JP6477461B2 - 順序保存暗号化システム、装置、方法およびプログラム - Google Patents

順序保存暗号化システム、装置、方法およびプログラム Download PDF

Info

Publication number
JP6477461B2
JP6477461B2 JP2015502734A JP2015502734A JP6477461B2 JP 6477461 B2 JP6477461 B2 JP 6477461B2 JP 2015502734 A JP2015502734 A JP 2015502734A JP 2015502734 A JP2015502734 A JP 2015502734A JP 6477461 B2 JP6477461 B2 JP 6477461B2
Authority
JP
Japan
Prior art keywords
value
plaintext
ciphertext
encryption
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015502734A
Other languages
English (en)
Other versions
JPWO2014132552A1 (ja
Inventor
勇 寺西
勇 寺西
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2014132552A1 publication Critical patent/JPWO2014132552A1/ja
Application granted granted Critical
Publication of JP6477461B2 publication Critical patent/JP6477461B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • H04L9/0656Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
    • H04L9/0662Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher with particular pseudorandom sequence generator
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Description

本発明は、順序保存暗号化システム、暗号化装置、データベースシステム、順序保存暗号化方法および順序保存暗号化プログラムに関する。
暗号方式は、通信におけるデータの秘匿性を保障するために用いられる。しかし、データを完全に秘匿することが常に応用上有用になるとは限らず、データを秘匿しすぎたことが原因で有用性を損ねる場合がある。
データを秘匿しすぎたために有用性が損なわれる例として、例えば、2つの数値データの大小を比較したい場合が挙げられる。
データを秘匿しつつ有用性を高める技術に関連して、例えば、非特許文献1に記載された方式がある。また、例えば特許文献1に記載された方式がある。これらはいずれも順序保存暗号と呼ばれる暗号方式を利用したものである。
国際公開第2012/157279号パンフレット
Alexandra Boldyreva, Nathan Chenette, Younho Lee and Adam O'Neill、"Order-Preserving Symmetric Encryption."、EUROCRYPT 2009、pp.224-241.
2つのデータm、m'を直接読み込むことができれば、mとm'の大小を比較できる。しかし、mとm'がAES(Advanced Encryption Standard)やDES(Data Encryption Standard)などの暗号方式により暗号化された状態で保管されていると、これらの暗号文を読み込んでもmとm'の大小を比較することができない。
特にセキュア・データベースでは、上記の事例が大きな問題となる。セキュア・データベースでは、安全性の観点から平文をそのままデータベースに保管するのは望ましくないため平文を暗号化して保管する必要があるが、データベースであれば当然にデータを大小比較する必要が生じるからである。また、暗号文の鍵自身を同じデータベースに保存してしまうと暗号化した意味がなくなってしまうため、大抵の場合鍵は別の場所に保存される。このように、セキュア・データベースでは鍵のない状態で暗号化されたデータを扱う必要がある。なお、鍵が手に入る状態であったとしても、データベースには数多くのデータが保管されているため、これら多くのデータを全て復号して大小比較するのは効率の面から現実的ではない。
また、近年のクラウドコンピューティング技術の発展により、ユーザが自身のデータをクラウド上のデータベースに預けることがこれまで以上に増えるものと予想される。したがって、データベースにあるデータを暗号化されたまま大小比較する技術は今後非常に重要になる可能性が高い。
順序保存暗号は、暗号化したまま平文の大小を比較することを可能にする技術であり、平文m、m'がm<m'を満たせばそれらの暗号文Enc_m、Enc_m'もEnc_m<Enc_m'を満たす暗号方式である。
よって、データを順序保存暗号方式により暗号化すれば、Enc_m<Enc_m'であるか否かを判定することで、暗号文Enc_m、Enc_m'を復号することなく、平文mとm'のどちらが大きいかがわかる。
非特許文献1に記載されている方式は、非特許文献1の著者達も認めているように、 安全性に対する考察が不完全にしかなされておらず、このことがこの方式を実用する際に障害となる。
なお、特許文献1に記載されている方式ではこの問題は解決されている。しかし、特許文献1に記載されている方式は、アルゴリズムが複雑なために実装に不向きであった。
そこで、本発明は、安全性の保証を維持したまま、より簡易なアルゴリズムで順序保存暗号化をする順序保存暗号化システム、暗号化装置、データベースシステム、順序保存暗号化方法および順序保存暗号化プログラムを提供することを目的とする。
本発明による順序保存暗号化システムは、平文を入力として受け取ると、平文から定まる値と、秘密鍵に含まれる平文空間から一様分布を用いて生成される集合または所定の疑似ランダム関数への鍵とに基づいて生成される確率分布であって条件確率が二項分布を用いて表される所定の確率分布に従って、順序保存された暗号文を生成する暗号化手段を備えたことを特徴とする。
また、本発明による暗号化装置は、平文を入力として受け取ると、平文から定まる値と、秘密鍵に含まれる平文空間から一様分布を用いて生成される集合または疑似ランダム関数への鍵とに基づいて生成される確率分布であって条件確率が二項分布を用いて表される所定の確率分布に従って、順序保存された暗号文を生成する暗号化手段を備えたことを特徴とする。
また、本発明によるデータベースシステムは、平文を入力として受け取ると、平文から定まる値と、秘密鍵に含まれる平文空間から一様分布を用いて生成される集合または疑似ランダム関数への鍵とに基づいて生成される確率分布であって条件確率が二項分布を用いて表される所定の確率分布に従って、順序保存された暗号文OPEPartを生成する暗号化手段と、暗号化手段によって生成された暗号文OPEPartをデータとして記憶するデータ記憶手段と、データ記憶手段に記憶されているデータの内容について、任意の平文Mとの大小を判定する大小比較手段とを備え、大小比較手段は、暗号化手段によって順序保存暗号化された平文Mの暗号文OPEPart_Mと判定対象とされたデータとの大小を比較することにより、データの内容と任意の平文Mとの大小を判定することを特徴とする。
また、本発明による順序保存暗号化方法は、秘密鍵として、平文空間から一様分布を用いて生成される集合を含むデータまたは所定の疑似ランダム関数への鍵を生成し、平文を入力として受け取ると、平文から定まる値と、秘密鍵に含まれる平文空間から一様分布を用いて生成される集合または所定の疑似ランダム関数への鍵とに基づいて生成される確率分布であって条件確率が二項分布を用いて表される所定の確率分布に従って、順序保存された暗号文を生成することを特徴とする。
また、本発明による順序保存暗号化プログラムは、コンピュータに、平文を入力として受け取ると、平文から定まる値と、秘密鍵に含まれる平文空間から一様分布を用いて生成される集合または疑似ランダム関数への鍵とに基づいて生成される確率分布であって条件確率が二項分布を用いて表される所定の確率分布に従って、順序保存された暗号文を生成する処理を実行させることを特徴とする。
本発明によれば、安全性の保証を維持したまま、より簡易なアルゴリズムで順序保存暗号化をすることができる。したがって、安全に、暗号化したままの状態で平文の大小比較を効率的に行うことができる。また、そのようなシステム、装置およびプログラムを容易に実装できる。
第1の実施形態の順序保存暗号化システムが備える装置の例を示すブロック図である。 第1の実施形態の順序保存暗号化システムの構成例を示すブロック図である。 第1の実施形態のパラメータ生成処理の一例を示すフローチャートである。 第1の実施形態の鍵生成処理の一例を示すフローチャートである。 第1の実施形態の暗号化処理の一例を示すフローチャートである。 第2の実施形態のパラメータ生成処理の一例を示すフローチャートである。 第2の実施形態の鍵生成処理の一例を示すフローチャートである。 第2の実施形態の暗号化処理の一例を示すフローチャートである。 第3の実施形態の順序保存暗号化システムの構成例を示すブロックである。 第3の実施形態の順序保存暗号化システムの他の構成例を示すブロック図である。 第3の実施形態の鍵生成処理の一例を示すフローチャートである。 第3の実施形態の暗号化処理の一例を示すフローチャートである。 第3の実施形態の復号処理の一例を示すフローチャートである。 順序保存暗号化システムのデータベースシステムへの適用例を示すブロック図である。 順序保存暗号化システムのデータベースシステムへの適用例を示すブロック図である。 本発明による順序保存暗号化システムの最小の構成例を示すブロック図である。 本発明によるデータベースシステムの最小の構成例を示すブロック図である。
まず後述する第1〜第4の実施形態に共通するアイデアを説明する。以下では、本発明による順序保存暗号方式との違いを説明するために、まず特許文献1に記載されている順序保存暗号方式について簡単に説明した後で、本発明による順序保存暗号方式について説明する。以下、特許文献1に記載されている順序保存暗号方式を単に特許文献1の方式という。
(特許文献1の方式のアイデア)
{1,...,N}を平文空間とする。また、Xをほとんどの場合に正の値を出力する確率分布とし、ζを定数とする。各i∈{-ζ,...,N}に対し、平文m∈{1,...,N}の暗号文は、Enc(K,m)=Σi=-ζ,...,mα[i]という形で書ける。ここでα[i]は確率分布Xに従う乱数であり、秘密鍵Kを知っている人のみがα[i]を計算できる。暗号文Cを復号するには、C=Σi=-ζ,...,mα[i]を満たすmを平文として出力する。なお、Enc(K,m)は-ζからmまでの和である。当該方式では、Enc(K,m)=Σi=-ζ,...,mα[i]の右辺はmが大きければ大きいほど加えられるα[i]の数が増える。そのため、mが大きければ大きいほどEnc(K,m)は大きくなる。したがってm<m'ならEnc(K,m)<Enc(K,m')が成立する。
当該方式では、原理的には任意のXに対して実行する事ができるが、安全性上の観点からいえば、低い確率でビット数が大きくなる分布である事が望ましい。そのような性質を満たすXとして、例えば以下のように定義される分布を用いる事ができる。p[1],...,p[U]を、p[1]+…+p[U]=1となる非負整数とし、さらにn[1],...,n[U]を非負整数とする。D[p[1],...,p[U]]を整数jを出力する確率分布で、確率p[i]でj=iとなるものとする。B[1]を長さn[1]以下のビット長を持つ非負整数を出力する確率分布とし、B[U]を長さn[U]以下のビット長を持つ非負整数を出力する確率分布とする。Xは「D[p[1],...,p[U]]に従って整数jが選び、次にB[j]に従ってαを選ぶ」という方法でαを選んだときαが従う分布である。以上のようにXを定義すると、Xは確率p[1]で長さn[1]以下のビット長を持つ非負整数を出力し、確率p[2]でn[1]よりも大きいビット長n[2]を持つ非負整数を出力し、確率p[3]でn[2]よりも大きいビット長n[3]を持つ非負整数を出力し...となる。よってp[1],...,p[U],n[1],...,n[U]を適切に選べば、Xは上述した性質を満たす。
