JP7295818B2 - 暗号化装置、復号装置、暗号化方法及び暗号化プログラム - Google Patents
暗号化装置、復号装置、暗号化方法及び暗号化プログラム Download PDFInfo
- Publication number
- JP7295818B2 JP7295818B2 JP2020018530A JP2020018530A JP7295818B2 JP 7295818 B2 JP7295818 B2 JP 7295818B2 JP 2020018530 A JP2020018530 A JP 2020018530A JP 2020018530 A JP2020018530 A JP 2020018530A JP 7295818 B2 JP7295818 B2 JP 7295818B2
- Authority
- JP
- Japan
- Prior art keywords
- encryption
- wid
- wildcard
- unit
- algorithm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Description
本発明は、時間指定暗号(Time-Specific Encryption, TSE)を構成する装置、方法及びプログラムに関する。
従来、指定された範囲に含まれる周期(あるいは数値)に対応する秘密鍵によってのみ復号が可能なTSEの構成法が提案されている。
例えば、非特許文献1では、IDベース暗号(Identity-Based Encryption, IBE)(例えば、非特許文献2参照)を用いたTSEの構成法が提案されている。
例えば、非特許文献1では、IDベース暗号(Identity-Based Encryption, IBE)(例えば、非特許文献2参照)を用いたTSEの構成法が提案されている。
ところが、IBEを用いたTSEの構成法では、秘密鍵長が周期総数に応じて増加し、固定長にはなり得ない。そこで、IBEに代えて、ワイルドカードIDベース暗号(Wildcarded Identity-Based Encryption, WIBE)(例えば、非特許文献3~5参照)を用いたTSEの構成法が考えられる。すなわち、秘密鍵長が固定長であるようなWIBE方式を採用することで、TSEの秘密鍵が固定長となる。
K. G. Paterson and E. A. Quaglia. Time-specific encryption. In SCN 2010, volume 6280 of LNCS, pages 1-16. Springer, 2010.
A. Shamir. Identity-based cryptosystems and signature schemes. In CRYPTO 1984, volume 196 of LNCS, pages 47-53. Springer, 1984.
M. Abdalla, J. Birkett, D. Catalano, A.W Dent, J. Malone-Lee, G. Neven, J.C.N. Schuldt, and N.P. Smart. Wildcarded identity-based encryption. Journal of Cryptology, 24(1):42-82, 2011.
M. Abdalla, D. Catalano, A.W. Dent, J. Malone-Lee, G. Neven, and N.P. Smart. Identity-based encryption gone wild. In ICALP 2006, volume 4052 of LNCS, pages 300-311. Springer, 2006.
J. Birkett, A.W Dent, G. Neven, and J.C.N. Schuldt. Efficient chosen-ciphertext secure identity-based encryption with wildcards. In ACISP 2007, volume 4586 of LNCS, pages 274-292. Springer, 2007.
しかしながら、WIBEを用いた自明なTSEの構成法では、暗号文長が長くなるため、実用上の利便性が低いという課題があった。
本発明は、WIBEを用いてTSEを構成する際に、暗号文長を短縮できる暗号化装置、復号装置、暗号化方法及び暗号化プログラムを提供することを目的とする。
本発明に係る暗号化装置は、2d個の数値に対して、それぞれdビットのビット列を割り当てる二値化部と、範囲[L,R]の時間指定暗号における周期に対応する前記数値のそれぞれに割り当てられた前記ビット列の全てをカバーするワイルドカードIDの集合を決定するwID集合決定部と、決定された前記ワイルドカードIDのそれぞれに基づいて、ワイルドカードIDベース暗号方式により平文を暗号化し、当該暗号化の結果の全てを、範囲[L,R]に関する暗号文として出力する暗号化部と、を備え、前記二値化部は、前記数値の並びを再帰的に2分割した際に、分割点を軸に両側のブロックに含まれる前記ビット列のいずれか1ビットのみは反転し、他のビットは対称となるように0又は1を割り当てる。
前記二値化部は、前記数値の並びにおいて、隣り合う数値間で1ビットのみが異なる前記ビット列を割り当ててもよい。
前記暗号化部は、前記周期に対して前記数値を所定の数だけ巡回シフトさせて対応付けてもよい。
前記暗号化装置は、前記数値の並びを再帰的に2分割していく際に得られるブロックのうち、前記範囲[L,R]に含まれる最も大きなブロックの始点において、前記範囲[L,R]を分割する分割部を備え、前記wID集合決定部は、前記分割部により分割された部分範囲毎に前記ワイルドカードIDの集合を決定してもよい。
前記wID集合決定部は、前記部分範囲毎に決定された集合の全体をカバーする前記ワイルドカードIDの集合を決定してもよい。
本発明に係る復号装置は、前記暗号化装置により暗号化された暗号文を、前記ワイルドカードIDベース暗号方式により復号する。
本発明に係る暗号化方法は、2d個の数値に対して、それぞれdビットのビット列を割り当てる二値化ステップと、範囲[L,R]の時間指定暗号における周期に対応する前記数値のそれぞれに割り当てられた前記ビット列の全てをカバーするワイルドカードIDの集合を決定するwID集合決定ステップと、決定された前記ワイルドカードIDのそれぞれに基づいて、ワイルドカードIDベース暗号方式により平文を暗号化し、当該暗号化の結果の全てを、範囲[L,R]に関する暗号文として出力する暗号化ステップと、をコンピュータが実行し、前記二値化ステップにおいて、前記数値の並びを再帰的に2分割した際に、分割点を軸に両側のブロックに含まれる前記ビット列のいずれか1ビットのみは反転し、他のビットは対称となるように0又は1を割り当てる。
本発明に係る暗号化プログラムは、前記暗号化装置としてコンピュータを機能させるためのものである。
本発明によれば、WIBEを用いてTSEを構成する際に、暗号文長を短縮できる。
以下、本発明の実施形態の一例について説明する。
本実施形態は、時間指定暗号(TSE)の構成法に関し、まず、TSEを説明した後、IDベース暗号(IBE)及びワイルドカードIDベース暗号(WIBE)を、さらに、これらを用いた従来の自明なTSEの構成法について説明する。
本実施形態は、時間指定暗号(TSE)の構成法に関し、まず、TSEを説明した後、IDベース暗号(IBE)及びワイルドカードIDベース暗号(WIBE)を、さらに、これらを用いた従来の自明なTSEの構成法について説明する。
[時間指定暗号(TSE)]
TSEは、以下の4つの多項式時間アルゴリズム{Setup,KGen,Enc,Dec}により構成される。なお、Decは確定的アルゴリズムであり、それ以外は確率的アルゴリズムである。
TSEは、以下の4つの多項式時間アルゴリズム{Setup,KGen,Enc,Dec}により構成される。なお、Decは確定的アルゴリズムであり、それ以外は確率的アルゴリズムである。
λ∈N(自然数)として、1λは、秘密鍵長等を決定するセキュリティパラメータである。T∈Nは、周期総数を表す。
セットアップアルゴリズムSetupは、(1λ,1T)を入力として受け取り、システム公開鍵mpkとマスタ秘密鍵mskを出力する。これを、(mpk,msk)←Setup(1λ,1T)と表記する。
このSetupアルゴリズムは、信頼できる第三者機関(Trusted Authority, TA)により実行される。マスタ秘密鍵mskは、TAにより秘密裏に保持される。また、システム公開鍵mpkは、3つのアルゴリズム{KGen,Enc,Dec}に対して入力される。
セットアップアルゴリズムSetupは、(1λ,1T)を入力として受け取り、システム公開鍵mpkとマスタ秘密鍵mskを出力する。これを、(mpk,msk)←Setup(1λ,1T)と表記する。
このSetupアルゴリズムは、信頼できる第三者機関(Trusted Authority, TA)により実行される。マスタ秘密鍵mskは、TAにより秘密裏に保持される。また、システム公開鍵mpkは、3つのアルゴリズム{KGen,Enc,Dec}に対して入力される。
鍵生成アルゴリズムKGenは、マスタ秘密鍵mskと周期(あるいは数値)t∈[0,T-1]とを入力として受け取り、秘密鍵sktを出力する。これを、skt←KGen(msk,t)と表記する。
この鍵生成アルゴリズムKGenは、mskを用いてTAにより実行される。生成された秘密鍵sktは、所定の安全な手段により鍵の所有者に譲渡されるものとする。
この鍵生成アルゴリズムKGenは、mskを用いてTAにより実行される。生成された秘密鍵sktは、所定の安全な手段により鍵の所有者に譲渡されるものとする。
暗号化アルゴリズムEncは、平文m∈M(平文空間)と、範囲[L,R] ⊆[0,T-1]を入力として受け取り、暗号文C[L,R]を出力する。これを、C[L,R]←Enc(m,[L,R])と表記する。
復号アルゴリズムDecは、秘密鍵sktと暗号文C[L,R]とを入力として受け取り、平文m∈Mあるいは復号不可を意味する特殊な記号⊥を出力する。これを、m/⊥←Dec(skt,C[L,R])と表記する。
ここで、いかなるTSE方式も正当(correct)でなければならないとする。TSE方式ΣTSE={Setup,KGen,Enc,Dec}が正当であるとは、ある平文mがある範囲[L,R]の下で正しく暗号化された場合に、この暗号文は、当該範囲に含まれる周期t∈[L,R]に対応する鍵として正しく作られた秘密鍵を用いることで、正しく復号できる場合をいう。正当であることの厳密な定義は次の通りである。
∀λ,T∈N,∀(mpk,msk)←Setup(1λ,1T),∀t∈[0,T-1],∀skt←KGen(msk,t),∀m∈M,∀[L,R]⊆[0,T-1] s.t. t∈[L,R],∀C[L,R]←Enc(m,[L,R]),m←Dec(skt,C[L,R]).
