JP7127543B2 - 照合システム、方法、装置及びプログラム - Google Patents

照合システム、方法、装置及びプログラム Download PDF

Info

Publication number
JP7127543B2
JP7127543B2 JP2018556722A JP2018556722A JP7127543B2 JP 7127543 B2 JP7127543 B2 JP 7127543B2 JP 2018556722 A JP2018556722 A JP 2018556722A JP 2018556722 A JP2018556722 A JP 2018556722A JP 7127543 B2 JP7127543 B2 JP 7127543B2
Authority
JP
Japan
Prior art keywords
encrypted data
verification
binary vector
value
random number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018556722A
Other languages
English (en)
Other versions
JPWO2018110608A1 (ja
Inventor
春菜 肥後
寿幸 一色
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2018110608A1 publication Critical patent/JPWO2018110608A1/ja
Application granted granted Critical
Publication of JP7127543B2 publication Critical patent/JP7127543B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/008Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • H04L9/0656Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
    • H04L9/0662Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher with particular pseudorandom sequence generator
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computing Systems (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Algebra (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Description

[関連出願についての記載]
本発明は、日本国特許出願:特願2016-243709号(2016年12月15日出願)の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明は照合システム、方法、装置及びプログラムに関する。
クラウドコンピューティングサービス等、通信ネットワークに通信接続している計算機資源を用いてデータを管理するサービスが広く普及している。この種のサービスは機密性の高いデータを管理することから、データの安全性を保証する必要がある。ネットワーク環境において、データを暗号化されたままの状態で管理し、データを復号することなく、検索や統計処理等を行う技術の研究開発が行われている。また、例えば静脈等の生体が有する特徴(生体情報)に基づいた認証情報を用いて、安全性の高い認証を実現する生体認証技術が注目を集めている。
生体認証技術においては、生体情報に基づきテンプレートが作成され、作成されたテンプレートが認証情報としてデータベースに保管される。生体認証技術においては、認証対象である生体に基づき作成された認証情報と、データベースに保管されているテンプレートとが類似(または、一致)している場合に、認証対象が受理される。生体認証技術においては、該認証情報と、該テンプレートとが類似(または、一致)していない場合に、認証対象は受理されない。一つの生体から作成された複数の認証情報であっても、該複数の認証情報は、相互に一致するとは限らない。しかし、類似しているか否かを、ある距離関数を用いて測定した場合に、該複数の認証情報間の距離は短い。これに対して、異なる生体から、それぞれ、作成された複数の認証情報間の距離は長い。生体認証技術は、上記の特質を利用することによって、データベースに保管されているテンプレートと、認証対象に関して作成された認証情報との照合を行う。例えば、指紋、静脈等は、生体情報の一例であり、生涯不変のデータとされている。生体情報が照合システムの外部に漏洩された場合の被害が甚大である。このため、該生体情報は、機密性が要求される情報の一つである。したがって、テンプレートが照合システムの外部に漏洩したとしても、生体情報が外部に漏洩しないテンプレート保護型の生体認証技術が重要である。
また、生体認証技術では、他の認証技術と同様に、認証情報を登録した生体に、該生体と異なる生体がなりすますこと(すなわち、「なりすまし」)を防ぐ必要がある。例えば、特定の値を照合システムに送信することによって認証に成功する認証技術は、該なりすましへの耐性が十分でない。さらに、認証技術においては、テンプレートが漏洩してしまうリスクだけでなく、通信情報が盗聴(傍受)されるリスクもある。認証技術においては、通信情報が盗聴されたとしても、なりすましを防ぐ必要がある。例えば、正規のクライアントが照合システムに対する認証に成功した場合に、該照合システムへ送信したデータを、異なるクライアントが再送することによって認証に成功する方式は、なりすましへの耐性が十分でない可能性が高い。
例えば、特許文献1には、暗号化した状態でハミング距離を算出可能な暗号アルゴリズムを用いて暗号化されたユーザの登録情報を、当該登録情報と前記暗号アルゴリズムを用いて暗号化された照合情報との間のハミング距離の計算結果に前記照合情報と前記ユーザとのハミング距離及び前記照合情報と前記ユーザとは異なる他人とのハミング距離が含まれるように変換し、入力された前記照合情報と、前記変換された登録情報とのハミング距離を計算し、前記計算されたハミング距離に含まれる、前記照合情報と前記ユーザとのハミング距離及び前記照合情報と前記ユーザとは異なる他人とのハミング距離と予め設定された閾値との比較結果に基づいて前記入力された照合情報が不正なものか否かを判定する処理を実行する方法、装置が開示されている。
また、特許文献2には、準同型暗号を利用した秘匿生体認証システム・秘匿タグ検索システムにおいて、ベクトルデータA=(a1、a2、…)を準同型暗号で暗号化する場合、各成分aiを暗号化し、暗号ベクトルデータE(A)=(E(a1)、E(a2)、…)を生成し、さらに、2つの暗号ベクトルデータE(A)=(E(a1)、E(a2)、…)とE(B)=(E(b1)、E(b2)、…)の距離を暗号化したまま計算する(距離の例には、ハミング距離がある)が、このようにベクトルデータの各成分を準同型暗号化する場合、暗号ベクトルデータE(A)=(E(a1)、E(a2)、…)、E(B)=(E(b1)、E(b2)、…)などのサイズが巨大になり、さらに秘匿距離計算に多大な計算時間を要するという問題があることが記載され、暗号ベクトルデータのサイズと秘匿距離計算の時間の両方を削減する構成が開示されている。
特許文献3には、準同型暗号を利用した暗号処理システムにおいて、暗号化された情報を簡便にキャンセルする方法が開示されている。第1のデータを第1の変換多項式を用いて変換して第1の多項式を取得し、第1のデータに対応する乱数と第2のデータとを基に得られる式を、第2の変換多項式を用いて変換して第2の多項式を取得し、第1の変換多項式または前記第2の変換多項式のうち少なくとも一方を用いて前記乱数を変換して乱数多項式を取得し、第1の多項式と第2の多項式と乱数多項式とを、準同型暗号方式を用いて暗号化して、暗号化された第1の多項式と暗号化された第2の多項式と暗号化された乱数多項式とを取得し、暗号化された第1の多項式と暗号化された第2の多項式と暗号化された乱数多項式とを用いて、第1のデータと第2のデータとの照合を行う方法が開示されている。
さらに、特許文献4には、信頼できる第三者による介入を導入したシステムにおいて、より一般的な準同型暗号方式を用いて構成される技術が開示されている。
さらにまた、特許文献5には、テンプレートのサイズが、受理可能な範囲の広さのパラメータに依存せず、かつ、第三者の負荷が小さい技術が記載されている。しかし、この方式では、第三者に対し、登録された生体情報と照合する対象である生体情報との距離が明かされる。悪意を有した第三者が、照合時に得られる距離を利用することによる攻撃(ヒルクライミング攻撃)が可能であることが知られている。
また、非特許文献1には、サーバとユーザが結託する攻撃者に対する安全性、復号者及びユーザが結託する攻撃者に対する安全性、盗聴者がユーザになりすましをできない性質の三つの安全性をすべて満たす方式が提案されている。
本明細書で用いられる暗号アルゴリズム等の記法に関して説明しておく。まず公開鍵暗号について説明する。公開鍵暗号方式は、鍵生成、暗号化、復号の三つのアルゴリズム(Gen, Enc, Dec)で表される。
鍵生成アルゴリズム(「Gen」と表記する)はセキュリティパラメータ1^κに基づき、公開鍵pkと、秘密鍵skを出力する。
(pk, sk) ← Gen(1^κ)
暗号化アルゴリズム(「Enc」と表記する)は公開鍵pkと平文mを入力とし暗号文cを出力する。
c ← Enc(pk, m)
復号アルゴリズム(「Dec」と表記する)は、秘密鍵sk,暗号文cを入力とし、復号結果m'を出力する。
m’ ← Dec(sk, c)
なお、本明細書、図面等では、文脈から明らかな場合等、pk, skは略記される場合がある。準同型暗号は、複数の暗号文から、その平文の演算結果の暗号文を計算可能な公開鍵暗号である。例えば、平文m1,…,mnの暗号文Enc(m1),…,Enc(mm)から秘密鍵を用いずに平文の和に対応する暗号文Enc(m1+…+mn)を計算できるものを「加法準同型暗号」と呼ぶ。
特開2016-131335号公報 特開2014-126865号公報 特開2016-12111号公報 国際公開第2014/185447号 国際公開第2012/114452号
肥後、一色、森、尾花、"認証時の情報開示の少ない秘匿生体認証方式"、暗号と情報セキュリティシンポジウム(SCIS2016)、2016.
以下に関連技術の分析を与える。
特許文献2、3では、盗聴者によるなりすまし攻撃に対する耐性の点で問題がある。また、特許文献2、3、5では、Somewhat準同型暗号やペアリング演算が必要とされる。Somewhat準同型暗号は、加法準同型暗号よりも計算の処理負荷が重い、仮定が強い等の課題を有する。
また、非特許文献1の開示において、生体情報が二値ベクトル(二値符号列)の場合、盗聴者等によるなりすまし攻撃に対する防御度(耐性)を高める必要があることを、本発明者らは知見した。これに加えて、1:N認証にも対応可能な技術を本発明者らは知見したので、以下に提案する。
本発明の主たる目的は、二値のベクトルの照合に関して漏洩やなりすまし等を回避可能とし安全性を高める照合システム、方法、照合装置、プログラムを提供することである。
本発明の一つの側面によれば、照合システムは、乱数を生成し、暗号鍵で暗号化されている第1の二値ベクトルに関する第1の値を暗号化したまま前記乱数との演算で得た暗号データ、又は、生成した前記乱数を前記暗号鍵で暗号化した暗号データを照合要求装置に送信する照合装置と、前記照合装置からの前記暗号データを暗号化したまま照合用の第2の二値ベクトルの要素との演算で得た暗号データを前記照合装置に送信する前記照合要求装置と、を備えている。前記照合装置は、前記暗号鍵で暗号化されている前記第1の二値ベクトルに関する第2の値と、前記照合要求装置から送信された前記暗号データと、前記乱数とに基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の程度を検証するための、暗号データ、又は、前記暗号データと補助データを生成し、前記クエリとして検証装置に送信する。照合システムは、前記照合装置から送信された前記クエリの前記暗号データを復号鍵で復号した値、又は、前記復号した値と前記クエリの前記補助データに基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の要素の個数が予め定められた個数以下であるか否かを判定する前記検証装置を備えている。
本発明の別の側面によれば、
(a)照合装置が、乱数を生成し、暗号鍵で暗号化されている第1の二値ベクトルに関する第1の値を暗号化したまま前記乱数との演算で得た暗号データ、又は、生成した前記乱数を前記暗号鍵で暗号化した暗号データを照合要求装置に送信する工程と、
(b)前記照合要求装置が、前記照合装置からの前記暗号データを暗号化したまま照合用の第2の二値ベクトルの要素との演算により得た暗号データを、前記照合装置に送信する工程と、
(c)前記照合装置が、暗号鍵で暗号化されている前記第1の二値ベクトルに関する第2の値と、前記照合要求装置から送信された前記暗号データと、前記乱数とに基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の程度を検証するための、暗号データ、又は、前記暗号データと補助データを生成し、前記クエリとして検証装置に送信する工程と、
(d)前記検証装置が、前記照合装置から送信された前記クエリの前記暗号データを復号鍵で復号した値、又は、前記復号した値と前記クエリの前記補助データ、に基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の要素の個数が予め定められた個数以下であるか否かを判定する工程と、を含む照合方法が提供される。
本発明の別の側面によれば、乱数を生成し、暗号鍵で暗号化されている第1の二値ベクトルに関する第1の値を暗号化したまま前記乱数との演算で得た暗号データ、又は、生成した前記乱数を前記暗号鍵で暗号化した暗号データを照合要求装置に送信する手段と、前記照合要求装置から、前記暗号データを暗号化したまま照合用の第2の二値ベクトルの要素との演算により得た暗号データを、受信する手段と、暗号鍵で暗号化されている前記第1の二値ベクトルに関する第2の値と、前記照合要求装置から送信された前記暗号データと、前記乱数とに基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の程度を検証するための、暗号データ、又は、前記暗号データと補助データを生成し、前記クエリとして検証装置に送信する手段と、復号鍵を用いて前記暗号データを復号した値、又は前記復号した値と前記補助データ、に基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の要素の個数が予め定められた個数以下であるか否かを判定する前記検証装置から、検証結果を受信する手段と、を備えた照合装置が提供される。
本発明のさらに別の一つの側面によれば、照合装置のコンピュータに、
乱数を生成し、暗号鍵で暗号化されている第1の二値ベクトルに関する第1の値を暗号化したまま前記乱数との演算で得た暗号データ、又は、生成した前記乱数を前記暗号鍵で暗号化した暗号データを照合要求装置に送信する処理と、
前記照合要求装置から、前記暗号データを暗号化したまま照合用の第2の二値ベクトルの要素との演算により得た暗号データを、受信する処理と、
暗号鍵で暗号化されている前記第1の二値ベクトルに関する第2の値と、前記照合要求装置から送信された前記暗号データと、前記乱数とに基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の程度を検証するための、暗号データ、又は、前記暗号データと補助データを生成し、前記クエリとして検証装置に送信する処理と、
復号鍵を用いて前記暗号データを復号した値、又は前記復号した値と前記補助データ、に基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の要素の個数が予め定められた個数以下であるか否かを判定する前記検証装置から、検証結果を受信する処理と、を実行させるプログラムが提供される。
本発明によれば、上記プログラムを記憶したコンピュータ読み出し可能な記録媒体(例えばRAM(Random Access Memory)、ROM(Read Only Memory)、又は、EEPROM(Electrically Erasable and Programmable ROM))等の半導体ストレージ、HDD(Hard Disk Drive)、CD(Compact Disc)、DVD(Digital Versatile Disc)等のnon-transitory computer readable recording mediumが提供される。
本発明によれば、二値のベクトルの照合に関して二値のベクトルの漏洩やなりすまし等を回避可能とし、安全性を高めることを可能としている。
本発明の例示的な実施形態の構成を説明する図である。 比較例を説明する図である。 比較例における問題点(なりすまし攻撃)の一例を説明する図である。 本発明の例示的な第1の実施形態の動作シーケンスを説明する図である。 本発明の例示的な第1の実施形態の構成例を説明する図である。 本発明の例示的な第1の実施形態における準備フェーズを説明する図である。 本発明の例示的な第1の実施形態における登録フェーズを説明する図である。 本発明の例示的な第1の実施形態における照合フェーズを説明する図である。 本発明の例示的な第1の実施形態の変形例1の動作シーケンスを説明する図である。 本発明の例示的な第1の実施形態の変形例2の動作シーケンスを説明する図である。 本発明の例示的な第2の実施形態を説明する図である。 本発明の例示的な第2の実施形態における登録要求装置の構成例を説明する図である。 本発明の例示的な第2の実施形態における登録フェーズを説明する図である。 本発明の例示的な第2の実施形態の動作シーケンスを説明する図である。 本発明の例示的な第2の実施形態の変形例1の動作シーケンスを説明する図である。 本発明の例示的な第2の実施形態の変形例2の動作シーケンスを説明する図である。 本発明の例示的な第2の実施形態の変形例3における照合装置の構成例を説明する図である。 本発明の例示的な第2の実施形態の変形例3における照合フェーズを説明する図である。 本発明の例示的な第2の実施形態の変形例3の動作シーケンスを説明する図である。 本発明の例示的な第3の実施形態の構成例を説明する図である。 本発明の例示的な第3の実施形態における照合フェーズを説明する図である。 本発明の例示的な第3の実施形態の動作シーケンスを説明する図である。 本発明の例示的な第3の実施形態の変形例1の動作シーケンスを説明する図である。 本発明の例示的な第3の実施形態の変形例2の構成を説明する図である。 本発明の例示的な第3の実施形態の変形例2の登録フェーズの動作シーケンスを説明する図である。 本発明の例示的な第4の実施形態の登録フェーズの動作シーケンスを説明する図である。 本発明の例示的な第4の実施形態の変形例1の登録フェーズの動作シーケンスを説明する図である。 本発明の例示的な第5の実施形態の構成を説明する図である。
<基本形態>
図1は、本発明の一形態を説明する図である。図1を参照すると、本発明の一形態の照合システム100において、
照合装置140は、照合要求装置120からの照合要求に対して、
乱数(例えば図4、図9、図10、図14~図16、図19のS)を生成し、
暗号鍵(公開鍵pk)で暗号化されて記憶されている第1の二値ベクトル(X=[x1,…,xn])に関する第1の評価値(例えば図4、図9、図10のEnc(1-2xi) (i=1,…,n)、又は図14のEnc(Ai))と、前記乱数(S)との演算で得た暗号データ(図4等のEnc(S(1-2xi)、又は、図14のEnc(SAi) (i=1,…,n) )を生成し、照合要求装置120に送信する。1:N認証の場合には、
照合装置140は、照合要求装置120からの照合要求に対して、
乱数(例えば図22のai,bi,ri、又は、図26のai, bi)を生成し、
該乱数の暗号鍵(公開鍵pk)によって暗号化した暗号データ(例えば図22や図26のEnc(bi) (i=1,…,n))を生成し、照合要求装置120に送信する。
照合要求装置120は、
照合装置140からの前記暗号データ(例えば図4等のEnc(pk,S(1-2xi))、又は、図14のEnc(SAi)、又は、1:N認証の場合、図22や図26のEnc(bi) (i=1,…,n))を暗号化したまま、
照合用の第2の二値ベクトル(Y=[y1,…,yn])の要素{yi}(i=1,…,n)、又は、前記要素{yi}(i=1,…,n)に関する演算結果(例えば図14のBi)との演算により得た暗号データ(例えば図4等のEnc(SΣi (1-2xi)yi)、又は、図14等のEnc(SΣi AiBi)、又は、1:N認証の場合、図22、図26のEnc(bi(2yi-1)) (i=1,…,n))を、照合装置140に送信する。なお、Σiはiに関する総和の演算子である(図面ではiが省略される場合もある)。
照合装置140は、
暗号鍵(pk)で暗号化されている前記第1の二値ベクトル(X=[x1,…,xn])に関する第2の評価値の暗号データ(図4等のEnc(Σixi)、又は、1:N認証の場合、図22のEnc(2xi-1) )、
照合要求装置120からの前記暗号データ(例えば図4等のEnc(SΣi (1-2xi)yi)、又は、図14等のEnc(SΣiAiBi)、又は、1:N認証の場合、図22のEnc(bi(2yi-1)))、及び、前記乱数(例えば図4、図14等のS、又は、1:N認証の場合、図22のai,ri、又は、図26のai
に基づき、
前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の程度を検証するためのクエリとして、
暗号データ(例えば図4、図14等のEnc(dH(X,Y)))を生成するか、又は、
1:N認証の場合、暗号データ(例えば図22のEnc(ai(2xi-1)),Enc(biri(2yi-1))、又は、図26のEnc(aibi(2xi-1)(2yi-1)))と、補助データ(例えば図22のハッシュ値H(aibiri)、又は、図26のハッシュ値H(aibi))と、を生成し、
生成した前記クエリを、検証装置150に送信する。
検証装置150は、
照合装置140からの前記クエリの前記暗号データ(例えば図4、図19等のEnc(dH(X,Y)))を復号鍵(sk)で復号した値(dH(X,Y))に基づき、又は、1:N認証の場合、
前記クエリの暗号データ(例えば図22のEnc(ai(2xi-1)), Enc(biri(2yi-1))、又は、図26のEnc(aibi(2xi-1)(2yi-1)))を復号鍵(sk)で前記復号した値(例えば図22の(za,zb)、又は、図26のzi)から生成した補助データ(例えば図22のH(zazb)、又は、図26のH(zi))と、前記クエリの前記補助データ(例えば図22のH(aibiri)、又は、図26のH(aibi))とに基づき、
前記第2の二値ベクトル(Y)と前記第1の二値ベクトル(X)の不一致の要素の個数が予め定められた個数以下であるか否かを判定する。検証装置150は、検証結果(受理又は不受理)を出力する。検証装置150は、検証結果(受理又は不受理)をクエリに対する応答として照合装置140に返し、照合装置140は、検証結果(受理又は不受理)を照合要求装置120に送信するようにしてもよい。
登録要求装置110は、登録用の第1の二値ベクトルXの各要素{xi}(i=1,…,n)の暗号データ(Enc(xi) (i=1,…,n))と、前記各要素に関する第1の評価値(演算結果)(例えば図4、図9、図10のEnc(1-2xi) (i=1,…,n)、又は図14のEnc(Ai))の少なくとも一方を、前記暗号鍵(pk)で暗号化した暗号データを記憶装置130に送信する。記憶装置130は、暗号化された登録データを記憶する。なお、暗号鍵(公開鍵)、復号鍵(秘密鍵)は、好ましくは、加法に関して準同型性を有する公開鍵暗号方式が用いられる。あるいは、暗号方式として、乗法準同型性を有する公開鍵暗号方式を用いてもよい。あるいは、Somewhat準同型(somewhat homomorphic encryption scheme)のように、加法と乗法に関して準同型性を有する公開鍵暗号方式を用いてもよい。
登録要求装置110と照合要求装置120は、それぞれ、登録用クライアントと認証用クライアントを構成してもよい。登録用クライアントと認証用クライアントは、登録と照合を同一の装置で行う一体型の装置構成としてもよいし、あるいは登録と照合を別々の装置で行うようにしてもよい。記憶装置130と照合装置140は、クライアントからの要求を受けて登録、照合の処理を行うサーバ(データベースサーバ、認証サーバ)として構成してもよい。記憶装置130と照合装置140は一体のサーバとして構成してもよい。
<第1形態(First Mode)>
本発明の一形態において、図4を参照すると、登録要求装置110は、登録用のn次元の第1の二値ベクトルX=[x1,…,xn]について、各要素{xi}(i=1,…,n)に関する第1の演算値(1 - 2xi) (i=1,…,n)を、公開鍵(pk)を用いた加法準同型暗号で暗号化した第1の暗号データ(第1のテンプレート)(Enc(pk, (1 - 2x))) (i=1,…,n)と、
各要素{xi}(i=1,…,n)の第2の演算値(Σ[i=1 to n] xi)を公開鍵(pk)で暗号化した第5の暗号データ(第2のテンプレート)(Enc(pk, Σ[i=1 to n] xi))
を記憶装置130に送信するようにしてもよい。記憶装置130は、前記第1、第2のテンプレートを登録データとして記憶する。なお、演算子Σ[i=1 to n]はiが1からnまでの総和演算を表し、
Σ[i=1 to n] O(i)=O(1)+…+O(n)
である。
照合装置140は、照合要求装置120からの照合要求に対して、
乱数(S)を生成し、
前記第1の暗号データ(Enc(pk, (1 - 2xi))) (i=1,…,n)を暗号化したまま、スカラー演算により、乱数Sを乗算した第2の暗号データ(Enc(pk, S(1 - 2x1)),…,Enc(pk, S(1 - 2xn)))を求めるようにしてもよい。
照合装置140は、第2の暗号データ(Enc(pk, S(1 - 2x1)),…,Enc(pk, S(1 - 2xn)))を、照合要求装置120に送信するようにしてもよい。
照合要求装置120は、照合装置140から送信された第2の暗号データ(Enc(pk, S(1 - 2x1)),…,Enc(pk,S(1 - 2xn)))の各々に、登録用のn次元の第2の二値ベクトルY=[y1,…,yn]の各要素{yi}(i=1,…,n)をスカラー演算で乗算した値の総和である第3の暗号データ(Enc(pk, S Σ[i=1 to n] (1 - 2xi)yi))を求める。そして、照合要求装置120は、第3の暗号データ(Enc(pk, S Σ[i=1 to n] (1 - 2xi)yi))を照合装置140に送信する。
照合装置140は、照合要求装置120から送信された第3の暗号データ(Enc(pk, S Σ[i=1 to n] (1 - 2xi)yi))から、乱数(S)を削除した第4の暗号データ(Enc(pk, Σ[i=1 to n] (1 - 2xi)yi))を求める。
その際、照合装置140は、第3の暗号データに、乱数(S)の逆数(S^(-1))(^は冪乗演算子)をスカラー演算して第3の暗号データから乱数(S)を除去した第4の暗号データ(Enc(pk, Σ[i=1 to n] (1 - 2xi)yi))を求める。
照合装置140は、第4の暗号データ(Enc(pk, Σ[i=1 to n] (1 - 2xi)yi))と、記憶装置130に登録された前記第5の暗号データ(Enc(pk, Σ[i=1 to n] xi))とを暗号化したまま加算することで(準同型加算)、前記第1、第2の二値ベクトルの距離の暗号データ(=Enc(pk, dH(X,Y))=Enc(pk, (Σ[i=1 to n] xi) + (Σ[i=1 to n] (1 - 2xi)yi))を求める。そして、照合装置140は、前記第1、第2の二値ベクトルの距離の暗号データ(=Enc(pk, dH(X,Y))を、クエリとして、検証装置150に送信する。
検証装置150は、暗号データ(Enc(pk, dH(X,Y)))を、秘密鍵(sk)を用いて、復号する(Dec(sk, Enc(pk, dH(X,Y))))。
そして、検証装置150は、復号の結果得られた前記第1、第2の二値ベクトルのハミング距離(dH(X,Y))と、閾値tとの比較に基づき(dH(X,Y))<=t)、受理、不受理を出力する。
<第1形態(First Mode):変形例1>
あるいは、本発明の一形態においては、図9を参照すると、登録要求装置110は、前記登録用の第1の二値ベクトルX=[x1,…,xn]の各要素{xi}(i=1,…,n)を公開鍵(pk)で暗号化した暗号データEnc(pk, x1), …,Enc(pk, xn)を記憶装置130に送信する。記憶装置130は、前記第1の二値ベクトルXの各要素{xi}の前記暗号データ(Enc(pk, xi))(i=1,…,n)を暗号化したまま、前記第1の二値ベクトルXの各要素{xi}に関する第1の演算値(Enc(pk, S(1 - 2xi)))(i=1,…,n)、第2の演算値(Enc(pk, Σ[i=1 to n] xi))を計算し、それぞれ、第1の暗号データ(テンプレート)(Enc(pk, S(1 - 2xi)) (i=1,…,n))、第2の暗号データ(テンプレート)(Enc(pk, Σ[i=1 to n] xi))として記録する。
照合装置140は、照合要求装置120からの照合要求に対して、
乱数(S)を生成し、
前記第1の暗号データを暗号化したまま、乱数(S)をスカラー演算した第3の暗号データ((Enc(pk, S(1 - 2x1)), …,Enc(pk, S(1 - 2xn)))を求める。
そして、照合装置140は、第3の暗号データを照合要求装置120に送信する。
照合要求装置120は、照合装置140からの前記第3の暗号データの各々を暗号化したまま、登録用の第2の二値ベクトルの各要素をスカラー演算で乗算した値の総和である第4の暗号データ(Enc(pk, S Σ[i=1 to n] (1 - 2xi)yi))を求める。
そして、照合要求装置120は、第4の暗号データを照合装置140に送信する。これ以降の照合装置140、検証装置150の処理は上記した第1形態と同一である。
<第1形態(First Mode):変形例2>
あるいは、本発明のさらなる一形態においては、図10を参照すると、登録要求装置110は、前記登録用の第1の二値ベクトルの各要素を公開鍵(pk)で暗号化した暗号データ(Enc(pk, x1)), …,Enc(pk, xn))を記憶装置130に送信する。記憶装置130は、前記第1の二値ベクトルの各要素の暗号データを記録する。
照合装置140は、照合要求装置120からの照合要求に対して、
前記第1の二値ベクトルの各要素{xi}の暗号データ(Enc(pk,xi))(i=1,…,n)を暗号化したまま、前記第1の二値ベクトルの各要素{xi}に関する第1の演算値(1 - 2xi)(i=1,…,n)、第2の演算値(Σ[i=1 to n] xi)の第1の暗号データ(Enc(pk, (1 - 2x1)), …,Enc(pk, (1 - 2xn)))、第2の暗号データ(Enc(pk, Σ[i=1 to n] xi))を求める。
照合装置140は、さらに、乱数(S)を生成し、
第1の暗号データ(Enc(pk, (1 - 2x1)), …,Enc(pk, (1 - 2xn))に乱数(S)をスカラー演算した第3の暗号データ(Enc(pk, S(1 - 2x1)), …,Enc(pk, S(1 - 2xn)))を求める。
そして、照合装置140は、第3の暗号データ(Enc(pk, S(1 - 2x1)), …,Enc(pk, S(1 - 2xn)))を照合要求装置120に送信する。
照合要求装置120は、照合装置140からの前記第3の暗号データの各々(Enc(pk, S(1 - 2xi)))(i=1,…,n)を暗号化したまま、照合用の第2の二値ベクトルY=[y1,…,yn]の各要素{yi}(i=1,…,n)をスカラー演算で乗算した値の総和である第4の暗号データ(Enc(pk, S Σ[i=1 to n] (1 - 2xi)yi))を求める。
そして、照合要求装置120は、第4の暗号データ(Enc(pk, S Σ[i=1 to n] (1 - 2xi)yi))を照合装置140に送信する。これ以降の照合装置140、検証装置150の処理は上記した第1形態と同一である。
<第2形態(Second Mode)>
本発明の第2の形態において、登録要求装置110に、登録用のn次元の二値ベクトルX=[x1,…,xn]に対して作用させる第1の変換関数f1が予め設定されているものとする。また、照合要求装置120には、照合用のn次元の二値ベクトルY=[y1,…,yn]に対して作用させる第2の変換関数f2が設定されているものとする。
