JP6885325B2

JP6885325B2 - 暗号化装置、復号装置、暗号化方法、復号方法、プログラム

Info

Publication number: JP6885325B2
Application number: JP2017250124A
Authority: JP
Inventors: 潤一富田; プラティッシュダッタ; 岡本　龍明; 龍明岡本
Original assignee: Nippon Telegraph and Telephone Corp
Current assignee: Nippon Telegraph and Telephone Corp
Priority date: 2017-12-26
Filing date: 2017-12-26
Publication date: 2021-06-16
Anticipated expiration: 2037-12-26
Also published as: JP2019117232A

Description

本発明は、暗号方式の構成に関し、特に暗号文から平文の関数値を復号する関数型暗号に関する。

単一入力関数型暗号では、暗号文を復号するための鍵（復号鍵）に関数fを埋め込むことができる。関数fを埋め込んだ復号鍵を用いて入力xの暗号文を復号すると、関数値f(x)が復号される。

複数入力関数型暗号は、単一入力関数型暗号を拡張したものであり、１つの引数をもつ関数だけでなく、２以上の引数をもつ関数をも復号鍵に埋め込むことができる方式である。つまり、引数1, …, nに対応する値x₁, …, x_nの暗号文ct₁, …, ct_nがあるとき、引数1, …, nをとる関数fを埋め込んだ復号鍵sk_fを用いて暗号文ct₁, …, ct_nを復号すると、関数値f(x₁, …, x_n)が復号される。ただし、関数fがとる引数のうち、どれか１つでもその引数に対応する暗号文が存在しない場合は復号することができない。

内積関数型暗号は、扱う関数fを内積に限定した関数型暗号であり、複数入力内積関数型暗号では、復号鍵にn個のベクトルy₁, …, y_nが埋め込まれていて、n個のベクトルx₁, …, x_nをそれぞれ暗号化したn個の暗号文ct₁, …, ct_nを復号鍵で復号すると、関数値

が復号されるというものである。

関数型暗号に対して関数秘匿性という性質がある。この関数秘匿性とは、関数を埋め込んだ復号鍵が、その関数を秘匿しているという性質である（内積関数型暗号の場合はベクトルが関数に対応する）。すなわち、ある関数を埋め込んだ復号鍵の所持者であっても、その埋め込まれた関数がどのような関数であるかを知ることができないという性質である。

従来、関数秘匿性を持つ単一入力内積関数型暗号（非特許文献１）や複数入力内積関数型暗号（非特許文献２）は構成されている。

A. Bishop, A. Jain, and L. Kowalczyk, "Function-hiding inner product encryption", In T. Iwata and J. H. Cheon, editors, ASIACRYPT 2015, Part I, vol. 9452 of LNCS, pp. 470-491, Springer, Heidelberg, Nov./Dec. 2015. M. Abdalla, R. Gay, M. Raykova, and H. Wee, "Multi-input inner-product functional encryption from pairings", In J. Coron and J. B. Nielsen, editors, EUROCRYPT 2017, Part I, vol. 10210 of LNCS, pp. 601-626, Springer, Heidelberg, May 2017.

しかし、関数秘匿性を持つ複数入力内積関数型暗号の構成方法は知られていない。内積関数型暗号は、クラウドサーバ上のデータベースに対する統計計算などへの応用が考えられる。例えば、当該データベースが個人情報のような機微な情報を含んでいる場合、どのような計算を行っているのかをサーバから秘匿する必要があることもある。そのような場合、関数秘匿性を持つ内積関数型暗号でなければ、サーバに対して復号鍵から計算内容が漏洩する可能性がある。

そこで本発明では、関数秘匿性を持つ複数入力内積関数型暗号技術を提供することを目的とする。

本発明の一態様は、Zを整数の集合、pを素数、Z_p=Z/pZ、SKE=(SKE.Gen, SKE.Enc, SKE.Dec)を共通鍵暗号、~G₁, ~G₂, ~G_Tをそれぞれ位数が素数pの巡回群、G₁, G₂, g_Tをそれぞれ巡回群~G₁, ~G₂, ~G_Tの生成元、e: ~G₁×~G₂→~G_Tを非退化双線型写像、~V=~G₁ ^m, ~V^*=~G₂ ^mをそれぞれZ_p上のm次元ベクトル空間（ただし、mは1以上の整数）、(p, ~G₁, ~G₂, ~G_T, G₁, G₂, g_T, e, ~V, ~V^*)を双対ペアリングベクトル空間とし、前記巡回群~G₁, ~G₂, ~G_Tはk-線形仮定を満たす双線型群であり、kを1以上の整数、f(x₁, …, x_n)=Σ_ι∈[n]x_ι・y_ιを内積関数（ただし、nは1以上の整数、y₁, …, y_nは内積関数の定義に用いるm次元ベクトル）、νをe(G₁, G₂)^ν=g_Tを満たすZ_pの要素、ppをアリティn、ベクトルの次元m、巡回群~G₁, ~G₂, ~G_Tの記述、巡回群の位数p、非退化双線型写像eの記述、巡回群~G₁, ~G₂, ~G_Tの生成元G₁, G₂, g_Tからなる公開パラメータ、msk=(B₁, …, B_n, B₁ ^*, …, B_n ^*, κ₁, …, κ_n)をマスター秘密鍵（ただし、B₁, …, B_nはZ_p上の2m+2k+1次元正則行列、B_ι ^*=ν(B_ι ^-1)^T (ι∈[n])、KはSKE.Genにより生成した共通鍵暗号の秘密鍵、κ₁, …, κ_nは次式を満たす秘密鍵Kと同じビット長のビット列）とし、

m次元ベクトル{x_ι}_ι∈[n]から暗号文{ct_ι}_ι∈[n]を生成する暗号化装置であって、マスター秘密鍵mskを用いて、前記ベクトル{x_ι}_ι∈[n]から次式により2m+2k+1次元ベクトル{c_ι}_ι∈[n]を計算するベクトル計算部と、

秘密鍵Kを用いて、前記ベクトル{c_ι}_ι∈[n]から、C_ι=SKE.Enc(K, c_ι) (ι∈[n])を計算し、マスター秘密鍵mskを用いて、前記暗号文{ct_ι}_ι∈[n]（ただし、ct_ι=(κ_ι, C_ι, ι)）を生成する暗号文生成部とを含む。

本発明の一態様は、Zを整数の集合、pを素数、Z_p=Z/pZ、SKE=(SKE.Gen, SKE.Enc, SKE.Dec)を共通鍵暗号、~G₁, ~G₂, ~G_Tをそれぞれ位数が素数pの巡回群、G₁, G₂, g_Tをそれぞれ巡回群~G₁, ~G₂, ~G_Tの生成元、e: ~G₁×~G₂→~G_Tを非退化双線型写像、~V=~G₁ ^m, ~V^*=~G₂ ^mをそれぞれZ_p上のm次元ベクトル空間（ただし、mは1以上の整数）、(p, ~G₁, ~G₂, ~G_T, G₁, G₂, g_T, e, ~V, ~V^*)を双対ペアリングベクトル空間とし、前記巡回群~G₁, ~G₂, ~G_Tはk-線形仮定を満たす双線型群であり、k、λを1以上の整数、νをe(G₁, G₂)^ν=g_Tを満たすZ_pの要素、ppをベクトルの次元m、巡回群~G₁, ~G₂, ~G_Tの記述、巡回群の位数p、非退化双線型写像eの記述、巡回群~G₁, ~G₂, ~G_Tの生成元G₁, G₂, g_Tからなる公開パラメータ、msk=(D, D^*, K₁, K₂)をマスター秘密鍵（ただし、DはZ_p上の2m+2k+1次元正則行列、D^*=ν(D^-1)^T、K₁, K₂はλビットのビット列）とし、F₁:{0, 1}^λ×{0, 1}^λ→Z_p ^{(2m+2k+1)×(2m+2k+1)}, F₂: {0, 1}^λ×{0, 1}^λ→{0, 1}^λを擬似ランダム関数、S={s₁, …, s_|S|}を引数のインデックス集合（ただし、s_iはインデックス集合Sの要素を昇順に並べたときのi番目の要素）、f({x_ι}_ι∈S)=Σ_ι∈Sx_ι・y_ιを内積関数（ただし、y_ι (ι∈S)は内積関数の定義に用いるm次元ベクトル）とし、m次元ベクトル{x_ι}_ι∈Sから暗号文{ct_ι}_ι∈Sを生成する暗号化装置であって、マスター秘密鍵mskを用いて、擬似ランダム関数値{W_ι}_ι∈S（ただし、W_ι=F₁(K₁, ι)）, {κ_ι}_ι∈S（ただし、κ_ι=F₂(K₂, ι)）を計算する擬似ランダム関数値計算部と、マスター秘密鍵mskを用いて、前記擬似ランダム関数値{W_ι}_ι∈Sから行列積{B_ι}_ι∈S（ただし、B_ι=DW_ι）を計算する行列積計算部と、前記行列積{B_ι}_ι∈Sと前記ベクトル{x_ι}_ι∈Sから次式により2m+2k+1次元ベクトル{c_ι}_ι∈Sを計算するベクトル計算部と、

