WO2010076899A1 - 放送型暗号システム、送信者装置、ユーザ装置、カプセル化／脱カプセル化方法 - Google Patents

Abstract

　放送型暗号システムが、送信者装置２００と、複数のユーザ装置３００とを備えている。送信者装置２００は、署名鍵ｓｋと検証鍵ｖｋとを生成し、共通鍵Ｋを決定し、所定のカプセル化アルゴリズムを実行することによって復号可能と指定されたユーザのＩＤの集合Ｓと検証鍵ｖｋに依存して共通鍵Ｋに対応する暗号文Ｃ'を生成し、所定の署名アルゴリズムを実行することにより暗号文Ｃ'に対応する署名文σを署名鍵ｓｋを使って生成し、暗号文Ｃ'と検証鍵ｖｋと署名文σとを含むデータを暗号文Ｃとして出力するように構成されている。ユーザ装置３００は、自己に割り当てられたＩＤが集合Ｓに含まれている場合、暗号文Ｃから暗号文Ｃ'と検証鍵ｖｋと署名文σとを復元し、復元された署名文σの正当性を検証鍵ｖｋを使って検証し、暗号文Ｃ'を脱カプセル化して共通鍵Ｋを得るように構成されている。こうして、ＣＣＡ２攻撃に対して安全な放送型暗号方式を提供する。

Description

放送型暗号システム、送信者装置、ユーザ装置、カプセル化／脱カプセル化方法

　本発明は、放送型暗号システム、送信者装置、ユーザ装置、カプセル化／脱カプセル化方法、送信者装置及びユーザ装置の動作方法、並びにプログラムに関し、特に、放送型暗号におけるカプセル化及び脱カプセル化に関する。

　放送型暗号方式（BE: Broadcast Encryption）とは、送信者により指定されたユーザ（受信者）のみが復号できる暗号文を生成する暗号方式である。同一のメッセージＭをｎ人のユーザに送信しようとする場合、単純に公開鍵暗号方式を用いると、送信者は、メッセージＭからｎ個の暗号文を生成する必要がある。しかしながら、放送型暗号方式を用いれば、送信者が複数のユーザに同じメッセージを送信する場合に暗号化の手間を軽減することができる。放送型暗号方式の例としては、例えば、非特許文献１、非特許文献２に開示された方式がある。

　典型的な放送型暗号方式は、共通鍵暗号方式と組み合わせて使用される。即ち、送信者は、共通鍵暗号方式の共通鍵Ｋを放送型暗号方式によって暗号化することにより、送信者により指定された特定ユーザのみが復号できる暗号文Ｃを生成し、生成された暗号文Ｃを放送する。特定ユーザは、暗号文Ｃを復号して共通鍵Ｋを取得する。更に送信者は、送信したい平文Ｍを共通鍵を用いて暗号化することにより暗号文Ｃｉｐｈｅｒを放送する。特定ユーザは、取得された共通鍵Ｋを用いて暗号文Ｃｉｐｈｅｒを復号化し、平文Ｍを得る。特定ユーザ以外のユーザは、共通鍵Ｋを取得できないので、暗号文Ｃｉｐｈｅｒを復号化することができず、よって平文Ｍを得ることはできない。

　放送型暗号方式は、一般に、“セットアップ”（setup）、“抽出”（extraction）、“カプセル化”（encapsulation）、“脱カプセル化”（decapsulation）の４つのアルゴリズムを組み合わせて構成される。各アルゴリズムは、下記のような処理を行う：
　“セットアップ”は、セキュリティ・パラメータλとユーザの総数ｎを受信して、公開パラメータｐａｒａｍとマスター鍵ｍｋを出力する。
　“抽出”は、セキュリティ・パラメータλ、公開パラメータｐａｒａｍ、ユーザのＩＤ_ｊ∈｛１，．．．，ｎ｝、およびマスター鍵ｍｋを受信して、ユーザｊの秘密鍵ｄｋ_ｊを出力する。
　“カプセル化”は、セキュリティ・パラメータλ、公開パラメータｐａｒａｍ、｛１，．．．，ｎ｝の部分集合Ｓを受信して、共通鍵Ｋを出力する。同時に、共通鍵Ｋを暗号化した暗号文Ｃを出力する。ここで、部分集合Ｓは、暗号文Ｃの復号化を許可するユーザのＩＤの集合である。
　“脱カプセル化”は、セキュリティ・パラメータλ、ユーザのＩＤ_ｊ、秘密鍵ｄｋ_ｊ、部分集合Ｓ、および暗号文Ｃを受信して、暗号文Ｃを復号化して共通鍵Ｋを出力する。
　以下では、“セットアップ”、“抽出”、“カプセル化”、“脱カプセル化”のアルゴリズムが、それぞれ、Ｓｅｔｕｐ、　Ｅｘｔｒａｃｔ、　Ｅｎｃａｐ、　Ｄｅｃａｐであるような放送型暗号方式のアルゴリズムを、放送型暗号方式ＢＥ＝（Ｓｅｔｕｐ，Ｅｘｔｒａｃｔ，Ｅｎｃａｐ，Ｄｅｃａｐ）と記載することにする。

　C. GentryとB. Watersは、非特許文献１において、２つの放送型暗号方式を開示している。以下では、まず、非特許文献１に開示されている第１の放送型暗号方式について、より具体的には、第１の放送型暗号方式の“セットアップ”、“抽出”、“カプセル化”、“脱カプセル化”の４つのアルゴリズムについて説明する（非特許文献１のｐ．８、"3.1 Our Construction"参照）。

　以下の説明では、下記のような表記法を用いる。ｑを素数とし、Ｇ、ＧＴをいずれも位数がｑである有限群とする。さらにｅ：Ｇ×Ｇ→ＧＴを双線形写像とする。例えばＧとして楕円曲線を使い、ｅとしてＧ上のWeil Pairingを使い、ＧＴとして巡回群の乗法群の部分群を使うことができる．安全上の観点からいえば、ｑは１６０ビット以上あることが望ましい。Ｇが楕円曲線の場合Ｇの２つの元ｇ、ｈの和を「ｇ＋ｈ」と表記することもあるが、非特許文献１に従い「ｇ＋ｈ」ではなく「ｇｈ」と表記する。またＺ／ｑＺのｘによるＧの元ｇのスカラー倍を「ａｇ」と表記することもあるが、非特許文献１に従い「ａｇ」ではなく「ｇａ」と表記する．

（第１の放送型暗号方式）
　“セットアップ”では、下記の処理を行う：
　ユーザの人数ｎを受けとる。
　αをＺ／ｑＺからランダムに選び、αをマスター鍵ｍｋとする。
　ｇ，ｈ_１，…，ｈ_ｎをＧからランダムに選ぶ。
　Ａ＝ｅ（ｇ，ｇ）^αを計算する。
　公開パラメータｐａｒａｍをｐａｒａｍ＝（ｇ，ｈ_１，…，ｈ_ｎ，Ａ）とする。
　公開パラメータｐａｒａｍとマスター鍵ｍｋを出力する。

　“抽出”では、下記の処理を行う：
　セキュリティ・パラメータλ、ユーザのＩＤ　ｊ∈｛１，…，ｎ｝、およびマスター鍵ｍｋ（＝α）を受けとる。
　ｒをＺ／ｑＺからランダムに選ぶ。
　ｄ_０＝ｇ^－ｒを計算する。
　ｄ_ｊ＝ｇ^αｈ_ｊ ^ｒを計算する。
　ｊ以外のｉ∈｛１，…，ｎ｝に対し、ｄ_ｉ＝ｈ_ｉ ^ｒを計算する。
　ｄｋ_ｊ＝（ｄ_０，ｄ_１，…，ｄ_ｎ）とし、秘密鍵ｄｋ_ｊを出力する。

　“カプセル化”では、下記の処理を行う：
　セキュリティ・パラメータλ、公開パラメータｐａｒａｍ、および｛１，…，ｎ｝の部分集合Ｓを受けとる。
　ρをＺ／ｑＺからランダムに選ぶ。
　ｕ＝ｇ^ρを計算する。
　ｖ＝Π_ｉ∈Ｓｈ_ｉ ^ρを計算する。
　公開鍵Ｋを下記式：
　Ｋ＝Ａ^ρにより算出する。
　Ｃ＝（ｕ，ｖ）とし、暗号文Ｃと共通鍵Ｋを出力する。

　“脱カプセル化”では、下記の処理を行う：
　セキュリティ・パラメータλ、ユーザのＩＤ　ｊ、秘密鍵ｄｋ_ｊ＝（ｄ_０，ｄ_１，…，ｄ_ｎ），｛１，…，ｎ｝の部分集合Ｓ、および暗号文Ｃ＝（ｕ，ｖ）を受けとる。
　ｅ（ｕ，Π_ｉ∈Ｓｈ_ｉ）≠ｅ（ｖ，ｇ）なら暗号文が不正であることを意味する文字列を出力して終了する。
　そうでなければ、下記の式により、共通鍵Ｋを計算する。
　Ｋ＝ｅ（ｄ_ｉ・Π_ｉ∈Ｓ＼｛ｊ｝ｄ_ｉ，ｕ）・ｅ（ｄ_０，ｖ）
　公開鍵Ｋを出力する。

（第２の放送型暗号方式）
　上述の第１の放送型暗号方式に加えて、非特許文献１では、放送型暗号をサブルーチンとして用いて、より安全な放送型暗号方式を構築する手法も提案されている（非特許文献１の"2.3 Transforming Semi-Static Security to Adaptive Security"参照）。以下では、非特許文献１において提案されている、もう一つの放送型暗号方式（以下、「第２の放送型暗号方式」という。）について説明する。

　第２の放送型暗号方式の構築に使用される任意の放送型暗号方式をＢＥ’＝（Ｓｅｔｕｐ’，Ｅｘｔｒａｃｔ’，Ｅｎｃａｐ’，Ｄｅｃａｐ’）とする。放送型暗号方式ＢＥ’としては、例えば、上述の第１の放送型暗号方式が使用可能である。更に、Ｓｙｍ＝（ＳｙｍＥｎｃ，ＳｙｍＤｅｃ）を、第２の放送型暗号方式で使用される共通鍵暗号方式とする。ここでＳｙｍＥｎｃ、ＳｙｍＤｅｃは、それぞれ、共通鍵暗号方式Ｓｙｍにおける暗号化、復号化のアルゴリズムである。共通鍵暗号方式Ｓｙｍとしてどのような共通鍵暗号方式を用いてもよいが、たとえばＡＥＳ（Advanced Encryption Standard）暗号や、ＤＥＳ（Data　Encryption　Standard）暗号を利用することができる。また、共通鍵暗号方式Ｓｙｍとしては、単純に秘密鍵と平文の排他的論理和を取る、という共通鍵暗号方式も使用可能である。以下では、非特許文献１に開示されている第２の放送型暗号方式について詳細に説明する。

　“セットアップ”では、下記の処理が行われる：
　セキュリティ・パラメータλと人数ｎを受けとる。
　λと２ｎを入力としてアルゴリズムＳｅｔｕｐ’を実行し、その出力として公開パラメータｐａｒａｍとマスター鍵ｍｋ’を得る。
　ビットｓ０、…、ｓｎをランダムに選び、ｍｋ＝（ｍｋ’，ｓ０，…，ｓｎ）とする。
　公開パラメータｐａｒａｍとマスター鍵ｍｋを出力する。

