WO2004051920A1 - 鍵共有システム、共有鍵生成装置及び共有鍵復元装置 - Google Patents

Abstract

暗号装置と復号装置との間で異なる鍵の導出を防止するコンテンツ配信システムを提供する。　暗号装置１１０の乱数生成部１１２は、乱数ｓを生成し、第１関数部１１３は、乱数ｓの関数値Ｇ（ｓ）を生成し、関数値Ｇ（ｓ）から乱数値ｕと共有鍵Ｋとを生成し、暗号化部１１４は、公開鍵多項式ｈと乱数値ｕを用いて乱数ｓの第１暗号文ｃ１を生成する。　復号装置１２０の復号化部１２３は、秘密鍵多項式ｆを用いて、第１暗号文ｃ１を復号して復号乱数ｓ'を生成し、第２関数部１２６は、復号乱数ｓ'の関数値Ｇ（ｓ'）を生成し、関数値Ｇ（ｓ'）から乱数値ｕ'と共有鍵Ｋ'とを生成し、比較部１２７は、乱数値ｕ'と共有鍵Ｋ'とを用いて、第１再暗号文ｃ１'を生成し、第１暗号文ｃ１と第１再暗号文ｃ１'とが一致すれば、共有鍵Ｋ'を出力する。　

Description

明 細 書

鍵共有システム、 共有鍵生成装置及び共有鍵復元装置 技術分野

本発明は、 情報セキュリティ技術としての暗号技術に関し、 特に、 第 三者に知られることなく、 鍵を配送する技術に関する。 背景技術 '

従来より、 送信装置から受信装置へ情報を秘密に送信するために、 公 開鍵暗号方式が用いられる。

公開鍵暗号方式では、 送信装置は、 通信内容を受信装置の公開鍵を用 いて暗号化して送信し、 受信装置は、 暗号化された通信内容を受信し、 受信した通信内容を自身の秘密鍵を用いて復号して元の通信内容を得る。

(例えば、 非特許文献 1参照） 。

1 99 6年、 高速処理が可能な公開鍵暗号として、 NTRU暗号が提 案された （例えば、 非特許文献 2参照） 。 NTRU暗号では、 高速に演 算可能な多項式演算を用いて暗号化と復号化とを行うので、 べき乗演算 を行う R S A暗号や楕円曲線上の点のスカラ倍演算を行う楕円曲線暗号 と比較すると、 これらの従来の公開鍵暗号よりもソフ ト ウェアにより高 速に処理することが可能である。

しかし、 この NTRU暗号では、 公開鍵を用いて平文を暗号化して暗 号文を生成し、 正規の秘密鍵を用いて暗号文を復号して復号文を生成す る際に、 復号文が元の平文と異なる場合が発生する。 このことを復号ェ ラーが発生するという。 なお、 復号エラーを回避する方法として、 平文 に付加情報を付加して暗号化し、 平文のハッシュ関数値と共に送信する 方法が開示されている （例えば、 特許文献 1参照） 。

一方で、 近年、 公開鍵暗号の新しい概念として、 鍵カプセル化メカ二 ズム (K e y E n c a p s u l a t i o n M e c h a n i s m s と呼ばれる方式が提案されている （例えば、 非特許文献 3参照） 。 この 鍵カプセル化メ カニズムは、 公開鍵暗号を用いて送信装置と受信装置と の間で共有鍵を配送するアルゴリ ズムであり、 送信装置は、 暗号化アル ゴリズム Eに受信者の公開鍵 p kを入力して暗号文 Cと共有鍵 Kを生成 し、 暗号文 Cを受信装置に伝送する。 次に、 受信装置は、 復号アルゴリ ズム Dに、 秘密鍵 s kと暗号文 Cを入力して送信装置と同じ共有鍵 Kを 求める。

このようにして鍵カプセル化メ力二ズムを用いて共有鍵 Kを送信装置 と受信装置とで共有した後に、 送信装置は、 受信装置へ送信すべき平文 を、共有鍵 Kを用いて共通鍵暗号方式により暗号化して暗号文を生成し、 生成した暗号文を受信装置へ送信する。 受信装置は、 暗号文を受信し、 受信した暗号文を共有鍵 Kを用いて前記共通鍵暗号方式により復号して 復号文を生成する。

鍵カプセル化メ力ニズムでは、 送信者から受信者に一方的に情報の送 信が行われていながら、送信者が作為的に共有鍵を作成できず、送信者に よる不正が抑制されている点が従来にない特徴である。

このような鍵カプセル化メカニズムの一例として、 R S A— KEMと 呼ばれるァルゴリズムが開示されている（例えば、非特許文献 3参照。）。 以下に、 この非特許文献 3に記載されている R S A— K E Mァルゴリズ ムについて説明する。

( 1 ) R S A— KEMのシステムパラメータ

R SA— KEMは、 以下のシステムパラメータを持つ。

• ノヽッシュ関数 ： G

なお、 ハッシュ関数については、 非特許文献 1 に詳細に記述されてい るので、 こ こでは説明を省略する。

(2) R S A— KEMの公開鍵と秘密鍵

' 素数 p、 qを選び、 n = p ' qを生成する。

• (P - 1 ) と （q— 1 ) の最小公倍数を計算し、 計算結果を Lとす る。

' ランダムに、 Lと互いに素である eを選ぶ。 eは、 Z Lの要素であ る。

d = 1 / e mo d Lを計算する。 ここで、 Z Lは、 {0， 1， 2 L - 1 } からなる集合であ る。

• 公開鍵 P kを （e, n) とし、 秘密鍵 s kを （d, n) とする。

(3) R S A— KEMの暗号化

暗号化時には、 以下に述べる暗号化アルゴリ ズム K e mEに公開鍵 p kを入力して共有鍵 Kと暗号文 Cとを出力する。 以下に暗号化ァルゴリ ズム K e m Eについて説明する。

• Z nの要素 sをランダムに生成する。

ここで、 Z nは、 {0， 1 , 2 n - 1 } からなる集合であ る。

• K = G ( s ) を生成する。

• C = s ^Λ e m o d nを生成する。 こ こで「 ^Λ」 はべき乗を表す。 • 共有鍵 Κと暗号文 Cとを出力する。

(4) R S A— ΚΕΜの復号化

復号化時には、 以下に述べる復号アルゴリ ズム K e mDに、 暗号文 C と秘密鍵 s kとを入力して共有鍵 Kを出力する。 以下に復号ァルゴリズ ム K e mDについて説明する。

- s = C ^Λ d m o d nを生成する。

• G ( s ) を生成し、 K=G ( s ) とする。

· 共有鍵 Kを出力する。

この R S A— KEMアルゴリ ズムを、 送信装置と受信装置との間で暗 号化通信を行う暗号システムに応用した場合、 まず、 送信装置は、 通信 先である受信装置の公開鍵 P kを取得し、 取得した公開鍵 p kを前述の 暗号化ァルゴリズム K e mEに入力して共有鍵 Kと暗号文 Cとを導出し て、 暗号文 Cを受信装置へ送信する。 次に、 受信装置は、 送信装置から 暗号文 Cを受信し、 受信した暗号文 Cと自身が有する秘密鍵 s kとを前 述の復号ァルゴリズム K e mDに入力して、 送信装置が導出したものと 等しい共有鍵 Kを導出する。

以上説明したように、 R S A— K E Mアルゴリズムにおいては、 暗号 化アルゴリ ズム K e m Eにより、 ランダムに生成した要素 sを公開鍵 p kを用いて暗号化して暗号文 Cを生成し、 次に、 復号アルゴリズム K e mDにより、 暗号文 Cから秘密鍵 s kを用いて復号化して、 暗号化アル ゴリズム e mEにおいて生成されたランダムな要素 sを求める。 暗， 化アルゴリズム K e m E及ぴ復号ァルゴリズム K e m Dの両方において、 同一のハッシュ関数 Gに同じ sの値が入力されるので、 それぞれにおい て、 同じ共有鍵 Kを導出することができる。

この結果、 秘密鍵 s kを有する受信装置は、 送信装置が導出したもの と同じ共有鍵 Kを導出できることになる。

一方で、 秘密鍵 s kを知らない他の受信装置は、 たとえ公開鍵 p kを 取得して暗号文 Cを受信したとしても、 秘密鍵 s kを知らないので暗号 文 Cから要素 sを求めることができず、 送信装置が導出したものと同じ 共有鍵 Kを導出できない。

よって、 送信装置と受信装置とは、 共有鍵 Kを秘密に共有することが でき、 この後、 送信装置は、 受信装置へ通信する通信内容データを、 共 有鍵 Kを用いて共通鍵暗号方式により暗号化して暗号文を生成して送信 し、 受信装置は、 暗号文を受信し、 同じ共有鍵 Kを用いて、 同じ共通鍵 暗号方式により受信した暗号文を復号して元の通信内容データを得るこ とができる。

(特許文献 1 )

特開 200 2— 2526 1 1号公報

(非特許文献 1 )

岡本龍明、 山本博資、 「現代暗号」 、 シリーズノ情報科学の数学、 産業図書、 1997.

(非特許文献 2)

Jeffery Hoff stein, Jill Pipher, and Joseph H.

Silverman, "NTRU: A ring based public key cryptosystem" , Lecture Notes in Computer Science, 1423, pp.267-288,

Springer-Ver lag, 1998.

(非特許文献 3)

Victor Shoup, "A proposal for an ISO standard for public key encryption (version 2.1)"、 [online]、 2001年 12月 20 日、 [2002年 9月 29日検索]、 イ ンタ一ネッ トく URL:

ttp://shoup. net/papers/iso-2_l. pdf >

(発明が解決しょうとする課題）

上述したように、 R S A— KEMアルゴリ ズムでは、 暗号文 Cから秘 密鍵を知らなければ導出できない要素 sをハッシュ関数 Gに入力して共 有鍵 Kを導出するようにしている。 従って、 秘密鍵を知らなければその 共有鍵 Kを導出できない。

しかしながら、 NT RU暗号を用いて、 鍵カプセル化メカニズムであ る R S A— KEMアルゴリズムを適用して共有鍵の配送を行おうとする 際に、 NT RU暗号において復号エラーが発生した場合、 秘密鍵を用い ても要素 sが正しく導出できないので、正しい共有鍵 Kを導出できない。 このため、 送信装置と受信装置との間で異なる共有鍵が導出される場合 があり、 従って、 送信装置から受信装置への確実な暗号化通信ができな いという問題点がある。 発明の開示

そこで、 本発明は上記の問題点を解決するために、 共有鍵生成装置と 共有鍵復元装置との間で異なる共有鍵が導出されるのを防止できる鍵共 有システム、 共有鍵生成装置、 共有鍵復元装置、 共有鍵生成方法、 共有 鍵復元方法、 共有鍵生成プログラム及び共有鍵復元プログラムを提供す ることを目的とする。

上記目的を達成するために、 第 3者に知られることなく共有鍵を生成 する共有鍵生成装置及び共有鍵復元装置から構成される鍵共有システム であって、 前記共有鍵生成装置は、 シー ド値を生成するシー ド値生成手 段と、 生成された前記シ一ド値からブライ ン ド値及び共有鍵を生成する 第 1共有鍵生成手段と、 生成された前記ブライ ン ド値に基づいて、 生成 された前記シード値を暗号化して、暗号化情報を生成する暗号化手段と、 生成された暗号化情報を送信する送信手段とを備え、 前記共有鍵復元装 置は、 前記暗号化情報を受信する受信手段と、 受信された前記暗号化情 報を復号して復号シ一ド値を生成する復号手段と、 前記第 1共有鍵生成 手段と同一の方法により、 生成された前記復号シ一ド値から復号ブライ ン ド値及ぴ復号共有鍵を生成する第 2共有鍵生成手段と、 生成された前 記復号ブライン ド値に基づいて、 生成された前記復号シ一ド値を暗号化 して、 再暗号化情報を生成する再暗号化手段と、 受信された前記暗号化 情報と生成された前記再暗号化情報とに基づいて、 前記復号共有鍵を出 力するか否かを判断する判断手段と、 出力すると判断される場合に、 生 成された前記復号共有鍵を出力する出力手段とを備える。

この構成によると、 共有鍵生成装置は、 生成された前記シー ド値を暗 号化して、 暗号化情報を生成して送信し、 共有鍵復元装置は、 受信した 暗号化情報から復号シ一ド値を生成し、 生成された前記復号シ一ド値を 再度暗号化して、 再暗号化情報を生成し、 受信された前記暗号化情報と 再度生成された前記再暗号化情報とに基づいて、 前記復号共有鍵を出力 するか否かを判断するので、 共有鍵生成装置により生成された共有鍵と 共有鍵復元装置により生成された復号共有鍵とがー致する場合に、 復号 共有鍵を出力することができる。 言い換えると、 共有鍵生成装置により 生成された共有鍵と共有鍵復元装置により生成された復号共有鍵とがー 致しない場合に、 復号共有鍵を出力しないようにすることができるとい う効果がある。

これは、 前記共有鍵復元装置は、 前記共有鍵生成装置と同一の方法に より、 生成された前記復号シード値から復号ブライ ン ド値を生成し、 生 成された前記復号ブライ ン ド値に基づいて、 生成された前記復号シ一 ド 値を暗号化するので、 前記共有鍵復元装置の前記復号手段において、 正 しく復号シ一 ド値が生成されるならば、 前記共有鍵復元装置により生成 される再暗号化情報と、 前記共有鍵生成装置により生成される暗号化情 報とが同一であると期待できるためである。

また、 前記共有鍵生成装置は、 前記シード値から共有鍵及びブライ ン ド値を生成し、 生成された前記ブライン ド値に基づいて、 生成された前 記シード値を暗号化するので、 シー ド値を攪乱することができるという 効果がある。 こ こで、 前記共有鍵生成装置は、 さ らに、 コ ンテンツを取得する取得 手段と、 生成された前記共有鍵を用いて、 取得されたコンテンツを暗号 化して、 暗号化コ ンテンツを生成する暗号化手段とを備え、 前記送信手 段は、 さらに、 生成された前記暗号化コ ンテンツを送信し、 前記受信手 段は、 さらに、前記暗号化コンテンッを受信し、前記共有鍵復元装置は、 さらに、 出力された前記復号共有鍵を用いて、 受信された前記暗号化コ ンテンッを復号して、 復号コ ンテンツを生成する復号手段と、 生成され た復号コンテンッを出力する出力手段とを備える。

この構成によると、 共有鍵生成装置は、 生成された前記共有鍵を用い て、 取得されたコ ンテンツを暗号化して、 暗号化コ ンテンツを生成し、 前記共有鍵復元装置は、 出力された前記復号共有鍵を用いて、 受信され た前記暗号化コンテンッを復号して、 復号コンテンッを生成するので、 第三者に知られることなく、 共有鍵生成装置から共有鍵復元装置へコン テンッを送信することができるという効果がある。

また、 本発明は、 第 3者に知られることなく共有鍵を相手の装置へ伝 える共有鍵生成装置であって、シー ド値を生成するシード値生成手段と、 生成された前記シー ド値からブライン ド値及び共有鍵を生成する共有鍵 生成手段と、 生成された前記ブライン ド値に基づいて、 生成された前記 シー ド値を暗号化して、 暗号化情報を生成する暗号化手段と、 生成され た暗号化情報を送信する送信手段とを備える。

この構成によると、 前記共有鍵生成装置は、 前記シード値からブライ ンド値を生成し、 生成された前記ブライ ン ド値に基づいて、 生成された 前記シ一ド値を暗号化するので、 シー ド値を攪乱することができるとい う効果がある。

こ こで、 前記共有鍵生成手段は、 前記シー ド値に一方向性関数を施し て、 関数値を生成し、 生成した関数値から前記ブライ ン ド値及び前記共 有鍵を生成し、 前記暗号化手段は、 公開鍵を取得する公開鍵取得部と、 取得された前記公開鍵と生成された前記ブライ ン ド値とを用いて、 生成 された前記シー ド値に公開鍵暗号化アルゴリズムを施して、 前記暗号化 情報として暗号化シード値を生成する公開鍵暗号化部と含む。 この構成によると、 前記共有鍵生成装置は、 前記シード値に一方向性 関数を施して、 関数値を生成し、 生成した関数値から前記ブライ ン ド値 及び前記共有鍵を生成するので、 暗号化情報を受け取った相手の装置に おいて、同一の方法により、相手の装置により復号されたシード値から、 前記ブライン ド値及び前記共有鍵と、 それぞれ同じブライ ン ド値及び共 有鍵を生成することができると期待できる。

また、 前記共有鍵生成装置は、 公開鍵を取得し、 取得された前記公開 鍵を用いて、 前記シード値に公開鍵暗号化アルゴリズムを施して、 前記 暗号化情報を生成するので、 より安全性の高い公開鍵暗号化方式を採用 することができる。

ここで、 前記公開鍵暗号化アルゴリズムは、 N T R U暗号方式による ものであり、 前記公開鍵取得部は、 前記公開鍵として、 N T R U暗号方 式の鍵生成アルゴリズムにより生成された公開鍵多項式を取得し、 前記 公開鍵暗号化部は、 前記シー ド値からシー ド値多項式を生成し、 前記ブ ライ ン ド値からブライ ン ド値多項式を生成し、 N T R U暗号方式の暗号 化アルゴリズムにより、 前記公開鍵多項式を鍵と して用い、 前記シー ド 値多項式を攪乱するために前記ブライ ン ド値多項式を用いて、 前記シー ド値多項式を暗号化して、 前記暗号化シー ド値と して暗号化シー ド値多 項式を生成し、 前記送信手段は、 前記暗号化シー ド値として、 生成され た前記暗号化シード値多項式を送信する。

この構成によると、 公開鍵暗号化アルゴリズムとして、 N T R U暗号 アルゴリズムを採用することができる。

ここで、 前記暗号化手段は、 公開鍵を取得する公開鍵取得部と、 ブラ イン ド値を生成し、 取得された前記公開鍵と生成された前記ブライ ン ド 値とを用いて、 生成された前記シード値に公開鍵暗号化アルゴリズムを 施して、 公開鍵暗号文を生成する公開鍵暗号化部と、 生成された前記シ 一ド値、 前記ブライ ン ド値及び前記共有鍵のいずれか 1以上に第 2—方 向性関数を施して第 2関数値を生成する関数部とを含み、 前記暗号化手 段は、 前記公開鍵暗号文及び前記第 2関数値を含む前記暗号化情報を生 成する。 この構成によると、 共有鍵生成装置は、 生成された前記シー ド値に第

2—方向性関数を施して第 2関数値を生成し、 前記第 2関数値を含む前 記暗号化情報を送信するので、 相手の装置において、 再暗号化をするこ となく、 第 2関数値を用いて、 復号共有鍵の出力判断を行うことができ る。

ここで、 前記共有鍵生成手段は、 前記シー ド値に一方向性関数を施し て、 関数値を生成し、 生成した関数値から前記プライ ン ド値及び前記共 有鍵を生成する。

この構成によると、 シード値に第 1一方向性関数を施して得られた第 1関数値から前記共有鍵を生成するので、 シー ド値が暴露された場合で あっても、 共有鍵の推定が容易でない。

ここで、 前記共有鍵生成手段は、 前記ブライ ン ド値及び前記共有鍵の 生成に代えて、 前記シー ド値に第 1一方向性関数を施して、 第 1関数値 を生成し、 生成した第 1 関数値から前記共有鍵を生成する。

この構成によると、 シー ド値に第 1一方向性関数を施して得られた第 1関数値から前記共有鍵を生成するので、 シ一ド値が暴露された場合で あっても、 共有鍵の推定が容易でない。

ここで、 前記公開鍵暗号化アルゴリ ズムは、 N T R U暗号方式による ものであり、 前記公開鍵取得部は、 前記公開鍵として、 N T R U暗号方 式の鍵生成アルゴリ ズムにより生成された公開鍵多項式を取得し、 前記 公開鍵暗号化部は、 前記シー ド値からシー ド値多項式を生成し、 前記ブ ライ ン ド値からブライン ド値多項式を生成し、 N T R U暗号方式の暗号 化アルゴリ ズムにより、 前記公開鍵多項式を鍵と して用い、 前記シー ド 値多項式を攪乱するために前記ブライ ン ド値多項式を用いて、 前記シー ド値多項式を暗号化して、 前記公開鍵暗号文として暗号化シー ド値多項 式を生成し、 前記暗号化手段は、 前記公開鍵暗号文としての前記暗号化 シ一 ド値多項式及び前記第 2関数値を含む前記暗号化情報を生成する。 この構成によると、 公開鍵暗号化アルゴリズムとして、 N T R U暗号 アルゴリズムを採用することができる。

こ こで、 前記共有鍵生成手段は、 前記シー ド値に一方向性関数を施し て、 関数値を生成し、 生成した関数値から検証値、 前記ブライ ン ド値及 ぴ前記共有鍵を生成し、 前記暗号化手段は、 公開鍵を取得する公開鍵取 得部と、 取得された前記公開鍵と生成された前記ブライン ド値とを用い て、 生成された前記検証値に公開鍵暗号化アルゴリ ズムを施して、 第 1 暗号文を生成する第 1暗号化部と、 生成された前記検証値に基づいて、 生成された前記シー ド値に他の演算アルゴリ ズムを施して、 第 2暗号文 を生成する第 2暗号化部とを含み、 前記暗号化手段は、 前記第 1暗号文 及び前記第 2暗号文を含む前記暗号化情報を生成する。

この構成によると、 共有鍵生成装置は、 取得された前記公開鍵と生成 された前記ブライ ン ド値とを用いて、 生成された前記検証値に公開鍵暗 号化アルゴリ ズムを施して、 第 1暗号文を生成し、 生成された前記検証 値に基づいて、 生成された前記シ一ド値に他の演算アルゴリズムを施し て、 第 2暗号文を生成し、 前記第 1暗号文及び前記第 2暗号文を含む前 記暗号化情報を送信する。 このように、 2段階のアルゴリズムを用いる ので、 前記第 1暗号文及び前記第 2暗号文が攻撃されて解読される確率 を低くすることができる。

こ こで、 前記公開鍵暗号化アルゴリ ズムは、 N T R U暗号方式による ものであり、 前記公開鍵取得部は、 前記公開鍵として、 N T R U暗号方 式の鍵生成アルゴリズムにより生成された公開鍵多項式を取得し、 前記 第 1暗号化部は、 前記検証値から検証値多項式を生成し、 前記ブライ ン ド値からブライン ド値多項式を生成し、 N T R U暗号方式の暗号化アル ゴリズムにより、 前記公開鍵多項式を鍵として用い、 前記検証値多項式 を攪乱するために前記ブライン ド値多項式を用いて、 前記検証値多項式 を暗号化して、 前記第 1暗号文として暗号化検証値多項式を生成し、 前 記暗号化手段は、 前記第 1.暗号文としての前記暗号化検証値多項式及び 前記第 2暗号文を含む前記暗号化情報を生成する。

この構成によると、 公開鍵暗号化アルゴリ ズムとして、 N T R U暗号 アルゴリズムを採用することができる。

こ こで、 前記他の演算アルゴリ ズムは、 共通鍵暗号化アルゴリ ズムで あり、 前記第 2暗号化部は、 前記検証値を鍵として用いて、 前記シー ド 値に共通鍵暗号化アルゴリズムを施して、 前記第 2暗号文を生成する。 また、 前記他の演算アルゴリ ズムは、 排他的論理和であり、 前記第 2 暗号化部は、 前記検証値と前記シード値とに、 排他的論理和を施して、 前記第 2暗号文を生成する。

また、 前記他の演算アルゴリズムは、 加算であり、 前記第 2暗号化部 は、 前記検証値と前記シー ド値とに、 加算を施して、 前記第 2暗号文を 生成する。

また、 前記他の演算アルゴリズムは、 乗算であり、 前記第 2暗号化部 は、 前記検証値と前記シー ド値とに、 乗算を施して、 前記第 2暗号文を 生成する。

これらの構成によると、 他の演算アルゴリズムとして、 共通鍵暗号化 アルゴリズム、 排他的論理和、 加算及び乗算を採用することができる。 こ こで、 前記シー ド値生成手段は、 乱数を生成し、 生成した乱数を前 記シー ド値とする。

この構成によると、 共有鍵生成装置は、 乱数を生成し、 生成した乱数 を前記シー ド値とするので、 シー ド値を生成し、 ブライ ン ド値及び共有 鍵を生成し、暗号化情報を生成し、前記暗号化情報を送信した後、次に、 シード値を生成する際に、最初に生成されたシー ド値とは異なるように、 後のシー ド値を生成することができる。 従って、 共有鍵生成装置により 送信される暗号化情報は、 毎回異なるものとなる。 このため、 不正な第 三者が、 共有鍵生成装置から相手の装置へ送信される暗号化情報をその 都度、 盗聴し、 記録したとしても、 記録している各暗号化情報から元の シ一ド値を類推することは困難である。

こ こで、 前記共有鍵生成手段は、 前記シー ド値に一方向性関数を施し て、 関数値を生成し、 生成した関数値から前記ブライ ン ド値及び前記共 有鍵を生成する。

この構成によると、 共有鍵生成装置は、 前記シード値に一方向性関数 を施して、 関数値を生成し、 生成した関数値から前記ブライ ン ド値及び 前記共有鍵を生成するので、 暗号化情報を受け取った相手の装置におい て、 同一の方法により、 相手の装置により復号されたシード値から、 前 記ブライ ン ド値及び前記共有鍵と、 それぞれ同じブライ ン ド値及び共有 鍵を生成することができると期待できる。

こ こで、 前記一方向性関数は、 ハッ シュ関数であり、 前記共有鍵生成 手段は、 前記シー ド値にハッ シュ関数を施す。

この構成によると、 共有鍵生成装置は、 前記シード値にハッシュ関数 を施すので、 確実に関数値を得ることができる。

こ こで、 前記共有鍵生成手段は、 生成した関数値の一部を前記ブライ ン ド値とし、 他の一部を前記共有鍵とするこ とによ り、 前記ブライ ン ド 値及び前記共有鍵を生成する。

この構成によると、 共有鍵生成装置は、 生成した関数値の一部を前記 ブライン ド値とし、 他の一部を前記共有鍵とするので、 関数値から確実 に、 前記ブライ ン ド値及び前記共有鍵を得ることができる。

こ こで、 前記共有鍵生成装置は、 さらに、 コ ンテンツを取得する取得 手段と、 生成された前記共有鍵を用いて、 取得したコ ンテンツを暗号化 して、 暗号化コンテンツを生成する暗号化手段とを備え、 前記送信手段 は、 さ らに、 生成された前記暗号化コ ンテンツを送信する。

この構成によると、 共有鍵生成装置は、 生成された前記共有鍵を用い て、 取得されたコ ンテンツを暗号化して、 暗号化コンテンツを生成し、 送信するので、 第三者に知られることなく、 相手の装置において復号が 可能なように、 コ ンテンツを送信することができる。

また、 本発明は、 第 3者に知られることなく共有鍵生成装置から共有 鍵を受け取る共有鍵復元装置であって、 前記共有鍵生成装置は、 シー ド 値を生成し、 生成された前記シー ド値からブライ ン ド値及び共有鍵を生 成し、 生成された前記ブライ ン ド値に基づいて、 生成された前記シー ド 値を暗号化して、 暗号化情報を生成し、 生成された前記暗号化情報を送 信し、 前記共有鍵復元装置は、 前記暗号化情報を受信する受信手段と、 受信した前記暗号化情報を復号して復号シ一ド値を生成する復号手段と、 前記共有鍵生成装置による共有鍵生成方法と同一の方法により、 生成さ れた前記復号シ一ド値から復号ブライ ン ド値及び復号共有鍵を生成する 共有鍵生成手段と、 生成された前記復号ブライ ン ド値に基づいて、 生成 された前記復号シ一ド値を暗号化して、 再暗号化情報を生成する再暗号 化手段と、 受信された前記暗号化情報と生成された前記再暗号化情報と に基づいて、 前記復号共有鍵を出力するか否かを判断する判断手段と、 出力すると判断される場合に、 生成された前記復号共有鍵を出力する出 力手段とを備える。

この構成によると、 共有鍵復元装置は、 受信した暗号化情報から復号 シー ド値を生成し、 生成された前記復号シード値を再度暗号化して、 再 暗号化情報を生成し、 受信された前記暗号化情報と再度生成された前記 再暗号化情報とに基づいて、 前記復号共有鍵を出力するか否かを判断す るので、 共有鍵生成装置により生成された共有鍵と共有鍵復元装置によ り生成された復号共有鍵とがー致する場合に、 復号共有鍵を出力するこ とができる。 言い換えると、 共有鍵生成装置により生成された共有鍵と 共有鍵復元装置により生成された復号共有鍵とがー致しない場合に、 復 号共有鍵を出力しないようにすることができるという効果がある。

ここで、 前記共有鍵生成装置は、 前記シー ド値に一方向性関数を施し て、 関数値を生成し、 生成された関数値から前記ブライン ド値及び前記 共有鍵を生成し、 公開鍵を取得し、 取得された前記公開鍵と生成された 前記ブライ ン ド値とを用いて、 生成された前記シー ド値に公開鍵暗号化 アルゴリズムを施して、 前記暗号化情報として前記暗号化シー ド値を生 成し、 前記暗号化シード値を送信し、 前記受信手段は、 前記暗号化情報 ,と して前記暗号化シード値を受信し、 前記復号手段は、 前記公開鍵に対 応する秘密鍵を取得する秘密鍵取得部と、 取得された秘密鍵を用いて、 受信された前記暗号化シ一 ド値に、 前記公開鍵暗号化アルゴリズムに対 応する公開鍵復号アルゴリズムを施して、 前記復号シ一ド値を生成する 公開鍵復号部とを含み、 前記共有鍵生成手段は、 生成された前記復号シ — ド値に前記一方向性関数を施して、 復号関数値を生成し、 生成した前 記復号関数値から前記復号ブライ ン ド値及び前記復号共有鍵を生成し、 前記再暗号化手段は、 前記公開鍵を取得する公開鍵取得部と、 取得され た前記公開鍵と生成された前記復号ブライン ド値とを用いて、 生成され た前記復号シー ド値に前記公開鍵暗号化アルゴリズムを施して、 前記再 暗号化情報として、 前記再暗号化シ一 ド値を生成する再暗号化部とを含 み、 前記判断手段は、 受信された前記暗号化シー ド値と生成された前記 再暗号化シー ド値とがー致するか否かを判断し、 一致する場合に、 前記 復号共有鍵を出力すると判断する。