前記擬似ランダム関数値{κ_ι}_ι∈Sと前記ベクトル{c_ι}_ι∈Sから前記暗号文{ct_ι}_ι∈S（ただし、ct_ι=(κ_ι, c_ι, ι)）を生成する暗号文生成部とを含む。

本発明によれば、関数秘匿性を持つ複数入力内積関数型暗号技術を構成することができる。

内積関数型暗号システム１０の構成の一例を示すブロック図。システムパラメータ生成装置１００の構成の一例を示すブロック図。鍵生成装置２００の構成の一例を示すブロック図。暗号化装置３００の構成の一例を示すブロック図。復号装置４００の構成の一例を示すブロック図。システムパラメータ生成装置１００の動作の一例を示すフローチャート。マスター秘密鍵生成部１２０の動作の一例を示すフローチャート。鍵生成装置２００の動作の一例を示すフローチャート。暗号化装置３００の動作の一例を示すフローチャート。復号装置４００の動作の一例を示すフローチャート。内積関数型暗号システム５０の構成の一例を示すブロック図。システムパラメータ生成装置５００の構成の一例を示すブロック図。鍵生成装置６００の構成の一例を示すブロック図。暗号化装置７００の構成の一例を示すブロック図。復号装置８００の構成の一例を示すブロック図。システムパラメータ生成装置５００の動作の一例を示すフローチャート。マスター秘密鍵生成部５２０の動作の一例を示すフローチャート。鍵生成装置６００の動作の一例を示すフローチャート。暗号化装置７００の動作の一例を示すフローチャート。復号装置８００の動作の一例を示すフローチャート。

以下、本発明の実施形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

＜記法・用語＞
まず、記法や基礎的概念に関する用語について説明する。

ベクトルは行ベクトルとして扱う。

集合Sからその要素sをランダムに選ぶことをs←^USと表記する。

集合Sに対し、|S|を集合Sの要素数とする。

Zを整数の集合、pを素数とし、Z_p=Z/pZとする。

自然数nに対してn以下の自然数の集合を[n]と表記する。

m次元ベクトル空間において、ある基底Bの一次結合でベクトルvを表すとき、それぞれの係数がa₁, …, a_mであるとする。このとき、v=(a₁, …, a_m)_Bと表記する。

次に、本発明の実施形態で用いる要素技術について説明する。

［共通鍵暗号］
共通鍵暗号SKEは鍵生成アルゴリズムSKE.Gen、暗号化アルゴリズムSKE.Enc、復号アルゴリズムSKE.Decの３つのアルゴリズムにより構成される。つまり、SKE=(SKE.Gen, SKE.Enc, SKE.Dec)である。鍵生成アルゴリズムSKE.Genは秘密鍵Kを出力する。暗号化アルゴリズムSKE.Encは、秘密鍵Kとメッセージmを入力とし、暗号文cを出力する。つまり、c=SKE.Enc(K, m)となる。復号アルゴリズムSKE.Decは、秘密鍵Kと暗号文cを入力とし、メッセージm（またはエラー⊥）を出力する。つまり、m=SKE.Dec(K, c)となる。

なお、本発明の実施形態で説明する内積関数型暗号技術が安全であるためには、ある種の識別不可能性（具体的には、Indistinguishability under Chosen-Plaintext Attack（選択的平文攻撃のもとでの識別不可能性））を満たす共通鍵暗号を用いる必要がある。共通鍵暗号及び上記識別不可能性については、例えば、参考非特許文献１に記載されている。
（参考非特許文献１：COSC 530: Lecture Notes on Symmetric-Key Encryption, [online], ［平成29年12月4日検索］、インターネット<URL: http://people.cs.georgetown.edu/~adam/fa15530/cs530-lec4.pdf>）

［擬似ランダム関数］
PRF={F_к: FS_к×Dom_к→Rng_к}_кを鍵空間{FS_к}_к、定義域{Dom_к}_к、値域{Rng_к}_кを持つ関数族とする。このとき、もし任意の多項式時間の識別者Dに対して、関数F_кと真正ランダム関数RF_к: Dom_к→Rng_кが見分けられなければ、PRF={F_к}_кを擬似ランダム関数族と呼ぶ。擬似ランダム関数の具体例は、例えば、参考非特許文献２に記載されている。
（参考非特許文献２：O.ゴールドライヒ，“現代暗号・確率的証明・擬似乱数”，シュプリンガー・フェアラーク東京，2001年）
なお、共通鍵暗号及び擬似ランダム関数は任意の一方向性関数から構成できることが広く知られている。また、実用上、共通鍵暗号を実現したものとしてAES(Advanced Encryption Standard)を用いることが多い。

［双対ペアリングベクトル空間(DPVS: Dual Pairing Vector Space)］
位数が素数pの巡回群~G₁, ~G₂, ~G_Tを考える。また、巡回群~G₁, ~G₂, ~G_Tの生成元をそれぞれG₁, G₂, g_Tとする。これらの巡回群の間には非退化双線型写像e: ~G₁×~G₂→~G_Tがあるものとする。このとき、~V=~G₁ ^m, ~V^*=~G₂ ^mはそれぞれZ_p上のm次元ベクトル空間となり、これらを合わせて双対ペアリングベクトル空間DPVS=(p, ~G₁, ~G₂, ~G_T, G₁, G₂, g_T, e, ~V, ~V^*)と呼ぶ。詳しくは、例えば、参考非特許文献３に記載されている。
（参考非特許文献３：T. Okamoto and K. Takashima, “Fully secure functional encryption with general relations from the decisional linear assumption”, In T. Rabin, editor, CRYPTO 2010, vol. 6223 of LNCS, pp. 191-208, Springer, Heidelberg, Aug. 2010.）

また、Z_p上のm次正方行列Bをランダムに選び、その双対行列B^*をB^*=ν(B^-1)^T（νはZ_pのランダムな値）と定義する。そして、双対ペアリングベクトル空間DPVS上の行列~B、~B^*を、それぞれ行列BをG₁の係数に持つ行列、行列B^*をG₂の係数に持つ行列と定義する。すなわち、B=(b_i,j) _{(1≦i, j≦n)}, B^*=(b^* _i,j) _{(1≦i, j≦n)}とすると、~B=(b_i,jG₁) _{(1≦i, j≦n)}, ~B^*=(b^* _i,jG₂) _{(1≦i, j≦n)}である。このとき、~B, ~B^*の各行はそれぞれ~V, ~V^*の基底となる。

さらに、双対ペアリングベクトル空間DPVSのベクトル(x)_~B, (y)_~B*に対して、e((x)_~B, (y)_~B*)を各要素のペアリングの積によりe(G₁, G₂)^νx.yを求める関数とする。(x)_~B, (y)_~B*はそれぞれ~Bの各行を基底ベクトルとする一次結合として表されるベクトル、~B^*の各行を基底ベクトルとする一次結合として表されるベクトルであり、x・yは内積を表す。

なお、以下では、巡回群~G₁, ~G₂, ~G_Tはk-線形仮定と呼ばれる性質が成り立つ双線型群であるとする。双線型群の具体例は、例えば、参考非特許文献４に記載されている。また、k-線形仮定の定義については、例えば、参考非特許文献５に記載されている。k-線形仮定が成り立つ双線型群を楕円曲線から構成する一例が参考非特許文献５に、上記楕円曲線のより一般的な構成方法が参考非特許文献６に記載されている。
（参考非特許文献４：D. Boneh and M. K. Franklin, “Identity-based encryption from the Weil pairing”, In J. Kilian, editor, CRYPTO 2001, vol. 2139 of LNCS, pp. 213-229, Springer, Heidelberg, Aug. 2001.）
（参考非特許文献５：Allison B. Lewko and Brent Waters, “Efficient pseudorandom functions from the decisional linear assumption and weaker variants”, Proceedings of the 2009 ACM Conference on Computer and Communications Security, CCS 2009, Chicago, Illinois, USA, pp. 112-120, Nov. 2009.）
（参考非特許文献６：David Freeman, Michael Scott and Edlyn Teske, “A taxonomy of pairing-friendly elliptic curves, IACR Cryptology ePrint Archive, vol. 2006, pp. 372, http://eprint.iacr.org/2006/372, 2006.）

＜技術的背景＞
以下、２つの関数秘匿性を持つ複数入力内積関数型暗号について説明する。１つ目が引数に制限がある複数入力内積関数型暗号であり、２つ目が引数に制限がない複数入力内積関数型暗号である。ここで、引数に制限がないとは、当該暗号の利用開始時に引数の集合を決定する必要がなく、暗号化や復号鍵生成時に任意の引数を指定できることをいう。

引数に制限がある複数入力内積関数型暗号では、暗号の利用開始時に扱う引数の集合をあらかじめ決定する必要があり、それ以降変更することができない。そして、復号鍵はその決定された引数の集合に対するものしか作ることができない。しかし、暗号化したいデータは、随時増えていくことが通常であり、利用開始時に扱う引数を固定することは非常に不都合である。このような場合に、引数に制限がない複数入力内積関数型暗号は有効である。

