗号文を計算された値のいずれかと一致するときは該暗号文を出力する請求項1記載の順序保存暗号化システム。
(付記7)定められた分布は、超幾何分布に区間の端に対応する暗号文を加えたものである付記6記載の順序保存暗号化システム。
(付記8)定められた分布は、正規分布である付記6記載の順序保存暗号化システム。
(付記9)暗号化手段を含む暗号化装置と、復号手段を含む復号装置とを備え、K'をランダムに選択し、分布を決めるパラメータvecn[M]を事前に定められたアルゴリズムに従って選択し、前記vecn[M]をパラメータとして入力して前記分布に従って暗号文C[M]を選択し、前記K'と前記vecn[M]と前記C[M]とを含む組を鍵として出力する鍵生成手段を含み、前記暗号化手段は、前記鍵と平文とを入力として受け取ってサブルーチンを実行し、前記サブルーチンは、前記平文を含む区間を入力として受け取り、さらに前記区間の両端の値に対応する暗号文も入力として受け取り、さらに前記区間における分布決定パラメータvecnも入力として受け取り、値wを指定してwに対応する暗号文を計算し、さらに前記区間をwによって2つに分割し、前記平文が前記分割された区間のいずれに属しているかに応じて、属している方の区間を入力として該サブルーチンを再帰的に実行し、前記wに対応する前記暗号文を計算する際には、まず分布決定パラメータvecn'を事前に定められたアルゴリズムに従って選択し、次に前記vecnと前記vecn'と前記区間の両端の値に対応する前記暗号文とを使って選択された分布に従って前記wに対応する前記暗号文を選択し、さらに前記分布に従ってデータを選択する際には擬似乱数を用い、さらに前記入力平文がすでに暗号文を計算された値のいずれかと一致するときには該暗号文を出力し、前記復号手段は、前記鍵と前記暗号文とを入力として受け取ってサブルーチンを実行し、前記サブルーチンは、暗号文空間の区間で前記入力暗号文がその区間に属しているものを入力として受け取り、さらに前記区間の両端に当たる暗号文に対応する平文も入力として受け取り、さらに前記区間における分布決定パラメータvecnも入力として受け取り、値wを指定してwに対応する暗号文C[w]を計算し、さらに前記区間をC[w]によって2つに分割し、前記入力暗号文が前記分割された区間のいずれに属しているかに応じて、属している方の区間を入力として該サブルーチンを再帰的に実行し、前記wに対応する前記暗号文を計算する際には、まず分布決定パラメータvecn'を事前に定められたアルゴリズムに従って選択し、次に前記vecnと前記vecn'と前記区間の両端の値に対応する前記暗号文とを使って選択された分布に従って前記wに対応する前記暗号文を選択し、さらに前記分布に従ってデータを選択する際には擬似乱数を用い、さらに前記入力暗号文がすでに暗号文を計算された値のいずれかと一致するときは該暗号文を出力することを特徴とする順序保存暗号化システム。
(付記10)暗号化手段を含む暗号化装置と復号手段を含む復号装置とを備え、K'をランダムに選択し、分布を決めるパラメータvecn[M]を事前に定められたアルゴリズムに従って選択し、前記vecn[M]をパラメータとして入力して前記分布に従って暗号文C[M]を選択し、前記K'と前記vecn[M]と前記C[M]とを含む組を鍵として出力する鍵生成手段を含み、前記vecn[M]は、複数のデータを含む組であり、前記鍵生成手段は、前記vecn[M]に含まれる前記データを、それらの総和が事前に定められた値になるという条件下で二項分布に従って選択し、前記暗号化手段は、前記鍵と平文とを入力として受け取ってサブルーチンを実行し、前記サブルーチンは、前記平文を含む区間を入力として受け取り、さらに前記区間の両端の値に対応する暗号文も入力として受け取り、さらに前記区間における分布決定パラメータvecnも入力として受け取り、値wを指定してwに対応する暗号文を計算し、さらに前記区間をwによって2つに分割し、前記平文が前記分割された区間のいずれに属しているかに応じて、属している方の区間を入力として該サブルーチンを再帰的に実行し、前記wに対応する前記暗号文を計算する際には、まず分布決定パラメータvecn'を事前に定められたアルゴリズムに従って選択し、次に前記vecnと前記vecn'と前記区間の両端の値に対応する前記暗号文とを使って選択された分布に従って前記wに対応する前記暗号文を選択し、さらに前記分布に従ってデータを選択する際には擬似乱数を用い、さらに前記入力平文がすでに暗号文を計算された値のいずれかと一致するときには該暗号文を出力し、前記vecn'は、複数のデータを含む組であり、前記暗号化手段は、前記vecn'に含まれる前記データを、それらの総和が事前に定められた値になるという条件下で超幾何分布に従って選択し、前記復号手段は、前記鍵と前記暗号文とを入力として受け取ってサブルーチンを実行し、前記サブルーチンは、暗号文空間の区間