この構成によると、 共有鍵復元装置は、 暗号化シー ド値と再暗号化シ ード値とがー致するか否かを判断し、 一致する場合に、 前記復号共有鍵 を出力すると判断するので、出力判断が確実に行えるという効果がある。 ここで、 前記公開鍵暗号化ァルゴリズム及び前記公開鍵復号ァルゴリ ズムは、 N T R U暗号方式によるものであり、 前記共有鍵生成装置は、 前記公開鍵と して、 N T R U暗号方式の鍵生成アルゴリ ズムにより生成 された公開鍵多項式を取得し、 前記シー ド値からシー ド値多項式を生成 し、 前記ブライン ド値からブライ ン ド値多項式を生成し、 N T R U暗号 方式の暗号化ァルゴリズムにより、 前記公開鍵多項式を鍵として用い、 前記シード値多項式を攪乱するために前記ブライ ン ド値多項式を用いて、 前記シード値多項式を暗号化して、 前記暗号化シード値として暗号化シ ード値多項式を生成し、 前記暗号化シード値として、 前記暗号化シー ド 値多項式を送信し、 前記受信手段は、 前記暗号化シー ド値として、 前記 暗号化シード値多項式を受信し、 前記秘密鍵取得部は、 前記秘密鍵とし て、 N T R U暗号方式の鍵生成アルゴリズムにより生成された秘密鍵多 項式を取得し、 前記公開鍵復号部は、 取得した前記秘密鍵多項式を鍵と して用いて、 N T R U暗号方式の復号アルゴリ ズムにより、 受信した前 記暗号化シード値多項式を復号して、 復号シー ド値多項式を生成し、 生 成した前記復号シ一ド値多項式から前記復号シ一ド値を生成し、 前記公 開鍵取得部は、 前記公開鍵と して、 前記公開鍵多項式を取得し、 前記再 暗号化部は、 前記復号シー ド値からシー ド値多項式を生成し、 前記復号 プライ ン ド値からブライ ン ド値多項式を生成し、 N T R U暗号方式の暗 号化アルゴリ ズムにより、 前記公開鍵多項式を鍵として用い、 前記シー ド値多項式を攪乱するために前記ブライ ン ド値多項式を用いて、 前記シ ード値多項式を暗号化して、 再暗号化シー ド値多項式を生成し、 前記判 断手段は、 受信した前記暗号化シー ド値多項式と生成した前記再暗号化 シード値多項式とがー致するか否かを判断する。

この構成によると、 公開鍵暗号化ァルゴリズム及び公開鍵復号ァルゴ リズムとして、 N T R U暗号アルゴリズム 採用することができる。 こ こで、 前記共有鍵生成装置は、， 公開鍵を取得し、 プライン ド値を生 成し、取得された前記公開鍵と生成された前記ブライ ン ド値とを用いて、 生成された前記シ一 ド値に公開鍵暗号化アルゴリズムを施して、 公開鍵 暗号文を生成し、 生成された前記シー ド値、 前記プライン ド値及び前記 共有鍵のいずれか 1以上に、 第 2—方向性関数を施して第 2関数値を生 成し、前記公開鍵暗号文及び第 2関数値を含む前記暗号化情報を生成し、 前記暗号化情報を送信し、 前記受信手段は、 前記公開鍵暗号文及び前記 第 2関数値を含む前記暗号化情報を受信し、 前記復号手段は、 前記公開 鍵に対応する秘密鍵を取得する秘密鍵取得部と、 取得された前記秘密鍵 を用いて、 受信された前記暗号化情報に含まれる前記公開鍵暗号文に、 前記公開鍵暗号化ァルゴリズムに対応する公開鍵復号ァルゴリズムを施 して、 復号シード値を生成する公開鍵復号部と、 生成された復号シー ド 値、 前記復号ブライ ン ド値及び前記復号共有鍵のいずれか 1以上に、 前 記第 2—方向性関数を施して復号第 2関数値を生成する関数部とを含み、 前記判断手段は、 前記暗号化情報と前記再暗号化情報とに基づく判断に 代えて、 受信された前記暗号化情報に含まれる前記第 2関数値と、 生成 された前記復号第 2関数値とがー致するか否かを判断し、 一致する場合 に、 前記復号共有鍵を出力すると判断する。 ·

この構成によると、 前記暗号化情報と前記再暗号化情報とに基づく判 断に代えて、 受信された前記暗号化情報に含まれる前記第 2関数値と、 生成された前記復号第 2関数値とがー致するか否かを判断し、 一致する 場合に、 前記復号共有鍵を出力すると判断するので、 出力判断が確実に 行えるという効果がある。

ここで、 前記共有鍵生成装置は、 前記シー ド値に一方向性関数を施し て、 関数値を生成し、 生成した関数値から前記ブライ ン ド値及び前記共 有鍵を生成し、

前記共有鍵生成手段は、 生成された前記復号シー ド値に前記第 1一方 向性関数を施して、 復号関数値を生成し、 生成した前記復号関数値から 前記復号ブライ ン ド値及び前記復号共有鍵を生成する。

この構成によると、 前記復号シ一ド値に前記第 1一方向性関数を施し て得られる復号関数値から前記復号共有鍵を生成するので、 復号シ一ド 値が暴露された場合であっても、 復号共有鍵の推定が容易でない。

こ こで、 前記共有鍵生成装置は、 前記ブライ ン ド値及び前記共有鍵の 生成に代えて、 前記シー ド値に第 1一方向性関数を施して、 第 1 関数値 を生成し、 生成した第 1 関数値から前記共有鍵を生成し、 前記共有鍵生 成手段は、 前記復号プランイ ド値及び前記復号共有鍵の生成に代えて、 · 生成された前記復号シー ド値に前記第 1一方向性関数を施して、 復号関 数値を生成し、生成した前記復号関数値から前記復号共有鍵を生成する。

この構成によると、 前記復号シ一ド値に前記第 1一方向性関数を施し て得られる復号関数値から前記復号共有鍵を生成するので、 復号シ一ド 値が暴露された場合であっても、 復号共有鍵の推定が容易でない。

こ こで、 前記公開鍵暗号化アルゴリ ズム及び前記公開鍵復号アルゴリ ズムは、 N T R U暗号方式によるものであり、 前記共有鍵生成装置は、 前記公開鍵として、 N T R U暗号方式の鍵生成アルゴリズムにより生成 された公開鍵多項式を取得し、 前記シ一 ド値からシー ド値多項式を生成 し、 前記ブライ ン ド値からブライン ド値多項式を生成し、 N T R U暗号 方式の暗号化アルゴリ ズムにより、 前記公開鍵多項式を鍵として用い、 前記シード値多項式を攪乱するために前記ブライ ン ド値多項式を用いて、 前記シー ド値多項式を暗号化して、 前記公開鍵暗号文と して暗号化シー ド値多項式を生成し、 前記公開鍵暗号文としての前記暗号化シ一 ド値多 項式及び前記第 2関数値を含む前記暗号化情報を生成し、 前記秘密鍵取 得部は、 前記秘密鍵として、 N T R U暗号方式の鍵生成アルゴリズムに より生成された秘密鍵多項式を取得し、 前記公開鍵復号部は、 前記公開 鍵暗号文から公開鍵暗号文多項式を生成し、 取得した前記秘密鍵多項式 を鍵として用いて、 N T R U暗号方式の復号アルゴリ ズムにより、 前記 公開鍵暗号文多項式を復号して、 復号シー ド値多項式を生成し、 生成し た前記復号シ一ド値多項式から前記復号シ一ド値を生成する。 この構成によると、 公開鍵暗号化ァルゴリズム及び公開鍵復号ァルゴ リズムとして、 N T R U暗号アルゴリズムを採用することができる。 ここで、 前記共有鍵生成装置は、 前記シー ド値に一方向性関数を施し て、 関数値を生成し、 生成した関数値から検証値、 前記ブライ ン ド値及 び前記共有鍵を生成し、 公開鍵を取得し、 取得された前記公開鍵と生成 された前記ブライ ン ド値とを用いて、 生成された前記検証値に公開鍵暗 号化アルゴリズムを施して、 第 1暗号文を生成し、 生成された前記検証 値に基づいて、 生成された前記シー ド値に他の演算アルゴリズムを施し て、 第 2暗号文を生成し、 前記第 1暗号文及び前記第 2暗号文を含む前 記暗号化情報を生成し、 生成された前記暗号化情報を送信し、 前記受信 手段は、 前記第 1暗号文及び前記第 2暗号文を含む前記暗号化情報を受 信し、 前記復号手段は、 前記公開鍵に対応する秘密鍵を取得する秘密鍵 取得部と、 取得された秘密鍵を用いて、 受信された前記暗号化情報に含 まれている前記第 1暗号文に、 前記公開鍵暗号化アルゴリズムに対応す る公開鍵復号アルゴリ ズムを施して、 復号検証値を生成する公開鍵復号 部と、 生成された復号検証値に基づいて、 受信された前記暗号化情報に 含まれている前記第 2暗号文に、 前記他の演算アルゴリズムの逆演算を 行う演算アルゴリ ズムを施して、 復号シ一ド値を生成する演算復号部と を含み、 ·前記共有鍵生成手段は、 生成された前記復号シ一ド値に前記一 方向性関数を施して、 復号関数値を生成し、 生成した前記復号関数値か ら復号検証値、 前記復号ブライン ド値及び前記復号共有鍵を生成し、 前 記再暗号化手段は、 前記公開鍵を取得する公開鍵取得部と、 取得された 前記公開鍵と生成された前記復号ブライ ン ド値とを用いて、 生成された 前記復号検証値に、 前記公開鍵暗号化アルゴリ ズムを施して、 前記再暗 号化情報を生成する再暗号化部と、 前記判断手段は、 前記暗号化情報に 含まれている前記第 1暗号文と、 生成された前記再暗号化情報とがー致 するか否かを判断し、 一致する場合に、 前記復号共有鍵を出力すると判 断する。

この構成によると、 前記第 1暗号文に、 前記公開鍵暗号化ァルゴリズ ムに対応する公開鍵復号アルゴリ ズムを施して、 復号検証値を生成し、 生成された復号検証値に基づいて、 前記第 2暗号文に、 前記演算アルゴ リズムを施して、 復号シード値を生成する。 このように、 2段階のアル ゴリズムを用いるので、 前記第 1暗号文及び前記第 2暗号文が攻撃され て解読される確率を低くすることができる。

ここで、 前記公開鍵暗号化アルゴリ ズム及び前記公開鍵復号アルゴリ ズムは、 N T R U暗号方式によるものであり、 前記共有鍵生成装置は、 前記公開鍵と して、 N T R U暗号方式の鍵生成アルゴリズムにより生成 された公開鍵多項式を取得し、 前記検証値から検証値多項式を生成し、 前記ブライ ン ド値からブライ ン ド値多項式を生成し、 N T R U暗号方式 の暗号化アルゴリ ズムにより、 前記公開鍵多項式を鍵として用い、 前記 検証値多項式を攪乱するために前記ブライ ン ド値多項式を用いて、 前記 検証値多項式を暗号化して、 前記第 1暗号文として暗号化検証値多項式 を生成し、 前記第 1暗号文としての前記暗号化検証値多項式及び前記第 2暗号文を含む前記暗号化情報を生成し、 前記暗号化情報を送信し、 前 記受信手段は、 前記暗号化検証値多項式及び前記第 2暗号文を含む前記 暗号化情報を受信し、 前記秘密鍵取得部は、 前記秘密鍵と して、 N T R U暗号方式の鍵生成アルゴリズムにより生成された秘密鍵多項式を取得 し、 前記公開鍵復号部は、 前記第 1暗号文から第 1暗号文多項式を生成 し、 取得した前記秘密鍵多項式を鍵と して用いて、 N T R U暗号方式の 復号アルゴリ ズムにより、 前記第 1暗号文多項式を復号して、 復号検証 多項式を生成し、 生成した前記復号検証値多項式から前記復号検証値を 生成し、 前記公開鍵取得部は、 前記公開鍵多項式を取得し、 前記再暗号 化部は、 前記復号検証値から復号検証値多項式を生成し、 前記復号ブラ ィ ン ド値からブライ ン ド値多項式を生成し、 N T R U暗号方式の暗号化 アルゴリ ズムにより、 前記公開鍵多項式を鍵として用い、 前記復号検証 値多項式を攪乱するために前記ブライ ン ド値多項式を用いて、 前記復号 検証値多項式を暗号化して、 前記再暗号化情報として再暗号化検証値多 項式を生成し、 前記判断手段は、 前記第 1暗号文としての前記暗号化検 証値多項式と、 前記再暗号化情報としての前記再暗号化検証値多項式と がー致するか否か判断する。 この構成によると、 公開鍵暗号化ァルゴリズム及び公開鍵復号ァルゴ リズムとして、 N T R U暗号アルゴリズムを採用することができる。 こ こで、 前記他の演算アルゴリ ズムは、 共通鍵暗号化アルゴリ ズムで あり、 前記逆演算を行う前記演算アルゴリ ズムは、 対応する共通鍵復号 アルゴリ ズムであり、 前記演算復号部は、 前記復号検証値を鍵と して用 いて、 前記第 2暗号文に共通鍵復号アルゴリズムを施して、 前記復号シ 一ド値を生成する。

また、 前記他の演算アルゴリズム及び前記逆演算を行う前記演算アル ゴリズムは、 排他的論理和であり、 前記演算復号部は、 前記復号検証値 と前記第 2暗号文とに排他的論理和を施して、 前記復号シー ド値を生成 する。

また、 前記他の演算アルゴリ ズムは、 加算であり、 前記逆演算を行う 前記演算アルゴリ ズムは、 減算であり、 前記演算復号部は、 前記復号検 証値と前記第 2暗号文とに減算を施して、前記復号シ一ド値を生成する。

また、 前記他の演算アルゴリ ズムは、 乗算であり、 前記逆演算を行う 前記演算アルゴリ ズムは、 除算であり、 前記演算復号部は、 前記復号検 証値と前記第 2暗号文とに除算を施して、前記復号シ一ド値を生成する。

これらの構成によると、 逆演算を行う前記演算アルゴリズムとして、 共通鍵復号アルゴリ ズム、 排他的論理和、 減算及び除算を採用するこ と ができる。

こ こで、 前記共有鍵生成手段は、 前記復号シー ド値に一方向性関数を 施して、 関数値を生成し、 生成した関数値から前記復号ブライ ン ド値及 ぴ前記復号共有鍵を生成する。

この構成によると、 シード値に一方向性関数を施して、 関数値を生成 し、 生成した関数値から復号ブライ ン ド値及び復号共有鍵を生成するの で、 共有鍵生成装置と同一の方法を用いることができる。

こ こで、 前記一方向性関数は、 ハッシュ関数であり.、 前記共有鍵生成 手段は、 前記復号シ一ド値にハッシュ関数を施す。

この構成によると、 前記復号シー ド値にハッシュ関数を施すので、 確 実に関数値を得ることができる。 こ こで、 前記共有鍵生成手段は、 生成した関数値の一部を前記復号ブ ライ ン ド値と し、 他の一部を前記復号共有鍵とするこ とによ り、 前記復 号ブライ ン ド値及び前記復号共有鍵を生成する。

この構成によると、 生成した関数値の一部を前記復号ブライン ド値と し、 他の一部を前記復号共有鍵とするので、 関数値から確実に、 前記復 号ブライ ン ド値及び前記復号共有鍵を得ることができる。

ここで、 前記共有鍵生成装置は、 さらに、 コンテンツを取得し、 生成 された前記共有鍵を用いて、 取得したコ ンテンツを暗号化して、 暗号化 コ ンテンツを生成し、 生成された前記暗号化コンテンツを送信し、 前記 共有鍵復号装置は、 さ らに、 前記暗号化コンテンツを受信するコンテン ッ受信手段と、 出力された前記復号共有鍵を用いて、 受信された前記暗 号化コ ンテンツを復号して、 復号コンテンツを生成する復号手段と、 生 成され fこ前記復号コンテンッを再生する再生手段とを備える。

この構成によると、 前記共有鍵復元装置は、 出力された前記復号共有 鍵を用いて、 受信された前記暗号化コ ンテンツを復号して、 復号コンテ ンッを生成するので、 第三者に知られることなく、 共有鍵生成装置から コ ンテンツを受信することができるという効果がある。 図面の簡単な説明

図 1 は、 コンテンツ配信システム 1 0の構成と、 構成要素の間の接続 形態とを示す概念図である。

図 2は、 暗号装置 1 1 0の構成を示すプロック図である。

図 3は、 復号装置 1 2 0の構成を示すプロック図である。

図 4は、 暗号装置 1 1 0及び復号装置 1 2 0の動作を示す処理系統図 である。

図 5は、 暗号装置 1 1 0及び復号装置 1 2 0の動作を示すフローチヤ — トである。

図 6は、 暗号装置 1 1 0 bの構成を示すプロック図である。

図 7は、 復号装置 1 2 0 bの構成を示すプロック図である。

図 8は、 暗号装置 1 1 0 b及ぴ復号装置 1 2 0 bの動作を示す処理系 統図である。

図 9は、 暗号装置 1 1 0 cの構成を示すプロック図である。

図 1 0は、 復号装置 1 2 0 Cの構成を示すプ α ヅク図である。

図 1 1 は、 暗号装置 1 1 0 c及び復号装置 1 2 0 cの動作を示す処理 系統図である。

図 1 2は、 暗号装置 1 1 0 c及ぴ復号装置 1 2 0 cの変形例の動作を 示す処理系統図である。

図 1 3は、 暗号装置 1 1 0 dの構成を示すブ Όック図である。

図 1 4は、 復号装置 1 2 0 dの構成を示すブ Π ヅク図である。

図 1 5は、 暗号装置 1 1 0 d及び復号装置 1 2 0 dの動作を示すフロ 一チヤ一 トである。

図 1 6は、 暗号装置 1 1 0 d及び復号装置 1 2 0 dの動作を示す処理 系統図である。

図 1 7は、 暗号装置 1 1 0 eの構成を示すブ D ヅク図である。

図 1 8は、 復号装置 1 2 0 eの構成を示すブ Π ヅク図である。

図 1 9は、 暗号装置 1 1 0 e及ぴ復号装置 1 2 0 e の動作を示す処理 系統図である。

図 2 0は、 暗号装置 1 1 0 e及ぴ復号装置 1 2 0 eの変形例の動作を 示す処理系統図である 発明を実施するための最良の形態

1 . 実施の形態 1

本発明に係る 1個の実施の形態としてのコ ンテンツ配信システム 1 0 について説明する。 コンテンツ配信システム 1 0は、 N T R U暗号を用 いて鍵カプセル化メ力ニズムによる鍵配送を行って暗号化通信を行う暗 号通信システムである。

1 . 1 N T R U暗号方式

コンテンッ配信システム 1 0において用いる N T R U暗号方式につい て簡単に説明する。 N T R U暗号方式は、 多項式の演算を用いて暗号化 と復号化とを行う公開鍵暗号方式である。 なお、 NT RU暗号方式及び NT RU暗号方式における公開鍵と秘密 鍵との生成方法については、 非特許文献 2に詳しく述べられている。

( 1 ) NTRU暗号方式のシステムパラメータ

NT RU暗号方式においては、 整数のシステムパラメータ、 N、 p、 qが存在し、 後述する暗号装置及ぴ復号装置は、 これらのシステムパラ メータを有している。

上記文献には、 システムパラメータの例と して、 （N, p , q ) = ( 1 07, 3， 64) 、 （N， p , q) = ( 1 67, 3, 1 28) 、 （Ν, Ρ , q) = (503， 3, 2 56 ) の 3つの例が挙げられている。

以降、 本実施の形態では、 システムパラメータ N= l 67として、 説 明を行う。

(2) NTRU暗号方式の多項式演算

NTRU暗号方式は、 上述したように、 多項式の演算により暗号化と 復号化を行う公開鍵暗号方式である。

NTRU暗号方式で扱う多項式は、上記システムパラメータ Nに対し、 N— 1次元以下の多項式である。 例えば、 N= 5のとき、 Χ ^Λ 4 +Χ ^Λ 3 + 1等の多項式である。 ここで、 「Χ ^Λ Β」 は Xの a乗を意味するこ ととする。

また、 暗号化時又は復号化時に用いる公開鍵 h、 秘密鍵： 、 平文 m、 乱数 r、 暗号文 cはいずれも、 N— 1次元以下の多項式として表現され る （以降、 それぞれを公開鍵多項式 h、 秘密鍵多項式 f 、平文多項式 m、 乱数多項式 r、 暗号文多項式 cと呼ぶ） 。

多項式演算において、 上記システムパラメータ Nに対し、 関係式 X ^Λ Ν= 1を用いて、 演算結果が常に Ν— 1次元以下の多項式になるように 演算される。

例えば、 Ν = 5の場合、 多項式 X ^ 4 + X ^Λ 2 + 1 と多項式 X ^Λ 3 +

Xの積は、 多項式と多項式の積を x、 整数と多項式の積を · とすると、

X ^Λ 5 = 1 という関係から、

(X ^Λ 4 + X ^Λ 2 + 1 ) x (X ^ 3 + X)

=Χ ^Λ 7 + 2 · Χ ^ 5 + 2 · Χ ^Λ 3 +Χ =Χ ^Λ 2 χ ΐ + 2 · 1 +2 · Χ ^ 3+Χ

=2 · Χ ^Λ 3 +Χ ^ 2+Χ+ 2

となる。

このように、 多項式演算において、 常に Ν— 1次元以下の多項式にな るように演算される。

(3) NTRU暗号方式の暗号化

後述する暗号装置は、 次に示すように NT RU暗号方式の暗号化を行 ラ。

暗号化時には、 以下に述べる乱数多項式 rと公開鍵多項式 hとを用い て、 平文多項式 mに多項式演算である暗号化アルゴリ ズム Eを施して、 暗号文多項式 c =E (m, r, h) を生成する。

こ こで、 E (m, r , h) は、 N T R U暗号方式の暗号化ァルゴリズ ム Eに、 平文多項式 m、 乱数多項式 r及び公開鍵多項式 hを入力して得 られる多項式演算の結果である。 暗号化ァルゴリズム Eについては非特 許文献 2に詳しく述べられており、 ここでは説明を省略する。

なお、 NT RU暗号方式では、 乱数多項式 rを生成するためのパラメ ータ dが予め決められている。 乱数多項式 rは、 乱数多項式 rを構成す る各項のうち、 d個の項についてはその係数が 「1」 となり、 他の d個 の項については係数が 「一 1」 となり、 残りの項については係数は 「 0」 となるように、 選ばれる。

すなわち、 乱数多項式 rは、 N— 1次元以下の多項式であり、 0次元 (定数項）から N— 1次元までの N項について、 N個の係数が存在する。 乱数多項式 rは、 この N個の係数のうち、 d個の係数が 「 1」 であり、 かつ d個の係数が 「一 1」 であり、 かつ （N— 2 d) 個の係数は 「0」 となるように、 選ばれる。

非特許文献 2によれば、 パラメータ N = 1 67の場合、 d = 1 8であ る。 すなわち、 1 8個の係数が 「1」 であり、 かつ 1 8個の係数が 「― 1」 であり、 1 3 1 (= 1 67— 36) 個の係数が 「0」 となるように、 乱数多項式 rが選ばれる。

(4) NTRU暗号方式の復号化 後述する復号装置は、 次に示すように NT RU暗号方式の復号化を行 ラ。

復号化時には、 秘密鍵多項式 f を用いて、 暗号文多項式 cに多項式演 算である復号アルゴリ ズム Dを施して、 復号文多項式 m' = D (c. f ) を生成する。

こ こで、 D ( c , f ) は、 NT RU暗号方式の復号ァルゴリ ズム Dに、 暗号文多項式 c、 及び秘密鍵多項式 f を入力して得られる多項式演算の 結果である。 復号アルゴリズム Dについては非特許文献 2に詳しく述べ られており、 こ こでは説明を省略する。

( 5) NTRU暗号方式の復号エラ一

ところで、 この NTRU暗号方式において、 生成された復号文多項式 m'が平文多項式 mと異なる場合が発生する。 この場合は、 復号時に正し く平文多項式 mが得られないこ とになる。 このこ とを復号エラーが発生 するという。

1. 2 コ ンテンツ配信システム 1 0の構成

コ ンテンツ配信システム 1 0は、 図 1に示すよう に、 コ ンテンツサー バ装置 1 40と暗号装置 1 1 0と復号装置 1 20と再生装置 1 50とモ ニタ 1 55とから構成されており、 コンテンッサーバ装置 1 40と暗号 装置 1 1 0とは、 専用回線 20を介して接続されており、 暗号装置 1 1 0と復号装置 1 20とは、 イ ンターネッ ト 1 30を介して接続されてい る。 再生装置 1 50は、 復号装置 1 20及びスピーカを内蔵するモニタ 1 55に接続されている。 暗号装置 1 1 0には、 メモ リ カー ド 1 60が 装着され、 復号装置 1 20には、 メモ リ カー ド 1 70が装着される。

コンテンッサーバ装置 1 40は、 映像と音声から構成される映画など のコ ンテンツを専用回線 20を介して暗号装置 1 1 0へ送信する。

暗号装置 1 1 0と復号装置 1 20とは、 それぞれ同一の共有鍵 K及び 共有鍵 K' を生成する。 次に、 暗号装置 1 1 0は、 コ ンテンツサーバ装 置 140から受け取ったコンテンッを共有鍵 Kを用いて暗号化して暗号 化コンテンツを生成し、 生成した暗号化コンテンツを送信し、 復号装置 120は、 暗号化コ ンテンツを受信し、 受信した暗号化コ ンテンツを復 号して再生コンテンッを生成し、 再生装置 1 50は、 再生コ ンテンツか ら映像信号及び音声信号を生成し、 モニタ 1 55は、 映像を表示し、 音 声を出力する。

1. 3 コ ンテンツサーバ装置 1 40の構成

コンテンツサーバ装置 140は、 マイクロプロセッサ、 ROM、 R A M、 ノヽー ドディ スクユニッ ト、 ディ スプレイユニッ ト、 通信ユニッ ト、 キーボー ド、マウスなどから構成されるコンピュータシステムである（図 示していない） 。 前記 R A M又は前記ハードディ スクユニッ トには、 コ ンピュ一タプログラムが記憶されている。 前記マイクロプロセッサが、 前記コ ンピュータプログラムに従って動作することにより、 コ ンテンツ サーバ装置 140は、 その一部の機能を達成する。

コ ンテンッサーバ装置 140は、前記コンテンッを予め記憶しており、 前記コ ンテンツは、 複数の部分コ ンテンツ m i ( 1≤ i ≤ n) から構成 されている。 コンテンッサーバ装置 1 40は、 暗号装置 1 1 0の要求に 応じて、 部分コ ンテンツ m i を読み出し、 読み出した部分コンテンツ m i を、 専用回線 20を介して暗号装置 1 1 0へ送信する。

1. 4 メモ リ カー ド 1 60及ぴメモ リ カード 1 70の構成

メモ リ カー ド 1 60は、 記憶媒体としてフラッ シュメモ リを採用して いるカー ド型の記憶装置であり、 予め公開鍵多項式 hを記憶している。 また、 メモ リ カー ド 1 70は、 メモ リ カー ド 1 60と同様のカー ド型 の記憶装置であり、 予め秘密鍵多項式 f 及び公開鍵多項式 hを記憶して いる。

こ こで、 秘密鍵多項式 ; f と公開鍵多項式 hとは、 NTRU暗号方式に より生成されたものであり、 それぞれ対応している。

1. 5 暗号装置 1 1 0の構成

暗号装置 1 1 0は、 図 2に示すように、 公開鍵入力部 1 1 1、 乱数生 成部 1 1 2、 第 1関数部 1 1 3、 暗号化部 1 14、 第 1送信部 1 1 7、 共通鍵暗号部 1 1 8及び第 2送信部 1 1 9から構成されている。

暗号装置 1 1 0は、 具体的には、 マイクロプロセッサ、 R〇M、 R A M、 通信ユニッ トなどから構成されるコンピュータシステムである。 前 記 R A Mには、 コンピュータプログラムが記憶されている。 前記マイク 口プロセッサが、 前記コンピュータプログラムに従つて動作することに より、 暗号装置 1 1 0は、 その機能を達成する。

( 1 ) 公開鍵入力部 1 1 1

公開鍵入力部 1 1 1 は、 メモリ カード 1 6 0から復号装置 1 2 0の公 開鍵多項式 hを読み出し、 読み出した公開鍵多項式 hを暗号化部 1 1 4 へ出力する。

( 2 ) 乱数生成部 1 1 2

乱数生成部 1 1 2は、 共有鍵 Kを生成するための元となるシ一 ド値と して、 乱数 s を生成し、 生成した乱数 sを第 1関数部 1 1 3と暗号化部 1 1 4とへ出力する。

( 3 ) 第 1 関数部 1 1 3

第 1 関数部 1 1 3は、 乱数生成部 1 1 2から乱数 sを受け取り、 乱数 sの関数値 G ( s ) を生成する。 ここで、 関数 Gは、 出力長が 2 kビッ トのハッシュ関数である。 なお、 ハッシュ関数は、 一方向性関数の一種 である。 次に、 第 1関数部 1 1 3は、 関数値 G ( s ) の上位 kビッ トを 乱数値 uとし、 G ( s ) の下位 kビッ トを共有鍵 Kとすることにより、 生成した関数値 G ( s ) から共有鍵 Kと乱数値 uとを生成し、 生成した 乱数値 uを暗号化部 1 1 4へ出力し、 生成した共有鍵 Kを共通鍵暗号部 1 1 8へ出力する。

( 4 ) 暗号化部 1 1 4

暗号化部 1 1 4は、 公開鍵入力部 1 1 1 から公開鍵多項式 hを受け取 り、 乱数生成部 1 1 2から乱数 s を受け取り、 第 1関数部 1 1 3から乱 数値 uを受け取る。 次に、 以下のようにして、 N T R U暗号により、 公 開鍵多項式 hと乱数値 uとを用いて乱数 sの第 1暗号文 c l を生成する。 ここで、 乱数値 uは、 ブライン ド値であり、 暗号化の対象である乱数 s を不明瞭にするために用いられる。

暗号化部 1 1 4は、 N T R U暗号のパラメ一夕 dに対し、 乱数多項式 rの d個の項の係数が 「 1」 であり、 d個の項の係数が 「― 1」 であり、 残りの項の係数が 「0」 である乱数多項式 r を乱数値 uから一意に求ま るように生成する。