　“抽出”では、下記の処理が行われる：
　セキュリティ・パラメータλ、公開パラメータｐａｒａｍ、ユーザのＩＤ　ｊ∈｛１，…，ｎ｝、およびマスター鍵ｍｋ＝（ｍｋ’，ｓ_０，…，ｓ_ｎ）を受けとる。
　ｊ－ｓｊとｍｋ’を入力としてアルゴリズムＥｘｔｒａｃｔ’を実行し、その出力として秘密鍵ｄｋ^’ _ｊを得る。
　ｄｋ_ｊ＝（ｄｋ^’ _ｊ，ｓ_ｊ）とし、秘密鍵ｄｋ_ｊを出力する。

　図１に図示されているように、“カプセル化”では、下記の処理が行われる：
　セキュリティ・パラメータλ、公開パラメータｐａｒａｍ、および｛１，…，ｎ｝の部分集合Ｓを受けとる（ステップＳ１０１）。
　部分集合Ｓに属する各ユーザＩＤ　ｉに対しビットｔ_ｉをランダムに選ぶ（ステップＳ１０２）。以下では、｛ｔ_ｉ｝_ｉ∈Ｓをｔと書く。
　集合Ｓ［０］をＳ［０］＝｛２ｉ－ｔ_ｉ：ｉ∈Ｓ｝により定義し、集合Ｓ［１］をＳ［１］＝｛２ｉ－（１－ｔ_ｉ）：ｉ∈Ｓ｝により定義する（ステップＳ１０３）。
　暗号化アルゴリズムＳｙｍＥｎｃの鍵空間から共通鍵Ｋをランダムに選ぶ（ステップＳ１０４）。
　セキュリティ・パラメータλ、公開パラメータｐａｒａｍ、および集合Ｓ［０］を入力してカプセル化アルゴリズムＥｎｃａｐ’を実行し、暗号文Ｃ［０］と共有鍵κ［０］を得る（ステップＳ１０５）。
　κ［０］を共有鍵として共通鍵Ｋを平文として暗号化アルゴリズムＳｙｍＥｎｃに入力することで、暗号文Ｌ［０］を得る（ステップＳ１０５）。
　セキュリティ・パラメータλ、公開パラメータｐａｒａｍ、および集合Ｓ［１］を入力してカプセル化アルゴリズムＥｎｃａｐ’を実行し、出力として暗号文Ｃ［１］と共有鍵κ［１］を得る（ステップＳ１０６）。
　κ［１］を共有鍵として共通鍵Ｋを平文として暗号化アルゴリズムＳｙｍＥｎｃに入力することで暗号文Ｌ［１］を得る（ステップＳ１０６）。
　Ｃ＝（Ｃ［０］，Ｌ［０］，Ｃ［１］，Ｌ［１］，ｔ）とし、暗号文Ｃと共通鍵Ｋを出力する（ステップＳ１０７）。

　また、図２に示されているように、“脱カプセル化”では、下記の処理が行われる：
　セキュリティ・パラメータλ、ユーザのＩＤ　ｊ、秘密鍵ｄｋ_ｊ＝（ｄｋ^’ _ｊ、ｓ_ｊ）、｛１，…，ｎ｝の部分集合Ｓ、および暗号文Ｃ＝（Ｃ［０］，Ｌ［０］，Ｃ［１］，Ｌ［１］，ｔ）を入力として受けとる（ステップＳ２０１）。
　ｓ_ｊとｔ_ｊの排他的論理和ηを算出する（ステップＳ２０２）。
　集合Ｓ［０］をＳ［０］＝｛２ｉ－ｔ_ｉ：ｉ∈Ｓ｝により定義し、集合Ｓ［１］をＳ［１］＝｛２ｉ－（１－ｔ_ｉ）：ｉ∈Ｓ｝により定義する（ステップＳ２０３）。
　セキュリティ・パラメータλ、秘密鍵ｄｋ^’ _ｊ、集合Ｓ［η］、暗号文Ｃ［η］を入力として脱カプセル化アルゴリズムＤｅｃａｐ’を実行し、共通鍵κ［η］を得る（ステップＳ２０４）。
　共通鍵κ［η］と共通鍵暗号文Ｌ［η］とを入力として復号化アルゴリズムＳｙｍＤｅｃを実行し、その出力として共通鍵Ｋを得る（ステップＳ２０５）。
　共通鍵Ｋを出力する（ステップＳ２０６）。

　「攻撃者は解読したい暗号文Ｃとは別の暗号文Ｃ’を正規の受信者に復号して貰い、その復号情報を使って暗号文Ｃを解読する」という攻撃方法は、ＣＣＡ２攻撃と呼ばれる。非特許文献１の第２の放送型暗号方式は、このＣＣＡ２攻撃に対して安全ではない。以下では、その理由を説明する。以下の説明において、Ｓをユーザの部分集合とし、Ｃ＝（Ｃ［０］，Ｌ［０］，Ｃ［１］，Ｌ［１］，ｔ）とＫを、それぞれ、非特許文献１のカプセル化手段で作った暗号文と共通鍵とし、Ｃｉｐｈｅｒを共通鍵Ｋを鍵として作った共通鍵暗号文とする。（Ｓ，Ｃ，Ｃｉｐｈｅｒ）は、以下のようなＣＣＡ２攻撃で解読できてしまう。

　集合Ｓ［１］をＳ［１］＝｛２ｉ－（１－ｔ_ｉ）：ｉ∈Ｓ｝により定義し、セキュリティ・パラメータλ、公開パラメータｐａｒａｍ、および集合Ｓ［１］を入力してカプセル化アルゴリズムＥｎｃａｐ’を実行し、出力として暗号文Ｃ’［１］と共有鍵κ’［１］を得る。
　κ’［１］を共有鍵としてＫを平文として暗号化アルゴリズムＳｙｍＥｎｃに入力することで、暗号文Ｌ’［１］を得る。　ｓ_ｊとｔ_ｊの排他的論理和ηが１になるｊ∈Ｓを選ぶ。
　Ｃ’＝（Ｃ［０］，Ｌ［０］，Ｃ’［１］，Ｌ’［１］，ｔ）を正規のユーザｊに復号して貰い、復号結果として共通鍵Ｋを得る。　得られた共通鍵Ｋを使って共通鍵暗号文Ｃｉｐｈｅｒを復号する。

　以上の記述から分かるように非特許文献１の第二の方式がＣＣＡ２攻撃に対して安全ではないのは、暗号文Ｃ＝（Ｃ［０］，Ｌ［０］，Ｃ［１］，Ｌ［１］，ｔ）の一部分である（Ｃ［１］，Ｌ［１］）を別のデータ（Ｃ’［１］，Ｌ’［１］）に取り替えることができてしまうことが原因である。このようなＣＣＡ２攻撃に対しても安全な放送型暗号方式を実現することが望まれる。

Ｃｒａｉｇ　Ｇｅｎｔｒｙ　ａｎｄ　Ｂｒｅｎｔ　Ｗａｔｅｒｓ．　Ａｄａｐｔｉｖｅ　Ｓｅｃｕｒｉｔｙ　ｉｎ　Ｂｒｏａｄｃａｓｔ　ＥｎｃｒｙｐｔｉｏｎＳｙｓｔｅｍｓ．　ｅｐｒｉｎｔ．　ｈｔｔｐ：／／ｅｐｒｉｎｔ．ｉａｃｒ．ｏｒｇ／２００８／２６８ Ｄａｎ　Ｂｏｎｅｈ，　Ｃｒａｉｇ　Ｇｅｎｔｒｙ，　Ｂｒｅｎｔ　Ｗａｔｅｒｓ，　Ｃｏｌｌｕｓｉｏｎ　Ｒｅｓｉｓｔａｎｔ　Ｂｒｏａｄｃａｓｔ　Ｅｎｃｒｙｐｔｉｏｎ　ｗｉｔｈ　Ｓｈｏｒｔ　Ｃｉｐｈｅｒｔｅｘｔｓ　ａｎｄ　Ｐｒｉｖａｔｅ　Ｋｅｙｓ．　ＣＲＹＰＴＯ　２００５．　ｐｐ．　２５８－２７５．

　本発明の目的は、ＣＣＡ２攻撃に対しても安全な放送型暗号方式を提供することにある。
　本発明の一の観点においては、放送型暗号システムが、カプセル化手段と、複数の脱カプセル化手段とを備えている。カプセル化手段は、署名鍵ｓｋと検証鍵ｖｋとを生成し、共通鍵Ｋを決定し、所定のカプセル化アルゴリズムを実行することによって復号可能と指定されたユーザのＩＤの集合Ｓと検証鍵ｖｋに依存して共通鍵Ｋに対応する暗号文Ｃ’を生成し、所定の署名アルゴリズムを実行することにより暗号文Ｃ’に対応する署名文σを署名鍵ｓｋを使って生成し、暗号文Ｃ’と検証鍵ｖｋと署名文σとを含むデータを暗号文Ｃとして出力するように構成されている。脱カプセル化手段は、自己に割り当てられたＩＤが集合Ｓに含まれている場合、暗号文Ｃから暗号文Ｃ’と検証鍵ｖｋと署名文σとを復元し、復元された署名文σの正当性を検証鍵ｖｋを使って検証し、暗号文Ｃ’を脱カプセル化して共通鍵Ｋを得るように構成されている。

　本発明によれば、ＣＣＡ２攻撃に対して安全な放送型暗号方式を提供することができる。

図１は、従来の放送型暗号におけるカプセル化の手順を示すフローチャートである。 図２は、従来の放送型暗号におけるカプセル化の手順を示すフローチャートである。 図３は、本発明の一実施形態の放送型暗号システムの構成を示すブロック図である。 図４は、権限者装置、送信者装置、ユーザ装置の構成の例を示すブロック図である。 図５は、本発明の第１の実施形態の放送型暗号システムにおけるカプセル化の手順を示すフローチャートである。 図６は、本発明の第１の実施形態の放送型暗号システムにおける脱カプセル化の手順を示すフローチャートである。 図７は、本発明の第３の実施形態の放送型暗号システムにおけるカプセル化の手順を示すフローチャートである。 図８は、本発明の第３の実施形態の放送型暗号システムにおける脱カプセル化の手順を示すフローチャートである。

　以下に添付図面を参照して、本発明による放送型暗号システムについて詳細に説明する。

　［第１の実施形態］
　本発明の放送型暗号システムの第１の実施形態では、放送型暗号方式ＢＥ’＝（Ｓｅｔｕｐ’，Ｅｘｔｒａｃｔ’，Ｅｎｃａｐ’，Ｄｅｃａｐ’）が、図３に示された送受信システムに実装される。ここで、Ｓｅｔｕｐ’、Ｅｘｔｒａｃｔ’、Ｅｎｃａｐ’、Ｄｅｃａｐ’は、それぞれ、放送型暗号方式ＢＥ’を構成するセットアップアルゴリズム、抽出アルゴリズム、カプセル化アルゴリズム、脱カプセル化アルゴリズムである。本実施形態の送受信システム１は、これらのアルゴリズムをサブルーチンとして用いて実現される。