第1の変換関数f1は、例えば以下で与えられる。
A=f1(X)=FX+d
ここで、Aはn次元の変換値ベクトルである。Fは、変換係数{ai,j}(i=1,…,n,j=1,…,n)をi行、j列の要素(成分)とするn×nの変換行列である。dは変換係数{ai,n+1}(i=1,…,n)を有するn次元ベクトル(オフセット)である。
第2の変換関数f2は、例えば以下で与えられる。
B=f2(Y)=EY
ここで、Bはn次元の変換値ベクトルである。Eは、変換係数{bi,j}(i=1,…,n,j=1,…,n)をi行、j列の要素(成分)とするn×nの変換行列である。登録要求装置110において、第1の変換関数f1は、二値ベクトルXを入力パラメータとし、変換値ベクトルAを出力パラメータとするサブルーチンとして実装するようにしてもよい。照合要求装置120において、第2の変換関数f2は二値ベクトルYを入力パラメータとし、変換値ベクトルBを出力パラメータとするサブルーチンとして実装するようにしてもよい。以下、図14を参照して、第2の形態について説明する。
登録要求装置110は、登録用の二値ベクトルXに対して第1の変換関数f1を施すことで、変換値ベクトル[A,…,An]を求める。
[A,…,An]T=f1[x1,…,xn]T
なお、上付き文字(Supescript)Tは、転置(transpose)演算子である。
登録要求装置110は、第1のテンプレートとして、第1の変換値Ai(i=1,…,n)を公開鍵(pk)で暗号化した暗号データEnc(pk,A1),…,Enc(pk,An)を生成する。登録要求装置110は、暗号データEnc(pk,A1),…,Enc(pk,An)を記憶装置130に送付する。また登録要求装置110は第1の二値ベクトルX=[x1,…,xn]の各要素{xi}(i=1,…,n)を公開鍵(pk)で暗号化した暗号データ(Enc(pk, x1), …,Enc(pk, xn))を記憶装置130に送信する。
照合装置140は、照合要求装置120から照会要求を受けると、
記憶装置130から第1の変換値の暗号データ(Enc(pk,A1),…,Enc(pk,An))を取得する。また、照合装置140は、記憶装置130から暗号データ(Enc(pk, x1), …,Enc(pk, xn))を取得する。
照合装置140は、第1の二値ベクトルX=[x1,…,xn]の各要素{xi}の総和の暗号データ(Enc(pk, Σ[i=1 to n] xi))を求める。
また、照合装置140は、乱数(S)を生成し、
前記第1の変換値の暗号データ(Enc(pk, A1),…,Enc(pk, An))の各々に対して、乱数(S)のスカラー演算により、暗号データ(Enc(pk, SA1),…,Enc(pk, SAn))を求める。
そして、照合装置140は、求めた暗号データ(Enc(pk, SA1),…,Enc(pk, SAn))を照合要求装置120に送信する。
照合要求装置120は、抽出された照合用のn次元の二値ベクトルY=[y1,…,yn]に対して第2の変換関数f2を演算することで第2の変換値(B,…,Bn)を求める。
さらに、照合要求装置120は、照合装置140から受信した暗号データEnc(pk, SAi) (i=1,…,n)を暗号化したまま、第2の変換値(Bi) (i=1,…,n)との演算により、n個の前記第1の変換値(変換ベクトル)[A1,…,An]に乱数を乗算した値[SA1,…,SAn]と、第2の変換値(変換ベクトル)[B1,…,Bn]の要素を互いに乗算した値の総和の暗号データ(Enc(pk, Σ[i=1 to n] SAB))を求める。
そして、照合要求装置120は、暗号データ(Enc(pk, Σ[i=1 to n] SAB))をレスポンスとして照合装置140に送付する。
照合装置140は、前記レスポンス(暗号データ)(Enc(pk, Σ[i=1 to n] SAB))に、前記乱数(S)の逆数(S^(-1))をスカラー演算し、前記レスポンスから前記乱数(S)を除去して、n個の前記第1の変換値(変換ベクトル)[A1,…,An]と第2の変換値(変換ベクトル)[B1,…,Bn]の要素を互いに乗算した値の総和の暗号データ(Enc(pk, Σ[i=1 to n] AB))(ベクトルAとBの内積の暗号データ)を求める。
照合装置140は、
暗号データ(Enc(pk, Σ[i=1 to n] AB))と、
記憶装置130に登録された暗号データ(第2テンプレート)(Enc(pk, Σ[i=1 to n] xi))と、を暗号化したまま加算した暗号データを求める。この暗号データは、ベクトルXとYのハミング距離dH(X,Y)の暗号データEnc(pk, dH(X,Y))である。
第1の変換関数f1におけるn(n+1)個の変換係数{ai,j}(i=1,…,n,j=1,…,n+1)と、第2の変換関数f2におけるn^2個の変換係数{bi,j}(i,j=1,…,n)は、第1、第2の変換値Ai, Bi(i=1,…,n)が、
Σ[i=1 to n] AB = Σ[i=1 to n] (1-2x)yi
が成り立つように設定されている。すなわち、ベクトルAとBの内積とΣ[i=1 to n] xiとを加算した値(Σ[i=1 to n] AB+Σ[i=1 to n] xi)は、
Σ[i=1 to n] (1-2x)yi+Σ[i=1 to n] xi
となり、ベクトルXとYのハミング距離dH(X,Y)である。すなわち、Σ[i=1 to n] ABは、二値ベクトルXとYのハミング距離dH(X,Y)の第1分割値、Σ[i=1 to n] xiは該ハミング距離dH(X,Y)の第2分割値である。
照合装置140は、前記ベクトルXとYのハミング距離dH(X,Y)の暗号データEnc(pk, dH(X,Y))を、検証装置150に送信する。
検証装置150は、暗号データEnc(pk, dH(X,Y))を秘密鍵skで復号する。
検証装置150、復号したベクトルXとYのハミング距離dH(X,Y)が閾値t以下であれば受理する。
<第2形態(Second Mode):変形例1>
あるいは、本発明のさらなる一形態においては、図15を参照すると、登録要求装置110は、登録用のn次元の第1の二値ベクトルX=[x1,…,xn]の各要素{xi}の暗号データ(Enc(pk, xi))(i=1,…,n)を記憶装置130に送付する。
記憶装置130は、第1の二値ベクトルX=[x1,…,xn]の各要素{xi}(i=1,…,n)の暗号データ(Enc(pk, xi))(i=1,…,n)を取得し、第1の二値ベクトルX=[x1,…,xn]の各要素{xi}の総和の暗号データ(Enc(pk, Σ[i=1 to n] xi))を求める。また、記憶装置130は、第1の二値ベクトルXの各要素{xi}(i=1,…,n)を暗号化したまま第1の二値ベクトルXに第1の変換関数f1を施すことで、n個の第1の変換値{Ai} (i=1,…,n)の暗号データEnc(pk, Ai) (i=1,…,n)を求める手段を備えている。記憶装置130は、前記n個の第1の変換値の暗号データ(Enc(pk, Ai) (i=1,…,n))と、前記第1の二値ベクトルの要素の総和を暗号化した暗号データ(Enc(pk, Σ[i=1 to n] xi))を記録する。
照合装置140は、照合要求装置120から照会要求を受けると、記憶装置130からn個の第1の変換値の暗号データを取得し、乱数(S)を生成する。
照合装置140は、前記乱数Sを前記n個の第1の変換値の暗号データにそれぞれスカラー演算して暗号データ(Enc(pk, SAi) (i=1,…,n))を求める。
そして、照合装置140は、暗号データ(Enc(pk, SAi) (i=1,…,n))を照合要求装置120に送信する。
照合要求装置120は、照合用のn次元の第2の二値ベクトルY=[y1,…,yn]に対して、第2の変換関数f2を作用させることで、n個の第2の変換値(変換ベクトル)[B,…,Bn]を求める。
また、照合要求装置120は、照合装置140から受信した暗号データ(Enc(pk, SAi))(i=1,…,n)を暗号化したままスカラー演算することで、前記第1の変換値(Ai)の乱数(S)を乗算した値に第2の変換値(Bi)を乗じた値の暗号データEnc(pk, SAB) (i=1,…,n) を求める。
そして、照合要求装置120は、これらの暗号データの総和(Enc(pk, Σ[i=1 to n] SAB))をレスポンスとして照合装置140に送付する。
照合装置140は、前記レスポンス(Enc(pk, Σ[i=1 to n] SAB))に、前記乱数Sの逆数をスカラー演算し前記レスポンスから前記乱数Sを除去して、n個の前記第1の変換値(変換ベクトル)[A1,…,An]と第2の変換値(変換ベクトル)[B1,…,Bn]を互いに乗算した値の総和の暗号データ(Enc(pk, Σ[i=1 to n] AB))(ベクトルAとBの内積の暗号データ)を求める。
照合装置140は、
前記ベクトルAとBの内積の暗号データ(Enc(pk, Σ[i=1 to n] AB))と、
記憶装置130に登録された暗号データ(第2テンプレート)(Enc(pk, Σ[i=1 to n] xi))と、を加算(準同型加算)した暗号データを求める。
(Σ[i=1 to n] AB)+(Σ[i=1 to n] xi)=(Σ[i=1 to n] (1-2x)yi)+(Σ[i=1 to n] xi)
が成り立つ。
すなわち、暗号データ(Enc(pk, Σ[i=1 to n] AB))と暗号データ(第2テンプレート)(Enc(pk, Σ[i=1 to n] xi))との加算は、二値ベクトルXとYのハミング距離dH(X,Y)の暗号データとなる。照合装置140は、二値ベクトルXとYのハミング距離の暗号データを、検証装置150に送信する。検証装置150は、二値ベクトルXとYのハミング距離の暗号データを秘密鍵skで復号する。検証装置150は、復号値(ハミング距離)が閾値t以下であるか否か判定し、閾値t以下であれば、受理し、tを超える場合、不受理とする。
<第2形態(Second Mode):変形例2>
あるいは、本発明のさらなる一形態においては、図16を参照すると、登録要求装置110は、登録用のn次元の第1の二値ベクトルX=[x1,…,xn]の各要素{xi}の暗号データ(Enc(pk, xi)(i=1,…,n))を記憶装置130に送付する。記憶装置130は、第1の二値ベクトルの各要素の暗号データを記録する。
照合装置140は、照合要求装置120から照会要求を受けると、記憶装置130から第1の二値ベクトルX=[x1,…,xn]の各要素{xi}の暗号データ(Enc(pk, xi))(i=1,…,n)を取得し、第1の二値ベクトルXの各要素{xi}の総和の暗号データ(Enc(pk, Σ[i=1 to n] xi))を求める。なお、第1の二値ベクトルXの各要素{xi}の総和の暗号データ(Enc(pk, Σ[i=1 to n] xi))は記憶装置130で求める構成としてもよい。
照合装置140は、第1の二値ベクトルX=[x1,…,xn]の要素{xi}の暗号データ(Enc(pk, xi))(i=1,…,n)を暗号化したまま第1の変換関数f1を作用させ、n個の第1の変換値{Ai} (i=1,…,n)の暗号データEnc(pk, Ai) (i=1,…,n)を求める手段を備えている。さらに、乱数(S)を生成し、前記乱数(S)を前記n個の第1の変換値の暗号データにそれぞれスカラー演算して暗号データEnc(pk, SAi) (i=1,…,n)を求める。
そして、照合装置140は、暗号データEnc(pk, SAi) (i=1,…,n)を照合要求装置120に送信する。
照合要求装置120は、照合用のn次元の第2二値ベクトルY=[y1,…,yn]に対して第2の変換関数f2を作用させてn個の第2の変換値(変換ベクトル)[B,…,Bn]を求める。
照合要求装置120は、照合装置140から受信した暗号データEnc(pk, SAi) (i=1,…,n)を暗号化したままスカラー演算し、前記第1の変換値(Ai)に乱数(S)を乗算した値に第2の変換値(Bi)(i=1,…,n)を乗じた値の暗号データ(Enc(pk, SAB)) (i=1,…,n) を求める。
そして、照合要求装置120は、暗号データ(Enc(pk, SAB)) (i=1,…,n)の総和(Enc(pk, Σ[i=1 to n] SAB))を、レスポンスとして照合装置140に送付する。これ以降の照合装置140と検証装置150の処理は、前記第2の形態と同一である。
<第2形態(First Mode):変形例3>
あるいは、本発明のさらなる一形態においては、図19を参照すると、登録要求装置110は、登録用のn次元の第1の二値ベクトルX=[x1,…,xn]の各要素{xi}の暗号データ(Enc(pk, xi))(i=1,…,n)を記憶装置130に送付する。記憶装置130は、第1の二値ベクトルの各要素の暗号データを記録する。
照合装置140は、照合要求装置120から照会要求を受けると、
記憶装置130からn次元の第1の二値ベクトルの各要素の暗号データ(Enc(pk, xi))(i=1,…,n)を取得し、第1の二値ベクトルXの各要素{xi}の総和の暗号データ(Enc(pk, Σ[i=1 to n] xi))を求める。なお、第1の二値ベクトルX=[x1,…,xn]の各要素{xi}の総和の暗号データ(Enc(pk, Σ[i=1 to n] xi))は記憶装置130で求める構成としてもよい。
照合装置140は、第1の変換関数f1の第1群の変換係数{ai,j}(i=1,…,n,j=1,…,n+1)を生成する。
照合装置140は、前記n(n+1)個の第1群の変換係数{ai,j}(i=1,…,n,j=1,…,n+1)と第1の二値ベクトルX=[x1,…,xn]の各要素{xi}の暗号データに基づき、n個の第1の変換値{Ai} (i=1,…,n)の暗号データEnc(pk, Ai) (i=1,…,n)を求める。
照合装置140は、さらに、乱数(S)を生成し、前記乱数(S)を前記n個の第1の変換値{Ai} (i=1,…,n)の暗号データEnc(pk, Ai) (i=1,…,n)にそれぞれスカラー演算して暗号データEnc(pk, SAi) (i=1,…,n)を求める。
そして、照合装置140は、暗号データEnc(pk, SAi) (i=1,…,n)を照合要求装置120に送信する。
照合装置140は、さらに、前記n(n+1)個の第1群の変換係数{ai,j}(i=1,…,n,j=1,…,n+1)の生成に用いたn×n個の第2群の変換係数{bi,j} (i,j=1,…,n)を照合要求装置120に送信する。
照合要求装置120は、照合装置140から送信されたn×n個の第2群の変換係数{bi,j}(i,j=1,…,n)からなる第2の変換関数f2を、照合用のn次元の第2の二値ベクトルY=[y1,…,yn]に作用させた演算結果であるn個の第2の変換値(B,…,Bn)を求める。
照合要求装置120は、照合装置140から受信した暗号データEnc(pk, SAi) (i=1,…,n)を暗号化したままスカラー演算し、前記第1の変換値{Ai} (i=1,…,n)の乱数(S)倍に第2の変換値(Bi) (i=1,…,n)を乗じた値の暗号データ(Enc(pk, SAB)) (i=1,…,n)を求める。
そして、照合要求装置120は、これらの暗号データ(Enc(pk, SAB)) (i=1,…,n)の総和(Enc(pk, Σ[i=1 to n] SAB))を、レスポンスとして照合装置140に送付する。これ以降の照合装置140と検証装置150の処理は、前記第2の形態と同一である。
<第3形態(Thrid Mode)>
本発明の第3形態において、図22を参照すると、登録要求装置110は、前記登録用のn次元の第1の二値ベクトルX=[x1,…,xn]について、各要素{xi}(i=1,…,n)に関する第1の演算値(2xi-1)を公開鍵(pk)を用いた加法準同型暗号で暗号化した第1の暗号データ(Enc(pk, (2xi-1))) (i=1,…,n)を記憶装置130に送信する。記憶装置130は、前記第1の暗号データ(Enc(pk, (2xi-1))) (i=1,…,n)を記憶する。
照合要求装置120から照合要求を受けた照合装置140は、第1乃至第3の乱数(bi, ai, ri) (i=1,…,n)を生成する。
照合要求装置120は、第1の乱数{bi} (i=1,…,n)の暗号データを、照合要求装置120に送信する。
照合要求装置120は、照合用の二値ベクトルY=[y1,…,yn]の各要素{yi}を、前記第1の乱数{bi} の暗号データ(Enc(pk,bi)) (i=1,…,n)にスカラー演算して、第2の暗号データ(Enc(pk, bi(2yi-1))) (i=1,…,n)を求める。
そして、照合要求装置120は、第2の暗号データ(Enc(pk, bi(2yi-1))) (i=1,…,n)を照合装置140に送信する。
照合装置140は、
照合要求装置120からの前記第2の暗号データ(Enc(pk, bi(2yi-1))) (i=1,…,n)と、
記憶装置130からの前記第1の暗号データ(Enc(pk, (2xi-1)))(i=1,…,n)と、
前記第1乃至第3の乱数(bi, ai, ri) (i=1,…,n)と、
に基づき、
前記第1の暗号データ(Enc(pk, (2xi-1)))に、前記第2の乱数{ai}をスカラー演算で乗算した値の第3の暗号データ(Enc(pk, ai(2xi-1))) (i=1,…,n)と、
前記第2の暗号データ(Enc(pk, bi(2yi-1)))に、第3の乱数(ri)をスカラー演算した値の第4の暗号データ(Enc(pk, biri(2yi-1))) (i=1,…,n)と、を求める。
さらにm照合装置140は、前記第1乃至第3の乱数(bi, ai, ri)の積のハッシュ値(H(aibiri)) (i=1,…,n)を生成する。
照合装置140は、
前記第3の暗号データ(Enc(pk, ai(2xi-1))) (i=1,…,n)と、
前記第4の暗号データ(Enc(pk, biri(2yi-1))) (i=1,…,n)と、
前記ハッシュ値(H(aibiri)) (i=1,…,n)を検証装置150に送信する。その際、照合装置140では、前記第3、第4の暗号データ(Enc(pk, ai(2xi-1))、Enc(pk, biri(2yi-1)))と前記ハッシュ値(H(aibiri))(i=1,…,n)は、インデクスiに関する順序をシャッフルして送信するようにしてもよい。
検証装置150は、
秘密鍵(sk)を用いて前記第3の暗号データ(Enc(pk, ai(2xi-1)))と、前記第4の暗号データ(Enc(pk, biri(2yi-1)))を復号した第1復号結果(za)と第2の復号結果(zb)を求める。
検証装置150は、前記第1、第2の復号結果の積のハッシュ値(H(za))を計算する。
そして、検証装置150は、前記ハッシュ値H((za))と、照合装置140から受信したハッシュ値(H(aibiri))とについて、不一致の個数が所定値以下であるか否かを判定する。
検証装置150は、不一致の個数が所定値以下であれば、受理、それ以外の場合、不受理とする。
<第3形態(Thrid Mode);変形例1>
第3形態の変形例として、図23を参照すると、登録要求装置110は、前記登録用のn次元の第1の二値ベクトルX=[x1,…,xn]について、各要素{xi}(i=1,…,n)を公開鍵(pk)で暗号化した第1の暗号データ(Enc(pk, xi)) (i=1,…,n)を記憶装置130に送信する。記憶装置130は、前記第1の暗号データ(Enc(pk, xi)) (i=1,…,n)を記憶する。
照合要求装置120から照合要求を受けた照合装置140は、第1乃至第3の乱数(bi, ai, ri) (i=1,…,n)を生成する。
また、照合装置140は、記憶装置130から、暗号データ(Enc(pk, xi)) (i=1,…,n)を受け取り、これらを暗号化したまま、スカラー演算、加法準同型演算により、第1の暗号データ(Enc(pk, (2xi-1))) (i=1,…,n)を生成する。
照合装置140は、第1の乱数{bi} (i=1,…,n)の暗号データ(Enc(pk,bi)) (i=1,…,n)を照合要求装置120に送信する。
照合要求装置120は、照合用の二値ベクトルY=[y1,…,yn]の各要素{yi}の演算結果(2yi-1) (i=1,…,n)を、前記第1の乱数の暗号データ(Enc(pk,bi)) (i=1,…,n)にスカラー演算して、第2の暗号データ(Enc(pk, bi(2yi-1))) (i=1,…,n)を求める。
そして、照合要求装置120は、第2の暗号データ(Enc(pk, bi(2yi-1))) (i=1,…,n)を照合装置140に送信する。これ以降の照合装置140、検証装置150の処理は上記第3形態と同様である。あるいは、記憶装置130が、登録要求装置110から暗号データ(Enc(pk, xi)) (i=1,…,n)を受け取り、これらを暗号化したまま、スカラー演算、加法準同型演算により、第1の暗号データ(Enc(pk, (2xi-1))) (i=1,…,n)を生成し、登録データとして記憶する構成としてもよい。
<第3形態(Third Mode):変形例2>
本発明の第3の形態の変形例2において、図25を参照すると、登録要求装置110は、n次元の第1の二値ベクトルX=[x1,…,xn]について、各要素{xi}(i=1,…,n)に関する第1の演算値(2xi-1)を公開鍵(pk)を用いた加法準同型暗号で暗号化した第1の暗号データ(Enc(pk, (2xi-1))) (i=1,…,n)を記憶装置130に送信する。
記憶装置130は、前記第1の二値ベクトルX=[x1,…,xn]の各要素{xi}(i=1,…,n)の第1の演算値の暗号データ(Enc(pk, (2xi-1)))(i=1,…,n)に対して、乱数(ci)(i=1,…,n)(ci∈Fq)をそれぞれ生成し、前記各暗号データ(Enc(pk, (2xi-1))) (i=1,…,n)に前記各乱数ci(i=1,…,n)をスカラー演算した暗号データ(Enc(pk, ci(2xi-1))) (i=1,…,n)を生成する手段を備えている。
また、記憶装置130は、前記各乱数ciの2乗(ci^2)のハッシュ値(H(ci^2))を生成する手段を備えている。
記憶装置130は、前記各乱数ciをスカラー演算した暗号データ(Enc(pk, ci(2xi-1))) (i=1,…,n)と前記ハッシュ値(H(ci^2))(i=1,…,n)を検証装置150に送信する。
検証装置150は、記憶装置130から送信された各暗号データ(Enc(pk, ci(2xi-1))) (i=1,…,n)を、秘密鍵(sk)を用いて復号して各復号値(zi)のハッシュ値(H(zi^2))を求める。
検証装置150は、各復号値(zi)のハッシュ値(H(zi^2)が、記憶装置130から送信された対応するハッシュ値(H(ci^2))と一致するか判定する。
検証装置150は、例えば、不一致のものが一つでもあれば不受理とし、全て一致する場合、受理とする。記憶装置130は、検証装置150での検証結果が受理の場合、前記第1の演算値の暗号データを記憶する。
<第4形態(Fourth Mode)>
本発明の第4形態において、図26を参照すると、登録要求装置110は、前記登録用の第1の二値ベクトルX=[x1,…,xn]について、各要素{xi}に関する第1の演算値(2xi-1)を公開鍵(pk)を用いた加法準同型暗号で暗号化した第1の暗号データ(Enc(pk, (2xi-1))) (i=1,…,n)を記憶装置130に送信する。記憶装置130は、前記第1の暗号データ(Enc(pk, (2xi-1))) (i=1,…,n)を記憶する。
照合要求装置120から照合要求を受けた照合装置140は、第1、第2の乱数(bi, ai)(i=1,…,n)を生成する。
照合装置140は、第1の乱数{bi} (i=1,…,n)を、公開鍵(pk)を用いて暗号化した暗号データ(Enc(pk, bi)) (i=1,…,n)を照合要求装置120に送信する。
照合要求装置120は、照合用の二値ベクトルY=[y1,…,yn]の各要素{yi}について演算値(2yi-1) (i=1,…,n)を、公開鍵(pk)を用いて暗号化した暗号データ(Enc(pk, (2yi-1))) (i=1,…,n)を求める。
さらに、照合要求装置120は、前記第1の乱数{bi} の暗号データEnc(pk,bi) (i=1,…,n)を暗号化したまま乗算して、第2の暗号データ(Enc(pk, bi(2yi-1))) (i=1,…,n)を求める。
そして、照合要求装置120は、第2の暗号データ(Enc(pk, bi(2yi-1))) (i=1,…,n)を照合装置140に送信する。
照合装置140は、生成した第2の乱数{ai} (i=1,…,n)と、記憶装置130からの第1の暗号データ(Enc(pk, (2xi-1))) (i=1,…,n)とを乗算して、暗号データ(Enc(pk,ai(2xi-1)))(i=1,…,n)を求める。
照合装置140は、
該暗号データ(Enc(pk,ai(2xi-1))) (i=1,…,n)と、
照合要求装置120から送信された前記第2の暗号データ(Enc(pk, bi(2yi-1))) (i=1,…,n)とを、例えば暗号化したまま乗算して(乗法準同型)、
暗号データ(Enc(pk, aibi(2xi-1)(2yi-1)))を求める。
照合装置140は、さらに前記第1、第2の乱数の積(aibi)(i=1,…,n)のハッシュ値(H(aibi))を生成する。
そして、照合装置140は、算出した該暗号データ(Enc(pk, aibi(2xi-1)(2yi-1)))と、該ハッシュ値(H(aibi))を、検証装置150に送信する。その際、照合装置140は、該暗号データ(Enc(pk, aibi(2xi-1)(2yi-1)))と該ハッシュ値(H(aibi)) (i=1,…,n)について、インデクスiに関する順序をシャッフルして送信するようにしてもよい。
検証装置150は、秘密鍵(sk)を用いて、前記暗号データ(Enc(pk, aibi(2xi-1)(2yi-1)))(i=1,…,n)を復号して復号結果(zi)(i=1,…,n)を求める。
検証装置150は、復号値(zi)(i=1,…,n)のハッシュ値(H(zi))を計算する。
検証装置150は、
該ハッシュ値(H(zi))(i=1,…,n)と、
照合装置140から受信したハッシュ値(H(aibi))(i=1,…,n)と、
について、不一致の個数が所定値以下であるか否かを判定する。
検証装置150は、例えば不一致の個数が所定値以下であれば、受理、それ以外の場合、不受理とする。
<第4形態(Fourh Mode):変形例>
本発明の第4の形態の変形例において、図27を参照すると、登録要求装置110は、第1の二値ベクトルX=[x1,…,xn]について、各要素{xi}に関する第1の演算値(2xi-1)を公開鍵(pk)を用いた乗法準同型暗号方式で暗号化した第1の暗号データ(Enc(pk, (2xi-1))) (i=1,…,n)を記憶装置130に送信する。
記憶装置130は、前記第1の二値ベクトルX=[x1,…,xn]の各要素xiの第1の演算値の暗号データ(Enc(pk, (2xi-1))) (i=1,…,n)に対して乱数(ci)(i=1,…,n)(ci∈Fq)をそれぞれ生成し、前記各暗号データ(Enc(pk, (2xi-1))) (i=1,…,n)に、乱数(ci)の暗号データEnc(pk,ci)を乗算した暗号データ(Enc(pk, ci(2xi-1))) (i=1,…,n)を生成する手段を備えている。
また、記憶装置130は、前記各乱数(ci)の2乗のハッシュ値H(ci^2)を生成する手段を備えている。
記憶装置130は、暗号データ(Enc(pk, ci(2xi-1))) (i=1,…,n)と前記ハッシュ値(H(ci^2))(i=1,…,n)を検証装置150に送信する。
検証装置150は、記憶装置130から送信された各暗号データ(Enc(pk, ci(2xi-1))) (i=1,…,n)を、秘密鍵(sk)を用いて復号する。
そして、検証装置150は、各暗号データ(Enc(pk, ci(2xi-1))) (i=1,…,n)の復号値(zi)のハッシュ値(H(zi^2))(i=1,…,n)を求める。
検証装置150は、前記各ハッシュ値(H(zi^2))(i=1,…,n)が、記憶装置130から送信された対応するハッシュ値(H(ci^2))(i=1,…,n)と一致するか判定する。
検証装置150は、例えば、不一致のものが一つでもあれば不受理とし、全て一致する場合、受理とする。
記憶装置130は、検証装置150での検証結果が受理の場合、前記第1の演算値の暗号データ(Enc(pk, (2xi-1))) (i=1,…,n)を記憶する。
以下では、本発明の実施形態の説明の前に比較例を説明しておく。
まず、Modified-Elgamal暗号の各アルゴリズムの動作について説明する。鍵生成アルゴリズムは、まず、入力としてセキュリティパラメータ1^κを受け取る。
次に、位数がκビットの素数qである群Gとその生成元gを生成する。
Figure 0007127543000001
をランダムに選び、h=g^xとする(^は冪乗演算子)。
最後に、公開鍵pk=(g, h=g^x)及び秘密鍵sk=xを出力する。
暗号化アルゴリズムは、まず、公開鍵pk及びメッセージmを入力として受け取る。
次に、乱数r
Figure 0007127543000002
をランダムに選ぶ。
次に、C[0]=g^r、C[1]=h^r・g^mを計算する。
最後に、暗号文C=(C[0], C[1])を出力する。
復号アルゴリズムは、まず、秘密鍵sk=x及び暗号文C=(C[0], C[1])を入力として受け取る。
次に、復号結果として、M=C[1]/(C[0]^x)を出力する。
あるメッセージmの暗号文
Enc(pk,m)=(C[0],C[1])=(g^r,h^r・g^m)
に対し、
Dec(sk, (c[0], c[1]))=c[1]/(c[0]^x)=g^m
となる。
復号アルゴリズムは、メッセージmではなくg^mを返すものであってもよい。Modified-Elgamal暗号を用いると、暗号化したまま平文の加算や定数倍に対応する暗号文を計算できる。
加算の場合、公開鍵pk=(g, h=g^x)と2つのメッセージm及びm'の暗号文
C=Enc(pk,m) = (C[0], C[1]) = (g^r, h^r・g^m)、及び、
C'=Enc(pk,m') = (C'[0], C'[1]) = (g^r', h^r'・g^m')
に対し、
(C[0]・C'[0], C[1]・C'[1])= (g^{r+r'}, h^{r+r'}・g^{m+m'}) = Enc(pk,m+m')が成り立つ。
また、定数倍の場合、公開鍵pk=(g, h=g^x)、任意の定数z、及び暗号文c= Enc(pk,m)= (c[0], c[1]) = (g^r, h^r・g^m)に対し、
(c[0]^z, c[1]^z) = (g^{zr}, h^{zr}・g^{zm})=Enc(pk,zm)
が成り立つ。
すなわち、Enc(pk, x) = C, Enc(pk, x') = C'、整数zに対し、
加算を
Add(C, C') = (C[0]・C'[0], C[1]・C'[1])
スカラー演算を
Scl(z, C) = (C[0]^z, C[1]^z)
と定めると、
Add(C, C') = Enc(pk, x+x' mod q)
Scl(z, C) = Enc(pk, zx mod q)
ただし、x+x' mod q、zx mod qは、x+x'、zxを体Fq上で計算した結果である。
<比較例>
以下の比較例は、非特許文献1の開示に基づく。
登録用のデータをn次元ベクトル:
Figure 0007127543000003
で表す。nは所定の値(自然数)を表す。xi(i=1,…,n)は0乃至lのいずれかの値(例えば整数)をとる。
照合(認証)対象を表す対象データを
Figure 0007127543000004
とする。{yi}(i=1,…,n)は0乃至lのいずれかの値(例えば整数)をとる。
照合システムにおける処理は、大別して、
・準備フェーズ、
・登録フェーズ、及び、
・照合フェーズを含む。図2を参照すると、準備として、例えば検証装置150は、セキュリティパラメータ1^κを用いて、公開鍵pk、秘密鍵skを生成し、公開鍵pkを公開する(S100)。
登録データ(n次元ベクトル)と照合データ(n次元ベクトル)の距離:dE 2(X,Y)を、以下のように分割する。
Figure 0007127543000005
・・・(1)
Figure 0007127543000006
・・・(2)
Figure 0007127543000007
・・・(3)
登録要求装置110は、登録データX=[x1,…,xn]に関して、テンプレートとして、
n個の要素x(i=1,…,n)の暗号データ:
Enc(pk, xi) (i=1,…,n)
とn個の要素xの2乗の総和
Figure 0007127543000008
の暗号データ:
Figure 0007127543000009
を記憶装置130に送信する(S101)。
記憶装置130は、
Enc(pk, xi) (i=1,…,n),
Figure 0007127543000010
を登録識別子Id(Identity)等に対応して記憶する。
照合要求装置120は、照合用データY=[y1,…,yn]を照合する場合、照合要求を照合装置140に送信する(S102)。
照合装置140は、ユーザIDに基づき記憶装置130から登録テンプレート:
Enc(pk, x1),…, Enc(pk, xn),

