KR20150015518A

KR20150015518A - 암호 시스템, 암호 방법, 암호 프로그램을 기록한 컴퓨터 판독가능한 기록 매체 및 복호 장치

Info

Publication number: KR20150015518A
Application number: KR20147036181A
Authority: KR
Inventors: 가츠유키 다카시마; 다츠아키 오카모토
Original assignee: 미쓰비시덴키 가부시키가이샤; 니폰덴신뎅와 가부시키가이샤
Priority date: 2012-07-31
Filing date: 2013-07-17
Publication date: 2015-02-10
Also published as: EP2881930A1; CN104620305A; CN104620305B; EP2881930A4; ES2645463T3; JP5814880B2; US20150098566A1; WO2014021102A1; EP2881930B1; JP2014029415A; US9413531B2; KR101606317B1

Abstract

파라미터 Φ가 설정된 암호화 키 ek를 파라미터 Ψ가 설정된 복호 키 dk로 복호하는 경우에, 관계 R(Φ,Ψ)가 성립하는 경우에 한하여, 복호 키 dk는 암호화 키 ek로 암호화된 암호문을 복호할 수 있는 함수형 암호 방식에 있어서, 관계 R로서 표현할 수 있는 범위를 넓게 하는 것을 목적으로 한다. 암호 시스템(10)은, 다항식 d(x)와 복수의 다항식 D_i(x)와 술어 정보를 포함하는 제 1 정보와, 속성 정보를 포함하는 제 2 정보 중 한쪽을 암호문으로 하고, 다른쪽을 복호 키로 한다. 복호 장치(300)는, 술어 정보와 속성 정보에 근거하여, 복수의 다항식 D_i(x)로부터 적어도 일부의 다항식 D_i(x)를 선택하고, 선택한 다항식 D_i(x)에 계수 Δ_i를 곱한 다항식 Δ_iD_i(x)에 근거하여 구성되는 다항식을, 다항식 d(x)로 나누어질 수 있도록 하는 계수 Δ_i를 계산한다. 복호 장치(300)는, 계산한 계수 Δ_i에 근거하여, 상기 암호문을 복호한다.

Description

암호 시스템, 암호 방법, 암호 프로그램 및 복호 장치{ENCRYPTION SYSTEM, ENCRYPTION METHOD, ENCRYPTION PROGRAM AND DECRYPTION DEVICE}

본 발명은, 2차 스팬 프로그램(span program)의 개념을 이용한 함수형 암호 방식에 관한 것이다.

함수형 암호 방식은, 암호화 키 ek와, 복호 키 dk의 사이의 관계를 보다 고도화하여, 보다 유연하게 한 암호 방식이다.

함수형 암호 방식에 있어서, 암호화 키 ek와 복호 키 dk에는, 각각, 파라미터 Φ와 파라미터 Ψ가 설정된다. 그리고, 관계 R(Φ,Ψ)가 성립하는 경우에 한하여, 복호 키 dk는 암호화 키 ek로 암호화된 암호문을 복호할 수 있다.

비특허 문헌 3에는, 함수형 암호 방식에 대한 기재가 있다.

비특허 문헌 6에는, 2차 스팬 프로그램에 대한 기재가 있다.

(선행 기술 문헌)

(비특허 문헌)

비특허 문헌 1 : Okamoto, T., Takashima, K.：Homomorphic encryption and signatures from vector decomposition. In：Galbraith, S.D., Paterson, K.G.(eds.) Pairing 2008.LNCS, vol.5209, pp.57－74, Springer Heidelberg(2008)

비특허 문헌 2 : Okamoto, T., Takashima, K.： Hierarchical predicate encryption for inner－products, In： ASIACRYPT 2009, Springer Heidelberg(2009)

비특허 문헌 3 : Okamoto, T., Takashima, K.： Fully secure functional encryption with general relations from the decisional linear assumption.In： Rabin, T.(ed.) CRYPTO2010. LNCS, vol.6223, pp.191－208. Springer Heidelberg(2010). Full version is available at http：/eprint.iacr.org/2010/563

비특허 문헌 4 : Okamoto, T., Takashima, K.： Efficient attribute－based signatures for non－monotone predicates in the standard model, In：PKC2011, Springer Heidelberg(2011)

비특허 문헌 5 : Okamoto, T., Takashima, K.：Decentralized Attribute－Based Signatures http：/eprint.iacr.org/2011/701

비특허 문헌 6 : Rosario Gennaro and Craig Gentry and Bryan Parno and Mariana Raykova： Quadratic Span Programs and Succinct NIZKs without PCPs http：/eprint.iacr.org/2012/215

비특허 문헌 3에 기재된 함수형 암호 방식은, 1차 스팬 프로그램을 이용한 방식이다. 이 함수형 암호 방식에서는, 관계 R로서 표현할 수 있는 범위에 한계가 있다.

본 발명은, 2차 스팬 프로그램의 개념을 이용함으로써, 관계 R로서 표현할 수 있는 범위를 넓게 하는 것이 가능한 함수형 암호 방식을 제공하는 것을 목적으로 한다.

본 발명에 따른 암호 시스템은,

2차 스팬 프로그램을 포함하는 제 1 정보와, 속성 정보를 포함하는 제 2 정보 중 한쪽을 암호문으로서 생성하는 암호화 장치와,

상기 제 1 정보와 상기 제 2 정보 중 다른쪽을 복호 키로 하여, 상기 2차 스팬 프로그램이 상기 속성 정보를 수리(受理)하는 경우에 상기 2차 스팬 프로그램과 상기 속성 정보로부터 얻어지는 정보에 근거하여, 상기 암호문을 복호하는 복호 장치를 구비하는 것을 특징으로 한다.

본 발명에 따른 암호 시스템에서는, 2차 스팬 프로그램의 개념을 이용함으로써, 관계 R로서 표현할 수 있는 범위가 이상화된 범위로 하는 것이 가능하다.

도 1은 2차 스팬 프로그램의 설명도.
도 2은 부분 집합 I_u의 설명도.
도 3은 KP－FE 방식을 실행하는 암호 시스템(10)의 구성도.
도 4는 CP－FE 방식을 실행하는 암호 시스템(10)의 구성도.
도 5는 실시 형태 2에 따른 키 생성 장치(100)의 구성도.
도 6은 실시 형태 2에 따른 암호화 장치(200)의 구성도.
도 7은 실시 형태 2에 따른 복호 장치(300)의 구성도.
도 8은 실시 형태 2에 따른 Setup 알고리즘의 처리를 나타내는 플로우차트.
도 9는 실시 형태 2에 따른 KeyGen 알고리즘의 처리를 나타내는 플로우차트.
도 10은 실시 형태 2에 따른 Enc 알고리즘의 처리를 나타내는 플로우차트.
도 11은 실시 형태 2에 따른 Dec 알고리즘의 처리를 나타내는 플로우차트.
도 12는 실시 형태 4에 따른 KeyGen 알고리즘의 처리를 나타내는 플로우차트.
도 13은 키 생성 장치(100), 암호화 장치(200), 복호 장치(300)의 하드웨어 구성의 일례를 나타내는 도면.

이하, 도면에 근거하여, 발명의 실시 형태를 설명한다.

이하의 설명에 있어서, 처리 장치는 후술하는 CPU(911) 등이다. 기억 장치는 후술하는 ROM(913), RAM(914), 자기 디스크(920) 등이다. 통신 장치는 후술하는 통신 보드(915) 등이다. 입력 장치는 후술하는 키보드(902), 통신 보드(915) 등이다. 즉, 처리 장치, 기억 장치, 통신 장치, 입력 장치는 하드웨어이다.

이하의 설명에 있어서의 기법에 대해 설명한다.

A가 랜덤인 변수 또는 분포일 때, (수 101)은, A의 분포에 따라 A로부터 y를 랜덤하게 선택하는 것을 나타낸다. 즉, (수 101)에 있어서, y는 난수이다.

[수 101]

A가 집합일 때, (수 102)는, A로부터 y를 일률적으로 선택하는 것을 나타낸다. 즉, (수 102)에 있어서, y는 일률적 난수이다.

[수 102]

(수 103)은, y는 z에 의해 정의된 집합인 것, 또는 y는 z를 대입한 집합인 것을 나타낸다.

[수 103]

a가 정수일 때, (수 104)는, 기계(알고리즘) A가 입력 x에 대해 a를 출력하는 것을 나타낸다.

[수 104]

(수 105), 즉, F_q는, 위수(位數, 자리수) q의 유한체를 나타낸다.

[수 105]

벡터 표기는, 유한체 F_q에 있어서의 벡터 표시를 나타낸다. 즉, (수 106)이다.

[수 106]

(수 107)은, (수 108)에 나타내는 2개의 벡터 x^→와 v^→의 (수 109)에 나타내는 내적을 나타낸다.

[수 107]

[수 108]

[수 109]

X^T는, 행렬 X의 전치 행렬을 나타낸다.

b_i(i=1,. . ., n)가 공간 V의 벡터의 요소일 때, 즉, (수 110)일 때, (수 111)은, (수 112)에 의해 생성되는 부분 공간을 나타낸다.

[수 110]

[수 111]

[수 112]

(수 113)에 나타내는 기저 B와 기저 B^*에 대해서, (수 114)이다.

[수 113]

[수 114]

또한, 이하의 설명에 있어서, “Vt”가 아래첨자 또는 위첨자로 나타내어져 있는 경우, 이 Vt는 V_t를 의미한다. 마찬가지로, “δi, j”가 위첨자로 나타내어져 있는 경우, 이 δi, j는, δ_{i, j}를 의미한다. 마찬가지로, “fτ”, “κτ”가 위첨자로 나타내어져 있는 경우, 이 fτ는, f_τ를 의미하고, 이 κτ는 κ_τ을 의미한다.

또한, 벡터를 의미하는“→”가 아래첨자 또는 위첨자에 첨부되어 있는 경우, 이“→”은 아래첨자 또는 위첨자에 위첨자로 첨부되어 있는 것을 의미한다.

또한, 이하의 설명에 있어서, 암호 처리는, 키 생성 처리, 암호화 처리, 복호 처리를 포함한다.

(실시 형태 1)

이 실시 형태에서는, 2차 스팬 프로그램을 이용한 함수형 암호 방식의 기초로 되는 개념과, 2차 스팬 프로그램을 이용한 함수형 암호 방식의 개요를 설명한다.

첫 번째로, 함수형 암호 방식을 실현하기 위한 공간인 「듀얼 페어링 벡터 공간(Dual Pairing Vector Spaces, DPVS)」이라고 하는 풍부한 수학적 구조를 가지는 공간을 설명한다.

두 번째로, 함수형 암호 방식을 실현하기 위한 개념을 설명한다. 여기에서는, 「2차 스팬 프로그램」, 「속성 정보의 등호와 2차 스팬 프로그램」, 「비밀 분산 방식」에 대해 설명한다.

세 번째로, 2차 스팬 프로그램을 이용한 함수형 암호 방식의 개요에 대해 설명한다.

＜제 1. 듀얼 페어링 벡터 공간＞

우선, 대칭 쌍선형 페어링군에 대해 설명한다.