　まず、本実施形態の放送型暗号システムの概略を、図３を参照しながら説明する。本実施形態の放送型暗号システムには、権限者、送信者、ユーザの３種類のエンティティが関わる。権限者、送信者、ユーザは、それぞれ、権限者装置１００、送信者装置２００、及びユーザ装置３００－１～３００－ｎを使う。本実施形態では、ユーザはｎ人であり、各ユーザにはＩＤが割り当てられている。ユーザ装置３００－ｉ（ｉ＝１～ｎ）は、ＩＤがｉであるユーザが使用するユーザ装置である。

　図４は、権限者装置１００、送信者装置２００、及びユーザ装置３００－１～３００－ｎを実現するためのコンピュータの構成の例を示すブロック図である。図４を参照すると、コンピュータは、処理装置１０、入力装置２０、および出力装置３０を備えている。処理装置１０は、インストールされたソフトウェアプログラムにしたがって所定の処理を実行する。入力装置２０は、処理装置１０に対するコマンドや情報の入力に用いられる入力装置である。出力装置３０は、処理装置１０の処理結果を出力するための出力装置である。また処理装置１０は、ＣＰＵ１１、主記憶装置１２、記録媒体１３、データ蓄積装置１４、メモリ制御インターフェース部１５、およびＩ／Ｏインターフェース部１６を有し、それらがバス１８を介して相互に接続されている。ＣＰＵ１１は、各装置にインストールされたソフトウェアプログラムを実行するプロセッサである。主記憶装置１２は、ＣＰＵ１１の処理に必要な情報を一時的に記憶する。記録媒体１３は、ＣＰＵ１１により実行されるべきプログラムを記憶している。データ蓄積装置１４は、秘密情報やアクセス構造データを記憶する。メモリ制御インターフェース部１５は、主記憶装置１２、記録媒体１３、またはデータ蓄積装置１４のデータの書き込みおよび読み出しを制御するインターフェース装置である。Ｉ／Ｏインターフェース部１６は、入力装置２０および出力装置３０とのデータの入出力を制御するインターフェース装置である。このインターフェース装置を介して、チャンネルを用いてのデータの送受信を行う。

　図３に戻り、権限者装置１００は、セットアップ部１０１と抽出部１０２とを持ち、送信者装置２００はカプセル化部２０１を持ち、ユーザ装置３００－１～３００－ｎは脱カプセル化部３０１を持つ。セットアップ部１０１、抽出部１０２、カプセル化部２０１、及び、脱カプセル化部３０１は、それぞれ、本実施形態で使用される放送型暗号方式ＢＥ’における、セットアップアルゴリズムＳｅｔｕｐ’、抽出アルゴリズムＥｘｔａｒｃｔ’、カプセル化アルゴリズムＥｎｃａｐ’、及び脱カプセル化アルゴリズムＤｅｃａｐ’を実行し、本実施形態では、ソフトウェアプログラムにより実装される。ただし、セットアップ部１０１、抽出部１０２、カプセル化部２０１、及び、脱カプセル化部３０１は、ソフトウェア、ハードウェア、及びそれらの組み合わせのいずれによって実現されてもよいことに留意されたい。

　本実施形態の送受信システムでは、放送型暗号方式ＢＥ’＝（Ｓｅｔｕｐ’，Ｅｘｔｒａｃｔ’，Ｅｎｃａｐ’，Ｄｅｃａｐ’）に加えて、共通鍵暗号方式ＰｒｉＣｈｉ＝（Ｅｎｃ，Ｄｅｃ）が併用される。ここでＥｎｃ、Ｄｅｃはそれぞれ共通鍵暗号方式ＰｒｉＣｈｉにおける暗号化、復号化のアルゴリズムである。共通鍵暗号方式ＰｒｉＣｈｉとしてどのような共通鍵暗号方式を用いてもよいが、たとえばＡＥＳ暗号やＤＥＳ暗号を利用することができる。この共通鍵暗号方式ＰｒｉＣｈｉを実装するために、送信者装置２００は、暗号化アルゴリズムＥｎｃを実行する共通鍵暗号化部２０２を持ち、ユーザ装置３００－１～３００－ｎは復号化アルゴリズムＤｅｃによる共通鍵復号部３０２－１～３０２－ｎを持つ。

　本実施形態の放送型暗号方式では、まず権限者がセキュリティ・パラメータλを決める。以下、セキュリティ・パラメータλが全てのエンティティに周知されており、権限者装置１００、送信者装置２００、ユーザ装置３００－１～３００－ｎの記録媒体１３にセキュリティ・パラメータλが記憶されていることを前提として話を進める。また、想定されるユーザ装置３００の最大台数をｎとする。

　権限者がセキュリティ・パラメータλとユーザの人数ｎを権限者装置１００に入力し、更にセットアップ部１０１によってセットアップアルゴリズムＳｅｔｕｐ’を実行すると、その出力として公開パラメータｐａｒａｍとマスター鍵ｍｋとが得られる。さらに権限者装置１００は、公開パラメータｐａｒａｍを公開する共に、マスター鍵ｍｋを記録媒体１３に保管する。公開パラメータｐａｒａｍの公開は、送信者及びユーザが、それぞれ、送信者装置２００、ユーザ装置３００のＩ／Ｏインターフェース部１６を使って公開パラメータｐａｒａｍを受信できる方法で行なわねばならない。このような公開は、例えば、ＰＫＩ（Public Key Infrastructure）を利用することで行なえる。

　権限者装置１００の抽出部１０は、セキュリティ・パラメータλと公開パラメータｐａｒａｍとマスター鍵ｍｋを記録媒体１３から読み込み、セキュリティ・パラメータλ、公開パラメータｐａｒａｍ、ユーザのＩＤ　ｊ、およびマスター鍵ｍｋを入力として抽出アルゴリズムＥｘｔｒａｃｔ’を実行し、その出力としてユーザｊの秘密鍵ｄｋ_ｊを得る。そしてＩ／Ｏインターフェース部１６を使って秘密鍵ｄｋ_ｊをユーザｊのユーザ装置３００－ｊに送る。秘密鍵をいつどのようなタイミングで配布するかに関しては、２つのポリシーがある。第一のポリシーは、権限者装置１００が公開パラメータｐａｒａｍを公開する際に、全てのユーザの秘密鍵を生成して、各ユーザに秘密鍵を送信する、というものである。第二のポリシーは、ユーザ装置３００－ｊから要求があった場合、そのユーザ装置３００－ｊの秘密鍵を生成して秘密鍵ｄｋ_ｊを送信する、というものである。アプリケーションに応じて、どちらのポリシーを採用してもよい。

　送信者装置２００は、ｐａｒａｍを受信し、記録媒体１３に保管する。送信者は、平文Ｍを送信したいユーザの集合Ｓ⊂｛１、…、ｎ｝を決め、集合Ｓと平文Ｍを送信者装置２００に入力する。送信者装置２００はセキュリティ・パラメータλと公開パラメータｐａｒａｍを記録媒体１３から読み込み、セキュリティ・パラメータλ、公開パラメータｐａｒａｍ、および集合Ｓを入力としてカプセル化アルゴリズムＥｎｃａｐ’を実行し、出力として暗号文Ｃと共通鍵Ｋを得る。更に、共通鍵Ｋと平文Ｍを入力として暗号化アルゴリズムＥｎｃを実行することで共通鍵暗号文Ｃｉｐｈｅｒを得る。送信者装置２００は、Ｉ／Ｏインターフェース部１６を使って集合Ｓに属するユーザのユーザ装置３００に集合Ｓと暗号文Ｃと共通鍵暗号文Ｃｉｐｈｅｒをブロードキャストする。この際、集合Ｓに属さないユーザのユーザ装置３００が集合Ｓ、暗号文Ｃ、及び共通鍵Ｃｉｐｈｅｒを受信できてしまってもかまわない。

　ユーザ装置３００－ｊが集合Ｓと暗号文Ｃと共通鍵Ｃｉｐｈｅｒを受信したら、自分のＩＤ　ｊが集合Ｓに入っているかどうかをチェックする。もし自分のＩＤ　ｊが集合Ｓに入っていれば、ユーザ装置３００－ｊは、セキュリティ・パラメータλ、自分のＩＤ　ｊ、秘密鍵ｄｋ_ｊ、集合Ｓ、および暗号文Ｃを入力として脱カプセル化アルゴリズムＤｅｃａｐ’を実行し、その出力として共通鍵Ｋを得る。更にユーザ装置３００－ｊは、共通鍵Ｋと共通鍵暗号文Ｃｉｐｈｅｒとを入力として復号化アルゴリズムＤｅｃ’を実行し、その出力として平文Ｍを得る。

　上述のように、ＣＣＡ２攻撃に対して安全な放送型暗号方式を提供することが、本実施形態の放送型暗号方式の主題である。そして、本実施形態の放送型暗号方式では、放送型暗号方式ＢＥ’＝（Ｓｅｔｕｐ’，Ｅｘｔｒａｃｔ’，Ｅｎｃａｐ’，Ｄｅｃａｐ’）に署名方式を併用し、暗号文全体に署名を行うことにより暗号文の改竄を防ぎ、暗号文の一部を別のデータに取り替えるＣＣＡ２攻撃を有効に防止する。加えて、本実施形態では、ユーザの部分集合Ｓのみならず、検証鍵ｖｋに依存して暗号文が作成される。これにより、暗号文を変えずに検証鍵ｖｋと署名文のみ別のものに取り替えるという攻撃も防ぐことができる。以下では、本実施形態の放送型暗号方式について詳細に説明する。

　以下の説明では、本実施形態で使用される署名方式をＳＧＮと書き、署名方式ＳＧＮの鍵生成アルゴリズム、署名アルゴリズム、および検証アルゴリズムを、それぞれ、Ｋｇ、Ｓｉｇ、Ｖｅｒと書く。署名方式ＳＧＮは、ｏｎｅ－ｔｉｍｅ強偽造不能性を満たすものでありさえすれば、どのようなものを用いてもよく、たとえばＳｃｈｎｏｒｒ署名を用いることができる。また、ハッシュ値を求めるためのハッシュ関数をＨと記載する。

　本実施形態では、各検証鍵ｖｋ∈｛０，１｝^μに対し、集合Ｔ［ｖｋ］を対応させる。どのようにＴ［ｖｋ］を選んでもよいが、安全性上の観点から言えば、Ｔ［ｖｋ］は次の性質を満たすことが望ましい。
　相異なる２つの検証鍵ｖｋ_１、ｖｋ_２に対し、Ｔ［ｖｋ_１］＼Ｔ［ｖｋ_２］は少なくとも１つの元を含む。
例えば、集合Ｔ［ｖｋ］をＴ［ｖｋ］＝｛ｎ＋２ｉ｜　Ｈ（ｖｋ）の第ｉビットは１｝∪｛ｎ＋２ｉ＋１｜Ｈ（ｖｋ）の第ｉビットは０｝により定義すると上述の性質が満たされる。

　本実施形態における権限者装置１００のセットアップ部１０１及び抽出部１０２、送信者装置２００のカプセル化部２０１、並びにユーザ装置３００の脱カプセル化部３０１は、下記のように動作する。

