JP6988912B2

JP6988912B2 - 鍵交換システム、端末装置、鍵交換方法、プログラム、および記録媒体

Info

Publication number: JP6988912B2
Application number: JP2019557118A
Authority: JP
Inventors: 皓羽金城; 裕樹岡野; 恆和齋藤
Original assignee: Nippon Telegraph and Telephone Corp
Current assignee: Nippon Telegraph and Telephone Corp
Priority date: 2017-11-29
Filing date: 2018-11-12
Publication date: 2022-01-05
Anticipated expiration: 2038-11-12
Also published as: US11316676B2; US20200322141A1; WO2019107129A1; JPWO2019107129A1

Description

本発明は、暗号技術に関し、特に多者間鍵交換技術に関する。

多者間鍵交換技術にはｍｅｓｈ型の鍵交換であるＧＫＥ(Group Key Exchange)とｓｔａｒ型の鍵交換であるＭＫＤ(Multi Key Distribution)がある。これらの鍵交換は参加人数に比例して通信コストが上がる、鍵配送管理装置に共有鍵を伝達してしまう等の課題があった。これらの課題を解決したのがＤＭＫＤ(Dynamic Multi-Cast Key Distribution: Scalable, Dynamic and Provably Secure Construction)である（例えば、特許文献１および非特許文献１等参照）。この方式では、人数に依らず定数Roundで鍵交換を行うことができ、鍵配送管理装置にも共有鍵を秘匿できる。

近年量子コンピュータの研究開発は急激に進んでおり、暗号の安全性を脅かすものとなっている。それに伴い、量子コンピュータの解読にも耐え得る暗号方式の検討が進められている。量子コンピュータによる解読に耐え得る暗号のことを「耐量子安全」である暗号という。

特開２０１６−１３４８２６号公報

Kazuki Yoneyama, Reo Yoshida, Yuto Kawahara, Tetsutaro Kobayashi, Hitoshi Fuji, Tomohide Yamamoto, "Multi-Cast Key Distribution: Scalable, Dynamic and Provably Secure Construction," International Conference on Provable Security (ProvSec 2016), LNCS10005, pp.207-226, Nov. 2016.

ＤＭＫＤは多者間の鍵交換を効率よく安全に行うことができるが、耐量子安全でない。そのため、今後、十分な計算量を持った量子コンピュータが実用化すると、安全性が担保されない。またＤＭＫＤは耐量子性を持たせることが困難なＤＨ（Diffie-Hellman）型の二者間鍵交換に基づいており、ＤＭＫＤを耐量子安全な方式に変更することも容易ではない。

本発明はこのような点に鑑みてなされたものであり、耐量子性を持つ多者間鍵交換技術を提供することを目的とする。

端末装置Ｕ_ｉは、公開鍵暗号方式の耐量子計算機暗号に則った鍵カプセル復号鍵ｓｋ_ｉを格納し、鍵カプセル復号鍵ｓｋ_ｉに対応する鍵暗号化鍵ｐｋ_ｉを出力する。ただし、ｎが３以上の整数であり、ｉ＝１，…，ｎである。

端末装置Ｕ_ｉは、耐量子計算機暗号に則った鍵暗号化鍵ｐｋ_{（ｉｍｏｄｎ）＋１}を受け付け、乱数ｋ_ｉを設定し、鍵暗号化鍵ｐｋ_{（ｉｍｏｄｎ）＋１}を用い、二者間共有鍵Ｒ_{ｉ，（ｉｍｏｄｎ）＋１}および二者間共有鍵Ｒ_{ｉ，（ｉｍｏｄｎ）＋１}の暗号文である鍵カプセルＣ_{ｉ，（ｉｍｏｄｎ）＋１}を得、鍵カプセルＣ_{ｉ，（ｉｍｏｄｎ）＋１}を出力し、鍵カプセルＣ_{（ｉ−２ｍｏｄｎ）＋１，ｉ}を受け付ける。ただし、正整数αに対して−１ｍｏｄ α＝α−１である。

端末装置Ｕ_１は、鍵カプセル復号鍵ｓｋ_１を用いて鍵カプセルＣ_ｎ，１を復号して二者間共有鍵Ｒ_ｎ，１を得、二者間共有鍵Ｒ_ｎ，１の関数値Ｋ_１ ^（Ｌ）を得、二者間共有鍵Ｒ_１，２の関数値Ｋ_１ ^（Ｒ）を得、関数値Ｋ_１ ^（Ｌ）と関数値Ｋ_１ ^（Ｒ）との排他的論理和Ｔ_１を得、乱数ｋ_１の関数値と関数値Ｋ_１ ^（Ｌ）との排他的論理和Ｔ’を得、排他的論理和Ｔ_１およびＴ’を出力する。端末装置Ｕ_ｖは、鍵カプセル復号鍵ｓｋ_ｖを用いて鍵カプセルＣ_{（ｖ−２ｍｏｄｎ）＋１，ｖ}を復号して二者間共有鍵Ｒ_{（ｖ−２ｍｏｄｎ）＋１，ｖ}を得、二者間共有鍵Ｒ_{（ｖ−２ｍｏｄｎ）＋１，ｖ}の関数値Ｋ_ｖ ^（Ｌ）を得、二者間共有鍵Ｒ_{ｖ，（ｖｍｏｄｎ）＋１}の関数値Ｋ_ｖ ^（Ｒ）を得、関数値Ｋ_ｖ ^（Ｌ）と関数値Ｋ_ｖ ^（Ｒ）との排他的論理和Ｔ_ｖを得、乱数ｋ_ｖおよび排他的論理和Ｔ_ｖを出力する。ただし、ｖ＝２，…，ｎである。

鍵配送管理装置は、乱数ｋ_２，…，ｋ_ｎを含む複数の値の排他的論理和ｋ’を得て出力し、排他的論理和Ｔ_１，…，Ｔ_ｖ‐１の排他的論理和Ｔ_ｖ’を得て出力する。

端末装置Ｕ_１は、排他的論理和ｋ’と乱数ｋ_１との排他的論理和の関数値を共有鍵ＳＫとして得る。端末装置Ｕ_ｖは、排他的論理和Ｔ_ｖ’と関数値Ｋ_ｖ ^（Ｌ）との排他的論理和によって関数値Ｋ_１ ^（Ｌ）を得、排他的論理和Ｔ’と関数値Ｋ_１ ^（Ｌ）との排他的論理和によって乱数ｋ_１の関数値を得、排他的論理和ｋ’と乱数ｋ_１の関数値から得られる乱数ｋ_１との排他的論理和の関数値を共有鍵ＳＫとして得る。

以上により、耐量子性を持つ多者間鍵交換を実現できる。

［図１］図１は第１実施形態の鍵交換システムの構成を例示したブロック図である。
［図２］図２は実施形態の端末装置の構成を例示したブロック図である。
［図３］図３は実施形態の鍵配送管理装置の構成を例示したブロック図である。
［図４］図４は実施形態の鍵交換方法（Round1）を説明するための図である。
［図５］図５は実施形態の鍵交換方法（Round2）を説明するための図である。
［図６］図６は実施形態の鍵交換方法（Round3）を説明するための図である。
［図７］図７は実施形態の鍵交換方法（共有鍵生成）を説明するための図である。
［図８］図８は第２実施形態の鍵交換システムの構成を例示したブロック図である。
［図９］図９は実施形態の端末装置の構成を例示したブロック図である。
［図１０］図１０は端末装置が追加された際に行われる実施形態の鍵交換方法（Roun
d1）を説明するための図である。
［図１１］図１１は端末装置が追加された際に行われる実施形態の鍵交換方法（Roun
d2）を説明するための図である。
［図１２］図１２は端末装置が追加された際に行われる実施形態の鍵交換方法（Roun
d3）を説明するための図である。
［図１３］図１３は端末装置が追加された際に行われる実施形態の鍵交換方法（共有
鍵生成）を説明するための図である。
［図１４］図１４は第３実施形態の鍵交換システムの構成を例示したブロック図であ
る。
［図１５］図１５は端末装置が除外された際に行われる実施形態の鍵交換方法（Roun
d1）を説明するための図である。
［図１６］図１６は端末装置が除外された際に行われる実施形態の鍵交換方法（Roun
d2）を説明するための図である。
［図１７］図１７は端末装置が除外された際に行われる実施形態の鍵交換方法（Roun
d3）を説明するための図である。
［図１８］図１８は端末装置が除外された際に行われる実施形態の鍵交換方法（共有
鍵生成）を説明するための図である。

以下、図面を参照して本発明の実施形態を説明する。
［第１実施形態］
第１実施形態を説明する。第１実施形態では複数の端末装置の間で共有鍵を共有する処理を説明する。
＜構成＞
図１に例示するように、本形態の鍵交換システム１は、ｎ個の端末装置１００−１〜１００−ｎ（端末装置Ｕ_１，…，Ｕ_ｎ）と鍵配送管理装置１５０とを有する。ｎは３以上の整数である。各端末装置１００−ｉ（端末装置Ｕ_ｉ）（ただし、ｉ＝１，…，ｎ）は、インターネット等を通じて鍵配送管理装置１５０と通信可能に構成されている。

図２に例示するように、端末装置１００−ｉは、入力部１０１−ｉ、出力部１０２−ｉ、記憶部１０３−ｉ、制御部１０４−ｉ、鍵ペア生成部１０５−ｉ、乱数設定部１０６−ｉ、二者間共有鍵生成部１０７−ｉ、復号部１０８−ｉ、関数演算部１０９−ｉ、排他的論理和部１１０−ｉ、関数値復元部１１１−ｉ、乱数復元部１１３−ｉ、および共有鍵生成部１１２−ｉを有する。端末装置１００−ｉは、制御部１０４−ｉの制御の下で各処理を実行する。当該処理で得られたデータは記憶部１０３−ｉに格納され、必要に応じて記憶部１０３−ｉから読み出されて他の処理に用いられる。

図３に例示するように、鍵配送管理装置１５０は、入力部１５１、出力部１５２、演算部１５３、制御部１５４、ＳＩＤ設定部１５５、排他的論理和部１５６、および記憶部１５７を有する。鍵配送管理装置１５０は、制御部１５４の制御の下で各処理を実行する。当該処理で得られたデータは記憶部１５７に格納され、必要に応じて記憶部１５７から読み出されて他の処理に用いられる。

＜処理＞
次に、本形態の鍵交換処理を説明する。本形態の鍵交換処理は、Ｒｏｕｎｄ１〜３および共有鍵生成を含む。
≪Ｒｏｕｎｄ１（図４）≫
端末装置１００−ｉ（図２）の鍵ペア生成部１０５−ｉ（ただし、ｉ＝１，…，ｎ）は、公開鍵暗号方式の耐量子計算機暗号に則った鍵カプセル復号鍵ｓｋ_ｉおよび当該鍵カプセル復号鍵ｓｋ_ｉに対応する鍵暗号化鍵ｐｋ_ｉからなる鍵ペア（ｐｋ_ｉ，ｓｋ_ｉ）を生成する。例えば、鍵ペア生成部１０５−ｉは、乱数ｒ_ｉを生成し、これを鍵カプセル化アルゴリズムの鍵生成アルゴリズムに適用して鍵ペア（ｐｋ_ｉ，ｓｋ_ｉ）を生成して出力する。乱数は疑似乱数であってもよいし、真正乱数であってもよい（以下、同様）。公開鍵暗号方式の耐量子計算機暗号としては、例えば、格子暗号、コードベース暗号などを例示できる。鍵カプセル化アルゴリズムとしては、例えば、以下のものを用いることができる。
参考文献１：Chris Peikert, Lattice Cryptography for the Internet, PQCrypto 2014, LNCS 8772, pp. 197-219, 2014.
生成された鍵カプセル復号鍵ｓｋ_ｉおよび鍵暗号化鍵ｐｋ_ｉは各端末装置１００−ｉの記憶部１０３−ｉに格納される。また、鍵暗号化鍵ｐｋ_ｉは出力部１０２−ｉから出力され、鍵配送管理装置１５０に送信される。

鍵暗号化鍵ｐｋ_ｉは鍵配送管理装置１５０（図３）の入力部１５１に入力される（受け付けられる）。鍵暗号化鍵ｐｋ_ｉが入力部１５１に入力され次第、制御部１５４は当該鍵暗号化鍵ｐｋ_ｉを出力部１５２に送り、出力部１５２は当該鍵暗号化鍵ｐｋ_ｉを端末装置１００−（（ｉ−２ｍｏｄｎ）＋１）に送信する。なお、正整数αに対して−１ｍｏｄ α＝α−１を満たす。

≪Ｒｏｕｎｄ２（図５）≫
端末装置１００−ｉ（図２）の入力部１０１−ｉは鍵暗号化鍵ｐｋ_{（ｉｍｏｄｎ）＋１}を受信し（受け付け）、鍵暗号化鍵ｐｋ_{（ｉｍｏｄｎ）＋１}を記憶部１０３−ｉに格納する。

端末装置１００−ｉの乱数設定部１０６−ｉは乱数ｋ_ｉを設定して出力する。乱数ｋ_ｉは記憶部１０３−ｉに格納される。

端末装置１００−ｉの二者間共有鍵生成部１０７−ｉは、鍵暗号化鍵ｐｋ_{（ｉｍｏｄｎ）＋１}を用い、二者間共有鍵Ｒ_{ｉ，（ｉｍｏｄｎ）＋１}および当該二者間共有鍵Ｒ_{ｉ，（ｉｍｏｄｎ）＋１}の暗号文である鍵カプセルＣ_{ｉ，（ｉｍｏｄｎ）＋１}を得て出力する。例えば、二者間共有鍵生成部１０７−ｉは参考文献１に記載された方法で二者間共有鍵Ｒ_{ｉ，（ｉｍｏｄｎ）＋１}および鍵カプセルＣ_{ｉ，（ｉｍｏｄｎ）＋１}を生成して出力する。二者間共有鍵Ｒ_{ｉ，（ｉｍｏｄｎ）＋１}は記憶部１０３−ｉに格納される。鍵カプセルＣ_{ｉ，（ｉｍｏｄｎ）＋１}は出力部１０２−ｉから出力され、鍵配送管理装置１５０に送信される。

鍵配送管理装置１５０（図３）の入力部１５１は、各端末装置１００−ｉ（ただし、ｉ＝１，…，ｎ）から送信された鍵カプセルＣ_{ｉ，（ｉｍｏｄｎ）＋１}を受信する。ＳＩＤ設定部１５５はｓｉｄ（セッションＩＤ）を生成し、代表端末装置として端末装置１００−１を選択する。演算部１５３は（ｓｉｄ，Ｃ_{ｉ，（ｉｍｏｄｎ）＋１}）を生成する。（ｓｉｄ，Ｃ_{ｉ，（ｉｍｏｄｎ）＋１}）は出力部１５２から出力され、端末装置１００−（（ｉｍｏｄｎ）＋１）に送信される。すなわち、出力部１５２は（ｓｉｄ，Ｃ_{（ｉ−２ｍｏｄｎ）＋１，ｉ}）を端末装置１００−ｉに送信する。また、出力部１５２は、端末装置１００−１に対し、端末装置１００−１が代表端末装置として選択された旨を表す情報（代表通知）を送信する。

≪Ｒｏｕｎｄ３（図６）≫
本形態のＲｏｕｎｄ３の処理は、端末装置１００−１（端末装置Ｕ_１）とそれ以外の端末装置１００−ｖ（端末装置Ｕ_ｖ）とで相違する。ただし、ｖ＝２，…，ｎである。

端末装置１００−１（端末装置Ｕ_１）：
（ｓｉｄ，Ｃ_ｎ，１）および代表通知は、端末装置１００−１の入力部１０１−１に入力される（受け付けられる）。代表通知が受信された場合、制御部１０４−１は以下の制御を行う。

復号部１０８−１は、記憶部１０３−１から読み出した鍵カプセル復号鍵ｓｋ_１を用い、鍵カプセルＣ_ｎ，１を復号して二者間共有鍵Ｒ_ｎ，１を得て出力する。例えば、復号部１０８−１は、参考文献１に記載された方法で二者間共有鍵Ｒ_ｎ，１を得て出力する。二者間共有鍵Ｒ_ｎ，１は記憶部１０３−１に格納される。

次に、関数演算部１０９−１は、二者間共有鍵Ｒ_ｎ，１の関数値Ｋ_１ ^（Ｌ）を得て出力する。関数値Ｋ_１ ^（Ｌ）は二者間共有鍵Ｒ_ｎ，１のみに依存する値であってもよいし、二者間共有鍵Ｒ_ｎ，１と他の付加情報とに依存する値であってもよい。「α_３のみに依存する値」はα_３そのものであってもよいし、α_３に対応する値であってもよい。ただし、後述のＫ_ｎ ^（Ｒ）に対してＫ_１ ^（Ｌ）＝Ｋ_ｎ ^（Ｒ）を満たさなければならない。例えば、関数演算部１０９−１は、二者間共有鍵Ｒ_ｎ，１とｓｉｄとに依存する関数値Ｋ_１ ^（Ｌ）＝Ｆ（ｓｉｄ，Ｒ_ｎ，１）
を得て出力する。Ｆ（α_１，α_２）の例は、α_１とα_２とのビット連結値α_１｜α_２の関数値である。Ｆの例は一方向性関数である。一方向性関数の例は、ハッシュ関数（例えば、暗号学的なハッシュ関数）である。関数値Ｋ_１ ^（Ｌ）は記憶部１０３−１に格納される。