例えば、 暗号化部 1 1 4は、 乱数値 uを擬似乱数系列の初期値 （乱数 シー ド） として設定し、 {0 1 N- 1 } から重複しないよ うに 2 d個の擬似乱数を生成し、 最初の d個の疑似乱数によりそれぞれ 示される d個の次元の項の係数を 「 1」 とし、 残りの d個の擬似乱数に よりそれぞれ示される d個の次元の項の係数を 「一 1」 と し、 他の次元 の項の係数は 「0」 とする。 ·

次に、 暗号化部 1 1 4は、 乱数 sが NT RU暗号の暗号アルゴリ ズム Eに適用できるように、 乱数 sを 2進数表現した場合の N桁のビッ ト列 の各桁の値が、 乱数多項式 S pの各項の係数に対応するように、 乱数多 項式 s を構成する。 例えば、 乱数 sの下位 bビッ ト 目の値を、 項 X bの係数とする。 具体的には、 s = 1 0 0 1 0 (ビッ ト表現） の場合、 乱数多項式 s p =X ~ 5 +X 2を生成する。

次に、 暗号化部 1 1 4は、 公開鍵多項式 hを使用して、 乱数多項式 r を用いて乱数多項式 s pに前記暗号アルゴリズム Eを施して、

第 1暗号文 c 1 =暗号文多項式 E ( s p, r , h) を生成する。

次に、 暗号化部 1 1 4は、 生成した第 1暗号文 c 1 を第 1送信部 1 1

7へ出力する。

なお、図 2において、暗号装置 1 1 0の各構成部を示す各ブロックは、 接続線により他のブロックと接続されている。 こ こで、 各接続線は、 信 号や情報が伝達される経路を示している。 また、 暗号化部 1 1 4を示す ブロックに接続している複数の接続線のうち、 接続線上に鍵マークが付 されているものは、 暗号化部 1 1 4へ鍵としての情報が伝達される経路 を示している。 共通鍵暗号部 1 1 8を示すブロックについても同様であ る。 また、 他の図面についても同様である。

(5) 第 1送信部 1 1 7

第 1送信部 1 1 ·7は、暗号化部 1 1 4から第 1暗号文 c 1 を受け取り、 第 1暗号文 c 1をイ ンタ一ネッ ト 1 3 0を介して復号装置 1 20へ送信 する。

(6) 共通鍵暗号部 1 1 8 共通鍵暗号部 1 1 8は、 例えば D E S暗号方式のような共通鍵暗号ァ ルゴリズム S y mを有している。

一般的に、 共通鍵暗号では、 暗号側の装置において、 暗号鍵 Kを用い て、 平文 mに共通鍵暗号アルゴリ ズム S y mを施して、 暗号文 c = S y m (m, K) を生成し、 復号側の装置において、 暗号鍵 Κを用いて、 暗 号文 cに共通鍵暗号アルゴリズム S ymを施して、 復号文 m '= S ym

( c， K) を生成する。 こ こで、 暗号文生成時に用いる暗号鍵 Κと復号 文生成時に用いる暗号鍵 Κが同一であれば、 m'=mとなる。 なお、 共通 鍵暗号及び D E S暗号方式については、 非特許文献 1 に詳しく述べられ ているため、 ここでの詳細な説明は省略する。

共通鍵暗号部 1 1 8は、 コンテンッサーバ装置 1 40から複数の平文 (部分コ ンテンツ） m i ( 1 ≤ i ≤ n) を受け取り、 第 1関数部 1 1 3 から共有鍵 Kを受け取り、 受け取った共有鍵 Kを使用して平文 m i ( 1 ≤ i ≤ n) に共通鍵暗号アルゴリ ズム S ymを施して、 共通鍵暗号文 C i = S y m (m i , K) ( 1 ≤ i ≤ n) を生成する。

次に、 共通鍵暗号部 1 1 8は、 共通鍵暗号文 C i ( 1 ≤ i ≤ n) を第 2送信部 1 1 9へ出力する。

(7) 第 2送信部 1 1 9

第 2送信部 1 1 9は、 共通鍵暗号部 1 1 8から共通鍵暗号文 C i ( 1 i ≤ n) を受け取り、 受け取った共通鍵暗号文 C i ( 1 i ≤ n) を、 イ ンタ一ネッ ト 1 30を介して復号装置 1 20へ送信する。

1. 6 復号装置 1 2 0の構成

復号装置 1 20は、 図 3に示すように、 秘密鍵入力部 1 2 1、 第 1受 信部 1 22、 復号化部 1 23、 第 2関数部 1 26、 比較部 1 27、 共通 鍵復号部 1 28及び第 2受信部 1 29から構成される。

復号装置 1 20は、 暗号装置 1 1 0と同様のコ ンピュータシステムで ある。 マイクロプロセッサが、 コンピュータプログラムに従って動作す るこ とによ り、 復号装置 1 2 0は、 その機能を達成する。

( 1 ) 秘密鍵入力部 1 2 1

秘密鍵入力部 1 2 1は、 メモリ カー ド 1 7 0から、 復号装置 1 20の 秘密鍵多項式 f と公開鍵多項式 hとを読み出し、 読み出した秘密鍵多項 式 f を復号化部 1 2 3へ出力し、 読み出した公開鍵多項式 hを比較部 1 2 7へ出力する。

( 2 ) 第 1受信部 1 2 2

第 1受信部 1 2 2は、 イ ンタ一ネッ ト 1 3 0を介して暗号装置 1 1 0 から第 1暗号文 c 1 を受け取り、 受け取った第 1暗号文 c 1 を復号化部 1 2 3へ出力する。

( 3 ) 復号化部 1 2 3

復号化部 1 2 3は、 秘密鍵入力部 1 2 1 から秘密鍵多項式 f を受け取 り、 第 1受信部 1 2 2から第 1暗号文 c 1 を受け取り、 次に示すように して、 NT R U暗号により、 秘密鍵多項式 f を用いて、 第 1暗号文 c 1 を復号して復号乱数 s ' を生成する。

復号化部 1 2 3は、 秘密鍵多項式： を使用して、 第 1暗号文 c 1 に前 記復号アルゴリズム Dを施して、 復号乱数多項式 s p ' = D ( c 1 , f ) を生成する。 次に、 復号乱数多項式 s p ' は、 NT R U暗号の復号文で あり多項式で表現されているので、 復号乱数多項式 s p ' の各項の係数 が、 復号乱数 s ' を 2進数表現した場合の N桁のビッ ト列の各値に対応 するように、 復号乱数 s ' を生成する。 例えば、 復号乱数多項式 s p ' の b次元の項 X bの係数は、 復号乱数 s ' の下位 bビッ ト 目の値とな る。

具体的には、 復号乱数多項式 s p * = X ^Λ 5 + X ^ 2の場合、 復号乱 数 s ' = 1 0 0 1 0 (ビッ ト表現） を生成する。

次に、 復号化部 1 2 3は、 受け取った第 1暗号文 c 1 と生成した復号 乱数 s ' とを比較部 1 2 7へ出力し、 生成した復号乱数 s ' を第 2関数 部 1 2 6へ出力する。

( 4) 第 2関数部 1 2 6

第 2関数部 1 2 6は、 第 1 関数部 1 1 3が有している関数と同じ関数

Gのアルゴリズムを有している。

第 2関数部 1 2 6は、 復号化部 1 2 3から復号乱数 s ' を受け取り、 第 1 関数部 1 1 3と同様にして、 復号乱数 s ' の関数値 G ( s ' ) を生 成し、 次に、 関数値 G ( s ' ) から乱数値 u' と共有鍵 K' とを生成し、 生成した乱数値 u' と共有鍵 K' とを比較部 1 2 7へ出力する。

(5) 比較部 1 27

比較部 1 27は、 図 3に示すように、 暗号化部 1 27 Xと比較演算部 1 27 yとから構成されている。

暗号化部 1 27 Xは、 秘密鍵入力部 1 2 1から公開鍵多項式 hを受け 取り、 復号化部 1 23から復号乱数 s ' を受け取り、 第 2関数部 1 26 から乱数値 u' を受け取る。 次に、 暗号化部 1 1 4と同様にして、 公開 鍵多項式 hと乱数値 u' とを用いて、 復号乱数 s ' を暗号化して第 1再 暗号文 c l ' を生成し、 生成した第 1再暗号文 c 1 ' を比較演算部 1 2 7 yへ出力する。

比較演算部 1 2 7 yは、 復号化部 1 23から第 1暗号文 c 1 を受け取 り、 第 2関数部 1 26から共有鍵 K' を受け取り、 暗号化部 1 27 xか ら第 1再暗号文 c 1 ' を受け取る。 次に、 第 1暗号文 c 1 と第 1再暗号 文 c l ' とを比較して、 一致しているか否かを判断し、 一致していると 判断する場合に、 受け取った共有鍵 K' を共通鍵復号部 1 28へ出力す る。一致しないと判断する場合に、受け取った共有鍵 K' を出力しない。

(6) 第 2受信部 1 2 9

第 2受信部 1 2 9は、 イ ンタ一ネッ ト 1 30を介して暗号装置 1 1 0 から共通鍵暗号文 C i ( 1≤ i n) を受信し、 受信した共通鍵暗号文 C i ( 1 ≤ i ≤ n) を共通鍵復号部 1 28へ出力する。

(7) 共通鍵復号部 1 28

共通鍵復号部 1 2 8は、 共通鍵暗号部 1 1 8が有する共通鍵暗号アル ゴリズム S y mと同じ共通鍵暗号アルゴリズム S y mを予め有している。 共通鍵復号部 1 28は、 比較部 1 2 7から共有鍵 K' を受け取り、 第 2受信部 1 29から共通鍵暗号文 C i ( l ≤ i ≤ n) を受け取り、 受け 取った共有鍵 K' を使用して受け取った共通鍵暗号文 C i ( 1≤ i ≤ n) に共通鍵暗号アルゴリ ズム S ymを施して、 復号文 m i ' = S y m (C i , K) ( 1 ≤ i ≤ n) を生成する。

次に、 共通鍵復号部 1 28は、 生成した復号文 m i ' ( 1 ≤ i ≤ n) を再生装置 1 50へ出力する。

1. 7 再生装置 1 50及びモニタ 1 5 5

再生装置 1 50は、 復号装置 1 20から復号文 m i ' ( 1 ≤ i ≤ n) を受け取り、 受け取った復号文 m i ' ( 1 ≤ i ≤ n) から映像信号及び 音声信号を生成し、 生成した映像信号及び音声信号をモニタ 1 55へ出 力する。

モニタ 1 55は、 再生装置 1 50から映像信号及び音声信号を受け取 り、 受け取った映像信号及び音声信号により、 映像を表示し、 音声を出 力する。

1. 8 暗号装置 1 1 0及ぴ復号装置 1 2 0の動作

暗号装置 1 1 0及ぴ復号装置 1 20の動作について、 図 4に示す処理 系統図及び図 5に示すフローチャートを用いて説明する。

暗号装置 1 1 0の公開鍵入力部 1 1 1 は、 メモ リ カード 1 6 0から復 号装置 1 20の公開鍵多項式 hを読み出し、 読み出した公開鍵多項式 h を暗号化部 1 1 4へ出力する （ステップ S 1 0 1 ) 。

次に、 乱数生成部' 1 1 2は、 乱数 sを生成し、 生成した乱数 sを第 1 関数部 1 1 3と暗号化部 1 1 4とへ出力する （ステップ S 1 02) 。 次に、第 1関数部 1 1 3は、乱数生成部 1 1 2から乱数 sを受け取り、 乱数 sの関数値 G ( s ) を生成し （ステップ S 1 03) 、 次に、 第 1関 数部 1 1 3は、 関数値 G ( s ) から乱数値 uと共有鍵 Kとを生成して、 乱数値 uを暗号化部 1 1 4へ出力し、 共有鍵 Kを共通鍵暗号部 1 1 8へ 出力する （ステップ S 1 04) 。

次に、 暗号化部 1 1 4は、 公開鍵入力部 1 1 1から公開鍵多項式 hを 受け取り、 乱数生成部 1 1 2から乱数 sを受け取り、 第 1関数部 1 1 3 から乱数値 Uを受け取り、 公開鍵多項式 hと乱数値 Uを用いて乱数 Sの 第 1暗号文 c 1 を生成し、 第 1暗号文 c 1を第 1送信部 1 1 7へ出力す る （ステップ S 1 0 5) 。

次に、 第 1送信部 1 1 7は、 暗号化部 1 1 4から第 1暗号文 c 1 を受 け取り、 第 1暗号文 c 1をイ ンタ一ネッ ト 1 30を介して復号装置 1 2 0へ送信する （ステップ S 1 06 ) 。 次に、 復号装置 1 2 0の秘密鍵入力部 1 2 1 は、 メモ リ カード 1 7 0 から復号装置 1 2 0の秘密鍵多項式 f と公開鍵多項式 hとを読み出し、 読み出した秘密鍵多項式 f を復号化部 1 2 3へ出力し、 読み出した公開 鍵多項式 hを比較部 1 2 7へ出力する （ステップ S 1 5 1 ) 。

次に、 第 1受信部 1 2 2は、 イ ンタ一ネッ ト 1 3 0を介して暗号装置 1 1 0から第 1暗号文 c 1 を受け取り、 第 1暗号文 c 1 を復号化部 1 2 3へ出力する （ステップ S 1 0 6) 。

次に、 復号化部 1 2 3は、 秘密鍵入力部 1 2 1 から秘密鍵多項式 f を 受け取り、 第 1受信部 1 2 2から第 1暗号文 c 1 を受け取り、 次に、 秘 密鍵多項式 f を用いて、 第 1暗号文 c 1 を復号して復号乱数 s ' を生成 し、 第 1暗号文 c 1 と復号乱数 s ' を比較部 1 2 7へ出力し、 復号乱数 s ' を第 2関数部 1 2 6へ出力する （ステップ S 1 5 2) 。

次に、 第 2関数部 1 2 6は、 復号化部 1 2 3から復号乱数 s ' を受け 取り、 復号乱数 s ' の関数値 G ( s ' ) を生成し （ステップ S 1 5 3) 、 関数値 G ( S ' )から乱数値 U ' と共有鍵 K' とを生成して、乱数値 U ' と共有鍵 K' とを比較部 1 2 7へ出力する （ステップ S 1 5 4) 。

次に、 比較部 1 2 7は、 復号化部 1 2 3から第 1暗号文 c 1 を受け取 り、 第 2関数部 1 2 6から乱数値 u' と共有鍵 K' とを受け取り、 第 1 再暗号文 c 1 ' を生成し （ステップ S 1 5 5) 、 第 1暗号文 c 1 が乱数 値 U ' を用いた復号乱数 S.' の暗号文であるかどうかチヱックを行い、 第 1暗号文 c 1 が復号乱数 s ' の暗号文でなければ（ステップ S 1 5 6 )、 復号装置 1 2 0は、 処理を終了する。

共通鍵暗号部 1 1 8は、 外部から複数の平文 m i ( 1 ≤ i ≤ n) を受 け取り、 第 1関数部 1 1 3から共有鍵 Kを受け取り、 共有鍵 Kを使用し て平文 m i ( 1 ≤ i n) に共通鍵暗号アルゴリ ズム S y mを施して、 共通鍵暗号文 C i = S y m (m i , K) ( l ≤ i ≤ n) を生成し、 共通 鍵暗号文 C i ( 1 ≤ i ≤ n) を第 2送信部 1 1 9へ出力する （ステップ S 1 0 7 ) o

次に、 第 2送信部 1 1 9は、 共通鍵暗号部 1 1 8から共通鍵暗号文 C i ( 1 ≤ i ≤ n) を受け取り、 イ ンタ一ネッ ト 1 3 0を介して復号装置 1 2 0へ送信し （ステップ S 1 08) 、 処理を終了する。

第 1暗号文 c 1が復号乱数 s ' の暗号文であれば（ステップ S 1 56 )、 比較部 1 27は、 共有鍵 K' を共通鍵復号部 1 28へ出力する （ステツ プ S 1 5 7) 。 次に、 第 2受信部 1 29は、 イ ンタ一ネッ ト 1 3 0を介 して暗号装置 1 1 0から暗号文 C i ( l≤ i ≤ n) を受信し、 共通鍵復 号部 1 28へ出力する （ステップ S 1 08) 。

次に、 共通鍵復号部 1 28は、 比較部 1 27から共有鍵 K' を受け取 り、第 2受信部 1 29から共通鍵暗号文 C i ( 1≤ i ≤ n)を受け取り、 共有鍵 K' を使用して共通鍵暗号文 C i ( 1 ≤ i ≤ n) に共通鍵暗号ァ ルゴリズム S y mを施して、 復号文 m i ' = S y m (C i , K) ( 1≤ i ≤ n) を生成し、 復号文 m i ' ( 1 ≤ i ≤ n) を再生装置 1 5 0へ出 力し （ステップ S 1 58) 、 処理を終了する。

1. 9 コ ンテンツ配信システム 1 0の動作検証

以下に、 実施の形態 1 におけるコンテンッ配信システム 1 0の全体の 動作について説明する。

まず、 暗号装置 1 1 0は、 復号装置 1 20の公開鍵多項式 hを入力と し、 乱数 sを生成し、 関数値 G ( s ) から乱数値 uと共有鍵 Kとを導出 する。 次に、 暗号装置 1 1 0は、 乱数 sを、 公開鍵多項式 hと乱数値 u を用いて NT RU暗号で暗号化して第 1暗号文 c 1 を生成し、 第 1暗号 文 c l をイ ンタ一ネッ ト 1 30を介して復号装置 1 2 0へ送信する。 すなわち、 この暗号装置 1 1 0は、 以下の処理を行い、 第 1暗号文 c 1を復号装置 1 20へ送信する。

• 乱数 sを生成する。

• G ( s ) を生成し、 G ( s ) から u、 Kを生成する。

· 公開鍵多項式 hと乱数値 uとを用いて乱数 sの第 1暗号文 c l を生 成する。

• 共有鍵 Kと第 1暗号文 c 1 とを出力する。

次に、 暗号装置 1 1 0は、 導出した共有鍵 Kを用いて、 外部から入力 された平文 m i ( 1 ≤ i ≤ n)を共通鍵暗号で暗号化して暗号文 C i ( 1 ≤ i ≤ n ) を生成し、 イ ンターネ ッ ト 1 30を介して復号装置 1 20へ 送信する。

一方、 復号装置 1 20は、 復号装置 1 20の秘密鍵多項式 f 及び公開 鍵多項式 hを入力とし、 イ ンターネッ ト 1 30を介して暗号装置 1 1 0 から第 1暗号文 c 1 を受信し、 第 1暗号文 c 1を秘密鍵多項式 f を用い て復号して復号乱数 s ' を生成する。 次に、 復号乱数 s ' の関数値 G (s ' ) から乱数値 u' と共有鍵 K' を導出し、 復号乱数 s ' を暗号化 して第 1再暗号文 c 1 ' を生成し、 c 1 ' = c 1であれば、 共有鍵 K' を出力する。

すなわち、 この復号装置 1 2 0は、 以下の処理を行い、 共有鍵 K' を 導出する。

-秘密鍵多項式 f を用いて第 1暗号文 c l を復号して s ' を生成する。

• G ( s ' ) を生成し、 G ( s ' ) から u' 、 K' を生成する。

• 公開鍵多項式 h、 乱数値 u' を用いて s ' の第 1再暗号文 c l ' を 生成する。

· C 1 ' = C 1が成立するかどうかチヱックする。 成立すれば共有鍵

K' を出力する。

ここで、 暗号装置 1 1 0で用いられた公開鍵多項式 hに対応する正し い秘密鍵多項式 f が復号装置 1 20で用いられれば、 第 1暗号文 c 1は 正しく復号されて、 復号乱数 s ' = sとなり、 従って、 G ( s' ) から 導出される乱数値 u' = uとなり、共有鍵 K' =Kとなる。そして、 s '

= s及ぴ u' = uが成り立つので、 c l ' = c 1が成り立ち、 復号装置

1 20は暗号装置 1 1 0と同じ共有鍵 Kを導出できることになる。

次に、 復号装置 1 2 0は、 導出した共有鍵 K' ( = K) を用いて、 ィ ンタ一ネッ トを介して暗号装置 1 1 0から共通鍵暗号文 C i ( 1 ≤ i ≤ n) を共通鍵暗号で復号して復号文 m i ' ( 1 ≤ i ≤ n) を生成して外 部へ出力する。 ここで、 共通鍵暗号文生成時に用いた暗号鍵 Kと復号文 生成時に用いる暗号鍵 K' とは同一であるで、 復号装置 1 2 0は、 正し く m i ' = m i ( 1≤ i ≤ n) を得ることができる。

なお、 復号エラーが発生した場合には、 復号乱数 s ' と乱数 sとは異 なるので、 G (s ' ) から導出される乱数値 ι 及び共有鍵 K' は、 そ れぞれ u、 Kとは異なる。 しかし、 この場合、 s ' 、 u' がそれぞれ s、 uと異なるために第 1再暗号文 c 1 ' が第 1暗号文 c 1 と異なるので、 復号装置 1 20は、 共有鍵 K' を出力しない。

1. 1 0 実施の形態 1 における効果 '

従来の R S A— KEMアルゴリ ズムでは、 秘密鍵を知らなければ暗号 文 Cから導出できない要素 sをハッシュ関数 Gに入力して共有鍵 Kを導 出する。 しかしながら、 NT RU暗号を用いて、 鍵カプセル化メカニズ ムである R S A— KEMアルゴリズムを適用して共有鍵の配送を行おう とすると、 復号エラーが発生する場合があるため、 秘密鍵を用いても要 素 Sが導出できず、従って正しく ない共有鍵 K' を導出する場合がある。

しかしながら、 実施の形態 1のコ ンテンツ配信システム、 暗号装置及 び復号装置においては、 乱数 sのハッシュ関数値 G ( s ) から共有鍵に 加えて乱数値 uを生成し、'復号装置が乱数値 uと公開鍵多項式 hとを用 いて復号乱数 s ' を再暗号化して第 1再暗号文 c 1 ' を生成し、 第 1再 暗号文 c l ' が第 1暗号文 c 1 と同じ値でない限り共有鍵 K' を出力し ないようにしたので、 復号エラ一が発生した場合、 暗号装置と復号装置 との間で異なる鍵が導出されるのを防止できる。

また、 本発明による方式は、 非特許文献 3に記述されている証明方法 と同様の方法により、 理論的にその安全性が証明できる。

1. 1 1 変形例

上記に説明した実施の形態 1は、 本発明の実施の一例であり、 本発明 はこの実施の形態に何ら限定されるものではなく、 その主旨を逸脱しな い範囲において種々なる態様で実施し得るものである。 以下のような場 合も本発明に含まれる。

( 1 ) 用いる NT RU暗号のパラメ一タ N = 1 67に限定されない。 パラメータ Nは、 他の値をとるとしてもよい。

( 2 ) 暗号化部 1 1 4及ぴ復号化部 1 23で行われるビッ ト列の各ビ ッ トの値と多項式の各項の係数との変換方法は、 上記において説明した 方法に限られず他の変換方法でもよい。

例えば、 乱数 Sから乱数多項式 S pへの変換は、 ビッ ト列の各ビッ ト の値と多項式の各項の係数とを 1対 1 に対応させる関数を用いて変換し てもよいし、 また、 ビッ ト列の各ビッ トの値と多項式の各項の係数とを

1対 1 に対応させて記憶している関数値テーブルを用いて変換してもよ い。

また、 乱数値 uから乱数多項式 rへの変換は、 uから rがー意に求ま り、 rの d個の次元の項の係数を 「 1」 とし、 d個の次元の項の係数を 「一 1」 とし、 他の次元の項の係数は 「 0」 となるようにすれば、 他の 変換方法でもよく、 例えば、 乱数値 uを多項式に対応させる関数、 又は 関数値テーブルを用いて変換してもよい。

( 3 )暗号化部 1 1 4及び復号化部 1 2 3で用いる公開鍵暗号方式は、 暗号化部 1 1 4において、 乱数 sを公開鍵と乱数値 uを用いて暗号化し て第 1唷号文 c 1 を生成し、 復号化部 1 2 3において、 第 1暗号文 c 1 を秘密鍵で復号して乱数値 s と等しい復号乱数 s ' を生成できるもので あればよい。

従って、 暗号化部 1 1 4及ぴ復号化部 1 2 3で用いる公開鍵暗号は、 N T R U暗号以外に、 どんな公開鍵暗号でも利用できる。

例えば、 E 1 G a m a 1 暗号を採用するならば、 h、 f をそれぞれ E 1 G a m a 1 暗号の公開鍵、 秘密鍵とし、 暗号化部 1 1 4において、 乱 数 sを hと uを用いて暗号化して c 1 を生成し、 復号化部 1 2 3におい て、 c 1 を； f を用いて復号して s ' を生成すればよい。

なお、 E 1 G a m a 1暗号について非特許文献 1 に詳細に記載されて いるため、 ここでは説明を省略する。

( 4 ) 第 1 関数部 1 1 3は、 関数値 G ( s ) の上位 kビッ トを乱数値 uとし、 下位 kビッ トを共有鍵 Kとする以外に、 関数値 G ( s ) から乱 数値 Uと共有鍵 Kとを導出すれば他の方法でもよい。

例えば、 関数値 G ( s ) の上位 k Z 2 ビッ トを乱数値 uと し、 下位 k

X 3 / 2 ビッ トを共有鍵 Kとしてもよい。 また、 関数値 G ( s ) の 2 k ビッ トのうち、 1 ビッ ト置きに kビッ トを選択して乱数値 uとし、 残り の kビッ トを共有鍵 としてもよい。

( 5 ) 乱数値 uは、 第 1関数部 1 1 3及び第 2関数部 1 2 6で生成さ れる以外にも、 暗号装置 1 1 0と復号装置 1 20とで同じ値を得られれ ば、 他の生成方法を採用してもよい。

例えば、 任意の関数 F u n cに対し、 u = F u n c ( s ) として暗号 装置 1 1 0と復号装置 1 20とで同じ値を得られるようにしてもよい。 すなわち、 暗号装置 1 1 0と復号装置 1 20とにおいて、

• G ( s ) を生成し、 G ( s ) から Kを生成する。

• F u n c ( s ) を生成し、 u = F u n c ( s ) とする。

としてもよい。

(6) 乱数値 uは、 第 1関数部 1 1 3及び第 2関数部 1 26で生成さ れる以外にも、 暗号装置 1 1 0と復号装置 1 20とで同じ値を得られれ ばよいので、 暗号装置 1 1 0が乱数値 uを復号装置 1 20 bに直接送信 してもよい。

すなわち、 以下のように、 第 1暗号文 c 1 と乱数値 uを復号装置 1 2 0に送信してもよい。 このとき、 乱数値 uは暗号化して送信されてもよ い。

暗号装置 1 1 0において、

• G ( s ) を生成し、 G ( s ) から Kを生成する。

•乱数値 uを、別途、暗号装置 1 1 0から復号装置 1 2 0へ送信する。 復号装置 1 20において、

· 乱数値 Uを受信する。

•乱数値 u' に代えて、受信した乱数値 uを用いて第 1再暗号文 c 1 ' を生成する。

このとき、 暗号装置 1 1 0は、 乱数値 uを暗号化して送信し、 復号装 置 1 20は、 暗号化された乱数値 uを復号するとしてもよい。

(7) 乱数値 uは、 暗号装置 1 1 0と復号装置 1 20とで同じ値を得 られればよいので、 乱数値 uの一部分の部分情報を第 1関数部 1 1 3及 び第 2関数部 1 2 6で生成し、 乱数値 uの残りの部分の部分情報を暗号 装置 1 1 0から復号装置 1 20に直接送信してもよい。

例えば、 以下のように、 暗号装置 1 1 0は、 第 1暗号文 c 1 と乱数値 u 2とを復号装置 1 20に送信してもよい。 暗号装置 1 1 0において、

(a) G ( s ) を生成し、 G ( s ) から K、 u lを生成する。

(b) 乱数値 u 2を生成し、 別途、 復号装置 1 20へ送信する。

( c ) 乱数値 uを、 u = u l x o r u 2から生成する。

(d) 乱数値 uを用いて、 第 1暗号文 c 1を生成する。

復号装置 1 20において、

( e) 乱数値 u 2を受信する。

( f ) G ( s ' ) を生成し、 G (s ' ) から K' 、 u l ' を生成する。 ( g ) 乱数値 u' を、 u' = u l ' x o r u 2から生成する。 (h) 生成した乱数値 u' を用いて第 1再暗号文 c 1 ' を生成する。 このとき、 暗号装置 1 1 0は、 乱数値 u 2を暗号化して送信し、 復号 装置 1 2 0は、 暗号化された乱数値 u 2を復号すると してもよい。

また、 （c) 及ぴ （g) において、 排他的論理和 X o rに代えて他の 演算を用いるとしてもよい。 例えば、 （ c) 及び （g) において、 それ ぞれ加算及び減算を用いてもよいし、 また、 乗算及び除算を用いてもよ い。

(8) 復号エラーの発生により暗号装置 1 1 0と復号装置 1 20との 間で異なる共有鍵が導出されるのを防止するため、 第 1再暗号文 c 1 ' と第 1暗号文 c 1 とが同じである場合に、 共有鍵 K' を出力する代わり に、 暗号装置 1 1 0が乱数 s、 乱数値 u、 共有鍵 Kのいずれか 1つ以上 について、 ハッシュ関数値を生成し、 生成したハッシュ関数値を復号装 置 1 20へ送信し、 復号装置 1 20がこのハッシュ関数値を検証するこ とにより、 共有鍵 K' を出力するか否かを決定してもよい。 例えば、 こ のハッシュ関数値と して、 任意のハッシュ関数 Hに対して、 乱数 sのハ ッシュ関数値 H ( S ) を生成するようにしてもよいし、 乱数 S、 乱数値 u、 共有鍵 Kの組み合わせ、 例えば、 ハッシュ関数値 H ( s | I u I I k) やハッシュ関数値 H (u I I k) 等を生成するようにしてもよい。 また、この場合、暗号装置 1 1 0の第 1関数部 1 1 3は、関数値 G ( s ) から乱数値 uと共有鍵 Kを導出する代わりに、 G ( s ) から共有鍵 の みを導出してもよい。 以下に、 その具体例を述べる。