以下、まず、引数に制限がある複数入力内積関数型暗号について説明する。その後、引数に制限がない複数入力内積関数型暗号について説明する。
［引数に制限がある複数入力内積関数型暗号］
引数に制限がある複数入力内積関数型暗号は、Setup, KeyGen, Enc, Decの４つのアルゴリズムから構成される。

（セットアップアルゴリズムSetup(k, n, m, 1^λ)）
kを任意の自然数とする。ただし、kの値が大きいほど安全性は高くなる。

セットアップアルゴリズムSetupは、公開パラメータppとマスター秘密鍵mskを生成、出力する。公開パラメータppを、内積関数の引数の数であるアリティn(nは1以上の整数)、内積関数の定義に用いるベクトルの次元m、巡回群~G₁, ~G₂, ~G_Tの記述、巡回群の位数p、非退化双線型写像eの記述、巡回群~G₁, ~G₂, ~G_Tの生成元G₁, G₂, g_Tとする。このとき、e(G₁, G₂)^ν=g_T(νはZ_pの要素)となるようにする。また、マスター秘密鍵mskを以下のように生成する。
(1) Z_p上の2m+2k+1次元正則行列B₁, …, B_nをランダムに選ぶ。
(2) すべてのι∈[n]に対して、B_ι ^*=ν(B_ι ^-1)^Tとする。
(3) SKE.Genにより生成した共通鍵暗号の秘密鍵Kとする。
(4) 秘密鍵Kと同じビット長λのビット列κ₁, …, κ_nを以下の式を満たすようにランダムに選ぶ。

(5) msk=(B₁, …, B_n, B₁ ^*, …, B_n ^*, κ₁, …, κ_n)とする。

（鍵生成アルゴリズムKeyGen(pp, msk, {y_ι}_ι∈[n])）
鍵生成アルゴリズムKeyGenは、引数のインデックス1, …, nに対応するm次元ベクトルy₁, …, y_nを埋め込んだ復号鍵skを生成、出力する。具体的には、復号鍵skを以下のように生成する。なお、m次元ベクトルy₁, …, y_nが内積関数の定義に用いるベクトルである。
(1) {r_ι}_ι∈[n]をZ_pから以下の式を満たすようにランダムに選ぶ。

(2) すべてのι∈[n]に対して、2m+2k+1次元ベクトルk_ιを以下のように計算する。なお、0ⁱは0のi個の列を表す。

つまり、ベクトルk_ιは行列~B_ι ^*の各行を基底ベクトルとする一次結合として計算される。
(3) sk=SKE.Enc(K, {k_ι}_ι∈[n])とする。

（暗号化アルゴリズムEnc(pp, msk, ι, x_ι)）
暗号化アルゴリズムEncは、入力されたm次元ベクトルx_ιを引数のインデックスιに対応させて暗号化し、暗号文ct_ιを生成、出力する。具体的には、暗号文ct_ιを以下のように生成する。
(1) 2m+2k+1次元ベクトルc_ιを以下のように計算する。

つまり、ベクトルc_ιは行列~B_ιの各行を基底ベクトルとする一次結合として計算される。
(2) C_ι=SKE.Enc(K, c_ι)とし、ct_ι=(κ_ι, C_ι, ι)とする。

（復号アルゴリズムDec(pp, sk, {ct_ι}_ι∈[n])）
復号アルゴリズムDecは、引数1, …, nに対応する暗号文ct₁, …, ct_nを一つずつとり、復号鍵skを用いてそれらを復号、関数値Σx_ι・y_ιを生成、出力する。具体的には、関数値Σx_ι・y_ιを以下のように生成する。
(1) 共通鍵暗号の秘密鍵K'を以下の式で計算する。

(2) {k'_ι}_ι∈[n]=SKE.Dec(K', sk)、c'_ι=SKE.Dec(K', C_ι) (ι∈[n])と計算する。
(3) h_Tを以下の式で計算する。

なお、式(6)の右辺のeは、＜記法・用語＞で説明したように、非退化双線型写像eを用いて定義される双対ペアリングベクトル空間DPVS上の関数である。
(4) g_T ^z=h_Tを満たすz（zはZ_pの要素）を探索し、見つかったらそれを関数値Σx_ι・y_ιとして出力する。

［引数に制限がない複数入力内積関数型暗号］
ここでは、共通鍵暗号の鍵生成アルゴリズムSKE.Genが出力する秘密鍵はλビットのビット列集合からランダムに選んだビット列であるものとする。また、kを任意の自然数として、F₁, F₂をF₁:{0, 1}^λ×{0, 1}^λ→Z_p ^{(2m+2k+1)×(2m+2k+1)}, F₂: {0, 1}^λ×{0, 1}^λ→{0, 1}^λであるような鍵空間、定義域、値域を持つ擬似ランダム関数とする。さらに、引数のインデックス集合をSとし、集合Sの要素を昇順に並べたときのi番目の要素をs_iと表記する。

引数に制限がない複数入力内積関数型暗号は、Setup, KeyGen, Enc, Decの４つのアルゴリズムから構成される。

（セットアップアルゴリズムSetup(k, m, 1^λ)）
kは任意の自然数とする。ただし、kの値が大きいほど安全性は高くなる。

セットアップアルゴリズムSetupは、公開パラメータppとマスター秘密鍵mskを生成、出力する。公開パラメータppを、内積関数の定義に用いるベクトルの次元m、巡回群~G₁, ~G₂, ~G_Tの記述、巡回群の位数p、非退化双線型写像eの記述、巡回群~G₁, ~G₂, ~G_Tの生成元G₁, G₂, g_Tとする。このとき、e(G₁, G₂)^ν=g_T(νはZ_pの要素)となるようにする。また、マスター秘密鍵mskを以下のように生成する。
(1) 2m+2k+1次元正則行列Dをランダムに選ぶ。
(2) D^*=ν(D^-1)^Tとする。
(3) 擬似ランダム関数の鍵K₁, K₂をλビットのビット列としてランダムに選ぶ。
(4) msk=(D, D^*, K₁, K₂)とする。

（鍵生成アルゴリズムKeyGen(pp, msk, S, {y_ι}_ι∈S)）
鍵生成アルゴリズムKeyGenは、引数のインデックス集合Sと集合Sに対応するm次元ベクトル{y_ι}_ι∈Sを入力とし、ベクトル{y_ι}_ι∈Sを埋め込んだ復号鍵sk_Sを生成、出力する。具体的には、復号鍵sk_Sを以下のように生成する。なお、m次元ベクトル{y_ι}_ι∈Sが内積関数の定義に用いるベクトルである。
(1) すべてのι∈Sに対して、擬似ランダム関数値W_ι=F₁(K₁, ι), κ_ι=F₂(K₂, ι)を計算する。ここで、W_ιは、Z_p上の2m+2k+1次元行列、κ_ιは、λビットのビット列である。
(2) すべてのι∈Sに対して、B_ι ^*=D^*(W_ι ^-1)^Tとする。W_ιが一つでも逆行列を持たなかった場合は処理を終了する。
(3) {r_ι}_ι∈SをZ_pから以下の式を満たすようにランダムに選ぶ。

(4) すべてのι∈Sに対して、2m+2k+1次元ベクトルk_ιを以下のように計算する。

つまり、ベクトルk_ιは行列~B_ι ^*の各行を基底ベクトルとする一次結合として計算される。
(5) {k_ι}_ι∈Sを以下のように繰り返し暗号化する。

(6) sk_S=(C_|S|, S)とする。

（暗号化アルゴリズムEnc(pp, msk, ι, x_ι)）
暗号化アルゴリズムEncは、入力されたベクトルx_ιを引数のインデックスιに対応させて暗号化し、暗号文ct_ιを生成、出力する。具体的には、暗号文ct_ιを以下のように生成する。
(1) 擬似ランダム関数値W_ι=F₁(K₁, ι), κ_ι=F₂(K₂, ι)を計算する。
(2) B_ι=DW_ιとする。
(3) 2m+2k+1次元ベクトルc_ιを以下のように計算する。

つまり、ベクトルc_ιは行列~B_ιの各行を基底ベクトルとする一次結合として計算される。
(4) ct_ι=(κ_ι, c_ι, ι)とする。

（復号アルゴリズムDec(pp, sk_S, {ct_ι}_ι∈S)）
復号アルゴリズムDecは、引数のインデックス集合Sの要素に対応する暗号文{ct_ι}_ι∈Sを一つずつとり、集合Sに対応する復号鍵sk_Sを用いてそれらを復号、関数値Σx_ι・y_ιを生成、出力する。具体的には、関数値Σx_ι・y_ιを以下のように生成する。
(1) 共通鍵暗号で暗号化されている復号鍵sk_Sを、暗号文に添付されている秘密鍵{κ_ι}_ι∈Sで繰り返し復号する。

(2) h_Tを以下の式で計算する。

なお、式(12)の右辺のeは、＜記法・用語＞で説明したように、非退化双線型写像eを用いて定義される双対ペアリングベクトル空間DPVS上の関数である。
(3) g_T ^z=h_Tを満たすz（zはZ_pの要素）を探索し、見つかったらそれを関数値Σx_ι・y_ιとして出力する。