대칭 쌍선형 페어링군(q, G, G^T, g, e)은, 소수 q와, 위수 q의 순회 가법군(cyclic additive group) G와, 위수 q의 순회 승법군(cyclic multiplicative group) G^T와, g≠0∈G와, 다항식 시간으로 계산 가능한 비퇴화 쌍선형 페어링(Nondegenerate Bilinear Pairing) e：G×G→G_T의 세트이다. 비퇴화 쌍선형 페어링은, e(sg, tg)=e(g, g)^st이며, e(g, g)≠1이다.

이하의 설명에 있어서, G_bpg를, 1^λ을 입력으로 하고, 시큐러티(security) 파라미터를 λ로 하는 쌍선형 페어링군의 파라미터 param_G：=(q, G, G_T, g, e)의 값을 출력하는 알고리즘으로 한다.

다음에, 듀얼 페어링 벡터 공간에 대해 설명한다.

듀얼 페어링 벡터 공간(q, V, G_T, A, e)은, 대칭 쌍선형 페어링군(param_G：=(q, G, G_T, g, e))의 직적(直積 ; direct product)에 의해 구성할 수 있다. 듀얼 페어링 벡터 공간(q, V, G_T, A, e)은, 소수 q, (수 115)에 나타내는 F_q상의 N 차원 벡터 공간 V, 위수 q의 순회군 G_T, 공간 V의 표준 기저 A：=(a₁,. . ., a_N)의 세트이며, 이하의 연산(1)(2)을 가진다. 여기서, a_i는, (수 116)에 나타낸 바와 같다.

[수 115]

[수 116]

연산(1)：비퇴화 쌍선형 페어링

공간 V에 있어서의 페어링은, (수 117)에 의해 정의된다.

[수 117]

이것은, 비퇴화 쌍선형이다. 즉, e(sx, ty)=e(x, y)^st이며, 모든 y∈V에 대해서, e(x, y)=1의 경우, x=0이다. 또한, 모든 i와 j에 대해서, e(a_i, a_j)=e(g, g)^{δi, j}이다. 여기서, i=j이면, δ_{i, j}=1이며, i≠j이면, δ_{i, j}=0이다. 또한, e(g, g)≠1∈G_T이다.

연산(2)：디스토션 사상(distortion maps)

(수 118)에 나타내는 공간 V에 있어서의 선형 변환 φ_{i, j}는, (수 119)를 행할 수 있다.

[수 118]

[수 119]

여기서, 선형 변환 φ_{i, j}를 디스토션 사상이라고 부른다.

이하의 설명에 있어서, G_dpvs를, 1^λ(λ∈자연수), N∈자연수, 쌍선형 페어링군의 파라미터 param_G：=(q, G, G_T, g, e)의 값을 입력으로 하고, 시큐러티 파라미터가 λ이며, N 차원의 공간 V로 하는 듀얼 페어링 벡터 공간의 파라미터 param_V：=(q, V, G_T, A, e)의 값을 출력하는 알고리즘으로 한다.

또한, 여기에서는, 상술한 대칭 쌍선형 페어링군에 의해, 듀얼 페어링 벡터 공간을 구성했을 경우에 대해 설명한다. 또한, 비대칭 쌍선형 페어링군에 의해 듀얼 페어링 벡터 공간을 구성하는 것도 가능하다. 이하의 설명을, 비대칭 쌍선형 페어링군에 의해 듀얼 페어링 벡터 공간을 구성했을 경우에 응용하는 것은 용이하다.

＜제 2. 함수형 암호를 실현하기 위한 개념＞

＜제 2－1. 2차 스팬 프로그램＞

도 1은, 2차 스팬 프로그램의 설명도이다.

체(體 ; field) F_q에 있어서의 2차 스팬 프로그램은, 2개의 다항식의 집합 A=｛ai(x)｜i∈｛0,. . ., L｝｝및 집합 B=｛b_i(x)｜i∈｛0,. . ., L｝｝와, 목표 다항식 d(x)를 포함한다. 또한, 2차 스팬 프로그램은, 집합 I：=｛1,. . ., L｝의 라벨 ρ을 포함한다. 모든 라벨 ρ_i(i=1,. . ., L)는,｛p₀, p₁,. . ., p_n,￢p₁,. . ., ￢p_n｝중 어느 하나의 리터럴(literal)에 대응지을 수 있다. 즉, ρ：I→｛p₀, p₁,. . ., p_n, ￢p₁,. . ., ￢p_n｝이다.

입력 u：=(u₁,. . ., u_n)∈｛0, 1｝ⁿ에 대해서, j=1,. . ., n의 각 정수 j에 대해, T(p_j)：=u_j 및 T(￢p_j)：=￢u_j에 의해, 리터럴의 진리값 T가 설정된다. 또한, 어떤 입력 u에 대해서도, p₀의 진리값 T는 1이 설정된다. 즉, T(p₀)：=1이다.

집합 I의 부분 집합 I_u는, 입력 u에 의해 1이 설정된 라벨의 요소로 구성된다. 즉, I_u：=｛i∈I｜T(p(i)=1)｝이다. 또는, I_u：=｛i∈I｜［ρ(i)=p_j∧u_j=1］∨［ρ(i)=￢p_j∧u_j=0］∨［ρ(i)=p₀］｝이다.

도 2는, 부분 집합 I_u의 설명도이다.

또한, 도 2에서는, n=7, L=6으로 하고 있다. 또한, 도 2에 있어서, 라벨 ρ은, ρ₁이 ￢p₂에, ρ₂가 p₁에, ρ₃이 p₄에, ρ₄가 ￢p₅에, ρ₅가 ￢p₃에, ρ₆이 p₅에 각각 대응지어져 있는 것으로 한다.

여기서, 입력 u：=(u₁,. . ., u₇)∈｛0, 1｝⁷이, u₁=1, u₂=0, u₃=1, u₄=0, u₅=0, u₆=1, u₇=1인 것으로 한다. 이 경우, 부분 집합 I_u는, 파선으로 둘러싼 리터럴 (p₁, p₃, p₆, p₇, ￢p₂, ￢p₄, ￢p₅)에 대응지어져 있는 라벨 ρ_i의 요소 i로 구성된다. 즉, 부분 집합 I_u는, 라벨 ρ₁, ρ₂, ρ₄의 요소 i로 구성되고, 부분 집합 I_u：=｛i=1, 2, 4｝이다.

2차 스팬 프로그램은, 목표 다항식 d(x)가 (수 120)를 완전히 나누게 되는 체 F_qL에 있어서의 (α₁,. . ., α_L) 및 (β₁,. . .,β_L)의 세트로서, 부분 집합 I_u에 포함되지 않는 모든 i에 대해서 α_i=0=β_i인 (₍α₁,. . ., α_L) 및 (β₁,. . .,β_L)의 세트가 존재하는 경우에 한하여, 입력 u∈｛0, 1｝ⁿ를 수리한다(또는, 부분 집합 I_u를 수리한다). 그리고, 2차 스팬 프로그램은, 다른 경우에는, 입력 u∈｛0, 1｝ⁿ를 거절한다.

[수 120]

즉, 2차 스팬 프로그램은, 목표 다항식 d(x)가 (수 121)를 완전히 나누게 되는 i∈I_u에 대한 α_i 및 β_i의 세트가 존재하는 경우에 한하여, 입력 u∈｛0, 1｝ⁿ를 수리한다.

[수 121]

그리고, 2차 스팬 프로그램이 입력 u∈｛0, 1｝ⁿ를 수리하는 경우, i∈I_u에 대한 α_i 및 β_i의 세트를, 다항식 시간으로 계산하는 것이 가능하다(비특허 문헌 6 참조).

도 2에 나타내는 예이면, 2차 스팬 프로그램은, 목표 다항식 d(x)가 (수 122)를 완전히 나누게 되는 i∈I_u：=｛i=1, 2, 4｝에 대한 α_i 및 β_i의 세트가 존재하는 경우에 한하여, 입력 u∈｛0, 1｝ⁿ를 수리한다.

[수 122]

＜제 2－2. 속성의 내적과 2차 스팬 프로그램＞

U_t(t=1,. . ., d이며 U_t⊂｛0, 1｝^*)는, 부분 전체 집합(sub－universe)으로서, 속성의 집합이다. 그리고, U_t는, 각각 부분 전체 집합의 식별 정보(t)와, n 차원 벡터로 나타내어진 속성 정보(v^→)를 포함한다. 즉, U_t는, (t, v^→)이다. 여기서, t∈｛1,. . ., d｝이며, v^→∈F_q ⁿ이다.

U_t=(t, v^→)를 p로 한다. 즉, p=(t, v^→)이다. p_j：=(t, v^→ _j)(j=1,. . ., n； t∈｛1,. . ., d｝)에 의한 2차 스팬 프로그램 Q：=(A, B, d(x), ρ)에 있어서의, 부분 집합 I_u의 결정 방법에 대해 설명한다.

액세스 스트럭쳐(access structure) S를, p₀ 및｛p_j：=(t, v^→ _j)｝_{j=1,. . ., n}를 수반하는 2차 스팬 프로그램 Q：=(A, B, d(x), ρ)로 한다. 즉, ρ：｛1,. . ., L｝→｛p₀, (t, v^→ ₁),. . ., (t, v^→ _n), ￢(t, v^→ ₁),. . ., ￢(t, v^→ _n)｝이다. 또한, Γ를 속성 집합으로 한다. 즉, Γ：=｛(t, x^→ _t)｜x^→ _t∈F_q ⁿ, 1≤t≤d｝이다. 여기서, t는,｛1,. . ., d｝의 부분 집합으로서, 전체 인덱스일 필요는 없다.

속성 집합 Γ이 액세스 스트럭쳐 S에 주어지면,｛p₀, p₁,. . ., p_n, ￢p₁,. . ., ￢p_n｝의 리터럴의 진리값 T는 다음과 같이 결정된다. p_j=(t, v^→ _j)이고 또한 (t, x^→ _t)∈Γ이고 또한 v^→ _j·x^→ _t=0인 경우에 한하여, T(p_j)：=1로 된다. p_j=￢(t, v^→ _j)이고 또한 (t, x^→ _j)∈Γ이고 또한 v^→ _j·x^→ _t≠0인 경우에 한하여, T(￢p_j)：=1로 된다. T(p₀)：=1로 된다. 다른 경우에는, 진리값 T는 0으로 된다.

그리고, I_u(=I_{(ρ, Γ)})：=｛i∈I｜T(ρ(i))=1｝, 즉, I_{(ρ, Γ)}：=｛i∈I｜［ρ(i)=(t, v^→ _j)∧(t, x^→ _t)∈Γ∧(v^→ _j·x^→ _t)=0］∨［ρ(i)=￢(t, v^→ _j)∧(t, x^→ _j)∈Γ∧v^→ _j·x^→ _t≠0］∨［ρ(i)=p₀］｝로 한다.

＜제 3. 함수형 암호 방식의 개요＞

복호 키와 암호문의 한쪽에 상술한 액세스 스트럭쳐 S를 갖게 하고, 다른쪽에 속성 집합 Γ을 갖게 함으로써, 함수형 암호 방식을 구성한다.