∀λ,T∈N,∀(mpk,msk)←Setup(1λ,1T),∀t∈[0,T-1],∀skt←KGen(msk,t),∀m∈M,∀[L,R]⊆[0,T-1] s.t. t∈[L,R],∀C[L,R]←Enc(m,[L,R]),m←Dec(skt,C[L,R]).
また、TSE方式が満たすべき次のような安全性を想定する。
・いかなる多項式時間攻撃者も、ある平文mの範囲[L,R]の下での暗号文C[L,R]から、平文mに関するいかなる情報(1ビットの情報さえ)も得られない。
なお、攻撃者は、[L,R]に含まれない任意の周期に対応する秘密鍵を自由に入手可能であるとする。
・いかなる多項式時間攻撃者も、ある平文mの範囲[L,R]の下での暗号文C[L,R]から、平文mに関するいかなる情報(1ビットの情報さえ)も得られない。
なお、攻撃者は、[L,R]に含まれない任意の周期に対応する秘密鍵を自由に入手可能であるとする。
[IDベース暗号(IBE)]
IBEは、以下の4つの多項式時間アルゴリズム{Setup,KGen,Enc,Dec}により構成される。
なお、N∈N(自然数)は、ID総数を表し、ID空間を、{0,1}logNと表記する。また、本実施形態において、対数logの基底は2とする。
IBEは、以下の4つの多項式時間アルゴリズム{Setup,KGen,Enc,Dec}により構成される。
なお、N∈N(自然数)は、ID総数を表し、ID空間を、{0,1}logNと表記する。また、本実施形態において、対数logの基底は2とする。
セットアップアルゴリズムSetupは、(1λ,1N)を入力として受け取り、mpkとmskとを出力する。これを、(mpk,msk)←Setup(1λ,1N)と表記する。
鍵生成アルゴリズムKGenは、mskとID∈{0,1}log Nを入力として受け取り、秘密鍵skIDを出力する。これを、skID←KGen(msk,ID)と表記する。
暗号化アルゴリズムEncは、平文m∈Mと、ID∈{0,1}logNとを入力として受け取り、暗号文CIDを出力する。これを、CID←Enc(m,ID)と表記する。
復号アルゴリズムDecは、秘密鍵sktと暗号文CIDとを入力として受け取り、平文m∈Mあるいは復号不可を意味する特殊な記号⊥を出力する。これを、m/⊥←Dec(skt,CID)と表記する。
ここで、いかなるIBE方式も正当(correct)でなければならないとする。IBE方式ΣIBE={Setup,KGen,Enc,Dec}が正当であるとは、ある平文mがあるIDの下で正しく暗号化された場合に、この暗号文は、当該IDに対応する鍵として正しく作られた秘密鍵により、正しく復号される場合をいう。正当であることの厳密な定義は次の通りである。
∀λ,N∈N(自然数),∀(mpk,msk)←Setup(1λ,1N),∀ID∈{0,1}logN,∀skID←KGen(msk,ID),∀m∈M,∀CID←Enc(m,ID),m←Dec(skID,CID).
∀λ,N∈N(自然数),∀(mpk,msk)←Setup(1λ,1N),∀ID∈{0,1}logN,∀skID←KGen(msk,ID),∀m∈M,∀CID←Enc(m,ID),m←Dec(skID,CID).
[ワイルドカードIDベース暗号(WIBE)]
WIBEは、以下の4つの多項式時間アルゴリズム{Setup,KGen,Enc,Dec}により構成される。
なお、N∈N(自然数)は、ID総数を表し、ID空間を、{0,1}logNと表記する。また、ワイルドカードID(wID)空間を、{0,1,*}logNと表記する。
WIBEは、以下の4つの多項式時間アルゴリズム{Setup,KGen,Enc,Dec}により構成される。
なお、N∈N(自然数)は、ID総数を表し、ID空間を、{0,1}logNと表記する。また、ワイルドカードID(wID)空間を、{0,1,*}logNと表記する。
セットアップアルゴリズムSetupは、(1λ,1N)を入力として受け取り、mpkとmskとを出力する。これを、(mpk,msk)←Setup(1λ,1N)と表記する。
鍵生成アルゴリズムKGenは、mskとID∈{0,1}log Nとを入力として受け取り、秘密鍵skIDを出力する。これを、skID←KGen(msk,ID)と表記する。
暗号化アルゴリズムEncは、平文m∈Mと、wID∈{0,1,*}logNとを入力として受け取り、暗号文CwIDを出力する。これを、CwID←Enc(m,wID)と表記する。
復号アルゴリズムDecは、秘密鍵skIDと暗号文CwIDとを入力として受け取り、平文m∈Mあるいは復号不可を意味する特殊な記号⊥を出力する。これを、m/⊥←Dec(skID,CwID)と表記する。
ここで、WIBE方式に関しては、wID条件合致判定アルゴリズムMatchを次のように定義する。
図1は、wID条件合致判定アルゴリズムMatchlogNの定義を示す図である。
MatchlogNは、ID∈{0,1}logN及びwID∈{0,1,*}logNを入力として受け取り、IDがwIDの条件に合致する場合にtrueを、合致しない場合にfalseを出力する。これを、true/false←MatchlogN(ID,wID)と表記する。
MatchlogNは、ID∈{0,1}logN及びwID∈{0,1,*}logNを入力として受け取り、IDがwIDの条件に合致する場合にtrueを、合致しない場合にfalseを出力する。これを、true/false←MatchlogN(ID,wID)と表記する。
いかなるWIBE方式も正当(correct)でなければならないとする。WIBE方式ΣWIBE={Setup,KGen,Enc,Dec}が正当であるとは、ある平文mがあるwIDの下で正しく暗号化された場合に、この暗号文は、wIDの条件を満足するIDに対応する鍵として正しく作られた秘密鍵により、正しく復号される場合をいう。正当であることの厳密な定義は次の通りである。
∀λ,N∈N(自然数),∀(mpk,msk)←Setup(1λ,1N),∀ID∈{0,1}logN,∀skID←KGen(msk,ID),∀m∈M,∀wID∈{0,1,*}logN s.t. true←MatchlogN(ID,wID),∀CwID←Enc(m,wID),m←Dec(skID,CwID).
∀λ,N∈N(自然数),∀(mpk,msk)←Setup(1λ,1N),∀ID∈{0,1}logN,∀skID←KGen(msk,ID),∀m∈M,∀wID∈{0,1,*}logN s.t. true←MatchlogN(ID,wID),∀CwID←Enc(m,wID),m←Dec(skID,CwID).
