KR101351787B1 - 정보 생성 장치, 정보 생성 방법, 및 컴퓨터 판독가능 기록 매체 - Google Patents

Abstract

나무 구조 이외의 일반적인 반순서 구조로 나타내는 계층형 암호를 실현한다. 정보 생성에 있어서는, 난수 σ_v, (σ_vj)_j∈w(v)∈Z_q를 생성하고, 주정보 k_v=σ_vΣ_{i∈{1,…, N-1}＼w (v)}v_ib_i ^*+b_N ^*를 계산하고, 각 j∈w(v)에 대해서 도출 정보 k_vj=σ_vjΣ_{i∈{1,…, N-1}＼w(v)}v_ib_i ^*+b_j ^*를 계산한다. 정보 도출에 있어서는, 난수 σ_u, (σ_uj)_j∈w(u)∈Z_q를 생성하고, 주정보 k_u=σ_uΣ_{i∈w(v)＼w(u)}u_ik_vi+k_v를 계산하고, 각 j∈w(u)에 대해서 도출 정보 k_uj=σ_ujΣ_{i∈w(v)＼w(u)}u_ik_vi+k_vj를 계산한다.

Description

정보 생성 장치, 정보 생성 방법, 및 컴퓨터 판독가능 기록 매체{INFORMATION GENERATION APPARATUS, METHOD, PROGRAM AND RECORDING MEDIUM THEREFOR}

본 발명은 정보 시큐리티 기술의 응용 기술에 관한 것이다. 예를 들면, 복호키로부터 보다 복호 권한이 제한된 복호키를 도출할 수 있는 계층형 암호에 관한 것이다.

계층형 암호의 종래 기술로서 비특허문헌 1에 기재된 기술이 알려져 있다.

Craig Gentry, Alice Silverberg, "Hierarchical ID-Based Cryptography", ASIACRYPT 2002, p.548-566

비특허문헌 1에 기재된 기술에서는, 나무 구조의 친(親)노드에 대응하는 키로부터 자(子)노드에 대응하는 키를 도출할 수는 있지만, 나무 구조 이외의 일반적인 반순서 구조 s로 나타내는 키도출을 실현할 수는 없었다. 예를 들면, 공통의 자노드 C를 가지는 친노드 A와 친노드 B에 대하여, 친노드 A의 키로부터 공통의 자노드 C의 키를 도출하고, 친노드 B의 키로부터 공통의 자노드 C의 키를 도출할 수는 없다는 과제가 있었다.

상기한 과제를 해결하기 위해서, 청구항 1의 정보 생성 장치는, e가 순회군 G₁의 N개의 원소 γ_L(L=1,…, N)(N≥2)과 순회군 G₂의 N개의 원소 γ_L ^*(L=1,…, N)의 입력에 대하여 순회군 G_T의 1개의 원소를 출력하는 비퇴화한 쌍선형 함수이며, b_i∈G₁ ^N(i=1,…, N)의 각각이 상기 순회군 G₁의 N개의 원소를 요소로 하는 N차원의 기저 벡터이며, b_j ^*∈G₂ ^N(j=1,…, N)의 각각이 상기 순회군 G₂의 N개의 원소를 요소로 하는 N차원의 기저 벡터이며, 상기 기저 벡터 b_i∈G₁ ^N(i=1,…, N)의 각 요소와 상기 기저 벡터 b_j ^*∈G₂ ^N(j=1,…, N)의 각 요소를 상기 쌍선형 함수 e에 입력하여 얻어지는 함수값이, i=j인 경우에 δ(i, j)=1_F가 되고 i≠j인 경우에 δ(i, j)=0_F가 되는 크로네커의 델타 함수 δ(i, j)를 사용하여 g_T ^{τ·δ(i, j)}∈G_T로 표현되고, 0_F가 유한체 F_q의 가법단위원이며, 1_F가 유한체 F_q의 승법단위원이며, τ가 0_F를 제외한 유한체 F_q의 원소이며, g_T가 상기 순회군 G_T의 생성원이며, *를 부정문자로 하고, 인덱스 Y를 Y=(Y₁,…, Y_N-1)∈I=(F_q∪{*})^N-1으로 하고, 인덱스 Y에 대응하는 집합 w(Y)를 w(Y)={i|Y_i=*}로 하여, 난수 σ_Y∈Z_q, 및, 집합 w(Y)의 각 요소 j∈w(Y)에 대응하는 난수 σ_Yj∈Z_q를 생성하는 난수 생성부와, 상기 생성된 난수 σ_Y를 사용하여, k_Y=σ_YΣ_{i∈{1,…, N-1}＼w(Y)}Y_ib_i ^*+b_N ^*의 관계를 만족하는 주정보 k_Y를 계산하는 주정보 생성부와, 상기 생성된 난수 σ_Yj를 사용하여, k_Yj=σ_YjΣ_{i∈{1,…, N-1}＼w(Y)}Y_ib_i ^*+b_j ^*의 관계를 만족하는 도출 정보 k_Yj를 집합 w(Y)의 각 요소 j∈w(Y)마다 계산하는 도출 정보 생성부를 포함한다.

청구항 4의 정보 생성 장치는, e가 순회군 G₁의 N개의 원소 γ_L(L=1,…, N)(N≥2)과 순회군 G₂의 N개의 원소 γ_L ^*(L=1,…, N)의 입력에 대하여 순회군 G_T의 1개의 원소를 출력하는 비퇴화한 쌍선형 함수이며, b_i∈G₁ ^N(i=1,…, N)의 각각이 상기 순회군 G₁의 N개의 원소를 요소로 하는 N차원의 기저 벡터이며, b_j ^*∈G₂ ^N(j=1,…, N)의 각각이 상기 순회군 G₂의 N개의 원소를 요소로 하는 N차원의 기저 벡터이며, 상기 기저 벡터 b_i∈G₁ ^N(i=1,…, N)의 각 요소와 상기 기저 벡터 b_j ^*∈G₂ ^N(j=1,…, N)의 각 요소를 상기 쌍선형 함수 e에 입력하여 얻어지는 함수값이, i=j인 경우에 δ(i, j)=1_F가 되고 i≠j인 경우에 δ(i, j)=0_F가 되는 크로네커의 델타 함수 δ(i, j)를 사용하여 g_T ^{τ＼δ(i, j)}∈G_T로 표현되고, 0_F가 유한체 F_q의 가법단위원이며, 1_F가 유한체 F_q의 승법단위원이며, τ가 0_F를 제외한 유한체 F_q의 원소이며, g_T가 상기 순회군 G_T의 생성원이며, *를 부정문자로 하고, 인덱스 Y를 Y=(Y₁,…, Y_N-1)∈I=(F_q∪{*})^N-1으로 하고, 인덱스 Y에 대응하는 집합 w(Y)를 w(Y)={i|Y_i=*}로 하고, σY∈Z_q를 난수로 하고, σ_Yi를 집합 w(Y)의 각 요소 j∈w(Y)에 대응하는 난수로 하고, 인덱스 Y에 대응하는 주정보 k_Y는 k_Y=σ_YΣ_{i∈{1,…, N-1}＼w(Y)}Y_ib_i ^*+b_N ^*의 관계를 만족하고, 인덱스 Y에 대응하는 도출 정보 k_Yi는 k_Yj=σ_YjΣ_{i∈{1,…, N-1}＼w(Y)}Y_ib_i ^*+b_j ^*의 관계를 만족하고, *를 부정문자로 하고, 인덱스 v를 v=(v₁,…, v_N-1)∈I=(F_q∪{*})^N-1으로 하고, 인덱스 u를 u=(u₁,…, u_N-1)∈I=(F_q∪{*})^N-1으로 하고, 인덱스 v에 대응하는 집합 w(v)를 w(v)={i|v_i=*}로 하고, 인덱스 u에 대응하는 집합 w(u)를 w(u)={i|u_i=*}로 하고, 집합 w(u)⊂집합 w(v)로 하고, v_i=u_i(i∈{1,…, N-1}＼w(v))로 하여, 상기 주정보 k_Y인 또는 상기 주정보 k_Y 및 상기 도출 정보 k_Yj로부터 도출된 인덱스 v에 대응하는 주정보 k_v, 및, 상기 도출 정보 k_Yj인 또는 상기 도출 정보 k_Yj로부터 도출된 인덱스 v에 대응하는 도출 정보 k_vj를 기억하는 기억부와, 난수 σ_u∈Z_q를 생성하는 자난수 생성부와, 상기 기억부로부터 읽어들인 주정보 k_v, 도출 정보 k_vi 및 상기 생성된 난수 σ_u를 사용하여, k_u=σ_uΣ_{i∈w(v)＼w(u)}u_ik_vi+k_v의 관계를 만족하는, 인덱스 u에 대응하는 주정보 k_u를 계산하는 주정보 도출부를 포함한다.

청구항 6의 정보 생성 장치는, G, G_T를 소수 위수 q의 순회군으로 하고, g를 순회군 G의 생성원으로 하고, 순회군 G에는 g_T=e(g,g)가 순회군 G_T의 생성원이 되는 것 같은 페어링 함수 e:G×G→G_T가 존재하는 것으로 하고, a를 Z_p로부터 랜덤으로 선택된 난수로 하고, g와 g₁=g^a∈G와 순회군 G로부터 랜덤으로 선택된 g₂, g₃, h₁,…, h_N-1∈G가 공개키로서 공개되어 있고, *를 부정문자로 하고, 인덱스 Y를 Y=(Y₁,…, Y_N-1)∈I=(F_q∪{*})^N-1으로 하고, 인덱스 Y에 대응하는 집합 w(Y)를 w(Y)={i|Y_i=*}로 하여, 난수 r_Y∈Z_q를 생성하는 난수 생성부와, 상기 생성된 난수 r_Y를 사용하여, k_Y=g₂ ^a(g₃Π_{i∈{1,…, N-1}＼w(Y)}h_i ^Yi)^rY의 관계를 만족하는 제1 주정보 k_Y를 계산하는 제1 주정보 생성부와, 상기 생성된 난수 r_Y를 사용하여, 제2 주정보 g^rY를 계산하는 제2 주정보 생성부와, 상기 생성된 난수 r_Y를 사용하여, k_Yj=h_j ^rY의 관계를 만족하는 도출 정보 k_Yj를 집합 w(Y)의 각 요소 j∈w(Y)마다 계산하는 도출 정보 생성부를 포함한다.

청구항 9의 정보 생성 장치는, G, G_T를 소수 위수 q의 순회군으로 하고, g를 순회군 G의 생성원으로 하고, 순회군 G에는 g_T=e(g,g)가 순회군 G_T의 생성원이 되는 것 같은 페어링 함수 e:G×G→G_T가 존재하는 것으로 하고, a를 Z_p로부터 랜덤으로 선택된 난수로 하고, g와 g₁=g^a∈G와 순회군 G로부터 랜덤으로 선택된 g₂, g₃, h₁,…, h_{N -1}∈G가 공개키로서 공개되어 있고, *를 부정문자로 하고, 인덱스 Y를 Y=(Y₁,…, Y_{N -1})∈I=(F_q∪{*})^{N- 1}으로 하고, 인덱스 Y에 대응하는 집합 w(Y)를 w(Y)={i|Y_i=*}로 하고, r_Y∈Z_q를 난수로 하고, 인덱스 Y에 대응하는 제1 주정보 k_Y는 k_Y=g₂ ^a(g₃Π_{i∈{1,…, N-1}＼w(Y)}h_i ^Yi)^rY의 관계를 만족하고, g^rY를 인덱스 Y에 대응하는 제2 주정보로 하고, 인덱스 Y에 대응하는 도출 정보 k_Yj는 k_Yj=h_j ^rY의 관계를 만족하고, *를 부정문자로 하고, 인덱스 v를 v=(v₁,…, v_N-1)∈I=(F_q∪{*})^N-1으로 하고, 인덱스 v에 대응하는 집합 w(v)를 w(v)={i|v_i=*}로 하고, 인덱스 u를 u=(u₁,…, u_N-1)∈I=(F_q∪{*})^N-1으로 하고, 인덱스 u에 대응하는 집합 w(u)를 w(u)={i|u_i=*}로 하고, 집합 w(u)⊂집합 w(v)로 하고, v_i=u_i(i∈{1,…, N-1}＼w(v))로 하여, 난수 r_u∈Z_q를 생성하는 난수 생성부와, 상기 제1 주정보 k_Y인 또는 상기 제1 주정보 k_Y 및 상기 도출 정보 k_Yj로부터 도출된 인덱스 v에 대응하는 제1 주정보 k_v, 상기 도출 정보 k_Yj인 또는 상기 도출 정보 k_Yj로부터 도출된 인덱스 v에 대응하는 도출 정보 k_vj를 기억하는 기억부와, 상기 기억부로부터 읽어들인 제1 주정보k_v 및 상기 도출 정보 k_vi를 사용하여, k_u=k_v(Π_{i∈w(v)＼w(u)}k_vi ^ui)(g₃Π_{i∈{1,…, N-1}＼w(v)}h_i ^viΠ_{i∈w(v)＼w(u)}h_i ^ui)^ru의 관계를 만족하는, 인덱스 u에 대응하는 제1 주정보 k_u를 계산하는 제1 주정보 도출부와, 상기 생성된 난수 r_u를 사용하여, 제2 주정보 g^ru를 계산하는 제2 주정보 도출부를 포함한다.