액세스 스트럭쳐 S를 복호 키에 갖게 한 함수형 암호 방식을 Key－Policy 함수형 암호(KP－FE) 방식이라고 부르고, 액세스 스트럭쳐 S를 암호문에 갖게 한 암호 방식을 Ciphertext－Policy 함수형 암호(CP－FE) 방식이라고 부른다.

KP－FE 방식 및 CP－FE 방식의 구성과, 각 방식을 실행하는 암호 시스템(10)의 구성을 설명한다.

＜제 3－1. KP－FE 방식＞

KP－FE 방식은, Setup, KeyGen, Enc, Dec의 4개의 알고리즘을 구비한다.

(Setup)

Setup 알고리즘은, 시큐러티 파라미터 λ가 입력되고, 공개 파라미터 pk와, 마스터 키 sk를 출력하는 확률적 알고리즘이다.

(KeyGen)

KeyGen 알고리즘은, 액세스 스트럭쳐 S와, 공개 파라미터 pk와, 마스터 키 sk를 입력으로 하고, 복호 키 sk_S를 출력하는 확률적 알고리즘이다.

(Enc)

Enc 알고리즘은, 메시지 msg와, 속성의 집합인 Γ：=｛(t, x^→ _t)｜x^→ _t∈F_q ⁿ, 1≤t≤d｝와, 공개 파라미터 pk를 입력으로 하여, 암호문 ct_Γ를 출력하는 확률적 알고리즘이다.

(Dec)

Dec 알고리즘은, 속성의 집합인 Γ 하에서 암호화된 암호문 ct_Γ과, 액세스 스트럭쳐 S에 대한 복호 키 sk_S와, 공개 파라미터 pk를 입력으로 하고, 메시지 msg, 또는, 식별 정보 ⊥를 출력하는 알고리즘이다.

도 3은, KP－FE 방식을 실행하는 암호 시스템(10)의 구성도이다.

암호 시스템(10)은, 키 생성 장치(100), 암호화 장치(200), 복호 장치(300)를 구비한다.

키 생성 장치(100)는, 시큐러티 파라미터 λ를 입력으로 하여 Setup 알고리즘을 실행하고, 공개 파라미터 pk와 마스터 키 sk를 생성한다. 그리고, 키 생성 장치(100)는, 생성한 공개 파라미터 pk를 공개한다. 또한, 키 생성 장치(100)는, 액세스 스트럭쳐 S를 입력으로 하여 KeyGen 알고리즘을 실행하고, 복호 키 sk_S를 생성하여 복호 장치(300)에 비밀리에 배포한다.

암호화 장치(200)는, 메시지 msg와, 속성의 집합 Γ과, 공개 파라미터 pk를 입력으로 하여 Enc 알고리즘을 실행하고, 암호문 ct_Γ를 생성한다. 암호화 장치(200)는, 생성한 암호문 ct_Γ를 복호 장치(300)에 송신한다.

복호 장치(300)는, 공개 파라미터 pk와, 복호 키 sk_S와, 암호문 ct_Γ를 입력으로 하여 Dec 알고리즘을 실행하고, 메시지 msg 또는 식별 정보 ⊥를 출력한다.

＜제 3－2. CP－FE 방식＞

CP－FE 방식은, Setup, KeyGen, Enc, Dec의 4개의 알고리즘을 구비한다.

(Setup)

(KeyGen)

KeyGen 알고리즘은, 속성의 집합인 Γ：=｛(t, x^→ _t)｜x^→ _t∈F_q ⁿ, 1≤t≤d｝와, 공개 파라미터 pk와, 마스터 키 sk를 입력으로 하여, 복호 키 sk_Γ를 출력하는 확률적 알고리즘이다.

Enc 알고리즘은, 메시지 msg와, 액세스 스트럭쳐 S와, 공개 파라미터 pk를 입력으로 하고, 암호문 ct_S를 출력하는 확률적 알고리즘이다.

(Dec)

Dec 알고리즘은, 액세스 스트럭쳐 S 하에서 암호화된 암호문 ct_S와, 속성의 집합인 Γ에 대한 복호 키 sk_Γ와, 공개 파라미터 pk를 입력으로 하고, 메시지 msg, 또는, 식별 정보 ⊥를 출력하는 알고리즘이다.

도 4는, CP－FE 방식을 실행하는 암호 시스템(10)의 구성도이다.

키 생성 장치(100)는, 시큐러티 파라미터 λ를 입력으로 하여 Setup 알고리즘을 실행하고, 공개 파라미터 pk와 마스터 키 sk를 생성한다. 그리고, 키 생성 장치(100)는, 생성한 공개 파라미터 pk를 공개한다. 또한, 키 생성 장치(100)는, 속성의 집합 Γ을 입력으로 하여 KeyGen 알고리즘을 실행하고, 복호 키 sk_Γ를 생성하여 복호 장치(300)에 비밀리에 배포한다.

암호화 장치(200)는, 메시지 msg와, 액세스 스트럭쳐 S와, 공개 파라미터 pk를 입력으로 하여 Enc 알고리즘을 실행하고, 암호문 ct_S를 생성한다. 암호화 장치(200)는, 생성한 암호문 ct_S를 복호 장치(300)에 송신한다.

복호 장치(300)는, 공개 파라미터 pk와, 복호 키 sk_Γ와, 암호문 ct_S를 입력으로 하여 Dec 알고리즘을 실행하고, 메시지 msg 또는 식별 정보 ⊥를 출력한다.

KP－FE 방식 및 CP－FE 방식의 어느 쪽에 있어서도, Dec 알고리즘에서는, 액세스 스트럭쳐 S와 속성 집합 Γ에 근거하여, 상술한 방법에 의해, 부분 집합 I_{(ρ, Γ)}를 선택하고, 또한 계수(α₁,. . ., α_L) 및 계수(β₁,. . .,β_L)를 특정한다. 그리고, 부분 집합 I_{(ρ, Γ)}와 계수(α₁,. . ., α_L) 및 계수(β₁,. . .,β_L)에 근거하여, 암호문 ct_Γ(또는 ct_S)를 복호하여 메시지 msg를 계산한다.

또한, Setup 알고리즘은, 통상, 시스템의 셋업 시에 1번만 실행된다. KeyGen 알고리즘은, 사용자의 복호 키를 생성할 때에 실행된다. Enc 알고리즘은, 메시지 msg를 암호화할 때에 실행된다. Dec 알고리즘은, 암호문을 복호할 때에 실행된다.

실시 형태 1에 따른 암호 시스템(10)에서는, 2차 스팬 프로그램에 근거하는 액세스 스트럭쳐 S를 이용하여 함수형 암호 방식을 구성한다. 이에 의해, 관계 R로서 표현할 수 있는 범위를 이상화된 범위로 하는 것이 가능해진다.

(실시 형태 2)

실시 형태 2에서는, 2차 스팬 프로그램을 이용한 함수형 암호 방식의 구성예에 대해 설명한다.

여기에서는, KP－FE 방식을 예로 하여 설명한다.

도 5는, 실시 형태 2에 따른 키 생성 장치(100)의 구성도이다. 도 6은, 실시 형태 2에 따른 암호화 장치(200)의 구성도이다. 도 7은, 실시 형태 2에 따른 복호 장치(300)의 구성도이다.

도 8과 도 9는, 키 생성 장치(100)의 동작을 나타내는 플로우차트이다. 도 8은 Setup 알고리즘의 처리를 나타내는 플로우차트이며, 도 9는 KeyGen 알고리즘의 처리를 나타내는 플로우차트이다. 도 10은, 암호화 장치(200)의 동작을 나타내는 플로우차트이며, Enc 알고리즘의 처리를 나타내는 플로우차트이다. 도 11은, 복호 장치(300)의 동작을 나타내는 플로우차트이며, Dec 알고리즘의 처리를 나타내는 플로우차트이다.

키 생성 장치(100)의 기능과 동작에 대해서 설명한다.

키 생성 장치(100)는, 마스터 키 생성부(110), 마스터 키 기억부(120), 정보 입력부(130), 복호 키 생성부(140), 키 배포부(150)를 구비한다. 또한, 복호 키 생성부(140)는, 비밀 정보 생성부(141), 키 요소 생성부(142)를 구비한다.

도 8에 근거하여, Setup 알고리즘의 처리에 대해 설명한다.

(S101：정규 직교 기저 생성 스텝)

마스터 키 생성부(110)는, 처리 장치에 의해, (수 123)을 계산하여, 파라미터 param와, 기저 B₀ 및 기저 B^* ₀과, 기저 B_t 및 기저 B^* _t를 생성한다.

[수 123]

즉, 마스터 키 생성부(110)는 이하의 처리를 실행한다.

(1) 마스터 키 생성부(110)는, 입력 장치에 의해, 시큐러티 파라미터 λ(1^λ)를 입력한다.

(2) 마스터 키 생성부(110)는, 처리 장치에 의해, (1)에서 입력한 시큐러티 파라미터 λ를 입력으로 하여 알고리즘 G_bpg를 실행하고, 쌍선형 페어링군의 파라미터 param_G：=(q, G, G_T, g, e)의 값을 생성한다.

(3) 마스터 키 생성부(110)는, 처리 장치에 의해, 난수 ψ를 생성한다.

(4) 마스터 키 생성부(110)는, N₀에 n₀＋u₀＋w₀＋z₀을 설정하고, t=1,. . ., d(d는 1 이상의 정수)의 각 정수 t에 대해, N_t에 n_t＋u_t＋w_t＋z_t를 설정한다. 여기서, n₀은 2mf_max＋1이며, n_t는 2mf_maxk_max＋n이다. m은, 목표 다항식 d(x)를 인수 분해했을 경우의 인수의 수이다. f_max는, 목표 다항식 d(x)를 인수 분해했을 경우의 인수의 차수의 최대치(후술하는 f_τ의 최대치)이다. k_max는, 1개의 식별 정보 t에 대응지어져 있는 라벨 ρ의 개수의 최대치이다. n은 1 이상의 정수이며, u₀, w₀, z₀, u_t, w_t, z_t는 각각 0 이상의 정수이다.

계속해서, 마스터 키 생성부(110)는, t=0,. . ., d의 각 정수 t에 대해 이하의 (5)로부터 (9)까지의 처리를 실행한다.

(5) 마스터 키 생성부(110)는, 처리 장치에 의해, (1)에서 입력한 시큐러티 파라미터 λ와, (4)에서 설정한 N_t와, (2)에서 생성한 param_G：=(q, G, G_T, g, e)의 값을 입력으로 하여 알고리즘 G_dpvs를 실행하고, 듀얼 페어링 벡터 공간의 파라미터 param_Vt：=(q, Vt, G_T, A_t, e)의 값을 생성한다.

(6) 마스터 키 생성부(110)는, 처리 장치에 의해, (4)에서 설정한 N_t와, F_q를 입력으로 하여, 선형 변환 X_t：=(χ_{t, i, j})_{i, j}를 랜덤하게 생성한다. 또한, GL은, General Linear의 약어이다. 즉, GL은, 일반 선형군이며, 행렬식이 0이 아닌 정방 행렬의 집합으로서, 승법에 관한 군이다. 또한, (χ_{t, i, j})_{i, j}는, 행렬 χ_{t, i, j}의 첨자 i, j에 관한 행렬이라고 하는 의미이며, 여기에서는, i, j=1,. . ., N_t이다.