また、関数演算部１０９−１は、記憶部１０３−１から二者間共有鍵Ｒ_１，２を読み出し、当該二者間共有鍵Ｒ_１，２の関数値Ｋ_１ ^（Ｒ）を得て出力する。関数値Ｋ_１ ^（Ｒ）は二者間共有鍵Ｒ_１，２のみに依存する値であってもよいし、二者間共有鍵Ｒ_１，２と他の付加情報とに依存する値であってもよい。ただし、後述のＫ_２ ^（Ｌ）に対してＫ_１ ^（Ｒ）＝Ｋ_２ ^（Ｌ）を満たさなければならない。例えば、関数演算部１０９−１は、二者間共有鍵Ｒ_１，２とｓｉｄとに依存する関数値
Ｋ_１ ^（Ｒ）＝Ｆ（ｓｉｄ，Ｒ_１，２）
を得て出力する。関数値Ｋ_１ ^（Ｒ）は記憶部１０３−１に格納される。

関数値Ｋ_１ ^（Ｌ）と関数値Ｋ_１ ^（Ｒ）とは排他的論理和部１１０−１に入力される。排他的論理和部１１０−１は、関数値Ｋ_１ ^（Ｌ）と関数値Ｋ_１ ^（Ｒ）との排他的論理和
Ｔ_１＝Ｋ_１ ^（Ｌ）（＋）Ｋ_１ ^（Ｒ）
を得て出力する。α_１（＋）α_２はα_１とα_２との排他的論理和を表す。α_１およびα_２の少なくとも一方がビット列でない場合、α_１とα_２との排他的論理和とは、ビット列で表現されたα_１およびα_２の排他的論理和を表す。

排他的論理和部１１０−１には、さらに記憶部１０３−１から読み込まれた乱数ｋ_１が入力される。排他的論理和部１１０−１は、乱数ｋ_１の関数値Ｂ（ｋ_１）と関数値Ｋ_１ ^（Ｌ）との排他的論理和
Ｔ’＝Ｂ（ｋ_１）（＋）Ｋ_１ ^（Ｌ）
を得て出力する。関数値Ｂ（ｋ_１）は乱数ｋ_１のみに依存する値であってもよいし、乱数ｋ_１と他の付加情報とに依存する値であってもよい。ただし、関数値Ｂ（ｋ_１）から容易に乱数ｋ_１を抽出できなければならない。関数値Ｂ（ｋ_１）の例は乱数ｋ_１と他の付加情報βとのビット連結ｋ_１｜βである。

排他的論理和Ｔ_１およびＴ’は出力部１０２−１から出力され、鍵配送管理装置１５０に送信される。

端末装置１００−ｖ（端末装置Ｕ_ｖ）：
（ｓｉｄ，Ｃ_{（ｖ−２ｍｏｄｎ）＋１，ｖ}）は、端末装置１００−ｖ（ただし、ｖ＝２，…，ｎ）の入力部１０１−ｖに入力される（受け付けられる）。代表通知が受信されなかった場合、制御部１０４−ｖは以下の制御を行う。

復号部１０８−ｖは、記憶部１０３−ｖから読み出した鍵カプセル復号鍵ｓｋ_ｖを用い、鍵カプセルＣ_{（ｖ−２ｍｏｄｎ）＋１，ｖ}を復号して二者間共有鍵Ｒ_{（ｖ−２ｍｏｄｎ）＋１，ｖ}を得て出力する。例えば、復号部１０８−ｖは、参考文献１に記載された方法で二者間共有鍵Ｒ_{（ｖ−２ｍｏｄｎ）＋１，ｖ}を得て出力する。二者間共有鍵Ｒ_{（ｖ−２ｍｏｄｎ）＋１，ｖ}は記憶部１０３−ｖに格納される。

関数演算部１０９−ｖは、二者間共有鍵Ｒ_{（ｖ−２ｍｏｄｎ）＋１，ｖ}の関数値Ｋ_ｖ ^（Ｌ）を得て出力する。関数値Ｋ_ｖ ^（Ｌ）は二者間共有鍵Ｒ_{（ｖ−２ｍｏｄｎ）＋１，ｖ}のみに依存する値であってもよいし、二者間共有鍵Ｒ_{（ｖ−２ｍｏｄｎ）＋１，ｖ}と他の付加情報とに依存する値であってもよい。ただし、後述のＫ_{（ｖ−２ｍｏｄｎ）＋１} ^（Ｒ）に対してＫ_ｖ ^（Ｌ）＝Ｋ_{（ｖ−２ｍｏｄｎ）＋１} ^（Ｒ）を満たさなければならない。例えば、関数演算部１０９−ｖは、二者間共有鍵Ｒ_{（ｖ−２ｍｏｄｎ）＋１，ｖ}とｓｉｄとに依存する関数値
Ｋ_ｖ ^（Ｌ）＝Ｆ（ｓｉｄ，Ｒ_{（ｖ−２ｍｏｄｎ）＋１，ｖ}）
を得て出力する。関数値Ｋ_ｖ ^（Ｌ）は記憶部１０３−ｖに格納される。

関数演算部１０９−ｖは、記憶部１０３−ｖから二者間共有鍵Ｒ_{ｖ，（ｖｍｏｄｎ）＋１}を読み出し、当該二者間共有鍵Ｒ_{ｖ，（ｖｍｏｄｎ）＋１}の関数値Ｋ_ｖ ^（Ｒ）を得て出力する。関数値Ｋ_ｖ ^（Ｒ）は二者間共有鍵Ｒ_{ｖ，（ｖｍｏｄｎ）＋１}のみに依存する値であってもよいし、二者間共有鍵Ｒ_{ｖ，（ｖｍｏｄｎ）＋１}と他の付加情報とに依存する値であってもよい。ただし、Ｋ_ｖ ^（Ｒ）＝Ｋ_{（ｖｍｏｄｎ）＋１} ^（Ｌ）を満たさなければならない。例えば、関数演算部１０９−ｖは、二者間共有鍵Ｒ_{ｖ，（ｖｍｏｄｎ）＋１}とｓｉｄとに依存する関数値
Ｋ_ｖ ^（Ｒ）＝Ｆ（ｓｉｄ，Ｒ_{ｖ，（ｖｍｏｄｎ）＋１}）
を得て出力する。関数値Ｋ_ｖ ^（Ｒ）は記憶部１０３−ｖに格納される。

関数値Ｋ_ｖ ^（Ｌ）と関数値Ｋ_ｖ ^（Ｒ）とは排他的論理和部１１０−ｖに入力される。排他的論理和部１１０−ｖは、関数値Ｋ_ｖ ^（Ｌ）と関数値Ｋ_ｖ ^（Ｒ）との排他的論理和
Ｔ_ｖ＝Ｋ_ｖ ^（Ｌ）（＋）Ｋ_ｖ ^（Ｒ）
を得て出力する。

乱数ｋ_ｖおよび排他的論理和Ｔ_ｖは出力部１０２−ｖから出力され、鍵配送管理装置１５０に送信される。

排他的論理和Ｔ_１，…，Ｔ_ｎ、Ｔ’、および乱数ｋ_２，…，ｋ_ｎは、鍵配送管理装置１５０（図３）の入力部１５１に入力され、記憶部１５７に格納される。排他的論理和部１５６は、記憶部１５７から読み込んだ乱数ｋ_２，…，ｋ_ｎを含む複数の値の排他的論理和ｋ’を得て出力する。乱数ｋ_２，…，ｋ_ｎを含む複数の値の排他的論理和ｋ’は、乱数ｋ_２，…，ｋ_ｎの排他的論理和であってもよいし、乱数ｋ_２，…，ｋ_ｎと他の付加値との排他的論理和であってもよい。例えば、演算部１５３が乱数ｋ_ｓを生成し、排他的論理和部１５６が乱数ｋ_２，…，ｋ_ｎ，ｋ_ｓの排他的論理和
ｋ’＝ｋ_２（＋）…（＋）ｋ_ｎ（＋）ｋ_ｓ
を得て出力する。

また排他的論理和部１５６は、ｖ＝２，…，ｎについて、記憶部１５７から排他的論理和Ｔ_１，…，Ｔ_ｖ‐１を読み込み、排他的論理和Ｔ_１，…，Ｔ_ｖ‐１の排他的論理和
Ｔ_ｖ’＝Ｔ_１（＋）…（＋）Ｔ_ｖ‐１
を得て出力する。

出力部１５２は、排他的論理和ｋ’を端末装置１００−１に対して送信し、排他的論理和Ｔ’，ｋ’，Ｔ_ｖ’を端末装置１００−ｖ（ただし、ｖ＝２，…，ｎ）に対して送信する。

≪共有鍵生成（図７）≫
共有鍵生成の処理は、端末装置１００−１（端末装置Ｕ_１）とそれ以外の端末装置１００−ｖ（端末装置Ｕ_ｖ）とで相違する。

端末装置１００−１（端末装置Ｕ_１）：
排他的論理和ｋ’は、端末装置１００−１の入力部１０１−１に入力される（受け付けられる）。共有鍵生成部１１２−１は、当該排他的論理和ｋ’と記憶部１０３−１から読み出した乱数ｋ_１との排他的論理和ｋ’（＋）ｋ_１の関数値を共有鍵
ＳＫ＝Ｆ’（ｋ’（＋）ｋ_１）
として得て出力する。Ｆ’の例は一方向性関数である。共有鍵ＳＫは、ｋ’（＋）ｋ_１のみに依存する値であってもよいし、ｋ’（＋）ｋ_１と他の付加情報とに依存する値であってもよい。当該他の付加情報の例はｓｉｄや他の暗号方式（例えば、属性ベース暗号）に基づいて得られた鍵などである。
参考文献２（属性ベース暗号）：Yongtao Wang, "Lattice Ciphertext Policy Attribute-based Encryption in the Standard Model," International Journal of Network Security, Vol.16, No.6, PP.444-451, Nov. 2014.

端末装置１００−ｖ（端末装置Ｕ_ｖ）：
排他的論理和Ｔ’，ｋ’，Ｔ_ｖ’は、端末装置１００−ｖの入力部１０１−ｖに入力される（受け付けられる）。関数値復元部１１１−ｖは、当該排他的論理和Ｔ_ｖ’と記憶部１０３−ｖから読み出した関数値Ｋ_ｖ ^（Ｌ）との排他的論理和によって関数値Ｋ_１ ^（Ｌ）を得て出力する。関数値Ｋ_１ ^（Ｌ）が得られる理由は以下の通りである。
Ｔ_ｖ’（＋）Ｋ_ｖ ^（Ｌ）
＝Ｔ_１（＋）…（＋）Ｔ_ｖ‐１（＋）Ｋ_ｖ ^（Ｌ）
＝Ｋ_１ ^（Ｌ）（＋）Ｋ_１ ^（Ｒ）（＋）Ｋ_２ ^（Ｌ）（＋）Ｋ_２ ^（Ｒ）（＋）・・・（＋）Ｋ_ｖ−１ ^（Ｌ）（＋）Ｋ_ｖ−１ ^（Ｒ）（＋）Ｋ_ｖ ^（Ｌ）
＝Ｋ_１ ^（Ｌ）

乱数復元部１１３−ｖは、当該排他的論理和Ｔ’と当該関数値Ｋ_１ ^（Ｌ）との排他的論理和によって乱数ｋ_１の関数値Ｂ（ｋ_１）を得て出力する。関数値Ｂ（ｋ_１）が得られる理由は以下の通りである。
Ｔ’（＋）Ｋ_１ ^（Ｌ）
＝Ｂ（ｋ_１）（＋）Ｋ_１ ^（Ｌ）（＋）Ｋ_１ ^（Ｌ）
＝Ｂ（ｋ_１）

共有鍵生成部１１２−ｖは、関数値Ｂ（ｋ_１）（例えば、Ｂ（ｋ_１）＝ｋ_１｜β）から乱数ｋ_１を抽出し、排他的論理和ｋ’と関数値Ｂ（ｋ_１）から得られた乱数ｋ_１との排他的論理和ｋ’（＋）ｋ_１の関数値を共有鍵
ＳＫ＝Ｆ’（ｋ’（＋）ｋ_１）
として得て出力する。

各端末装置１００−ｉ（端末装置Ｕ_ｉ）の記憶部１０３−ｉ（ただし、ｉ＝１，…，ｎ）には、共有鍵ＳＫを用いて更新された関数値ｒ＝Ｆ”（ＳＫ）および二者間共有鍵Ｈ_ｉ ^（Ｌ）＝Ｒ_{（ｉ−２ｍｏｄｎ）＋１，ｉ}およびＨ_ｉ ^（Ｒ）＝Ｒ_{ｉ，（ｉｍｏｄｎ）＋１}が格納される。

＜本形態の特徴＞
本形態では、鍵カプセル型の二者間鍵交換を採用したため、公開鍵暗号方式の耐量子計算機暗号に則った二者間鍵交換が可能になり、これを利用することで耐量子安全な多者間鍵交換システムを構成できる。すなわち、Ｒｏｕｎｄ１で各端末装置が隣の端末装置に対して耐量子計算機暗号に則った鍵暗号化鍵を送信し、Ｒｏｕｎｄ２で各端末装置が受け取った鍵暗号化鍵を用いて二者間共有鍵の鍵カプセルを生成して鍵暗号化鍵の送信元の端末装置に返信し、Ｒｏｕｎｄ３で各端末装置が二者間共有鍵に基づく情報を生成して鍵配送管理装置に送信し、鍵配送管理装置がそれらの情報に基づいて得られる情報を各端末装置に配送する。各端末装置は配送された情報に基づいて共有鍵を計算できる。一方で鍵配送管理装置は各端末装置から送られた情報から共有鍵を知ることはできない。二者間共有鍵を共有する処理は耐量子安全であり、これに基づく多者間鍵交換も耐量子安全である。

［第２実施形態］
第２実施形態を説明する。第２実施形態では、第１実施形態の処理が行われた後、新たな端末装置１００−（ｎ＋１）（端末装置Ｕ_ｎ＋１）が追加され、ｎ＋１個の端末装置１００−１〜１００−（ｎ＋１）（端末装置Ｕ_１，…，Ｕ_ｎ＋１）で共有鍵ＳＫの共有を行う。

＜構成＞
図８に例示するように、本形態の鍵交換システム２は、ｎ個の端末装置１００−１〜１００−ｎ（端末装置Ｕ_１，…，Ｕ_ｎ）と新たに追加される端末装置１００−（ｎ＋１）（端末装置Ｕ_ｉ＋１）と鍵配送管理装置１５０とを有する。各端末装置１００−ｉ（端末装置Ｕ_ｉ）（ただし、ｉ＝１，…，ｎ）および端末装置１００−（ｎ＋１）は、インターネット等を通じて鍵配送管理装置１５０と通信可能に構成されている。

図９に例示するように、端末装置１００−（ｎ＋１）は、入力部１０１−（ｎ＋１）、出力部１０２−（ｎ＋１）、記憶部１０３−（ｎ＋１）、制御部１０４−（ｎ＋１）、鍵ペア生成部１０５−（ｎ＋１）、乱数設定部１０６−（ｎ＋１）、二者間共有鍵生成部１０７−（ｎ＋１）、復号部１０８−（ｎ＋１）、関数演算部１０９−（ｎ＋１）、排他的論理和部１１０−（ｎ＋１）、関数値復元部１１１−（ｎ＋１）、乱数復元部１１３−（ｎ＋１）、および共有鍵生成部１１２−（ｎ＋１）を有する。端末装置１００−（ｎ＋１）は、制御部１０４−（ｎ＋１）の制御の下で各処理を実行する。当該処理で得られたデータは記憶部１０３−（ｎ＋１）に格納され、必要に応じて記憶部１０３−（ｎ＋１）から読み出されて他の処理に用いられる。

＜処理＞
次に、端末装置１００−（ｎ＋１）が追加された後の鍵交換処理を説明する。本形態の鍵交換処理は、Ｒｏｕｎｄ１〜３および共有鍵生成を含む。前提として、各端末装置１００−ｉ（端末装置Ｕ_ｉ）（図２）の記憶部１０３−ｉ（ただし、ｉ＝1，…，ｎ）には、第１実施形態の処理で得られた共有鍵ＳＫの関数値ｒ＝Ｆ”（ＳＫ）、二者間共有鍵Ｈ_ｉ ^（Ｌ）＝Ｒ_{（ｉ−２ｍｏｄｎ）＋１，ｉ}およびＨ_ｉ ^（Ｒ）＝Ｒ_{ｉ，（ｉｍｏｄｎ）＋１}が格納されていることにする。

≪Ｒｏｕｎｄ１（図１０）≫
端末装置１００−１（端末装置Ｕ_１）：
端末装置１００−１（図２）の鍵ペア生成部１０５−１は、公開鍵暗号方式の耐量子計算機暗号に則った鍵カプセル復号鍵ｓｋ_１および当該鍵カプセル復号鍵ｓｋ_１に対応する鍵暗号化鍵ｐｋ_１からなる鍵ペア（ｐｋ_１，ｓｋ_１）を生成する。生成された鍵カプセル復号鍵ｓｋ_１および鍵暗号化鍵ｐｋ_１は記憶部１０３−１に格納される。また、鍵暗号化鍵ｐｋ_１は出力部１０２−１から出力され、鍵配送管理装置１５０に送信される。