＜第一実施形態＞
ここでは、＜技術的背景＞の［引数に制限がある複数入力内積関数型暗号］で説明した内積関数型暗号を実行するシステムである内積関数型暗号システム１０について説明する。

以下、＜記法・用語＞で説明したように、Zを整数の集合、pを素数、Z_p=Z/pZ、SKE=(SKE.Gen, SKE.Enc, SKE.Dec)を共通鍵暗号、~G₁, ~G₂, ~G_Tをそれぞれ位数が素数pの巡回群、G₁, G₂, g_Tをそれぞれ巡回群~G₁, ~G₂, ~G_Tの生成元、e: ~G₁×~G₂→~G_Tを非退化双線型写像、~V=~G₁ ^m, ~V^*=~G₂ ^mをそれぞれZ_p上のm次元ベクトル空間（ただし、mは1以上の整数）、(p, ~G₁, ~G₂, ~G_T, G₁, G₂, g_T, e, ~V, ~V^*)を双対ペアリングベクトル空間とする。なお、巡回群~G₁, ~G₂, ~G_Tはk-線形仮定を満たす双線型群であるとする。

［システム構成］
図１を参照して、内積関数型暗号システム１０について説明する。図１は、内積関数型暗号システム１０の構成の一例を示すブロック図である。内積関数型暗号システム１０は、システムパラメータ生成装置１００、鍵生成装置２００、暗号化装置３００、復号装置４００を含む。システムパラメータ生成装置１００、鍵生成装置２００、暗号化装置３００、復号装置４００は、インターネットなどのネットワーク９００に接続し、相互に通信可能である。

次に、図２〜図５を参照して、システムパラメータ生成装置１００、鍵生成装置２００、暗号化装置３００、復号装置４００の各装置について説明する。図２は、システムパラメータ生成装置１００の構成の一例を示すブロック図である。システムパラメータ生成装置１００は、公開パラメータ生成部１１０、マスター秘密鍵生成部１２０、送受信部１８０、記録部１９０を含む。更に、マスター秘密鍵生成部１２０は、正則行列生成部１２１、双対行列計算部１２２、ビット列生成部１２３、マスター秘密鍵出力部１２４を含む。送受信部１８０は、システムパラメータ生成装置１００がその他の装置と交換する必要がある情報を適宜送受信するための構成部である。記録部１９０は、システムパラメータ生成装置１００の処理に必要な情報を適宜記録する構成部である。例えば、生成した公開パラメータppやマスター秘密鍵mskを記録する。また、共通鍵暗号の秘密鍵Kを記録しておく。

図３は、鍵生成装置２００の構成の一例を示すブロック図である。鍵生成装置２００は、Z_p要素生成部２１０、ベクトル計算部２２０、復号鍵生成部２３０、送受信部２８０、記録部２９０を含む。送受信部２８０は、鍵生成装置２００がその他の装置と交換する必要がある情報を適宜送受信するための構成部である。記録部２９０は、鍵生成装置２００の処理に必要な情報を適宜記録する構成部である。例えば、システムパラメータ生成装置１００から取得した公開パラメータppやマスター秘密鍵mskを記録する。また、生成した復号鍵skを記録する。さらに、共通鍵暗号の秘密鍵Kを記録しておく。

図４は、暗号化装置３００の構成の一例を示すブロック図である。暗号化装置３００は、ベクトル計算部３１０、暗号文生成部３２０、送受信部３８０、記録部３９０を含む。送受信部３８０は、暗号化装置３００がその他の装置と交換する必要がある情報を適宜送受信するための構成部である。記録部３９０は、暗号化装置３００の処理に必要な情報を適宜記録する構成部である。例えば、システムパラメータ生成装置１００から取得した公開パラメータppやマスター秘密鍵mskを記録する。また、共通鍵暗号の秘密鍵Kを記録しておく。

図５は、復号装置４００の構成の一例を示すブロック図である。復号装置４００は、秘密鍵計算部４１０、ベクトル復号部４２０、双線型写像計算部４３０、関数値生成部４４０、送受信部４８０、記録部４９０を含む。送受信部４８０は、復号装置４００がその他の装置と交換する必要がある情報を適宜送受信するための構成部である。記録部４９０は、復号装置４００の処理に必要な情報を適宜記録する構成部である。例えば、システムパラメータ生成装置１００から取得した公開パラメータppを記録する。また、鍵生成装置２００から取得した復号鍵skを記録する。

［各装置における処理］
以下、図６〜図１０を参照して、システムパラメータ生成装置１００、鍵生成装置２００、暗号化装置３００、復号装置４００の各装置における処理について説明する。

ここで、kを1以上の整数、f(x₁, …, x_n)=Σ_ι∈[n]x_ι・y_ιを内積関数（ただし、nは1以上の整数、y₁, …, y_nは内積関数の定義に用いるm次元ベクトル）とする。

（システムパラメータ生成装置１００における処理）
システムパラメータ生成装置１００は、セットアップアルゴリズムSetupに対応する処理を実行する装置である。システムパラメータ生成装置１００は、公開パラメータppとマスター秘密鍵mskを生成する。以下、生成手順について説明する（図６参照）。

公開パラメータ生成部１１０は、公開パラメータppを生成する（Ｓ１１０）。公開パラメータppは、内積関数の引数の数であるアリティn、内積関数の定義に用いるベクトルの次元m、巡回群~G₁, ~G₂, ~G_Tの記述、巡回群の位数p、非退化双線型写像eの記述、巡回群~G₁, ~G₂, ~G_Tの生成元G₁, G₂, g_Tである。このとき、e(G₁, G₂)^ν=g_T(νはZ_pの要素)となるようにする。

マスター秘密鍵生成部１２０は、マスター秘密鍵mskを生成する（Ｓ１２０）。以下、図７を参照して、具体的に説明する。正則行列生成部１２１は、Z_p上の2m+2k+1次元正則行列B₁, …, B_nをランダムに生成する（Ｓ１２１）。

双対行列計算部１２２は、Ｓ１２１で生成した正則行列B₁, …, B_nからZ_p上の2m+2k+1次元行列である双対行列B₁ ^*, …, B_n ^*を計算する（Ｓ１２２）。具体的には、B_ι ^*=ν(B_ι ^-1)^T (ι∈[n])とする。

ビット列生成部１２３は、共通鍵暗号の秘密鍵Kと同じビット長のビット列κ₁, …, κ_nを所定の式を満たすようにランダムに生成する（Ｓ１２３）。ここで、所定の式とは式(1)のことである。また、秘密鍵Kは、共通鍵暗号の鍵生成アルゴリズムSKE.Genを用いて生成された秘密鍵である。

マスター秘密鍵出力部１２４は、Ｓ１２１で生成した正則行列B₁, …, B_n、Ｓ１２２で計算した双対行列B₁ ^*, …, B_n ^*、Ｓ１２３で生成したビット列κ₁, …, κ_nからマスター秘密鍵mskをmsk=(B₁, …, B_n, B₁ ^*, …, B_n ^*, κ₁, …, κ_n)として生成、出力する。（Ｓ１２４）。

鍵生成装置２００、暗号化装置３００は、公開パラメータppとマスター秘密鍵mskを、復号装置４００は公開パラメータppを取得し、それぞれ記録部に記録する。取得方法はどのようなものでもよく、例えば、システムセットアップ装置１００が各装置に送信するようにするとよい。

（鍵生成装置２００における処理）
鍵生成装置２００は、鍵生成アルゴリズムKeyGenに対応する処理を実行する装置である。鍵生成装置２００は、内積関数の定義に用いるm次元ベクトル{y_ι}_ι∈[n]から復号鍵skを生成する。以下、生成手順について説明する（図８参照）。

Z_p要素生成部２１０は、{r_ι}_ι∈[n]をZ_pから所定の式を満たすようにランダムに生成する（Ｓ２１０）。ここで、所定の式とは式(2)のことである。

ベクトル計算部２２０は、マスター秘密鍵mskとm次元ベクトル{y_ι}_ι∈[n]を用いて、Ｓ２１０で生成した{r_ι}_ι∈[n]から、所定の式により2m+2k+1次元ベクトル{k_ι}_ι∈[n]を計算する（Ｓ２２０）。ここで、所定の式とは式(3)のことである。

復号鍵生成部２３０は、共通鍵暗号の秘密鍵Kを用いて、Ｓ２２０で計算したベクトル{k_ι}_ι∈[n]から、復号鍵skをsk=SKE.Enc(K, {k_ι}_ι∈[n])として生成する（Ｓ２３０）。

復号装置４００は復号鍵skを取得し、記録部４９０に記録する。取得方法はどのようなものでもよく、例えば、鍵生成装置２００が復号装置４００に送信するようにするとよい。

（暗号化装置３００における処理）
暗号化装置３００は、暗号化アルゴリズムEncに対応する処理を実行する装置である。暗号化装置３００は、暗号化対象であるm次元ベクトル{x_ι}_ι∈[n]から暗号文{ct_ι}_ι∈[n]を生成する。以下、生成手順について説明する（図９参照）。