공통의 자노드 C를 가지는 친노드 A와 친노드 B에 대하여, 친노드 A의 정보로부터 공통의 자노드 C의 정보를 도출하고, 친노드 B의 정보로부터 공통의 자노드 C의 정보를 도출할 수 있다.

도 1은 제1 실시형태의 정보 생성 장치의 기능 블록도의 예.
도 2는 제1 실시형태의 정보 생성의 플로우차트의 예.
도 3은 제1 실시형태의 정보 도출의 플로우차트의 예.
도 4는 제2 실시형태의 정보 생성 장치의 기능 블록도의 예.
도 5는 제2 실시형태의 정보 생성의 플로우차트의 예.
도 6은 제2 실시형태의 정보 도출의 플로우차트의 예.

이하, 본 발명의 실시형태에 대해서, 상세하게 설명한다.

[술어 암호]

우선, 제1 실시형태에서 사용하는 개념인 술어 암호의 개요에 대해서 설명한다.

〔정의〕

우선, 본 형태에서 사용하는 용어나 기호를 정의한다.

행렬 : 「행렬」은 연산이 정의된 집합의 원소를 직사각형으로 늘어놓은 것을 나타낸다. 환의 원소를 요소로 하는 것 뿐만아니라, 군의 원소를 요소로 하는 것도 「행렬」이라고 표현한다.

(·)^T : (·)^T는 ·의 전치 행렬을 나타낸다.

(·)^-1 : (·)^-1은 ·의 역행렬을 나타낸다.

∧ : ∧은 논리적을 나타낸다.

∨ : ∨는 논리합을 나타낸다.

Z : Z는 정수집합을 나타낸다.

k : k는 시큐리티 파라미터(k∈Z, k>0)를 나타낸다.

{0,1}^* : {0,1}^*는 임의 비트길이의 바이너리 계열을 나타낸다. 그 일례는 정수 0 및 1로 이루어지는 계열이다. 그러나, {0,1}^*는 정수 0 및 1로 이루어지는 계열에 한정되지 않는다. {0,1}^*는 위수 2의 유한체 또는 그 확대체와 동의이다.

{0,1}^ζ : {0,1}^ζ는 비트길이 ζ(ζ∈Z, ζ>0)의 바이너리 계열을 나타낸다. 그 일례는 정수 0 및 1로 이루어지는 계열이다. 그러나, {0,1}^ζ는 정수 0 및 1로 이루어지는 계열에 한정되지 않는다. {0,1}^ζ는 위수 2의 유한체(ζ=1인 경우) 또는 그것을 ζ차 확대한 확대체(ζ>1인 경우)와 동의이다.

(+) : (+)는 바이너리 계열간의 배타적 논리합 연산자를 나타낸다. 예를 들면, 10110011(+)11100001=01010010을 만족한다.

F_q : F_q는 위수 q의 유한체를 나타낸다. 위수 q는 1 이상의 정수이며, 예를 들면, 소수나 소수의 멱승값을 위수 q로 한다. 즉, 유한체 F_q의 예는 소체나 그것을 기초체로 한 확대체이다. 또한, 유한체 F_q가 소체인 경우의 연산은, 예를 들면, 위수 q를 법으로 하는 잉여연산에 의해 용이하게 구성할 수 있다. 또, 유한체 F_q가 확대체인 경우의 연산은, 예를 들면, 기약다항식을 법으로 하는 잉여연산에 의해 용이하게 구성할 수 있다. 유한체 F_q의 구체적인 구성 방법은, 예를 들면, 참고문헌 1 「ISO/IEC 18033-2: Information technology - Security techniques - Encryption algorithms - Part 2: Asymmetric ciphers」에 개시되어 있다.

0_F : 0_F는 유한체 F_q의 가법단위원을 나타낸다.

1_F : 1_F는 유한체 F_q의 승법단위원을 나타낸다.

δ(i, j) : δ(i, j)는 크로네커의 델타 함수를 나타낸다. i=j인 경우에 δ(i, j)=1_F를 만족하고, i≠j인 경우에 δ(i, j)=0_F를 만족한다.

E : E는 유한체 F_q상에서 정의된 타원곡선을 나타낸다. E는 아핀(affine)좌표판의 Weierstrass 방정식

y²+a₁·x·y+a₃·y=x³+a₂·x²+a₄·x+a₆…(1)

(단, a₁, a₂, a₃, a₄, a₆∈F_q)를 만족하는 x, y∈F_q로 이루어지는 점(x, y)의 집합에 무한원점이라고 불리는 특별한 점 O를 부가한 것으로 정의된다. 타원곡선 E상의 임의의 2점에 대하여 타원가산이라고 불리는 2항연산 + 및 타원곡선 E상의 임의의 1점에 대하여 타원역원이라고 불리는 단항연산 -를 각각 정의할 수 있다. 또, 타원곡선 E상의 유리점으로 이루어지는 유한집합이 타원가산에 관하여 군을 이루는 것, 타원가산을 사용하여 타원 스칼라 배산이라고 불리는 연산을 정의할 수 있는 것, 및 컴퓨터상에서의 타원가산 등의 타원연산의 구체적인 연산 방법은 잘 알려져 있다(예를 들면, 참고문헌 1, 참고문헌 2 「RFC 5091: Identity-Based Cryptography Standard (IBCS)#1: Supersingular Curve Implementations of the BF and BB1 Cryptosystems」, 참고문헌 3 「이언·F·블레이크, 가디엘·세로시, 나이젤·P·스마트=저, 「타원곡선 암호」, 출판=피어슨·에듀케이션, ISBN4-89471-431-0」 등 참조).

또, 타원곡선 E상의 유리점으로 이루어지는 유한집합은 위수 p(p≥1)의 부분군을 가진다. 예를 들면, 타원곡선 E상의 유리점으로 이루어지는 유한집합의 요소수를 #E로 하고, p를 #E를 정제하는 큰 소수로 한 경우, 타원곡선 E의 p등분점으로 이루어지는 유한집합 E[p]는 타원곡선 E상의 유리점으로 이루어지는 유한집합의 부분군을 구성한다. 또한, 타원곡선 E의 p등분점은 타원곡선 E상의 점 A 중, 타원곡선 E상에서의 타원 스칼라 배산값 p·A가 p·A=O를 만족하는 점을 의미한다.

G₁, G₂,G_T : G₁, G₂, G_T는 위수 q의 순회군을 나타낸다. 순회군 G₁, G₂의 구체예는 타원곡선 E의 p등분점으로 이루어지는 유한집합 E[p]나 그 부분군이다. G₁=G₂여도 되고 G₁≠G₂여도 된다. 또, 순회군 G_T의 구체예는 유한체 F_q를 기초체로 하는 확대체를 구성하는 유한집합이다. 그 일례는 유한체 F_q의 대수적 폐포에 있어서의 1의 p승근으로 이루어지는 유한집합이다.

또한, 본 형태에서는, 순회군 G₁, G₂ 상에서 정의된 연산을 가법적으로 표현하고, 순회군 G_T 상에서 정의된 연산을 승법적으로 표현한다. 즉, χ∈F_q 및 Ω∈G₁에 대한 χ·Ω∈G₁은 Ω∈G₁에 대하여 순회군 G₁로 정의된 연산을 χ회 시행하는 것을 의미하고, Ω₁,Ω₂∈G₁에 대한 Ω₁+Ω₂∈G₁은 Ω₁∈G₁과 Ω₂∈G₁을 피연산자로 하여 순회군 G₁로 정의된 연산을 행하는 것을 의미한다. 마찬가지로, χ∈F_q 및 Ω∈G₂에 대한 χ·Ω∈G₂는 Ω∈G₂에 대하여 순회군 G₂로 정의된 연산을 χ회 시행하는 것을 의미하고, Ω₁,Ω₂∈G₂에 대한 Ω₁+Ω₂∈G₂는 Ω₁∈G₂와 Ω₂∈G₂를 피연산자로 하여 순회군 G₂로 정의된 연산을 행하는 것을 의미한다. 한편, χ∈F_q 및 Ω∈G_T에 대한 Ω^χ∈G_T는 Ω∈G_T에 대하여 순회군 G_T로 정의된 연산을 χ회 시행하는 것을 의미하고, Ω₁,Ω₂∈G_T에 대한 Ω₁·Ω₂∈G_T는 Ω₁∈G_T와 Ω₂∈G_T를 피연산자로 하여 순회군 G_T로 정의된 연산을 행하는 것을 의미한다.

G₁ ⁿ⁺¹ : G₁ ⁿ⁺¹은 n+1(n≥1)개의 순회군 G₁의 직적을 나타낸다.

G₂ ⁿ⁺¹ : G₂ ⁿ⁺¹은 n+1개의 순회군 G₂의 직적을 나타낸다.

g₁, g₂, g_T:g₁, g₂, g_T는 순회군 G₁, G₂, G_T의 생성원을 나타낸다.

V : V는 n+1개의 순회군 G₁의 직적으로 이루어지는 n+1차원의 벡터공간을 나타낸다.

V^* : V^*는 n+1개의 순회군 G₂의 직적으로 이루어지는 n+1차원의 벡터공간을 나타낸다.

e : e는 직적 G₁ ⁿ⁺¹과 직적 G₂ ⁿ⁺¹의 직적 G₁ ⁿ⁺¹×G₂ ⁿ⁺¹을 순회군 G_T에 그리는 비퇴화한 쌍선형 사상(bilinear map)을 계산하기 위한 함수(「쌍선형 함수」라고 함)를 나타낸다. 쌍선형 함수 e는 순회군 G₁의 n+1개의 원소 γ_L(L=1,...,n+1)(n≥1)과 순회군 G₂의 n+1개의 원소 γ_L ^*(L=1,...,n+1)를 입력하는 것으로 하고, 순회군 G_T의 1개의 원소를 출력한다.

e : G₁ ⁿ⁺¹×G₂ ⁿ⁺¹→G_T…(2)

쌍선형 함수 e는 이하의 성질을 만족한다.

[쌍선형성] 모든 Γ₁∈G₁ ⁿ⁺¹, Γ₂∈G₂ ⁿ⁺¹ 및 ν, κ∈F_q에 대해서 이하의 관계를 만족한다.

e(ν·Γ₁,κ·Γ₂)=e(Γ₁,Γ₂)^ν·κ…(3)

[비퇴화성] 모든

Γ₁∈G₁ ⁿ⁺¹,Γ₂∈G₂ ⁿ⁺¹…(4)

를 순회군 G_T의 단위원을 그리는 함수가 아니다.

[계산 가능성] 모든 Γ₁∈G₁ ⁿ⁺¹,Γ₂∈G₂ ⁿ⁺¹에 대해서 e(Γ₁,Γ₂)를 효율적으로 계산하는 알고리즘이 존재한다.

본 형태에서는, 순회군 G₁과 순회군 G₂의 직적 G₁×G₂를 순회군 G_T에 그리는 비퇴화한 쌍선형 사상을 계산하기 위한 함수

Pair : G₁×G₂→G_T…(5)

를 사용하여 쌍선형 함수 e를 구성한다. 본 형태의 쌍선형 함수 e는 순회군 G₁의 n+1개의 원소 γ_L(L=1,...,n+1)로 이루어지는 n+1차원 벡터(γ₁,...,γ_n+1)와, 순회군 G₂의 n+1개의 원소 γ_L ^*(L=1,...,n+1)로 이루어지는 n+1차원 벡터(γ₁ ^*, ...,γ_n+1 ^*)의 입력에 대하여, 순회군 G_T의 1개의 원소

e=Π_L=1 ⁿ⁺¹Pair(γ_L, γ_L ^*)…(6)

을 출력하는 함수이다.

또한, 쌍선형 함수 Pair는 순회군 G₁의 1개의 원소와 순회군 G₂의 1개의 원소의 세트를 입력하는 것으로 하고, 순회군 G_T의 1개의 원소를 출력하는 함수이며, 이하의 성질을 만족한다.

[쌍선형성] 모든 Ω₁∈G₁, Ω₂∈G₂ 및 ν, κ∈F_q에 대해서 이하의 관계를 만족한다.

Pair(ν·Ω₁,κ·Ω₂)=Pair(Ω₁,Ω₂)^ν·κ…(7)

[비퇴화성] 모든

Ω₁∈G₁,Ω₂∈G₂…(8)

을 순회군 G_T의 단위원에 그리는 함수가 아니다.

[계산 가능성] 모든 Ω₁∈G₁,Ω₂∈G₂에 대해서 Pair(Ω₁,Ω₂)를 효율적으로 계산하는 알고리즘이 존재한다.

