WO2005109379A1 - 暗号システム、暗号装置、復号装置、プログラムおよび集積回路 - Google Patents

Abstract

　従来より高速処理可能な暗号通信システムは、暗号装置と復号装置とを備えており、ｐ＝３かつｑ＝２＾ｋ（ｋ：２以上の整数）となるパラメータを、暗号装置と復号装置との間で共有している（Ｓ１６１）。復号装置は、このパラメータを用いて公開鍵および秘密鍵を作成する（Ｓ１６２～Ｓ１６５）。暗号装置は、復号装置の公開鍵を用いて平文の暗号化を行なう（Ｓ１６６～Ｓ１７０）。復号装置は、復号装置の秘密鍵を用いて暗号文を復号化する（Ｓ１７１～Ｓ１７３）。                                                                                 

Description

明 細 書

暗号システム、暗号装置、復号装置、プログラムおよび集積回路 技術分野

[0001] 本発明は、情報セキュリティ技術としての暗号技術に関し、特に、復号エラーが発 生しない暗号に関するものである。

背景技術

[0002] 従来、送信装置と受信装置との間で秘匿通信を実現する方法として、公開鍵暗号 を用いた暗号ィ匕通信が提案されている。従来の暗号化通信について簡単に説明す ると、送信装置が、通信内容を受信装置の公開鍵を用いて暗号ィ匕して送信し、受信 装置は、暗号化された通信内容を受信し、それを自身の秘密鍵を用いて復号して元 の通信内容を得る方法である（例えば、非特許文献 1参照)。ここで、公開鍵の値から 秘密鍵の値を計算するのは困難である。この方法を用いる一般的な暗号通信システ ムでは、送信装置及び受信装置は、ともに複数存在する。まず、送信装置は、通信 先受信装置の公開鍵を取得する。この公開鍵は、通信先受信装置が有する秘密鍵 と対になるものであり当該システムにおいて公開されている。そして、送信装置は、通 信すべきデータ内容を上記のように取得した公開鍵で暗号化して送信する。一方、 受信装置は、上記のように暗号化された通信内容データを受信する。そして、受信装 置は、暗号化された通信内容データを、自身の有する秘密鍵で復号して元の通信内 容データを得る。

[0003] 1996年、高速処理が可能な公開鍵暗号として、 NTRU (ェヌティーアールュ一 ·ク リブトシステムズ'インコーポレーテッドの商標）暗号が提案された (例えば、非特許文 献 2参照）。この NTRU暗号は、ある法の下でべき乗剰余演算を行う RSA(Rivest Shamir Adleman)暗号や楕円曲線上の点のスカラ倍演算を行う楕円曲線暗号に 比べ、高速に演算可能な多項式演算により暗号化と復号化とを行う。このため、従来 の公開鍵暗号よりも高速に処理することが可能で、ソフトウェア処理でも実用的な時 間で暗号化及び復号化の処理が可能ある。

[0004] 従って、公開鍵暗号に NTRU暗号を用いた暗号通信システムでは、従来の公開鍵 暗号を用いた暗号通信システムよりも、送信装置及び受信装置の処理が高速に行え るという利点がある。

[0005] この NTRU暗号方式については、非特許文献 2に詳しく述べられているので、ここ では詳細な説明を省略するが、以下に簡単に説明する。

[0006] <NTRU暗号方式 >

(l) NTRU暗号のパラメータ

NTRU暗号は、非負整数のパラメータ、 N、 p、 q、 df、 dg、 dを持つ。以下に、これら のパラメータの意味を説明する。

[0007] (i)パラメータ N

NTRU暗号は、多項式の演算により暗号化と復号ィ匕を行う公開鍵暗号方式である 。 NTRU暗号で扱う多項式の次元は、上記パラメータ Nにより決まる。

[0008] NTRU暗号で扱う多項式は、上記パラメータ Nに対し、（N— 1)次以下の整数係数 多項式であり、例えば N = 5のとき、 X'4+X'3 + l等の多項式である。ここで、「X'a 」は Xの a乗を意味することとする。また、暗号ィ匕時あるいは復号ィ匕時に用いられる公 開鍵 h、秘密鍵 f、平文 m、乱数!:、暗号文 cはいずれも、（N— 1)次以下の多項式とし て表現される。

[0009] そして、多項式演算は、上記パラメータ Nに対し、「： ΤΝ= 1」という関係式を用いて 、演算結果が常に (N—1)次以下の多項式になるように演算される。例えば、 Ν = 5 の場合、多項式 X"4+X"2+ lと多項式 Χ"3+Χの積は、多項式と多項式の積を「X 」、整数と多項式の積 (あるいは整数と整数の積)を「·」とすると、「Χ'5 = 1」という関 係から、

(X"4+X"2+ l) X (Χ"3+Χ)

=Χ"7 + 2·Χ"5 + 2·Χ"3+Χ

=Χ"2 Χ 1 + 2· 1 + 2·Χ"3+Χ

= 2·Χ"3+Χ"2+Χ+ 2

t 、うように、常に (N—1)次元以下の多項式になるように計算される。

[0010] (ii)パラメータ p、q

NTRU暗号では、 2以上の整数であるパラメータ p、 qが用いられる。 NTRU暗号で 出現する多項式の係数は、 p、 qを法とした剰余を取る。非特許文献 2に記載の通り、 このパラメータ p、 qは互いに素となる必要がある。

[0011] (iii)パラメータ df、 dg、 d

NTRU暗号で扱う秘密鍵の一部である多項式 f、公開鍵である多項式 hを生成する ときに多項式 fと共に用 、る多項式 g、及び平文を暗号化するときに用いる乱数である 多項式 rの選び方は、それぞれパラメータ df、 dg、及び dにより決まる。

[0012] まず、多項式 fは、 df個の係数が 1であり、かつ（df— 1)個の係数が 1であり、かつ 他の係数は 0となるように選ばれる。すなわち、多項式 fは (N— 1)次以下の多項式で あり、 0次（定数項)から (N—1)次までの N個の係数を有する。この N個の係数のうち 、 df個の係数が 1であり、かつ（df— 1)個の係数が 1であり、かつ（N— 2df+ l)個 の係数が 0となるように多項式 fが選ばれる。

[0013] そして、多項式 gは、 dg個の係数が 1であり、かつ dg個の係数が 1であり、かつ他 の係数が 0となるように選ばれる。また、乱数である多項式 rは、 d個の係数が 1であり 、かつ d個の係数が 1であり、かつ他の係数が 0となるように選ばれる。

[0014] 非特許文献 2には、 NTRU暗号のパラメータの例として、（N, p, q, df, dg, d) = ( 107, 3, 64, 15, 12, 5)、（N, p, q, df, dg, d) = (167, 3, 128, 61, 20, 18)、 ( N, p, q, df, dg, d) = (503, 3, 256, 216, 72, 55)の 3つの f列力 ^挙げ、られて! /、る

[0015] (2) NTRU暗号の鍵生成

NTRU暗号では、上述したように、パラメータ dfおよび dgを用いてランダムに多項 式 fおよび多項式 gがそれぞれ生成される。そして非特許文献 2に記載の通り、 Fq X f = l (mod q)なる関係を有する多項式 Fqを用いて、

n=Fq X g (mod qノ

により、多項式 hが生成される。ここで、 a (mod b)は aを bで除したときの剰余を示す

[0016] また、 NTRU暗号では、秘密鍵を (f , Fp)、公開鍵を hとする。

[0017] ここで、「x=y(mod q)」は、多項式 yの第 i次の係数を剰余が 0から q— 1の範囲に 収まるようにするために、法 qで割ったときの剰余を多項式 Xの第 i次の係数とする演 算である（0≤i≤N— 1)。すなわち、 yの各係数を、 0から (q— 1)の範囲に収まるよう に mod q演算（qで除したときの剰余を求める演算、法 qでの剰余演算）を施した多 項式を、多項式 Xとする演算である。

[0018] (3) NTRU暗号の喑号ィ匕

NTRU暗号の暗号化では、平文である多項式 mを暗号化し、暗号文である多項式 cを計算する。まず、上述したような多項式である乱数 rをランダムに生成する。すなわ ち、乱数 rは (N—1)次以下の多項式であり、 0次（定数項)から (N— 1)次まで N個の 係数があるが、この N個の係数のうち、 d個の係数が 1であり、かつ d個の係数が 1 であり、かつ (N— 2d)個の係数が 0となるように、ランダムに多項式ほ L数) rを選ぶ。

[0019] そして、この乱数 rと公開鍵 hとを用いて、係数が 0、 1もしくはー1である（N—1)次 以下の平文 mに対し、

c = p 'r X h + numod q)

により、暗号文 cを生成する。

[0020] この演算は、上述した通り、多項式 (p 'r X h+m)の各係数を、 0から（q— 1)の範囲 に収まるように mod q演算を施した多項式を、多項式 cとする演算である。

[0021] (4) NTRU暗号の復号ィ匕

NTRU暗号の復号化では、暗号文である多項式 cを復号化し、復号文である多項 式 m'を計算する。復号ィ匕時には、まず、暗号文 cに対し、秘密鍵の一部である多項 式 fを用いて、

a = f X c (mod q * J

により多項式 aを計算する。

[0022] ここで、（mod q * )は、上述の（mod q)演算と異なり、多項式 (f X c)の第 i次の係 数を、〈― qZ2〉 + lからく qZ2〉の範囲に収まるように法 qで割ったときの剰余を、多 項式 aの第 i次の係数とする演算である (0≤i≤N— 1)。すなわち、係数がく qZ2〉か ら q—1までの間の値である場合は、係数力も qを減算して、上記範囲に収まるよう調 整する。ここで、〈x〉は、 X以下の数の中で最も大きい数を示す。例えば、 <- 1/2> = 1である。

[0023] 次に、多項式 aに対し、ノ メータ pを用いて、 b = a (mod p)

により、多項式 bを生成する。

[0024] そして、多項式 bに対し、秘密鍵の一部である多項式 Fpを用いて、

m =Fp X b (mod p水)

により、復号文 m'を計算する。

[0025] なお、この（mod p * )という演算は、上述した通り、多項式（Fp X b)の第 i次の係 数を、〈一 pZ2〉 + lからく pZ2〉の範囲に収まるように法 pで割ったときの剰余を、多 項式 m'の第 i次の係数とする演算である。

[0026] なお、この NTRU暗号に関して、上述のパラメータは全て p = 3となるパラメータで あるが、このパラメータの他に p = 2となるパラメータも開示されている（例えば、非特 許文献 3参照)。なお、非特許文献 2に記載の通り、 p = 3の場合は、平文 mは係数が 0、 1もしくは 1の 3値である多項式である力 p = 2の場合は、平文 mは係数が 0もし くは 1の 2値である多項式である。そして、秘密鍵である多項式 f、多項式 g、乱数 rは、 p = 2か p = 3かに関わらず係数が 0、 1もしくは— 1の 3値である多項式である。

[0027] また、この NTRU暗号に関して、鍵生成処理において、

n=p^,Fq X g (mod q)

を満たすように、公開鍵 hを生成し、暗号化処理を

c=rX h+m (mod q)

により行う方法も開示されている (例えば、非特許文献 5参照)。

[0028] しかしながら、上述した NTRU暗号は、公開鍵を用いて平文を暗号化して暗号文 を生成し、正規の秘密鍵を用いて暗号文を復号して復号文を生成しても、復号文が 元の平文と異なる場合が発生する (例えば、非特許文献 2参照)。このことを復号エラ 一 (decryption failure)が発生すると!/、う。非特許文献 2に記載の NTRU暗号は、 上述したパラメータの取り方により復号エラーの発生確率が変わるが、当該文献に開 示されているパラメータではいずれも、 10" (— 5)程度の確率で復号エラーが発生す ることが知られている (例えば、非特許文献 3参照)。

[0029] これに対し、近年、パラメータを後述するパラメータに限定し、復号化時に復号エラ 一発生確率を低減させる計算を追加することにより、復号エラー確率を 2" (— 100) 以下にする新しい NTRU暗号方式である NTRUEncryptと呼ばれる方式が提案さ れている（例えば、非特許文献 4参照)。

[0030] この NTRUEncrypt方式については、非特許文献 4に詳しく述べられているので、 ここでは詳細な説明を省略するが、以下に簡単に説明する。

[0031] < NTRUEncrypt方式 >

(1) NTRUEncryptのパラメータ

NTRUEncryptでは、非負整数のパラメータ、 N、 p、 q、 df、 dg、 dを持つ。非特許 文献 4には、 NTRUEncryptのノ ラメータとして（N, p, q, df, dg, d) = (251, 2, 2 39, 72, 72, 72)というパラメータのみが開示されている。 NTRUEncryptでは、こ れらのパラメータのうち、パラメータ df、 dg、 dの意味が NTRU暗号と異なる。

[0032] 以下に、上述の NTRU暗号との差異点を中心に、これらのパラメータの意味を説明 する。

[0033] (i)パラメータ N

NTRUEncryptは、 NTRU暗号と同様、多項式の演算により暗号化と復号化を行 う公開鍵暗号方式である。 NTRU暗号と同様、 NTRUEncryptで扱う多項式は、上 記パラメータ Nに対し、（N—1)次以下の整数係数多項式であり、多項式演算は、 X" N= 1という関係式を用いて、演算結果が常に (N— 1)次以下の多項式になるように 演算される。

[0034] (ii)パラメータ p、q

NTRUEncryptでは、上述の通り p = 2、かつ q = 239となるパラメータ p、 qを用い る。このパラメータ p、 qは互いに素となっている。

[0035] (iii)パラメータ df、 dg、 d

NTRUEncryptで扱う秘密鍵の一部である多項式 f、公開鍵である多項式 hを生成 するときに多項式 fと共に用いる多項式 g、及び平文を暗号ィ匕するときに用いる乱数 である多項式 rの選び方は、それぞれパラメータ df、 dg、 dにより決まる。

[0036] まず、 df個の係数が 1であり、かつ他の係数は 0となるような（N— 1)次以下の多項 式 fが選ばれる。

[0037] そして、 dg個の係数が 1であり、かつ他の係数は 0となるような（N—1)次以下の多 項式が選ばれる。また、乱数 rとして、同様に、 d個の係数が 1であり、かつ他の係数は 0となるような (N— 1)次以下の多項式が選ばれる。

[0038] すなわち、 NTRU暗号では、多項式 f、 g、 rとして、係数が 0、 1もしくは 1である多 項式を選んでいたのに対し、 NTRUEncryptでは、多項式 f、 g、 rとして、係数が 0も しくは 1である多項式を選ぶ点が NTRU暗号と異なる。

[0039] (2) NTRUEncryptの鍵生成

NTRUEncryptでは、上述したように、パラメータ df、 dgを用いてランダムに多項式 f、 gを生成する。そして非特許文献 4に記載の通り、 Fq X f= l (mod

q)となる多項式 Fqを用いて、

n=p^,Fq X g (mod q)

により、多項式 hを生成する。また、 NTRUEncryptでは、秘密鍵を (f, Fp)、公開鍵 を多項式 hとする。

[0040] (3) NTRUEncryptの暗号化

NTRUEncryptでは、まず、上述したような乱数 rをランダムに生成する。すなわち 、パラメータ dを用いて d個の係数が 1であり、かつ他の係数は 0となるような（N— 1) 次以下の多項式をランダムに選び、乱数 rとする。

[0041] そして、この乱数 rと公開鍵 hを用いて、係数が 0もしくは 1である (N—1)次以下の 平文 mに対し、

c=rX h+m (mod q)

により、暗号文 cを生成する。

[0042] この演算は、上述した通り、多項式 (r X h+m)の各係数を、 0から（q— 1)の範囲に 収まるように mod q演算を施した多項式を、多項式 cとする演算である。

[0043] なお、 NTRU暗号の説明で述べた通り、鍵生成処理にお!、て、

n=Fq X g (mod qノ

を満たすように、公開鍵 hを生成し、暗号化処理を、

c = p'r X h + numod q)