ベクトル計算部３１０は、マスター秘密鍵mskを用いて、m次元ベクトル{x_ι}_ι∈[n]から所定の式により2m+2k+1次元ベクトル{c_ι}_ι∈[n]を計算する（Ｓ３１０）。ここで、所定の式とは式(4)のことである。

暗号文生成部３２０は、共通鍵暗号の秘密鍵Kを用いて、Ｓ３１０で計算したベクトル{c_ι}_ι∈[n]から、C_ι=SKE.Enc(K, c_ι) (ι∈[n])を計算し、マスター秘密鍵mskを用いて、暗号文{ct_ι}_ι∈[n]（ただし、ct_ι=(κ_ι, C_ι, ι)）を生成する（Ｓ３２０）。

復号装置４００は暗号文{ct_ι}_ι∈[n]を取得し、記録部４９０に記録する。取得方法はどのようなものでもよく、例えば、暗号化装置３００が復号装置４００に送信するようにするとよい。

（復号装置４００における処理）
復号装置４００は、復号アルゴリズムDecに対応する処理を実行する装置である。復号装置４００は、暗号文{ct_ι}_ι∈[n]から関数値f(x₁, …, x_n)=Σ_ι∈[n]x_ι・y_ιを生成する。以下、生成手順について説明する（図１０参照）。

秘密鍵計算部４１０は、暗号文{ct_ι}_ι∈[n]から、所定の式により共通鍵暗号の秘密鍵K'を計算する（Ｓ４１０）。ここで、所定の式とは式(5)のことである。

ベクトル復号部４２０は、Ｓ４１０で計算した秘密鍵K'を用いて、復号鍵skと暗号文{ct_ι}_ι∈[n]から、{k'_ι}_ι∈[n]=SKE.Dec(K', sk)と{c'_ι}_ι∈[n]（ただし、c'_ι=SKE.Dec(K', C_ι)）を計算する（Ｓ４２０）。

双線型写像計算部４３０は、Ｓ４２０で計算した{k'_ι}_ι∈[n]と{c'_ι}_ι∈[n]から、所定の式により双線型写像値h_Tを計算する（Ｓ４３０）。ここで、所定の式とは式(6)のことである。

関数値生成部４４０は、Ｓ４３０で計算した双線型写像値h_Tに対してg_T ^z=h_Tを満たすZ_pの要素zを関数値f(x₁, …, x_n)として生成する（Ｓ４４０）。

本実施形態の発明によれば、関数秘匿性を持つ複数入力内積関数型暗号技術を構成することができる。これにより、クラウドサーバ上での計算を、複数入力内積関数型暗号を用いて実行する際に、どのような計算を行っているのかをサーバから秘匿したまま計算結果を得ることが可能になる。

＜第二実施形態＞
ここでは、＜技術的背景＞の［引数に制限がない複数入力内積関数型暗号］で説明した内積関数型暗号を実行するシステムである内積関数型暗号システム５０について説明する。

［システム構成］
図１１を参照して、内積関数型暗号システム５０について説明する。図１１は、内積関数型暗号システム５０の構成の一例を示すブロック図である。内積関数型暗号システム５０は、システムパラメータ生成装置５００、鍵生成装置６００、暗号化装置７００、復号装置８００を含む。システムパラメータ生成装置５００、鍵生成装置６００、暗号化装置７００、復号装置８００は、インターネットなどのネットワーク９００に接続し、相互に通信可能である。

次に、図１２〜図１５を参照して、システムパラメータ生成装置５００、鍵生成装置６００、暗号化装置７００、復号装置８００の各装置について説明する。図１２は、システムパラメータ生成装置５００の構成の一例を示すブロック図である。システムパラメータ生成装置５００は、公開パラメータ生成部５１０、マスター秘密鍵生成部５２０、送受信部５８０、記録部５９０を含む。更に、マスター秘密鍵生成部５２０は、正則行列生成部５２１、双対行列計算部５２２、鍵生成部５２３、マスター秘密鍵出力部５２４を含む。送受信部５８０は、システムパラメータ生成装置５００がその他の装置と交換する必要がある情報を適宜送受信するための構成部である。記録部５９０は、システムパラメータ生成装置５００の処理に必要な情報を適宜記録する構成部である。例えば、生成した公開パラメータppやマスター秘密鍵mskを記録する。

図１３は、鍵生成装置６００の構成の一例を示すブロック図である。鍵生成装置６００は、擬似ランダム関数値計算部６１０、行列積計算部６２０、Z_p要素生成部６３０、ベクトル計算部６４０、ベクトル暗号化部６５０、復号鍵生成部６６０、送受信部６８０、記録部６９０を含む。送受信部６８０は、鍵生成装置６００がその他の装置と交換する必要がある情報を適宜送受信するための構成部である。記録部６９０は、鍵生成装置６００の処理に必要な情報を適宜記録する構成部である。例えば、システムパラメータ生成装置５００から取得した公開パラメータppやマスター秘密鍵mskを記録する。また、生成した復号鍵sk_sを記録する。

図１４は、暗号化装置７００の構成の一例を示すブロック図である。暗号化装置７００は、擬似ランダム関数値計算部７１０、行列積計算部７２０、ベクトル計算部７３０、暗号文生成部７４０、送受信部７８０、記録部７９０を含む。送受信部７８０は、暗号化装置７００がその他の装置と交換する必要がある情報を適宜送受信するための構成部である。記録部７９０は、暗号化装置７００の処理に必要な情報を適宜記録する構成部である。例えば、システムパラメータ生成装置５００から取得した公開パラメータppやマスター秘密鍵mskを記録する。

図１５は、復号装置８００の構成の一例を示すブロック図である。復号装置８００は、ベクトル復号部８１０、双線型写像計算部８２０、関数値生成部８３０、送受信部８８０、記録部８９０を含む。送受信部８８０は、復号装置８００がその他の装置と交換する必要がある情報を適宜送受信するための構成部である。記録部８９０は、復号装置８００の処理に必要な情報を適宜記録する構成部である。例えば、システムパラメータ生成装置５００から取得した公開パラメータppを記録する。また、鍵生成装置６００から取得した復号鍵sk_sを記録する。

［各装置における処理］
以下、図１６〜図２０を参照して、システムパラメータ生成装置５００、鍵生成装置６００、暗号化装置７００、復号装置８００の各装置における処理について説明する。

ここで、k、λを1以上の整数とする。また、F₁:{0, 1}^λ×{0, 1}^λ→Z_p ^{(2m+2k+1)×(2m+2k+1)}, F₂: {0, 1}^λ×{0, 1}^λ→{0, 1}^λを擬似ランダム関数とする。さらに、S={s₁, …, s_|S|}を引数のインデックス集合（ただし、s_iはインデックス集合Sの要素を昇順に並べたときのi番目の要素）、f({x_ι}_ι∈S)=Σ_ι∈Sx_ι・y_ιを内積関数（ただし、y_ι (ι∈S)は内積関数の定義に用いるm次元ベクトル）とする。ただし、インデックス集合Sと内積関数f({x_ι}_ι∈S)については、鍵生成装置６００または暗号化装置７００のいずれかによる処理開始前までに指定するようにすればよい。

（システムパラメータ生成装置５００における処理）
システムパラメータ生成装置５００は、セットアップアルゴリズムSetupに対応する処理を実行する装置である。システムパラメータ生成装置５００は、公開パラメータppとマスター秘密鍵mskを生成する。以下、生成手順について説明する（図１６参照）。

公開パラメータ生成部５１０は、公開パラメータppを生成する（Ｓ５１０）。公開パラメータppは、内積関数の定義に用いるベクトルの次元m、巡回群~G₁, ~G₂, ~G_Tの記述、巡回群の位数p、非退化双線型写像eの記述、巡回群~G₁, ~G₂, ~G_Tの生成元G₁, G₂, g_Tである。このとき、e(G₁, G₂)^ν=g_T(νはZ_pの要素)となるようにする。

マスター秘密鍵生成部５２０は、マスター秘密鍵mskを生成する（Ｓ５２０）。以下、図１７を参照して、具体的に説明する。正則行列生成部５２１は、Z_p上の2m+2k+1次元正則行列Dをランダムに生成する（Ｓ５２１）。

双対行列計算部５２２は、Ｓ５２１で生成した正則行列DからZ_p上の2m+2k+1次元行列である双対行列D^*を計算する（Ｓ５２２）。具体的には、D^*=ν(D^-1)^Tとする。

鍵生成部５２３は、擬似ランダム関数の鍵K₁, K₂をλビットのビット列としてランダムに生成する（Ｓ５２３）。

マスター秘密鍵出力部５２４は、Ｓ５２１で生成した正則行列D、Ｓ５２２で計算した双対行列D^*、Ｓ５２３で生成した鍵K₁, K₂からマスター秘密鍵mskをmsk=(D, D^*, K₁, K₂)として生成、出力する。（Ｓ５２４）。