端末装置１００−（ｎ＋１）（端末装置Ｕ_ｎ＋１）：
端末装置１００−（ｎ＋１）（図９）の鍵ペア生成部１０５−（ｎ＋１）は、公開鍵暗号方式の耐量子計算機暗号に則った鍵カプセル復号鍵ｓｋ_ｎ＋１および当該鍵カプセル復号鍵ｓｋ_ｎ＋１に対応する鍵暗号化鍵ｐｋ_ｎ＋１からなる鍵ペア（ｐｋ_ｎ＋１，ｓｋ_ｎ＋１）を生成する。生成された鍵カプセル復号鍵ｓｋ_ｎ＋１および鍵暗号化鍵ｐｋ_ｎ＋１は記憶部１０３−（ｎ＋１）に格納される。また、鍵暗号化鍵ｐｋ_ｎ＋１は出力部１０２−（ｎ＋１）から出力され、鍵配送管理装置１５０に送信される。

鍵暗号化鍵ｐｋ_１，ｐｋ_ｎ＋１は鍵配送管理装置１５０（図３）の入力部１５１に入力される。鍵暗号化鍵ｐｋ_１が入力部１５１に入力され次第、制御部１５４は当該鍵暗号化鍵ｐｋ_１を出力部１５２に送り、出力部１５２は当該鍵暗号化鍵ｐｋ_１を端末装置１００−（ｎ＋１）に送信する。鍵暗号化鍵ｐｋ_ｎ＋１が入力部１５１に入力され次第、制御部１５４は当該鍵暗号化鍵ｐｋ_ｎ＋１を出力部１５２に送り、出力部１５２は当該鍵暗号化鍵ｐｋ_ｎ＋１を端末装置１００−ｎに送信する。

≪Ｒｏｕｎｄ２（図１１）≫
端末装置１００−ｎ（端末装置Ｕ_ｎ）：
端末装置１００−ｎ（図２）の入力部１０１−ｎは鍵暗号化鍵ｐｋ_ｎ＋１を受信し、鍵暗号化鍵ｐｋ_ｎ＋１を記憶部１０３−ｎに格納する。

端末装置１００−ｎの乱数設定部１０６−ｎは乱数ｋ_ｎを設定して出力する。乱数ｋ_ｎは記憶部１０３−ｎに格納される。

二者間共有鍵生成部１０７−ｎは、鍵暗号化鍵ｐｋ_ｎ＋１を用い、二者間共有鍵Ｒ_{ｎ，ｎ＋１}および当該二者間共有鍵Ｒ_{ｎ，ｎ＋１}の暗号文である鍵カプセルＣ_{ｎ，ｎ＋１}を得て出力する（例えば、参考文献１等参照）。二者間共有鍵Ｒ_{ｎ，ｎ＋１}は記憶部１０３−ｎに格納される。鍵カプセルＣ_{ｎ，ｎ＋１}は出力部１０２−ｎから出力され、鍵配送管理装置１５０に送信される。

端末装置１００−（ｎ＋１）（端末装置Ｕ_ｎ＋１）：
端末装置１００−（ｎ＋１）（図９）の入力部１０１−（ｎ＋１）は鍵暗号化鍵ｐｋ_１を受信し（受け付け）、鍵暗号化鍵ｐｋ_１を記憶部１０３−（ｎ＋１）に格納する。

端末装置１００−（ｎ＋１）の乱数設定部１０６−（ｎ＋１）は乱数ｋ_ｎ＋１を設定して出力する。乱数ｋ_ｎ＋１は記憶部１０３−（ｎ＋１）に格納される。

二者間共有鍵生成部１０７−（ｎ＋１）は、鍵暗号化鍵ｐｋ_１を用い、二者間共有鍵Ｒ_{ｎ＋１，１}および当該二者間共有鍵Ｒ_{ｎ＋１，１}の暗号文である鍵カプセルＣ_{ｎ＋１，１}を得て出力する（例えば、参考文献１等参照）。二者間共有鍵Ｒ_{ｎ＋１，１}は記憶部１０３−（ｎ＋１）に格納される。鍵カプセルＣ_{ｎ＋１，１}は出力部１０２−（ｎ＋１）から出力され、鍵配送管理装置１５０に送信される。

端末装置１００−ρ（端末装置Ｕ_ρ）：
端末装置１００−ρ（ただし、ρ＝１，…，ｎ‐１）の乱数設定部１０６−ρは乱数ｋ_ρを設定して出力する。乱数ｋ_ρは記憶部１０３−ρに格納される。

鍵配送管理装置１５０（図３）の入力部１５１は、端末装置１００−ｎから送信された鍵カプセルＣ_{ｎ，ｎ＋１}、および端末装置１００−（ｎ＋１）から送信された鍵カプセルＣ_{ｎ＋１，１}を受信する。ＳＩＤ設定部１５５はｓｉｄを新たに生成し、代表端末装置として端末装置１００−１を選択する。演算部１５３は（ｓｉｄ，Ｃ_{ｎ，ｎ＋１}）および（ｓｉｄ，Ｃ_{ｎ＋１，１}）を生成する。（ｓｉｄ，Ｃ_{ｎ，ｎ＋１}）は出力部１５２から出力され、端末装置１００−（ｎ＋１）に送信される。（ｓｉｄ，Ｃ_{ｎ＋１，１}）は出力部１５２から出力され、端末装置１００−１に送信される。出力部１５２は、端末装置１００−１に対し、端末装置１００−１が代表端末装置として選択された旨を表す情報（代表通知）を送信する。さらにｓｉｄが出力部１５２から出力され、端末装置１００−ｖ（ただし、ｖ＝２，…，ｎ）に対して送信される。

≪Ｒｏｕｎｄ３（図１２）≫
本形態のＲｏｕｎｄ３の処理は、端末装置１００−１（端末装置Ｕ_１）と端末装置１００−ｎ（端末装置Ｕ_ｎ）と端末装置１００−（ｎ＋１）（端末装置Ｕ_ｎ＋１）とそれら以外の端末装置１００−ｚ（端末装置Ｕ_ｚ）とで相違する。ただし、ｚ＝２，…，ｎ−１である。

端末装置１００−１（端末装置Ｕ_１）：
（ｓｉｄ，Ｃ_{ｎ＋１，１}）および代表通知は、端末装置１００−１の入力部１０１−１に入力される。代表通知が受信された場合、制御部１０４−１は以下の制御を行う。

復号部１０８−１は、記憶部１０３−１から読み出した鍵カプセル復号鍵ｓｋ_１を用い、鍵カプセルＣ_{ｎ＋１，１}を復号して二者間共有鍵Ｒ_{ｎ＋１，１}を得て出力する。二者間共有鍵Ｒ_{ｎ＋１，１}は記憶部１０３−１に格納される。

次に、関数演算部１０９−１は、二者間共有鍵Ｒ_{ｎ＋１，１}の関数値Ｋ_１ ^（Ｌ）を得て出力する。関数値Ｋ_１ ^（Ｌ）は二者間共有鍵Ｒ_{ｎ＋１，１}のみに依存する値であってもよいし、二者間共有鍵Ｒ_{ｎ＋１，１}と他の付加情報とに依存する値であってもよい。ただし、後述のＫ_ｎ＋１ ^（Ｒ）に対してＫ_１ ^（Ｌ）＝Ｋ_ｎ＋１ ^（Ｒ）を満たさなければならない。例えば、関数演算部１０９−１は、二者間共有鍵Ｒ_{ｎ＋１，１}とｓｉｄとに依存する関数値
Ｋ_１ ^（Ｌ）＝Ｆ（ｓｉｄ，Ｒ_{ｎ＋１，１}）
を得て出力する。関数値Ｋ_１ ^（Ｌ）は記憶部１０３−１に格納される。

また、関数演算部１０９−１は、記憶部１０３−１から関数値ｒを読み出し、当該関数値ｒの関数値Ｋ_１ ^（Ｒ）を得て出力する。関数値Ｋ_１ ^（Ｒ）は関数値ｒのみに依存する値であってもよいし、関数値ｒと他の付加情報とに依存する値であってもよい。ただし、Ｋ_１ ^（Ｒ）＝Ｋ_ｎ ^（Ｌ）を満たさなければならない。例えば、関数演算部１０９−１は、関数値ｒとｓｉｄとに依存する関数値
Ｋ_１ ^（Ｒ）＝Ｆ（ｓｉｄ，ｒ）
を得て出力する。関数値Ｋ_１ ^（Ｒ）は記憶部１０３−１に格納される。

関数値Ｋ_１ ^（Ｌ）と関数値Ｋ_１ ^（Ｒ）とは排他的論理和部１１０−１に入力される。排他的論理和部１１０−１は、関数値Ｋ_１ ^（Ｌ）と関数値Ｋ_１ ^（Ｒ）との排他的論理和
Ｔ_１＝Ｋ_１ ^（Ｌ）（＋）Ｋ_１ ^（Ｒ）
を得て出力する。

排他的論理和部１１０−１には、さらに記憶部１０３−１から読み込まれた乱数ｋ_１が入力される。排他的論理和部１１０−１は、乱数ｋ_１の関数値Ｂ（ｋ_１）と関数値Ｋ_１ ^（Ｌ）との排他的論理和
Ｔ’＝Ｂ（ｋ_１）（＋）Ｋ_１ ^（Ｌ）
を得て出力する。前述のように、関数値Ｂ（ｋ_１）の例は乱数ｋ_１と他の付加情報βとのビット連結ｋ_１｜βである。

端末装置１００−ｎ（端末装置Ｕ_ｎ）：
関数演算部１０９−ｎは、記憶部１０３−ｎから関数値ｒを読み出し、当該関数値ｒの関数値Ｋ_ｎ ^（Ｌ）を得て出力する。関数値Ｋ_ｎ ^（Ｌ）は関数値ｒのみに依存する値であってもよいし、関数値ｒと他の付加情報とに依存する値であってもよい。ただし、Ｋ_ｎ ^（Ｌ）＝Ｋ_１ ^（Ｒ）を満たさなければならない。例えば、関数演算部１０９−ｎは、関数値ｒとｓｉｄとに依存する関数値
Ｋ_ｎ ^（Ｌ）＝Ｆ（ｓｉｄ，ｒ）
を得て出力する。関数値Ｋ_ｎ ^（Ｌ）は記憶部１０３−ｎに格納される。

関数演算部１０９−ｎは、記憶部１０３−ｎから二者間共有鍵Ｒ_{ｎ，ｎ＋１}を読み出し、当該二者間共有鍵Ｒ _{ｎ，ｎ＋１}の関数値Ｋ_ｎ ^（Ｒ）を得て出力する。関数値Ｋ_ｎ ^（Ｒ）は二者間共有鍵Ｒ _{ｎ，ｎ＋１}のみに依存する値であってもよいし、二者間共有鍵Ｒ _{ｎ，ｎ＋１}と他の付加情報とに依存する値であってもよい。ただし、Ｋ_ｎ ^（Ｒ）＝Ｋ_ｎ＋１ ^（Ｌ）を満たさなければならない。例えば、関数演算部１０９−ｎは、二者間共有鍵Ｒ _{ｎ，ｎ＋１}とｓｉｄとに依存する関数値
Ｋ_ｎ ^（Ｒ）＝Ｆ（ｓｉｄ，Ｒ_{ｎ，ｎ＋１}）
を得て出力する。関数値Ｋ_ｎ ^（Ｒ）は記憶部１０３−ｎに格納される。

関数値Ｋ_ｎ ^（Ｌ）と関数値Ｋ_ｎ ^（Ｒ）とは排他的論理和部１１０−ｎに入力される。排他的論理和部１１０−ｎは、関数値Ｋ_ｎ ^（Ｌ）と関数値Ｋ_ｎ ^（Ｒ）との排他的論理和
Ｔ_ｎ＝Ｋ_ｎ ^（Ｌ）（＋）Ｋ_ｎ ^（Ｒ）
を得て出力する。

記憶部１０３−ｎから読み出された乱数ｋ_ｎおよび排他的論理和Ｔ_ｎは出力部１０２−ｎから出力され、鍵配送管理装置１５０に送信される。

端末装置１００−（ｎ＋１）（端末装置Ｕ_ｎ＋１）：
（ｓｉｄ，Ｃ_{ｎ，ｎ＋１}）は、端末装置１００−（ｎ＋１）の入力部１０１−（ｎ＋１）に入力される。

復号部１０８−（ｎ＋１）は、記憶部１０３−（ｎ＋１）から読み出した鍵カプセル復号鍵ｓｋ_ｎ＋１を用い、鍵カプセルＣ_{ｎ，ｎ＋１}を復号して二者間共有鍵Ｒ_{ｎ，ｎ＋１}を得て出力する。二者間共有鍵Ｒ_{ｎ，ｎ＋１}は記憶部１０３−（ｎ＋１）に格納される。

次に、関数演算部１０９−（ｎ＋１）は、二者間共有鍵Ｒ_{ｎ，ｎ＋１}の関数値Ｋ_ｎ＋１ ^（Ｌ）を得て出力する。関数値Ｋ_ｎ＋１ ^（Ｌ）は二者間共有鍵Ｒ_{ｎ，ｎ＋１}のみに依存する値であってもよいし、二者間共有鍵Ｒ_{ｎ，ｎ＋１}と他の付加情報とに依存する値であってもよい。ただし、Ｋ_ｎ＋１ ^（Ｌ）＝Ｋ_ｎ ^（Ｒ）を満たさなければならない。例えば、関数演算部１０９−（ｎ＋１）は、二者間共有鍵Ｒ_{ｎ，ｎ＋１}とｓｉｄとに依存する関数値
Ｋ _ｎ＋１ ^（Ｌ）＝Ｆ（ｓｉｄ，Ｒ_{ｎ，ｎ＋１}）
を得て出力する。関数値Ｋ _ｎ＋１ ^（Ｌ）は記憶部１０３−（ｎ＋１）に格納される。

関数演算部１０９−（ｎ＋１）は、記憶部１０３−（ｎ＋１）から二者間共有鍵Ｒ_{ｎ＋１，１}を読み出し、当該二者間共有鍵Ｒ_{ｎ＋１，１}の関数値Ｋ_ｎ＋１ ^（Ｒ）を得て出力する。関数値Ｋ_ｎ＋１ ^（Ｒ）は二者間共有鍵Ｒ_{ｎ＋１，１}のみに依存する値であってもよいし、二者間共有鍵Ｒ_{ｎ＋１，１}と他の付加情報とに依存する値であってもよい。ただし、Ｋ_{ｎ＋１，１} ^（Ｒ）＝Ｋ_１ ^（Ｌ）を満たさなければならない。例えば、関数演算部１０９−（ｎ＋１）は、二者間共有鍵Ｒ_{ｎ＋１，１}とｓｉｄとに依存する関数値
Ｋ_ｎ＋１ ^（Ｒ）＝Ｆ（ｓｉｄ，Ｒ_{ｎ＋１，１}）
を得て出力する。関数値Ｋ_ｎ＋１ ^（Ｒ）は記憶部１０３−（ｎ＋１）に格納される。

関数値Ｋ_ｎ＋１ ^（Ｌ）と関数値Ｋ_ｎ＋１ ^（Ｒ）とは排他的論理和部１１０−（ｎ＋１）に入力される。排他的論理和部１１０−（ｎ＋１）は、関数値Ｋ_ｎ＋１ ^（Ｌ）と関数値Ｋ_ｎ＋１ ^（Ｒ）との排他的論理和
Ｔ_ｎ＋１＝Ｋ_ｎ＋１ ^（Ｌ）（＋）Ｋ_ｎ＋１ ^（Ｒ）
を得て出力する。

記憶部１０３−（ｎ＋１）から読み出された乱数ｋ_ｎ＋１および排他的論理和Ｔ_ｎ＋１は出力部１０２−（ｎ＋１）から出力され、鍵配送管理装置１５０に送信される。

端末装置１００−ｚ（端末装置Ｕ_ｚ）（ｚ＝２，…，ｎ−１）：
記憶部１０３−ｚから読み出された乱数ｋ_ｚが出力部１０２−ｚから出力され、鍵配送管理装置１５０に送信される。

排他的論理和Ｔ_１，Ｔ_ｎ，Ｔ_ｎ＋１、Ｔ’、および乱数ｋ_２，…，ｋ_ｎ＋１は、鍵配送管理装置１５０（図３）の入力部１５１に入力され、記憶部１５７に格納される。排他的論理和部１５６は、記憶部１５７から読み込んだ乱数ｋ_２，…，ｋ_ｎ＋１を含む複数の値の排他的論理和ｋ’を得て出力する。乱数ｋ_２，…，ｋ_ｎ＋１を含む複数の値の排他的論理和ｋ’は、乱数ｋ_２，…，ｋ_ｎ＋１の排他的論理和であってもよいし、乱数ｋ_２，…，ｋ_ｎ＋１と他の付加値との排他的論理和であってもよい。例えば、演算部１５３が乱数ｋ_ｓを生成し、排他的論理和部１５６が乱数ｋ_２，…，ｋ_ｎ＋１，ｋ_ｓの排他的論理和
ｋ’＝ｋ_２（＋）…（＋）ｋ_ｎ＋１（＋）ｋ_ｓ
を得て出力する。