第1の実施形態では、秘密鍵KをK=(α[-ζ],...,α[N])により定義し、暗号化の際にはα[1],...,α[m]の和を計算する事によって暗号文Enc(K,m)=Σi=-ζ,...,mα[i]を得る方法が示されている。与えられた暗号文Cを復号するには、各mに対してΣi=-ζ,...,mα[i]を計算し、C=Σi=-ζ,...,mα[i]となるmを見つけ出す。
第2の実施形態では、第1の実施形態のそれと同じくmの暗号文Enc(K,m)はEnc(K,m)=Σi=-ζ,...,mα[i]であるが、分布B[j]を二項分布B(τ[j],q)としている。ここで、τ[1],...,τ[U]およびqをパラメータとする。また、二項分布B(k,p')とは表が出る確率がp'であるコインをk枚ふった時に表が出る枚数が従う分布である。
(本発明の順序保存暗号方式のアイデア)
次に、本発明の順序保存暗号方式のアイデアを説明する。本発明では、特許文献1に記載されている第1の実施形態でU個の実数p[1],...,p[n]とU個の確率分布B[1],...,B[n]を用いていたところを、U=1の場合のみを用いて方式を実現させる。以下その場合について説明する。以下では、添字を省略し、p[1],B[1]のことをそれぞれ単にp,Bと書く。
本発明の第1の実施形態では、Pを確率pで0、確率1-pで1になる確率分布とする。第1の実施形態の鍵生成ではPに従って変数j[1],...,j[n]を選ぶ。そして、j[i]=0となるiに対してBに従ってα[i]を選び、j[i]=1となるiに対してはα[i]=1とする。また、第1の実施形態の暗号化では、平文をMとするときM以下のα[i]の和Cを計算する。
定義よりCは
・C= (Σj[i]=0となるi≦Mα[i]) + (Σj[i]=1となるi≦Mα[i])
と書き表せる。上式右辺第1項,上式右辺第2項をそれぞれC',C''とする。
なおj[i]=1の場合α[i]=1なので、C''は
・C''= (j[i]=1となるi≦Mの個数)
が成立する。
また、特許文献1に記載されている第2の実施形態では、C',C''を効率的に計算することで暗号化の計算効率を上げている。このために第2の実施形態ではBを二項分布にセットする。するとC'は二項分布に従う値α[i]の和であるので、C'自身二項分布に従う。ここでPはベルヌーイ分布なので、特に二項分布でもある。よって上述の式からC''も二項分布に従うことになる。
すなわち、特許文献1に記載されている第2の実施形態では、これら二項分布を二分法に基づいて効率的に計算している。この際、二項分布の条件付き確率を使用する。より正確に言うと、特許文献1に記載されている第2の実施形態におけるC'',C'の計算には、それぞれ以下の条件付きの確率分布を使用する。ここでa,bは何らかの値である。
・「集合{a,..,a+2b}の元でj[i]=1となるものがn個である」という条件下における「{a,..,a+b}の元でj[i]=1となるものの個数」の確率分布
・「集合{a,..,a+2b}の元でj[i]=0となるようなα[i]の和がmである」という条件下における「{a,..,a+b}の元でj[i]=0となるようなα[i]の和」の確率分布
この確率分布は超幾何分布であることが知られているので、特許文献1に記載されている第2の実施形態では、超幾何分布が必要であった。
なお、本発明でも特許文献1の場合と同様、基本的な方式をまず作り、それを改良してより効率のよい方式を作った。これらの方式の詳細はそれぞれ第1の実施の形態、第2の実施の形態で述べるが、以下では特許文献1の方式と本発明による順序保存方式の違いについて簡単に述べる。
特許文献1の方式ではC',C''の双方の計算において超幾何分布を使っているが、本発明では方式を改良することでいずれの計算においても超幾何分布を使わなくてすむようにした。
まず、C''の計算で超幾何分布を使わなくてすむようにするために用いたアイデアを述べる。以下、平文空間を{0,...,MesSpSize}とし、j[i]=0となるiの集合をSとする。特許文献1の方式ではj[i]は確率pで0になるので、Sの元の数の期待値はMesSpSize/pである。
すなわち、特許文献1の方式は確率pで1になるような確率分布Pを用いることで、
・(1)Sの元が{0,...,MesSpSize}上ランダムに分布し、
・(2)しかもSの元の数がおよそMesSpSize/pになる
ようにしている。特許文献1の方式の安全性はこれらの性質により保証されている。
これに対して、本発明の第1の実施形態では、Sの元を平文空間{0,...,MesSpSize}から一様ランダムに選ぶようにする。
すなわち、
・Nを(4×MesSpSize/pの小数点以下を切り捨てた値)とし、
・乱数u[1],...u[N]を{0,...,MesSpSize}から一様ランダムに選び、
・S={u[1],...u[N]}とする。
すると明らかに、
・(1)’Sの元が{0,...,MesSpSize}上ランダムに分布し、
・(2)’しかもSの元の数がおよそ4×MesSpSize/pになる
が成り立ち、上述の(1),(2)とほぼ同じ性質を備えていると言える。よって、この方式も特許文献1の方式と同様安全性が保証される。なお、Nを定義する際MesSpSize/pでなく4×MesSpSize/pを用いたのは、小数点以下の切り捨てに際してパラメータサイズが小さくなりすぎない様にしたためである。
このようにSの生成の際に二項分布でなく一様分布を用いると、条件付き確率は超幾何分布ではなくなる。実際に上記方法でSを生成すると、上述の条件付き確率分布は、二項分布
・Binom(n,1/2)
になるため、超幾何分布は必要ない。ここでBinom(n,p)は、表が出る確率がpである独立なコインをn枚降った時に表が出る枚数のなす確率分布である。なお二項分布は巨大パラメータに対しても効率的に元を生成するアルゴリズムが知られているので、本発明の順序保存暗号方式においても、効率的に、巨大な分布のパラメータ(例えば、2のセキュリティパラメータ乗など)に対して元を生成できる。
上記アイデアを纏めると、本発明の順序保存暗号方式では、上述の(1)、(2)の性質を満たすことが特許文献1の方式の安全性を保証する上で本質的なものであることを見いだし、集合Sを新たにかつ明確に定義している。また、超幾何分布の問題を回避するための集合Sの適切な生成方法を提示している。なお、これには一様分布を使った場合に必要とされる条件付き確率が二項分布になることを示したことも含まれる。さらに、超幾何分布の問題を回避しつつ、実用可能な分布を選んでいる。すなわち、超幾何分布の問題に関してのみ言えば、条件付き確率に二項分布以外のものを用いることもできるが、巨大パラメータに対して効率よく元を生成するために、条件付き確率を二項分布としている。また、集合Sの生成に関して、平文空間全体からランダムに元を選ぶというアプローチをとっている。このアプローチは、i=1,2,...に対しj[i]を逐次的に選ぶことでSを作るといった特許文献1の逐次的なアプローチとは大きく異なるものである。また、アルゴリズム的にも違ったものとなっている。
次にC'の生成で超幾何分布を使わなくてよいようにする方法を述べる。C'はその定義より、
・C' = Σj[i]=0となるi≦Mα[i]
である。
特許文献1の方式ではα[i]は二項分布に従っており、したがってその和であるC'も二項分布に従う。よって条件付き確率が超幾何分布になっていた。
本発明では、C'の選び方を根底から変える。まずMaxValという値を固定する。そして本発明の第1の実施形態ではC'を以下のように選ぶ。
・集合Sを上述のように選ぶ。
・Sに値を取る一様乱数c[1], ..., c[MaxVal]を選ぶ。
・S={u[1],...u[N]},S''={MB以下Sの元}とし,集合{c[i] = sとなるi | s∈S''}の元の数をC'とする。
このようにC'を取ると,C'は一様分布をベースに作っていることから、C''の場合と同様の理由により、条件付き確率が二項分布になる。従って、C''の場合と同様、二項分布をベースにした二分法でC'を求めることができる。本発明の第2の実施形態では、そのような二分法に基づくことで効率的にC'を求める。
以上のような変更を特許文献1の方式に対して施すことで本発明の第1の実施形態、第2の実施の形態を実現した。しかしこのような変更を施した結果として、第1の実施形態、第2の実施形態の「暗号文」は復号できない。しかし、本方式は暗号を復号せずとも順序を比較できるという性質を有しているため、この性質のみが必要なアプリケーションでは復号操作は必ずしも必要ない。従って、第1の実施形態、第2の実施形態も有用である。
なお、第3の実施形態、第4の実施形態ではそれぞれ第1の実施形態、第2の実施形態を改良して、復号が可能な方式としている。
以下、各実施形態について図面を参照してより具体的に説明する。
第1の実施形態.
本発明による第1の実施形態に係る順序保存暗号化システムの構成例を図1,図2を参照して説明する。図1は、本実施形態の順序保存暗号化システムが備える装置の例を示すブロック図である。図1に示すように、本実施形態の順序保存暗号化システムは、暗号化装置10を備えている。暗号化装置10は、演算部11、記憶部12および入出力部13を含む。暗号化装置10は、例えばプログラムに従って動作するパーソナルコンピュータ等の情報処理装置によって実現される。また、この場合、演算部11、記憶部12および入出力部13は、それぞれCPU、メモリおよび各種入出力装置(例えば、キーボート、マウス、ネットワークインタフェース部等)によって実現される。
また、図2は、本実施形態の順序保存暗号化システムの機能面における構成例を示すブロック図である。図2に示すように、暗号化装置10(より具体的には、暗号化装置10の演算部11)は、パラメータ生成手段101と、鍵生成手段102と、暗号化手段103を含む。これら各手段は、例えばプログラムに従って動作するCPUによって実現される。なお、本例では、1つの装置がパラメータ生成手段101、鍵生成手段102および暗号化手段103を含む例を示したが、これらは複数の装置に分けて実装されていてもよい。
なお、本実施形態では復号手段がない。以下、本実施形態の暗号化アルゴリズムによって生成される暗号文を、復号可能な暗号文と区別するために「OPEパート(OPEPart)」と呼ぶ。また、以降、暗号化アルゴリズムについて記載するが、アルゴリズムに含まれる各動作は、具体的には、順序保存暗号化システムを実現する1つ又は複数の情報処理装置のCPUが該アルゴリズムに従って処理を実行することにより実現される。
パラメータ生成手段101は、暗号化に必要なパラメータOPEParamを計算する。鍵生成手段102は、パラメータOPEParamを入力されると秘密鍵OPEKeyを計算する。暗号化手段103は、秘密鍵OPEKeyと平文Messageを入力されるとOPEPartを計算する。
次に、本実施形態における暗号化の手順を説明する。
まず、パラメータ生成手段101は、本実施形態の暗号化に必要なパラメータOPEParamを計算する。次いで、鍵生成手段102は、パラメータ生成手段101によって算出されたパラメータOPEParamを用いて、秘密鍵OPEKeyを計算する。次いで、暗号化手段103は、鍵生成手段102によって算出された秘密鍵OPEKeyを用いて、入出力部13を介して入力される平文Messageに対して暗号化処理を行い、その出力としてOPEPartを生成する。
なお、パラメータOPEParamおよび秘密鍵OPEkeyは、予め計算され、記憶部12に記憶されていてもよい。
次に、各手段の処理の詳細について説明する。なお、以下では、MesSpSizeを自然数とし、平文空間が{0,...,MesSpSize}であるとする。また、SecParをセキュリティパラメータとする。また、k,θを安全性の尺度を表す整数とする。また、αを安全性の尺度を表す実数とする。
まず、パラメータ生成手段101が実行するパラメータ生成処理について説明する。図3は、本実施形態のパラメータ生成処理の一例を示すフローチャートである。
本実施形態においてパラメータ生成手段101は、例えば、以下の処理を実行する。
・パラメータ生成手段101は、SecPar,MesSpSize,k,θ,αを入力として受け取る(ステップS111)。
・パラメータ生成手段101は、B = kθ+1を計算する(ステップS112)。
・パラメータ生成手段101は、Max = 4 × MesSpSizeを計算する(ステップS113)。
・パラメータ生成手段101は、p=θ × kαを計算する(ステップS114)。
・パラメータ生成手段101は、MaxNum = (Max/pの小数点以下を切り捨てたもの)を計算する(ステップS114)。
・パラメータ生成手段101は、MaxVal= 2SecPar × MaxNumを計算する(ステップS115)。
・パラメータ生成手段101は、OPEParam=(SecPar, MesSpSize, B, MaxVal, p)を出力する(ステップS116)。