또한, 쌍선형 함수 Pair의 구체예는, Weil 페어링이나 Tate 페어링 등의 페어링 연산을 행하기 위한 함수이다(예를 들면, 참고문헌 4 「Alfred. J. Menezes, ELLIPTIC CURVE PUBLIC KEY CRYPTOSYSTEMS, KLUWER ACADEMIC PUBLISHERS, ISBN0-7923-9368-6,pp. 61-81」 등 참조). 또, 타원곡선 E의 종류에 따라, Tate 페어링 등의 페어링 연산을 행하기 위한 함수와 소정의 함수 phi를 조합한 변경 페어링 함수 e(Ω₁,phi(Ω₂))(Ω₁∈G₁,Ω₂∈G₂)를 쌍선형 함수 Pair로서 사용해도 된다(예를 들면, 참고문헌 2 등 참조). 또, 페어링 연산을 컴퓨터상에서 행하기 위한 알고리즘으로서는, 주지의 Miller의 알고리즘(참고문헌 5 「V. S. Miller, “Short Programs for functions on Curves,” 1986, 인터넷 <http://crypto.stanford.edu/miller/miller.pdf>」 등이 존재한다. 또, 페어링 연산을 효율적으로 행하기 위한 타원곡선이나 순회군의 구성 방법은 잘 알려져 있다(예를 들면, 참고문헌 2, 참고문헌 6 「A. Miyaji, M. Nakabayashi, S.Takano,” New explicit conditions of elliptic curve Traces for FR-Reduction," IEICE Trans. Fundamentals, vol. E84-A, no05, pp. 1234-1243, May 2001」, 참고문헌 7 「P.S.L.M. Barreto, B. Lynn, M. Scott,” Constructing elliptic curves with prescribed embedding degrees," Proc. SCN ' 2002, LNCS 2576, pp. 257-267, Springer-Verlag. 2003」, 참고문헌 8 「R. Dupont, A. Enge, F. Morain,” Building curves with arbitrary small MOV degree over finite prime fields," http://eprint.iacr.org/2002/094/」 등 참조).

a_i(i=1,...,n+1) : 순회군 G₁의 n+1개의 원소를 요소로 하는 n+1차원의 기저 벡터를 나타낸다. 기저 벡터 a_i의 일례는 κ₁·g₁∈G₁을 i차원째의 요소로 하고, 나머지 n개의 요소를 순회군 G₁의 단위원(가법적으로 「0」이라고 표현)으로 하는 n+1차원의 기저 벡터이다. 이 경우, n+1차원의 기저 벡터 a_i(i=1,...,n+1)의 각 요소를 각각 열거하여 표현하면, 이하와 같게 된다.

a₁=(κ₁·g₁,0,0,...,0)

a₂=(0,κ₁·g₁,0,...,0) …(9)

...

a_n+1=(0,0,0,...,κ₁·g₁)

여기서, κ₁은 가법단위원 0_F 이외의 유한체 F_q의 원소로 이루어지는 상수이며, κ₁∈F_q의 구체예는 κ₁=1_F이다. 기저 벡터 a_i는 직교기저이며, 순회군 G₁의 n+1개의 원소를 요소로 하는 모든 n+1차원 벡터는 n+1차원의 기저 벡터 a_i(i=1,...,n+1)의 선형합에 의해 나타난다. 즉, n+1차원의 기저 벡터 a_i는 상기 서술한 벡터공간 V를 펼친다.

a_i ^*(i=1,...,n+1) : a_i ^*는 순회군 G₂의 n+1개의 원소를 요소로 하는 n+1차원의 기저 벡터를 나타낸다. 기저 벡터 a_i ^*의 일례는 κ₂·g₂∈G₂를 i차원째의 요소로 하고, 나머지 n개의 요소를 순회군 G₂의 단위원(가법적으로 「0」이라고 표현)으로 하는 n+1차원의 기저 벡터이다. 이 경우, 기저 벡터 a_i ^*(i=1,...,n+1)의 각 요소를 각각 열거하여 표현하면, 이하와 같게 된다.

a₁ ^*=(κ₂·g₂,0,0,...,0)

a₂ ^*=(0,κ₂·g₂,0,...,0) …(10)

...

a_n+1 ^*=(0,0,0,...,κ₂·g₂)

여기서, κ₂는 가법단위원 0_F 이외의 유한체 F_q의 원소로 이루어지는 상수이며, κ₂∈F_q의 구체예는 κ₂=1_F이다. 기저 벡터 a_i ^*는 직교기저이며, 순회군 G₂의 n+1개의 원소를 요소로 하는 모든 n+1차원 벡터는 n+1차원의 기저 벡터 a_i ^*(i=1,...,n+1)의 선형합에 의해 나타난다. 즉, n+1차원의 기저 벡터 a_i ^*는 상기 서술한 벡터공간 V^*를 펼친다.

또한, 기저 벡터 a_i와 기저 벡터 a_i ^*는 0_F를 제외한 유한체 F_q의 원소 τ=κ₁·κ₂에 대해서

e(a_i, a_j ^*)=g_T ^{τ·δ(i, j)}…(11)

을 만족한다. 즉, i=j인 경우에는 식 (6) (7)의 관계로부터,

e(a_i, a_j ^*)=Pair(κ₁·g₁,κ₂·g₂)·Pair(0,0)·...·Pair(0,0)

=Pair(g₁, g₂)^κ1·κ2·Pair(g₁, g₂)^0·0·...·Pair(g₁, g₂)^0·0

=Pair(g₁, g₂)^κ1·κ2=g_T ^τ

를 만족한다. 한편, i≠j인 경우에는, e(a_i, a_j ^*)는 Pair(κ₁·g₁,κ₂·g₂)를 포함하지 않고, Pair(κ₁·g₁,0)와 Pair(0,κ₂·g₂)와 Pair(0,0)의 적이 된다. 또한, 식 (7)의 관계로부터 Pair(g₁,0)=Pair(0, g₂)=Pair(g₁, g₂)⁰를 만족한다. 그 때문에, i≠j인 경우에는,

e(a_i, a_j ^*)=e(g₁, g₂)⁰=g_T ⁰

를 만족한다.

특히, τ=κ₁·κ₂=1_F인 경우(예를 들면, κ₁=κ₂=1_F인 경우),

e(a_i, a_j ^*)=g_T ^{δ(i, j)}…(12)

를 만족한다. 여기서, g_T ⁰=1은 순회군 G_T의 단위원이며, g_T ¹=g_T는 순회군 G_T의 생성원이다. 이 경우, 기저 벡터 a_i와 기저 벡터 a_i ^*는 쌍대 정규직교기저이며, 벡터공간 V와 벡터공간 V^*는 쌍선형 사상을 구성 가능한 쌍대 벡터공간〔쌍대 페어링 벡터공간(DPVS:Dual Paring Vector space)〕이다.

A : A는 기저 벡터 a_i(i=1,...,n+1)를 요소로 하는 n+1행n+1열의 행렬을 나타낸다. 예를 들면, 기저 벡터 a_i(i=1,...,n+1)가 식 (9)에 의해 표현되는 경우, 행렬 A는,

[수 1]

이 된다.

A^* : A^*는 기저 벡터 a_i ^*(i=1,...,n+1)를 요소로 하는 n+1행n+1열의 행렬을 나타낸다. 예를 들면, 기저 벡터 a_i ^*(i=1,...,n+1)가 식 (10)에 의해 표현되는 경우, 행렬 A^*는,

[수 2]

가 된다.

X : X는 유한체 F_q의 원소를 요소로 하는 n+1행 n+1열의 행렬을 나타낸다. 행렬 X는 기저 벡터 a_i의 좌표 변환에 사용된다. 행렬 X의 i행j열(i=1,...,n+1,j=1,...,n+1)의 요소를 χ_{i, j}∈F_q로 하면, 행렬 X는,

[수 3]

가 된다. 또한, 행렬 X의 각 요소 χ_{i, j}를 변환 계수라고 한다.

X^* : X^*는 행렬 X의 역행렬의 전치 행렬 X^*=(X^-1)^T를 나타낸다. 행렬 X^*는 기저 벡터 a_i ^*의 좌표 변환에 사용된다. 행렬 X^*의 i행j열의 요소를 χ_{i, j} ^*∈F_q로 하면, 행렬 X^*는,

[수 4]

이 된다. 또한, 행렬 X^*의 각 요소 χ_{i, j} ^*를 변환 계수라고 한다.

이 경우, n+1행n+1열의 단위행렬을 I로 하면 X·(X^*)^T=I를 만족한다. 즉, 단위행렬

[수 5]

에 대하여,

[수 6]

을 만족한다. 여기서, n+1차원 벡터

χ_i ^→=(χ_i,1,...,χ_{i, n+1})…(19)

χ_j ^→*=(χ_j,1 ^*, ...,χ_{j, n+1} ^*)…(20)

을 정의한다. 그러면, 식 (18)의 관계로부터, n+1차원 벡터χ_i ^→과 χ_j ^→*의 내적은,

χ_i ^→·χ_j ^→*=δ(i, j)…(21)

이 된다.

b_i : b_i는 순회군 G₁의 n+1개의 원소를 요소로 하는 n+1차원의 기저 벡터를 나타낸다. 기저 벡터 b_i는 행렬 X를 사용하여 기저 벡터 a_i(i=1,...,n+1)를 좌표 변환함으로써 얻어진다. 구체적으로는, 기저 벡터 b_i는,

b_i=Σ_j=1 ⁿ⁺¹χ_{i, j}·a_j…(22)

의 연산에 의해 얻어진다. 예를 들면, 기저 벡터 a_j(j=1,...,n+1)가 식 (9)에 의해 표현되는 경우, 기저 벡터 b_i의 각 요소를 각각 열거하여 표현하면, 이하와 같게 된다.

b_i=(χ_i,1·κ₁·g₁,χ_i,2·κ₁·g₁,...,χ_{i, n+1}·κ₁·g₁)…(23)

순회군 G₁의 n+1개의 원소를 요소로 하는 모든 n+1차원 벡터는 n+1차원의 기저 벡터 b_i(i=1,...,n+1)의 선형합에 의해 나타난다. 즉, n+1차원의 기저 벡터 b_i는 상기 서술한 벡터공간 V를 펼친다.

b_i ^* : b_i ^*는 순회군 G₂의 n+1개의 원소를 요소로 하는 n+1차원의 기저 벡터를 나타낸다. 행렬 X^*를 사용하여 기저 벡터 a_i ^*(i=1,...,n+1)를 좌표 변환함으로써 얻어진다. 구체적으로는, 기저 벡터 b_i ^*는,

b_i ^*=Σ_j=1 ⁿ⁺¹χ_{i, j} ^*·a_j ^*…(24)

의 연산에 의해 얻어진다. 예를 들면, 기저 벡터 a_j ^*(j=1,...,n+1)가 식 (10)에 의해 표현되는 경우, 기저 벡터 b_i ^*의 각 요소를 각각 열거하여 표현하면, 이하와 같게 된다.

b_i ^*=(χ_i,1 ^*·κ₂·g₂,χ_i,2 ^*·κ₂·g₂,...,χ_{i, n+1} ^*·κ₂·g₂)…(25)

순회군 G₂의 n+1개의 원소를 요소로 하는 모든 n+1차원 벡터는 n+1차원의 기저 벡터 b_i ^*(i=1,...,n+1)의 선형합에 의해 나타난다. 즉, n+1차원의 기저 벡터 b_i ^*는 상기 서술한 벡터공간 V^*를 펼친다.

또한, 기저 벡터 b_i와 기저 벡터 b_i ^*는 0_F를 제외한 유한체 F_q의 원소 τ=κ₁·κ₂에 대해서

e(b_i, b_j ^*)=g_T ^{τ·δ(i, j)}…(26)

을 만족한다. 즉, 식 (6) (21) (23) (25)의 관계로부터,

[수 7]

을 만족한다. 특히, τ=κ₁·κ₂=1_F인 경우(예를 들면, κ₁=κ₂=1_F인 경우),

e(b_i, b_j ^*)=g_T ^{δ(i, j)}…(27)

을 만족한다. 이 경우, 기저 벡터 b_i와 기저 벡터 b_i ^*는 쌍대 페어링 벡터공간(벡터공간 V와 벡터공간 V^*)의 쌍대 정규직교기저이다.

또한, 식 (26)의 관계를 만족하는 것이면, 식 (9) (10)에서 예시한 것 이외의 기저 벡터 a_i 및 a_i ^*이나, 식 (22) (24)에서 예시한 것 이외의 기저 벡터 b_i 및 b_i ^*를 사용해도 된다.

B : B는 기저 벡터 b_i(i=1,...,n+1)를 요소로 하는 n+1행n+1열의 행렬을 나타낸다. B=X·A를 만족한다. 예를 들면, 기저 벡터 b_i가 식 (23)에 의해 표현되는 경우, 행렬 B는,

[수 8]

이 된다.

B^* : B^*는 기저 벡터 b_i ^*(i=1,...,n+1)를 요소로 하는 n+1행n+1열의 행렬을 나타낸다. B^*=X^*·A^*를 만족한다. 예를 들면, 기저 벡터 b_i ^*(i=1,...,n+1)가 식 (25)에 의해 표현되는 경우, 행렬 B^*는,

[수 9]

가 된다.

w^→ : w^→는 유한체 F_q의 원소를 요소로 하는 n차원 벡터를 나타낸다.

w^→=(w₁,...,w_n)∈F_q ⁿ…(30)

w_μ : w_μ는 n차원 벡터의 μ(μ=1,...,n)번째의 요소를 나타낸다.

v^→ : v^→는 유한체 F_q의 원소를 요소로 하는 n차원 벡터를 나타낸다.

v^→=(v₁,...,v_n)∈F_q ⁿ…(31)

v_μ : v_μ는 n차원 벡터의 μ(μ=1,...,n)번째의 요소를 나타낸다.

충돌 곤란한 함수 : 「충돌 곤란한 함수」는 충분히 큰 시큐리티 파라미터 k에 대하여 이하의 조건을 만족하는 함수 h, 또는, 그것으로 간주할 수 있는 함수를 나타낸다.