　まず、権限者装置１００のセットアップ部１０１の動作は下記の通りである：
　セキュリティ・パラメータλと人数ｎを入力として受けとる。
　セキュリティ・パラメータλとｎ＋２μを入力としてセットアップアルゴリズムＳｅｔｕｐ’を実行し、公開パラメータｐａｒａｍとマスター鍵ｍｋを得る。
　公開パラメータｐａｒａｍとマスター鍵ｍｋを出力する。
出力された公開パラメータｐａｒａｍとマスター鍵ｍｋは、抽出部１０２に供給される。公開パラメータｐａｒａｍは、更に、送信者装置２００のカプセル化部２０１と、ユーザ装置３００の脱カプセル化部３０１に供給される。

　また、抽出部１０２は以下のように動作する：
　セキュリティ・パラメータλ、公開パラメータｐａｒａｍ、ユーザのＩＤ　ｊ∈｛１，…，ｎ｝、およびマスター鍵ｍｋを受けとる。
　セキュリティ・パラメータλ、公開パラメータｐａｒａｍ、ユーザのＩＤ　ｊ、およびマスター鍵ｍｋを入力として抽出アルゴリズムＥｘｔｒａｃｔ’を実行し、その出力として秘密鍵ｄｋ_ｊを得る。
　秘密鍵ｄｋ_ｊを出力する。
出力された秘密鍵ｄｋ_ｊは、ユーザ装置３００－ｊに供給される。

　一方、図５に示されているように、送信者装置２００のカプセル化部２０１は、下記のように動作する：
　セキュリティ・パラメータλ、公開パラメータｐａｒａｍ、および｛１，…，ｎ｝の部分集合Ｓを入力として受けとる（ステップＳ５０１）。
　セキュリティ・パラメータλを入力して鍵生成アルゴリズムＫｇを実行し、検証鍵ｖｋと署名鍵ｓｋを得る（ステップＳ５０２）。
　セキュリティ・パラメータλ、公開パラメータｐａｒａｍ、および集合Ｓ∪Ｔ［ｖｋ］にカプセル化アルゴリズムＥｎｃａｐ’を実行し、暗号文Ｃ’と共有鍵Ｋを得る（ステップＳ５０３）。
　Ｃ’とＳの連結Ｃ’｜｜Ｓ、および署名鍵ｓｋを入力として署名アルゴリズムＳｉｇを実行し、その出力として署名文σを得る（ステップＳ５０４）。
　暗号文ＣをＣ＝（Ｃ’，ｖｋ，σ）として暗号文Ｃと共通鍵Ｋとを出力する（ステップＳ５０５）。
暗号文Ｃは、ユーザ装置３００にブロードキャストされる。一方、共通鍵Ｋは、送信者装置２００の共通鍵暗号化部２０２に引き渡される。上述のように、共通鍵Ｋは、共通鍵暗号化部２０２が平文Ｍを暗号化して暗号文Ｃｉｐｈｅｒを生成するために使用される。

　更に、図６に示されているように、ユーザ装置３００－ｊの脱カプセル化部３０１は、下記のように動作する：
　セキュリティ・パラメータλ、ユーザのＩＤ　ｊ、秘密鍵ｄｋ_ｊ、｛１，…，ｎ｝の部分集合Ｓ、および暗号文Ｃ＝（Ｃ’，ｖｋ，σ）を入力として受けとる（ステップＳ６０１）。
　セキュリティ・パラメータλ、Ｃ’とＳの連結Ｃ’｜｜Ｓ、検証鍵ｖｋ、および署名文候補σを入力して検証アルゴリズムＶｅｒを実行し、署名文σの正当性を検証鍵ｖｋを用いて検証する（ステップＳ６０２）。
　検証アルゴリズムＶｅｒが「拒否」を意味する文字列を出力したら、暗号文が不正であることを意味する文字列を出力して終了する（ステップＳ６０３）。
　そうでなければセキュリティ・パラメータλ、集合Ｓ∪Ｔ［ｖｋ］、暗号文Ｃ’、ユーザのＩＤ　ｊ、及び秘密鍵ｄｋ_ｊを入力して脱カプセル化アルゴリズムＤｅｃａｐ’を実行し、出力として共通鍵Ｋを得る（ステップＳ６０４）。
　得られた共通鍵Ｋを出力する（ステップＳ６０５）。
ユーザ装置３００－ｊの共通鍵復号化部３０２は、得られた共通鍵Ｋを用いてユーザ装置３００から送られてきた暗号文Ｃｉｐｈｅｒを復号化し、平文Ｍを得ることができる。

［第２の実施形態］
　非特許文献１に開示されている第１の放送型暗号方式に対して第１の実施形態の手法を適用することも可能である。以下では、この場合の実施形態について説明する。以下の説明において、ＳＧＮを署名方式とし、ＳＧＮの鍵生成アルゴリズム、署名アルゴリズム、および検証アルゴリズムをそれぞれＫｇ、Ｓｉｇ、Ｖｅｒと書く。署名方式ＳＧＮは、ｏｎｅ－ｔｉｍｅ強偽造不能性を満たすものでありさえすれば、どのようなものを用いてもよく、たとえばＳｃｈｎｏｒｒ署名を用いることができる。また、Ｈをハッシュ関数とする。

　また、以下の説明では、下記のような表記法を用いる。ｑを素数とし、Ｇ、Ｔをいずれも位数がｑである有限群とする。さらにｅ：Ｇ×Ｇ→Ｔを双線形写像とする．例えばＧとして楕円曲線を使い、ｅとしてＧ上のWeil Pairingを使い、Ｔとして巡回群の乗法群の部分群を使うことができる．安全性上の観点からいえば、ｑは１６０ビット以上あることが望ましい．Ｇが楕円曲線の場合Ｇの２つの元ｇ、ｈの和を「ｇ＋ｈ」と表記することもあるが、非特許文献１に従い「ｇ＋ｈ」ではなく「ｇｈ」と表記する．またＺ／ｑＺのｘによるＧの元ｇのスカラー倍を「ａｇ」と表記することもあるが、非特許文献１に従い「ａｇ」ではなく「ｇａ」と表記する。

　本実施形態では、検証鍵ｖｋ∈｛０，１｝^μに対し、集合Ｔ［ｖｋ］をＴ［ｖｋ］＝｛ｎ＋２ｉ｜Ｈ（ｖｋ）の第ｉビットは１｝∪｛ｎ＋２ｉ＋１｜Ｈ（ｖｋ）の第ｉビットは０｝により定義する。

　更に、検証装置１００のセットアップ部１０１は以下のように動作する：
　人数ｎを入力として受けとる。
　αをＺ／ｑＺからランダムに選び、αをマスター鍵ｍｋとする。
　ｇ，ｈ_１，…，ｈ_ｎ＋２μをＧからランダムに選ぶ。　Ａ＝ｅ（ｇ，ｇ）^αを計算する。
　公開パラメータｐａｒａｍをｐａｒａｍ＝（ｇ，ｈ_１，…，ｈ_ｎ＋２μ，Ａ）とする。
　公開パラメータｐａｒａｍとマスター鍵ｍｋを出力する。
　出力された公開パラメータｐａｒａｍとマスター鍵ｍｋは、抽出部１０２に供給される。公開パラメータｐａｒａｍは、更に、送信者装置２００のカプセル化部２０１と、ユーザ装置３００の脱カプセル化部３０１に供給される。

　権限者装置１００の抽出部１０１は以下のように動作する：
　セキュリティ・パラメータλ、公開パラメータｐａｒａｍ＝（ｇ，ｈ_１，…，ｈ_ｎ＋２μ，Ａ）、ユーザのＩＤ　ｊ∈｛１，…，ｎ＋２μ｝、およびマスター鍵ｍｋ＝αを入力として受けとる。
　ｒをＺ／ｑＺからランダムに選ぶ。
　ｄ_０＝ｇ^－ｒを計算する。　ｄ_ｊ＝ｇ^αｈ_ｊ ^ｒを計算する。
　ｊ以外のｉ∈｛１，…，ｎ＋２μ｝に対し，ｄ_ｉ＝ｈ_ｉ ^ｒを計算する。
　秘密鍵ｄｋ_ｊをｄｋ_ｊ＝（ｄ_０，ｄ_１，…，ｄ_ｎ＋２μ）と決定し、秘密鍵ｄｋ_ｊを出力する。
　出力された秘密鍵ｄｋ_ｊは、ユーザ装置３００－ｊに供給される。

　更に、送信者装置２００のカプセル化部２０１は以下のように動作する：
　セキュリティ・パラメータλ、公開パラメータｐａｒａｍ、および｛１，…，ｎ｝の部分集合Ｓを入力として受けとる。
　セキュリティ・パラメータλを入力として鍵生成アルゴリズムＫｇを実行し、その出力として検証鍵ｖｋと署名鍵ｓｋを得る。
　ρをＺ／ｑＺからランダムに選ぶ。
　ｕ＝ｇ^ρを計算する。
　ｖ＝Π_ｉ∈Ｓ∪Ｔ［ｖｋ］ｈ_ｉ ^ρを計算する。　ｕとｖとＳの連結ｕ｜｜ｖ｜｜Ｓ、および署名鍵ｓｋとを入力して署名アルゴリズムＳｉｇを実行し、その出力として署名文σを得る。
　共通鍵ＫをＫ＝Ａ^ρにより計算する。
　暗号文ＣをＣ＝（ｕ，ｖ，ｖｋ，σ）とし、暗号文Ｃと共通鍵Ｋを出力する。
　暗号文Ｃは、ユーザ装置３００にブロードキャストされる。一方、共通鍵Ｋは、送信者装置２００の共通鍵暗号化部２０２に引き渡される。上述のように、共通鍵Ｋは、共通鍵暗号化部２０２が平文Ｍを暗号化して暗号文Ｃｉｐｈｅｒを生成するために使用される。

　更に、ユーザ装置３００の脱カプセル化部３０１は以下のように動作する：
　セキュリティ・パラメータλ、ユーザのＩＤ　ｊ、秘密鍵ｄｋ_ｊ＝（ｄ_０，ｄ_１，…，ｄ_ｎ），｛１，…，ｎ｝の部分集合Ｓ、および暗号文Ｃ＝（ｕ，ｖ，ｖｋ，σ）を入力として受けとる。
　セキュリティ・パラメータλ、ｕとｖとＳの連結ｕ｜｜ｖ｜｜Ｓ、検証鍵ｖｋ、及び署名文σを入力として検証アルゴリズムＶｅｒを実行し、署名文σの正当性を検証鍵ｖｋを用いて検証する。
　検証アルゴリズムＶｅｒが「拒否」を意味する文字列を出力したら、暗号文が不正であることを意味する文字列を出力して終了する。
　ｅ（ｕ，Π_ｉ∈Ｓ∪Ｔ［ｖｋ］ｈ_ｉ）≠ｅ（ｖ，ｇ）なら暗号文が不正であることを意味する文字列を出力して終了する。
　そうでなければ公開鍵ＫをＫ＝ｅ（ｄ_ｉ・Π_ｉ∈Ｓ∪Ｔ［ｖｋ］＼｛ｊ｝ｄ_ｉ，ｕ）・ｅ（ｄ_０，ｖ）によって計算する。　公開鍵Ｋを出力する。
　ユーザ装置３００－ｊの共通鍵復号化部３０２は、得られた共通鍵Ｋを用いてユーザ装置３００から送られてきた暗号文Ｃｉｐｈｅｒを復号化し、平文Ｍを得ることができる。