次に、鍵生成手段102が実行する鍵生成処理について説明する。図4は、本実施形態の鍵生成処理の一例を示すフローチャートである。
本実施形態において鍵生成手段102は、例えば、以下の処理を実行する。
・鍵生成手段102は、OPEParam=(SecPar, MesSpSize, B, MaxVal, p)を入力として受け取る(ステップS121)。
・鍵生成手段102は、Nを(4×MesSpSize/pの小数点以下を切り捨てた値)とする(ステップS122)。
・鍵生成手段102は、乱数u[1],...u[N]を{0,...,MesSpSize}から一様ランダムに選び、S={u[1],...u[N]}とする(ステップS123)。
・鍵生成手段102は、Sに値を取る一様乱数c[1], ..., c[MaxVal]を選ぶ(ステップS124)。
・鍵生成手段102は、OPEKey = (u[1],...u[N],c[1], ..., c[MaxVal])を出力する(ステップS125)。
次に、暗号化手段103が実行する暗号化処理について説明する。図5は、本実施形態の暗号化処理の一例を示すフローチャートである。
本実施形態において暗号化手段103は、例えば、以下の処理を実行する。
・暗号化手段103は、OPEParam=(SecPar, MesSpSize, B, MaxVal, p)、OPEKey = (u[1],...u[N],c[1], ..., c[MaxVal])および平文Messageを入力として受け取る(ステップS131)。
・暗号化手段103は、MB= Message + Bを計算する(ステップS132)。
・暗号化手段103は、S={u[1],...u[N]},S''={MB以下Sの元}とし、集合{c[i] = sとなるi | s∈S''}の元の数をC''とする(ステップS133)。
・暗号化手段103は、C' = 4 × MesSpSize - Nを計算する(ステップS134)。
・暗号化手段103は、OPEPart = C' + C''を出力する(ステップS135)。
以上に説明したように、本実施形態では、より安易な実装で、安全性を保証しつつ暗号化された状態で平文の大小比較を行える暗号化方式を実現できる。
実施形態2.
次に、本発明の第2の実施形態について図面を参照して説明する。本実施形態の装置構成および機能構成は第1の実施形態と同様である。ただし、本実施形態では、暗号化手段103による暗号化処理において、以下のPseudoBinomというサブルーチンを用いる。
PseudoBinom()は、次の処理を行うサブルーチンである。
・入力として自然数n,ビット列u,v、および擬似ランダム関数の鍵PRFKeyを受け取る。
・擬似ランダム関数に鍵PRFKeyと入力u||vをいれて出力Qを得る。
ここでu||vはビット列u, vの連結である。
・二項分布Binom(n,1/2)に従った乱数を生成するアルゴリズムを実行し、その出力Rを得る。
この際アルゴリズムの乱数源としてRを使用する。
次に、各手段の処理の詳細について説明する。まず、本実施形態のパラメータ生成手段101が実行するパラメータ生成処理について説明する。図6は、本実施形態のパラメータ生成処理の一例を示すフローチャートである。なお、本実施形態においても、MesSpSizeを自然数とし、平文空間が{0,...,MesSpSize}であるとする。また、SecParをセキュリティパラメータとする。また、k,θを安全性の尺度を表す整数とする。また、αを安全性の尺度を表す実数とする。
本実施形態においてパラメータ生成手段101は、例えば、以下の処理を実行する。
・パラメータ生成手段101は、SecPar,MesSpSize,k,θ,αを入力として受け取る(ステップS211)。
・パラメータ生成手段101は、第1の実施形態と同様の方法でB、Max、MaxNum、MaxValを計算する(ステップS212〜S215)。
・パラメータ生成手段101は、OPEParam=(SecPar, B, Max, MaxNum, MaxVal)を出力をする(ステップS216)。
なお、ステップS211〜S215までは、第1の実施形態のステップS111〜S115と同様でよい。
次に、本実施形態の鍵生成手段102が実行する鍵生成処理について説明する。図7は、本実施形態の鍵生成処理の一例を示すフローチャートである。
本実施形態において鍵生成手段102は、例えば、以下の処理を実行する。
・鍵生成手段102は、OPEParam=(SecPar, B, Max, MaxNum, MaxVal)を入力として受け取る(ステップS221)。
・鍵生成手段102は、SecParビットのビット列PRFKeyをランダムに選ぶ(ステップS222)。
・鍵生成手段102は、OPEKey=PRFKeyを出力する(ステップS223)。
次に、本実施形態の暗号化手段103が実行する暗号化処理について説明する。図8は、本実施形態の暗号化処理の一例を示すフローチャートである。
本実施形態において暗号化手段103は、例えば、以下の処理を実行する。
・暗号化手段103は、OPEParam=(SecPar, B, Max, MaxNum, MaxVal),OPEKey=PRFKeyおよび平文Messageを入力として受け取る(ステップS231)。
・暗号化手段103は、MB= Message + Bを計算する(ステップS232)。
・暗号化手段103は、Whileループの初期値として、(High,Low,HighNum,LowNum)=(Max,0,MaxNum,0)を計算する(ステップS2331)。
・暗号化手段103は、High > MBである間、以下の(1)〜(3)を行う(第1のWhileループ:ステップS2332〜S2334)。
(1)Mid = ((Low+ High)/2の小数点以下を切り捨てたもの)とする(ステップS2333)
(2)MidNum = LowNum + PseudoBinom(HighNum-LowNum,High,Low,PRFKey)を計算する(ステップS2333)。
(3)Mid ≧ MBなら(High,HighNum)=(Mid,MidNum)とし、そうでなければ(Low,LowNum)=(Mid,MidNum)とする(ステップS2333)。
・暗号化手段103は、MBNum = MidNumとする(ステップS2335)。
・暗号化手段103は、第2のWhileループの初期値として、(HighNum,LowNum,HighVal,LowVal)=(MaxNum,0,MaxVal,0)を計算する(ステップS2341)。
・暗号化手段103は、HighNum>MBNumである間、以下の(1)〜(3)を行う(第2のWhileループ:ステップS2342〜S2344)。
(1)MidNum= ((LowNum+HighNum)/2の小数点以下を切り捨てたもの)を計算する(ステップS2343)。
(2)MidVal=LowVal+PseudoBinom(HighVal-LowVal,High,Low,PRFKey)を計算する(ステップS2343)。
(3)MidNum ≧ MBNumなら(HighNum,HighVal)=(MidNum,MidVal)とし、そうでなければ (LowNum,LowVal)=(MidNum,MidVal)とする(ステップS2343)。
・暗号化手段103は、MBVal = MidValとする(ステップS2345)。
・暗号化手段103は、OPEPart=MB+MBValを出力する(ステップS235)。
以上に述べた暗号化処理では、
・二分法に基づいてMBNumを計算し(ステップS2331〜S2335)、
・得たNBNumを使ってさらに二分法に基づいてMBValを計算する(ステップS2341〜S2345)
という構造をしている。
上述したように、第2の実施形態における暗号化手段103による暗号化処理は、第1の実施形態における暗号化手段103による暗号化処理を二分法によって改良することで高速化したものである。上記2つの二分法は第1の実施形態の手順(図5のステップS133)におけるS''の計算と、{c[i] = sとなるi | s∈S''}の元の数C''の計算に対応している。二回目の二分法(ステップS2341〜S2345)は一回目の二分法(ステップS2331〜S2335)の出力であるNBNumを得ることではじめて動作できるので、本方式では、2つの二分法を同時に行うことはできない。この点、二分法を一回しか行わない特許文献1の方式とは異なる。
第3の実施形態.
次に、本発明の第3の実施形態について図面を参照して説明する。図9は、第3の実施形態に係る順序保存暗号化システムの構成例を示すブロックである。図9に示す順序保存暗号化システムは、暗号化装置10と、復号装置20と、鍵生成装置30とを備えている。なお、各装置の物理的な構成は、図1に示した暗号化装置10の構成と同様である。
また、図9に示す例では、暗号化装置10が暗号化手段203を含み、復号装置20が復号手段204を含み、鍵生成装置30がパラメータ生成手段201および鍵生成手段202を含む。なお、1つの装置がこれら各手段を全て含むように構成してもよいし、また1つの装置が暗号化手段203と復号手段204の両方を含むように構成してもよい。また、図9に示す例では、鍵生成装置30を、暗号化装置10や復号装置20とは別に用意し、この装置がパラメータ生成手段201および鍵生成手段202を含む例を示しているが、この例に限らず、パラメータ生成手段201および/または鍵生成手段202を、暗号化装置10、復号装置20、またはそれらとは異なる第3の装置のいずれかが含むようにしてもよい。
また、図10は、本実施形態の順序保存暗号化システムの他の構成例を示すブロック図である。例えば図10に示すように、暗号化装置10が、パラメータ生成手段201、鍵生成手段202、暗号化手段203および復号手段204を含んでいてもよい。
なお、本実施形態では第1および第2の実施形態とは異なり、復号手段204がある。以下、本実施形態の暗号化アルゴリズムによって生成される暗号文を、第1および第2の実施形態の暗号文と区別するために「暗号文Cipher」と呼ぶ。また、以降、暗号化アルゴリズムおよび復号アルゴリズムについて記載するが、これらアルゴリズムに含まれる各動作は、具体的には、順序保存暗号化システムを実現する1つ又は複数の情報処理装置のCPUがこれらのアルゴリズムに従って処理を実行することにより実現される。
本実施形態において、パラメータ生成手段201は、暗号化および復号に必要なパラメータParamを計算する。鍵生成手段202は、パラメータParamを入力されると秘密鍵Keyを計算する。暗号化手段203は、秘密鍵Keyと平文Messageを入力されると暗号文Cipherを計算する。
復号手段204は、秘密鍵Keyと暗号文Cipherを入力されると、その平文Messageを出力するか、もしくは暗号文Cipherが不正であることを意味する文字列を出力する。
次に、本実施形態における暗号化の手順を説明する。
まず、パラメータ生成手段201は、本実施形態の暗号化および復号に必要なパラメータParamを計算する。次いで、鍵生成手段202は、パラメータ生成手段201によって算出されたパラメータParamを用いて、秘密鍵Keyを計算する。次いで、暗号化手段203は、鍵生成手段202によって算出された秘密鍵Keyを用いて、暗号化装置10の入出力部13を介して入力される平文Messageに対して暗号化処理を行い、その出力として暗号文Cipherを生成する。
なお、パラメータParamおよび秘密鍵Keyは、予め計算され、暗号化装置の記憶部12に記憶されていてもよい。
次に、本実施形態における復号の手順を説明する。
復号装置20は、例えば、入出力部13を介して暗号文Cipherを入力する。暗号文Cipherが入力されると、復号手段204は、鍵生成手段202によって算出された秘密鍵Keyを用いて、暗号文Cipherに対して復号処理を実行し、その出力として平文Messageを生成するか、もしくは暗号文Cipherが不正であることを意味する文字列を生成する。
なお、秘密鍵Keyは、予め復号装置の記憶部12に記憶されていてもよい。
次に、各手段の処理の詳細について説明する。なお、以下では、MesSpSizeを自然数とし、平文空間が{0,...,MesSpSize}であるとする。また、SecParをセキュリティパラメータとする。また、k,θを安全性の尺度を表す整数とする。また、αを安全性の尺度を表す実数とする。
また、以下、SymEnc(SymKey,M)は、SymKeyを秘密鍵として用いて文書Mを 共通鍵暗号方式で暗号化することを表す。また、SymDec(SymKey,C)はSymKeyを秘密鍵として用いて暗号文Cを共通鍵暗号方式で復号することを表す。