(7) 마스터 키 생성부(110)는, 처리 장치에 의해, 난수 ψ와 선형 변환 X_t에 근거하여, X^* _t：=(ν_{t, i, j})_{i, j}：=ψ·(X_t ^T)^－1을 생성한다. 또한, (ν_{t, i, j})_{i, j}도 (χ_{t, i, j})_{i, j}와 마찬가지로, 행렬 ν_{t, i, j}의 첨자 i, j에 관한 행렬이라고 하는 의미이며, 여기에서는, i, j=1,. . ., N_t이다.

(8) 마스터 키 생성부(110)는, 처리 장치에 의해, (6)에서 생성한 선형 변환 X_t에 근거하여, (5)에서 생성한 표준 기저 A_t로부터 기저 B_t를 생성한다. 또한, x^→ _{t, i}는, 선형 변환 X_t의 i행째를 나타낸다.

(9) 마스터 키 생성부(110)는, 처리 장치에 의해, (7)에서 생성한 선형 변환 X^* _t에 근거하여, (5)에서 생성한 표준 기저 A_t로부터 기저 B^* _t를 생성한다. 또한, v^→ _{t, i}는, 선형 변환 X^* _t의 i행째를 나타낸다.

(10) 마스터 키 생성부(110)는, 처리 장치에 의해, g_T에 e(g, g)^ψ를 설정한다. 또한, 마스터 키 생성부(110)는, param에 (5)에서 생성한｛param_Vt｝_t= _{0,. . ., d}와, g_T를 설정한다.

즉, (S101)에서, 마스터 키 생성부(110)는, (수 124)에 나타내는 알고리즘 G_ob를 실행하여, param와, 기저 B₀ 및 기저 B^* ₀과, 기저 B_t 및 기저 B^* _t를 생성한다.

[수 124]

(S102：공개 파라미터 생성 스텝)

마스터 키 생성부(110)는, 처리 장치에 의해, (S101)에서 생성한 기저 B₀의 부분 기저 B^＾ ₀과, 기저 B_t의 부분 기저 B^＾ _t를 (수 125)에 나타낸 바와 같이 생성한다.

[수 125]

마스터 키 생성부(110)는, 생성한 부분 기저 B＾₀ 및 부분 기저 B＾_t와, (S101)에서 입력된 시큐러티 파라미터 λ와, (S101)에서 생성한 param을 합쳐서, 공개 파라미터 pk로 한다.

(S103：마스터 키 생성 스텝)

마스터 키 생성부(110)는, 처리 장치에 의해, (S101)에서 생성한 기저 B^* ₀의 부분 기저 B＾^* ₀과, 기저 B^* _t의 부분 기저 B＾^* _t를 (수 126)에 나타낸 바와 같이 생성한다.

[수 126]

마스터 키 생성부(110)는, 생성한 부분 기저 B＾^* ₀과 부분 기저 B＾^* _t를 마스터 키 sk로 한다.

(S104：마스터 키 기억 스텝)

마스터 키 기억부(120)는, (S102)에서 생성한 공개 파라미터 pk를 기억 장치에 기억한다. 또한, 마스터 키 기억부(120)는, (S103)에서 생성한 마스터 키 sk를 기억 장치에 기억한다.

즉, (S101) 내지 (S103)에 있어서, 키 생성 장치(100)는, (수 127)에 나타내는 Setup 알고리즘을 실행하여, 공개 파라미터 pk와 마스터 키 sk를 생성한다. 그리고, (S104)에서, 키 생성 장치(100)는, 생성한 공개 파라미터 pk와 마스터 키 sk를 기억 장치에 기억한다.

또한, 공개 파라미터는, 예를 들면, 네트워크를 거쳐서 공개되고, 암호화 장치(200)나 복호 장치(300)가 취득 가능한 상태로 된다.

[수 127]

도 9에 근거하여, KeyGen 알고리즘의 처리에 대해 설명한다.

(S201：정보 입력 스텝)

정보 입력부(130)는, 입력 장치에 의해, 상술한 액세스 스트럭쳐 S：=(A, B, d(x), ρ)를 입력한다. 또한, ρ는, 예를 들면, 복호 키 sk_S의 사용자의 속성 정보가 설정되어 있다. 또한, 액세스 스트럭쳐 S에 포함되는 목표 다항식 d(x)는, (수 128)에 나타낸 바와 같이, τ=1,. . ., m의 m개의 인수 d_τ(x)^fτ로 인수 분해 가능하다.

[수 128]

(S202：비밀 정보 π 생성 스텝)

비밀 정보 생성부(141)는, 처리 장치에 의해, 비밀 정보 π_{τ, κ, 0} 및 비밀 정보 π_{τ, κ, 1}을 (수 129)에 나타낸 바와 같이 생성한다.

[수 129]

(S203：비밀 정보 χ 생성 스텝)

비밀 정보 생성부(141)는, 처리 장치에 의해, 비밀 정보 χ_{τ, κ, 0} 및 비밀 정보 χ_{τ, κ, 1}을 (수 130)에 나타낸 바와 같이 생성한다.

[수 130]

(S204：비밀 정보 s 생성 스텝)

비밀 정보 생성부(141)는, 처리 장치에 의해, 비밀 정보 s₀ ^{(τ, κ, 0)} 및 비밀 정보 s₀ ^{(τ, κ, 1)}와, 비밀 정보 s_i ^{(τ, κ, 0)} 및 비밀 정보 s_i ^{(τ, κ, 1)}를 (수 131)에 나타낸 바와 같이 생성한다.

[수 131]

(S205：키 요소 생성 스텝)

키 요소 생성부(142)는, 처리 장치에 의해, τ=1,. . ., m의 각 정수 τ와, κ=0,. . ., f_τ의 각 정수 κ와, ι=0, 1의 각 정수 ι에 대해서, 복호 키 sk_S의 요소 k^* ₀ ^{(τ, κ, ι)}을 (수 132)에 나타낸 바와 같이 생성한다.

[수 132]

또한, 상술한 바와 같이, (수 113)에 나타내는 기저 B와 기저 B^*에 대해서, (수 114)이다. 따라서, (수 132)는, 기저 B^* ₀의 기저 벡터 b^* _{0, 1}의 계수로서 s₀ ^{(τ, κ, ι)}＋π_{τ, κ, ι}를 설정하고, 기저 벡터 b^* _{0, 1＋1,. . .}, b^* _{0, 1＋} _n0의 계수로서 e^→ ₀ ^{(τ, κ, ι)}을 설정하고, 기저 벡터 b^* _0, _n0 _{＋1,. . .}, b^* _0, _n0 _＋ _u0의 계수로서 0을 설정하고, 기저 벡터 b^* _0, _n0 _＋ _u0 _{＋1,. . .}, b^* _0, _n0 _＋ _u0 _＋ _w0의 계수로서 η_{0, 1} ^{(τ, κ, ι)},. . .,η_0, _w0 ^{(τ, κ, ι)}를 설정하고, 기저 벡터 b^* _0, _n0 _＋ _u0 _＋ _w0 _＋1,. . ., b^* _0, _n0 _＋ _u0 _＋ _w0 _＋ _z0의 계수로서 0을 설정하는 것을 의미한다. 여기서, n0, u0, w0, z0은 각각 n₀, u₀, w₀, z₀이다.

또한, e^→ ₀ ^{(τ, κ, ι)}은, 1개의 기저 벡터의 계수로서 1이 설정되고, 다른 기저 벡터의 계수로서 0이 설정된 2mf_max 차원의 벡터로서, 계수로서 1이 설정되는 기저 벡터가 (τ, κ, ι)마다 상이한 벡터이다. 마찬가지로, e^→ _i ^{(τ, κ, ι)}는, 1개의 기저 벡터의 계수로서 1이 설정되고, 다른 기저 벡터의 계수로서 0이 설정된 2mf_maxk_max 차원의 벡터로서, 계수로서 1이 설정되는 기저 벡터가 (τ, κ, ι)마다 상이한 벡터이다.

또한, e^→ ₁은, 기저 벡터 b^* _{t, 1}의 계수로서 1이 설정되고, 다른 기저 벡터의 계수로서 0이 설정된 n 차원의 벡터이다.

키 요소 생성부(142)는, 처리 장치에 의해, τ=1,. . ., m의 각 정수 τ와, κ=0,. . ., f_τ의 각 정수 κ와, ι=0, 1의 각 정수 ι와, i=1,. . ., L의 각 정수 i에 대해서, 복호 키 sk_S의 요소 k^* _i ^{(τ, κ, ι)}를 (수 133)에 나타낸 바와 같이 생성한다.

[수 133]

(S206：키 배포 스텝)

키 배포부(150)는, (S201)에서 입력한 액세스 스트럭쳐 S와, (S205)에서 생성된 k^* ₀ ^{(τ, κ, ι)}, k^* ₁ ^{(τ, κ, ι)},. . ., k^* _L ^{(τ, κ, ι)}를 요소로 하는 복호 키 sk_S를, 예를 들면 통신 장치에 의해 네트워크를 거쳐서 비밀리에 복호 장치(300)에 배포한다. 물론, 복호 키 sk_S는, 다른 방법에 의해 복호 장치(300)에 배포되어도 좋다.

즉, (S201) 내지 (S205)에 있어서, 키 생성 장치(100)는, (수 134) 내지 (수 135)에 나타내는 KeyGen 알고리즘을 실행하여, 복호 키 sk_S를 생성한다. 그리고, (S206)에서, 키 생성 장치(100)는, 생성한 복호 키 sk_S를 복호 장치(300)에 배포한다.

[수 134]

[수 135]

암호화 장치(200)의 기능과 동작에 대해서 설명한다.

암호화 장치(200)는, 공개 파라미터 취득부(210), 정보 입력부(220), 암호화 데이터 생성부(230), 데이터 송신부(240)를 구비한다.

도 10에 근거하여, Enc 알고리즘의 처리에 대해 설명한다.

(S301：공개 파라미터 취득 스텝)

공개 파라미터 취득부(210)는, 예를 들면, 통신 장치에 의해 네트워크를 거쳐서, 키 생성 장치(100)가 생성한 공개 파라미터 pk를 취득한다.

(S302：정보 입력 스텝)

정보 입력부(220)는, 입력 장치에 의해, 복호 장치(300)에 송신하는 메시지 msg를 입력한다. 또한, 정보 입력부(220)는, 입력 장치에 의해, 속성의 집합 Γ：=｛(t, x^→ _t：=(x_t _{, 1},. . ., x_t _{, n}∈F_q ⁿ))｜1≤t≤d｝를 입력한다. 또한, t는, 1 이상 d 이하의 모든 정수는 아니고, 1 이상 d 이하의 적어도 일부의 정수이더라도 좋다. 또한, 속성의 집합 Γ은, 예를 들면, 복호 가능한 사용자의 속성 정보가 설정되어 있다.

(S303：암호 요소 생성 스텝)

암호화 데이터 생성부(230)는, 처리 장치에 의해, 암호문 ct_Γ의 요소 c₀을 (수 136)에 나타낸 바와 같이 생성한다.