鍵生成装置６００、暗号化装置７００は、公開パラメータppとマスター秘密鍵mskを、復号装置８００は公開パラメータppを取得し、それぞれ記録部に記録する。取得方法はどのようなものでもよく、例えば、システムセットアップ装置５００が各装置に送信するようにするとよい。

（鍵生成装置６００における処理）
鍵生成装置６００は、鍵生成アルゴリズムKeyGenに対応する処理を実行する装置である。鍵生成装置６００は、インデックス集合Sと内積関数の定義に用いるm次元ベクトル{y_ι}_ι∈Sから復号鍵sk_sを生成する。以下、生成手順について説明する（図１８参照）。

擬似ランダム関数値計算部６１０は、マスター秘密鍵mskを用いて、擬似ランダム関数値{W_ι}_ι∈S（ただし、W_ι=F₁(K₁, ι)）, {κ_ι}_ι∈S（ただし、κ_ι=F₂(K₂, ι)）を計算する（Ｓ６１０）。

行列積計算部６２０は、マスター秘密鍵mskを用いて、Ｓ６１０で計算した擬似ランダム関数値{W_ι}_ι∈Sから行列積{B_ι ^*}_ι∈S（ただし、B_ι ^*=D^*(W_ι ^-1)^T）を計算する（Ｓ６２０）。

Z_p要素生成部６３０は、{r_ι}_ι∈SをZ_pから所定の式を満たすようにランダムに生成する（Ｓ６３０）。ここで、所定の式とは式(7)のことである。

ベクトル計算部６４０は、m次元ベクトル{y_ι}_ι∈Sを用いて、Ｓ６２０で計算した行列積{B_ι ^*}_ι∈SとＳ６３０で生成した{r_ι}_ι∈Sから、所定の式により2m+2k+1次元ベクトル{k_ι}_ι∈Sを計算する（Ｓ６４０）。ここで、所定の式とは式(8)のことである。

ベクトル暗号化部６５０は、Ｓ６１０で計算した擬似ランダム関数値{κ_ι}_ι∈SとＳ６４０で計算したベクトル{k_ι}_ι∈Sから所定の式によりC_|S|を計算する（Ｓ６５０）。ここで、所定の式とは式(9)のことである。

復号鍵生成部６６０は、インデックス集合Sを用いて、Ｓ６５０で計算したC_|S|から復号鍵sk_sをsk_S=(C_|S|, S)として生成する（Ｓ６６０）。

復号装置８００は復号鍵sk_sを取得し、記録部８９０に記録する。取得方法はどのようなものでもよく、例えば、鍵生成装置６００が復号装置８００に送信するようにするとよい。

（暗号化装置７００における処理）
暗号化装置７００は、暗号化アルゴリズムEncに対応する処理を実行する装置である。暗号化装置７００は、インデックス集合Sと暗号化対象であるm次元ベクトル{x_ι}_ι∈Sから暗号文{ct_ι}_ι∈Sを生成する。以下、生成手順について説明する（図１９参照）。

擬似ランダム関数値計算部７１０は、マスター秘密鍵mskを用いて、擬似ランダム関数値{W_ι}_ι∈S（ただし、W_ι=F₁(K₁, ι)）, {κ_ι}_ι∈S（ただし、κ_ι=F₂(K₂, ι)）を計算する（Ｓ７１０）。

行列積計算部７２０は、マスター秘密鍵mskを用いて、Ｓ７１０で計算した擬似ランダム関数値{W_ι}_ι∈Sから行列積{B_ι}_ι∈S（ただし、B_ι=DW_ι）を計算する（Ｓ７２０）。

ベクトル計算部７３０は、Ｓ７２０で計算した行列積{B_ι}_ι∈Sとm次元ベクトル{x_ι}_ι∈Sから所定の式により2m+2k+1次元ベクトル{c_ι}_ι∈Sを計算する（Ｓ７３０）。ここで、所定の式とは式(10)のことである。

暗号文生成部７４０は、Ｓ７１０で計算した擬似ランダム関数値{κ_ι}_ι∈SとＳ７３０で計算したベクトル{c_ι}_ι∈Sから暗号文{ct_ι}_ι∈S（ただし、ct_ι=(κ_ι, c_ι, ι)）を生成する（Ｓ７４０）。

復号装置８００は暗号文{ct_ι}_ι∈Sを取得し、記録部８９０に記録する。取得方法はどのようなものでもよく、例えば、暗号化装置７００が復号装置８００に送信するようにするとよい。

（復号装置８００における処理）
復号装置８００は、復号アルゴリズムDecに対応する処理を実行する装置である。復号装置８００は、暗号文{ct_ι}_ι∈Sから関数値f({x_ι}_ι∈S)=Σ_ι∈Sx_ι・y_ιを生成する。以下、生成手順について説明する（図２０参照）。

ベクトル復号部８１０は、暗号文{ct_ι}_ι∈Sを用いて、復号鍵sk_sから所定の式により{k'_ι}_ι∈Sを計算する（Ｓ８１０）。ここで、所定の式とは式(11)のことである。

双線型写像計算部８２０は、Ｓ８１０で計算した{k'_ι}_ι∈Sと暗号文{ct_ι}_ι∈Sから、所定の式により双線型写像値h_Tを計算する（Ｓ８２０）。ここで、所定の式とは式(12)のことである。

関数値生成部８３０は、Ｓ８２０で計算した双線型写像値h_Tに対してg_T ^z=h_Tを満たすZ_pの要素zを関数値f({x_ι}_ι∈S)として生成する（Ｓ８３０）。

本実施形態の発明によれば、関数秘匿性を持つ複数入力内積関数型暗号技術を構成することができる。これにより、クラウドサーバ上での計算を、複数入力内積関数型暗号を用いて実行する際に、どのような計算を行っているのかをサーバから秘匿したまま計算結果を得ることが可能になる。また、暗号利用開始時に引数の集合を決める必要がなくなり、暗号化、鍵生成を行う際に引数を自由に設定できるようになるため実用上非常に便利になる。

＜補記＞
本発明の装置は、例えば単一のハードウェアエンティティとして、キーボードなどが接続可能な入力部、液晶ディスプレイなどが接続可能な出力部、ハードウェアエンティティの外部に通信可能な通信装置（例えば通信ケーブル）が接続可能な通信部、ＣＰＵ（Central Processing Unit、キャッシュメモリやレジスタなどを備えていてもよい）、メモリであるＲＡＭやＲＯＭ、ハードディスクである外部記憶装置並びにこれらの入力部、出力部、通信部、ＣＰＵ、ＲＡＭ、ＲＯＭ、外部記憶装置の間のデータのやり取りが可能なように接続するバスを有している。また必要に応じて、ハードウェアエンティティに、ＣＤ−ＲＯＭなどの記録媒体を読み書きできる装置（ドライブ）などを設けることとしてもよい。このようなハードウェア資源を備えた物理的実体としては、汎用コンピュータなどがある。

ハードウェアエンティティの外部記憶装置には、上述の機能を実現するために必要となるプログラムおよびこのプログラムの処理において必要となるデータなどが記憶されている（外部記憶装置に限らず、例えばプログラムを読み出し専用記憶装置であるＲＯＭに記憶させておくこととしてもよい）。また、これらのプログラムの処理によって得られるデータなどは、ＲＡＭや外部記憶装置などに適宜に記憶される。

ハードウェアエンティティでは、外部記憶装置（あるいはＲＯＭなど）に記憶された各プログラムとこの各プログラムの処理に必要なデータが必要に応じてメモリに読み込まれて、適宜にＣＰＵで解釈実行・処理される。その結果、ＣＰＵが所定の機能（上記、…部、…手段などと表した各構成要件）を実現する。

本発明は上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。また、上記実施形態において説明した処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されるとしてもよい。

既述のように、上記実施形態において説明したハードウェアエンティティ（本発明の装置）における処理機能をコンピュータによって実現する場合、ハードウェアエンティティが有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記ハードウェアエンティティにおける処理機能がコンピュータ上で実現される。

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、ＤＶＤ（Digital Versatile Disc）、ＤＶＤ−ＲＡＭ（Random Access Memory）、ＣＤ−ＲＯＭ（Compact Disc Read Only Memory）、ＣＤ−Ｒ（Recordable）／ＲＷ（ReWritable）等を、光磁気記録媒体として、ＭＯ（Magneto-Optical disc）等を、半導体メモリとしてＥＥＰ−ＲＯＭ（Electronically Erasable and Programmable-Read Only Memory）等を用いることができる。

また、このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ−ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、ハードウェアエンティティを構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims

Zを整数の集合、pを素数、Z_p=Z/pZ、SKE=(SKE.Gen, SKE.Enc, SKE.Dec)を共通鍵暗号、~G₁, ~G₂, ~G_Tをそれぞれ位数が素数pの巡回群、G₁, G₂, g_Tをそれぞれ巡回群~G₁, ~G₂, ~G_Tの生成元、e: ~G₁×~G₂→~G_Tを非退化双線型写像、~V=~G₁ ^m, ~V^*=~G₂ ^mをそれぞれZ_p上のm次元ベクトル空間（ただし、mは1以上の整数）、(p, ~G₁, ~G₂, ~G_T, G₁, G₂, g_T, e, ~V, ~V^*)を双対ペアリングベクトル空間とし、
前記巡回群~G₁, ~G₂, ~G_Tはk-線形仮定を満たす双線型群であり、
kを1以上の整数、f(x₁, …, x_n)=Σ_ι∈[n]x_ι・y_ιを内積関数（ただし、nは1以上の整数、y₁, …, y_nは内積関数の定義に用いるm次元ベクトル）、νをe(G₁, G₂)^ν=g_Tを満たすZ_pの要素、ppをアリティn、ベクトルの次元m、巡回群~G₁, ~G₂, ~G_Tの記述、巡回群の位数p、非退化双線型写像eの記述、巡回群~G₁, ~G₂, ~G_Tの生成元G₁, G₂, g_Tからなる公開パラメータ、msk=(B₁, …, B_n, B₁ ^*, …, B_n ^*, κ₁, …, κ_n)をマスター秘密鍵（ただし、B₁, …, B_nはZ_p上の2m+2k+1次元正則行列、B_ι ^*=ν(B_ι ^-1)^T (ι∈[n])、KはSKE.Genにより生成した共通鍵暗号の秘密鍵、κ₁, …, κ_nは次式を満たす秘密鍵Kと同じビット長のビット列）とし、

m次元ベクトル{x_ι}_ι∈[n]から暗号文{ct_ι}_ι∈[n]を生成する暗号化装置であって、
マスター秘密鍵mskを用いて、前記ベクトル{x_ι}_ι∈[n]から次式により2m+2k+1次元ベクトル{c_ι}_ι∈[n]を計算するベクトル計算部と、

秘密鍵Kを用いて、前記ベクトル{c_ι}_ι∈[n]から、C_ι=SKE.Enc(K, c_ι) (ι∈[n])を計算し、マスター秘密鍵mskを用いて、前記暗号文{ct_ι}_ι∈[n]（ただし、ct_ι=(κ_ι, C_ι, ι)）を生成する暗号文生成部と
を含む暗号化装置。
Zを整数の集合、pを素数、Z_p=Z/pZ、SKE=(SKE.Gen, SKE.Enc, SKE.Dec)を共通鍵暗号、~G₁, ~G₂, ~G_Tをそれぞれ位数が素数pの巡回群、G₁, G₂, g_Tをそれぞれ巡回群~G₁, ~G₂, ~G_Tの生成元、e: ~G₁×~G₂→~G_Tを非退化双線型写像、~V=~G₁ ^m, ~V^*=~G₂ ^mをそれぞれZ_p上のm次元ベクトル空間（ただし、mは1以上の整数）、(p, ~G₁, ~G₂, ~G_T, G₁, G₂, g_T, e, ~V, ~V^*)を双対ペアリングベクトル空間とし、
前記巡回群~G₁, ~G₂, ~G_Tはk-線形仮定を満たす双線型群であり、
kを1以上の整数、f(x₁, …, x_n)=Σ_ι∈[n]x_ι・y_ιを内積関数（ただし、nは1以上の整数、y₁, …, y_nは内積関数の定義に用いるm次元ベクトル）、νをe(G₁, G₂)^ν=g_Tを満たすZ_pの要素、ppをアリティn、ベクトルの次元m、巡回群~G₁, ~G₂, ~G_Tの記述、巡回群の位数p、非退化双線型写像eの記述、巡回群~G₁, ~G₂, ~G_Tの生成元G₁, G₂, g_Tからなる公開パラメータ、sk=SKE.Enc(K, {k_ι}_ι∈[n])を復号鍵（ただし、{r_ι}_ι∈[n]はΣ_ι∈[n]r_ι=0を満たすZ_pの要素、B₁, …, B_nはZ_p上の2m+2k+1次元正則行列、B_ι ^*=ν(B_ι ^-1)^T (ι∈[n])、{k_ι}_ι∈[n]は次式で計算される2m+2k+1次元ベクトル）とし、

前記復号鍵skを用いて、m次元ベクトル{x _ι } _ι∈[n] から生成された暗号文{ct_ι}_ι∈[n]（ただし、ct_ι=(κ_ι, C_ι, ι)、KはSKE.Genにより生成した共通鍵暗号の秘密鍵、κ ₁ , …, κ _n は次式を満たす秘密鍵Kと同じビット長のビット列、

{c _ι } _ι∈[n] は前記ベクトル{x _ι } _ι∈[n] から次式により計算された2m+2k+1次元ベクトル、

C _ι =SKE.Enc(K, c _ι ) (ι∈[n])）から関数値f(x₁, …, x_n)を生成する復号装置であって、
前記暗号文{ct_ι}_ι∈[n]から、次式により秘密鍵K'を計算する秘密鍵計算部と、

前記秘密鍵K'を用いて、前記復号鍵skと前記暗号文{ct_ι}_ι∈[n]から{k'_ι}_ι∈[n]=SKE.Dec(K', sk)と{c'_ι}_ι∈[n]（ただし、c'_ι=SKE.Dec(K', C_ι)）を計算するベクトル復号部と、
前記{k'_ι}_ι∈[n]と前記{c'_ι}_ι∈[n]から、次式により双線型写像値h_Tを計算する双線型写像計算部と、

前記双線型写像値h_Tに対してg_T ^z=h_Tを満たすZ_pの要素zを前記関数値f(x₁, …, x_n)として生成する関数値生成部と
を含む復号装置。
Zを整数の集合、pを素数、Z_p=Z/pZ、SKE=(SKE.Gen, SKE.Enc, SKE.Dec)を共通鍵暗号、~G₁, ~G₂, ~G_Tをそれぞれ位数が素数pの巡回群、G₁, G₂, g_Tをそれぞれ巡回群~G₁, ~G₂, ~G_Tの生成元、e: ~G₁×~G₂→~G_Tを非退化双線型写像、~V=~G₁ ^m, ~V^*=~G₂ ^mをそれぞれZ_p上のm次元ベクトル空間（ただし、mは1以上の整数）、(p, ~G₁, ~G₂, ~G_T, G₁, G₂, g_T, e, ~V, ~V^*)を双対ペアリングベクトル空間とし、
前記巡回群~G₁, ~G₂, ~G_Tはk-線形仮定を満たす双線型群であり、
k、λを1以上の整数、νをe(G₁, G₂)^ν=g_Tを満たすZ_pの要素、ppをベクトルの次元m、巡回群~G₁, ~G₂, ~G_Tの記述、巡回群の位数p、非退化双線型写像eの記述、巡回群~G₁, ~G₂, ~G_Tの生成元G₁, G₂, g_Tからなる公開パラメータ、msk=(D, D^*, K₁, K₂)をマスター秘密鍵（ただし、DはZ_p上の2m+2k+1次元正則行列、D^*=ν(D^-1)^T、K₁, K₂はλビットのビット列）とし、
F₁:{0, 1}^λ×{0, 1}^λ→Z_p ^{(2m+2k+1)×(2m+2k+1)}, F₂: {0, 1}^λ×{0, 1}^λ→{0, 1}^λを擬似ランダム関数、S={s₁, …, s_|S|}を引数のインデックス集合（ただし、s_iはインデックス集合Sの要素を昇順に並べたときのi番目の要素）、f({x_ι}_ι∈S)=Σ_ι∈Sx_ι・y_ιを内積関数（ただし、y_ι (ι∈S)は内積関数の定義に用いるm次元ベクトル）とし、
m次元ベクトル{x_ι}_ι∈Sから暗号文{ct_ι}_ι∈Sを生成する暗号化装置であって、
マスター秘密鍵mskを用いて、擬似ランダム関数値{W_ι}_ι∈S（ただし、W_ι=F₁(K₁, ι)）, {κ_ι}_ι∈S（ただし、κ_ι=F₂(K₂, ι)）を計算する擬似ランダム関数値計算部と、
マスター秘密鍵mskを用いて、前記擬似ランダム関数値{W_ι}_ι∈Sから行列積{B_ι}_ι∈S（ただし、B_ι=DW_ι）を計算する行列積計算部と、
前記行列積{B_ι}_ι∈Sと前記ベクトル{x_ι}_ι∈Sから次式により2m+2k+1次元ベクトル{c_ι}_ι∈Sを計算するベクトル計算部と、