また、MAC(MACKey, M)は、鍵MACKeyを用いて文書Mのメッセージ認証子を計算する操作を示し、Ver(MACKey, M,MAC)は鍵MACKeyを用いてMACが文書Mのメッセージ認証子であるかどうかを確認する操作を示す。ここで、メッセージ認証子とは、メッセージ認証符号(Message Authentication Code)とも呼ばれるものであり、共通鍵であるMACKeyを持つ検証者が文書Mの内容の変化を検出でき、文書Mの完全性とその認証を保護できるものであればよく、その具体的な生成方法は特に問わない。メッセージ認証子の生成方法および正当性の確認方法は既存の方法を利用できる。なお、以下に示す例では、入力されたMACが文書Mのメッセージ認証子であればacceptを返し、そうでなければaccept以外の値を返すものとする。
まず、パラメータ生成手段201が実行するパラメータ生成処理について説明する。パラメータ生成手段201が実行する処理は、第1の実施形態のパラメータ生成手段101と同様である。ただし、図3のステップS116で、Param=(SecPar, MesSpSize, B, MaxVal)を出力する。
次に、鍵生成手段202が実行する鍵生成処理について説明する。図11は、本実施形態の鍵生成処理の一例を示すフローチャートである。
本実施形態において鍵生成手段202は、例えば、以下の処理を実行する。
・鍵生成手段202は、Param=(SecPar, MesSpSize, B, MaxVal)を入力として受け取る(ステップS321)。
・鍵生成手段202は、ParamをOPEParamとして、第1の実施形態の鍵生成手段102と同様の方法でOPEkeyを生成する(ステップS322)。
ここでは、図4のステップS122〜S125を実行し、OPEKey=(u[1],...,u[N], c[1],...c[MaxVal])を得る。
・鍵生成手段202は、SecParビットのビット列MACKey, SymKeyをランダムに選ぶ(ステップS323)。
・鍵生成手段202は、Key=(OPEKey, MACKey, SymKey)を出力する(ステップS324)。
次に、暗号化手段203が実行する暗号化処理について説明する。図12は、本実施形態の暗号化処理の一例を示すフローチャートである。
本実施形態において暗号化手段203は、例えば、以下の処理を実行する。
・暗号化手段203は、Param,Key=(OPEKey, MACKey, SymKey),および平文Messageを入力として受け取る(ステップS331)。
・暗号化手段203は、ParamをOPEParamとして、第1の実施形態の暗号化手段103と同様の方法でOPEPartを生成する(ステップS332)。
ここでは、図5のステップS132〜S135を実行し、OPEPart=C'+C''を得る。
・暗号化手段203は、SymPart = SymEnc(SymKey, Message)を計算する(ステップS333)。
・暗号化手段203は、MACPart = MAC(MACKey, OPEPart||SymPart)を計算する(ステップS334)。
ここで、OPEPart||SymPartは、OPEPartとSymPartを連結したものを表す。
・暗号化手段203は、暗号文Cipher = (OPEPart, SymPart, MACPart)を出力する(ステップS335)。
次に、復号手段204が実行する復号処理について説明する。図13は、本実施形態の復号処理の一例を示すフローチャートである。
本実施形態において復号手段204は、例えば、以下の処理を実行する。
・復号手段204は、Param,Key=(OPEKey, MACKey, SymKey),Cipher = (OPEPart, SymPart, MACPart)を入力として受け取る(ステップS341)。
・復号手段204は、Ver(MACKey,OPEPart||SymPart,MACPart)を計算する(ステップS342)。
・復号手段204は、Ver(MACKey,OPEPart||SymPart,MACPart)≠acceptなら入力された暗号文Cipherは不正なものであることを示す出力を返して終了する(ステップS343のNo、S346)。
・復号手段204は、Ver(MACKey,OPEPart||SymPart,MACPart)=acceptならMessage=SymDec(SymKey,SymPart)を計算する(ステップS343のYes、S344)。
・復号手段204は、復号結果としてMessageを出力する(ステップS345)。
本実施形態では、OPEKeyを生成する際に、併せて共通鍵暗号の鍵SymKeyとメッセージ認証子の鍵MACKeyとを生成し、暗号化処理において、平文messageに対してOPEPartを生成するとともに、その平文messageを共通鍵SymKeyで暗号化した暗号文SymPartを生成し、さらにその暗号文SymPartとOPEPartを連結したものに対してMACKeyを用いてメッセージ認証子MACPartを付加したものを暗号文Cipherとしている。そして、復号処理では、まず入力された暗号文Cipherから暗号文SymPartと暗号文OPEPartとメッセージ認証子MACPartを復元し、得られた暗号文SymPartと暗号文OPEPartとの連結メッセージに対してメッセージ認証子MACPartの正当性を確認し、正当性が確認された場合に、共通鍵SymKeyを利用して暗号文SymPartを復号することで平文を得ている。
以上のように、本実施形態では、順序保存暗号方式と共通鍵暗号方式とを組み合わせることで復号を可能としている。すなわち、より安易な実装で、安全性を保証しつつ復号可能に暗号化された状態で平文の大小比較を行える暗号化方式を実現している。
第4の実施形態.
第4の実施形態は、第3の実施形態中にある「第1の実施形態」の構成を「第2の実施形態」の構成にかえたものである。すなわち、第3の実施形態で示した構成およびその動作において第1の実施形態と同様であるとした構成および動作部分を、第2の実施形態と同様としたものである。これにより、本実施形態では、第3の実施形態と比較して、より効率的な方法で暗号化処理および復号処理を行うことができる。
次に、本発明による順序保存暗号化システムをセキュア・データベースシステムに適用した例について示す。図14および図15は、本発明による順序保存暗号化システムのデータベースシステムへの適用例を示すブロック図である。なお、図14では、セキュア・データベースシステム500に含まれる順序保存暗号化システムとして第1の実施形態の暗号化方式を実施する暗号化装置10を備える例を示し、図15では、セキュア・データベースシステム500に含まれる順序保存暗号化システムとして第3の実施形態の暗号化方式および復号方式を実施する暗号化装置10を備える例を示している。
まず、図14を参照して、本発明のセキュア・データベースへの適用例を説明する。図14に示すセキュア・データベースシステム500は、第1の実施形態の暗号化方式を実施する暗号化装置10と、セキュア・データベース40とを備えている。また、セキュア・データベース40には、データを記憶するデータ記憶手段401の他に、データベースに対するデータ操作をとりまとめて行う制御部(不図示)が含まれており、その制御部における一機能として大小比較手段402が含まれている。本例の暗号化装置10は、セキュア・データベース40が保持するデータの暗号化を行う。
暗号化装置10では、パラメータ生成手段101および鍵生成手段102が、事前(例えば、セキュア・データベース40の運用前)に、パラメータ生成処理および鍵生成処理を実行し、OPEParamとOPEkeyとを生成しておく。
ここで、暗号化装置10に、例えば当該暗号化装置10を利用しているユーザ(もしくは暗号化装置10に実装されている何らかのプログラム)から、セキュア・データベース40に登録させるメッセージとしてMessage[1],..., Message[n]が入力されたとする。暗号化装置10は、そのようなメッセージMessage[1],..., Message[n]が入力されると、暗号化手段103が各メッセージMessageについて暗号化処理を実行することで、それらの出力OPEPart[1],...,OPEPart[n]を計算し、セキュア・データベース40に送ってもよい。例えば、暗号化手段103による暗号化処理がOPEPartGen(OPEParam, Message)として実装されている場合には、OPEPartGen(OPEParam,Message[1]),..., OPEPartGen(OPEParam,Message[n])を実行することで、それらの出力OPEPart[1], ..., OPEPart[n]を得られる。
セキュア・データベース40は、送られたデータをデータ記憶手段401に記憶させる。本例では、各OPEPartにつき、(i, OPEPart[i])という形式で保存するものとする。すなわち、セキュア・データベース40は、(1, OPEPart[1]),..., (n, OPEPart[n])をデータ記憶手段401に記憶させる。以下、OPEPart[i]の添字iのことをOPEPart[i]またはMessage[i]のIDと呼ぶ。
ここで、例えば暗号化装置10を利用しているユーザ(もしくは暗号化装置10に実装されている何らかのプログラム)が、セキュア・データベース40に記憶させたメッセージMessage[]のうち値がM以上M'以下のメッセージのIDが必要になったとする。そのような場合に、暗号化装置10は、OPEPart_M=OPEPartGen(OPEParam,M),OPEPart_M'=OPEPartGen(OPEParam,M')を計算し,OPEPart_M,OPEPart_M'を比較対象データとしてセキュア・データベース40に送る。
セキュア・データベース40の大小比較手段402は、OPEPart[1]からOPEPart[n]の中から、OPEPart_M≦OPEPart[i]≦OPEPart_M'を満たすiのリストListを、検索結果として出力する。
順序保存暗号の性質より、M≦Message[i]≦M'となる必要十分条件はOPEPart_M≦OPEPart[i]≦OPEPart_M'となることである。従って、上述のプロトコルを行うことでM≦Message[i]≦M'を満たすiのリストが得られる。
以上のプロトコルは、例えば以下の状況で有用である。暗号化装置10は何らかのアプリケーションの会員とそのIDのリストを保管しているとし、ID=iである会員の年齢がMessage[i]であるとする。そのような場合に、例えば、M=20,M'=29として上記比較処理を行えば、M≦Message[i]≦M'を満たすiのリスト、すなわち20代の会員のIDのリストを得られる。すると、そのリストを基に、年齢が20代の会員の人数が把握できるので、それを基に統計処理を行ったり、また例えば、IDで対応付けられている別の会員データベース等から年齢が20代の会員の名前等を得るといったことが可能になる。
なお、数だけを知りたい場合には、セキュア・データベース40の大小比較手段402は、OPEPart_M≦OPEPart[i]≦OPEPart_M'を満たすiの数を、検索結果として出力してもよい。
なお、暗号化装置10を第2の実施形態の暗号化方式を実施する暗号化装置10とすれば、より効率的に暗号化処理を行うことができる。
次に、図15を参照して、本発明のセキュア・データベースへの他の適用例を説明する。なお、図15に示す例は、第3の実施形態の順序保存暗号化システムがデータベースシステムに適用された例である。図15に示すセキュア・データベース500は、第3の実施形態の暗号化方式および復号方式を実施する暗号化装置10と、セキュア・データベース40とを備えている。また、セキュア・データベース40には、データを記憶するデータ記憶手段401の他に、データベースに対するデータ操作をとりまとめて行う制御部(不図示)が含まれており、その制御部における一機能として大小比較手段402が含まれている。本例の暗号化装置10は、セキュア・データベース40が保持するデータの暗号化および復号を行う。
暗号化装置10では、パラメータ生成手段201および鍵生成手段202が、事前(例えば、セキュア・データベース40の運用前)に、パラメータ生成処理および鍵生成処理を実行し、Paramとkey=(OPEKey, MACKey, SymKey)とを生成しておく。