Figure 0007127543000011
を取得する(S103)。
照合装置140は乱数Sを生成し(S104)、登録されたテンプレートEnc(pk, xi) (i=1,…,n)をスカラー演算則でS倍した暗号データ
Enc(pk, Sx1),…, Enc(pk, Sxn)
を作成し、これらの暗号データを照合要求装置120に送信する(S105)。
照合装置140は、乱数
Figure 0007127543000012
として、好ましくは、毎回異なる数を選択する。なお、照合装置140は、
Figure 0007127543000013
に関する暗号データ(第2テンプレート)
Figure 0007127543000014
は照合要求装置120に送信しない。
照合要求装置120は、照合用データY=[y1,…,yn]から、
Figure 0007127543000015
を計算する。そして、照合要求装置120は、受信したEnc(pk, S)に対して、スカラー演算
Figure 0007127543000016
・・・(4)
により、
Figure 0007127543000017
・・・(5)
を生成する。すなわち、照合要求装置120が受け取った乱数Sの暗号データを、
Enc(pk, S) = C = (g^r, g^S・h^r) = (C[0], C[1]) ・・・(6)
とする。
照合要求装置120は、Enc(pk, S) = C = (C[0], C[1])に対して、
Figure 0007127543000018
・・・(7)
を計算する。これは、式(5)の
Figure 0007127543000019
と等価である。
また、照合要求装置120は、照合装置140から受け取ったn個の{Enc(pk, Sxi)}i(i=1,…,n)に対して、照合ベクトルの要素{y}のスカラー演算
Scl((-2y), Enc(pk, Sxi)) (i=1,…,n)により、n個の
Enc(pk, (-2yi)Sxi)=Enc(pk, -2Sxiyi)(i=1,…,n) ・・・(8)
を求める。そして、準同型暗号の加法演算により、
Figure 0007127543000020
・・・(9)
を求め
Figure 0007127543000021
・・・(10)
との準同型加算により、
Figure 0007127543000022
・・・(11)
を求め、照合装置140に送信する(S106)。
照合装置140は、受け取った暗号データEnc(pk, SD2)に対して、Sの逆数(S^(-1)=S^(q-2) mod q)のスカラー演算
Scl(S^(-1), Enc(pk, SD2)) ・・・(12)
を施し、
Scl(S^(-1), Enc(pk, SD2)) = Enc(pk, S^(-1)SD2) = Enc(pk, D2) ・・・(13)
により、
Figure 0007127543000023
・・・(14)
を算出する。
照合装置140は登録されたテンプレート

Figure 0007127543000024
と、
Figure 0007127543000025
とから、加法準同型により、距離dE 2(X,Y)の暗号データ

Figure 0007127543000026
・・・(15)

を求める。照合装置は140は、暗号データEnc(pk,dE 2(X,Y))を検証装置150に送信する(S107)。
検証装置は150、秘密鍵skを用いて距離の暗号データEnc(pk,dE 2(X,Y))を復号し、
Dec(sk,Enc(pk,dE 2(X,Y)))=dE 2(X,Y)
を求め、該距離dE 2(X,Y)が所定の閾値=t以下であるか否かを判定する(S108)。Modified Elgamal暗号では、復号結果はg^(dE 2(X,Y))であり、これが、g^0、g^1、・・・g^tのいずれかに一致するか否かを判定する。
検証装置150は、検証結果(受理・不受理)を、照合装置140に返すようにしてもよい(S109)。
<比較例の問題点>
二値ベクトルのハミング距離は多値ベクトルのユークリッド距離と同じ方法で算出できることから、上記した多値ベクトル型の生体情報をユークリッド距離dE 2(X,Y)によって照合するシステムは二値ベクトル型の生体情報も扱えそうに思われる。
二値ベクトル
Figure 0007127543000027
の各要素xiは、
xi^2=xi (i==1,…,n) ・・・(16)
が成り立つ。
したがって、図2のS106で受信した{Enc(pk, Sxi)} からEnc(pk, Sxi^2)が計算できることになる。
前述したように、照合装置140では、照合要求装置120から送信されたEnc(pk,SD2)に対してSの逆数S^(-1)のスカラー演算により、Enc(pk,D2)を求め、加法準同型に基づきEnc(pk, D1)+Enc(pk, D2)を計算し、暗号化距離Enc(pk、dE 2(X,Y))として検証装置150に送信する。ここで、二値ベクトル型である場合、
Figure 0007127543000028
ならば、xi^2=xiであることから,照合要求装置120は、照合装置140から受け取った暗号データEnc(pk, Sxi)はEnc(pk, Sxi^2)と一致する。
さらに、図3に示すように、S106において、照合要求装置120は、照合装置140から受け取った乱数Sの暗号データEnc(pk, S)を利用して、
Figure 0007127543000029
・・・(17)
を計算し、照合装置140に送信する。すなわち、スカラー演算Scl(c, Enc(pk,S))より、Enc(pk, cS)を求める。
また、
Figure 0007127543000030
・・・(18)
より、
Figure 0007127543000031
・・・(19)
を求め、スカラー演算
Figure 0007127543000032
・・・(20)

より、
Figure 0007127543000033
・・・(21)
を求める。上式(21)をEnc(pk, cS)と暗号化したまま加算することで、以下が求まる。
Figure 0007127543000034
・・・(22)
照合装置140は、照合要求装置120から送信された

Figure 0007127543000035
を、照合要求装置120から送信されたEnc(pk,SD2)であるものとして扱い、Sの逆数S^(-1)のスカラー演算を施してEnc(pk,D2)を求める。そして、加法準同型を用いて、Enc(pk,D2)とEnc(pk,D1)を加算したものを、暗号化距離Enc(pk、dE 2(X,Y))として、検証装置150に送信する。
この場合、照合装置140が検証装置150に送信するEnc(pk、dE 2(X,Y))は以下で与えられる。
Figure 0007127543000036
・・・(23)
検証装置150は、秘密鍵skを用いてEnc(pk、dE 2(X,Y))を復号する。復号結果(g^c)がg^0, g^1,…, g^t (tは閾値)のいずれかに一致するか判定し、判定結果を検証結果(いずれかに一致すれば受理)として出力する。
このため、照合要求装置120において、t以下のcを選択することで、登録された生体情報Xと認証に用いられる生体情報Yの間の距離は、
D1+D2=c<=t ・・・(24)
と算出される。したがって、図2の例の場合、必ず受理されるクエリを検証装置150に送付することができる。
上記のとおり、生体情報が二値ベクトルの場合、盗聴者は、任意のユーザになりすまし可能である。
虹彩(Iris Code)、掌紋(Competitive Code)などはエラー率が非常に低い二値ベクトル型の生体情報としてよく知られている。二つの生体情報が同一人物から抽出されたかどうかは二つの生体情報の間のハミング距離によって判定する。すなわち,ハミング距離が閾値以下ならば、同一人物、閾値よりも大きければ、違う人物と判定する。以下、図面を参照して、いくつかの実施形態について説明する。
<第1の実施形態>
図4は、本発明の例示的な第1の実施形態を説明する図である。本実施形態では、n次元の二値ベクトル
Figure 0007127543000037

Figure 0007127543000038
のハミング距離を例えば以下のように分割する。
Figure 0007127543000039
・・・(25)
Figure 0007127543000040
・・・(26)
Figure 0007127543000041
・・・(27)
上記のとおり、D1は照合用ベクトルYの値に依らない。
準備フェーズにおける公開鍵、秘密鍵の生成(S10)は、前述した通りである。
登録要求装置110は、二値ベクトルX=[x1, …,xn]∈{0,1}nから
Enc(pk, 1-2x1),…,Enc(pk, 1-2xn) ・・・(28)
と、
Figure 0007127543000042
・・・(29)
を記憶装置130に送信する(S11)。
記憶装置130は、
Enc(pk, 1-2xi) (i=1,…,n)と
Figure 0007127543000043
を登録識別子Idに対応させて記憶する。
照合装置140は、照合要求装置120から照合要求を受け取る(S12)。照合装置140、記憶装置130からIdに関連して記憶された暗号データEnc(pk, 1-2x1),…,Enc(pk, 1-2xn)を受け取る(S13)。照合装置140は、乱数Sを生成する(S14)。そして、照合装置140は、乱数Sのスカラー演算
Scl(S, Enc(pk, 1-2xi)) (i=1,…,n)により、
暗号データEnc(pk, S(1-2xi)) (i=1,…,n) ・・・(30)
を求める。照合装置140は、該暗号データEnc(pk, S(1-2xi)) (i=1,…,n)を照合要求装置120に送信する(S15)。
照合要求装置120は、Y=[y1, ….,yn]∈{0,1}nと、照合装置140から受け取った
暗号データEnc(pk, S(1-2xi)) (i=1,…,n)
から、スカラー演算Scl(yi, Enc(pk, S(1-2xi)))より、
Enc(pk, S(1-2xi)yi) (i=1,…,n) ・・・(31)
を求め、これらを加算することで、
Figure 0007127543000044
・・・(32)
を計算する。照合要求装置120は、Enc(pk,SD2)を照合装置140に送信する(S16)。
照合装置140は、照合要求装置120にEnc(pk,S)を送信しない。よって、照合要求装置120は、

Figure 0007127543000045
・・・(33)
を算出することはできない。このため、クライアントはハミング距離を偽装できない。
照合装置140は、照合要求装置120から送信された
Figure 0007127543000046
に対して、乱数Sの逆数S^(-1)をスカラー演算
Figure 0007127543000047
・・・(34)

することで、
Figure 0007127543000048
・・・(35)
を算出する。
照合装置140は、式(35)のEnc(pk,D2)に記憶装置130に登録されたテンプレート
Figure 0007127543000049
・・・(36)
を加算して、暗号化ハミング距離
Enc(pk,dH(X,Y))=Enc(pk,D1)+Enc(pk,D2) ・・・(37)
を求める。照合装置140は、暗号化ハミング距離Enc(pk,dH(X,Y))を検証装置150に送信する(S17)。
検証装置150は、秘密鍵skを用いてEnc(pk、dH(X,Y))を復号する。検証装置150は、復号結果(dH(X,Y))が、g^0, g^1,…, g^t (tは閾値)に一致するか確認する(S18)。検証装置150は、検証結果(いずれかに一致すれば受理)として出力する(S19)。
図5は、本発明の第1の実施形態の構成を例示する図である。照合システム100は、コンピュータシステム等による情報処理システムから構成される。第1の例示的な実施形態に係る照合システム100は、登録要求装置110と、記憶装置130と、照合要求装置120と、照合装置140と、検証装置150とを有する。
登録要求装置110は、登録情報抽出部111と、テンプレート生成部112、通信部113とを有する。
記憶装置130は、情報を記憶するストレージデバイスを備えるほか、情報を処理する演算部を備えている。すなわち、記憶装置130は識別子管理部131と、登録データ生成部132と、登録データ記憶部133と、登録データ検索部134と、通信部135を有する。
照合要求装置120は、照合要求生成部121と、照合情報抽出部122と、レスポンス生成部123と、通信部124を有する。
照合装置140は、登録データ取得部141と、乱数生成部142と、暗号データ生成部143と、暗号化距離計算部144と、クエリ生成部145と、通信部146を有する。
検証装置150は、鍵生成部151と、復号鍵記憶部152と、クエリ検証部153と、検証結果生成部154と、通信部155を有する。
例えば、登録要求装置110と記憶装置130間、記憶装置130と照合装置140間、照合要求装置120と照合装置140間、照合装置140と検証装置150間は、各装置の通信部(不図示の送信機(インタフェース)と受信機(インタフェース)を備える)と、通信網(例えば、構内ネットワーク(Local Area Network : LAN)、あるいは、広域ネットワーク(Wide Area Network :WAN)等)を介して通信接続する構成としてもよい。あるいは、登録要求装置110、記憶装置130、照合装置140、照合要求装置120、検証装置150のうち、複数の装置を一つのユニットに実装し、各装置をユニット内のバス(装置間バスや装置内バス)で結合する構成としてもよい。また、登録要求装置110、記憶装置130、照合装置140、照合要求装置120は、検証装置150が公開した公開鍵(例えば検証装置150が作成した準同型暗号方式の暗号化鍵と復号鍵のペアのうちの前記暗号化鍵)を取得可能に構成されている。
なお、照合システム100においては、登録要求装置110と、照合要求装置120とをまとめて、「第1ノード」と表してもよい。照合システム100においては、記憶装置130と、照合装置140とをまとめて、「第2ノード」と表してもよい。また、照合システム100においては、検証装置150を、「第3ノード」と表してもよい。例えば登録要求装置110と照合要求装置120はクライアント装置、記憶装置130と照合装置140はサーバ装置、検証装置150はサーバ装置に通信接続する復号装置として構成してもよい。
本実施形態に係る照合システム100の動作について説明する。本発明の第1の例示的な実施形態に係る照合システム100における処理について説明する。
照合システム100における処理は、大別して、
・準備フェーズ、
・登録フェーズ、及び、
・照合フェーズを含む。
まず、各フェーズにおける処理の概要について説明する。本発明の第1の例示的な実施形態に係る照合システム100では、加法、スカラー演算について準同型性を持つ準同型暗号方式を用いる。説明の便宜上、暗号方式は上記したModified Elgamal暗号を用いる。あるいは楕円Elgamal暗号、あるいは、Paillier暗号を用いてもよい。
楕円Elgamal暗号は、有限体上の楕円曲線上の群に対して定義される。
<鍵生成>:楕円曲線のパラメータa,b,p,q及び楕円曲線上の基点Gを入力として受け取り、公開鍵pk=G, H=x(*)G及び秘密鍵sk=xを出力する。ただし、メッセージ空間は体F=0,1,…,q-1である。一般的に、qは128ビット以上の素数が選択される。
<暗号化>:公開鍵pk及びメッセージm∈Fqを入力として受け取り、乱数
Figure 0007127543000050
を選択し、暗号文を、
C = (C[0] = R(*)G, C[1] = (m (*) G) (+) (r (*) H)) ・・・(38)
を出力する。すなわち、
C[1] = (m + rx) (*) G ・・・(39)
を満たす。
<復号>:秘密鍵sk及び暗号文C = (C[0], C[1])を入力として受け取り、
M = C[1] (-) (sk (*) C[0])を出力する。 ・・・(40)
すなわち、
C[1] (-) (sk (*) C[0]) = (m + rx) (*) G (-) x (*) (r (*) G) = m (*)G ・・・(41)
を満たす。復号アルゴリズムは、メッセージmではなくm(*)Gを返すもので構わない。
上記の各アルゴリズムでは、次の記法を用いている。
楕円曲線上の点AとBの加算:A (+) B
楕円曲線上の点AとBの減算:A (-) B
楕円曲線上の点Aのz倍:z (*) A
準備フェーズにおいては、主として、セキュリティパラメータ1^κを用いて、公開鍵、及び、秘密鍵が生成される。
登録フェーズにおいては、主として、準備フェーズで生成された公開鍵(暗号化鍵)を用いて、抽出された登録ベクトルが暗号化されたテンプレートが作成され、保存される。
照合フェーズにおいては、主として、準備フェーズで生成された秘密鍵(復号鍵)を用いて、新たに抽出された照合ベクトルと一つの登録ベクトルとの間の距離が算出される。
次に、照合システム100が、上述した各フェーズにて実行する処理について詳細に説明する。
図6は、準備フェーズにおいて、第1の例示的な実施形態に係る照合システム100が実行する処理の一例を示すフローチャートである。図6を参照して、本実施形態に係る照合システム100が、準備フェーズにて実行する処理について説明する。
検証装置150における鍵生成部151は、セキュリティパラメータを受信し、受信したセキュリティパラメータを用いて、例えば、鍵生成アルゴリズムに従い、暗号化鍵(公開鍵)pk、及び、復号鍵(秘密鍵)skを生成する(ステップA1)。なお、生成される暗号化鍵、及び、復号鍵は、加法及びスカラー乗算に関して準同型性を有する公開鍵暗号方式(例えばModified Elgamal暗号)に準拠する。
鍵生成部151は、生成した暗号化鍵pkを、照合システム100において公開する(ステップA2)。
鍵生成部151は、生成した復号鍵skを、復号鍵記憶部152に格納する(ステップA3)。
なお、本実施形態に係る照合システム100において、準備フェーズにて実行する処理は、図6に例示した様態に制限されるものでないことは勿論である。
図7は、登録フェーズにおいて、第1の例示的な実施形態に係る照合システム100が実行する処理の一例を示すフローチャートである。図7を参照して、第1の実施形態に係る照合システム100が登録フェーズにて実行する処理について説明する。
登録要求装置110における登録情報抽出部111は、登録対象の生体から生体情報(「登録ベクトル」と呼ぶ)
X=[x[1],…,x[n]]
を抽出する(ステップB1)。なお、ここでは、単に演算式の明確化のため、xi (i=1,…,n)の添え字iを角括弧内とした表記x[i](i=1,…,n)で表す。
次に、登録要求装置110におけるテンプレート生成部112は、暗号化鍵pkを用いて、1-2xi(i=1,…,n)を暗号化したn個のテンプレートを生成する。
Enc(pk, 1-2x[1]),…, Enc(pk, 1-2x[n]) ・・・(42)
(ステップB2)。ステップB2で計算した暗号文を「第1テンプレート」とも呼ぶ。
次に、登録要求装置110におけるテンプレート生成部112は、暗号化鍵pkを用いて、x[1]+,…+x[n]を暗号化した1個のテンプレートを生成する(ステップB3)。
Enc(pk, x[1]+,…+x[n]) ・・・(43)
ステップB3で計算した暗号文を「第2テンプレート」とも呼ぶ。
Enc(pk,1-2x[1])(=C1[1]と表す),
…,
Enc(pk,1-2x[n])(=C1[n]と表す),
Enc(pk, x[1]+…+x[n])(CC1と表す) ・・・(44)
Modified-Elgamal暗号では、テンプレート生成部112はZの中から複数の数rr1[1],…,r1[n]、及び、rr1を選ぶ。
テンプレート生成部112は公開鍵pkから、生成元gと、値hとを読み取り、二値ベクトルXに関して以下の暗号文を作成する。
(g^{r1[1]}, g^{1-2x[1]}×h^{r1[1]})=(C1[1][0], C1[1][1]) (=C1[1])
…,
(g^{r1[n]}, g^{1-2x[n]}×h^{r1[n]}) =(C1[n][0], C1[n][1])(=C1[n])}})
(g{rr1}, g{x[1]++x[n]}×h{rr1}))=(CC1[0],CC1[1]) (=CC1)
・・・(45)
次に、登録要求装置110におけるテンプレート生成部112は、第1テンプレートと第2テンプレートをまとめ、テンプレート
(C1[1],…, C1[n], CC1) ・・・(46)
とする(ステップB4)。
登録要求装置110の通信部113は、テンプレート
(C1[1],…,C1[n],CC1)
を記憶装置130に送付する(ステップB5)。
記憶装置130の通信部135は、登録要求装置110から、該テンプレート
(C1[1],…,C1[n],CC1)を受け取る(ステップB6)。
記憶装置130における識別子管理部131は、登録要求装置110から受け取ったテンプレートに固有の識別子である登録識別子idを決定する(ステップB7)。
記憶装置130の通信部135は、登録識別子idを登録要求装置110に送付する(ステップB8)。
次に、登録要求装置110の通信部113は、記憶装置130から登録識別子idを受け取る(ステップB9)。
登録要求装置110は、受信した登録識別子idを、ディスプレイ等のユーザインターフェース(UI)に表示する(ステップB10)。あるいは、登録要求装置110は、社員証や、識別子カード等の、IC(integrated_circuit)カードに、受信した登録識別子idを格納してもよい。
次に、記憶装置130における登録データ生成部132は、テンプレートと登録識別子idをまとめ、登録データ
(C1[1],…,C1[n],CC1, id) ・・・(47)
とする(ステップB11)。
記憶装置130における登録データ記憶部133に、上記登録データを格納する(ステップB12)。
なお、本実施形態に係る照合システム100が登録フェーズにて実行する処理は、図3に例示された様態に限定されない。例えば、ステップB8に先だってステップB11とステップB12とが実行されてもよい。すなわち、記憶装置130は、登録識別子idを登録要求装置110に送信する前に、登録データを登録データ記憶部133に、上記登録データを格納するようにしてもよい。
図8は、照合フェーズにおいて、第1の例示的な実施形態に係る照合システム100が実行する処理の一例を示すフローチャートである。図8、図5を参照して暗号照合システム100が、照合フェーズにて実行する処理について説明する。
照合要求装置120は、照合(認証)対象の持つ識別子(「照合識別子」と呼ぶ)を受け取る(ステップC1)。
次に、照合要求装置120における照合要求生成部121は、受け取った照合識別子を含む照合要求を生成する(ステップC2)。
照合要求装置120の通信部124は、照合要求を照合装置140に送付する(ステップC3)。
照合装置140の通信部146は、照合要求装置120から照合要求を受け取る(ステップC4)。
次に、照合装置140における登録データ取得部141は、照合要求装置120から送信された照合要求に含まれる照合識別子を含む登録データ要求を生成する(ステップC5)。
照合装置140の通信部146は、登録データ要求を記憶装置130に送付する(ステップC6)。
次に、記憶装置130の通信部135は、照合装置140から登録データ要求を受け取る(ステップC7)。
記憶装置130における登録データ検索部134は、登録データ記憶部133に格納されている、一つまたは複数の登録データのうち、登録データ要求に含まれる照合識別子を含む登録データ(「対象テンプレート」ともいう)を特定する(ステップC8)。
記憶装置130の通信部135は、当該テンプレート:
Enc(pk,1-2x[1])(=C1[1]),
…,
Enc(pk,1-2x[n])(=C1[n])
Enc(pk, x[1]+…+x[n])(=CC1) ・・・(48)
を照合装置140に送付する(ステップC9)。
照合装置140の通信部146は、記憶装置130から該テンプレートを受け取る(ステップC10)。
照合装置140の乱数生成部142は、疑似乱数生成手順に従い整数(乱数)
Figure 0007127543000051
を生成する(ステップC11)。
乱数生成部142は、好ましくは、照合要求のたびに毎回異なる乱数Sを生成する。
次に、照合装置140における暗号データ生成部143は、加法準同型のスカラー演算則から、n個の第1のテンプレート:
Enc(pk,1-2x[1])(=C1[1]),
…,
Enc(pk,1-2x[n])(=C1[n])
に対するSのスカラー演算Scl(S, Enc(pk,1-2x[1])),…, Scl(S, Enc(pk,1-2x[n]))
より、n個の暗号データ(「チャレンジ」ともいう):
Enc(pk,S(1-2x[1]))(C2[1]と表す),