により行っても、暗号文 cの値は同一となるため、本質的な違いはない。

[0044] (4) NTRUEncryptの復号化 復号ィ匕時には、まず、暗号文 cに対し、秘密鍵の一部である多項式 fを用いて、 a = f Xc(mod q水水)

により多項式 aを計算する。

[0045] ここで、（mod q* *)は、上述の（mod q)演算と異なり、多項式（f Xc)の第 i次の 係数を適切な幅 qの区間に収まるように法 qで割ったときの剰余を、多項式 aの第 i次 の係数とする演算である (0≤i≤N— 1)。具体的な演算方法は、非特許文献 4に、 ce nter 1もしくは center2と呼ばれるアルゴリズムで規定されて!、る。

[0046] 以下に、 center2のアルゴリズムを示す。

[0047] (center2アルゴリズム）

Stepl:A=fXc(mod q)とし、 11= (A(l)— pXdXdg)Z(dr (― 1) mod q) mod qを計算する。ここで、 A(l)は多項式 Aの変数 xに 1を代入したときの値を示 す。

[0048] Step2 :11がく（N— q) /2) + 1からく（N + q) /2)の範囲に入るよう IIに qの倍数を 足して調整したときの値を 12とする（当然、 12 = 11 mod qを満たす)。

[0049] Step 3 :J = df XI2+pXdX dgを計算する。

[0050] Step4:Aの各係数が 0ZN— qZ2〉 +1から 0ZN + qZ2〉の範囲に入るように、 各係数に qの倍数を足して調整した後の多項式を a ( = fX c (mod q * * ) )とする。

[0051] この演算は、復号エラー発生確率を減少させるために行う処理である。

[0052] 次に、多項式 aに対し、ノ メータ pを用いて、

b = a(mod p)

により、多項式 bを生成する。

[0053] そして、多項式 bに対し、秘密鍵の一部である多項式 Fpを用いて、

m =Fp Xb (mod p)

により、復号文 m'を生成する。

[0054] なお、この NTRUEncryptに関して、 df個の係数が 1であり、かつ他の係数は 0とな るような (N— 1)次以下の多項式 Fを選び、 f = 1 +p 'Fと 、う式により多項式 fを構成 する方式も開示されている (例えば、非特許文献 4参照)。この方式は、非特許文献 4 に記載の通り、多項式 fが f=l+p'Fという形であるために、 FpXf=l(mod p)とな る多項式 Fpは Fp = 1 (mod p)となるので、復号化処理で行う多項式 Fpとの多項式 乗算が不要となり、

m，=a (mod p)

により、復号文 mを生成できる。

[0055] この NTRUEncryptは、復号化時に復号エラー発生確率を減少させる処理を行う ことにより、 NTRU暗号よりも復号エラーが発生しにくくした方式ではある力 その復 号エラー発生確率は 2' (— 100)以下ということし力示されておらず、復号エラー発生 確率が 0、すなわち、復号エラーを全く発生させない方法については知られていない

[0056] なお、 NTRU暗号及び NTRUEncrypt共に多項式を用いて演算を表現して!/、る

1S 特許文献 1ではこれを一般の環 Rの元として表現している。具体的には、上記の 多項式を環 Rの元とし、 p、 qを環 Rのイデアルとしている。

[0057] 特許文献 1 :特表 2000— 516733号公報

非特許文献 1 :岡本龍明、山本博資、「現代暗号」、シリーズ Z情報科学の数学、産 業図書、 1997.

特許文献 2： Jeff ery Hoff stein, Jill Pipher, and Joseph H. Silverma n, "NTRU： A ring based public key crypto system , Lecture Not es in Computer Science, 1423, pp. 267— 288, Springer— Verlag, 1998.

非特許文献 3 :Joseph H. Silverman, "NTRU Crypto systems Technical Report # 011, Version 2, Wraps, Gaps, and Lattice Constants" , [online]、 2001年 3月 15曰、 [2003年 12月 15曰検索]、インターネットく URL ： http： / / www. ntru. com/ cryptolab/ pdf / NTRUTechO 11― v2. pdf

>

非特許文献 4:Joseph H. Silverman, W. Whyte, "NTRU Cryptosyste ms Technical Report # 018, Version 1, Estimating Decryption Fa ilure Probabilities for NTRUEncrypt", [online] , 2003年、 [2003年 12 月 15日検索]、インターネットく URL : http： //www. ntru. com/cryptolab /pdf /NTRUTechO 18. pdf >

非特許文献 5 : NTRU Cryptosystems, Inc. , "The NTRU Public Key Cryptosystem - A Tutorial", [online]、 [2003年 12月 15日検索]、インタ ~~ネット < URL : http： / / www. ntru. com/ cryptolab/ pdf/ ntrututorial s. pdf >

非特許文献 6 : Nick Howgrave― Graham, Joseph H. Silverman, and William Whyte, "NTRU Cryptosystems Technical Report # 004, V ersion 2, A Meet— In— The— Middle Attack on an NTRU Private Key", [online]、 2003年、 [2003年 12月 15曰検索]、インターネットく URL : h ttp:Z / www. ntru. com/ cryptolab/ p df / NTRUTe chO 18. pdf > fhe NTRU Public Key Cryptosystem - A Tutorial", [online]、 [2003年 12月 15日検索]、インターネットく URL : http： //www. ntru. com/cryptola b/pdf/NTRUTech004v2. pdf >

特許文献 7 : Jeff ery Hoff stein, Joseph H. Silverman, and William Whyte, "NTRU Cryptosystems Technical Report # 012, Version 2 , Estimated Breaking Times for NTRU Lattices ，，, [online]、 2003 年、 [2003年 12月 15日検索]、インターネットく URL : http : //www. ntru. co m/cryptolab/pdf /NTRUTechO 12v2. pdf >

発明の開示

発明が解決しょうとする課題

[0058] しかしながら、上述した NTRUEncrypt方式では、 qが 2以外の素数であるため、暗 号ィ匕処理及び復号ィヒ処理で行う多項式係数の法 qでの剰余演算が NTRU暗号方 式に比べて容易にできない。このため、 NTRU暗号方式と比べて暗号化処理及び 復号化処理の処理速度が遅くなる、という課題がある。

[0059] また、上述した NTRUEncrypt方式では、復号エラー発生確率は 0ではないため、 送信装置と受信装置の間で暗号化通信を行う暗号通信システムに適用した場合、送 信装置が送信したデータ内容が、受信装置で正しく得られない場合がある、という課 題がある。 [0060] 本発明は、前記従来の課題を解決するもので、 NTRUEncrypt方式より高速な N TRU暗号方式を新たに構成し、新たに構成した NTRU暗号方式を暗号システム〖こ 適用することで、さらに高速な暗号システムを提供することを第 1の目的とする。

[0061] また、復号エラーが原理的に発生しな 、NTRU暗号方式を新たに構成し、新たに 構成した NTRU暗号方式を暗号システムに適用することで、送信装置が送信したデ ータ内容が、常に受信装置で正しく得られるような暗号システムを提供することを第 2 の目的とする。

課題を解決するための手段

[0062] 上記目的を達成するために、本発明に係る暗号システムは、所定の暗号方式に従 V、平文を暗号化して暗号文を生成する暗号装置と、前記所定の暗号方式に従!、前 記復号文を復号化して復号文を生成する復号装置とを備える暗号システムであって 、前記復号装置は、加算、減算、乗算が定義された N次元配列の集合である環 Rと、 前記環 Rのイデアル p、 qに対し、前記環 Rの元 f、 gと、 f (mod q)の逆数である元 Fq と（ここで a (mod b)は、 aを bで割った余りを示す。）、 f (mod p)の逆数である元 Fp とを生成し、前記元 gおよび前記元 Fqの積と法を qとして合同である元 hを公開鍵とし て生成し、前記元 fおよび前記元 Fpを得ることのできる情報を秘密鍵として生成する 鍵生成部と、前記秘密鍵を使用して前記暗号文を復号化して前記復号文を生成す る復号化部とを備え、前記暗号装置は、前記公開鍵及び前記環 Rからランダムに選 択した元 rを使用して前記平文を暗号化して前記暗号文を生成する暗号化部を備え 、前記元 f、前記元 g、前記元!:、前記平文である N次元配列のすべての要素は 0もし くは 1であり、前記イデアル pと前記イデアル qとは互いに素であり、前記イデアル qは q= (2"k) *Rである（ただし、 は 1〖こ 2を k回掛けた結果であり、 *は環 Rの乗算 を表す)ことを特徴とする。

[0063] qを上述のように、定義している。このため、 qが整数の場合には、 qは 2のべき乗とな り、法 qでの剰余演算 (mod q演算）をビットマスク演算により行なうことができる。よつ て、暗号システムは、高速に処理を行なうことができる。

[0064] また、前記鍵生成部は、前記元 fは、 N次元配列の値が 1となる要素の数を規定す る非負整数 dfに基づき生成され、前記元 gは、 N次元配列の値が 1となる要素の数を 規定する非負整数 dgに基づき生成され、前記元 rは、 N次元配列の値が 1となる要素 の数を規定する非負整数 dに基づき選択され、前記イデアル pは、前記環 Rの元 pgに 対し p = pg *Rであり、前記イデアル qは、前記環の元 qgに対し q = qg *Rであり、前 記次元 N、前記元 pg、前記元 qg、前記非負整数 df、前記非負整数 dg、前記非負整 数 dは、復号エラー発生有無を判定するエラー条件情報に基づいていてもよい。さら に、前記エラー条件情報は、復号エラーが発生しないための条件を表す条件式であ つてもよい。具体的には、前記条件式は、 Min(dg, d) +df< (qg— l)Zp (ただし、 Min (a, b)は aと bの小さ!/、方の数を表す）である。

[0065] 上述の条件式を満たすようにパラメータを設定すると、実施の形態において後述す るように、多項式 p 'r X g + f X mの全ての係数が 0から（q— 1)の範囲に収まることに なり、復号エラーは発生が発生しない。

[0066] なお、本発明は、このような特徴的な手段を備える暗号システムとして実現すること ができるだけでなぐ暗号システムに含まれる特徴的な手段をステップとする暗号方 法として実現したり、暗号システムを構成する暗号装置および復号装置に含まれる特 徴的な手段としてコンピュータを機能させるプログラムとして実現したりすることもでき る。そして、そのようなプログラムは、 CD-ROM (Compact Disc-Read Only Memory )等の記録媒体やインターネット等の通信ネットワークを介して流通させることができる のは言うまでもない。

発明の効果

[0067] 本発明によると、従来最速の NTRUEncrypt方式よりも高速処理可能な NTRU暗 号方式を新たに構成し、また、この NTRU暗号方式を暗号通信に適用することで、 従来よりも高速処理可能な暗号システムを構成することできる。

[0068] また、復号エラーが原理的に発生しな 、NTRU暗号方式を構成し、また、この NT RU暗号方式を暗号システムに適用することで、暗号装置が送信したデータ内容が、 常に復号装置で正しく得られるような暗号システムを構成することできる。

[0069] さらに、復号エラーが原理的に発生せず、かつ高速処理可能な NTRU暗号方式を 構成し、また、この NTRU暗号方式を暗号システムに適用することで、暗号装置が送 信したデータ内容が、常に復号装置で正しく得られ、従来よりも高速処理可能な暗号 システムを構成することできるようになった。

[0070] 以上により、従来達成できなかった暗号システム、暗号装置及び復号装置を提供 することができ、その実用的価値は大きい。

図面の簡単な説明

[0071] [図 1]図 1は、本発明の実施の形態 1に係る暗号通信システムの構成を示すブロック 図である。

[図 2]図 2は、実施の形態 1に係る暗号装置の構成を示すブロック図である。

[図 3]図 3は、実施の形態 1に係る暗号装置の動作を示すフローチャートである。

[図 4]図 4は、実施の形態 1に係る復号装置の構成を示すブロック図である。

[図 5]図 5は、実施の形態 1に係る復号装置の動作を示すフローチャートである。

[図 6]図 6は、実施の形態 1に係る暗号通信システム全体の動作を示すフローチヤ一 トである。

[図 7]図 7は、本発明の実施の形態 2に係る暗号通信システムの構成を示すブロック 図である。

[図 8]図 8は、実施の形態 2に係る暗号装置の構成を示すブロック図である。

[図 9]図 9は、実施の形態 2に係る復号装置の構成を示すブロック図である。

[図 10]図 10は、実施の形態 2に係る暗号通信システム全体の動作を示すフローチヤ ートである。

[図 11]図 11は、実施の形態 3に係る暗号通信システムの構成を示すブロック図であ る。

[図 12]図 12は、実施の形態 3に係る暗号装置の構成を示すブロック図である。

[図 13]図 13は、実施の形態 3に係る復号装置の構成を示すブロック図である。

[図 14]図 14は、実施の形態 3に係る暗号通信システム全体の動作を示すフローチヤ ートである。

符号の説明

[0072] 1, lb, lc 暗号通信システム

10, 10b, 10c 暗号装置

11, l ib, 11c, 21, 21b, 21c ノ ラメータ記憶部 12 公開鍵記憶部

13, 13b, 13c 暗号ィ匕部

20, 20b, 20c 復号装置

22, 22b, 22c 鍵生成部

23 秘密鍵記憶部

24, 24b, 24c 復号ィ匕部

30 通信路

発明を実施するための最良の形態

[0073] 以下本発明の実施の形態について、図面を参照しながら説明する。

[0074] (実施の形態 1)

本実施の形態 1に係る暗号通信システム、暗号装置及び復号装置では、従来にお いて最速である NTRUEncrypt方式よりも高速処理可能な NTRU暗号方式を新た に構成し、この新たに構成した NTRU暗号方式を用いて暗号ィ匕通信を行う（以降、こ の新たに構成した、従来よりも高速処理可能な NTRU暗号方式を「第 1の変形 NTR U暗号方式」と呼ぶ)。

[0075] そのため、最初に高速 NTRU暗号方式について説明を行う。

[0076] 以下、従来の NTRUEncrypt方式との差異点を中心に第 1の変形 NTRU暗号方 式について説明する。

[0077] <第 1の変形 NTRU暗号方式 >

第 1の変形 NTRU暗号方式は、従来の NTRUEncryp りも高速処理可能となる ように改変したものである。

[0078] 第 1の変形 NTRU暗号方式は、パラメータとして p = 3、 q = 2"k(k: 2以上の整数） となるパラメータを用いつつ、多項式 f、 g、乱数である多項式 r及び平文である多項 式 mとして、係数が 0もしくは 1の 2値である多項式を選ぶ点が従来の NTRUEncryp tと異なる。なお、パラメータ pは、ノ メータ qと互いに素になるような値であればよぐ 3以外の値であってもよ!/、。

[0079] 以下、この第 1の変形 NTRU暗号方式について説明を行う。

[0080] (1)第 1の変形 NTRU暗号方式のパラメータ 第 1の変形 NTRU暗号方式は、非負整数のパラメータ、 N、 p、 q、 df、 dg、 dを持つ

[0081] これらのパラメータの意味は、従来の NTRUEncrypt方式と同じである力 p = 3力 つ q = 2"k (k： 2以上の整数）となるパラメータを生成し、 p = 3として 、るにも拘わらず 、多項式 f、 g、 rとして係数が 0もしくは 1の 2値である多項式を用いる点力 従来の N TRUEncryptと異なる。

[0082] (2)第 1の変形 NTRU暗号方式の鍵生成

第 1の変形 NTRU暗号方式では、上述したように、ノ ラメータ df、 dgを用いてランダ ムに多項式 f、多項式 gを生成する。具体的には、 df個の係数が 1であり、それ以外の 係数が 0である多項式 fを生成し、 dg個の係数が 1であり、それ以外の係数力^である 多項式 gを生成する。そして非特許文献 2に記載の通り、 Fq X f = 1 (mod q)となる 多項式 Fqを用いて、

n=Fq X g (mod qノ

により、多項式 hを生成する。秘密鍵を (f, Fp)、公開鍵を hとする。

[0083] ここで、 x=y (mod q)は、多項式 yの第 i次の係数を、剰余が 0から q— 1の範囲に 収まるように法 qで割ったときの剰余を、多項式 Xの第 i次の係数とする演算である（0 ≤i≤N—l)。すなわち、 yの各係数を、 0から（q—l)の範囲に収まるように mod q 演算を施した多項式を、多項式 Xとする演算である。