[수 136]

암호화 데이터 생성부(230)는, 처리 장치에 의해, 속성 정보 Γ에 포함되는 각 정수 t에 대해, 암호문 ct_Γ의 요소 c_t를 (수 137)에 나타낸 바와 같이 생성한다.

[수 137]

암호화 데이터 생성부(230)는, 처리 장치에 의해, 암호문 ct_Γ의 요소 c_d _＋1을 (수 138)에 나타낸 바와 같이 생성한다.

[수 138]

(S304：데이터 송신 스텝)

데이터 송신부(240)는, (S302)에서 입력한 속성의 집합 Γ과, (S303)에서 생성된 c₀, c_t, c_d _＋1을 요소로 하는 암호문 ct_Γ를, 예를 들면 통신 장치에 의해 네트워크를 거쳐서 복호 장치(300)에 송신한다. 물론, 암호문 ct_Γ는, 다른 방법에 의해 복호 장치(300)에 송신되어도 좋다.

즉, (S301) 내지 (S303)에 있어서, 암호화 장치(200)는, (수 139)에 나타내는 Enc 알고리즘을 실행하여, 암호문 ct_Γ를 생성한다. 그리고, (S304)에서, 암호화 장치(200)는 생성한 암호문 ct_Γ를 복호 장치(300)에 송신한다.

[수 139]

복호 장치(300)의 기능과 동작에 대해서 설명한다.

복호 장치(300)는, 정보 취득부(310), 스팬 프로그램 계산부(320), 보완 계수 계산부(330), 복호부(340)를 구비한다. 또한, 정보 취득부(310)는, 복호 키 취득부(311), 암호문 취득부(312)를 구비한다. 또한, 보완 계수 계산부(330)는, 다항식 선택부(331), 계수 계산부(332)를 구비한다. 또한, 복호부(340)는, 페어링 연산부(341), 메시지 계산부(342)를 구비한다.

도 11에 근거하여, Dec 알고리즘의 처리에 대해 설명한다.

(S401：복호 키 취득 스텝)

복호 키 취득부(311)는, 예를 들면, 통신 장치에 의해 네트워크를 거쳐서, 키 생성 장치(100)로부터 배포된 복호 키 sk_S：=(S, k^* ₀ ^{(τ, κ, ι)}, k^* ₁ ^{(τ, κ, ι)},. . ., k^* _L ^{(τ, κ, ι)})를 취득한다. 또한, 복호 키 취득부(311)는, 키 생성 장치(100)가 생성한 공개 파라미터 pk를 취득한다.

(S402：암호문 취득 스텝)

암호문 취득부(312)는, 예를 들면, 통신 장치에 의해 네트워크를 거쳐서, 암호화 장치(200)가 송신한 암호문 ct_Γ：=(Γ, c₀, c_t, c_d _＋1)를 취득한다.

(S403：스팬 프로그램 계산 스텝)

스팬 프로그램 계산부(320)는, 처리 장치에 의해, (S401)에서 취득한 복호 키 sk_S에 포함되는 액세스 스트럭쳐 S가, (S402)에서 취득한 암호문 ct_Γ에 포함되는 Γ을 수리하는지 여부를 판정한다. 액세스 스트럭쳐 S가 Γ를 수리하는지 여부의 판정 방법은, 「실시 형태 1에 있어서의 제 2－1. 2차 스팬 프로그램」에서 설명한 바와 같다.

스팬 프로그램 계산부(320)는, 액세스 스트럭쳐 S가 Γ를 수리하는 경우(S403에서 수리), 처리를 (S404)로 진행한다. 한편, 액세스 스트럭쳐 S가 Γ를 거절하는 경우(S403에서 거절), 암호문 ct_Γ를 복호 키 sk_S로 복호할 수 없는 것으로 하여 처리를 종료한다.

(S404：다항식 선택 스텝)

보완 계수 계산부(330)의 다항식 선택부(331)는, 처리 장치에 의해, I_{(ρ, Γ)}⊆｛1,. . ., L｝를 계산한다. I_{(ρ, Γ)}의 계산 방법은, 「실시 형태 1의 제 2－2. 속성의 내적과 2차 스팬 프로그램」에서 설명한 바와 같다.

(S405：계수 계산 스텝)

보완 계수 계산부(330)의 계수 계산부(332)는, 처리 장치에 의해, (수 140)으로 되는 계수(α₁,. . ., α_L)와, 계수(β₁,. . .,β_L)와, 차수(κ₁,. . ., κ_m)를 계산한다. 계수(α₁,. . ., α_L)와, 계수(β₁,. . .,β_L)와, 차수(κ₁,. . ., κ_m)의 계산 방법은, 어떠한 방법이어도 좋고, 예를 들면 라운드 로빈법에 의해 계산해도 좋다.

[수 140]

여기서, I_{(ρ, Γ)}에 포함되지 않는 모든 i에 대해서는, α_i=0=β_i이다.

(S406：페어링 연산 스텝)

복호부(340)의 페어링 연산부(341)는, 처리 장치에 의해, (수 141)을 계산하고, 세션 키 K_{τ, 0}, K_{τ, 1}을 생성한다.

[수 141]

(S407：메시지 계산 스텝)

복호부(340)의 메시지 계산부(342)는, 처리 장치에 의해, (수 142)를 계산하고, 메시지 msg＇(=msg)를 생성한다.

[수 142]

또한, (수 143)에 나타낸 바와 같이, (수 141)을 계산함으로써 g_T ^ζ가 얻어진다. 그 때문에, (수 142)를 계산함으로써, 메시지 msg＇(=msg)를 얻을 수 있다.

[수 143]

즉, (S401) 내지 (S407)에 있어서, 복호 장치(300)는, (수 144)에 나타내는 Dec 알고리즘을 실행하여, 메시지 msg＇(=msg)를 생성한다.

[수 144]

이상과 같이, 실시 형태 2에 따른 암호 시스템(10)에서는, 2차 스팬 프로그램을 이용한 함수형 암호 방식을 실현한다.

2차 스팬 프로그램을 이용함으로써, 관계 R로서 표현할 수 있는 범위가 넓다.

특히, 실시 형태 2에 따른 암호 시스템(10)에서는, 목표 다항식 d(x)를 인수 분해한 다항식 d_τ(x)^fτ마다, 다항식 d_τ(x)^κ로 다항식 ai(x)를 나눈 나머지를 설정한 요소와, 다항식 d_τ(x)^fτ－κ로 다항식 bi(x)를 나눈 나머지를 설정한 요소를, 키 요소 k^* ₀ ^{(τ, κ, ι)}, k^* ₁ ^{(τ, κ, ι)},. . ., k^* _L ^{(τ, κ, ι)}로 한다. 또한, 각 키 요소 k^* ₀ ^{(τ, κ, ι)}에, 비밀 정보 π와 비밀 정보 χ를 분산시켜 설정한다. 그리고, 계수 α,β를 이용하여, 키 요소와 암호 요소의 페어링 연산을 함으로써, 각 키 요소로 설정된 나머지를 0으로 하고, 비밀 정보 π를 0으로 하고, 비밀 정보 χ를 1로 함으로써, 암호문으로부터 세션 키 K_{τ, 0}, K_{τ, 1}을 추출한다. 이에 의해, 2차 스팬 프로그램을 이용한 함수형 암호 방식을 실현한다.

또한, 상기 설명에서는, KP－FE 방식에 대해 설명했다. 그러나, KeyGen 알고리즘, Enc 알고리즘, Dec 알고리즘을 각각 (수 145) 내지 (수 148)에 나타낸 바와 같이 함으로써, CP－FE 방식으로 하는 것도 가능하다. 또한, Setup 알고리즘은, KP－FE 방식과 CP－FE 방식과 동일하다.

[수 145]

[수 146]

[수 147]

[수 148]

또한, 상기 설명에서는, 함수형 암호 방식에 대해 설명했다. 그러나, Setup 알고리즘, KeyGen 알고리즘, Enc 알고리즘, Dec 알고리즘을 각각 (수 149) 내지 (수 153)에 나타낸 바와 같이 함으로써, 속성 베이스 암호 방식으로 하는 것도 가능하다. 또한, 속성 베이스 암호 방식의 경우, Setup 알고리즘에 있어서, n_t는 2mf_maxk_max＋2이다.

[수 149]

[수 150]

[수 151]

[수 152]

[수 153]

마찬가지로, (수 145) 내지 (수 148)에 나타내는 CP－FE 방식을 속성 베이스 암호 방식으로 변경하는 것도 가능하다.

또한, 상기 설명에서는, N₀에 n₀＋u₀＋w₀＋z₀을 설정하고, N_t에 n_t＋u_t＋w_t＋z_t를 설정했다. 여기서, 예를 들면, u₀=n₀, w₀=n₀, z₀=2로 하고, N₀에 n₀＋n₀＋n₀＋2=3n₀＋2로 하고, u_t=n_t, w_t=n_t, z_t=1로 하고, N_t에 n_t＋n_t＋n_t＋1=3n_t＋1로 해도 좋다.

(실시 형태 3)

실시 형태 3에서는, 실시 형태 2에서 설명한 함수형 암호 방식에 비해, 기저의 수가 많아지는 대신에, 각 기저의 차원 수가 적은 함수형 암호 방식을 설명한다.

실시 형태 3에서는, 실시 형태 2에 따른 암호 시스템(10)과 상이한 부분을 중심으로 설명한다.

실시 형태 3에 따른 키 생성 장치(100), 암호화 장치(200), 복호 장치(300)의 구성은, 도 5∼도 7에 나타내는 실시 형태 2에 따른 키 생성 장치(100), 암호화 장치(200), 복호 장치(300)의 구성과 동일하다.

실시 형태 3에 따른 Dec 알고리즘의 처리에 대해서는, 실시 형태 2에 따른 Dec 알고리즘의 처리와 동일하기 때문에, 여기에서는, 실시 형태 3에 따른 Setup 알고리즘, KeyGen 알고리즘, Enc 알고리즘의 처리에 대해 설명한다.

실시 형태 3에 따른 Setup 알고리즘, KeyGen 알고리즘, Enc 알고리즘의 처리 흐름은, 도 8∼도 10에 나타내는 실시 형태 2에 따른 Setup 알고리즘, KeyGen 알고리즘, Enc 알고리즘의 처리의 흐름과 동일하다.

도 8에 근거하여, Setup 알고리즘의 처리에 대해 설명한다.

(S101：정규 직교 기저 생성 스텝)

(1) ∼(3)의 처리는, 실시 형태 2와 동일하다.

(4) 마스터 키 생성부(110)는, N₀에 n₀＋u₀＋w₀＋z₀을 설정하고, t=1,. . ., d(d는 1 이상의 정수)의 각 정수 t에 대해, N_t에 n_t＋u_t＋w_t＋z_t를 설정한다. 여기서, n₀은 1이며, n_t는 n이다. n은 1 이상의 정수이며, u₀, w₀, z₀, u_t, w_t, z_t는 각각 0 이상의 정수이다.

계속해서, 마스터 키 생성부(110)는, τ=1,. . ., m, κ=0,. . ., f_τ, ι=0, 1, t=0,. . ., d의 각 정수 τ, κ, ι, t에 대해 (5)로부터 (9)까지의 처리를 실행한다.