で前記入力暗号文がその区間に属しているものを入力として受け取り、さらに前記区間の両端に当たる暗号文に対応する平文も入力として受け取り、さらに前記区間における分布決定パラメータvecnも入力として受け取り、値wを指定してwに対応する暗号文C[w]を計算し、さらに前記区間をC[w]によって2つに分割し、前記入力暗号文が前記分割された区間のいずれに属しているかに応じて、属している方の区間を入力として該サブルーチンを再帰的に実行し、前記wに対応する前記暗号文を計算する際には、まず分布決定パラメータvecn'を事前に定められたアルゴリズムに従って選択し、次に前記vecnと前記vecn'と前記区間の両端の値に対応する前記暗号文とを使って選択された分布に従って前記wに対応する前記暗号文を選択し、さらに前記分布に従ってデータを選択する際には擬似乱数を用い、さらに前記入力暗号文がすでに暗号文を計算された値のいずれかと一致するときは該暗号文を出力し、前記定められた分布は、超幾何分布に区間の端に対応する暗号文を加えたものであることを特徴とする順序保存暗号化システム。
(付記11)暗号化手段を含む暗号化装置と復号手段を含む復号装置とを備え、K'をランダムに選択し、分布を決めるパラメータvecn[M]を事前に定められたアルゴリズムに従って選択し、前記vecn[M]をパラメータとして入力して前記分布に従って暗号文C[M]を選択し、前記K'と前記vecn[M]と前記C[M]とを含む組を鍵として出力する鍵生成手段を含み、前記vecn[M]は、複数のデータを含む組であり、前記鍵生成手段は、前記vecn[M]に含まれる前記データを、それらの総和が事前に定められた値になるという条件下で二項分布に従って選択し、前記暗号化手段は、前記鍵と平文とを入力として受け取ってサブルーチンを実行し、前記サブルーチンは、前記平文を含む区間を入力として受け取り、さらに前記区間の両端の値に対応する暗号文も入力として受け取り、さらに前記区間における分布決定パラメータvecnも入力として受け取り、値wを指定してwに対応する暗号文を計算し、さらに前記区間をwによって2つに分割し、前記平文が前記分割された区間のいずれに属しているかに応じて、属している方の区間を入力として該サブルーチンを再帰的に実行し、前記wに対応する前記暗号文を計算する際には、まず分布決定パラメータvecn'を事前に定められたアルゴリズムに従って選択し、次に前記vecnと前記vecn'と前記区間の両端の値に対応する前記暗号文とを使って選択された分布に従って前記wに対応する前記暗号文を選択し、さらに前記分布に従ってデータを選択する際には擬似乱数を用い、さらに前記入力平文がすでに暗号文を計算された値のいずれかと一致するときには該暗号文を出力し、前記定められた分布は、超幾何分布に区間の端に対応する暗号文を加えたものであり、前記復号手段は、鍵と暗号文とを入力として受け取ってサブルーチンを実行し、前記サブルーチンは、暗号文空間の区間で前記入力暗号文がその区間に属しているものを入力として受け取り、さらに前記区間の両端に当たる暗号文に対応する平文も入力として受け取り、さらに前記区間における分布決定パラメータvecnも入力として受け取り、値wを指定してwに対応する暗号文C[w]を計算し、さらに前記区間をC[w]によって2つに分割し、前記入力暗号文が前記分割された区間のいずれに属しているかに応じて、属している方の区間を入力として該サブルーチンを再帰的に実行し、前記wに対応する前記暗号文を計算する際には、まず分布決定パラメータvecn'を事前に定められたアルゴリズムに従って選択し、次に前記vecnと前記vecn'と前記区間の両端の値に対応する前記暗号文とを使って選択された分布に従って前記wに対応する前記暗号文を選択し、さらに前記分布に従ってデータを選択する際には擬似乱数を用い、さらに前記入力暗号文がすでに暗号文を計算された値のいずれかと一致するときは該暗号文を出力し、前記定められた分布は、正規分布であることを特徴とする順序保存暗号化システム。
以上、実施形態及び実施例を参照して本願発明を説明したが、本願発明は上記実施形態および実施例に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2011年5月18日に出願された日本特許出願2011−111599を基礎とする優先権を主張し、その開示の全てをここに取り込む。
本発明は、例えばセキュア・データベースに利用できる。データベースに本発明で暗号化されたデータを保管すれば、データの秘密を保持しつつ、順序によるデータ検索が可能になるので産業上有用である。近年のクラウド技術の発展により、データベースの利用がこれまで以上に増える事が予想されるので、本発明の有用性は今後さらに増すものと思われる。
100 暗号化装置
101 暗号化手段
200 復号装置
201 復号手段
300 鍵生成装置
301 鍵生成手段