また排他的論理和部１５６は、ｗ＝２，…，ｎ＋１について、記憶部１５７から排他的論理和Ｔ_１，…，Ｔ_ｗ‐１を読み込み、排他的論理和Ｔ_２，…，Ｔ_ｎ‐１を空とした排他的論理和Ｔ_１，…，Ｔ_ｗ‐１の排他的論理和
Ｔ_ｗ’＝Ｔ_１（＋）…（＋）Ｔ_ｗ‐１
を得て出力する。すなわち、２≦ｗ≦ｎではＴ_ｗ’＝Ｔ_１であり、ｗ＝ｎ＋１ではＴ_ｗ’＝Ｔ_１（＋）Ｔ_ｎである。

出力部１５２は、排他的論理和ｋ’を端末装置１００−１に対して送信し、排他的論理和Ｔ’，ｋ’，Ｔ_ｗ’を端末装置１００−ｗ（ただし、ｗ＝２，…，ｎ＋１）に対して送信する。

≪共有鍵生成（図１３）≫
共有鍵生成の処理は、端末装置１００−１（端末装置Ｕ_１）と端末装置１００−ｎ（端末装置Ｕ_ｎ）と端末装置１００−（ｎ＋１）（端末装置Ｕ_ｎ＋１）とそれら以外の端末装置１００−ρ（端末装置Ｕ_ρ）とで相違する。

端末装置１００−１（端末装置Ｕ_１）：
排他的論理和ｋ’は、端末装置１００−１の入力部１０１−１に入力される。共有鍵生成部１１２−１は、当該排他的論理和ｋ’と記憶部１０３−１から読み出した乱数ｋ_１との排他的論理和ｋ’（＋）ｋ_１の関数値を共有鍵
ＳＫ＝Ｆ’（ｋ’（＋）ｋ_１）
として得て出力する。

端末装置１００−ｎ（端末装置Ｕ_ｎ）：
排他的論理和Ｔ’，ｋ’，Ｔ_ｎ’は、端末装置１００−ｎの入力部１０１−ｎに入力される。関数値復元部１１１−ｎは、当該排他的論理和Ｔ_ｎ’と記憶部１０３−ｎから読み出した関数値Ｋ_ｎ ^（Ｌ）との排他的論理和によって関数値Ｋ_１ ^（Ｌ）を得て出力する。関数値Ｋ_１ ^（Ｌ）が得られる理由は以下の通りである（排他的論理和Ｔ_２，…，Ｔ_ｎ‐１は空であり、Ｋ_１ ^（Ｒ）＝Ｋ_ｎ ^（Ｌ））。
Ｔ_ｎ’（＋）Ｋ_ｎ ^（Ｌ）
＝Ｔ_１（＋）…（＋）Ｔ_ｎ‐１（＋）Ｋ_ｎ ^（Ｌ）
＝Ｔ_１（＋）Ｋ_ｎ ^（Ｌ）
＝Ｋ_１ ^（Ｌ）（＋）Ｋ_１ ^（Ｒ）（＋）Ｋ_ｎ ^（Ｌ）
＝Ｋ_１ ^（Ｌ）

乱数復元部１１３−ｎは、当該排他的論理和Ｔ’と当該関数値Ｋ_１ ^（Ｌ）との排他的論理和によって乱数ｋ_１の関数値Ｂ（ｋ_１）を得て出力する。関数値Ｂ（ｋ_１）が得られる理由は前述の通りである。

共有鍵生成部１１２−ｎは、関数値Ｂ（ｋ_１）（例えば、Ｂ（ｋ_１）＝ｋ_１｜β）から乱数ｋ_１を抽出し、排他的論理和ｋ’と関数値Ｂ（ｋ_１）から得られた乱数ｋ_１との排他的論理和ｋ’（＋）ｋ_１の関数値を共有鍵
ＳＫ＝Ｆ’（ｋ’（＋）ｋ_１）
として得て出力する。

端末装置１００−（ｎ＋１）（端末装置Ｕ_ｎ＋１）：
排他的論理和Ｔ’，ｋ’，Ｔ_ｎ＋１’は、端末装置１００−（ｎ＋１）の入力部１０１−（ｎ＋１）に入力される。関数値復元部１１１−（ｎ＋１）は、当該排他的論理和Ｔ_ｎ＋１’と記憶部１０３−（ｎ＋１）から読み出した関数値Ｋ_ｎ＋１ ^（Ｌ）との排他的論理和によって関数値Ｋ_１ ^（Ｌ）を得て出力する。なお、関数値Ｋ_１ ^（Ｌ）が得られる理由は以下の通りである（排他的論理和Ｔ_２，…，Ｔ_ｎ‐１は空であり、Ｋ_１ ^（Ｒ）＝Ｋ_ｎ ^（Ｌ）かつＫ_ｎ ^（Ｒ）＝Ｋ_ｎ＋１ ^（Ｌ））。
Ｔ_ｎ＋１’（＋）Ｋ_ｎ＋１ ^（Ｌ）
＝Ｔ_１（＋）…（＋）Ｔ_ｎ（＋）Ｋ_ｎ＋１ ^（Ｌ）
＝Ｔ_１（＋）Ｔ_ｎ（＋）Ｋ_ｎ＋１ ^（Ｌ）
＝Ｋ_１ ^（Ｌ）（＋）Ｋ_１ ^（Ｒ）（＋）Ｋ_ｎ ^（Ｌ）（＋）Ｋ_ｎ ^（Ｒ）（＋）Ｋ_ｎ＋１ ^（Ｌ）
＝Ｋ_１ ^（Ｌ）

乱数復元部１１３−（ｎ＋１）は、当該排他的論理和Ｔ’と当該関数値Ｋ_１ ^（Ｌ）との排他的論理和によって乱数ｋ_１の関数値Ｂ（ｋ_１）を得て出力する。

共有鍵生成部１１２−（ｎ＋１）は、関数値Ｂ（ｋ_１）（例えば、Ｂ（ｋ_１）＝ｋ_１｜β）から乱数ｋ_１を抽出し、排他的論理和ｋ’と関数値Ｂ（ｋ_１）から得られた乱数ｋ_１との排他的論理和ｋ’（＋）ｋ_１の関数値を共有鍵
ＳＫ＝Ｆ’（ｋ’（＋）ｋ_１）
として得て出力する。

端末装置１００−ρ（端末装置Ｕ_ρ）（ρ＝１，…，ｎ−１）：
排他的論理和Ｔ’，ｋ’，Ｔ_ρ’は、端末装置１００−ρの入力部１０１−ρに入力される。関数値復元部１１１−ρは、当該排他的論理和Ｔ_ρ’と記憶部１０３−ρから読み出した関数値ｒの関数値（＝Ｋ_１ ^（Ｒ））との排他的論理和によって関数値Ｋ_１ ^（Ｌ）を得て出力する。

乱数復元部１１３−ρは、当該排他的論理和Ｔ’と当該関数値Ｋ_１ ^（Ｌ）との排他的論理和によって乱数ｋ_１の関数値Ｂ（ｋ_１）を得て出力する。

共有鍵生成部１１２−ρは、関数値Ｂ（ｋ_１）（例えば、Ｂ（ｋ_１）＝ｋ_１｜β）から乱数ｋ_１を抽出し、排他的論理和ｋ’と関数値Ｂ（ｋ_１）から得られた乱数ｋ_１との排他的論理和ｋ’（＋）ｋ_１の関数値を共有鍵
ＳＫ＝Ｆ’（ｋ’（＋）ｋ_１）
として得て出力する。

各端末装置１００−ｉ”（端末装置Ｕ_ｉ”）の記憶部１０３−ｉ”（ただし、ｉ”＝１，…，ｎ＋１）には、新たな共有鍵ＳＫを用いて更新された関数値ｒ＝Ｆ”（ＳＫ）および二者間共有鍵Ｈ_ｉ” ^（Ｌ）＝Ｒ_{（ｉ”−２ｍｏｄｎ）＋１，ｉ”}およびＨ_ｉ” ^（Ｒ）＝Ｒ_{ｉ”，（ｉ” ｍｏｄｎ）＋１}が格納される。

＜本形態の特徴＞
本形態では、鍵カプセル型の二者間鍵交換を採用したため、公開鍵暗号方式の耐量子計算機暗号に則った二者間鍵交換が可能になり、これを利用して上述の処理を行うことで、追加された新たな端末装置との間で耐量子安全な多者間鍵交換を行うことができる。

［第３実施形態］
第３実施形態を説明する。第３実施形態では、第１実施形態の処理が行われた後、何れかの端末装置１００−ｊ（端末装置Ｕ_ｊ）（ｊは１以上ｎ以下の整数）がシステムから離脱し、残りのｎ−１個の端末装置１００−１〜１００−（ｊ−１），１００−（ｊ＋１）〜１００−ｎ（端末装置Ｕ_１，…，Ｕ_ｊ−１，Ｕ_ｊ＋１，…，Ｕ_ｎ）で新たな共有鍵ＳＫを共有する。

＜構成＞
図１４に例示するように、本形態の鍵交換システム３は、ｎ個の端末装置１００−１〜１００−ｎ（端末装置Ｕ_１，…，Ｕ_ｎ）と鍵配送管理装置１５０とを有する。各端末装置１００−ｉ（端末装置Ｕ_ｉ）（ただし、ｉ＝１，…，ｎ）は、インターネット等を通じて鍵配送管理装置１５０と通信可能に構成されている。

＜処理＞
次に、端末装置１００−ｊが鍵交換システム３から離脱した後の鍵交換処理を説明する。本形態の鍵交換処理は、Ｒｏｕｎｄ１〜３および共有鍵生成を含む。前提として、各端末装置１００−ｉ（端末装置Ｕ_ｉ）（図２）の記憶部１０３−ｉ（ただし、ｉ＝１，…，ｎ）には、第１実施形態の処理で得られた二者間共有鍵Ｈ_ｉ ^（Ｌ）＝Ｒ_{（ｉ−２ｍｏｄｎ）＋１，ｉ}およびＨ_ｉ ^（Ｒ）＝Ｒ_{ｉ，（ｉｍｏｄｎ）＋１}が格納されていることにする。

≪Ｒｏｕｎｄ１（図１５）≫
端末装置１００−（（ｊｍｏｄｎ）＋１）（端末装置Ｕ_{（ｊｍｏｄｎ）＋１}）：
端末装置１００−（（ｊｍｏｄｎ）＋１）（図２）の鍵ペア生成部１０５−（（ｊｍｏｄｎ）＋１）は、公開鍵暗号方式の耐量子計算機暗号に則った鍵カプセル復号鍵ｓｋ_{（ｊｍｏｄｎ）＋１}および当該鍵カプセル復号鍵ｓｋ_{（ｊｍｏｄｎ）＋１}に対応する鍵暗号化鍵ｐｋ _{（ｊｍｏｄｎ）＋１}からなる鍵ペア（ｐｋ_{（ｊｍｏｄｎ）＋１}，ｓｋ_{（ｊｍｏｄｎ）＋１}）を生成する。生成された鍵カプセル復号鍵ｓｋ_{（ｊｍｏｄｎ）＋１}および鍵暗号化鍵ｐｋ_{（ｊｍｏｄｎ）＋１}は記憶部１０３−（（ｊｍｏｄｎ）＋１）に格納される。また、鍵暗号化鍵ｐｋ_{（ｊｍｏｄｎ）＋１}は出力部１０２−（（ｊｍｏｄｎ）＋１）から出力され、鍵配送管理装置１５０に送信される。

鍵暗号化鍵ｐｋ_{（ｊｍｏｄｎ）＋１}は鍵配送管理装置１５０（図３）の入力部１５１に入力される。鍵暗号化鍵ｐｋ_{（ｊｍｏｄｎ）＋１}が入力部１５１に入力され次第、制御部１５４は当該鍵暗号化鍵ｐｋ_{（ｊｍｏｄｎ）＋１}を出力部１５２に送り、出力部１５２は当該鍵暗号化鍵ｐｋ_{（ｊｍｏｄｎ）＋１}を端末装置１００−（（ｊ−２ｍｏｄｎ）＋１）に送信する。

≪Ｒｏｕｎｄ２（図１６）≫
端末装置１００−（（ｊ−２ｍｏｄｎ）＋１）（端末装置Ｕ_{（ｊ−２ｍｏｄｎ）＋１}）：
端末装置１００−（（ｊ−２ｍｏｄｎ）＋１）（図２）の入力部１０１−（（ｊ−２ｍｏｄｎ）＋１）は鍵暗号化鍵ｐｋ_{（ｊｍｏｄｎ）＋１}を受信し、鍵暗号化鍵ｐｋ_{（ｊｍｏｄｎ）＋１}を記憶部１０３−（（ｊ−２ｍｏｄｎ）＋１）に格納する。

端末装置１００−（（ｊ−２ｍｏｄｎ）＋１）の乱数設定部１０６−（（ｊ−２ｍｏｄｎ）＋１）は乱数ｋ_{（ｊ−２ｍｏｄｎ）＋１}を設定して出力する。乱数ｋ_{（ｊ−２ｍｏｄｎ）＋１}は記憶部１０３−（（ｊ−２ｍｏｄｎ）＋１）に格納される。

二者間共有鍵生成部１０７−（（ｊ−２ｍｏｄｎ）＋１）は、鍵暗号化鍵ｐｋ_{（ｊｍｏｄｎ）＋１}を用い、二者間共有鍵Ｒ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}および当該二者間共有鍵Ｒ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}の暗号文である鍵カプセルＣ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}を得て出力する。二者間共有鍵Ｒ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}は記憶部１０３−（（ｊ−２ｍｏｄｎ）＋１）に格納される。鍵カプセルＣ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}は出力部１０２−（（ｊ−２ｍｏｄｎ）＋１）から出力され、鍵配送管理装置１５０に送信される。

端末装置１００−ｙ（端末装置Ｕ_ｙ）（ｙ＝１，…，ｎかつｙ≠ｊかつｙ≠（ｊ−２） mod n＋１）：
端末装置１００−ｙの乱数設定部１０６−ｙは乱数ｋ_ｙを設定して出力する。乱数ｋ_ｙは記憶部１０３−ｙに格納される。ただし、ｙ＝１，…，ｎかつｙ≠ｊかつｙ≠（ｊ−２） mod n＋１である。

鍵配送管理装置１５０（図３）の入力部１５１は、端末装置１００−（（ｊ−２ｍｏｄｎ）＋１）から送信された鍵カプセルＣ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}を受信する。ＳＩＤ設定部１５５はｓｉｄを新たに生成し、代表端末装置として端末装置１００−（（ｊ−２ｍｏｄｎ）＋１）を選択する。演算部１５３は（ｓｉｄ，Ｃ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}）を生成する。（ｓｉｄ，Ｃ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}）は出力部１５２から出力され、端末装置１００−（（ｊ−２ｍｏｄｎ）＋１）に送信される。出力部１５２は、端末装置１００−（（ｊ−２ｍｏｄｎ）＋１）に対し、端末装置１００−（（ｊ−２ｍｏｄｎ）＋１）が代表端末装置として選択された旨を表す情報（代表通知）を送信する。さらにｓｉｄが出力部１５２から出力され、端末装置１００−φに対して送信される。ただし、φ＝１，…，ｎかつφ≠ｊかつｘ≠（φ ｍｏｄｎ）＋１である。

≪Ｒｏｕｎｄ３（図１７）≫
本形態のＲｏｕｎｄ３の処理は、端末装置１００−（ｊ−１）（端末装置Ｕ_ｊ−１）と端末装置１００−（ｊ＋１）（端末装置Ｕ _ｊ＋１）と端末装置１００−ｘ（端末装置Ｕ_ｘ）とで相違する。ただし、ｘ＝１，…，ｎかつｘ≠ｊかつｘ≠（ｊ−２ mod n）＋１かつｘ≠（ｊ mod n）＋１である。

端末装置１００−（（ｊ−２ｍｏｄｎ）＋１）（端末装置Ｕ_{（ｊ−２ｍｏｄｎ）＋１}）：
関数演算部１０９−（（ｊ−２ｍｏｄｎ）＋１）は、記憶部１０３−（（ｊ−２ｍｏｄｎ）＋１）から二者間共有鍵Ｈ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）＝Ｒ_{（ｊ−３ｍｏｄｎ）＋１，（ｊ−２ｍｏｄｎ）＋１}を読み出し、当該二者間共有鍵Ｈ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）の関数値Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）を得て出力する。関数値Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）は二者間共有鍵Ｈ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）のみに依存する値であってもよいし、二者間共有鍵Ｈ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）と他の付加情報とに依存する値であってもよい。ただし、Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）＝Ｋ_{（ｊ−３ｍｏｄｎ）＋１} ^（Ｒ）を満たさなければならない。例えば、関数演算部１０９−ｎは、二者間共有鍵Ｈ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）＝Ｒ_{（ｊ−３ｍｏｄｎ）＋１，（ｊ−２ｍｏｄｎ）＋１}とｓｉｄとに依存する関数値
Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）
＝Ｆ（ｓｉｄ，Ｈ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ））
＝Ｆ（ｓｉｄ，Ｒ_{（ｊ−３ｍｏｄｎ）＋１，（ｊ−２ｍｏｄｎ）＋１}）
を得て出力する。関数値Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）は記憶部１０３−（（ｊ−２ｍｏｄｎ）＋１）に格納される。