(5)의 처리는, 실시 형태 2와 동일하다.

(6) 마스터 키 생성부(110)는, 실시 형태 2와 마찬가지로, 선형 변환 X_t ^{(τ, κ, ι)}：=(χ_{t, i, j} ^{(τ, κ, ι)})_{i, j}를 랜덤하게 생성한다.

(7) 마스터 키 생성부(110)는, 실시 형태 2와 마찬가지로, X^* _t ^{(τ, κ, ι)}：=(ν_{t, i, j} ^{(τ, κ, ι)})_{i, j}：=ψ·(X_t ^{(τ, κ, ι)T})^－1을 생성한다.

(8) 마스터 키 생성부(110)는, 실시 형태 2와 마찬가지로, (6)에서 생성한 선형 변환 X_t ^{(τ, κ, ι)}에 근거하여, (5)에서 생성한 표준 기저 A_t로부터 기저 B_t ^{(τ, κ, ι)}를 생성한다.

(9) 마스터 키 생성부(110)는, 실시 형태 2와 마찬가지로, (7)에서 생성한 선형 변환 X^* _t ^{(τ, κ, ι)}에 근거하여, (5)에서 생성한 표준 기저 A_t로부터 기저 B^* _t ^{(τ, κ, ι)}를 생성한다.

(10)의 처리는, 실시 형태 2와 동일하다.

(S102：공개 파라미터 생성 스텝)

마스터 키 생성부(110)는, 처리 장치에 의해, (S101)에서 생성한 기저 B₀ ^{(τ, κ, ι)}의 부분 기저 B＾₀ ^{(τ, κ, ι)}과, 기저 B_t ^{(τ, κ, ι)}의 부분 기저 B＾_t ^{(τ, κ, ι)}를 (수 154)에 나타낸 바와 같이 생성한다.

[수 154]

마스터 키 생성부(110)는, 생성한 부분 기저 B＾₀ ^{(τ, κ, ι)} 및 부분 기저 B＾_t ^{(τ, κ, ι)}와, (S101)에서 입력된 시큐러티 파라미터 λ와, (S101)에서 생성한 param을 합쳐서, 공개 파라미터 pk로 한다.

(S103：마스터 키 생성 스텝)

마스터 키 생성부(110)는, 처리 장치에 의해, (S101)에서 생성한 기저 B^* ₀ ^{(τ, κ, ι)}의 부분 기저 B＾^* ₀ ^{(τ, κ, ι)}과, 기저 B^* _t ^{(τ, κ, ι)}의 부분 기저 B＾^* _t ^{(τ, κ, ι)}를 (수 155)에 나타낸 바와 같이 생성한다.

[수 155]

마스터 키 생성부(110)는, 생성한 부분 기저 B＾^* ₀ ^{(τ, κ, ι)}와 부분 기저 B＾^* _t ^{(τ, κ, ι)}를 마스터 키 sk로 한다.

(S104)의 처리는, 실시 형태 2와 동일하다.

즉, (S101) 내지 (S103)에 있어서, 키 생성 장치(100)는, (수 156)에 나타내는 Setup 알고리즘을 실행하여, 공개 파라미터 pk와 마스터 키 sk를 생성한다. 그리고, (S104)에서, 키 생성 장치(100)는, 생성한 공개 파라미터 pk와 마스터 키 sk를 기억 장치에 기억한다.

[수 156]

도 9에 근거하여, KeyGen 알고리즘의 처리에 대해 설명한다.

(S201으로부터 (S204)까지와, (S206)의 처리는, 실시 형태 2와 동일하다.

(S205：키 요소 생성 스텝)

키 요소 생성부(142)는, 처리 장치에 의해, τ=1,. . ., m의 각 정수 τ와, κ=0,. . ., f_τ의 각 정수 κ와, ι=0, 1의 각 정수 ι에 대해서, 복호 키 sk_S의 요소 k^* ₀ ^{(τ, κ, ι)}을 (수 157)에 나타낸 바와 같이 생성한다.

[수 157]

키 요소 생성부(142)는, 처리 장치에 의해, τ=1,. . ., m의 각 정수 τ와, κ=0,. . ., f_τ의 각 정수 κ와, ι=0, 1의 각 정수 ι와, i=1,. . ., L의 각 정수 i에 대해서, 복호 키 sk_S의 요소 k^* _i ^{(τ, κ, ι)}를 (수 158)에 나타낸 바와 같이 생성한다.

[수 158]

즉, (S201) 내지 (S205)에 있어서, 키 생성 장치(100)는, (수 159) 내지 (수 160)에 나타내는 KeyGen 알고리즘을 실행하여, 복호 키 sk_S를 생성한다. 그리고, (S206)에서, 키 생성 장치(100)는, 생성한 복호 키 sk_S를 복호 장치(300)에 배포한다.

[수 159]

[수 160]

도 10에 근거하여, Enc 알고리즘의 처리에 대해 설명한다.

(S301)으로부터 (S302)까지와, (S304)의 처리는, 실시 형태 2와 동일하다.

(S303：암호 요소 생성 스텝)

암호화 데이터 생성부(230)는, 처리 장치에 의해, 암호문 ct_Γ의 요소 c₀ ^{(τ, κ, ι)}를 (수 161)에 나타낸 바와 같이 생성한다.

[수 161]

암호화 데이터 생성부(230)는, 처리 장치에 의해, 속성 정보 Γ에 포함되는 각 정수 t에 대해, 암호문 ct_Γ의 요소 c_t ^{(τ, κ, ι)}를 (수 162)에 나타낸 바와 같이 생성한다.

[수 162]

암호화 데이터 생성부(230)는, 처리 장치에 의해, 암호문 ct_Γ의 요소 c_d _＋1을 (수 163)에 나타낸 바와 같이 생성한다.

[수 163]

즉, (S301) 내지 (S303)에 있어서, 암호화 장치(200)는, (수 164)에 나타내는 Enc 알고리즘을 실행하여, 암호문 ct_Γ를 생성한다. 그리고, (S304)에서, 암호화 장치(200)는 생성한 암호문 ct_Γ를 복호 장치(300)에 송신한다.

[수 164]

이상과 같이, 실시 형태 3에 따른 암호 시스템(10)은, 실시 형태 2에서 설명한 함수형 암호 방식에 비해, 기저의 수가 많아지는 대신에, 각 기저의 차원 수가 적은 함수형 암호 방식을 실현한다.

또한, 상기 설명에서는, KP－FE 방식에 대해 설명했다. 그러나, KeyGen 알고리즘, Enc 알고리즘을 각각 (수 165) 내지 (수 167)에 나타낸 바와 같이 함으로써, CP－FE 방식으로 하는 것도 가능하다. 또한, Setup 알고리즘은, KP－FE 방식과 CP－FE 방식과 동일하다. 또한, Dec 알고리즘은, (수 148)에 나타내는 Dec 알고리즘과 동일하다.

[수 165]

[수 166]

[수 167]

또한, 상기 설명에서는, 함수형 암호 방식에 대해 설명했다. 그러나, Setup 알고리즘, KeyGen 알고리즘, Enc 알고리즘을 각각 (수 168) 내지 (수 171)에 나타낸 바와 같이 함으로써, 속성 베이스 암호 방식으로 하는 것도 가능하다. 또한, 속성 베이스 암호 방식의 경우, Setup 알고리즘에 있어서, n_t는 2이다. Dec 알고리즘은, (수 153)에 나타내는 Dec 알고리즘과 동일하다.

[수 168]

[수 169]

[수 170]

[수 171]

마찬가지로, (수 165) 내지 (수 167)에 나타내는 CP－FE 방식을 속성 베이스 암호 방식으로 변경하는 것도 가능하다.

또한, 상기 설명에서는, N₀에 n₀＋u₀＋w₀＋z₀을 설정하고, N_t에 n_t＋u_t＋w_t＋z_t를 설정했다. 여기서, 예를 들면, u₀=n₀, w₀=n₀, z₀=2로 하여, N₀에 n₀＋n₀＋n₀＋2=3n₀＋2(n₀=1이기 때문에, N₀=5)로 하고, u_t=n_t, w_t=n_t, z_t=1로 하여, N_t에 n_t＋n_t＋n_t＋1=3n_t＋1로 해도 좋다.

(실시 형태 4)

실시 형태 2, 3에서는, 목표 다항식 d(x)를 인수 분해한 다항식 d_τ(x)^fτ마다, 다항식 d_τ(x)^κ로 다항식 a_i(x)를 나눈 나머지를 설정한 요소와, 다항식 d_τ(x)^fτ－κ로 다항식 b_i(x)를 나눈 나머지를 설정한 요소를, 키 요소로 했다.

실시 형태 4에서는, 목표 다항식 d(x)를 인수 분해한 다항식 d_τ(x)^fτ마다, 다항식 d_τ(x)^κ에 난수값 γ를 대입한 요소와, 다항식 d_τ(x)^fτ－κ에 난수값 γ를 대입한 요소를, 키 요소로 한다.

실시 형태 4에 따른 키 생성 장치(100), 암호화 장치(200), 복호 장치(300)의 구성은, 도 5∼도 7에 나타내는 실시 형태 2에 따른 키 생성 장치(100), 암호화 장치(200), 복호 장치(300)의 구성과 동일하다.

실시 형태 4에 따른 Setup 알고리즘, Enc 알고리즘은, 실시 형태 2에 따른 Setup 알고리즘, Enc 알고리즘과 동일하다.

실시 형태 4에 따른 Dec 알고리즘의 처리의 흐름은, 도 11에 나타내는 실시 형태 2에 따른 Dec 알고리즘의 처리의 흐름과 동일하다.

도 12는, 실시 형태 4에 따른 KeyGen 알고리즘의 처리를 나타내는 플로우차트이다.

도 12에 근거하여, KeyGen 알고리즘의 처리에 대해 설명한다.

(S501)으로부터 (S503)까지의 처리는, 도 9에 나타내는 (S201)으로부터 (S203)까지의 처리와 동일하고, (S505)의 처리는, 도 9에 나타내는 (S206)의 처리와 동일하다.

(S504：키 요소 생성 스텝)

키 요소 생성부(142)는, 처리 장치에 의해, τ=1,. . ., m의 각 정수 τ와, κ=0,. . ., f_τ의 각 정수 κ와, ι=0, 1의 각 정수 ι와, j=1,. . .,μ＋1의 각 정수 j에 대해서, 복호 키 sk_S의 요소 k^* _{0, j} ^{(τ, κ, ι)}와 요소 k^* _0,μ＋1 ^{(τ, κ, ι)}을 (수 172)에 나타낸 바와 같이 생성한다.

[수 172]

키 요소 생성부(142)는, 처리 장치에 의해, τ=1,. . ., m의 각 정수 τ와, κ=0,. . ., f_τ의 각 정수 κ와, ι=0, 1의 각 정수 ι와, i=1,. . ., L의 각 정수 i에 대해서, 복호 키 sk_S의 요소 k^* _i ^{(τ, κ, ι)}를 (수 173)에 나타낸 바와 같이 생성한다.