　以上の説明では、集合Ｓ∪Ｔ［ｖｋ］をカプセル化アルゴリズムＥｎｃａｐ’及び脱カプセル化アルゴリズムＤｅｃａｐ’の入力としているが、集合Ｓ∪Ｔ［ｖｋ］を含む集合Ｗをカプセル化アルゴリズムＥｎｃａｐ’や脱カプセル化アルゴリズムＤｅｃａｐ’の入力としてもよい。

［第３の実施形態］
　第３の実施形態でも、第１の実施形態と同様に、放送型暗号方式ＢＥ’＝（Ｓｅｔｕｐ’，Ｅｘｔｒａｃｔ’，Ｅｎｃａｐ’，Ｄｅｃａｐ’）に署名方式を併用し、暗号文全体に署名が行われる。これにより、暗号文の改竄を防ぎ、暗号文の一部を別のデータに取り替えるＣＣＡ２攻撃を有効に防止する。加えて、ユーザの部分集合Ｓのみならず、検証鍵ｖｋに依存して暗号文が作成される。これにより、暗号文を変えずに検証鍵ｖｋと署名文のみ別のものに取り替えるという攻撃も防ぐことができる。

　ただし、第３の実施形態では、権限者装置１００のセットアップ部１０１及び抽出部１０２、送信者装置２００のカプセル化部２０１、並びにユーザ装置３００の脱カプセル化部３０１が第１の実施形態とは異なる方法で動作する。以下、第２の実施形態における各部の動作を詳細に説明する。

　以下の説明でも、第１の実施形態と同様に、下記のような表記法を使用する：ＳＧＮを署名方式とし、ＳＧＮの鍵生成部、署名部、および検証部を、それぞれ、Ｋｇ、Ｓｉｇ、Ｖｅｒと書く。ＳＧＮは、ｏｎｅ－ｔｉｍｅ強偽造不能性を満たすものでありさえすれば、どのようなものを用いてもよく、たとえばＳｃｈｎｏｒｒ署名を用いることができる。Ｈをハッシュ関数とする。また、ＰｒｉＣｈｉ＝（Ｅｎｃ，Ｄｅｃ）は、共通鍵暗号化部２０２、共通化復号部２０３で使用される共通鍵暗号方式であり、Ｅｎｃ、Ｄｅｃはそれぞれ共通鍵暗号方式ＰｒｉＣｈｉにおける暗号化、復号化のアルゴリズムである。

　また、各検証鍵ｖｋ∈｛０，１｝^μに対し、集合Ｔ［ｖｋ］を対応させる。どのようにＴ［ｖｋ］を選んでもよいが、安全性上の観点から言えば、Ｔ［ｖｋ］は次の性質を満たすことが望ましい。
　相異なる２つの検証鍵ｖｋ１、ｖｋ２に対し、Ｔ［ｖｋ１］＼Ｔ［ｖｋ２］は少なくとも１つの元を含む。
例えば、集合Ｔ［ｖｋ］を集合Ｔ［ｖｋ］をＴ［ｖｋ］＝｛２ｎ＋２ｉ｜Ｈ（ｖｋ）の第ｉビットは１｝∪｛２ｎ＋２ｉ＋１｜Ｈ（ｖｋ）の第ｉビットは０｝により定義すると上述の性質が満たされる。

　第３の実施形態では、セットアップ部１０１は以下のように動作する：
　セキュリティ・パラメータλと人数ｎを入力として受けとる。
　セキュリティ・パラメータλと２ｎ＋２μとを入力としてセットアップアルゴリズムＳｅｔｕｐ’を実行し、その出力として公開パラメータｐａｒａｍとマスター鍵ｍｋ’を得る。
　ビットｓ_０，…，ｓ_ｎをランダムに選び、マスター鍵ｍｋをｍｋ＝（ｍｋ’，ｓ_０，…，ｓ_ｎ）とする。　公開パラメータｐａｒａｍとマスター鍵ｍｋを出力する。
　出力された公開パラメータｐａｒａｍとマスター鍵ｍｋは、抽出部１０２に供給される。
公開パラメータｐａｒａｍは、更に、送信者装置２００のカプセル化部２０１と、ユーザ装置３００の脱カプセル化部３０１に供給される。

　抽出部１０２は、以下のように動作する：
　セキュリティ・パラメータλ、公開パラメータｐａｒａｍ、ユーザのＩＤ　ｊ∈｛１，…，ｎ｝、およびマスター鍵ｍｋ＝（ｍｋ’，ｓ_０，…，ｓ_ｎ）を入力として受けとる。
　セキュリティ・パラメータλ、公開パラメータｐａｒａｍ、ｊ－ｓ_ｊ、およびマスター鍵ｍｋ’を入力として抽出アルゴリズムＥｘｔｒａｃｔ’を実行し、その出力として秘密鍵ｄｋ^’ _ｊを得る。
　秘密鍵ｄｋ_ｊをｄｋ_ｊ＝（ｄｋ^’ _ｊ，ｓ_ｊ）とし、秘密鍵ｄｋ_ｊを出力する。
　出力された秘密鍵ｄｋ_ｊは、ユーザ装置３００－ｊに供給される。

　図７に示されているように、カプセル化部２０１は、下記のように動作する：
　セキュリティ・パラメータλ、公開パラメータｐａｒａｍ、および｛１，…，ｎ｝の部分集合Ｓを入力として受けとる（ステップＳ７０１）。
　セキュリティ・パラメータλを入力として鍵生成アルゴリズムＫｇを実行し、その出力として検証鍵ｖｋと署名鍵ｓｋを得る（ステップＳ７０２）。
　部分集合Ｓに属する各ｉに対しビットｔｉをランダムに選ぶ（ステップＳ７０３）。｛ｔ_ｉ｝_ｉ∈Ｓをｔと書く。
　集合Ｓ［０］をＳ［０］＝｛２ｉ－ｔ_ｉ：ｉ∈Ｓ｝により定義し、集合Ｓ［１］をＳ［１］＝｛２ｉ－（１－ｔ_ｉ）：ｉ∈Ｓ｝により定義する（ステップＳ７０４）。
　共通鍵暗号方式ＰｈｉＣｈｉの鍵空間から共通鍵Ｋをランダムに選ぶ（ステップＳ７０５）。
　セキュリティ・パラメータλ、公開パラメータｐａｒａｍ、および集合Ｓ［０］∪Ｔ［ｖｋ］を入力としてカプセル化アルゴリズムＥｎｃａｐ’を実行し、出力として暗号文Ｃ［０］と共有鍵κ［０］を得る（ステップＳ７０６）。
　κ［０］を共有鍵としてＫを暗号化の対象の平文として、任意の共通鍵暗号方式Ｓｙｍ＝（ＳｙｍＥｎｃ，ＳｙｍＤｅｃ）の暗号化アルゴリズムＳｙｍＥｎｃを実行することで、暗号文Ｌ［０］を得る（ステップＳ７０６）。
共通鍵暗号方式Ｓｙｍ＝（ＳｙｍＥｎｃ，ＳｙｍＤｅｃ）としては、上述の共通鍵暗号方式ＰｈｉＣｈｉを使用することも可能である。
　セキュリティ・パラメータλ、公開パラメータｐａｒａｍ、および集合Ｓ［１］∪Ｔ［ｖｋ］を入力してカプセル化アルゴリズムＥｎｃａｐ’を実行し、出力として暗号文Ｃ［１］と共有鍵κ［１］を得る（ステップＳ７０７）。
　κ［１］を共有鍵としてＫを平文として暗号化アルゴリズムＳｙｍＥｎｃに入力することで、暗号文Ｌ［１］を得る（ステップＳ７０７）。
　Ｃ［０］、Ｌ［０］、Ｃ［１］、Ｌ［１］、ｔ、およびＳを連結したものＣ［０］｜｜Ｌ［０］｜｜Ｃ［１］｜｜Ｌ［１］｜｜ｔ｜｜Ｓと署名鍵ｓｋを入力して署名アルゴリズムＳｉｇを実行し、出力として署名文σを得る（ステップＳ７０８）。
　Ｃ＝（Ｃ［０］，Ｌ［０］，Ｃ［１］，Ｌ［１］，ｔ，ｖｋ，σ）とし、暗号文Ｃと共通鍵Ｋを出力する（ステップＳ７０９）。
暗号文Ｃは、ユーザ装置３００にブロードキャストされる。一方、共通鍵Ｋは、送信者装置２００の共通鍵暗号化部２０２に引き渡される。上述のように、共通鍵Ｋは、共通鍵暗号化部２０２が平文Ｍを暗号化して暗号文Ｃｉｐｈｅｒを生成するために使用される。

　また、図８に示されているように、脱カプセル化部３０１は、下記のように動作する：
　セキュリティ・パラメータλ、ユーザのＩＤ　ｊ、秘密鍵ｄｋ_ｊ＝（ｄｋ^’ _ｊ，ｓ_ｊ）、｛１，…，ｎ｝の部分集合Ｓ、および暗号文Ｃ＝（Ｃ［０］，Ｌ［０］，Ｃ［１］，Ｌ［１］，ｔ，ｖｋ，σ）を入力として受けとる（ステップＳ８０１）。
　セキュリティ・パラメータλ、Ｃ［０］、Ｌ［０］、Ｃ［１］、Ｌ［１］、ｔ、及び集合Ｓの連結Ｃ［０］｜｜Ｌ［０］｜｜Ｃ［１］｜｜Ｌ［１］｜｜ｔ｜｜Ｓ、検証鍵ｖｋ及び署名文σを入力として検証アルゴリズムＶｅｒを実行し、署名文σの正当性を検証鍵ｖｋを用いて検証する（ステップＳ８０２）。
　検証アルゴリズムＶｅｒが「拒否」を意味する文字列を出力したら、受け取った暗号文Ｃが不正であることを意味する文字列を出力して終了する（ステップＳ８０３）。
　そうでなければ、ｓ_ｊとｔ_ｊの排他的論理和ηを算出する（ステップ８０４）。
　集合Ｓ［０］をＳ［０］＝｛２ｉ－ｔ_ｉ：ｉ∈Ｓ｝により定義し、集合Ｓ［１］をＳ［１］＝｛２ｉ－（１－ｔ_ｉ）：ｉ∈Ｓ｝により定義する（ステップＳ８０５）。
　セキュリティ・パラメータλ、秘密鍵ｄｋ^’ _ｊ、集合Ｓ［η］∪Ｔ［ｖｋ］、暗号文Ｃ［η］を入力として脱カプセル化アルゴリズムＤｅｃａｐ’を実行し、出力として共通鍵κ［η］を得る（ステップＳ８０６）。
　共通鍵κ［η］と共通鍵暗号文Ｌ［η］とを入力として共通鍵暗号方式Ｓｙｍ＝（ＳｙｍＥｎｃ，ＳｙｍＤｅｃ）の復号化アルゴリズムＳｙｍＤｅｃを実行し、その出力を共通鍵Ｋとして得る（ステップＳ８０７）。
　共通鍵Ｋを出力する（ステップＳ８０８）。
ユーザ装置３００－ｊの共通鍵復号化部３０２は、得られた共通鍵Ｋを用いてユーザ装置３００から送られてきた暗号文Ｃｉｐｈｅｒを復号化し、平文Ｍを得ることができる。