関数演算部１０９−（（ｊ−２ｍｏｄｎ）＋１）は、記憶部１０３−（（ｊ−２ｍｏｄｎ）＋１）から二者間共有鍵Ｒ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}を読み出し、当該二者間共有鍵Ｒ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}の関数値Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｒ）を得て出力する。関数値Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｒ）は二者間共有鍵Ｒ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}のみに依存する値であってもよいし、二者間共有鍵Ｒ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}と他の付加情報とに依存する値であってもよい。ただし、Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｒ）＝Ｋ_{（ｊｍｏｄｎ）＋１} ^（Ｌ）を満たさなければならない。例えば、関数演算部１０９−（（ｊ−２ｍｏｄｎ）＋１）は、二者間共有鍵Ｒ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}とｓｉｄとに依存する関数値
Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｒ）＝Ｆ（ｓｉｄ，Ｒ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}）
を得て出力する。関数値Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｒ）は記憶部１０３−（（ｊ−２ｍｏｄｎ）＋１）に格納される。

関数値Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）と関数値Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｒ）とは排他的論理和部１１０−（（ｊ−２ｍｏｄｎ）＋１）に入力される。排他的論理和部１１０−（（ｊ−２ｍｏｄｎ）＋１）は、関数値Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）と関数値Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｒ）との排他的論理和
Ｔ_{（ｊ−２ｍｏｄｎ）＋１}＝Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）（＋）Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｒ）
を得て出力する。

排他的論理和部１１０−（（ｊ−２ｍｏｄｎ）＋１）には、さらに記憶部１０３−（（ｊ−２ｍｏｄｎ）＋１）から読み込まれた乱数ｋ_{（ｊ−２ｍｏｄｎ）＋１}が入力される。排他的論理和部１１０−（（ｊ−２ｍｏｄｎ）＋１）は、乱数ｋ_{（ｊ−２ｍｏｄｎ）＋１}の関数値Ｂ（ｋ_{（ｊ−２ｍｏｄｎ）＋１}）と関数値Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）との排他的論理和
Ｔ’＝Ｂ（ｋ_{（ｊ−２ｍｏｄｎ）＋１}）（＋）Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）
を得て出力する。関数値Ｂ（ｋ_{（ｊ−２ｍｏｄｎ）＋１}）の例は乱数ｋ_{（ｊ−２ｍｏｄｎ）＋１}と他の付加情報βとのビット連結ｋ_{（ｊ−２ｍｏｄｎ）＋１}｜βである。

排他的論理和Ｔ_{（ｊ−２ｍｏｄｎ）＋１}および排他的論理和Ｔ’は出力部１０２−（（ｊ−２ｍｏｄｎ）＋１）から出力され、鍵配送管理装置１５０に送信される。

端末装置１００−（（ｊｍｏｄｎ）＋１）（端末装置Ｕ_{（ｊｍｏｄｎ）＋１}）：
（ｓｉｄ，Ｃ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}）は、端末装置１００−（（ｊｍｏｄｎ）＋１）の入力部１０１−（（ｊｍｏｄｎ）＋１）に入力される。

復号部１０８−（（ｊｍｏｄｎ）＋１）は、記憶部１０３−（（ｊｍｏｄｎ）＋１）から読み出した鍵カプセル復号鍵ｓｋ_{（ｊｍｏｄｎ）＋１}を用い、鍵カプセルＣ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}を復号して二者間共有鍵Ｒ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}を得て出力する。二者間共有鍵Ｒ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}は記憶部１０３−（（ｊｍｏｄｎ）＋１）に格納される。

関数演算部１０９−（（ｊｍｏｄｎ）＋１）は、二者間共有鍵Ｒ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}の関数値Ｋ_{（ｊｍｏｄｎ）＋１} ^（Ｌ）を得て出力する。関数値Ｋ_{（ｊｍｏｄｎ）＋１} ^（Ｌ）は二者間共有鍵Ｒ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}のみに依存する値であってもよいし、二者間共有鍵Ｒ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}と他の付加情報とに依存する値であってもよい。ただし、Ｋ_{（ｊｍｏｄｎ）＋１} ^（Ｌ）＝Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｒ）を満たさなければならない。例えば、関数演算部１０９−（（ｊｍｏｄｎ）＋１）は、二者間共有鍵Ｒ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}とｓｉｄとに依存する関数値
Ｋ_{（ｊｍｏｄｎ）＋１} ^（Ｌ）＝Ｆ（ｓｉｄ，Ｒ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}）
を得て出力する。関数値Ｋ_{（ｊｍｏｄｎ）＋１} ^（Ｌ）は記憶部１０３−（（ｊｍｏｄｎ）＋１）に格納される。

関数演算部１０９−（（ｊｍｏｄｎ）＋１）は、記憶部１０３−（（ｊｍｏｄｎ）＋１）から二者間共有鍵Ｈ_{（ｊｍｏｄｎ）＋１} ^（Ｒ）＝Ｒ_{（ｊｍｏｄｎ）＋１，（ｊ＋１ｍｏｄｎ）＋１}を読み出し、当該二者間共有鍵Ｈ_{（ｊｍｏｄｎ）＋１} ^（Ｒ）の関数値Ｋ_{（ｊｍｏｄｎ）＋１} ^（Ｒ）を得て出力する。関数値Ｋ_{（ｊｍｏｄｎ）＋１} ^（Ｒ）は二者間共有鍵Ｈ_{（ｊｍｏｄｎ）＋１} ^（Ｒ）のみに依存する値であってもよいし、二者間共有鍵Ｈ_{（ｊｍｏｄｎ）＋１} ^（Ｒ）と他の付加情報とに依存する値であってもよい。ただし、Ｋ_{（ｊｍｏｄｎ）＋１} ^（Ｒ）＝Ｋ_{（j＋１ｍｏｄｎ）＋１} ^（Ｌ）を満たさなければならない。例えば、関数演算部１０９−（（ｊｍｏｄｎ）＋１）は、二者間共有鍵Ｈ_{（ｊｍｏｄｎ）＋１} ^（Ｒ）とｓｉｄとに依存する関数値
Ｋ_{（ｊｍｏｄｎ）＋１} ^（Ｒ）
＝Ｆ（ｓｉｄ，Ｈ_{（ｊｍｏｄｎ）＋１} ^（Ｒ））
＝Ｆ（ｓｉｄ，Ｒ_{（ｊｍｏｄｎ）＋１，（ｊ＋１ｍｏｄｎ）＋１}）
を得て出力する。関数値Ｋ_{（ｊｍｏｄｎ）＋１} ^（Ｒ）は記憶部１０３−（（ｊｍｏｄｎ）＋１）に格納される。

関数値Ｋ_{（ｊｍｏｄｎ）＋１} ^（Ｌ）と関数値Ｋ_{（ｊｍｏｄｎ）＋１} ^（Ｒ）とは排他的論理和部１１０−（（ｊｍｏｄｎ）＋１）に入力される。排他的論理和部１１０−（（ｊｍｏｄｎ）＋１）は、関数値Ｋ_{（ｊｍｏｄｎ）＋１} ^（Ｌ）と関数値Ｋ_{（ｊｍｏｄｎ）＋１} ^（Ｒ）との排他的論理和
Ｔ_{（ｊｍｏｄｎ）＋１}＝Ｋ_{（ｊｍｏｄｎ）＋１} ^（Ｌ）（＋）Ｋ_{（ｊｍｏｄｎ）＋１} ^（Ｒ）
を得て出力する。

乱数ｋ_{（ｊｍｏｄｎ）＋１}および排他的論理和Ｔ_{（ｊｍｏｄｎ）＋１}は出力部１０２−（（ｊｍｏｄｎ）＋１）から出力され、鍵配送管理装置１５０に送信される。

端末装置１００−ｘ（端末装置Ｕ_ｘ）（ｘ＝１，…，ｎかつｘ≠ｊかつｘ≠（ｊ−２ｍｏｄｎ）＋１かつｘ≠（ｊｍｏｄｎ）＋１）：
関数演算部１０９−ｘは、記憶部１０３−ｘから二者間共有鍵Ｈ_ｘ ^（Ｌ）＝Ｒ_{（ｘ−２ｍｏｄｎ）＋１，ｘ}を読み出し、当該二者間共有鍵Ｈ_ｘ ^（Ｌ）の関数値Ｋ_ｘ ^（Ｌ）を得て出力する。関数値Ｋ_ｘ ^（Ｌ）は二者間共有鍵Ｈ_ｘ ^（Ｌ）のみに依存する値であってもよいし、二者間共有鍵Ｈ_ｘ ^（Ｌ）と他の付加情報とに依存する値であってもよい。ただし、Ｋ_ｘ ^（Ｌ）＝Ｋ_{（ｘ−２ｍｏｄｎ）＋１} ^（Ｒ）を満たさなければならない。例えば、関数演算部１０９−ｘは、二者間共有鍵Ｈ_ｘ ^（Ｌ）とｓｉｄとに依存する関数値
Ｋ_ｘ ^（Ｌ）＝Ｆ（ｓｉｄ，Ｈ_ｘ ^（Ｌ））＝Ｆ（ｓｉｄ，Ｒ_{（ｘ−２ｍｏｄｎ）＋１，ｘ}）
を得て出力する。関数値Ｋ_ｘ ^（Ｌ）は記憶部１０３−ｘに格納される。

関数演算部１０９−ｘは、記憶部１０３−ｘから二者間共有鍵Ｈ_ｘ ^（Ｒ）＝Ｒ_{ｘ，（ｘｍｏｄｎ）＋１}を読み出し、当該二者間共有鍵Ｈ_ｘ ^（Ｒ）の関数値Ｋ_ｘ ^（Ｒ）を得て出力する。関数値Ｋ_ｘ ^（Ｒ）は二者間共有鍵Ｈ_ｘ ^（Ｒ）のみに依存する値であってもよいし、二者間共有鍵Ｈ_ｘ ^（Ｒ）と他の付加情報とに依存する値であってもよい。ただし、Ｋ_ｘ ^（Ｒ）＝Ｋ_{（ｘｍｏｄｎ）＋１} ^（Ｌ）を満たさなければならない。例えば、関数演算部１０９−ｘは、二者間共有鍵Ｈ_ｘ ^（Ｒ）とｓｉｄとに依存する関数値
Ｋ_ｘ ^（Ｒ）＝Ｆ（ｓｉｄ，Ｈ_ｘ ^（Ｒ））＝Ｆ（ｓｉｄ，Ｒ_{ｘ，（ｘｍｏｄｎ）＋１}）
を得て出力する。関数値Ｋ_ｘ ^（Ｒ）は記憶部１０３−ｘに格納される。

関数値Ｋ_ｘ ^（Ｌ）と関数値Ｋ_ｘ ^（Ｒ）とは排他的論理和部１１０−ｘに入力される。排他的論理和部１１０−ｘは、関数値Ｋ_ｘ ^（Ｌ）と関数値Ｋ_ｘ ^（Ｒ）との排他的論理和
Ｔ_ｘ＝Ｋ_ｘ ^（Ｌ）（＋）Ｋ_ｘ ^（Ｒ）
を得て出力する。

記憶部１０３−ｘから読み出された乱数ｋ_ｘおよび排他的論理和Ｔ_ｘは出力部１０２−ｘから出力され、鍵配送管理装置１５０に送信される。

排他的論理和Ｔ_１，…，Ｔ_ｎ＋１（ただし、Ｔ_ｊを除く）、Ｔ’、および乱数ｋ_１，…，ｋ_ｎ（ただし、ｋ_ｊ，ｋ_ｊ＋１を除く）は、鍵配送管理装置１５０（図３）の入力部１５１に入力され、記憶部１５７に格納される。排他的論理和部１５６は、記憶部１５７から読み込んだ乱数ｋ_１，…，ｋ_ｎ（ただし、ｋ_ｊ，ｋ_ｊ＋１を除く）を含む複数の値の排他的論理和ｋ’を得て出力する。この排他的論理和ｋ’は、乱数ｋ_１，…，ｋ_ｎ（ただし、ｋ_ｊ，ｋ_ｊ＋１を除く）の排他的論理和であってもよいし、乱数ｋ_１，…，ｋ_ｎ（ただし、ｋ_ｊ，ｋ_ｊ＋１を除く）と他の付加値との排他的論理和であってもよい。例えば、演算部１５３が乱数ｋ_ｓを生成し、排他的論理和部１５６が乱数ｋ_１，…，ｋ_ｎ（ただし、ｋ_ｊ，ｋ_ｊ＋１を除く），ｋ _ｓの排他的論理和
ｋ’＝ｋ_１（＋）…（＋）ｋ_ｊ‐１（＋）ｋ_ｊ＋２（＋）…（＋）ｋ_ｎ（＋）ｋ_ｓ
を得て出力する。

また排他的論理和部１５６は、ｙ＝１，…，ｎ（ただし、ｙ≠ｊかつｙ≠（ｊ−２ｍｏｄｎ）＋１）について、ｙ＜ｊ−１のときに排他的論理和Ｔ_１，…，Ｔ_ｙ‐１，Ｔ_ｊ‐１，…，Ｔ_ｎの排他的論理和Ｔ_ｙ’を得て出力し、ｊ＋１≦ｙのときに排他的論理和Ｔ_ｊ‐１，…，Ｔ_ｙ‐１の排他的論理和Ｔ_ｙ’を得て出力する。
ｙ＜ｊ−１のとき：Ｔ_ｙ’＝Ｔ_１（＋）…（＋）Ｔ_ｙ‐１（＋）Ｔ_ｊ‐１（＋）…（＋）Ｔ_ｎ
ｊ＋１≦ｙのとき：Ｔ_ｙ’＝Ｔ_ｊ‐１（＋）…（＋）Ｔ_ｙ‐１

出力部１５２は、排他的論理和ｋ’を端末装置１００−（（ｊ−２ｍｏｄｎ）＋１）に対して送信し、排他的論理和Ｔ’，ｋ’，Ｔ_ｙ’を端末装置１００−ｙ（ただし、ｙ≠ｊかつｙ≠（ｊ−２）ｍｏｄｎ＋１）に対して送信する。

≪共有鍵生成（図１８）≫
共有鍵生成の処理は、端末装置１００−（ｊ−１）（端末装置Ｕ_ｊ−１）と端末装置１００−ｙ（端末装置Ｕ_ｙ）（ただし、ｙ≠ｊかつｙ≠（ｊ−２ｍｏｄｎ）＋１）とで相違する。離脱した端末装置１００−ｊ（端末装置Ｕ_ｊ）では共有鍵生成が行われない。

端末装置１００−ｙ（端末装置Ｕ_ｙ）：
排他的論理和Ｔ’，ｋ’，Ｔ _ｙ ’は、端末装置１００−ｙの入力部１０１−ｙに入力される。関数値復元部１１１−ｙは、当該排他的論理和Ｔ_ｙ’と記憶部１０３−ｙから読み出した関数値Ｋ_ｙ ^（Ｌ）との排他的論理和によって関数値Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）を得て出力する。

乱数復元部１１３−ｙは、当該排他的論理和Ｔ’と当該関数値Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）との排他的論理和によって乱数ｋ_{（ｊ−２ｍｏｄｎ）＋１}の関数値Ｂ（ｋ_{（ｊ−２ｍｏｄｎ）＋１}）を得て出力する。関数値Ｂ（ｋ_{（ｊ−２ｍｏｄｎ）＋１}）が得られる理由は以下の通りである。
Ｔ’（＋）Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）
＝Ｂ（ｋ_{（ｊ−２ｍｏｄｎ）＋１}）（＋）Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）（＋）Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）
＝Ｂ（ｋ_{（ｊ−２ｍｏｄｎ）＋１}）

共有鍵生成部１１２−ｙは、関数値Ｂ（ｋ_{（ｊ−２ｍｏｄｎ）＋１}）（例えば、Ｂ（ｋ_{（ｊ−２ｍｏｄｎ）＋１}）＝ｋ_{（ｊ−２ｍｏｄｎ）＋１}｜β）から乱数ｋ_{（ｊ−２ｍｏｄｎ）＋１}を抽出し、排他的論理和ｋ’と関数値Ｂ（ｋ_{（ｊ−２ｍｏｄｎ）＋１}）から得られた乱数ｋ_{（ｊ−２ｍｏｄｎ）＋１}との排他的論理和ｋ’（＋）ｋ_{（ｊ−２ｍｏｄｎ）＋１}の関数値を共有鍵
ＳＫ＝Ｆ’（ｋ’）（＋）ｋ_{（ｊ−２ｍｏｄｎ）＋１}
として得て出力する。