Pr[A(h)=(x, y)|h(x)=h(y)∧x≠y]<ε(k)…(32)

단, Pr[·]는 사상[·]의 확률이며, A(h)는 함수 h에 대하여 h(x)=h(y)를 만족하는 값 x, y(x≠y)를 산출하는 확률적 다항식 시간 알고리즘이며, ε(k)는 시큐리티 파라미터 k에 대한 다항식이다. 충돌 곤란한 함수의 예는, 참고문헌 1에 개시된 「cryptographic hash function」 등의 해시함수이다.

단사함수 : 「단사함수」는 치역에 속하는 원소가 모두 그 정의역의 단 하나의 원소의 상으로서 나타나는 함수, 또는, 그것으로 간주할 수 있는 함수를 나타낸다.

유사적인 랜덤 함수 : 「유사적인 랜덤 함수」는 임의의 확률적 다항식 시간 알고리즘이 집합 Φ_ζ와 그 부분집합 φ_ζ를 구별할 수 없는 경우에 있어서의, 당해 부분집합 φ_ζ에 속하는 함수, 또는, 그것으로 간주할 수 있는 함수를 나타낸다. 단, 집합 Φ_ζ는 집합 {0,1}^ζ의 원소를 집합 {0,1}^ζ의 원소로 그리는 모든 함수의 집합이다. 유사적인 랜덤 함수의 예는 상기 서술한 바와 같은 해시함수이다.

H₁ : H₁은 2개의 바이너리 계열(ω₁,ω₂)∈{0,1}^k×{0,1}^*를 입력하는 것으로 하고, 유한체 F_q의 2개의 원소(ψ₁,ψ₂)∈F_q×F_q를 출력하는 충돌 곤란한 함수를 나타낸다.

H₁ : {0,1}^k×{0,1}^*→F_q×F_q…(33)

이러한 함수 H₁의 예는 ω₁과 ω₂의 비트 연결값 ω₁||ω₂를 입력하는 것으로 하고, 참고문헌 1에 개시된 「cryptographic hash function」 등의 해시함수와, 「바이너리 계열로부터 정수로의 변환함수(Octet string/integer conversion)」와, 「바이너리 계열로부터 유한체의 원소로의 변환함수(Octet string and integer/finite field conversion)」의 연산을 행하고, 유한체 F_q의 2개의 원소(ψ₁,ψ₂)∈F_q×F_q를 출력하는 함수이다. 또한, 함수 H₁은 유사적인 랜덤 함수인 것이 바람직하다.

H₂ : H₂는 순회군 G_T의 원소와 바이너리 계열(ξ, ω₂)∈G_T×{0,1}^*를 입력하는 것으로 하고, 유한체 F_q의 1개의 원소 ψ∈F_q를 출력하는 충돌 곤란한 함수를 나타낸다.

H₂ : G_T×{0,1}^*→F_q…(34)

이러한 함수 H₂의 예는 순회군 G_T의 원소 ξ∈G_T와 바이너리 계열 ω₂∈{0,1}^*를 입력하는 것으로 하고, 순회군 G_T의 원소 ξ∈G_T를 참고문헌 1에 개시된 「유한체의 원소로부터 바이너리 계열로의 변환함수(Octet string and integer/finite field conversion)」에 입력하여 바이너리 계열을 구하고, 그 바이너리 계열과 바이너리 계열 ω₂∈{0,1}^*의 비트 연결값에 대하여 참고문헌 1에 개시된 「cryptographic hash function」 등의 해시함수 연산을 행하고, 또한 「바이너리 계열로부터 유한체의 원소로의 변환함수(Octet string and integer/finite field conversion)」의 연산을 행하고, 유한체 F_q의 1개의 원소 ψ∈F_q를 출력하는 함수이다. 또한, 안전성의 관점에서, 함수 H₂는 유사적인 랜덤 함수인 것이 보다 바람직하다.

R : R은 1개의 순회군 G_T의 원소 ξ∈G_T를 입력하는 것으로 하고, 1개의 바이너리 계열 ω∈{0,1}^k를 출력하는 단사함수를 나타낸다.

R : G_T→{0,1}^k…(35)

이러한 단사함수 R의 예는 순회군 G_T의 원소 ξ∈G_T를 입력하는 것으로 하고, 참고문헌 1에 개시된 「유한체의 원소로부터 바이너리 계열로의 변환함수(Octet string and integer/finite field conversion)」와, 참고문헌 1에 개시된 「KDF(Key Derivation Function)」 등의 해시함수의 연산을 행하고, 1개의 바이너리 계열 ω∈{0,1}^k를 출력하는 함수이다. 또한, 안전성의 관점에서, 함수 R은 충돌 곤란한 함수인 것이 바람직하고, 유사적인 랜덤 함수인 것이 보다 바람직하다.

Enc : Enc는 공통키 암호 방식의 암호화 처리를 나타내는 공통키 암호함수를 나타낸다. 공통키 암호 방식의 구체예는 카멜리아(Camellia)나 AES 등이다.

Enc_k(M) : Enc_k(M)은 공통키 K를 사용하고, 공통키 암호함수 Enc에 따라 평문 M을 암호화하여 얻어진 암호문을 나타낸다.

Dec : Dec는 공통키 암호 방식의 복호 처리를 나타내는 공통키 복호함수를 나타낸다.

Dec_k(C) : Dec_k(C)는 공통키 K를 사용하고, 공통키 복호함수 Dec에 따라 암호문 C를 복호하여 얻어진 복호 결과를 나타낸다.

〔내적 술어 암호〕

다음에, 내적 술어 암호의 기본적인 구성에 대해서 설명한다.

<술어 암호>

술어 암호(「함수 암호」라고 하는 경우도 있음)는 「속성 정보」라고 불리는 정보와 「술어 정보」라고 불리는 정보의 조합이 소정의 논리식을 「참」으로 하는 경우에 암호문을 복호할 수 있는 방식이다. 「속성 정보」와 「술어 정보」의 일방이 암호문에 메워넣어지고, 타방이 키정보에 메워넣어진다. 종래의 술어 암호의 구성은, 예를 들면, 참고문헌 9 「”Predicate Encryption Supporting Disjunctions, Polynomial Equations, and Inner Products," with Amit Sahai and Brent Waters One of 4 papers from Eurocrypt 2008 invited to the Journal of Cryptology」 등에 개시되어 있다.

<내적 술어 암호>

내적 술어 암호는 속성 정보나 술어 정보로서 벡터를 사용하고, 그들의 내적이 0이 되는 경우에 암호문이 복호되는 술어 암호이다. 내적 술어 암호에서는, 내적이 0이 되는 것과 논리식이 「참」이 되는 것이 등가이다.

[논리식과 다항식의 관계]

내적 술어 암호에서는, 논리합이나 논리적으로 이루어지는 논리식을 다항식으로 표현한다.

우선, 「x가 η₁이다」라는 명제 1과 「x가 η₂이다」라는 명제 2의 논리합 (x=η₁)∨(x=η₂)을

(x-η₁)·(x-η₂)…(36)

이라는 다항식으로 표현한다. 그러면, 각 진리값과 식 (36)의 함수값의 관계는 이하와 같게 된다.

[표 1]로부터 알 수 있는 바와 같이, 논리합 (x=η₁)∨(x=η₂)이 참인 경우, 식 (36)의 함수값은 0이 되고, 논리합 (x=η₁)∨(x=η₂)이 거짓인 경우, 식 (36)의 함수값은 0 이외의 값이 된다. 즉, 논리합 (x=η₁)∨(x=η₂)이 참인 것과, 식 (36)의 함수값이 0이 되는 것은 등가이다. 따라서, 논리합은 식 (36)으로 표현할 수 있다.

또, 「x가 η₁이다」라는 명제 1과 「x가 η₂이다」라는 명제 2의 논리적 (x=η₁)∧(x=η₂)을

ι₁·(x-η₁)+ι₂·(x-η₂)…(37)

이라는 다항식으로 표현한다. 단, ι₁ 및 ι₂는 난수이다. 그러면, 진리값과 식 (37)의 함수값은 이하의 관계가 된다.

[표 2]로부터 알 수 있는 바와 같이, 논리적 (x=η₁)∧(x=η₂)이 참인 경우, 식 (37)의 함수값은 0이 되고, 논리적 (x=η₁)∧(x=η₂)이 거짓인 경우, 식 (37)의 함수값은 0 이외의 값이 된다. 즉, 논리적 (x=η₁)∧(x=η₂)이 참인 것과, 식 (37)의 함수값이 0이 되는 것은 등가이다. 따라서, 논리적은 식 (37)로 표현할 수 있다.

이상과 같이, 식 (36)과 식 (37)을 사용함으로써 논리합이나 논리적으로 이루어지는 논리식을 다항식 f(x)로 표현할 수 있다. 예를 들면, 논리식 {(x=η₁)∨(x=η₂)∨(x=η₃)}∧(x=η₄)∧(x=η₅)는 다항식

f(x)=ι₁·{(x-η₁)·(x-η₂)·(x-η₃)}+ι₂·(x-η₄)+ι₃·(x-η₅)…(38)

로 표현할 수 있다.

또한, 식 (36)에서는, 1개의 부정원 x를 사용하여 논리합을 표현했지만, 복수의 부정원을 사용하여 논리합을 표현하는 것도 가능하다. 예를 들면, 2개의 부정원 x₀ 및 x₁을 사용하고, 「x₀가 η₀이다」라는 명제 1과 「x₁이 η₁이다」라는 명제 2의 논리합 (x₀=η₀)∨(x₁=η₁)을

(x₀-η₀)·(x₁-η₁)

이라는 다항식으로 표현하는 것도 가능하며, 3개 이상의 부정원을 사용하고, 논리합을 다항식으로 표현하는 것도 가능하다.

또, 식 (37)에서는, 1개의 부정원 x를 사용하여 논리적을 표현했지만, 복수의 부정원을 사용하여 논리적을 표현하는 것도 가능하다. 예를 들면, 또, 「x₀가 η₀이다」라는 명제 1과 「x₁이 η₁이다」라는 명제 2의 논리적 (x₀=η₀)∧(x₁=η₁)을

ι₀·(x₀-η₀)+ι₁·(x₁-η₁)

이라는 다항식으로 표현하는 것도 가능하며, 3개 이상의 부정원을 사용하고, 논리적을 다항식으로 표현하는 것도 가능하다.

논리합 및/또는 논리적을 포함하는 논리식을 H(H≥1)종류의 부정원 x₀,...,x_H-1을 사용하여 표현한 다항식을 f(x₀,...,x_H-1)라고 표현한다. 또, 각 부정원 x₀,...,x_H-1에 대응하는 명제를 「x_h가 η_h이다」로 한다. 단, η_h(h=0,...H-1)은 명제마다 정해지는 상수이다. 이 경우, 당해 논리식을 나타내는 다항식 f(x₀,...,x_H-1)는 부정원 x_h와 상수 η_h의 차를 취하는 다항식에 의해 당해 부정원 x_h가 당해 상수 η_h라는 명제를 표현하고, 명제를 각각 표현하는 다항식의 적에 의해 당해 명제의 논리합을 표현하고, 명제 또는 명제의 논리합을 각각 표현하는 다항식의 선형합에 의해 당해 명제 또는 명제의 논리합의 논리적을 표현하고, 그것에 의해 논리식을 표현한 다항식이 된다. 예를 들면, 5개의 부정원 x₀,...,x₄를 사용하고, 논리식 {(x₀=η₀)∨(x₁=η₁)∨(x₂=η₂)}∧(x₃=η₃)∧(x₄=η₄)을 다항식으로 표현하면,

f(x₀,...,x₄)

=ι₀·{(x₀-η₀)·(x₁-η₁)·(x₂-η₂)}+ι₁·(x₃-η₃)+ι₂·(x₄-η₄)

가 된다.

[다항식과 내적의 관계]

논리식을 나타내는 다항식 f(x₀,...,x_{H -1})은 2개의 n차원 벡터의 내적으로 표현할 수 있다. 즉, 다항식 f(x₀,...,x_{H -1})은 당해 다항식 f(x₀,...,x_{H -1})의 각 항의 부정원 성분을 각 요소로 하는 벡터

v^→=(v₁,...,v_n)

와, 당해 다항식 f(x₀,...,x_H-1)의 각 항의 계수 성분을 각 요소로 하는 벡터

w^→=(w₁,...,w_n)

와의 내적

f(x₀,...,x_H-1)=w^→·v^→

와 동등하다. 즉, 논리식을 나타내는 다항식 f(x₀,...,x_H-1)이 0인지 여부와, 다항식 f(x₀,...,x_H-1)의 각 항의 부정원 성분을 각 요소로 하는 벡터 v^→와, 다항식 f(x₀,...,x_H-1)의 각 항의 계수 성분을 각 요소로 하는 벡터 w^→의 내적이 0인지 여부는 등가이다.

f(x₀,...,x_H-1)=0←→ w^→·v^→=0

예를 들면, 1개의 부정원 x로 표현된 다항식 f(x)=θ₀·x⁰+θ₁·x+...+θ_n-1·x^n-1은 2개의 n차원 벡터

w^→=(w₁,...,w_n)=(θ₀,...,θ_n-1)…(39)

v^→=(v₁,...,v_n)=(x⁰,...,x^n-1)…(40)

의 내적

f(x)=w^→·v^→…(41)

로 표현할 수 있다. 즉, 논리식을 나타내는 다항식 f(x)가 0인지 여부와, 식 (41)의 내적이 0인지 여부는 등가이다.

f(x)=0←→ w^→·v^→=0…(42)

또, 다항식 f(x₀,...,x_H-1)의 각 항의 부정원 성분을 각 요소로 하는 벡터를

w^→=(w₁,...,w_n)

로 하고, 다항식 f(x₀,...,x_H-1)의 각 항의 계수 성분을 각 요소로 하는 벡터

v^→=(v₁,...,v_n)

로 해도, 논리식을 나타내는 다항식 f(x₀,...,x_{H -1})가 0인지 여부와, 벡터 w^→와 벡터 v^→의 내적이 0인지 여부는 등가이다.