[0084] (3)第 1の変形 NTRU暗号方式の喑号ィ匕

第 1の変形 NTRU暗号方式の暗号化では、平文である係数力^もしくは 1の 2値で ある多項式 mを暗号化し、暗号文である多項式 cを計算する。まず、上述したような乱 数である多項式 rをランダムに生成する。すなわち、乱数 rは (N— 1)次以下の多項式 であり、第 0次 (定数項)から第 (N—1)次まで N個の係数があるが、この N個の係数 のうち、 d個の係数が 1であり、かつ d個の係数が 1であり、かつ（N— 2d)個の係数 は 0となるよう〖こ、ランダムに乱数 rを選ぶ。

[0085] そして、この乱数 rと公開鍵 hを用いて、係数が 0、 1もしくはー1である (N—1)次以 下の平文 mに対し、

c = p'r X h + numod q) により、暗号文 cを生成する。

[0086] この演算は、上述した通り、多項式 (p 'rX h+m)の各係数を、 0から（q— 1)の範囲 に収まるように mod q演算を施した多項式を、多項式 cとする演算である。

[0087] 第 1の変形 NTRU暗号方式は、 p = 3としているにも拘わらず、係数が 0もしくは 1の

2値である多項式を用いる点力 従来の NTRUEncryptと異なる。

[0088] (4)第 1の変形 NTRU暗号方式の復号ィ匕

第 1の変形 NTRU暗号方式の復号ィ匕では、暗号文である多項式 cを復号ィ匕し、復 号文である多項式 m'を計算する。復号ィ匕時には、まず、暗号文 cに対し、秘密鍵の 一部である多項式 fを用いて、

a = f X c (mod q * J

により多項式 aを計算する。

[0089] ここで、（mod q * )は、上述の（mod q)演算と異なり、多項式 (f X c)の第 i次の係 数を、〈― qZ2〉 + lからく qZ2〉の範囲に収まるように法 qで割ったときの剰余を、多 項式 aの第 i次の係数とする演算である (0≤i≤N— 1)。すなわち、係数がく qZ2〉か ら q— 1である場合は、係数力も qを減算して、上記範囲に収まるよう調整する。ここで

、〈x〉は、 X以下の数の中で最も大きい数を示す。例えば、〈一 1Z2〉 =— 1である。

[0090] 次に、多項式 aに対し、ノ ラメータ pを用いて、

b = a (mod p)

により、多項式 bを生成する。

[0091] そして、多項式 bに対し、秘密鍵の一部である多項式 Fpを用いて、

m =Fp X b (mod p水)

により、復号文 m'を計算する。

[0092] なお、この（mod p * )という演算は、上述した通り、多項式（Fp X b)の第 i次の係 数を、〈一 pZ2〉 + lからく pZ2〉の範囲に収まるように法 pで割ったときの剰余を、多 項式 m'の第 i次の係数とする演算である。

[0093] <従来技術と第 1の変形 NTRU暗号方式との差異点 >

以下、第 1の変形 NTRU暗号方式が、従来の NTRUEncrypt方式よりも高速処理 が可能であることを説明し、従来の NTRU暗号及び NTRUEncrypt方式との差異 について説明する。

[0094] (NTRUEncryptとの比較）

NTRUEncryptでは、上述した通り、秘密鍵である多項式 f、多項式 g、乱数である 多項式！:、平文である多項式 mとして、係数が 0もしくは 1である 2値の多項式を用いる 力 パラメータとしては、 p = 2かつ q = 239となるパラメータしか開示されていない。

[0095] 今、 NTRUEncryptの鍵生成、暗号化及び復号化における主な演算には、例えば c=rX h+m (mod q)

というように、多項式の係数の mod q演算を行う演算が含まれる。

[0096] この際、 NTRUEncryptでは q = 239なのに対し、第 1の変开 NTRU暗号方式で は、 q = 2"k(k: 2以上の整数）であるために、第 1の変形 NTRU暗号方式では、 mod q演算を、ビットマスク演算で高速に処理することができる。

[0097] 例えば、第 1の変形 NTRU暗号方式のパラメータ qが q = 256 ( = 2"8)の場合には 、係数の mod q演算は、ビットマスク演算にて下位 8ビットのみをとる演算で実現でき る。

[0098] NTRUEncryptでは、 p = 2である力 第 1の変形 NTRU暗号方式は p = 3であり、 mod pの計算については、 NTRUEncryptの方が高速に行える。しかし、 mod p の計算は復号ィ匕時のみに行うことと、 NTRUEncryptには復号エラー発生確率低減 のための計算が必要であるが、第 1の変形 NTRU暗号方式では不要であるため、 m od pの計算量増カロと相殺する。

[0099] したがって、暗号化及び復号化を含めた全体としては、第 1の変形 NTRU暗号方 式は、 NTRUEncryptより高速である。

[0100] (従来技術との差異）

従来の NTRU暗号では、 p = 3となるパラメータに対して、多項式 f、 g、乱数である 多項式！:、平文である多項式 mに、係数が 0、 1もしくは 1である 3値の多項式を用い ている（p = 2の場合は、これらの多項式のうち、平文 m以外に係数が 0、 1もしくはー1 である 3値の多項式を用いる。また、 p≠2、 3の場合は、多項式 f、 g、 rに 0、 1もしくは 1である 3値の多項式を用い、 mに〈一 pZ2〉 + lからく pZ2〉の範囲の整数を係数 にもつ P値の多項式を用いる）。

[0101] 一方、従来の NTRUEncryptでは、 p = 2となるパラメータに対して、多項式 f、 g、 乱数である多項式！:、平文である多項式 mに、係数が 0もしくは 1である 2値の多項式 を用いている。

[0102] そのため、 NTRU暗号では、 p = 3となるパラメータに対しては、多項式 f、 g、乱数 である多項式！:、平文である多項式 mとして、 3値の多項式を用いることが通常であり、 上述した第 1の変形 NTRU暗号方式のように、 p = 3の場合に、これらの多項式として 2値の多項式を用いた場合に、暗号の安全性にどのような影響が生じるかは開示さ れていなかった。

[0103] し力しながら、今、 p = 3となるパラメータに対して、多項式 f、 g、乱数である多項式 r 、平文である多項式 mとして係数が 0もしくは 1となる 2値の多項式を用いても、従来の NTRU暗号及び NTRUEncryptと同様、パラメータを適切に選択すれば、安全性 に問題は起こらない。以下にそのことを説明する。

[0104] NTRU暗号及び NTRUEncryptに対する攻撃方法としては、非特許文献 2に記 載の通り、多項式 f、 g、 rに対する総当り攻撃と、 LLLアルゴリズムを用いた攻撃 (latt ice based attack)が知られている。

[0105] 今、総当り攻撃に対する安全性は、非特許文献 2や非特許文献 6に記載の通り、多 項式 f、 g、 rのとり得る値の総数に依存する。そのため、 p = 3となるパラメータに対して 、これらの多項式として 3値の多項式を用いる代わりに、 2値の多項式を用いたとして も、これらの多項式のとり得る値の総数が十分大きくなるように、パラメータ df、 dg、 d を選択すれば安全性に問題は発生しな 、。

[0106] また、 LLL攻撃に対する安全性は、多項式 f、 gの 0でな 、係数の数に依存すること 力 非特許文献 7に記載されている。そのため、 0でない係数の数が十分大きくなるよ うに、 df、 dgを選択すれば、安全性に問題は発生しない。

[0107] <変形 NTRU暗号方式のパラメータの生成方法 >

ここでは、上述した第 1の変形 NTRU暗号方式のパラメータの生成方法の一例を 挙げる。

[0108] 上述した通り、第 1の変形 NTRU暗号方式のパラメータは、 p = 3、かつ q = 2'k(k: 2以上の整数）となるパラメータを生成すればよい。

[0109] そのため、ここでは、まず p = 3とし、係数の mod q演算力 ビットマスク演算にて下 位 8ビットのみをとる演算で実現可能となるよう、 q = 256とする。

[0110] そして、 df=dg = dとして、上述した総当り攻撃および LLL攻撃に対する安全性が 規定の値以上となるように、 N、 df、 dg、 dの値を生成する。

[0111] なお、これはパラメータの生成方法の一例であり、 p = 3、かつ q = 2"k(k: 2以上の 整数）となるパラメータを生成すれば、他の生成方法でもよい。

[0112] 以降では、この生成方法により生成された、（N, p, q, df, dg, d) = (251, 3, 256

, 72, 72, 72)というパラメータを用いた場合の説明を行う。

[0113] 以上、第 1の変形 NTRU暗号方式について説明を行った力 以降、本実施の形態 に係る暗号通信システム、暗号装置及び復号装置について説明を行う。

[0114] <暗号通信システム 1の概要 >

図 1は、本発明の実施の形態 1における暗号通信システム 1の全体構成を示す図で ある。最初に、同図を用いて暗号通信システム 1の概要を説明する。

[0115] この暗号通信システム 1は、平文 mの暗号ィ匕通信を行うシステムであり、暗号装置 1

0と、復号装置 20とから構成されており、暗号装置 10と復号装置 20とは通信路 30を 介して相互に接続されて!ヽる。

[0116] そして、この暗号通信システム 1は、暗号装置 10と復号装置 20との間で、第 1の変 形 NTRUB音号方式のノ ラメータとして、 (N, p, q, df, dg, d) = (251, 3, 256, 72

, 72, 72)を共有している。

[0117] この暗号通信システム 1において、暗号装置 10は、外部から入力された平文 mを、 上述した、第 1の変形 NTRU暗号方式を用いて暗号ィ匕して暗号文 cを生成し、通信 路 30を介して復号装置 20に送信する。

[0118] そして、復号装置 20は、通信路 30を介して暗号装置 10から受信した暗号文 cを復 号して復号文 m'を生成して出力する。

[0119] 以上が、暗号通信システム 1の概要である力 以下、暗号通信システム 1の構成を 述べた後、その動作について説明する。

[0120] <暗号通信システム 1の構成 > 暗号通信システム 1は、図 1に示すように、暗号装置 10と、復号装置 20とから構成 され、暗号装置 10と復号装置 20とは通信路 30を介して相互に接続されて 、る。

[0121] 以下、これらの構成要素について詳細に説明を行う。

[0122] <暗号装置 10の構成 >

暗号装置 10は、図 2に示すように、パラメータ記憶部 11と、公開鍵記憶部 12と、暗 号ィ匕部 13とから構成される。

[0123] (1)パラメータ記憶部 11

パラメータ記憶部 11は、例えば RAM (Random Access Memory)や EEPROM (

Electrically Erasable Programmable Read Only Memoryリのよつなメモリで構成されて おり、後述する暗号ィ匕部 13からアクセス可能なものである。

[0124] パラメータ記憶部 11は、 p = 3かつ q = 2"k (k: 2以上の整数）となるパラメータを予 め記憶している。ここでは、上述の通り、パラメータ ， p, q, df, dg, d) = (251, 3,

256, 72, 72, 72)を予め記'隐して!/ヽるものとする。

[0125] (2)公開鍵記憶部 12

公開鍵記憶部 12は、例えばマイクロコンピュータ及び RAMのようなメモリで構成さ れており、後述する暗号化部 13からアクセス可能なものである。

[0126] 公開鍵記憶部 12は、予め通信路 30を介して復号装置 20の公開鍵 hを取得して記

'1思して V、る。

[0127] (3)暗号化部 13

暗号化部 13は、例えばマイクロコンピュータによって構成されており、パラメータ記 憶部 11及び公開鍵記憶部 12にアクセス可能である。

[0128] 暗号化部 13は、パラメータ記憶部 11からパラメータ Ν、パラメータ q、ノ ラメータ dを 読み取り、公開鍵記憶部 12から、公開鍵 hを読み取る。

[0129] そして、暗号ィ匕部 13は、外部力もパラメータ Nに対し、（N— 1)次以下の多項式で 表される、係数が 0もしくは 1である平文 mを受け取る。

[0130] そして、暗号化部 13は、パラメータおパラメータ dを用いて、 d個の係数が 1であり、 かつ他の係数が 0となるように、（N— 1)次以下の多項式 rをランダムに選ぶ。これは、 例えば、 0から N— 1までの範囲の重複しない d個の乱数値 Ri (l≤i≤d)を選び、第 R i次（ 1≤ i≤ d)の係数を 1とし、他の係数は 0とすることで実現できる。

[0131] そして、暗号化部 13は、平文 mに対し、乱数である多項式！:、公開鍵 h、パラメータ N、パラメータ qを用いて、第 1の変形 NTRU暗号方式の暗号化処理を行い、暗号文 cを生成する。

[0132] そして、暗号化部 13は、生成した暗号文 cを通信路 30を介して復号装置 20へ送信 する。

[0133] <暗号装置 10の動作 >

ここでは、上述した暗号装置 10の動作について説明する。

[0134] 暗号装置 10は、 p = 3かつ q = 2"k (k: 2以上の整数）となるパラメータを予め記憶し ており、復号装置 20の公開鍵 hを公開鍵記憶部 12に予め記憶している。そして、外 部から、パラメータ Nに対し (N— 1)次以下の多項式で表される平文 mが入力される と、以下に示す処理を行い、上述した第 1の変形 NTRU暗号方式を用いて平文 mを 暗号化して暗号文 cを生成し、通信路 30を介して復号装置 20に送信する。

[0135] 以下、図 3に示すフローチャートを用いて説明する。

[0136] 最初に、暗号化部 13は、外部から平文 mが入力されると、パラメータ記憶部 11から ノ ラメータ N、ノ ラメータ q、パラメータ dを読み取り、公開鍵記憶部 12から、公開鍵 h を読み取る（ステップ S 101)。

[0137] 次に、暗号化部 13は、パラメータおパラメータ dを用いて、 d個の係数が 1であり、 かつ他の係数が 0となるように、（N—1)次以下の多項式 rをランダムに選ぶ (ステップ

S102)。

[0138] 次に、暗号化部 13は、平文 mに対し、乱数である多項式！:、公開鍵 h、パラメータ N

、ノ ラメータ qを用いて、第 1の変形 NTRU暗号方式の暗号ィ匕処理を行い、暗号文 c を生成する（ステップ S 103)。

[0139] 次に、暗号化部 13は、生成した暗号文 cを、通信路 30を介して復号装置 20へ送信 して処理を終了する（ステップ S 104)。

[0140] <復号装置 20の構成 >

復号装置 20は、図 4に示すように、パラメータ記憶部 21と、鍵生成部 22と、秘密鍵 記憶部 23と、復号化部 24とから構成される。 [0141] (1)パラメータ記憶部 21

ノラメータ記憶部 21は、例えば EEPROMのようなメモリで構成されており、後述す る鍵生成部 22及び復号ィ匕部 24からアクセス可能なものである。

[0142] パラメータ記憶部 21は、暗号装置 10のパラメータ記憶部 11と同一のパラメータ (N , p, q, df, dg, d)を予め記憶している。ここでは、上述の通り、パラメータお, p, q, df, dg, d) = (251, 3, 256, 72, 72, 72)を予め記'隐して!/、るものとする。

[0143] (2)鍵生成部 22

鍵生成部 22は、例えばマイクロコンピュータによって構成されており、第 1の変形 N TRU暗号方式の秘密鍵 (f, Fp)及び公開鍵 hを生成する。

[0144] 鍵生成部 22は、パラメータ記憶部 21からパラメータ N、パラメータ q、ノ ラメータ df、 パラメータ dgを読み取り、パラメータ N、パラメータ dfを用いて、 df個の係数が 1であり 、かつその他の係数が 0となるように、（N— 1)次以下の多項式で表される多項式 fを 選ぶ。これは、例えば、 0から（N— 1)までの範囲の重複しない df個の乱数値 Ri (l≤ i≤df)を選び、第 Ri次（l≤i≤df)の係数を 1とし、他の係数は 0とすることで実現でき る。