コンテンッ配信システム 1 0は、 暗号装置 1 1 0及ぴ復号装置 1 2 0 に代えて、 暗号装置 1 1 0 b及ぴ復号装置 1 20 bを含み、 暗号装置 1 1 0 bは、図 6に示すように、公開鍵入力部 1 1 1、乱数生成部 1 1 2、 第 1関数部 1 1 3 b、 暗号化部 1 1 4 b、 第 1送信部 1 1 7 b、 共通鍵 暗号部 1 1 8及び第 2送信部 1 1 9から構成されており、 復号装置 1 2 0は、図 7に示すように、秘密鍵入力部 1 2 1 b、第 1受信部 1 22 b、 復号化部 1 23 b、 第 2関数部 1 26 b、 比較部 1 27 b、 共通鍵復号 部 1 28及び第 2受信部 1 29から構成される。 比較部 1 2 7 bは、 第 3関数部 1 27 u及び比較演算部 1 27 Vを含む。

暗号装置 1 1 O bが乱数 sのハッシュ関数値を生成し、 復号装置 1 2 0 bがこのハッシュ関数値を検証する際に、暗号装置 1 1 0 bにおいて、 図 8の処理系統図に示すように、 第 1関数部 1 1 3 bは、 G ( s ) を生 成し （ステップ S 1 03) 、 G ( s ) から Kを生成する （ステップ S 1 04) 。

次に、 暗号化部 1 1 4 bは、 乱数値 uを生成し、 生成した乱数値 uか ら乱数多項式 rを生成し、 乱数多項式 r及び公開鍵多項式 hを用いて乱 数 sの第 1暗号文 c 1 を生成し （ステップ S 1 0 5) 、 ノヽッ シュ関数値 H ( s ) を生成する （ステップ S 1 1 1 ) 。

次に、 第 1送信部 1 1 7 bは、 第 1暗号文 c 1 を送信し （ステップ S 1 06) 、 ノヽッ シュ関数値 H ( s ) を送信する （ステップ S 1 1 2 ) 。

次に、 復号装置 1 20 bにおいて、 第 1受信部 1 22 bは、 第 1暗号 文 c 1を受信し （ステップ S 1 0 6 ) 、 ノヽッシュ関数値 H ( s ) を受信 する (ステップ S 1 1 2 ) 。

次に、 復号化部 1 23 bは、 秘密鍵多項式 f を用いて第 1暗号文 c 1 を復号して s ' を生成する （ステップ S 1 52 ) 。

次に、第 2関数部 1 26は、 G ( s ' )を生成し（ステップ S 1 53) 、 G ( s ' ) から を生成する (ステップ S 1 54 ) 。

次に、 比較部 1 27は、 第 3関数部 1 27 uにより、 H ( s ' ) を生 成し （ステップ S 1 54) 、 比較演算部 1 27 vにより、 H ( s ' ) = H (s ) が成立するかどうかチェック し （ステップ S 1 6 2) 、 成立す れば共有鍵 K' を出力する （ステップ S 1 57) 。

また、 この場合、 さらに安全性を高めるために、 特許文献 1 に開示さ れている方法を用いて、 乱数 sに付加情報を附したものを暗号化して第 1暗号文 c 1 を生成してもよい。 すなわち、 図 6において、 暗号化部 1 1 4 bは、 付加情報 R aを生成し、 s と R aのビッ ト結合 s I I R aの 値を暗号化して第 1暗号文 c 1 を生成し、 図 7において、 復号化部 1 2 3 bは、 第 1暗号文 c 1 を復号して s ' I I R a ' を生成し、 R a ' を 除去して復号乱数 s ' を生成してもよい。

また、特許文献 1 に開示されている通り、 s I i R aの値の代わりに、 s と R aの可逆変換 F ( s , R a ) の値を用いてもよい。

2. 実施の形態 2

本発明に係る別の実施の形態としてのコ ンテンツ配信システム 1 0 c (図示していない） について説明する。

コ ンテンツ配信システム 1 0 cは、 コ ンテンツ配信システム 1 0を基 本としてこれを変形したシステムであり、 関数値 G ( s ) から乱数値 u と共有鍵 Kとの他にさらに検証値 aを生成する点と、 暗号装置が、 乱数 sを暗号化した第 1暗号文 1 を生成して送信する代わりに、 検証値 a を暗号化した第 1暗号文 c 1 と、 乱数 sを検証値 aに基づいて暗号化し た第 2暗号文 c 2とを生成して送信する点において、 コ ンテンツ配信シ ステム 1 0と異なる。

以下、 コ ンテンツ配信システム 1 0 cについて、 上記差異点を中心に 詳しく説明する。

2. 1 コ ンテンツ配信システム 1 0 cの構成

コ ンテンツ配信システム 1 0 cは、 コ ンテンツ配信システム 1 0と同 様の構成を有しており、 暗号装置 1 1 0及ぴ復号装置 1 20に代えて、 暗号装置 1 1 0 c及び復号装置 1 20 cを含んでいる。 その他の構成に ついては、 コンテンツ配信システム 1 0におけるものと同様であるので 説明を省略する。

2. 2 暗号装置 1 1 0 cの構成 暗号装置 1 1 0 cは、 図 9に示すように、 暗号装置 1 1 0と同様の構 成を有しており、 乱数生成部 1 1 2、 第 1関数部 1 1 3、 暗号化部 1 1 4及び第 1送信部 1 1 7に代えて、 乱数生成部 1 1 2 c、 第 1関数部 1 1 3 c、 暗号化部 1 1 4 c、 乱数マスク部 1 1 6 c及び第 1送信部 1 1 7 Cを含む。

こ こでは、 乱数生成部 1 1 2 c、 第 1関数部 1 1 3 c、 暗号化部 1 1 4 c、乱数マスク部 1 1 6 c及び第 1送信部 1 1 7 cについて説明する。

( 1 ) 乱数生成部 1 1 2 c

乱数生成部 1 1 2 cは、 共有鍵 Kを生成するための元となるシー ド値 として、 乱数 sを生成し、 生成した乱数 sを第 1関数部 1 1 3 bと乱数 マスク部 1 1 6 cとへ出力する。

(2) 第 1関数部 1 1 3 c

第 1関数部 1 1 3 cは、 乱数生成部 1 1 2 cから乱数 sを受け取り、 乱数 sの関数値 G ( s ) を生成する。 次に、 生成した関数値 G (s ) か ら検証値 aと共有鍵 Kと乱数値 uとを生成する。

ここで、 関数 Gは、 出力長が 3 kビッ トのハッシュ関数であり、 第 1 関数部 1 1 3 cは、 関数値 G ( s ) の上位 kビッ トを検証値 aとし、 関 数値 G ( s ) の中間の kビッ トを共有鍵 Kとし、 関数値 G ( s ) の下位 kビッ トを乱数値 uとする。

次に、 第 1関数部 1 1 3 cは、 生成した検証値 aと乱数値 uとを暗号 化部 1 1 4 cへ出力し、 生成した共有鍵 Kを共通鍵暗号部 1 1 8へ出力 し、 生成した検証値 aを乱数マスク部 1 1 6 cへ出力する。

(3) 暗号化部 1 1 4 c

暗号化部 1 1 4 cは、 公開鍵入力部 1 1 1から公開鍵多項式 hを受け 取り、 第 1関数部 1 1 3 cから検証値 aと乱数値 uとを受け取り、 次に 示すよう にして、 公開鍵多項式 hと乱数値 uとを用いて検証値 aの第 1 暗号文 c 1 を生成する。 こ こでは、 第 1暗号文 c 1は NT RU暗号によ る暗号文である。

暗号化部 1 1 4 cは、 NT RU暗号のパラメータ dに対し、 d個の項 の各係数が 「 1」 であり、 他の d個の項の各係数が 「一 1」 であり、 残 りの項の各係数が 「0」 となる乱数多項式 rを乱数値 uから一意に求ま るように生成する。 具体的には、 乱数値 uを擬似乱数系列の初期値 （乱 数シー ド） として設定し、 {0， 1 N— 1 } から重複しない ように 2 d個の擬似乱数を選択し、 最初の d個の擬似乱数により示され る次元の項の係数を 「 1」 とし、 他の d個の擬似乱数により示される次 元の係数を 「一 1」 とし、 残りの項の係数を 「0」 とすることにより、 乱数多項式 rを生成する。

次に、 受け取つた検証値 aが NT R U暗号の暗号アルゴリズム Eに適 用できるように、 暗号化部 1 1 4 cは、 検証値 aを 2進数表現した場合 における N桁のビッ ト列の各桁の値が、 検証値多項式 a pの各項の係数 に対応するように、 検証値多項式 a pを構成するこ とによ り、 検証値 a を検証値多項式 a に変換する。 例えば、 検証値 aの下位 bビッ ト 目の 値は、 項 X ^Λ bの係数の値となる。 具体的には、 検証値 a = 1 0 0 1 0 (ビッ ト表現）の場合、検証値多項式 a =Χ ^Λ 5 + Χ ^Λ を生成する。 次に、 暗号化部 1 1 4 cは、 公開鍵多項式 hを鍵として使用して、 乱 数多項式 rを用いて検証値多項式 a pに前記暗号アルゴリズム Eを施し て、 暗号文多項式である第 1暗号文 c 1 = E ( a p , r , h) を生成す る。

次に、 暗号化部 1 1 4 cは、 生成した第 1暗号文 c 1を第 1送信部 1 1 7 cへ出力する。

(4) 乱数マスク部 1 1 6 c

乱数マスク部 1 1 6 cは、乱数生成部 1 1 2 cから乱数 sを受け取り、 第 1関数部 1 1 3 cから検証値 aを受け取り、 次に、 第 2暗号文 c 2 = s X o r aを生成し、 生成した第 2暗号文 c 2を第 1送信部 1 1 7 Cへ出力する。

こ こで、 X 0 rは排他的論理和演算を表す演算子である。

なお、 乱数マスク部 1 1 6 cは、 排他的論理和に代えて、 共有鍵暗号 アルゴリ ズム、 加算又は乗算を用いるとしてもよい。

(5) 第 1送信部 1 1 7 c

第 1送信部 1 1 7 cは、 暗号化部 1 1 4 cから第 1暗号文 c 1 を受け 取り、 乱数マスク部 1 1 6 cから第 2暗号文 c 2を受け取り、 受け取つ た第 1暗号文 c 1 と第 2暗号文 c 2とを、 イ ンターネッ ト 1 3 0を介し て復号装置 1 2 0 cへ送信する。

2. 2 復号装置 1 2 0 cの構成 ， 復号装置 1 2 0 cは、 図 1 0に示すように、 復号装置 1 2 0と同様の 構成を有しており、 第 1受信部 1 2 2、 復号化部 1 2 3、 第 2関数部 1 2 6及び比較部 1 2 7に代えて、 第 1受信部 1 2 2 c、 復号化部 1 2 3 c、 乱数マスク除去部 1 2 5 c、 第 2関数部 1 2 6 c及び比較部 1 2 7 c ¾含む。

こ こでは、 第 1受信部 1 2 2 c、 復号化部 1 2 3 c、 乱数マスク除去 部 1 2 5 c、第 2関数部 1 2 6 c及び比較部 1 2 7 cについて説明する。

( 1 ) 第 1受信部 1 2 2 c

第 1受信部 1 2 2 cは、 イ ンタ一ネッ ト 1 3 0を介して、 暗号装置 1 1 0 cから第 1暗号文 c 1 と第 2暗号文 c 2とを受け取り、 受け取つた 第 1暗号文 c 1 を復号化部 1 2 3 cへ出力し、 受け取った第 2暗号文 c 2を乱数マスク除去部 1 2 5 cへ出力する。

( 2 ) 復号化部 1 2 3 c

復号化部 1 2 3 cは、 秘密鍵入力部 1 2 1 から秘密鍵多項式 f を受け 取り、 第 1受信部 1 2 2 cから第 1暗号文 c 1 を受け取り、 次に示すよ うにして、 秘密鍵多項式 f を用いて、 第 1暗号文 C 1 を復号して復号検 証値 a ' を生成する。 こ こでは、 復号検証値 a ' は NT R U暗号による 復号文である。

復号化部 1 2 3 cは、 秘密鍵多項式 f を鍵として使用して、 第 1暗号 文 c 1 に前記復号ァルゴリズム Dを施して、 復号検証値多項式 a p ' = D ( c 1 , f ) を生成する。 こ こで、 復号検証値多項式 a p ' は、 NT R

U暗号の復号文であり多項式で表現されているので、 復号化部 1 2 3 c は、 復号検証値多項式 a p ' の各項の係数が、 2進数表現された N桁の ビッ ト列である復号検証値 a ' の各桁の値に対応するように、 復号検証 値多項式 a p' を復号検証値 a' に変換する。 例えば、 復号検証値多項 式 a p ' の b次元の項 X bの係数を、 復号検証値 a ' の下位 bビッ ト 目の値とする。 具体的には、 復号検証値多項式 a p ' =X ^ 5 +X ^ 2 の場合、 復号検証値 a' = 1 00 1 0 (ビッ ト表現） に変換する。

次に、 復号化部 1 23 cは、 生成した復号検証値 a' を乱数マスク除 去部 1 25 cへ出力し、 受け取った第 1暗号文 c l を比較部 1 27 cへ 出力する。

(3) 乱数マスク除去部 1 25 c

乱数マスク除去部 1 25 cは、 第 1受信部 1 22 cから第 2暗号文 c 2を受け取り、 復号化部 1 23 cから復号検証値 a' を受け取り、 復号乱数 s ' = c 2 X 0 r a' を生成し、 生成した復号乱数 s ' を 第 2関数部 1 26 cへ出力する。

なお、 乱数マスク部 1 1 6 cが、 排他的論理和に代えて、 共有鍵暗号 アルゴリ ズム、 加算又は乗箅を用いる場合において、 乱数マスク除去部 1 25 cは、 それぞれ、 共有鍵暗号アルゴリ ズムに対応する共有鍵復号 アルゴリ ズム、 減算、 又は除算を用いると してもよい。

(4) 第 2関数部 1 26 c

第 2関数部 1 2 6 cは、 第 1関数部 1 1 3 cが有する関数と同じ関数 Gによるアルゴリ ズムを有している。

第 2関数部 1 2 6 cは、 乱数マスク除去部 1 2 5 cから復号乱数 s ' を受け取り、 受け取った復号乱数 s ' の関数値 G (s ' ) を生成する。 次に、 第 1関数部 1 1 3 cと同様にして、 関数値 G (s ' ) から検証値 a ' ' と共有鍵 K' と乱数値 u' とを生成し、 生成した検証値 a' ' と 共有鍵 K' と乱数値 u' とを比較部 1 27 cへ出力する。

(5) 比較部 1 27 c

比較部 1 2 7 cは、 図 1 0に示すように、 比較演算部 1 27 s及び暗 号化部 1 27 tから構成されている。

暗号化部 1 27 tは、 秘密鍵入力部 1 2 1から公開鍵多項式 hを受け 取り、第 2関数部 1 26 cから検証値 a ' ' と乱数値 u' とを受け取り、 受け取った公開鍵多項式 hと乱数値 u' を用いて、 暗号化部 1 1 4 cと 同様にして検証値 a' ' を暗号化して第 1再暗号文 c 1 ' を生成し、 生 成した第 1再暗号文 c l ' を比較演算部 1 27 sへ出力する。 また、 比較演算部 1 2 7 sは、 第 2関数部 1 2 6 cから共有鍵 K' を 受け取り、 復号化部 1 2 3 cから第 1暗号文 c 1 を受け取り、 暗号化部 1 2 7 tから第 1再暗号文 c 1 ' を受け取り、 次に、 受け取った第 1暗 号文 c 1 と、 受け取った第 1再暗号文 c 1 ' とを比較し、 第 1暗号文 c 1 =第 1再暗号文 c l ' であると判断する場合に、 受け取った共有鍵 K' を共通鍵復号部 1 2 8へ出力する。

2. 3 コ ンテンツ配信システム 1 0 cの動作

以下に、 実施の形態 2におけるコ ンテンッ配信システム 1 0 cの全体 の動作について、 図 1 1 に示す処理系統図を用いて、 説明する。

暗号装置 1 1 0 cは、 復号装置 1 2 0 cの公開鍵多項式 hを受け取り (ステップ S 1 0 1 ) 、 乱数 sを生成し （ステップ S 1 0 2) 、 関数値 G ( s ) を求め、 関数値 G ( s ) から検証値 a、 共有鍵 K及び乱数値 u を導出する （ステップ S 1 2 1 ) 。 次に、 暗号装置 1 1 0 cは、 検証値 aを、 公開鍵多項式 h及び乱数値 uを用いて NT RU暗号により暗号化 して第 1暗号文 c 1 を生成し （ステップ S 1 0 5) 、 検証値 aに基づき 乱数 sを暗号化して第 2暗号文 c 2 = s X 0 r aを生成する （ステ ップ S 1 2 2 ) 。 次に、 暗号装置 1 1 0 cは、 第 1暗号文 c 1 と第 2暗 号文 c 2とをイ ンターネッ ト 1 3 0を介して復号装置 1 2 0 cへ送信す る （ステップ S 1 0 6) 。

すなわち、 この暗号装置 1 1 0 cは、 以下の処理を行い、 暗号文 C = ( c 1 , c 2 ) を復号装置 1 2 0 cへ送信する。

(a) 乱数 s を生成する。

(b) G ( s ) を生成し、 G ( s ) から a、 K、 uを生成する。

( c ) 公開鍵多項式 h、 乱数値 uを用いて検証値 aの第 1暗号文 c 1 を生成する。

( d ) c 2 = s x o r aを生成する。

次に、 Βί号装置 1 1 0 cは、 導出した共有鍵 Kを用いて、 コ ンテンツ サーバ装置 1 4 0から受け取った平文 m i ( 1 ≤ i ≤ n) を共通鍵暗号 方式により暗号化して暗号文 C i ( 1 ≤ i ≤ n) を生成し （ステップ S 1 0 7) 、 イ ンタ一ネッ ト 1 3 0を介して復号装置 1 2 0 cへ送信する (ステップ S 1 0 8 ) 。

一方、 復号装置 1 20 cは、 復号装置 1 20 cの秘密鍵多項式 f 及び 公開鍵多項式 hを受け取り （ステップ S 1 5 1 ) 、 イ ンタ一ネッ ト 1 3 0を介して暗号装置 1 1 0 cから第 1暗号文 c 1 と第 2暗号文 c 2を受 信し （ステップ S 1 06) 、 第 1暗号文 c 1を秘密鍵多項式 f を用いて 復号して復号検証値 a ' を生成する （ステップ S 1 52) 。 次に、 復号 検証値 a' に基づき第 2暗号文 c 2を復号して、 復号乱数 s ' = c 2 X o r a ' を生成する （ステップ S 1 7 1 ) 。 次に、 復号装置 1 2 0 cは、 復号乱数 s ' の関数値 G (s ' ) から検証値 a' ' 、 共有鍵 K' 及び乱数値 u' を導出する （ステップ S 1 72 ) 。 さらに、検証値 a ' ' を暗号化して第 1再暗号文 c 1 ' を生成し （ステップ S 1 5 5) 、 c l ' = c 1であれば （ステップ S 1 5 6) 、 共有鍵 K' を出力する （ステツ プ S 1 5 7 ) 。

すなわち、 この復号装置 1 20 cは、 以下の処理を行い、 共有鍵 K' を導出する。

( a ) 秘密鍵多項式 f を用いて第 1暗号文 c 1 を復号して a ' を生成 する。

( b ) s ' = c 2 x o r a ' を生成する。

( c ) G ( s ' ) を生成し、 G ( s ' ) から a' ' 、 Κ' 、 u ' を生 成する。

(d) 公開鍵多項式 h、 乱数値 u' を用いて a' ' の第 1再暗号文 c 1 ' を生成する。

( e ) c 1 ' = c 1が成立するかどうかチ ックする。 成立すれば共 有鍵 K' を出力する。

ここで、 暗号装置 1 1 0 cで用いられた公開鍵多項式 hに対応する正 しい秘密鍵多項式 f が復号装置 1 20 cで用いられれば、 第 1暗号文 c 1は正しく復号されて、 復号検証値 a' = aとなり、 第 2暗号文 c 2と a ' から生成される復号乱数 s ' = sとなる。 従って、 G ( s ' ) から 導出される検証値 a' ' = aとなり、共有鍵 K' =Kとなり、乱数値 u' = uとなる。 こう して、 a' ' = a及び u' = uが成り立つので、 c l ' = c 1が成り立ち、 復号装置 1 20 cは暗号装置 1 1 0 cと同じ共有鍵 Kを導出できることになる。

次に、 復号装置 1 20 cは、 イ ンタ一ネッ ト 1 30を介して暗号装置 1 1 0 cから共通鍵暗号文 C i ( 1 ≤ i ≤ n) を受信し （ステップ S I 08 ) 、 導出した共有鍵 K' (= ) を用いて、 受信した共通鍵暗号文 C i ( 1 ≤ i n) を共通鍵暗号方式により復号して復号文 m i ' ( 1 ≤ i ≤ n) を生成し （ステップ S 1 58) 、 復号文 m i ' ( 1≤ i ≤ n) を再生装置 1 50へ出力する。

ここで、 共通鍵暗号文生成時に用いた暗号鍵 Kと復号文生成時に用い る暗号鍵 K' とは同一であるので、 復号装置 1 20 cは、 正しい復号文 m i ' = m i ( 1≤ i ≤ n) を得ることができる。

なお、 復号エラーが発生した場合には、 復号検証値 a' と検証値 aと は異なるので、第 2暗号文 c 2から得られる復号乱数 s ' は sと異なる。 従って、 G ( s ' ) から導出される乱数値 u' 及び共有鍵 K' は、 それ ぞれ u、 Kとは異なる。 しかし、 この場合、 a' 、 u' がそれぞれ a、 uと異なるために第 1再暗号文 c 1 ' は第 1暗号文 c 1 と異なるので、 復号装置 1 20 cは、 共有鍵 K' を出力しない。

2. 4 実施の形態 2における効果

従来の R S A— K E Mアルゴリズムでは、 秘密鍵を知らなければ暗号 文 Cから導出できない要素 sをハッシュ関数 Gに入力して共有鍵 Kを導 出する。 しかしながら、 NT RU暗号を用いて、 鍵カプセル化メカニズ ムである R S A— KEMアルゴリズムを適用して共有鍵の配送を行おう とすると、 復号エラーが発生する場合があるため、 秘密鍵を用いても要 素 sが導出できず、従って正しく ない共有鍵 K' を導出する場合がある。

しかしながら、 実施の形態 2のコ ンテンツ配信システム、 暗号装置及 び復号装置は、 乱数 sのハッシュ関数値 G ( s ) から共有鍵に加えて検 証値 aと乱数値 uとを生成し、 復号装置が乱数値 uと公開鍵多項式 hと を用いて復号検証値 a' を再暗号化して第 1再暗号文 c 1 ' を生成し、 第 1再暗号文 c 1 ' が第 1暗号文 c 1 と同じ値でない限り共有鍵 Kを出 ガしないので、 復号エラーが発生した場合、 暗号装置と復号装置との間 で異なる鍵が導出されるのを防止できる。

また、 本発明による方式は、 非特許文献 3に記述されている証明方法 と同様の方法により、 理論的にその安全性が証明できる。

2 . 5 変形例

上記に説明した実施の形態 2は、 本発明の実施の一例であり、 本発明 はこの実施の形態に何ら限定されるものではなく、 その主旨を逸脱しな い範囲において種々なる態様で実施し得るものである。 実施の形態 1 に おけるのと同様の変形を施すことができるのはもちろんであるが、 以下 のような場合も本発明に含まれる。

( 1 ) 検証値 aから検証値多項式 a pへの変換は、 他の変換方法でも よい。 例えば、 ビッ ト列の各ビッ トの値と多項式の各項の係数とを 1対 1 に対応させる関数を用いて変換してもよいし、 また、 ビッ ト列の各ビ ッ トの値と多項式の各項の係数とを 1対 1 に対応させて記憶している関 数値テーブルを用いて変換してもよい。

また、乱数値 uから乱数多項式 rへの変換は、他の変換方法でもよい。 例えば、 uから rがー意に求まり、 d個の次元の項の係数を 「 1」 とし、 d個の次元の項の係数を 「一 1」 とし、 他の次元の項の係数は 「 0」 と なるようにすれば、 他の変換方法でもよい。 例えば、 乱数値 uを多項式 に対応させる関数、 又は関数値テーブルを用いて変換してもよい。

( 2 )暗号化部 1 1 4 c及び復号化部 1 2 3 cで用いる公開鍵暗号は、 暗号化部 1 1 4 cにおいて、 検証値 aを公開鍵と乱数値 uを用いて暗号 ィ匕して第 1暗号文 c 1 を生成し、 復号化部 1 2 3 cにおいて、 第 1暗号 文 c 1 を秘密鍵で復号して、 検証値 aと等しい復号検証値 a ' を生成で きればよい。 従って、 暗号化部 1 1 4 c及ぴ復号化部 1 2 3 cで用いる 公開鍵暗号は、 N T R U暗号以外に、 乱数を用いる公開鍵暗号ならばど んな暗号であつてもよい。

例えば、 E 1 G a m a 1暗号ならば、 h、 f をそれぞれ E 1 G a m a

1 暗号の公開鍵、 秘密鍵とし、 暗号化部 1 1 4 cにおいて、 aを hと乱 数値 uを用いて暗号化して c 1 を生成し、 復号化部 1 2 3 cにおいて、 c 1 を f を用いて復号して a ' を生成すればよい。 (3) 乱数値 uは、 第 1関数部 1 1 3 c及び第 2関数部 1 26 cで生 成される以外にも、 暗号装置 1 1 0 cと復号装置 1 20 cとで同じ値を 得られれば、 他の生成方法でもよい。

例えば、 任意の関数 F u n cに対し、 u = F u n c ( s ) として暗号 装置 1 1 0 cと復号装置 1 2 0 cとで同じ値を得られるようにしてもよ い。 すなわち、

• G ( s ) を生成し、 G ( s ) から a、 Kを生成する。

• F u n c ( s ) を生成し、 u = F u n c ( s ) とする。

としてもよい。

(4) さらに、 乱数値 uについては、 第 1関数部 1 1 3 c及び第 2関 数部 1 2 6 cで生成される以外にも、 暗号装置 1 1 0 cと復号装置 1 2 0 cとで同じ値が得られればよいため、 暗号装置 1 1 0 cが乱数値 uを 復号装置 1 20 cに直接送信してもよい。

すなわち、 以下のように、 暗号装置 1 1 0 cは、 暗号文 Cと乱数値 u とを復号装置 1 20 bに送信してもよい。 また、 乱数値 uを暗号化して 送信してもよい。

• G ( s ) を生成し、 G ( s ) から a、 Kを生成する。

• 暗号装置 1 1 0 cは、 別途、 乱数値 uを、 1 20 bへ送信する。 (5) さらに、 乱数値 uについては、 暗号装置 1 1 0 cと復号装置 1 20 Cとで同じ値が得られればよいため、 乱数値 Uの一部である部分情 報を第 1関数部 1 1 3 c及び第 2関数部 1 2 6 cで生成し、 乱数値 uの 残りの部分情報を暗号装置 1 1 0 cから復号装置 1 20 cに直接送信し てもよい。

例えば、 以下のように、 暗号装置 1 1 0 cは、 暗号文 Cと乱数値 u 2 を復号装置 1 20 cに送信してもよい。 また、 暗号装置 1 1 0 cは、 乱 数値 u 2を暗号化して送信してもよい。

- G ( s ) を生成し、 G ( s ) から a、 K、 u lを生成する。

• 暗号装置 1 1 0 cは、 別途、 乱数値 u 2を復号装置 1 20 cへ送信 する。

· 暗号装置 1 1 0 cは、 乱数値 u = u 1 X o r u 2を生成する。 (6) 復号装置 1 20 cは、 第 1暗号文 c 1が第 2関数部 1 2 6 で 得られる検証値 a' ' の暗号文かどうかチヱックを行い、 c lが a' ' の暗号文であるときに共有鍵 K' を用いて共通鍵暗号文 C i を復号して いるが、 第 1暗号文 c 1が復号検証値 a' の暗号文かどうかをチヱック してもよい。

( 7 ) 復号装置 1 20 cは、 第 1暗号文 c 1が第 2関数部 1 2 6 cで 得られる検証値 a' ' の暗号文かどうかチヱックを行い、 c lが a' ' の暗号文であるときに共有鍵 K' を用いて共通鍵暗号文 C i を復号して いるが、 図 1 2の処理系統図のステップ S 1 56に示すように、 比較部 1 27 cにおいて、 復号化部 1 23 cが復号した a ' の値と第 2関数部 1 26 cが生成した a' ' の値が等しいかどうかをチェック してもよい (8) 復号エラ一発生により暗号装置 1 1 0 cと復号装置 1 20 cと の間で異なる鍵が導出されるのを防止するため、 第 1再暗号文 c 1 ' が 第 1暗号文 c 1 と同じ値かどうかを検証して共有鍵 K' を出力する代わ りに、 暗号装置 1 1 0 cが乱数 s、 検証値 a、 乱数値 u、 共有鍵 Kのい ずれか 1つ以上について、 ハッシュ関数値を生成し、 生成したハッシュ 関数値を復号装置 1 20 cへ送信し、 復号装置 1 20 cがこのハッシュ 関数値を検証して共有鍵 K' を出力するか否かを決定してもよいし、 安 全性を高めるために、特許文献 1 に開示されている方法を用いてもよい。 すなわち、 実施の形態 1の変形例 （8) を適用してもよい。

3. 実施の形態 1及び実施の形態 2のまとめ

以上説明したように、 本発明は、 共有鍵データと、 予め与えられた公 開鍵データに基づいて前記共有鍵データを暗号化した暗号化共有鍵デー 夕を出力する共有鍵生成装置であって、 秘密数データを生成する秘密数 データ生成部と、 前記秘密数データを所定の処理に基づいて乱数データ と前記共有鍵データに変換する共有鍵導出部と、 前記秘密数データを前 記公開鍵データと前記乱数データに基づいて暗号化して暗号化共有鍵デ ータを生成する第 1の暗号化部とを備える。

また、 本発明は、 共有鍵データと、 予め与えられた公開鍵データに基 づいて前記共有鍵データを暗号化した暗号化共有鍵データを出力する共 有鍵生成装置であって、秘密数データを生成する秘密数データ生成部と、 前記秘密数データを所定の処理に基づいて検証値データと乱数デ一夕と 前記共有鍵データに変換する共有鍵導出部と、 前記検証値データを前記 公開鍵データと前記乱数データに基づいて暗号化して第 1 の暗号予備デ 一夕を生成する第 1 の暗号化部と、 前記秘密数データを前記検証値デー タに基づいて暗号化して第 2の暗号予備データを生成する第 2の暗号化 部とを備え、 前記暗号化共有鍵データは、 前記第 1 の暗号予備データと 前記第 2の暗号予備データから構成される。