［第４の実施形態］
　更に、非特許文献１に開示されている第１の放送型暗号方式に対して第３の実施形態の手法を適用することも可能である。以下では、この場合の実施形態について説明する。以下の説明において、ＳＧＮを署名方式とし、ＳＧＮの鍵生成アルゴリズム、署名アルゴリズム、および検証アルゴリズムをそれぞれＫｇ、Ｓｉｇ、Ｖｅｒと書く。署名方式ＳＧＮは、ｏｎｅ－ｔｉｍｅ強偽造不能性を満たすものでありさえすれば、どのようなものを用いてもよく、たとえばＳｃｈｎｏｒｒ署名を用いることができる。また、Ｈをハッシュ関数とする。

　第４の実施形態でも、検証鍵ｖｋ∈｛０，１｝^μに対し、集合Ｔ［ｖｋ］をＴ［ｖｋ］＝｛ｎ＋２ｉ｜Ｈ（ｖｋ）の第ｉビットは１｝∪｛ｎ＋２ｉ＋１｜Ｈ（ｖｋ）の第ｉビットは０｝により定義する。

　権限者装置１００のセットアップ部１０１は以下のように動作する：
　人数ｎを入力として受けとる。
　αをＺ／ｑＺからランダムに選ぶ。
　ｇ，ｈ_１，…，ｈ_{２ｎ＋２μ}をＧからランダムに選ぶ。
　Ａ＝ｅ（ｇ，ｇ）^αを計算する。
　ビットｓ_０，…，ｓ_ｎ＋２μをランダムに選び、マスター鍵ｍｋをｍｋ＝（α，ｓ_０，…，ｓ_ｎ＋２μ）とする。
　更に、公開パラメータｐａｒａｍを、ｐａｒａｍ＝（ｇ，ｈ_１，…，ｈ_{２ｎ＋２μ}，Ａ）とする。
　公開パラメータｐａｒａｍとマスター鍵ｍｋを出力する。
　出力された公開パラメータｐａｒａｍとマスター鍵ｍｋは、抽出部１０２に供給される。公開パラメータｐａｒａｍは、更に、送信者装置２００のカプセル化部２０１と、ユーザ装置３００の脱カプセル化部３０１に供給される。

　また、抽出部１０２は以下のように動作する：
　ユーザのＩＤ　ｊ∈｛１，…，ｎ｝と公開パラメータｐａｒａｍ＝（ｇ，ｈ_１，…，ｈ_{２ｎ＋２μ}，Ａ）とマスター鍵ｍｋ＝（α，ｓ_０，…，ｓ_ｎ＋２μ）を入力として受けとる。
　ｒをＺ／ｑＺからランダムに選ぶ。
　ｄ_０＝ｇ^－ｒを計算する。
　ｄ_ｊ＝ｇ^αｈ_ｊ ^ｒを計算する。
　ｊ以外のｉ∈｛１，…，ｎ＋２μ｝に対し、ｄ_ｉ＝ｈ_ｉ ^ｒを計算する。
　秘密鍵ｄｋ_ｊをｄｋ_ｊ＝（ｄ_０，ｄ_１，…，ｄ_ｎ＋２μ，ｓ_ｊ）とし、秘密鍵ｄｋ_ｊを出力する。
　出力された秘密鍵ｄｋ_ｊは、ユーザ装置３００－ｊに供給される。

　送信者装置２００のカプセル化部２０１は、以下のように動作する：
　セキュリティ・パラメータλ、公開パラメータｐａｒａｍ、および｛１，…，ｎ｝の部分集合Ｓを入力として受けとる。
　セキュリティ・パラメータλを入力して鍵生成アルゴリズムＫｇを実行し、その出力として検証鍵ｖｋと署名鍵ｓｋを得る。
　Ｓに属する各ｉに対しビットｔ_ｉをランダムに選ぶ。｛ｔ_ｉ｝_ｉ∈Ｓをｔと書く。
　共通鍵暗号方式ＰｈｉＣｈｉの鍵空間から共通鍵Ｋをランダムに選ぶ。
　集合Ｓ［０］をＳ［０］＝｛２ｉ－ｔ_ｉ：ｉ∈Ｓ｝により定義する。
　ρをＺ／ｑＺからランダムに選ぶ。
　ｕ［０］＝ｇ^ρを計算する。
　ｖ［０］＝Π_ｉ∈Ｓ［０］∪Ｔ［ｖｋ］ｈ_ｉ ^ρを計算する。
　κ［０］＝Ａ^ρを計算する。
　κ［０］を共有鍵とし、Ｋを暗号化の対象の平文として、任意の共通鍵暗号方式Ｓｙｍ＝（ＳｙｍＥｎｃ，ＳｙｍＤｅｃ）の暗号化アルゴリズムＳｙｍＥｎｃを実行することで、暗号文Ｌ［０］を得る。共通鍵暗号方式Ｓｙｍとしては、上述の共通鍵暗号方式ＰｈｉＣｈｉを使用することができる。
　集合Ｓ［１］をＳ［１］＝｛２ｉ－（１－ｔ_ｉ）：ｉ∈Ｓ｝により定義する。
　τをＺ／ｑＺからランダムに選ぶ。
　ｕ［１］＝ｇ^τを計算する。
　ｖ［１］＝Π_ｉ∈Ｓ［１］∪Ｔ［ｖｋ］ｈ_ｉ ^τを計算する。
　κ［１］＝Ａ^τを計算する。
　κ［１］を共有鍵とし、Ｋを暗号化の対象の平文として暗号化アルゴリズムＳｙｍＥｎｃを実行することで、暗号文Ｌ［１］を得る。
　ｕ［０］、ｖ［０］、Ｌ［０］、ｕ［１］、ｖ［１］、Ｌ［１］、ｔ、及びＳを連結したものｕ［０］｜｜ｖ［０］｜｜Ｌ［０］｜｜ｕ［１］｜｜ｖ［１］｜｜Ｌ［１］｜｜ｔ｜｜Ｓと署名鍵ｓｋを入力して署名アルゴリズムＳｉｇを実行し、出力として署名文σを得る。
　暗号文ＣをＣ＝（ｕ［０］，ｖ［０］，Ｌ［０］，ｕ［１］，ｖ［１］，Ｌ［１］，ｔ，ｖｋ，σ）とし、暗号文Ｃと共通鍵Ｋを出力する。
ここで、ｕ［０］とｖ［０］とを連結したものをＣ［０］、ｕ［１］とｖ［１］とを連結したものをＣ［１］と考えれば、上記の演算が、第３の実施形態におけるカプセル化部２０１の演算に対応していることが理解されよう。
暗号文Ｃは、ユーザ装置３００にブロードキャストされる。一方、共通鍵Ｋは、送信者装置２００の共通鍵暗号化部２０２に引き渡される。上述のように、共通鍵Ｋは、共通鍵暗号化部２０２が平文Ｍを暗号化して暗号文Ｃｉｐｈｅｒを生成するために使用される。

　ユーザ装置３００の脱カプセル化部３０１は、以下のように動作する：
　セキュリティ・パラメータλ、ユーザのＩＤ　ｊ、秘密鍵ｄｋ_ｊ＝（ｄ_０，ｄ_１，…，ｄ_ｎ，ｓ_ｊ）、｛１，…，ｎ｝の部分集合Ｓ、および暗号文Ｃ＝（ｕ［０］，ｖ［０］，Ｌ［０］，ｕ［１］，ｖ［１］，Ｌ［１］，ｔ，ｖｋ，σ）を入力として受けとる。
　セキュリティ・パラメータλと、ｕ［０］、ｖ［０］、Ｌ［０］、ｕ［１］、ｖ［１］、Ｌ［１］、ｔ、及びＳの連結ｕ［０］｜｜ｖ［０］｜｜Ｌ［０］｜｜ｕ［１］｜｜ｖ［１］｜｜Ｌ［１］｜｜ｔ｜｜Ｓと、検証鍵ｖｋと、署名文σとを入力として検証アルゴリズムＶｅｒを実行し、署名文σの正当性を検証鍵ｖｋを用いて検証する。
　検証アルゴリズムＶｅｒが「拒否」を意味する文字列を出力したら、暗号文が不正であることを意味する文字列を出力して終了する。
　そうでなければ，ｓ_ｊとｔ_ｊの排他的論理和ηを計算する。
　ｅ（ｕ［η］，Π_ｉ∈Ｓ［η］∪Ｔ［ｖｋ］ｈ_ｉ）≠ｅ（ｖ，ｇ）なら暗号文が不正であることを意味する文字列を出力して終了する。
　そうでなければκ［η］＝ｅ（ｄ_ｉ・Π_ｉ∈Ｓ［η］∪Ｔ［ｖｋ］＼｛ｊ｝ｄ_ｉ，ｕ［η］）・ｅ（ｄ_０，ｖ［η］）を計算する。
　共通鍵κ［η］と共通鍵暗号文Ｌ［η］とを入力として共通鍵暗号方式Ｓｙｍ＝（ＳｙｍＥｎｃ，ＳｙｍＤｅｃ）の復号化アルゴリズムＳｙｍＥｎｃを実行し，その出力を共通鍵Ｋとして得る。
　共通鍵Ｋを出力する。
ユーザ装置３００－ｊの共通鍵復号化部３０２は、得られた共通鍵Ｋを用いてユーザ装置３００から送られてきた暗号文Ｃｉｐｈｅｒを復号化し、平文Ｍを得ることができる。

　以上の説明では、集合Ｓ［０］∪Ｔ［ｖｋ］と集合Ｓ［１］∪Ｔ［ｖｋ］をカプセル化アルゴリズムＥｎｃａｐ’及び脱カプセル化アルゴリズムＤｅｃａｐ’の入力としているが、集合Ｓ［０］∪Ｔ［ｖｋ］を含む集合Ｗ［０］と、集合Ｓ［１］∪Ｔ［ｖｋ］を含む集合Ｗ［１］をカプセル化アルゴリズムＥｎｃａｐ’や脱カプセル化アルゴリズムＤｅｃａｐ’の入力としてもよい。

　以上に説明されているように、本実施形態の放送型暗号方式では、放送型暗号方式に署名方式を併用し、暗号文全体に署名を行うことにより暗号文の改竄を防ぎ、暗号文の一部を別のデータに取り替えるＣＣＡ２攻撃を有効に防止する。加えて、本実施形態では、ユーザの部分集合Ｓのみならず、検証鍵ｖｋに依存して暗号文が作成される。これにより、暗号文を変えずに検証鍵ｖｋと署名文のみ別のものに取り替えるという攻撃も防ぐことができる。

　本出願は、日本特許出願番号２００９－０００４６１に基づいて条約上の優先権を主張する。その開示内容は、引用により個々に組み込まれる。

Claims (24)

1. 　カプセル化手段と、
   　複数の脱カプセル化手段とを備え、
   　前記カプセル化手段は、署名鍵ｓｋと検証鍵ｖｋとを生成し、共通鍵Ｋを決定し、所定のカプセル化アルゴリズムを実行することによって復号可能と指定されたユーザのＩＤの集合Ｓと検証鍵ｖｋに依存して共通鍵Ｋに対応する暗号文Ｃ’を生成し、所定の署名アルゴリズムを実行することにより暗号文Ｃ’に対応する署名文σを前記署名鍵ｓｋを使って生成し、前記暗号文Ｃ’と前記検証鍵ｖｋと前記署名文σとを含むデータを暗号文Ｃとして出力するように構成され、
   　前記脱カプセル化手段は、自己に割り当てられたＩＤが前記集合Ｓに含まれている場合、前記暗号文Ｃから前記暗号文Ｃ’と前記検証鍵ｖｋと前記署名文σとを復元し、復元された前記署名文σの正当性を前記検証鍵ｖｋを使って検証し、前記暗号文Ｃ’を脱カプセル化して共通鍵Ｋを得るように構成された
   　放送型暗号システム。
2. 　請求項１に記載の放送型暗号システムであって、
   　前記カプセル化手段は、前記集合Ｓと前記検証鍵ｖｋに依存して決定されたユーザのＩＤの集合Ｔ［ｖｋ］の両方を含む集合Ｗを入力として前記カプセル化アルゴリズムを実行することにより前記共通鍵Ｋに対応する暗号文Ｃ’を生成し、
   　ＩＤがｊであるユーザに対応する前記脱カプセル化手段は、前記集合Ｓと前記集合Ｔ［Ｔｋ］の両方を含む集合Ｗに基づいて、前記暗号文Ｃ’を前記ＩＤがｊである前記ユーザの秘密鍵ｄｋ_ｊを用いて脱カプセル化して共通鍵Ｋを得るように構成された
   　放送型暗号システム。
3. 　請求項１に記載の放送型暗号システムであって、
   　前記集合Ｔ［ｖｋ］は、相異なる２つの検証鍵ｖｋ１、ｖｋ２に対し、Ｔ［ｖｋ１］＼Ｔ［ｖｋ２］が少なくとも１つの元を含むように決定された
   　放送型暗号システム。
4. 　請求項１乃至３のいずれか１項に記載の放送型暗号システムであって、
   　前記検証鍵ｖｋ又はそのハッシュ値の第ｉ番目のビットが１であるか０であるかに応じて前記集合Ｔ［ｖｋ］が決定される
   　放送型暗号システム。
5. 　請求項１乃至４のいずれか１項に記載の放送型暗号システムであって、
   　前記検証鍵ｖｋは、ｖｋ∈｛０，１｝^μを成立させるように決定され、
   　当該放送型暗号システムが、更に、
   　セキュリティ・パラメータλとｎ＋２μ（ｎは、前記ユーザの人数）とから所定のセットアップアルゴリズムによって公開パラメータｐａｒａｍとマスター鍵ｍｋを生成するセットアップ手段と、
   　前記セキュリティ・パラメータλと前記公開パラメータｐａｒａｍと前記マスター鍵ｍｋとから所定の抽出アルゴリズムによって前記ユーザｊの秘密鍵ｄｋ_ｊを出力する抽出手段とを具備し、
   　前記カプセル化手段は、前記セキュリティ・パラメータλから所定の鍵生成アルゴリズムによって前記署名鍵ｓｋと前記検証鍵ｖｋを生成し、前記セキュリティ・パラメータλと前記公開パラメータｐａｒａｍと集合Ｓ∪Ｔ［ｖｋ］とから前記カプセル化アルゴリズムを実行することによって前記共通鍵Ｋと前記暗号文Ｃ’とを生成し、前記暗号文Ｃ’と前記集合Ｓの連結Ｃ’｜｜Ｓと前記署名鍵ｓｋを使って所定の署名アルゴリズムにより前記署名文σを作成し、
   　ＩＤがｊであるユーザに対応する前記脱カプセル化手段は、前記セキュリティ・パラメータλと、前記連結Ｃ’｜｜Ｓと、復元された前記検証鍵ｖｋ及び前記署名文σとを用いて復元された前記署名文σの正当性を検証し、前記セキュリティ・パラメータと前記集合Ｓ∪Ｔ［ｖｋ］と前記暗号文Ｃ’と前記秘密鍵ｄｋ_ｊとから、所定の脱カプセル化アルゴリズムにより、前記共通鍵Ｋを得る
   　放送型暗号システム。
6. 　請求項１乃至４のいずれか１項に記載の放送型暗号システムであって、
   　前記検証鍵ｖｋは、ｖｋ∈｛０，１｝^μを成立させるように決定され、
   　ｑを素数とし、ＧとＧＴを、いずれも、位数がｑである有限群とし、さらに、ｅをＧ×ＧからＧＴへの双線形写像としたとき、前記カプセル化手段は、セキュリティ・パラメータλと、有限群Ｇからランダムに選ばれたｇ、ｈ_１、…、ｈ_ｎ＋２μと、Ｚ／ｑＺからランダムに選ばれたαを用いてＡ＝ｅ（ｇ，ｇ）^μとして算出されたＡを含む公開パラメータｐａｒａｍと、前記集合Ｓとを入力として受けとり、
   　前記カプセル化手段は、ρをＺ／ｑＺからランダムに選び、ｕ＝ｇ^ρを計算し、ｖ＝Π_ｉ∈Ｓ∪Ｔ［ｖｋ］ｈ_ｉ ^ρを計算し、前記ｕと前記ｖと前記集合Ｓの連結ｕ｜｜ｖ｜｜Ｓと前記署名鍵ｓｋとを入力として所定の署名アルゴリズムにより前記署名文σを作成し、前記共通鍵ＫをＫ＝Ａ^ρにより計算し、前記暗号文ＣをＣ＝（ｕ，ｖ，ｖｋ，σ）と決定する
   　放送型暗号システム。
7. 　請求項６に記載の放送型暗号システムであって、
   　前記ＩＤがｊである前記ユーザに対応する前記脱カプセル化手段は、前記セキュリティ・パラメータλと、秘密鍵ｄｋ_ｊ＝（ｄ_０，ｄ_１，…，ｄ_ｎ）と、前記集合Ｓと、前記暗号文Ｃを入力として受けとり、前記暗号文Ｃから前記ｕと前記ｖと前記検証鍵ｖｋと前記署名文σを復元し、前記署名文σの正当性を前記検証鍵ｖｋを使って検証し、前記公開鍵ＫをＫ＝ｅ（ｄ_ｉ・Π_ｉ∈Ｗ＼｛ｊ｝ｄ_ｉ，ｕ）・ｅ（ｄ_０，ｖ）によって計算する
   　放送型暗号システム。
8. 　請求項１に記載の放送型暗号システムであって、
   　前記カプセル化手段は、ユーザのＩＤの集合Ｔ［ｖｋ］を前記検証鍵ｖｋに依存して作り、前記集合Ｓに属する要素ｉのそれぞれについてビットｔｉをランダムに選ぶことによって集合ｔ＝｛ｔ_ｉ｝ｉ∈Ｓを決定し、前記集合Ｓに依存した集合Ｓ［０］とＳ［１］とを作り、前記共通鍵Ｋをランダムに選び、前記集合Ｓ［０］と前記集合Ｔ［ｖｋ］の両方を含む集合Ｗ［０］から所定のカプセル化アルゴリズムを用いて暗号文Ｃ［０］と共通鍵κ［０］を得、前記共通鍵Ｋを暗号化の対象の平文として前記共通鍵κ［０］を用いて暗号化して暗号文Ｌ［０］を計算し、前記Ｓ［１］と前記Ｔ［ｖｋ］の両方を含む集合Ｗ［１］から前記カプセル化アルゴリズムを用いて暗号文Ｃ［１］と共通鍵κ［１］を得、前記署名鍵ｓｋを使って前記Ｃ［０］と前記Ｌ［０］と前記Ｃ［１］と前記Ｌ［１］と前記ｔと前記集合Ｓとを含むデータの署名文σを作成し、前記Ｃ［０］と前記Ｌ［０］と前記Ｃ［１］と前記Ｌ［１］と前記ｔと前記検証鍵ｖｋと前記署名文σを含むデータを前記暗号文Ｃとするように構成され、
   　前記ＩＤがｊである前記ユーザに対応する前記脱カプセル化手段は、前記ＩＤがｊである前記ユーザの秘密鍵ｄｋ_ｊと前記集合Ｓと前記暗号文Ｃを入力として受けとり、前記秘密鍵ｄｋ_ｊから別の秘密鍵ｄｋ^’ _ｊとビットｓ_ｊを復元し、前記暗号文Ｃから前記Ｃ［０］と前記Ｃ［１］とｔ_ｊと前記検証鍵ｖｋと前記署名文σを復元し、前記検証鍵ｖｋで前記署名文σの正当性を検証し、前記ｓ_ｊと前記ｔ_ｊの論理的排他和ηを計算し、前記秘密鍵ｄｋ^’ _ｊ、前記集合Ｗ［η］及び前記Ｃ［η］に所定の脱カプセル化アルゴリズムを適用することで共通鍵κ［η］を得、得られた前記共通鍵κ［η］を用いて前記Ｌ［η］を復号化して共通鍵Ｋを得るように構成された
   　放送型暗号システム。
9. 　請求項８に記載の放送型暗号システムであって、
   　前記集合Ｓに属する前記要素ｉのそれぞれに対し、前記要素ｉと前記ｔ_ｉに依存して前記Ｓ［０］の要素が選ばれ、前記集合Ｓに属する前記要素ｉに対し、前記要素ｉと前記ｔ_ｉに依存して前記Ｓ［１］の要素が選ばれる
   　放送型暗号システム。
10. 　請求項８又は９に記載の放送型暗号システムであって、
    　前記集合Ｔ［ｖｋ］は、相異なる２つの検証鍵ｖｋ１、ｖｋ２に対し、Ｔ［ｖｋ１］＼Ｔ［ｖｋ２］が少なくとも１つの元を含むように決定された
    　放送型暗号システム。
11. 　請求項８乃至１０のいずれか１項に記載の放送型暗号システムであって、
    　前記検証鍵ｖｋ又はそのハッシュ値の第ｉ番目のビットが１であるか０であるかに応じて集合Ｔ［ｖｋ］が決定される
    　放送型暗号システム。
12. 　請求項８乃至１１のいずれか１項に記載の放送型暗号システムであって、
    　前記検証鍵ｖｋは、ｖｋ∈｛０，１｝^μを成立させるように決定され、
    　セキュリティ・パラメータλとｎ＋２μ（ｎは、前記ユーザの人数）とから所定のセットアップアルゴリズムによって公開パラメータｐａｒａｍとマスター鍵ｍｋ’を生成し、ビットｓ_０、．．．、ｓ_ｎをランダムに選び、マスター鍵ｍｋをｍｋ＝（ｍｋ’，ｓ_０，．．．，ｓ_ｎ）により決定するセットアップ手段と、
    　前記セキュリティ・パラメータλと前記公開パラメータｐａｒａｍと前記マスター鍵ｍｋとから所定の抽出アルゴリズムによって前記ＩＤがｊである前記ユーザの前記秘密鍵ｄｋ^’ _ｊを生成し、前記ＩＤがｊである前記ユーザの前記秘密鍵ｄｋ_ｊをｄｋ_ｊ＝（ｄｋ^’ _ｊ，ｓ_ｊ）により決定する抽出手段とを具備し、
    　前記カプセル化手段は、前記セキュリティ・パラメータλから所定の鍵生成アルゴリズムによって前記署名鍵ｓｋと前記検証鍵ｖｋを生成し、前記集合Ｓ［０］をＳ［０］＝｛２ｉ－ｔ_ｉ：ｉ∈Ｓ｝により定義し、前記集合Ｓ［１］をＳ［１］＝｛２ｉ－（１－ｔ_ｉ）：ｉ∈Ｓ｝により定義し、前記セキュリティ・パラメータλ、前記公開パラメータｐａｒａｍ、および集合Ｓ［０］∪Ｔ［ｖｋ］を入力として前記カプセル化アルゴリズムを実行して前記暗号文Ｃ［０］と前記共有鍵κ［０］を得、前記セキュリティ・パラメータλ、前記公開パラメータｐａｒａｍ、および集合Ｓ［１］∪Ｔ［ｖｋ］を入力として前記カプセル化アルゴリズムを実行して前記暗号文Ｃ［１］と前記共有鍵κ［１］を得るように構成された
    　放送型暗号システム。
13. 　請求項８乃至１１のいずれか１項に記載の放送型暗号システムであって、
    　前記検証鍵ｖｋは、ｖｋ∈｛０，１｝^μを成立させるように決定され、
    　ｑを素数とし、ＧとＧＴを、いずれも、位数がｑである有限群とし、さらに、ｅをＧ×ＧからＧＴへの双線形写像としたとき、前記カプセル化手段は、セキュリティ・パラメータλと、有限群Ｇからランダムに選ばれたｇ、ｈ_１、…、ｈ_{２ｎ＋２μ}と、Ｚ／ｑＺからランダムに選ばれたαを用いてＡ＝ｅ（ｇ，ｇ）^μとして算出されたＡとを含む公開パラメータｐａｒａｍと、前記集合Ｓとを入力として受けとり、
    　前記カプセル化手段は、ρをＺ／ｑＺからランダムに選び、前記集合Ｓ［０］をＳ［０］＝｛２ｉ－ｔ_ｉ：ｉ∈Ｓ｝により定義し、ｕ［０］＝ｇ^ρを計算し、ｖ［０］＝Π_ｉ∈Ｓ［０］∪Ｔ［ｖｋ］ｈ_ｉ ^ρを計算し、前記共有鍵κ［０］をκ［０］＝Ａ^ρとして計算し、前記集合Ｓ［１］をＳ［１］＝｛２ｉ－（１－ｔ_ｉ）：ｉ∈Ｓ｝により定義し、τをＺ／ｑＺからランダムに選び、ｕ［１］＝ｇ^τを計算し、ｖ［１］＝Π_ｉ∈Ｓ［１］∪Ｔ［ｖｋ］ｈ_ｉ ^τを計算し、前記共通鍵κ［１］をκ［１］＝Ａ^τにより計算し、前記ｕ［０］、前記ｖ［０］、前記暗号文Ｌ［０］、前記ｕ［１］、前記ｖ［１］、前記暗号文Ｌ［１］、前記ｔ、及び前記集合Ｓを連結したものｕ［０］｜｜ｖ［０］｜｜Ｌ［０］｜｜ｕ［１］｜｜ｖ［１］｜｜Ｌ［１］｜｜ｔ｜｜Ｓと署名鍵ｓｋを入力して所定の署名アルゴリズムを実行し、前記署名文σを得、前記Ｃ［０］を前記ｕ［０］と前記ｖ［０］とを連結したものとして、前記Ｃ［１］をｕ［１］、ｖ［１］とを連結したものとして、前記暗号文ＣをＣ＝（ｕ［０］，ｖ［０］，Ｌ［０］，ｕ［１］，ｖ［１］，Ｌ［１］，ｔ，ｖｋ，σ）として決定するように構成された
    　放送型暗号システム。
14. 　請求項１３に記載の放送型暗号システムであって、
    　前記ＩＤがｊである前記ユーザの前記脱カプセル化手段は、セキュリティ・パラメータλ、秘密鍵ｄｋ_ｊ、前記集合Ｓ、および前記暗号文を入力として受けとり、前記セキュリティ・パラメータλと、ｕ［０］、ｖ［０］、Ｌ［０］、ｕ［１］、ｖ［１］、Ｌ［１］、ｔ、及びＳの連結ｕ［０］｜｜ｖ［０］｜｜Ｌ［０］｜｜ｕ［１］｜｜ｖ［１］｜｜Ｌ［１］｜｜ｔ｜｜Ｓと、検証鍵ｖｋと、署名文σとを入力として所定の検証アルゴリズムを実行して前記署名文σの正当性を前記検証鍵ｖｋを用いて検証し、前記ｓ_ｊと前記ｔ_ｊの排他的論理和ηを計算し、κ［η］＝ｅ（ｄ_ｉ・Π_ｉ∈Ｓ［η］∪Ｔ［ｖｋ］＼｛ｊ｝ｄ_ｉ，ｕ［η］）・ｅ（ｄ_０，ｖ［η］）を計算し、共通鍵κ［η］と共通鍵暗号文Ｌ［η］とを入力として所定の復号化アルゴリズムを実行し、その出力を共通鍵Ｋとして得るように構成された
    　放送型暗号システム。
15. 　請求項１乃至１４のいずれか１項に記載の放送型暗号システムであって、
    　更に、
    　前記カプセル化手段から前記共通鍵Ｋを受け取り、受け取った前記共通鍵Ｋを用いて平文Ｍを暗号化して暗号文Ｃｉｐｈｅｒを生成する共通鍵暗号化手段と、
    　前記暗号文Ｃｉｐｈｅｒを入力として受けとり、前記脱カプセル化手段から前記共通鍵Ｋを受け取り、前記暗号文Ｃｉｐｈｅｒを前記共通鍵Ｋで復号化することにより平文Ｍを得る共通鍵復号化手段とを備える
    　放送型暗号システム。
16. 　請求項１５に記載の放送型暗号システムであって、
    　前記カプセル化手段と前記共通鍵暗号化手段が、前記暗号文Ｃと前記暗号文Ｃｉｐｈｅｒとを送信する送信者装置に設けられ、
    　前記脱カプセル化手段と前記共通鍵複合化手段が、前記暗号文Ｃと前記暗号文Ｃｉｐｈｅｒとを受信するユーザ装置に設けられる
    　放送型暗号システム。
17. 　署名鍵ｓｋと検証鍵ｖｋとを生成する手段と、
    　共通鍵Ｋを決定する手段と、
    　所定のカプセル化アルゴリズムを実行することによって復号可能と指定されたユーザのＩＤの集合Ｓと検証鍵ｖｋに依存して共通鍵Ｋに対応する暗号文Ｃ’を生成する手段と、
    　所定の署名アルゴリズムを実行することにより暗号文Ｃ’に対応する署名文σを前記署名鍵ｓｋを使って生成する手段と、
    　前記暗号文Ｃ’と前記検証鍵ｖｋと前記署名文σとを含むデータを暗号文Ｃとして出力する手段とを備える
    　送信者装置。
18. 　請求項１７に記載の送信者装置であって、
    　更に、
    　前記カプセル化手段から前記共通鍵Ｋを受け取り、受け取った前記共通鍵Ｋを用いて平文Ｍを暗号化して暗号文Ｃｉｐｈｅｒを生成する共通鍵暗号化手段と、
    　前期暗号文Ｃと前記暗号文Ｃｉｐｈｅｒとを送信する送信手段とを備える
    　送信者装置。
19. 　復号可能と指定されたユーザのＩＤの集合Ｓと暗号文Ｃとを受け取る手段と、
    　自己に割り当てられたＩＤが前記集合Ｓに含まれている場合、前記暗号文Ｃから前記暗号文Ｃ’と前記検証鍵ｖｋと前記署名文σとを復元する手段と、
    　復元された前記署名文σの正当性を前記検証鍵ｖｋを使って検証する手段と、
    　前記暗号文Ｃ’を脱カプセル化して共通鍵Ｋを得る手段とを備える
    　ユーザ装置。
20. 　請求項１９に記載のユーザ装置であって、
    　更に、
    　前記暗号文Ｃｉｐｈｅｒを入力として受けとり、前記脱カプセル化手段から前記共通鍵Ｋを受け取り、前記暗号文Ｃｉｐｈｅｒを前記共通鍵Ｋで復号化することにより平文Ｍを得る共通鍵復号化手段を備える
    　ユーザ装置。
21. 　カプセル化手段と脱カプセル化手段とを備える放送型暗号システムにおけるカプセル化／脱カプセル化方法であって、
    　カプセル化手段が、署名鍵ｓｋと検証鍵ｖｋとを生成するステップと、
    　前記カプセル化手段が、共通鍵Ｋを決定するステップと、
    　前記カプセル化手段が、所定のカプセル化アルゴリズムを実行することによって復号可能と指定されたユーザのＩＤの集合Ｓと検証鍵ｖｋに依存して共通鍵Ｋに対応する暗号文Ｃ’を生成するステップと、
    　前記カプセル化手段が、所定の署名アルゴリズムを実行することにより暗号文Ｃ’に対応する署名文σを前記署名鍵ｓｋを使って生成するステップと、
    　前記カプセル化手段が、前記暗号文Ｃ’と前記検証鍵ｖｋと前記署名文σとを含むデータを暗号文Ｃとして出力するステップと、
    　前記脱カプセル化手段が、自己に割り当てられたＩＤが前記集合Ｓに含まれている場合に前記暗号文Ｃから前記暗号文Ｃ’と前記検証鍵ｖｋと前記署名文σとを復元するステップと、
    　前記脱カプセル化手段が、復元された前記署名文σの正当性を前記検証鍵ｖｋを使って検証するステップと、
    　前記脱カプセル化手段が、前記暗号文Ｃ’を脱カプセル化して共通鍵Ｋを得るステップとを備える
    　カプセル化／脱カプセル化方法。
22. 　署名鍵ｓｋと検証鍵ｖｋとを生成するステップと、
    　共通鍵Ｋを決定するステップと、
    　所定のカプセル化アルゴリズムを実行することによって復号可能と指定されたユーザのＩＤの集合Ｓと検証鍵ｖｋに依存して共通鍵Ｋに対応する暗号文Ｃ’を生成するステップと、
    　所定の署名アルゴリズムを実行することにより暗号文Ｃ’に対応する署名文σを前記署名鍵ｓｋを使って生成するステップと、
    　前記暗号文Ｃ’と前記検証鍵ｖｋと前記署名文σとを含むデータを暗号文Ｃとして出力するステップとを備える
    　送信者装置の動作方法。
23. 　復号可能と指定されたユーザのＩＤの集合Ｓと暗号文Ｃとを受け取るステップと、
    　自己に割り当てられたＩＤが前記集合Ｓに含まれている場合、前記暗号文Ｃから前記暗号文Ｃ’と前記検証鍵ｖｋと前記署名文σとを復元するステップと、
    　復元された前記署名文σの正当性を前記検証鍵ｖｋを使って検証するステップと、
    　前記暗号文Ｃ’を脱カプセル化して共通鍵Ｋを得るステップとを備える
    　ユーザ装置の動作方法。
24. 　請求項２１に記載のカプセル化／脱カプセル化方法を実現するための計算機実行可能なプログラムコードが記録された計算機読み取り可能な記録媒体。

Images