[IBEを用いたTSEの構成法]
非特許文献1で提案された、IBEをブラックボックス的に用いたTSEの構成法は以下の通りである。
まず、周期の総数をT∈Nとする。
非特許文献1で提案された、IBEをブラックボックス的に用いたTSEの構成法は以下の通りである。
まず、周期の総数をT∈Nとする。
図2は、IBEを用いたTSEの構成法に関する、葉ノードの総数がTである完全二分木を例示する図である。
ここでは、T=8の場合を例示している。
各葉ノードは、各周期に対応するものとする。具体的には、葉ノードbt∈{0,1}logTは、周期Σi=0 logT-12ibt[i]∈[0,T-1]に対応する。
なお、本実施形態では、ビット列b∈{0,1}Nについて、b[i]は、bの第i∈[0,N-1]ビットを表す。
ここでは、T=8の場合を例示している。
各葉ノードは、各周期に対応するものとする。具体的には、葉ノードbt∈{0,1}logTは、周期Σi=0 logT-12ibt[i]∈[0,T-1]に対応する。
なお、本実施形態では、ビット列b∈{0,1}Nについて、b[i]は、bの第i∈[0,N-1]ビットを表す。
以下、i∈[0,logT-1]について、bt,i:=bt[logT-1]∥…∥bt[logT-1-i]とする。また、bt,-1:=φとする。
また、ノードb∈{0,1}≦logTについて、bを入力として受け取り、bの子孫に該当する葉ノードの集合を出力する確定的関数をAnclogTとする。例えば、Anc3(0)={000,001,010,011}、Anc3(11)={110,111}である。
また、確定的関数CoverlogTは、0≦L≦R≦T-1を満たす範囲[L,R]を入力として受け取り、次の条件を満たすノード集合CoverlogT([L,R])={b∈{0,1}≦logT}を出力する。
{∪b∈Cover_logT([L,R])Anc(b)}=[L,R]、かつ、集合内の要素数|CoverlogT([L,R])|が最小である。
例えば、Cover3([1,3])={001,01}、Cover3([1,6])={001,01,10,110}である。
また、ノードb∈{0,1}≦logTについて、bを入力として受け取り、bの子孫に該当する葉ノードの集合を出力する確定的関数をAnclogTとする。例えば、Anc3(0)={000,001,010,011}、Anc3(11)={110,111}である。
また、確定的関数CoverlogTは、0≦L≦R≦T-1を満たす範囲[L,R]を入力として受け取り、次の条件を満たすノード集合CoverlogT([L,R])={b∈{0,1}≦logT}を出力する。
{∪b∈Cover_logT([L,R])Anc(b)}=[L,R]、かつ、集合内の要素数|CoverlogT([L,R])|が最小である。
例えば、Cover3([1,3])={001,01}、Cover3([1,6])={001,01,10,110}である。
周期t∈[0,T-1]の秘密鍵は、skt:={skt,i:=IBE.KGen(msk,bt,i)|i∈[-1,logT-1]}により生成される。また、範囲[L,R]上の平文mの暗号文は、Cm,[L,R]:={Cm,b:=IBE.Enc(m,b)|b∈CoverlogT([L,R])}により生成される。
暗号文Cm,[L,R]の秘密鍵sktによる復号手順は以下の通りである。
まず、t∈[L,R]ならば、あるi∈[-1,logT-1]が存在し、bt,i∈CoverlogT([L,R])が成立する。秘密鍵skt及び暗号文Cm,[L,R]内のbt,iに対応する部分秘密鍵及び部分暗号文を、skt,i及びCm,bt,i)と表記する。これらを用いて、m/⊥←IBE.Dec(skt,Cm,bt,i)を復号結果とする。
まず、t∈[L,R]ならば、あるi∈[-1,logT-1]が存在し、bt,i∈CoverlogT([L,R])が成立する。秘密鍵skt及び暗号文Cm,[L,R]内のbt,iに対応する部分秘密鍵及び部分暗号文を、skt,i及びCm,bt,i)と表記する。これらを用いて、m/⊥←IBE.Dec(skt,Cm,bt,i)を復号結果とする。
[WIBEを用いたTSEの自明な構成法]
前述のIBEを用いたTSEの構成法では、各周期tの秘密鍵sktは、logT+1個の(ID総数がTのIBE方式ΣIBE Tの)秘密鍵により構成される。IBE方式ΣIBE Tの秘密鍵長をK(ΣIBE T)と表記すると、TSEの秘密鍵長は(logT+1)・K(ΣIBE T)により表記される。つまり、TSEの秘密鍵長は、少なくともlogT+1に対して線形に増加し、たとえK(ΣIBE T)が固定長であったとしても、TSEの秘密鍵長は固定長にはなり得ない。
この問題を解決するために、IBEの代わりにWIBEを用いた自明なTSEの構成法が考えられる。
前述のIBEを用いたTSEの構成法では、各周期tの秘密鍵sktは、logT+1個の(ID総数がTのIBE方式ΣIBE Tの)秘密鍵により構成される。IBE方式ΣIBE Tの秘密鍵長をK(ΣIBE T)と表記すると、TSEの秘密鍵長は(logT+1)・K(ΣIBE T)により表記される。つまり、TSEの秘密鍵長は、少なくともlogT+1に対して線形に増加し、たとえK(ΣIBE T)が固定長であったとしても、TSEの秘密鍵長は固定長にはなり得ない。
この問題を解決するために、IBEの代わりにWIBEを用いた自明なTSEの構成法が考えられる。
図3は、WIBEを用いた自明なTSEの構成法に関する、葉ノードの総数がTである完全二分木を例示する図である。
この二分木では、IBEを用いたTSEの構成法の場合(図2)と比べて、ビット長がlogT未満のノードは、その末尾にワイルドカードビット(*)が不足分追加される。また、周期t∈[0,T-1]の秘密鍵sktがskt:=WIBE.KGen(msk,t)により生成され、構成要素のWIBE方式の単一の秘密鍵のみにより構成される。
したがって、この構成法による秘密鍵長は、K(ΣWIBE T)により表される。つまり、構成要素として秘密鍵長が固定長であるようなWIBE方式を採用することで、TSEの秘密鍵長を固定長にすることができる。
この二分木では、IBEを用いたTSEの構成法の場合(図2)と比べて、ビット長がlogT未満のノードは、その末尾にワイルドカードビット(*)が不足分追加される。また、周期t∈[0,T-1]の秘密鍵sktがskt:=WIBE.KGen(msk,t)により生成され、構成要素のWIBE方式の単一の秘密鍵のみにより構成される。
したがって、この構成法による秘密鍵長は、K(ΣWIBE T)により表される。つまり、構成要素として秘密鍵長が固定長であるようなWIBE方式を採用することで、TSEの秘密鍵長を固定長にすることができる。
ここで、WIBEを用いた自明なTSEの構成法において、範囲[L,R]の暗号文Cm,[L,R]のビット長は、Σb∈Cover_logT(L,R)|Cm,b|と表記される。ただし、Cm,b:=WIBE.Enc(m,b)である。
この自明なTSEの構成法では、WIBEの性質を十分に活かしきれておらず、構成法を工夫することで暗号文長をより短くできる余地を残している。本実施形態では、自明な構成法と比べ、全ての範囲[L,R]に関して、暗号文長|Cm,[L,R]|がより短くなる非自明な構成法を示す。
この自明なTSEの構成法では、WIBEの性質を十分に活かしきれておらず、構成法を工夫することで暗号文長をより短くできる余地を残している。本実施形態では、自明な構成法と比べ、全ての範囲[L,R]に関して、暗号文長|Cm,[L,R]|がより短くなる非自明な構成法を示す。
[WIBEを用いた非自明なTSEの第1の構成法]
本実施形態におけるWIBEを用いた非自明なTSEの構成法では、TSE方式{TSE.Setup,TSE.KGen,TSE.Enc,TSE.Dec}が、WIBE方式{WIBE.Setup,WIBE.KGen,WIBE.Enc,WIBE.Dec}及び6つの補助的アルゴリズム{BinarizelogT,ClassifylogT,DividelogT,Latter_WIDlogT,Former_WIDlogT,MergelogT}を用いて構成される。
以下、非自明なTSEの構成法を実現した暗号化装置1の機能構成を示し、続いて、補助的アルゴリズム、及び構成されたTSE方式のアルゴリズムを説明する。