ここで、 前記第 2の暗号化部は、 前記秘密数データと前記検証値デー タの排他的論理和演算を行って前記第 2の暗号予備データを生成すると してもよい。

ここで、 前記第 2の暗号化部は、 前記秘密数データを、 前記検証値デ 一夕を暗号鍵として用いて共通鍵暗号方式により暗号化して前記第 2の 暗号予備データを生成すると してもよい。

ここで、 前記第 2の暗号化部は、 前記秘密数データに前記検証値デー 夕を加算して前記第 2の暗号予備データを生成するとしてもよい。

ここで、 前記第 2の暗号化部は、 前記秘密数データに前記検証値デー 夕を乗算して前記第 2の暗号予備データを生成すると してもよい。

ここで、 前記暗号化共有鍵データは、 前記第 1 の暗号予備データと前 記第 2暗号予備データのビッ ト連結データであるとしてもよい。

ここで、 前記第 1 の暗号化部は、 N T R U暗号方式により暗号化して 前記暗号化共有鍵データを生成するとしてもよい。

ここで、 前記第 1 の暗号化部は、 N T R U暗号方式により暗号化して 前記第 1 の暗号予備データを生成するとしてもよい。

ここで、 前記秘密数データは、 ランダムに生成される乱数であるとし てもよい。

ここで、 前記共有鍵導出部は、 所定の処理として、 一方向性ハッシュ 関数を用いるとしてもよい。

また、 本発明は、 予め与えられた秘密鍵データ及び公開鍵データに基 づいて、 暗号化共有鍵データを復号して共有鍵データを出力する共有鍵 復元装置であって、 前記暗号化共有鍵データを前記秘密鍵データに基づ いて復号化して秘密数データを生成する第 1 の復号化部と、 前記秘密数 データを所定の処理に基づいて乱数データと前記共有鍵データに変換す る共有鍵導出部と、 前記秘密数データを前記公開鍵データと前記乱数デ 一夕に基づいて暗号化して再暗号化共有鍵データを生成する第 3の暗号 化部とを備え、 前記暗号化共有鍵データと前記再暗号化共有鍵データが 一致する場合に、 前記共有鍵データを出力する。

また、 本発明は、 予め与えられた秘密鍵データ及び公開鍵データに基 づいて、 第 1 の暗号予備データと第 2の暗号予備データから構成される 暗号化共有鍵データを復号して共有鍵データを出力する共有鍵復元装置 であって、 前記第 1 の暗号予備データを前記秘密鍵データに基づいて復 号化して検証値データを生成する第 1 の復号化部と、 前記第 2の暗号予 備データを前記検証値データに基づいて復号化して秘密数データを生成 する第 2の復号化部と、 前記秘密数データを所定の処理に基づいて検証 値検証データと乱数データと前記共有鍵データに変換する共有鍵導出部 と、 前記検証値検証データを前記公開鍵データと前記乱数データに基づ いて暗号化して第 3の暗号予備データを生成する第 3の暗号化部とを備 え、 前記第 1 の暗号予備データと前記第 3の暗号予備データがー致する 場合に、 前記共有鍵データを出力する。

また、 本発明は、 予め与えられた秘密鍵データ及び公開鍵データに基 づいて、 第 1 の暗号予備データと第 2の暗号予備データから構成される 暗号化共有鍵データを復号して共有鍵データを出力する共有鍵復元装置 であって、 前記第 1 の暗号予備データを前記秘密鍵データに基づいて復 号化して検証値データを生成する第 1 の復号化部と、 前記第 2の暗号予 備データを前記検証値データに基づいて復号化して秘密数データを生成 する第 2の復号化部と、 前記秘密数データを所定の処理に基づいて検証 値検証データと乱数データと前記共有鍵データに変換する共有鍵導出部 と、 前記検証値データを前記公開鍵データと前記乱数データに基づいて 暗号化して第 3の暗号予備データを生成する第 3の暗号化部とを備え、 前記第 1 の暗号予備データと前記第 3の暗号予備データが一致する場合 に、 前記共有鍵データを出力する。

ここで、 前記第 2の復号化部は、 前記第 2の暗号予備データと前記検 証値データの排他的論理和演算を行って前記秘密数データを生成すると してもよい。

ここで、 前記第 2の復号化部は、 前記第 2の暗号予備データを、 前記 検証値データを暗号鍵として用いて共通鍵暗号方式により復号化して前 記秘密数データを生成するとしてもよい。

ここで、 前記第 2の復号化部は、 前記第 2の暗号予備データに前記検 証値データを減算して前記秘密数データを生成すると してもよい。

ここで、 前記第 2の暗号化部は、 前記第 2の暗号予備データを前記検 証値データで除算して前記秘密数データ第 2の秘密数データを生成する としてもよい。

ここで、 前記第 1 の復号化部は、 N T R U暗号方式により復号化して 前記共有鍵データを生成するとしてもよい。

ここで、 前記第 1 の復号化部は、 N T R U暗号方式により復号化して 前記検証値データを生成するとしてもよい。

ここで、 前記共有鍵導出部は、 所定の処理として、 一方向性ハッシュ 関数を用いるとしてもよい。

また、 本発明は、 予め与えられた公開鍵データに基づいて平文データ を暗号化した暗号文データを生成する暗号装置であって、 秘密数データ を生成する秘密数データ生成部と、 前記秘密数データを所定の処理に基 づいて乱数データと共有鍵データに変換する共有鍵導出部と、 前記秘密 数データを前記公開鍵データと前記乱数データに基づいて暗号化して第

1 の暗号予備データを生成する第 1 の暗号化部と、 前記平文データを前 記共有鍵データに基づいて暗号化して第 2の暗号予備データを生成する 第 2の暗号化部とを備え、 前記暗号文データは、 前記第 1の暗号予備デ —タと前記第 2の暗号予備データから構成される。

また、 本発明は、 予め与えられた秘密鍵データ及び公開鍵データに基 づいて、 第 1 の暗号予備データと第 2の暗号予備データから構成される 暗号文データを復号して復号文データを出力する復号装置であって、 前 記第 1 の暗号予備データを前記秘密鍵データに基づいて復号化して秘密 数データを生成する第 1 の復号化部と、 前記秘密数データを所定の処理 に基づいて乱数データと共有鍵データに変換する共有鍵導出部と、 前記 秘密数データを前記公開鍵データと前記乱数データに基づいて暗号化し て第 3の暗号予備データを生成する第 3の暗号化部とを備え、 前記第 1 の暗号予備データと前記第 3の暗号予備データが一致する場合に、 前記 第 2の暗号予備データを前記共有鍵に基づいて復号化して前記復号文デ 一夕を生成する復号部とを備える。

また、 本発明は、 予め与えられた公開鍵データに基づいて平文データ を暗号化した暗号文データを生成する暗号装置、 及び予め与えられた秘 密鍵データ及び公開鍵データに基づいて暗号文データを復号して復号文 データを出力する復号装置からなる暗号システムである。 前記暗号装置 は、 秘密数データを生成する秘密数データ生成部と、 前記秘密数データ を所定の処理に基づいて乱数データと共有鍵データに変換する共有鍵導 出部と、 前記秘密数データを前記公開鍵データと前記乱数データに基づ いて暗号化して第 1 の暗号予備データを生成する第 1 の暗号化部と、 前 記平文データを前記共有鍵データに基づいて暗号化して第 2の暗号予備 データを生成する第 2の暗号化部とを備え、 前記暗号文データは、 前記 第 1 の暗号予備データと前記第 2の暗号予備データと前記第 3の暗号予 備データから構成される。 前記復号装置は、 前記第 1 の暗号予備デ一夕 を前記秘密鍵データに基づいて復号化して秘密数データを生成する第 1 の復号化部と、 前記秘密数データを所定の処理に基づいて乱数データと 共有鍵データに変換する共有鍵導出部と、 前記秘密数データを前記公開 鍵データと前記乱数データに基づいて暗号化して第 3の暗号予備データ を生成する第 3の暗号化部とを備え、 前記第 1 の暗号予備データと前記 第 3の暗号予備データが一致する場合に、 前記第 2の暗号予備データを 前記共有鍵に基づいて復号化して前記復号文デ一タを生成する復号部と を備える。

以上に説明したように、 本発明は、 従来システムにおける問題点を鑑 みて行われたもので、 暗号システムにおいて、 N T R U暗号を適用でき る新しい鍵カプセル化メ力二ズムを構成することで、 暗号装置と復号装 置との間で異なる鍵が導出されるのを防止でき、 鍵カプセル化メカニズ ムにより導出される鍵を用いた送信装置から受信装置への確実な暗号化 通信ができる。

以上により、 従来技術では達成できなかった暗号システムを提供する ことができ、 その価値は大きい。

4 . 実施の形態 3

本発明に係るさらに別の実施の形態としてのコ ンテンツ配信システム 1 0 d (図示していない） について説明する。

なお、 コ ンテンツ配信システム 1 0 dは、 コ ンテンツ配信システム 1 0を変形したシステムである。 こ こでは、 コ ンテンツ配信システム 1 0 dについて、 コンテンツ配信システム 1 0との差異点を中心に詳しく説 明する。

4 . 1 コ ンテンツ配信システム 1 0 dの構成

コンテンツ配信システム 1 0 dは、 コ ンテンツ配信システム 1 0と同 様の構成を有しており、 暗号装置 1 1 0及ぴ復号装置 1 2 0に代えて、 暗号装置 1 1 0 d及び復号装置 1 2 0 dを含んでいる。 その他の構成に ついては、 コ ンテンツ配信システム 1 0 におけるものと同様であるので 説明を省略する。

コ ンテンツ配信システム 1 0 dは、 N T R U暗号を用いて鍵カプセル 化メ力ニズムによる鍵配送を行って暗号化通信を行う暗号通信システム であり、 暗号装置 1 1 0 dと復号装置 1 2 0 dとは、 イ ンターネッ ト 1 3 0を介して接続されている。

4 . 2 暗号装置 1 1 0 dの構成

暗号装置 1 1 0 dは、 図 1 3に示すように、 公開鍵入力部 1 1 1 d、 乱数生成部 1 1 2 d、 第 1 関数部 1 1 3 d、 暗号化部 1 1 4 d、 第 2関 数部 1 1 5 d、 乱数マスク部 1 1 6 d、 第 1送信部 1 1 7 d、 共通鍵暗 号部 1 1 8及び第 2送信部 1 1 9から構成されている。

暗号装置 1 1 0 dは、 暗号装置 1 1 0 と同様のコンピュータシステム であり、 マイ クロプロセッサが、 コンピュータプログラムに従って動作 することにより、 暗号装置 1 1 0 dは、 その機能を達成する。

( 1 ) 公開鍵入力部 1 1 1 d

公開鍵入力部 1 1 1 dは、 メモリカー ド 1 60から復号装置 1 20の 公開鍵多項式 hを読み出し、 読み出した公開鍵多項式 hを暗号化部 1 1 4 dへ出力する。

(2) 乱数生成部 1 1 2 d

乱数生成部 1 1 2 dは、 共有鍵 Kを生成するための元となるシード値 として、 乱数 sを生成し、 生成した乱数 sを第 1関数部 1 1 3と乱数マ スク部 1 1 6とへ出力する。

( 3 ) 第 1関数部 1 1 3 d

第 1関数部 1 1 3 dは、 乱数生成部 1 1 2 dから乱数 sを受け取り、 受け取った乱数 sの関数値 G ( s ) を生成し、 関数値 G ( s ) から検証 値 aと共有鍵 Kを生成する。 ここでは、 関数 Gは、 一方向性関数である 出力長が 2 kビッ トのハッシュ関数であり、 第 1関数部 1 1 3 dは、 G ( s ) の上位 kビッ トを検証値 aとし、 G ( s ) の下位 kビッ トを共有 鍵 Kとする。

次に、 第 1関数部 1 1 3 dは、 生成した検証値 aを暗号化部 1 1 4 d と第 2関数部 1 1 5 dとへ出力し、 生成した共有鍵 Kを共通鍵暗号部 1 1 8へ出力する。

(4) 暗号化部 1 1 4 d

暗号化部 1 1 4 dは、 公開鍵入力部 1 1 1 dから公開鍵多項式 hを受 け取り、 第 1関数部 1 1 3 dから検証値 aを受け取り、 次に示すように して、 受け取った公開鍵多項式 hを用いて検証値 aの第 1暗号文 c 1 を 生成する。 ここで、 生成される第 1暗号文 c 1は、 NT RU暗号による 暗号文である。

暗号化部 1 1 4 dは、 NT RU暗号のパラメ一タ dに対し、 d個の項 の各係数が 「 1」 であり、 別の d個の項の各係数が 「_ 1」 であり、 そ の他の項の各係数が 「0」 となる乱数多項式 rをランダムに生成する。 次に、 検証値 aが N T R U暗号の暗号アルゴリズム Eに適用できるよう に、 検証値 aを 2進数表現した場合の N桁のビッ ト列の各桁の値が、 検 証値多項式 a pの各項の係数に対応するように、 検証値多項式 a pを生 成する。 例えば、 検証値 aの下位 bビッ ト 目の値を、 検証値多項式 a p の項 Χ ^Λ ΐ3の係数とする。 こう して、 検証値 aを検証値多項式 a pに変 換する。. 具体的には、 検証値 a = 1 00 1 0 (ビッ ト表現） の場合、 検 証値多項式 a ρ =Χ ^Λ 5 +Χ ^Λ 2と変換する。 次に、 公開鍵多項式 hを 使用して、 乱数多項式 rを用いて検証値多項式 a pに前記暗号アルゴリ ズム Eを施して、 暗号文多項式である第 1暗号文 c 1 = E ( a p , r , h) を生成する。

次に、 暗号化部 1 1 4 dは、 生成した第 1暗号文 c 1 を第 2関数部 1 1 5 dと第 1送信部 1 1 7 dとへ出力する。

(5) 第 2関数部 1 1 5 d

第 2関数部 1 1 5 dは、第 1関数部 1 1 3 dから検証値 aを受け取り、 暗号化部 1 1 4 dから第 1暗号文 c 1 を受け取り、次に示すようにして、 検証値 aと第 1暗号文 c 1の関数値 H (a， c 1 ) を生成する。

ここでは、関数 Hはハッシュ関数であり、一方向性関数の一種である。 第 1暗号文 c 1は、 NT RU暗号の暗号文であり多項式で表現されて いるので、 第 2関数部 1 1 5 dは、 第 1暗号文 c 1の各項の係数が、 2 進数表現した場合の N桁の第 1暗号文ビッ ト列 c 1 ' の各桁の値に対応 するように、 第 1暗号文ビッ ト列 c 1 ' を生成する。 例えば、 第 1暗号 文 c 1の b次元の項 X ^Λ bの係数を、 第 1暗号文ビッ ト列 c の下位 bビッ ト 目の値とする。 こう して、 第 1暗号文 c l を第 1暗号文ビッ ト 列 c Γ に変換する。 具体的には、 第 1暗号文 c l =X ^ 5 +X 2の 場合、 第 1暗号文ビッ ト列 c 1 ' = 1 00 1 0 (ビッ ト表現） と変換す る。

次に、 第 2関数部 1 1 5 dは、 ハツシュ関数 Hに検証値 aと第 1暗号 文ビッ ト列 c 1 ' とのビッ ト結合 a I I c 1 ' を入力して、関数値 H(a , c l ) =H (a l | c l ' ) を生成する。 ここで、 「 I I 」 は、 ビッ ト 結合を示す演算子である。

次に、 第 2関数部 1 1 5 dは、 生成した関数値 H (a, c 1 ) を乱数 マスク部 1 1 6 dへ出力する。 ( 6 ) 乱数マスク部 1 1 6 d

乱数マスク部 1 1 6 dは、乱数生成部 1 1 2 dから乱数 sを受け取り、 第 2関数部 1 1 5 dから関数値 H (a, c 1 ) を受け取る。 次に、 第 2 暗号文 c 2 = s X 0 r H ( a , c 1 ) を生成し、 生成した第 2暗号 文 c 2を第 1送信部 1 1 7 dへ出力する。

なお、 乱数マスク部 1 1 6 dは、 排他的論理和 X o rに代えて、 共有 鍵暗号アルゴリズム、 加算又は乗算を用いるとしてもよい。

(7) 第 1送信部 1 1 7 d

第 1送信部 1 1 7 dは、 暗号化部 1 1 4 dから第 1暗号文 c 1 を受け 取り、 乱数マスク部 1 1 6 dから第 2暗号文 c 2を受け取り、 受け取つ た第 1暗号文 c l と第 2暗号文 c 2とを、 イ ンターネ ッ ト 1 30を介し て、 復号装置 1 20 dへ送信する。

(8) 共通鍵暗号部 1 1 8及び第 2送信部 1 1 9

共通鍵暗号部 1 1 8及び第 2送信部 1 1 9は、以下に示す点を除いて、 それぞれ、 暗号装置 1 1 0に含まれている共通鍵暗号部 1 1 8及び第 2 送信部 1 1 9と同じである。

共通鍵暗号部 1 1 8は、第 1関数部 1 1 3 dから共有鍵 Kを受け取る。 4. 3 復号装置 1 20 dの構成

復号装置 1 20 dは、 図 1 4に示すように、 秘密鍵入力部 1 2 1 d、 第 1受信部 1 22 d、 復号化部 1 23 d、 第 3関数部 1 24 d、 乱数マ スク除去部 1 25 d、 第 4関数部 1 26 d、 比較部 1 27 d、 共通鍵復 号部 1 28及び第 2受信部 1 29から構成されている。

復号装置 1 20 dは、 復号装置 1 20と同様のコンピュータシステム であり、 マイクロプロセッサが、 コンピュータプログラムに従って動作 することにより、 復号装置 1 20 dは、 その機能を達成する。

なお、 共通鍵復号部 1 28及び第 2受信部 1 2 9は、 それぞれ、 復号 装置 1 20に含まれている共通鍵復号部 1 28及び第 2受信部 1 29と 同じであるので、 こ こでは、 説明を省略する。

( 1 ) 秘密鍵入力部 1 2 1 d

秘密鍵入力部 1 2 1 dは、 メモ リ カー ド 1 70から復号装置 1 20 d の秘密鍵多項式 f を読み出し、 読み出した秘密鍵多項式 f を復号化部 1 23 dへ出力する。

(2) 第 1受信部 1 22 d .

第 1受信部 1 2 2 dは、 イ ンタ一ネッ ト 1 30を介して暗号装置 1 1 0 dから第 1暗号文 c 1 と第 2暗号文 c 2とを受け取り、 受け取った第 1暗号文 c 1 を復号化部 1 23 dと第 3関数部 1 24 dとへ出力し、 受 け取った第 2暗号文 c 2を乱数マスク除去部 1 25 dへ出力する。

なお、 乱数マスク部 1 1 6 dが、 排他的論理和に代えて、 共有鍵暗号 アルゴリズム、 加算又は乗算を用いる場合において、 乱数マスク除去部 1 25 dは、 それぞれ、 共有鍵暗号アルゴリ ズムに対応する共有鍵復号 アルゴリ ズム、 減算、 又は除算を用いるとしてもよい。

(3) 復号化部 1 23 d

復号化部 1 23 dは、 秘密鍵入力部 1 2 1 dから秘密鍵多項式 f を受 け取り、 第 1受信部 1 22 dから第 1暗号文 c 1 を受け取り、 次に示す ように して、 秘密鍵多項式 f を用いて、 第 1暗号文 C 1 を復号して復号 検証値 a' を生成する。 こ こでは、 復号検証値 a' は NT RU暗号によ る復号文である。

復号化部 1 23 dは、 秘密鍵多項式 f を使用して、 第 1暗号文 c 1 に 前記復号ァルゴリズム Dを施して、 復号検証値多項式 a p ' = D ( c 1 , f ) を生成する。 次に、 復号検証値多項式 a p' は、 NTRU暗号の復 号文であり多項式で表現されているので、 復号化部 1 23 dは、 復号検 証値多項式 a p' の各係数が、 復号検証値 a' を 2進数表現した場合の N桁のビッ ト列の各桁の数に対応するように、 復号検証値 a' を生成す る。 例えば、 復号検証値多項式 a p' の b次元の項 X bの係数を、 復 号検証値 a ' の下位 bビッ ト 目の値とする。 こう して、 復号検証値多項 式 a p' を復号検証値 a' に変換する。 具体的には、 復号検証値多項式 a p ' = X ^ 5 + X ^ 2の場合、 復号検証値 a ' = 1 00 1 0 (ビッ ト 表現） に変換する。 ·

次に、 復号化部 1 23 dは、 生成した復号検証値 a ' を第 3関数部 1 24 dと比較部 1 27 dとへ出力する。 (4) 第 3関数部 1 24 d

第 3·関数部 1 24 dは、 第 2関数部 1 1 5 dが有する関数と同じ関数 Hのアルゴリズムを有している。

第 3関数部 1 24 dは、 第 1受信部 1 22 dから第 1暗号文 c 1を受 け取り、 復号化部 1 23 dから復号検証値 a ' を受け取る。 次に、 第 2 関数部 1 1 5 dと同様にして、 検証値 a' と第 1暗号文 c 1 との関数値 H (a' , c 1 ) を生成し、 生成した関数値 H (a' ， c 1 ) を乱数マ スク除去部 1 2 5 dへ出力する。

(5) 乱数マスク除去部 1 25 d

乱数マスク除去部 1 25 dは、 第 1受信部 1 22 dから第 2暗号文 c 2を受け取り、 第 3関数部 1 24 dからハッシュ関数値 H (a' , c l ) を受け取り、 次に、 復号乱数 s ' = c 2 X o r H (a' , c l ) を 生成し、 生成した復号乱数 sを第 4関数部 1 26 dへ出力する。

(6) 第 4関数部 1 2 6 d

第 4関数部 1 2 6 dは、 第 1関数部 1 1 3 dが有する関数と同じ関数

Gのアルゴリズムを有している。

第 4関数部 1 2 6 dは、 乱数マスク除去部 1 25 dから復号乱数 s ' を受け取り、 復号乱数 s ' のハッシュ関数値 G (s ' ) を生成する。 次 に、第 1関数部 1 1 3 dと同様にして、関数値 G( s' )から検証値 a' ' と共有鍵 K' とを生成し、 生成した検証値 a' ' と共有鍵 K' とを比較 部 1 27 dへ出力する。

(7) 比較部 1 27 d

比較部 1 2 7 dは、復号化部 1 23 dから復号検証値 a ' を受け取り、 第 4関数部 1 2 6 dから検証値 a ' ' と共有鍵 K' とを受け取り、次に、 復号検証値 a ' と検証値 a ' ' が等しいかどうかチェックを行い、 復号 検証値 a' と検証値 a' ' とが等しければ、 共有鍵 K' を共通鍵復号部 1 28へ出力する。

(8) 共通鍵復号部 1 28及び第 2受信部 1 29

共通鍵復号部 1 28は、 比較部 1 2 7 dから共有鍵 K' を受け取る。 その他の点については、 共通鍵復号部 1 28は、 復号装置 1 20に含 まれている共通鍵復号部 1 28と同じであるので、 ここでは、 説明を省 略する。

また、 第 2受信部 1 2 9は、 復号装置 1 20に含まれている第 2受信 部 1 29と同じであるので、 ここでは、 説明を省略する。

4. 4 コ ンテンツ配信システム 1 0 dの動作

コ ンテンッ配信システム 1 0 dの動作について、 図 1 5に示すフロー チャート及び図 1 6に示す処理系統図を用いて説明する。

公開鍵入力部 1 1 1 dは、 メモリカー ド 1 60から復号装置 1 2 0 d の公開鍵多項式 hを受け取り、 公開鍵多項式 hを暗号化部 1 1 4 dへ出 力する （ステップ S 20 1 ) 。

次に、 乱数生成部 1 1 2 dは、 乱数 sを生成して、 乱数 sを第 1関数 部 1 1 3 dと乱数マスク部 1 1 6 dとへ出力する（ステップ S 202)。 次に、 第 1関数部 1 1 3 dは、 乱数生成部 1 1 2 dから乱数 sを受け 取り、 乱数 sの関数値 G ( s ) を生成する （ステップ S 203) 。 そし て、 第 1関数部 1 1 3 dは、 関数値 G ( s ) から検証値 aと共有鍵 Kを 生成して、 検証値 aを暗号化部 1 1 4 dと第 2関数部 1 1 5 dとへ出力 し、 共有鍵 Kを共通鍵暗号部 1 1 8へ出力する （ステップ S 204) 。 次に、 暗号化部 1 1 4 dは、 公開鍵入力部 1 1 1 dから公開鍵多項式 hを受け取り、 第 1関数部 1 1 3 dから検証値 aを受け取る。 そして、 暗号化部 1 1 4 dは、 公開鍵多項式 hを用いて検証値 aの第 1暗号文 c 1 を生成し、 第 1暗号文 c 1 を第 2関数部 1 1 5 dと第 1送信部 1 1 7 dとへ出力する （ステップ S 20 5) 。

次に、 第 2関数部 1 1 5 dは、 第 1関数部 1 1 3 dから検証値 aを受 け取り、 暗号化部 1 1 4 dから第 1暗号文 c 1 を受け取り、 検証値 aと 第 1暗号文 c 1 との関数値 H (a, c 1 ) を生成し、 関数値 H (a, c 1 ) を乱数マスク部 1 1 6へ出力する （ステップ S 206) 。

次に、 乱数マスク部 1 1 6 dは、 乱数生成部 1 1 2 dから乱数 sを受 け取り、 第 2関数部 1 1 5 dから関数値 H (a, c 1 ) を受け取り、 乱 数マスク部 1 1 6 dは、 第 2暗号文 c 2 = s X o r H ( a , c 1 ) を生成し、 第 2暗号文 c 2を第 1送信部 1 1 7 dへ出力する （ステップ S 207 ) ₀

次に、 第 1送信部 1 1 7 dは、 暗号化部 1 1 4 dから第 1暗号文 c 1 を受け取り、 乱数マスク部 1 1 6 dから第 2暗号文 c 2を受け取り、 第 1暗号文 c 1 と第 2暗号文 c 2とをイ ンタ一ネッ ト 1 30を介して復号 装置 1 2 0 dへ送信する （ステップ S 208) 。

次に、 共通鍵暗号部 1 1 8は、 コンテンッサーバ装置 1 40から複数 の平文 m i ( l i ≤ n) を受け取り、 第 1関数部 1 1 3 dから共有鍵 Kを受け取り、 共有鍵 Kを使用して平文 m i ( 1 ≤ i ≤ n) に共通鍵暗 号アルゴリ ズム S y mを施して、 共通鍵暗号文 C i = S y m (m i , K) ( 1 i n) を生成し、 共通鍵暗号文 C i ( 1 ≤ i ≤ n) を第 2送信 部 1 1 9へ出力する （ステップ S 209) 。

次に、 第 2送信部 1 1 9は、 共通鍵暗号部 1 1 8から共通鍵暗号文 C

1 ( 1≤ i ≤ n) を受け取り、 イ ンターネッ ト 1 3 0を介して復号装置 1 20 dへ送信し （ステップ S 2 1 0) 、 処理を終了する。

一方、 秘密鍵入力部 1 2 1 dは、 メモ リ カー ド 1 70から復号装置 1

20 dの秘密鍵多項式 f を受け取り、 秘密鍵多項式 f を復号化部 1 23 へ出力する （ステップ S 25 1 ) 。

次に、 第 1受信部 1 22 dは、 イ ンターネッ ト 1 30を介して暗号装 置 1 1 0 dから第 1暗号文 c l と第 2暗号文 c 2とを受け取り、 第 1暗 号文 c 1 を復号化部 1 23 dと第 3関数部 1 24 dとへ出力し、 第 2暗 号文 c 2を乱数マスク除去部 1 25 dへ出力する（ステップ S 208)。 次に、 復号化部 1 23 dは、 秘密鍵入力部 1 2 1から秘密鍵多項式 f を受け取り、第 1受信部 1 2 2 dから第 1暗号文 c 1 を受け取り、次に、 秘密鍵多項式 f を用いて、 第 1暗号文 c 1 を復号して復号検証値 a' を 生成し、 復号検証値 a' を第 3関数部 1 24 dと比較部 1 27 dへ出力 する （ステップ S 252) 。

次に、 第 3関数部 1 24 dは、 第 1受信部 1 22 dから第 1暗号文 c 1を受け取り、復号化部 1 23 dから復号検証値 a' を受け取り、次に、 第 2関数部 1 1 5 dと同様にして、 検証値 a' と第 1暗号文 c 1の関数 値 H (a ' , c 1 ) を生成し、 関数値 H (a' , c 1 ) を乱数マスク除 去部 1 2 5 dへ出力する （ステップ S 253) 。

次に、 乱数マスク除去部 1 25 dは、 第 1受信部 1 22 dから第 2暗 号文 c 2を受け取り、第 3関数部 1 24 dからハッシュ関数値 H( a' , c 1 ) を受け取り、 次に、 復号乱数 s ' = c 2 X o r H (a' , c 1 ) を生成し、 復号乱数 sを第 4関数部 1 26 dへ出力する （ステップ S 254 ) o

次に、 第 4関数部 1 2 6 dは、 乱数マスク除去部 1 25から復号乱数 s ' を受け取り、復号乱数 s ' のハッ シュ関数値 G ( s' ) を生成し （ス テツプ S 255) 、 第 1関数部 1 1 3 dと同様にして、 関数値 G ( s ' ) から検証値 a' ' と共有鍵 K' とを生成して、 検証値 a' ' と共有鍵 K' とを比較部 1 2 7 dへ出力する （ステップ S 25 6) 。

次に、 比較部 1 27 dは、 復号化部 1 23から復号検証値 a ' を受け 取り、第 4関数部 1 26 dから検証値 a' ' と共有鍵 K' とを受け取り、 復号検証値 a' と検証値 a' ' とが等しいかどうかチェックを行い、 等 しく なければ （ステップ S 257) 、 処理を終了する。

復号検証値 a' と検証値 a ' ' とが等しければ（ステップ S 257 )、 比較部 1 27 dは、 共有鍵 K' を共通鍵復号部 1 28へ出力する （ステ ップ S 25 8 ) 。