端末装置１００−（ｊ−１）（端末装置Ｕ_ｊ−１）：
排他的論理和ｋ’は、端末装置１００−（ｊ−１）の入力部１０１−（ｊ−１）に入力される。共有鍵生成部１１２−（ｊ−１）は、当該排他的論理和ｋ’と記憶部１０３−（ｊ−１）から読み出した乱数ｋ_{（ｊ−２ｍｏｄｎ）＋１}との排他的論理和ｋ’（＋）ｋ_{（ｊ−２ｍｏｄｎ）＋１}の関数値を共有鍵
ＳＫ＝Ｆ’（ｋ’）（＋）ｋ_{（ｊ−２ｍｏｄｎ）＋１}
として得て出力する。

各端末装置１００−ｉ（端末装置Ｕ_ｉ）の記憶部１０３−ｉ（ただし、ｉ＝１，…，ｎ、ｉ≠ｊ）には、新たな共有鍵ＳＫを用いて更新された関数値ｒ＝Ｆ”（ＳＫ）および二者間共有鍵Ｈ_ｉ ^（Ｌ）＝Ｒ_{（ｉ−２ｍｏｄｎ）＋１，ｉ}およびＨ_ｉ ^（Ｒ）＝Ｒ_{ｉ，（ｉｍｏｄｎ）＋１}が格納される。

＜本形態の特徴＞
本形態では、鍵カプセル型の二者間鍵交換を採用したため、公開鍵暗号方式の耐量子計算機暗号に則った二者間鍵交換が可能になる。これを利用して上述の処理を行うことで、任意の端末装置がシステムから離脱した後に、残りの端末装置の間で耐量子安全な多者間鍵交換を行うことができる。また、第１実施形態の処理で得られた二者間共有鍵Ｈ_ｉ ^（Ｌ）＝Ｒ_{（ｉ−２ｍｏｄｎ）＋１，ｉ}およびＨ_ｉ ^（Ｒ）＝Ｒ_{ｉ，（ｉｍｏｄｎ）＋１}を再利用することで演算量および通信量を削減できる。

［実施例］
耐量子計算機暗号として格子暗号を用いる場合、各実施形態で説明した鍵カプセル復号鍵ｓｋ_νはκ_１（ν）個の整数からなるベクトルｓ_νであり、鍵暗号化鍵ｐｋ_νはｂ_ν＝Ａ_νｓ_ν＋ｅ_νである。また、鍵カプセルＣ_{ν，（νｍｏｄ μ）＋１}は｛γ_ν，ξ_ν’｝であり、二者間共有鍵Ｒ_{ν，（νｍｏｄ μ）＋１}はＲＯＵＮＤ（２ξ_ν ⁻／ｑ）である。ただし、Ａ_νはκ_１（ν）×κ_２（ν）の基底行列であり、κ_１（ν）およびκ_２（ν）は正整数であり、νおよびμは正整数であり、ｅ_νはκ_２（ν）個の要素からなるベクトルである。γ_ν＝Ａ_νｓ_ν’＋ｅ_ν’であり、ξ_ν’はｆｌｏｏｒ（４ξ_ν ⁻／ｑ）ｍｏｄ２である。ｓ_ν’はκ_１（ν）個の整数からなるベクトル（例えば、正規分布に従ってランダムに選択されたベクトル）であり、ｅ_ν’およびｅ_ν”はκ_２（ν）個の要素からなるベクトル（例えば、正規分布に従ってランダムに選択されたベクトル）である。ξ_ν＝ｂ_{（νｍｏｄ μ）＋１}ｓ_ν’＋ｅ_ν”であり、ξ_ν ⁻はξ_νのランダム関数値（ξ_νをランダム関数に適用して得られる値）である。ｑは２以上の整数であり、ｆｌｏｏｒは床関数であり、ＲＯＵＮＤは四捨五入関数である。

各端末装置が公知のコミットメントアルゴリズム（例えば、参考文献３）を用い、乱数ｋ_ｉにコミットメントとでコミットメントを生成し、二者間共有鍵の鍵カプセルとともに出力してもよい。ｓｉｄが各端末装置から出力されたコミットメントの関数値であってもよい。各端末装置が各情報の認証子を生成して出力し、他の端末装置または鍵配送管理装置で認証子の検証が行われてもよい。共有鍵ＳＫがさらにｓｉｄに依存する関数値であってもよい。共有鍵ＳＫがさらに属性ベースアルゴリズム（参考文献２）に基づいて得られた暗号文の復号値に依存する関数値であってもよい。ｓｉｄが省略されてもよい。
参考文献３（コミットメントアルゴリズム）：Fabrice Benhamouda, Stephan Krenn, Vadim Lyubashevsky, Krzysztof Pietrzak, "Efficient Zero-Knowledge Proofs for Commitments from Learning With Errors over Rings," In: ESORICS: European Symposium on Research in Computer Security, September 21-25, 2015.

［その他の変形例］
なお、本発明は上述の実施形態に限定されるものではない。例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。

上記の各装置は、例えば、ＣＰＵ（central processing unit）等のプロセッサ（ハードウェア・プロセッサ）およびＲＡＭ（random-access memory）・ＲＯＭ（read-only memory）等のメモリ等を備える汎用または専用のコンピュータが所定のプログラムを実行することで構成される。このコンピュータは１個のプロセッサやメモリを備えていてもよいし、複数個のプロセッサやメモリを備えていてもよい。このプログラムはコンピュータにインストールされてもよいし、予めＲＯＭ等に記録されていてもよい。また、ＣＰＵのようにプログラムが読み込まれることで機能構成を実現する電子回路（circuitry）ではなく、プログラムを用いることなく処理機能を実現する電子回路を用いて一部またはすべての処理部が構成されてもよい。１個の装置を構成する電子回路が複数のＣＰＵを含んでいてもよい。

上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体の例は、非一時的な（non-transitory）記録媒体である。このような記録媒体の例は、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等である。

このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ−ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。処理の実行時、このコンピュータは、自己の記憶装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。

コンピュータ上で所定のプログラムを実行させて本装置の処理機能が実現されるのではなく、これらの処理機能の少なくとも一部がハードウェアで実現されてもよい。

本発明の多者間鍵交換技術は、例えば、暗号技術を用いたアプリケーションに利用できる。例えば、本発明の多者間鍵交換技術は、複数人がアクセス可能なデータの暗号化、多者間通信でやり取りされるデータの暗号化、多者間での電子署名および署名検証、電子投票、または電子マネーなどの様々な実用的なアプリケーションで用いられる共有鍵の交換（共有）処理に利用できる。