本実施形態におけるWIBEを用いた非自明なTSEの構成法では、TSE方式{TSE.Setup,TSE.KGen,TSE.Enc,TSE.Dec}が、WIBE方式{WIBE.Setup,WIBE.KGen,WIBE.Enc,WIBE.Dec}及び6つの補助的アルゴリズム{BinarizelogT,ClassifylogT,DividelogT,Latter_WIDlogT,Former_WIDlogT,MergelogT}を用いて構成される。
以下、非自明なTSEの構成法を実現した暗号化装置1の機能構成を示し、続いて、補助的アルゴリズム、及び構成されたTSE方式のアルゴリズムを説明する。
図4は、暗号化装置1の機能構成を示す図である。
暗号化装置1は、サーバ装置又はパーソナルコンピュータ等の情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、各種データの入出力デバイス及び通信デバイス等を備える。
暗号化装置1は、サーバ装置又はパーソナルコンピュータ等の情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、各種データの入出力デバイス及び通信デバイス等を備える。
制御部10は、暗号化装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各機能を実現する。制御部10は、CPUであってよい。
記憶部20は、ハードウェア群を暗号化装置1として機能させるための各種プログラム(暗号化プログラム)、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスクドライブ(HDD)等であってよい。
制御部10は、二値化部11と、クラス分類部12と、分割部13と、wID集合決定部14と、セットアップ部15と、鍵生成部16と、暗号化部17と、復号部18とを備える。
また、wID集合決定部14は、後半wID集合確定部141と、前半wID集合確定部142と、前後半wID集合合併部143とを備える。
また、wID集合決定部14は、後半wID集合確定部141と、前半wID集合確定部142と、前後半wID集合合併部143とを備える。
図5は、二値化アルゴリズムBinarizelogTの定義を示す図である。
二値化部11は、二値化アルゴリズムにより、周期t∈[0,T-1](or t∈{0,1}logT)を入力として受け取り、tに対応する二進数のビット列とは必ずしも一致しない特殊なビット列b∈{0,1}logTを出力する。なお、図中では、d=logTとする。
二値化部11は、二値化アルゴリズムにより、周期t∈[0,T-1](or t∈{0,1}logT)を入力として受け取り、tに対応する二進数のビット列とは必ずしも一致しない特殊なビット列b∈{0,1}logTを出力する。なお、図中では、d=logTとする。
図6は、二値化アルゴリズムの実行例を示す図である。
ここでは、T=32とし、入力である周期t∈[0,31]と、出力であるビット列(二進数数値)b∈{0,1}5との対応関係を示している。
ここでは、T=32とし、入力である周期t∈[0,31]と、出力であるビット列(二進数数値)b∈{0,1}5との対応関係を示している。
出力されるビット列は、tに対応する二進数のビット列とは異なり、次のような特徴を有している。
・隣り合うtで1ビットのみが異なる。
・tの昇順の並びを再帰的に2分割していった際に、分割された左右のビット列の並びが1ビットを除いて対称となっている。
・隣り合うtで1ビットのみが異なる。
・tの昇順の並びを再帰的に2分割していった際に、分割された左右のビット列の並びが1ビットを除いて対称となっている。
図7は、クラス分類アルゴリズムClassifylogTの定義を示す図である。
クラス分類部12は、クラス分類アルゴリズムにより、周期t∈[0,T-1]を入力として受け取り、クラス番号i∈[0,logT]を出力する。具体的には、t=0の場合、logTを出力し、t∈[1,T-1]の場合、t mod 2i+1=2iを満たすi∈[0,logT-1]を出力する。
クラス分類部12は、クラス分類アルゴリズムにより、周期t∈[0,T-1]を入力として受け取り、クラス番号i∈[0,logT]を出力する。具体的には、t=0の場合、logTを出力し、t∈[1,T-1]の場合、t mod 2i+1=2iを満たすi∈[0,logT-1]を出力する。
図8は、クラス分類アルゴリズムの実行例を示す図である。
ここでは、T∈{4,8,16,32}の場合の出力をそれぞれ示している。
tの昇順の並びを再帰的に2分割していった際に、分割された右側のブロックの左端のtに対して、左側のブロックの左端のクラス番号-1が割り当てられる。これにより、1ビットを除いて左右対称となっているビット列のブロック内において、左端のクラス番号が最大となる。
ここでは、T∈{4,8,16,32}の場合の出力をそれぞれ示している。
tの昇順の並びを再帰的に2分割していった際に、分割された右側のブロックの左端のtに対して、左側のブロックの左端のクラス番号-1が割り当てられる。これにより、1ビットを除いて左右対称となっているビット列のブロック内において、左端のクラス番号が最大となる。
図9は、分割アルゴリズムDividelogTの定義を示す図である。
分割部13は、分割アルゴリズムにより、L∈[0,T-1]かつR∈[0,T-1]を満たす[L,R](L>Rの場合、[L,T-1]∪[0,R])を入力として受け取り、この範囲を前半範囲[L,D-1]と後半範囲[D,R]へ二分割する分割点D∈[L,R]を出力する。
分割点Dは、範囲[L,R]内の数値のうち、最もクラス番号の大きい数値である。すなわち、範囲[L,R]に含まれる最も大きなブロックの区切りで二分割される。L>Rの場合、必ずD=0になる。
分割部13は、分割アルゴリズムにより、L∈[0,T-1]かつR∈[0,T-1]を満たす[L,R](L>Rの場合、[L,T-1]∪[0,R])を入力として受け取り、この範囲を前半範囲[L,D-1]と後半範囲[D,R]へ二分割する分割点D∈[L,R]を出力する。
分割点Dは、範囲[L,R]内の数値のうち、最もクラス番号の大きい数値である。すなわち、範囲[L,R]に含まれる最も大きなブロックの区切りで二分割される。L>Rの場合、必ずD=0になる。
図10は、分割アルゴリズムの実行例を示す図である。
ここでは、T=32とし、[L,R]∈{[0,30],[9,30],[1,30],[2,0]}の場合の分割点を、それぞれ△で示している。
例えば、範囲が[0,30]の場合は、クラス番号が5の分割点D=0、範囲が[9,30]及び[1,31]の場合は、クラス番号が4の分割点D=16、範囲が[2,0]の場合は、クラス番号が5の分割点D=0が出力される。
ここでは、T=32とし、[L,R]∈{[0,30],[9,30],[1,30],[2,0]}の場合の分割点を、それぞれ△で示している。
例えば、範囲が[0,30]の場合は、クラス番号が5の分割点D=0、範囲が[9,30]及び[1,31]の場合は、クラス番号が4の分割点D=16、範囲が[2,0]の場合は、クラス番号が5の分割点D=0が出力される。
図11は、後半wID集合確定アルゴリズムLatter_WIDlogTの定義を示す図である。
後半wID集合確定部141は、後半wID集合確定アルゴリズムにより、後半範囲[D,R]を入力として受け取り、wID集合T[D,R]={wIDi|i∈[1,n1]}を出力する。全てのT∈N s.t. logT∈N、及びL∈[0,T-1]かつR∈[0,T-1]を満たす全てのL,Rについて、D←DividelogT(L,R)とした場合、
が存在し、以下の2つの条件を満たす。
後半wID集合確定部141は、後半wID集合確定アルゴリズムにより、後半範囲[D,R]を入力として受け取り、wID集合T[D,R]={wIDi|i∈[1,n1]}を出力する。全てのT∈N s.t. logT∈N、及びL∈[0,T-1]かつR∈[0,T-1]を満たす全てのL,Rについて、D←DividelogT(L,R)とした場合、
(1)後半範囲[D,R]は、2k個の数値からなる前述のブロックの集合として、次のように表現できる。
(2)全てのi∈[1,n1]について、あるwIDi∈{0,1,*}logTが存在し、wIDiは以下を満たす。
・|wIDi|*=ki.
・後半範囲[D,R]の部分範囲である、
をカバーする。
・|wIDi|*=ki.