次に、 第 2受信部 1 2 9は、 インタ一ネッ ト 1 30を介して暗号装置 1 1 0 dから暗号文 C i ( 1 ≤ i ≤ n) を受信し、 共通鍵復号部 1 28 へ出力する （ステップ S 2 1 0) 。

次に、 共通鍵復号部 1 28は、 比較部 1 27 dから共有鍵 K' を受け 取り、 第 2受信部 1 29から共通鍵暗号文 C i ( 1≤ i ≤ n) を受け取 り、 共有鍵 K' を使用して共通鍵暗号文 C i ( 1 ≤ i ≤ n) に共通鍵暗 号アルゴリ ズム S y mを施して、 復号文 m i ' = S y m ( C i , K) ( 1 ≤ i ≤ n) を生成し、 復号文 m i ' ( 1 ≤ i ≤ n) を外部へ出力し （ス テツプ S 25 9 ) 、 処理を終了する。

4. 5 コンテンツ配信システム 1 0 dの動作検証

以下に、 コ ンテンツ配信システム 1 0 dの全体の動作について説明す る。 暗号装置 1 1 0 dは、復号装置 1 20 dの公開鍵多項式 hを入力とし、 乱数 sを生成して、関数値 G ( s )から検証値 aと共有鍵 Kを導出する。 次に、 暗号装置 1 1 0 dは、 検証値 aを公開鍵多項式 hを用いて NT R U暗号で暗号化して第 1暗号文 c 1を生成し、 検証値 aと第 1暗号文 c 1から関数値 H (a, c 1 ) を生成し、 乱数 sと関数値 Ή (a, c 1 ) から第 2暗号文 c 2 = s x o r H ( a , c 1 ) を生成する。 次に、 暗号装置 1 1 0 dは、 第 1暗号文 c 1 と第 2暗号文 c 2をイ ンタ一ネッ ト 1 30を介して復号装置 1 20 dへ送信する。

すなわち、 この暗号装置 1 1 0 dは、 以下の処理を行い、 暗号文 C = ( c 1 , c 2 ) を復号装置 1 20 dへ送信する。

• 乱数 sを生成する。

• G ( s ) を生成し、 G ( s ) から a, Kを生成する。

• 公開鍵多項式 hを用いて検証値 aの第 1暗号文 c 1を生成する。

• c 2 = s x o r H (a， c l ) を生成する。

· 共有鍵 Kと暗号文 C = (c l , c 2) を出力する。

次に、 暗号装置 1 1 0 dは、 導出した共有鍵 Kを用いて、 コ ンテンツ サーバ装置 1 40から入力された平文 m i ( 1≤ i ≤ n) を共通鍵暗号 で暗号化して暗号文 C i ( 1 ≤ i ≤ n) を生成し、 イ ンタ一ネッ ト 1 3 0を介して復号装置 1 20 dへ送信する。

一方、 復号装置 1 20 dは、 復号装置 1 20 dの秘密鍵多項式 f を入 力と し、 イ ンタ一ネッ ト 1 30を介して暗号装置 1 1 0 dから第 1暗号 文 c 1 と第 2暗号文 c 2とを受信し、 第 1暗号文 c 1 を秘密鍵多項式 f を用いて復号して復号検証値 a' を生成する。 復号検証値 a' と第 1暗 号文 c 1から関数値 H (a' , c 1 ) を生成し、 第 2暗号文 c 2と関数 値 H ( a ' , c 1 ) から復号乱数 s ' = c 2 x o r H ( a ' , c 1 ) を生成する。次に、復号装置 1 2 0 dは、復号乱数 s ' の関数値 G (s ' ) から検証値 a' ' と共有鍵 K' を導出し、 検証値 a' ' = a ' であれば 共有鍵 K' を出力する。

すなわち、 この復号装置 1 20 dは、 以下の処理を行い、 共有鍵 K' を導出する。 •秘密鍵多項式 ίを用いて第 1暗号文 c 1を復号して a' を生成する。

• s ' = c 2 X 0 r H ( a ' , c 1 ) を生成する。

• G ( s ' ) を生成し、 G (s ' ) から a' ' , Κ' を生成する。

• a' ' = a ' が成立するかどうかチェ ッ クする。 成立すれば共有鍵 K' を出力する。

こ こで、 暗号装置 1 1 0 dで用いられた公開鍵多項式 hに対応する正 しい秘密鍵多項式 f が復号装置 1 20 dで用いられれば、 第 1暗号文 c 1は正しく復号されて、 復号検証値 a' = aとなり、 第 2暗号文 c 2と H ( a ' ， c 1 ) から生成される復号乱数 s ' = sとなる。 従って、 G ( s ' ) から導出される検証値 a' * = aとなり、 共有鍵 K' =Kとな る。 そして、 a' ' = a ' が成り立つので、 復号装置 1 2 0 dは暗号装 置 1 1 0 dと同じ共有鍵 Kを導出できることになる。

次に、 復号装置 1 20 dは、 導出した共有鍵 K' ( = K) を用いて、 イ ンターネッ ト 1 3 0を介して暗号装置 1 1 0 dから共通鍵暗号文 C i ( 1≤ i ≤ n) を受け取り、 受け取った共通鍵暗号文 C i ( 1≤ i ≤ n) を共通鍵暗号で復号して復号文 m i ' ( 1≤ i ≤ n) を生成して再生装 置 1 50へ出力する。

こ こで、 共通鍵暗号文生成時に用いた暗号鍵 Kと復号文生成時に用い る暗号鍵 K' は同一であるので、 復号装置 1 20 dは、 正しく m i ' = m i ( 1 ≤ i ≤ n) を得ることができる。

4. 6 実施の形態 3における効果

従来の P S E C— K E Mアルゴリズムでは、 ハッシュ関数 Hの入力に a * P, a *Wを用い、 秘密鍵を用いずに a * Pから a *Wを計算する ことが困難な D i f f i e - H e 1 1 m a n問題を用いて、 最終的に共 有鍵 Kを導出するこ とによ り、 秘密鍵を知らなければその共有鍵 Kを導 出できないようにしている。 従って、 NTRU暗号をはじめ、 D i f f i e - H e 1 1 m a n問題を利用しない他の公開鍵暗号は、 D i f f i e - H e 1 l ma n問題の a * P、 a *Wに相当するものがないため、

P S E C— KEMアルゴリズムを適用できないという問題点がある。 しかしながら、 本発明のコ ンテンツ配信システム、 暗号装置及ぴ復号 装置は、 ハツシュ関数 Hの入力を検証値 aとその暗号文 c 1 としている ので、 P S E C— K E Mアルゴリズムを適用して、 N T R U暗号や他の 公開鍵暗号を利用できる。

なお、 N T R U暗号では、 公開鍵を用いて平文を暗号化して暗号文を 生成し、 正規の秘密鍵を用いて暗号文を復号して復号文を生成しても、 復号文が元の平文と異なる場合が発生する（例えば、非特許文献 2参照。）。 このような復号エラーが発生すると、 復号装置は誤つた復号検証値 a ' を得ることになるが、 G ( s ' ) から得られる検証値 a ' ' は a ' と等 しくならないために、 共有鍵 K ' を出力しない。 従って、 復号エラ一が 発生しても、 暗号装置と復号装置との間で誤った鍵を共有することを防 止できるという効果がある。

また、復号装置において、再度暗号文を生成する処理を行わないので、 従来技術と比較すると、 演算量を削減することができる。

これにより、 N T R U暗号を用いて鍵カプセル化メ力二ズムを構成す ることができ、 暗号装置と復号装置との間で N T R U暗号を用いて鍵配 送が行えるようになる。

また、 本発明による方式は、 非特許文献 3に記述されている証明方法 と同様の方法により、 理論的にその安全性が証明できる。

4 . 7 変形例

上記に説明した実施の形態は、 本発明の実施の一例であり、 本発明は この実施の形態に何ら限定されるものではなく、 その旨を逸脱しない範 囲において種々なる態様で実施し得るものである。 以下のような場合も 本発明に含まれる。

( 1 ) 用いる N T R U暗号のパラメータ N = 1 6 7に限定されない。 パラメ一夕 Nは、 他の値をとるとしてもよい。

( 2 ) 暗号化部 1 1 4 d、 第 2関数部 1 1 5 d、 復号化部 1 2 3 d及 ぴ第 3関数部 1 2 4 dで行われるビッ ト列と多項式との変換方法は、 こ の方法に限られず他の変換方法でもよい。

例えば、 ビッ ト列と多項式を 1対 1 に対応させる関数、 又は関数値の テーブルを用いて変換してもよい。 また、 例えば、 実施の形態 2の変形例 （ 1 ) に述べた変換方法を用い て変換してもよい。

(3) 暗号化部 1 1 4 d及び復号化部 1 2 3 dで用いる公開鍵暗号方 式は、 暗号化部 1 1 4 dにおいて、 検証値 aを公開鍵で暗号化して第 1 暗号文 c 1 を生成し、 復号化部 1 23 dにおいて、 第 1暗号文 c 1 を秘 密鍵で復号して、検証値 aと等しい復号検証値 a ' を生成できればよい。 従って、暗号化部 1 1 4 d、復号化部 1 23 dで用いる公開鍵暗号は、 N T R U暗号以外に、 どんな公開鍵暗号でも利用できる。

例えば、 R S A暗号を採用するならば、 h、 f をそれぞれ R S A暗号 の公開鍵、 秘密鍵と し、 暗号化部 1 1 4 dにおいて、 aを hを用いて暗 号化して c 1 を生成し、 復号化部 1 2 3 dにおいて、 c 1 を f を用いて 復号して a ' を生成すればよい。

また、 例えば、 E 1 G a m a 1暗号採用するならば、 h， f をそれぞ れ E 1 G a m a 1 暗号の公開鍵， 秘密鍵とし、 暗号化部 1 1 4 dにおい て、 乱数 rを生成して aを hと rを用いて暗号化して c 1 を生成し、 復 号化部 1 2 3 dにおいて、 c 1 を f を用いて復号して a ' を生成すれば よい。

なお、 R S A暗号や E 1 G a m a 1 暗号について非特許文献 1 に詳細 に記載されているため、 ここでは説明を省略する。

(4) 第 1関数部 1 1 3 dは、 関数値 G ( s ) の上位 kビッ トを検証 値 aをして下位 kビッ トを共有鍵 Kとする以外に、 関数値 G ( s ) から 検証値 a と共有鍵 Kを導出すれば他の方法でもよい。

(5) 第 2関数部 1 1 5 dは、 検証値 aと第 1 暗号文 c 1 から関数値 H (a, c 1 ) を導出すれば他の方法でもよい。

例えば、 任意の 2項演算 #に対し、 a # c 1 を関数 Hに入力して関数 値を導出してもよい。 なお、 NTRU暗号では第 1暗号文 c 1 は多項式 であるので、 第 1暗号文 c 1 から第 1暗号文ビッ ト列 c 1 ' に変換し、 a # c l ' を関数 Hに入力して関数値を導出してもよい。

(6) さらに、 第 2関数部 1 1 5 dは、 検証値 aを用いて関数値を導 出すれば、 他の方法でもよい。 例えば、 第 2関数部 1 1 5 dは、 H (a) を出力してもよいし、 検証 値 aをそのまま出力してもよい。すなわち、暗号装置 1 1 0 dにおいて、 第 2暗号文 c 2を

• c 2 = s x o r H (a) 、 又は

■ c 2 = s X o r aとして導出してもよい。

これらの場合において、 復号装置 1 20 dの第 3関数部 1 24 dは、 それぞれ、

• H ( a ' ) 又は

• a

を出力する。

(7) 乱数マスク部 1 1 6 dは、 乱数 sと関数値 H (a , c 1 ) とか ら第 2暗号文 c 2を導出し、 乱数マスク除去部 1 25 dは、 第 2暗号文 c 2と関数値 H ( a , c 1 ) とから乱数 sが導出できれば、 他の方法で もよい。

例えば、 乱数マスク部 1 1 6 dは、 第 2暗号文 c 2を

- c 2 = s + H ( a , c l ) 、 又は

- c 2 = s ■ H ( a , c l )

として導出してもよい。

5. 実施の形態 4

本発明に係るさらに別の実施の形態としてのコンテンッ配信システム

1 0 e (図示していない） について説明する。

コンテンツ配信システム 1 0 eは、 実施の形態 3に示すコ ンテンッ配 信システム 1 0 dを基本として、 これを変形したシステムであり、 暗号 装置が、 関数値 G ( s) から検証値 aと共有鍵 Kの他に乱数値 uを生成 し、 乱数値 uを用いて検証値 aを暗号化して第 1暗号文 c 1を生成する 点と、 復号装置が、 共有鍵 Kを出力するときの判断の方法とにおいて、 コンテンツ配信システム 1 O dと異なる。

こ こでは、 コ ンテンツ配信システム 1 0 eについて、 コ ンテンツ配信 システム 1 0 dとの差異点を中心に詳しく説明する。

5. 1 コ ンテンツ配信システム 1 0 eの構成 コ ンテンツ配信システム 1 0 eは、 コ ンテンツ配信システム 1 0 dと 同様の構成を有しており、 暗号装置 1 1 0 d及び復号装置 1 2 0 dに代 えて、 暗号装置 1 1 0 e及ぴ復号装置 1 2 0 eを含んでいる。 その他の 構成については、 コンテンッ配信システム 1 0 dにおけるものと同様で あるので説明を省略する。

コ ンテンツ配信システム 1 0 eは、 N T R U暗号を用いて鍵配送を行 うシステムである。 暗号装置 1 1 0 e と復号装置 1 2 0 eとは、 イ ンタ 一ネッ ト 1 3 0を介して接続されている。

5 . 2 暗号装置 1 1 0 eの構成

暗号装置 1 1 0 eは、 図 1 7に示すように、 公開鍵入力部 1 1 1 d、 乱数生成部 1 1 2 d、 第 1関数部 1 1 3 e、 暗号化部 1 1 4 e、 第 2関 数部 1 1 5 d、 乱数マスク部 1 1 6 d、 第 1送信部 1 1 7 d、 共通鍵暗 号部 1 1 8及び第 2送信部 1 1 9から構成されている。

公開鍵入力部 1 1 1 d、 乱数生成部 1 1 2 d、 第 2関数部 1 1 5 d、 乱数マスク部 1 1 6 d、 第 1送信部 1 1 7 d、 共通鍵暗号部 1 1 8及び 第 2送信部 1 1 9は、 暗号装置 1 1 0 dを構成する構成要素と同一であ るので、 説明を省略し、 ここでは、 暗号装置 1 1 0 dを構成する構成要 素と異なる第 1 関数部 1 1 3 e及び暗号化部 1 1 4 eについてその構成 と動作を説明する。

( 1 ) 第 1 関数部 1 1 3 e

第 1関数部 1 1 3 eは、 乱数生成部 1 1 2 dから乱数 sを受け取り、 受け取った乱数 sの関数値 G ( s ) を生成する。 次に、 以下に示すよう にして、 生成した関数値 G ( s ) から検証値 aと共有鍵 Kと乱数値 uと を生成する。

こ こで、 関数 Gは、 出力長が 3 kビッ トのハッシュ関数であり、 第 1 関数部 1 1 3 eは、 G ( s ) の上位 kビッ トを検証値 aとし、 G ( s ) の中間の kビッ トを共有鍵 Kとし、 G ( s ) の下位 kビッ トを乱数値 u とする。

次に、 第 1関数部 1 1 3 eは、 生成した検証値 aを暗号化部 1 1 4 e と第 2関数部 1 1 5 dとへ出力し、 生成した共有鍵 Kを共通鍵暗号部 1 1 8へ出力し、 生成した乱数値 uを暗号化部 1 1 4 eへ出力する。

(2) 暗号化部 1 1 4 e

暗号化部 1 1 4 eは、 公開鍵入力部 1 1 1 dから公開鍵多項式 hを受 け取り、 第 1関数部 1 1 3 eから検証値 aと乱数値 uとを受け取る。 次 に、 以下に示すようにして、 公開鍵多項式 hと乱数値 uとを用いて検証 値 aの第 1暗号文 c 1を生成する。 ここで、 第 1暗号文 c 1は、 NTR U暗号による暗号文である。 また、 乱数値 uは、 ブライン ド値であり、 暗号化の対象である検証値 aを不明瞭にするために用いられる。

暗号化部 1 1 4 eは、 NT RU暗号のパラメ一タ dに対し、 d個の項 の各係数が 「 1」 であり、 他の d個の項の各係数が 「一 1」 であり、 残 りの項の各係数が 「 0」 となる乱数多項式 rを乱数値 uから一意に求ま るように生成する。

具体的には、 例えば、 暗号化部 1 1 4 eは、 乱数値 uを擬似乱数系列 の初期値 （乱数シー ド） として設定し、 {0, 1 , . . . , N- 1 } か ら重複しない 2 d個の擬似乱数を生成し、 最初の d個の擬似乱数により 示される次元の項の係数を 「 1」 とし、 次の d個の擬似乱数により示さ れる次元の項の係数を 「― 1」 とし、 残りの次元の項の係数を 「0」 と するこ とによ り、 乱数多項式 rを生成する。

次に、 暗号化部 1 1 4 eは、 生成した乱数多項式 rを用いて、 暗号化 部 1 1 4 dと同様にして、 第 1暗号文 c l = E ( a p , r , h) を生成 する。

次に、 暗号化部 1 1 4 eは、 生成した第 1暗号文 c 1を第 2関数部 1 1 5 dと第 1送信部 1 1 7 dとへ出力する。

5. 3 復号装置 1 20 eの構成

復号装置 1 20 eは、 図 1 8に示すように、 秘密鍵入力部 1 2 1 e、 復号化部 1 23 e、 第 3関数部 1 24 d、 乱数マスク除去部 1 2 5 d、 第 4関数部 1 2 6 e、 比較部 1 27 e、 共通鍵復号部 1 28及び第 2受 信部 1 2 9から構成されている。

こ こで、 第 3関数部 1 24 d、 乱数マスク除去部 1 25 d、 共通鍵復 号部 1 28及び第 2受信部 1 29については、 復号装置 1 20 dに含ま れている各構成要素と同一であるので、 説明を省略し、 復号装置 1 20 dに含まれている各構成要素と異なる秘密鍵入力部 1 2 1 e、 復号化部

1 23 e、 第 4関数部 1 26 e及び第 2比較部 1 27 eについてその構 成と動作を説明する。

( 1 ) 秘密鍵入力部 1 2 1 e

秘密鍵入力部 1 2 1 eは、 メモリカー ド 1 70から復号装置 1 20 e の秘密鍵多項式 f と公開鍵多項式 hとを受け取り、 秘密鍵多項式 f を復 号化部 1 23 eへ出力し、公開鍵多項式 hを比較部 1 27 eへ出力する。

(2) 復号化部 1 23 e

復号化部 1 23 eは、 秘密鍵入力部 1 2 1 eから秘密鍵多項式 f を受 け取り、 第 1受信部 1 22 dから第 1暗号文 c 1を受け取る。 次に、 秘 密鍵多項式 f を用いて、 第 1暗号文 c 1 を復号して復号検証値 a' を生 成し、 生成した復号検証値 a ' を第 3関数部 1 24 dへ出力し、 受け取 つた第 1暗号文 c 1を比較部 1 27 eへ出力する。

(3) 第 4関数部 1 2 6 e

第 4関数部 1 2 6 eは、 第 1関数部 1 1 3 eが有する関数と同じ関数

Gによるアルゴリズムを有している。

第 4関数部 1 2 6 eは、 乱数マスク除去部 1 2 5 dから復号乱数 s ' を受け取り、 受け取った復号乱数 s' のハッシュ関数値 G ( s ' ) を生 成する。 次に、 第 1関数部 1 1 3 eと同様にして、 関数値 G ( s ' ) か ら検証値 a ' ' と共有鍵 K' と乱数値 u' とを生成し、 検証値 a' ' と 共有鍵 K' と乱数値 u' とを比較部 1 27 eへ出力する。

(4) 比較部 1 27 e

比較部 1 27 eは、 図 1 8に示すように、 比較演算部 1 27 p及び暗 号化部 1 27 qから構成されている。

暗号化部 1 27 qは、 秘密鍵入力部 1 2 1 eから公開鍵多項式 hを受 け取り、 第 4関数部 1 2 6 eから検証値 a' ' と乱数値 u' とを受け取 る。 次に、 受け取った公開鍵多項式 hと乱数値 u' とを用いて、 暗号化 部 1 1 4 dと同様にして、 受け取った検証値 a ' ' を暗号化して第 1再 暗号文 c l ' を生成し、 生成した第 1再暗号文 c 1 ' を比較演算部 1 2 7 pへ出力する。

比較演算部 1 27 pは、 復号化部 1 23 bから第 1暗号文 c 1 を受け 取り、 暗号化部 1 2 7 qから第 1再暗号文 c 1 ' を受け取る。 次に、 受 け取った第 1暗号文 c 1 と第 1再暗号文 c 1 ' とを比較して、 c l ' = c 1であるか否かを判断する。 c l ' = c 1であれば、 受け取った共有 鍵 ' を共通鍵復号部 1 28へ出力し、 c l ' = c lでなければ、 受け 取った共有鍵 K' を出力しない。

5. 4 コンテンツ配信システム 1 0 eの動作検証

以下に、 コンテンツ配信システム 1 0 eの全体の動作について、 図 1 9に示す処理系統図を用いて説明する。

暗号装置 1 1 0 eは、 復号装置 1 20 eの公開鍵多項式 hを受け取り (ステップ S 20 1 ) 、 乱数 sを生成し （ステップ S 202) 、 関数値 G (s ) を生成し （ステップ S 203) 、 関数値 G ( s ) から検証値 a、 共有鍵 K及び乱数値 uを導出する （ステップ S 2 04 e) 。 次に、 暗号 装置 1 1 0 eは、 検証値 aを、 公開鍵多項式 h及び乱数値 uを用いて N TRU暗号で暗号化して第 1暗号文 c 1 を生成し（ステップ S 20 5)、 検証値 aと第 1暗号文 c 1から関数値 H (a, c l ) を生成し （ステツ プ S 20 6 ) 、 乱数 sと関数値 H (a, c 1 ) から第 2暗号文 c 2 = s x o r H ( a， c 1 ) を生成する （ステップ S 207 ) 。 次に、 暗号 装置 1 1 0 bは、 第 1暗号文 c 1 と第 2暗号文 c 2とをイ ンターネッ ト 1 30を介して復号装置 1 2 0 eへ送信する (ステップ S 2 08) 。 すなわち、 この暗号装置 1 1 0 eは、 以下の処理 （a) 〜 （d) を行 い、 暗号文 C = ( c l， c 2) を復号装置 1 20 eへ送信する。

(a) 乱数 sを生成する。

( b ) G ( s ) を生成し、 G ( s ) から a, K, uを生成する。

( c ) 公開鍵多項式 h， 乱数値 uを用いて検証値 aの第 1暗号文 c 1 を生成する。

( d ) c 2 = s X 0 r H (a, c l ) を生成する。

次に、 暗号装置 1 1 0 eは、 導出した共有鍵 Kを用いて、 コ ンテンツ サーバ装置 1 40から入力された平文 m i ( 1≤ i≤ n) を共通鍵暗号 で暗号化して暗号文 C i ( 1 ≤ i ≤ n) を生成し （ステップ S 2 09) 、 インターネッ ト 1 30を介して復号装置 1 2 0 eへ送信する （ステップ S 2 1 0 )

一方、 復号装置 1 20 eは、 復号装置 1 20 eの秘密鍵多項式 f 及び 公開鍵多項式 hを受け取り （ステップ S 25 1、 ステップ S 25 1 e)、 イ ンタ一ネッ ト 1 30を介して暗号装置 1 1 0 eから第 1暗号文 c 1 と 第 2暗号文 c 2を受信し （ステップ S 208) 、 第 1暗号文 c l を秘密 鍵多項式 f を用いて復号して復号検証値 a ' を生成する （ステップ S 2 52) 。 次に、 復号検証値 a' と第 1暗号文 c 1から関数値 H (a' , c 1 )を生成し（ステップ S 253)、第 2暗号文 c 2と関数値 H (a' ， c l ) から復号乱数 s ' = c 2 X o r H ( a ' ， c l ) を生成する (ステップ S 254) 。 次に、 復号装置 1 20 eは、 復号乱数 s ' の関 数値 G (s ' ) を生成し （ス.テツプ S 255)、 生成した関数値 G (s ' ) から検証値 a' ' 、 共有鍵 K' 及び乱数値 u' を導出する （ステップ S 25 6 e ) 。 次に、 検証値 a ' ' を暗号化して第 1再暗号文 c 1 ' を生 成し （ステッ プ S 26 1 ) 、 c 1 ' = c lであれば （ステップ S 257 e ) 、 共有鍵 K' を出力する （ステップ S 25 8) 。

すなわち、 復号装置 1 20 eは、 以下の処理 （ a ) 〜 （ e ) を行い、 共有鍵 K' を導出する。

(a ) 秘密鍵多項式 f を用いて第 1暗号文 c 1 を復号して a ' を生成 する。

(b) s ' = c 2 X o r H ( a ' , c l ) を生成する。

( c ) G ( s ' ) を生成し、 G ( s ' ) から a' ' , Κ' ， u ' を生 成する。

(d) 公開鍵多項式 h及び乱数値 u' を用いて a' ' の第 1再暗号文 c 1 ' を生成する。

( e ) c l ' = c 1が成立するかどうかチヱックする。 成立すれば共 有鍵 K' を出力する。

こ こで、 暗号装置 1 1 0 eで用いられた公開鍵多項式 hに対応する正 しい秘密鍵多項式 f が復号装置 1 20 eで用いられれば、 第 1暗号文 c 1は正しく復号されて、 復号検証値 a' = aとなり、 第 2暗号文 c 2と H ( a ' ， c 1 ) から生成される復号乱数 s ' = sとなる。 従って、 G (s ' ) から導出される検証値 a' ' = aとなり、 共有鍵 K' =Kとな り、 乱数値 u' = uとなる。 そして、 a' ' = a及び u' = uが成り立 つので、 c l ' = c lが成り立ち、 復'号装置 1 2 0 eは暗号装置 1 1 0 eと同じ共有鍵 Kを導出できることになる。

次に、 復号装置 1 2◦ eは、 導出した共有鍵 K' ( = K) を用いて、 イ ンターネッ ト 1 3 0を介して暗号装置 1 1 O eから共通鍵暗号文 C i ( 1≤ i ≤ n) を受信し （ステップ S 2 1 0) 、 受信した共通鍵暗号文 C i ( 1≤ i ≤ n) を共通鍵暗号で復号して復号文 m ( 1≤ i ≤ n) を生成し （ステップ S 25 9) 、 生成した復号文 m i ' ( 1 ≤ i ≤ n) を再生装置 1 50へ出力する。

ここで、 共通鍵暗号文生成時に用いた暗号鍵 Kと復号文生成時に用い る暗号鍵 K' とは同一であるので、 復号装置 1 20 eは、 正しく m i ' =m i ( 1≤ i ≤ n) を得ることができる。

5. 5 コ ンテンツ配信システム 1 0 eにおける効果

従来の P S E C— K EMアルゴリズムでは、 ハッシュ関数 Hの入力に a * P、 a *Wを用い、 秘密鍵を用いずに a * Pから a *Wを計算する ことが困難な D i f f i e -H e l l ma n問題を用いて、 最終的に共 有鍵 Kを導出することにより、 秘密鍵を知らなければその共有鍵 Kを導 出できないようにしている。 従って、 NTRU暗号をはじめ、 D i f f i e - H e 1 1 m a n問題を利用しない他の公開鍵暗号では、 D i f f i e— H e 1 l ma n問題の a * P、 a *Wに相当するものがないため、 P S E C— K E Mアルゴリ ズムを適用できないという問題点がある。 しかしながら、 本発明のコ ンテンツ配信システム、 暗号装置及び復号 装置では、 ハツシュ関数 Hの入力を検証値 aとその暗号文 c 1 としたの で、 実施の形態 3と同様に、 NTRU暗号や他の公開鍵暗号を適用でき る。

なお、 復号エラーが発生すると、 復号装置は誤った復号検証値 a' を 得ることになるが、 c l ' は c 1 と等しくならないために、 共有鍵 K' を出力しない。 従って、 復号エラーが発生しても、 暗号装置と復号装置 との間で誤った鍵を共有することを防止できるという効果もある。

これにより、 N T R U暗号を用いて鍵カプセル化メ力二ズムを構成す ることができ、 暗号装置と復号装置との間で N T R U暗号を用いて鍵配 送が行えるようになる。

また、 本発明による方式は、 非特許文献 3に記述されている証明方法 と同様の方法により、 理論的にその安全性が証明できる。

5 . 6 変形例

上記に説明した実施の形態は、 本発明の実施の一例であり、 本発明は この実施の形態に何ら限定されるものではなく、 その主旨を逸脱しない 範囲において種々なる態様で実施し得るものである。 実施の形態 3にお けるのと同様の変形を施すことができるのはもちろんであるが、 以下の ような場合も本発明に含まれる。

( 1 ) 暗号化部 1 1 4 eで行われる乱数値 uから乱数多項式 rへの変 換方法は、 この方法に限られず uから rがー意に求まれば他の変換方法 でもよい。 例えば、 乱数値 Uを多項式に対応させる関数、 又は関数値テ

—ブルを用いて変換してもよい。

また、 例えば、 実施の形態 2の変形例 （ 1 ) に述べた変換方法を用い て変換してもよい。

( 2 )暗号化部 1 1 4 e及ぴ復号化部 1 2 3 eで用いる公開鍵暗号は、 暗号化部 1 1 4 eにおいて、 検証値 aを公開鍵と乱数値 uとを用いて暗 号化して第 1暗号文 c 1 を生成し、 復号化部 1 2 3 eにおいて、 第 1暗 号文 c 1 を秘密鍵で復号して、 検証値 a と等しい復号検証値 a ' を生成 できればよい。 従って、 暗号化部 1 1 4 e及ぴ復号化部 1 2 3 eで用い る公開鍵暗号は、 N T R U暗号以外に、 乱数を用いる公開鍵暗号ならば どんな暗号でも利用できる。

例えば、 E 1 G a m a 1暗号ならば、 h、 f をそれぞれ E 1 G a m a 1暗号の公開鍵、 秘密鍵とし、 暗号化部 1 1 4 eにおいて、 aを hと乱 数値 uとを用いて暗号化して c 1 を生成し、復号化部 1 2 3 eにおいて、 c 1 を f を用いて復号して a ' を生成すればよい。 (3) 乱数値 uは、 第 1関数部 1 1 3 e及び第 4関数部 1 26 eで生 成される以外にも、 暗号装置 1 1 0 eと復号装置 1 20 eとで同じ値を 得られれば、 他の生成方法でもよい。