[0145] そして、鍵生成部 22は、パラメータ N、パラメータ dgを用いて、 dg個の係数が 1であ り、かつその他の係数は 0となるように、（N— 1)次以下の多項式で表される多項式 g を選ぶ。

[0146] そして、鍵生成部 22は、上述した第 1の変形 NTRU暗号方式の鍵生成処理を行い

、多項式 Fp及び hを生成する。

[0147] そして、鍵生成部 22は、多項式 hを公開鍵として公開し、予め暗号装置 10が取得 できるよう〖こし、多項式 fと Fpの対 (f, Fp)を秘密鍵記憶部 23に記憶する。

[0148] (3)秘密鍵記憶部 23

秘密鍵記憶部 23は、例えば RAMのようなメモリで構成されており、鍵生成部 22及 び後述する復号ィ匕部 24からアクセス可能なものである。

[0149] 秘密鍵記憶部 23は、予め鍵生成部 22が生成した多項式 fと Fpの対 (f , Fp)を記憶 している。

[0150] (4)復号化部 24 復号ィ匕部 24は、例えばマイクロコンピュータによって構成されており、パラメータ記 憶部 21及び秘密鍵記憶部 23にアクセス可能である。

[0151] 復号ィ匕部 24は、パラメータ記憶部 21から、ノ ラメータ N、ノ ラメータ p、ノ ラメータ q を読み取り、秘密鍵記憶部 23から、多項式 fと Fpの対 (f, Fp)を読み取る。

[0152] そして、復号ィ匕部 24は、通信路 30を介して暗号装置 10からパラメータ Nに対し、 ( N— 1)次以下の多項式で表される、暗号文 cを受け取る。

[0153] そして、復号ィ匕部 24は、暗号文 cに対し、秘密鍵である多項式 f及び Fp、ノ ラメータ N、ノ ラメータ p、ノ ラメータ qを用いて、第 1の変形 NTRU暗号方式の復号化処理を 行い、復号文 m'を生成する。

[0154] そして、復号ィ匕部 24は、生成した復号文 m'を外部へ出力する。

[0155] <復号装置 20の動作 >

ここでは、上述した復号装置 20の動作にっ 、て説明する。

[0156] 復号装置 20は、暗号装置 10と同一のパラメータを予め記憶しており、復号装置 20 の秘密鍵である多項式 f及び Fpの対 (f, Fp)と公開鍵である多項式 hを生成し、公開 鍵 hを公開して予め暗号装置 10が取得できるようにし、秘密鍵 (f, Fp)を秘密鍵記憶 部 23に記憶している。そして、復号装置 20は、通信路 30を介して暗号装置 10から、 ノ メータ Nに対し (N—1)次以下の多項式で表される暗号文 cを受信すると、以下 に示す処理を行い、上述した高速 NTRU暗号方式を用いて復号文 m'を生成し、外 部へ出力する。

[0157] 以下、図 5に示すフローチャートを用いて説明する。

[0158] 最初に、復号ィ匕部 24は、通信路 30を介して暗号装置 10から暗号文多項式 cを受 信すると、ノ メータ記憶部 21から、ノ メータ N、ノラメータ p、パラメータ qを読み取 り、秘密鍵記憶部 23から、秘密鍵 (f, Fp)を読み取る (ステップ SI 31)。

[0159] 次に、復号ィ匕部 24は、暗号文 cに対し、秘密鍵である多項式 f及び Fp、ノ メータ N、ノ ラメータ p、ノ ラメータ qを用いて、第 1の変形 NTRU暗号方式の復号化処理を 行い、復号文 m'を生成する (ステップ S132)。

[0160] 次に、復号ィ匕部 24は、生成した復号文 m'を外部へ出力して処理を終了する (ステ ップ S 133)。 [0161] <暗号通信システム 1の動作 >

以上、暗号通信システム 1の構成について説明した力 ここでは、暗号通信システ ム 1の全体の動作について、図 6に示すフローチャートを用いて説明する。

[0162] 最初に、パラメータ記憶部 11及びパラメータ記憶部 21は、 p = 3かつ q= 2"kとなる ノ ラメータを予め記憶して 、る (ステップ S 161)。

[0163] 次に、鍵生成部 22は、パラメータ記憶部 21からパラメータ N、パラメータ q、パラメ一 タ df、パラメータ dgを読み取り、パラメータ N、パラメータ dfを用いて、 df個の係数が 1 であり、かつその他の係数が 0となるように、（N— 1)次以下の多項式で表される多項 式 fを選ぶ（ステップ S 162)。

[0164] 次に、鍵生成部 22は、パラメータ N、パラメータ dgを用いて、 dg個の係数が 1であり

、かつその他の係数は 0となるように、（N— 1)次以下の多項式で表される多項式 gを 選ぶ（ステップ S 163)。

[0165] 次に、鍵生成部 22は、上述した第 1の変形 NTRU暗号方式の鍵生成処理を行い、 多項式 hを生成する（ステップ S 164)。

[0166] 次に、鍵生成部 22は、多項式 hを公開鍵として公開し、暗号装置 10が取得できるよ うにし、多項式 f及び Fpの対 (f, Fp)を秘密鍵として秘密鍵記憶部 23に記憶する (ス テツプ S 165)。

[0167] 次に、公開鍵記憶部 12は、通信路 30を介して復号装置 20の公開鍵 hを取得して 記憶する（ステップ S 166)。

[0168] 次に、暗号化部 13は、外部力 係数が 0もしくは 1である平文 mが入力されると、パ ラメータ記憶部 11からパラメータ N、ノ ラメータ q、パラメータ dを読み取り、公開鍵記 憶部 12から、公開鍵 hを読み取る (ステップ S 167)。

[0169] 次に、暗号化部 13は、パラメータ パラメータ dを用いて、 d個の係数が 1であり、 かつ他の係数が 0となるように、（N—1)次元以下の多項式 rをランダムに選ぶ (ステツ プ S168)。

[0170] 次に、暗号化部 13は、平文 mに対し、乱数である多項式！:、公開鍵 h、パラメータ N 、ノ ラメータ qを用いて、第 1の変形 NTRU暗号方式の暗号ィ匕処理を行い、暗号文 c を生成する（ステップ S169)。 [0171] 次に、暗号化部 13は、生成した暗号文 cを通信路 30を介して復号装置 20へ送信 する（ステップ S 170)。

[0172] 次に、復号ィ匕部 24は、通信路 30を介して暗号装置 10から暗号文 cを受信すると、 ノ ラメータ記憶部 21から、ノ ラメータ N、ノ ラメータ p、パラメータ qを読み取り、秘密鍵 記憶部 23から、秘密鍵 (f, Fp)を読み取る (ステップ S171)。

[0173] 次に、復号ィ匕部 24は、暗号文 cに対し、秘密鍵である多項式 f及び Fp、ノ メータ

N、ノ ラメータ p、ノ ラメータ qを用いて、第 1の変形 NTRU暗号方式の復号化処理を 行い、復号文 m'を生成する (ステップ S 172)。

[0174] 次に、復号ィ匕部 24は、生成した復号文 m'を外部へ出力して処理を終了する (ステ ップ S 173)。

[0175] <暗号通信システム 1の動作検証 >

まず、暗号装置 10及び復号装置 20は、ステップ S161において、 p = 3かつ q = 2' k (k： 2以上の整数）となるパラメータを記憶して 、る。

[0176] そして、復号装置 20が、予め、このパラメータを用いて、ステップ S162及びステツ プ S163において、係数が 0もしくは 1の 2値である、多項式 f及び gを生成し、ステップ

S 164において、これらの多項式を基に公開鍵である多項式 hを生成している。

[0177] そして、暗号装置 10では、ステップ S168にて、係数が 0もしくは 1の 2値である多項 式 rを生成し、ステップ S 169〖こて、 p = 3力つ q = 2 (k： 2以上の整数）となるパラメ ータと公開鍵 hと乱数 rを用いて、係数が 0もしくは 1の 2値である平文 mを暗号ィ匕して 暗号文 cを生成している。

[0178] そして、復号装置 20では、ステップ S172において、秘密鍵である多項式 f及び Fp と記憶して 、る p = 3かつ q = 2"k(k: 2以上の整数）となるパラメータを用いて、復号 文 m'を生成している。

[0179] 力かる構成によれば、 p = 3かつ q = 2"kとなるパラメータに対して、多項式 f、 g、乱 数である多項式!:、平文である多項式 mとして、 2値の多項式を用いているので、第 1 の変形 NTRU暗号方式を用いて暗号ィ匕通信を行うことができる。

[0180] なお、上述の第 1の変形 NTRU暗号方式の説明で述べた通り、 NTRUEncrypt方 式よりも高速処理可能となる。 [0181] これにより、従来の NTRUEncrypt方式よりも高速処理可能な第 1の変形 NTRU 暗号方式を新たに構成することができ、また、この第 1の変形 NTRU暗号方式を暗号 通信に適用し、従来よりも高速処理可能な暗号通信システムを提供することができる

[0182] <変形例 >

なお、上記に説明した実施の形態は、本発明の実施の形態の一例であり、本発明 はこの実施の形態に何ら限定されるものではなぐその主旨を逸脱しない範囲におい て種々なる態様で実施し得るものである。以下のような場合も本発明に含まれる。

[0183] (1)暗号通信システム 1では、第 1の変形 NTRU暗号方式のパラメータとして、 p = 3かつ q = 2"k (k： 2以上の整数） t 、う条件を満たすパラメータを用いて 、るが、さら に、後述する条件式 EFC1を満たすパラメータを用いてもょ ヽ。

[0184] これにより、後述する通り復号エラーが原理的に発生しなくなるため、暗号装置が 送信したデータ内容が、常に復号装置で正しく得られるような暗号通信システムを実 現することができる。

[0185] なお、このとき、復号エラーが原理的に発生しないため、 NTRUEncryptと異なり、 復号エラー発生確率を減少させる処理が不要であるため、以下のように復号化を行 つてもよい。

[0186] まず、暗号文 cに対し、秘密鍵の一部である多項式 fを用いて、

a = f X c (mod qノ

により多項式 aが計算される。

[0187] そして、この多項式 aに対し、 NTRUEncryptと同様にして、復号エラー発生確率 を低減させる処理が行なわれ、復号文 m'が生成される。

[0188] (2)暗号通信システム 1では、第 1の変形 NTRU暗号方式の秘密鍵の一部である 多項式 fとして、 df個の係数が 1で、かつその他の係数は 0である、（N— 1)次以下の 多項式を選んでいる力 NTRUEncrypt方式と同様、 df個の係数が 1で、かつその 他の係数は 0である、（N— 1)次以下の多項式 Fを用いて、 f= l +p 'Fにより多項式 f を選んでもよい。

[0189] これ〖こより、 NTRUEncrvpt方式と同様、 NTRU暗号の復号化処理で行う、多項 式 Fpとの多項式乗算が不要となる。また、この場合、秘密鍵の一部である多項式 Fp との多項式乗算が不要であるため、秘密鍵は (f, Fp)ではなぐ多項式 fとしてもよい

[0190] (実施の形態 2)

本実施の形態 2に係る暗号通信システム、暗号装置及び復号装置では、 NTRUE ncrypt方式を改良して、復号エラーが原理的に発生しな 、NTRU暗号方式を新た に構成し、この新たに構成した NTRU暗号方式を用いて暗号ィ匕通信を行う（以降、こ の新たに構成した、復号エラーが原理的に発生しない NTRU暗号方式を、「第 2の 変形 NTRU暗号方式」と呼ぶ)。

[0191] そのため、最初に、第 2の変形 NTRU暗号方式について説明を行う。

[0192] 以下、従来の NTRUEncrypt方式との差異点を中心に、第 2の変形 NTRU暗号 方式について説明する。

[0193] <第 2の変形 NTRU暗号方式 >

変形 NTRU暗号 2は、従来の NTRUEncrypt方式を復号エラーが原理的に発生 しな 、ように改変したものである。

[0194] 変形 NTRU暗号 2は、後述する条件式 EFC1を満たすようにパラメータを生成する 点が従来の NTRUEncryptと異なる。

[0195] 以下、この変形 NTRU暗号 2について説明を行う。

[0196] (1)第 2の変形 NTRU暗号方式のパラメータ

変形 NTRU暗号 2は、非負整数のパラメータ、 N、 p、 q、 df、 dg、 dを持つ。これらの パラメータの意味は、従来の NTRUEncrypt方式と同じである力 以下の条件式 EF

C1を満たすようにパラメータ p、 q、 df、 dg、 dを選ぶ点が従来の NTRUEncrypt方式 と異なる。

[0197] EFCl :p -Min (dg, d) +df< q

[0198] この条件式 EFC1を満たすパラメータを用いれば、後述する通り、復号エラーが原 理的に発生しな 、ようにすることができる。

[0199] (2)第 2の変形 NTRU暗号方式の鍵生成

第 2の変形 NTRU暗号方式では、上述したように、ノラメータ df、 dgを用いてランダ ムに多項式 f、多項式 gを生成する。そして非特許文献 2に記載の通り、 Fq X f= l (m od q)となる多項式 Fqを用いて、

n=Fq X g (mod qノ

により、多項式 hを生成する。ここで、秘密鍵を (f, Fp)、公開鍵を hとする。

[0200] (3)第 2の変形 NTRU暗号方式の喑号ィ匕

第 2の変形 NTRU暗号方式の暗号化では、平文である係数力^もしくは 1の 2値で ある多項式 mを暗号化し、暗号文である多項式 cを計算する。まず、上述したような多 項式 rをランダムに生成する。すなわち、乱数 rは (N—1)次以下の多項式であり、第 0次（定数項)から第 (N—1)次まで N個の係数がある力 この N個の係数のうち、 d個 の係数が 1であり、かつ d個の係数が 1であり、かつ（N— 2d)個の係数は 0となるよ うに、ランダムに多項式 rを選ぶ。

[0201] そして、この乱数 rと公開鍵 hを用いて、係数が 0、 1もしくはー1である (N—1)次以 下の平文 mに対し、

c = p'r X h + numod q)

により、暗号文 cを生成する。

[0202] (4)第 2の変形 NTRU暗号方式の復号ィ匕

第 2の変形 NTRU暗号方式では、後述する通り、復号エラーが原理的に発生しな いため、 NTRUEncryptと異なり、復号エラー発生確率を減少させる処理が不要で ある。

[0203] そのため、以下のように復号ィ匕を行う。

[0204] 第 2の変形 NTRU暗号方式の復号化では、暗号文である多項式 cを復号化し、復 号文である多項式 m'を計算する。復号ィ匕時には、まず、暗号文 cに対し、秘密鍵の 一部である多項式 fを用いて、

a = f X c (mod q * J

により多項式 aを計算する。

[0205] 次に、多項式 aに対し、ノ メータ pを用いて、

b = a (mod p)

により、多項式 bを生成する。 [0206] そして、多項式 bに対し、秘密鍵の一部である多項式 Fpを用いて、 m =Fp X b (mod p水)

により、復号文 m'を計算する。

[0207] 以上のように、第 2の変形 NTRU暗号方式では、従来の NTRUEncrypt方式と異 なり、非特許文献 4に記載の centerlもしくは center2と呼ばれるアルゴリズムのよう な復号エラー発生確率を減少させる処理は行わな 、。

[0208] <復号エラーが原理的に発生しない理由 >

以下、第 2の変形 NTRU暗号方式は復号エラーが原理的に発生しないことを説明 する。

[0209] まず、復号エラーが発生しな 、ための条件にっ 、て述べた後、上述した条件式 EF

C1を満たすパラメータを用いる第 2の変形 NTRU暗号方式は、復号エラーが原理的 に発生しな 、ことを説明する。

[0210] (復号エラーが発生しないための条件）

第 2の変形 NTRU暗号方式は、従来の NTRUEncrypt方式を復号エラーが原理 的に発生しな 、ように改変したものである。

[0211] 今、 NTRUEncryptにおいて復号エラーが発生しないための条件は開示されてい ない。しかしながら、多項式 p 'r X g + f X mの全ての係数が 0から（q— 1)の範囲に収 まっていれば、正しく復号処理を行うことができ、復号エラーは発生しない。