Claims (8)

  1. 第1の確率分布に従う値以下のビット長を持つデータを出力する第2の確率分布に従って選択したデータを含む鍵を生成する鍵生成手段と、
    前記鍵に含まれるデータの和により暗号文を生成する暗号化手段とを含む
    ことを特徴とする順序保存暗号化システム。
  2. 鍵生成手段は、
    平文空間の元の数に比例した数のデータを選択し、選択したデータを全て含む組を鍵として生成し、
    データを選択する際には、データの長さを決定する乱数を選択し、選択した前記乱数に従ったビット長のデータを選択する
    請求項1記載の順序保存暗号化システム。
  3. 暗号化手段は、複数のデータの組を含む鍵を暗号化に用い、平文を暗号化するために、前記平文の大きさに比例した数の前記鍵に含まれるデータを足しあわせて暗号化する
    請求項1記載の順序保存暗号化システム。
  4. 複数のデータの組を含む鍵を用いて暗号化された暗号文を復号する復号手段を含み、
    前記復号手段は、暗号文を復号するために、各mに対してmの大きさに比例した数の前記鍵に含まれるデータを足しあわせた値を計算し、前記足しあわせた値が前記暗号文と一致する前記mを出力し、前記暗号文と一致する前記mが存在しない場合には前記暗号文が不正なものである事を通知する
    請求項1記載の順序保存暗号化システム。
  5. 複数のデータの組を含む鍵を暗号化に用いる暗号化手段を含む暗号化装置と、
    前記鍵を用いて暗号化された暗号文を復号する復号手段を含む復号装置とを備え、
    鍵生成手段は、平文空間の元の数に比例した数のデータを選択し、選択したデータを全て含む組を鍵として生成し、
    前記鍵生成手段は、データを選択する際には、データの長さを決定する乱数を選択し、選択した前記乱数に従ったビット長のデータを選択し、
    前記暗号化手段は、前記鍵と平文とを入力して該平文の大きさに比例した数の前記鍵に含まれるデータを足しあわせて暗号化する暗号文を計算し、
    前記復号手段は、前記鍵と前記暗号文とを入力して、各mに対してmの大きさに比例した数の前記鍵に含まれるデータを足しあわせた値を計算し、前記足しあわせた値が前記暗号文と一致する前記mを出力し、前記暗号文と一致する前記mが存在しない場合には前記暗号文が不正なものである事を通知する
    請求項1記載の順序保存暗号化システム。
  6. 鍵生成手段は、
    K'をランダムに選択し、
    分布を決めるパラメータvecn[M]を事前に定められたアルゴリズムに従って選択し、
    事前に定められた値M の暗号文C[M]を前記vecn[M]をパラメータとして入力して前記分布に従って選択し、前記K'と前記vecn[M]と前記C[M]とを含む組を鍵として生成する
    請求項1記載の順序保存暗号化システム。
  7. vecn[M]は、複数のデータを含む組であり、
    鍵生成手段は、前記vecn[M]に含まれるデータを、それらの総和が事前に定められた値になるという条件下で二項分布に従って選択する
    請求項6記載の順序保存暗号化システム。
  8. 鍵生成手段が、第1の確率分布に従う値以下のビット長を持つデータを出力する第2の確率分布に従って選択したデータを含む鍵を生成し、
    暗号化手段が、前記鍵に含まれるデータの和により暗号文を生成する
    ことを特徴とする順序保存暗号化方法。
JP2013515004A 2011-05-18 2012-05-17 順序保存暗号化システム、装置、方法及びプログラム Active JP5929905B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2011111599 2011-05-18
JP2011111599 2011-05-18
PCT/JP2012/003239 WO2012157279A1 (ja) 2011-05-18 2012-05-17 順序保存暗号化システム、装置、方法及びプログラム

Publications (2)

Publication Number Publication Date
JPWO2012157279A1 JPWO2012157279A1 (ja) 2014-07-31
JP5929905B2 true JP5929905B2 (ja) 2016-06-08

Family

ID=47176628

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013515004A Active JP5929905B2 (ja) 2011-05-18 2012-05-17 順序保存暗号化システム、装置、方法及びプログラム

Country Status (5)