예를 들면, 식 (39) (40) 대신에

w^→=(w₁,...,w_n)=(x⁰,...,x^{n -1})…(43)

v^→=(v₁,...,v_n)=(θ₀,...,θ_n-1)…(44)

로 해도, 논리식을 나타내는 다항식 f(x)가 0인지 여부와, 식 (41)의 내적이 0인지 여부는 등가이다.

내적 술어 암호에서는, 벡터 v^→=(v₀,...,v_n-1) 및 w^→=(w₀,...,w_n-1)의 어느 일방을 속성 정보로 하고, 타방을 술어 정보로 하고, 속성 정보와 술어 정보의 일방이 암호문에 메워넣어지고, 타방이 키정보에 메워넣어진다. 예를 들면, n차원 벡터(θ₀,...,θ_n-1)가 술어 정보가 되고, n차원 벡터(x⁰,...,x^n-1)가 속성 정보가 되고, 속성 정보와 술어 정보의 일방이 암호문에 메워넣어지고, 타방이 키정보에 메워넣어진다. 또한, 이하에서는, 키정보에 메워넣어지는 n차원 벡터를 w^→=(w₁,...,w_n)로 하고, 암호문에 메워넣어지는 n차원 벡터를 v^→=(v₁,...,v_n)로 한다. 예를 들면,

술어 정보 : w^→=(w₁,...,w_n)=(θ₀,...,θ_n-1)

속성 정보 : v^→=(v₁,...,v_n)=(x⁰,...,x^n-1)

이거나,

술어 정보 : v^→=(v₁,...,v_n)=(θ₀,...,θ_n-1)

속성 정보 : w^→=(w₁,...,w_n)=(x⁰,...,x^n-1)

이다.

[내적 술어 암호의 기본 구성]

이하에서는, 내적 술어 암호를 사용하여 키 캡슐화 메커니즘 KEM(Key Encapsulation Mechanisms)을 구성하는 경우의 기본 구성을 예시한다. 이 구성은 Setup(1^k), GenKey(MSK, w^→), Enc(PA, v^→), Dec(SKw, C₂)를 포함한다.

《Setup(1^k) : 셋업》

-입력 : 시큐리티 파라미터 k

-출력 : 마스터키 정보 MSK, 공개 파라미터 PK

Setup(1^k)의 일례에서는, 우선, 시큐리티 파라미터 k를 n으로 하고, n+1차원의 기저 벡터 a_i(i=1,...,n+1)를 요소로 하는 n+1행n+1열의 행렬 A와, 기저 벡터 a_i ^*(i=1,...,n+1)를 요소로 하는 n+1행n+1열의 행렬 A^*와, 좌표 변환을 위한 n+1행n+1열의 행렬 X, X^*가 선택된다. 다음에, 식 (22)에 따라 좌표 변환된 n+1차원의 기저 벡터 b_i(i=1,...,n+1)가 산출되고, 식 (24)에 따라 좌표 변환된 n+1차원의 기저 벡터 b_i ^*(i=1,...,n+1)가 산출된다. 그리고, 기저 벡터 b_i ^*(i=1,...,n+1)를 요소로 하는 n+1행n+1열의 행렬 B^*가 마스터키 정보 MSK로서 출력되고, 벡터공간 V, V^*, 기저 벡터 b_i(i=1,...,n+1)를 요소로 하는 n+1행n+1열의 행렬 B, 시큐리티 파라미터 k, 유한체 F_q, 타원곡선 E, 순회군 G₁, G₂,G_T, 생성원 g₁, g₂, g_T, 쌍선형 함수 e 등이 공개 파라미터 PK로서 출력된다.

《GenKey(MSK, w^→):키정보 생성》

-입력 : 마스터키 정보 MSK, 벡터 w^→

-출력 : 벡터 w^→에 대응하는 키정보 D^*

GenKey(MSK, w^→)의 일례에서는, 우선, 유한체 F_q로부터 원소 α∈F_q가 선택된다. 그리고, 마스터키 정보 MSK인 행렬 B^*를 사용하고, 벡터 w^→에 대응하는 키정보

D^*=α·(Σ_μ=1 ⁿw_μ·b_μ ^*)+b_n+1 ^*∈G₂ ⁿ⁺¹…(45)

가 생성되어 출력된다. 또한, 순회군 G₂ 상에서의 이산대수 문제의 해를 구하는 것이 곤란한 경우, 키정보 D^*로부터 w_μ·b_μ ^*나 b_n+1 ^*의 성분을 분리 추출하는 것은 곤란하다.

《Enc(PA, v^→) : 암호화》

-입력 : 공개 파라미터 PK, 벡터 v^→

-출력 : 암호문 C₂, 공통키 K

Enc(PA, v^→)의 일례에서는, 우선, 공통키 K와 유한체 F_q의 원소인 난수 υ₁이 생성된다. 그리고, 행렬 B 등의 공개 파라미터 PK와, 공통키 K를 포함하는 값에 대응하는 유한체 F_q의 원소 υ₂와, 벡터 v^→와, 난수 υ₁을 사용하고, 암호문

C₂=υ₁·(Σ_μ=1 ⁿv_μ·b_μ)+υ₂·b_n+1∈G₁ ⁿ⁺¹…(46)

이 생성된다. 그리고, 암호문 C₂와 공통키 K가 출력된다. 공통키 K의 일례는 K=g_T ^τ·υ2∈G_T이다. 여기서, 첨자의 υ2는 υ₂를 의미한다. 또, 상기 서술한 바와 같이 τ의 일례는 τ=1_F이다. 또한, 순회군 G₁ 상에서의 이산대수 문제의 해를 구하는 것이 곤란한 경우, 암호문 C₂로부터 v_μ·b_μ나 υ₂·b_n+1의 성분을 분리 추출하는 것은 곤란하다.

《Dec(SKw, C₂) : 복호·키공유》

-입력 : 벡터 w^→에 대응하는 키정보 D₁ ^*, 암호문 C₂

-출력 : 공통키 K

Dec(SKw, C₂)의 일례에서는, 우선, 암호문 C₂와 키정보 D₁ ^*가 식 (2)의 쌍선형 함수 e에 입력된다. 그러면, 식 (3) (26)의 성질로부터,

[수 10]

을 만족한다.

여기서, 내적 w^→·v^→=0이면, 식 (47)은,

[수 11]

로 변형할 수 있다. 이 결과로부터 공통키 K가 생성되어 출력된다. 공통키 K의 일례는 K=g_T ^τ·υ2∈G_T이다.

[제1 실시형태]

제1 실시형태의 정보 생성 장치 및 방법은 상기 서술한 술어 암호를 사용하여 계층형 암호를 실현한 것이다. 구체적으로는, 상기 서술한 술어 암호로 등장하는 기저 b^*를 사용하여, 나무 구조 이외의 일반적인 반순서 구조로 나타나는 정보 도출을 실현하는 것이다.

도 1에, 제1 실시형태의 정보 생성 장치의 기능 블록도를 예시한다.

각 정보에는 인덱스 v가 붙여져 있다. 인덱스 v는 v=(v₁,…, v_N-1)∈I=(F_q∪{*})^N-1이며, 인덱스 v에는 대응하는 집합 w(v)={i|v_i=*}가 정의되어 있다. *는 부정문자이다. 이하에 등장하는 인덱스 u, 인덱스 Y 등의 인덱스는 인덱스 v와 마찬가지의 구조를 가지고, 인덱스 u=(u₁,…, u_N-1)∈I=(F_q∪{*})^N-1, 인덱스 Y=(Y₁,…, Y_N-1)∈I=(F_q∪{*})^N-1인 것으로 한다. 인덱스 u∈I와 인덱스 v∈I에 대하여, w(u)⊂w(v) 또한 v_i=u_i(i∈{1,…, N-1}＼w(v))일 때, 즉, w(u)⊂w(v) 또한 임의의 i∈{1,…, N-1}＼w(v)에 대하여 v_i=u_i일 때, 인덱스 u≤인덱스 v이며, 인덱스 v는 인덱스 u보다 상위의 정보인 것으로 한다. 여기서, 기호 「＼」는 집합의 감산을 의미하고, 예를 들면 집합 A={1,2,3}, 집합 B={1}일 때, A＼B= {2,3}이다.

예를 들면, 인덱스 v={v₁,v₂,v₃}={2,*,*}이며, 인덱스 u={u₁,u₂,u₃}={2,*,4}인 것으로 한다. 이 때, w(v)={2,3}, w(u)={2}가 되고, w(u)⊂w(v)가 성립한다. 또, v₁=u₁=2이다. 따라서, 인덱스 u≤인덱스 v이며, 인덱스 v는 인덱스 u보다 상위의 정보라고 할 수 있다.

이하, 기저 b_i ^*로부터 생성되는 정보에 대한 인덱스를 인덱스 Y라고 표기하고, 도출기의 정보에 대한 인덱스를 인덱스 v라고 표기하고, 그 도출기의 정보로부터 도출된 정보에 대한 인덱스를 인덱스 u라고 표기한다.

<정보 생성>

정보 생성 장치 및 방법은 도 2의 스텝 A1으로부터 스텝 A3에 있어서, 기저 b_i ^*를 사용하여 인덱스 Y에 대응하는 정보 K_Y를 생성한다. 정보 K_Y는 주정보 k_Y와 도출 정보 k_Yj를 포함한다. 주정보 k_Y는 술어 암호에 있어서 예를 들면 복호키로서 사용된다. 도출 정보 k_Yj는 인덱스 Y에 대응하는 정보 K_Y보다 하위의 정보를 생성하기 위해서 사용된다.

정보 생성 장치에는 인덱스 Y∈I가 입력된다.

난수 생성부(1)는 난수 σ_Y∈Z_q, 및, 집합 w(Y)의 각 요소 j∈w(Y)에 대응하는 난수 σ_Yj∈Z_q를 생성한다(스텝 A1). 생성된 난수 σ_Y는 주정보 생성부(2)에 보내진다. 생성된 난수 σ_Yj는 도출 정보 생성부(3)에 보내진다. 예를 들면, 집합 w(Y)={2,3}인 경우에는, 난수 생성부(1)는 σ_Y, σ_Y2 및 σ_Y3의 3개의 난수를 생성한다.

주정보 생성부(2)는 상기 생성된 난수 σ_Y를 사용하여, k_Y=σ_YΣ_{i∈{1,…, N-1}＼w(Y)}Y_ib_i ^*+b_N ^*의 관계를 만족하는 주정보 k_Y를 계산한다(스텝 A2). 계산된 주정보 k_Y는 기억부(4)에 격납된다.

도출 정보 생성부(3)는 상기 생성된 난수 σ_Yj를 사용하여, k_Yj=σ_YjΣ_{i∈{1,…, N-1}＼w(Y)}Y_ib_i ^*+b_j ^*의 관계를 만족하는 도출 정보 k_Yj를 집합 w(Y)의 각 요소 j∈w(Y)마다 계산한다(스텝 A3). 계산된 도출 정보 k_Yj는 기억부(4)에 격납된다.

<정보 도출>

정보 생성 장치 및 방법은, 도 3의 스텝 B1 내지 스텝 B3에 있어서, u≤v로서, 상위의 인덱스 v에 대응하는 정보 K_v로부터, 하위의 인덱스 u에 대응하는 정보 K_u를 생성한다.

인덱스 v에 대응하는 정보 K_v는 주정보 k_v와 도출 정보 k_vj를 포함한다. 주정보 k_v는 술어 암호에 있어서 예를 들면 복호키로서 사용된다. 도출 정보 k_vj는 인덱스 v에 대응하는 정보 K_v보다 하위의 정보를 생성하기 위해서 사용된다. 예를 들면, 인덱스 v=Y이며, 정보 K_v=정보 K_Y이다. 또, 스텝 B1 내지 스텝 B3의 처리에 의해 생성된 정보 K_u를 새로운 정보 K_v로 하여, 인덱스 u에 대응하는 정보 K_u보다 하위의 정보K_u'(u'≤u)를 생성해도 된다.

인덱스 u에 대응하는 정보 K_u는 주정보 k_u와 도출 정보 k_uj를 포함한다. 주정보 k_u는 술어 암호에 있어서 예를 들면 복호키로서 사용된다. 도출 정보 k_uj는 인덱스 u에 대응하는 정보 K_u보다 하위의 정보를 생성하기 위해서 사용된다.

정보 생성 장치에는 인덱스 v 및 인덱스 u가 입력된다.

기억부(4)에는 인덱스 v에 대응하는 정보 K_v가 격납되어 있는 것으로 한다.

난수 생성부(1)는 난수 σ_u∈Z_q 및 집합 w(u)의 각 요소 j∈w(u)에 대응하는 난수 σ_uj∈Z_q를 생성한다(스텝 B1). 생성된 난수 σ_u는 주정보 도출부(5)에 보내지고, 생성된 난수 σ_uj는 도출 정보 도출부(6)에 보내진다.