・後半範囲[D,R]の部分範囲である、
ただし、wID∈{0,1,*}logTについて、|wID|*∈[0,logT]は、ワイルドカードビット総数を表す。つまり、
である。
また、「wID∈{0,1,*}logTが[x,y]⊆[0,T-1]をカバーする」とは、[0,T-1]に含まれる全数値のうち、範囲[x,y]に含まれる数値に対応する二進数数値のみが、wIDの条件を満たす場合をいう。
また、「wID∈{0,1,*}logTが[x,y]⊆[0,T-1]をカバーする」とは、[0,T-1]に含まれる全数値のうち、範囲[x,y]に含まれる数値に対応する二進数数値のみが、wIDの条件を満たす場合をいう。
図12は、前半wID集合確定アルゴリズムFormer_WIDlogTの定義を示す図である。
前半wID集合確定部142は、前半wID集合確定アルゴリズムにより、前半範囲[L,D-1]を入力として受け取り、wID集合T[L,D-1]={wIDi|i∈[n1+1,n2]}を出力する。全てのT∈N s.t. logT∈N、及びL∈[0,T-1]かつR∈[0,T-1]を満たす全てのL,Rについて、D←DividelogT(L,R)とした場合、
が存在し、以下の2つの条件を満たす。
前半wID集合確定部142は、前半wID集合確定アルゴリズムにより、前半範囲[L,D-1]を入力として受け取り、wID集合T[L,D-1]={wIDi|i∈[n1+1,n2]}を出力する。全てのT∈N s.t. logT∈N、及びL∈[0,T-1]かつR∈[0,T-1]を満たす全てのL,Rについて、D←DividelogT(L,R)とした場合、
(1)前半範囲[L,D-1]は、2k個の数値からなる前述のブロックの集合として、次のように表現できる。
(2)全てのi∈[n1+1,n2]について、あるwIDi∈{0,1,*}logTが存在し、wIDiは以下を満たす。
・|wIDi|*=ki.
・wIDiは、前半範囲[L,D-1]の部分範囲である、
をカバーする。
・|wIDi|*=ki.
・wIDiは、前半範囲[L,D-1]の部分範囲である、
図13は、前後半wID集合合併アルゴリズムMergelogTの定義を示す図である。
前後半wID集合合併部143は、前後半wID集合合併アルゴリズムにより、前後半wID集合T[D,R],T[L,D-1]を受け取り、wID集合T[L,R]を出力する。
前後半wID集合合併部143は、前後半wID集合合併アルゴリズムにより、前後半wID集合T[D,R],T[L,D-1]を受け取り、wID集合T[L,R]を出力する。
まず、以下の条件を満たす自然数n*を定義する。
このとき、全てのi∈[1,n*]について、以下の条件を満たすwID′i∈{0,1,*}logTが存在する。
・|wID′i|*=ki+1=kn1+i+1.
・wID′iは、wIDiとwIDn1+iによりカバーされる各範囲の和集合により定義される範囲、すなわち、
をカバーする。
・|wID′i|*=ki+1=kn1+i+1.
・wID′iは、wIDiとwIDn1+iによりカバーされる各範囲の和集合により定義される範囲、すなわち、
図14は、後半wID集合確定アルゴリズム、前半wID集合確定アルゴリズム、及び前後半wID集合合併アルゴリズムのそれぞれの実行後の状態を例示する図である。
ここでは、T=32,[L,R]=[1,30],D=16の場合を例示しており、Step1には、分割アルゴリズムの実行例(図10)を示している。
ここでは、T=32,[L,R]=[1,30],D=16の場合を例示しており、Step1には、分割アルゴリズムの実行例(図10)を示している。
後半wID集合確定アルゴリズムでは、T[D,R]:={wIDi|i∈[1,n1]}が出力される。
Step2に示す実行例の場合、図中で同一の数字が割り当てられた周期tは、単一のwID∈{0,1,*}5によりカバーされる。具体的には、n1=4,k1=3,k2=2,k3=1,k4=0,wID1=11***,wID2=101**,wID3=1001*,wID4=10001である。結果として、T[16,30]={wID1,wID2,wID3,wID4}={11***,101**,1001*,10001}が出力される。
Step2に示す実行例の場合、図中で同一の数字が割り当てられた周期tは、単一のwID∈{0,1,*}5によりカバーされる。具体的には、n1=4,k1=3,k2=2,k3=1,k4=0,wID1=11***,wID2=101**,wID3=1001*,wID4=10001である。結果として、T[16,30]={wID1,wID2,wID3,wID4}={11***,101**,1001*,10001}が出力される。
前半wID集合確定アルゴリズムでは、T[L,D-1]:={wIDi|i∈[n1+1,n2]}が出力される。
Step3に示す実行例の場合、図中で同一の数字が割り当てられた周期tは、単一のwID∈{0,1,*}5によりカバーされる。具体的には、n2=4,n1+n2=8,k5=3,k6=2,k7=1,k8=0,wID5=01***,wID6=001**,wID7=0001*,wID8=00001である。結果として、T[1,15]={wID5,wID6,wID7,wID8}={01***,001**,0001*,00001}が出力される。
Step3に示す実行例の場合、図中で同一の数字が割り当てられた周期tは、単一のwID∈{0,1,*}5によりカバーされる。具体的には、n2=4,n1+n2=8,k5=3,k6=2,k7=1,k8=0,wID5=01***,wID6=001**,wID7=0001*,wID8=00001である。結果として、T[1,15]={wID5,wID6,wID7,wID8}={01***,001**,0001*,00001}が出力される。
前後半wID集合合併アルゴリズムでは、
が出力される。
Step4に示す実行例の場合、図中で同一の数字が割り当てられた周期tは、単一のwID∈{0,1,*}5によりカバーされる。具体的には、n*=4,wID′1=*1***,wID′2=*01**,wID′3=*001*,wID′4=*0001である。結果として、T[1,30]={wID′1,wID′2,wID′3,wID′4}={*1***,*01**,*001*,*0001}である。
Step4に示す実行例の場合、図中で同一の数字が割り当てられた周期tは、単一のwID∈{0,1,*}5によりカバーされる。具体的には、n*=4,wID′1=*1***,wID′2=*01**,wID′3=*001*,wID′4=*0001である。結果として、T[1,30]={wID′1,wID′2,wID′3,wID′4}={*1***,*01**,*001*,*0001}である。
図15は、セットアップアルゴリズムTSE.Setupの定義を示す図である。
セットアップ部15は、セットアップアルゴリズムとして、前述したWIBE方式のセットアップアルゴリズムを実行する。
セットアップ部15は、セットアップアルゴリズムとして、前述したWIBE方式のセットアップアルゴリズムを実行する。
図16は、鍵生成アルゴリズムTSE.KGenの定義を示す図である。
鍵生成部16は、鍵生成アルゴリズムにより、前述したWIBE方式の鍵生成アルゴリズムを使用し、ID:=BinarizelogT(t)に対応する秘密鍵を生成する。
鍵生成部16は、鍵生成アルゴリズムにより、前述したWIBE方式の鍵生成アルゴリズムを使用し、ID:=BinarizelogT(t)に対応する秘密鍵を生成する。
図17は、暗号化アルゴリズムTSE.Encの定義を示す図である。
暗号化部17は、暗号化アルゴリズムにより、DividelogT,Latter_WIDlogT,Former_WIDlogT,MergelogTを順に実行し、範囲[L,R]に対応するwID集合T[L,R]を導出する。その後、暗号化部17は、集合内の各wIDの下で、平文mをWIBE方式の暗号化アルゴリズムにより暗号化し、これらの暗号文全てを、範囲[L,R]に関する平文mの暗号文として出力する。
暗号化部17は、暗号化アルゴリズムにより、DividelogT,Latter_WIDlogT,Former_WIDlogT,MergelogTを順に実行し、範囲[L,R]に対応するwID集合T[L,R]を導出する。その後、暗号化部17は、集合内の各wIDの下で、平文mをWIBE方式の暗号化アルゴリズムにより暗号化し、これらの暗号文全てを、範囲[L,R]に関する平文mの暗号文として出力する。
図18は、復号アルゴリズムTSE.Decの定義を示す図である。
秘密鍵sktに関連付けられた周期をt∈[0,T-1]、暗号文C[L,R]に関連付けられた範囲を[L,R]とする。また、ID:=BinarizelogT(t)とする。t∈[L,R]であれば、true←WIBE.MatchlogT(ID,wID)を満たすwID∈{0,1,*}logTが集合T[L,R]内に確実に存在する。
復号部18は、復号アルゴリズムにより、このwIDに対応するC[L,R]内の暗号文要素をCとし、Cを、sktを用いてWIBE方式の復号アルゴリズムにより復号した結果を出力する。
秘密鍵sktに関連付けられた周期をt∈[0,T-1]、暗号文C[L,R]に関連付けられた範囲を[L,R]とする。また、ID:=BinarizelogT(t)とする。t∈[L,R]であれば、true←WIBE.MatchlogT(ID,wID)を満たすwID∈{0,1,*}logTが集合T[L,R]内に確実に存在する。