１〜３鍵交換システム
１００−１〜（ｎ＋１）端末装置

Claims

端末装置Ｕ_１，…，Ｕ_ｎと鍵配送管理装置とを有し、ｎが３以上の整数であり、ｉ＝１，…，ｎであり、ｖ＝２，…，ｎであり、正整数αに対して−１ｍｏｄ α＝α−１であり、
端末装置Ｕ_ｉは、
格子暗号またはコードベース暗号である公開鍵暗号方式の耐量子計算機暗号に則った鍵カプセル復号鍵ｓｋ_ｉを格納する第ｉ記憶部と、
前記鍵カプセル復号鍵ｓｋ_ｉに対応する鍵暗号化鍵ｐｋ_ｉを出力する第ｉ出力部と、
前記耐量子計算機暗号に則った鍵暗号化鍵ｐｋ_{（ｉｍｏｄｎ）＋１}を受け付ける第ｉ入力部と、
乱数ｋ_ｉを設定する第ｉ乱数設定部と、
前記鍵暗号化鍵ｐｋ_{（ｉｍｏｄｎ）＋１}を用い、二者間共有鍵Ｒ_{ｉ，（ｉｍｏｄｎ）＋１}および前記二者間共有鍵Ｒ_{ｉ，（ｉｍｏｄｎ）＋１}の暗号文である鍵カプセルＣ_{ｉ，（ｉｍｏｄｎ）＋１}を得る第ｉ二者間共有鍵生成部と、
前記鍵カプセルＣ_{ｉ，（ｉｍｏｄｎ）＋１}を出力する前記第ｉ出力部と、を含み、
前記第ｉ入力部は、鍵カプセルＣ_{（ｉ−２ｍｏｄｎ）＋１，ｉ}を受け付け、
端末装置Ｕ_１は、
鍵カプセル復号鍵ｓｋ_１を用いて鍵カプセルＣ_ｎ，１を復号して二者間共有鍵Ｒ_ｎ，１を得る第１復号部と、
前記二者間共有鍵Ｒ_ｎ，１の関数値Ｋ_１ ^（Ｌ）を得、二者間共有鍵Ｒ_１，２の関数値Ｋ_１ ^（Ｒ）を得る第１関数演算部と、
前記関数値Ｋ_１ ^（Ｌ）と前記関数値Ｋ_１ ^（Ｒ）との排他的論理和Ｔ_１を得、乱数ｋ_１の関数値と前記関数値Ｋ_１ ^（Ｌ）との排他的論理和Ｔ’を得る第１排他的論理和部と、
前記排他的論理和Ｔ_１およびＴ’を出力する第１出力部と、を含み、
端末装置Ｕ_ｖは、
鍵カプセル復号鍵ｓｋ_ｖを用いて鍵カプセルＣ_{（ｖ−２ｍｏｄｎ）＋１，ｖ}を復号して二者間共有鍵Ｒ_{（ｖ−２ｍｏｄｎ）＋１，ｖ}を得る第ｖ復号部と、
前記二者間共有鍵Ｒ_{（ｖ−２ｍｏｄｎ）＋１，ｖ}の関数値Ｋ_ｖ ^（Ｌ）を得、二者間共有鍵Ｒ_{ｖ，（ｖｍｏｄｎ）＋１}の関数値Ｋ_ｖ ^（Ｒ）を得る第ｖ関数演算部と、
前記関数値Ｋ_ｖ ^（Ｌ）と前記関数値Ｋ_ｖ ^（Ｒ）との排他的論理和Ｔ_ｖを得る第ｖ排他的論理和部と、
乱数ｋ_ｖおよび前記排他的論理和Ｔ_ｖを出力する第ｖ出力部と、を含み、
前記鍵配送管理装置は、
前記乱数ｋ_２，…，ｋ_ｎを含む複数の値の排他的論理和ｋ’を得て出力し、排他的論理和Ｔ_１，…，Ｔ_ｖ‐１の排他的論理和Ｔ_ｖ’を得て出力する排他的論理和部を含み、
前記端末装置Ｕ_１は、
前記排他的論理和ｋ’と前記乱数ｋ_１との排他的論理和の関数値を共有鍵ＳＫとして得る第１共有鍵生成部を含み、
前記端末装置Ｕ_ｖは、
前記排他的論理和Ｔ_ｖ’と前記関数値Ｋ_ｖ ^（Ｌ）との排他的論理和によって前記関数値Ｋ_１ ^（Ｌ）を得る第ｖ関数値復元部と、
前記排他的論理和Ｔ’と前記関数値Ｋ_１ ^（Ｌ）との排他的論理和によって前記乱数ｋ_１の関数値を得る第ｖ乱数復元部と、
前記排他的論理和ｋ’と前記乱数ｋ_１の関数値から得られる前記乱数ｋ_１との排他的論理和の関数値を前記共有鍵ＳＫとして得る第ｖ共有鍵生成部と、を含む鍵交換システム。
端末装置Ｕ_１，…，Ｕ_ｎ＋１と鍵配送管理装置とを有し、ｎが３以上の整数であり、ｉ＝１，…，ｎであり、ｖ＝２，…，ｎであり、ｗ＝２，…，ｎ＋１であり、ｚ＝２，…，ｎ−１であり、ρ＝１，…，ｎ−１であり、正整数αに対して−１ｍｏｄ α＝α−１であり、
端末装置Ｕ_ｉは関数値ｒを格納する第ｉ記憶部を含み、
端末装置Ｕ_１は、
格子暗号またはコードベース暗号である公開鍵暗号方式の耐量子計算機暗号に則った鍵カプセル復号鍵ｓｋ_１を格納する第１記憶部と、
前記鍵カプセル復号鍵ｓｋ_１に対応する鍵暗号化鍵ｐｋ_１を出力する第１出力部と、を含み、
端末装置Ｕ_ｎ＋１は、
前記耐量子計算機暗号に則った鍵カプセル復号鍵ｓｋ_ｎ＋１を格納する第（ｎ＋１）記憶部と、
前記鍵カプセル復号鍵ｓｋ_ｎ＋１に対応する鍵暗号化鍵ｐｋ_ｎ＋１を出力する第（ｎ＋１）出力部と、を含み、
端末装置Ｕ_ｎは、
前記鍵暗号化鍵ｐｋ_ｎ＋１を受け付ける第ｎ入力部を含み、
乱数ｋ_ｎを設定する第ｎ乱数設定部と、
前記鍵暗号化鍵ｐｋ_ｎ＋１を用い、二者間共有鍵Ｒ_{ｎ，ｎ＋１}および前記二者間共有鍵Ｒ_{ｎ，ｎ＋１}の暗号文である鍵カプセルＣ_{ｎ，ｎ＋１}を得る第ｎ二者間共有鍵生成部と、
前記鍵カプセルＣ_{ｎ，ｎ＋１}を出力する第ｎ出力部と、を含み、
前記端末装置Ｕ_ｎ＋１は、
前記鍵暗号化鍵ｐｋ_１を受け付ける第（ｎ＋１）入力部と、
乱数ｋ_ｎ＋１を設定する第（ｎ＋１）乱数設定部と、
前記鍵暗号化鍵ｐｋ_１を用い、二者間共有鍵Ｒ_{ｎ＋１，１}および前記二者間共有鍵Ｒ_{ｎ＋１，１}の暗号文である鍵カプセルＣ_{ｎ＋１，１}を得る第（ｎ＋１）二者間共有鍵生成部と、
前記鍵カプセルＣ_{ｎ＋１，１}を出力する前記第（ｎ＋１）出力部と、
前記鍵カプセルＣ_{ｎ，ｎ＋１}を受け付ける前記第（ｎ＋１）入力部と、を含み、
前記端末装置Ｕ_ρは、乱数ｋ_ρを設定する第ρ乱数設定部を含み、
前記端末装置Ｕ_１は、
前記鍵カプセルＣ_{ｎ＋１，１}を受け付ける第１入力部と、
前記鍵カプセル復号鍵ｓｋ_１を用いて前記鍵カプセルＣ_{ｎ＋１，１}を復号して前記二者間共有鍵Ｒ_{ｎ＋１，１}を得る第１復号部と、
前記二者間共有鍵Ｒ_{ｎ＋１，１}の関数値Ｋ_１ ^（Ｌ）を得、前記関数値ｒの関数値Ｋ_１ ^（Ｒ）を得る第１関数演算部と、
前記関数値Ｋ_１ ^（Ｌ）と前記関数値Ｋ_１ ^（Ｒ）との排他的論理和Ｔ_１を得、乱数ｋ_１の関数値と前記関数値Ｋ_１ ^（Ｌ）との排他的論理和Ｔ’を得る第１排他的論理和部と、
前記排他的論理和Ｔ_１およびＴ’を出力する前記第１出力部と、を含み、
前記端末装置Ｕ_ｎは、
前記関数値ｒの関数値Ｋ_ｎ ^（Ｌ）を得、前記二者間共有鍵Ｒ_{ｎ，ｎ＋１}の関数値Ｋ_ｎ ^（Ｒ）を得る第ｎ関数演算部と、
前記関数値Ｋ_ｎ ^（Ｌ）と前記関数値Ｋ_ｎ ^（Ｒ）との排他的論理和Ｔ_ｎを得る第ｎ排他的論理和部と、
乱数ｋ_ｎおよび前記排他的論理和Ｔ_ｎを出力する前記第ｎ出力部と、を含み、
前記端末装置Ｕ_ｎ＋１は、
鍵カプセル復号鍵ｓｋ_ｎ＋１を用いて前記鍵カプセルＣ_{ｎ，ｎ＋１}を復号して前記二者間共有鍵Ｒ_{ｎ，ｎ＋１}を得る第（ｎ＋１）復号部と、
前記二者間共有鍵Ｒ_{ｎ，ｎ＋１}の関数値Ｋ_ｎ＋１ ^（Ｌ）を得、前記二者間共有鍵Ｒ_{ｎ＋１，１}の関数値Ｋ_ｎ＋１ ^（Ｒ）を得る第（ｎ＋１）関数演算部と、
前記関数値Ｋ_ｎ＋１ ^（Ｌ）と前記関数値Ｋ_ｎ＋１ ^（Ｒ）との排他的論理和Ｔ_ｎ＋１を得る第（ｎ＋１）排他的論理和部と、
乱数ｋ_ｎ＋１および前記排他的論理和Ｔ_ｎ＋１を出力する前記第（ｎ＋１）出力部と、を含み、
端末装置Ｕ_ｚは、
乱数ｋ_ｚを出力する第ｚ出力部を含み、
前記鍵配送管理装置は、
前記乱数ｋ_２，…，ｋ_ｎ＋１を含む複数の値の排他的論理和ｋ’を得て出力し、排他的論理和Ｔ_２，…，Ｔ_ｎ‐１を空とした排他的論理和Ｔ_１，…，Ｔ_ｗ‐１の排他的論理和Ｔ_ｗ’を得て出力する排他的論理和部を含み、
前記端末装置Ｕ_１は、
前記排他的論理和ｋ’と前記乱数ｋ_１との排他的論理和の関数値を共有鍵ＳＫとして得る第１共有鍵生成部を含み、
前記端末装置Ｕ_ｎは、
排他的論理和Ｔ_ｎ’と関数値Ｋ_ｎ ^（Ｌ）との排他的論理和によって前記関数値Ｋ_１ ^（Ｌ）を得る第ｎ関数値復元部と、
前記排他的論理和Ｔ’と前記関数値Ｋ_１ ^（Ｌ）との排他的論理和によって前記乱数ｋ_１の関数値を得る第ｎ乱数復元部と、
前記排他的論理和ｋ’と前記乱数ｋ_１の関数値から得られる前記乱数ｋ_１との排他的論理和の関数値を前記共有鍵ＳＫとして得る第ｎ共有鍵生成部と、を含み、
前記端末装置Ｕ_ｎ＋１は、
排他的論理和Ｔ_ｎ＋１’と関数値Ｋ_ｎ＋１ ^（Ｌ）との排他的論理和によって前記関数値Ｋ_１ ^（Ｌ）を得る第（ｎ＋１）関数値復元部と、
前記排他的論理和Ｔ’と前記関数値Ｋ_１ ^（Ｌ）との排他的論理和によって前記乱数ｋ_１の関数値を得る第（ｎ＋１）乱数復元部と、
前記排他的論理和ｋ’と前記乱数ｋ_１との排他的論理和の関数値を前記共有鍵ＳＫとして得る第（ｎ＋１）共有鍵生成部と、を含み、
前記端末装置Ｕ_ρは、
排他的論理和Ｔ_ρ’と前記関数値ｒの関数値Ｋ_１ ^（Ｒ）との排他的論理和によって前記関数値Ｋ_１ ^（Ｌ）を得る第ρ関数値復元部と、
前記排他的論理和Ｔ’と前記関数値Ｋ_１ ^（Ｌ）との排他的論理和によって前記乱数ｋ_１の関数値を得る第ρ乱数復元部と、
前記排他的論理和ｋ’と前記乱数ｋ_１との排他的論理和の関数値を前記共有鍵ＳＫとして得る第ρ共有鍵生成部と、を含む、鍵交換システム。
端末装置Ｕ_１，…，Ｕ_ｎと鍵配送管理装置とを有し、ｎが３以上の整数であり、ｉ＝１，…，ｎであり、ｊが１以上ｎ以下の整数であり、ｙ＝１，…，ｎかつｙ≠ｊかつｙ≠（ｊ−２ｍｏｄｎ）＋１であり、ｘ＝１，…，ｎかつｘ≠ｊかつｘ≠（ｊ−２ｍｏｄｎ）＋１かつｘ≠（ｊｍｏｄｎ）＋１であり、正整数αに対して−１ｍｏｄ α＝α−１であり、
端末装置Ｕ_ｉは、
二者間共有鍵Ｈ_ｉ ^（Ｌ）＝Ｒ_{（ｉ−２ｍｏｄｎ）＋１，ｉ}およびＨ_ｉ ^（Ｒ）＝Ｒ_{ｉ，（ｉｍｏｄｎ）＋１}を格納する第ｉ記憶部を含み、
端末装置Ｕ_{（ｊｍｏｄｎ）＋１}は、
格子暗号またはコードベース暗号である公開鍵暗号方式の耐量子計算機暗号に則った鍵カプセル復号鍵ｓｋ_{（ｊｍｏｄｎ）＋１}を格納する第（ｊ＋１）記憶部と、
前記鍵カプセル復号鍵ｓｋ_{（ｊｍｏｄｎ）＋１}に対応する鍵暗号化鍵ｐｋ_{（ｊｍｏｄｎ）＋１}を出力する第（ｊ＋１）出力部と、を含み、
端末装置Ｕ_{（ｊ−２ｍｏｄｎ）＋１}は、
前記鍵暗号化鍵ｐｋ_{（ｊｍｏｄｎ）＋１}を受け付ける第（ｊ−１）入力部と、
乱数ｋ_{（ｊ−２ｍｏｄｎ）＋１}を設定する第（ｊ−１）乱数設定部と、
前記鍵暗号化鍵ｐｋ_{（ｊｍｏｄｎ）＋１}を用い、二者間共有鍵Ｒ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}および前記二者間共有鍵Ｒ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}の暗号文である鍵カプセルＣ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}を得る第（ｊ−１）二者間共有鍵生成部と、
前記鍵カプセルＣ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}を出力する第（ｊ−１）出力部と、を含み、
端末装置Ｕ_ｙは、
乱数ｋ_ｙを設定する第ｙ乱数設定部を含み、
前記端末装置Ｕ_{（ｊｍｏｄｎ）＋１}は、
前記鍵カプセルＣ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}を受け付ける第（ｊ＋１）入力部を含み、
前記端末装置Ｕ_{（ｊ−２ｍｏｄｎ）＋１}は、
二者間共有鍵Ｈ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）の関数値Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）を得、前記二者間共有鍵Ｒ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}の関数値Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｒ）を得る第（ｊ−１）関数演算部と、
前記関数値Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）と前記関数値Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｒ）との排他的論理和Ｔ_{（ｊ−２ｍｏｄｎ）＋１}を得、乱数ｋ_{（ｊ−２ｍｏｄｎ）＋１}の関数値と前記関数値Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）との排他的論理和Ｔ’を得る第（ｊ−１）排他的論理和部と、
前記排他的論理和Ｔ_{（ｊ−２ｍｏｄｎ）＋１}および前記排他的論理和Ｔ’を出力する前記第（ｊ−１）出力部と、を含み、
前記端末装置Ｕ_{（ｊｍｏｄｎ）＋１}は、
鍵カプセル復号鍵ｓｋ_{（ｊｍｏｄｎ）＋１}を用いて前記鍵カプセルＣ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}を復号して前記二者間共有鍵Ｒ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}を得る第（ｊ＋１）復号部と、
前記二者間共有鍵Ｒ_{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１}の関数値Ｋ_{（ｊｍｏｄｎ）＋１} ^（Ｌ）を得、二者間共有鍵Ｈ_{（ｊｍｏｄｎ）＋１} ^（Ｒ）の関数値Ｋ_{（ｊｍｏｄｎ）＋１} ^（Ｒ）を得る第（ｊ＋１）関数演算部と、
前記関数値Ｋ_{（ｊｍｏｄｎ）＋１} ^（Ｌ）と前記関数値Ｋ_{（ｊｍｏｄｎ）＋１} ^（Ｒ）との排他的論理和Ｔ_{（ｊｍｏｄｎ）＋１}を得る第（ｊ＋１）排他的論理和部と、
乱数ｋ_{（ｊｍｏｄｎ）＋１}および前記排他的論理和Ｔ_{（ｊｍｏｄｎ）＋１}を出力する前記第（ｊ＋１）出力部と、を含み、
前記端末装置Ｕ_ｘは、
二者間共有鍵Ｈ_ｘ ^（Ｌ）の関数値Ｋ_ｘ ^（Ｌ）を得、二者間共有鍵Ｈ_ｘ ^（Ｒ）の関数値Ｋ_ｘ ^（Ｒ）を得る第ｘ関数演算部と、
前記関数値Ｋ_ｘ ^（Ｌ）と前記関数値Ｋ_ｘ ^（Ｒ）との排他的論理和Ｔ_ｘを得る第ｘ排他的論理和部と、
乱数ｋ_ｘおよび前記排他的論理和Ｔ_ｘを出力する第ｘ出力部と、を含み、
前記鍵配送管理装置は、
前記乱数ｋ_１，…，ｋ_ｎ（ただし、ｋ_ｊ，ｋ_ｊ＋１を除く）を含む複数の値の排他的論理和ｋ’を得て出力するｋ’生成部と、
ｙ＜ｊ−１のときに排他的論理和Ｔ_１，…，Ｔ_ｙ‐１，Ｔ_ｊ‐１，…，Ｔ_ｎの排他的論理和Ｔ_ｙ’を得て出力し、ｊ＋１≦ｉのときに排他的論理和Ｔ_ｊ‐１，…，Ｔ_ｙ‐１の排他的論理和Ｔ_ｙ’を得て出力する排他的論理和部と、を含み、
前記端末装置Ｕ_ｙは、
排他的論理和Ｔ_ｙ’と関数値Ｋ_ｙ ^（Ｌ）との排他的論理和によって前記関数値Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）を得る第ｙ関数値復元部と、
前記排他的論理和Ｔ’と前記関数値Ｋ_{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）との排他的論理和によって前記乱数ｋ_{（ｊ−２ｍｏｄｎ）＋１}の関数値を得る第ｙ乱数復元部と、
前記排他的論理和ｋ’と前記乱数ｋ_{（ｊ−２ｍｏｄｎ）＋１}の関数値から得られる前記乱数ｋ_{（ｊ−２ｍｏｄｎ）＋１}との排他的論理和の関数値を共有鍵ＳＫとして得る第ｙ共有鍵生成部と、を含み、
前記端末装置Ｕ_ｊ−１は、
前記排他的論理和ｋ’と前記乱数ｋ_{（ｊ−２ｍｏｄｎ）＋１}との排他的論理和の関数値を前記共有鍵ＳＫとして得る第（ｊ−１）共有鍵生成部を含む、鍵交換システム。
請求項１から３のいずれかの鍵交換システムであって、
κ_１（ν）およびκ_２（ν）が正整数であり、Ａ_νがκ_１（ν）×κ_２（ν）の基底行列であり、νおよびμが正整数であり、ｅ_νがκ_２（ν）個の要素からなるベクトルであり、
鍵カプセル復号鍵ｓｋ_νがκ_１（ν）個の整数からなるベクトルｓ_νであり、
鍵暗号化鍵ｐｋ_νがｂ_ν＝Ａ_νｓ_ν＋ｅ_νであり、
鍵カプセルＣ_{ν，（ν ｍｏｄ μ）＋１}が｛γ_ν，ξ_ν’｝であり、二者間共有鍵Ｒ_{ν，（ν ｍｏｄ μ）＋１}がＲＯＵＮＤ（２ξ_ν ⁻／ｑ）であり、
γ_ν＝Ａ_νｓ_ν’＋ｅ_ν’であり、ξ_ν’がｆｌｏｏｒ（４ξ_ν ⁻／ｑ）ｍｏｄ２であり、ｓ_ν’がκ_１（ν）個の整数からなるベクトルであり、ｅ_ν’およびｅ_ν”がκ_２（ν）個の要素からなるベクトルであり、ξ_ν＝ｂ_{（ν ｍｏｄ μ）＋１}ｓ_ν’＋ｅ_ν”であり、ξ_ν ⁻がξ_νのランダム関数値であり、ｑが２以上の整数であり、ｆｌｏｏｒが床関数であり、ＲＯＵＮＤが四捨五入関数である、鍵交換システム。
請求項１の前記鍵交換システムが有する前記端末装置Ｕ _ｉ。
請求項２の前記鍵交換システムが有する前記端末装置Ｕ _ｉ。
請求項３の前記鍵交換システムが有する前記端末装置Ｕ _ｉ。
鍵交換システムの鍵交換方法であって、
端末装置Ｕ _１，…，Ｕ _ｎと鍵配送管理装置とを有し、ｎが３以上の整数であり、ｉ＝１，…，ｎであり、ｖ＝２，…，ｎであり、正整数αに対して−１ｍｏｄ α＝α−１であり、
端末装置Ｕ _ｉの第ｉ記憶部に、格子暗号またはコードベース暗号である公開鍵暗号方式の耐量子計算機暗号に則った鍵カプセル復号鍵ｓｋ _ｉが格納されており、
前記端末装置Ｕ _ｉの第ｉ出力部が前記鍵カプセル復号鍵ｓｋ _ｉに対応する鍵暗号化鍵ｐｋ _ｉを出力するステップと、
前記端末装置Ｕ _ｉの第ｉ入力部が前記耐量子計算機暗号に則った鍵暗号化鍵ｐｋ _{（ｉｍｏｄｎ）＋１} を受け付けるステップと、
前記端末装置Ｕ _ｉの第ｉ乱数設定部が乱数ｋ _ｉを設定するステップと、