주정보 도출부(5)는 기억부(4)로부터 읽어들인 주정보 k_v, 도출 정보 k_vi 및 상기 생성된 난수 σ_u를 사용하여, k_u=σ_uΣ_{i∈w(v)＼w(u)}u_ik_vi+k_v의 관계를 만족하는, 인덱스 u에 대응하는 주정보 k_u를 계산한다(스텝 B2). 계산된 주정보 k_u는 기억부(4)에 격납된다.

도출 정보 도출부(6)는 기억부(4)로부터 읽어들인 도출 정보 k_vj 및 상기 생성된 난수 σ_uj를 사용하여, k_uj=σ_ujΣ_{i∈w(v)＼w(u)}u_ik_vi+k_vj의 관계를 만족하는 인덱스 u에 대응하는 도출 정보 k_uj를 집합 w(u)의 각 요소 j∈w(u)마다 계산한다(스텝 B3). 계산된 도출 정보 k_uj는 기억부(4)에 격납된다.

이렇게 하여, 인덱스 Y에 대응하는 정보 K_Y를 생성하여, 이 정보 K_Y를 기초로 하여 하위의 인덱스에 대응하는 정보를 도출함으로써, 공통의 자노드 C를 가지는 친노드 A와 친노드 B에 대하여, 친노드 A의 정보로부터 공통의 자노드 C의 정보를 도출하고, 친노드 B의 정보로부터 공통의 자노드 C의 정보를 도출할 수 있다.

<구체예 1>

이하, 각 노드의 정보가 술어 암호에 있어서의 키이며, 인덱스 v¹의 정보로부터 생성한 인덱스 v³의 정보와, 인덱스 v²의 정보로부터 생성한 인덱스 v³의 정보가 술어 암호에 있어서의 키라는 관점에서 일치하는 것을 설명한다. 이하에 나타내는 인덱스 v¹, 인덱스 v², 인덱스 v³는 일례이며, 다른 인덱스에 대해서도 마찬가지라고 할 수 있다.

인덱스 v¹={v₁,v₂,*,*}로 하고, 인덱스 v²={*,*,v₃,v₄}로 하고, 인덱스 v³={v₁,v₂,v₃,v₄}로 한다. 정의로부터, v¹≥v³, v²≥v³이며, 친노드인 인덱스 v¹ 및 친노드인 인덱스 v²는 인덱스 v³를 공통하는 자노드로서 가진다. 또한, 이하에서는, vⁱ(i=1,2,3)를 v^i라고 표기하는 경우도 있다. 또, 인덱스 vⁱ의 j번째의 요소를 v^ij라고 표기하는 경우도 있다.

N=5로 하여, N개의 기저 b₁ ^*,b₂ ^*,b₃ ^*,b₄ ^*,b₅ ^*로부터, 인덱스 v¹에 대응하는 정보 K_v^1 및 인덱스 v²에 대응하는 정보 K_v^2를 생성한다. σ_v^1, σ_v^13, σ_v^14, σ_v^2, σ_v^23, σ_v^24, σ_v^3, σ_v^3'는 난수 생성부(1)에 의해 생성되는 난수이다.

인덱스 v¹에 대응하는 정보 K_v^1(주정보 k_v^1, 도출 정보 k_v^13, k_v^14)는 이하와 같게 된다.

k_{v ^1}=σ_v^1(v₁b₁ ^*+v₂b₂ ^*)+b₅ ^*

k_{v ^13}=σ_v^13(v₁b₁ ^*+v₂b₂ ^*)+b₃ ^*

k_{v ^14}=σ_v^14(v₁b₁ ^*+v₂b₂ ^*)+b₄ ^*

또, 인덱스 v²에 대응하는 정보 K_{v ^2}(주정보 k_{v ^2}, 도출 정보 k_{v ^21}, k_{v ^22})는 이하와 같게 된다.

k_{v ^2}=σ_v^2(v₃b₃ ^*+v₄b₄ ^*)+b₅ ^*

k_{v ^21}=σ_v^23(v₃b₃ ^*+v₄b₄ ^*)+b₁ ^*

k_{v ^22}=σ_v^24(v₃b₃ ^*+v₄b₄ ^*)+b₂ ^*

인덱스 v¹에 대응하는 정보 K_{v ^ 1}으로부터 인덱스 v³에 대응하는 주정보 k_{v ^ 3}를 도출하면 이하와 같게 된다. 이하의 식에 있어서, a=(σ_v^3(v₃σ_v^13+v₄σ_v^14)+σ_v^1)이며, b=σ_v^3이다.

k_{v ^3}=σ_v^3(v₃k_{v ^13}+v₄k_{v ^14})+k_{v ^1}

=(σ_v^3(v₃σ_v^13+v₄σ_v^14)+σ_v^1)(v₁b₁ ^*+v₂b₂ ^*)+σ_v^3(v₃b₃ ^*+v₄b₄ ^*)+b₅ ^*

=a(v₁b₁ ^*+v₂b₂ ^*)+b(v₃b₃ ^*+v₄b₄ ^*)+b₅ ^*…(A)

인덱스 v²에 대응하는 정보 K_{v ^2}로부터 인덱스 v³에 대응하는 주정보 k_{v ^ 3}를 도출하면 이하와 같게 된다. 이하의 식에 있어서, c=σ_v^3'이며, d=(σ_v^3'(v₁σ_v^23+v₄σ_v^24)+σ_v^2)이다.

k_{v ^3}=σ_v^3'(v₁k_{v ^21}+v₂k_{v ^22})+k_{v ^2}

=(σ_v^3'(v₁σ_v^23+v₄σ_v^24)+σ_v^2)(v₃b₃ ^*+v₄b₄ ^*)+σ_v^3'(v₁b₁ ^*+v₂b₂ ^*)+b₅ ^*

=c(v₁b₁ ^*+v₂b₂ ^*)+d(v₃b₃ ^*+v₄b₄ ^*)+b₅ ^*…(B)

상기 (A)식에 나타낸 정보 K_{v ^ 1}으로부터 도출한 주정보 k_{v ^ 3}와, 상기 (B)식에 나타낸 정보 K_{v ^2}로부터 도출한 주정보 k_{v ^ 3}를 비교하면, 값은 일치하지 않지만, 술어 암호에 있어서 동일한 값의 키가 된다. 즉, (v₁b₁ ^*+v₂b₂ ^*)를 벡터 (b₁ ^*,b₂ ^*)와 벡터 (v₁,v₂)의 내적으로 보면, 벡터 (b₁ ^*,b₂ ^*)에 대한 벡터 (v₁,v₂)의 방향이 (A)식과 (B)식에서 일치하고 있으며, 마찬가지로 (v₃b₃ ^*+v₄b₄ ^*)를 벡터 (b₃ ^*,b₄ ^*)와 벡터 (v₃,v₄)의 내적으로 보면, 벡터 (b₃ ^*,b₄ ^*)에 대한 벡터 (v₃,v₄)의 방향이 (A)식과 (B)식에서 일치하고 있어, 양쪽 키는 술어 암호에 있어서 동일한 값의 키가 된다.

[제2 실시형태]

도 4에, 제2 실시형태의 정보 생성 장치의 기능 블록도를 예시한다.

G, G_T를 소수 위수 q의 순회군으로 하고, g를 순회군 G의 생성원으로 하고, 순회군 G에는 g_T=e(g,g)가 순회군 G_T의 생성원이 되는 것 같은 페어링 함수 e:G×G→G_T가 존재하는 것으로 하고, a를 Z_p로부터 랜덤으로 선택된 난수로 하고, g와 g₁=g^a∈G와 순회군 G로부터 랜덤으로 선택된 g₂,g₃,h₁,…, h_N-1∈G가 공개키로서 공개되어 있는 것으로 한다.

<정보 생성>

정보 생성 장치 및 방법은 도 5의 스텝 C1 내지 스텝 C4에 있어서, 공개키를 사용하여 인덱스 Y에 대응하는 정보 K_Y를 생성한다. 정보 K_Y는 제1 주정보 k_Y와 제2 주정보 g^rY와 도출 정보 k_Yj를 포함한다. 제1 주정보 k_Y 및 제2 주정보 g^rY는 예를 들면 복호키로서 사용된다. 도출 정보 k_Yi는 인덱스 Y에 대응하는 정보 K_Y보다 하위의 정보를 생성하기 위해서 사용된다.

정보 생성 장치에는 인덱스 Y∈I가 입력된다.

난수 생성부(1)는 난수 r_Y∈Z_q를 생성한다(스텝 C1). 생성된 난수 r_Y는 제1 주정보 생성부(21), 제2 주정보 생성부(22) 및 도출 정보 생성부(3)에 보내진다.

제1 주정보 생성부(21)는 상기 생성된 난수 r_Y를 사용하여, k_Y=g₂ ^a(g₃Π_{i∈{1,…, N-1}＼w(Y)}h_i ^Yi)^rY의 관계를 만족하는 제1 주정보 k_Y를 계산한다(스텝 C2). 계산된 제1 주정보 k_Y는 기억부(4)에 격납된다.

제2 주정보 생성부(22)는 상기 생성된 난수 r_Y를 사용하여, 제2 주정보 g^rY를 계산한다(스텝 C3). 계산된 제2 주정보 k_Y는 기억부(4)에 격납된다.

도출 정보 생성부(3)는 상기 생성된 난수 r_Y를 사용하여, k_Yj=h_j ^rY의 관계를 만족하는 도출 정보 k_Yj를 집합 w(Y)의 각 요소 j∈w(Y)마다 계산한다(스텝 C4). 계산된 도출 정보 k_Yi는 기억부(4)에 격납된다.

<정보 도출>

정보 생성 장치 및 방법은 도 6의 스텝 D1 내지 스텝 D4에 있어서, u≤v로서, 상위의 인덱스 v에 대응하는 정보 K_v로부터, 하위의 인덱스 u에 대응하는 정보 K_u를 생성한다.

인덱스 v에 대응하는 정보 K_v는 제1 주정보 k_v와 제2 주정보 g^rv와 도출 정보 k_vj를 포함한다. 제1 주정보 k_v 및 제2 주정보 g^rv는 예를 들면 복호키로서 사용된다. 도출 정보 k_vj는 인덱스 v에 대응하는 정보 K_v보다 하위의 정보를 생성하기 위해서 사용된다. 예를 들면, 인덱스 v=Y이며, 정보 K_v=정보 K_Y이다. 또, 스텝 D1 내지 스텝 D4의 처리에 의해 생성된 정보 K_u를 새로운 정보 K_v로 하여, 인덱스 u에 대응하는 정보 K_u보다 하위의 정보 K_u'(u'≤u)를 생성해도 된다.

인덱스 u에 대응하는 정보 K_u는 제1 주정보 k_u와 제2 주정보 g^ru와 도출 정보 k_uj를 포함한다. 제1 주정보 k_u 및 제2 주정보 g^ru는 예를 들면 복호키로서 사용된다. 도출 정보 k_uj는 인덱스 u에 대응하는 정보 K_u보다 하위의 정보를 생성하기 위해서 사용된다.

정보 생성 장치에는 인덱스 v 및 인덱스 u가 입력된다.

기억부(4)에는 인덱스 v에 대응하는 정보 K_v가 격납되어 있는 것으로 한다.

난수 생성부(1)는 난수 r_u를 생성한다(스텝 D1). 생성된 난수는 제1 주정보 도출부(51), 제2 주정보 도출부(52) 및 도출 정보 도출부(6)에 보내진다.

제1 주정보 도출부(51)는 상기 생성된 난수 r_u, 기억부(4)로부터 읽어들인 제1 주정보 k_v 및 도출 정보 k_vi를 사용하여, k_u=k_v(Π_{i∈w(v)＼w(u)}k_vi ^ui)(g₃Π_{i∈{1,…, N-1}＼w(v)}h_i ^viΠ_{i∈w(v)＼w(u)}h_i ^ui)^ru의 관계를 만족하는, 인덱스 u에 대응하는 제1 주정보 k_u를 계산한다(스텝 D2). 계산된 제1 주정보 k_u는 기억부(4)에 격납된다.

제2 주정보 도출부(52)는 상기 생성된 난수 r_u를 사용하여, 제2 주정보 g^ru를 계산한다(스텝 D3). 계산된 제2 주정보 g^ru는 기억부(4)에 격납된다.

도출 정보 도출부(6)는 상기 기억부로부터 읽어들인 도출 정보 k_vi 및 상기 생성된 난수 r_u를 사용하여, k_uj=k_vjh_j ^ru의 관계를 만족하는 도출 정보 k_uj를 집합 w(u)의 각 요소 j∈w(u)마다 계산한다(스텝 D4). 계산된 도출 정보 k_uj는 기억부(4)에 기억된다.

이렇게 하여, 인덱스 Y에 대응하는 정보 K_Y를 생성하여, 이 정보 K_Y를 기초로 하여 하위의 인덱스에 대응하는 정보를 도출함으로써, 공통의 자노드 C를 가지는 친노드 A와 친노드 B에 대하여, 친노드 A의 정보로부터 공통의 자노드 C의 정보를 도출하고, 친노드 B의 정보로부터 공통의 자노드 C의 정보를 도출할 수 있다.