復号部18は、復号アルゴリズムにより、このwIDに対応するC[L,R]内の暗号文要素をCとし、Cを、sktを用いてWIBE方式の復号アルゴリズムにより復号した結果を出力する。
本実施形態によるWIBEを用いた非自明なTSEの構成法によれば、自明なTSEの構成法に比べて、以下の作用効果が期待できる。
まず、WIBEを用いた非自明なTSEの構成法において、暗号化処理の実行過程で作られるwID集合を、T[D,R],T[L,D-1],T[L,R]と表記する。対して、WIBEを用いた自明なTSEの構成法におけるwID集合を、T′[L,R]と表記する。
このとき、いかなるL,R,Dに関しても、T[D,R]∪T[L,D-1]とT′[L,R]とは、構造的に等価になる。すなわち、一方の集合に[L,R]のある部分範囲[l,r]⊆[L,R]をカバーするwID∈{0,1,*}logTが存在するならば、他方の集合にも同一の部分範囲をカバーするwID′∈{0,1,*}logTが存在する。
このとき、いかなるL,R,Dに関しても、T[D,R]∪T[L,D-1]とT′[L,R]とは、構造的に等価になる。すなわち、一方の集合に[L,R]のある部分範囲[l,r]⊆[L,R]をカバーするwID∈{0,1,*}logTが存在するならば、他方の集合にも同一の部分範囲をカバーするwID′∈{0,1,*}logTが存在する。
また、いかなるT,L,R,D、いかなる平文m、いかなるWIBE方式に関しても、構造的に等価な2つのwID集合T[L,R],T′[L,R]をもとにして作られるWIBE暗号文の長さは等価になる。要するに、
が成り立つ。したがって、T[D,R]∪T[L,D-1]をもとにして作られるWIBE暗号文の長さと、T′[L,R]をもとにして作られるWIBE暗号文の長さとは等価になる。
さらに、T[L,R]をもとにして作られるWIBE暗号文の長さと、T[D,R]∪T[L,D-1]をもとにして作られるWIBE暗号文の長さは、前者の方がいかなる[L,R]に関しても、より短くなるか、等価になる。
さらに、T[L,R]をもとにして作られるWIBE暗号文の長さと、T[D,R]∪T[L,D-1]をもとにして作られるWIBE暗号文の長さは、前者の方がいかなる[L,R]に関しても、より短くなるか、等価になる。
[L,R]によっては、両wID集合が等価になる(例えば、図10の[9,30],[2,0])。このような場合、それぞれのwID集合をもとにして作られるWIBE暗号文長は等価になる。
一方で、両wID集合が等価にならない場合もある(例えば、図10の[0,30],[1,30])。このような場合、それぞれのwID集合をもとにして作られるWIBE暗号文長は、前者がより短くなる。
一方で、両wID集合が等価にならない場合もある(例えば、図10の[0,30],[1,30])。このような場合、それぞれのwID集合をもとにして作られるWIBE暗号文長は、前者がより短くなる。
なお、暗号文長が相対的に最も短くなるのは、Dを中心にL,Rが対称的に位置している場合である。これは、例えば、図10の[1,30]が該当する。他にも、例えばT=32の場合、[1,14],[17,22],[15,16]等、多くの例が存在する。これらの場合、暗号文のビット長は半減、あるいは、ほぼ半減する。
ここで、暗号文長に着目して、既存のWIBE方式を分類すると、いかなるwID∈{0,1,*}Nに関しても暗号文長が固定である方式(例えば、非特許文献3-4のBoneh-Boyen WIBE方式及びWaters WIBE方式)と、暗号文長が|wID|*∈{0,1,*}Nに対して線形に増加する方式(例えば、非特許文献3-4のBoneh-Boyen-Goh WIBE方式)と、の2種類に大別できる。本実施形態によれば、前者の場合、暗号文のビット長は丁度半減し、後者の場合、ほぼ半減する。
このように、本実施形態によるWIBEを用いた非自明なTSEの構成法では、WIBEを用いた自明なTSEの構成法と比較して、利用するWIBE方式を確定した結果として具体的に作られるTSE方式の暗号文長がより短くなる。具体的には、全ての範囲[L,R]に関して、当該範囲に関する暗号文の長さは、より短くなるか等価になり、より長くなることはない。
また、暗号化装置1は、範囲[L,R]を前半及び後半に分割することにより、それぞれの部分範囲において、効率的にwID集合を決定できる。
さらに、暗号化装置1は、部分範囲毎に求めたwID集合をカバーするwID集合を決定することにより、wID集合を縮小できる可能性がある。この結果、暗号文が短くなることが期待できる。
さらに、暗号化装置1は、部分範囲毎に求めたwID集合をカバーするwID集合を決定することにより、wID集合を縮小できる可能性がある。この結果、暗号文が短くなることが期待できる。
[WIBEを用いた非自明なTSEの第2の構成法]
本実施形態は、図6に示された周期tに対応するビットパターンのみならず、様々なビットパターンに対して有効である。例えば、図6のビットパターンに対して、以下の3つの操作のうちのいずれか1つの操作、あるいは複数を組み合わせた操作を実行して得られる全てのパターンに対して有効である。
1. 複数の行を入れ替える。
2. 各行において、0と1とを置換する。
3. 全ての列を、一定数分、右方向に巡回シフトする。
本実施形態は、図6に示された周期tに対応するビットパターンのみならず、様々なビットパターンに対して有効である。例えば、図6のビットパターンに対して、以下の3つの操作のうちのいずれか1つの操作、あるいは複数を組み合わせた操作を実行して得られる全てのパターンに対して有効である。
1. 複数の行を入れ替える。
2. 各行において、0と1とを置換する。
3. 全ての列を、一定数分、右方向に巡回シフトする。
これらの操作を厳密に定義するために、関数f、関数h、整数δを導入する。
例えば、図6のビットパターンは、T=32の場合の全てのt∈[0,T-1]について、図5のBinarize5を実行することにより、求められたものである。同様にして、任意のT(ただし、logTは自然数であるとする)について、図6のような周期t∈[0,T-1]と二進数数値b∈{0,1}logTとの対応関係を求めることができる。
例えば、図6のビットパターンは、T=32の場合の全てのt∈[0,T-1]について、図5のBinarize5を実行することにより、求められたものである。同様にして、任意のT(ただし、logTは自然数であるとする)について、図6のような周期t∈[0,T-1]と二進数数値b∈{0,1}logTとの対応関係を求めることができる。
このようにして求められるtとbとの対応関係においては、bの各ビットに、それぞれ異なる(0,1)のパターンが割り当てられる。(0,1)のパターンは全部でbのビット数(logT)種類あり、それぞれ0と1の切り替わり間隔(頻度)が異なる。厳密には、2logT-1間隔で切り替わる最も低頻度のパターン、2logT-2間隔で切り替わった後2logT-1間隔で切り替わるパターン、…、2間隔で切り替わった後4間隔で切り替わるパターン、1間隔で切り替わった後2間隔で切り替わる最も高頻度のパターンが存在する。
全単射関数f:{0,1,…,logT-1}→{0,1,…,logT-1}は、各ビットをいずれの(0,1)のパターンに割り当てるかを定義する。具体的には、ビットi∈{0,1,…,logT-1}を、始めにf(i)∈{0,1,…,logT-1}間隔で切り替わる(0,1)のパターンに割り当てる。
関数h:{0,1,…,logT-1}→{0,1}は、各ビットi∈{0,1,…,logT-1}において、(0,1)のパターンの初期値を、0とするか1とするかを定義する。
整数δ∈{0,…,T-1}は、二進数数値b=h[logT-1]∥h[logT-2]∥…∥h[1]∥h[0]を、どの周期t∈{0,…,T-1}に対応付けるかのシフト量を定義する。
図19は、関数f、関数hを導入した二値化アルゴリズムBinarizelogTの定義を示す図である。
二値化部11は、二値化アルゴリズムにより、周期t∈[0,T-1](or t∈{0,1}logT)を入力として受け取り、tに対応する二進数ビット列とは必ずしも一致しない特殊なビット列b∈{0,1}logTを出力する。なお、図中では、d=logTとする。
二値化部11は、二値化アルゴリズムにより、周期t∈[0,T-1](or t∈{0,1}logT)を入力として受け取り、tに対応する二進数ビット列とは必ずしも一致しない特殊なビット列b∈{0,1}logTを出力する。なお、図中では、d=logTとする。
なお、この定義では、整数δが考慮されていないが、二値化アルゴリズムの呼び出し時に、tに代えてt-δ mod 2dを入力とすることで、tを右方向にδだけ巡回シフトした対応関係が得られる。
例えば、図6の実行例は、
T:=32
f({0,1,2,3,4}):={0,1,2,3,4}
h({0,1,2,3,4}):={0,0,0,0,0}
δ:=0
とすることで定まる周期t∈[0,31]と二進数数値b∈{0,1}5との対応関係を示している。
T:=32
f({0,1,2,3,4}):={0,1,2,3,4}
h({0,1,2,3,4}):={0,0,0,0,0}
δ:=0
とすることで定まる周期t∈[0,31]と二進数数値b∈{0,1}5との対応関係を示している。
図20は、二値化アルゴリズムを変形した第1の実行例を示す図である。
この例は、図6の実行例に対して、関数fのみを以下のように変更して得られるtとbとの対応関係を示している。