Enc(pk,S(1-2x[n]))(C2[n]と表す) ・・・(49)
を生成する(ステップC12)。
すなわち、
C1[1]=(g^{r1[1]}, g^{(1-2x[1])}×h^{r1[1]})=(C1[1][0], C1[1][1])に対して、
(C1[1][0]^S,C1[1][1]^S) =C2[1],
…,
C1[n]= (g^{r1[n]}, g^{(1-2x[n])}×h^{r1[n]}) =(C1[n][0], C1[n][1])(=C1[n])に対して、
(C1[n][0]^S,C1[n][1]^S) =C2[n]
・・・(50)
照合装置140の通信部146は、暗号データ (C2[1],…,C2[n])を照合要求装置120に送付する(ステップC13)。
照合要求装置120は、照合装置140がステップC13で送信した暗号データを受け取る(ステップC14)。
次に、照合要求装置120における照合情報抽出部122は、認証対象の生体から照合ベクトル
Y=(y[1],y[2],…,y[n])
を抽出する(ステップC15)。
次に、照合要求装置120におけるレスポンス生成部123は、
Enc(pk,S(1-2x[1]))(C2[1]),
…,
Enc(pk,S(1-2x[n]))(C2[n])より、スカラー演算則と加法準同型の加法とから、暗号化したレスポンス:
Figure 0007127543000052
・・・(51)
を生成する(ステップC16)。すなわち、照合要求装置120におけるレスポンス生成部123は、スカラー演算Scl(y[1], Enc(pk,S(1-2x[1])))よりEnc(pk,S(1-2x[1])y[1])を生成する。以下同様に、Scl(y[n], Enc(pk,S(1-2x[n])))より、Enc(pk,S(1-2x[n])y[n])を生成する。そして、これらを加算することで、
Enc(pk,S((1-2x[1])y[1]+,…,+(1-2x[n])y[n]))(=CC2)を求める。
次に、照合要求装置120の通信部124は上記レスポンスCC2を照合装置140に送付する(ステップC17)。
次に、照合装置140は、照合要求装置120から、上記レスポンスCC2を受け取る(ステップC18)。
次に、照合装置140における暗号化距離計算部144は、
Enc(pk,S((1-2x[1])y[1]+,…, (1-2x[n])y[n]))に対してS^-1でスカラー演算する。
Scl(S^(-1), Enc(pk,S((1-2x[1])y[1]+,…, (1-2x[n])y[n])))
この結果、
Enc(pk,((1-2x[1])y[1]+,…, (1-2x[n])y[n])) ・・・(52)
を取得する。これと、記憶装置130より受信した第2のテンプレート:Enc(pk, x[1],…,x[n])=Enc(pk,D1)より、暗号化ハミング距離を得る。
Figure 0007127543000053
・・・(53)
次に、照合装置140におけるクエリ生成部145は、暗号化距離Enc(pk, dH(X,Y))を含むクエリを生成する(ステップC20)。
照合装置140の通信部146は、上記クエリを検証装置150に送付する(ステップC21)。
次に、検証装置150の通信部155は、照合装置140から、上記クエリEnc(pk,f)を受け取る(ステップC24)。
次に、検証装置150におけるクエリ検証部153は、秘密鍵skを用いてクエリの暗号化距離Enc(pk, dH(X,Y))を復号する。
Dec(sk, Enc(pk, dH(X,Y)))=g^{dH(X,Y)} ・・・(54)
次に、検証装置150における検証結果生成部154は、dH(X,Y)を閾値tと比較する(ステップC23)。検証結果生成部154は、g^{dH(X,Y)}がg^0, g^1, g^tのいずれかに一致するか判定する。いずれかに一致すれば、dH(X,Y)<=tであり、受理、いずれかにも一致しなれれば、dH(X,Y)>tであり、不受理の検証結果を生成する(ステップC24)。
検証装置150は、算出した照合結果を出力する(ステップC25)。
なお、本実施形態に係る照合システム100が照合フェーズにて実行する処理は、図8に例示された様態に限定されない。例えば、ステップC5~C10に先だってステップC11が実行されてもよい。
また、第1の例示的な実施形態に係る照合システム100によれば、同じ登録ベクトルとの認証を行う際であっても、図7のステップC11で選ばれた乱数を用いた処理が行われる。したがって、照合処理の通信内容が漏洩したとしても、漏洩した内容を再送したり、漏洩した内容を利用して作成したデータを送付したりしても、漏洩した照合時の距離と等しい距離を算出したり、小さい値を算出したりすることはできない。登録ベクトルと認証ベクトルの間の距離が閾値より小さいときに「受理」とする認証に利用する場合、登録ベクトルを知らない攻撃者が「受理」とされない性質、すなわち、なりすまし攻撃への耐性を有する。
特に、照合装置140から照合要求装置120に送る暗号データ(チャレンジ)に、乱数Sの暗号データEnc(pk,S)は含まれない。このため、照合要求装置120は、照合装置140から照合要求装置120に送られた暗号データEnc(pk,S(1-2x[1])), …,Enc(pk,S(1-2x[n]))からは、
Enc(pk,(x[1]+…+x[n]))、
Enc(pk, S((x[1]+…+x[n])))を算出することはできない。したがって、XとYのハミング距離の偽装はできず、盗聴者によるユーザのなりすましはできない。
また、秘密鍵を持つ検証装置150が受け取るデータは、登録ベクトルと照合ベクトルの間のハミング距離の暗号文であり、登録ベクトルや照合ベクトルの値は開示されない。したがって、第1の例示的な実施形態に係る照合システム100によれば、それぞれのベクトルを抽出する装置以外の装置には、登録ベクトルと照合ベクトルの距離以外の値は漏洩せず、検証装置において、登録ベクトルと照合ベクトルの間の距離を算出することが可能である。
さらに、第1の例示的な実施形態に係る照合システム100では、復号鍵を持つ検証装置150に対して、登録ベクトルと照合ベクトルの間のハミング距離を開示しないように変形可能である。例えば、非特許文献1に記載された方式と同じ方法を適用することにより、復号鍵(秘密鍵)を持つ検証装置150が、登録ベクトルと照合ベクトルの間のハミング距離を算出できない方式に変形できる。復号鍵を持つ検証装置150に対して、登録ベクトルと照合ベクトルの間の距離を開示しない方式は、特別な状況下においても復号鍵を持つ検証装置150が登録ベクトルの値を算出することを防ぐことができるため、より高い安全性を達成できる。
<変形例1>
図9は、第1の実施形態の変形例1を説明する図である。基本構成は、第1の実施形態と同様である。相違点は以下のとおりである。なお、登録ベクトルX、暗号化Enc()において公開鍵pkを省略等の表記は図4に従う。
登録要求装置110は、テンプレートとして、Enc(pk, (1-2x1)),…,Enc(pk, (1-2xn))ではなく、Enc(pk,x1),…,Enc(pk,xn)を記憶装置130に送付する(S11A)。
記憶装置130は、
Enc(pk,x1),…,Enc(pk,xn)から、加法準同型のスカラー演算、加算演算を用いて、
Enc(pk, (1-2x1)),…,Enc(pk, (1-2xn)) ・・・(55)
Enc(pk,x1+,…,+xn) ・・・(56)
を求め、記憶する(S11B)。
照合装置140は、照会要求装置120からの照合要求を受けると(S12)、記憶装置130から、
Enc(pk, (1-2x1)),…,Enc(pk, (1-2xn))、
及び
Enc(pk,x1+,…,+xn)を取得する(S13)。これ以降の処理は、図4と同一であるため、説明は省略する。
図5において、登録要求装置110のテンプレート生成部112は、Enc(pk,x1),…,Enc(pk,xn)を生成する。記憶装置130の登録データ生成部132は、Enc(pk,x1),…,Enc(pk,xn)から、
Enc(pk, (1-2x1))=C1[1],
…,
Enc(pk, (1-2xn))=C1[n]、及び、Enc(pk,x1+,…,+xn)=CC1を求め、登録識別子idと関連付けた登録データ
(C1[1],…,C1[n],CC1, id)
を生成して登録データ記憶部133に格納する。この変形例1によれば、登録要求装置110の処理負荷を軽減している。
<変形例2>
図10は、第1の実施形態の変形例2を説明する図である。基本構成は、第1の実施形態と同様である。相違点は以下のとおりである。なお、登録ベクトルX、暗号化Enc()において公開鍵pkを省略等の表記は図4に従う。
登録要求装置110は、テンプレートとして、変形例1と同様、Enc(pk,x1),…,Enc(pk,xn)を記憶装置130に送付する(S11A)。
記憶装置130は、Enc(pk,x1),…,Enc(pk,xn) ・・・(57)
を記憶する。
照合装置140は、照会要求装置120からの照合要求を受けると(S12)、記憶装置130から、Enc(pk,x1),…,Enc(pk,xn)を取得し(S13A)、加法準同型のスカラー演算、加算演算を用いて、
Enc(pk, (1-2x1)),…,Enc(pk, (1-2xn))、及び、Enc(pk,x1+,…,+xn)を求める(S13B)。
これ以降の処理は、図4と同一であるため、説明は省略する。
<第2の実施形態>
図4乃至図9を参照して説明した第1の実施形態は、Semi-honestな攻撃者に対しては安全であるが、攻撃者によるなりすまし攻撃が存在する。図4のステップS15では、照合装置140がEnc(pk,S(1-2x1)),…,Enc(pk,S(1-2xn))を照合要求装置120に送信している。
登録ベクトル
Figure 0007127543000054
の各要素は二値であることから、Enc(pk,S(1-2x1)),…,Enc(pk,S(1-2xn))は、
Enc(pk,S)、Enc(pk,-S) ・・・(58)
のいずれかである。任意の値zについて高々2回の試行でEnc(pk, Sz)を照合装置140に送信することができる。照合装置140は照合要求装置120から受信したEnc(pk, Sz)をEnc(pk, D2)として扱い、Enc(pk, Sz)とEnc(pk,D1)を加算して得たEnc(pk, Sz+D1)を検証装置150に送信する。
この場合、
Figure 0007127543000055
・・・(59)
であれば、受理される。
そこで、第2の実施形態では、照合装置140がEnc(pk,S(1-2x1)),…,Enc(pk,S(1-2xn))を照合要求装置120に送信する登録テンプレートに乱数を乗算した暗号データEnc(pk,S(1-2xi)) (i=1,…,n)を送信するかわりに、登録用の二値ベクトルX=[x1,…,xn]を所定の変換式で変換した二値以外の値をとる第1の変換値ベクトルAであって、照合用の二値ベクトルY=[y1,…,yn]を変換した第2の変換値ベクトルBとの演算結果(内積A・B)が
Figure 0007127543000056
・・・(60)
を生成する登録ベクトルXの変換値Aiを、チャレンジとして照合要求装置120に送信する。照合要求装置120は、変換値Aiの暗号データEnc(pk,Ai)と照合用の二値ベクトルY=[y1,…,yn]に関する変換値Biとの加法準同型演算から、Enc(pk,SΣ[i=1 to n] Ai・Bi)を照合装置140に送信する。Enc(pk,SΣ[i=1 to n] Ai・Bi)は
Figure 0007127543000057
・・・(61)
と等価であり、生体情報が二値ベクトルの場合において、なりすまし攻撃を回避可能としている。以下に説明する。
登録ベクトル
Figure 0007127543000058
照合ベクトル
Figure 0007127543000059
に対して以下の関係を満たすA1,…,An、B1,…,Bnを求める。
Figure 0007127543000060
・・・(62)
Figure 0007127543000061
・・・(63)
Figure 0007127543000062
・・・(64)
制約式は各xiyiの係数に関するn^2個と、各yiに関するn個の計n(n+1)個である。未知数はn(2n+1)である。
Figure 0007127543000063
・・・(65)
ここで、bi,j(i=1,…,n, j=1,…,n)を固定すると、未知数は
Figure 0007127543000064
・・・(66)
のn(n+1)個である。
(未知数の個数)>=(制約式の個数)
であるため、解が存在する、特に、各bi,j(i=1,…,n,j=1,…,n)を固定すると、各ai,j(i=1,…,n,j=1,…,n+1)は一意に定まる。
本実施形態では、照合装置140は、Enc(pk, SAi) (i=1,…,n)を照合要求装置120に送信する。照合要求装置120は、
Figure 0007127543000065
・・・(67)
を照合装置140に送信する。
説明をみやすくするため、2次元の場合の登録ベクトル、照合ベクトル
Figure 0007127543000066

Figure 0007127543000067
を例に説明する。なお、Tは転置演算子(Transpose operator)である。上記式(62)、(63)は以下のような変換行列を用いて表させる。

Figure 0007127543000068
・・・(68)

Figure 0007127543000069
・・・(69)
上記式(64)は以下で与えられる。
Figure 0007127543000070
・・・(70)
これを解くと、各係数は以下で与えられる。
Figure 0007127543000071
・・・(71)
ただし、Lは行列
Figure 0007127543000072
の行列式(determinant)の逆数である。
Figure 0007127543000073
・・・(72)
したがって、以下のように表せる。
Figure 0007127543000074
・・・(73)
なお、上式において、b1,1=b2,2=1, b1,2=b2,1=0の場合、
Figure 0007127543000075
・・・(74)
となり、これは前記第1の実施形態のn=2の場合に対応する。
簡単な具体例として、q=13の場合(メッセージ空間:Fq)について説明する。
Figure 0007127543000076
・・・(75)
とすると、
Figure 0007127543000077
である(フェルマーの小定理よりqが素数ならばg^(q-1)=1 mod qが成り立つため、g・g^(q-2)=1 mod q、したがって、逆元は
g^(-1)=g^(q-2) mod q ・・・(76)
である)。
したがって、
Figure 0007127543000078
・・・(77)
が、制約式をみたすことになる。
Figure 0007127543000079
・・・(78)
この場合、A1、A2は、(x1,x2)の値(0,0), (0,1), (1,0), (1,1)毎に異なる(図11の(b)と(c)参照)。なお、B1、B2は以下で与えられる。
Figure 0007127543000080
図12は、第2の実施形態の登録要求装置110の構成を説明する図である。登録要求装置110は、登録情報抽出部111で抽出された二値ベクトル
Figure 0007127543000081
と、予め設定された変換係数:
Figure 0007127543000082
に基づき、変換値(A,…,An)を求める変換値生成部114を備えている。その他の基本構成は、図5に示した前記第1の実施形態の構成と同様とされるが、登録要求装置110の変換テンプレート生成部112、記憶装置130の登録データ生成部132、照合装置140の暗号データ生成部143、暗号化距離計算部144、照合要求装置120で行われる処理の内容が、前記第1の実施形態と相違している。
図13は、登録フェーズを説明する図である。以下では、図7に追加されたステップB1Aについて説明する。ステップB1Aでは、変換値生成部114が、登録情報抽出部111で抽出された二値ベクトル
Figure 0007127543000083
と、予め設定された変換係数:
Figure 0007127543000084
に基づき、変換値(A,…,An)を求める(B1A)。
テンプレート生成部112は、第1のテンプレートとして、
Enc(pk, A1),…,Enc(pk, An) ・・・(79)
を生成する(B2)。また、テンプレート生成部112は、第2のテンプレートとして、
Enc(pk,x1),…,Enc(pk, xn) ・・・(80)
を生成し(B3)、これらのテンプレートを合わせ(B4)、記憶装置130に送信する(B5)。
図14は、第2の実施形態の動作シーケンスを説明する図である。図14は、図4、図9等の表記に対応している。なお、公開鍵と秘密鍵の生成(S20)は、図4、図9等のS10に対応している。
前述したように、第2の実施形態では、登録要求装置110に、n(n+1)個の変換係数:
Figure 0007127543000085
が予め設定されているものとする。また、照合要求装置120には、n^2個の変換係数:
Figure 0007127543000086
が設定されているものとする。
登録要求装置110の変換値生成部114は、登録情報抽出部111で抽出された二値ベクトル
Figure 0007127543000087
と、予め設定された変換係数:
Figure 0007127543000088
に基づき、変換値(A,…,An)を求める。
次に登録要求装置110のテンプレート生成部112は、第1のテンプレートとして、Ai(i=1,…,n)の暗号データ
Enc(pk,A1),…,Enc(pk,An) ・・・(81)
を生成する。
またテンプレート生成部112は、第2のテンプレートとして、
Enc(pk,x1),…,Enc(pk, xn) ・・・(82)
を生成する。
そして、登録要求装置110のテンプレート生成部112は、第1、第2のテンプレートからテンプレート
Figure 0007127543000089
・・・(83)
を生成し、通信部113を介して記憶装置130に送付する(S21)。
記憶装置130は、該テンプレートを受け取ると、識別子管理部131は、登録識別子idを生成し、登録データ生成部132は登録識別子idに関連させて

Figure 0007127543000090
・・・(84)
を登録データ記憶部133に記憶する。
照合装置140において、通信部146が照合要求装置120から照会要求を受けると(S22)、登録データ取得部141は、記憶装置130から
Figure 0007127543000091
を受け取る(S23A)。
照合装置140は、Enc(pk,x1),,…,Enc(pk, xn)を暗号化したまま、要素{xi}の総和の暗号データEnc(pk,Σ[i=1 to n]xi)を生成する(S23B)。
照合装置140は、乱数生成部142は乱数
Figure 0007127543000092
を生成する(S24)。
そして、乱数生成部142は、変換値の暗号データEnc(pk, A1),…,Enc(pk, An)に対して乱数Sをスカラー演算して、
Enc(pk, SA1),…,Enc(pk, SAn) ・・・(85)
を求め、通信部146を介して、照合要求装置120に送信する(S25)。
Enc(pk, Ai) (i=1,…,n)は、(x1,…xn)の値の組み合わせに応じて値が異なる。このため、攻撃者にとって、照合装置140から照合要求装置120に送信されるEnc(pk,S・Ai) (i=1,…,n)から、Enc(pk, S)を推測することは困難であり、なりすまし攻撃を困難とする。
照合要求装置120のレスポンス生成部123は、{bi,j}(i,j=1,…,n)と、照合情報抽出部122で抽出された二値ベクトル
Figure 0007127543000093
から、
Figure 0007127543000094
・・・(86)

を求める。
照合要求装置120のレスポンス生成部123は、加法準同型の加算、及びスカラー演算則を用いて、照合装置140から受信した暗号データ(チャレンジ)Enc(pk, Ai) (i=1,…,n)を暗号化したまま、スカラー演算Scl(Bi, Enc(pk, SAi)) (i=1,…,n)により、
Enc(pk, SA1・B1),…,Enc(pk, SAn・Bn) ・・・(87)
を計算し、これらを暗号化したまま加算することで、
Figure 0007127543000095
・・・(88)
を求める。照合要求装置120のレスポンス生成部123は、通信部124を介して、
Figure 0007127543000096

をチャレンジに対するレスポンスとして照合装置140に送付する(S26)。
照合装置140の暗号化距離計算部144では、
Figure 0007127543000097
に対して、乱数Sの逆数S^(-1)(S^(q-2) mod q)をスカラー演算し、

Figure 0007127543000098
・・・(89)

を求める。
ここで、
Figure 0007127543000099
・・・(90)
である。
照合装置140の暗号化距離計算部144は、求めたDと、記憶装置130から受け取った第2のテンプレート
Figure 0007127543000100
・・・(91)
より、暗号化したまま、二値ベクトルXとYのハミング距離の暗号データを計算する。
Figure 0007127543000101
・・・(92)
照合装置140は、二値ベクトルXとYのハミング距離の暗号データEnc(pk, dH(X,Y))を検証装置150に送信する(S27)。検証装置150は暗号データEnc(pk, dH(X,Y))を秘密鍵skで復号し(Dec(sk, Enc(pk, dH(X,Y))))、復号結果が閾値t以下であるか否か判定し(S28)、検証結果を出力する(S29)。
<変形例1>
図15は、上記した第2の実施形態の変形例1を説明する図である。上記した第2の実施形態では、登録要求装置110が変換値A1,…,Anを計算し、これらの暗号データEnc(pk, A1),…,Enc(pk, An)を、第1テンプレートとして記憶装置130に送付していたが、変形例1では、登録要求装置110のテンプレート生成部112は、変換値[A1,…An]の暗号データEnc(pk, A1),…,Enc(pk, An)を記憶装置130に送信しない。登録要求装置のテンプレート生成部112は、前記第1の実施形態と同様に、n個のx,…,xの暗号データ(第1のテンプレート)
Enc(pk, x),…,Enc(pk, x)
を記憶装置130に送信する(S21)。
登録要求装置110は、図5に示した構成と同様とされる。その他の構成も、図5に示した前記第1の実施形態の構成と同様とされるが、登録要求装置110のテンプレート生成部112、記憶装置130の登録データ生成部132、照合装置140の暗号データ生成部143、暗号化距離計算部144、照合要求装置120で行われる処理が、前記第1の実施形態と相違している。
記憶装置130の通信部135は、登録要求装置110から送信された第1のテンプレートを受け取り、登録データ生成部132は、識別子管理部131が付与した登録識別子idに関連して、第1のテンプレートを登録データ記憶部133に記憶する。
さらに、記憶装置130の登録データ生成部132は、n次元二値ベクトルXのn個の要素x1,…,xnの登録データ
Enc(pk, x1),…,Enc(pk, xn) ・・・(93)
を暗号化したまま、要素{xi}の総和の暗号データ
Figure 0007127543000102
を生成する(S21A)。
記憶装置130の登録データ生成部132は、記憶装置130に設定された変換係数群
Figure 0007127543000103
から、n次元二値ベクトルXのn個の要素x1,…,xnを暗号化したまま、変換値A1,…,Anの暗号データ
Enc(pk, A1),…, Enc(pk, An)
を計算する(S21B)。
ここで、Enc(pk, ai,jx) (j=1,…,n)は、暗号データEnc(pk, x)に対するスカラー演算Scl(ai,j,Enc(pk, x))(j=1,…,n)で求まる。さらに記憶装置130の登録データ生成部132はEnc(pk, ai, n+1)を求め、これらを暗号化したまま加算することで、暗号データEnc(pk, Ai)(i=1,…,n)を計算し、登録データ記憶部133に記憶する(S21B)。
Enc(pk, A1)= Enc(pk, a1,1・x1)+,…, Enc(pk, a1,n・x) + Enc(pk, a1,n+1)
…,
Enc(pk, An)= Enc(pk, an,1・x1)+,…, Enc(pk, an,n・x) + Enc(pk, an,n+1)
・・・(94)
照合装置140は、照合要求装置120から照合要求を受けると、登録データ取得部141は、記憶装置130から、Enc(pk, A1),…, Enc(pk, An)と、
Figure 0007127543000104
の暗号データ(第2のテンプレート):
Figure 0007127543000105
を受け取る(S23)。
照合装置140の乱数生成部142は、乱数Sを生成する(S24)。そして、暗号データ生成部143は、加法準同型のスカラー演算則により、
Enc(pk, SA1),…, Enc(pk, SAn)
を計算し、通信部146を介して照合要求装置120に送信する(S25)。
照合要求装置120のレスポンス生成部123は、設定されたn^2個の変換係数
Figure 0007127543000106
と照合情報抽出部122で抽出された二値ベクトル
Figure 0007127543000107
から、
Figure 0007127543000108
・・・(95)
を求める。
照合要求装置120のレスポンス生成部123は、照合装置140から送信されたEnc(pk, SA1),…, Enc(pk, SAn)と、変換値B,…,Bからスカラー演算、加法演算により、
Figure 0007127543000109
・・・(96)
を求め、レスポンスとして、通信部124を介して照合装置140に送付する(S26)。これ以降の動作シーケンスは、図14と同様であるため、説明は省略する。
<変形例2>
上記変形例1では、記憶装置130が、登録要求装置110から送信された第1テンプレートのEnc(pk,xi) (i=1,…,n)から変換値A1,…Anの暗号データEnc(pk, Ai)(i=1,…,n)を生成しているが、変形例2では、照合装置140が、チャレンジ作成時に、変換値A1,…Anの暗号データEnc(pk, Ai)(i=1,…,n)を作成する。変形例2の基本構成は、図5に示した前記第1の実施形態の構成と同様とされるが、登録要求装置110のテンプレート生成部112、記憶装置130の登録データ生成部132、照合装置140の暗号データ生成部143、暗号化距離計算部144、照合要求装置120で行われる処理が、前記第1の実施形態と相違している。
図16は、変形例2の動作を説明する図である。図16及び図5を参照して、変形例2の動作を説明する。
登録要求装置110は、前記第1の実施形態と同様、n次元の二値ベクトルXのn個の要素{x}(i=1,…,n)の暗号データEnc(pk, xi) (i=1,…,n)(第1のテンプレート)を記憶装置130に送信する(S21)。
記憶装置130は第1及び第2のテンプレートを登録idに関連して記憶する。
照合装置140の登録データ取得部141は、照合要求装置120から照合要求を受けると(S22)、記憶装置130からn次元の二値ベクトルXのn個の要素{x}の暗号データEnc(pk, x1),…,Enc(pk, xn)
を受け取る(S23A)。
照合装置140の暗号データ生成部143は、
Enc(pk, x1),…,Enc(pk, xn)を暗号化したまま、要素{xi}の総和の暗号データ
Figure 0007127543000110
を生成する(S23A)。
照合装置140の暗号データ生成部143は、n個のx1,…,xnの暗号登録データEnc(pk, x),…, Enc(pk, xn)と、設定された変換係数群
Figure 0007127543000111
から、変換値A1,…Anの暗号データEnc(pk, A1),…, Enc(pk, An)を生成する(S24B)。
Enc(pk,A1)= Enc(pk, a1,1・x1)+,…, +a1,nEnc(pk, a1,n・x)+Enc(pk,a1,n+1)
…,
Enc(pk,An)= Enc(pk, an,1・x1)+,…, +an,nEnc(pk, an,n・x)+Enc(pk,an,n+1)
・・・(97)
照合装置140は、乱数Sを生成し(S24)、加法準同型のスカラー演算則により、
Enc(pk, SA1),…, Enc(pk, SAn)
を計算し、通信部146を介して照合要求装置120に送信する(S25)。
照合要求装置120は、設定されたn^2個の変換係数
Figure 0007127543000112
と二値ベクトル
Figure 0007127543000113
から、
Figure 0007127543000114
・・・(98)
を求める。さらに、Enc(pk, SA1),…, Enc(pk, SAn)と変換値B1.,…,Bnから、
Figure 0007127543000115
・・・(99)
を求め、レスポンスとして照合装置140に送付する(S26)。これ以降は、図14の変形例1と同様であるため、説明を省略する。
<変形例3>
変形例3では、登録要求装置110には、変換係数

Figure 0007127543000116

は予め設定されていない。また照合要求装置120には、
n^2個の変換係数
Figure 0007127543000117
も設定されていない。
変形例3では、照合装置140が、チャレンジ作成時に、変換係数{ai,j}(i=1,…,n,j=1,…,n+1)をその都度作成する。
図17は、変形例3の照合装置140の構成例を示す図である。図17に示すように、照合装置140は、チャレンジ作成時に、変換係数{ai,j}(i=1,…,n,j=1,…,n+1)を生成する変換係数生成部147をさらに備えている。
暗号データ生成部143は、登録データ取得部141で取得したn個のxの暗号データEnc(pk,xi) (i=1,…,n)と、作成した変換係数{ai,j}(i=1,…,n,j=1,…,n+1)に基づき、変換値A,…,Anを計算し、暗号化したデータをチャレンジとして照合要求装置120に送信する。
また、照合装置140は、照合要求装置120に対するチャレンジの送信時に、変換係数(第1群の変換係数){ai,j}(i=1,…,n,j=1,…,n+1)の計算に用いた変換係数(第2群の変換係数){bi,j}(i, j=1,…,n)を照合要求装置120に送信する。
図18は、変形例3の照合フェーズを説明する図である。図8及び変形例1との相違点を説明する。
照合装置140の変換係数生成部147は、チャレンジを生成する度に、変換係数{ai,j}(i=1,…,n,j=1,…,n+1)を生成する(C11A)。
照合装置140の暗号データ生成部143は変換係数{ai,j}(i=1,…,n,j=1,…,n+1)と、Enc(pk, x1),…, Enc(pk, xn)とに基づき、各要素{xi}を暗号化したまま、変換値の暗号データEnc(pk, A1),…,ENc(pk, An)を生成する(C11B)。
照合装置140の乱数生成部142は、乱数Sを生成し、変換値の暗号データに乱数Sをスカラー演算することで、暗号データEnc(pk, SA1),…,ENc(pk, SAn)を生成する(C12)。照合装置140は、生成した暗号データEnc(pk, SA1),…,ENc(pk, SAn)と、n^2個の変換係数{bi,j}(i,j=1,…,n)を照合要求装置120に送信する(C13)。
図19は、変形例3の全体の動作シーケンスを説明する。登録要求装置110は、登録用の二値ベクトルX=[x1,…,xn]のn個の要素{x}の暗号データEnc(pk, xi) (i=1,…,n)からなる第1のテンプレートを記憶装置130に送信する(S21)。
記憶装置130は第1のテンプレートを登録識別子idに関連して記憶する。
照合装置140の登録データ取得部141は、照合要求装置120から照合要求を受けると(S22)、記憶装置130から二値ベクトルXのn個の要素{x}の暗号データEnc(pk, x1),…, Enc(pk, xn)
を受け取る(S23)。
照合装置140の暗号データ生成部143は、ら二値ベクトルXのn個の要素{x}の暗号データEnc(pk, x1),…,Enc(pk, xn)を暗号化したまま、二値ベクトルXのn個の要素{xi}の総和の暗号データ
Figure 0007127543000118
を生成する(S23A)。
照合装置140の変換係数生成部147は、チャレンジを生成する度に、変換係数{ai,j}(i=1,…,n,j=1,…,n+1)を生成する(S24A)。したがって、チャレンジ毎に異なる値となる場合もある。変換係数{ai,j}(i=1,…,n,j=1,…,n+1)は、{bi,j} (i=1,…,n)に基づき、計算される。照合装置140の変換係数生成部147は、チャレンジを生成する度に、変換係数{bi,j} (i=1,…,n)を異なる値に設定するようにしてもよい。
照合装置140の暗号データ生成部143は、変換係数{ai,j}(i=1,…,n,j=1,…,n+1)と、登録暗号データEnc(pk, x1),…, Enc(pk, xn)とに基づき、Enc(p,xi)(i=1,…,n)を暗号化したまま、
Enc(pk, A1),…,ENc(pk, An) ・・・(100)
を生成する(S24B)。
照合装置140の乱数生成部142は、乱数Sを生成し(S24)、Enc(pk, SA1),…,ENc(pk, SAn)を計算し、Enc(pk, SA1),…,Enc(pk, SAn)とn^2個の変換係数{bi,j}(i,j=1,…,n)を照合要求装置120に送信する(S25)。
照合要求装置120は、照合装置140から送信されたn^2個の変換係数
Figure 0007127543000119
と二値ベクトル
Figure 0007127543000120
から、
Figure 0007127543000121
・・・(101)
を求める。さらに、Enc(pk, SA1),…, Enc(pk, SAn)と、変換値B1,…,Bnから、
Figure 0007127543000122
・・・(102)
を求め、レスポンスとして照合装置140に送付する(S26)。式(102)のレスポンスを受信した照合装置140がクエリを送信する処理(S27)と、照合装置140からクエリを受信した検証装置150の処理(S28、S29)は変形例2と同じであるため、説明を省略する。
なお、前記第2の実施形態及び各変形例において、前記第1の実施形態と同様に、登録要求装置110で登録用のn次元二値ベクトルXのn個の要素{xi}の総和の暗号データ
Figure 0007127543000123
を生成し、暗号データを記憶装置130に送信するようにしてもよい。
<第3の実施形態>
上記第1、第2の実施形態では、復号者が受け取った距離の暗号文を復号し、距離が閾値t以下であるか否かを確認する。modified Elgamal暗号を用い、復号アルゴリズムがメッセージではなく、Dec(sk, Enc(pk, m))=g^mを出力する場合、復号者は、復号値が1、g、g^2,g^3,…,g^tのいずれかと一致するか否かを確認する。
楕円Elgamal暗号を用い、復号アルゴリズムがメッセージではなく、Dec(sk, Enc(pk, m))=m(*)Gを出力する場合、復号者は、復号値がO,G, 2(*)G,3(*)G, …,t(*)Gのいずれかと一致するか否かを確認すればよい。復号アルゴリズムがメッセージを出力する場合、復号者は復号値が0,1,2,3,…,tのいずれかと一致するか否かを確認すればよい。
照合(認証)時に、y1,…,ynとして、y1,…,yi-1,yi+1,…,yn=0,yi=αを用いると、算出されるハミング距離は、
Figure 0007127543000124
・・・(103)
となる。
各xi (i=1,…,n)が約1/2の確率で0または1を取ると仮定すると、
Figure 0007127543000125
・・・(104)
が成り立つためである。
Figure 0007127543000126