[수 173]

여기서, e^→ _{0, j} ^{(τ, κ, ι)}(j=1,. . .,μ＋1)은, 1개의 기저 벡터의 계수로서 1이 설정되고, 다른 기저 벡터의 계수로서 0이 설정된 2mf_max 차원의 벡터로서, 계수로서 1이 설정되는 기저 벡터가 (τ, κ, ι)마다 상이한 벡터이다.

즉, (S501) 내지 (S504)에 있어서, 키 생성 장치(100)는, (수 174) 내지 (수 175)에 나타내는 KeyGen 알고리즘을 실행하여, 복호 키 sk_S를 생성한다. 그리고, (S505)에서, 키 생성 장치(100)는, 생성한 복호 키 sk_S를 복호 장치(300)에 배포한다.

[수 174]

[수 175]

도 11에 근거하여, Dec 알고리즘의 처리에 대해 설명한다.

(S401)으로부터 (S404)까지의 처리는, 실시 형태 2와 동일하다.

(S405：계수 계산 스텝)

보완 계수 계산부(330)의 계수 계산부(332)는, 처리 장치에 의해, (수 176)이 되는 계수(α₁,. . ., α_L)와, 계수(β₁,. . .,β_L)와, 차수 κ를 계산한다.

[수 176]

여기서, I_{(ρ, Γ)}에 포함되지 않는 모든 i에 대해서는, α_i=0=β_i이다. 또한, τ=1,. . ., m 및 ι=0, 1의 모든 정수 τ, ι에 대해서 h_{τ, κ, ι}(x)：=h_{τ, κ, ι, 0}＋h_{τ, κ, ι, 1} x＋···＋h_{τ, κ, ι,μ}x^μ이다.

(S406：페어링 연산 스텝)

복호부(340)의 페어링 연산부(341)는, 처리 장치에 의해, (수 177)을 계산하여, 세션 키 K_{τ, 0}, K_{τ, 1}을 생성한다.

[수 177]

(S407：메시지 계산 스텝)

메시지 계산부(342)는, 처리 장치에 의해, (수 178)을 계산하여, 메시지 msg＇(=msg)를 생성한다.

[수 178]

또한, (수 179)에 나타낸 바와 같이, (수 177)을 계산함으로써 g_T ^ζ가 얻어진다. 그 때문에, (수 178)을 계산함으로써, 메시지 msg＇(=msg)를 얻을 수 있다.

[수 179]

즉, (S401) 내지 (S407)에 있어서, 복호 장치(300)는, (수 180)에 나타내는 Dec 알고리즘을 실행하여, 메시지 msg＇(=msg)를 생성한다.

[수 180]

이상과 같이, 실시 형태 4에 따른 암호 시스템(10)은, 다항식 d_τ(x)^κ에 난수값 γ를 대입한 요소와, 다항식 d_τ(x)^fτ－κ에 난수값 γ를 대입한 요소를, 키 요소로 하여 함수형 암호 방식을 실현한다.

또한, 상기 설명에서는, KP－FE 방식에 대해 설명했다. 그러나, KeyGen 알고리즘, Enc 알고리즘, Dec 알고리즘을 각각 (수 181) 내지 (수 184)에 나타낸 바와 같이 함으로써, CP－FE 방식으로 하는 것도 가능하다. 또한, Setup 알고리즘은, KP－FE 방식과 CP－FE 방식과 동일하다.

[수 181]

[수 182]

[수 183]

[수 184]

또한, 함수형 암호 방식에 대해 설명했다. 그러나, KeyGen 알고리즘, Dec 알고리즘을 각각 (수 185) 내지 (수 187)에 나타낸 바와 같이 함으로써, 속성 베이스 암호 방식으로 하는 것도 가능하다. 또한, 속성 베이스 암호 방식의 경우, Setup 알고리즘에 있어서, n_t는 2mf_maxk_max＋2이다. 또한, Setup 알고리즘은, (수 149)에 나타내는 Setup 알고리즘과 동일하고, Enc 알고리즘은, (수 152)에 나타내는 Enc 알고리즘과 동일하다.

[수 185]

[수 186]

[수 187]

마찬가지의 변경을 행함으로써, (수 181) 내지 (수 184)에 나타내는 CP－FE 방식을 속성 베이스 암호 방식으로 변경하는 것도 가능하다.

또한, 상기 설명에서는, N₀에 n₀＋u₀＋w₀＋z₀을 설정하고, N_t에 n_t＋u_t＋w_t＋z_t를 설정했다. 여기서, 예를 들면, u₀=n₀, w₀=n₀, z₀=2로 하여, N₀에 n₀＋n₀＋n₀＋2=3n₀＋2로 하고, u_t=n_t, w_t=n_t, z_t=2로 하여, N_t에 n_t＋n_t＋n_t＋2=3n_t＋2로 해도 좋다.

또한, 상기 설명에서는, 실시 형태 2에 따른 함수형 암호 방식과 마찬가지로, 복호 키나 암호문이 길어지는 대신에, 기저의 수가 적은 함수형 암호 방식으로 했다. 그러나, 실시 형태 3, 4에 따른 함수형 암호 방식에 근거하여, 실시 형태 4에 따른 함수형 암호 방식을, 실시 형태 3에 따른 함수형 암호 방식과 마찬가지로, 기저의 수가 많아지는 대신에, 각 기저의 차원 수가 적은 함수형 암호 방식으로 용이하게 변형할 수 있다.

또한, 이상의 실시 형태에서는, KP－FE 방식과 CP－FE 방식에 대해서 설명했다. 그러나, 비특허 문헌 4에 기재된 Unified－Policy FE(UP－FE) 방식도, KP－FE 방식과 CP－FE 방식으로 용이하게 구성할 수 있다.

(실시 형태 5)

이상의 실시 형태에서는, 듀얼 벡터 공간에 있어서 암호 처리를 실현하는 방법에 대해 설명했다. 실시 형태 5에서는, 듀얼 가군(加群)에 있어서 암호 처리를 실현하는 방법에 대해 설명한다.

즉, 이상의 실시 형태에서는, 소수 위수 q의 순회군에 있어서 암호 프리미티브(primitive)의 처리를 실현했다. 그러나, 합성 수 m을 이용하여 (수 188)과 같이 환 R을 나타냈을 경우, 환 R을 계수로 하는 가군에 있어서도, 상기 실시 형태에서 설명한 암호 처리를 적용할 수 있다.

[수 188]

이상의 실시 형태에서 설명한 알고리즘에 있어서의 F_q를 R로 변경하면, 듀얼 가군에 있어서의 암호 프리미티브의 처리를 실현할 수 있다.

또한, 이상의 실시 형태에 있어서, 안전성의 증명의 관점으로부터, i=1,. . ., L의 각 정수 i에 대한 ρ(i)은, 각각 상이한 식별 정보 t에 대한 긍정형의 세트 (t, v^→) 또는 부정형의 세트 ￢(t, v^→)인 것으로 한정하더라도 좋다.

환언하면, ρ(i)=(t, v^→) 또는 ρ(i)=￢(t, v^→)인 경우에, 함수 ρ^∼를, ρ^∼(i)=t인｛1,. . ., L｝→｛1,. . .d｝의 사상이라고 한다. 이 경우, ρ^∼가 단사(單射)인 것으로 한정하더라도 좋다. 또한, ρ(i)는, 상술한 액세스 스트럭쳐 S：=(M, ρ(i))의 ρ(i)이다.

다음에, 실시 형태에 있어서의 암호 처리 시스템(10)(키 생성 장치(100), 암호화 장치(200), 복호 장치(300))의 하드웨어 구성에 대해 설명한다.

도 13은, 키 생성 장치(100), 암호화 장치(200), 복호 장치(300)의 하드웨어 구성의 일례를 나타내는 도면이다.

도 13에 나타낸 바와 같이, 키 생성 장치(100), 암호화 장치(200), 복호 장치(300)는, 프로그램을 실행하는 CPU(911)(Central·Processing·Unit, 중앙 처리 장치, 처리 장치, 연산 장치, 마이크로 프로세서, 마이크로 컴퓨터, 프로세서라고도 함)를 구비하고 있다. CPU(911)는, 버스(912)를 거쳐서 ROM(913), RAM(914), LCD(901)(Liquid Crystal Display), 키보드(902)(K/B), 통신 보드(915), 자기 디스크 장치(920)와 접속되고, 이러한 하드웨어 디바이스를 제어한다. 자기 디스크 장치(920)(고정 디스크 장치) 대신에, 광 디스크 장치, 메모리 카드 판독 기입 등의 기억 장치라도 좋다. 자기 디스크 장치(920)는, 소정의 고정 디스크 인터패이싱을 거쳐서 접속된다.

ROM(913), 자기 디스크 장치(920)는, 불휘발성 메모리의 일례이다. RAM(914)는, 휘발성 메모리의 일례이다. ROM(913)과 RAM(914)과 자기 디스크 장치(920)는, 기억 장치(메모리)의 일례이다. 또한, 키보드(902), 통신 보드(915)는, 입력 장치의 일례이다. 또한, 통신 보드(915)는, 통신 장치의 일례이다. 또한, LCD(901)는, 표시 장치의 일례이다.

자기 디스크 장치(920) 또는 ROM(913) 등에는, 오퍼레이팅 시스템(921)(OS), 윈도우 시스템(922), 프로그램군(923), 파일군(924)이 기억되어 있다. 프로그램군(923)의 프로그램은, CPU(911), 오퍼레이팅 시스템(921), 윈도우 시스템(922)에 의해 실행된다.

프로그램군(923)에는, 상기의 설명에 있어서 「마스터 키 생성부(110)」, 「마스터 키 기억부(120)」, 「정보 입력부(130)」, 「복호 키 생성부(140)」, 「키 배포부(150)」, 「공개 파라미터 취득부(210)」, 「정보 입력부(220)」, 「암호화 데이터 생성부(230)」, 「데이터 송신부(240)」, 「정보 취득부(310)」, 「스팬 프로그램 계산부(320)」, 「보완 계수 계산부(330)」, 「복호부(340)」 등으로서 설명한 기능을 실행하는 소프트웨어나 프로그램이나 그 외의 프로그램이 기억되어 있다. 프로그램은, CPU(911)에 의해 판독되어 실행된다.

파일군(924)에는, 상기의 설명에 있어서 「공개 파라미터 pk」, 「마스터 비밀키 sk」, 「복호 키 sk_S, sk_Γ」, 「암호문 ct_Γ, ct_S」, 「액세스 스트럭쳐 S」, 「속성 정보」, 「메시지 msg」 등의 정보나 데이터나 신호값이나 변수값이나 파라미터가, 「파일」이나 「데이터베이스」의 각 항목으로서 기억된다. 「파일」이나 「데이터베이스」는, 디스크나 메모리 등의 기록 매체에 기억된다. 디스크나 메모리 등의 기억 매체에 기억된 정보나 데이터나 신호값이나 변수값이나 파라미터는, 판독 기입 회로를 거쳐서 CPU(911)에 의해 메인 메모리나 캐시 메모리로 판독되고, 추출·검색·참조·비교·연산·계산·처리·출력·인쇄·표시 등의 CPU(911)의 동작에 이용된다. 추출·검색·참조·비교·연산·계산·처리·출력·인쇄·표시의 CPU(911)의 동작 동안, 정보나 데이터나 신호값이나 변수값이나 파라미터는, 메인 메모리나 캐시 기억 장치나 버퍼 메모리에 일시적으로 기억된다.