例えば、 任意の関数 F u n cに対し、 u = F u n c ( s ) として暗号 装置 1 1 0 eと復号装置 1 20 eとで同じ値を得られるようにしてもよ い。 すなわち、

• G ( s ) を生成し、 G ( s ) から a、 Kを生成する。

• F u n c ( s ) を生成し、 u = F u n c ( s ) とする。

としてもよい。

(4) さらに、 乱数値 uは、 第 1関数部 1 1 3 e及び第 4関数部 1 2 6 eで生成される以外にも、 暗号装置 1 1 0 eと復号装置 1 20 eとで 同じ値を得られればよいため、 暗号装置 1 1 0 eが乱数値 uを復号装置 1 20 eに直接送信してもよい。

すなわち、 以下のように、 暗号文 Cと乱数値 uとを復号装置 1 20 e に送信してもよい。

• G ( s ) を生成し、 G ( s ) から a、 Kを生成する。

- 暗号装置 1 1 0 eは、 別途、 乱数値 uを、 復号装置 1 20 eへ送信 する。

また、 暗号装置 1 1 0 eは、 乱数値 uを暗号化して送信してもよい。 (5) さらに、 乱数値 uは、 暗号装置 1 1 0 eと復号装置 1 20 eと で同じ値を得られればよいため、 乱数値 uの一部から構成される部分情 報を第 1関数部 1 1 3 e及び第 4関数部 1 2 6 eで生成し、 乱数値 uの 残りの部分情報を暗号装置 1 1 0 eから復号装置 1 20 eに直接送信し てもよい。

例えば、 以下のように、 暗号文 Cと乱数値 u 2とを復号装置 1 20 e に送信してもよい。

• G ( s ) を生成し、 G ( s ) から a、 Κ、 υ 1 を生成する。

• 暗号装置 1 1 0 eは、 別途、 乱数値 u 2を、 復号装置 1 20 eへ送 信する。

· 乱数値 uを、 u = u l x o r u 2により生成する。 また、暗号装置 1 1 0 eは、乱数値 u 2を暗号化して送信してもよい。 (6) 復号装置 1 2 0 eは、 第 1暗号文 c 1が第 4関数部 1 2 6 eで 得られる検証値 a ' ' の暗号文かどうかチヱックを行い、 c lが a' ' の暗号文であるときに共有鍵 K' を用いて共通鍵暗号文 C i を復号して いるが、 実施の形態 3の復号装置 1 2 0 dと同じチェック方法により行 うとしてもよい。

すなわち、 図 2 0の処理系統図に示すように、 復号装置 1 20 dと同 じ復号化部 1 2 3 d及び比較部 1 2 7 dを用いて、 以下のように、 チェ ック してもよい。

( a ) 秘密鍵多項式 : f を用いて第 1暗号文 c 1 を復号して a ' を生成 する （ステップ S 2 5 2) 。

(b ) s ' = c 2 X o r H ( a ' , c 1 ) を生成する （ステッ プ S 2 5 4 ) o

( c) G ( s ' ) を生成し （ステップ S 2 5 5 )、 G ( s ' )から a' ， 、 Κ' 、 u ' を生成する (ステップ S 2 5 6 e ) 。

(d) a ' ' = a ' が成立するかどうかチェックする (ステッ プ S 2 5 7) 。 成立すれば共有鍵 K' を出力する （ステップ S 2 5 8) 。

また、 このチ Xックは、 第 1暗号文 c 1が復号検証値 a ' の暗号文か どうかのチェ ッ クでもよい。

7. 実施の形態 3及び実施の形態 4のまとめ

以上説明したように、 本発明は、 共有鍵データと、 予め与えられた公 開鍵データに基づいて前記共有鍵データを暗号化した暗号化共有鍵デー 夕を出力する共有鍵生成装置であって、 秘密数データを生成する秘密数 データ生成部と、 前記秘密数データを所定の処理に基づいて検証値デー 夕と前記共有鍵データに変換する共有鍵導出部と、 前記検証値データを 前記公開鍵データに基づいて暗号化して第 1 の暗号予備データを生成す る第 1 の暗号化部と、 前記検証値データを所定の処理に基づいて変換検 証値データに変換する検証値変換部と、 前記秘密数データを前記変換検 証値データに基づいて暗号化して第 2の暗号予備データを生成する第 2 の暗号化部とを備え、 前記暗号化共有鍵データは、 前記第 1 の暗号予備 データと前記第 2の暗号予備データから構成される。

また、 本発明は、 共有鍵データと、 予め与えられた公開鍵データに基 づいて前記共有鍵データを暗号化した暗号化共有鍵データを出力する共 有鍵生成装置であって、秘密数データを生成する秘密数データ生成部と、 前記秘密数データと前記第 1 の暗号予備データを所定の処理に基づいて 検証値データと前記共有鍵データに変換する共有鍵導出部と、 前記検証 値データを前記公開鍵データに基づいて暗号化して第 1 の暗号予備デ一 タを生成する第 1 の暗号化部と、 前記検証値データを所定の処理に基づ いて変換検証値データに変換する検証値変換部と、 前記秘密数データを 前記変換検証値データに基づいて暗号化して第 2の暗号予備データを生 成する第 2の暗号化部とを備え、 前記暗号化共有鍵データは、 前記第 1 の暗号予備データと前記第 2の暗号予備データから構成される。

また、 本発明は、 共有鍵データと、 予め与えられた公開鍵データに基 づいて前記共有鍵データを暗号化した暗号化共有鍵データを出力する共 有鍵生成装置であって、秘密数データを生成する秘密数データ生成部と、 前記秘密数データを所定の処理に基づいて検証値データと乱数データと 前記共有鍵データとに変換する共有鍵導出部と、 前記検証値データを前 記公開鍵データと前記乱数データに基づいて暗号化して第 1 の暗号予備 データを生成する第 1 の暗号化部と、 前記検証値データを所定の処理に 基づいて変換検証値データに変換する検証値変換部と、 前記秘密数デー タを前記変換検証値データに基づいて暗号化して第 2の暗号予備データ を生成する第 2の暗号化部とを備え、 前記暗号化共有鍵データは、 前記 第 1 の暗号予備データと前記第 2の暗号予備データから構成される。 また、 本発明は、 共有鍵データと、 予め与えられた公開鍵データに基 づいて前記共有鍵データを暗号化した暗号化共有鍵データを出力する共 有鍵生成装置であって、秘密数データを生成する秘密数データ生成部と、 前記秘密数データを所定の処理に基づいて検証値データと乱数データと 前記共有鍵データとに変換する共有鍵導出部と、 前記検証値データを前 記公開鍵データと前記乱数データに基づいて暗号化して第 1 の暗号予備 データを生成する第 1の暗号化部と、 前記検証値データと前記第 1 の暗 号予備データを所定の処理に基づいて変換検証値データに変換する検証 値変換部と、 前記秘密数データを前記変換検証値データに基づいて暗号 化して第 2の暗号予備データを生成する第 2の暗号化部とを備え、 前記 暗号化共有鍵データは、 前記第 1 の暗号予備データと前記第 2の暗号予 備データから構成される。

ここで、 前記秘密数データは、 ランダムに生成される乱数であるとし てもよい。

ここで、 前記共有鍵導出部は、 所定の処理として、 一方向性ハッシュ 関数を用いるとしてもよい。

ここで、 前記第 1 の暗号化部は、 N T R U暗号方式により暗号化して 前記第 1 の暗号予備データを生成するとしてもよい。

ここで、 前記検証値変換部は、 所定の処理として、 一方向性ハッシュ 関数を用いるとしてもよい。

ここで、 前記検証値変換部は、 所定の処理と して、 前記検証値データ をそのまま前記変換検証値データとするとしてもよい。

ここで、 前記第 2の暗号化部は、 前記秘密数データと前記変換検証値 データの排他的論理和演算を行って前記第 2の暗号予備データを生成す ると してもよい。

ここで、 前記第 2の暗号化部は、 前記秘密数データを、 前記変換検証 値データを暗号鍵として用いて共通鍵暗号方式により暗号化して前記第 2の暗号予備データを生成すると してもよい。

ここで、 前記第 2の暗号化部は、 前記秘密数データに前記変換検証値 データを加算して前記第 2の暗号予備データを生成するとしてもよい。

ここで、 前記第 2の暗号化部は、 前記秘密数データに前記変換検証値 データを乗算して前記第 2の暗号予備データを生成するとしてもよい。

ここで、 前記暗号化共有鍵データは、 前記第 1 の暗号予備データと前 記第 2暗号予備データのビッ ト連結データであるとしてもよい。

また、 本発明は、 予め与えられた秘密鍵データに基づいて、 第 1 の暗 号予備データと第 2の暗号予備データから構成される暗号化共有鍵デ一 タを復号して共有鍵データを出力すると有鍵復元装置であって、 前記第 1 の暗号予備データを前記秘密鍵データに基づいて復号化して検証値デ 一夕を生成する第 1 の復号化部と、 前記検証値データを所定の処理に基 づいて変換検証値データに変換する検証値変換部と、 前記第 2の暗号予 備データを前記変換検証値データに基づいて復号化して秘密数データを 生成する第 2の復号化部と、 前記秘密数データを所定の処理に基づいて 検証値検証データと前記共有鍵データに変換する共有鍵導出部とを備え、 前記検証値データと前記検証値検証データが一致する場合に、 前記共有 鍵データを出力する。

また、 本発明は、 予め与えられた秘密鍵データに基づいて、 第 1 の暗 号予備データと第 2の暗号予備データから構成される暗号化共有鍵デー 夕を復号して共有鍵データを出力する共有鍵復元装置であって、 前記第

1 の暗号予備データを前記秘密鍵データに基づいて復号化して検証値デ —タを生成する第 1 の復号化部と、 前記検証値データと前記第 1 の暗号 予備データを所定の処理に基づいて変換検証値データに変換する検証値 変換部と、 前記第 2の暗号予備データを前記変換検証値データに基づい て復号化して秘密数データを生成する第 2の復号化部と、 前記秘密数デ —夕を所定の処理に基づいて検証値検証データと前記共有鍵データに変 換する共有鍵導出部とを備え、 前記検証値データと前記検証値検証デー タが一致する場合に、 前記共有鍵データを出力する。

また、 本発明は、 予め与えられた秘密鍵データに基づいて、 第 1 の暗 号予備データと第 2の暗号予備データから構成される暗号化共有鍵デ一 夕を復号して共有鍵データを出力する共有鍵復元装置であって、 前記第 1 の暗号予備データを前記秘密鍵データに基づいて復号化して検証値デ 一夕を生成する第 1 の復号化部と、 前記検証値データを所定の処理に基 づいて変換検証値データに変換する検証値変換部と、 前記第 2の暗号予 備データを前記変換検証値データに基づいて復号化して秘密数データを 生成する第 2の復号化部と、 前記秘密数データを所定の処理に基づいて 検証値検証データと乱数データと前記共有鍵データに変換する共有鍵導 出部とを備え、 前記検証値データと前記検証値検証データが一致する場 合に、 前記共有鍵データを出力する。 また、 本発明は、 予め与えられた秘密鍵データに基づいて、 第 1 の暗 号予備データと第 2の暗号予備データから構成される暗号化共有鍵デ一 夕を復号して共有鍵データを出力する共有鍵復元装置であって、 前記第 1 の暗号予備データを前記秘密鍵データに基づいて復号化して検証値デ —夕を生成する第 1 の復号化部と、 前記検証値データと前記第 1 の暗号 予備データを所定の処理に基づいて変換検証値データに変換する検証値 変換部と、 前記第 2の暗号予備データを前記変換検証値データに基づい て復号化して秘密数データを生成する第 2の復号化部と、 前記秘密数デ 一夕を所定の処理に基づいて検証値検証データと乱数データと前記共有 鍵データに変換する共有鍵導出部とを備え、 前記検証値データと前記検 証値検証データが一致する場合に、 前記共有鍵データを出力する。

また、 本発明は、 予め与えられた秘密鍵データ及び公開鍵データに基 づいて、 第 1 の暗号予備データと第 2の暗号予備データから構成される 暗号化共有鍵データを復号して共有鍵データを出力する共有鍵復元装置 であって、 前記第 1 の暗号予備データを前記秘密鍵データに基づいて復 号化して検証値データを生成する第 1 の復号化部と、 前記検証値データ を所定の処理に基づいて変換検証値データに変換する検証値変換部と、 前記第 2の暗号予備データを前記変換検証値データに基づいて復号化し て秘密数データを生成する第 2の復号化部と、 前記秘密数データを所定 の処理に基づいて検証値検証データと乱数データと前記共有鍵データに 変換する共有鍵導出部と、 前記検証値検証データを前記公開鍵データと 前記乱数データに基づいて暗号化して第 3の暗号予備データを生成する 第 3の暗号化部とを備え、 前記第 1 の暗号予備データと前記第 3の暗号 予備データが一致する場合に、 前記共有鍵データを出力する。

また、 本発明は、 予め与えられた秘密鍵データ及び公開鍵データに基 づいて、 第 1 の暗号予備データと第 2の暗号予備データから構成される 暗号化共有鍵データを復号して共有鍵データを出力する共有鍵復元装置 であって、 前記第 1 の暗号予備データを前記秘密鍵データに基づいて復 号化して検証値データを生成する第 1 の復号化部と、 前記検証値データ を所定の処理に基づいて変換検証値データに変換する検証値変換部と、 前記第 2の暗号予備データを前記変換検証値データに基づいて復号化し て秘密数データを生成する第 2の復号化部と、 前記秘密数データを所定 の処理に基づいて検証値検証データと乱数データと前記共有鍵データに 変換する共有鍵導出部と、 前記検証値データを前記公開鍵データと前記 乱数データに基づいて暗号化して第 3の暗号予備データを生成する第 3 の暗号化部とを備え、 前記第 1 の暗号予備データと前記第 3の暗号予備 データが一致する場合に、 前記共有鍵データを出力する。

また、 本発明は、 予め与えられた秘密鍵データ及び公開鍵データに基 づいて、 第 1 の暗号予備データと第 2の暗号予備データから構成される 暗号化共有鍵データを復号して共有鍵データを出力する共有鍵復元装置 であって、 前記第 1 の暗号予備データを前記秘密鍵データに基づいて復 号化して検証値データを生成する第 1 の復号化部と、 前記検証値データ と前記第 1 の暗号予備データを所定の処理に基づいて変換検証値データ に変換する検証値変換部と、 前記第 2の暗号予備データを前記変換検証 値データに基づいて復号化して秘密数データを生成する第 2の復号化部 と、 前記秘密数データを所定の処理に基づいて検証値検証データと乱数 データと前記共有鍵データに変換する共有鍵導出部と、 前記検証値検証 データを前記公開鍵データと前記乱数データに基づいて暗号化して第 3 の暗号予備データを生成する第 3の暗号化部とを備え、 前記第 1 の暗号 予備データと前記第 3の暗号予備データが一致する場合に、 前記共有鍵 データを出力する。

また、 本発明は、 予め与えられた秘密鍵データ及び公開鍵データに基 づいて、 第 1 の暗号予備データと第 2の暗号予備データから構成される 暗号化共有鍵データを復号して共有鍵データを出力する共有鍵復元装置 であって、 前記第 1 の暗号予備データを前記秘密鍵データに基づいて復 号化して検証値データを生成する第 1 の復号化部と、 前記検証値データ と前記第 1 の暗号予備データを所定の処理に基づいて変換検証値デ一夕 に変換する検証値変換部と、 前記第 2の暗号予備データを前記変換検証 値データに基づいて復号化して秘密数データを生成する第 2の復号化部 と、 前記秘密数データを所定の処理に基づいて検証値検証データと乱数 データと前記共有鍵データに変換する共有鍵導出部と、 前記検証値デ一 タを前記公開鍵データと前記乱数データに基づいて暗号化して第 3の暗 号予備データを生成する第 3の暗号化部とを備え、 前記第 1 の暗号予備 データと前記第 3の暗号予備データが一致する場合に、 前記共有鍵デ一 タを出力する。

ここで、 前記共有鍵導出部は、 所定の処理として、 一方向性ハッシュ 関数を用いるとしてもよい。

ここで、 前記第 1 の復号化部は、 N T R U暗号方式により復号化して 検証値データを生成するとしてもよい。

ここで、 前記検証値変換部は、 所定の処理として、 一方向性ハッシュ 関数を用いるとしてもよい。

ここで、 前記検証値変換部は、 所定の処理として、 前記検証値データ をそのまま前記変換検証値データとすると してもよい。

ここで、 前記第 2の復号化部は、 前記第 2の暗号予備データと前記変 換検証値データの排他的論理和演算を行って前記秘密数データを生成す るとしてもよい。

ここで、 前記第 2の復号化部は、 前記第 2の暗号予備データを、 前記 変換検証値データを暗号鍵として用いて共通鍵暗号方式により復号化し て前記秘密数データを生成するとしてもよい。

ここで、 前記第 2の復号化部は、 前記第 2の暗号予備データに前記変 換検証値データを減算して前記秘密数データを生成すると してもよい。

ここで、 前記第 2の暗号化部は、 前記第 2の暗号予備データを前記変 換検証値データで除算して前記秘密数データを生成するとしてもよい。 また、 本発明は、 予め与えられた公開鍵データに基づいて平文データ を暗号化した暗号文データを生成する暗号装置であって、 秘密数データ を生成する秘密数データ生成部と、 前記秘密数データを所定の処理に基 づいて検証値データと共有鍵データに変換する共有鍵導出部と、 前記検 証値データを前記公開鍵データに基づいて暗号化して第 1 の暗号予備デ 一夕を生成する第 1 の暗号化部と、 前記検証値データを所定の処理に基 づいて変換検証値データに変換する検証値変換部と、 前記秘密数データ を前記変換検証値デ '一夕に基づいて暗号化して第 2の暗号予備データを 生成する第 2の暗号化部と、 前記平文データを前記共有鍵データに基づ いて暗号化して第 3の暗号予備データを生成する第 3の暗号化部とを備 え、 前記暗号文データは、 前記第 1 の暗号予備データと前記第 2の暗号 予備データと前記第 3の暗号予備データから構成される。

また、 本発明は、 予め与えられた秘密鍵データに基づいて、 第 1 の暗 号予備データと第 2の暗号予備データと第 3の暗号予備データから構成 される暗号文データを復号して復号文データを出力する復号装置であつ て、 前記第 1 の暗号予備データを前記秘密鍵データに基づいて復号化し て検証値データを生成する第 1の復号化部と、 前記検証値データを所定 の処理に基づいて変換検証値データに変換する検証値変換部と、 前記第 2の暗号予備データを前記変換検証値データに基づいて復号化して秘密 数データを生成する第 2の復号化部と、 前記秘密数データを所定の処理 に基づいて検証値検証データと共有鍵データに変換する共有鍵導出部と を備え、 前記検証値データと前記検証値検証データが一致する場合に、 前記第 3の暗号予備データを前記共有鍵データに基づいて復号化して前 記復号文データを生成する復号部とを備える。

また、 本発明は、 予め与えられた公開鍵データに基づいて平文データ を暗号化した暗号文データを生成する暗号装置、 及び予め与えられた秘 密鍵データに基づいて暗号文データを復号して復号文データを出力する 復号装置からなる暗号システムである。 前記暗号装置は、 秘密数データ を生成する秘密数データ生成部と、 前記秘密数データを所定の処理に基 づいて検証値データと共有鍵データに変換する共有鍵導出部と、 前記検 証値データを前記公開鍵データに基づいて暗号化して第 1 の暗号予備デ —タを生成する第 1 の暗号化部と、 前記検証値データを所定の処理に基 づいて変換検証値データに変換する検証値変換部と、 前記秘密数データ を前記変換検証値データに基づいて暗号化して第 2の暗号予備データを 生成する第 2の暗号化部と、 前記平文データを前記共有鍵データに基づ いて暗号化して第 3の暗号予備データを生成する第 3の暗号化部とを備 え、 前記暗号文データは、 前記第 1 の暗号予備データと前記第 2の暗号 予備データと前記第 3の暗号予備データから構成される。 前記復号装置 は、 前記第 1 の暗号予備データを前記秘密鍵データに基づいて復号化し て前記検証値データを生成する第 1の復号化部と、 前記検証値データを 所定の処理に基づいて前記変換検証値データに変換する検証値変換部と、 前記第 2の暗号予備データを前記変換検証値データに基づいて復号化し て前記秘密数データを生成する第 2の復号化部と、 前記秘密数データを 所定の処理に基づいて検証値検証データと共有鍵データに変換する共有 鍵導出部とを備え、 前記検証値データと前記検証値検証データが一致す る場合に、 前記第 3の暗号予備データを前記共有鍵データに基づいて復 号化して前記復号文データを生成する復号部とを備える。

以上に説明したように、 本発明は、 従来システムにおける問題点を鑑 みて行われたもので、 暗号システムにおいて、 NTRU暗号を適用でき る鍵カプセル化メ力二ズムを構成することで、 暗号装置と復号装置との 間で N T R U暗号を用いて鍵配送が行えるようになる。

以上により、 従来技術では達成できなかった暗号システムを提供する ことができ、 その価値は大きい。

8. その他の変形例

なお、 本発明を上記の実施の形態に基づいて説明してきたが、 本発明 は、 上記の実施の形態に限定されないのはもちろんである。 以下のよう な場合も本発明に含まれる。

( 1 ) 暗号装置が、 イ ンターネッ トを介して、 各暗号文を復号装置へ 送信する代わりに、 暗号装置は、 各暗号文を DVDなどの記録媒体に書 き込み、 復号装置は、 記録媒体から各暗号文を読み出すとしてもよい。

(2) 本発明で用いる NTRU暗号は、 非特許文献 2に記載の方式以 外に、 E E S S (Efficient Embedded Security Standard) 方式の NT

RU暗号であってもよい。 E E S S方式の NTRU暗号については、

"EESS； Consortium for Efficient Embedded Security, Efficient

Embedded Security Standards #1 : Implementation Aspects of NTRU

Encrypt and NTRU Sign, Version 2.0 , " available at

http://ceesstandards.org , May 2003.に詳細に記述されている。 この ため、 ここではその詳細については説明を省くが、 以下に簡単に説明す る。

E E S S方式の N T R U暗号では、 乱数多項式 rは、 d個の係数が 1 であり、 （N— d ) 個の係数が 0である多項式、 もしくはこのような複 数の多項式を用いて計算される多項式である。 従って、 上記の実施の形 態において、 乱数多項式 rを生成する際に、 このような多項式となるよ うに生成すれば、 N T R U暗号の代わりに E E S S方式の N T R U暗号 を用いることができ、 同様の効果が得られる。

( 3 ) コンテンツ配信システムは、 次に示すように構成してもよい。 コンテンツ配信システムは、 コ ンテンツサーバ装置と暗号装置と放送 装置と受信装置と復号装置と再生装置とモニタとから構成されている。 暗号装置と復号装置とは、 コ ンテンツ配信システム 1 0の暗号装置 1 1 0と復号装置 1 2 0とに対応している。

コンテンッサーバ装置と暗号装置とは、 専用回線を介して接続されて おり、 コンテンツサーバ装置は、 映像と音声から構成される映画などの コンテンッを専用回線を介して暗号装置へ送信する。 暗号装置と放送装 置とは、 専用回線を介して接続されている。 暗号装置は、 各暗号文を放 送装置へ送信し、 放送装置は、 各暗号文を多重化し、 デジタル放送波に 乗せて放送する。

受信装置と復号装置とは、接続されており、復号装置と再生装置とは、 接続されている。 受信装置は、 デジタル放送波を受信し、 受信したデジ タル放送波から各暗号文を抽出し、 抽出した各暗号文を復号装置へ送信 する。復号装置は、各暗号文を受け取り、受け取った各暗号文を用いて、 再生コンテンッを生成し、 生成した再生コンテンッを再生装置へ出力す る。 再生装置は、 復号装置及びス ピーカを内蔵するモニタに接続されて いる。 再生装置は、 再生コ ンテンツを受け取り、 受け取った再生コンテ ンッから映像信号及び音声信号を生成し、 モニタは、 映像を表示し、 音 声を出力する。

( 4 ) コ ンテンツサーバ装置と暗号装置とは、 一体となった装置から 構成されているとしてもよい。 また、 復号装置と再生装置とは、 一体と なつた装置から構成されているとしてもよい。

( 5 ) 上記の各実施の形態において、 メモリカード 1 6 0は、 予め公 開鍵多項式 hを記憶しており、 メモリ カー ド 1 7 0は、 予め秘密鍵多項 式 f 及び公開鍵多項式 hを記憶しており、 暗号装置 1 1 0及ぴ復号装置 1 2 0は、 メモリ カード 1 6 0及ぴメモリ カード 1 7 0から、 それぞれ 公開鍵多項式、 秘密鍵多項式を取得するとしているが、 これには限定さ れない。

暗号装置 1 1 0は、 予め公開鍵多項式を記憶しており、 復号装置 1 2 0は、予め公開鍵多項式及び秘密鍵多項式を記憶しているとしてもよい。 また、 鍵管理装置は、 秘密鍵多項式及び公開鍵多項式を生成し、 生成 した秘密鍵多項式及び公開鍵多項式を秘密にかつ安全に復号装置 1 2 0 へ送信し、 生成した公開鍵多項式を暗号装置 1 1 0へ送信するとしても よい。

( 6 ) コンテンツ配信システムにおいて配信されるコ ンテンツは、 映 像と音声とからなる映画などのコンテンッには、限定されない。動画像、 静止画像、 音声、 音楽、 文書、 小説、 D Bソフ ト により生成されるデ一 夕ベース、 表計算ソフ ト により生成される電子的な表データ、 コ ンビュ 一夕プログラム、 その他コンピュータ用データなどあってもよい。

また、 前記コ ンテンツは、 上記のような著作物ではなく、 暗号化及び 復号化、 デジタル署名及び署名検証などに用いる鍵情報であるとしても よい。

例えば、 上記の各実施の形態により示されるようにして、 暗号装置及 ぴ復号装置は、 共有鍵を共有し、 暗号装置は、 コ ンテンツ鍵を共有鍵を 用いて暗号化して暗号化コンテンッ鍵を生成し、 コンテンツをコ ンテン ッ鍵を用いて暗号化して暗号化コンテンツを生成し、 生成した暗号化コ ンテンッ鍵と生成した暗号化コンテンッとを復号装置に送信する。 復号 装置は、 暗号化コンテンツ鍵と暗号化コ ンテンツとを受信し、 共有鍵を 用いて、 暗号化コ ンテンツ鍵を復号してコ ンテンツ鍵を生成し、 生成し たコンテンッ鍵を用いて暗号化コンテンッを復号してコンテンッを生成 するとしてもよい。 ( 7 ) 本発明は、 上記に示す方法であるとしてもよい。 また、 これら の方法をコンピュータにより実現するコンピュータプログラムであると してもよいし、 前記コンピュータプログラムからなるデジタル信号であ ると してもよい。

また、 本発明は、 前記コ ンピュータプログラム又は前記デジタル信号 をコンピュータ読み取り可能な記録媒体、 例えば、 フ レキシブルデイ ス ク、 ハー ドディ スク、 C D_ROM、 MO、 DVD, DVD-ROM, DVD-RAM, B D (B l u— r a y D i s c ) 、 半導体メモリな ど、 に記録したものとしてもよい。 また、 これらの記録媒体に記録され ている前記コンピュ一タプログラム又は前記デジタル信号であるとして もよい。

また、 本発明は、 前記コンピュータプログラム又は前記デジタル信号 を、 電気通信回線、 無線又は有線通信回線、 イ ンタ一ネッ トを代表とす るネッ ト ワーク、 データ放送等を経由して伝送するものとしてもよい。 また、 本発明は、 マイクロプロセッサとメモリ とを備えたコンビュ一 夕システムであって、 前記メモリは、 上記コンピュータプログラムを記 憶しており、 前記マイクロプロセッサは、 前記コンピュータプログラム に従って動作するとしてもよい。

また、 前記プログラム又は前記デジタル信号を前記記録媒体に記録し て移送することにより、 又は前記プログラム又は前記デジタル信号を前 記ネッ ト ワーク等を経由して移送することにより、 独立した他のコンビ ユー夕システムにより実施すると してもよい。

(8) 上記実施の形態及び上記変形例をそれぞれ組み合わせるとして もよい。

産業上の利用の可能性

上記において説明したコンテンツ配布システムは、 コンテンツ供給者 から利用者に対して、 音楽、 映画、 小説などのデジタル化された著作物 を供給する産業において、 経営的、 反復的かつ継続的に使用される。 ま た、 コンテンツ配布システムを構成する暗号装置及ぴ復号装置は、 電化 製品などを製造する電機機器産業において、 製造され、 販売される。 特に、 デシタル化された著作物を、 D V Dなどの記録媒体に格納して 市場に流通させることにより、 ネッ ト ワークを介して流通させることに より、 又は放送により、 供給する産業において好適である。