[0212] 以下に、その理由を説明する。

[0213] (i) NTRU暗号方式の場合

NTRUEncryptにお ヽて復号エラーが発生しな 、ための条件を説明するため、ま ず非特許文献 2に記載の NTRU暗号にぉ 、て復号エラーが発生しな 、ための条件 について述べる。

[0214] NTRU暗号に関しては、非特許文献 2に、復号処理時において計算される多項式

(p 'r X g + f X m)の係数すべてが、— qZ2から qZ2の範囲に収まっていれば、正し く復号処理を行うことができ、復号エラーが発生しないことが記載されている。これは 以下の理由による。

[0215] 今、非特許文献 2に記載の NTRU暗号の復号処理では、まず暗号文 cに対し、秘 密鍵の一部である多項式 fを用いて、

a = cXf (mod q*)

により多項式 aを演算する。ここで (mod q * )は、多項式 c X fの第 i次の係数を、剰 余が〈一 qZ2〉 +1からく qZ2〉の範囲に収まるように法 qで割ったときの剰余を、多項 式 aの第 i次の係数とする演算である。すなわち、多項式 cと多項式 fの乗算結果の多 項式を求め、その各係数を、〈― qZ2〉 + lからく qZ2〉の範囲に収まるように mod q 演算を施した多項式を、多項式 aとする演算である。

[0216] このとき、この多項式 aの値は、非特許文献 2に記載の通り、平文 mと暗号文 cの関 係式及び秘密鍵の一部である多項式 fと公開鍵 hの関係式から、

a = cXf (mod q*J

= (p-rXh+m) Xf(mod q*)

=ρτ Xg+f Xm(mod q水)

となる。すなわち、多項式 aは、多項式 p'rXg + f Xmの各係数を— qZ2から qZ2の 範囲に収まるように mod q演算を施した多項式となって!/、る。

[0217] ここで、 NTRU暗号では、乱数！:、多項式 f、 g及び平文 mは、係数が 0、 1もしくは

1となる多項式である。そのため、 p'rXg+f Xmは、その係数が負の値となる可能性 がある多項式である。

[0218] 今、この負の係数値を取り得る多項式 p'rXg + f Xmの全ての係数が— qZ2から q Z2の範囲に収まっていれば、多項式 p'r Xg+f Xm (mod q*)の値は、多項式 ρ· rXg+fX mの値と等しくなるため、多項式 aの値は、

a = pT Xg + f Xm(mod q水)

=pTXg+iXm

となる。すると、非特許文献 2に記載の通り、その後の復号処理において正しく平文 mを復元することができるので、復号エラーは発生しな!、。

[0219] (ii)NTRUEncrypt方式の場合

一方、 NTRUEncryptでは、復号エラーが発生しないための条件は開示されてい ないが、上述した通り、多項式 p'rXg + fXmの全ての係数が 0から（q— 1)の範囲に 収まっていれば、正しく復号処理を行うことができ、復号エラーは発生しない。これは 、以下の理由による。

[0220] 今、復号アルゴリズム Dでは、非特許文献 4に記載の通り、まず、暗号文 cに対し、 秘密鍵の一部である多項式 fを用いて、

a = cXf (mod qノ

により多項式 aを演算する。この演算は、多項式 cと多項式 fの乗算結果の多項式を求 め、その各係数を、 0から (q—1)の範囲に収まるように mod q演算を施した多項式 を、多項式 aとする演算である。

[0221] このとき、この多項式 aの値は、非特許文献 4に記載の通り、平文 mと暗号文 cの関 係式及び秘密鍵の一部である多項式 fと公開鍵 hの関係式から、

a = cXf (mod qノ

となる。すなわち、多項式 aは、多項式 p'rXg + f Xmの各係数を 0から（q— 1)の範 囲に収まるように mod q演算を施した多項式となって!/、る。

[0222] ここで、 NTRUEncryptでは、乱数である多項式!:、多項式 f、 g及び平文である多 項式 mは、係数が 0もしくは 1となる多項式である。そのため、 p'rXg+f Xmは、その 係数が 0もしくは正の値となる多項式である。

[0223] 今、この多項式 p'rXg+f Xmの全ての係数力 ^から（q— 1)の範囲に収まってい れば、多項式 p'rXg + f Xm(mod q)の値は、多項式 p'r Xg + f Xmの値と等しく なるため、多項式 aの値は、

a = pT Xg + f Xm(mod q)

=pTXg+iXm

となる。すると、非特許文献 2に記載の NTRU暗号と同様に、その後の復号処理にお V、て正しく平文 mを復元することができるので、復号エラーは発生しな!、。

[0224] (条件式 EFC1を満たすパラメータを用いれば復号エラーが発生しなくなる理由） 第 2の変形 NTRU暗号方式は、条件式 EFC1を満たすようにパラメータを設定する よう、従来の NTRUEncrypt方式を改変し、復号エラーが原理的に発生しないように したものである。

[0225] 以下、条件式 EFC1を満たすようにパラメータを設定すれば、多項式 p'rXg+f X mの全ての係数が、 0から (q— 1)の範囲に収まり、復号エラーは発生しなくなることを 説明する。

[0226] まず、多項式 p'rXgを考える。

[0227] ここで、多項式 r X gの k次の係数は、多項式 aの k次の係数を a (k)で表すと、

(rXg) (k)

=r(0)-g(k)+r(l)-g(k-l)+...

+r(N— l)'g(k—（N— 1) (mod N))

である（多項式と多項式の乗算方法については、例えば、非特許文献 2参照)。

[0228] 上述した通り、乱数 rは、 d個の係数が 1であり、かつ他の係数は 0となる多項式であ り、多項式 gは、 dg個の係数が 1であり、かつ他の係数は 0となる多項式である。

[0229] すると、多項式 r X gの係数 (r X g) (k)の値は、

rXg(k)

=r(0)-g(k)+r(l)-g(k-l)+...

+r(N— l)'g(k—（N— 1) (mod N))

= l-g(il)+l-g(i2)+... +l-g(id)

+ 0-g(jl)+0-g(j2)+... +0-g(j(N-d))

= l-g(il)+l-g(i2)+... +l-g(id)

というように、 d個の l'g(in)という項（l≤n≤d)で表される。

[0230] 今、 d≤dgの場合、 g(in)が全て 1である場合が考えられ（l≤n≤d≤dg)、このとき

(rXg) (k)は最大値を取り、その値は高々 dである。

[0231] なお、 d>dgの場合、 g(in)が全て 1である場合はあり得ないため、 g(in)のうち dg 個が 1であり、（d— dg)個が 0である場合に (rXg) (k)は最大値を取り、その値は高 々 dgである。

[0232] 以上により、多項式 rXgの係数の最大値は Min(dg, d)である。

[0233] 従って、多項式 p'rXgの係数の最大値は、多項式 rXgの係数の最大値に pを乗じ たものとなるので、 p'Min(dg, d)となる。

[0234] 次に、多項式 fx mを考える。

[0235] ここで、多項式 fx mの第 k次の係数を考えると、多項式 fは df個の係数が 1であり、 かつ他の係数は 0となる多項式であるので、上述の議論と同様に、

fXm(k)

=f (0) -m(k) +f (1) -m(k-l) +...

+f(N— l)'m(k—（N— 1) (mod N))

= l-m(il)+l-m(i2)+... +l-m(idf)

というように、 df個の l'm(in)という項（l≤n≤df)で表される。

[0236] 今、平文である多項式 mは係数が 0もしくは 1であるので、 m(in)が全て 1である場 合が考えられ（l≤n≤df)、このとき (fXm) (k)は最大値を取り、その値は高々 dfで ある。

[0237] 以上により、多項式 fx mの係数の最大値は dfである。

[0238] 以上をまとめると、多項式 ₈+£ 111の係数の最大値は高々、

p-Min(dg, d)+df

である。

[0239] そして、係数の最大値が q— 1以下であれば、多項式 p'rXg+f Xmの全ての係数 が 0から（q— 1)の範囲に収まって 、ることになるので、復号エラーは発生しな!、。

[0240] すなわち、復号エラーが原理的に発生しないためには、

p-Min(dg, d)+df<q

となるようにすればよく、下記条件式 EFC1が導かれる。

[0241] EFCl:p-Min(dg, d)+df<q

[0242] <第 2の変形 NTRU暗号方式のパラメータ生成方法 >

ここでは、上述した第 2の変形 NTRU暗号方式のパラメータの生成方法の一例を 挙げる。

[0243] 上述した通り、第 2の変形 NTRU暗号方式のパラメータは、上述した条件式 EFC1 を満たすパラメータを生成すればょ ヽ。

[0244] そのため、ここでは、まず p = 2とし、 pと互 ヽに素となるよう、 q = 239とする。

[0245] そして、 df=dg = dとして、上述した条件式 EFC1を満たすように、 df、 dg、 dの値を 生成する。そして、上述した総当り攻撃および LLL攻撃に対する安全性が規定の値 以上となるように、 Nの値を生成する。 [0246] なお、これはパラメータの生成方法の一例であり、条件式 EFC1を満たすようにパラ メータを生成すれば、他の生成方法でもよい。

[0247] 以降では、この生成方法により生成された、 (N, p, q, df, dg, d) = (251, 2, 239

, 63, 63, 63)というパラメータを用いた場合の説明を行う。

[0248] 以上、第 2の変形 NTRU暗号方式にっ 、て説明を行ったが、以降、本実施の形態 に係る暗号通信システム、暗号装置及び復号装置について説明を行う。

[0249] <暗号通信システム lbの概要 >

図 7は、本発明の実施の形態 2における暗号通信システム lbの全体構成を示す図 である。最初に、同図を用いて暗号通信システム lbの概要を説明する。

[0250] この暗号通信システム lbは、平文 mの暗号化通信を行うシステムであり、暗号装置

10bと、復号装置 20bとから構成されており、暗号装置 10bと復号装置 20bとは通信 路 30を介して相互に接続されて 、る。

[0251] そして、この暗号通信システム lbは、暗号装置 10bと復号装置 20bとの間で、第 2 の変形 NTRU暗号方式のパラメータとして、 (N, p, q, df, dg, d) = (251, 2, 239

, 63, 63, 63)を共有している。

[0252] この暗号通信システム lbにおいて、暗号装置 10bは、外部から入力された平文 m を、上述した、第 2の変形 NTRU暗号方式を用いて暗号ィ匕して暗号文 cを生成し、通 信路 30を介して復号装置 20bに送信する。

[0253] そして、復号装置 20bは、通信路 30を介して暗号装置 10bから受信した暗号文 cを 復号して復号文 m'を生成して出力する。

[0254] 以上が、暗号通信システム lbの概要である力 以下、暗号通信システム 1との差異 点を中心に、その構成及び動作について説明する。

[0255] <暗号通信システム lbの構成 >

暗号通信システム lbは、図 7に示すように、暗号装置 10bと、復号装置 20bとから 構成され、暗号装置 10bと復号装置 20bとは通信路 30を介して相互に接続されて 、 る。

[0256] 以下、これらの構成要素について暗号通信システム 1との差異点を中心に説明する [0257] <暗号装置 10bの構成 >

暗号装置 10bは、図 8に示すように、パラメータ記憶部 l ibと、公開鍵記憶部 12と、 暗号化部 13bとから構成される。

[0258] 以下、これらの構成要素について、暗号装置 10との差異点を中心に説明する。

[0259] (1)パラメータ記憶部 l ib

パラメータ記憶部 1 lbは、例えば RAMや EEPROMのようなメモリで構成されてお り、後述する暗号化部 13bからアクセス可能なものである。

[0260] ノ メータ記憶部 l ibは、上述した条件式 EFC1を満たすようなパラメータを予め記 '慮して 、る。ここで ίま、上述の通り、ノ ラメータ（Ν, ρ, q, df, dg, d) = (251, 2, 239 , 63, 63, 63)を予め記'隐して!/、るものとする。

[0261] (2)暗号化部 13b

暗号ィ匕部 13bは、例えばマイクロコンピュータによって構成されており、パラメータ記 憶部 1 lb及び公開鍵記憶部 12にアクセス可能である。

[0262] 暗号ィ匕部 13bは、第 1の変形 NTRU暗号方式の暗号ィ匕処理を行う代わりに、第 2 の変形 NTRU暗号方式の暗号化処理を行い、暗号文 cを生成する点力 暗号化部 1 3と異なる。

[0263] <復号装置 20bの構成 >

復号装置 20bは、図 9に示すように、パラメータ記憶部 21bと、鍵生成部 22bと、秘 密鍵記憶部 23と、復号化部 24bとから構成される。

[0264] 以下、これらの構成要素について、復号装置 20との差異点を中心に説明する。

[0265] (1)パラメータ記憶部 21b

パラメータ記憶部 21bは、例えば RAMや EEPROMのようなメモリで構成されてお り、後述する鍵生成部 22b及び復号ィ匕部 24bからアクセス可能なものである。

[0266] ノ ラメータ記憶部 21bは、暗号装置 10bのパラメータ記憶部 l ibと同一のパラメータ

(N, p, q, df, dg, d)を予め記憶している。ここでは、上述の通り、パラメータお, p, q, df, dg, d) = (251, 2, 239, 63, 63, 63)を予め記'隐して!/、るものとする。

[0267] (2)鍵生成部 22b

鍵生成部 22bは、例えばマイクロコンピュータによって構成されており、エラーフリー NTRU暗号の秘密鍵 f及び公開鍵 hを生成する。

[0268] 鍵生成部 22bは、第 1の変形 NTRU暗号方式の鍵生成処理を行う代わりに、第 2 の変形 NTRU暗号方式の鍵生成処理を行う点力 鍵生成部 22と異なる。

[0269] (3)復号化部 24b

復号ィ匕部 24bは、例えばマイクロコンピュータによって構成されており、パラメータ記 憶部 21b及び秘密鍵記憶部 23にアクセス可能である。

[0270] 復号ィ匕部 24bは、第 1の変形 NTRU暗号方式の復号ィ匕処理を行う代わりに、第 2 の変形 NTRU暗号方式の復号化処理を行い、復号文 m'を生成する点が、復号ィ匕 部 24と異なる。

[0271] <暗号通信システム lbの動作 >

以上、暗号通信システム lbの構成について説明した力 ここでは、暗号通信システ ム lbの全体の動作について、図 10に示すフローチャートを用いて説明する。

[0272] 最初に、パラメータ記憶部 1 lb及びパラメータ記憶部 21bは、条件式 EFC1を満た すパラメータを予め記憶して 、る (ステップ S261)。

[0273] 次に、鍵生成部 22bは、パラメータ記憶部 21bからパラメータ N、ノ ラメータ q、パラ メータ df、パラメータ dgを読み取り、パラメータおパラメータ dfを用いて、 df個の係数 力 であり、かつその他の係数が 0となるように、（N— 1)次以下の多項式で表される 多項式 fを選ぶ (ステップ S 262)。

[0274] 次に、鍵生成部 22bは、パラメータ N、パラメータ dgを用いて、 dg個の係数が 1であ り、かつその他の係数は 0となるように、（N— 1)次以下の多項式で表される多項式 g を選ぶ（ステップ S 263)。

[0275] 次に、鍵生成部 22bは、上述した第 2の変形 NTRU暗号方式の鍵生成処理を行 ヽ

、多項式 Fp及び hを生成する（ステップ S264)。

[0276] 次に、鍵生成部 22bは、多項式 hを公開鍵として公開し、暗号装置 10bが取得でき るよう〖こし、多項式 fと Fpの対 (f, Fp)を秘密鍵として秘密鍵記憶部 23に記憶する (ス テツプ S 265)。