ここで、暗号化装置10に、例えば当該暗号化装置10を利用しているユーザ(もしくは暗号化装置10に実装されている何らかのプログラム)から、セキュア・データベース40に登録させるメッセージとしてMessage[1],..., Message[n]が入力されたとする。暗号化装置10は、そのようなメッセージMessage[1],..., Message[n]が入力されると、暗号化手段203が各メッセージMessageについて暗号化処理を実行することで、それらの出力Cipher[1]=(OPEPart[1], SymPart[1], MACPart[1]),..., Cipher[n]=(OPEPart[n], SymPart[n], MACPart[n])を計算し、セキュア・データベース40に送ってもよい。例えば、暗号化手段203による暗号化処理がCipherGen(OPEParam, Key, Message)として実装されている場合には、CipherGen(OPEParam, Key, Message[1]),..., CipherGen(OPEParam, Key, Message[n])を実行することで、それらの出力Cipher[1], ..., Cipher [n]が得られる。なお、Enc()内には、既に説明したように第1の実施形態の暗号化処理OPEPartGen(OPEParam, Message)を呼び出す処理が含まれている。また、以下、Cipher[i].OPEPartと記した場合には、Ciper[i]に含まれるOPEPart[i]を指すものとする。
セキュア・データベース40は、送られたデータをデータ記憶手段401に記憶させる。本例では、各Cipherにつき、(i, Cipher[i])という形式で保存するものとする。すなわち、セキュア・データベース40は、(1, Cipher[1]),..., (n, Cipher[n])をデータ記憶手段401に記憶させる。以下、Cipher[i]の添字iのことをCipher[i]またはMessage[i]のIDと呼ぶ。
ここで、例えば暗号化装置10を利用しているユーザ(もしくは暗号化装置10に実装されている何らかのプログラム)が、セキュア・データベース40に記憶させたメッセージMessage[]のうち値がM以上M'以下のメッセージが必要になったとする。そのような場合に、まず暗号化装置10は、OPEPart_M=OPEPartGen(OPEParam,M),OPEPart_M'=OPEPartGen(OPEParam,M')を計算し,OPEPart_M,OPEPart_M'を比較対象データとしてセキュア・データベース40に送る。
セキュア・データベース40の大小比較手段402は、Cipher[1]からCipher[n]の中からOPEPart_M≦Cipher[i].OPEPart≦OPEPart_M'を満たすiのリストListを、検索結果として出力する。
順序保存暗号の性質より、M≦Message[i]≦M'となる必要十分条件はOPEPart_M≦Cipher[i].OPEPart≦OPEPart_M'となることである。従って、上述のプロトコルを行うことでM≦Message[i]≦M'を満たすiのリストが得られる。
次いで、暗号化装置10は、得られたリストを基に、そのリストに含まれるiが示すCiper[i]を復号して該当するメッセージを得る。例えば、i=1,3,5がリストに含まれていたとする。また、復号手段204による復号処理がCipherDec(OPEParam, Key, Cipher)として実装されている場合には、CipherDec(OPEParam, Key, Cipher[1]), CipherDec(OPEParam, Key, Cipher[3]), CipherDec(OPEParam, Key, Cipher[5])を実行することで、それらの出力Message[1], Message[3], Message[5]が得られる。
以上のように、本発明によれば復号処理を行うことなしにデータの大小比較を行うことができるので、データを復号して取り出す際にも、必要なデータを絞り込んだ上で復号処理を行うといったことが可能となる。
次に、本発明による順序保存暗号化システムの最小構成について説明する。図16は、本発明による順序保存暗号化システムの最小の構成例を示すブロック図である。図16に示すように、本発明による順序保存暗号化システムは、最小の構成要素として、暗号化手段1を含む。
図16に示す最小構成の順序保存暗号化システムでは、暗号化手段1は、平文を入力として受け取ると、平文から定まる値と、秘密鍵に含まれる平文空間から一様分布を用いて生成される集合または所定の疑似ランダム関数への鍵とに基づいて生成される確率分布であって条件確率が二項分布を用いて表される所定の確率分布に従って、順序保存された暗号文を生成する。
従って、最小構成の順序保存暗号化システムによれば、安全性の保証を維持したまま、より簡易なアルゴリズムで順序保存暗号化をすることができる。
また、図17は、本発明によるデータベースシステムの最小の構成例を示すブロック図である。図17に示すように、本発明によるデータベースシステムは、最小の構成要素として、暗号化手段1と、データ記憶手段2と、大小比較手段3とを含む。
図17に示すデータベースシステムでは、暗号化手段1は、平文を入力として受け取ると、平文から定まる値と、秘密鍵に含まれる平文空間から一様分布を用いて生成される集合または疑似ランダム関数への鍵とに基づいて生成される確率分布であって条件確率が二項分布を用いて表される所定の確率分布に従って、順序保存された暗号文OPEPartを生成する。
また、データ記憶手段2は、暗号化手段1によって生成された暗号文OPEPartをデータとして記憶する。
また、大小比較手段3は、データ記憶手段2に記憶されているデータの内容について、任意の平文Mとの大小を判定する際に、暗号化手段1によって順序保存暗号化された平文Mの暗号文OPEPart_Mと判定対象とされたデータとの大小を比較することにより判定する。
従って、最小構成のデータベースシステムによれば、データの秘匿性を保証しつつ、データの有用性を高めることができる。
以上、実施形態及び実施例を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
また、上記の実施形態の一部または全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)平文を入力として受け取ると、平文から定まる値と、秘密鍵に含まれる平文空間から一様分布を用いて生成される集合または所定の疑似ランダム関数への鍵とに基づいて生成される確率分布であって条件確率が二項分布を用いて表される所定の確率分布に従って、順序保存された暗号文を生成する暗号化手段を備えたことを特徴とする順序保存暗号化システム。
(付記2)平文空間から一様ランダムに選ばれた元達からなる第1の集合Sを生成し、第1の集合Sに値を取る一様乱数からなる第2の集合Lを生成し、第1の集合Sと第2の集合Lとを含むデータを秘密鍵として生成する鍵生成手段を備え、暗号化手段は、平文を入力として受け取ると、秘密鍵に基づき、所定の確率分布に従う第1の値として、第1の集合Sの元のうち平文から定まる値MB以下の元に対応する第2の集合Lの元の個数C''を算出し、所定の確率分布に従う第2の値として、平文空間の元数から定まる値C'を算出し、第1の値C''に第2の値C'を加えることにより、順序保存された暗号文OPEPartを生成する付記1に記載の順序保存暗号化システム。
(付記3)所定の疑似ランダム関数への鍵を秘密鍵として生成する鍵生成手段を備え、暗号化手段は、平文を入力として受け取ると、秘密鍵に基づき、平文から定まる値MBを計算し、所定の確率分布に従う第1の値として、値MBを近似解の精度とする二分法により値MBNumを求め、所定の確率分布に従う第2の値として、第1の値MBNumを近似解の精度とする二分法により値MBValを求め、第2の値MBValを利用して、順序保存された暗号文OPEPartを生成し、第1の値MBNumを求める二分法は、二分法の上限Highと下限Lowとそれらにおける値HighNum,LowNumを基に上限Highと下限Lowの間にある中間Midにおける値MidNumを、二項分布を用いて計算するものであり、第2の値MBValを求める二分法は、二分法の上限HighNumと下限LowNumとそれらにおける値HighVal,LowValを基に上限HighNumと下限LowNumの間にある中間MidNumにおける値MidValを、二項分布を用いて計算するものであり、第1の値MBNumを求める二分法および第2の値MBValを求める二分法に用いられる二項分布は、疑似ランダム関数に秘密鍵を入力して得られる疑似乱数を用いて生成される付記1に記載の順序保存暗号化システム。
(付記4)鍵生成手段は、秘密鍵に加えて、共通鍵暗号方式の共通鍵と、メッセージ認証子のMAC鍵とを生成し、暗号化手段は、平文を入力として受け取ると、秘密鍵を用いて順序保存された暗号文OPEPartを生成し、さらに、共通鍵を用いて平文を共通暗号化方式により暗号化して暗号文SymPartを生成し、暗号文OPEPartと暗号文SymPartとを組み合わせてなる複合暗号文に対して、MAC鍵を用いて生成されるメッセージ認証子MACPartを付加することにより、暗号文Cipherを生成し、暗号化手段により生成される暗号文Cipherを入力されると、暗号文Cipherから暗号文OPEPartと暗号文SymPartとメッセージ認証子MACPartとを復元し、復元されたメッセージ認証子MACPartの正当性を、復元された暗号文OPEPartと復元された暗号文SymPartとを組み合わせてなる複合暗号文とMAC鍵とを用いて検証し、正当性が確認された場合に、復元された暗号文SymPartを共通鍵を用いて復号して平文を得る復号手段を備えた付記2または付記3に記載の順序保存暗号化システム。
(付記5)所定の確率分布は、ある実数をpとするとき、確率pで0、確率1-pで1になる確率分布である付記1から付記4のうちのいずれかに記載の順序保存暗号化システム。
(付記6)平文を入力として受け取ると、平文から定まる値と、秘密鍵に含まれる平文空間から一様分布を用いて生成される集合または疑似ランダム関数への鍵とに基づいて生成される確率分布であって条件確率が二項分布を用いて表される所定の確率分布に従って、順序保存された暗号文を生成する暗号化手段を備えたことを特徴とする暗号化装置。
(付記7)平文空間から一様ランダムに選ばれた元達からなる第1の集合Sを生成し、第1の集合Sに値を取る一様乱数からなる第2の集合Lを生成し、第1の集合Sと第2の集合Lとを含むデータを秘密鍵として生成する鍵生成手段を備え、暗号化手段は、平文を入力として受け取ると、秘密鍵に基づき、所定の確率分布に従う第1の値として、第1の集合Sの元のうち平文から定まる値MB以下の元に対応する第2の集合Lの元の個数C''を算出し、所定の確率分布に従う第2の値として、平文空間の元数から定まる値C'を算出し、第1の値C''に第2の値C'を加えることにより、順序保存された暗号文OPEPartを生成する付記6に記載の暗号化装置。
(付記8)所定の疑似ランダム関数への鍵を秘密鍵として生成する鍵生成手段を備え、暗号化手段は、平文を入力として受け取ると、秘密鍵に基づき、平文から定まる値MBを計算し、所定の確率分布に従う第1の値として、値MBを近似解の精度とする二分法により値MBNumを求め、所定の確率分布に従う第2の値として、第1の値MBNumを近似解の精度とする二分法により値MBValを求め、第2の値MBValを利用して、順序保存された暗号文OPEPartを生成し、第1の値MBNumを求める二分法は、二分法の上限Highと下限Lowとそれらにおける値HighNum,LowNumを基に上限Highと下限Lowの間にある中間Midにおける値MidNumを、二項分布を用いて計算するものであり、第2の値MBValを求める二分法は、二分法の上限HighNumと下限LowNumとそれらにおける値HighVal,LowValを基に上限HighNumと下限LowNumの間にある中間MidNumにおける値MidValを、二項分布を用いて計算するものであり、第1の値MBNumを求める二分法および第2の値MBValを求める二分法に用いられる二項分布は、疑似ランダム関数に秘密鍵を入力して得られる疑似乱数を用いて生成される付記6に記載の暗号化装置。
(付記9)鍵生成手段は、秘密鍵に加えて、共通鍵暗号方式の共通鍵と、メッセージ認証子のMAC鍵とを生成し、暗号化手段は、平文を入力として受け取ると、秘密鍵を用いて順序保存された暗号文OPEPartを生成し、さらに、共通鍵を用いて平文を共通暗号化方式により暗号化して暗号文SymPartを生成し、暗号文OPEPartと暗号文SymPartとを組み合わせてなる複合暗号文に対して、MAC鍵を用いて生成されるメッセージ認証子MACPartを付加することにより、暗号文Cipherを生成し、暗号化手段により生成される暗号文Cipherを入力されると、暗号文Cipherから暗号文OPEPartと暗号文SymPartとメッセージ認証子MACPartとを復元し、復元されたメッセージ認証子MACPartの正当性を、復元された暗号文OPEPartと復元された暗号文SymPartとを組み合わせてなる複合暗号文とMAC鍵とを用いて検証し、正当性が確認された場合に、復元された暗号文SymPartを共通鍵を用いて復号して平文を得る復号手段を備えた付記7または付記8に記載の暗号化装置。