Figure 0007127543000127
・・・(105)
を満たすように定めれば,xiの値によって約1/2の確率で受理される。さらに、検証装置150における受理/不受理の結果から、xiの値が判定できる。すなわち、
受理されれば、xi=1,
不受理であれば、xi=0と判定される。
このため、攻撃者はこの試行を各i=1,…,nに対して繰り返すことにより、登録された生体情報x1,…,xnを知ることができる。以上から、第1、第2の実施形態では、1:N認証を行うことができない。第3の実施形態では、1:N認証に対応可能に構成される。
また、第3の実施形態では、照合フェーズにおいて、照合用のベクトルY=[y1,…,yn]として0,1以外の値を入力された場合、これを検知する機能を具備する。
Figure 0007127543000128
・・・(106)
また、以下に示すように、(2yi-1)を用いて、xi=yiであるか否かを判定できる。
Figure 0007127543000129
・・・(107)
(2xi-1)(2yi-1)は、
xi=yiであり、yiが0又は1のときは、1、
i=0且つxi=1、又はyi=1且つxi=0のときは、-1、
iが0、1以外のときは、1、-1以外の値となる。
xi=yiでないiの個数(ベクトルXとYの同一番目の要素xiとyiが不一致の個数)をハミング距離dH(X,Y)とすればよい。
図20は、第3の実施形態における照合装置140と検証装置150の構成を説明する図である。登録要求装置110、照合要求装置120の基本構成は、図5に示した構成とされる。ただし、各部の処理は前記第1の実施形態と相違している。第3の実施形態は1:N認証に対応している。
照合装置140は、図5に示した構成に加えてハッシュ値生成部148を備えている。
照合要求装置120から照合要求を受けた照合装置140の登録データ取得部141は、記憶装置130から登録識別子idに関連して記憶された暗号データ{Enc(pk, (2xi-1))} (i=1,…,n)を受信する。
照合装置140の乱数生成部142は、乱数a,b,rを生成する。
照合装置140の暗号データ生成部143は乱数bi(i=1,…,n)の暗号データEnc(pk, bi) (i=1,…,n)を照合要求装置120に送信する。照合要求装置120に送信する暗号データは登録データ(テンプレート)に依存しない。このため、1:N認証を行うことができる。
照合要求装置120のレスポンス生成部123は、記憶装置130から受信したEnc(pk, (2xi-1))と、照合要求装置120から送信されたEnc(pk, bi(2yi)-1) (i=1,…,n)と、乱数ai,bi,riから、
Enc(pk, ai(2xi-1)) (i=1,…,n),
Enc(pk, biri(2yi-1)) (i=1,…,n)
・・・(108)
を生成する。
ハッシュ値生成部148は、乱数a,b,r(i=1,…,n)の積abr(mod q)のハッシュ値
H(aiii) ・・・(109)
を計算する。
クエリ生成部145は、暗号データEnc(pk, ai(2xi-1))、Enc(pk, biri(2yi-1))(i=1,…,n)とハッシュ値H(abr) (i=1,…,n)を含むクエリを生成し、通信部146を介して検証装置150に送信する。Hは一方向性ハッシュ関数である。なお、暗号データEnc(pk, ai(2xi-1)),Enc(pk, biri(2yi-1)) (i=1,…,n)を送信する順番として、iをシャフルして送信するようにしてもよい。
検証装置150のクエリ検証部153の復号部1531は、秘密鍵skを用いて暗号データEnc(pk, ai(2xi-1))、Enc(pk, biri(2yi-1)) (i=1,…,n)を復号する。
a=Dec(sk, Enc(pk, ai(2xi-1)))
b=Dec(sk, Enc(pk, biri(2yi-1)))
・・・(110)
を計算する。
さらに検証装置150のクエリ検証部153のハッシュ値生成部1532は、zaとzの積のハッシュ値H(za)を計算する。
検証装置150のクエリ検証部153の不一致判定部1533は、計算したH(zazb)が照合装置140から受信したハッシュ値H(abr)と不一致のiの個数がt以下であるか否かを判定する。
検証結果生成部154は、不一致の個数がt以下であれば、受理、それ以外の場合、不受理とする。
a=abr(2xi-1)(2yi-1) ・・・(111)