[0277] 次に、公開鍵記憶部 12は、通信路 30を介して復号装置 20bの公開鍵 hを取得して 記憶する（ステップ S 266)。 [0278] 次に、暗号ィ匕部 13bは、外部から係数が 0もしくは 1である平文 mが入力されると、 ノ ラメータ記憶部 l ibからパラメータ N、パラメータ q、パラメータ dを読み取り、公開鍵 記憶部 12から、公開鍵 hを読み取る (ステップ S267)。

[0279] 次に、暗号化部 13bは、パラメータ N、パラメータ dを用いて、 d個の係数が 1であり、 かつ他の係数が 0となるように、（N—1)次以下の多項式 rをランダムに選ぶ (ステップ

S268)。

[0280] 次に、暗号ィ匕部 13bは、平文 mに対し、乱数！:、公開鍵 h、パラメータおノ メータ q を用いて、第 2の変形 NTRU暗号方式の暗号化処理を行い、暗号文 cを生成する（ ステップ S 269)。

[0281] 次に、暗号化部 13bは、生成した暗号文 cを通信路 30を介して復号装置 20bへ送 信する (ステップ S 270)。

[0282] 次に、復号化部 24bは、通信路 30を介して暗号装置 10bから暗号文 cを受信すると

、ノ ラメータ記憶部 21bから、パラメータおノ ラメータ p、パラメータ qを読み取り、秘 密鍵記憶部 23から、秘密鍵 (f, Fp)を読み取る (ステップ S271)。

[0283] 次に、復号ィ匕部 24bは、暗号文 cに対し、秘密鍵である多項式 f及び Fp、パラメータ

N、パラメータ p、パラメータ qを用いて、第 2の変形 NTRU暗号方式の復号化処理を 行い、復号文 m'を生成する (ステップ S272)。

[0284] 次に、復号化部 24bは、生成した復号文 m'を外部へ出力して処理を終了する (ス テツプ S273)。

[0285] <暗号通信システム lbの動作検証 >

まず、暗号装置 10b及び復号装置 20bは、ステップ S261において、条件式 EFC1 を満たすようなパラメータを記憶して 、る。

[0286] そして、復号装置 20bが、予め、このパラメータを用いて、ステップ S262及びステツ プ S263において、係数が 0もしくは 1の 2値である、多項式 f及び gを生成し、ステップ

S264において、これらの多項式を基に公開鍵である多項式 hを生成している。

[0287] そして、暗号装置 10bでは、ステップ S267にて、係数が 0もしくは 1の 2値である多 項式 rを生成し、ステップ S268にて、条件式 EFC1を満たすようなパラメータと公開鍵 hと乱数 rを用いて、係数が 0もしくは 1の 2値の多項式である平文 mを暗号ィ匕して暗 号文 cを生成している。

[0288] そして、復号装置 20bでは、ステップ S271〖こお!/、て、秘密鍵である多項式 f及び F pと記憶している条件式 EFC1を満たすようなパラメータを用いて、復号文 m'を生成 している。

[0289] 力かる構成によれば、条件式 EFC1を満たすパラメータを、暗号装置 10bと復号装 置 20bとの間で共有し、このパラメータを用いて暗号ィ匕通信を行っているため、上述 の条件式 EFC1の説明で述べた通り、復号エラーは原理的に起こらず、復号文 m' は必ず平文 mと同一となる。

[0290] これにより、復号エラーが原理的に発生しない第 2の変形 NTRU暗号方式を構成 することができ、また、第 2の変形 NTRU暗号方式を暗号通信システムに適用し、暗 号装置が送信したデータ内容が、常に復号装置で正しく得られるような暗号通信シス テムを提供することができる。

[0291] <変形例>

なお、上記に説明した実施の形態は、本発明の実施の形態の一例であり、本発明 はこの実施の形態に何ら限定されるものではなぐその主旨を逸脱しない範囲におい て種々なる態様で実施し得るものである。以下のような場合も本発明に含まれる。

[0292] (1)暗号通信システム lbでは、第 2の変形 NTRU暗号方式のパラメータとして p = 2となるパラメータを用いている力 条件式 EFC1を満たせば他のパラメータでもよぐ たとえば、 p = 3となるパラメータを用いてもよい。また、上述の実施の形態では、条件 式 EFC1を満たすパラメータとしてパラメータ（N, p, q, df, dg, d) = (251, 2, 239 , 63, 63, 63)を用いて説明を行なった力 NTRUEncrypt方式で採用されている ノラメータ（N, p, q, df, dg, d) = (251, 2, 239, 72, 72, 72)であっても、条件式 EFC 1を満たすため、このパラメータを用いてもよい。

[0293] (2)暗号通信システム lbでは、第 2の変形 NTRU暗号方式の秘密鍵の一部である 多項式 fとして、 df個の係数が 1で、かつその他の係数は 0である、（N— 1)次以下の 多項式を選んでいる力 NTRUEncrypt方式と同様、 df個の係数が 1で、かつその 他の係数は 0である、（N—1)次元以下の多項式 Fを用いて、 f= l +p 'Fにより秘密 鍵 fを選び、後述する条件式 EFC2を満たすようなパラメータを生成するようにしても よい。この場合は、秘密鍵を (f, Fp)ではなぐ多項式 fとしてもよい。

[0294] これ〖こより、 NTRUEncrypt方式と同様、 NTRU暗号の復号化処理で行う、多項 式 Fpとの多項式乗算が不要となる。なお、後述する通り条件式 EFC2を満たすような ノ メータが生成されるので、復号エラーが原理的に発生せず、実施の形態 2と同様 に、暗号装置が送信したデータ内容が、常に復号装置で正しく得られるような暗号通 信システムを実現することができる。

[0295] (実施の形態 3)

本実施の形態 3に係る暗号通信システム、暗号装置及び復号装置では、 NTRUE ncrypt方式を改良して、復号エラーが原理的に発生せず、かつ高速処理可能な N TRU暗号方式を新たに構成し、この新たに構成した NTRU暗号方式を用いて暗号 化通信を行う（以降、この新たに構成した、復号エラーが原理的に発生しない NTRU 暗号方式を、「第 3の変形 NTRU暗号方式」と呼ぶ)。

[0296] そのため、最初に、第 3の変形 NTRU暗号方式について説明を行う。

[0297] 以下、従来の NTRUEncrypt方式との差異点を中心に、第 3の変形 NTRU暗号 方式について説明する。

[0298] <第 3の変形 NTRU暗号方式 >

第 3の変形 NTRU暗号方式は、従来の NTRUEncrypt方式を復号エラーが原理 的に発生せず、かつ高速処理可能なように改変したものである。

[0299] 第 3の変形 NTRU暗号方式は、パラメータとして p = 3、 q = 2"k(k: 2以上の整数） となるパラメータを用いつつ、多項式 f、 g、乱数である多項式 r及び平文である多項 式 mとして、係数が 0もしくは 1の 2値である多項式を選ぶ点、及び後述する条件式 E FC2を満たすようにパラメータを生成する点が従来の NTRUEncryptと異なる。

[0300] 以下、この第 3の変形 NTRU暗号方式について説明を行う。

[0301] (1)第 3の変形 NTRU暗号方式のパラメータ

第 3の変形 NTRU暗号方式は、非負整数のパラメータ、 N、 p、 q、 df、 dg、 dを持つ 。これらのパラメータの意味は、従来の NTRUEncrypt方式と同じである力 p = 3力 つ q = 2"k (k： 2以上の整数）となるパラメータを生成し、 p = 3として 、るにも拘わらず 、多項式 f、 g、乱数である多項式 rとして係数力Oもしくは 1の 2値である多項式を用い る点、及び以下の条件式 EFC2を満たすようにパラメータ p、 q、 df、 dg、 dを選ぶ点が 従来の NTRUEncrypt方式と異なる。

[0302] EFC2 : Min (dg, d) +df< (q- l) /p

[0303] このように、 p = 3というパラメータを用いるにも拘わらず、多項式 f、 g、乱数である多 項式 rとして係数が 0もしくは 1の 2値である多項式を用いることで、従来の NTRUEnc ryp りも高速処理可能となるようにできる。

[0304] また、この条件式 EFC2を満たすパラメータを用いれば、後述する通り、復号エラー が原理的に発生しな 、ようにすることができる。

[0305] (2)第 3の変形 NTRU暗号方式の鍵生成

第 3の変形 NTRU暗号方式では、上述したように、ノラメータ df、 dgを用いてランダ ムに多項式 f、多項式 gを生成する。ここで、多項式 fは、 df個の係数が 1で、かつその 他の係数は 0である、（N— 1)次以下の多項式 Fを用いて、 f= l +p 'Fにより多項式 f を選ぶ。

[0306] そして非特許文献 2に記載の通り、 Fq X f= l (mod q)となる多項式 Fqを用いて、 n=Fq X g (mod qノ

により、多項式 hを生成する。ここで、秘密鍵を多項式 f、公開鍵を hとする。

[0307] (3)第 3の変形 NTRU暗号方式の喑号ィ匕

第 3の変形 NTRU暗号方式の暗号化では、平文である係数力^もしくは 1の 2値で ある多項式 mを暗号化し、暗号文である多項式 cを計算する。まず、上述したような多 項式 rをランダムに生成する。すなわち、乱数 rは (N—1)次以下の多項式であり、第 0次（定数項)から第 (N—1)次まで N個の係数がある力 この N個の係数のうち、 d個 の係数が 1であり、かつ d個の係数が 1であり、かつ（N— 2d)個の係数は 0となるよ うに、ランダムに多項式 rを選ぶ。

[0308] そして、この乱数 rと公開鍵 hを用いて、係数が 0、 1もしくはー1である (N—1)次以 下の平文 mに対し、

c = p'r X h + numod q)

により、暗号文 cを生成する。

[0309] (4)第 3の変形 NTRU暗号方式の復号ィ匕 第 3の変形 NTRU暗号方式では、後述する通り、復号エラーが原理的に発生しな いため、 NTRUEncryptと異なり、復号エラー発生確率を減少させる処理が不要で ある。

[0310] そのため、以下のように復号ィ匕を行う。

[0311] 第 3の変形 NTRU暗号方式の復号ィ匕では、暗号文である多項式 cを復号ィ匕し、復 号文である多項式 m'を計算する。復号ィ匕時には、まず、暗号文 cに対し、秘密鍵の 一部である多項式 fを用いて、

a = f X c (mod q * J

により多項式 aを計算する。

[0312] 次に、多項式 aに対し、パラメータ pを用いて、

b = a (mod p)

により、多項式 bを生成する。

[0313] そして、非特許文献 4に記載の通り、秘密鍵である多項式 f力f= l +p 'Fという形で あるために、 Fp X f= l (mod p)となる多項式 Fpは Fp = 1 (mod p)となるので、復 号化処理で行う、多項式 Fpとの多項式乗算が不要となるので、

m =a (mod p *ノ

により、復号文 m'を生成する。

[0314] 以上のように、第 3の変形 NTRU暗号方式では、従来の NTRUEncrypt方式と異 なり、非特許文献 4に記載の centerlもしくは center2と呼ばれるアルゴリズムのよう な復号エラー発生確率を減少させる処理は行わな 、。

[0315] <復号エラーが原理的に発生しない理由 >

以下、上述した条件式 EFC2を満たすパラメータを用いる第 3の変形 NTRU暗号 方式は、復号エラーが原理的に発生しないことを説明する。

[0316] (条件式 EFC2を満たすパラメータを用いれば復号エラーが発生しなくなる理由） 第 3の変形 NTRU暗号方式は、条件式 EFC2を満たすようにパラメータを設定する よう、従来の NTRUEncrypt方式を改変し、復号エラーが原理的に発生しないように したものである。

[0317] 以下、条件式 EFC2を満たすようにパラメータを設定すれば、多項式 p 'r X g+f X mの全ての係数が、 0から (q— 1)の範囲に収まり、復号エラーは発生しなくなることを 説明する。

[0318] まず、多項式 p'rXgを考えると、上述した通り、多項式 p'rXgの係数の最大値は、 p-Min(dg, d)となる。

[0319] 次に、多項式 fx mを考える。

[0320] 今、秘密鍵である多項式 fは f= 1 +p 'Fなので、

fXm

= (l+p-F) Xm

=m+p.FXm

である。

[0321] ここで、多項式 FXmの第 k次の係数を考えると、多項式 Fは df個の係数が 1であり 、かつ他の係数は 0となる多項式であるので、上述の議論と同様に、

FXm(k)

=F(0) -m(k) +F(1) -m(k-l) +...

+F(N— l)'m(k—（N— 1) (mod N))

= l-m(il)+l-m(i2)+... +l-m(idf)

というように、 df個の l'm(in)という項（l≤n≤df)で表される。

[0322] 今、平文である多項式 mは係数が 0もしくは 1であるので、 m(in)が全て 1である場 合が考えられ（l≤n≤df)、このとき (FXm) (k)は最大値を取り、その値は高々 dfで ある。

[0323] 以上により、多項式 FXmの係数の最大値は dfである。

[0324] 従って、平文である多項式 mの係数の最大値は 1であり、 p 'FXmの係数の最大値 は、 p'dfとなるので、多項式 f Xm(=m+p'FXm)の係数の最大値は、 1+p'dfと なる。

[0325] 以上をまとめると、多項式 p'rXg +fXmの係数の最大値は高々、

p-Min(dg, d)+l+p-df

である。

[0326] そして、係数の最大値が q— 1以下であれば、多項式 p'rXg +fXmの全ての係数 が 0から（q— 1)の範囲に収まって 、ることになるので、復号エラーは発生しな!、。

[0327] すなわち、復号エラーが原理的に発生しないためには、

p -Min (dg, d) + l +p-df< q

となるようにすればよぐこの式を変形すると、下記条件式 EFC2が導かれる。

[0328] EFC2 : Min (dg, d) +df< (q- l) /p

<第 3の変形 NTRU暗号方式のパラメータ生成方法 >

ここでは、上述した第 3の変形 NTRU暗号方式のパラメータの生成方法の一例を 挙げる。

[0329] 上述した通り、第 3の変形 NTRU暗号方式のパラメータは、 p = 3かつ q = 2"k (k: 2 以上の整数）とし、上述した条件式 EFC2を満たすパラメータを生成すればよい。

[0330] そのため、ここでは、まず p = 3とし、 pと互いに素となりかつ係数の mod q演算が、 ビットマスク演算にて下位 8ビットのみをとる演算で実現可能となるよう、 q = 256とする

[0331] そして、 df=dg = dとして、上述した条件式 EFC2を満たすように、 df、 dg、 dの値を 生成する。そして、上述した総当り攻撃および LLL攻撃に対する安全性が規定の値 以上となるように、 Nの値を生成する。

[0332] なお、これはパラメータの生成方法の一例であり、条件式 EFC2を満たすようにパラ メータを生成すれば、他の生成方法でもよい。

[0333] 以降では、この生成方法により生成された、（N, p, q, df, dg, d) = (251, 3, 256

, 42, 42, 42)というパラメータを用いた場合の説明を行う。

[0334] 以上、第 3の変形 NTRU暗号方式にっ 、て説明を行ったが、以降、本実施の形態 に係る暗号通信システム、暗号装置及び復号装置について説明を行う。

[0335] <暗号通信システム lcの概要 >

図 11は、本発明の実施の形態 3における暗号通信システム lcの全体構成を示す 図である。最初に、同図を用いて暗号通信システム lcの概要を説明する。

[0336] この暗号通信システム lcは、平文 mの暗号化通信を行うシステムであり、暗号装置

10cと、復号装置 20cとから構成されており、暗号装置 10cと復号装置 20cとは通信 路 30を介して相互に接続されて 、る。 [0337] そして、この暗号通信システム lcは、暗号装置 10cと復号装置 20cとの間で、第 3 の変形 NTRU暗号方式のパラメータとして、 (N, p, q, df, dg, d) = (251, 3, 256

, 42, 42, 42)を共有している。

[0338] この暗号通信システム lcにおいて、暗号装置 10cは、外部から入力された平文 m を、上述した、第 3の変形 NTRU暗号方式を用いて暗号ィ匕して暗号文 cを生成し、通 信路 30を介して復号装置 20cに送信する。