<구체예 2>

이하, 각 노드의 정보가 술어 암호에 있어서의 키이며, 인덱스 v¹의 정보로부터 생성한 인덱스 v³의 정보와, 인덱스 v²의 정보로부터 생성한 인덱스 v³의 정보가 술어 암호에 있어서의 키라는 관점에서 일치하는 것을 설명한다. 이하에 나타내는 인덱스 v¹, 인덱스 v², 인덱스 v³는 일례이며, 다른 인덱스에 대해서도 마찬가지라고 할 수 있다.

인덱스 v¹={v₁,v₂,*,*}로 하고, 인덱스 v²={*,*,v₃,v₄}로 하고, 인덱스 v³={v₁,v₂,v₃,v₄}로 한다. 정의로부터, v¹≥v³, v²≥v³이며, 친노드인 인덱스 v¹ 및 친노드인 인덱스 v²는 인덱스 v³를 공통하는 자노드로서 가진다. 또한, 이하에서는, vⁱ(i=1,2,3)를 v^i로 표기하는 경우도 있다. 또, 인덱스 vⁱ의 j번째의 요소를 v^ij로 표기하는 경우도 있다.

N=5로 하여, g₁=g^a,g₂,g₃,h₁,h₂,h₃,h₄∈G가 공개키로서 공개되어 있는 것으로 한다. 이들 공개키로부터 인덱스 v¹에 대응하는 정보 K_v^1 및 인덱스 v²에 대응하는 정보 K_v^2를 생성한다. r_v^1, r_v^2는 난수 생성부(1)에 의해 생성되는 난수이다.

인덱스 v¹에 대응하는 정보 K_v^1(제1 주정보 k_v^1, 제2 주정보 g^{rv^1}, 도출 정보 k_v^13, k_v^14)은 이하와 같게 된다.

k_v^1=g₂ ^a(g₃h₁ ^v1h₂ ^v2)^{rv^1}

g^{rv^1}

k_v^13=h₃ ^{rv^1}

k_v^14=h₄ ^{rv^1}

또, 인덱스 v²에 대응하는 정보 K_{v ^2}(제1 주정보 k_{v ^2}, 제2 주도출 정보 g^{rv ^2}, 도출 정보 k_{v ^21}, k_{v ^22})는 이하와 같게 된다.

k_{v ^2}=g₂ ^a(g₃h₃ ^v3h₄ ^v4)^{rv^2}

g^{rv^2}

k_v^21=h₁ ^{rv^2}

k_v^22=h₂ ^{rv^2}

인덱스 v¹에 대응하는 정보 K_v^1으로부터 인덱스 v³에 대응하는 제1 주정보 k_v^3를 도출하면 이하와 같게 된다. 또한, r_v^3는 난수 생성부(1)에 의해 생성되는 난수이며, r=r_v^1+r_v^3이다.

k_v^3=k_v^1(k_v^13 ^v3k_v^14 ^v4)(g₃h₁ ^v1h₂ ^v2h₃ ^v3h₄ ^v4)^{rv^3}

=g₂ ^a(g₃h₁ ^v1h₂ ^v2h₃ ^v3h₄ ^v4)^r…(C)

인덱스 v²에 대응하는 정보 K_v^2로부터 인덱스 v³에 대응하는 주정보 k_v^3를 도출하면 이하와 같게 된다. 또한, r_v^3'는 난수이며, r'=r_v^2+r_v^3'이다.

k_v^3=k_v^2(k_v^21 ^v1k_v^22 ^v2)(g₃h₁ ^v1h₂ ^v2h₃ ^v3h₄ ^v4)^{rv^3'}

=g₂ ^a(g₃h₁ ^v1h₂ ^v2h₃ ^v3h₄ ^v4)^r'…(D)

상기 (C)식에 나타낸 정보 K_v^1으로부터 도출한 제1 주정보 k_v^3 및 제2 주정보 g^{rv^3}와, 상기 (D)식에 나타낸 정보 K_v^2로부터 도출한 제1 주정보 k_v^3 및 제2 주정보 g^{rv^3'}를 비교하면, 이들 값은 일치하지 않지만, 공개키 g₃,h₁,h₂,h₃,h₄의 지수의 비가 일치하고 있어, 술어 암호에 있어서 동일한 값의 키가 된다.

[변형예 등]

상기한 실시형태에서는, 정보 생성 장치는 주정보 생성부(2), 도출 정보 생성부(3), 주정보 도출부(5) 및 도출 정보 도출부(6) 모두를 가지고 있었지만, 이들의 적어도 1개의 부를 가지고 있으면 된다. 예를 들면, 주정보 생성부(2) 및 도출 정보 생성부(3)만을 가지고 있어도 된다. 또, 주정보 도출부(5) 및 도출 정보 도출부(6)만을 가지고 있고, 이미 생성되어 기억부(4)에 격납된 정보 K_v를 사용하여, 정보 K_u를 생성해도 된다.

또, 상기 서술한 유한체 F_q 상에서 정의된 각 연산을 위수 q의 유한환 Z_q 상에서 정의된 연산으로 치환해도 된다. 유한체 F_q 상에서 정의된 각 연산을 유한환 Z_q 상에서 정의된 연산으로 치환하는 방법의 일례는 소수나 그 멱승값 이외의 q를 허용하는 방법이다.

정보 생성 장치는 컴퓨터에 의해 실현할 수 있다. 이 경우, 이들 장치가 각각 가져야 할 기능의 처리 내용은 프로그램에 의해 기술된다. 그리고, 이 프로그램을 컴퓨터로 실행함으로써, 이들 장치에 있어서의 각 처리 기능이 컴퓨터 상에서 실현된다.

이 처리 내용을 기술한 정보 생성 프로그램은 컴퓨터로 판독 가능한 기록 매체에 기록해 둘 수 있다. 또, 이 형태에서는, 컴퓨터 상에서 소정의 프로그램을 실행시킴으로써, 이들 장치를 구성하는 것으로 했지만, 이들 처리 내용의 적어도 일부를 하드웨어적으로 실현하는 것으로 해도 된다.

본 발명은 상기 서술한 실시형태에 한정되는 것은 아니며, 본 발명의 취지를 일탈하지 않는 범위에서 적당히 변경이 가능하다.

Claims (14)