(付記10)所定の確率分布は、ある実数をpとするとき、確率pで0、確率1-pで1になる確率分布である付記6から付記9のうちのいずれかに記載の暗号化装置。
(付記11)平文を入力として受け取ると、平文から定まる値と、秘密鍵に含まれる平文空間から一様分布を用いて生成される集合または疑似ランダム関数への鍵とに基づいて生成される確率分布であって条件確率が二項分布を用いて表される所定の確率分布に従って、順序保存された暗号文OPEPartを生成する暗号化手段と、暗号化手段によって生成された暗号文OPEPartをデータとして記憶するデータ記憶手段と、データ記憶手段に記憶されているデータの内容について、任意の平文Mとの大小を判定する大小比較手段とを備え、大小比較手段は、暗号化手段によって順序保存暗号化された平文Mの暗号文OPEPart_Mと判定対象とされたデータとの大小を比較することにより、データの内容と任意の平文Mとの大小を判定することを特徴とするデータベースシステム。
(付記12)平文空間から一様ランダムに選ばれた元達からなる第1の集合Sを生成し、第1の集合Sに値を取る一様乱数からなる第2の集合Lを生成し、第1の集合Sと第2の集合Lとを含むデータを秘密鍵として生成する鍵生成手段を備え、暗号化手段は、平文を入力として受け取ると、秘密鍵に基づき、所定の確率分布に従う第1の値として、第1の集合Sの元のうち平文から定まる値MB以下の元に対応する第2の集合Lの元の個数C''を算出し、所定の確率分布に従う第2の値として、平文空間の元数から定まる値C'を算出し、第1の値C''に第2の値C'を加えることにより、順序保存された暗号文OPEPartを生成する付記11に記載のデータベースシステム。
(付記13)所定の疑似ランダム関数への鍵を秘密鍵として生成する鍵生成手段を備え、暗号化手段は、平文を入力として受け取ると、秘密鍵に基づき、平文から定まる値MBを計算し、所定の確率分布に従う第1の値として、値MBを近似解の精度とする二分法により値MBNumを求め、所定の確率分布に従う第2の値として、第1の値MBNumを近似解の精度とする二分法により値MBValを求め、第2の値MBValを利用して、順序保存された暗号文OPEPartを生成し、第1の値MBNumを求める二分法は、二分法の上限Highと下限Lowとそれらにおける値HighNum,LowNumを基に上限Highと下限Lowの間にある中間Midにおける値MidNumを、二項分布を用いて計算するものであり、第2の値MBValを求める二分法は、二分法の上限HighNumと下限LowNumとそれらにおける値HighVal,LowValを基に上限HighNumと下限LowNumの間にある中間MidNumにおける値MidValを、二項分布を用いて計算するものであり、第1の値MBNumを求める二分法および第2の値MBValを求める二分法に用いられる二項分布は、疑似ランダム関数に秘密鍵を入力して得られる疑似乱数を用いて生成される付記11に記載のデータベースシステム。
(付記14)鍵生成手段は、秘密鍵に加えて、共通鍵暗号方式の共通鍵と、メッセージ認証子のMAC鍵とを生成し、暗号化手段は、平文を入力として受け取ると、秘密鍵を用いて順序保存された暗号文OPEPartを生成し、さらに、共通鍵を用いて平文を共通暗号化方式により暗号化して暗号文SymPartを生成し、暗号文OPEPartと暗号文SymPartとを組み合わせてなる複合暗号文に対して、MAC鍵を用いて生成されるメッセージ認証子MACPartを付加することにより、暗号文Cipherを生成し、暗号化手段により生成される暗号文Cipherを入力されると、暗号文Cipherから暗号文OPEPartと暗号文SymPartとメッセージ認証子MACPartとを復元し、復元されたメッセージ認証子MACPartの正当性を、復元された暗号文OPEPartと復元された暗号文SymPartとを組み合わせてなる複合暗号文とMAC鍵とを用いて検証し、正当性が確認された場合に、復元された暗号文SymPartを共通鍵を用いて復号して平文を得る復号手段を備え、データ記憶手段は、暗号化手段により生成される暗号文Cipherをデータとして記憶し、大小比較手段は、暗号化手段によって順序保存暗号化された平文Mの暗号文OPEPart_Mと判定対象とされたデータから復元される暗号文OPEPartとの大小を比較することにより、データの内容と任意の平文Mとの大小を判定する付記12または付記13に記載のデータベースシステム。
(付記15)所定の確率分布は、ある実数をpとするとき、確率pで0、確率1-pで1になる確率分布である付記11から付記14のうちのいずれかに記載のデータベースシステム。
(付記16)秘密鍵として、平文空間から一様分布を用いて生成される集合を含むデータまたは所定の疑似ランダム関数への鍵を生成し、平文を入力として受け取ると、平文から定まる値と、秘密鍵に含まれる平文空間から一様分布を用いて生成される集合または所定の疑似ランダム関数への鍵とに基づいて生成される確率分布であって条件確率が二項分布を用いて表される所定の確率分布に従って、順序保存された暗号文を生成することを特徴とする順序保存暗号化方法。
(付記17)平文空間から一様ランダムに選ばれた元達からなる第1の集合Sを生成し、第1の集合Sに値を取る一様乱数からなる第2の集合Lを生成し、第1の集合Sと第2の集合Lとを含むデータを秘密鍵として生成し、平文を入力として受け取ると、秘密鍵に基づき、所定の確率分布に従う第1の値として、第1の集合Sの元のうち平文から定まる値MB以下の元に対応する第2の集合Lの元の個数C''を算出し、所定の確率分布に従う第2の値として、平文空間の元数から定まる値C'を算出し、第1の値C''に第2の値C'を加えることにより、順序保存された暗号文OPEPartを生成する付記16に記載の順序保存暗号化方法。
(付記18)所定の疑似ランダム関数への鍵を秘密鍵として生成し、平文を入力として受け取ると、秘密鍵に基づき、平文から定まる値MBを計算し、所定の確率分布に従う第1の値として、値MBを近似解の精度とする二分法により値MBNumを求め、所定の確率分布に従う第2の値として、第1の値MBNumを近似解の精度とする二分法により値MBValを求め、第2の値MBValを利用して、順序保存された暗号文OPEPartを生成し、第1の値MBNumを求める二分法は、二分法の上限Highと下限Lowとそれらにおける値HighNum,LowNumを基に上限Highと下限Lowの間にある中間Midにおける値MidNumを、二項分布を用いて計算するものであり、第2の値MBValを求める二分法は、二分法の上限HighNumと下限LowNumとそれらにおける値HighVal,LowValを基に上限HighNumと下限LowNumの間にある中間MidNumにおける値MidValを、二項分布を用いて計算するものであり、第1の値MBNumを求める二分法および第2の値MBValを求める二分法に用いられる二項分布は、疑似ランダム関数に秘密鍵を入力して得られる疑似乱数を用いて生成される付記16に記載の順序保存暗号化方法。
(付記19)秘密鍵に加えて、共通鍵暗号方式の共通鍵と、メッセージ認証子のMAC鍵とを生成し、平文を入力として受け取ると、秘密鍵を用いて順序保存された暗号文OPEPartを生成し、さらに、共通鍵を用いて平文を共通暗号化方式により暗号化して暗号文SymPartを生成し、暗号文OPEPartと暗号文SymPartとを組み合わせてなる複合暗号文に対して、MAC鍵を用いて生成されるメッセージ認証子MACPartを付加することにより、暗号文Cipherを生成し、暗号文Cipherを入力されると、暗号文Cipherから暗号文OPEPartと暗号文SymPartとメッセージ認証子MACPartとを復元し、復元されたメッセージ認証子MACPartの正当性を、復元された暗号文OPEPartと復元された暗号文SymPartとを組み合わせてなる複合暗号文とMAC鍵とを用いて検証し、正当性が確認された場合に、復元された暗号文SymPartを共通鍵を用いて復号して平文を得る付記17または付記18に記載の順序保存暗号化方法。
(付記20)所定の確率分布は、ある実数をpとするとき、確率pで0、確率1-pで1になる確率分布である付記16から付記19のうちのいずれかに記載の順序保存暗号化方法。
(付記21)コンピュータに、平文を入力として受け取ると、平文から定まる値と、秘密鍵に含まれる平文空間から一様分布を用いて生成される集合または疑似ランダム関数への鍵とに基づいて生成される確率分布であって条件確率が二項分布を用いて表される所定の確率分布に従って、順序保存された暗号文を生成する処理を実行させるための順序保存暗号化プログラム。
(付記22)コンピュータに、平文空間から一様ランダムに選ばれた元達からなる第1の集合Sを生成し、第1の集合Sに値を取る一様乱数からなる第2の集合Lを生成し、第1の集合Sと第2の集合Lとを含むデータを秘密鍵として生成する処理、および平文を入力として受け取ると、秘密鍵に基づき、所定の確率分布に従う第1の値として、第1の集合Sの元のうち平文から定まる値MB以下の元に対応する第2の集合Lの元の個数C''を算出し、所定の確率分布に従う第2の値として、平文空間の元数から定まる値C'を算出し、第1の値C''に第2の値C'を加えることにより、順序保存された暗号文OPEPartを生成する処理を実行させる付記21に記載の順序保存暗号化プログラム。
(付記23)コンピュータに、所定の疑似ランダム関数への鍵を秘密鍵として生成する処理、および平文を入力として受け取ると、秘密鍵に基づき、平文から定まる値MBを計算し、所定の確率分布に従う第1の値として、値MBを近似解の精度とする二分法により値MBNumを求め、所定の確率分布に従う第2の値として、第1の値MBNumを近似解の精度とする二分法により値MBValを求め、第2の値MBValを利用して、順序保存された暗号文OPEPartの生成処理を実行させ、第1の値MBNumを求める二分法は、二分法の上限Highと下限Lowとそれらにおける値HighNum,LowNumを基に上限Highと下限Lowの間にある中間Midにおける値MidNumを、二項分布を用いて計算するものであり、第2の値MBValを求める二分法は、二分法の上限HighNumと下限LowNumとそれらにおける値HighVal,LowValを基に上限HighNumと下限LowNumの間にある中間MidNumにおける値MidValを、二項分布を用いて計算するものであり、第1の値MBNumを求める二分法および第2の値MBValを求める二分法に用いられる二項分布は、疑似ランダム関数に秘密鍵を入力して得られる疑似乱数を用いて生成されるものである付記21に記載の順序保存暗号化プログラム。
(付記24)コンピュータに、秘密鍵に加えて、共通鍵暗号方式の共通鍵と、メッセージ認証子のMAC鍵とを生成する処理、平文を入力として受け取ると、秘密鍵を用いて順序保存された暗号文OPEPartを生成し、さらに、共通鍵を用いて平文を共通暗号化方式により暗号化して暗号文SymPartを生成し、暗号文OPEPartと暗号文SymPartとを組み合わせてなる複合暗号文に対して、MAC鍵を用いて生成されるメッセージ認証子MACPartを付加することにより、暗号文Cipherを生成する処理、および暗号文Cipherを入力されると、暗号文Cipherから暗号文OPEPartと暗号文SymPartとメッセージ認証子MACPartとを復元し、復元されたメッセージ認証子MACPartの正当性を、復元された暗号文OPEPartと復元された暗号文SymPartとを組み合わせてなる複合暗号文とMAC鍵とを用いて検証し、正当性が確認された場合に、復元された暗号文SymPartを共通鍵を用いて復号して平文を得る処理を実行させる付記22または付記23に記載の順序保存暗号化プログラム。
(付記25)所定の確率分布は、ある実数をpとするとき、確率pで0、確率1-pで1になる確率分布である付記21から付記24のうちのいずれかに記載の順序保存暗号化プログラム。
この出願は、2013年2月28日に出願された日本特許出願2013−038238を基礎とする優先権を主張し、その開示の全てをここに取り込む。
以上、実施形態を参照して本願発明を説明したが、本願発明は上記の実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
産業上の利用の可能性
本発明は、データの秘匿性を保証したまま、暗号化されたままの状態で大小比較を行いたい用途に好適に適用できる。本発明は、例えばセキュア・データベースに利用できる。
1 暗号化手段
2 データ記憶手段
3 大小比較手段
10 暗号化装置
20 復号装置
30 鍵生成装置
40 セキュア・データベース
101、201 パラメータ生成手段
102、202 鍵生成手段
103、203 暗号化手段
204 復号手段
401 データ記憶手段
402 大小比較手段
500 セキュア・データベースシステム