[0339] そして、復号装置 20cは、通信路 30を介して暗号装置 10cから受信した暗号文 cを 復号して復号文 m'を生成して出力する。

[0340] 以上が、暗号通信システム lcの概要である力 以下、暗号通信システム 1との差異 点を中心に、その構成及び動作について説明する。

[0341] <暗号通信システム lcの構成 >

暗号通信システム lcは、図 11に示すように、暗号装置 10cと、復号装置 20cとから 構成され、暗号装置 10cと復号装置 20cとは通信路 30を介して相互に接続されて 、 る。

[0342] 以下、これらの構成要素について暗号通信システム 1との差異点を中心に説明する

[0343] <暗号装置 10cの構成 >

暗号装置 10cは、図 12に示すように、パラメータ記憶部 11cと、公開鍵記憶部 12と

、暗号ィ匕部 13cとから構成される。

[0344] 以下、これらの構成要素について、暗号装置 10との差異点を中心に説明する。

[0345] (1)パラメータ記憶部 11c

パラメータ記憶部 1 lcは、例えば RAMや EEPROMのようなメモリで構成されてお り、後述する暗号化部 13cからアクセス可能なものである。

[0346] パラメータ記憶部 11cは、上述したように、 p = 3かつ q = 2"k (k : 2以上の整数）とし

、条件式 EFC2を満たすようなパラメータを予め記憶している。ここでは、上述の通り、 ノ ラメータ（N, p, q, df, dg, d) = (251, 3, 256, 42, 42, 42)を予め記'慮して! /、る ものとする。

[0347] (2)暗号化部 13c 暗号ィ匕部 13cは、例えばマイクロコンピュータによって構成されており、ノ ラメータ記 憶部 11 c及び公開鍵記憶部 12にアクセス可能である。

[0348] 暗号ィ匕部 13cは、第 1の変形 NTRU暗号方式の暗号ィ匕処理を行う代わりに、第 3 の変形 NTRU暗号方式の暗号化処理を行い、暗号文 cを生成する点力 暗号化部 1 3と異なる。

[0349] <復号装置 20cの構成 >

復号装置 20cは、図 13に示すように、パラメータ記憶部 21cと、鍵生成部 22cと、秘 密鍵記憶部 23と、復号化部 24cとから構成される。

[0350] 以下、これらの構成要素について、復号装置 20との差異点を中心に説明する。

[0351] (1)パラメータ記憶部 21c

パラメータ記憶部 21cは、例えば RAMや EEPROMのようなメモリで構成されてお り、後述する鍵生成部 22c及び復号ィ匕部 24cからアクセス可能なものである。

[0352] ノ ラメータ記憶部 21cは、暗号ィ匕部 10cのパラメータ記憶部 11cと同一のパラメータ

(N, p, q, df, dg, d)を予め記憶している。ここでは、上述の通り、パラメータお, p, q, df, dg, d) = (251, 3, 256, 42, 42, 42)を予め記'隐して!/、るものとする。

[0353] (2)鍵生成部 22c

鍵生成部 22cは、例えばマイクロコンピュータによって構成されており、第 3の変形 NTRU暗号方式の秘密鍵である多項式 f及び公開鍵である多項式 hを生成する。

[0354] 鍵生成部 22cは、第 1の変形 NTRU暗号方式の鍵生成処理を行う代わりに、第 3 の変形 NTRU暗号方式の鍵生成処理を行う点力 鍵生成部 22と異なる。

[0355] (3)復号化部 24c

復号ィ匕部 24cは、例えばマイクロコンピュータによって構成されており、ノ ラメータ記 憶部 21c及び秘密鍵記憶部 23にアクセス可能である。

[0356] 復号ィ匕部 24cは、第 1の変形 NTRU暗号方式の復号ィ匕処理を行う代わりに、第 3 の変形 NTRU暗号方式の復号化処理を行い、復号文 m'を生成する点が、復号ィ匕 部 24と異なる。

[0357] <暗号通信システム lcの動作 >

以上、暗号通信システム lcの構成について説明した力 ここでは、暗号通信システ ム lcの全体の動作について、図 14に示すフローチャートを用いて説明する。

[0358] 最初に、パラメータ記憶部 11c及びパラメータ記憶部 21cは、 p = 3かつ q = 2"k (k:

2以上の整数)であり、条件式 EFC2を満たすパラメータを予め記憶している (ステツ プ S361)。

[0359] 次に、鍵生成部 22cは、ノ ラメータ記憶部 21cからパラメータ N、パラメータ q、パラメ ータ df、パラメータ dgを読み取り、パラメータおパラメータ dfを用いて、 df個の係数 力 であり、かつその他の係数が 0となるように、（N— 1)次以下の多項式で表される 多項式 Fを選び、 f = 1 + p 'Fにより秘密鍵 fを生成する（ステップ S 362)。

[0360] 次に、鍵生成部 22cは、パラメータ N、パラメータ dgを用いて、 dg個の係数が 1であ り、かつその他の係数は 0となるように、（N— 1)次以下の多項式で表される多項式 g を選ぶ（ステップ S363)。

[0361] 次に、鍵生成部 22cは、上述した第 3の変形 NTRU暗号方式の鍵生成処理を行い

、公開鍵である多項式 hを生成する (ステップ S364)。

[0362] 次に、鍵生成部 22cは、多項式 hを公開鍵として公開し、暗号装置 10cが取得でき るようにし、多項式 fを秘密鍵として秘密鍵記憶部 23に記憶する (ステップ S365)。

[0363] 次に、公開鍵記憶部 12は、通信路 30を介して復号装置 20cの公開鍵 hを取得して 記憶する（ステップ S 366)。

[0364] 次に、暗号ィ匕部 13cは、外部から係数が 0もしくは 1である平文 mが入力されると、 ノ ラメータ記憶部 11cからパラメータ N、パラメータ q、パラメータ dを読み取り、公開鍵 記憶部 12から、公開鍵 hを読み取る (ステップ S367)。

[0365] 次に、暗号化部 13cは、パラメータ N、パラメータ dを用いて、 d個の係数が 1であり、 かつ他の係数が 0となるように、（N—1)次以下の多項式 rをランダムに選ぶ (ステップ

S368)。

[0366] 次に、暗号ィ匕部 13cは、平文 mに対し、乱数!:、公開鍵 h、ノ ラメータ N、ノ ラメータ q を用いて、第 3の変形 NTRU暗号方式の暗号化処理を行い、暗号文 cを生成する（ ステップ S369)。

[0367] 次に、暗号化部 13cは、生成した暗号文 cを通信路 30を介して復号装置 20cへ送 信する (ステップ S370)。 [0368] 次に、復号化部 24cは、通信路 30を介して暗号装置 10cから暗号文 cを受信すると

、ノ ラメータ記憶部 21cから、パラメータおパラメータ p、パラメータ qを読み取り、秘 密鍵記憶部 23から、秘密鍵 fを読み取る (ステップ S371)。

[0369] 次に、復号ィ匕部 24cは、暗号文 cに対し、秘密鍵 f、パラメータおノ メータ p、パラ メータ qを用いて、第 3の変形 NTRU暗号方式の復号ィ匕処理を行い、復号文 m'を生 成する（ステップ S372)。

[0370] 次に、復号ィ匕部 24cは、生成した復号文 m'を外部へ出力して処理を終了する (ス テツプ S373)。

[0371] <暗号通信システム lcの動作検証 >

まず、暗号装置 10c及び復号装置 20cは、ステップ S361において、 p = 3かつ q =

2"k (k: 2以上の整数)であり、条件式 EFC2を満たすようなパラメータを記憶している

[0372] そして、復号装置 20cが、予め、このパラメータを用いて、ステップ S362及びステツ プ S363において、係数が 0もしくは 1の 2値である、秘密鍵 f及び多項式 gを生成し、 ステップ S364において、これらの多項式を基に公開鍵 hを生成している。

[0373] そして、暗号装置 10cでは、ステップ S368にて、係数が 0もしくは 1の 2値である多 項式 rを生成し、ステップ S369〖こて、 p = 3かつ q = 2"k (k: 2以上の整数）であり、条 件式 EFC2を満たすようなパラメータと公開鍵 hと乱数 rを用いて、係数が 0もしくは 1 の 2値である平文 mを暗号化して暗号文 cを生成している。

[0374] そして、復号装置 20cでは、ステップ S372〖こおいて、秘密鍵 fと記憶している p = 3 かつ q = 2"k (k： 2以上の整数)であり条件式 EFC2を満たすようなパラメータを用い て、復号文 m'を生成している。

[0375] 力かる構成によれば、 p = 3かつ q = 2"k(k: 2以上の整数）であり、条件式 EFC2を 満たすパラメータを、暗号装置 10cと復号装置 20cとの間で共有し、このパラメータを 用いて暗号ィ匕通信を行っているため、上述した通り、従来の NTRUEncryp りも高 速処理可能となるようにできる。また、上述の条件式 EFC2の説明で述べた通り、復 号エラーは原理的に起こらず、復号文 m'は必ず平文 mと同一となる。

[0376] これにより、復号エラーが原理的に発生せず、かつ高速処理可能な第 3の変形 NT RU暗号方式を構成することができ、また、第 3の変形 NTRU暗号方式を暗号通信シ ステムに適用し、暗号装置が送信したデータ内容が、常に復号装置で正しく得られ、 従来よりも高速処理可能な暗号通信システムを提供することができる。

[0377] (その他の変形例）

なお、上記に説明した実施の形態は、本発明の実施の形態の一例であり、本発明 はこの実施の形態に何ら限定されるものではなぐその主旨を逸脱しない範囲におい て種々なる態様で実施し得るものである。上述した変形例に加え、以下のような場合 も本発明に含まれる。

[0378] (1)暗号通信システム 1、 lb、 lcにおいては、パラメータ生成方法の一例、及びこ のパラメータ生成方法により生成したパラメータの具体例を示している力 これは、パ ラメータ生成方法の説明で述べた通り、他の生成方法でもよぐまた、条件を満たせ ば他のパラメータでもよぐこれに限定されない。

[0379] (2)暗号通信システム 1では、暗号装置 10と復号装置 20との間で、同一のパラメ一 タとして、 (N, p, q, df, dg, d) = (251, 3, 256, 42, 42, 42)を共有して! /、る力 暗号装置 10で、このパラメータのうち、暗号ィ匕処理に必要なもののみを保持するよう にしてもよいし、復号装置 20で、鍵生成処理及び復号ィ匕処理に必要なもののみを保 持するようにしてちょい。

[0380] (3)暗号通信システム 1では、復号装置 20が鍵生成処理を行っていた力 さらに専 用通信路を介して暗号装置 10及び復号装置 20と通信可能な鍵生成装置を備え、 復号装置 20が鍵生成処理を行うのに代えて、鍵生成装置が鍵生成処理を行い、暗 号装置 10が、鍵生成装置から専用通信路を介して、公開鍵 hを取得して公開鍵記憶 部 12に予め記憶しておき、復号装置 20が、鍵生成装置から専用通信路を介して、 秘密鍵の一部または秘密鍵そのものである多項式 fを取得して秘密鍵記憶部 23に予 め記憶しておいてもよい。なお、専用通信路に代えて通信路 30を用いてもよい。

[0381] (4)実施の形態 1から 3では、多項式を用いて演算を表現している力 特許文献 1の ようにこれを一般の環 Rの元として表現してもよい。具体的には、多項式を環 Rの元と し、 p、 qを環 Rのイデアルとしてもよい。さらに実施の形態 1から 3の p、 qをイデアル p = pg'R、 q = qg'Rとしてもよい。具体的には、実施の形態 1から 3において、 p = 3、 q = 2'kである場合に、 p = 3 'R、 q= (2"k) 'Rであってもよい。このとき、 2は環 Rにお ける 2であり、環 Rにおける加法群の零元 0に乗法群の単位元 1を 2回足したものであ る。同様に 3は零元 0に単位元 1を 3回足したものである。さらに、 2"kは乗法群の単 位元 1に 2を k回掛けたものである。

[0382] また、 dg、 dを元 g、 rを N次元配列で表現したときの要素が 1である個数、 dfを fまた は Fを N次元配列で表現したときの要素が 1である個数とし、復号エラーが発生しな

V、条件式を pg X Min (dg, d) + 1 + pg X dfく qgとしてもよ!/ヽ。

[0383] (5)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンビュ ータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプ ログラム力もなるデジタル信号であるとしてもよい。

[0384] また、本発明は、前記コンピュータプログラム又は前記デジタル信号をコンピュータ 読み取り可能な記録媒体、例えば、半導体メモリ、ハードディスクドライブ、 CD— RO

M、 DVD-ROM, DVD— RAM等に記録したものとしてもよい。

[0385] (6)上記実施の形態及び変形例をそれぞれ組み合わせるとしてもよ!/ヽ。

[0386] (7)また、ブロック図（図 2や図 4など）の各機能ブロックは典型的には集積回路であ る LSIとして実現される。これらは個別に 1チップ化されても良いし、一部又は全てを 含むように 1チップィ匕されても良 、。

[0387] なお、 LSIは集積度の違いにより、 IC、システム LSI、スーパー LSI、ウルトラ LSIと 呼称されることちある。

[0388] また、集積回路化の手法は LSIに限るものではなぐ専用回路又は汎用プロセッサ で実現してもよい。 LSI製造後に、プログラムすることが可能な FPGA (Field

Programmable Gate Array)や、 LSI内部の回路セルの接続や設定を再構成可能なリ コンフィギユラブル ·プロセッサを利用しても良 、。

[0389] さらには、半導体技術の進歩又は派生する別技術により LSIに置き換わる集積回 路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積ィ匕を行って もよい。別技術としてバイオ技術等が可能性としてありえる。

産業上の利用可能性

[0390] 本発明にかかる暗号通信システム、暗号装置及び復号装置は、従来よりも高速処 理可能であるという効果、あるいは、復号エラーを原理的に発生させないようにできる t 、う効果を有し、鍵配送やコンテンツ配信等の暗号通信システム等として有用であ る。

Claims

請求の範囲

[1] 所定の暗号方式に従!、平文を暗号化して暗号文を生成する暗号装置と、前記所 定の暗号方式に従い前記復号文を復号化して復号文を生成する復号装置とを備え る暗号システムであって、

前記復号装置は、

加算、減算、乗算が定義された N次元配列の集合である環 Rと、前記環 Rのイデア ル 、 qに対し、前記環 Rの元 f、 gと、 f (mod q)の逆数である元 Fqと（ここで a (mod b)は、 aを bで割った余りを示す。 )、 f (mod p)の逆数である元 Fpとを生成し、前記 元 gおよび前記元 Fqの積と法を qとして合同である元 hを公開鍵として生成し、前記 元 fおよび前記元 Fpを得ることのできる情報を秘密鍵として生成する鍵生成部と、 前記秘密鍵を使用して前記暗号文を復号化して前記復号文を生成する復号化部 とを備え、

前記暗号装置は、

前記公開鍵及び前記環 Rからランダムに選択した元 rを使用して前記平文を暗号化 して前記暗号文を生成する暗号化部を備え、

前記元 f、前記元 g、前記元!:、前記平文である N次元配列のすべての要素は 0もし くは 1であり、前記イデアル pと前記イデアル qとは互いに素であり、前記イデアル qは q= (2"k) *Rである（ただし、 は 1〖こ 2を k回掛けた結果であり、 *は環 Rの乗算 を表す）