Claims

請 求 の 範 囲

1 . 第 3者に知られることなく共有鍵を生成する共有鍵生成装置及び共 有鍵復元装置から構成される鍵共有システムであって、

前記共有鍵生成装置は、

シード値を生成するシー ド値生成手段と、

生成された前記シード値からブライン ド値及び共有鍵を生成する第 1 共有鍵生成手段と、

生成された前記プライ ン ド値に基づいて、 生成された前記シー ド値を 暗号化して、 暗号化情報を生成する暗号化手段と、

生成された暗号化情報を送信する送信手段とを備え、

前記共有鍵復元装置は、

前記暗号化情報を受信する受信手段と、

受信された前記暗号化情報を復号して復号シ一ド値を生成する復号手 段と、

前記第 1共有鍵生成手段と同一の方法により、 生成された前記復号シ 一ド値から復号ブライ ン ド値及ぴ復号共有鍵を生成する第 2共有鍵生成 手段と、

生成された前記復号ブライ ンド値に基づいて、 生成された前記復号シ 一ド値を暗号化して、 再暗号化情報を生成する再暗号化手段と、

受信された前記暗号化情報と生成された前記再暗号化情報とに基づい て、 前記復号共有鍵を出力するか否かを判断する判断手段と、

出力すると判断される場合に、 生成された前記復号共有鍵を出力する 出力手段とを備える

ことを特徴とする鍵共有システム。

2 . 前記共有鍵生成装置は、 さらに、

コンテンッを取得する取得手段と、

生成された前記共有鍵を用いて、取得されたコ ンテンツを暗号化して、 暗号化コンテンッを生成する暗号化手段とを備え、

前記送信手段は、さらに、生成された前記暗号化コンテンッを送信し、 前記受信手段は、 さらに、 前記暗号化コ ンテンツを受信し、 前記共有鍵復元装置は、 さらに、

出力された前記復号共有鍵を用いて、 受信された前記暗号化コンテン ッを復号して、 復号コ ンテンツを生成する復号手段と、

生成された復号コ ンテンツを出力する出力手段とを備える

ことを特徴とする請求の範囲 1 に記載の鍵共有システム。

3 . 第 3者に知られることなく共有鍵を相手の装置へ伝える共有鍵生成 装置であって、

シ一ド値を生成するシード値生成手段と、

生成された前記シード値からプライ ン ド値及び共有鍵を生成する共有 鍵生成手段と、

生成された前記ブライ ン ド値に基づいて、 生成された前記シー ド値を 暗号化して、 暗号化情報を生成する暗号化手段と、

生成された暗号化情報を送信する送信手段と

を備えることを特徴とする共有鍵生成装置。

4 . 前記共有鍵生成手段は、 前記シー ド値に一方向性関数を施して、 関 数値を生成し、 生成した関数値から前記ブライン ド値及び前記共有鍵を 生成し、

前記暗号化手段は、

公開鍵を取得する公開鍵取得部と、

取得された前記公開鍵と生成された前記ブライ ン ド値とを用いて、 生 成された前記シー ド値に公開鍵暗号化ァルゴリズムを施して、 前記暗号 化情報として暗号化シー ド値を生成する公開鍵暗号化部と含む

ことを特徴とする請求の範囲 3に記載の共有鍵生成装置。

5 . 前記公開鍵暗号化アルゴリ ズムは、 N T R U暗号方式によるもので あり、

前記公開鍵取得部は、 前記公開鍵として、 N T R U暗号方式の鍵生成 ァルゴリズムにより生成された公開鍵多項式を取得し、

前記公開鍵暗号化部は、 前記シード値からシー ド値多項式を生成し、 前記ブライ ン ド値からブライ ン ド値多項式を生成し、 N T R U暗号方式 の暗号化アルゴリ ズムにより、 前記公開鍵多項式を鍵として用い、 前記 シード値多項式を攪乱するために前記ブライ ン ド値多項式を用いて、 前 記シード値多項式を暗号化して、 前記暗号化シー ド値として暗号化シ一 ド値多項式を生成し、

前記送信手段は、 前記暗号化シード値として、 生成された前記唷号化 シー ド値多項式を送信する

ことを特徴とする請求の範囲 4記載の共有鍵生成装置。

6 . 前記暗号化手段は、

公開鍵を取得する公開鍵取得部と、

ブライ ン ド値を生成し、 取得された前記公開鍵と生成された前記ブラ イ ン ド値とを用いて、 生成された前記シード値に公開鍵暗号化アルゴリ ズムを施して、 公開鍵暗号文を生成する公開鍵暗号化部と、

生成された前記シ一ド値、 前記ブライ ン ド値及び前記共有鍵のいずれ か 1以上に第 2—方向性関数を施して第 2関数値を生成する関数部とを 含み、

前記暗号化手段は、 前記公開鍵暗号文及び前記第 2関数値を含む前記 暗号化情報を生成する

ことを特徴とする請求の範囲 3に記載の共有鍵生成装置。

7 . 前記共有鍵生成手段は、 前記シー ド値に一方向性関数を施して、 関 数値を生成し、 生成した関数値から前記ブライ ン ド値及び前記共有鍵を 生成する

ことを特徴とする請求の範囲 6に記載の共有鍵生成装置。

8 . 前記共有鍵生成手段は、 前記ブライ ン ド値及び前記共有鍵の生成に 代えて、 前記シー ド値に第 1一方向性関数を施して、 第 1 関数値を生成 し、 生成した第 1 関数値から前記共有鍵を生成する

ことを特徴とする請求の範囲 6に記載の共有鍵生成装置。

9 . 前記公開鍵暗号化アルゴリ ズムは、 N T R U暗号方式によるもので あり、

前記公開鍵取得部は、 前記公開鍵と して、 N T R U暗号方式の鍵生成 アルゴリズムにより生成された公開鍵多項式を取得し、

前記公開鍵暗号化部は、 前記シー ド値からシー ド値多項式を生成し、 前記プライ ン ド値からブライン ド値多項式を生成し、 N T R U暗号方式 の暗号化アルゴリ ズムにより、 前記公開鍵多項式を鍵として用い、 前記 シ一 ド値多項式を攪乱するために前記ブライ ン ド値多項式を用いて、 前 記シー ド値多項式を暗号化して、 前記公開鍵暗号文として暗号化シー ド 値多項式を生成し、

前記暗号化手段は、 前記公開鍵暗号文としての前記暗号化シー ド値多 項式及び前記第 2関数値を含む前記暗号化情報を生成する

こ とを特徴とする請求の範囲 6に記載の共有鍵生成装置。

10. 前記共有鍵生成手段は、 前記シー ド値に一方向性関数を施して、 関 数値を生成し、 生成した関数値から検証値、 前記ブライ ン ド値及び前記 共有鍵を生成し、

前記暗号化手段は、

公開鍵を取得する公開鍵取得部と、

取得された前記公開鍵と生成された前記ブライ ン ド値とを用いて、 生 成された前記検証値に公開鍵暗号化アルゴリ ズムを施して、 第 1暗号文 を生成する第 1暗号化部と、

生成された前記検証値に基づいて、 生成された前記シー ド値に他の演 算ァルゴリズムを施して、第 2暗号文を生成する第 2暗号化部とを含み、 前記暗号化手段は、 前記第 1暗号文及び前記第 2暗号文を含む前記暗 号化情報を生成する

ことを特徴とする請求の範囲 3に記載の共有鍵生成装置。

1 1. 前記公開鍵暗号化アルゴリ ズムは、 N T R U暗号方式によるもので あり、 '

前記公開鍵取得部は、 前記公開鍵として、 N T R U暗号方式の鍵生成 ァルゴリズムにより生成された公開鍵多項式を取得し、

前記第 1暗号化部は、 前記検証値から検証値多項式を生成し、 前記プ ライ ン ド値からブライ ン ド値多項式を生成し、 N T R U暗号方式の暗号 化アルゴリ ズムにより、 前記公開鍵多項式を鍵として用い、 前記検証値 多項式を攪乱するために前記ブライ ン ド値多項式を用いて、 前記検証値 多項式を暗号化して、 前記第 1暗号文として暗号化検証値多項式を生成 し、

前記暗号化手段は、 前記第 1暗号文としての前記暗号化検証値多項式 及び前記第 2暗号文を含む前記暗号化情報を生成する

ことを特徴とする請求の範囲 1 0記載の共有鍵生成装置。

12. 前記他の演算アルゴリ ズムは、 共通鍵暗号化アルゴリ ズムであり、 前記第 2暗号化部は、 前記検証値を鍵として用いて、 前記シー ド値に 共通鍵暗号化アルゴリズムを施して、 前記第 2暗号文を生成する

ことを特徴とする請求の範囲 1 1に記載の共有鍵生成装置。

13. 前記他の演算アルゴリ ズムは、 排他的論理和であり、

前記第 2暗号化部は、 前記検証値と前記シード値とに、 排他的論理和 を施して、 前記第 2暗号文を生成する

ことを特徴とする請求の範囲 1 1に記載の共有鍵生成装置。

14. 前記他の演算アルゴリ ズムは、 加算であり、

前記第 2暗号化部は、前記検証値と前記シード値とに、加算を施して、 前記第 2暗号文を生成する

ことを特徴とする請求の範囲 1 1に記載の共有鍵生成装置。

1 5. 前記他の演算アルゴリ ズムは、 乗算であり、

前記第 2暗号化部は、前記検証値と前記シ一ド値とに、乗算を施して、 前記第 2暗号文を生成する

こ とを特徴とする請求の範囲 1 1に記載の共有鍵生成装置。

16. 前記シード値生成手段は、 乱数を生成し、 生成した乱数を前記シー ド値とする

ことを特徴とする請求の範囲 3に記載の共有鍵生成装置。

1 7. 前記共有鍵生成手段は、 前記シード値に一方向性関数を施して、 関 数値を生成し、 生成した関数値から前記ブライ ン ド値及び前記共有鍵を 生成する

ことを特徴とする請求の範囲 3に記載の共有鍵生成装置。

18. 前記一方向性関数は、 ハッシュ関数であり、

前記共有鍵生成手段は、 前記シ一 ド値にハッシュ関数を施す こ とを特徴とする請求の範囲 1 7に記載の共有鍵生成装置。

19. 前記共有鍵生成手段は、 生成した関数値の一部を前記ブライ ン ド値 とし、 他の一部を前記共有鍵とすることにより、 前記ブライ ン ド値及び 前記共有鍵を生成する

ことを特徴とする請求の範囲 1 7に記載の共有鍵生成装置。

20. 前記共有鍵生成装置は、 さらに、

コ ンテンツを取得する取得手段と、

生成された前記共有鍵を用いて、 取得したコンテンツを暗号化して、 暗号化コ ンテンッを生成する暗号化手段とを備え、

前記送信手段は、 さ らに、 生成された前記暗号化コ ンテンツを送信す る

ことを特徴とする請求の範囲 3に記載の共有鍵生成装置。

21. 第 3者に知られることなく共有鍵生成装置から共有鍵を受け取る共 有鍵復元装置であって、

前記共有鍵生成装置は、 シー ド値を生成し、 生成された前記シード値 からブライン ド値及び共有鍵を生成し、 生成された前記ブライン ド値に 基づいて、生成された前記シ一 ド値を暗号化して、暗号化情報を生成し、 生成された前記暗号化情報を送信し、

前記共有鍵復元装置は、

前記暗号化情報を受信する受信手段と、

受信した前記暗号化情報を復号して復号シ一ド値を生成する復号手段 と、

前記共有鍵生成装置による共有鍵生成方法と同一の方法により、 生成 された前記復号シ一 ド値から復号ブライ ン ド値及び復号共有鍵を生成す る共有鍵生成手段と、

生成された前記復号ブライ ン ド値に基づいて、 生成された前記復号シ 一ド値を暗号化して、 再暗号化情報を生成する再暗号化手段と、 受信された前記暗号化情報と生成された前記再暗号化情報とに基づい て、 前記復号共有鍵を出力するか否かを判断する判断手段と、

出力すると判断される場合に、 生成された前記復号共有鍵を出力する 出力手段とを備える ことを特徴とする共有鍵復元装置。

22. 前記共有鍵生成装置は、 前記シード値に一方向性関数を施して、 関 数値を生成し、 生成された関数値から前記ブライ ン ド値及び前記共有鍵 を生成し、 公開鍵を取得し、 取得された前記公開鍵と生成された前記ブ ライン ド値とを用いて、 生成された前記シー ド値に公開鍵暗号化ァルゴ リズムを施して、 前記暗号化情報として前記暗号化シー ド値を生成し、 前記暗号化シー ド値を送信し、

前記受信手段は、前記暗号化情報として前記暗号化シ一 ド値を受信し、 前記復号手段は、

前記公開鍵に対応する秘密鍵を取得する秘密鍵取得部と、

取得された秘密鍵を用いて、 受信された前記暗号化シー ド値に、 前記 公開鍵暗号化ァルゴリズムに対応する公開鍵復号ァルゴリズムを施して、 前記復号シ一ド値を生成する公開鍵復号部とを含み、

前記共有鍵生成手段は、 生成された前記復号シ一ド値に前記一方向性 関数を施して、 復号関数値を生成し、 生成した前記復号関数値から前記 復号ブライン ド値及び前記復号共有鍵を生成し、

前記再暗号化手段は、

前記公開鍵を取得する公開鍵取得部と、

取得された前記公開鍵と生成された前記復号ブライ ン ド値とを用いて、 生成された前記復号シ一 ド値に前記公開鍵暗号化ァルゴリズムを施して、 前記再暗号化情報として、 前記再暗号化シー ド値を生成する再暗号化部 とを含み、

前記判断手段は、 受信された前記暗号化シー ド値と生成された前記再 暗号化シー ド値とがー致するか否かを判断し、 一致する場合に、 前記復 号共有鍵を出力すると判断する

ことを特徴とする請求の範囲 2 1 に記載の共有鍵復元装置。

23.前記公開鍵暗号化ァルゴリズム及び前記公開鍵復号ァルゴリズムは、 N T R U暗号方式によるものであり、

前記共有鍵生成装置は、 前記公開鍵として、 N T R U暗号方式の鍵生 成アルゴリ ズムにより生成された公開鍵多項式を取得し、 前記シード値 からシー ド値多項式を生成し、 前記ブライ ン ド値からブライ ン ド値多項 式を生成し、 N T R U暗号方式の暗号化アルゴリ ズムにより、 前記公開 鍵多項式を鍵として用い、 前記シード値多項式を攪乱するために前記ブ ライン ド値多項式を用いて、 前記シー ド値多項式を暗号化して、 前記暗 号化シー ド値として暗号化シード値多項式を生成し、 前記暗号化シー ド 値として、 前記暗号化シード値多項式を送信し、

前記受信手段は、 前記暗号化シード値として、 前記暗号化シー ド値多 項式を受信し、

前記秘密鍵取得部は、 前記秘密鍵として、 N T R U暗号方式の鍵生成 ァルゴリズムにより生成された秘密鍵多項式を取得し、

前記公開鍵復号部は、 取得した前記秘密鍵多項式を鍵として用いて、

N T R U暗号方式の復号アルゴリズムにより、 受信した前記暗号化シー ド値多項式を復号して、 復号シー ド値多項式を生成し、 生成した前記復 号シード値多項式から前記復号シ一 ド値を生成し、

前記公開鍵取得部は、前記公開鍵として、前記公開鍵多項式を取得し、 前記再暗号化部は、 前記復号シ一ド値からシー ド値多項式を生成し、 前記復号ブライ ン ド値からブライ ン ド値多項式を生成し、 N T R U暗号 方式の暗号化アルゴリズムにより、 前記公開鍵.多項式を鍵として用い、 前記シ一ド値多項式を攪乱するために前記ブライン ド値多項式を用いて、 前記シー ド値多項式を暗号化して、 再暗号化シー ド値多項式を生成し、 前記判断手段は、 受信した前記暗号化シー ド値多項式と生成した前記 再暗号化シード値多項式とがー致するか否かを判断する

こ とを特徴とする請求の範囲 2 2に記載の共有鍵復元装置。

24. 前記共有鍵生成装置は、 公開鍵を取得し、 ブライ ン ド値を生成し、 取得された前記公開鍵と生成された前記ブライン ド値とを用いて、 生成 された前記シー ド値に公開鍵暗号化ァルゴリズムを施して、 公開鍵暗号 文を生成し、 生成された前記シード値、 前記ブライ ン ド値及び前記共有 鍵のいずれか 1以上に、第 2—方向性関数を施して第 2関数値を生成し、 前記公開鍵暗号文及び第 2関数値を含む前記暗号化情報を生成し、 前記 暗号化情報を送信し、 前記受信手段は、 前記公開鍵暗号文及び前記第 2関数値を含む前記暗 号化情報を受信し、

前記復号手段は、

前記公開鍵に対応する秘密鍵を取得する秘密鍵取得部と、

取得された前記秘密鍵を用いて、 受信された前記暗号化情報に含まれ る前記公開鍵暗号文に、 前記公開鍵暗号化ァルゴリズムに対応する公開 鍵復号ァルゴリズムを施して、復号シ一ド値を生成する公開鍵復号部と、 生成された復号シ一ド値、 前記復号ブライ ン ド値及び前記復号共有鍵 のいずれか 1 以上に、 前記第 2—方向性関数を施して復号第 2関数値を 生成する関数部とを含み、

前記判断手段は、 前記暗号化情報と前記再暗号化情報とに基づく判断 に代えて、 受信された前記暗号化情報に含まれる前記第 2関数値と、 生 成された前記復号第 2関数値とがー致するか否かを判断し、 一致する場 合に、 前記復号共有鍵を出力すると判断する

ことを特徴とする請求の範囲 2 1 に記載の共有鍵復元装置。

25. 前記共有鍵生成装置は、 前記シー ド値に一方向性関数を施して、 関 数値を生成し、 生成した関数値から前記ブライン ド値及び前記共有鍵を 生成し、

前記共有鍵生成手段は、 生成された前記復号シ一ド値に前記第 1一方 向性関数を施して、 復号関数値を生成し、 生成した前記復号関数値から 前記復号ブライ ン ド値及び前記復号共有鍵を生成する

ことを特徴とする請求の範囲 2 4に記載の共有鍵復元装置。

26. 前記共有鍵生成装置は、 前記ブライ ン ド値及び前記共有鍵の生成に 代えて、 前記シー ド値に第 1一方向性関数を施して、 第 1 関数値を生成 し、 生成した第 1関数値から前記共有鍵を生成し、

前記共有鍵生成手段は、 前記復号ブランィ ド値及び前記復号共有鍵の 生成に代えて、 生成された前記復号シ一ド値に前記第 1一方向性関数を 施して、 復号関数値を生成し、 生成した前記復号関数値から前記復号共 有鍵を生成する

こ とを特徴とする請求の範囲 2 4に記載の共有鍵復元装置。

27.前記公開鍵暗号化アルゴリ ズム及び前記公開鍵復号アルゴリ ズムは、 N T R U暗号方式によるものであり、

前記共有鍵生成装置は、 前記公開鍵として、 N T R U暗号方式の鍵生 成アルゴリズムにより生成された公開鍵多項式を取得し、 前記シ一 ド値 からシー ド値多項式を生成し、 前記ブライン ド値からブライ ン ド値多項 式を生成し、 N T R U暗号方式の暗号化アルゴリ ズムにより、 前記公開 鍵多項式を鍵として用い、 前記シ一 ド値多項式を攪乱するために前記ブ ライン ド値多項式を用いて、 前記シー ド値多項式を暗号化して、 前記公 開鍵暗号文として暗号化シー ド値多項式を生成し、 前記公開鍵暗号文と しての前記暗号化シード値多項式及び前記第 2関数値を含む前記暗号化 情報を生成し、

前記秘密鍵取得部は、 前記秘密鍵と して、 N T R U暗号方式の鍵生成 アルゴリズムにより生成された秘密鍵多項式を取得し、

前記公開鍵復号部は、 前記公開鍵暗号文から公開鍵暗号文多項式を生 成し、 取得した前記秘密鍵多項式を鍵として用いて、 N T R U暗号方式 の復号アルゴリ ズムにより、 前記公開鍵暗号文多項式を復号して、 復号 シー ド値多項式を生成し、 生成した前記復号シ一ド値多項式から前記復 号シ一 ド値を生成する

ことを特徴とする請求の範囲 2 4に記載の共有鍵復元装置。

28. 前記共有鍵生成装置は、 前記シー ド値に一方向性関数を施して、 関 数値を生成し、 生成した関数値から検証値、 前記ブライン ド値及び前記 共有鍵を生成し、 公開鍵を取得し、 取得された前記公開鍵と生成された 前記ブライ ン ド値とを用いて、 生成された前記検証値に公開鍵暗号化ァ ルゴリズムを施して、 第 1暗号文を生成し、 生成された前記検証値に基 づいて、 生成された前記シー ド値に他の演算アルゴリ ズムを施して、 第 2暗号文を生成し、 前記第 1暗号文及び前記第 2暗号文を含む前記暗号 化情報を生成し、 生成された前記暗号化情報を送信し、

前記受信手段は、 前記第 1暗号文及び前記第 2暗号文を含む前記暗号 化情報を受信し、

前記復号手段は、 前記公開鍵に対応する秘密鍵を取得する秘密鍵取得部と、 取得された秘密鍵を用いて、 受信された前記暗号化情報に含まれてい る前記第 1暗号文に、 前記公開鍵暗号化アルゴリズムに対応する公開鍵 復号アルゴリ ズムを施して、 復号検証値を生成する公開鍵復号部と、 生成された復号検証'値に基づいて、 受信された前記暗号化情報に含ま れている前記第 2暗号文に、 前記他の演算アルゴリズムの逆演算を行う 演算アルゴリ ズムを施して、 復号シ一ド値を生成する演算復号部とを含 み、

前記共有鍵生成手段は、 生成された前記復号シ一ド値に前記一方向性 関数を施して、 復号関数値を生成し、 生成した前記復号関数値から復号 検証値、 前記復号ブライン ド値及び前記復号共有鍵を生成し、

前記再暗号化手段は、

前記公開鍵を取得する公開鍵取得部と、

取得された前記公開鍵と生成された前記復号ブライン ド値とを用いて、 生成された前記復号検証値に、前記公開鍵暗号化ァルゴリズムを施して、 前記再暗号化情報を生成する再暗号化部と、

前記判断手段は、 前記暗号化情報に含まれている前記第 1暗号文と、 生成された前記再暗号化情報とがー致するか否かを判断し、 一致する場 合に、 前記復号共有鍵を出力すると判断する

こ とを特徴とする請求の範囲 2 1 に記載の共有鍵復元装置。

29.前記公開鍵暗号化ァルゴリ ズム及び前記公開鍵復号ァルゴリ ズムは、 N T R U暗号方式によるものであり、

前記共有鍵生成装置は、 前記公開鍵として、 N T R U暗号方式の鍵生 成アルゴリズムにより生成された公開鍵多項式を取得し、 前記検証値か ら検証値多項式を生成し、 前記ブライ ン ド値からブライ ン ド値多項式を 生成し、 N T R U暗号方式の暗号化アルゴリ ズムにより、 前記公開鍵多 項式を鍵として用い、 前記検証値多項式を攪乱するために前記ブライ ン ド値多項式を用いて、 前記検証値多項式を暗号化して、 前記第 1暗号文 として暗号化検証値多項式を生成し、 前記第 1暗号文としての前記暗号 化検証値多項式及び前記第 2暗号文を含む前記暗号化情報を生成し、 前 記暗号化情報を送信し、

前記受信手段は、 前記暗号化検証値多項式及び前記第 2暗号文を含む 前記暗号化情報を受信し、

前記秘密鍵取得部は、 前記秘密鍵として、 N T R U暗号方式の鍵生成 ァルゴリズムにより生成された秘密鍵多項式を取得し、

前記公開鍵復号部は、前記第 1暗号文から第 1暗号文多項式を生成し、 取得した前記秘密鍵多項式を鍵として用いて、 N T R U暗号方式の復号 アルゴリ ズムにより、 前記第 1暗号文多項式を復号して、 復号検証多項 式を生成し、 生成した前記復号検証値多項式から前記復号検証値を生成 し、

前記公開鍵取得部は、 前記公開鍵多項式を取得し、

前記再暗号化部は、 前記復号検証値から復号検証値多項式を生成し、 前記復号プライ ン ド値からブライ ン ド値多項式を生成し、 N T R U暗号 方式の暗号化アルゴリズムにより、 前記公開鍵多項式を鍵として用い、 前記復号検証値多項式を攪乱するために前記ブライ ン ド値多項式を用い て、 前記復号検証値多項式を暗号化して、 前記再暗号化情報として再暗 号化検証値多項式を生成し、

前記判断手段は、前記第 1暗号文としての前記暗号化検証値多項式と、 前記再暗号化情報としての前記再暗号化検証値多項式とがー致するか否 か判断する .

こ とを特徴とする請求の範囲 2 8に記載の共有鍵復元装置。

30. 前記他の演算アルゴリ ズムは、 共通鍵暗号化アルゴリ ズムであり、 前記逆演算を行う前記演算アルゴリズムは、 対応する共通鍵復号ァルゴ リズムであり、

前記演算復号部は、 前記復号検証値を鍵として用いて、 前記第 2暗号 文に共通鍵復号アルゴリズムを施して、 前記復号シ一ド値を生成する こ とを特徴とする請求の範囲 2 9に記載の共有鍵復元装置。

31. 前記他の演算アルゴリズム及び前記逆演算を行う前記演算アルゴリ ズムは、 排他的論理和であり、

前記演算復号部は、 前記復号検証値と前記第 2暗号文とに排他的論理 和を施して、 前記復号シード値を生成する

ことを特徴とする請求の範囲 2 9に記載の共有鍵復元装置。

32. 前記他の演算アルゴリ ズムは、 加算であり、 前記逆演算を行う前記 演算アルゴリ ズムは、 減算であり、

前記演算復号部は、 前記復号検証値と前記第 2暗号文とに減算を施し て、 前記復号シー ド値を生成する

ことを特徴とする請求の範囲 2 9に記載の共有鍵復元装置。

33. 前記他の演算アルゴリ ズムは、 乗算であり、 前記逆演算を行う前記 演算アルゴリ ズムは、 除算であり、

前記演算復号部は、 前記復号検証値と前記第 2暗号文とに除算を施し て、 前記復号シー ド値を生成する

ことを特徴とする請求の範囲 2 9に記載の共有鍵復元装置。

34.前記共有鍵生成手段は、前記復号シ一ド値に一方向性関数を施して、 関数値を生成し、 生成した関数値から前記復号ブライン ド値及び前記復 号共有鍵を生成する

ことを特徴とする請求の範囲 2 1 に記載の共有鍵復元装置。

35. 前記一方向性関数は、 ハッシュ関数であり、

前記共有鍵生成手段は、 前記復号シ一ド値にハツシュ関数を施す こ とを特徴とする請求の範囲 3 4に記載の共有鍵復元装置。

36. 前記共有鍵生成手段は、 生成した関数値の一部を前記復号ブライ ン ド値とし、 他の一部を前記復号共有鍵とすることにより、 前記復号ブラ ィン ド値及び前記復号共有鍵を生成する

ことを特徴とする請求の範囲 3 4に記載の共有鍵復元装置。

37. 前記共有鍵生成装置は、 さらに、 コ ンテンツを取得し、 生成された 前記共有鍵を用いて、 取得したコンテンツを暗号化して、 暗号化コ ンテ ンッを生成し、 生成された前記暗号化コ ンテンツを送信し、

前記共有鍵復号装置は、 さらに、

前記暗号化コンテンッを受信するコンテンッ受信手段と、

出力された前記復号共有鍵を用いて、 受信された前記暗号化コンテン ッを復号して、 復号コ ンテンツを生成する復号手段と、 生成された前記復号コンテンッを再生する再生手段と を備えることを特徴とする請求の範囲 2 1 に記載の共有鍵復元装置。

38. 第 3者に知られることなく共有鍵を相手の装置へ伝える共有鍵生成 装置で用いられる共有鍵生成方法であって、

シー ド値を生成するシー ド値生成ステ ップと、

生成された前記シ一ド値からプライン ド値及び共有鍵を生成する共有 鍵生成ステップと、

生成された前記ブライ ン ド値に基づいて、 生成された前記シ一 ド値を 暗号化して、 暗号化情報を生成する暗号化ステップと、

生成された暗号化情報を送信する送信ステップと

を含むこ とを特徴とする共有鍵生成方法。

39. 第 3者に知られることなく共有鍵を相手の装置へ伝える共有鍵生成 装置で用いられる共有鍵生成プログラムであって、

シー ド値を生成するシード値生成ステツプと、

生成された前記シー ド値からブライ ン ド値及び共有鍵を生成する共有 鍵生成ステップと、

生成された前記ブライ ン ド値に基づいて、 生成された前記シ一 ド値を 暗号化して、 暗号化情報を生成する暗号化ステップと、

生成された暗号化情報を送信する送信ステップと

を含むこ とを特徴とする共有鍵生成プログラム。

40. 前記共有鍵生成プログラムは、 コ ンピュータ読み取り可能な記録媒 体に記録されている

こ とを特徴とする請求の範囲 3 9に記載の共有鍵生成プログラム。

41. 第 3者に知られることなく共有鍵生成装置から共有鍵を受け取る共 有鍵復元装置で用いられる共有鍵復元方法であって、

前記共有鍵生成装置は、 シード値を生成し、 生成された前記シー ド値 からブライ ン ド値及び共有鍵を生成し、 生成された前記ブライン ド値に 基づいて、生成された前記シ一ド値を暗号化して、暗号化情報を生成し、 生成された前記暗号化情報を送信し、

前記共有鍵復元方法は、 前記暗号化情報を受信する受信ステップと、

受信した前記暗号化情報を復号して復号シ一ド値を生成する復号ステ ップと、

前記共有鍵生成装置による共有鍵生成方法と同一の方法により、 生成 された前記復号シ一ド値から復号ブライ ンド値及ぴ復号共有鍵を生成す る共有鍵生成ステップと、

生成された前記復号ブライン ド値に基づいて、 生成された前記復号シ 一ド値を暗号化して、 再暗号化情報を生成する再暗号化ステップと、 受信された前記暗号化情報と生成された前記再暗号化情報とに基づい て、 前記復号共有鍵を出力するか否かを判断する判断ステップと、 出力すると判断される場合に、 生成された前記復号共有鍵を出力する 出力ステップと

含むこ とを特徴とする共有鍵復元方法。

42. 第 3者に知られることなく共有鍵生成装置から共有鍵を受け取る共 有鍵復元装置で用いられる共有鍵復元プログラムであって、

前記共有鍵生成装置は、 シード値を生成し、 生成された前記シー ド値 からブライ ン ド値及び共有鍵を生成し、 生成された前記ブライ ン ド値に 基づいて、生成された前記シー ド値を暗号化して、暗号化情報を生成し、 生成された前記暗号化情報を送信し、

前記共有鍵復元プログラムは、

前記暗号化情報を受信する受信ステップと、

受信した前記暗号化情報を復号して復号シ一 ド値を生成する復号ステ ップと、

前記共有鍵生成装置による共有鍵生成方法と同一の方法により、 生成 された前記復号シ一ド値から復号プライ ンド値及び復号共有鍵を生成す る共有鍵生成ステップと、

生成された前記復号ブライ ン ド値に基づいて、 生成された前記復号シ 一ド値を暗号化して、 再暗号化情報を生成する再暗号化ステップと、 受信された前記暗号化情報と生成された前記再暗号化情報とに基づい て、 前記復号共有鍵を出力するか否かを判断する判断ステップと、 出力すると判断される場合に、 生成された前記復号共有鍵を出力する 出力ステップと

含むことを特徴とする共有鍵復元プログラム。

43. 前記共有鍵復元プログラムは、 .コンピュータ読み取り可能な記録媒 体に記録されている

ことを特徴とする請求の範囲 4 2に記載の共有鍵復元プログラム。