Country Link
US (1) US9460315B2 (ja)
EP (1) EP2712115A4 (ja)
JP (1) JP5929905B2 (ja)
CN (1) CN103503363A (ja)
WO (1) WO2012157279A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160013933A1 (en) * 2013-02-28 2016-01-14 Nec Corporation Order-preserving encryption system, device, method, and program
KR102219476B1 (ko) * 2014-05-14 2021-02-24 삼성전자주식회사 데이터를 암호화하는 방법 및 그를 위한 장치
US9798810B2 (en) 2014-09-30 2017-10-24 At&T Intellectual Property I, L.P. Methods and apparatus to track changes to a network topology
US9596081B1 (en) * 2015-03-04 2017-03-14 Skyhigh Networks, Inc. Order preserving tokenization
US9800558B2 (en) 2015-10-01 2017-10-24 Sap Se Frequency-hiding order-preserving encryption
US9830470B2 (en) 2015-10-09 2017-11-28 Sap Se Encrypting data for analytical web applications
US10580225B2 (en) 2017-03-31 2020-03-03 Toyota Motor Engineering & Manufacturing North America, Inc. Privacy-aware signal monitoring systems and methods
KR102126295B1 (ko) * 2018-05-23 2020-06-24 세종대학교산학협력단 암호문 비교 방법 및 이를 수행하기 위한 장치

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050147240A1 (en) * 2004-01-05 2005-07-07 Rakesh Agrawal System and method for order-preserving encryption for numeric data

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE373852T1 (de) * 2003-01-31 2007-10-15 Matsushita Electric Ind Co Ltd Halbleiterspeicherkarte und programm zu ihrer steuerung
US7395437B2 (en) 2004-01-05 2008-07-01 International Business Machines Corporation System and method for fast querying of encrypted databases
US20070038579A1 (en) * 2005-08-12 2007-02-15 Tsys-Prepaid, Inc. System and method using order preserving hash
US20120121080A1 (en) * 2010-11-11 2012-05-17 Sap Ag Commutative order-preserving encryption
KR101727312B1 (ko) * 2010-12-22 2017-04-14 한국전자통신연구원 순서 보존 암호화 및 복호화 장치와 그 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050147240A1 (en) * 2004-01-05 2005-07-07 Rakesh Agrawal System and method for order-preserving encryption for numeric data

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6015039995; Boldyreva, A. et al.: 'Order-Preserving Symmetric Encryption' Lecture Notes in Computer Science Vol.5479, 2009, p.224-241 *

Also Published As

Publication number Publication date
US20140089678A1 (en) 2014-03-27
EP2712115A1 (en) 2014-03-26
EP2712115A4 (en) 2015-01-21
US9460315B2 (en) 2016-10-04
JPWO2012157279A1 (ja) 2014-07-31
WO2012157279A1 (ja) 2012-11-22
CN103503363A (zh) 2014-01-08

Similar Documents

Publication Publication Date Title
JP5929905B2 (ja) 順序保存暗号化システム、装置、方法及びプログラム
JP6083234B2 (ja) 暗号処理装置
JP4575283B2 (ja) 暗号装置、復号装置、プログラム及び方法
CN106571905B (zh) 一种数值型数据同态保序加密方法
US20160335450A1 (en) Searchable encryption processing system and searchable encryption processing method
JP6477461B2 (ja) 順序保存暗号化システム、装置、方法およびプログラム
WO2019114122A1 (zh) 登录信息的加密方法、装置、电子设备及介质
JP5593458B2 (ja) 文字列がオートマトンに受理されるか否かを認証するシステム
JP6575532B2 (ja) 暗号化装置、復号装置、暗号処理システム、暗号化方法、復号方法、暗号化プログラム、及び復号プログラム
JP6386198B1 (ja) 暗号化装置及び復号装置
CN107291861B (zh) 一种面向加密图的带约束近似最短距离查询方法
Lauter Postquantum opportunities: lattices, homomorphic encryption, and supersingular isogeny graphs
JP6305638B2 (ja) 暗号システム及び鍵生成装置
JP5732429B2 (ja) 秘密分散システム、データ分散装置、データ復元装置、秘密分散方法、およびプログラム
CN116170142B (zh) 分布式协同解密方法、设备和存储介质
JP2020034662A (ja) Idベースハッシュ証明系構成装置、idベース暗号装置、idベースハッシュ証明系構成方法及びプログラム
WO2016113878A1 (ja) 秘匿検索システム、秘匿検索プログラム及び変換後検索鍵生成装置
US8325913B2 (en) System and method of authentication
CN112134701B (zh) 敏感关键字可否认编辑加密方法
KR20110118273A (ko) 해쉬 트리 기반의 스트림 암호화 및 복호화 방법과 암호 파일 시스템
WO2024028961A1 (ja) 暗号システム、方法及びプログラム
Sinha et al. Secure image encryption based on improved bat optimized piecewise linear chaotic map through integrated permutation-confusion and double diffusion
JP6876423B2 (ja) ストリーム暗号における内部状態の初期化装置、方法及びプログラム
JP5818768B2 (ja) マスク生成装置、情報処理装置、及びその方法、プログラム
CN114547645A (zh) 浮点数处理方法、装置、终端以及存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150403

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151006

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151202

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20160105

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160223

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20160309

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160405

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160418

R150 Certificate of patent or registration of utility model

Ref document number: 5929905

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150