前記擬似ランダム関数値{κ_ι}_ι∈Sと前記ベクトル{c_ι}_ι∈Sから前記暗号文{ct_ι}_ι∈S（ただし、ct_ι=(κ_ι, c_ι, ι)）を生成する暗号文生成部と
を含む暗号化装置。
Zを整数の集合、pを素数、Z_p=Z/pZ、SKE=(SKE.Gen, SKE.Enc, SKE.Dec)を共通鍵暗号、~G₁, ~G₂, ~G_Tをそれぞれ位数が素数pの巡回群、G₁, G₂, g_Tをそれぞれ巡回群~G₁, ~G₂, ~G_Tの生成元、e: ~G₁×~G₂→~G_Tを非退化双線型写像、~V=~G₁ ^m, ~V^*=~G₂ ^mをそれぞれZ_p上のm次元ベクトル空間（ただし、mは1以上の整数）、(p, ~G₁, ~G₂, ~G_T, G₁, G₂, g_T, e, ~V, ~V^*)を双対ペアリングベクトル空間とし、
前記巡回群~G₁, ~G₂, ~G_Tはk-線形仮定を満たす双線型群であり、
k、λを1以上の整数、νをe(G₁, G₂)^ν=g_Tを満たすZ_pの要素、ppをベクトルの次元m、巡回群~G₁, ~G₂, ~G_Tの記述、巡回群の位数p、非退化双線型写像eの記述、巡回群~G₁, ~G₂, ~G_Tの生成元G₁, G₂, g_Tからなる公開パラメータとし、
F₁:{0, 1}^λ×{0, 1}^λ→Z_p ^{(2m+2k+1)×(2m+2k+1)}, F₂: {0, 1}^λ×{0, 1}^λ→{0, 1}^λを擬似ランダム関数、S={s₁, …, s_|S|}を引数のインデックス集合（ただし、s_iはインデックス集合Sの要素を昇順に並べたときのi番目の要素）、f({x_ι}_ι∈S)=Σ_ι∈Sx_ι・y_ιを内積関数（ただし、y_ι (ι∈S)は内積関数の定義に用いるm次元ベクトル）、sk_S=(C_|S|, S)を復号鍵（ただし、K₁, K₂はλビットのビット列、W_ι=F₁(K₁, ι) (ι∈S), κ_ι=F₂(K₂, ι) (ι∈S)、DはZ_p上の2m+2k+1次元正則行列、D^*=ν(D^-1)^T、B_ι ^*=D^*(W_ι ^-1)^T (ι∈S)、{r_ι}_ι∈SはΣ_ι∈Sr_ι=0を満たすZ_pの要素、{k_ι}_ι∈Sは次式で計算される2m+2k+1次元ベクトル）とし、

前記復号鍵sk_Sを用いて、m次元ベクトル{x _ι } _ι∈S から生成された暗号文{ct_ι}_ι∈S（ただし、ct_ι=(κ_ι, c_ι, ι)、{c _ι } _ι∈S は行列積{B _ι } _ι∈S （ただし、B _ι =DW _ι ）と前記ベクトル{x _ι } _ι∈S から次式により計算された2m+2k+1次元ベクトル）から関数値f({x_ι}_ι∈S)を生成する復号装置であって、

前記暗号文{ct_ι}_ι∈Sを用いて、前記復号鍵sk_sから次式により{k'_ι}_ι∈Sを計算するベクトル復号部と、

前記{k'_ι}_ι∈Sと前記暗号文{ct_ι}_ι∈Sから、次式により双線型写像値h_Tを計算する双線型写像計算部と、

前記双線型写像値h_Tに対してg_T ^z=h_Tを満たすZ_pの要素zを前記関数値f({x_ι}_ι∈S)として生成する関数値生成部と
を含む復号装置。
Zを整数の集合、pを素数、Z_p=Z/pZ、SKE=(SKE.Gen, SKE.Enc, SKE.Dec)を共通鍵暗号、~G₁, ~G₂, ~G_Tをそれぞれ位数が素数pの巡回群、G₁, G₂, g_Tをそれぞれ巡回群~G₁, ~G₂, ~G_Tの生成元、e: ~G₁×~G₂→~G_Tを非退化双線型写像、~V=~G₁ ^m, ~V^*=~G₂ ^mをそれぞれZ_p上のm次元ベクトル空間（ただし、mは1以上の整数）、(p, ~G₁, ~G₂, ~G_T, G₁, G₂, g_T, e, ~V, ~V^*)を双対ペアリングベクトル空間とし、
前記巡回群~G₁, ~G₂, ~G_Tはk-線形仮定を満たす双線型群であり、
kを1以上の整数、f(x₁, …, x_n)=Σ_ι∈[n]x_ι・y_ιを内積関数（ただし、nは1以上の整数、y₁, …, y_nは内積関数の定義に用いるm次元ベクトル）、νをe(G₁, G₂)^ν=g_Tを満たすZ_pの要素、ppをアリティn、ベクトルの次元m、巡回群~G₁, ~G₂, ~G_Tの記述、巡回群の位数p、非退化双線型写像eの記述、巡回群~G₁, ~G₂, ~G_Tの生成元G₁, G₂, g_Tからなる公開パラメータ、msk=(B₁, …, B_n, B₁ ^*, …, B_n ^*, κ₁, …, κ_n)をマスター秘密鍵（ただし、B₁, …, B_nはZ_p上の2m+2k+1次元正則行列、B_ι ^*=ν(B_ι ^-1)^T (ι∈[n])、KはSKE.Genにより生成した共通鍵暗号の秘密鍵、κ₁, …, κ_nは次式を満たす秘密鍵Kと同じビット長のビット列）とし、

暗号化装置が、m次元ベクトル{x_ι}_ι∈[n]から暗号文{ct_ι}_ι∈[n]を生成する暗号化方法であって、
マスター秘密鍵mskを用いて、前記ベクトル{x_ι}_ι∈[n]から次式により2m+2k+1次元ベクトル{c_ι}_ι∈[n]を計算するベクトル計算ステップと、

秘密鍵Kを用いて、前記ベクトル{c_ι}_ι∈[n]から、C_ι=SKE.Enc(K, c_ι) (ι∈[n])を計算し、マスター秘密鍵mskを用いて、前記暗号文{ct_ι}_ι∈[n]（ただし、ct_ι=(κ_ι, C_ι, ι)）を生成する暗号文生成ステップと
を含む暗号化方法。
Zを整数の集合、pを素数、Z_p=Z/pZ、SKE=(SKE.Gen, SKE.Enc, SKE.Dec)を共通鍵暗号、~G₁, ~G₂, ~G_Tをそれぞれ位数が素数pの巡回群、G₁, G₂, g_Tをそれぞれ巡回群~G₁, ~G₂, ~G_Tの生成元、e: ~G₁×~G₂→~G_Tを非退化双線型写像、~V=~G₁ ^m, ~V^*=~G₂ ^mをそれぞれZ_p上のm次元ベクトル空間（ただし、mは1以上の整数）、(p, ~G₁, ~G₂, ~G_T, G₁, G₂, g_T, e, ~V, ~V^*)を双対ペアリングベクトル空間とし、
前記巡回群~G₁, ~G₂, ~G_Tはk-線形仮定を満たす双線型群であり、
kを1以上の整数、f(x₁, …, x_n)=Σ_ι∈[n]x_ι・y_ιを内積関数（ただし、nは1以上の整数、y₁, …, y_nは内積関数の定義に用いるm次元ベクトル）、νをe(G₁, G₂)^ν=g_Tを満たすZ_pの要素、ppをアリティn、ベクトルの次元m、巡回群~G₁, ~G₂, ~G_Tの記述、巡回群の位数p、非退化双線型写像eの記述、巡回群~G₁, ~G₂, ~G_Tの生成元G₁, G₂, g_Tからなる公開パラメータ、sk=SKE.Enc(K, {k_ι}_ι∈[n])を復号鍵（ただし、{r_ι}_ι∈[n]はΣ_ι∈[n]r_ι=0を満たすZ_pの要素、B₁, …, B_nはZ_p上の2m+2k+1次元正則行列、B_ι ^*=ν(B_ι ^-1)^T (ι∈[n])、{k_ι}_ι∈[n]は次式で計算される2m+2k+1次元ベクトル）とし、

復号装置が、前記復号鍵skを用いて、m次元ベクトル{x _ι } _ι∈[n] から生成された暗号文{ct_ι}_ι∈[n]（ただし、ct_ι=(κ_ι, C_ι, ι) 、KはSKE.Genにより生成した共通鍵暗号の秘密鍵、κ ₁ , …, κ _n は次式を満たす秘密鍵Kと同じビット長のビット列、

{c _ι } _ι∈[n] は前記ベクトル{x _ι } _ι∈[n] から次式により計算された2m+2k+1次元ベクトル、

C _ι =SKE.Enc(K, c _ι ) (ι∈[n])）から関数値f(x₁, …, x_n)を生成する復号方法であって、
前記暗号文{ct_ι}_ι∈[n]から、次式により秘密鍵K'を計算する秘密鍵計算ステップと、

前記秘密鍵K'を用いて、前記復号鍵skと前記暗号文{ct_ι}_ι∈[n]から{k'_ι}_ι∈[n]=SKE.Dec(K', sk)と{c'_ι}_ι∈[n]（ただし、c'_ι=SKE.Dec(K', C_ι)）を計算するベクトル復号ステップと、
前記{k'_ι}_ι∈[n]と前記{c'_ι}_ι∈[n]から、次式により双線型写像値h_Tを計算する双線型写像計算ステップと、

前記双線型写像値h_Tに対してg_T ^z=h_Tを満たすZ_pの要素zを前記関数値f(x₁, …, x_n)として生成する関数値生成ステップと
を含む復号方法。
請求項１または３に記載の暗号化装置としてコンピュータを機能させるためのプログラム。
請求項２または４に記載の復号装置としてコンピュータを機能させるためのプログラム。