yiが0又は1であり、yi=xiの場合、za=abr
yiが0又は1であり、yi≠xiの場合、za=-abr
yiが0,1以外の場合、zaはabr、-abr以外の値である。
したがって、
H(zazb)=H(abr) ・・・(112)
が成り立つときは、yi=xiであり、yi=0又は1の値である。これ以外(ハッシュ値H(za)≠H(abr))の場合、yiは0又は1であるがxiと異なるか、yiが0、1以外の値の場合である。このように、i=1,…,nに関する式(112)について、不一致の個数が閾値t以下であれば、受理する。
なお、照合装置140で生成した乱数の積abrを公開鍵pkで暗号化して検証装置150に送信しても、検証装置150では秘密鍵skで復号化することができる。そこの、abrのハッシュ値が検証装置150に送信される。一方、ハッシュ値v(v=H(u))から入力uの逆算は困難である。このため、盗聴されても、中身は読み取れない。
図21は、第3の実施形態における照合フェーズの処理を説明する図である。照合要求装置120から照合要求を受けると(C4)、照合装置140の登録データ取得部141は、記憶装置130からIdに関連して記憶された暗号データEnc(pk, (2xi-1)) (i=1,…,n)を受信する(C4~C10)。照合装置140の乱数生成部142は、乱数a,b,rを生成する(C11)。
照合装置140の暗号データ生成部143は乱数bi(i=1,…,n)の暗号データEnc(pk, bi) (i=1,…,n)を生成し(C12)、照合要求装置120に送信する(C13)。
照合要求装置120は、照合装置140からEnc(pk, bi) (i=1,…,n)を受け取り(C14)、照合ベクトル
Figure 0007127543000130
を抽出し(C15)、レスポンス生成部123は、照合装置140から受け取ったEnc(pk,bi) (i=1,…,n)から、スカラー演算によってScl(2yi-1, Enc(bi))= Enc(bi(2yi-1)) (i=1,…,n)を求める(C16)。照合要求装置120は、Enc(pk, bi(2yi-1)) (i=1,…,n)を照合装置140に送信する(C17)。
照合装置140は、Enc(pk, bi(2yi-1)) (i=1,…,n)を受け取り(C18)、記憶装置130から受信したEnc(pk, (2xi-1))と、照合要求装置120から送信されたEnc(pk, bi(2yi-1)) (i=1,…,n)と、乱数ai,bi,riから、
Enc(pk, ai(2xi-1)) (i=1,…,n),
Enc(pk, biri(2yi-1)) (i=1,…,n)
を生成する(C19A)。またハッシュ値生成部148は、乱数a,b,r(i=1,…,n)の積abr(mod q)のハッシュ値H(aibiri)を計算する(C19B)。
クエリ生成部145は、暗号データEnc(pk, ai(2xi-1))、Enc(pk, biri(2yi-1))(i=1,…,n)とハッシュ値H(abr)(i=1,…,n)を含むクエリを生成し(C20)、通信部146を介して検証装置150に送信する(C21)。Hは一方向性ハッシュ関数である。
検証装置150の通信部155がクエリを受けると、クエリ検証部153の復号部1531は、秘密鍵skを用いて暗号データEnc(pk, ai(2xi-1))、Enc(pk, biri(2yi-1)) (i=1,…,n)を復号する(C23A)。すなわち、クエリ検証部153の復号部1531は
a=Dec(sk, Enc(pk, ai(2xi-1)))
b=Dec(sk, Enc(pk, biri(2yi-1)))
を計算する。
さらに検証装置150のクエリ検証部153のハッシュ値生成部1532は、zaとzの積のハッシュ値H(za)を計算する(C23B)。
検証装置150のクエリ検証部153の不一致判定部1533は、計算したハッシュ値H(zazb)が、照合装置140から受信したハッシュ値H(abr)と不一致のiの個数がt以下であるか否かを判定し、検証結果生成部154は、不一致の個数がt以下であれば、受理、それ以外の場合、不受理とし(C24)、検証結果を出力する(C25)。
図22は、第3の実施形態の動作シーケンスを説明する図である。登録要求装置110は、登録ベクトルX=[x1, …,xn]を抽出し、要素{xi}(i=1,…,n)の演算結果(2xi-1)の暗号データEnc(pk, (2xi-1)) (i=1,…,n)を記憶装置130に送信し(S31)、記憶装置130は、登録識別子Idに関連して記憶する。
照合要求装置120から照合要求を受けると(S32)、照合装置140は、記憶装置130からIdに関連して記憶された暗号データEnc(pk, (2xi-1)) (i=1,…,n)を受信する(S33)。
照合装置140は乱数a,b,rを生成する(S34)。照合装置140は乱数bi(i=1,…,n)の暗号データEnc(pk, bi) (i=1,…,n)を照合要求装置120に送信する(S35)。
照合要求装置120は、照合ベクトルY=[y1, ….,yn]を抽出し、照合装置140から受け取ったEnc(pk, bi) (i=1,…,n)から、Enc(bi(2yi-1)) (i=1,…,n)を求め照合装置140に送信する(S36)。
照合装置140は、照合要求装置120からのEnc(pk, bi(2yi-1)) (i=1,…,n)と、記憶装置130からの暗号データEnc(pk, (2xi-1))と乱数ai,bi,riから暗号データ
Enc(pk, ai(2xi-1)) (i=1,…,n),
Enc(pk, biri(2yi-1)) (i=1,…,n)を生成する。照合装置140は、さらに、ハッシュ値H(aibiri)を生成する。照合装置140は、これらを検証装置150に送信する(S37)。
検証装置150は、秘密鍵skを用いて暗号データをEnc(pk, ai(2xi-1))、Enc(pk, biri(2yi-1))の復号結果za、zから、その積のハッシュ値H(za)を計算する(S38A)。
検証装置150は、計算したハッシュ値H(zazb)が照合装置140から受信したハッシュ値H(abr)と不一致のiの個数がt以下であるか否かを判定する(S38B)。不一致の個数がt以下であれば、受理、それ以外の場合、不受理とする。検証装置150は検出結果(受理・不受理)を出力する(S39)。
<変形例1>
図23は、第3の実施形態の変形例1の動作シーケンスを説明する図である。登録要求装置110は、登録ベクトルX=[x1, ….,xn]を抽出し、要素{xi}(i=1,…,n)の暗号データEnc(pk, xi) (i=1,…,n)を記憶装置130に送信し(S31)、記憶装置130は、登録識別子Idに関連して記憶する。
照合要求装置120から照合要求を受けると(S32)、照合装置140は、記憶装置130からIdに関連して記憶された暗号データEnc(pk, xi) (i=1,…,n)を受信する(S33)。
照合装置140は乱数a,b,rを生成する(S34)。照合装置140は、暗号データEnc(pk, xi) (i=1,…,n)を暗号化したままEnc(pk, 2xi-1) (i=1,…,n)を求める。照合装置140は乱数bi(i=1,…,n)の暗号データEnc(pk, bi) (i=1,…,n)を照合要求装置120に送信する(S35)。
照合要求装置120は、照合ベクトルY=[y1,…,yn]を抽出し、照合装置140から受け取ったEnc(pk, bi) (i=1,…,n)から、Enc(pk, biyi) (i=1,…,n)を求め、照合装置140に送信する(S36)。
照合装置140は、照合要求装置120からのEnc(pk, biyi) (i=1,…,n)を受け、暗号化したままEnc(pk, bi(2yi-1)) (i=1,…,n)を生成する。照合装置140は、Enc(pk, (2xi-1))と乱数aiiから、Enc(pk, ai(2xi-1)) (i=1,…,n)を生成し、Enc(pk,bi(2yi-1))と乱数rからEnc(pk, biri(2yi-1)) (i=1,…,n)を生成する。
照合装置140は、ハッシュ値H(aibiri)を生成し、検証装置150に送信する(S37)。なお、照合要求装置120は、照合ベクトルY=[y1,…,yn]を抽出し、照合装置140から受け取ったEnc(pk,bi) (i=1,…,n)から、Enc(pk, bi(2yi-1)) (i=1,…,n)を生成し照合装置140に送信するようにしてもよい。
検証装置150は、秘密鍵skを用いて暗号データをEnc(pk, ai(2xi-1))、Enc(pk, biri(2yi-1))の復号結果za、zから、その積のハッシュ値H(za)を計算する(S38A)。
検証装置150は、計算したH(zazb)が照合装置140から受信したハッシュ値H(abr)と不一致のiの個数がt以下であるか否かを判定する(S38B)。不一致の個数がt以下であれば、受理、それ以外の場合、不受理とする。検証装置150は検出結果(受理・不受理)を出力する(S39)。
<変形例2>
第3の実施形態の変形例1では、照合装置140が記憶装置130から暗号データEnc(pk, xi) (i=1,…,n)を受け取ると、暗号化したままEnc(pk, 2xi-1) (i=1,…,n)を求めているが、記憶装置130が、登録要求装置110から登録ベクトルX=[x1, …,xn]を抽出し、要素{xi}(i=1,…,n)の暗号データEnc(pk, xi) (i=1,…,n)を受け取ると、暗号化したままEnc(pk, 2xi-1) (i=1,…,n)を求め、登録データ記憶部133に記憶する構成としてもよい。
<変形例3>
第3実施形態の変形例3において、登録ベクトルX=[xi,…,xn]の各データxi(i=1,…,n)がxi∈{0,1}であるか否かのチェックを行う機能を実装するようにしてもよい。
図24は、第3の実施形態の変形例を説明する図である。図24を参照すると、記憶装置130は、図5の記憶装置130の構成に加えて、さらに、乱数生成部136、暗号データ生成部137、ハッシュ値生成部138を備えている。
検証装置150は、復号部1561と、ハッシュ値生成部1562と、一致判定部1563を備えた登録データチェック部156を更に備えている。
図25は、変形例の登録フェーズの動作シーケンスを説明する図である。登録要求装置110は、二値ベクトル
Figure 0007127543000131
から、(2x1-1),…, (2xn-1)を計算し、公開鍵pkで暗号化したデータ(第1のテンプレート)
Enc(pk, (2x1-1)),…,Enc(pk, (2xn-1)) ・・・(113)
を記憶装置130に送信する(S31)。
記憶装置130の乱数生成部136は、乱数c1,…,cnを生成する(S31A)。
記憶装置130の暗号データ生成部137は、スカラー演算Scl(ci, Enc(pk, (2xi-1)))から、
Enc(pk, c1(2x1-1)),…,Enc(pk, cn(2xn-1)) ・・・(114)
を生成する。
記憶装置130のハッシュ値生成部138は、ハッシュ関数Hを用いてハッシュ値H(c1^2),…,H(cn^2)を計算する。記憶装置130は、通信部135を介して、Enc(pk, c1(2x1-1)),…,Enc(pk, cn(2xn-1))とハッシュ値H(c1^2),…,H(cn^2)を検証装置150に送信する(S31B)。
検証装置150の復号部1561は、秘密鍵skを用いて、Enc(pk, cn(2xi-1)) (i=1,…,n)を復号する(S31C)。
zi=Dec(sk,Enc(pk, ci(2xi-1)))=ci(2xi-1) (i=1,…,n) ・・・(115)
そして、検証装置150のハッシュ値生成部1562はハッシュ値H(zi^2)(i=1,…,n)を求める。
検証装置150の一致判定部1563は、i=1,…,nのすべてについて
H(zi^2)=H(ci^2) ・・・(116)
であれば、受理し、H(zi^2)=H(ci^2)を満たさないiが一つでもあれば不受理とする(S31D)。
検証装置150は検証結果を記憶装置130に通知する(S31E)。
記憶装置130は、検証装置150での検証結果が「受理」の場合(S31FのYes分岐)、Enc(pk, (2x1-1)),…,Enc(pk, (2xn-1))を登録識別子idと関連付けて登録データ記憶部133に記憶する(S31G)。
なお、復号部1561、ハッシュ値生成部1562は、クエリ検証部153の復号部1531、ハッシュ値生成部1532を共通に用いてもよい。
zi=ci(2xi-1) (i=1,…,n)は、
iが0のとき、-ci
iが1のとき、ci
・・・(117)
である。
したがって、
Figure 0007127543000132
の場合、ハッシュ値H(zi^2)=H(ci^2)が成り立つ。H(z^2)=H(c^2),…,H(z^2)=H(c^2)が成立する場合は受理される。この場合、記憶装置130は、Enc(pk, (2x1-1)),…,Enc(pk, (2xn-1))を登録識別子idと関連付けて登録データ記憶部に記憶する。
一方、xiが0又は1でない場合、zi=ci(2xi-1) は+ci、-ci以外の値となり、
Figure 0007127543000133
となり、不受理とする。
これ以降の照合フェーズは、図16を参照して説明したものと同様である。
なお、登録要求装置110は、二値ベクトル
Figure 0007127543000134
からEnc(pk, x1),…,Enc(pk, xn)を生成して、記憶装置130に送信し、記憶装置130において、 Enc(pk, (2x1-1)),…,Enc(pk, (2xn-1))を計算し、さらに、 乱数c1,…,cnを生成し、スカラー演算Scl(ci, Enc(pk, (2xi-1)))から、Enc(pk, c1(2x1-1)),…,Enc(pk, cn(2xn-1))を生成するようにしてもよい。この場合、第1の実施形態にも登録ベクトルX=[x,…,xn]の各データxi(i=1,…,n)が
Figure 0007127543000135
であるか否かのチェックを行うことができる。
第3の実施形態では、検証装置が暗号文を復号して得たメッセージ同士の積を求める。このため,復号値同士の積が定義されていない暗号は使用できない。例えば、復号アルゴリズムがメッセージではなく、Dec(sk,Enc(pk,m))=g^mを出力するmodified Elgamal暗号や、復号アルゴリズムがメッセージではなく、Dec(sk, Enc(pk,m))=m(*)Gを出力するECElgamal暗号は使用できない。modified Elgamal暗号及びECElgamal暗号のメッセージ空間Fq、Paillier暗号のメッセージ空間はZN={0,1,…,N-1}上では積が定義されているため、復号アルゴリズムがメッセージを出力する場合、復号者は復号値が0,1,2,3,…,tのいずれかと一致するか否かを確認すればよい。ただし,modified Elgamal暗号及びECElgamal暗号は、一般的にメッセージを出力する復号アルゴリズムの構成は難しい。
前記第1、第2の実施形態によれば、生体情報として二値ベクトルを扱うことができ、なりすまし攻撃に耐性を有し、さらに、Somewhat準同型暗号やペアリング演算が不要とされる。上記した特許文献2、3では、なりすまし攻撃に対する耐性の点で問題があり、Somewhat準同型暗号やペアリング演算が必要とされる。また、特許文献5では、なりすまし攻撃に対する耐性の点で問題があり、Somewhat準同型暗号やペアリング演算が必要とされる。
また、前記第3の実施形態によれば、生体情報として二値ベクトルを扱うことができ、なりすまし攻撃に耐性を有し、さらに、Somewhat準同型暗号やペアリング演算が不要とされるほか、1:N認証に対応可能である。
<第4の実施形態>
本発明の第4の実施形態について説明する。本発明の第4の実施形態の基本構成は、前記第3の実施形態の説明で参照した図20と同一とされる。前記第3の実施形態では、加法準同型を有する暗号方式を用いているが、第4の実施形態では、例えばElGamal暗号やRSA暗号等、乗法準同型の暗号方式を用いる。
ElGamal暗号の鍵生成は、位数q(ビット数はセキュリティパラメータk)が素数である群G(乗法群Z )で生成元gを選び、xを{0,1,…,q-1}から選び、h=g^xとする。(h, g, q)を公開鍵とし、xを秘密鍵とする。暗号化は、平文mに対して乱数rを{0,1,…,q-1}からランダムに選び、
c1=g^r mod q,
c2=m・h^r mod q
を計算し、(c1, c2)を暗号文とする。
復号化は、受け取った暗号文に対して、
m = c2(c1^x)^(-1)
とする。ここで、平文m1、m2∈Gでの暗号文は、
Enc(pk, m1)=(g^r1, m1・h^r1)、
Enc(pk, m2)=(g^r2, m2・h^r2
となり、これら二つの暗号文を掛け合わると、
(g^(r1+r2), (m1×m2)h^(r1+r2))=Enc(pk, m1×m2)
となり、
Enc(pk, (m1×m2))=Enc(pk, m1)×Enc(pk, m2)
が成り立つ。
RSA暗号では、適当な正整数eを選択し、大きな2つの素数{p ,q}を生成し、その積n (=pq)をeとともに公開鍵{e, n}とし、d= e^(-1) ( mod(p-1)(q-1) )を秘密鍵とする。平文mの暗号化は、
c=m^e mod n
で与えられ、復号化は、
m=c^d mod n
で与えられる。二つの平文m1、m2∈Z の二つの暗号文
Enc(pk, m1)=m1^e mod n、
Enc(pk, m2)=m2^e mod n
を掛け合わると、
(m1×m2)^e mod n=Enc(pk, (m1×m2))となり、
Enc(pk, (m1×m2))=Enc(pk, m1)×Enc(pk, m2)が成り立つ。
図20を参照すると、第4の実施形態において、照合要求装置120から照合要求を受けた照合装置140の登録データ取得部141は、記憶装置130から登録識別子idに関連して記憶された暗号データ{Enc(pk, (2xi-1))} (i=1,…,n)を受信する。
照合装置140の乱数生成部142は、乱数a,bを生成する。
照合装置140の暗号データ生成部143は乱数bi(i=1,…,n)を公開鍵pkで暗号化した暗号データEnc(pk, bi) (i=1,…,n)を照合要求装置120に送信する(S45)。照合要求装置120に送信する暗号データは登録データ(テンプレート)に依存しない。このため、1:N認証を行うことができる。
照合要求装置120のレスポンス生成部123は、照合ベクトルY=[y1,…,yn]の各要素{yi}の演算結果(2yi-1)を公開鍵pkで暗号化しEnc(pk, (2yi-1) ) (i=1,…,n)を生成する。照合要求装置120のレスポンス生成部123は、照合装置140から受信したEnc(pk, bi)と、Enc(pk, (2yi-1)) (i=1,…,n)を暗号化したまま乗算して(乗法準同暗号)、Enc(pk, bi(2yi-1) )を生成し、照合装置140に送信する。
照合装置140は、乱数ai(i=1,…,n)を公開鍵pkで暗号化した暗号データEnc(pk, ai) (i=1,…,n)を求め、Enc(pk, (2xi-1))と、照合要求装置120からのEnc(pk, bi(2yi-1) )より乗法準同型を用いて、
Enc(pk, aibi(2xi-1)(2yi-1)) (i=1,…,n) ・・・(118)
を生成する。
ハッシュ値生成部148は、乱数a,b(i=1,…,n)の積ab(mod q)のハッシュ値
H(aibi) ・・・(119)
を計算する。
クエリ生成部145は、暗号データEnc(pk, aibi (2xi-1) (2yi-1))(i=1,…,n)とハッシュ値H(ab)(i=1,…,n)を含むクエリを生成し、通信部146を介して検証装置150に送信する(S47)。Hは一方向性ハッシュ関数である。なお、暗号データEnc(pk, aibi (2xi-1) (2yi-1))(i=1,…,n)を送信する順番として、iに関してシャフルして送信するようにしてもよい。
検証装置150のクエリ検証部153の復号部1531は、秘密鍵skを用いて暗号データEnc(pk, aaibi (2xi-1) (2yi-1)) (i=1,…,n)を復号する。
i=Dec(sk, Enc(pk, aibi (2xi-1) (2yi-1)) (i=1,…,n) ・・・(120)
を計算する。
さらに検証装置150のクエリ検証部153のハッシュ値生成部1532は、ziのハッシュ値H(zi)(i=1,…,n)を計算する。
検証装置150のクエリ検証部153の不一致判定部1533は、計算したH(zi)(i=1,…,n)が照合装置140から受信したハッシュ値H(ab)と不一致のiの個数がt以下であるか否かを判定する。
検証結果生成部154は、不一致の個数がt以下であれば、受理、それ以外の場合、不受理とする。
=ab(2xi-1)(2yi-1) ・・・(121)
yiが0又は1であり、yi=xiの場合、z=ab
yiが0又は1であり、yi≠xiの場合、z=-ab
yiが0、1以外の場合、zはab、-ab以外の値である。
したがって、
H(z)=H(ab) ・・・(122)
が成り立つときは、yi=xiであり、yi=0又は1の値である。これ以外(ハッシュ値H(z)≠H(ab))の場合、yiは0又は1であるがxiと異なるか、yiが0、1以外の値の場合である。このような、xiと不一致の個数がt以下であれば、受理する。
図26は、第4の実施形態の動作シーケンスを説明する図である。登録要求装置110は、登録ベクトルX=[x1, ….,xn]を抽出し、要素{xi}(i=1,…,n)の演算結果(2xi-1)の暗号データEnc(pk, (2xi-1)) (i=1,…,n)を記憶装置130に送信し(S41)、記憶装置130は、登録識別子Idに関連して記憶する。
照合要求装置120から照合要求を受けると(S42)、照合装置140は、記憶装置130からIdに関連して記憶された暗号データEnc(pk, (2xi-1)) (i=1,…,n)を受信する(S43)。
照合装置140は乱数a,bを生成する(S44)。照合装置140は乱数bi(i=1,…,n)の暗号データEnc(pk, bi) (i=1,…,n)を照合要求装置120に送信する(S45)。
照合要求装置120は、照合用の二値ベクトルY=[y1, ….,yn]を抽出し、各要素{yi}の演算結果(2yi-1)の暗号データEnc(pk, (2yi-1)) (i=1,…,n)を求め、照合装置140から受け取ったEnc(pk, bi) (i=1,…,n)と、Enc(pk, (2yi-1)) (i=1,…,n)から、Enc(pk, bi(2yi-1)) (i=1,…,n)を求め照合装置140に送信する(S46)。
照合装置140は、照合要求装置120からのEnc(pk, bi(2yi-1)) (i=1,…,n)と、記憶装置130からのEnc(pk, (2xi-1))と乱数ai,bi,から、Enc(pk, aibi (2xi-1) (2yi-1)) (i=1,…,n)を生成し、ハッシュ値H(aibii)を生成し、検証装置150に送信する(S47)。
検証装置150は、秘密鍵skを用いて暗号データをEnc(pk, aibir (2xi-1) (2yi-1))の復号結果ziから、ハッシュ値H(zi)を計算する(S48A)。
検証装置150は、計算したH(zi)が照合装置140から受信したハッシュ値H(ab)と不一致のiの個数がt以下であるか否かを判定する(S48B)。不一致の個数がt以下であれば、受理、それ以外の場合、不受理とする。検証装置150は検出結果(受理・不受理)を出力する(S49)。
<変形例1>
前記第3の実施形態の変形例3と同様、第4の実施形態においても、登録ベクトルX=[xi,…,xn]の各要素{xi}(i=1,…,n)がxi∈{0,1}であるか否かのチェックを行う機能を実装するようにしてもよい。第4の実施形態の変形例の構成は、図24の記憶装置130と検証装置150の構成とされる。第4の実施形態の変形例1では、例えばRSA暗号、ElGamal暗号等、乗法準同型号方式を用いてもよい。
図27は、変形例の登録フェーズの動作シーケンスを説明する図である。なお、図27は、図25とシーケンスは同じであるが、乗法準同型号方式を用いている点で暗号データの演算処理が相違している。登録要求装置110は、登録用の二値ベクトル
Figure 0007127543000136
から、(2x1-1),…, (2xn-1)を計算し、公開鍵pkで暗号化したデータ(第1のテンプレート)
Enc(pk, (2x1-1)),…,Enc(pk, (2xn-1)) ・・・(123)
を記憶装置130に送信する(S41)。
記憶装置130の乱数生成部136は、乱数c1,…,cnを生成する(S41A)。
記憶装置130の暗号データ生成部137は、乱数c1,…,cnを公開鍵pkで暗号化した円号データEnc(pk,ci) (i=1,…,n)と、Enc(pk, (2xi-1))(i=1,…,n)から、
Enc(pk, c1(2x1-1)),…,Enc(pk, cn(2xn-1)) ・・・(124)
を生成する。
記憶装置130のハッシュ値生成部138は、ハッシュ関数Hを用いてハッシュ値H(c1^2),…,H(cn^2)を計算する。記憶装置130は、通信部135を介して、Enc(pk, c1(2x1-1)),…,Enc(pk, cn(2xn-1))とハッシュ値H(c1^2),…,H(cn^2)を検証装置150に送信する(S41B)。
検証装置150の復号部1561は、秘密鍵skを用いて、Enc(pk, cn(2xi-1)) (i=1,…,n)を復号する(S41C)。
zi=Dec(sk,Enc(pk, ci(2xi-1)))=ci(2xi-1) (i=1,…,n) ・・・(125)
そして、検証装置150のハッシュ値生成部1562はハッシュ値H(zi^2)(i=1,…,n)を求める。
検証装置150の一致判定部1563は、i=1,…,nのすべてについて
H(zi^2)=H(ci^2) ・・・(126)
であれば、受理する。
H(zi^2)=H(ci^2)を満たさないiが一つでもあれば、検証装置150の一致判定部1563は不受理とする(S41D)。
検証装置150は検証結果を記憶装置130に通知する(S41E)。
記憶装置130は、検証装置150での検証結果が「受理」の場合(S41FのYes分岐)、Enc(pk, (2x1-1)),…,Enc(pk, (2xn-1))を登録識別子idと関連付けて登録データ記憶部133に記憶する(S41G)。
なお、復号部1561、ハッシュ値生成部1562は、クエリ検証部153の復号部1531、ハッシュ値生成部1532を共通に用いてもよい。
zi=ci(2xi-1) (i=1,…,n)は、
iが0のとき、-ci
iが1のとき、ci
・・・(127)
である。
したがって、
Figure 0007127543000137
の場合、ハッシュ値
H(zi^2)=H(ci^2) ・・・(128)
が成り立つ。
すなわち、H(z^2)=H(c^2),…,H(z^2)=H(c^2)が成立する場合は、受理される。この場合、記憶装置130は、Enc(pk, (2x1-1)),…,Enc(pk, (2xn-1))を登録識別子idと関連付けて登録データ記憶部に記憶する。一方、xiが0又は1でない場合、zi=ci(2xi-1) は+ci、-ci以外の値となり、
Figure 0007127543000138
となり、不受理とする。
<変形例2>
第4の実施形態において、例えば検証装置150が、図26のステップS45及びS46における通信内容を手に入れられる場合、秘密鍵を用いて照合用の二値ベクトルの各要素{yi}(i=1,…,n)の値を知ることができてしまう。そこで、第4の実施形態の変形例2では、例えば、非特許文献1に記載の方法と同様の方法を用いて、これを防ぐ。すなわち、照合装置140と照合要求装置120の間の通信を、検証装置150の持つ鍵とは異なる鍵に対応する暗号文とする。
例えば、ElGamal暗号の秘密鍵をx、公開鍵を(h, g, q)、平文mに対する暗号文を(c1, c2)とする。{0,1,…,q-1}からランダムに選んだ乱数tに対して計算される(c1^t, c2)は、秘密鍵x/t、公開鍵(h, g^t, q)に対応する平文mの暗号文である。ElGamal暗号を用いる場合、照合装置140は、照合要求装置120から照合要求を受け取ると(S42)、そのたびに異なる乱数tを生成し、ステップS45では、公開鍵(h, g^t, q)に対応する暗号文及び公開鍵(h, g^t, q)を送付する。
照合要求装置120は、照合装置140から受け取った公開鍵(h,g^t,q)に対応する暗号文を照合装置140に送付する(S46)。
照合装置140は、tを用いることにより、ステップS46で照合要求装置120から受け取った暗号文を元の公開鍵(h,g,q)に対応する暗号文に戻すことができる。
なお、第4の実施形態において、暗号化方式は、RSA暗号、ElGamal暗号等の乗法準同型暗号に制限されるものでなく、加法と乗法に関して準同型性を有する公開鍵暗号方式(Somewhat準同型(somewhat homomorphic encryption scheme)、Gentryによるイデアル格子を利用した完全準同型暗号(例えばC.Gentryによる"Fully Homomorphic Encryption Using Ideal Lattices," In Symposium on Theroy of Computing -STOC 2009, ACM, 169-178, 2009等が参照される)を用いてもよい。
<第5の実施形態>
図28に示すように、照合装置140は、コンピュータシステムに実装してもよい。図28を参照すると、サーバコンピュータ等のコンピュータシステム10は、プロセッサ(CPU(Central Processing Unit)、データ処理装置)11、半導体メモリ(例えばRAM(Random Access Memory)、ROM(Read Only Memory)、又は、EEPROM(Electrically Erasable and Programmable ROM)等)、HDD(Hard Disk Drive)、CD(Compact Disc)、DVD(Digital Versatile Disc)等の少なくともいずれかを含む記憶装置12と、表示装置13と、通信インタフェース14を備えている。通信インタフェース14は、登録要求装置110、照合要求装置120、記憶装置130、検証装置150と通信接続する。記憶装置12に、上記した各実施形態で説明した照合装置140の機能を実現するプログラムを記憶しておき、プロセッサ11が、該プログラムを読み出して実行することで、上記した各実施形態の照合装置140を実現するようにしてもよい。あるいは、記憶装置12と、例えば図5等の記憶装置130の登録データ記憶部133を同一の記憶装置とし、プロセッサ11で、図5等の記憶装置130の識別子管理部131、登録データ生成部132、登録データ検索部134の処理をさらに実行するようにしてもよい。コンピュータシステム10はクラウドサービスとしてクライアントに提供するクラウドサーバとして実装するようにしてもよい。
前記各実施形態の登録要求装置110も、図28に示すように、コンピュータシステム10に実装してもよい。また前記各実施形態の照合要求装置120も、コンピュータシステム10として実装してもよい。登録要求装置110と照合要求装置120は別々のコンピュータシステムであってもよいし、登録と照合を同一箇所で行う構成としてもよい。記憶装置12に、図5等の登録要求装置110、照合要求装置120の機能を実現するプログラムを記憶しておき、プロセッサ11が、該プログラムを読み出して実行することで、上記した各実施形態の登録要求装置110、照合要求装置120を実現するようにしてもよい。登録要求装置110、照合要求装置120のプロセッサ11は、インタフェース14を介して不図示のセンサから指紋等の生体情報を取得し、取得した情報から二値のベクトルX、Yを抽出するようにしてもよい。なお、前記各実施形態の検証装置150も、図28と同様、コンピュータ上で実行されるプログラムで実現してもよいことは勿論である。
なお、上記の特許文献1-5、非特許文献1の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素(各請求項の各要素、各実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ乃至選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。
上記した実施形態は、以下のように付記される(ただし、以下に制限されない)。
(付記1)
乱数を生成し、暗号鍵で暗号化されている第1の二値ベクトルに関する第1の値を暗号化したまま前記乱数との演算で得た暗号データ、又は、生成した前記乱数を前記暗号鍵で暗号化した暗号データを照合要求装置に送信する照合装置と、
前記照合装置からの前記暗号データを暗号化したまま照合用の第2の二値ベクトルの要素との演算で得た暗号データを前記照合装置に送信する前記照合要求装置と、
を備え、
前記照合装置は、前記暗号鍵で暗号化されている前記第1の二値ベクトルに関する第2の値と、前記照合要求装置から送信された前記暗号データと、前記乱数とに基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の程度を検証するための、暗号データ、又は、前記暗号データと補助データを生成し、クエリとして検証装置に送信し、
前記照合装置から送信された前記クエリの前記暗号データを復号鍵で復号した値、又は、前記復号した値と前記クエリの前記補助データに基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の要素の個数が予め定められた個数以下であるか否かを判定する前記検証装置を備えた、ことを特徴とする照合システム。
(付記2)
登録用の前記第1の二値ベクトルの各要素と前記各要素に対する所定の演算結果の少なくとも一方を前記暗号鍵で暗号化した暗号データを送信する登録要求装置と、
前記登録要求装置から送信された前記第1の二値ベクトルの各要素と前記各要素に対する前記所定の演算結果の少なくとも一方の暗号データを受け、登録データとして記憶する記憶装置と、
をさらに備えたことを特徴とする付記1記載の照合システム。
(付記3)
照合要求装置からの照合要求に対して、乱数を生成し、暗号鍵で暗号化されている第1の二値ベクトルの各要素に関する第1の演算値を前記暗号鍵で暗号化した第1の暗号データの各々に、前記乱数を演算して得た第2の暗号データを求め、照合要求装置に送信する照合装置と、
前記照合装置からの前記第2の暗号データの各々を暗号化したまま、照合用の第2の二値ベクトルの各要素をスカラー演算した値の総和である第3の暗号データを求め、前記照合装置に送信する前記照合要求装置と、
を備え、
前記照合装置は、
前記照合要求装置から送信された前記第3の暗号データに含まれる前記乱数を削除した第4の暗号データと、前記第1の二値ベクトルの各要素に関する第2の演算値を前記暗号鍵で暗号化した第5の暗号データとを暗号化したまま加算することで、前記第1、第2の二値ベクトルの距離の第6の暗号データを求め、クエリとして検証装置に送信し、
前記検証装置は、
前記照合装置から送信された前記クエリの前記第6の暗号データを前記復号鍵で復号して得た前記第1、第2の二値ベクトルの距離と予め定められた閾値との比較に基づき、受理、不受理を出力する、ことを特徴とする照合システム。
(付記4)
前記第1の二値ベクトルに関する前記第1の演算値を前記暗号鍵で暗号化した前記第1の暗号データと、前記第1の二値ベクトルの各要素に関する前記第2の演算値を前記暗号鍵で暗号化した前記第5の暗号データと、を生成し、前記第1の暗号データ及び前記第5の暗号データを記憶装置に送信する登録要求装置と、
前記登録要求装置から前記第1の暗号データと前記第5の暗号データを受け、登録データとして記憶し、さらに、前記第1の暗号データと前記第5の暗号データを前記照合装置に供給する前記記憶装置と、
を備えたことを特徴とする付記3に記載の照合システム。
(付記5)
前記第1の二値ベクトルの各要素を前記暗号鍵で暗号化した暗号データを記憶装置に送信する登録要求装置と、
前記登録要求装置から前記第1の二値ベクトルの各要素の暗号データを受け、前記第1の二値ベクトルの各要素に関する第1の演算値と第2の演算値を計算して前記第1の暗号データ及び前記第5の暗号データを求め、登録データとして記録し、
さらに、前記第1の暗号データと前記第5の暗号データを前記照合装置に供給する前記記憶装置を備えた、ことを特徴とする付記3に記載の照合システム。
(付記6)
前記第1の二値ベクトルの各要素を暗号鍵で暗号化して記憶装置に送信する登録要求装置と、
前記第1の二値ベクトルの各要素の暗号データを記録する前記記憶装置と、
を備え、
前記照合装置は、
前記第1の二値ベクトルの各要素の暗号データを暗号化したまま、前記第1の二値ベクトルの各要素に関する第1、第2の演算値を計算して前記第1及び第5の暗号データとして求める、ことを特徴とする付記3に記載の照合システム。
(付記7)
照合要求装置から照会要求を受けると、暗号鍵で暗号化されている第1の二値ベクトルに対して予め設定された第1の変換を施してなる第1の変換値を前記暗号鍵で暗号化した第1の暗号データに対して、生成した乱数を演算して得た第2の暗号データを求め、照合要求装置に送信する照合装置と、