f({0,1,2,3,4}):={4,3,2,1,0}
この例は、図6の実行例に対して、関数fのみを以下のように変更して得られるtとbとの対応関係を示している。
f({0,1,2,3,4}):={4,3,2,1,0}
図21は、二値化アルゴリズムを変形した第2の実行例を示す図である。
この例は、図6の実行例に対して、関数hのみを以下のように変更して得られるtとbとの対応関係を示している。
h({0,1,2,3,4}):={1,1,1,1,1}
この例は、図6の実行例に対して、関数hのみを以下のように変更して得られるtとbとの対応関係を示している。
h({0,1,2,3,4}):={1,1,1,1,1}
図22は、二値化アルゴリズムを変形した第3の実行例を示す図である。
この例は、図6の実行例に対して、整数δのみを以下のように変更して得られるtとbとの対応関係を示している。
δ:=3
この例は、図6の実行例に対して、整数δのみを以下のように変更して得られるtとbとの対応関係を示している。
δ:=3
図23は、二値化アルゴリズムを変形した第4の実行例を示す図である。
この例は、図6の実行例に対して、関数f、関数h、整数δを以下のように変更して得られるtとbとの対応関係を示している。
f({0,1,2,3,4}):={3,2,0,4,1}
h({0,1,2,3,4}):={0,1,1,0,0}
δ:=15
この例は、図6の実行例に対して、関数f、関数h、整数δを以下のように変更して得られるtとbとの対応関係を示している。
f({0,1,2,3,4}):={3,2,0,4,1}
h({0,1,2,3,4}):={0,1,1,0,0}
δ:=15
クラス分類アルゴリズムClassifylogT及び分割アルゴリズムDividelogTについては、前述した第1の構成法から変更はないが、入力されるt,L,Rの各パラメータは、二値化アルゴリズムと同様にδだけシフトされた値となる。
図24は、関数fを導入した後半wID集合確定アルゴリズムLatter_WIDlogTの定義を示す図である。
ここでは、wIDのビット位置の参照先が関数fにより置換されている。
ここでは、wIDのビット位置の参照先が関数fにより置換されている。
図25は、関数fを導入した前半wID集合確定アルゴリズムFormer_WIDlogTの定義を示す図である。
ここでは、後半wID集合確定アルゴリズムと同様に、wIDのビット位置の参照先が関数fにより置換されている。
ここでは、後半wID集合確定アルゴリズムと同様に、wIDのビット位置の参照先が関数fにより置換されている。
図26は、関数fを導入した前後半wID集合合併アルゴリズムMergelogTの定義を示す図である。
ここでは、後半wID集合確定アルゴリズム及び前半wID集合確定アルゴリズムと同様に、wIDのビット位置の参照先が関数fにより置換されている。
ここでは、後半wID集合確定アルゴリズム及び前半wID集合確定アルゴリズムと同様に、wIDのビット位置の参照先が関数fにより置換されている。
セットアップアルゴリズムTSE.Setupについては、前述した第1の構成法、すなわちWIBE方式のセットアップアルゴリズムから変更はない。
図27は、整数δを導入した鍵生成アルゴリズムTSE.KGenの定義を示す図である。
鍵生成部16は、鍵生成アルゴリズムにより、前述したWIBE方式の鍵生成アルゴリズムを使用し、ID:=BinarizelogT(t-δ mod 2d)に対応する秘密鍵を生成する。
鍵生成部16は、鍵生成アルゴリズムにより、前述したWIBE方式の鍵生成アルゴリズムを使用し、ID:=BinarizelogT(t-δ mod 2d)に対応する秘密鍵を生成する。
図28は、整数δを導入した暗号化アルゴリズムTSE.Encの定義を示す図である。
暗号化部17は、暗号化アルゴリズムにより、DividelogT,Latter_WIDlogT,Former_WIDlogT,MergelogTを順に実行し、範囲[L,R]に対応するwID集合T[L,R]を導出する。このとき、暗号化部17は、前述のように、L及びRをδだけシフトした値をパラメータとして渡すことにより、順かいシフトが施されたtとbとの対応関係に基づくwID集合[L,R]を得る。
その後、暗号化部17は、集合内の各wIDの下で、平文mを暗号化し、これらの暗号文全てを、範囲[L,R]に関する平文mの暗号文として出力する。
暗号化部17は、暗号化アルゴリズムにより、DividelogT,Latter_WIDlogT,Former_WIDlogT,MergelogTを順に実行し、範囲[L,R]に対応するwID集合T[L,R]を導出する。このとき、暗号化部17は、前述のように、L及びRをδだけシフトした値をパラメータとして渡すことにより、順かいシフトが施されたtとbとの対応関係に基づくwID集合[L,R]を得る。
その後、暗号化部17は、集合内の各wIDの下で、平文mを暗号化し、これらの暗号文全てを、範囲[L,R]に関する平文mの暗号文として出力する。
図29は、整数δを導入した復号アルゴリズムTSE.Decの定義を示す図である。
復号部18は、復号アルゴリズムにより、IDと適合するwIDに対応したCL,R内の暗号文要素をCとし、Cをsktにより復号した結果を出力する。
このとき、復号部18は、前述のように、補助的アルゴリズムに対してδだけシフトした値を入力する。
復号部18は、復号アルゴリズムにより、IDと適合するwIDに対応したCL,R内の暗号文要素をCとし、Cをsktにより復号した結果を出力する。
このとき、復号部18は、前述のように、補助的アルゴリズムに対してδだけシフトした値を入力する。
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。
暗号化装置1による暗号化方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD-ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
1 暗号化装置(復号装置)
10 制御部
11 二値化部
12 クラス分類部
13 分割部
14 wID集合決定部
15 セットアップ部
16 鍵生成部
17 暗号化部
18 復号部
20 記憶部
141 後半wID集合確定部
142 前半wID集合確定部
143 前後半wID集合合併部
10 制御部
11 二値化部
12 クラス分類部
13 分割部
14 wID集合決定部
15 セットアップ部
16 鍵生成部
17 暗号化部
18 復号部
20 記憶部
141 後半wID集合確定部
142 前半wID集合確定部
143 前後半wID集合合併部
Claims (8)
- 2d個の数値に対して、それぞれdビットのビット列を割り当てる二値化部と、
範囲[L,R]の時間指定暗号における周期に対応する前記数値のそれぞれに割り当てられた前記ビット列の全てをカバーするワイルドカードIDの集合を決定するwID集合決定部と、
決定された前記ワイルドカードIDのそれぞれに基づいて、ワイルドカードIDベース暗号方式により平文を暗号化し、当該暗号化の結果の全てを、範囲[L,R]に関する暗号文として出力する暗号化部と、を備え、
前記二値化部は、前記数値の並びを再帰的に2分割した際に、分割点を軸に両側のブロックに含まれる前記ビット列のいずれか1ビットのみは反転し、他のビットは対称となるように0又は1を割り当てる暗号化装置。 - 前記二値化部は、前記数値の並びにおいて、隣り合う数値間で1ビットのみが異なる前記ビット列を割り当てる請求項1に記載の暗号化装置。
- 前記暗号化部は、前記周期に対して前記数値を所定の数だけ巡回シフトさせて対応付ける請求項1又は請求項2に記載の暗号化装置。
- 前記数値の並びを再帰的に2分割していく際に得られるブロックのうち、前記範囲[L,R]に含まれる最も大きなブロックの始点において、前記範囲[L,R]を分割する分割部を備え、
前記wID集合決定部は、前記分割部により分割された部分範囲毎に前記ワイルドカードIDの集合を決定する請求項1から請求項3のいずれかに記載の暗号化装置。 - 前記wID集合決定部は、前記部分範囲毎に決定された集合の全体をカバーする前記ワイルドカードIDの集合を決定する請求項4に記載の暗号化装置。
- 請求項1から請求項5のいずれかに記載の暗号化装置により暗号化された暗号文、及び秘密鍵を入力とし、
前記二値化部と、
前記wID集合決定部と、
前記ワイルドカードIDの集合のうち、前記秘密鍵に関連付けられた周期に対応する数値に割り当てられたビット列をカバーするワイルドカードIDを抽出し、当該ワイルドカードIDに対応する前記暗号文の要素を、前記秘密鍵を用いて前記ワイルドカードIDベース暗号方式により復号する復号部と、を備える復号装置。 - 2d個の数値に対して、それぞれdビットのビット列を割り当てる二値化ステップと、
範囲[L,R]の時間指定暗号における周期に対応する前記数値のそれぞれに割り当てられた前記ビット列の全てをカバーするワイルドカードIDの集合を決定するwID集合決定ステップと、
決定された前記ワイルドカードIDのそれぞれに基づいて、ワイルドカードIDベース暗号方式により平文を暗号化し、当該暗号化の結果の全てを、範囲[L,R]に関する暗号文として出力する暗号化ステップと、をコンピュータが実行し、