Claims (8)

  1. 平文空間から一様ランダムに選ばれた元達からなる第1の集合Sを生成し、前記第1の集合Sに値を取る一様乱数からなる第2の集合Lを生成し、前記第1の集合Sと第2の集合Lとを含むデータを秘密鍵として生成する鍵生成手段と、
    平文を入力として受け取ると、前記平文から定まる値MBを算出し、前記第1の集合Sの元のうち前記平文から定まる値MB以下の元に対応する前記第2の集合Lの元の個数C''を算出し、平文空間の元数から定まる値C'を算出し、前記C''の値に前記C'の値を加えることにより暗号文OPEPartを生成する暗号化手段と、
    を備える順序保存暗号化システム。
  2. 所定の疑似ランダム関数の鍵を秘密鍵として生成する鍵生成手段と、
    平文と前記秘密鍵を入力として受け取ると、前記平文から定まる値MBを計算し、前記値MBを近似解の精度とする二分法により値MBNumを求め、前記値MBNumを近似解の精度とする二分法により値MBValを求め、前記値MBValを利用して、暗号文OPEPartを生成する暗号化手段、を備え、
    前記暗号化手段は、
    記二分法の上限Highと下限Lowとそれらにおける値HighNumと値LowNumを基に前記上限Highと下限Lowの間にある中間Midにおける値MidNumを、二項分布に従って生成される擬似乱数を用いて計算前記値MidNumを前記値MBNumとし、
    記二分法の上限HighNumと下限LowNumとそれらにおける値HighValと値LowValを基に前記上限HighNumと下限LowNumの間にある中間MidNumにおける値MidValを、二項分布に従って生成される擬似乱数を用いて計算前記値MidValを前記値MBValとする
    順序保存暗号化システム。
  3. 復号手段を更に備え、
    前記鍵生成手段は、前記秘密鍵に加えて、共通鍵暗号方式の共通鍵と、メッセージ認証子のMAC鍵とを生成し、
    前記暗号化手段は、
    平文を入力として受け取ると、前記秘密鍵を用いて前記暗号文OPEPartを生成し、さらに、前記共通鍵を用いて前記平文を共通暗号化方式により暗号化して暗号文SymPartを生成し、前記暗号文OPEPartと前記暗号文SymPartとを組み合わせてなる複合暗号文に対して、前記MAC鍵を用いて生成されるメッセージ認証子MACPartを付加することにより、暗号文Cipherを生成し、
    前記復号手段は、
    前記暗号化手段により生成される暗号文Cipherが入力されると、前記暗号文Cipherから暗号文OPEPartと暗号文SymPartとメッセージ認証子MACPartとを復元し、復元されたメッセージ認証子MACPartの正当性を、復元された暗号文OPEPartと復元された暗号文SymPartとを組み合わせてなる複合暗号文と前記MAC鍵とを用いて検証し、正当性が確認された場合に、復元された前記暗号文SymPartを前記共通鍵を用いて復号して平文を得る
    請求項1または請求項2に記載の順序保存暗号化システム。
  4. 平文空間から一様ランダムに選ばれた元達からなる第1の集合Sを生成し、前記第1の集合Sに値を取る一様乱数からなる第2の集合Lを生成し、前記第1の集合Sと第2の集合Lとを含むデータを秘密鍵として生成する鍵生成手段と、
    平文を入力として受け取ると、前記平文から定まる値MBを算出し、前記第1の集合Sの元のうち前記平文から定まる値MB以下の元に対応する前記第2の集合Lの元の個数C''を算出し、平文空間の元数から定まる値C'を算出し、前記C''の値に前記C'の値を加えることにより暗号文OPEPartを生成する暗号化手段と、
    を備える暗号化装置。
  5. 平文空間から一様ランダムに選ばれた元達からなる第1の集合Sを生成し、前記第1の集合Sに値を取る一様乱数からなる第2の集合Lを生成し、前記第1の集合Sと第2の集合Lとを含むデータを秘密鍵として生成する鍵生成手段と、
    平文を入力として受け取ると、前記平文から定まる値MBを算出し、前記第1の集合Sの元のうち前記平文から定まる値MB以下の元に対応する前記第2の集合Lの元の個数C''を算出し、平文空間の元数から定まる値C'を算出し、前記C''の値に前記C'の値を加えることにより暗号文OPEPartを生成する暗号化手段と、
    前記暗号文OPEPartをデータとして記憶するデータ記憶手段と、前記データ記憶手段に記憶されているデータの内容について、任意の平文Mとの大小を判定する大小比較手段とを備え、
    前記大小比較手段は、前記暗号化手段によって順序保存暗号化された前記平文Mの暗号文OPEPart_Mと判定対象とされたデータとの大小を比較することにより、前記データの内容と任意の平文Mとの大小を判定する
    データベースシステム。
  6. 平文空間から一様ランダムに選ばれた元達からなる第1の集合Sを生成し、前記第1の集合Sに値を取る一様乱数からなる第2の集合Lを生成し、前記第1の集合Sと第2の集合Lとを含むデータを秘密鍵として生成する鍵生成手段と、
    平文を入力として受け取ると、前記平文から定まる値MBを算出し、前記第1の集合Sの元のうち前記平文から定まる値MB以下の元に対応する前記第2の集合Lの元の個数C''を算出し、平文空間の元数から定まる値C'を算出し、前記C''の値に前記C'の値を加えることにより暗号文OPEPartを生成し、さらに、共通鍵を用いて前記平文を共通暗号化方式により暗号化して暗号文SymPartを生成し、前記暗号文OPEPartと前記暗号文SymPartとを組み合わせてなる複合暗号文に対して、MAC鍵を用いて生成されるメッセージ認証子MACPartを付加することにより、暗号文Cipherを生成する暗号化手段と、
    暗号文Cipherを入力されると、前記暗号文Cipherから暗号文OPEPartと暗号文SymPartとメッセージ認証子MACPartとを復元し、復元されたメッセージ認証子MACPartの正当性を、復元された暗号文OPEPartと復元された暗号文SymPartとを組み合わせてなる複合暗号文と前記MAC鍵とを用いて検証し、正当性が確認された場合に、復元された前記暗号文SymPartを前記共通鍵を用いて復号して平文を得る復号手段と、
    前記暗号化手段により生成される暗号文Cipherをデータとして記憶するデータ記憶手段と、前記データ記憶手段に記憶されているデータの内容について、任意の平文Mとの間の大小を判定する大小比較手段とを備え、
    前記大小比較手段は、前記暗号化手段によって順序保存暗号化された前記平文Mの暗号文OPEPart_Mと判定対象とされたデータから復元される暗号文OPEPartとの大小を比較することにより、前記データの内容と任意の平文Mとの大小を判定する
    データベースシステム。
  7. コンピュータが、
    鍵生成手段において、平文空間から一様ランダムに選ばれた元達からなる第1の集合Sを生成し、前記第1の集合Sに値を取る一様乱数からなる第2の集合Lを生成し、前記第1の集合Sと第2の集合Lとを含むデータを秘密鍵として生成し、
    暗号化手段において、平文を入力として受け取ると、前記平文から定まる値MBを算出し、前記第1の集合Sの元のうち前記平文から定まる値MB以下の元に対応する前記第2の集合Lの元の個数C''を算出し、平文空間の元数から定まる値C'を算出し、前記C''の値に前記C'の値を加えることにより暗号文OPEPartを生成する、
    順序保存暗号化方法。
  8. コンピュータを、
    平文空間から一様ランダムに選ばれた元達からなる第1の集合Sを生成し、前記第1の集合Sに値を取る一様乱数からなる第2の集合Lを生成し、前記第1の集合Sと第2の集合Lとを含むデータを秘密鍵として生成する鍵生成手段と、
    平文を入力として受け取ると、前記平文から定まる値MBを算出し、前記第1の集合Sの元のうち前記平文から定まる値MB以下の元に対応する前記第2の集合Lの元の個数C''を算出し、平文空間の元数から定まる値C'を算出し、前記C''の値に前記C'の値を加えることにより暗号文OPEPartを生成する暗号化手段と、
    として実行させるための順序保存暗号化プログラム。
JP2015502734A 2013-02-28 2014-01-27 順序保存暗号化システム、装置、方法およびプログラム Active JP6477461B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2013038238 2013-02-28
JP2013038238 2013-02-28
PCT/JP2014/000378 WO2014132552A1 (ja) 2013-02-28 2014-01-27 順序保存暗号化システム、装置、方法およびプログラム