第2の二値ベクトルに予め設定された第2の変換を施してなる第2の変換値を、前記照合装置から送信された前記第2の暗号データに演算することで、前記第1の変換値に前記乱数を演算した値に前記第2の変換値を乗じた暗号データを求め、前記暗号データの総和を第3の暗号データとして前記照合装置に送付する照合要求装置と、
を備え、
前記照合装置は、
前記照合要求装置から送信された前記第3の暗号データに含まれる前記乱数を削除して、前記第1の変換値と第2の変換値を乗算した値の総和である第4の暗号データを求め、前記第4の暗号データに、前記第1の二値ベクトルの各要素の総和を前記暗号鍵で暗号化した第5の暗号データとを暗号化したまま加算することで、前記第1、第2の二値ベクトルの距離の第6の暗号データを求め、クエリとして検証装置に送信し、
前記検証装置は、
前記照合装置から送信された前記クエリの前記第6の暗号データを前記復号鍵で復号して得た前記第1、第2の二値ベクトルの距離と予め定められた閾値との比較に基づき、受理、不受理を出力する、ことを特徴とする照合システム。
(付記8)
前記登録用のn次元の前記第1の二値ベクトルに前記第1の変換を施してn個の前記第1の変換値を求め、n個の前記第1の変換値を暗号鍵で暗号化した前記第1の暗号データを生成し、前記第1の暗号データと、登録用のn次元の前記第1の二値ベクトルの各要素の暗号データを記憶装置に送付する登録要求装置と、
前記第1の二値ベクトルの要素の総和を暗号化した前記第5の暗号データを生成し、
前記第1、第5の暗号データを登録データとして記録し、前記第1、第5の暗号データを前記照合装置に送信する前記記憶装置と、
を備えた、ことを特徴とする付記7に記載の照合システム。
(付記9)
登録用のn次元の前記第1の二値ベクトルの各要素の暗号データを記憶装置に送付する登録要求装置と、
前記第1の二値ベクトルの各要素の暗号データを暗号化したまま、前記第1の二値ベクトルに前記第1の変換を施したn個の前記第1の変換値の暗号データを求める手段と、
前記第1の二値ベクトルの要素の総和を暗号化した第5の暗号データを生成する手段を備え、前記n個の第1の変換値の前記第1の暗号データと、前記第1の二値ベクトルの要素の総和を暗号化した前記第5の暗号データを記録する前記記憶装置と、
を備え、
前記照合装置は、
前記照合要求装置から照会要求を受けると、前記記憶装置からn個の前記第1の変換値の暗号データを取得し、乱数を生成し、前記乱数を前記n個の第1の変換値の前記第1の暗号データにそれぞれ演算して第2の暗号データを求め、前記照合要求装置に送信し、
前記照合要求装置は、
前記第2の二値ベクトルに前記第2の変換を施してなる前記第2の変換値を求め、前記各第2の変換値を前記照合装置から受信した前記第2の暗号データの各々に演算して、前記第1の変換値に前記乱数を演算した値に前記第2の変換値を乗じた暗号データを求め、前記暗号データの総和の第3の暗号データを前記照合装置に送付し、
前記照合装置は、
前記照合要求装置から送信された前記第3の暗号データから、前記乱数を削除して前記第1の変換値と前記第2の変換値を乗算した値の総和の前記第4の暗号データを求め、前記第4の暗号データと前記記憶装置に登録された前記第5の暗号データを加算した第6の暗号データを求め、前記検証装置に送信する、ことを特徴とする付記7に記載の照合システム。
(付記10)
前記照合装置は、
前記第1の二値ベクトルの要素を暗号化したまま前記要素の総和の暗号データを生成し、前記第1の二値ベクトルの各要素の暗号データを暗号化したまま、前記第1の二値ベクトルに前記第1の変換を施したn個の前記第1の変換値の第1の暗号データを求める手段と、
前記第1の二値ベクトルの要素の総和を暗号化した第5の暗号データを生成する手段を備え、
乱数を生成し、前記乱数を前記n個の第1の変換値の前記第1の暗号データにそれぞれ演算して前記第2の暗号データを求め、前記照合要求装置に送信し、
前記照合要求装置は、
前記第2の二値ベクトルに前記第2の変換を施してなるn個の前記第2の変換値を求め、前記各第2の変換値を、前記第2の暗号データの各々に演算し、前記第1の変換値に前記乱数を演算した値に前記第2の変換値を乗じた暗号データを求め、前記暗号データの総和の第3の暗号データを前記照合装置に送付し、
前記照合装置は、
前記照合要求装置から送信された前記第3の暗号データから、前記乱数を削除して、前記第1の変換値と第2の変換値を乗算した値の総和の第4の暗号データを求め、前記第4の暗号データと前記記憶装置に登録された前記第5の暗号データを加算した第6の暗号データを求め、前記検証装置に送信する、ことを特徴とする付記7に記載の照合システム。
(付記11)
前記照合装置は、
前記照合要求装置から照会要求を受けると、前記第1の二値ベクトルの各要素の暗号データを取得し、
前記第1の二値ベクトルの要素の総和を暗号化した第5の暗号データを生成する手段と、
前記第1の変換を構成する第1群の変換係数を生成する手段と、
前記第1の二値ベクトルの各要素の暗号データを暗号化したまま、前記第1の二値ベクトルに前記第1の変換を施してなるn個の前記第1の変換値を求める手段と、
を備え、さらに乱数を生成し、前記乱数を、前記n個の第1の変換値からなる前記第1の暗号データにそれぞれ演算して前記第2の暗号データを求め、前記照合要求装置に送信し、
さらに、前記第1群の変換係数の生成に用いた、前記第2の変換を構成する第2群の変換係数を前記照合要求装置に送信し、
前記照合要求装置は、
前記照合装置からの第2群の変換係数で規定される前記第2の変換を前記第2の二値ベクトルに施してなる前記第2の変換値を求め、前記第2の変換値を前記照合装置から受信した前記第2の暗号データの各々に演算して、前記第1の変換値に前記乱数を演算した値に前記第2の変換値を乗じた暗号データを求め、前記暗号データの総和からなる第3の暗号データを前記照合装置に送付し、
前記照合装置は、
前記照合要求装置から送信された前記第3の暗号データから、前記乱数を削除し、前記第1の変換値と第2の変換値を乗算した値の総和の暗号データを求め、前記総和の暗号データと前記第5の暗号データを加算した第6の暗号データを求め、前記検証装置に送信する、ことを特徴とする付記7に記載の照合システム。
(付記12)
前記登録用のn次元の前記第1の二値ベクトルの各要素の暗号データを生成して記憶装置に送付する登録要求装置と、
前記登録要求装置からの前記第1の二値ベクトルの各要素の暗号データを記憶する、ことを特徴とする付記9又は10記載の照合システム。
(付記13)
照合要求装置から照合要求を受けると、第1乃至第3の乱数を生成し、前記第1の乱数を前記暗号鍵で暗号化した第1の暗号データを前記照合要求装置に送信する照合装置と、 照合用の第2の二値ベクトルの各要素の第1の演算値と、前記第1の乱数の暗号データの第1の演算結果である第2の暗号データを求め、前記照合装置に送信する照合要求装置と、
を備え、
前記照合装置は、
前記照合要求装置からの前記第2の暗号データに前記第2の乱数を演算した第3の暗号データと、前記照合要求装置は、
第1の二値ベクトルの各要素の第1の演算値の暗号データと前記第3の乱数との演算結果である第4の暗号データと、前記生成した第1乃至第3の乱数に基づくハッシュ値を(検証用の補助データ)を検証装置に送信し、
前記検証装置は、
前記照合装置からの前記第3、第4の暗号データを復号鍵で復号し、復号した値を乗算した値のハッシュ値を計算し、前記ハッシュ値と、前記照合装置から送信されたハッシュ値との不一致の個数が予め定められた所定値以下であるか否かを判定し、不一致の個数が所定値以下であれば、受理、それ以外の場合、不受理とする、ことを特徴とする照合システム。
(付記14)
照合要求装置から照合要求を受けると、第1、第2の乱数を生成し、前記第1の乱数を前記暗号鍵で暗号化した第1の暗号データを前記照合要求装置に送信する照合装置と、
照合用の第2の二値ベクトルの各要素の第1の演算値と、前記第1の乱数の暗号データの第1の演算結果である第2の暗号データを求めて、前記照合装置に送信する前記照合要求装置と、
を備え、
前記照合装置は、
前記照合要求装置からの前記第2の暗号データと、前記暗号鍵で暗号化されている登録用の第1の二値ベクトルの各要素の第1の演算値の暗号データと前記第2の乱数の演算結果である第3の暗号データと、前記生成した第1及び第2乱数に基づくハッシュ値(検証用の補助データ)とを検証装置に送信し、
前記検証装置は、
前記照合装置からの前記第3の暗号データを復号鍵で復号し、復号した値のハッシュ値を計算し、前記ハッシュ値と、前記照合装置から送信されたハッシュ値との不一致の個数が予め定められた所定値以下であるか否かを判定し、不一致の個数が所定値以下であれば、受理、それ以外の場合、不受理とする、ことを特徴とする照合システム。
(付記15)
前記第1の二値ベクトルの各要素の第1の演算値を暗号鍵で暗号化した暗号データを前記記憶装置に送信する登録要求装置と、
前記登録要求装置から送信された暗号データを記憶する前記記憶装置と、
を備えた、ことを特徴とする付記13又は14に記載の照合システム。
(付記16)
前記第1の二値ベクトルの各要素の第1の演算値を暗号鍵で暗号化した暗号データを前記記憶装置に送信する登録要求装置と、
前記第1の二値ベクトルの各要素の前記第1の演算値の暗号データに対して乱数をそれぞれ生成する手段と、
前記各乱数のハッシュ値を生成する手段と、
を備え、
前記各乱数を演算した暗号データと前記ハッシュ値を前記検証装置に送信する手段を
備えた記憶装置と、
を備え、
前記検証装置は、前記記憶装置から送信された各暗号データを前記復号鍵で復号し、復号した各値のハッシュ値を求め、前記各ハッシュ値が、前記記憶装置から送信された対応するハッシュ値と一致するか判定し、不一致のものが一つでもあれば不受理とし、全て一致する場合、受理とし
前記記憶装置は、前記検証装置での検証結果が受理の場合、前記第1の演算値の暗号データを記憶する、ことを特徴とする付記13又は14に記載の照合システム。
(付記17)
(a)照合装置が、乱数を生成し、暗号鍵で暗号化されている第1の二値ベクトルに関する第1の値を暗号化したまま前記乱数との演算で得た暗号データ、又は、生成した前記乱数を前記暗号鍵で暗号化した暗号データを照合要求装置に送信する工程と、
(b)前記照合要求装置が、前記照合装置からの前記暗号データを暗号化したまま照合用の第2の二値ベクトルの要素との演算により得た暗号データを、前記照合装置に送信する工程と、
(c)前記照合装置が、暗号鍵で暗号化されている前記第1の二値ベクトルに関する第2の値と、前記照合要求装置から送信された前記暗号データと、前記乱数とに基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の程度を検証するための、暗号データ、又は、前記暗号データと補助データを生成し、前記クエリとして検証装置に送信する工程と、
(d)前記検証装置が、前記照合装置から送信された前記クエリの前記暗号データを復号鍵で復号した値、又は、前記復号した値と前記クエリの前記補助データ、に基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の要素の個数が予め定められた個数以下であるか否かを判定する工程と、
を含む、ことを特徴とする照合方法。
(付記18)
前記工程(a)の前に、
(e)登録要求装置が、登録用の前記第1の二値ベクトルの各要素と前記各要素に対する演算結果の少なくとも一方を前記暗号鍵で暗号化した暗号データを記憶装置に送信する工程と、
(f)前記記憶装置が、前記登録要求装置から送信された前記第1の二値ベクトルの各要素と前記各要素に対する演算結果の少なくとも一方の暗号データを受け、登録データとして記憶する工程と、
をさらに含む、ことを特徴とする付記17に記載の照合方法。
(付記19)
(a)照合装置は、照合要求装置からの照合要求に対して、乱数を生成し、暗号鍵で暗号化されている第1の二値ベクトルの各要素に関する第1の演算値を前記暗号鍵で暗号化した第1の暗号データの各々に、前記乱数を演算して得た第2の暗号データを求め、前記照合要求装置に送信する工程と、
(b)前記照合要求装置は、前記照合装置から送信された前記第2の暗号データの各々に、照合用の第2の二値ベクトルの各値を演算した値の総和である第3の暗号データを求め、前記照合装置に送信する工程と、
(c)前記照合装置は、前記照合要求装置から送信された前記第3の暗号データに含まれる前記乱数を削除した第4の暗号データと、前記第1の二値ベクトルの各要素に関する第2の演算値を前記暗号鍵で暗号化した第5の暗号データとを暗号化したまま加算することで、前記第1、第2の二値ベクトルの距離の第6の暗号データを求め、検証装置に送信する工程と、
(d)前記検証装置は、前記第6の暗号データを前記復号鍵で復号し、復号結果の前記第1、第2の二値ベクトルの距離と予め定められた閾値との比較に基づき、受理、不受理を出力する、ことを特徴とする照合方法。
(付記20)
前記工程(a)の前に、
(e)登録要求装置が、前記第1の二値ベクトルに関する前記第1の演算値を前記暗号鍵で暗号化した前記第1の暗号データと、前記第1の二値ベクトルの各要素に関する前記第2の演算値を前記暗号鍵で暗号化した前記第5の暗号データと、を生成し、前記第1の暗号データ及び前記第5の暗号データを記憶装置に送信する工程と、
(f)前記記憶装置が、前記登録要求装置から前記第1の暗号データと前記第5の暗号データを受け、登録データとして記憶する工程と、
を含む、ことを特徴とする付記19に記載の照合方法。
(付記21)
前記工程(a)の前に、
(e)登録要求装置が、前記第1の二値ベクトルの各要素を前記暗号鍵で暗号化した暗号データを記憶装置に送信する工程と、
(f)前記記憶装置が、前記登録要求装置から前記第1の二値ベクトルの各要素の暗号データを受け、前記第1の二値ベクトルの各要素に関する第1の演算値及び第2の演算値を計算して前記第1の暗号データ及び前記第5の暗号データを求め、登録データとして記録する工程を含む、ことを特徴とする付記19に記載の照合方法。
(付記22)
前記工程(a)の前に、
(e)登録要求装置が、前記第1の二値ベクトルの各要素を暗号鍵で暗号化して記憶装置に送信する工程と、
(f)前記記憶装置が、前記第1の二値ベクトルの各要素の暗号データを記録する工程と、
を含み、
前記工程(a)において、
前記照合装置は、前記第1の二値ベクトルの各要素の暗号データを暗号化したまま、前記第1の二値ベクトルの各要素に関する第1、第2の演算値を計算して前記第1及び第5の暗号データとして求める、ことを特徴とする付記19に記載の照合方法。
(付記23)
(a)照合装置は、前記照合要求装置から照会要求を受けると、暗号化されている登録用の第1の二値ベクトルに予め設定された第1の変換を施してなる第1の変換値を前記暗号鍵で暗号化した第1の暗号データに対して、前記乱数を演算して得た第2の暗号データを求め、前記照合要求装置に送信する工程と、
(b)前記照合要求装置は、照合用の第2の二値ベクトルに第2の変換を施してなる第2の変換値を、前記照合装置から受信した前記第2の暗号データに演算することで、前記第1の変換値に前記乱数を演算した値に第2の変換値を乗じた暗号データを求め、前記暗号データの総和を第3の暗号データとして前記照合装置に送付する工程と、
(c)前記照合装置は、前記照合要求装置から送信された前記第3の暗号データに含まれる前記乱数を削除して、前記第1の変換値と第2の変換値を乗算した値の総和である第4の暗号データを求め、前記第4の暗号データに、前記第1の二値ベクトルの各要素の総和を前記暗号鍵で暗号化した第5の暗号データとを暗号化したまま加算することで、前記第1、第2の二値ベクトルの距離の第6の暗号データを求め、前記検証装置に送信する工程と、
(d)前記検証装置は、前記第6の暗号データを前記復号鍵で復号し、復号結果の前記第1、第2の二値ベクトルの距離と予め定められた閾値との比較に基づき、受理、不受理を出力する、ことを特徴とする照合方法。
(付記24)
前記工程(a)の前に、
(e)登録要求装置が、前記登録用のn次元の前記第1の二値ベクトルに前記第1の変換を施しn個の第1の変換値を求め、
前記n個の第1の変換値を暗号鍵で暗号化した第1の暗号データを記憶装置に送付する工程と、
(f)前記記憶装置が、前記第1の二値ベクトルの要素の総和を暗号化した第5の暗号データを生成し、
前記第1、第5の暗号データを登録データとして記録する工程とを含む、ことを特徴とする付記23に記載の照合方法。
(付記25)
前記工程(a)の前に、
(e)登録要求装置が、前記登録用のn次元の前記第1の二値ベクトルの各要素の暗号データを生成して記憶装置に送付する工程と、
(f)前記記憶装置が、前記第1の二値ベクトルの各要素の暗号データを暗号化したまま、前記第1の二値ベクトルに前記第1の変換を施したn個の前記第1の変換値の暗号データを求め、
前記第1の二値ベクトルの要素を暗号化したまま前記要素の総和を暗号化した第5の暗号データを生成し、
前記n個の第1の変換値の前記第1の暗号データと、前記第1の二値ベクトルの要素の総和を暗号化した前記第5の暗号データを記録する工程と、
を含み、
前記工程(a)において、
前記照合装置は、前記照合要求装置から照会要求を受けると、前記記憶装置からn個の前記第1の変換値の暗号データと、を取得し、乱数を生成し、前記乱数を前記n個の第1の変換値の暗号データにそれぞれ演算して第2の暗号データを求め、前記照合要求装置に送信し、
前記工程(b)において、
前記照合要求装置は、前記第2の二値ベクトルに前記第2の変換を施してなる前記第2の変換値を求め、前記各第2の変換値を前記照合装置から受信した前記第2の暗号データの各々にスカラー演算して、前記第1の変換値に前記乱数を演算した値に前記第2の変換値を乗じた暗号データを求め、前記暗号データの総和の第3の暗号データを前記照合装置に送付し、
前記工程(c)において、
前記照合装置は、前記照合要求装置から送信された前記第3の暗号データから、前記乱数を削除して、前記第1の変換値と前記第2の変換値を乗算した値の総和の前記第4の暗号データを求め、前記第4の暗号データと前記記憶装置に登録された前記第5の暗号データを加算した第6の暗号データを求め、前記検証装置に送信する、ことを特徴とする付記23に記載の照合方法。
(付記26)
前記工程(a)において、
前記照合装置が、前記第1の二値ベクトルの各要素の暗号データを暗号化したまま、前記第1の二値ベクトルに前記第1の変換を施したn個の前記第1の変換値の暗号データを求める工程と、
前記照合装置が、前記第1の二値ベクトルの要素の総和を暗号化した第5の暗号データを生成し、
乱数を生成し、前記乱数を前記n個の第1の変換値の前記第1の暗号データにそれぞれ演算して前記第2の暗号データを求め、前記照合要求装置に送信する工程と、
を含み、
前記工程(b)において、
前記照合要求装置は、前記第2の二値ベクトルに前記第2の変換を施してなるn個の前記第2の変換値を求め、前記各第2の変換値を、前記第2の暗号データの各々に演算し、前記第1の変換値に前記乱数を演算した値に前記第2の変換値を乗じた暗号データを求め、前記暗号データの総和の第3の暗号データを前記照合装置に送付し、
前記工程(c)において、
前記照合装置は、前記照合要求装置から送信された前記第3の暗号データから、前記乱数を削除して、前記第1の変換値と第2の変換値を乗算した値の総和の第4の暗号データを求め、前記第4の暗号データと前記記憶装置に登録された前記第5の暗号データを加算した値を求め、暗号化したハミング距離として前記検証装置に送信する、ことを特徴とする付記23に記載の照合方法。
(付記27)
前記工程(a)において、
前記照合装置は、前記照合要求装置から照会要求を受けると、前記第1の二値ベクトルの各要素の暗号データを取得する工程と、
前記第1の変換を構成する第1群の変換係数を生成する工程と、
前記第1の二値ベクトルの各要素の暗号データを暗号化したまま、前記第1の二値ベクトルに前記第1の変換を施してなるn個の前記第1の変換値を求める工程と、
さらに乱数を生成し、前記乱数を、前記n個の第1の変換値からなる前記第1の暗号データにそれぞれ演算して前記第2の暗号データを求め、前記照合要求装置に送信する工程と、
さらに、前記第1群の変換係数の生成に用いた、前記第2の変換を構成する第2群の変換係数を前記照合要求装置に送信する工程と、
を含み、
前記工程(b)において、
前記照合要求装置は、前記照合装置からの第2群の変換係数で規定される前記第2の変換を前記第2の二値ベクトルに施してなる前記第2の変換値を求め、前記第2の変換値を前記照合装置から受信した前記第2の暗号データの各々に演算して、前記第1の変換値に前記乱数を演算した値に前記第2の変換値を乗じた暗号データを求め、前記暗号データの総和からなる第3の暗号データを前記照合装置に送付し、
前記工程(c)において、
前記照合装置は、前記照合要求装置から送信された前記第3の暗号データから、前記乱数を削除し、前記第1の変換値と第2の変換値を乗算した値の総和の暗号データを求め、前記総和の暗号データと前記第1の二値ベクトルの各要素に関する第1の演算値を前記暗号鍵で暗号化した前記第5の暗号データを加算した第6の暗号データを前記検証装置に送信する、ことを特徴とする付記23に記載の照合方法。
(付記28)
前記工程(a)の前に、
(e)登録要求装置が、前記登録用のn次元の前記第1の二値ベクトルの各要素の暗号データを生成して記憶装置に送付する工程と、
(f)前記記憶装置が、前記登録要求装置からの前記第1の二値ベクトルの各要素の暗号データを記憶する工程と、
を含む、ことを特徴とする付記26又は27に記載の照合方法。
(付記29)
(a)照合装置は、照合要求装置から照合要求を受けると、第1乃至第3の乱数を生成し、前記第1の乱数を前記暗号鍵で暗号化した第1の暗号データを前記照合要求装置に送信する工程と、
(b)前記照合要求装置は、照合用の第2の二値ベクトルの各要素の第1の演算値と、前記第1の乱数の暗号データの第1の演算結果である第2の暗号データを求め、前記照合装置に送信する工程と、
(c)前記照合装置は、前記照合要求装置からの前記第2の暗号データに前記第2の乱数を演算した第3の暗号データと、前記暗号鍵で暗号化されている登録用の第1の二値ベクトルの各要素の演算結果である暗号データと前記第3の乱数との演算結果である第4の暗号データと、前記生成した第1乃至第3の乱数に基づくハッシュ値(検証用の補助データ)を検証装置に送信する工程と、
(d)前記検証装置は、前記照合装置からの前記第3、第4の暗号データを復号鍵で復号し、復号した値を乗算した値のハッシュ値を計算し、前記ハッシュ値が、前記照合装置から受信したハッシュ値と不一致の個数が予め定められた所定値以下であるか否かを判定し、不一致の個数が所定値以下であれば、受理、それ以外の場合、不受理とする、ことを特徴とする照合方法。
(付記30)
(a)照合装置は、照合要求装置から照合要求を受けると、第1、第2の乱数を生成し、前記第1の乱数を前記暗号鍵で暗号化した第1の暗号データを前記照合要求装置に送信する工程と、
(b)前記照合要求装置は、照合用の第2の二値ベクトルの各要素の第1の演算値と、前記第1の乱数の暗号データの第1の演算結果である第2の暗号データを求めて、前記照合装置に送信する工程と、
(c)前記照合装置は、前記照合要求装置からの前記第2の暗号データと、前記暗号鍵で暗号化されている登録用の第1の二値ベクトルの各要素の演算結果である第3の暗号データと、前記第2の乱数の演算結果である第4の暗号データと、前記生成した第1及び第2乱数に基づくハッシュ値(検証用の補助データ)とともに検証装置に送信する工程と、
(d)前記検証装置は、前記照合装置からの前記第4の暗号データを復号鍵で復号し、復号した値のハッシュ値を計算し、前記ハッシュ値が、前記照合装置から受信したハッシュ値と不一致の個数が予め定められた所定値以下であるか否かを判定し、不一致の個数が所定値以下であれば、受理、それ以外の場合、不受理とする、ことを特徴とする照合方法。
(付記31)
前記工程(a)の前に、
(e)登録要求装置が、前第1の二値ベクトルの各要素の第1の演算値を暗号鍵で暗号化した暗号データを記憶装置に送信する工程と、
(f)前記記憶装置が、前記第1の二値ベクトルの各要素の前記第1の演算値の暗号データに対して乱数をそれぞれ生成する工程と、
(g)前記記憶装置が、前記各乱数のハッシュ値を生成する工程と、
(h)前記記憶装置が、前記各乱数を演算した暗号データと前記ハッシュ値を前記検証装置に送信する工程と、
(i)前記検証装置は、前記記憶装置から送信された各暗号データを前記復号鍵で復号し、復号した各値のハッシュ値を求め、前記各ハッシュ値が、前記記憶装置から送信された対応するハッシュ値と一致するか判定し、不一致のものが一つでもあれば不受理とし、全て一致する場合、受理とする工程と、
(j)前記記憶装置は、前記検証装置での検証結果が受理の場合、前記第1の演算値の暗号データを記憶する工程と、
を含む、ことを特徴とする付記29又は30に記載の照合方法。
(付記32)
乱数を生成し、暗号鍵で暗号化されている第1の二値ベクトルに関する第1の値を暗号化したまま前記乱数との演算で得た暗号データ、又は、生成した前記乱数を前記暗号鍵で暗号化した暗号データを照合要求装置に送信する手段と、
前記照合要求装置から、前記暗号データを暗号化したまま照合用の第2の二値ベクトルの要素との演算により得た暗号データを、受信する手段と、
暗号鍵で暗号化されている前記第1の二値ベクトルに関する第2の値と、前記照合要求装置から送信された前記暗号データと、前記乱数とに基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の程度を検証するための、暗号データ、又は、前記暗号データと補助データを生成し、前記クエリとして検証装置に送信する手段と、
復号鍵を用いて前記暗号データを復号した値、又は前記復号した値と前記補助データ、に基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の要素の個数が予め定められた個数以下であるか否かを判定する前記検証装置から、検証結果を受信する手段と、
を備えた、ことを特徴とする照合装置。
(付記33)
照合要求装置からの照合要求に対して、乱数を生成し、暗号鍵で暗号化されている第1の二値ベクトルの各要素に関する第1の演算値を前記暗号鍵で暗号化した第1の暗号データの各々に、前記乱数を演算して得た第2の暗号データを求め、照合要求装置に送信する手段と、
前記照合要求装置から、前記第2の暗号データの各々を暗号化したまま、照合用の第2の二値ベクトルの各要素をスカラー演算した値の総和である第3の暗号データを受信する手段と、
を備え、
前記照合要求装置から送信された前記第3の暗号データに含まれる前記乱数を削除した第4の暗号データと、前記第1の二値ベクトルの各要素に関する第2の演算値を前記暗号鍵で暗号化した第5の暗号データとを暗号化したまま加算することで、前記第1、第2の二値ベクトルの距離の第6の暗号データを求め、クエリとして検証装置に送信する手段と、
前記クエリの前記第6の暗号データを前記復号鍵で復号して得た前記第1、第2の二値ベクトルの距離と予め定められた閾値との比較に基づき、検証結果を出力する検証装置から検証結果を受信する手段と、
を備えたことを特徴とする照合装置。
(付記34)
照合要求装置から照会要求を受けると、暗号鍵で暗号化されている登録用の第1の二値ベクトルに対して予め設定された第1の変換を施してなる第1の変換値を前記暗号鍵で暗号化した第1の暗号データに対して、生成した乱数を演算して得た第2の暗号データを求め前記照合要求装置に送信する手段と、
前記照合要求装置から、照合用の第2の二値ベクトルに予め設定された第2の変換を施してなる第2の変換値を前記第2の暗号データに演算することで、前記第1の変換値に前記乱数を演算した値に前記第2の変換値を乗じた暗号データの総和である第3の暗号データを受信する手段と、
前記照合要求装置から送信された前記第3の暗号データに含まれる前記乱数を削除して、前記第1の変換値と第2の変換値を乗算した値の総和である第4の暗号データを求め、前記第4の暗号データに、前記第1の二値ベクトルの各要素の総和を前記暗号鍵で暗号化した第5の暗号データとを暗号化したまま加算することで、前記第1、第2の二値ベクトルの距離の第6の暗号データを求め、クエリとして検証装置に送信する手段と、
前記クエリの前記第6の暗号データを前記復号鍵で復号して得た前記第1、第2の二値ベクトルの距離と予め定められた閾値との比較に基づき、検証結果を出力する検証装置から検証結果を受信する手段と、
を備えたことを特徴とする照合装置。
(付記35)
照合要求装置から照合要求を受けると、第1乃至第3の乱数を生成し、前記第1の乱数を前記暗号鍵で暗号化した第1の暗号データを前記照合要求装置に送信する手段と、
前記照合要求装置から、照合用の第2の二値ベクトルの各要素の第1の演算値と、前記第1の乱数の暗号データの第1の演算結果である第2の暗号データを受信する手段と、
前記照合要求装置からの前記第2の暗号データに前記第2の乱数を演算した第3の暗号データと、登録用の第1の二値ベクトルの各要素の第1の演算値の暗号データと前記第3の乱数との演算結果である第4の暗号データと、前記生成した第1乃至第3の乱数に基づくハッシュ値(検証用の補助データ)とを検証装置に送信する手段と、
前記第3、第4の暗号データを復号鍵で復号し、復号した値を乗算した値のハッシュ値を計算し、前記ハッシュ値と、前記照合装置から送信されたハッシュ値との不一致の個数が予め定められた所定値以下であるか否かを判定し、検証結果として、不一致の個数が所定値以下であれば、受理、それ以外の場合、不受理とする検証装置から検証結果を受信する手段と、
を備えたことを特徴とする照合装置。
(付記36)
照合要求装置から照合要求を受けると、第1、第2の乱数を生成し、前記第1の乱数を前記暗号鍵で暗号化した第1の暗号データを前記照合要求装置に送信する手段と、
前記照合要求装置から、照合用の第2の二値ベクトルの各要素の第1の演算値と、前記第1の乱数の暗号データの第1の演算結果である第2の暗号データを受信する手段と、
前記照合要求装置からの前記第2の暗号データと、前記暗号鍵で暗号化されている登録用の第1の二値ベクトルの各要素の第1の演算値の暗号データと前記第2の乱数の演算結果である第3の暗号データと、前記生成した第1及び第2乱数に基づくハッシュ値(検証用の補助データ)とを検証装置に送信する手段と、
前記第3の暗号データを復号鍵で復号し、復号した値のハッシュ値を計算し、前記ハッシュ値と、前記照合装置から送信されたハッシュ値との不一致の個数が予め定められた所定値以下であるか否かを判定し、検証結果として、不一致の個数が所定値以下であれば、受理、それ以外の場合、不受理とする検証装置から検証結果を受信する手段と、
を備えたことを特徴とする照合装置。
(付記37)
照合装置のコンピュータに、
乱数を生成し、暗号鍵で暗号化されている第1の二値ベクトルに関する第1の値を暗号化したまま前記乱数との演算で得た暗号データ、又は、生成した前記乱数を前記暗号鍵で暗号化した暗号データを照合要求装置に送信する処理と、
前記照合要求装置から、前記暗号データを暗号化したまま照合用の第2の二値ベクトルの要素との演算により得た暗号データを、受信する処理と、
暗号鍵で暗号化されている前記第1の二値ベクトルに関する第2の値と、前記照合要求装置から送信された前記暗号データと、前記乱数とに基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の程度を検証するための、暗号データ、又は、前記暗号データと補助データを生成し、前記クエリとして検証装置に送信する処理と、
復号鍵を用いて前記暗号データを復号した値、又は前記復号した値と前記補助データ、に基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の要素の個数が予め定められた個数以下であるか否かを判定する前記検証装置から、検証結果を受信する処理と、
を実行させるプログラム。
(付記38)
照合装置のコンピュータに、
照合要求装置からの照合要求に対して、乱数を生成し、暗号鍵で暗号化されている第1の二値ベクトルの各要素に関する第1の演算値を前記暗号鍵で暗号化した第1の暗号データの各々に、前記乱数を演算して得た第2の暗号データを求め、照合要求装置に送信する処理と、
前記照合要求装置から、前記第2の暗号データの各々を暗号化したまま、照合用の第2の二値ベクトルの各要素をスカラー演算した値の総和である第3の暗号データを受信する処理と、
前記照合要求装置から送信された前記第3の暗号データに含まれる前記乱数を削除した第4の暗号データと、前記第1の二値ベクトルの各要素に関する第2の演算値を前記暗号鍵で暗号化した第5の暗号データとを暗号化したまま加算することで、前記第1、第2の二値ベクトルの距離の第6の暗号データを求め、クエリとして検証装置に送信する処理と、
前記クエリの前記第6の暗号データを前記復号鍵で復号して得た前記第1、第2の二値ベクトルの距離と予め定められた閾値との比較に基づき、検証結果を出力する検証装置から検証結果を受信する処理と、
を実行させるプログラム。
(付記39)
照合要求装置から照会要求を受けると、暗号鍵で暗号化されている登録用の第1の二値ベクトルに対して予め設定された第1の変換を施してなる第1の変換値を前記暗号鍵で暗号化した第1の暗号データに対して、生成した乱数を演算して得た第2の暗号データを求め前記照合要求装置に送信する処理と、
前記照合要求装置から、照合用の第2の二値ベクトルに予め設定された第2の変換を施してなる第2の変換値を前記第2の暗号データに演算することで、前記第1の変換値に前記乱数を演算した値に前記第2の変換値を乗じた暗号データの総和である第3の暗号データを受信する処理と、
前記照合要求装置から送信された前記第3の暗号データに含まれる前記乱数を削除して、前記第1の変換値と第2の変換値を乗算した値の総和である第4の暗号データを求め、前記第4の暗号データに、前記第1の二値ベクトルの各要素の総和を前記暗号鍵で暗号化した第5の暗号データとを暗号化したまま加算することで、前記第1、第2の二値ベクトルの距離の第6の暗号データを求め、クエリとして検証装置に送信する処理と、
前記クエリの前記第6の暗号データを前記復号鍵で復号して得た前記第1、第2の二値ベクトルの距離と予め定められた閾値との比較に基づき、検証結果を出力する検証装置から検証結果を受信する処理と、
を実行させるプログラム。
(付記40)
照合要求装置から照合要求を受けると、第1乃至第3の乱数を生成し、前記第1の乱数を前記暗号鍵で暗号化した第1の暗号データを前記照合要求装置に送信する処理と、
前記照合要求装置から、照合用の第2の二値ベクトルの各要素の第1の演算値と、前記第1の乱数の暗号データの第1の演算結果である第2の暗号データを受信する処理と、
前記照合要求装置からの前記第2の暗号データに前記第2の乱数を演算した第3の暗号データと、登録用の第1の二値ベクトルの各要素の第1の演算値の暗号データと前記第3の乱数との演算結果である第4の暗号データと、前記生成した第1乃至第3の乱数に基づくハッシュ値とを検証装置に送信する処理と、
前記第3、第4の暗号データを復号鍵で復号し、復号した値を乗算した値のハッシュ値を計算し、前記ハッシュ値と、前記照合装置から送信されたハッシュ値との不一致の個数が予め定められた所定値以下であるか否かを判定し、検証結果として、不一致の個数が所定値以下であれば、受理、それ以外の場合、不受理とする検証装置から検証結果を受信する処理と、
を実行させるプログラム。
(付記41)
照合要求装置から照合要求を受けると、第1、第2の乱数を生成し、前記第1の乱数を前記暗号鍵で暗号化した第1の暗号データを前記照合要求装置に送信する処理と、
前記照合要求装置から、照合用の第2の二値ベクトルの各要素の第1の演算値と、前記第1の乱数の暗号データの第1の演算結果である第2の暗号データを受信する処理と、
前記照合要求装置からの前記第2の暗号データと、前記暗号鍵で暗号化されている登録用の第1の二値ベクトルの各要素の第1の演算値の暗号データと前記第2の乱数の演算結果である第3の暗号データと、前記生成した第1及び第2乱数に基づくハッシュ値とを検証装置に送信する処理と、
前記第3の暗号データを復号鍵で復号し、復号した値のハッシュ値を計算し、前記ハッシュ値と、前記照合装置から送信されたハッシュ値との不一致の個数が予め定められた所定値以下であるか否かを判定し、検証結果として、不一致の個数が所定値以下であれば、受理、それ以外の場合、不受理とする検証装置から検証結果を受信する処理と、
を実行させるプログラム。
100 照合システム
10、20 コンピュータシステム(コンピュータ装置)
11、21 プロセッサ
12、22 記憶装置
13、23 表示装置
14、24 インタフェース
25 センサ
110 登録要求装置
111 登録情報抽出部
112 テンプレート生成部
113 通信部
114 変換値生成部
120 照合要求装置
121 照合要求生成部
122 照合情報抽出部
123 レスポンス生成部
124 通信部
130 記憶装置
131 識別子管理部
132 登録データ生成部
133 登録データ記憶部
134 登録データ検索部
135 通信部
136 乱数生成部
137 暗号データ生成部
138 ハッシュ値生成部
140 照合装置
141 登録データ取得部
142 乱数生成部
143 暗号データ生成部
144 暗号化距離計算部
145 クエリ生成部
146 通信部
147 変換係数生成部
148 ハッシュ値生成部
150 検証装置
151 鍵生成部
152 復号鍵記憶部
153 クエリ検証部
154 検証結果生成部
155 通信部
156 登録データチェック部
1531 復号部
1532 ハッシュ値生成部
1533 不一致判定部
1561 復号部
1562 ハッシュ値生成部
1563 一致判定部