ことを特徴とする暗号システム。

[2] 前記イデアル pは p = 3 * Rである

ことを特徴とする請求項 1記載の暗号システム。

[3] 前記環 Rは多項式環である

ことを特徴とする請求項 1記載の暗号システム。

[4] 前記復号化部は、さらに前記復号文を生成する過程で出現する前記環 Rの元に対 し、復号エラー発生確率が低くなるような処理を施す

ことを特徴とする請求項 1記載の暗号システム。

[5] 前記復号エラー発生確率が低くなるような処理は、 NTRU暗号方式における cent erlアルゴリズムまたは center2アルゴリズムである

ことを特徴とする請求項 4記載の暗号システム。

[6] 前記鍵生成部は、

前記元 fは、 N次元配列の値が 1となる要素の数を規定する非負整数 dfに基づき生 成され、

前記元 gは、 N次元配列の値が 1となる要素の数を規定する非負整数 dgに基づき 生成され、

前記元 rは、 N次元配列の値が 1となる要素の数を規定する非負整数 dに基づき選 択され、

前記イデアル Pは、前記環 Rの元 pgに対し p = pg *Rであり、前記イデアル qは、前 記環の元 qgに対し q = qg * Rであり、

前記次元 N、前記元 pg、前記元 qg、前記非負整数 df、前記非負整数 dg、前記非 負整数 dは、復号エラー発生有無を判定するエラー条件情報に基づいている ことを特徴とする、請求項 1に記載の暗号システム。

[7] 前記エラー条件情報は、復号エラーが発生しな 、ための条件を表す条件式である ことを特徴とする、請求項 6に記載の暗号システム。

[8] 前記条件式は、 Min (dg, d) +df< (qg— l)Zp (ただし、 Min (a, b)は aと bの小さ い方の数を表す)である

ことを特徴とする、請求項 7に記載の暗号システム（ただし、 Min (a, b)は aと bの小 さい方の数を表す)。

[9] 前記非負整数 dfは、前記元 fの N次元配列の要素の値が 1となる要素の数を規定 するのに代えて、前記環 Rの元 Fの N次元配列の要素の値が 1となる要素の数を規 定し、

前記イデアル Pは、前記環 Rの元 pgに対し p=pg *Rであり、

前記秘密鍵は前記環 Rの元（1 + pg * F)である

ことを特徴とする、請求項 1に記載の暗号システム。

[10] 前記所定の暗号方式は、 NTRU暗号方式である

ことを特徴とする請求項 1に記載の暗号システム。

[11] 所定の暗号方式に従!、平文を暗号化して暗号文を生成する暗号装置であって、 公開鍵及び加算、減算、乗算が定義された N次元配列の集合である環 Rからランダ ムに選択した元 rを使用して前記平文を暗号化して前記暗号文を生成する暗号化部 を備え、

前記所定の暗号方式は、

前記環 Rと、前記環 Rのイデアル p、 qに対し、前記環 Rの元 f、 gと、 f (mod q)の逆 数である元 Fqと、 f (mod p)の逆数である元 Fpとを生成し、前記元 gおよび前記元 F qの積と法を qとして合同である元 hを公開鍵として生成し、前記元 fおよび前記元 Fp を得ることのできる情報を秘密鍵として生成する鍵生成ステップと、

前記公開鍵及び前記環 Rからランダムに選択した元 rを使用して前記平文を暗号化 して前記暗号文を生成する暗号化ステップと、

前記秘密鍵を使用して前記暗号文を復号化して前記復号文を生成する復号化ス テツプとを含む方法により平文の暗号化および暗号文の復号化が行なわれる暗号方 式であり、

前記元 f、前記元 g、前記元!:、前記平文である N次元配列のすべての要素は 0もし くは 1であり、前記イデアル pと前記イデアル qとは互いに素であり、前記イデアル qは q= (2"k) *Rである

ことを特徴とする、暗号装置。

[12] 前記イデアル pは p = 3 * Rである

ことを特徴とする請求項 11記載の暗号装置。

[13] 前記環 Rは多項式環である

ことを特徴とする請求項 11記載の暗号装置。

[14] 前記元 fは、 N次元配列の値が 1となる要素の数を規定する非負整数 dfに基づき生 成され、

前記元 gは、 N次元配列の値が 1となる要素の数を規定する非負整数 dgに基づき 生成され、

前記元 rは、 N次元配列の値が 1となる要素の数を規定する非負整数 dに基づき選 択され、 前記イデアル Pは、前記環 Rの元 pgに対し p=pg *Rであり、前記イデアル qは、前 記環の元 qgに対し q = qg * Rであり、

前記次元 N、前記元 pg、前記元 qg、前記非負整数 df、前記非負整数 dg、前記非 負整数 dは、復号エラー発生有無を判定するエラー条件情報に基づいている ことを特徴とする請求項 11記載の暗号装置。

[15] 前記エラー条件情報は、復号エラーが発生しないための条件を表す条件式である ことを特徴とする請求項 14記載の暗号装置。

[16] 前記条件式は、 Min (dg, d) +df< (qg— l)Zp (ただし、 Min (a, b)は aと bの小さ い方の数を表す)である

ことを特徴とする請求項 15記載の暗号装置。

[17] 前記所定の暗号方式は、 NTRU暗号方式である

ことを特徴とする請求項 11記載の暗号装置。

[18] 所定の暗号方式に従!、暗号文を復号化して復号文を生成する復号装置であって、 加算、減算、乗算が定義された N次元配列の集合である環 Rと、前記環 Rのイデア ル p、qに対し、前記環 Rの元 f、gと、 f (mod q)の逆数である元 Fqと、 f (mod p)の 逆数である元 Fpとを生成し、前記元 gおよび前記元 Fqの積と法を qとして合同である 元 hを公開鍵として生成し、前記元 fおよび前記元 Fpを得ることのできる情報を秘密 鍵として生成する鍵生成部と、

前記秘密鍵を使用して前記暗号文を復号化して前記復号文を生成する復号化部 とを備え、

前記所定の暗号方式は、

加算、減算、乗算が定義された N次元配列の集合である環 Rと、前記環 Rのイデア ル p、qに対し、前記環 Rの元 f、gと、 f (mod q)の逆数である元 Fqと、 f (mod p)の 逆数である元 Fpとを生成し、前記元 gおよび前記元 Fqの積と法を qとして合同である 元 hを公開鍵として生成し、前記元 fおよび前記元 Fpを得ることのできる情報を秘密 鍵として生成する鍵生成ステップと、

前記公開鍵及び前記環 Rからランダムに選択した元 rを使用して前記平文を暗号化 して前記暗号文を生成する暗号化ステップと、 前記秘密鍵を使用して前記暗号文を復号化して前記復号文を生成する復号化ス テツプとを含む方法により平文の暗号化および暗号文の復号化が行なわれる暗号方 式であり、

前記元 f、前記元 g、前記元!:、前記平文である N次元配列のすべての要素は 0もし くは 1であり、前記イデアル pと前記イデアル qとは互いに素であり、前記イデアル qは q= (2"k) *Rである

ことを特徴とする復号装置。

[19] 前記イデアル pは p = 3 * Rである

ことを特徴とする請求項 18記載の復号装置。

[20] 前記環 Rは多項式環である

ことを特徴とする請求項 18記載の復号装置。

[21] 前記復号化部は、さらに前記復号文を生成する過程で出現する前記環 Rの元に対 し、前記復号文が前記平文と等しくなる確率が高くなるような処理を施す

ことを特徴とする請求項 18記載の復号装置。

[22] 前記前記復号文が前記平文と等しくなる確率が高くなるような処理は、 NTRU暗号 方式における center 1アルゴリズムまたは center2アルゴリズムである

ことを特徴とする請求項 21記載の復号装置。

[23] 前記元 fは、 N次元配列の値が 1となる要素の数を規定する非負整数 dfに基づき生 成され、

前記元 gは、 N次元配列の値が 1となる要素の数を規定する非負整数 dgに基づき 生成され、

前記元 rは、 N次元配列の値が 1となる要素の数を規定する非負整数 dに基づき選 択され、

前記イデアル Pは、前記環 Rの元 pgに対し p=pg *Rであり、前記イデアル qは、前 記環の元 qgに対し q = qg * Rであり、

前記次元 N、前記元 pg、前記元 qg、前記非負整数 df、前記非負整数 dg、前記非 負整数 dは、復号エラー発生有無を判定するエラー条件情報に基づいている ことを特徴とする請求項 18に記載の復号装置。

[24] 前記エラー条件情報は、復号エラーが発生しな 、ための条件を表す条件式である ことを特徴とする請求項 23記載の復号装置。

[25] 前記条件式は、 Min (dg, d) +df< (qg— l)Zp (ただし、 Min (a, b)は aと bの小さ い方の数を表す)である

ことを特徴とする、請求項 24記載の復号装置。

[26] 前記非負整数 dfは、前記元 fの N次元配列の要素の値が 1となる要素の数を規定 するのに代えて、前記環 Rの元 Fの N次元配列の要素の値が 1となる要素の数を規 定し、

前記イデアル Pは、前記環 Rの元 pgに対し p=pg *Rであり、

前記秘密鍵は前記環 Rの元（1 + pg * F)である

ことを特徴とする、請求項 18に記載の復号装置。

[27] 前記所定の暗号方式は、 NTRU暗号方式である

ことを特徴とする請求項 18記載の復号装置。

[28] 平文を暗号化して暗号文を生成し、かつ前記復号文を復号化して復号文を生成す る暗号方法であって、

公開鍵及び加算、減算、乗算が定義された N次元配列の集合である環 Rと、前記 環 Rのイデアル p、 qに対し、前記環 Rの元 f、 gと、 f (mod q)の逆数である元 Fqと、 f ( mod p)の逆数である元 Fpとを生成し、前記元 gおよび前記元 Fqの積と法を qとして 合同である元 hを公開鍵として生成し、前記元 fおよび前記元 Fpを得ることのできる情 報を秘密鍵として生成する鍵生成ステップと、

前記公開鍵及び前記環 Rからランダムに選択した元 rを使用して前記平文を暗号化 して前記暗号文を生成する暗号化ステップと、

前記秘密鍵を使用して前記暗号文を復号化して前記復号文を生成する復号化ス テツプとを含むことを特徴とする暗号方法。

[29] コンピュータを、所定の暗号方式に従い平文を暗号化して暗号文を生成する暗号 装置として機能させるためのプログラムであって、

公開鍵及び加算、減算、乗算が定義された N次元配列の集合である環 Rからランダ ムに選択した元 rを使用して前記平文を暗号化して前記暗号文を生成する暗号化部 としてコンピュータを機能させ、

前記所定の暗号方式は、

前記環 Rと、前記環 Rのイデアル p、 qに対し、前記環 Rの元 f、 gと、 f (mod q)の逆 数である元 Fqと、 f (mod p)の逆数である元 Fpとを生成し、前記元 gおよび前記元 F qの積と法を qとして合同である元 hを公開鍵として生成し、前記元 fおよび前記元 Fp を得ることのできる情報を秘密鍵として生成する鍵生成ステップと、

前記公開鍵及び前記環 Rからランダムに選択した元 rを使用して前記平文を暗号化 して前記暗号文を生成する暗号化ステップと、

前記秘密鍵を使用して前記暗号文を復号化して前記復号文を生成する復号化ス テツプとを含む方法により平文の暗号化および暗号文の復号化が行なわれる暗号方 式であり、

前記元 f、前記元 g、前記元!:、前記平文である N次元配列のすべての要素は 0もし くは 1であり、前記イデアル pと前記イデアル qとは互いに素であり、前記イデアル qは q= (2"k) *Rである

ことを特徴とするプログラム。

コンピュータを、所定の暗号方式に従 、暗号文を復号化して復号文を生成する復 号装置として機能させるためのプログラムであって、

加算、減算、乗算が定義された N次元配列の集合である環 Rと、前記環 Rのイデア ル p、qに対し、前記環 Rの元 f、gと、 f (mod q)の逆数である元 Fqと、 f (mod p)の 逆数である元 Fpとを生成し、前記元 gおよび前記元 Fqの積と法を qとして合同である 元 hを公開鍵として生成し、前記元 fおよび前記元 Fpを得ることのできる情報を秘密 鍵として生成する鍵生成部と、

前記秘密鍵を使用して前記暗号文を復号化して前記復号文を生成する復号化部 としてコンピュータを機能させ、

前記所定の暗号方式は、

加算、減算、乗算が定義された N次元配列の集合である環 Rと、前記環 Rのイデア ル p、qに対し、前記環 Rの元 f、gと、 f (mod q)の逆数である元 Fqと、 f (mod p)の 逆数である元 Fpとを生成し、前記元 gおよび前記元 Fqの積と法を qとして合同である 元 hを公開鍵として生成し、前記元 fおよび前記元 Fpを得ることのできる情報を秘密 鍵として生成する鍵生成ステップと、

前記公開鍵及び前記環 Rからランダムに選択した元 rを使用して前記平文を暗号化 して前記暗号文を生成する暗号化ステップと、

前記秘密鍵を使用して前記暗号文を復号化して前記復号文を生成する復号化ス テツプとを含む方法により平文の暗号化および暗号文の復号化が行なわれる暗号方 式であり、

前記元 f、前記元 g、前記元!:、前記平文である N次元配列のすべての要素は 0もし くは 1であり、前記イデアル pと前記イデアル qとは互いに素であり、前記イデアル qは q= (2"k) *Rである

ことを特徴とするプログラム。

所定の暗号方式に従い平文を暗号化して暗号文を生成する集積回路であって、 公開鍵及び加算、減算、乗算が定義された N次元配列の集合である環 Rからランダ ムに選択した元 rを使用して前記平文を暗号化して前記暗号文を生成する暗号化部 を備え、

前記所定の暗号方式は、

前記環 Rと、前記環 Rのイデアル p、 qに対し、前記環 Rの元 f、 gと、 f (mod q)の逆 数である元 Fqと、 f (mod p)の逆数である元 Fpとを生成し、前記元 gおよび前記元 F qの積と法を qとして合同である元 hを公開鍵として生成し、前記元 fおよび前記元 Fp を得ることのできる情報を秘密鍵として生成する鍵生成ステップと、

前記公開鍵及び前記環 Rからランダムに選択した元 rを使用して前記平文を暗号化 して前記暗号文を生成する暗号化ステップと、

前記秘密鍵を使用して前記暗号文を復号化して前記復号文を生成する復号化ス テツプとを含む方法により平文の暗号化および暗号文の復号化が行なわれる暗号方 式であり、

前記元 f、前記元 g、前記元!:、前記平文である N次元配列のすべての要素は 0もし くは 1であり、前記イデアル pと前記イデアル qとは互いに素であり、前記イデアル qは q= (2"k) *Rである ことを特徴とする集積回路。

所定の暗号方式に従い暗号文を復号化して復号文を生成する集積回路であって、 加算、減算、乗算が定義された N次元配列の集合である環 Rと、前記環 Rのイデア ル p、qに対し、前記環 Rの元 f、gと、 f (mod q)の逆数である元 Fqと、 f (mod p)の 逆数である元 Fpとを生成し、前記元 gおよび前記元 Fqの積と法を qとして合同である 元 hを公開鍵として生成し、前記元 fおよび前記元 Fpを得ることのできる情報を秘密 鍵として生成する鍵生成部と、

前記秘密鍵を使用して前記暗号文を復号化して前記復号文を生成する復号化部 とを備え、

前記所定の暗号方式は、

加算、減算、乗算が定義された N次元配列の集合である環 Rと、前記環 Rのイデア ル p、qに対し、前記環 Rの元 f、gと、 f (mod q)の逆数である元 Fqと、 f (mod p)の 逆数である元 Fpとを生成し、前記元 gおよび前記元 Fqの積と法を qとして合同である 元 hを公開鍵として生成し、前記元 fおよび前記元 Fpを得ることのできる情報を秘密 鍵として生成する鍵生成ステップと、

前記公開鍵及び前記環 Rからランダムに選択した元 rを使用して前記平文を暗号化 して前記暗号文を生成する暗号化ステップと、

前記秘密鍵を使用して前記暗号文を復号化して前記復号文を生成する復号化ス テツプとを含む方法により平文の暗号化および暗号文の復号化が行なわれる暗号方 式であり、

前記元 f、前記元 g、前記元!:、前記平文である N次元配列のすべての要素は 0もし くは 1であり、前記イデアル pと前記イデアル qとは互いに素であり、前記イデアル qは q= (2"k) *Rである

ことを特徴とする集積回路。