Publications (2)

Publication Number Publication Date
JPWO2014132552A1 JPWO2014132552A1 (ja) 2017-02-02
JP6477461B2 true JP6477461B2 (ja) 2019-03-06

Family

ID=51427834

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015502734A Active JP6477461B2 (ja) 2013-02-28 2014-01-27 順序保存暗号化システム、装置、方法およびプログラム

Country Status (3)

Country Link
US (1) US20160013933A1 (ja)
JP (1) JP6477461B2 (ja)
WO (1) WO2014132552A1 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10171230B2 (en) * 2014-02-28 2019-01-01 Empire Technology Development Llc Homomorphic encryption scheme
US10580225B2 (en) * 2017-03-31 2020-03-03 Toyota Motor Engineering & Manufacturing North America, Inc. Privacy-aware signal monitoring systems and methods
KR102126295B1 (ko) * 2018-05-23 2020-06-24 세종대학교산학협력단 암호문 비교 방법 및 이를 수행하기 위한 장치
KR102192594B1 (ko) * 2019-01-18 2020-12-17 세종대학교산학협력단 신뢰기관이 없는 다중 클라이언트 환경의 순서 노출 암호화를 위한 장치 및 방법
CN113630376B (zh) * 2021-06-16 2023-04-07 新华三信息安全技术有限公司 一种网络安全设备及其处理报文的方法
US11727157B2 (en) * 2021-07-22 2023-08-15 International Business Machines Corporation Building an encrypted document store
CN113596824A (zh) * 2021-07-30 2021-11-02 深圳供电局有限公司 一种5g安全协议中认证失败明文信息的加密方法
CN114969164B (zh) * 2022-07-22 2022-10-21 华控清交信息科技(北京)有限公司 一种数据查询方法、装置和可读存储介质
CN115623159B (zh) * 2022-12-05 2023-03-14 深圳码隆智能科技有限公司 一种智能化实验操作考试监控数据智能传输方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7426752B2 (en) * 2004-01-05 2008-09-16 International Business Machines Corporation System and method for order-preserving encryption for numeric data
US20070038579A1 (en) * 2005-08-12 2007-02-15 Tsys-Prepaid, Inc. System and method using order preserving hash
US8819451B2 (en) * 2009-05-28 2014-08-26 Microsoft Corporation Techniques for representing keywords in an encrypted search index to prevent histogram-based attacks
KR101727312B1 (ko) * 2010-12-22 2017-04-14 한국전자통신연구원 순서 보존 암호화 및 복호화 장치와 그 방법
EP2712115A4 (en) * 2011-05-18 2015-01-21 Nec Corp SEQUENTIAL ENCRYPTION SYSTEM AND DEVICE, METHOD AND PROGRAM THEREFOR

Also Published As

Publication number Publication date
JPWO2014132552A1 (ja) 2017-02-02
US20160013933A1 (en) 2016-01-14
WO2014132552A1 (ja) 2014-09-04

Similar Documents

Publication Publication Date Title
JP6477461B2 (ja) 順序保存暗号化システム、装置、方法およびプログラム
CN106789044B (zh) 标准模型下格上云存储密文数据公钥可搜索加密方法
JP5593458B2 (ja) 文字列がオートマトンに受理されるか否かを認証するシステム
JP6497747B2 (ja) 鍵交換方法、鍵交換システム
KR19990082665A (ko) 공통키 통신방법
JP2014126865A (ja) 暗号処理装置および方法
JP5929905B2 (ja) 順序保存暗号化システム、装置、方法及びプログラム
US20090138698A1 (en) Method of searching encrypted data using inner product operation and terminal and server therefor
KR20150130788A (ko) 데이터를 암호화하는 방법 및 그를 위한 장치
US9584315B2 (en) Order-preserving encryption system, encryption device, decryption device, encryption method, decryption method, and programs thereof
KR20160131798A (ko) 연산 에러 검출이 가능한 준동형 암호 방법 및 그 시스템
JP7209431B2 (ja) デジタル署名方法、署名情報の検証方法、関連装置及び電子機器
JP6738061B2 (ja) 暗号文照合システム、方法、および記録媒体
WO2014030706A1 (ja) 暗号化データベースシステム、クライアント装置およびサーバ、暗号化データ加算方法およびプログラム
US8189779B2 (en) Quantum program concealing device and quantum program concealing method
WO2018043573A1 (ja) 鍵交換方法、鍵交換システム
WO2020213114A1 (ja) Macタグリスト生成装置、macタグリスト検証装置、方法及びプログラム
JP6743702B2 (ja) Macタグリスト生成装置、macタグリスト検証装置、macタグリスト生成方法、macタグリスト検証方法およびプログラム
KR20150122494A (ko) 암호화 장치, 암호화 방법, 복호화 방법 및 컴퓨터 판독가능 기록매체
WO2016199507A1 (ja) 鍵交換方法、鍵交換システム、鍵配送装置、通信装置、およびプログラム
CN116170142B (zh) 分布式协同解密方法、设备和存储介质
US8325913B2 (en) System and method of authentication
JP2017073716A (ja) タグリスト生成装置、タグリスト検証装置、タグリスト更新装置、タグリスト生成方法及びプログラム
KR102284877B1 (ko) 효율적인 교집합 연산을 위한 함수 암호 기술
JP2011150006A (ja) 暗号化システム、公開鍵暗号化方法、鍵生成装置、計算機および公開鍵秘密鍵生成プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161214

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180313

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180514

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181016

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181211

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190108

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190121

R150 Certificate of patent or registration of utility model

Ref document number: 6477461

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150