Claims (28)

  1. 乱数を生成し、暗号鍵で暗号化されている第1の二値ベクトルに関する第1の値を暗号化したまま前記乱数との演算で得た暗号データを照合要求装置に送信する照合装置と、
    前記照合装置からの前記暗号データを暗号化したまま照合用の第2の二値ベクトルの要素との演算で得た暗号データを前記照合装置に送信する前記照合要求装置と、
    を備え、
    前記照合装置は、前記暗号鍵で暗号化されている前記第1の二値ベクトルに関する第2の値と、前記照合要求装置から送信された前記暗号データと、前記乱数とに基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の程度を検証するための暗号データを生成し、クエリとして検証装置に送信し、
    前記照合装置から送信された前記クエリの前記暗号データを復号鍵で復号した値に基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の要素の個数が予め定められた個数以下であるかを否か判定する前記検証装置を備え、
    前記照合装置は、
    前記照合要求装置からの照合要求に対して、前記第1の二値ベクトルの各要素に関する第1の演算値を前記暗号鍵で暗号化した第1の暗号データの各々に、前記乱数を演算して得た第2の暗号データを求め、前記照合要求装置に送信し、
    前記照合要求装置は、
    前記照合装置からの前記第2の暗号データの各々を暗号化したまま、前記第2の二値ベクトルの各要素をスカラー演算した値の総和である第3の暗号データを求め、前記照合装置に送信し、
    前記照合装置は、
    前記照合要求装置から送信された前記第3の暗号データに含まれる前記乱数を削除した第4の暗号データと、前記第1の二値ベクトルの各要素に関する第2の演算値を前記暗号鍵で暗号化した第5の暗号データとを暗号化したまま加算することで、前記第1、第2の二値ベクトルの距離の第6の暗号データを求め、前記検証装置に送信し、
    前記検証装置は、
    前記第6の暗号データを前記復号鍵で復号して得た前記第1、第2の二値ベクトルの距離と予め定められた閾値との比較結果に基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの距離が前記閾値以下であれば受理、それ以外であれば、不受理を出力する、ことを特徴とする照合システム。
  2. 前記第1の二値ベクトルに関する前記第1の演算値を前記暗号鍵で暗号化した前記第1の暗号データと、前記第1の二値ベクトルの各要素に関する前記第2の演算値を前記暗号鍵で暗号化した前記第5の暗号データと、を生成し、前記第1の暗号データ及び前記第5の暗号データを記憶装置に送信する登録要求装置と、
    前記登録要求装置から前記第1の暗号データと前記第5の暗号データを受け、登録データとして記憶し、さらに、前記第1の暗号データと前記第5の暗号データを前記照合装置に供給する前記記憶装置と、
    を備えたことを特徴とする請求項1に記載の照合システム。
  3. 前記第1の二値ベクトルの各要素を前記暗号鍵で暗号化した暗号データを記憶装置に送信する登録要求装置と、
    前記登録要求装置から前記第1の二値ベクトルの各要素の暗号データを受け、前記第1の二値ベクトルの各要素に関する第1の演算値と第2の演算値を計算して前記第1の暗号データ及び前記第5の暗号データを求め、登録データとして記録し、
    さらに、前記第1の暗号データと前記第5の暗号データを前記照合装置に供給する前記記憶装置を備えた、ことを特徴とする請求項1に記載の照合システム。
  4. 前記第1の二値ベクトルの各要素を暗号鍵で暗号化して記憶装置に送信する登録要求装置と、
    前記第1の二値ベクトルの各要素の暗号データを記録する前記記憶装置と、
    を備え、
    前記照合装置は、
    前記第1の二値ベクトルの各要素の暗号データを暗号化したまま、前記第1の二値ベクトルの各要素に関する第1、第2の演算値を計算して前記第1及び第5の暗号データとして求める、ことを特徴とする請求項1に記載の照合システム。
  5. 乱数を生成し、暗号鍵で暗号化されている第1の二値ベクトルに関する第1の値を暗号化したまま前記乱数との演算で得た暗号データを照合要求装置に送信する照合装置と、
    前記照合装置からの前記暗号データを暗号化したまま照合用の第2の二値ベクトルの要素との演算で得た暗号データを前記照合装置に送信する前記照合要求装置と、
    を備え、
    前記照合装置は、前記暗号鍵で暗号化されている前記第1の二値ベクトルに関する第2の値と、前記照合要求装置から送信された前記暗号データと、前記乱数とに基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の程度を検証するための暗号データを生成し、クエリとして検証装置に送信し、
    前記照合装置から送信された前記クエリの前記暗号データを復号鍵で復号した値に基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の要素の個数が予め定められた個数以下であるかを否か判定する前記検証装置を備え、
    前記照合装置は、
    前記照合要求装置から照会要求を受けると、前記第1の二値ベクトルに対して予め設定された第1の変換を施してなる第1の変換値を前記暗号鍵で暗号化した第1の暗号データに対して、前記乱数を演算して得た第2の暗号データを求め、前記照合要求装置に送信し、
    前記照合要求装置は、
    前記第2の二値ベクトルに予め設定された第2の変換を施してなる第2の変換値を、前記照合装置から送信された前記第2の暗号データに演算することで、前記第1の変換値に前記乱数を演算した値に前記第2の変換値を乗じた暗号データを求め、前記暗号データの総和を第3の暗号データとして前記照合装置に送付し、
    前記照合装置は、
    前記照合要求装置から送信された前記第3の暗号データに含まれる前記乱数を削除して、前記第1の変換値と前記第2の変換値を乗算した値の総和である第4の暗号データを求め、前記第4の暗号データに、前記第1の二値ベクトルの各要素の総和を前記暗号鍵で暗号化した第5の暗号データとを暗号化したまま加算することで、前記第1、第2の二値ベクトルの距離の第6の暗号データを求め、前記検証装置に送信し、
    前記検証装置は、
    前記第6の暗号データを前記復号鍵で復号して得た前記第1、第2の二値ベクトルの距離と予め定められた閾値との比較に基づき、前記第2の二値ベクトルと前記第1の二値ベクトルとの距離が前記閾値以下であれば、受理、それ以外であれば、不受理を出力する、ことを特徴とする照合システム。
  6. 登録用のn次元の前記第1の二値ベクトルに前記第1の変換を施してn個の前記第1の変換値を求め、n個の前記第1の変換値を暗号鍵で暗号化した前記第1の暗号データを生成し、前記第1の暗号データと、登録用のn次元の前記第1の二値ベクトルの各要素の暗号データを記憶装置に送付する登録要求装置と、
    前記第1の二値ベクトルの要素の総和を暗号化した前記第5の暗号データを生成し、
    前記第1、第5の暗号データを登録データとして記録し、前記第1、第5の暗号データを前記照合装置に送信する前記記憶装置と、
    を備えた、ことを特徴とする請求項5に記載の照合システム。
  7. 登録用のn次元の前記第1の二値ベクトルの各要素の暗号データを記憶装置に送付する登録要求装置と、
    前記第1の二値ベクトルの各要素の暗号データを暗号化したまま、前記第1の二値ベクトルに前記第1の変換を施したn個の前記第1の変換値の前記第1の暗号データを求める手段と、
    前記第1の二値ベクトルの要素の総和を暗号化した前記第5の暗号データを生成する手段を備え、
    前記n個の第1の変換値の前記第1の暗号データと、前記第1の二値ベクトルの要素の総和を暗号化した前記第5の暗号データを記録する前記記憶装置と、
    を備え、
    前記照合装置は、
    前記照合要求装置から照会要求を受けると、前記記憶装置からn個の前記第1の変換値の暗号データを取得し、乱数を生成し、前記乱数を前記n個の第1の変換値の前記第1の暗号データにそれぞれ演算して前記第2の暗号データを求め、前記照合要求装置に送信し、
    前記照合要求装置は、
    前記第2の二値ベクトルに前記第2の変換を施してなる前記第2の変換値を求め、前記各第2の変換値を前記照合装置から受信した前記第2の暗号データの各々に演算して、前記第1の変換値に前記乱数を演算した値に前記第2の変換値を乗じた暗号データを求め、前記暗号データの総和の前記第3の暗号データを前記照合装置に送付し、
    前記照合装置は、
    前記照合要求装置から送信された前記第3の暗号データから、前記乱数を削除して、前記第1の変換値と前記第2の変換値を乗算した値の総和の前記第4の暗号データを求め、前記第4の暗号データと前記記憶装置に登録された前記第5の暗号データを加算した前記第6の暗号データを求め、前記検証装置に送信する、ことを特徴とする請求項5に記載の照合システム。
  8. 前記照合装置は、
    前記照合要求装置から照会要求を受けると、前記第1の二値ベクトルの各要素の暗号データを取得し、
    前記第1の二値ベクトルの要素を暗号化したまま前記要素の総和の暗号データを生成する手段と、
    前記第1の二値ベクトルの各要素の暗号データを暗号化したまま、前記第1の二値ベクトルに前記第1の変換を施したn個の前記第1の変換値の前記第1の暗号データを求める手段と、
    前記第1の二値ベクトルの要素の総和を暗号化した前記第5の暗号データを生成する手段を備え、
    乱数を生成し、前記乱数を前記n個の第1の変換値の前記第1の暗号データにそれぞれ演算して前記第2の暗号データを求め、前記照合要求装置に送信し、
    前記照合要求装置は、
    前記第2の二値ベクトルに前記第2の変換を施してなるn個の前記第2の変換値を求め、前記各第2の変換値を、前記第2の暗号データの各々に演算し、前記第1の変換値に前記乱数を演算した値に前記第2の変換値を乗じた暗号データを求め、前記暗号データの総和の前記第3の暗号データを前記照合装置に送付し、
    前記照合装置は、
    前記照合要求装置から送信された前記第3の暗号データから、前記乱数を削除して、前記第1の変換値と前記第2の変換値を乗算した値の総和の前記第4の暗号データを求め、前記第4の暗号データと前記第5の暗号データを加算した前記第6の暗号データを求め、前記検証装置に送信する、ことを特徴とする請求項5に記載の照合システム。
  9. 前記照合装置は、
    前記照合要求装置から照会要求を受けると、前記第1の二値ベクトルの各要素の暗号データを取得し、
    前記第1の二値ベクトルの要素の総和を暗号化した前記第5の暗号データを生成する手段と、
    前記第1の変換を構成する第1群の変換係数を生成する手段と、
    前記第1の二値ベクトルの各要素の暗号データを暗号化したまま、前記第1の二値ベクトルに前記第1の変換を施してなるn個の前記第1の変換値を求める手段と、
    を備え、さらに乱数を生成し、前記乱数を、前記n個の第1の変換値からなる前記第1の暗号データにそれぞれ演算して前記第2の暗号データを求め、前記照合要求装置に送信し、
    さらに、前記第1群の変換係数の生成に用いた、前記第2の変換を構成する第2群の変換係数を前記照合要求装置に送信し、
    前記照合要求装置は、
    前記照合装置からの第2群の変換係数で規定される前記第2の変換を前記第2の二値ベクトルに施してなる前記第2の変換値を求め、前記第2の変換値を前記照合装置から受信した前記第2の暗号データの各々に演算して、前記第1の変換値に前記乱数を演算した値に前記第2の変換値を乗じた暗号データを求め、前記暗号データの総和からなる前記第3の暗号データを前記照合装置に送付し、
    前記照合装置は、
    前記照合要求装置から送信された前記第3の暗号データから、前記乱数を削除し、前記第1の変換値と前記第2の変換値を乗算した値の総和の暗号データを求め、前記総和の暗号データと前記第5の暗号データを加算した前記第6の暗号データを求め、前記検証装置に送信する、ことを特徴とする請求項5に記載の照合システム。
  10. 前記第1の二値ベクトルの各要素の暗号データを生成して記憶装置に送付する登録要求装置と、
    前記登録要求装置からの前記第1の二値ベクトルの各要素の暗号データを記憶する前記記憶装置とを備えた、ことを特徴とする請求項7又は8に記載の照合システム。
  11. 乱数を生成し、生成した前記乱数を暗号鍵で暗号化した暗号データを照合要求装置に送信する照合装置と、
    前記照合装置からの前記乱数の前記暗号データを暗号化したまま照合用の第2の二値ベクトルの要素との演算で得た暗号データを前記照合装置に送信する前記照合要求装置と、
    を備え、
    前記照合装置は、前記暗号鍵で暗号化されている第1の二値ベクトルに関する第2の値と、前記照合要求装置から送信された前記暗号データと、前記乱数とに基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の程度を検証するための暗号データと補助データを生成し、クエリとして検証装置に送信し、
    前記照合装置から送信された前記クエリの前記暗号データを復号鍵で復号した値と前記クエリの前記補助データに基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の要素の個数が予め定められた個数以下であるかを否か判定する前記検証装置を備え、
    前記照合装置は、
    前記照合要求装置から照合要求を受けると、第1乃至第3の乱数を生成し、前記第1の乱数を前記暗号鍵で暗号化した第2の暗号データを前記照合要求装置に送信し、
    前記照合要求装置は、
    照合用の第2の二値ベクトルの各要素の第1の演算値と、前記第1の乱数の前記第2の暗号データの第1の演算結果である第3の暗号データを求め、前記照合装置に送信し、
    前記照合装置は、
    前記照合要求装置からの前記第3の暗号データに前記第2の乱数を演算した第4の暗号データと、前記暗号鍵で暗号化されている前記第1の二値ベクトルの各要素の第1の演算値の第1の暗号データと前記第3の乱数との演算結果である第5の暗号データと、前記生成した第1乃至第3の乱数に基づくハッシュ値とを、前記検証装置に送信し、
    前記検証装置は、
    前記照合装置からの前記第4、第5の暗号データを復号鍵で復号し、復号した値に基づきハッシュ値を計算し、前記ハッシュ値と、前記照合装置から送信されたハッシュ値との不一致の個数が予め定められた所定値以下であるか否かを判定し、不一致の個数が所定値以下であれば、受理、それ以外の場合、不受理とする、ことを特徴とする照合システム。
  12. 乱数を生成し、生成した前記乱数を暗号鍵で暗号化した暗号データを照合要求装置に送信する照合装置と、
    前記照合装置からの前記暗号データを暗号化したまま照合用の第2の二値ベクトルの要素との演算で得た暗号データを前記照合装置に送信する前記照合要求装置と、
    を備え、
    前記照合装置は、前記暗号鍵で暗号化されている第1の二値ベクトルに関する第2の値と、前記照合要求装置から送信された前記暗号データと、前記乱数とに基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の程度を検証するための暗号データと補助データを生成し、クエリとして検証装置に送信し、
    前記照合装置から送信された前記クエリの前記暗号データを復号鍵で復号した値と前記クエリの前記補助データに基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の要素の個数が予め定められた個数以下であるかを否か判定する前記検証装置を備え、
    前記照合装置は、
    前記照合要求装置から照合要求を受けると、第1、第2の乱数を生成し、前記第1の乱数を前記暗号鍵で暗号化した第2の暗号データを前記照合要求装置に送信し、
    前記照合要求装置は、
    照合用の第2の二値ベクトルの各要素の第1の演算値と、前記第1の乱数の前記第2の暗号データの第1の演算結果である第3の暗号データを求めて、前記照合装置に送信し、
    前記照合装置は、
    前記照合要求装置からの前記第3の暗号データと、前記暗号鍵で暗号化されている前記第1の二値ベクトルの各要素の第1の演算値の暗号データと前記第2の乱数の演算結果である第4の暗号データと、前記生成した第1及び第2の乱数に基づくハッシュ値とを前記検証装置に送信し、
    前記検証装置は、
    前記照合装置からの前記第4の暗号データを復号鍵で復号し、復号した値のハッシュ値を計算し、前記ハッシュ値と、前記照合装置から送信されたハッシュ値との不一致の個数が予め定められた所定値以下であるか否かを判定し、不一致の個数が所定値以下であれば、受理、それ以外の場合、不受理とする、ことを特徴とする照合システム。
  13. 前記第1の二値ベクトルの各要素の第1の演算値を暗号鍵で暗号化した暗号データを記憶装置に送信する登録要求装置と、
    前記登録要求装置から送信された暗号データを記憶する前記記憶装置と、
    を備えた、ことを特徴とする請求項11又は12に記載の照合システム。
  14. 前記第1の二値ベクトルの各要素の第1の演算値を暗号鍵で暗号化した暗号データを記憶装置に送信する登録要求装置と、
    前記第1の二値ベクトルの各要素の前記第1の演算値の暗号データに対して乱数をそれぞれ生成する手段と、
    前記各乱数のハッシュ値を生成する手段と、
    を備え、
    前記各乱数を演算した暗号データと前記ハッシュ値を前記検証装置に送信する手段を備えた記憶装置と、
    を備え、
    前記検証装置は、前記記憶装置から送信された各暗号データを前記復号鍵で復号し、復号した各値のハッシュ値を求め、前記各ハッシュ値が、前記記憶装置から送信された対応するハッシュ値と一致するか判定し、不一致のものが一つでもあれば不受理とし、全て一致する場合、受理とし、
    前記記憶装置は、前記検証装置での検証結果が受理の場合、前記第1の演算値の暗号データを記憶する、ことを特徴とする請求項11又は12に記載の照合システム。
  15. (a)照合装置が、乱数を生成し、暗号鍵で暗号化されている第1の二値ベクトルに関する第1の値を暗号化したまま前記乱数との演算で得た暗号データを照合要求装置に送信する工程と、
    (b)前記照合要求装置が、前記照合装置からの前記暗号データを暗号化したまま照合用の第2の二値ベクトルの要素との演算により得た暗号データを、前記照合装置に送信する工程と、
    (c)前記照合装置が、暗号鍵で暗号化されている前記第1の二値ベクトルに関する第2の値と、前記照合要求装置から送信された前記暗号データと、前記乱数とに基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の程度を検証するための、暗号データを生成し、クエリとして検証装置に送信する工程と、
    (d)前記検証装置が、前記照合装置から送信された前記クエリの前記暗号データを復号鍵で復号した値に基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の要素の個数が予め定められた個数以下であるか否かを判定する工程と、
    を含み、
    前記工程(a)において、
    前記照合装置は、前記照合要求装置からの照合要求に対して、前記第1の二値ベクトルの各要素に関する第1の演算値を前記暗号鍵で暗号化した第1の暗号データの各々に、前記乱数を演算して得た第2の暗号データを求め、前記照合要求装置に送信し、
    前記工程(b)において、
    前記照合要求装置は、前記照合装置から送信された前記第2の暗号データの各々に、前記第2の二値ベクトルの各値を演算した値の総和である第3の暗号データを求め、前記照合装置に送信し、
    前記工程(c)において、
    前記照合装置は、前記照合要求装置から送信された前記第3の暗号データに含まれる前記乱数を削除した第4の暗号データと、前記第1の二値ベクトルの各要素に関する第2の演算値を前記暗号鍵で暗号化した第5の暗号データとを暗号化したまま加算することで、前記第1、第2の二値ベクトルの距離の第6の暗号データを求め、前記検証装置に送信し、
    前記工程(d)において、
    前記検証装置は、前記第6の暗号データを前記復号鍵で復号し、復号結果の前記第1、第2の二値ベクトルの距離と予め定められた閾値との比較に基づき、前記距離が前記閾値以下であれば、受理、それ以外であれば、不受理を出力する、ことを特徴とする照合方法。
  16. 前記工程(a)の前に、
    (e)登録要求装置が、前記第1の二値ベクトルに関する前記第1の演算値を前記暗号鍵で暗号化した前記第1の暗号データと、前記第1の二値ベクトルの各要素に関する前記第2の演算値を前記暗号鍵で暗号化した前記第5の暗号データと、を生成し、前記第1の暗号データ及び前記第5の暗号データを記憶装置に送信する工程置と、
    (f)前記記憶装置が、前記登録要求装置から前記第1の暗号データと前記第5の暗号データを受け、登録データとして記憶する工程と、
    を含む、ことを特徴とする請求項15に記載の照合方法。
  17. 前記工程(a)の前に、
    (e)登録要求装置が、前記第1の二値ベクトルの各要素を前記暗号鍵で暗号化した暗号データを記憶装置に送信する工程と、
    (f)前記記憶装置が、前記登録要求装置から前記第1の二値ベクトルの各要素の暗号データを受け、前記第1の二値ベクトルの各要素に関する第1の演算値及び第2の演算値を計算して前記第1の暗号データ及び前記第5の暗号データを求め、登録データとして記録する工程を含む、ことを特徴とする請求項15に記載の照合方法。
  18. 前記工程(a)の前に、
    (e)登録要求装置が、前記第1の二値ベクトルの各要素を暗号鍵で暗号化して記憶装置に送信する工程と、
    (f)前記記憶装置が、前記第1の二値ベクトルの各要素の暗号データを記録する工程と、
    を含み、
    前記工程(a)において、
    前記照合装置は、前記第1の二値ベクトルの各要素の暗号データを暗号化したまま、前記第1の二値ベクトルの各要素に関する第1、第2の演算値を計算して前記第1及び第5の暗号データとして求める、ことを特徴とする請求項15に記載の照合方法。
  19. (a)照合装置が、乱数を生成し、暗号鍵で暗号化されている第1の二値ベクトルに関する第1の値を暗号化したまま前記乱数との演算で得た暗号データを照合要求装置に送信する工程と、
    (b)前記照合要求装置が、前記照合装置からの前記暗号データを暗号化したまま照合用の第2の二値ベクトルの要素との演算により得た暗号データを、前記照合装置に送信する工程と、
    (c)前記照合装置が、暗号鍵で暗号化されている前記第1の二値ベクトルに関する第2の値と、前記照合要求装置から送信された前記暗号データと、前記乱数とに基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の程度を検証するための、暗号データを生成し、クエリとして検証装置に送信する工程と、
    (d)前記検証装置が、前記照合装置から送信された前記クエリの前記暗号データを復号鍵で復号した値に基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の要素の個数が予め定められた個数以下であるか否かを判定する工程と、
    を含み、
    前記工程(a)において、
    前記照合装置は、前記照合要求装置から照会要求を受けると、前記第1の二値ベクトルに予め設定された第1の変換を施してなる第1の変換値を前記暗号鍵で暗号化した第1の暗号データに対して、前記乱数を演算して得た第2の暗号データを求め、前記照合要求装置に送信し、
    前記工程(b)において、
    前記照合要求装置は、
    前記第2の二値ベクトルに予め設定された第2の変換を施してなる第2の変換値を、前記照合装置から受信した前記第2の暗号データに演算することで、前記第1の変換値に前記乱数を演算した値に前記第2の変換値を乗じた暗号データを求め、前記暗号データの総和を第3の暗号データとして前記照合装置に送付し、
    前記工程(c)において、
    前記照合装置は、前記照合要求装置から送信された前記第3の暗号データに含まれる前記乱数を削除して、前記第1の変換値と前記第2の変換値を乗算した値の総和である第4の暗号データを求め、前記第4の暗号データに、前記第1の二値ベクトルの各要素の総和を前記暗号鍵で暗号化した第5の暗号データとを暗号化したまま加算することで、前記第1、第2の二値ベクトルの距離の第6の暗号データを求め、前記検証装置に送信し、
    前記工程(d)において、
    前記検証装置は、前記第6の暗号データを前記復号鍵で復号し、復号結果の前記第1、第2の二値ベクトルの距離と予め定められた閾値との比較に基づき、受理、不受理を出力する、ことを特徴とする照合方法。
  20. 前記工程(a)の前に、
    (e)登録要求装置が、登録用のn次元の前記第1の二値ベクトルに前記第1の変換を施しn個の第1の変換値を求め、
    前記n個の第1の変換値を暗号鍵で暗号化した前記第1の暗号データを記憶装置に送付する工程と、
    (f)前記記憶装置が、前記第1の二値ベクトルの要素の総和を暗号化した前記第5の暗号データを生成し、
    前記第1、第5の暗号データを登録データとして記録する工程とを含む、ことを特徴とする請求項19に記載の照合方法。
  21. 前記工程(a)の前に、
    (e)登録要求装置が、登録用のn次元の前記第1の二値ベクトルの各要素の暗号データを生成して記憶装置に送付する工程と、
    (f)前記記憶装置が、前記第1の二値ベクトルの各要素の暗号データを暗号化したまま、前記第1の二値ベクトルに前記第1の変換を施したn個の前記第1の変換値の前記第1の暗号データを求め、
    前記第1の二値ベクトルの要素を暗号化したまま前記要素の総和を暗号化した前記第5の暗号データを生成し、
    前記n個の第1の変換値の前記第1の暗号データと、前記第1の二値ベクトルの要素の総和を暗号化した前記第5の暗号データを記録する工程と、
    を含み、
    前記工程(a)において、
    前記照合装置は、前記照合要求装置から照会要求を受けると、前記記憶装置からn個の前記第1の変換値の暗号データと、を取得し、乱数を生成し、前記乱数を前記n個の第1の変換値の前記第1の暗号データにそれぞれ演算して前記第2の暗号データを求め、前記照合要求装置に送信し、
    前記工程(b)において、
    前記照合要求装置は、前記第2の二値ベクトルに前記第2の変換を施してなる前記第2の変換値を求め、前記各第2の変換値を前記照合装置から受信した前記第2の暗号データの各々にスカラー演算して、前記第1の変換値に前記乱数を演算した値に前記第2の変換値を乗じた暗号データを求め、前記暗号データの総和の第3の暗号データを前記照合装置に送付し、
    前記工程(c)において、
    前記照合装置は、前記照合要求装置から送信された前記第3の暗号データから、前記乱数を削除して前記第1の変換値と前記第2の変換値を乗算した値の総和の前記第4の暗号データを求め、前記第4の暗号データと前記記憶装置に登録された前記第5の暗号データを加算した前記第6の暗号データを求め、前記検証装置に送信する、ことを特徴とする請求項19に記載の照合方法。
  22. 前記工程(a)において、
    前記照合装置が、前記第1の二値ベクトルの各要素の暗号データを暗号化したまま、前記第1の二値ベクトルに前記第1の変換を施したn個の前記第1の変換値の前記第1の暗号データを求める工程と、
    前記照合装置が、前記第1の二値ベクトルの要素の総和を暗号化した前記第5の暗号データを生成し、
    乱数を生成し、前記乱数を前記n個の第1の変換値の前記第1の暗号データにそれぞれ演算して前記第2の暗号データを求め、前記照合要求装置に送信する工程と、
    を含み、
    前記工程(b)において、
    前記照合要求装置は、前記第2の二値ベクトルに前記第2の変換を施してなるn個の前記第2の変換値を求め、前記各第2の変換値を、前記第2の暗号データの各々に演算し、前記第1の変換値に前記乱数を演算した値に前記第2の変換値を乗じた暗号データを求め、前記暗号データの総和の前記第3の暗号データを前記照合装置に送付し、
    前記工程(c)において、
    前記照合装置は、前記照合要求装置から送信された前記第3の暗号データから、前記乱数を削除して、前記第1の変換値と前記第2の変換値を乗算した値の総和の前記第4の暗号データを求め、前記第4の暗号データと前記第5の暗号データを加算した前記第6の暗号データを求め、暗号化したハミング距離として前記検証装置に送信する、ことを特徴とする請求項19に記載の照合方法。
  23. 前記工程(a)において、
    前記照合装置は、前記照合要求装置から照会要求を受けると、前記第1の二値ベクトルの各要素の暗号データを取得する工程と、
    前記第1の変換を構成する第1群の変換係数を生成する工程と、
    前記第1の二値ベクトルの各要素の暗号データを暗号化したまま、前記第1の二値ベクトルに前記第1の変換を施してなるn個の前記第1の変換値を求める工程と、
    さらに乱数を生成し、前記乱数を、前記n個の第1の変換値からなる前記第1の暗号データにそれぞれ演算して前記第2の暗号データを求め、前記照合要求装置に送信する工程と、
    さらに、前記第1群の変換係数の生成に用いた、前記第2の変換を構成する第2群の変換係数を前記照合要求装置に送信する工程と、
    を含み、
    前記工程(b)において、
    前記照合要求装置は、前記照合装置からの第2群の変換係数で規定される前記第2の変換を前記第2の二値ベクトルに施してなる前記第2の変換値を求め、前記第2の変換値を前記照合装置から受信した前記第2の暗号データの各々に演算して、前記第1の変換値に前記乱数を演算した値に前記第2の変換値を乗じた暗号データを求め、前記暗号データの総和からなる第3の暗号データを前記照合装置に送付し、
    前記工程(c)において、
    前記照合装置は、前記照合要求装置から送信された前記第3の暗号データから、前記乱数を削除し、前記第1の変換値と前記第2の変換値を乗算した値の総和の暗号データを求め、前記総和の暗号データと前記第1の二値ベクトルの各要素に関する第1の演算値を前記暗号鍵で暗号化した前記第5の暗号データを加算した前記第6の暗号データを前記検証装置に送信する、ことを特徴とする請求項19に記載の照合方法。
  24. 前記工程(a)の前に、
    (e)登録要求装置が、登録用のn次元の前記第1の二値ベクトルの各要素の暗号データを生成して記憶装置に送付する工程と、
    (f)前記記憶装置が、前記登録要求装置からの前記第1の二値ベクトルの各要素の暗号データを記憶する工程と、
    を含む、ことを特徴とする請求項22又は23に記載の照合方法。
  25. (a)照合装置が、乱数を生成し、生成した前記乱数を暗号鍵で暗号化した暗号データを照合要求装置に送信する工程と、
    (b)前記照合要求装置が、前記照合装置からの前記暗号データを暗号化したまま照合用の第2の二値ベクトルの要素との演算により得た暗号データを、前記照合装置に送信する工程と、
    (c)前記照合装置が、暗号鍵で暗号化されている第1の二値ベクトルに関する第2の値と、前記照合要求装置から送信された前記暗号データと、前記乱数とに基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の程度を検証するための、暗号データと補助データを生成し、クエリとして検証装置に送信する工程と、
    (d)前記検証装置が、前記照合装置から送信された前記クエリの前記暗号データを復号鍵で復号した値と前記クエリの前記補助データ、に基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の要素の個数が予め定められた個数以下であるか否かを判定する工程と、
    を含み、
    前記工程(a)において、
    前記照合装置は、前記照合要求装置から照合要求を受けると、第1乃至第3の乱数を生成し、前記第1の乱数を前記暗号鍵で暗号化した第2の暗号データを前記照合要求装置に送信し、
    前記工程(b)において、
    前記照合要求装置は、照合用の第2の二値ベクトルの各要素の第1の演算値と、前記第1の乱数の前記第2の暗号データの第1の演算結果である第3の暗号データを求め、前記照合装置に送信し、
    前記工程(c)において、
    前記照合装置は、前記照合要求装置からの前記第3の暗号データに前記第2の乱数を演算した第4の暗号データと、前記暗号鍵で暗号化されている前記第1の二値ベクトルの各要素の演算結果である暗号データと前記第3の乱数との演算結果である第5の暗号データと、前記生成した第1乃至第3の乱数のハッシュ値を前記クエリの前記補助データとして、前記検証装置に送信し、
    前記工程(d)において、
    前記検証装置は、前記照合装置からの前記第4、第5の暗号データを復号鍵で復号し、復号した値に基づくハッシュ値を計算し、前記ハッシュ値が、前記照合装置から受信したハッシュ値と不一致の個数が予め定められた所定値以下であるか否かを判定し、不一致の個数が所定値以下であれば、受理、それ以外の場合、不受理とする、ことを特徴とする照合方法。
  26. (a)照合装置が、乱数を生成し、生成した前記乱数を暗号鍵で暗号化した暗号データを照合要求装置に送信する工程と、
    (b)前記照合要求装置が、前記照合装置からの前記暗号データを暗号化したまま照合用の第2の二値ベクトルの要素との演算により得た暗号データを、前記照合装置に送信する工程と、
    (c)前記照合装置が、暗号鍵で暗号化されている第1の二値ベクトルに関する第2の値と、前記照合要求装置から送信された前記暗号データと、前記乱数とに基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の程度を検証するための、暗号データと補助データを生成し、クエリとして検証装置に送信する工程と、
    (d)前記検証装置が、前記照合装置から送信された前記クエリの前記暗号データを復号鍵で復号した値と前記クエリの前記補助データ、に基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の要素の個数が予め定められた個数以下であるか否かを判定する工程と、
    を含み、
    前記工程(a)において、
    前記照合装置は、前記照合要求装置から照合要求を受けると、第1、第2の乱数を生成し、前記第1の乱数を前記暗号鍵で暗号化した第2の暗号データを前記照合要求装置に送信し、
    前記工程(b)において、
    前記照合要求装置は、照合用の第2の二値ベクトルの各要素の第1の演算値と、前記第1の乱数の前記第2の暗号データの第1の演算結果である第3の暗号データを求めて、前記照合装置に送信し、
    前記工程(c)において、
    前記照合装置は、前記照合要求装置からの前記第3の暗号データと、前記暗号鍵で暗号化されている前記第1の二値ベクトルの各要素の演算結果である第1の暗号データと、前記第2の乱数の演算結果である第4の暗号データと、前記補助データとして前記生成した第1及び第2の乱数のハッシュ値とともに前記検証装置に送信し、
    前記工程(d)において、
    前記検証装置は、前記照合装置からの前記第4の暗号データを復号鍵で復号し、復号した値のハッシュ値を計算し、前記ハッシュ値が、前記照合装置から受信したハッシュ値と不一致の個数が予め定められた所定値以下であるか否かを判定し、不一致の個数が所定値以下であれば、受理、それ以外の場合、不受理とする、ことを特徴とする照合方法。
  27. 前記工程(a)の前に、
    (e)登録要求装置が、前記第1の二値ベクトルの各要素の第1の演算値を暗号鍵で暗号化した暗号データを記憶装置に送信する工程と、
    (f)前記記憶装置が、前記第1の二値ベクトルの各要素の前記第1の演算値の暗号データに対して乱数をそれぞれ生成する工程と、
    (g)前記記憶装置が、前記各乱数のハッシュ値を生成する工程と、
    (h)前記記憶装置が、前記各乱数を演算した暗号データと前記ハッシュ値を前記検証装置に送信する工程と、
    (i)前記検証装置は、前記記憶装置から送信された各暗号データを前記復号鍵で復号し、復号した各値のハッシュ値を求め、前記各ハッシュ値が、前記記憶装置から送信された対応するハッシュ値と一致するか判定し、不一致のものが一つでもあれば不受理とし、全て一致する場合、受理とする工程と、
    (j)前記記憶装置は、前記検証装置での検証結果が受理の場合、前記第1の演算値の暗号データを記憶する工程と、
    を含む、ことを特徴とする請求項25又は26に記載の照合方法。
  28. 照合装置のコンピュータに、
    乱数を生成し、暗号鍵で暗号化されている第1の二値ベクトルに関する第1の値を暗号化したまま前記乱数との演算で得た暗号データを照合要求装置に送信する第1の処理と、
    前記照合要求装置から、前記暗号データを暗号化したまま照合用の第2の二値ベクトルの要素との演算により得た暗号データを、受信する第2の処理と、
    暗号鍵で暗号化されている前記第1の二値ベクトルに関する第2の値と、前記照合要求装置から送信された前記暗号データと、前記乱数とに基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の程度を検証するための、暗号データを生成し、クエリとして検証装置に送信する第3の処理と、
    復号鍵を用いて前記暗号データを復号した値に基づき、前記第2の二値ベクトルと前記第1の二値ベクトルの不一致の要素の個数が予め定められた個数以下であるか否かを判定する前記検証装置から、検証結果を受信する第4の処理と、
    を実行させるプログラムであって、
    前記第1の処理において、前記照合要求装置からの照合要求に対して、前記第1の二値ベクトルの各要素に関する第1の演算値を前記暗号鍵で暗号化した第1の暗号データの各々に、前記乱数を演算して得た第2の暗号データを求め、前記照合要求装置に送信し、
    前記第2の処理において、前記照合要求装置から、前記第2の暗号データの各々に、前記第2の二値ベクトルの各値を演算した値の総和である第3の暗号データを受信し、
    前記第3の処理において、前記照合要求装置から送信された前記第3の暗号データに含まれる前記乱数を削除した第4の暗号データと、前記第1の二値ベクトルの各要素に関する第2の演算値を前記暗号鍵で暗号化した第5の暗号データとを暗号化したまま加算することで、前記第1、第2の二値ベクトルの距離の第6の暗号データを求め、前記検証装置に送信する、プログラム。
JP2018556722A 2016-12-15 2017-12-13 照合システム、方法、装置及びプログラム Active JP7127543B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2016243709 2016-12-15
JP2016243709 2016-12-15
PCT/JP2017/044769 WO2018110608A1 (ja) 2016-12-15 2017-12-13 照合システム、方法、装置及びプログラム

Publications (2)

Publication Number Publication Date
JPWO2018110608A1 JPWO2018110608A1 (ja) 2019-10-24
JP7127543B2 true JP7127543B2 (ja) 2022-08-30

Family

ID=62558877

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018556722A Active JP7127543B2 (ja) 2016-12-15 2017-12-13 照合システム、方法、装置及びプログラム

Country Status (3)

Country Link
US (2) US11128462B2 (ja)
JP (1) JP7127543B2 (ja)
WO (1) WO2018110608A1 (ja)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019014425A1 (en) * 2017-07-13 2019-01-17 Pindrop Security, Inc. SAFE PARTY WITH SEVERAL PARTIES KNOWING NO VOICE IMPRESSIONS
EP3493460A1 (en) * 2017-12-01 2019-06-05 Gemalto Sa Cryptography device having secure provision of random number sequences
US10665244B1 (en) 2018-03-22 2020-05-26 Pindrop Security, Inc. Leveraging multiple audio channels for authentication
US11093446B2 (en) * 2018-10-31 2021-08-17 Western Digital Technologies, Inc. Duplicate request checking for file system interfaces
WO2020121461A1 (ja) * 2018-12-12 2020-06-18 日本電気株式会社 照合システム、クライアントおよびサーバ
US20220029812A1 (en) * 2018-12-12 2022-01-27 Nec Corporation Collation system, client and server
KR102570070B1 (ko) * 2018-12-27 2023-08-23 삼성전자주식회사 일반화된 사용자 모델을 이용한 사용자 인증 방법 및 장치
CN109861820B (zh) * 2019-02-18 2021-05-25 吉林大学珠海学院 基于随机散列和位运算的加密解密方法和装置
US20220247551A1 (en) * 2019-04-23 2022-08-04 Onespan Nv Methods and systems for privacy preserving evaluation of machine learning models
US11444774B2 (en) * 2020-01-08 2022-09-13 Tata Consultancy Services Limited Method and system for biometric verification
US11528134B2 (en) * 2020-03-24 2022-12-13 International Business Machines Corporation Authentication using transformation verification
EP3993308A1 (en) * 2020-10-29 2022-05-04 Zama SAS Fully homomorphic cryptography with improved data item representation
US11799643B2 (en) * 2021-01-19 2023-10-24 Bank Of America Corporation Collaborative architecture for secure data sharing
CN114610606B (zh) * 2022-02-25 2023-03-03 中国人民解放军国防科技大学 基于到达-定值分析的二进制模块相似性匹配方法及装置
US20230344632A1 (en) * 2022-04-22 2023-10-26 Vmware, Inc. Distributed registration and authentication via threshold secret sharing and additively homomorphic encryption

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012114452A1 (ja) 2011-02-22 2012-08-30 三菱電機株式会社 類似度算出システム及び類似度算出装置及びコンピュータプログラム及び類似度算出方法
JP2016111594A (ja) 2014-12-09 2016-06-20 日本電気株式会社 暗号文照合システム、方法、およびプログラム
JP2016114692A (ja) 2014-12-12 2016-06-23 富士通株式会社 暗号処理装置、暗号処理方法、及び暗号処理プログラム
JP2016167037A (ja) 2015-03-10 2016-09-15 富士通株式会社 暗号処理装置、暗号処理方法、および暗号処理プログラム

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4422981B2 (ja) * 2003-06-12 2010-03-03 パナソニック株式会社 暗号通信システム
US8392708B2 (en) * 2007-10-30 2013-03-05 Hewlett-Packard Development Company, L. P. Auditing data integrity
JP4526574B2 (ja) * 2008-03-31 2010-08-18 富士通株式会社 暗号データ管理システム、および暗号データ管理方法
CN102081727B (zh) * 2009-11-30 2014-04-30 中兴通讯股份有限公司 一种射频识别安全认证方法及系统
JP2014126865A (ja) 2012-12-27 2014-07-07 Fujitsu Ltd 暗号処理装置および方法
JP6229716B2 (ja) 2013-05-15 2017-11-15 日本電気株式会社 照合システム、ノード、照合方法およびプログラム
JP2016012111A (ja) 2014-06-30 2016-01-21 富士通株式会社 暗号処理方法、暗号処理装置、および暗号処理プログラム
JP2016131335A (ja) 2015-01-14 2016-07-21 富士通株式会社 情報処理方法、情報処理プログラムおよび情報処理装置
KR102450295B1 (ko) * 2016-01-04 2022-10-04 한국전자통신연구원 암호 데이터의 중복 제거 방법 및 장치
US10789374B2 (en) * 2016-03-28 2020-09-29 Hitachi, Ltd. Database system and data retrieval method
JP6260067B1 (ja) * 2016-08-09 2018-01-17 Kddi株式会社 管理システム、鍵生成装置、車載コンピュータ、管理方法、及びコンピュータプログラム
WO2018039979A1 (zh) * 2016-08-31 2018-03-08 大宏数创意股份有限公司 数据加解密的方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012114452A1 (ja) 2011-02-22 2012-08-30 三菱電機株式会社 類似度算出システム及び類似度算出装置及びコンピュータプログラム及び類似度算出方法
JP2016111594A (ja) 2014-12-09 2016-06-20 日本電気株式会社 暗号文照合システム、方法、およびプログラム
JP2016114692A (ja) 2014-12-12 2016-06-23 富士通株式会社 暗号処理装置、暗号処理方法、及び暗号処理プログラム
JP2016167037A (ja) 2015-03-10 2016-09-15 富士通株式会社 暗号処理装置、暗号処理方法、および暗号処理プログラム

Also Published As

Publication number Publication date
US11128462B2 (en) 2021-09-21
JPWO2018110608A1 (ja) 2019-10-24
WO2018110608A1 (ja) 2018-06-21
US20190394039A1 (en) 2019-12-26
US20210367783A1 (en) 2021-11-25
US11882218B2 (en) 2024-01-23

Similar Documents

Publication Publication Date Title
JP7127543B2 (ja) 照合システム、方法、装置及びプログラム
Liu et al. An efficient privacy-preserving outsourced calculation toolkit with multiple keys
US10027654B2 (en) Method for authenticating a client device to a server using a secret element
JP5542474B2 (ja) 第1の信号と第2の信号との間の類似性を検証するための方法及びシステム
JP5224481B2 (ja) パスワード認証方法
Maitra et al. An enhanced multi‐server authentication protocol using password and smart‐card: cryptanalysis and design
JP7259868B2 (ja) システムおよびクライアント
WO2014185450A1 (ja) 照合システム、ノード、照合方法およびプログラム
JP6229716B2 (ja) 照合システム、ノード、照合方法およびプログラム
WO2016136142A1 (ja) 暗号文照合システム、方法、および記録媒体
Barman et al. A novel secure key-exchange protocol using biometrics of the sender and receiver
JP6738061B2 (ja) 暗号文照合システム、方法、および記録媒体
Chen et al. Privacy-aware smart card based biometric authentication scheme for e-health
Sarkar et al. A novel session key generation and secure communication establishment protocol using fingerprint biometrics
Sarkar et al. A multi-instance cancelable fingerprint biometric based secure session key agreement protocol employing elliptic curve cryptography and a double hash function
Singamaneni et al. An improved dynamic polynomial integrity based QCP-ABE framework on large cloud data security
WO2018174063A1 (ja) 照合システム、方法、装置及びプログラム
Abdellaoui et al. A robust authentication scheme for telecare medicine information system
Salvakkam et al. Design of fully homomorphic multikey encryption scheme for secured cloud access and storage environment
KR20070035342A (ko) 패스워드 기반의 경량화된 상호 인증 방법
JP5799635B2 (ja) 暗号データ検索システム、装置、方法及びプログラム
Sarkar et al. A cancelable biometric based secure session key agreement protocol employing elliptic curve cryptography
Irshad et al. A secure mutual authenticated key agreement of user with multiple servers for critical systems
CN115336224A (zh) 自适应抗攻击分布式对称加密
Sarkar et al. A cancelable fingerprint biometric based session key establishment protocol

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201104

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220118

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220316

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220510

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220707

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220719

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220801

R151 Written notification of patent or utility model registration

Ref document number: 7127543

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151