또한, 상기의 설명에 있어서의 플로우차트의 화살표의 부분은 주로 데이터나 신호의 입출력을 나타내고, 데이터나 신호값은, RAM(914)의 메모리, 그 외의 광 디스크 등의 기록 매체나 IC 칩에 기록된다. 또한, 데이터나 신호는, 버스(912)나 신호선이나 케이블 그 외의 전송 매체나 전파에 의해 온라인 전송된다.

또한, 상기의 설명에 있어서 「∼부」로서 설명하는 것은, 「∼회로」, 「∼장치」, 「∼기기」, 「∼수단」, 「∼기능」이어도 좋고, 또한, 「∼스텝」, 「∼순서」, 「∼처리」이더라도 좋다. 또한, 「∼장치」로서 설명하는 것은, 「∼회로」, 「∼기기」, 「∼수단」, 「∼기능」이어도 좋고, 또한, 「∼스텝」, 「∼순서」, 「∼처리」이더라도 좋다. 또한, 「∼처리」로서 설명하는 것은 「∼스텝」이어도 상관없다. 즉, 「∼부」로서 설명하는 것은, ROM(913)에 기억된 펌웨어로 실현되어 있어도 상관없다. 혹은, 소프트웨어만, 혹은, 소자·디바이스·기판·배선 등의 하드웨어만, 혹은, 소프트웨어와 하드웨어의 조합, 또한, 펌웨어와의 조합으로 실시되어도 상관없다. 펌웨어와 소프트웨어는, 프로그램으로서, ROM(913) 등의 기록 매체에 기억된다. 프로그램은 CPU(911)에 의해 판독되어 CPU(911)에 의해 실행된다. 즉, 프로그램은, 상기에서 서술한 「∼부」로서 컴퓨터 등을 기능시키는 것이다. 혹은, 상기에서 서술한 「∼부」의 순서나 방법을 컴퓨터 등에게 실행하게 하는 것이다.

100 : 키 생성 장치
110 : 마스터 키 생성부
120 : 마스터 키 기억부
130 : 정보 입력부
140 : 복호 키 생성부
141 : 비밀 정보 생성부
142 : 키 요소 생성부
150 : 키 배포부
200 : 암호화 장치
210 : 공개 파라미터 취득부
220 : 정보 입력부
230 : 암호화 데이터 생성부
240 : 데이터 송신부
300 : 복호 장치
311 : 복호 키 취득부
312 : 암호문 취득부
320 : 스팬 프로그램 계산부
330 : 보완 계수 계산부
331 : 다항식 선택부
332 : 계수 계산부
340 : 복호부
341 : 페어링 연산부
342 : 메시지 계산부

Claims

2차 스팬 프로그램을 포함하는 제 1 정보와, 속성 정보를 포함하는 제 2 정보 중 한쪽을 암호문으로서 생성하는 암호화 장치와,
상기 제 1 정보와 상기 제 2 정보 중 다른쪽을 복호 키로 하여, 상기 2차 스팬 프로그램이 상기 속성 정보를 수리(受理)하는 경우에 상기 2차 스팬 프로그램과 상기 속성 정보로부터 얻어지는 정보에 근거하여, 상기 암호문을 복호하는 복호 장치를 구비하는
것을 특징으로 하는 암호 시스템.
제 1 항에 있어서,
상기 제 1 정보는, 상기 2차 스팬 프로그램으로서, 다항식 d(x)와 복수의 다항식 D_i(x)와 술어 정보를 포함하고,
상기 복호 장치는,
상기 제 1 정보에 포함되는 술어 정보와, 상기 제 2 정보에 포함되는 속성 정보에 근거하여, 상기 복수의 다항식 D_i(x)로부터 적어도 일부의 다항식 D_i(x)를 선택하는 다항식 선택부와,
상기 다항식 선택부가 선택한 다항식 D_i(x)에 계수 Δ_i를 곱한 다항식 Δ_iD_i(x)에 근거하여 구성되는 다항식을 상기 다항식 d(x)로 완전히 나눌 수 있도록 하는 계수 Δ_i를 계산하는 계수 계산부와,
상기 계수 계산부가 계산한 계수 Δ_i에 근거하여, 상기 암호문을 복호하는 복호부를 구비하는 것을 특징으로 하는 암호 시스템.
제 2 항에 있어서,
상기 복수의 다항식 D_i(x)는, i=0,. . ., L(L은 1 이상의 정수)의 각 정수 i에 대한 다항식 a_i(x) 및 다항식 b_i(x)이며,
상기 다항식 선택부는, 상기 속성 정보와 상기 술어 정보에 근거하여, i=1,. . ., L 중 일부의 정수 i의 집합 I를 선택함으로써, 다항식 a₀(x) 및 다항식 b₀(x)와, 상기 집합 I에 포함되는 정수 i에 대한 다항식 a_i(x) 및 다항식 b_i(x)를 선택하고,
상기 계수 계산부는, (a₀(x)＋Σ_i∈Iα_ia_i(x))·(b₀(x)＋Σ_i∈Iβ_ib_i(x))를 상기 다항식 d(x)로 완전히 나눌 수 있도록 하는 계수 α_i 및 계수 β_i를 상기 계수 Δ_i로서 계산하는 것을 특징으로 하는 암호 시스템.
제 3 항에 있어서,
상기 다항식 d(x)는, τ=1,. . ., m(m은 1 이상의 정수)의 다항식 d_τ(x)^fτ로 인수 분해되고,
상기 계수 계산부는, Π_τ=1 ^md_τ(x)^κτ가 (a₀(x)＋Σ_i∈Iα_ia_i(x))를 완전히 나눌 수 있도록 함과 아울러, Π_τ=1 ^md_τ(x)^fτ－κτ가 (b₀(x)＋Σ_i∈Iβ_ib_i(x))를 완전히 나눌 수 있도록 하는 계수 α_i 및 계수 β_i와 차수 κ_τ를 계산하고,
상기 복호부는, 상기 계수 α_i 및 상기 계수 β_i와, 상기 차수 κ_τ에 근거하여, 상기 암호문을 복호하는 것을 특징으로 하는 암호 시스템.
제 3 항 또는 제 4 항에 있어서,
상기 속성 정보는, t=1,. . ., d(d는 1 이상의 정수)가 적어도 일부의 정수 t에 대한 속성 벡터 x^→ _t를 포함하고,
상기 술어 정보는, i=1,. . ., L의 각 정수 i에 대한 식별자 t와 술어 벡터 v^→ _i의 세트 (t, v^→ _i)를 포함하고,
상기 다항식 선택부는, i=1,. . ., L의 각 정수 i에 대한 상기 세트 (t, v^→ _i)에 대해, 그 세트의 술어 벡터 v^→ _i와 그 세트의 식별 정보 t에 대한 속성 벡터 x^→ _t의 내적이 0으로 되는지 여부에 따라, 정수 i를 상기 집합 I에 포함하는지 여부를 판정하는 것을 특징으로 하는 암호 시스템.
제 5 항에 있어서,
상기 세트 (t, v^→ _i)는, 긍정형과 부정형 중 어느 하나에 대응지여져 있고,
상기 다항식 선택부는, 상기 세트 (t, v^→ _i)가 긍정형에 대응지어져 있는 경우, 상기 내적이 0으로 된다면, 정수 i를 상기 집합 I에 포함하고, 상기 세트 (t, v^→ _i)가 부정형에 대응지어져 있는 경우, 상기 내적이 0으로 되지 않으면, 정수 i를 상기 집합 I에 포함하는 것을 특징으로 하는 암호 시스템.
제 2 항 내지 제 6 항 중 어느 한 항에 있어서,
상기 다항식 d(x)는, τ=1,. . ., m(m은 1 이상의 정수)의 다항식 d_τ(x)^fτ로 인수 분해되고,
상기 제 1 정보는, 다항식 d_τ(x)^fτ마다, 그 다항식 d_τ(x)^fτ에 의해 얻어지는 정보가 설정된 요소를 포함하고,
상기 복호부는, 상기 계수 Δ_i와 상기 요소에 근거하여, 상기 암호문을 복호하는 것을 특징으로 하는 암호 시스템.
제 7 항에 있어서,
상기 제 1 정보는, 다항식 d_τ(x)^fτ마다, κ=0,. . ., f_τ의 각 정수 κ와, i=0,. . ., L의 각 정수 i에 대해서, 다항식 d_τ(x)^κ로 다항식 a_i(x)를 나눈 나머지를 설정한 요소와, 다항식 d_τ(x)^fτ－κ로 다항식 b_i(x)를 나눈 나머지를 설정한 요소를 포함하는 것을 특징으로 하는 암호 시스템.
제 7 항에 있어서,
상기 제 1 정보는, 다항식 d_τ(x)^fτ마다, 소정의 값 γ을 대입한 값을 설정한 요소를 포함하는 것을 특징으로 하는 암호 시스템.
제 7 항 내지 제 9 항 중 어느 한 항에 있어서,
상기 복호부는, 상기 계수 Δ_i에 근거하여, 상기 요소에 대해 소정의 연산을 행함으로써, 상기 다항식 d_τ(x)^fτ에 의해 얻어지는 정보를 0으로 하여, 상기 암호문을 복호하는 것을 특징으로 하는 암호 시스템.
암호화 장치가, 2차 스팬 프로그램을 포함하는 제 1 정보와, 속성 정보를 포함하는 제 2 정보 중 한쪽을 암호문으로 하여 생성하는 암호화 공정과,
복호 장치가, 상기 제 1 정보와 상기 제 2 정보 중 다른쪽을 복호 키로 하여, 상기 2차 스팬 프로그램이 상기 속성 정보를 수리하는 경우에 상기 2차 스팬 프로그램과 상기 속성 정보로부터 얻어지는 정보에 근거하여, 상기 암호문을 복호하는 복호 공정을 구비하는
것을 특징으로 하는 암호 방법.
2차 스팬 프로그램을 포함하는 제 1 정보와, 속성 정보를 포함하는 제 2 정보 중 한쪽을 암호문으로서 생성하는 암호화 처리와,
상기 제 1 정보와 상기 제 2 정보 중 다른쪽을 복호 키로 하여, 상기 2차 스팬 프로그램이 상기 속성 정보를 수리하는 경우에 상기 2차 스팬 프로그램과 상기 속성 정보로부터 얻어지는 정보에 근거하여, 상기 암호문을 복호하는 복호 처리를 컴퓨터에게 실행하게 하는
것을 특징으로 하는 암호 프로그램.
2차 스팬 프로그램을 포함하는 제 1 정보와, 속성 정보를 포함하는 제 2 정보 중 한쪽을 암호문으로 하고, 다른쪽을 복호 키로 하여 취득하는 정보 취득부와,
상기 정보 취득부가 취득한 제 1 정보에 포함되는 2차 스팬 프로그램이 제 2 정보에 포함되는 속성 정보를 수리하는 경우에 상기 2차 스팬 프로그램과 상기 속성 정보로부터 얻어지는 정보에 근거하여, 상기 암호문을 복호하는 복호부를 구비하는
것을 특징으로 하는 복호 장치.