1. e가 순회군 G₁의 N개의 원소 γ_L(L=1,…, N)(N≥2)과 순회군 G₂의 N개의 원소 γ_L ^*(L=1,…, N)의 입력에 대하여 순회군 G_T의 1개의 원소를 출력하는 비퇴화한 쌍선형 함수이며, b_i∈G₁ ^N(i=1,…, N)의 각각이 상기 순회군 G₁의 N개의 원소를 요소로 하는 N차원의 기저 벡터이며, b_j ^*∈G₂ ^N(j=1,…, N)의 각각이 상기 순회군 G₂의 N개의 원소를 요소로 하는 N차원의 기저 벡터이며, 상기 기저 벡터 b_i∈G₁ ^N(i=1,…, N)의 각 요소와 상기 기저 벡터 b_j ^*∈G₂ ^N(j=1,…, N)의 각 요소를 상기 쌍선형 함수 e에 입력하여 얻어지는 함수값이, i=j인 경우에 δ(i, j)=1_F가 되고 i≠j인 경우에 δ(i, j)=0_F가 되는 크로네커의 델타 함수 δ(i, j)를 사용하여 g_T ^{τ·δ(i, j)}∈G_T라고 표현되고, 0_F가 유한체 F_q의 가법단위원이며, 1_F가 유한체 F_q의 승법단위원이며, τ가 0_F를 제외한 유한체 F_q의 원소이며, g_T가 상기 순회군 G_T의 생성원이며,
   *를 부정문자로 하고, 인덱스 Y를 Y=(Y₁,…, Y_N-1)∈I=(F_q∪{*})^N-1으로 하고, 인덱스 Y에 대응하는 집합 w(Y)를 w(Y)={i|Y_i=*}로 하여,
   난수 σ_Y∈Z_q, 및, 집합 w(Y)의 각 요소 j∈w(Y)에 대응하는 난수 σ_Yj∈Z_q를 생성하는 난수 생성부와,
   상기 생성된 난수 σ_Y를 사용하여, k_Y=σ_YΣ_{i∈{1,…, N-1}＼w(Y)}Y_ib_i ^*+b_N ^*의 관계를 만족하는 주정보 k_Y를 계산하는 주정보 생성부와,
   상기 생성된 난수 σ_Yj를 사용하여, k_Yj=σ_YjΣ_{i∈{1,…, N-1}＼w(Y)}Y_ib_i ^*+b_j ^*의 관계를 만족하는 도출 정보 k_Yj를 집합 w(Y)의 각 요소 j∈w(Y)마다 계산하는 도출 정보 생성부,
   를 포함하는 것을 특징으로 하는 정보 생성 장치.
2. 제 1 항에 있어서,
   *를 부정문자로 하고, 인덱스 v를 v=(v₁,…, v_{N -1})∈I=(F_q∪{*})^{N- 1}으로 하고, 인덱스 v에 대응하는 집합 w(v)를 w(v)={i|v_i=*}로 하고, 인덱스 u를 u=(u₁,…, u_{N -1})∈I=(F_q∪{*})^N-1으로 하고, 인덱스 u에 대응하는 집합 w(u)를 w(u)={i|u_i=*}로 하고, 집합 w(u)⊂집합 w(v)로 하고, v_i=u_i(i∈{1,…, N-1}＼w(v))로 하여,
   인덱스 v에 대응하는 주정보 k_v 및 인덱스 v에 대응하는 도출 정보 k_vj를 기억하는 기억부와,
   상기 난수 생성부는 또한 난수 σ_u∈Z_q를 생성하고,
   상기 기억부로부터 읽어들인 주정보 k_v, 도출 정보 k_vi 및 상기 생성된 난수 σ_u를 사용하여, k_u=σ_uΣ_{i∈w(v)＼w(u)}u_ik_vi+k_v의 관계를 만족하는, 인덱스 u에 대응하는 주정보 k_u를 계산하는 주정보 도출부,
   를 포함하는 것을 특징으로 하는 정보 생성 장치.
3. 제 2 항에 있어서,
   상기 난수 생성부는 또한 집합 w(u)의 각 요소 j∈w(u)에 대응하는 난수 σ_uj∈Z_q를 생성하고,
   상기 기억부로부터 읽어들인 도출 정보 k_vj 및 상기 생성된 난수 σ_uj를 사용하여, k_uj=σ_ujΣ_{i∈w(v)＼w(u)}u_ik_vi+k_vj의 관계를 만족하는 인덱스 u에 대응하는 도출 정보 k_uj를 집합 w(u)의 각 요소 j∈w(u)마다 계산하는 도출 정보 도출부를 또한 포함하는,
   것을 특징으로 하는 정보 생성 장치.
4. e가 순회군 G₁의 N개의 원소 γ_L(L=1,…, N)(N≥2)과 순회군 G₂의 N개의 원소 γ_L ^*(L=1,…, N)의 입력에 대하여 순회군 G_T의 1개의 원소를 출력하는 비퇴화한 쌍선형 함수이며, b_i∈G₁ ^N(i=1,…, N)의 각각이 상기 순회군 G₁의 N개의 원소를 요소로 하는 N차원의 기저 벡터이며, b_j ^*∈G₂ ^N(j=1,…, N)의 각각이 상기 순회군 G₂의 N개의 원소를 요소로 하는 N차원의 기저 벡터이며, 상기 기저 벡터 b_i∈G₁ ^N(i=1,…, N)의 각 요소와 상기 기저 벡터 b_j ^*∈G₂ ^N(j=1,…, N)의 각 요소를 상기 쌍선형 함수 e에 입력하여 얻어지는 함수값이, i=j인 경우에 δ(i, j)=1_F가 되고 i≠j인 경우에 δ(i, j)=0_F가 되는 크로네커의 델타 함수 δ(i, j)를 사용하여 g_T ^{τ＼δ(i, j)}∈G_T로 표현되고, 0_F가 유한체 F_q의 가법단위원이며, 1_F가 유한체 F_q의 승법단위원이며, τ가 0_F를 제외한 유한체 F_q의 원소이며, g_T가 상기 순회군 G_T의 생성원이며,
   *를 부정문자로 하고, 인덱스 Y를 Y=(Y₁,…, Y_N-1)∈I=(F_q∪{*})^N-1으로 하고, 인덱스 Y에 대응하는 집합 w(Y)를 w(Y)={i|Y_i=*}로 하고, σY∈Z_q를 난수로 하고, σ_Yi를 집합 w(Y)의 각 요소 j∈w(Y)에 대응하는 난수로 하고, 인덱스 Y에 대응하는 주정보 k_Y는 k_Y=σ_YΣ_{i∈{1,…, N-1}＼w(Y)}Y_ib_i ^*+b_N ^*의 관계를 만족하고, 인덱스 Y에 대응하는 도출 정보 k_Yj는 k_Yj=σ_YjΣ_{i∈{1,…, N-1}＼w(Y)}Y_ib_i ^*+b_j ^*의 관계를 만족하고,
   *를 부정문자로 하고, 인덱스 v를 v=(v₁,…, v_N-1)∈I=(F_q∪{*})^N-1으로 하고, 인덱스 u를 u=(u₁,…, u_N-1)∈I=(F_q∪{*})^N-1으로 하고, 인덱스 v에 대응하는 집합 w(v)를 w(v)={i|v_i=*}로 하고, 인덱스 u에 대응하는 집합 w(u)를 w(u)={i|u_i=*}로 하고, 집합 w(u)⊂집합 w(v)로 하고, v_i=u_i(i∈{1,…, N-1}＼w(v))로 하여,
   상기 주정보 k_Y인 또는 상기 주정보 k_Y 및 상기 도출 정보 k_Yj로부터 도출된 인덱스 v에 대응하는 주정보 k_v, 및, 상기 도출 정보 k_Yj인 또는 상기 도출 정보 k_Yj로부터 도출된 인덱스 v에 대응하는 도출 정보 k_vj를 기억하는 기억부와,
   난수 σ_u∈Z_q를 생성하는 난수 생성부와,
   상기 기억부로부터 읽어들인 주정보 k_v, 도출 정보 k_vi 및 상기 생성된 난수 σ_u를 사용하여, k_u=σ_uΣ_{i∈w(v)＼w(u)}u_ik_vi+k_v의 관계를 만족하는, 인덱스 u에 대응하는 주정보 k_u를 계산하는 주정보 도출부,
   를 포함하는 것을 특징으로 하는 정보 생성 장치.
5. 제 4 항에 있어서,
   상기 난수 생성부는 또한 집합 w(u)의 각 요소 j∈w(u)에 대응하는 난수 σ_uj∈Z_q를 생성하고,
   상기 기억부로부터 읽어들인 도출 정보 k_vj 및 상기 생성된 난수 σ_uj를 사용하여, k_uj=σ_ujΣ_{i∈w(v)＼w(u)}u_ik_vi+k_vj의 관계를 만족하는 도출 정보 k_uj를 집합 w(u)의 각 요소 j∈w(u)마다 계산하는 도출 정보 도출부를 또한 포함하는,
   것을 특징으로 하는 정보 생성 장치.
6. G, G_T를 소수 위수 q의 순회군으로 하고, g를 순회군 G의 생성원으로 하고, 순회군 G에는 g_T=e(g,g)가 순회군 G_T의 생성원이 되는 것 같은 페어링 함수 e:G×G→G_T가 존재하는 것으로 하고, a를 Z_p로부터 랜덤으로 선택된 난수로 하고, g와 g₁=g^a∈G와 순회군 G로부터 랜덤으로 선택된 g₂, g₃, h₁,…, h_N-1∈G가 공개키로서 공개되어 있고,
   *를 부정문자로 하고, 인덱스 Y를 Y=(Y₁,…, Y_{N -1})∈I=(F_q∪{*})^{N- 1}으로 하고, 인덱스 Y에 대응하는 집합 w(Y)를 w(Y)={i|Y_i=*}로 하여,
   난수 r_Y∈Z_q를 생성하는 난수 생성부와,
   상기 생성된 난수 r_Y를 사용하여, k_Y=g₂ ^a(g₃Π_{i∈{1,…, N-1}＼w(Y)}h_i ^Yi)^rY의 관계를 만족하는 제1 주정보 k_Y를 계산하는 제1 주정보 생성부와,
   상기 생성된 난수 r_Y를 사용하여, 제2 주정보 g^rY를 계산하는 제2 주정보 생성부와,
   상기 생성된 난수 r_Y를 사용하여, k_Yj=h_j ^rY의 관계를 만족하는 도출 정보 k_Yj를 집합 w(Y)의 각 요소 j∈w(Y)마다 계산하는 도출 정보 생성부,
   를 포함하는 것을 특징으로 하는 정보 생성 장치.
7. 제 6 항에 있어서,
   상기 난수 생성부는 또한 난수 r_u∈Z_q를 생성하고,
   *를 부정문자로 하고, 인덱스 v를 v=(v₁,…, v_N-1)∈I=(F_q∪{*})^N-1으로 하고, 인덱스 v에 대응하는 집합 w(v)를 w(v)={i|v_i=*}로 하고, 인덱스 u를 u=(u₁,…, u_N-1)∈I=(F_q∪{*})^N-1으로 하고, 인덱스 u에 대응하는 집합 w(u)를 w(u)={i|u_i=*}로 하고, 집합 w(u)⊂집합 w(v)로 하고, v_i=u_i(i∈{1,…, N-1}＼w(v))로 하여,
   인덱스 v에 대응하는 제1 주정보 k_v, 제2 주정보 g^r 및 인덱스 v에 대응하는 도출 정보 k_vj를 기억하는 기억부와,
   상기 기억부로부터 읽어들인 제1 주정보 k_v 및 도출 정보 k_vi를 사용하여, k_u=k_v(Π_{i∈w(v)＼w(u)}k_vi ^ui)(g₃Π_{i∈{1,…, N-1}＼w(v)}h_i ^viΠ_{i∈w(v)＼w(u)}h_i ^ui)^ru의 관계를 만족하는, 인덱스 u에 대응하는 제1 주정보 k_u를 계산하는 제1 주정보 도출부와,
   상기 생성된 난수 r_u를 사용하여, 제2 주정보 g^ru를 계산하는 제2 주정보 도출부,
   를 포함하는 것을 특징으로 하는 정보 생성 장치.
8. 제 7 항에 있어서,
   상기 기억부로부터 읽어들인 도출 정보 k_vi 및 상기 생성된 난수 r_u를 사용하여, k_uj=k_vjh_j ^ru의 관계를 만족하는 도출 정보 k_uj를 집합 w(u)의 각 요소 j∈w(u)마다 계산하는 도출 정보 도출부를 또한 포함하는,
   것을 특징으로 하는 정보 생성 장치.
9. G, G_T를 소수 위수 q의 순회군으로 하고, g를 순회군 G의 생성원으로 하고, 순회군 G에는 g_T=e(g,g)가 순회군 G_T의 생성원이 되는 것 같은 페어링 함수 e:G×G→G_T가 존재하는 것으로 하고, a를 Z_p로부터 랜덤으로 선택된 난수로 하고, g와 g₁=g^a∈G와 순회군 G로부터 랜덤으로 선택된 g₂, g₃, h₁,…, h_N-1∈G가 공개키로서 공개되어 있고,
   *를 부정문자로 하고, 인덱스 Y를 Y=(Y₁,…, Y_N-1)∈I=(F_q∪{*})^N-1으로 하고, 인덱스 Y에 대응하는 집합 w(Y)를 w(Y)={i|Y_i=*}로 하고,
   r_Y∈Z_q를 난수로 하고, 인덱스 Y에 대응하는 제1 주정보 k_Y는 k_Y=g₂ ^a(g₃Π_{i∈{1,…, N-1}＼w(Y)}h_i ^Yi)^rY의 관계를 만족하고, g^rY를 인덱스 Y에 대응하는 제2 주정보로 하고, 인덱스 Y에 대응하는 도출 정보 k_Yj는 k_Yj=h_j ^rY의 관계를 만족하고,
   *를 부정문자로 하고, 인덱스 v를 v=(v₁,…, v_N-1)∈I=(F_q∪{*})^N-1으로 하고, 인덱스 v에 대응하는 집합 w(v)를 w(v)={i|v_i=*}로 하고, 인덱스 u를 u=(u₁,…, u_N-1)∈I=(F_q∪{*})^N-1으로 하고, 인덱스 u에 대응하는 집합 w(u)를 w(u)={i|u_i=*}로 하고, 집합 w(u)⊂집합 w(v)로 하고, v_i=u_i(i∈{1,…, N-1}＼w(v))로 하여,
   난수 r_u∈Z_q를 생성하는 난수 생성부와,
   상기 제1 주정보 k_Y인 또는 상기 제1 주정보 k_Y 및 상기 도출 정보 k_Yj로부터 도출된 인덱스 v에 대응하는 제1 주정보 k_v, 상기 도출 정보 k_Yj인 또는 상기 도출 정보 k_Yj로부터 도출된 인덱스 v에 대응하는 도출 정보 k_vj를 기억하는 기억부와,
   상기 기억부로부터 읽어들인 제1 주정보 k_v 및 상기 도출 정보 k_vi를 사용하여, k_u=k_v(Π_{i∈w(v)＼w(u)}k_vi ^ui)(g₃Π_{i∈{1,…, N-1}＼w(v)}h_i ^viΠ_{i∈w(v)＼w(u)}h_i ^ui)^ru의 관계를 만족하는, 인덱스 u에 대응하는 제1 주정보 k_u를 계산하는 제1 주정보 도출부와,
   상기 생성된 난수 r_u를 사용하여, 제2 주정보 g^ru를 계산하는 제2 주정보 도출부,
   를 포함하는 것을 특징으로 하는 정보 생성 장치.
10. 제 9 항에 있어서,
    상기 기억부로부터 읽어들인 도출 정보 k_vi 및 상기 생성된 난수 r_u를 사용하여, k_uj=k_vjh_j ^ru의 관계를 만족하는 도출 정보 k_uj를 집합 w(u)의 각 요소 j∈w(u)마다 계산하는 도출 정보 도출부를 또한 포함하는,
    것을 특징으로 하는 정보 생성 장치.
11. e가 순회군 G₁의 N개의 원소 γ_L(L=1,…, N)(N≥2)과 순회군 G₂의 N개의 원소 γ_L ^*(L=1,…, N)의 입력에 대하여 순회군 G_T의 1개의 원소를 출력하는 비퇴화한 쌍선형 함수이며, b_i∈G₁ ^N(i=1,…, N)의 각각이 상기 순회군 G₁의 N개의 원소를 요소로 하는 N차원의 기저 벡터이며, b_j ^*∈G₂ ^N(j=1,…, N)의 각각이 상기 순회군 G₂의 N개의 원소를 요소로 하는 N차원의 기저 벡터이며, 상기 기저 벡터 b_i∈G₁ ^N(i=1,…, N)의 각 요소와 상기 기저 벡터 b_j ^*∈G₂ ^N(j=1,…, N)의 각 요소를 상기 쌍선형 함수 e에 입력하여 얻어지는 함수값이, i=j인 경우에 δ(i, j)=1_F가 되고 i≠j인 경우에 δ(i, j)=0_F가 되는 크로네커의 델타 함수 δ(i, j)를 사용하여 g_T ^{τ·δ(i, j)}∈G_T로 표현되고, 0_F가 유한체 F_q의 가법단위원이며, 1_F가 유한체 F_q의 승법단위원이며, τ가 0_F를 제외한 유한체 F_q의 원소이며, g_T가 상기 순회군 G_T의 생성원이며,
    *를 부정문자로 하고, 인덱스 Y를 Y=(Y₁,…, Y_N-1)∈I=(F_q∪{*})^N-1으로 하고, 인덱스 Y에 대응하는 집합 w(Y)를 w(Y)={i|Y_i=*}로 하여,
    난수 생성부가 난수 σ_Y∈Z_q, 및, 집합 w(Y)의 각 요소 j∈w(Y)에 대응하는 난수 σ_Yj∈Z_q를 생성하는 난수 생성 스텝과,
    주정보 생성부가 상기 생성된 난수 σ_Y를 사용하여, k_Y=σ_YΣ_{i∈{1,…, N-1}＼w(Y)}Y_ib_i ^*+b_N ^*의 관계를 만족하는 주정보 k_Y를 계산하는 주정보 생성 스텝과,
    도출 정보 생성부가 상기 생성된 난수 σ_Yj를 사용하여, k_Yj=σ_YjΣ_{i∈{1,…, N-1}＼w(Y)}Y_ib_i ^*+b_j ^*의 관계를 만족하는 도출 정보 k_Yj를 집합 w(Y)의 각 요소 j∈w(Y)마다 계산하는 도출 정보 생성 스텝,
    을 포함하는 것을 특징으로 하는 정보 생성 방법.
12. G, G_T를 소수 위수 q의 순회군으로 하고, g를 순회군 G의 생성원으로 하고, 순회군 G에는 g_T=e(g,g)가 순회군 G_T의 생성원이 되는 것 같은 페어링 함수 e:G×G→G_T가 존재하는 것으로 하고, a를 Z_p로부터 랜덤으로 선택된 난수로 하고, g와 g₁=g^a∈G와 순회군 G로부터 랜덤으로 선택된 g₂, g₃, h₁,…, h_N-1∈G가 공개키로서 공개되어 있고,
    *를 부정문자로 하고, 인덱스 Y를 Y=(Y₁,…, Y_N-1)∈I=(F_q∪{*})^N-1으로 하고, 인덱스 Y에 대응하는 집합 w(Y)를 w(Y)={i|Y_i=*}로 하여,
    난수 생성부가 난수 r_Y∈Z_q를 생성하는 난수 생성 스텝과,
    제1 주정보 생성부가 상기 생성된 난수 r_Y를 사용하여, k_Y=g₂ ^a(g₃Π_{i∈{1,…, N-1}＼w(Y)}h_i ^Yi)^rY의 관계를 만족하는 제1 주정보 k_Y를 계산하는 제1 주정보 생성 스텝과,
    제2 주정보 생성부가 상기 생성된 난수 r_Y를 사용하여, 제2 주정보 g^rY를 계산하는 제2 주정보 생성 스텝과,
    도출 정보 생성부가 상기 생성된 난수 r_Y를 사용하여, k_Yj=h_j ^rY의 관계를 만족하는 도출 정보 k_Yj를 집합 w(Y)의 각 요소 j∈w(Y)마다 계산하는 도출 정보 생성 스텝,
    을 포함하는 것을 특징으로 하는 정보 생성 방법.
13. 제 11 항 또는 제 12 항에 기재된 정보 생성 방법을 수행하도록 하는 프로그램을 기록한 컴퓨터 판독가능 기록 매체.
14. 삭제

Images