前記端末装置Ｕ _ｉの第ｉ二者間共有鍵生成部が前記鍵暗号化鍵ｐｋ _{（ｉｍｏｄｎ）＋１} を用い、二者間共有鍵Ｒ _{ｉ，（ｉｍｏｄｎ）＋１} および前記二者間共有鍵Ｒ _{ｉ，（ｉｍｏｄｎ）＋１} の暗号文である鍵カプセルＣ _{ｉ，（ｉｍｏｄｎ）＋１} を得るステップと、
前記端末装置Ｕ _ｉの前記第ｉ出力部が前記鍵カプセルＣ _{ｉ，（ｉｍｏｄｎ）＋１} を出力するステップと、
前記端末装置Ｕ _ｉの前記第ｉ入力部が鍵カプセルＣ _{（ｉ−２ｍｏｄｎ）＋１，ｉ} を受け付けるステップと、
端末装置Ｕ _１の第１復号部が鍵カプセル復号鍵ｓｋ _１を用いて鍵カプセルＣ _ｎ，１を復号して二者間共有鍵Ｒ _ｎ，１を得るステップと、
前記端末装置Ｕ _１の第１関数演算部が前記二者間共有鍵Ｒ _ｎ，１の関数値Ｋ _１ ^（Ｌ）を得、二者間共有鍵Ｒ _１，２の関数値Ｋ _１ ^（Ｒ）を得るステップと、
前記端末装置Ｕ _１の第１排他的論理和部が前記関数値Ｋ _１ ^（Ｌ）と前記関数値Ｋ _１ ^（Ｒ）との排他的論理和Ｔ _１を得、乱数ｋ _１の関数値と前記関数値Ｋ _１ ^（Ｌ）との排他的論理和Ｔ’を得るステップと、
前記端末装置Ｕ _１の第１出力部が前記排他的論理和Ｔ _１およびＴ’を出力するステップと、
端末装置Ｕ _ｖの第ｖ復号部が鍵カプセル復号鍵ｓｋ _ｖを用いて鍵カプセルＣ _{（ｖ−２ｍｏｄｎ）＋１，ｖ} を復号して二者間共有鍵Ｒ _{（ｖ−２ｍｏｄｎ）＋１，ｖ} を得るステップと、
前記端末装置Ｕ _ｖの第ｖ関数演算部が前記二者間共有鍵Ｒ _{（ｖ−２ｍｏｄｎ）＋１，ｖ} の関数値Ｋ _ｖ ^（Ｌ）を得、二者間共有鍵Ｒ _{ｖ，（ｖｍｏｄｎ）＋１} の関数値Ｋ _ｖ ^（Ｒ）を得るステップと、
前記端末装置Ｕ _ｖの第ｖ排他的論理和部が前記関数値Ｋ _ｖ ^（Ｌ）と前記関数値Ｋ _ｖ ^（Ｒ）との排他的論理和Ｔ _ｖを得るステップと、
前記端末装置Ｕ _ｖの第ｖ出力部が乱数ｋ _ｖおよび前記排他的論理和Ｔ _ｖを出力するステップと、
前記鍵配送管理装置の排他的論理和部が前記乱数ｋ _２，…，ｋ _ｎを含む複数の値の排他的論理和ｋ’を得て出力し、排他的論理和Ｔ _１，…，Ｔ _ｖ‐１の排他的論理和Ｔ _ｖ ’を得て出力するステップと、
前記端末装置Ｕ _１の第１共有鍵生成部が前記排他的論理和ｋ’と前記乱数ｋ _１との排他的論理和の関数値を共有鍵ＳＫとして得るステップと、
前記端末装置Ｕ _ｖの第ｖ関数値復元部が前記排他的論理和Ｔ _ｖ ’と前記関数値Ｋ _ｖ ^（Ｌ）との排他的論理和によって前記関数値Ｋ _１ ^（Ｌ）を得るステップと、
前記端末装置Ｕ _ｖの第ｖ乱数復元部が前記排他的論理和Ｔ’と前記関数値Ｋ _１ ^（Ｌ）との排他的論理和によって前記乱数ｋ _１の関数値を得るステップと、
前記端末装置Ｕ _ｖの第ｖ共有鍵生成部が前記排他的論理和ｋ’と前記乱数ｋ _１の関数値から得られる前記乱数ｋ _１との排他的論理和の関数値を前記共有鍵ＳＫとして得るステップと
を有する鍵交換方法。
鍵交換システムの鍵交換方法であって、
端末装置Ｕ _１，…，Ｕ _ｎ＋１と鍵配送管理装置とを有し、ｎが３以上の整数であり、ｉ＝１，…，ｎであり、ｖ＝２，…，ｎであり、ｗ＝２，…，ｎ＋１であり、ｚ＝２，…，ｎ−１であり、ρ＝１，…，ｎ−１であり、正整数αに対して−１ｍｏｄ α＝α−１であり、
端末装置Ｕ _ｉの第ｉ記憶部に、関数値ｒが格納されており、
端末装置Ｕ _１の第１記憶部に、格子暗号またはコードベース暗号である公開鍵暗号方式の耐量子計算機暗号に則った鍵カプセル復号鍵ｓｋ _１が格納されており、
端末装置Ｕ _ｎ＋１の第（ｎ＋１）記憶部に、前記耐量子計算機暗号に則った鍵カプセル復号鍵ｓｋ _ｎ＋１が格納されており、
前記端末装置Ｕ _１の第１出力部が前記鍵カプセル復号鍵ｓｋ _１に対応する鍵暗号化鍵ｐｋ _１を出力するステップと、
前記端末装置Ｕ _ｎ＋１の第（ｎ＋１）出力部が前記鍵カプセル復号鍵ｓｋ _ｎ＋１に対応する鍵暗号化鍵ｐｋ _ｎ＋１を出力するステップと、
端末装置Ｕ _ｎの第ｎ入力部が前記鍵暗号化鍵ｐｋ _ｎ＋１を受け付けるステップと、
前記端末装置Ｕ _ｎの第ｎ乱数設定部が乱数ｋ _ｎを設定するステップと、
前記端末装置Ｕ _ｎの第ｎ二者間共有鍵生成部が前記鍵暗号化鍵ｐｋ _ｎ＋１を用い、二者間共有鍵Ｒ _{ｎ，ｎ＋１} および前記二者間共有鍵Ｒ _{ｎ，ｎ＋１} の暗号文である鍵カプセルＣ _{ｎ，ｎ＋１} を得るステップと、
前記端末装置Ｕ _ｎの第ｎ出力部が前記鍵カプセルＣ _{ｎ，ｎ＋１} を出力するステップと、
前記端末装置Ｕ _ｎ＋１の第（ｎ＋１）入力部が前記鍵暗号化鍵ｐｋ _１を受け付けるステップと、
前記端末装置Ｕ _ｎ＋１の第（ｎ＋１）乱数設定部が乱数ｋ _ｎ＋１を設定するステップと、
前記端末装置Ｕ _ｎ＋１の第（ｎ＋１）二者間共有鍵生成部が前記鍵暗号化鍵ｐｋ _１を用い、二者間共有鍵Ｒ _{ｎ＋１，１} および前記二者間共有鍵Ｒ _{ｎ＋１，１} の暗号文である鍵カプセルＣ _{ｎ＋１，１} を得るステップと、
前記端末装置Ｕ _ｎ＋１の前記第（ｎ＋１）出力部が前記鍵カプセルＣ _{ｎ＋１，１} を出力するステップと、
前記端末装置Ｕ _ｎ＋１の前記第（ｎ＋１）入力部が前記鍵カプセルＣ _{ｎ，ｎ＋１} を受け付けるステップと、
前記端末装置Ｕ _ρ の第ρ乱数設定部が乱数ｋ _ρ を設定するステップと、
前記端末装置Ｕ _１の第１入力部が前記鍵カプセルＣ _{ｎ＋１，１} を受け付けるステップと、
前記端末装置Ｕ _１の第１復号部が前記鍵カプセル復号鍵ｓｋ _１を用いて前記鍵カプセルＣ _{ｎ＋１，１} を復号して前記二者間共有鍵Ｒ _{ｎ＋１，１} を得るステップと、
前記端末装置Ｕ _１の第１関数演算部が前記二者間共有鍵Ｒ _{ｎ＋１，１} の関数値Ｋ _１ ^（Ｌ）を得、前記関数値ｒの関数値Ｋ _１ ^（Ｒ）を得るステップと、
前記端末装置Ｕ _１の第１排他的論理和部が前記関数値Ｋ _１ ^（Ｌ）と前記関数値Ｋ _１ ^（Ｒ）との排他的論理和Ｔ _１を得、乱数ｋ _１の関数値と前記関数値Ｋ _１ ^（Ｌ）との排他的論理和Ｔ’を得るステップと、
前記端末装置Ｕ _１の前記第１出力部が前記排他的論理和Ｔ _１およびＴ’を出力すると、
前記端末装置Ｕ _ｎの第ｎ関数演算部が前記関数値ｒの関数値Ｋ _ｎ ^（Ｌ）を得、前記二者間共有鍵Ｒ _{ｎ，ｎ＋１} の関数値Ｋ _ｎ ^（Ｒ）を得るステップと、
前記端末装置Ｕ _ｎの第ｎ排他的論理和部が前記関数値Ｋ _ｎ ^（Ｌ）と前記関数値Ｋ _ｎ ^（Ｒ）との排他的論理和Ｔ _ｎを得るステップと、
前記端末装置Ｕ _ｎの前記第ｎ出力部が乱数ｋ _ｎおよび前記排他的論理和Ｔ _ｎを出力するステップと、
前記端末装置Ｕ _ｎ＋１の第（ｎ＋１）復号部が鍵カプセル復号鍵ｓｋ _ｎ＋１を用いて前記鍵カプセルＣ _{ｎ，ｎ＋１} を復号して前記二者間共有鍵Ｒ _{ｎ，ｎ＋１} を得るステップと、
前記端末装置Ｕ _ｎ＋１の第（ｎ＋１）関数演算部が前記二者間共有鍵Ｒ _{ｎ，ｎ＋１} の関数値Ｋ _ｎ＋１ ^（Ｌ）を得、前記二者間共有鍵Ｒ _{ｎ＋１，１} の関数値Ｋ _ｎ＋１ ^（Ｒ）を得るステップと、
前記端末装置Ｕ _ｎ＋１の第（ｎ＋１）排他的論理和部が前記関数値Ｋ _ｎ＋１ ^（Ｌ）と前記関数値Ｋ _ｎ＋１ ^（Ｒ）との排他的論理和Ｔ _ｎ＋１を得るステップと、
前記端末装置Ｕ _ｎ＋１の前記第（ｎ＋１）出力部が乱数ｋ _ｎ＋１および前記排他的論理和Ｔ _ｎ＋１を出力するステップと、
端末装置Ｕ _ｚの第ｚ出力部が乱数ｋ _ｚを出力するステップと、
前記鍵配送管理装置の排他的論理和部が前記乱数ｋ _２，…，ｋ _ｎ＋１を含む複数の値の排他的論理和ｋ’を得て出力し、排他的論理和Ｔ _２，…，Ｔ _ｎ‐１を空とした排他的論理和Ｔ _１，…，Ｔ _ｗ‐１の排他的論理和Ｔ _ｗ ’を得て出力するステップと、
前記端末装置Ｕ _１の第１共有鍵生成部が前記排他的論理和ｋ’と前記乱数ｋ _１との排他的論理和の関数値を共有鍵ＳＫとして得るステップと、
前記端末装置Ｕ _ｎの第ｎ関数値復元部が排他的論理和Ｔ _ｎ ’と関数値Ｋ _ｎ ^（Ｌ）との排他的論理和によって前記関数値Ｋ _１ ^（Ｌ）を得るステップと、
前記端末装置Ｕ _ｎの第ｎ乱数復元部が前記排他的論理和Ｔ’と前記関数値Ｋ _１ ^（Ｌ）との排他的論理和によって前記乱数ｋ _１の関数値を得るステップと、
前記端末装置Ｕ _ｎの第ｎ共有鍵生成部が前記排他的論理和ｋ’と前記乱数ｋ _１の関数値から得られる前記乱数ｋ _１との排他的論理和の関数値を前記共有鍵ＳＫとして得るステップと、
前記端末装置Ｕ _ｎ＋１の第（ｎ＋１）関数値復元部が排他的論理和Ｔ _ｎ＋１ ’と関数値Ｋ _ｎ＋１ ^（Ｌ）との排他的論理和によって前記関数値Ｋ _１ ^（Ｌ）を得るステップと、
前記端末装置Ｕ _ｎ＋１の第（ｎ＋１）乱数復元部が前記排他的論理和Ｔ’と前記関数値Ｋ _１ ^（Ｌ）との排他的論理和によって前記乱数ｋ _１の関数値を得るステップと、
前記端末装置Ｕ _ｎ＋１の第（ｎ＋１）共有鍵生成部が前記排他的論理和ｋ’と前記乱数ｋ _１との排他的論理和の関数値を前記共有鍵ＳＫとして得るステップと、を含み、
前記端末装置Ｕ _ρ の第ρ関数値復元部が排他的論理和Ｔ _ρ ’と前記関数値ｒの関数値Ｋ _１ ^（Ｒ）との排他的論理和によって前記関数値Ｋ _１ ^（Ｌ）を得るステップと、
前記端末装置Ｕ _ρ の第ρ乱数復元部が前記排他的論理和Ｔ’と前記関数値Ｋ _１ ^（Ｌ）との排他的論理和によって前記乱数ｋ _１の関数値を得るステップと、
前記端末装置Ｕ _ρ の第ρ共有鍵生成部が前記排他的論理和ｋ’と前記乱数ｋ _１との排他的論理和の関数値を前記共有鍵ＳＫとして得るステップと
を有する鍵交換方法。
鍵交換システムの鍵交換方法であって、
端末装置Ｕ _１，…，Ｕ _ｎと鍵配送管理装置とを有し、ｎが３以上の整数であり、ｉ＝１，…，ｎであり、ｊが１以上ｎ以下の整数であり、ｙ＝１，…，ｎかつｙ≠ｊかつｙ≠（ｊ−２ｍｏｄｎ）＋１であり、ｘ＝１，…，ｎかつｘ≠ｊかつｘ≠（ｊ−２ｍｏｄｎ）＋１かつｘ≠（ｊｍｏｄｎ）＋１であり、正整数αに対して−１ｍｏｄ α＝α−１であり、
端末装置Ｕ _ｉの第ｉ記憶部に、二者間共有鍵Ｈ _ｉ ^（Ｌ）＝Ｒ _{（ｉ−２ｍｏｄｎ）＋１，ｉ} およびＨ _ｉ ^（Ｒ）＝Ｒ _{ｉ，（ｉｍｏｄｎ）＋１} が格納されており、
端末装置Ｕ _{（ｊｍｏｄｎ）＋１} の第（ｊ＋１）記憶部に、格子暗号またはコードベース暗号である公開鍵暗号方式の耐量子計算機暗号に則った鍵カプセル復号鍵ｓｋ _{（ｊｍｏｄｎ）＋１} が格納されており、
端末装置Ｕ _ｉの第（ｊ＋１）出力部が前記鍵カプセル復号鍵ｓｋ _{（ｊｍｏｄｎ）＋１} に対応する鍵暗号化鍵ｐｋ _{（ｊｍｏｄｎ）＋１} を出力するステップと、
端末装置Ｕ _{（ｊ−２ｍｏｄｎ）＋１} の第（ｊ−１）入力部が前記鍵暗号化鍵ｐｋ _{（ｊｍｏｄｎ）＋１} を受け付けるステップと、
前記端末装置Ｕ _{（ｊ−２ｍｏｄｎ）＋１} の第（ｊ−１）乱数設定部が乱数ｋ _{（ｊ−２ｍｏｄｎ）＋１} を設定するステップと、
前記端末装置Ｕ _{（ｊ−２ｍｏｄｎ）＋１} の第（ｊ−１）二者間共有鍵生成部が前記鍵暗号化鍵ｐｋ _{（ｊｍｏｄｎ）＋１} を用い、二者間共有鍵Ｒ _{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１} および前記二者間共有鍵Ｒ _{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１} の暗号文である鍵カプセルＣ _{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１} を得るステップと、
前記端末装置Ｕ _{（ｊ−２ｍｏｄｎ）＋１} の第（ｊ−１）出力部が前記鍵カプセルＣ _{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１} を出力するステップと、を含み、
端末装置Ｕ _ｙの第ｙ乱数設定部が乱数ｋ _ｙを設定するステップと、
前記端末装置Ｕ _{（ｊｍｏｄｎ）＋１} の第（ｊ＋１）入力部が前記鍵カプセルＣ _{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１} を受け付けるステップと、
前記端末装置Ｕ _{（ｊ−２ｍｏｄｎ）＋１} の第（ｊ−１）関数演算部が二者間共有鍵Ｈ _{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）の関数値Ｋ _{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）を得、前記二者間共有鍵Ｒ _{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１} の関数値Ｋ _{（ｊ−２ｍｏｄｎ）＋１} ^（Ｒ）を得るステップと、
前記端末装置Ｕ _{（ｊ−２ｍｏｄｎ）＋１} の第（ｊ−１）排他的論理和部が前記関数値Ｋ _{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）と前記関数値Ｋ _{（ｊ−２ｍｏｄｎ）＋１} ^（Ｒ）との排他的論理和Ｔ _{（ｊ−２ｍｏｄｎ）＋１} を得、乱数ｋ _{（ｊ−２ｍｏｄｎ）＋１} の関数値と前記関数値Ｋ _{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）との排他的論理和Ｔ’を得るステップと、
前記端末装置Ｕ _{（ｊ−２ｍｏｄｎ）＋１} の前記第（ｊ−１）出力部が前記排他的論理和Ｔ _{（ｊ−２ｍｏｄｎ）＋１} および前記排他的論理和Ｔ’を出力するステップと、
前記端末装置Ｕ _{（ｊｍｏｄｎ）＋１} の第（ｊ＋１）復号部が鍵カプセル復号鍵ｓｋ _{（ｊｍｏｄｎ）＋１} を用いて前記鍵カプセルＣ _{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１} を復号して前記二者間共有鍵Ｒ _{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１} を得るステップと、
前記端末装置Ｕ _{（ｊｍｏｄｎ）＋１} の第（ｊ＋１）関数演算部が前記二者間共有鍵Ｒ _{（ｊ−２ｍｏｄｎ）＋１，（ｊｍｏｄｎ）＋１} の関数値Ｋ _{（ｊｍｏｄｎ）＋１} ^（Ｌ）を得、二者間共有鍵Ｈ _{（ｊｍｏｄｎ）＋１} ^（Ｒ）の関数値Ｋ _{（ｊｍｏｄｎ）＋１} ^（Ｒ）を得るステップと、
前記端末装置Ｕ _{（ｊｍｏｄｎ）＋１} の第（ｊ＋１）排他的論理和部が前記関数値Ｋ _{（ｊｍｏｄｎ）＋１} ^（Ｌ）と前記関数値Ｋ _{（ｊｍｏｄｎ）＋１} ^（Ｒ）との排他的論理和Ｔ _{（ｊｍｏｄｎ）＋１} を得るステップと、
前記端末装置Ｕ _{（ｊｍｏｄｎ）＋１} の前記第（ｊ＋１）出力部が乱数ｋ _{（ｊｍｏｄｎ）＋１} および前記排他的論理和Ｔ _{（ｊｍｏｄｎ）＋１} を出力するステップと、
前記端末装置Ｕ _ｘの第ｘ関数演算部が二者間共有鍵Ｈ _ｘ ^（Ｌ）の関数値Ｋ _ｘ ^（Ｌ）を得、二者間共有鍵Ｈ _ｘ ^（Ｒ）の関数値Ｋ _ｘ ^（Ｒ）を得るステップと、
前記端末装置Ｕ _ｘの第ｘ排他的論理和部が前記関数値Ｋ _ｘ ^（Ｌ）と前記関数値Ｋ _ｘ ^（Ｒ）との排他的論理和Ｔ _ｘを得るステップと、
前記端末装置Ｕ _ｘの第ｘ出力部が乱数ｋ _ｘおよび前記排他的論理和Ｔ _ｘを出力するステップと、を含み、
前記鍵配送管理装置のｋ’生成部が前記乱数ｋ _１，…，ｋ _ｎ（ただし、ｋ _ｊ，ｋ _ｊ＋１を除く）を含む複数の値の排他的論理和ｋ’を得て出力するステップと、
前記鍵配送管理装置の排他的論理和部がｙ＜ｊ−１のときに排他的論理和Ｔ _１，…，Ｔ _ｙ‐１，Ｔ _ｊ‐１，…，Ｔ _ｎの排他的論理和Ｔ _ｙ ’を得て出力し、ｊ＋１≦ｉのときに排他的論理和Ｔ _ｊ‐１，…，Ｔ _ｙ‐１の排他的論理和Ｔ _ｙ ’を得て出力するステップと、
前記端末装置Ｕ _ｙの第ｙ関数値復元部が排他的論理和Ｔ _ｙ ’と関数値Ｋ _ｙ ^（Ｌ）との排他的論理和によって前記関数値Ｋ _{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）を得るステップと、
前記端末装置Ｕ _ｙの第ｙ乱数復元部が前記排他的論理和Ｔ’と前記関数値Ｋ _{（ｊ−２ｍｏｄｎ）＋１} ^（Ｌ）との排他的論理和によって前記乱数ｋ _{（ｊ−２ｍｏｄｎ）＋１} の関数値を得るステップと、
前記端末装置Ｕ _ｙの第ｙ共有鍵生成部が前記排他的論理和ｋ’と前記乱数ｋ _{（ｊ−２ｍｏｄｎ）＋１} の関数値から得られる前記乱数ｋ _{（ｊ−２ｍｏｄｎ）＋１} との排他的論理和の関数値を共有鍵ＳＫとして得るステップと、
前記端末装置Ｕ _ｊ−１の第（ｊ−１）共有鍵生成部が前記排他的論理和ｋ’と前記乱数ｋ _{（ｊ−２ｍｏｄｎ）＋１} との排他的論理和の関数値を前記共有鍵ＳＫとして得るステップと
を有する鍵交換方法。
請求項５の端末装置としてコンピュータを機能させるためのプログラム。
請求項６の端末装置としてコンピュータを機能させるためのプログラム。
請求項７の端末装置としてコンピュータを機能させるためのプログラム。