前記二値化ステップにおいて、前記数値の並びを再帰的に2分割した際に、分割点を軸に両側のブロックに含まれる前記ビット列のいずれか1ビットのみは反転し、他のビットは対称となるように0又は1を割り当てる暗号化方法。 - 請求項1から請求項5のいずれかに記載の暗号化装置としてコンピュータを機能させるための暗号化プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020018530A JP7295818B2 (ja) | 2020-02-06 | 2020-02-06 | 暗号化装置、復号装置、暗号化方法及び暗号化プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020018530A JP7295818B2 (ja) | 2020-02-06 | 2020-02-06 | 暗号化装置、復号装置、暗号化方法及び暗号化プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021125810A JP2021125810A (ja) | 2021-08-30 |
| JP7295818B2 true JP7295818B2 (ja) | 2023-06-21 |
Family
ID=77459655
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020018530A Active JP7295818B2 (ja) | 2020-02-06 | 2020-02-06 | 暗号化装置、復号装置、暗号化方法及び暗号化プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7295818B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7365310B2 (ja) * | 2020-09-30 | 2023-10-19 | Kddi株式会社 | 暗号化装置、復号装置、暗号化方法及び暗号化プログラム |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012098649A1 (ja) | 2011-01-18 | 2012-07-26 | 三菱電機株式会社 | 暗号システム、暗号システムの暗号処理方法、暗号化装置、暗号化プログラム、復号装置、復号プログラム、セットアップ装置、セットアッププログラム、鍵生成装置、鍵生成プログラム、鍵委譲装置および鍵委譲プログラム |
| KR20180113323A (ko) | 2017-04-06 | 2018-10-16 | 한양대학교 산학협력단 | 와일드 카드를 포함하는 키 발급, 암호화 및 복호화 방법 |
-
2020
- 2020-02-06 JP JP2020018530A patent/JP7295818B2/ja active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012098649A1 (ja) | 2011-01-18 | 2012-07-26 | 三菱電機株式会社 | 暗号システム、暗号システムの暗号処理方法、暗号化装置、暗号化プログラム、復号装置、復号プログラム、セットアップ装置、セットアッププログラム、鍵生成装置、鍵生成プログラム、鍵委譲装置および鍵委譲プログラム |
| KR20180113323A (ko) | 2017-04-06 | 2018-10-16 | 한양대학교 산학협력단 | 와일드 카드를 포함하는 키 발급, 암호화 및 복호화 방법 |
Non-Patent Citations (1)
| Title |
|---|
| Abdalla, M. et al.,Wildcarded identity-based encryption,Journal of Cryptology,2010年02月12日,24,p.42-82,<URL: https://link.springer.com/article/10.1007/s00145-010-9060-3> |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2021125810A (ja) | 2021-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ducas et al. | Sanitization of FHE ciphertexts | |
| US9413729B2 (en) | Symmetric encryption apparatus and storage medium, and symmetric decryption apparatus and storage medium | |
| JP5618881B2 (ja) | 暗号処理システム、鍵生成装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム | |
| JP5680007B2 (ja) | 暗号システム、暗号方法及び暗号プログラム | |
| Boldyreva et al. | On symmetric encryption with distinguishable decryption failures | |
| JP4979068B2 (ja) | 秘匿関数計算方法及び装置、並びにプログラム | |
| Zhandry | New Techniques for Traitor Tracing: Size and More from Pairings | |
| Jing | An efficient homomorphic aggregate signature scheme based on lattice | |
| JP2006086568A (ja) | 情報処理方法、復号処理方法、および情報処理装置、並びにコンピュータ・プログラム | |
| JP5921410B2 (ja) | 暗号システム | |
| Karbasi et al. | PairTRU: Pairwise non-commutative extension of the NTRU public key cryptosystem | |
| Abusalah et al. | Offline witness encryption | |
| Watanabe et al. | Identity-based hierarchical key-insulated encryption without random oracles | |
| JP7295818B2 (ja) | 暗号化装置、復号装置、暗号化方法及び暗号化プログラム | |
| Takayasu | Adaptively secure lattice-based revocable IBE in the QROM: compact parameters, tight security, and anonymity | |
| WO2018043049A1 (ja) | 暗号システム、暗号方法及び暗号プログラム | |
| JP7087965B2 (ja) | 暗号システム、暗号化装置、復号装置、暗号化方法、復号方法及びプログラム | |
| Mahmoody et al. | Lower bounds for the number of decryption updates in registration-based encryption | |
| JP6259402B2 (ja) | 鍵配送管理装置、端末装置、鍵配送システム、およびプログラム | |
| Ahmad Abusukhon et al. | A novel network security algorithm based on encrypting text into a white-page image | |
| Kim et al. | Collusion resistant trace-and-revoke for arbitrary identities from standard assumptions | |
| JP5730804B2 (ja) | 暗号化装置、再暗号化鍵難読化装置、再暗号化装置、復号装置、および再暗号化システム | |
| Hamann et al. | Tight security bounds for generic stream cipher constructions | |
| WO2006030635A1 (ja) | 情報処理方法、復号処理方法、および情報処理装置、並びにコンピュータ・プログラム | |
| WO2015125293A1 (ja) | 暗号システム及び暗号プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220208 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230214 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230403 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230516 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230609 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7295818 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |