WO2010122926A1 - 暗号処理システム - Google Patents

暗号処理システム Download PDF

Info

Publication number
WO2010122926A1
WO2010122926A1 PCT/JP2010/056639 JP2010056639W WO2010122926A1 WO 2010122926 A1 WO2010122926 A1 WO 2010122926A1 JP 2010056639 W JP2010056639 W JP 2010056639W WO 2010122926 A1 WO2010122926 A1 WO 2010122926A1
Authority
WO
WIPO (PCT)
Prior art keywords
vector
key
information
encryption
space
Prior art date
Application number
PCT/JP2010/056639
Other languages
English (en)
French (fr)
Inventor
克幸 高島
龍明 岡本
Original Assignee
三菱電機株式会社
日本電信電話株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 三菱電機株式会社, 日本電信電話株式会社 filed Critical 三菱電機株式会社
Priority to CN201080017994.8A priority Critical patent/CN102415047B/zh
Priority to US13/266,002 priority patent/US8559638B2/en
Priority to EP10766983.0A priority patent/EP2424154B1/en
Priority to KR1020117027936A priority patent/KR101359200B1/ko
Priority to ES10766983T priority patent/ES2873230T3/es
Publication of WO2010122926A1 publication Critical patent/WO2010122926A1/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/58Random or pseudo-random number generators
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • H04L9/0836Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Definitions

  • the present invention relates to a hierarchical predicate key concealment method and a hierarchical predicate encryption.
  • Non-patent Document 19 There is a proposal related to predicate encryption (PE) (Non-patent Document 19). In addition, a proposal regarding authority delegation in predicate encryption has been made (Non-patent Document 26). Furthermore, a proposal regarding a distortion eigenvector space has been made (Non-Patent Document 21).
  • Non-Patent Document 19 does not describe authority delegation in predicate encryption. Further, in Non-Patent Document 26, although there is a description about authority delegation in predicate encryption, it is limited to predicate encryption for the class of equality relation test. An object of the present invention is, for example, to provide a predicate encryption process capable of delegating authority with a wide application range.
  • the cryptographic processing system is, for example, a cryptographic processing system that performs cryptographic processing using a space V and a space V * that are dual vector spaces associated by a pairing operation, An encryption device that generates a vector in the space V and embedded with predetermined information as a cryptographic vector by a processing device; A predetermined vector in the space V * is used as a key vector, and the encryption vector generated by the encryption device and the key vector are subjected to a pairing operation by a processing device to decrypt the encryption vector and relate to the predetermined information And a decoding device for extracting information.
  • FIG. 1 is a configuration diagram of a cryptographic processing system 10.
  • FIG. 5 is a flowchart showing operations of the key generation device 100, the first layer encryption device 200, and the decryption device 300 of the cryptographic processing system 10.
  • 4 is a flowchart showing operations of an L-th layer key delegation device 400, an (L + 1) -th layer encryption device 200, and a decryption device 300 of the cryptographic processing system 10.
  • FIG. 4 is a functional block diagram showing functions of the cryptographic processing system 10 according to the second embodiment.
  • 5 is a flowchart showing the operation of the key generation device 100.
  • 5 is a flowchart showing the operation of the encryption device 200.
  • 5 is a flowchart showing the operation of the decoding device 300.
  • 10 is a flowchart showing the operation of the key delegation apparatus 400.
  • FIG. 6 is a conceptual diagram showing a base structure of a dual distortion vector space according to the second embodiment.
  • the figure for demonstrating that the session key K cannot be calculated with a low-order key.
  • the figure for demonstrating that the session key K can be calculated with a high-order key.
  • FIG. 20 is a flowchart showing the operation of the encryption device 200 shown in FIG. 20 is a flowchart showing the operation of the decoding device 300 shown in FIG.
  • FIG. 6 is a functional block diagram showing functions of a cryptographic processing system 10 according to a fourth embodiment.
  • 5 is a flowchart showing the operation of the encryption device 200.
  • 5 is a flowchart showing the operation of the decoding device 300.
  • FIG. 10 is a conceptual diagram showing a base structure of a dual distortion vector space according to the fourth embodiment.
  • FIG. 6 is a diagram (1) for explaining an n-copy vector space.
  • FIG. 2 is a diagram (2) for explaining an n-copy vector space.
  • FIG. 9 is a functional block diagram showing functions of a cryptographic processing system 10 according to a sixth embodiment.
  • 5 is a flowchart showing the operation of the key generation device 100.
  • 5 is a flowchart showing the operation of the encryption device 200.
  • 5 is a flowchart showing the operation of the decoding device 300.
  • 10 is a flowchart showing the operation of the key delegation apparatus 400.
  • FIG. 10 is a functional block diagram showing functions of a cryptographic processing system 10 according to a seventh embodiment.
  • 5 is a flowchart showing the operation of the encryption device 200.
  • 5 is a flowchart showing the operation of the decoding device 300.
  • the figure which shows an example of the hardware constitutions of the key generation apparatus 100, the encryption apparatus 200, the decoding apparatus 300, and the key transfer apparatus 400.
  • the processing device is a CPU 911 or the like which will be described later.
  • the storage device is a ROM 913, a RAM 914, a magnetic disk 920, etc., which will be described later.
  • the communication device is a communication board 915 or the like which will be described later.
  • the input device is a keyboard 902, a communication board 915, and the like which will be described later.
  • the output device is a RAM 914, a magnetic disk 920, a communication board 915, an LCD 901, etc., which will be described later. That is, the processing device, the storage device, the communication device, the input device, and the output device are hardware.
  • Equation 43 represents selecting y from A randomly according to the distribution of A.
  • Equation 44 represents selecting y from A uniformly.
  • Expression 45 represents that y is a set defined by z, or y is a set to which z is substituted.
  • Equation 46 represents that machine (algorithm) A outputs a for input x.
  • the vector notation represents a vector representation in the finite field Fq . That is, Equation 47.
  • Equation 48 represents the inner product shown in Equation 50 between the two vectors x ⁇ and v ⁇ shown in Equation 49.
  • 0 ⁇ represents that for any n, it is a 0 vector in the finite field number F q n .
  • X T represents the transpose of the matrix X.
  • Formula 51 represents that the (i, j) -th value of the matrix X is set to x i, j .
  • encryption processing includes encryption processing, decryption processing, and key generation processing, and includes key concealment processing.
  • Embodiment 1 FIG.
  • HPKEM Hierarchical Predicate Key Encapsulation Method
  • HPE Hierarchical Predicate Encryption
  • HPE Basics for Implementing Hierarchical Predicate Encryption
  • the hierarchical predicate key concealment method and the hierarchical predicate encryption described in later embodiments are a hierarchical inner product predicate encryption and a hierarchical inner product predicate key concealment method.
  • hierarchical inner product predicate encryption the concept of “hierarchical” will be explained first.
  • inner product predicate encryption the concept of “hierarchical” will be described.
  • hierarchical inner product predicate encryption “hierarchical inner product predicate key concealment method)” in which the concept of hierarchical is added to inner product predicate encryption will be described.
  • an application example of the hierarchical inner product predicate encryption will be described.
  • Hierarchical inner product predicate encryption in vector space will be described.
  • the hierarchical predicate key concealment method and the hierarchical predicate encryption are realized in a vector space.
  • Third, the basic configuration of the “hierarchical predicate key concealment method” and “hierarchical predicate encryption” according to this embodiment and later embodiments will be described.
  • an outline of the “cryptographic processing system 10” that executes the hierarchical predicate key concealment method and the hierarchical predicate encryption will be described.
  • Fourth, the concept for realizing the hierarchical predicate key concealment method and the hierarchical predicate encryption will be described. First, a bilinear pairing group will be described.
  • DDVS Dual Distortion Vector Spaces
  • FIG. 1 is a diagram for explaining the concept of “hierarchical”. “Hierarchical” in the hierarchical predicate key concealment scheme and the hierarchical predicate encryption is to have a mechanism capable of delegating authority (delegation system). Authority delegation means that a user who has a higher-order key generates a lower-order key whose function is more limited than that of the key (high-order key).
  • delegation system delegating authority
  • a Root (key generation device) generates a secret key to a user in the first layer (Level-1) using a master secret key. That is, Root generates keys 1, 2, and 3 for users 1, 2, and 3 in the first layer. For example, if the user 1 is used, the key 11 is used to generate the keys 11, 12, and 13 for the users 11, 12, and 13, which are users lower than the user 1 (first layer). can do.
  • the functions of the keys 11, 12, and 13 held by the users 11, 12, and 13 are more limited than those of the key 1 held by the user 1. The function is restricted that the ciphertext that can be decrypted by the secret key is limited.
  • the ciphertext that can be decrypted with the upper secret key can be decrypted with the lower secret key. That is, among ciphertexts that can be decrypted with the key 1 possessed by the user 1, only some ciphertexts can be decrypted with the keys 11, 12, and 13 possessed by the users 11, 12, and 13. Normally, the ciphertext that can be decrypted by the key 11, the key 12, and the key 13 is different. On the other hand, a ciphertext that can be decrypted by the key 11, the key 12, and the key 13 can be decrypted by the key 1.
  • the attribute information x is embedded in the ciphertext
  • the predicate information f v is embedded in the secret key. That is, in the predicate encryption, the encrypted ciphertext c based on the attribute information x, decrypts the secret key SK f generated based on the predicate information f v.
  • the predicate encryption is described in detail in Non-Patent Document 19.
  • Hierarchical inner product predicate encryption is “inner product predicate encryption” having the concept of “hierarchical” described above. That is, the hierarchical inner product predicate encryption (hierarchical inner product predicate key concealment method) is an inner product predicate encryption having an authority delegation system.
  • the hierarchical inner product predicate encryption has a hierarchical structure in attribute information and predicate information in order to give the inner product predicate encryption an authority delegation system.
  • FIG. 2 is a diagram illustrating a hierarchical structure of attribute information and predicate information.
  • attribute information and predicate information corresponding to codes correspond to each other (that is, the inner product is 0). That is, the inner product of attribute 1 and predicate 1 is 0, the inner product of attribute 11 and predicate 11 is 0, the inner product of attribute 12 and predicate 12 is 0, and the inner product of attribute 13 and predicate 13 is 0. To do.
  • the ciphertext c1 encrypted with the attribute 1 can be decrypted if it is a secret key k1 generated based on the predicate 1.
  • the ciphertext c11 encrypted with the attribute 11 can be decrypted if it is a secret key k11 generated based on the predicate 11.
  • the same can be said for attribute 12 and predicate 12, and attribute 13 and predicate 13.
  • the hierarchical inner product predicate encryption has an authority delegation system. Therefore, the secret key k11 can be generated based on the secret key k1 generated based on the predicate 1 and the predicate 11.
  • the user having the higher secret key k1 can generate the lower secret key k11 of the secret key k1 from the secret key k1 and the lower order predicate 11.
  • a secret key k12 can be generated from the secret key k1 and the predicate 12
  • a secret key k13 can be generated from the secret key k1 and the predicate 13.
  • a ciphertext encrypted with a key (public key) corresponding to a lower secret key can be decrypted with the upper secret key.
  • a ciphertext encrypted with a key (public key) corresponding to the upper secret key cannot be decrypted with the lower secret key.
  • the ciphertexts c11, c12, and c13 encrypted by the attribute 11, attribute 12, and attribute 13 can be decrypted if they are the secret key k1 generated based on the predicate 1.
  • the ciphertext c1 encrypted with the attribute 1 cannot be decrypted with the secret keys k11, k12, and k13 generated based on the predicate 11, the predicate 12, and the predicate 13. That is, the inner product of attribute 11, attribute 12, attribute 13 and predicate 1 is zero.
  • the inner product of attribute 1 and predicate 11, predicate 12, and predicate 13 is not zero.
  • FIG. 3 is a diagram showing an example of hierarchical ID-based encryption (HIBE), which is an application example of hierarchical inner product predicate encryption described later.
  • the hierarchical ID-based encryption is an encryption process in which the ID-based encryption is hierarchical.
  • ID-based encryption is a kind of predicate encryption, and is a matching predicate encryption that can decrypt a ciphertext when the ID included in the ciphertext matches the ID included in the secret key.
  • the Root key generation device
  • the Root generates a secret key (key A) corresponding to the ID “A” based on the master secret key sk and “A” that is the ID of the A company.
  • the security officer of company A generates a secret key corresponding to the ID based on the key A and the ID of each department. For example, the security officer generates a secret key (key 1) corresponding to “A-1” which is the ID of the sales department.
  • the manager of each department generates a secret key corresponding to the ID based on the secret key of the department and the ID of each section belonging to the department.
  • the manager of the sales department generates a secret key (key 11) corresponding to “A-11” that is the ID of the sales department 1.
  • the ciphertext encrypted with the sales department 1 ID “A-11” can be decrypted with the key 11 which is a secret key corresponding to the sales department 1 ID “A-11”.
  • the ciphertext encrypted with the ID of the sales section 2 or the sales section 3 cannot be decrypted by the key 11.
  • the ciphertext encrypted with the sales department ID cannot be decrypted by the key 11.
  • the ciphertext encrypted with the sales department ID “A-1” can be decrypted with the key 1 which is the secret key corresponding to the sales department ID “A-1”.
  • the ciphertext encrypted with the ID of the section belonging to the sales department can be decrypted with the key 1. That is, the ciphertext encrypted with the IDs of the sales section 1, the sales section 2, and the sales section 3 can be decrypted with the key 1.
  • the ciphertext encrypted with the ID of the manufacturing department (ID: A-2) or the staff department (ID: A-3) cannot be decrypted with the key 1.
  • the ciphertext encrypted with the ID of Company A cannot be decrypted with the key 1.
  • the ciphertext encrypted with the ID “A” of the A company can be decrypted with the key A which is a secret key corresponding to the ID “A” of the A company. Also, it is possible to decrypt the ciphertext encrypted with the ID of each department belonging to the company A and the section belonging to the department.
  • the cryptographic processing described below is not limited to the equality-related test class, it can be applied in many ways.
  • the predicate encryption having a conventional authority delegation system, such as limiting the searchable range for each hierarchy using conditional expressions such as AND conditions and OR conditions, etc.
  • Applications that could not be realized are possible. That is, the hierarchical predicate key concealment method and the hierarchical predicate encryption described in later embodiments can be widely applied to ID-based encryption, searchable encryption, and the like.
  • Hierarchical inner product predicate encryption in vector space The hierarchical predicate key concealment method and the hierarchical predicate encryption are realized in a high-dimensional vector space called a dual distortion vector space described later. Thus, hierarchical inner product predicate encryption in vector space will be described.
  • FIG. 4 is a diagram for explaining the basis and the basis vector.
  • FIG. 4 shows a vector v in a two-dimensional vector space.
  • the vector v is c 0 a 0 + c 1 a 1 .
  • the vector v is y 0 b 0 + y 1 b 1 .
  • c 0 , c 1 , y 0 , and y 1 are coefficients for each base vector.
  • FIG. 1 since it is a two-dimensional vector space, there are two basis vectors in each basis. However, in the N-dimensional vector space, there are N basis vectors in each basis.
  • f v (x) 1 when the inner product of the attribute information x and the predicate information f v is a predetermined value (here, 0).
  • FIG. 5 is a diagram for explaining a method for realizing a hierarchical structure in a vector space.
  • d is a number representing the depth of the hierarchy.
  • the ciphertext is generated using not only the L-layer attribute information but also the attribute information from the first layer to the L-th layer. To do.
  • the secret key is generated using not only the L-layer predicate information but also the predicate information from the first layer to the L-th layer.
  • ⁇ 3 basis vectors c i (i 0,..., Assigned from the first layer to the third layer).
  • ciphertext is generated representing the attribute information from the first layer to the third layer.
  • ⁇ 3 ⁇ 1 the predicate information from the first layer to the third layer is expressed to generate a secret key. That is, the attribute information and predicate information used in the lower layer includes attribute information and predicate information used in the upper layer. Thereby, the attribute information and the predicate information have a hierarchical structure. Then, by using a hierarchical structure for the attribute information and the predicate information, the inner product predicate encryption has an authority delegation system.
  • Hierarchical information ⁇ ⁇ is used to indicate a hierarchical structure in the vector space.
  • Hierarchical information ⁇ ⁇ is shown in Formula 53. That is, the hierarchy information ⁇ ⁇ is for indicating n indicating the number of basis vectors (number of dimensions) assigned to represent the hierarchical structure, d indicating the depth of the hierarchy, and basis vectors assigned to each hierarchy.
  • the inner product predicate is defined as in Expression 55. That is, in the space of each hierarchy, when the inner product of the attribute vector x ⁇ and the predicate vector v ⁇ is 0, the result of inputting the attribute information x to the predicate information f v is 1 (True). That is, when the inner product of the attribute vector x ⁇ of a certain hierarchy and the predicate vector v ⁇ of the same hierarchy is 0, the result of inputting the attribute information x to the predicate information f v is 1 (True).
  • the union in the hierarchical attribute space ⁇ and the hierarchical predicate space F shown in Expression 56 is a disjoint union.
  • the hierarchical predicate information shown in Formula 58 for the hierarchical attribute information shown in Formula 57 is defined as shown in Formula 59.
  • the hierarchical inner product predicate encryption in the vector space is (1) the hierarchy L v of the hierarchical predicate vector v ⁇ is the same as or higher than the hierarchy L x of the hierarchical attribute vector x ⁇ , and (2) the attribute space
  • it is a predicate encryption in which the result of inputting the hierarchical attribute information shown in Expression 57 to the hierarchical predicate information shown in Expression 58 is 1 (True).
  • Hierarchical predicate key concealment method The configuration of the hierarchical predicate key concealment method will be briefly described.
  • GenKey In the GenKey algorithm, the master public key pk, the master secret key sk, and the predicate vector v ⁇ 1 shown in Expression 60 (the predicate vector v ⁇ 1 may be simply described as v ⁇ 1 ) may be input. The first layer secret key shown is output.
  • the master public key pk, the L v layer private key (1 ⁇ L v ⁇ d) shown in Expression 62, and the ciphertext c are input, and the session key K or the identification information ⁇ is output.
  • the identification information ⁇ is information indicating that decoding has failed.
  • the ciphertext c is decrypted with the secret key of the Lv layer, information on the predetermined information ( ⁇ ) is extracted, and the session key K is generated. If the decoding fails, the identification information ⁇ is output.
  • the master public key pk, the L-th layer private key shown in Equation 63, and the (L + 1) -th layer predicate vector v ⁇ L + 1 (note that the predicate vector v ⁇ L + 1 is simply v ⁇ L + 1 .
  • the secret key of the (L + 1) th layer shown in Formula 65 is output. That is, in the Delegate L algorithm, a lower secret key is output.
  • the secret key of the L v th layer is calculated by Derive Lv algorithm using the algorithm of the GenKey and Delegate i shown in Formula 66.
  • the GenKey algorithm receives the master public key pk, the master secret key sk, and the predicate vector v ⁇ 1 shown in Equation 67, and outputs the first-layer secret key shown in Equation 68. Is done.
  • the master public key pk, the L v layer private key (1 ⁇ L v ⁇ d) shown in Equation 69, and the ciphertext c are input, and plaintext information m or identification information ⁇ is output.
  • the identification information ⁇ is information indicating that decoding has failed. That is, the Dec algorithm, the ciphertext c is decrypted by the secret key of the L v-th, extracts the plaintext information m.
  • Delegate L Similarly to the hierarchical predicate key concealment method, in Delegate L , the master public key pk, the L-th layer secret key shown in Equation 70, and the L + 1-layer predicate vector v ⁇ L + 1 shown in Equation 71 are input, The secret key for the (L + 1) th layer shown in Equation 72 is output. That is, in the Delegate L algorithm, a lower secret key is output. Note that the secret key of the L v th layer, like the HPKEM scheme is calculated by Derive Lv algorithm shown in Formula 66 described above.
  • FIG. 6 is a configuration diagram of the cryptographic processing system 10.
  • the cryptographic processing system 10 includes a key generation device 100, an encryption device 200, a decryption device 300, and a key delegation device 400.
  • decryption apparatus 300 includes key delegation apparatus 400.
  • the cryptographic processing system 10 since the cryptographic processing system 10 performs hierarchical cryptographic processing, the cryptographic processing system 10 includes a plurality of encryption devices 200, a plurality of decryption devices 300, and a plurality of key delegation devices. 400.
  • the key generation device 100 executes the Setup and GenKey algorithms of the hierarchical predicate key concealment method and the hierarchical predicate encryption.
  • the encryption device 200 executes the Enc algorithm of the hierarchical predicate key concealment method and the hierarchical predicate encryption.
  • the decryption apparatus 300 executes the Dec algorithm of the hierarchical predicate key concealment method and the hierarchical predicate encryption.
  • the key delegation apparatus 400 executes the Delegate L algorithm of the hierarchical predicate key concealment method and the hierarchical predicate encryption.
  • FIG. 7 is a flowchart showing operations of the key generation device 100, the first layer encryption device 200, and the decryption device 300 of the cryptographic processing system 10. That is, FIG. 7 is a flowchart showing operations from generation of a master key (master public key and master secret key) and generation of a first layer private key to encryption and decryption in the first layer.
  • S101 Key generation step
  • the key generation device 100 generates a master public key pk and a master secret key sk by executing the Setup algorithm.
  • the decryption apparatus 300 executes the algorithm Dec based on the master public key pk distributed by the key generation apparatus 100 in (S101) and the first layer private key, and the ciphertext c received from the encryption apparatus 200 is obtained. Decrypt. As a result of decrypting the ciphertext c, the decryption apparatus 300 obtains the session key K if the hierarchical predicate key concealment method, and obtains plaintext information m if the hierarchical predicate encryption. The decoding device 300 outputs the identification information ⁇ when the decoding fails.
  • FIG. 8 is a flowchart showing the operations of the L-th layer key delegation device 400, the (L + 1) -th layer encryption device 200, and the decryption device 300 of the cryptographic processing system 10. That is, FIG. 8 is a flowchart showing operations from generation of the (L + 1) th layer secret key to encryption and decryption in the (L + 1) th layer.
  • the L-th layer key delegation device 400 secretly distributes the generated secret key to the (L + 1) -th layer decryption device 300.
  • the encryption device 200 also generates a session key K. Then, the encryption device 200 transmits the generated ciphertext c to the decryption device 300 via a network or the like.
  • S203 Decoding step
  • the decryption device 300 executes the algorithm Dec based on the master public key pk distributed by the key generation device 100 in (S101) and the secret key distributed by the L-level key delegation device 400 in (S201).
  • the ciphertext c received from the encryption device 200 is decrypted.
  • the decryption apparatus 300 obtains the session key K if the hierarchical predicate key concealment method, and obtains plaintext information m if the hierarchical predicate encryption.
  • Bilinear Pairing Group The bilinear pairing group (G 1 , G 2 , G T , g 1 , g 2 , q) will be described.
  • Bilinear pairing groups (G 1, G 2, G T, g 1, g 2, q) is the set of order three cyclic groups of q G 1, G 2, G T.
  • g 1 is a generator of G 1
  • g 2 is a generator of G 2 .
  • the bilinear pairing group (G 1 , G 2 , G T , g 1 , g 2 , q) satisfies the following non-degenerate bilinear pairing conditions.
  • Non-degenerate bilinear pairing There is a non-degenerate bilinear pairing shown in Equation 73 that can be calculated in polynomial time.
  • G 1 ⁇ G 2 it is called target bilinear pairing.
  • Target bilinear pairings can be constructed using hypersingular (super) elliptic curves.
  • asymmetric bilinear pairing can be constructed using any (super) elliptic curve.
  • the asymmetric bilinear pairing can be constructed using, for example, a normal elliptic curve.
  • the description will be made using asymmetric bilinear pairing. That is, the bilinear pairing group (G 1 , G 2 , G T , g 1 , g 2 , q) is assumed to be an asymmetric bilinear pairing group. And the case where the dual distortion vector space mentioned later is constructed
  • Equation 77 shows the standard basis A.
  • the standard base A and the standard base A * satisfy the condition shown in Formula 80. That is, the standard base A and the standard base A * are dual orthonormal bases, and the space V and the space V * are dual vector spaces associated by the pairing operation e. It supplements about the standard base A and standard base A * satisfy
  • e (a 0 , a * 0 ) e (g 1 , g 2 ) ⁇ e (0, 0) ⁇ ,. . . , Xe (0, 0).
  • e (g 1 , g 2 ) u.
  • a linear transformation called distortion mapping for the generator x of the space V in the standard basis A will be described.
  • a distortion map ⁇ i, j in the standard base A of the space V is a map shown in Formula 81. Since Expression 82 is established, the distortion map ⁇ i, j can be converted into Expression 83. That is, the element of the basis vector j of the vector x of the standard basis A can be converted into the element of the basis vector i. At this time, all the elements other than the element of the converted basis vector j are 0. That is, the element of the basis vector j of the vector x is the element of the basis vector i, and the other elements are zero.
  • the distortion map ⁇ * i, j in the standard basis A * of the space V * can also be expressed in the same manner as the distortion map ⁇ i, j in the standard basis A of the space V.
  • Equation 85 a linear transformation W expressed as an N ⁇ N matrix shown in Equation 84, and any linear transformation W for x ⁇ V is efficient by Equation 85. Can be calculated automatically.
  • FIG. 9 is a diagram for explaining the basis conversion method.
  • the uniformly selected linear transformation X shown in Expression 86 the standard base A in the space V is converted to another base B in the space V as shown in Expression 87.
  • GL is an abbreviation for General Linear.
  • GL is a general linear group, a set of square matrices whose determinants are not 0, and a group for multiplication.
  • the base B is used as a public parameter (public key).
  • X is used as trapdoor information (secret key).
  • base B * from the canonical basis A * in space V * in the space V *: (b * 0 , ..., b * N-1) can be efficiently computed.
  • the base B and the base B * are dual orthonormal bases in the dual spaces V and V * . That is, even if the standard bases A and A * are transformed using X, the dual orthonormal bases are preserved.
  • the base B * can be used as a secret key (instead of X).
  • a secret key layered from an upper layer secret key to a lower layer secret key is created by setting the uppermost layer secret key as X and using the lower level secret key as partial information of the base B *. be able to.
  • Non-Patent Document 21 includes a description of calculation problems and determination problems in (V, B), and a description of survey results regarding the relationship between these problems.
  • the calculation vector decomposition problem (Computational Vector Decomposition Problem, CVDP) and the decision subspace problem (Decisional Subspace Problem, DSP) described in Non-Patent Document 21 will be briefly described.
  • CVDP is a high-dimensional spatial analog of the Subgroup Decomposition Problem.
  • the assumption of (N 1 , N 2 ) CVDP is that it is difficult to calculate u shown in Equation 91 when v shown in Equation 90 is given.
  • the above problem will be described in a simplified manner.
  • a vector v is given in FIG. 4, it is difficult (not possible) to extract the component y 0 b 0 (or y 1 b 1 ) of the vector v in the base B from the vector v. )That's what it means.
  • Inner product predicate encryption using key pair (B, B * )> A dual orthonormal basis (B, B * ) is applied to the calculation of the inner product of two vectors to realize the inner product predicate encryption.
  • To apply the dual orthonormal basis (B, B * ) to the calculation of the inner product of two vectors is to calculate the number 94.
  • the inner product predicate encryption is realized as follows. Here, the key concealment method will be described, but naturally the encryption method can be similarly realized.
  • the ciphertext c is generated as shown in Equation 95.
  • the secret key k * is generated as shown in Equation 96.
  • Equation 97 That is, if the inner product of the attribute vector x ⁇ and the predicate vector v ⁇ is 0, the equation 98 is obtained. This is because the number is 99 as described above.
  • the shared information K is obtained from the ciphertext c on the receiving side. (Session key) can be acquired.
  • the session key K is concealed. That is, an attacker who does not have the secret key k * cannot obtain information on the session key K from the ciphertext c. This is because ⁇ b n which is a component of the ciphertext c cannot be extracted according to the CVDP assumption described above. Further, not only the session key K but also the attribute vector x ⁇ is concealed. That is, an attacker who does not have the secret key k * cannot obtain information about the attribute vector x ⁇ as well as the session key K from the ciphertext c.
  • the DSP assumption described above plays a central role in explaining that the attribute information x ⁇ is concealed. This is to show that the number 100 cannot be distinguished from the number 101 according to the DSP assumption.
  • Dual distortion vector space Based on the concept described in the fourth, the dual distortion vector space will be described. As described above, the hierarchical predicate key concealment method and the hierarchical predicate encryption described later are realized in the dual distortion vector space.
  • DDVS V, V *, G T , A, A *, q
  • V: (a 0, ...
  • Non-degenerate bilinear pairing (see 4-1 above) A non-degenerate bilinear pairing e that can be calculated in polynomial time exists. That is, the second condition is that the non-degenerate bilinear pairing e shown in Equation 103 exists.
  • Dual orthonormal basis (see 4-2 above) The standard base A of the space V and the standard base A * of the space V * are dual orthonormal bases. That is, the third condition is that the standard base A of the space V and the standard base A * of the space V * satisfy the condition shown in Formula 104. Note that, by satisfying the third condition, it can also be said that the space V and the space V * are dual spaces associated by the pairing operation e (see 4-2 above).
  • End Fq (V) is to be F q vector space homomorphic space V on F q.
  • End Fq a (V *) to be F q vector space of the space V * homomorphic on F q.
  • distortion mapping ⁇ i, j forms the basis of the N 2-dimensional F q vector space End Fq (V) (resp.End Fq (V *)).
  • the homomorphism that can be calculated in random polynomial time of V / F q (resp.V * / F q ) shown in Equation 106 can be efficiently sampled.
  • an example of a dual distortion vector space will be described.
  • the cryptographic processing system 10 uses the hierarchical predicate key concealment method and the hierarchical predicate encryption. A method for realizing the above will be briefly described. First, the cryptographic processing system 10 implements a hierarchical predicate key concealment method and a hierarchical predicate encryption in a dual distortion vector space.
  • the cryptographic processing system 10 is a high-dimensional vector space having a distortion map, a non-degenerate bilinear pairing, and a dual orthonormal basis, and is associated with the pairing operation e in the high-dimensional dual vector space.
  • a hierarchical predicate key concealment method and a hierarchical predicate encryption are realized.
  • a pairing operation e (a pairing operation in a high-dimensional vector space) for associating two spaces is the pairing operation defined in the above 4-2.
  • the cryptographic processing system 10 uses the dual orthonormal bases B and B * generated by a predetermined transformation from the standard bases A and A * of the spaces V and V *.
  • a hierarchical predicate key concealment method and a hierarchical predicate encryption are realized using a key pair (a pair of a public key and a secret key).
  • the key generation apparatus 100 of the cryptographic processing system 10 uses one of the dual orthonormal bases B and B * (hereinafter referred to as the base B) as the master public key, and the other (hereinafter referred to as the base B *). ) As the master secret key. That is, in (S101) of FIG. 7, the key generation device 100 generates information including the base B of the dual distortion vector space, which is a high-dimensional vector space, as the master public key, and uses the information including the base B * as the master secret key. Generate.
  • the information ⁇ for generating the session key K or the plaintext information m is embedded in the vector in FIG. In (S103) of FIG.
  • the decryption apparatus 300 performs a pairing operation e on the ciphertext c, which is a vector in the base B, and the first-layer secret key, which is a vector in the base B * .
  • the embedded session key K or plaintext information m is extracted.
  • the pairing operation e on the high-dimensional vector executed by the decoding apparatus 300 is the pairing operation defined in the above 4-2.
  • the decryption apparatus 300 performs a pairing operation e on the ciphertext c that is a vector in the base B and the L + 1 layer private key that is a vector in the base B * ,
  • the embedded session key K or plaintext information m is extracted. Note that the security of the encryption process (the confidentiality of the session key K or the plaintext information m and the attribute vector) is guaranteed based on the calculation difficulty problem described in the above 4-6.
  • Embodiment 2 FIG. In this embodiment, a cryptographic processing system 10 that realizes a hierarchical predicate key concealment method will be described based on the concept described in the first embodiment.
  • FIG. 10 is a functional block diagram showing functions of the cryptographic processing system 10 according to this embodiment.
  • the cryptographic processing system 10 includes the key generation device 100, the encryption device 200, the decryption device 300, and the key delegation device 400. Also here, it is assumed that the decryption device 300 includes the key delegation device 400.
  • FIG. 11 is a flowchart showing the operation of the key generation device 100.
  • FIG. 12 is a flowchart showing the operation of the encryption device 200.
  • FIG. 13 is a flowchart showing the operation of the decoding device 300.
  • FIG. 14 is a flowchart showing the operation of the key delegation device 400.
  • FIG. 15 is a conceptual diagram showing the base structure of the dual distortion vector space.
  • the key generation device 100 includes a master key generation unit 110, a master key storage unit 120, a key vector generation unit 130, a key generation vector generation unit 140, and a key distribution unit 150.
  • G Ddvs as inputs the 1 lambda and N, dual distortion vector outputted security parameter 1 lambda and for the N-dimensional space V of (V, V *, G T , A, A *, q) a It is a space generation algorithm.
  • the master key generation unit 110 generates the base B * from the base A * based on the generated linear transformation (X T ) ⁇ 1 .
  • the master key generation unit 110 outputs the generated basis B * was a master secret key sk, including the generated basis B (1 ⁇ , ⁇ ⁇ , V, V *, G T, A, A *, q, Let B) be the master public key pk.
  • the master key generation unit 110 executes the Setup algorithm shown in Equation 108 to generate the master public key pk and the master secret key sk.
  • the key generation vector generation unit 140 calculates the number 110 based on the master public key pk, the master secret key sk, and the predicate vector v ⁇ 1, and generates a lower secret key (lower key vector).
  • the key generation vector k * 1, j is generated by the processing device.
  • the key vector generation unit 130 and the key generation vector generation unit 140 execute the GenKey algorithm shown in Formula 111 to generate the key vector k * 1,0 and the key generation
  • a first-layer private key (key information k ⁇ * 1 ) including vectors k * 1, j is generated by the processing device.
  • the key distribution unit 150 communicates the master public key generated by the master key generation unit 110 and the key information k ⁇ * 1 generated by the key vector generation unit 130 and the key generation vector generation unit 140 to the decryption device 300. To send through. In addition, the key distribution unit 150 transmits the master public key to the encryption device 200 via the communication device.
  • the key information k ⁇ * 1 is secretly transmitted to the decryption device 300.
  • any method may be used to transmit the key information k ⁇ * 1 secretly to the decryption device 300. I do not care. For example, transmission may be performed using conventional cryptographic processing.
  • the encryption device 200 includes a transmission information setting unit 210, an encryption vector generation unit 220, a data transmission unit 230, and a session key generation unit 240.
  • the transmission information setting unit 210 Based on the master public key pk, the transmission information setting unit 210 generates the transmission information vector ⁇ v by calculating Formula 112 using the processing device. That is, the transmission information setting unit 210 sets the transmission information ⁇ (here, a random number) as a coefficient for the base vector b n of the base B included in the master public key pk, and generates the transmission information vector ⁇ v. .
  • the cryptographic vector generation unit 220 sets the random number ⁇ n + 1 as a coefficient for the base vector b n + 1 of the base B included in the master public key pk, and generates a random vector rv.
  • the encryption vector generation unit 220 adds the generated attribute information vector xv and the random number vector rv to the transmission information vector ⁇ v generated by the transmission information setting unit 210 to generate the encryption vector c by the processing device.
  • the data transmission unit 230 transmits the encryption vector c generated by the encryption vector generation unit 220 to the decryption device 300 via the communication device.
  • the session key generating unit 240 generates the session key K by calculating the expression 114 by the processing device.
  • the encryption apparatus 200 executes the Enc algorithm shown in Formula 115 to generate the encryption vector c and the session key K.
  • the decryption apparatus 300 includes a vector input unit 310, a key vector storage unit 320, and a pairing calculation unit 330.
  • the vector input unit 310 receives and inputs the encryption vector c transmitted from the data transmission unit 230 of the encryption device 200 via the communication device.
  • the session key K ′ is calculated by performing a pairing operation e for associating V with the space V * by the processing device.
  • the key vector storage unit 320 stores the key vector k * L, 0 in the storage device.
  • the fact that the session key K can be calculated by this pairing operation will be described later in detail.
  • the decryption apparatus 300 executes the Dec algorithm expressed by Equation 117 to generate a session key K ′.
  • the key delegation apparatus 400 includes a key vector acquisition unit 410, a key vector generation unit 420, a key generation vector generation unit 430, and a key distribution unit 440.
  • the secret key (key information k ⁇ * L ) in the Lth layer including the key generation vector k * L, j that is the element of 1) is acquired via the communication device.
  • Key information k ⁇ * L including L, 0 and key generation vector k * L, j is acquired via a communication device.
  • the key generation vector generation unit 430 calculates Formula 119 based on the master public key pk, the key information k ⁇ * L, and the predicate vector v ⁇ L + 1 to generate a lower secret key (lower key vector).
  • J randomized predicate vectors v ⁇ L + 1 are added to each vector to set a key vector k * L + 1, j for generating a key vector subordinate to key vector k * L + 1,0.
  • the key vector generation unit 420 and the key generation vector generation unit 430 execute the Delegate L algorithm shown in Formula 120 to generate the key vector k * L + 1 , 0 and the key generation.
  • a secret key (key information k ⁇ * L + 1 ) in the ( L + 1 ) th layer including the vector k * L + 1, j is generated by the processing device. That is, among the key information k ⁇ * L + 1 shown in Expression 120, the first (first) element k * L, 0 is the key vector k * L + 1,0 that becomes the decryption key L + 1.
  • the second and subsequent elements of the key information k ⁇ * L + 1 shown in Expression 120 are tags for key delegation.
  • the key distribution unit 440 transmits the key information k ⁇ * L + 1 generated by the key vector generation unit 420 and the key generation vector generation unit 430 to the lower decryption device 300 via the communication device.
  • the key information k ⁇ * L + 1 is secretly transmitted to the decryption apparatus 300.
  • any method may be used to transmit the key information k ⁇ * L + 1 secretly to the decryption apparatus 300. I do not care. For example, transmission may be performed using conventional cryptographic processing.
  • the subscripts of the random number ⁇ and the random number ⁇ are omitted for simplicity.
  • the key vector k * L, 0 is set to 1 as a coefficient for the base vector b * n . Further, the key vector k * L, 0 is set to 0 as a coefficient for the base vector b n + 1 .
  • a base vector b i (i 0,..., ⁇ L ⁇ 1) in which an attribute vector is set as a coefficient in the ciphertext c, and a predicate vector is set as a coefficient in the key vector k * L, 0
  • FIG. 17 is a diagram for explaining that the session key K cannot be calculated with a lower key.
  • the pairing calculation unit 330 uses the pair 116 shown in the above equation 116 for the ciphertext c encrypted based on the upper layer attribute vector and the lower layer key vector k * Lv, 0. It will be explained that the session key K cannot be extracted by ring calculation.
  • the subscripts of the random number ⁇ and the random number ⁇ are omitted for simplicity.
  • the ciphertext c is, [rho is set as the coefficient of the basis vector b n.
  • a random number ⁇ is set as a coefficient for the base vector b n + 1 .
  • the key vector k * Lv, 0 is set to 1 as a coefficient for the base vector b * n .
  • the key vector k * Lv, 0 is set to 0 as a coefficient for the base vector b n + 1 .
  • a basis vector b i (i 0,..., ⁇ Lx ⁇ 1) in which an attribute vector is set as a coefficient in the ciphertext c, and a predicate vector is set as a coefficient in the key vector k * L, 0
  • a base vector b i (i ⁇ Lx ,..., ⁇ Lv ⁇ 1) in which a random number is set as a coefficient in the ciphertext c, and a predicate vector is set as a coefficient in the key vector k * L, 0
  • FIG. 18 is a diagram for explaining that the session key K can be calculated using a higher-order key.
  • the pairing calculation unit 330 performs the pair shown in the above equation 116 for the ciphertext c encrypted based on the lower layer attribute vector and the upper layer key vector k * Lv, 0. It will be described that the session key K can be extracted by ring calculation.
  • the subscripts of the random number ⁇ and the random number ⁇ are omitted for simplicity.
  • the coefficients for the base vectors of the ciphertext c and the key vector k * Lv, 0 are set in the same manner as in FIG.
  • a basis vector b i (i 0,..., ⁇ Lv ⁇ 1) in which an attribute vector is set as a coefficient in the ciphertext c, and a predicate vector is set as a coefficient in the key vector k * L, 0
  • the cryptographic processing system 10 can realize the hierarchical predicate key concealment method based on the concept described in the first embodiment.
  • the key vector generation unit 130 obtains the mathematical expression 122 based on the master public key pk, the master secret key sk, and the predicate vector (v ⁇ 1 ,..., V ⁇ L ) shown in the mathematical expression 121. And a key vector k * L, 0 , which is the leading element of the L-th layer (level L) secret key, is generated by the processing device.
  • the key generation vector generation unit 140 calculates Formula 123 based on the master public key pk, the master secret key sk, and the predicate vector (v ⁇ 1 ,..., V ⁇ L ) shown in Formula 121.
  • a key generation vector k * 1, j for generating a lower secret key is generated by the processing device.
  • the key vector generation unit 130 and the key generation vector generation unit 140 execute the GenKey algorithm shown in Formula 124 to generate the key vector k * L, 0 and the key generation.
  • the L-th layer secret key (key information k ⁇ * 1 ) including the vector k * L, j may be generated by the processing device.
  • the key generation device 100 may generate a secret key for the Lth layer.
  • FIG. 19 is a functional block diagram illustrating functions of the cryptographic processing system 10 that implements hierarchical predicate encryption.
  • the key generation device 100 and the key delegation device 400 of the cryptographic processing system 10 shown in FIG. 19 are the same as the key generation device 100 and the key delegation device 400 of the cryptographic processing system 10 shown in FIG.
  • the encryption device 200 of the encryption processing system 10 illustrated in FIG. 19 does not include the session key generation unit 240 included in the encryption device 200 of the encryption processing system 10 illustrated in FIG.
  • FIG. 19 includes a discrete logarithm calculation unit 340 in addition to the functions of the decryption device 300 of the cryptographic processing system 10 illustrated in FIG.
  • FIG. 20 is a flowchart showing the operation of the encryption apparatus 200 shown in FIG.
  • FIG. 21 is a flowchart showing the operation of the decoding device 300 shown in FIG.
  • the operations of the key generation device 100 and the key delegation device 400 are the same as the operations of the key generation device 100 and the key delegation device 400 of the cryptographic processing system 10 shown in FIG.
  • transmitting information setting unit 210 of the encryption device 200 instead of the ⁇ transmission information in (S401), and sets the processing device message m as the coefficient of the basis vector b n, plaintext vector mv Is generated.
  • the cryptographic vector generation unit 220 generates the attribute information vector xv and the random number vector rv in the same manner as in (S402). Then, the encryption vector generation unit 220 adds the generated attribute information vector xv and random number vector rv to the plaintext vector mv to generate the encryption vector c by the processing device.
  • the data transmission unit 230 transmits the generated encryption vector c to the decryption device 300 through the communication device in the same manner as in (S402).
  • the vector input unit 310 of the decryption device 300 receives and inputs the encryption vector c via the communication device, as in (S501).
  • the plaintext information m input here is assumed to be a number smaller than a predetermined small integer ⁇ .
  • the above-described hierarchical predicate key concealment method and hierarchical predicate encryption do not use the distortion map included in the condition of being a dual distortion vector space.
  • the distortion map is not used in an algorithm that realizes cryptographic processing, but is used to prove the security of cryptographic processing. Therefore, it can be said that the above-described hierarchical predicate key concealment method and hierarchical predicate encryption are established even in a space without distortion mapping. That is, it is not essential that there is a distortion map in the space for realizing the above-described hierarchical predicate key concealment method and hierarchical predicate encryption.
  • Embodiment 3 the security of the hierarchical predicate key concealment method described in the second embodiment will be described.
  • the validity of the hierarchical predicate key concealment method will be described.
  • the hierarchical predicate key concealment method described in the second embodiment satisfies this validity requirement.
  • attribute concealment safety for the hierarchical predicate key concealment method
  • adaptive attribute concealment for CPA Chosen Plaintext Attacks
  • the hierarchical predicate key concealment method described in the second embodiment satisfies the requirement for adaptive attribute concealment for CPA.
  • Hierarchical predicate key concealment method needs to satisfy the requirements shown in Expression 126.
  • Lemma 1 Let L be 1 ⁇ L ⁇ d.
  • the secret key for the L-th layer shown in Expression 128 is given by a linear combination of the coefficients ⁇ L, i, j ⁇ F q in the expression shown in Expression 129. (Explanation that Lemma 1 is true) This will be explained using the induction method in L.
  • L 1
  • Lemma 1 holds because the number is 130.
  • Lemma 1 holds for L-1. That is, Formula 131.
  • Formula 132 This indicates that Equation 129 holds for k * L, 0 .
  • the attribute concealment security for the hierarchical predicate key concealment method means that the concealment of the attribute vector used for generating the ciphertext (cipher vector) is maintained. That is, in the hierarchical predicate key concealment method that is attribute concealment safety, even if the attacker A acquires the ciphertext, the attacker A has information on the transmission information ⁇ about the attribute vector used to generate the ciphertext ( Like the session key K), it cannot be known.
  • the exact definition of the attribute concealment security for the predicate key concealment method is described in Non-Patent Document 19. Note that Non-Patent Document 19 does not consider the concept of “hierarchical”.
  • the attacker A is given a key corresponding to the request shown in Formula 147. 3.
  • Attacker A outputs Formula 149 under the limit of Formula 148. 4).
  • a random bit ⁇ is selected.
  • the number 150 is calculated.
  • the key K ′ is randomly selected from the associated session key space, as shown in Formula 151. 5).
  • Attacker A can continue to request keys for the vector shown in Formula 152 under the above restrictions. 6).
  • the advantage of the attacker A is defined as Formula 153.
  • Embodiment 2 The hierarchical predicate key concealment method described in Embodiment 2 satisfies the requirement for adaptive attribute concealment for CPA.
  • Embodiment 4 a highly secure hierarchical predicate encryption to which the hierarchical predicate key concealment method described in the second embodiment is applied will be described.
  • high security means that the security of adaptive attribute concealment for CCA (Chosen Ciphertext Attacks) described in the following embodiment is satisfied.
  • CCA Chosen Ciphertext Attacks
  • a cryptographic processing system 10 that implements hierarchical predicate encryption that satisfies the security of adaptive attribute concealment for CCA will be described using the above four concepts.
  • (Mac, Vrfy) be a message authentication code that is secure against one-time chosen-message attacks.
  • the definition of a message authentication code that is safe against a one-time selection message attack is described in Non-Patent Document 7.
  • Vrfy is a process for verifying authentication information generated by Mac.
  • (Setup enc , Senc , R enc ) be a secure concealment scheme. Further, together with (Setup enc , Senc , Renc ), first verification information com, second verification information dec, and third verification information r described later are used. Note that the definition of a secure concealment method is described in Non-Patent Document 7.
  • (Setup enc , Senc , R enc ) is an integrated process, and operates as follows. Setup enc as input the security parameter 1 k, selects and outputs a character string pub randomly.
  • Senc receives 1 k and a character string pub as input, and randomly selects and outputs the first verification information com, the second verification information dec, and the third verification information r with r ⁇ ⁇ 0,1 ⁇ k. To do. R enc receives the character string “pub”, the first verification information “com”, and the second verification information “dec”, and outputs the third verification information “r” that satisfies r ⁇ ⁇ 0, 1 ⁇ k ⁇ ⁇ .
  • R enc if Setup enc and the string pub outputted, and a first verification information com and the second verification information dec outputted is S enc entered by the pub, r ⁇ ⁇ 0,1 ⁇
  • the third verification information r that is k is output, and when other information is input, the third verification information r that is r ⁇ ⁇ is output.
  • SE, SD be a secure common key cryptosystem.
  • the definition of the secure common key cryptosystem is described in Non-Patent Document 1.
  • SE, SD is a paired process, and operates as follows.
  • SE is a process of encrypting using a common key.
  • SD is a process of decrypting using a common key.
  • KDF be a secure key generation function.
  • the definition of the secure key generation function is described in Non-Patent Document 1.
  • FIG. 22 is a functional block diagram showing functions of the cryptographic processing system 10 according to this embodiment. Similar to the cryptographic processing system 10 according to the second embodiment, the cryptographic processing system 10 includes a key generation device 100, an encryption device 200, a decryption device 300, and a key delegation device 400. Also here, it is assumed that the decryption device 300 includes the key delegation device 400.
  • FIG. 23 is a flowchart showing the operation of the encryption device 200.
  • FIG. 24 is a flowchart showing the operation of the decoding device 300.
  • FIG. 25 is a conceptual diagram showing the base structure of the dual distortion vector space.
  • the function and operation of the key generation device 100 will be described.
  • the functional configuration of the key generation device 100 is the same as the functional configuration of the key generation device 100 according to Embodiment 2 shown in FIG.
  • the operation flow of the key generation apparatus 100 is also the same as the operation flow of the key generation apparatus 100 according to the second embodiment shown in FIG. Therefore, the function and operation of the key generation device 100 will be described with reference to FIG.
  • the master key generation unit 110 outputs the generated basis B * was a master secret key sk, including the generated basis B (1 ⁇ , ⁇ ⁇ , V, V *, G T, A, A *, q,
  • B, pub be the master public key pk. That is, the master public key pk is different from the master key generated by the master key generating unit 110 according to the second embodiment in that the character string pub is included in the master public key pk.
  • Another one of the remaining four basis vectors is a basis vector for randomizing the ciphertext c.
  • the other two basis vectors (n + 2, n + 3th basis vectors) among the remaining four basis vectors are basis vectors for verification information (first verification information com).
  • the master key generation unit 110 executes the Setup algorithm shown in Formula 155 to generate the master public key pk and the master secret key sk.
  • the key vector generation unit 130 calculates the equation 156 and generates the key vector k * 1,0 by the processing device.
  • the key vector generation unit 130 and the key generation vector generation unit 140 execute the GenKey algorithm shown in Formula 158 to generate the key vector k * 1,0 and the key generation
  • a first-layer secret key (key information k ⁇ * 1 ) including vectors k * 1, j is generated by the processing device.
  • the key distribution unit 150 includes a master public key generated by the master key generation unit 110, and a key generated by the key vector generation unit 130 and the key generation vector generation unit 140.
  • Information k ⁇ * 1 is transmitted to the decoding device 300 via the communication device.
  • the key distribution unit 150 transmits the master public key to the encryption device 200 via the communication device.
  • the encryption device 200 includes a verification information generation unit 250, a verification information setting unit 260, and a signature information generation unit 270 (c2 generation unit, c3 generation) in addition to the functions of the encryption device 200 according to Embodiment 2 shown in FIG. Part, c4 generation part).
  • the verification information generation unit 250 generates the first verification information com, the second verification information dec, and the third verification information r by calculating Formula 159 by the processing device.
  • the verification information generation unit 250 receives the character string pub included in the master public key and executes Senc (1 ⁇ , pub) by the processing device, so that the first verification information com, the second verification information dec, Third verification information r is generated.
  • the transmission information setting unit 210 Similar to the second embodiment, the transmission information setting unit 210 generates the transmission information vector ⁇ v by calculating Formula 160 by the processing device.
  • the verification information setting unit 260 generates the verification information vector cv by calculating Formula 161 by the processing device based on the master public key pk. That is, (1) the verification information setting unit 260 generates a random number ⁇ n + 2 by the processing device. (2) The verification information setting unit 260 sets a predetermined value (here, 1) randomized with a random number ⁇ n + 2 as a coefficient for the base vector b n + 2 of the base B included in the master public key pk by the processing device. Then, the first verification information com randomized with the random number ⁇ n + 2 is set as a coefficient for the base vector b n + 3 by the processing device, and the verification information vector cv is generated.
  • a predetermined value here, 1 randomized with a random number ⁇ n + 2 as a coefficient for the base vector b n + 2 of the base B included in the master public key pk by the processing device.
  • the encryption vector generation unit 220 generates the generated attribute information vector xv, the random number vector rv, the transmission information vector ⁇ v generated by the transmission information setting unit 210, and the verification information vector cv generated by the verification information setting unit 260.
  • the encryption vector c (data c1) is generated by the processing device by addition.
  • the session key generation unit 240 generates the session key K by calculating Formula 163 by the processing device.
  • the signature information generation unit 270 calculates data 164 by the processing device to generate data c2. That is, the signature information generation unit 270 generates a common key by executing KDF from the session key K by the processing device. Using the generated common key, the signature information generation unit 270 executes SE by the processing device, encrypts the plaintext information m and the second verification information dec, and generates data c2.
  • the signature information generation unit 270 sets the first verification information com as data c3.
  • the signature information generation unit 270 generates the data c4 by calculating the following expression 165 by the processing device. That is, the signature information generation unit 270 encrypts the data c1 generated by the encryption vector generation unit 220 and the data c2 generated by the signature information generation unit 270 by the processing device based on the third verification information r.
  • the data transmission unit 230 transmits the data c1 generated by the encryption vector generation unit 220 and the data c2, c3, c4 generated by the signature information generation unit 270 to the decryption device 300 via the communication device.
  • the encryption device 200 executes the Enc algorithm shown in Formula 166 to generate data c1, c2, c3, and c4.
  • the decoding device 300 includes a vector transformation unit 350, a decoding unit 360 (c2 decoding unit), and a falsification verification unit 370 in addition to the functions of the decoding device 300 according to Embodiment 2 shown in FIG.
  • the vector input unit 310 receives and inputs the data c1, c2, c3, and c4 transmitted by the data transmission unit 230 of the encryption device 200 via the communication device.
  • the vector deforming unit 350 calculates Equation 167 by the processing device , and deforms the key vector k * L, 0 . That is, the vector transformation unit 350 erases the verification information com set by the verification information generation unit 250 of the encryption device 200 by a pairing operation executed in a later step (a basis vector (set with information including the verification information com) (
  • the key vector k * L, 0 which is the first element of the L-th layer secret key, is represented as data c3 so that the inner product of the base vectors bn + 2 , bn + 3 and the base vectors b * n + 2 , b * n + 3 ) is 0). It is deformed according to (verification information com).
  • the session key K ′ is calculated by performing a pairing operation e for associating the space V * with the space V * .
  • the pairing calculation unit 330 can generate the same session key K as the session key K generated by the encryption device 200.
  • the decoding unit 360 calculates the number 169 by the processing device and decodes the data c2. That is, the decryption unit 360 executes the KDF from the session key K by the processing device and generates a common key.
  • the third verification information r generated by the encryption device 200 executing Senc is generated.
  • the identification information ⁇ is generated instead of the third verification information r. That is, when the data that is not the identification information ⁇ is generated, the falsification verification unit 370 can determine that the data is the correct third verification information r generated by executing the Senc by the encryption device 200.
  • the falsification verification unit 370 executes Vrfy by the processing device based on the generated third verification information r ′ and the data c1, c2, and c4 received from the encryption device 200, as shown in Expression 171. . If the third verification information r ′ is correct and the data c1, c2, and c4 are not falsified, the execution result of Vrfy is 1. On the other hand, if the third verification information r ′ is not correct, or if any of the data c1, c2, and c4 has been falsified, the execution result of Vrfy is zero.
  • the falsification verification unit 370 determines that the generated plaintext information m ′ is the plaintext information m transmitted by the encryption device 200. . When it is determined that the plaintext information m ′ is the plaintext information m, the falsification verification unit 370 outputs the plaintext information m ′. On the other hand, when it is determined that the plaintext information m ′ is not the plaintext information m, the falsification verification unit 370 outputs the identification information ⁇ .
  • the decryption apparatus 300 executes the Dec algorithm represented by Equation 172 to generate plaintext information m ′ or identification information ⁇ .
  • the function and operation of the key delegation device 400 will be described.
  • the functional configuration of key delegation apparatus 400 is the same as the functional configuration of key delegation apparatus 400 according to Embodiment 2 shown in FIG.
  • the operation flow of key delegation apparatus 400 is also the same as the operation flow of key delegation apparatus 400 according to Embodiment 2 shown in FIG. Therefore, the function and operation of the key delegation device 400 will be described with reference to FIG.
  • the key vector generation unit 420 calculates the equation 173 and generates a key vector k * L + 1,0 , which is the head element of the (L + 1) th layer secret key, by the processing device.
  • the key generation vector generation unit 430 calculates the equation 174 and generates the key generation vector k * L + 1, j by the processing device.
  • the key generation vector k * L + 1, j is the jth element of the secret key of the (L + 1) th layer.
  • the key vector generation unit 420 and the key generation vector generation unit 430 execute the Delegate L algorithm shown in Formula 175 to generate the key vector k * L + 1 , 0 and the key generation.
  • a secret key (key information k ⁇ * L + 1 ) in the ( L + 1 ) th layer including the vector k * L + 1, j is generated by the processing device.
  • the key distribution unit 440 transmits the key information k ⁇ * L + 1 generated by the key vector generation unit 420 and the key generation vector generation unit 430 to the lower-level decryption device 300 via the communication device. To do.
  • the cryptographic processing system 10 implements the hierarchical predicate encryption by applying the hierarchical predicate key concealment method described in the second embodiment.
  • the hierarchical predicate encryption described in this embodiment is a highly secure encryption method that satisfies the security of adaptive attribute concealment for CCA.
  • the above-described hierarchical predicate encryption is constructed by applying the method described in Non-Patent Document 7 to the hierarchical predicate key concealment method described in the second embodiment.
  • the method described in Non-Patent Document 11 is applied to the hierarchical predicate key concealment method described in the second embodiment, and the security is high (the security of adaptive attribute concealment for CCA is increased).
  • each algorithm of Setup, Genkey, Enc, Dec, and Delegate L will be briefly described.
  • the hierarchical predicate encryption is realized using a secure one-time signature method.
  • “safe” means that it cannot be counterfeited.
  • the definition of a secure one-time signature scheme is described in Non-Patent Document 11. Therefore, a brief description will be given here.
  • Sig: (G sig , Sign, Vrfy) be a secure one-time signature scheme.
  • G sig (1 ⁇ ) is a process for outputting F q authentication keys (verification key vk, signature key sk).
  • Sign sk (x) is a process for generating signature information ⁇ for the data x with the signature key sk.
  • Vrfy vk (x, ⁇ ) is a process that returns 1 when the signature information ⁇ is correct signature information generated with the signature key sk for the data x, and returns 0 when it is not correct signature information.
  • Equation 176 shows the Setup algorithm.
  • Formula 177 shows the Genkey algorithm.
  • Equation 178 shows the Enc algorithm.
  • the Dec algorithm is shown in Formula 179.
  • Equation 180 shows the Delegate L algorithm.
  • the hierarchical predicate The cipher can be transformed into a hierarchical predicate key concealment method.
  • a hierarchical predicate key concealment method For example, by applying the method described in Non-Patent Document 7 to the hierarchical predicate key concealment method described in the second embodiment by expressing the Enc algorithm and the Dec algorithm as shown in Equations 181 and 182, respectively.
  • the constructed hierarchical predicate encryption can be changed to a hierarchical predicate key concealment method. Note that the Setup algorithm, GenKey algorithm, and Delegate L algorithm need not be changed.
  • the random number rn is used in place of the plaintext information m.
  • the hierarchical predicate encryption is performed even if the plaintext information m in the Enc algorithm is simply omitted, that is, m is not used in the calculation of the data c2. It can be transformed into a hierarchical predicate key concealment method.
  • transmission information ⁇ is simply replaced with plain text information m by the Enc algorithm.
  • Enc algorithm By generating the embedded encryption vector c and extracting the information u ⁇ related to the transmission information ⁇ with the Dec algorithm, it can be easily converted into a hierarchical predicate key concealment method.
  • Embodiment 5 FIG.
  • the security of the hierarchical predicate encryption described in the fourth embodiment will be described.
  • the validity of the hierarchical predicate encryption will be described.
  • adaptive attribute concealment for CCA Chosen Ciphertext Attacks
  • the hierarchical predicate encryption described in Embodiment 4 satisfies the requirement for adaptive attribute concealment for CCA.
  • the attacker A is given a key corresponding to the request shown in Expression 185. 3.
  • An attacker can make an inquiry using the ciphertext c and the attribute vector shown in Equation 186 and adaptively request decryption of the ciphertext c with respect to the attribute vector.
  • the attacker A is given plaintext information m ′ shown in Formula 187. 4).
  • the attacker A outputs the number 189 under the limit of the number 188. 5).
  • a random bit ⁇ is selected.
  • the attacker A is given c ⁇ shown in Formula 190. 6). Attacker A can continue to request keys for the vector shown in Equation 191, further under the above restrictions. 7).
  • the advantage of the attacker A is defined as Formula 193.
  • Attacker A ′ is defined as follows: 1.
  • the attacker A ′ (1 ⁇ ) executes Setup enc (1 ⁇ ) to generate a pub.
  • the public key pk: (pk HPKEM , pub) of the hierarchical predicate encryption is set and given to the attacker A. 2.
  • the attacker A sends the vector shown in Expression 194 to the key inquiry oracle (see the definition of adaptive attribute concealment for CCA), the attacker A ′ sends the vector shown in Expression 194 to the key inquiry oracle (adaptive attribute for CPA). To the definition of secrecy). Then, a response is returned to the attacker A. 3. If the attacker A sends the ciphertext (c 1 , c 2 , c 3 , c 4 ) to the decryption oracle together with the attribute vector (x ⁇ 1 ,..., X ⁇ L ), the attacker A ′ Processes (1) to (3) are performed. (1) The attacker A ′ calculates a predicate vector shown in Formula 195.
  • the attacker A ′ transmits the vector (d + 1 level) shown in Formula 196 to the key inquiry oracle (see the definition of adaptive attribute concealment for CPA), and k * d + 1,0 is returned as a response.
  • the attacker A ′ sets 197.
  • the attacker A ' is, Dec (k * L, 0 , k * L, n + 2, k * L, n + 3, (c 1, c 2, c 3, c 4)) is calculated.
  • Dec (k * L, 0 , k * L, n + 2, k * L, n + 3, (c 1, c 2, c 3, c 4)) is a Dec algorithm in HPE scheme.
  • the Enc algorithm shown in Formula 201 is an Enc algorithm in hierarchical predicate encryption.
  • the attacker A ′ returns (c ( ⁇ ) 1 , c ( ⁇ ) 2 , c ( ⁇ ) 3 , c ( ⁇ ) 4 ) to the attacker A. 5).
  • the attacker A transmits the vector shown in Expression 202 to the key inquiry oracle (refer to the definition of adaptive attribute concealment for the CCA)
  • the processing of (2) is performed.
  • Equation 203 can be expressed.
  • Embodiment 6 FIG.
  • a description will be given of cryptographic processing that has been changed so as to be more secure than the cryptographic processing described in the above embodiments.
  • the encryption process satisfies the security of adaptive attribute concealment for CPA, and the encryption process is changed so as to increase safety.
  • a cryptographic process that satisfies the security of adaptive attribute concealment for CCA and is modified to increase safety will be described.
  • the concept of “n copy vector space” used to increase security will be described.
  • a description will now be given of cryptographic processing that has been changed based on the n-copy vector space so as to increase security.
  • hierarchical predicate encryption will be described, but a hierarchical predicate key concealment scheme can also be realized.
  • an n-copy vector space and a plurality of random numbers that are not used in the hierarchical predicate encryption according to the above embodiment are used.
  • the cryptographic processing is realized in one dual orthonormal specification of the base B generated from the standard base A in the space V and the base B * generated from the standard base A * in the space V * .
  • the base (B [0], ..., B [n-1]) and the base (B [0] *, ... , B [n-1] *) n pieces of dual orthonormal with Cryptographic processing is realized in the regulations.
  • 26 and 27 are diagrams for explaining the n-copy vector space. As shown in FIG. 26, n dual vector spaces (V [0] , ..., V [n-1] ) and (V [0] * , ..., V [n-1] * ) There is.
  • the bases B [0] and B [0] * are dual orthonormal bases
  • the bases B [1] and B [1] * are dual orthonormal bases
  • Base B [n ⁇ 1] and B [n ⁇ 1] * are dual orthonormal bases.
  • n bases (B [0] ,..., B [n ⁇ ) are obtained from the standard bases A and A * of one dual space V and V *. 1] ) and bases (B [0] * ,..., B [n-1] * ) are generated to realize cryptographic processing.
  • n bases (B [0] ,..., B [n-1] ) and bases (B [0] * ,..., B [n-1] * ) are generated, respectively.
  • FIG. 28 is a functional block diagram illustrating functions of the cryptographic processing system 10 that implements a highly secure hierarchical predicate encryption using an n-copy vector space. Similar to the cryptographic processing system 10 according to the second embodiment, the cryptographic processing system 10 includes a key generation device 100, an encryption device 200, a decryption device 300, and a key delegation device 400. Also here, it is assumed that the decryption device 300 includes the key delegation device 400.
  • FIG. 29 is a flowchart showing the operation of the key generation device 100.
  • FIG. 30 is a flowchart showing the operation of the encryption device 200.
  • FIG. 31 is a flowchart showing the operation of the decoding device 300.
  • FIG. 32 is a flowchart showing the operation of the key delegation device 400.
  • the function and operation of the key generation device 100 will be described.
  • the functional configuration of the key generation device 100 is the same as the functional configuration of the key generation device 100 according to Embodiment 2 shown in FIG.
  • a linear transformation ((X [t] ) T ) ⁇ 1 is generated from the linear transformation X [t] by the processing device.
  • the master key generation unit 110 generates the base B [t] * from the base A * based on the generated linear transformation ((X [t] ) T ) ⁇ 1 .
  • the master key storage unit 120 stores the master public key pk and master secret key sk generated by the master key generation unit 110 in the storage device.
  • the master key generation unit 110 executes the Setup algorithm shown in Expression 205 to generate the master public key pk and the master secret key sk.
  • the key vector generation unit 130 calculates the number 206 based on the master public key pk, the master secret key sk, and the predicate vector v ⁇ 1, and is the head element of the first layer (level 1) secret key.
  • the key vector k [t] * 1,0 is generated by the processing device. That is, (1) the key vector generation unit 130 generates a random number ⁇ 1 , a random number ⁇ 1,0 and a random number ⁇ [t] 1,0 by the processing device.
  • the key vector generation unit 130 obtains a predetermined value (here, 1) randomized with a random number ⁇ [t] 1 , 0 as a coefficient for the base vector b [t] * n in the base B [t] * .
  • a predetermined value here, 1 randomized with a random number ⁇ [t] 1 , 0 as a coefficient for the base vector b [t] * n in the base B [t] * .
  • a key vector k [t] * 1,0 is set by the processing device and randomized with a random number ⁇ 1 as a whole.
  • the key generation vector generation unit 140 uses a predetermined value (here, 1 ) randomized with a random number ⁇ [t] 1,1 as a coefficient for the base vector b [t] * n in the base B [t] * .
  • each predicate vector v ⁇ 1 randomized with random numbers ⁇ 1,1 as coefficients for the basis vector b [t] * i (i 0,..., ⁇ 1 ⁇ 1)
  • Elements are set by the processing device, and a key generation vector k [t] * 1 , 1 is generated by randomizing the whole with a random number ⁇ 1 .
  • a predetermined value (here, 1) is set as a coefficient for the basis vector b [t] * j in the basis B [t] * by the processing unit, and the basis vector b [t] *
  • a predetermined value (in this case, 1) randomized with a random number ⁇ [t] 1, j is set as a coefficient with respect to the key generation vector k [t] * 1, j randomized as a whole with a random number ⁇ 1 Is generated.
  • the key vector generation unit 130 and the key generation vector generation unit 140 execute the GenKey algorithm shown in Formula 208 to obtain the key vector k [t] * 1,0 .
  • a first layer private key (key information k ⁇ [t] * 1 ) including the key generation vector k [t] * 1, j is generated by the processing device.
  • the function and operation of the encryption device 200 will be described.
  • the functional configuration of the encryption apparatus 200 is the same as the functional configuration of the encryption apparatus 200 according to Embodiment 2 shown in FIG.
  • t 0,. . .
  • the data transmission unit 230 transmits the encryption vector c [t] generated by the encryption vector generation unit 220 to the decryption device 300 via the communication device.
  • the encryption device 200 executes the Enc algorithm expressed by Equation 211 to generate the encryption vector c [t] .
  • decryption device 300 The function and operation of the decryption device 300 will be described.
  • the functional configuration of decoding apparatus 300 is the same as the functional configuration of decoding apparatus 300 according to Embodiment 2 shown in FIG.
  • the discrete logarithm calculation unit 340 solves the discrete logarithm problem with the information g as a base and calculates plaintext information m for the information f. That is, the discrete logarithm calculation unit 340 calculates the number 214.
  • the plaintext information m input here is a number smaller than a predetermined small integer ⁇ , similarly to the cryptographic processing system 10 that implements the hierarchical predicate encryption described in the second embodiment. This is because, as described above, when the decryption apparatus 300 calculates the plaintext information m, it is necessary to solve the discrete logarithm problem. Further, similarly to the cryptographic processing system 10 that realizes the hierarchical predicate encryption described in the second embodiment, it is possible to set the plaintext information m in a plurality of basis vectors.
  • the decryption apparatus 300 executes the Dec algorithm expressed by Equation 215 to generate plaintext information m ′ or identification information ⁇ .
  • the function and operation of the key delegation device 400 will be described.
  • the functional configuration of key delegation apparatus 400 is the same as the functional configuration of key delegation apparatus 400 according to Embodiment 2 shown in FIG.
  • the key vector acquisition unit 410 obtains a key vector k [t] * L, 0 , which is the leading element of the L-th layer secret key,
  • the key vector k [t] * L, 0 is added to the key vector k [t] * L, 0 to generate the key vector k [t] * L + 1,0 by the processing device.
  • the key generation vector generation unit 430 calculates Formula 217 based on the master public key pk, the key information k ⁇ [t] * L, and the predicate vector v ⁇ L + 1, and generates a lower secret key (lower key vector).
  • the key generation vector k [t] * L + 1, j for generating is generated by the processing device.
  • Key generation vector k [t] * L + 1, j is the jth element of the (L + 1) th layer secret key.
  • the key vector generation unit 420 and the key generation vector generation unit 430 execute the Delegate L algorithm shown in Formula 218, and the key vector k [t] * L + 1, 0 And the key generation vector k [t] * L + 1, j , the L + 1 layer private key (key information k ⁇ [t] * L + 1 ) is generated by the processing device.
  • the key distribution unit 440 transmits the key information k ⁇ [t] * L + 1 generated by the key vector generation unit 420 and the key generation vector generation unit 430 to the lower-level decryption device 300 via the communication device.
  • the cryptographic processing system 10 is a hierarchical predicate encryption that satisfies the security of adaptive attribute concealment for CPA, and uses a hierarchical predicate encryption that has been changed so as to increase safety. Realize. Note that the cryptographic processing system 10 according to this embodiment can easily realize the hierarchical predicate key concealment method, similarly to the cryptographic processing system 10 according to the above embodiment.
  • Embodiment 7 FIG. In this embodiment, a cryptographic process that satisfies the adaptive attribute concealment requirement for CCA constructed based on the cryptographic process that satisfies the adaptive attribute concealment requirement for CPA described in the sixth embodiment will be described.
  • FIG. 33 is a functional block diagram showing functions of the cryptographic processing system 10 according to this embodiment. Similar to the cryptographic processing system 10 according to the second embodiment, the cryptographic processing system 10 includes a key generation device 100, an encryption device 200, a decryption device 300, and a key delegation device 400. Also here, it is assumed that the decryption device 300 includes the key delegation device 400.
  • FIG. 34 is a flowchart showing the operation of the encryption device 200.
  • FIG. 35 is a flowchart showing the operation of the decoding device 300.
  • Sig: (G sig , Sign, Vrfy) is the secure one-time signature scheme described in the fourth embodiment.
  • the function and operation of the key generation device 100 will be described.
  • the functional configuration of the key generation device 100 is the same as the functional configuration of the key generation device 100 according to Embodiment 6 shown in FIG. Further, since the operation flow of the key generation device 100 is the same as the operation flow of the key generation device 100 according to the sixth embodiment shown in FIG. 29, the function and operation of the key generation device 100 will be described based on FIG. To do.
  • the master key generation unit 110 generates a master public key pk and a master secret key sk by the processing device and stores them in the master key storage unit 120.
  • the master key generation unit 110 executes the Setup algorithm shown in Equation 220 to generate the master public key pk and the master secret key sk.
  • the key vector generation unit 130 calculates the number 221 and processes the key vector k [t] * 1,0 that is the first element of the first layer (level 1) private key. Generated by the device.
  • the key generation vector generation unit 140 calculates the number 222 and generates the key generation vector k [t] * 1, j by the processing device.
  • the key generation vector k [t] * 1, j is the j-th element of the first-layer secret key.
  • the key vector generation unit 130 and the key generation vector generation unit 140 execute the GenKey algorithm shown in Equation 223 to obtain the key vector k [t] * 1,0 .
  • a first-layer secret key (key information k ⁇ [t] * 1 ) including the key generation vector k [t] * 1, j is generated by the processing device.
  • the encryption device 200 includes a verification information generation unit 250, a verification information setting unit 260, and a signature information generation unit 270 in addition to the functions of the encryption device 200 according to Embodiment 6 shown in FIG.
  • the verification information generation unit 250 generates the verification key vk and the signature key sk by calculating Formula 224 by the processing device.
  • a predetermined value (here, 1) randomized by ⁇ [t] n + 2 is set by the processing device, and a verification key vk randomized by random number ⁇ [t] n + 2 is used as a coefficient for base vector b [t] n + 3 .
  • the signature information generation unit 270 calculates the number 228 by the processing device and generates the signature information ⁇ . That is, the signature information generation unit 270 generates the signature information ⁇ by executing the Sign by the processing device based on the signature key sk.
  • the data transmission unit 230 decrypts the cryptographic vector c [t] generated by the cryptographic vector generation unit 220, the verification key vk generated by the verification information generation unit 250, and the signature information ⁇ generated by the signature information generation unit 270. It transmits to 300 via a communication apparatus.
  • Decoding apparatus 300 includes a tampering verification unit 370 in addition to the functions of decoding apparatus 300 according to Embodiment 6 shown in FIG.
  • the falsification verification unit 370 determines whether the number 230 is established by the processing device. That is, the falsification verification unit 370 verifies the signature information ⁇ by executing Vrfy with the verification key vk.
  • the vector deforming unit 350 calculates the number 231 by the processing device and deforms the key vector k [t] * L, 0 . That is, the vector transformation unit 350 erases the verification key vk set by the verification information generation unit 250 of the encryption device 200 by the pairing operation executed in a later step (the basis vector set with information including the verification key vk). The key vector is transformed by the verification key vk so that the coefficient becomes 0).
  • the discrete logarithm calculation unit 340 solves the discrete logarithm problem with the information g as the base for the information f and calculates the plaintext information m. That is, the discrete logarithm calculation unit 340 calculates the number 234.
  • the plaintext information m input here is a number smaller than a predetermined small integer ⁇ , similarly to the cryptographic processing system 10 that implements the hierarchical predicate encryption described in the second embodiment. This is because, as described above, when the decryption apparatus 300 calculates the plaintext information m, it is necessary to solve the discrete logarithm problem. Further, similarly to the cryptographic processing system 10 that implements the hierarchical predicate encryption described in the second embodiment, it is also possible to set the plaintext information m in a plurality of basis vectors.
  • the decryption apparatus 300 executes the Dec algorithm expressed by Equation 235 to generate plaintext information m ′ or identification information ⁇ .
  • the function and operation of the key delegation device 400 will be described.
  • the functional configuration of key delegation apparatus 400 is the same as the functional configuration of key delegation apparatus 400 according to Embodiment 6 shown in FIG.
  • the operation flow of the key delegation apparatus 400 is also the same as the operation flow of the key delegation apparatus 400 according to Embodiment 2 shown in FIG. 32, and therefore the function and operation of the key delegation apparatus 400 will be described based on FIG. To do.
  • the key generation vector generation unit 430 calculates Formula 237 and generates a key generation vector k [t] * L + 1, j by the processing device.
  • Key generation vector k [t] * L + 1, j is the jth element of the (L + 1) th layer secret key.
  • the key vector generation unit 420 and the key generation vector generation unit 430 execute the Delegate L algorithm shown in Formula 238 to generate the key vector k [t] * L + 1,0.
  • key generation vector k [t] * L + 1, j key information k ⁇ [t] * L + 1 is generated by the processing device.
  • the key distribution unit 440 sends the key information k ⁇ [t] * L + 1 generated by the key vector generation unit 420 and the key generation vector generation unit 430 to the lower-level decryption device 300. Send through.
  • the cryptographic processing system 10 applies the hierarchical predicate encryption that satisfies the security of adaptive attribute concealment for CPA described in the sixth embodiment, and adaptive attribute concealment for CCA.
  • Hierarchical predicate encryption that satisfies the security of
  • Embodiment 8 FIG. In this embodiment, a method for realizing a dual distortion vector space will be described. First, a description will be given of a realization method by a direct product of an asymmetric bilinear pairing group used as an example of a dual distortion vector space in the above embodiment. Next, a method for realizing a product of symmetric bilinear pairing groups by direct product will be described. And the realization method by the Jacobian manifold of the super singular curve more than 1 kind is demonstrated.
  • Asymmetric bilinear pairing group (G 1 , G 2 , G T , g 1 , g 2 , q) and asymmetric bilinear pairing group (G 1 , G 2 , G T , g 1 , g 2 , q) Is given a pairing operation e.
  • the asymmetric bilinear pairing group (G 1 , G 2 , G T , g 1 , g 2 , q) and the pairing calculation are as described in the first embodiment.
  • a dual distortion vector space is realized as follows. V, V * , a 0,. . . , A N ⁇ 1 , a * 0,. . .
  • a * N ⁇ 1 is as shown in Equation 239.
  • the vectors x and y are as shown in Equation 240.
  • a pairing operation e in (V, V * ) is defined as in Formula 241.
  • the notation e of the pairing operation e is used in both (G 1 , G 2 ) and (V, V * ).
  • the non-degeneracy and bilinearity of the pairing operation e are clearly established.
  • Formula 242 Further, the distortion map ⁇ i, j is simply defined as in Expression 243.
  • ⁇ i, j Pr j is called a distortion map.
  • Embodiment 9 FIG. In the above embodiment, the method for realizing the cryptographic processing in the dual vector space has been described. In this embodiment, a method for realizing cryptographic processing in a dual module will be described.
  • cryptographic processing is realized in a cyclic group with a prime number q.
  • the cryptographic processing described in the above embodiment can be applied to modules with the ring R as a coefficient.
  • the hierarchical predicate key concealment method described in the second embodiment is realized in a module with the ring R as a coefficient
  • the following formulas 246 to 250 are obtained. That is, in principle, by replacing the processing described as the field F q in the above embodiment with the ring R, the cryptographic processing described in the above embodiment can be realized in a module with the ring R as a coefficient. .
  • FIG. 36 is a diagram illustrating an example of a hardware configuration of the key generation device 100, the encryption device 200, the decryption device 300, and the key delegation device 400.
  • the key generation device 100, the encryption device 200, the decryption device 300, and the key delegation device 400 include a CPU 911 (Central Processing Unit, a central processing unit, a processing unit, an arithmetic unit, a micro unit that executes a program.
  • the CPU 911 is connected to the ROM 913, the RAM 914, the LCD 901 (Liquid Crystal Display), the keyboard 902 (K / B), the communication board 915, and the magnetic disk device 920 via the bus 912, and controls these hardware devices.
  • the magnetic disk device 920 (fixed disk device)
  • a storage device such as an optical disk device or a memory card read / write device may be used.
  • the magnetic disk device 920 is connected via a predetermined fixed disk interface.
  • the ROM 913 and the magnetic disk device 920 are examples of a nonvolatile memory.
  • the RAM 914 is an example of a volatile memory.
  • the ROM 913, the RAM 914, and the magnetic disk device 920 are examples of a storage device (memory).
  • the keyboard 902 and the communication board 915 are examples of input devices.
  • the communication board 915 is an example of a communication device (network interface).
  • the LCD 901 is an example of a display device.
  • an operating system 921 OS
  • a window system 922 a program group 923
  • a file group 924 are stored in the magnetic disk device 920 or the ROM 913.
  • the programs in the program group 923 are executed by the CPU 911, the operating system 921, and the window system 922.
  • the program group 923 includes “master key generation unit 110”, “master key storage unit 120”, “key vector generation unit 130”, “key generation vector generation unit 140”, and “key distribution unit 150” in the above description.
  • the program is read and executed by the CPU 911.
  • information such as “master public key pk”, “master secret key sk”, “encryption vector c”, “key vector”, data, signal values, variable values, and parameters are “ It is stored as each item of “file” and “database”.
  • the “file” and “database” are stored in a recording medium such as a disk or a memory.
  • Information, data, signal values, variable values, and parameters stored in a storage medium such as a disk or memory are read out to the main memory or cache memory by the CPU 911 via a read / write circuit, and extracted, searched, referenced, compared, and calculated.
  • Used for the operation of the CPU 911 such as calculation / processing / output / printing / display.
  • Information, data, signal values, variable values, and parameters are temporarily stored in the main memory, cache memory, and buffer memory during the operation of the CPU 911 for extraction, search, reference, comparison, calculation, calculation, processing, output, printing, and display. Is remembered.
  • the arrows in the flowchart mainly indicate input / output of data and signals, and the data and signal values are recorded in a memory of the RAM 914, other recording media such as an optical disk, and an IC chip.
  • Data and signals are transmitted online by a bus 912, signal lines, cables, other transmission media, and radio waves.
  • what is described as “to part” in the above description may be “to circuit”, “to device”, “to device”, “to means”, and “to function”. It may be “step”, “ ⁇ procedure”, “ ⁇ processing”.
  • ⁇ device may be “ ⁇ circuit”, “ ⁇ device”, “ ⁇ equipment”, “ ⁇ means”, “ ⁇ function”, and “ ⁇ step”, “ It may be “procedure” or “procedure”.
  • to process may be “to step”. That is, what is described as “ ⁇ unit” may be realized by firmware stored in the ROM 913. Alternatively, it may be implemented only by software, only hardware such as elements, devices, substrates, wirings, etc., or a combination of software and hardware, and further a combination of firmware.
  • Firmware and software are stored in a recording medium such as ROM 913 as a program. The program is read by the CPU 911 and executed by the CPU 911. That is, the program causes a computer or the like to function as the “ ⁇ unit” described above. Alternatively, the procedure or method of “to unit” described above is executed by a computer or the like.
  • 10 cryptographic processing system 100 key generation device, 110 master key generation unit, 120 master key storage unit, 130 key vector generation unit, 140 key generation vector generation unit, 150 key distribution unit, 200 encryption device, 210 transmission information setting Unit, 220 encryption vector generation unit, 230 data transmission unit, 240 session key generation unit, 250 verification information generation unit, 260 verification information setting unit, 270 signature information generation unit, 300 decryption device, 310 vector input unit, 320 key vector storage Unit, 330 pairing calculation unit, 340 discrete logarithm calculation unit, 350 vector transformation unit, 360 decryption unit, 370 falsification verification unit, 400 key delegation device, 410 key vector acquisition unit, 420 key vector generation unit, 430 key generation vector Generation unit, 440 key distribution .

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Computing Systems (AREA)
  • Algebra (AREA)
  • Computational Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

 階層的述語暗号を実現することを目的とする。ペアリング演算によって関連付けられた双対ベクトル空間(双対ディストーションベクトル空間)である空間Vと空間Vとを用いて暗号処理を行う。暗号化装置は、空間Vにおけるベクトルであって、送信情報を埋め込んだベクトルを暗号ベクトルとして生成する。復号装置は、空間Vにおける所定のベクトルを鍵ベクトルとして、暗号化装置が生成した暗号ベクトルと鍵ベクトルとについて、ペアリング演算を行い前記暗号ベクトルを復号して送信情報に関する情報を抽出する。

Description

[規則37.2に基づきISAが決定した発明の名称] 暗号処理システム
 この発明は、階層的述語鍵秘匿方式及び階層的述語暗号に関するものである。
 述語暗号(Predicate Encryption,PE)に関する提案がされている(非特許文献19)。また、述語暗号における権限委譲に関する提案がされている(非特許文献26)。さらに、ディストーション固有ベクトル空間に関する提案がされている(非特許文献21)。
M. Abe, R. Gennaro, K. Kurosawa, and V. Shoup,"Tag-KEM/DEM: A New Framework for Hybrid Encryption and New Analysis of Kurosawa-Desmedt KEM,"Eurocrypt 2005, LNCS 3494, pp. 128-146, 2005. D. Boneh and X. Boyen, "Efficient selective-ID secure identity based encryption without random oracles," EUROCRYPT 2004, LNCS, Springer-Verlag, 2004. D. Boneh and X. Boyen, "Secure identity based encryption without random oracles," CRYPTO 2004, LNCS, Springer-Verlag, 2004. D. Boneh, X. Boyen and E. Goh, "Hierarchical identity based encryption with constant size ciphertext," EUROCRYPT 2005, LNCS, Springer-Verlag, pp. 440--456, 2005. D.Boneh, X.Boyen and H.Shacham, "Short group signatures," CRYPTO 2004, LNCS 3152, Springer Verlag, pp. 41--55, 2004. D. Boneh and M. Franklin, "Identity-based encryption from the Weil pairing," CRYPTO 2001, LNCS 2139, Springer Verlag, pp.213--229, 2001. D. Boneh and J. Katz, "Improved efficiency for cca-secure cryptosystems built using identity based encryption," RSA-CT 2005, LNCS, Springer Verlag, 2005. J. Bethencourt, A. Sahai and B. Waters,"Ciphertext-policy attribute-based encryption," Proceedings of the 2007 IEEE Symposium on Security and Privacy, 2007. D.Boneh and B.Waters, "Conjunctive, subset, and range queries on encrypted data," TCC 2007, LNCS 4392, Springer Verlag, pp. 535--554, 2007. X.Boyen and B.Waters, "Anonymous hierarchical identity-based encryption (without random oracles),"CRYPTO 2006, pp. 290--307, 2006. R. Canetti, S. Halevi and J. Katz, "Chosen-ciphertext security from identity-based encryption," EUROCRYPT 2004, LNCS, Springer-Verlag, 2004. C. Cocks, "An identity based encryption scheme based on quadratic residues," Proceedings of the 8th IMA International Conference on Cryptography and Coding, pp. 360--363, London, UK, 2001. Springer-Verlag, 2001. C. Gentry, "Practical identity-based encryption without random oracles," EUROCRYPT 2006, LNCS, Springer-Verlag, 2006. C.Gentry and A. Silverberg,"Hierarchical ID-based cryptography," ASIACRYPT 2002, LNCS, Springer-Verlag, 2002. V. Goyal, O. Pandey, A. Sahai and B. Waters,"Attribute-based encryption for fine-grained access control of encrypted data," ACM-CCCS 2006, LNCS, Springer Verlag, 2006. J. Groth and A. Sahai,"Efficient non-interactive proof syatems for bilinear groups,"EUROCRYPT 2008,LNCS 4965, Springer Verlag, pp. 415--432, 2008. J. Horwitz and B. Lynn, "Towards hierarchical identity-based encryption," EUROCRYPT 2002, LNCS, Springer Verlag, 2002. J. Katz and B. Waters"Compact signatues for network coding,"available at IACR ePrint 2008/316. J. Katz, A. Sahai and B. Waters"Predicate encryption supporting disjunctions,polynomial equations, and inner products,"EUROCRYPT 2008,LNCS 4965, Springer Verlag, pp.146--162, 2008. D.Hofheinz and E.Kiltz,"Secure hybrid encryption from weakened key encapsulation,"CRYPTO 2007, LNCS 4622, Springer Verlag, pp. 553--571, 2007. T. Okamoto and K. Takashima,"Homomorphic encryption and signatures from vector decomposition,"Pairing 2008. LNCS 5209, pp. 57--74.Springer Verlag, 2008. R. Ostrovsky, A. Sahai and B. Waters, "Attribute-based encryption with non-monotonic accessstructures," ACM CCS 2007, 2007. M. Pirretti, P. Traynor, P. McDaniel and B. Waters, "Secure attribute-based systems,"ACM CCS 2006, 2006. H.Shacham, "A Cramer-Shoup encryption scheme from the linear assumption and from progressively weaker linear variants," available at IACR ePrint Archive, 2007/074, 2007. A. Sahai and B. Waters,"Fuzzy identity-based encryption," EUROCRYPT 2005, LNCS, Springer Verlag, 2005. E. Shi and B. Waters,"Delegating capability in predicate encryption systems," ICALP 2008, LNCS, Springer Verlag, 2008. K.Takashima,"Efficiently computable distortion maps for supersingular curves,"ANTS, LNCS 5011, Springer Verlag, pp.88--101, 2008.
 非特許文献19では、述語暗号における権限委譲についての記載はない。また、非特許文献26では、述語暗号における権限委譲についての記載があるものの、等号関係テストのクラスについての述語暗号に限定されたものである。
 この発明は、例えば、適用範囲の広い権限委譲可能な述語暗号処理を提供することを目的とする。
 この発明に係る暗号処理システムは、例えば、ペアリング演算によって関連付けられた双対ベクトル空間である空間Vと空間Vとを用いて暗号処理を行う暗号処理システムであり、
 前記空間Vにおけるベクトルであって、所定の情報を埋め込んだベクトルを暗号ベクトルとして処理装置により生成する暗号化装置と、
 前記空間Vにおける所定のベクトルを鍵ベクトルとして、前記暗号化装置が生成した暗号ベクトルと前記鍵ベクトルとについて、処理装置により前記ペアリング演算を行い前記暗号ベクトルを復号して前記所定の情報に関する情報を抽出する復号装置と
を備えることを特徴とする。
 この発明に係る暗号システムによれば、適用範囲の広い権限委譲可能な述語暗号処理を実現可能である。
「階層的」という概念を説明するための図。 属性情報と述語情報との階層構造を示す図。 階層的IDベース暗号の例を示す図。 基底と基底ベクトルとを説明するための図。 ベクトル空間における階層構造の実現方法を説明するための図。 暗号処理システム10の構成図。 暗号処理システム10の鍵生成装置100と第1層目の暗号化装置200と復号装置300との動作を示すフローチャート。 暗号処理システム10の第L層目の鍵委譲装置400と、第L+1層目の暗号化装置200と復号装置300との動作を示すフローチャート。 基底変換方法を説明するための図。 実施の形態2に係る暗号処理システム10の機能を示す機能ブロック図。 鍵生成装置100の動作を示すフローチャート。 暗号化装置200の動作を示すフローチャート。 復号装置300の動作を示すフローチャート。 鍵委譲装置400の動作を示すフローチャート。 実施の形態2に係る双対ディストーションベクトル空間の基底の構造を示す概念図。 (S502)におけるペアリング演算を説明するための図。 下位の鍵では、セッション鍵Kが計算できないことを説明するための図。 上位の鍵で、セッション鍵Kが計算できることを説明するための図。 階層的述語暗号を実現する暗号処理システム10の機能を示す機能ブロック図。 図19に示す暗号化装置200の動作を示すフローチャート。 図19に示す復号装置300の動作を示すフローチャート。 実施の形態4に係る暗号処理システム10の機能を示す機能ブロック図。 暗号化装置200の動作を示すフローチャート。 復号装置300の動作を示すフローチャート。 実施の形態4に係る双対ディストーションベクトル空間の基底の構造を示す概念図。 nコピーベクトル空間を説明するための図(1)。 nコピーベクトル空間を説明するための図(2)。 実施の形態6に係る暗号処理システム10の機能を示す機能ブロック図。 鍵生成装置100の動作を示すフローチャート。 暗号化装置200の動作を示すフローチャート。 復号装置300の動作を示すフローチャート。 鍵委譲装置400の動作を示すフローチャート。 実施の形態7に係る暗号処理システム10の機能を示す機能ブロック図。 暗号化装置200の動作を示すフローチャート。 復号装置300の動作を示すフローチャート。 鍵生成装置100、暗号化装置200、復号装置300、鍵委譲装置400のハードウェア構成の一例を示す図。
 以下、図に基づき、発明の実施の形態を説明する。
 以下の説明において、処理装置は後述するCPU911等である。記憶装置は後述するROM913、RAM914、磁気ディスク920等である。通信装置は後述する通信ボード915等である。入力装置は後述するキーボード902、通信ボード915等である。出力装置は後述するRAM914、磁気ディスク920、通信ボード915、LCD901等である。つまり、処理装置、記憶装置、通信装置、入力装置、出力装置はハードウェアである。
 以下の説明における記法について説明する。
 Aがランダムな変数または分布であるとき、数43は、Aの分布に従いAからyをランダムに選択することを表す。
Figure JPOXMLDOC01-appb-M000043
 Aが集合であるとき、数44は、Aからyを一様に選択することを表す。
Figure JPOXMLDOC01-appb-M000044
 数45は、yがzにより定義された集合であること、又はyがzを代入された集合であることを表す。
Figure JPOXMLDOC01-appb-M000045
 aが定数であるとき、数46は、機械(アルゴリズム)Aが入力xに対しaを出力することを表す。
Figure JPOXMLDOC01-appb-M000046
 ベクトル表記は、有限体Fにおけるベクトル表示を表す。つまり、数47である。
Figure JPOXMLDOC01-appb-M000047
 数48は、数49に示す2つのベクトルxとvとの数50に示す内積を表す。
Figure JPOXMLDOC01-appb-M000048
Figure JPOXMLDOC01-appb-M000049
Figure JPOXMLDOC01-appb-M000050
 0は、どんなnに対しても有限体数F において0ベクトルであることを表す。
 Xは、行列Xの転置行列を表す。
 数51は、xi,jに行列Xの(i,j)番目の値が設定されることを表す。
Figure JPOXMLDOC01-appb-M000051
 また、以下の説明において、暗号処理とは、暗号化処理、復号処理、鍵生成処理を含むものであり、鍵秘匿処理も含むものである。
 実施の形態1.
 この実施の形態では、後の実施の形態で説明する「階層的述語鍵秘匿方式(Hierarchial Predicate Key Encapsulation Mechanism,HPKEM)」や「階層的述語暗号(Hierarchial Predicate Encryption,HPE)」を実現する基礎となる概念と、階層的述語鍵秘匿方式と階層的述語暗号との基本構成について説明する。
 第1に、階層的述語鍵秘匿方式及び階層的述語暗号の一種である「階層的内積述語暗号(階層的内積述語鍵秘匿方式)」という概念を説明する。後の実施の形態で説明する階層的述語鍵秘匿方式及び階層的述語暗号は、階層的内積述語暗号及び階層的内積述語鍵秘匿方式である。階層的内積述語暗号という概念を説明するに当たり、まず「階層的」という概念を説明する。次に、「内積述語暗号」を説明する。そして、階層的という概念を内積述語暗号に加えた「階層的内積述語暗号(階層的内積述語鍵秘匿方式)」を説明する。さらに、階層的内積述語暗号の理解を深めるため、階層的内積述語暗号の応用例を説明する。
 第2に、ベクトル空間における階層的内積述語暗号を説明する。この実施の形態及び以下の実施の形態では、階層的述語鍵秘匿方式と階層的述語暗号とをベクトル空間において実現する。
 第3に、この実施の形態及び後の実施の形態に係る「階層的述語鍵秘匿方式」と「階層的述語暗号」との基本構成を説明する。併せて、階層的述語鍵秘匿方式と階層的述語暗号とを実行する「暗号処理システム10」の概要を説明する。
 第4に、階層的述語鍵秘匿方式や階層的述語暗号を実現するための概念を説明する。まず、双線形ペアリンググループを説明する。続いて、双線形ペアリンググループを用いて、他の概念を以下の(1)から(6)までの6つに分けて説明する。
(1)1次元ペアリング「G×G→G」の空間V,空間Vに対する高次元化。
(2)標準的な双対基底A,A
(3)ディストーション写像を用いた効率的な線形写像。
(4)基底変換による鍵ペア(B,B)の生成方法。
(5)暗号処理への応用のための(V,B),(V,B)での計算困難問題。
(6)鍵ペア(B,B)を用いた内積述語暗号。
 第5に、階層的述語鍵秘匿方式と階層的述語暗号とを実現するための空間である「双対ディストーションベクトル空間(Dual Distortion Vector Spaces,DDVS)」という豊かな数学的構造を有する空間を説明する。
 そして、第6に、以上の説明を踏まえ、後の実施の形態で詳細に説明する階層的述語鍵秘匿方式と階層的述語暗号との実現方法を簡単に説明する。
 <第1.階層的内積述語暗号>
 <第1-1.階層的という概念>
 この実施の形態及び以下の実施の形態で説明する階層的述語鍵秘匿方式と階層的述語暗号とにおける「階層的」という概念について説明する。
 図1は、「階層的」という概念を説明するための図である。
 階層的述語鍵秘匿方式と階層的述語暗号とにおける「階層的」とは、権限委譲できる仕組み(権限委譲システム(Delegation System))を有することである。権限委譲とは、上位の鍵を有する利用者が、その鍵(上位の鍵)よりも機能が制限された下位の鍵を生成することである。
 図1では、Root(鍵生成装置)は、マスター秘密鍵を用いて、第1層目(Level-1)の利用者へ秘密鍵を生成する。つまり、Rootは、第1層目の利用者1,2,3それぞれへ鍵1,2,3を生成する。そして、例えば、利用者1であれば、鍵1を用いて、利用者1の下位(第1層目)の利用者である利用者11,12,13それぞれへ鍵11,12,13を生成することができる。ここで、利用者1が有する鍵1よりも、利用者11,12,13が有する鍵11,12,13は機能が制限されている。機能が制限されているとは、その秘密鍵によって復号できる暗号文が限定されているということである。つまり、上位の秘密鍵で復号できる暗号文の一部の暗号文のみ下位の秘密鍵で復号できることを意味する。すなわち、利用者1が有する鍵1で復号できる暗号文のうち、一部の暗号文のみ利用者11,12,13が有する鍵11,12,13で復号することができる。また、通常は、鍵11と鍵12と鍵13とが復号できる暗号文は異なる。一方、鍵11と鍵12と鍵13が復号できる暗号文は、鍵1で復号することができる。
 <第1-2.内積述語暗号>
 次に、「内積述語暗号」について説明する。
 まず、述語暗号とは、述語情報fに属性情報xを入力した場合に1(True)となる場合(f(x)=1となる場合)に、暗号文を復号できる暗号方式である。通常、暗号文に属性情報xが埋め込まれ、秘密鍵に述語情報fが埋め込まれる。つまり、述語暗号では、属性情報xに基づき暗号化された暗号文cを、述語情報fに基づき生成された秘密鍵SKにより復号する。述語暗号は、例えば、述語情報fが条件式であり、属性情報xがその条件式への入力情報であり、入力情報(属性情報x)が条件式(述語情報f)を満たせば(f(x)=1)、暗号文を復号できる暗号方式であるとも言える。
 なお、述語暗号について詳しくは非特許文献19に記載されている。
 内積述語暗号とは、属性情報xと述語情報fとの内積が所定の値の場合に、f(x)=1となる述語暗号である。つまり、属性情報xと述語情報fとの内積が所定の値の場合にのみ、属性情報xにより暗号化された暗号文cを、述語情報fに基づき生成された秘密鍵SKにより復号することができる。以下の説明では、属性情報xと述語情報fとの内積が0の場合に、f(x)=1となるものとする。
 <第1-3.階層的内積述語暗号>
 階層的内積述語暗号(階層的内積述語鍵秘匿方式)とは、上述した「階層的」という概念を有する「内積述語暗号」である。つまり、階層的内積述語暗号(階層的内積述語鍵秘匿方式)とは、権限委譲システムを有する内積述語暗号である。
 階層的内積述語暗号は、内積述語暗号に権限委譲システムを持たせるため、属性情報と述語情報とに階層構造を有する。
 図2は、属性情報と述語情報との階層構造を示す図である。
 図2において、符号が対応する属性情報と述語情報とは対応する(つまり、内積が0となる)ものとする。つまり、属性1と述語1との内積は0となり、属性11と述語11との内積は0となり、属性12と述語12との内積は0となり、属性13と述語13との内積は0となるとする。すなわち、属性1により暗号化された暗号文c1は、述語1に基づき生成された秘密鍵k1であれば復号できる。また、属性11により暗号化された暗号文c11は、述語11に基づき生成された秘密鍵k11であれば復号できる。属性12と述語12、属性13と述語13についても同様のことが言える。
 上記の通り、階層的内積述語暗号は権限委譲システムを有する。そのため、述語1に基づき生成された秘密鍵k1と、述語11とに基づき、秘密鍵k11を生成することができる。つまり、上位の秘密鍵k1を有する利用者は、その秘密鍵k1と下位の述語11とから、秘密鍵k1の下位の秘密鍵k11を生成することができる。同様に、秘密鍵k1と述語12とから秘密鍵k12を生成でき、秘密鍵k1と述語13とから秘密鍵k13を生成できる。
 また、下位の秘密鍵に対応する鍵(公開鍵)で暗号化された暗号文を上位の秘密鍵で復号できる。一方、上位の秘密鍵に対応する鍵(公開鍵)で暗号化された暗号文は、下位の秘密鍵で復号できない。つまり、属性11、属性12、属性13により暗号化された暗号文c11、c12、c13は、述語1に基づき生成された秘密鍵k1であれば復号できる。一方、属性1により暗号化された暗号文c1は、述語11、述語12、述語13に基づき生成された秘密鍵k11、k12、k13では復号できない。すなわち、属性11、属性12、属性13と述語1との内積は0となる。一方、属性1と述語11、述語12、述語13との内積は0とならない。
 <第1-4.階層的内積述語暗号の応用例>
 図3は、後述する階層的内積述語暗号の応用例である階層的IDベース暗号(Hierarchial Identifier Based Encryption,HIBE)の例を示す図である。なお、階層的IDベース暗号とは、IDベース暗号が階層的になった暗号処理である。IDベース暗号は、述語暗号の一種であり、暗号文に含まれるIDと秘密鍵に含まれるIDとが一致する場合に暗号文を復号できるマッチング述語暗号である。
 図3に示す例では、Root(鍵生成装置)は、マスター秘密鍵skとA会社のIDである「A」とに基づき、ID「A」に対応する秘密鍵(鍵A)を生成する。例えば、A会社のセキュリティ担当者は、鍵Aと各部門のIDとに基づき、そのIDに対応する秘密鍵を生成する。例えば、セキュリティ担当者は、営業部門のIDである「A-1」に対応する秘密鍵(鍵1)を生成する。次に、例えば、各部門の管理者は、その部門の秘密鍵とその部門に属する各課のIDとに基づき、そのIDに対応する秘密鍵を生成する。例えば、営業部門の管理者は、営業1課のIDである「A-11」に対応する秘密鍵(鍵11)を生成する。
 ここで、営業1課のID「A-11」に対応する秘密鍵である鍵11により、営業1課のID「A-11」で暗号化された暗号文を復号することができる。しかし、鍵11により、営業2課や営業3課のIDで暗号化された暗号文は復号することはできない。また、鍵11により、営業部門のIDで暗号化された暗号文は復号することができない。
 営業部門のID「A-1」に対応する秘密鍵である鍵1により、営業部門のID「A-1」で暗号化された暗号文を復号することができる。また、鍵1により、営業部門に属する課のIDで暗号化された暗号文を復号することができる。つまり、鍵1により、営業1課、営業2課、営業3課のIDで暗号化された暗号文を復号することができる。しかし、鍵1により、製造部門(ID:A-2)やスタッフ部門(ID:A-3)のIDで暗号化された暗号文は復号することができない。また、鍵1により、A会社のIDで暗号化された暗号文は復号することができない。
 A会社のID「A」に対応する秘密鍵である鍵Aにより、A会社のID「A」で暗号化された暗号文を復号することができる。また、A会社に属する各部門や、その部門に属する課のIDで暗号化された暗号文を復号することができる。
 IDベース暗号以外へも様々な応用が可能である。特に、以下に説明する暗号処理は、等号関係テストのクラスに限定されたものではないため、非常に多くの応用が可能である。例えば、内積述語暗号の一種である検索可能暗号等についても、階層毎に検索可能な範囲をAND条件やOR条件等の条件式を用いて限定する等、従来の権限委譲システムを有する述語暗号では実現できなかった応用が可能である。
 つまり、後の実施の形態で説明する階層的述語鍵秘匿方式と階層的述語暗号とは、IDベース暗号や検索可能暗号等へ幅広い応用が可能である。
 <第2.ベクトル空間における階層的内積述語暗号>
 階層的述語鍵秘匿方式と階層的述語暗号とは、後述する双対ディストーションベクトル空間という高次元ベクトル空間において実現される。そこで、ベクトル空間における階層的内積述語暗号を説明する。
 まず、ベクトル空間の説明において使用する「基底」と「基底ベクトル」とについて簡単に説明する。
 図4は、基底と基底ベクトルとを説明するための図である。
 図4は、2次元ベクトル空間におけるベクトルvを示す。ベクトルvは、c+cである。また、ベクトルvは、y+yである。ここで、a,aを基底Aにおける基底ベクトルといい、基底A:=(a,a)と表す。また、b,bを基底Bにおける基底ベクトルといい、基底B:=(b,b)と表す。また、c,c,y,yは、各基底ベクトルに対する係数である。図1では、2次元ベクトル空間であったため、各基底における基底ベクトルは2個であった。しかし、N次元ベクトル空間であれば、各基底における基底ベクトルはN個である。
 次に、ベクトル空間における内積述語暗号を説明する。
 上記の通り、内積述語暗号とは、属性情報xと述語情報fとの内積が所定の値(ここでは、0)の場合に、f(x)=1となる述語暗号である。属性情報xと述語情報fとがベクトルであった場合、つまり属性ベクトルxと述語ベクトルvとであった場合、内積述語は数52のように定義される。
Figure JPOXMLDOC01-appb-M000052
 つまり、属性ベクトルxと述語ベクトルvとの内積、つまり要素毎の内積の和が0である場合に、述語情報fに属性情報xを入力した結果が1(True)となり、属性ベクトルxと述語ベクトルvとの内積が0でない場合に、述語情報fに属性情報xを入力した結果が0(False)となる述語暗号である。
 次に、ベクトル空間における階層構造の実現方法を説明する。
 図5は、ベクトル空間における階層構造の実現方法を説明するための図である。
 ここで扱うベクトル空間は、高次元(N次元)ベクトル空間であるとする。つまり、ベクトル空間における所定の基底Cには、基底ベクトルc(i=0,...,N-1)のN個の基底ベクトルが存在する。
 N個の基底ベクトルのうちのn個の基底ベクトル(基底ベクトルc(i=0,...,n-1))を階層構造を表すために使用する。また、基底ベクトルc(i=0,...,n-1)を、基底ベクトルc(i=0,...,μ-1)と、基底ベクトルc(i=μ,...,μ-1)と、...、基底ベクトルc(i=μd-1,...,n-1)とのd個に分割する。ここで、dは、階層の深さを表す数となる。
 そして、μ個の基底ベクトルc(i=0,...,μ-1)を第1層目の属性情報や述語情報を表すために割り当てる。また、μ-μ個の基底ベクトルc(i=μ,...,μ-1)を第2層目の属性情報や述語情報を表すために割り当てる。以下同様に、μ-μd-1個の基底ベクトルc(i=μd-1,...,μ-1(=n-1))を第d層目の属性情報や述語情報を表すために割り当てる。
 また、第L層目の属性情報によって暗号文を生成する場合には、第L層目の属性情報だけでなく、第1層目から第L層目までの属性情報を用いて暗号文を生成する。同様に、第L層目の述語情報によって秘密鍵を生成する場合には、第L層目の述語情報だけでなく、第1層目から第L層目までの述語情報を用いて秘密鍵を生成する。つまり、第L層目の属性情報によって暗号文を生成する場合や、第L層目の述語情報によって秘密鍵を生成する場合には、第1層目から第L層目までに割り当てられたμ個の基底ベクトルc(i=0,...,μ-1)を用いる。例えば、第3層目の属性情報によって暗号文を生成する場合には、第1層目から第3層目までに割り当てられたμ個の基底ベクトルc(i=0,...,μ-1)を用いて、第1層目から第3層目までの属性情報を表して暗号文を生成する。同様に、第3層目の述語情報によって秘密鍵を生成する場合には、第1層目から第3層目までに割り当てられたμ個の基底ベクトルc(i=0,...,μ-1)を用いて、第1層目から第3層目までの述語情報を表して秘密鍵を生成する。つまり、下位の層で使用される属性情報や述語情報には、上位の層で使用される属性情報や述語情報が含まれる。これにより、属性情報と述語情報とに階層構造を持たせる。そして、この属性情報と述語情報とに階層構造を利用して、内積述語暗号に権限委譲システムを持たせる。
 なお、以下の説明においては、ベクトル空間における階層的構造を示すために、階層情報μを用いる。階層情報μを数53に示す。
Figure JPOXMLDOC01-appb-M000053
 つまり、階層情報μは、階層構造を表すために割り当てられた基底ベクトル数(次元数)を示すnと、階層の深さを示すdと、各階層に割り当てられた基底ベクトルを示すためのμ,...,μとの情報を有する。
 次に、ベクトル空間における階層的内積述語暗号を説明する。
 まず、各階層の空間における内積述語について説明する。各階層の空間とは、各階層の属性情報や述語情報を表すために割り当てられた空間である。つまり、第j層目の階層の空間であれば、基底ベクトルc(i=μ-1,...,μ)で表される空間である。
 属性空間Σ(i=1,...,d)を、第i層目の属性情報を表すために割り当てられた空間であるとする。同様に、述語空間F(i=1,...,d)を、第i層目の述語情報を表すために割り当てられた空間であるとする。つまり、属性空間Σは、所定の基底Σの基底ベクトルσ(j=μ-1,...,μ)で表された属性情報の空間である。同様に、述語空間Fは、所定の基底Fの基底ベクトルf(j=μ-1,...,μ)で表された述語情報の空間である。すなわち、属性空間Σであれば、基底ベクトルσ(j=0,...,μ-1)で表された属性情報の空間である。また、属性空間Σであれば、基底ベクトルσ(j=μ,...,μ-1)で表された属性情報の空間である。述語空間Fについても同様である。
 つまり、属性空間Σ(i=1,...,d)と述語空間F(i=1,...,d)とは、それぞれ数54に示す属性情報と述語情報との集合である。
Figure JPOXMLDOC01-appb-M000054
 すると、各属性空間Σ(i=1,...,d)について、内積述語は数55のように定義される。
Figure JPOXMLDOC01-appb-M000055
 つまり、各階層の空間において、属性ベクトルxと述語ベクトルvとの内積が0の場合に、述語情報fに属性情報xを入力した結果が1(True)となる。すなわち、ある階層の属性ベクトルxと同じ階層の述語ベクトルvとの内積が0の場合に、述語情報fに属性情報xを入力した結果が1(True)となる。
 次に、階層的な空間における内積述語について説明する。階層的な空間とは、上位の属性情報や述語情報を表すために割り当てられた空間も含んだ空間である。つまり、第j層目の階層的な空間であれば、基底ベクトルc(i=0,...,μ)で表された空間である。
 すなわち、階層的な属性空間Σと階層的な述語空間Fとは、それぞれ数56に示す空間である。
Figure JPOXMLDOC01-appb-M000056
 ここで、数56に示す階層的な属性空間Σと階層的な述語空間Fとにおける和集合は互いに素な和集合である。数57に示す階層的な属性情報についての数58に示す階層的な述語情報は、数59のように定義される。
Figure JPOXMLDOC01-appb-M000057
Figure JPOXMLDOC01-appb-M000058
Figure JPOXMLDOC01-appb-M000059
 つまり、ベクトル空間における階層的内積述語暗号は、(1)階層的な述語ベクトルvの階層Lが階層的な属性ベクトルxの階層Lと同じか上位であり、(2)属性空間Σ(i=1,...,L)における属性ベクトルxと、各述語空間F(i=1,...,L)における述語ベクトルvとの内積が0である場合に、数58に示す階層的な述語情報へ数57に示す階層的な属性情報を入力した結果が1(True)となる述語暗号である。
 <第3.階層的述語鍵秘匿方式と階層的述語暗号との構成>
 <第3-1.階層的述語鍵秘匿方式>
 階層的述語鍵秘匿方式の構成を簡単に説明する。
 階層的述語鍵秘匿方式は、Setup、GenKey、Enc、Dec、Delegate(L=1,...,d-1)の5つの確率的多項式時間アルゴリズムを備える。
 (Setup)
 Setupアルゴリズムでは、セキュリティパラメータ1λと階層情報μとが入力され、マスター公開鍵pkとマスター秘密鍵skとが出力される。マスター秘密鍵skは最も上位の鍵である。
 (GenKey)
 GenKeyアルゴリズムでは、マスター公開鍵pkとマスター秘密鍵skと数60に示す述語ベクトルv (なお、述語ベクトルv を単にv と記載する場合もある)が入力され、数61に示す第1層目の秘密鍵が出力される。
Figure JPOXMLDOC01-appb-M000060
Figure JPOXMLDOC01-appb-M000061
 (Enc)
 Encアルゴリズムでは、マスター公開鍵pkと属性ベクトルx (i=1,...,L)(1≦L≦d)とが入力され、暗号文cとセッション鍵Kとが出力される。つまり、Encアルゴリズムでは、所定の情報(ρ)を埋め込み属性ベクトルx (i=1,...,L)(1≦L≦d)により暗号化された暗号文cと、所定の情報(ρ)から生成したセッション鍵Kとが出力される。
 (Dec)
 Decアルゴリズムでは、マスター公開鍵pkと数62に示す第L層目の秘密鍵(1≦L≦d)と暗号文cとが入力され、セッション鍵K又は識別情報⊥が出力される。識別情報⊥とは、復号に失敗したことを示す情報である。つまり、Decアルゴリズムでは、暗号文cを第L層目の秘密鍵で復号して、所定の情報(ρ)に関する情報を抽出し、セッション鍵Kを生成する。また、復号に失敗した場合には識別情報⊥を出力する。
Figure JPOXMLDOC01-appb-M000062
 (Delegate
 Delegateアルゴリズムでは、マスター公開鍵pkと数63に示す第L層目の秘密鍵と数64に示す第L+1層目の述語ベクトルv L+1(なお、述語ベクトルv L+1を単にv L+1と記載する場合もある)とが入力され、数65に示す第L+1層目の秘密鍵が出力される。つまり、Delegateアルゴリズムでは、下位の秘密鍵が出力される。
Figure JPOXMLDOC01-appb-M000063
Figure JPOXMLDOC01-appb-M000064
Figure JPOXMLDOC01-appb-M000065
 つまり、第L層目の秘密鍵は、数66に示すGenKeyとDelegateとのアルゴリズムを用いたDeriveLvアルゴリズムによって計算される。
Figure JPOXMLDOC01-appb-M000066
 <第3-2.階層的述語暗号>
 階層的述語暗号の概要を説明する。
 階層的述語暗号は、階層的述語鍵秘匿方式と同様に、Setup、GenKey、Enc、Dec、Delegate(L=1,...,d-1)の5つの確率的多項式時間アルゴリズムを備える。
 (Setup)
 階層的述語鍵秘匿方式と同様に、Setupアルゴリズムでは、セキュリティパラメータ1λと階層情報μとが入力され、マスター公開鍵pkとマスター秘密鍵skとが出力される。
 (GenKey)
 階層的述語鍵秘匿方式と同様に、GenKeyアルゴリズムでは、マスター公開鍵pkとマスター秘密鍵skと数67に示す述語ベクトルv が入力され、数68に示す第1層目の秘密鍵が出力される。
Figure JPOXMLDOC01-appb-M000067
Figure JPOXMLDOC01-appb-M000068
 (Enc)
 Encアルゴリズムでは、マスター公開鍵pkと属性ベクトルx (i=1,...,L)(1≦L≦d)と平文情報mとが入力され、暗号文cが出力される。つまり、Encアルゴリズムでは、平文情報mを埋め込み属性ベクトルx (i=1,...,L)(1≦L≦d)により暗号化された暗号文cが出力される。
 (Dec)
 Decアルゴリズムでは、マスター公開鍵pkと数69に示す第L層目の秘密鍵(1≦L≦d)と暗号文cとが入力され、平文情報m又は識別情報⊥が出力される。識別情報⊥とは、復号に失敗したことを示す情報である。つまり、Decアルゴリズムでは、暗号文cを第L層目の秘密鍵で復号して、平文情報mを抽出する。また、復号に失敗した場合には識別情報⊥を出力する。
Figure JPOXMLDOC01-appb-M000069
 (Delegate
 階層的述語鍵秘匿方式と同様に、Delegateでは、マスター公開鍵pkと数70に示す第L層目の秘密鍵と数71に示す第L+1層目の述語ベクトルv L+1とが入力され、数72に示す第L+1層目の秘密鍵が出力される。つまり、Delegateアルゴリズムでは、下位の秘密鍵が出力される。
Figure JPOXMLDOC01-appb-M000070
Figure JPOXMLDOC01-appb-M000071
Figure JPOXMLDOC01-appb-M000072
 なお、第L層目の秘密鍵は、階層的述語鍵秘匿方式と同様に、上述した数66に示すDeriveLvアルゴリズムによって計算される。
 <第3-3.暗号処理システム10>
 暗号処理システム10について説明する。暗号処理システム10は、上述した階層的述語鍵秘匿方式と階層的述語暗号とのアルゴリズムを実行する。
 図6は、暗号処理システム10の構成図である。
 暗号処理システム10は、鍵生成装置100、暗号化装置200、復号装置300、鍵委譲装置400を備える。なお、ここでは、復号装置300は、鍵委譲装置400を備えるものとする。また、上述したように、暗号処理システム10は、階層的な暗号処理を実行するものであるため、暗号処理システム10は、複数の暗号化装置200、複数の復号装置300、複数の鍵委譲装置400を備えるものとする。
 鍵生成装置100は、階層的述語鍵秘匿方式と階層的述語暗号とのSetup、GenKeyアルゴリズムを実行する。
 暗号化装置200は、階層的述語鍵秘匿方式と階層的述語暗号とのEncアルゴリズムを実行する。
 復号装置300は、階層的述語鍵秘匿方式と階層的述語暗号とのDecアルゴリズムを実行する。
 鍵委譲装置400は、階層的述語鍵秘匿方式と階層的述語暗号とのDelegateアルゴリズムを実行する。
 図7は、暗号処理システム10の鍵生成装置100と第1層目の暗号化装置200と復号装置300との動作を示すフローチャートである。つまり、図7は、マスター鍵(マスター公開鍵とマスター秘密鍵)の生成、第1層目の秘密鍵の生成から、第1層目における暗号化と復号とまでの動作を示すフローチャートである。
 (S101:鍵生成ステップ)
 鍵生成装置100は、Setupアルゴリズムを実行してマスター公開鍵pkとマスター秘密鍵skとを生成する。また、鍵生成装置100は、生成したマスター公開鍵pkとマスター秘密鍵skと、所定の復号装置300(第1層目の復号装置300)に対応する述語ベクトルv (v =(v,...,v)(i=μ-1))とに基づき、GenKeyアルゴリズムを実行して第1層目の秘密鍵を生成する。そして、鍵生成装置100は、生成したマスター公開鍵pkを公開(配布)するとともに、第1層目の秘密鍵を前記所定の復号装置300へ秘密裡に配布する。なお、鍵生成装置100は、マスター秘密鍵を秘密裡に保持する。
 (S102:暗号化ステップ)
 暗号化装置200は、(S101)で鍵生成装置100が配布したマスター公開鍵pkと、前記復号装置300の属性ベクトルx (x =(x,...,x)(i=μ-1))とに基づき、Encアルゴリズムを実行して暗号文cを生成する。なお、階層的述語鍵秘匿方式であれば、暗号化装置200は、セッション鍵Kも併せて生成する。そして、暗号化装置200は、生成した暗号文cを前記復号装置300へネットワーク等を介して送信する。なお、属性ベクトルx は、公開されているものとしてもよいし、暗号化装置200が鍵生成装置100や復号装置300から取得するものとしてもよい。
 (S103:復号ステップ)
 復号装置300は、(S101)で鍵生成装置100が配布したマスター公開鍵pkと第1層目の秘密鍵とに基づき、アルゴリズムDecを実行して、暗号化装置200から受信した暗号文cを復号する。復号装置300は、暗号文cを復号した結果、階層的述語鍵秘匿方式であればセッション鍵Kを取得し、階層的述語暗号であれば平文情報mを取得する。復号装置300は、復号に失敗した場合には識別情報⊥を出力する。
 図8は、暗号処理システム10の第L層目の鍵委譲装置400と、第L+1層目の暗号化装置200と復号装置300との動作を示すフローチャートである。つまり、図8は、第L+1層目の秘密鍵の生成から、第L+1層目における暗号化と復号とまでの動作を示すフローチャートである。
 (S201:鍵委譲ステップ)
 第L層目の鍵委譲装置400(第L層目の復号装置300が備える鍵委譲装置400)は、(S101)で鍵生成装置100が配布したマスター公開鍵pkと、鍵生成装置100又は第L-1層目の鍵委譲装置400が配布した第L層目の秘密鍵と、第L+1層目の復号装置300に対応する述語ベクトルv L+1(v L+1=(v,...,v)(i=μ,j=μL+1-1))とに基づき、アルゴリズムDelegateを実行して第L+1層目の秘密鍵を生成する。そして、第L層目の鍵委譲装置400は、生成した秘密鍵を第L+1層目の復号装置300へ秘密裡に配布する。
 (S202:暗号化ステップ)
 暗号化装置200は、(S101)で鍵生成装置100が配布したマスター公開鍵pkと、第L+1層目までの復号装置300の属性ベクトルx から属性ベクトルx L+1(x (i=1,...,L+1)(=(x,...,x)(i=μL+1-1)))とに基づき、Encアルゴリズムを実行して暗号文cを生成する。なお、階層的述語鍵秘匿方式であれば、暗号化装置200は、セッション鍵Kも併せて生成する。そして、暗号化装置200は、生成した暗号文cを前記復号装置300へネットワーク等を介して送信する。なお、属性ベクトルx から属性ベクトルx L+1(x (i=1,...,L+1))は、公開されているものとしてもよいし、暗号化装置200が鍵生成装置100や復号装置300から取得するものとしてもよい。
 (S203:復号ステップ)
 復号装置300は、(S101)で鍵生成装置100が配布したマスター公開鍵pkと、(S201)で第L層目の鍵委譲装置400が配布した秘密鍵とに基づき、アルゴリズムDecを実行して、暗号化装置200から受信した暗号文cを復号する。復号装置300は、暗号文cを復号した結果、階層的述語鍵秘匿方式であればセッション鍵Kを取得し、階層的述語暗号であれば平文情報mを取得する。
 <第4.階層的述語鍵秘匿方式と階層的述語暗号とを実現するための概念>
 次に、上述した階層的述語鍵秘匿方式と階層的述語暗号との各アルゴリズムを実現するために必要となる概念を説明する。
 <第4-1.双線形ペアリンググループ>
 双線形ペアリンググループ(G,G,G,g,g,q)を説明する。
 双線形ペアリンググループ(G,G,G,g,g,q)は、位数qの3つの巡回群G,G,Gの組である。gはGの生成元であり、gはGの生成元である。そして、双線形ペアリンググループ(G,G,G,g,g,q)は、以下の非退化双線形ペアリングの条件を満たす。
 (条件:非退化双線形ペアリング)
 多項式時間で計算可能な数73に示す非退化双線形ペアリングが存在すること。
Figure JPOXMLDOC01-appb-M000073
 ここで、G=G(=:G)である場合、対象双線形ペアリングと呼ぶ。一方、G≠Gである場合、非対称双線形ペアリングと呼ぶ。対象双線形ペアリングは、超特異(超)楕円曲線を用いて構築できる。一方、非対称双線形ペアリングは、どんな(超)楕円曲線を用いても構築できる。非対称双線形ペアリングは、例えば、通常の楕円曲線を用いて構築できる。
 ここでは、非対称双線形ペアリングを用いて説明する。つまり、双線形ペアリンググループ(G,G,G,g,g,q)は、非対称双線形ペアリンググループであるとする。そして、非対称双線形ペアリンググループの直積を用いて、後述する双対ディストーションベクトル空間を構築した場合について説明する。なお、後の実施の形態で説明するように、双対ディストーションベクトル空間は、非対称双線形ペアリンググループの直積に限らず、他の方法により構築することも可能である。
 <第4-2.(1)1次元ペアリング「G×G→G」の空間V,空間Vに対する高次元化>
 1次元空間の巡回群を高次元空間(高次元ベクトル空間)へ拡張する。つまり、数74に示すように、GとGとの直積によりN次元ベクトル空間VとN次元ベクトル空間Vとを構築する。
Figure JPOXMLDOC01-appb-M000074
 N次元ベクトル空間V,Vとにおけるペアリング演算eを数75に示すように定義する。
Figure JPOXMLDOC01-appb-M000075
つまり、N次元ベクトル空間Vのベクトルx:=(x,x,...,xN-1)とN次元ベクトル空間Vのベクトルy:=(y,y,...,yN-1)とのペアリング演算e(x,y)は、ベクトルxとベクトルyとの要素毎のペアリング演算の積と定義する。すると、上述した非退化双線形ペアリングの条件から、ペアリング演算e(x,y)は、数76に示すように表すことができる。
Figure JPOXMLDOC01-appb-M000076
 なお、ペアリング演算eのeという表記は、(G,G)と(V,V)との両方において使用する。
 <第4-3.(2)標準的な双対基底A,A
 N次元ベクトル空間Vの標準基底Aと、N次元ベクトル空間Vの標準基底Aとを説明する。
 数77は、標準基底Aを示す。
Figure JPOXMLDOC01-appb-M000077
ここで、N次元ベクトル空間Vの全ての要素x:=(x,...,xN-1,g)は、標準基底Aの線形和によって表すことができる。つまり、N次元ベクトル空間Vの全ての要素x:=(x,...,xN-1,g)は、数78のように表すことができる。
Figure JPOXMLDOC01-appb-M000078
 数79は、標準基底Aを示す。標準基底Aと同様に、N次元ベクトル空間Vの全ての要素y:=(y,...,yN-1,g)は、標準基底Aの線形和によって表すことができる。
Figure JPOXMLDOC01-appb-M000079
 標準基底Aと標準基底Aとは、数80に示す条件を満たす。
Figure JPOXMLDOC01-appb-M000080
 つまり、標準基底Aと標準基底Aとは、双対正規直交基底であり、空間Vと空間Vとは、ペアリング演算eによって関連付けられた双対ベクトル空間である。
 標準基底Aと標準基底Aとが数80に示す条件を満たすことについて補足する。
 まず、e(a,a )=uであることについて説明する。一例として、e(a,a )について計算する。上記の通り、a=(g,0,...,0)であり、a =(g,0,...,0)である。したがって、e(a,a )=e(g,g)×e(0,0)×,...,×e(0,0)である。ここで、上記の通り、e(g,g)=uである。また、e(0,0)=e(0・g,0・g)=e(g,gであるから、e(0,0)=1である。したがって、e(a,a )=uとなる。他のe(a,a )についても同様の計算が成立し、e(a,a )=uとなる。
 次に、e(a,a )=1(i≠j)であることについて説明する。一例として、e(a,a )について計算する。上記の通り、a=(g,0,...,0)であり、a =(0,g,0,...,0)である。したがって、e(a,a )=e(g,0)×e(0,g)×e(0,0)×,...,×e(0,0)である。e(g,0)=e(g,0・g)=e(g,gであるから、e(g,0)=1である。同様に、e(0,g)=1である。また、上記の通り、e(0,0)=1である。したがって、e(a,a )=1となる。他のe(a,a )についても同様の計算が成立し、e(a,a )=1となる。
 したがって、標準基底Aと標準基底Aとにおいて、e(a,a )=uであり、e(a,a )=1(i≠j)である。
 <第4-4.(3)ディストーション写像を用いた効率的な線形写像>
 標準基底Aにおける空間Vの生成元xに対するディストーション写像という線形変換について説明する。
 空間Vの標準基底Aにおけるディストーション写像φi,jは、数81に示す写像である。
Figure JPOXMLDOC01-appb-M000081
 数82が成立するため、ディストーション写像φi,jは、数83の変換を行うことができる。
Figure JPOXMLDOC01-appb-M000082
Figure JPOXMLDOC01-appb-M000083
 つまり、標準基底Aのベクトルxの基底ベクトルjの要素を基底ベクトルiの要素へ変換することができる。この際、変換された基底ベクトルjの要素を除く他の要素は、全て0となる。すなわち、ベクトルxの基底ベクトルjの要素が基底ベクトルiの要素となり、その他の要素は0となる。
 空間Vの標準基底Aにおけるディストーション写像φ i,jも、空間Vの標準基底Aにおけるディストーション写像φi,jと同様に表すことができる。
 ディストーション写像φi,j(φ i,j)を用いることにより、数84に示すN×N行列として表される線形変換Wであって、x∈Vに対するどんな線形変換Wも数85によって効率的に計算することができる。
Figure JPOXMLDOC01-appb-M000084
Figure JPOXMLDOC01-appb-M000085
 <第4-5.(4)基底変換による鍵ペア(B,B)の生成方法>
 標準基底Aと標準基底Aとから他の基底Bと基底Bとへ変換する基底変換方法について説明する。図9は、基底変換方法を説明するための図である。
 空間Vにおける標準基底Aから空間Vにおける他の基底B:=(b,...,bN-1)へ変換する。ここでは、数86に示す一様に選択された線形変換Xを用いて、数87に示すように空間Vにおける標準基底Aから空間Vにおける他の基底Bに変換する。
Figure JPOXMLDOC01-appb-M000086
Figure JPOXMLDOC01-appb-M000087
ここで、GLは、General Linearの略である。つまり、GLは、一般線形群であり、行列式が0でない正方行列の集合であり、乗法に関し群である。
 以下に説明する暗号処理において、基底Bは、公開パラメータ(公開鍵)として使用される。また、Xは、トラップドア情報(秘密鍵)として使用される。
 Xを用いることにより、空間Vにおける標準基底Aから空間Vにおける基底B:=(b ,...,b N-1)を効率的に計算できる。ここでは、数88に示すようにXを用いて、空間Vにおける基底Bを計算する。
Figure JPOXMLDOC01-appb-M000088
 ここで、数89が成立する。
Figure JPOXMLDOC01-appb-M000089
つまり、基底Bと基底Bとは、双対空間VとVにおける双対正規直交基底である。すなわち、Xを用いて標準基底AとAとを変形した場合であっても、双対正規直交基底は保存される。
 以下に説明する暗号処理において、基底Bは(Xに代えて)秘密鍵として使用できる。詳しくは後述するが、これにより、後述する暗号処理において、要求される秘密鍵の要件に応じて様々なレベル又はタイプの秘密鍵を作ることができる。つまり、最上位階層の秘密鍵をXとして、下位のレベルの秘密鍵を基底Bの部分情報とすることにより、上位階層の秘密鍵から下位階層の秘密鍵まで階層化された秘密鍵を作ることができる。
 <第4-6.(5)暗号処理への応用のための(V,B),(V,B)での計算困難問題>
 暗号処理に適した(V,B)と(V,B)における計算困難問題の定義及び確立をする。つまり、後述する暗号処理の安全性の根拠となる計算困難問題について説明する。ここで、上述したように、基底B:=(b,...,bN-1)は、空間Vの基底であり、基底B:=(b ,...,b N-1)は空間Vの基底である。
 なお、非特許文献21には、(V,B)における計算問題と決定問題とについての記載、及びそれらの問題の関連についての調査結果についての記載がある。
 ここでは、非特許文献21に記載された計算ベクトル分解問題(Computational Vector Decomposition Problem,CVDP)と、決定部分空間問題(Decisional Subspace Problem,DSP)とについて簡単に説明する。
 最も自然な(計算)問題の1つがCVDPである。CVDPは、部分群分解問題(Subgroup Decomposition Problem)の高次元空間類似体である。
 (N,N)CVDPの仮定は、「数90に示すvが与えられた場合に、数91に示すuを計算することは難しい」というものである。
Figure JPOXMLDOC01-appb-M000090
Figure JPOXMLDOC01-appb-M000091
 上記問題を単純化して説明すると、図4においてベクトルvが与えられた場合に、ベクトルvを基底Bにおけるベクトルvの成分y(又はy)を抽出することは難しい(できない)ということである。つまり、ベクトルvを基底Bにおけるベクトルvの成分yとyとに分解することは難しい(できない)ということである。
 なお、たとえCVDP仮定が正しいとしても、上述したディストーション写像φi,jと、トラップドアX(上述した基底変換方法における線形変換X)と非特許文献21に記載されたアルゴリズムDecoとを用いることにより、CVDPは効率的に計算することができる。一方、CVDP仮定が正しい場合、トラップドアXが与えられなければ、CVDPを効率的に解くことはできない。つまり、上述した基底変換方法における線形変換Xを最上位階層の秘密鍵とすることで、線形変換Xを知らない下位階層ではCVDPを効率的に解くことはできない。
 最も自然な決定問題の1つがDSPである。(N,N)DSPの仮定は、「数92に示すuから数93に示すvを決定することは難しい」というものである。
Figure JPOXMLDOC01-appb-M000092
Figure JPOXMLDOC01-appb-M000093
 上記問題を単純化して説明すると、図4においてベクトルvが与えられた場合に、y(又はy)がベクトルvの成分であると特定することは困難であるということである。
 つまり、以上の2つの問題から、N次元空間におけるベクトルv(=c+...+cN-1N-1)が与えられた場合に、ベクトルvの基底ベクトルbについての成分cを抽出することはできず、cがベクトルvの成分であると特定することはできないと言える。
 <第4-7.(6)鍵ペア(B,B)を用いた内積述語暗号>
 2つのベクトルの内積の計算に双対正規直交基底(B,B)を適用して、内積述語暗号を実現する。
 2つのベクトルの内積の計算に双対正規直交基底(B,B)を適用するとは、数94を計算することである。
Figure JPOXMLDOC01-appb-M000094
 以下のように内積述語暗号を実現する。なお、ここでは、鍵秘匿方式について説明するが、当然暗号方式についても同様に実現可能である。
 暗号文cは、数95に示すように生成される。
Figure JPOXMLDOC01-appb-M000095
 秘密鍵kは、数96に示すように生成される。
Figure JPOXMLDOC01-appb-M000096
 ここで、数97である。
Figure JPOXMLDOC01-appb-M000097
つまり、属性ベクトルxと述語ベクトルvとの内積が0であれば、数98である。
Figure JPOXMLDOC01-appb-M000098
なぜなら、上述したように、数99であるためである。
Figure JPOXMLDOC01-appb-M000099
 つまり、ここでは、属性ベクトルxと述語ベクトルvとの内積が0となるように、属性ベクトルxと述語ベクトルvとを設定することにより、受信側で暗号文cから共有情報K(セッション鍵)を取得することができる。
 ここで、セッション鍵Kは隠蔽される。つまり、秘密鍵kを有さない攻撃者は、暗号文cからセッション鍵Kについての情報を得ることはできない。なぜなら、上述したCVDP仮定によれば、暗号文cの成分であるρbを抽出することはできないためである。
 また、セッション鍵Kだけでなく、属性ベクトルxについても隠蔽される。つまり、秘密鍵kを有さない攻撃者は、暗号文cからセッション鍵Kだけでなく属性ベクトルxについての情報を得ることもできない。ここで、上述したDSP仮定は属性情報xを隠蔽することを説明する中心的な役割を果たす。DSP仮定によれば、数100が数101から区別できないことを示すためである。
Figure JPOXMLDOC01-appb-M000100
Figure JPOXMLDOC01-appb-M000101
 <第5.双対ディストーションベクトル空間>
 第4で説明した概念を踏まえて、双対ディストーションベクトル空間について説明する。上述したように、後述する階層的述語鍵秘匿方式と階層的述語暗号とは、双対ディストーションベクトル空間において実現される。
 双対ディストーションベクトル空間(V,V,G,A,A,q)は、F上の2つのN次元ベクトル空間V,Vの組と、位数qの巡回群Gと、空間Vの標準基底A:=(a,...,aN-1)と空間Vの標準基底A:=(a ,...,a N-1)を有する空間であって、以下の(1)ディストーション写像が存在する、(2)非退化双線形ペアリングが存在する、(3)2つの空間の標準基底が双対正規直交基底であるという3つの条件を満たす空間である。
 (1)ディストーション写像(上記第4-4参照)
 多項式時間で計算可能なディストーション写像φi,jとφ i,jが存在すること。
 つまり、数102に示す空間Vの準同型φi,jと空間Vの準同型φ i,jが多項式時間で計算可能であることが1つ目の条件である。
 (2)非退化双線形ペアリング(上記第4-1参照)
 多項式時間で計算可能な非退化双線形ペアリングeが存在すること。
 つまり、数103に示す非退化双線形ペアリングeが存在することが2つ目の条件である。
Figure JPOXMLDOC01-appb-M000103
 (3)双対正規直交基底(上記第4-2参照)
 空間Vの標準基底Aと空間Vの標準基底Aとが双対正規直交基底であること。
 つまり、空間Vの標準基底Aと空間Vの標準基底Aとが、数104に示す条件を満たすことが3つ目の条件である。
Figure JPOXMLDOC01-appb-M000104
 なお、3つ目の条件を満たすことにより、空間Vと空間Vとがペアリング演算e(上記第4-2参照)によって関連付けられた双対空間であるということも言える。
 ここで、EndFq(V)をF上の空間Vの準同型のFベクトル空間であるとする。同様に、EndFq(V)をF上の空間Vの準同型のFベクトル空間であるとする。すると、ディストーション写像φi,j(resp.φ i,j)は、N次元Fベクトル空間EndFq(V)(resp.EndFq(V))の基底を形成する。
 数105に示すランダムな係数を用いて、数106に示すV/F(resp.V/F)のランダムな多項式時間で計算可能な準同型を効率的にサンプリングすることができる。
Figure JPOXMLDOC01-appb-M000105
Figure JPOXMLDOC01-appb-M000106
 なお、後の実施の形態で、双対ディストーションベクトル空間の例について説明する。
 <第6.階層的述語鍵秘匿方式と階層的述語暗号との実現方法の概要>
 上述した概念(上記第4参照)と、双対ディストーションベクトル空間(上記第5参照)とを踏まえて、上述した暗号処理システム10(上記第3参照)が階層的述語鍵秘匿方式と階層的述語暗号とを実現する方法を簡単に説明する。
 まず、暗号処理システム10は、双対ディストーションベクトル空間において、階層的述語鍵秘匿方式と階層的述語暗号とを実現する。つまり、暗号処理システム10は、ディストーション写像と、非退化双線形ペアリングと、双対正規直交基底とを有する高次元ベクトル空間であって、ペアリング演算eによって関連付けられた高次元双対ベクトル空間において、階層的述語鍵秘匿方式と階層的述語暗号とを実現する。なお、2つの空間を関連付けるペアリング演算e(高次元ベクトル空間におけるペアリング演算)は、上記第4-2にて定義されたペアリング演算である。
 また、上記第4-5によれば、暗号処理システム10は、各空間VとVとの標準基底AとAとから所定の変換により生成された双対正規直交基底BとBとを鍵ペア(公開鍵と秘密鍵とのペア)として用いて、階層的述語鍵秘匿方式と階層的述語暗号とを実現する。上記第4-7によれば、暗号処理システム10の鍵生成装置100は、双対正規直交基底BとBとの一方(以下、基底B)をマスター公開鍵とし、他方(以下、基底B)をマスター秘密鍵とする。
 つまり、図7の(S101)で鍵生成装置100は、高次元ベクトル空間である双対ディストーションベクトル空間の基底Bを含む情報をマスター公開鍵として生成し、基底Bを含む情報をマスター秘密鍵として生成する。また、鍵生成装置100は、述語ベクトルv (v =(v,...,v)(i=μ-1))に基づき基底Bにおけるベクトルを第1層目の秘密鍵として生成する。図7の(S102)で暗号化装置200は、x (x =(x,...,x)(i=μ-1))に基づきマスター公開鍵である基底Bにおけるベクトルにセッション鍵Kを生成するための情報ρ又は平文情報mを埋め込んで暗号文cとして生成する。図7の(S103)で復号装置300は、基底Bにおけるベクトルである暗号文cと、基底Bにおけるベクトルである第1層目の秘密鍵とについてペアリング演算eを行い、暗号文cに埋め込まれたセッション鍵K又は平文情報mを抽出する。なお、復号装置300が実行する高次元ベクトルについてのペアリング演算eは上記第4-2にて定義されたペアリング演算である。
 また、図8の(S201)で鍵委譲装置400は、述語ベクトルv L+1(v L+1=(v,...,v)(i=μ,j=μL+1-1))に基づき基底Bにおけるベクトルを第L+1層目の秘密鍵として生成する。図8の(S202)で暗号化装置200は、属性ベクトルx からx L+1までの属性ベクトル(x (i=1,...,L+1)(=(x,...,x)(i=μL+1-1)))に基づきマスター公開鍵である基底Bにおけるベクトルにセッション鍵Kを生成するための情報ρ又は平文情報mを埋め込んで暗号文cとして生成する。図8の(S203)で復号装置300は、基底Bにおけるベクトルである暗号文cと、基底Bにおけるベクトルである第L+1層目の秘密鍵とについてペアリング演算eを行い、暗号文cに埋め込まれたセッション鍵K又は平文情報mを抽出する。
 なお、上記第4-6で述べた計算困難問題に基づき、この暗号処理の安全性(セッション鍵K又は平文情報m及び属性ベクトルの秘匿性)は保障される。
 実施の形態2.
 この実施の形態では、実施の形態1で説明した概念に基づき、階層的述語鍵秘匿方式を実現する暗号処理システム10について説明する。
 図10から図15に基づき、暗号処理システム10の機能と動作とについて説明する。
 図10は、この実施の形態に係る暗号処理システム10の機能を示す機能ブロック図である。暗号処理システム10は、上述したように、鍵生成装置100、暗号化装置200、復号装置300、鍵委譲装置400を備える。また、ここでも、復号装置300が鍵委譲装置400を備えるものとする。
 図11は、鍵生成装置100の動作を示すフローチャートである。図12は、暗号化装置200の動作を示すフローチャートである。図13は、復号装置300の動作を示すフローチャートである。図14は、鍵委譲装置400の動作を示すフローチャートである。
 図15は、双対ディストーションベクトル空間の基底の構造を示す概念図である。
 鍵生成装置100の機能と動作とについて説明する。鍵生成装置100は、マスター鍵生成部110、マスター鍵記憶部120、鍵ベクトル生成部130、鍵生成用ベクトル生成部140、鍵配布部150を備える。
 (S301:マスター鍵生成ステップ)
 マスター鍵生成部110は、数107を計算して、マスター公開鍵pkとマスター秘密鍵skとを処理装置により生成してマスター鍵記憶部120に記憶する。
Figure JPOXMLDOC01-appb-M000107
 つまり、(1)マスター鍵生成部110は、セキュリティパラメータ1λで、N(=n+2)次元の双対ディストーションベクトル空間(V,V,G,A,A,q)を処理装置により生成する。ここで、Gddvsは、1λとNとを入力として、セキュリティパラメータ1λとN次元空間Vとについての(V,V,G,A,A,q)を出力する双対ディストーションベクトル空間生成アルゴリズムである。
 (2)マスター鍵生成部110は、標準基底Aから基底Bを生成するための線形変換Xを処理装置によりランダムに選択する。
 (3)マスター鍵生成部110は、選択した線形変換Xに基づき、基底A:=(a,...,an-1)から基底B:=(b,...,bn-1)を処理装置により生成する。
 (4)マスター鍵生成部110は、基底A:=(a ,...,a n-1)から基底B:=(b ,...,b n-1)を生成するための線形変換(X-1を線形変換Xから処理装置により生成する。
 (5)マスター鍵生成部110は、生成した線形変換(X-1に基づき、基底Aから基底Bを処理装置により生成する。
 (6)マスター鍵生成部110は、生成した基底Bをマスター秘密鍵skとし、生成した基底Bを含む(1λ,μ,V,V,G,A,A,q,B)をマスター公開鍵pkとする。そして、マスター鍵記憶部120は、マスター鍵生成部110が生成したマスター公開鍵pkとマスター秘密鍵skとを記憶装置に記憶する。
 なお、双対ディストーションベクトル空間の次元数は、N(=n+2)であるとした。ここで、nは、階層情報μが有する階層構造をあらわすために割り当てられている基底数を表すnである。つまり、ここでは、階層構造をあらわすために割り当てられている基底数nに加え、2つの基底ベクトルが設けられている。もちろん、これよりも多くの基底ベクトルを設けてもよい。
 図15に示すように、N(=n+2)個の基底ベクトルのうち、n個の基底ベクトルが階層構造をあらわすために割り当てられている。階層構造をあらわすために割り当てられている基底ベクトルの構造は、図5に示す構造と同様である。残り2つの基底ベクトルのうちの1つの基底ベクトル(n番目の基底ベクトル)は、セッション鍵を生成する情報(送信情報ρ)のための基底ベクトルである。残り2つの基底ベクトルのうちのもう1つの基底ベクトル(n+1番目の基底ベクトル)は、暗号文cをランダム化するための基底ベクトルである。
 すなわち、(S301)において、マスター鍵生成部110は、数108に示すSetupアルゴリズムを実行して、マスター公開鍵pkとマスター秘密鍵skとを生成する。
Figure JPOXMLDOC01-appb-M000108
 (S302:鍵ベクトルk 1,0生成ステップ)
 鍵ベクトル生成部130は、マスター公開鍵pkとマスター秘密鍵skと、述語ベクトルv (v =(v,...,v)(i=μ-1))とに基づき、数109を計算して、第1層目(レベル1)の秘密鍵の先頭要素である鍵ベクトルk 1,0を処理装置により生成する。
Figure JPOXMLDOC01-appb-M000109
 つまり、(1)鍵ベクトル生成部130は、乱数σ1,0を処理装置により生成する。
 (2)鍵ベクトル生成部130は、空間Vの基底Bにおける基底ベクトルb に対する係数として所定の値(ここでは、1)を処理装置により設定するとともに、基底ベクトルb (i=0,...,μ-1)に対する係数として生成した乱数σ1,0でランダム化した述語ベクトルv の各要素を処理装置により設定して、鍵ベクトルk 1,0を生成する。
 (S303:鍵生成用ベクトルk 1,j生成ステップ)
 鍵生成用ベクトル生成部140は、マスター公開鍵pkとマスター秘密鍵skと、述語ベクトルv とに基づき、数110を計算して、下位の秘密鍵(下位の鍵ベクトル)を生成するための鍵生成用ベクトルk 1,jを処理装置により生成する。鍵生成用ベクトルk 1,jは、第1層目の秘密鍵のj番目の要素である。
Figure JPOXMLDOC01-appb-M000110
 つまり、(1)鍵生成用ベクトル生成部140は、乱数σ1,j(j=μ,...,n-1)を処理装置により生成する。
 (2)鍵生成用ベクトル生成部140は、j=μ,...,n-1の各jについて、空間Vの基底Bにおける基底ベクトルb に対する係数として所定の値(ここでは、1)を処理装置により設定するとともに、基底ベクトルb (i=0,...,μ-1)に対する係数として生成した乱数σ1,jでランダム化した述語ベクトルv の各要素を処理装置により設定して、鍵生成用ベクトルk 1,jを生成する。
 すなわち、(S302)と(S303)とにおいて、鍵ベクトル生成部130と鍵生成用ベクトル生成部140とは、数111に示すGenKeyアルゴリズムを実行して、鍵ベクトルk 1,0と鍵生成用ベクトルk 1,jとを含む第1層目の秘密鍵(鍵情報k→* )を処理装置により生成する。
Figure JPOXMLDOC01-appb-M000111
 (S304:鍵配布ステップ)
 鍵配布部150は、マスター鍵生成部110が生成したマスター公開鍵と、鍵ベクトル生成部130と鍵生成用ベクトル生成部140とが生成した鍵情報k→* とを復号装置300へ通信装置を介して送信する。また、鍵配布部150は、マスター公開鍵を暗号化装置200へ通信装置を介して送信する。ここで、鍵情報k→* は秘密裡に復号装置300へ送信されるが、鍵情報k→* を秘密裡に復号装置300へ送信する方法に関しては、どのような方法であっても構わない。例えば、従来の暗号処理を使用して送信してもよい。
 暗号化装置200の機能と動作とについて説明する。暗号化装置200は、送信情報設定部210、暗号ベクトル生成部220、データ送信部230、セッション鍵生成部240を備える。
 (S401:送信情報設定ステップ)
 送信情報設定部210は、マスター公開鍵pkに基づき、数112を処理装置により計算して送信情報ベクトルρvを生成する。
Figure JPOXMLDOC01-appb-M000112
 つまり、送信情報設定部210は、マスター公開鍵pkに含まれる基底Bの基底ベクトルbに対する係数として送信情報ρ(ここでは、乱数)を処理装置により設定して、送信情報ベクトルρvを生成する。
 (S402:暗号ベクトル生成ステップ)
 暗号ベクトル生成部220は、マスター公開鍵pkとx から属性ベクトルx (x (i=1,...,L)(=(x,...,x)(i=μ-1)))とに基づき、数113を処理装置により計算して暗号ベクトルcを生成する。ここで、Lは、階層の深さである。
Figure JPOXMLDOC01-appb-M000113
 つまり、(1)暗号ベクトル生成部220は、乱数x (i=L+1,...,d)と、乱数δ(i=1,...,d,n+1)を処理装置により生成する。
 (2)暗号ベクトル生成部220は、以下のように、マスター公開鍵pkに含まれる基底Bの基底ベクトルb(i=0,...,μ-1)に対する係数として属性ベクトルの各要素を処理装置により設定するとともに、基底ベクトルb(i=μ,...,n-1)に対する係数として乱数を処理装置により設定して属性情報ベクトルxvを生成する。
 まず、暗号ベクトル生成部220は、基底ベクトルb(i=0,...,μ-1)に対する係数として乱数δでランダム化した属性ベクトルx を設定する。また、暗号ベクトル生成部220は、基底ベクトルb(i=μ,...,μ-1)に対する係数として乱数δでランダム化した属性ベクトルx (x =(x,...,x)(i=μ,j=μ-1))を設定する。以下同様に、暗号ベクトル生成部220は、基底ベクトルb(i=μk-1,...,μ-1)(k=3,...,L)に対する係数として乱数δでランダム化した属性ベクトルx (x =(x,...,x)(i=μj-1,j=μ-1))を設定する。
 また、暗号ベクトル生成部220は、基底ベクトルb(i=μ,...,n-1)に対する係数として乱数x (i=L+1,...,d)と乱数δ(i=L+1,...,d)とから計算した乱数値を設定する。
 (3)暗号ベクトル生成部220は、マスター公開鍵pkに含まれる基底Bの基底ベクトルbn+1に対する係数として乱数δn+1を処理装置により設定して、乱数ベクトルrvを生成する。
 (4)暗号ベクトル生成部220は、生成した属性情報ベクトルxvと乱数ベクトルrvとを、送信情報設定部210が生成した送信情報ベクトルρvに加算して暗号ベクトルcを処理装置により生成する。
 (S403:データ送信ステップ)
 データ送信部230は、暗号ベクトル生成部220が生成した暗号ベクトルcを復号装置300へ通信装置を介して送信する。
 (S404:セッション鍵生成ステップ)
 セッション鍵生成部240は、数114を処理装置により計算してセッション鍵Kを生成する。
Figure JPOXMLDOC01-appb-M000114
 すなわち、暗号化装置200は、数115に示すEncアルゴリズムを実行して、暗号ベクトルcと、セッション鍵Kとを生成する。
Figure JPOXMLDOC01-appb-M000115
 復号装置300の機能と動作とについて説明する。復号装置300は、ベクトル入力部310、鍵ベクトル記憶部320、ペアリング演算部330を備える。
 (S501:ベクトル入力ステップ)
 ベクトル入力部310は、暗号化装置200のデータ送信部230が送信した暗号ベクトルcを通信装置を介して受信して入力する。
 (S502:ペアリング演算ステップ)
 ペアリング演算部330は、マスター公開鍵pkと第L層目の秘密鍵の先頭要素である鍵ベクトルk L,0とに基づき、数116を処理装置により計算してセッション鍵K’(=K)を生成する。
Figure JPOXMLDOC01-appb-M000116
 つまり、ペアリング演算部330は、ベクトル入力部310が入力した暗号ベクトルcと、鍵ベクトル記憶部320が記憶装置に記憶した鍵ベクトルk L,0とについて、マスター公開鍵pkに含まれる空間Vと空間Vとを関連付けるペアリング演算eを処理装置により行うことによりセッション鍵K’を計算する。なお、鍵ベクトル記憶部320は、鍵生成装置100又は上位の鍵委譲装置400から鍵ベクトルk L,0を配布された際、鍵ベクトルk L,0を記憶装置に記憶する。
 このペアリング演算により、セッション鍵Kが計算できることについて詳しくは後述する。
 つまり、復号装置300は、数117に示すDecアルゴリズムを実行して、セッション鍵K’を生成する。
Figure JPOXMLDOC01-appb-M000117
 鍵委譲装置400の機能と動作とについて説明する。鍵委譲装置400は、鍵ベクトル取得部410、鍵ベクトル生成部420、鍵生成用ベクトル生成部430、鍵配布部440を備える。
 (S601:鍵ベクトルk L,0取得ステップ)
 鍵ベクトル取得部410は、第L層目の秘密鍵の先頭要素である鍵ベクトルk L,0と、第L層目の秘密鍵のj番目(j=μ,...,n-1)の要素である鍵生成用ベクトルk L,jとを含む第L層目の秘密鍵(鍵情報k→* )を通信装置を介して取得する。つまり、鍵生成装置100が配布した鍵ベクトルk 1,0と鍵生成用ベクトルk 1,jとを含む鍵情報k→* 、又は、上位の鍵委譲装置400が配布した鍵ベクトルk L,0と鍵生成用ベクトルk L,jとを含む鍵情報k→* を通信装置を介して取得する。
 (S602:鍵ベクトルk L+1,0生成ステップ)
 鍵ベクトル生成部420は、マスター公開鍵pkと鍵情報k→* と述語ベクトルv L+1(v L+1=(v,...,v)(i=μ,j=μL+1-1))とに基づき、数118を計算して、第L+1層目の秘密鍵の先頭要素である鍵ベクトルk L+1,0を処理装置により生成する。
Figure JPOXMLDOC01-appb-M000118
 つまり、(1)鍵ベクトル生成部420は、乱数σL+1,0を処理装置により生成する。
 (2)鍵ベクトル生成部420は、鍵生成用ベクトルk L,i(i=μ,...,μL+1-1)に対する係数に乱数σL+1,0でランダム化した述語ベクトルv L+1の各要素を設定したベクトルv(i=μ,...,μL+1-1)を、鍵ベクトルk L,0に加算して鍵ベクトルk L+1,0を処理装置により生成する。
 (S603:鍵生成用ベクトルk L+1,j生成ステップ)
 鍵生成用ベクトル生成部430は、マスター公開鍵pkと鍵情報k→* と述語ベクトルv L+1とに基づき、数119を計算して、下位の秘密鍵(下位の鍵ベクトル)を生成するための鍵生成用ベクトルk L+1,j(j=μ+1,...,n-1)を処理装置により生成する。鍵生成用ベクトルk L+1,jは、第L+1層目の秘密鍵のj番目の要素である。
Figure JPOXMLDOC01-appb-M000119
 つまり、(1)鍵生成用ベクトル生成部430は、乱数σL+1,j(j=μL+1,...,n-1)を処理装置により生成する。
 (2)鍵生成用ベクトル生成部140は、j=μL+1,...,n-1の各jについて、鍵生成用ベクトルk L,jに、鍵生成用ベクトルk L,i(i=μ,...,μL+1-1)に対する係数として乱数σL+1,jでランダム化した述語ベクトルv L+1の各要素を設定したベクトルを加算して、鍵ベクトルk L+1,0の下位の鍵ベクトルを生成するための鍵生成用ベクトルk L+1,jを処理装置により生成する。
 すなわち、(S602)と(S603)とにおいて、鍵ベクトル生成部420と鍵生成用ベクトル生成部430とは、数120に示すDelegateアルゴリズムを実行して、鍵ベクトルk L+1,0と鍵生成用ベクトルk L+1,jとを含む第L+1層目の秘密鍵(鍵情報k→* L+1)を処理装置により生成する。
Figure JPOXMLDOC01-appb-M000120
 つまり、数120に示す鍵情報k→* L+1のうち、先頭(1番目)の要素k L,0が復号鍵L+1となる鍵ベクトルk L+1,0である。また、数120に示す鍵情報k→* L+1のうち、2番目以降の要素が鍵委譲のためのタグである。
 (S604:鍵配布ステップ)
 鍵配布部440は、鍵ベクトル生成部420と鍵生成用ベクトル生成部430とが生成した鍵情報k→* L+1とを下位の復号装置300へ通信装置を介して送信する。ここで、鍵情報k→* L+1は秘密裡に復号装置300へ送信されるが、鍵情報k→* L+1を秘密裡に復号装置300へ送信する方法に関しては、どのような方法であっても構わない。例えば、従来の暗号処理を使用して送信してもよい。
 図16は、(S502)におけるペアリング演算を説明するための図である。
 図16に基づき、(S502)において、ペアリング演算部330が上記数116に示すペアリング演算によりセッション鍵K(=K’)を抽出できることを説明する。なお、図16では、簡単のため、乱数σと乱数δとの添え字を省略して示している。
 上述したように、第L階層における暗号文cは、基底ベクトルb(i=0,...,μ-1)に対する係数としてランダム化した属性ベクトルが設定されている。また、暗号文cは、基底ベクトルb(i=μ,...,n-1)に対する係数として乱数xが設定されている。また、暗号文cは、基底ベクトルbに対する係数としてρが設定されている。さらに、暗号文cは、基底ベクトルbn+1に対する係数として乱数δが設定されている。
 一方、第L階層における鍵ベクトルk L,0は、基底ベクトルb (i=0,...,μ-1)に対する係数としてランダム化した述語ベクトルが設定されている。また、鍵ベクトルk L,0は、基底ベクトルb (i=μ,...,n-1)に対する係数は設定されていない、つまり、係数として0が設定されている。また、鍵ベクトルk L,0は、基底ベクトルb に対する係数として1が設定されている。さらに、鍵ベクトルk L,0は、基底ベクトルbn+1に対する係数として0が設定されている。
 ここで、数116に示すペアリング演算を行うと、鍵ベクトルk L,0において、係数として0が設定されている基底ベクトルb (i=μ,...,n-1,n+1)と、対応する暗号文cの基底ベクトルb(i=μ,...,n-1,n+1)との内積は0になる。
 また、暗号文cにおいて係数として属性ベクトルが設定された基底ベクトルb(i=0,...,μ-1)と、鍵ベクトルk L,0において係数として述語ベクトルが設定された基底ベクトルb (i=0,...,μ-1)との内積は0となる。属性ベクトルと述語ベクトルとは内積が0となるように設定されたものであるためである。
 したがって、数116に示すペアリング演算の結果e(ρb,b )のみが内積0とならずに残る。よって、e(ρb,b )=uρ=Kであり、数116に示すペアリング演算を計算することにより、セッション鍵Kを計算できる。
 図17は、下位の鍵では、セッション鍵Kが計算できないことを説明するための図である。
 図17に基づき、(S502)において、上位階層の属性ベクトルに基づき暗号化した暗号文cと、下位階層の鍵ベクトルk Lv,0とについて、ペアリング演算部330が上記数116に示すペアリング演算によりセッション鍵Kを抽出できないことを説明する。なお、図17では、簡単のため、乱数σと乱数δとの添え字を省略して示している。また、図17についての説明において、Lx(=L)<Lv(=L)である。
 第L階層における暗号文cは、基底ベクトルb(i=0,...,μLx-1)に対する係数としてランダム化した属性ベクトルが設定されている。また、暗号文cは、基底ベクトルb(i=μLx,...,n-1)に対する係数として乱数xが設定されている。また、暗号文cは、基底ベクトルbに対する係数としてρが設定されている。さらに、暗号文cは、基底ベクトルbn+1に対する係数として乱数δが設定されている。
 一方、第L階層における鍵ベクトルk Lv,0は、基底ベクトルb (i=0,...,μLv-1)に対する係数としてランダム化した述語ベクトルが設定されている。また、鍵ベクトルk Lv,0は、基底ベクトルb (i=μLv,...,n-1)に対する係数は設定されていない、つまり、係数として0が設定されている。また、鍵ベクトルk Lv,0は、基底ベクトルb に対する係数として1が設定されている。さらに、鍵ベクトルk Lv,0は、基底ベクトルbn+1に対する係数として0が設定されている。
 ここで、数116に示すペアリング演算を行うと、鍵ベクトルk L,0において、係数として0が設定されている基底ベクトルb (i=μLv,...,n-1,n+1)と、対応する暗号文cの基底ベクトルb(i=μLv,...,n-1,n+1)との内積は0になる。
 また、暗号文cにおいて係数として属性ベクトルが設定された基底ベクトルb(i=0,...,μLx-1)と、鍵ベクトルk L,0において係数として述語ベクトルが設定された基底ベクトルb (i=0,...,μLx-1)との内積は0となる。
 しかし、暗号文cにおいて係数として乱数が設定された基底ベクトルb(i=μLx,...,μLv-1)と、鍵ベクトルk L,0において係数として述語ベクトルが設定された基底ベクトルb (i=μLx,...,μLv-1)との内積は0とならない。
 したがって、e(ρb,b )以外にも値が残ってしまいセッション鍵Kを計算できない。
 図18は、上位の鍵で、セッション鍵Kが計算できることを説明するための図である。
 図18に基づき、(S502)において、下位階層の属性ベクトルに基づき暗号化した暗号文cと、上位階層の鍵ベクトルk Lv,0とについて、ペアリング演算部330が上記数116に示すペアリング演算によりセッション鍵Kを抽出できることを説明する。なお、図18では、簡単のため、乱数σと乱数δとの添え字を省略して示している。また、図20についての説明において、Lx(=L)>Lv(=L)である。
 暗号文cと鍵ベクトルk Lv,0との各基底ベクトルに対する係数としては、図17の場合と同様に設定されている。但し、上記の通り、Lx(=L)>Lv(=L)である。
 ここで、数116に示すペアリング演算を行うと、鍵ベクトルk L,0において、係数として0が設定されている基底ベクトルb (i=μLv,...,n-1,n+1)と、対応する暗号文cの基底ベクトルb(i=μLv,...,n-1,n+1)との内積は0になる。
 また、暗号文cにおいて係数として属性ベクトルが設定された基底ベクトルb(i=0,...,μLv-1)と、鍵ベクトルk L,0において係数として述語ベクトルが設定された基底ベクトルb (i=0,...,μLv-1)との内積は0となる。
 したがって、数116に示すペアリング演算の結果e(ρb,b )のみが内積0とならずに残る。よって、e(ρb,b )=uρ=Kであり、数116に示すペアリング演算を計算することにより、セッション鍵Kを計算できる。
 なお、以上の説明から明らかなように、上記(S402)の(2)で、基底ベクトルb(i=μ,...,μj+1-1)(j=L+1,...,d)に対する係数としてでランダム化した乱数値を設定したのは、下位の鍵ベクトルに対する優位性を保つためである。つまり、鍵ベクトルk L,0であれば、暗号ベクトルcを復号できるが、鍵ベクトルk L,0よりも下位の鍵ベクトルでは暗号ベクトルcを復号することができないようにするためである。
 以上のように、この実施の形態に係る暗号処理システム10は、実施の形態1で説明した概念に基づき、階層的述語鍵秘匿方式を実現することができる。
 なお、上記説明において、鍵生成装置100は、第1層目の秘密鍵を生成した。つまり、鍵生成装置100は、(S302)でk 1,0を生成し、(S303)でk 1,j(j=μ,...,n-1)を生成した。
 しかし、鍵生成装置100は、第1層目の鍵ではなく、第L層目(L≧2)の鍵を生成するとしてもよい。つまり、鍵生成装置100は、(S302)でk L,0を生成し、(S303)でk L,j(j=μ,...,n-1)を生成してもよい。
 すなわち、(S302)で、鍵ベクトル生成部130は、マスター公開鍵pkとマスター秘密鍵skと、数121に示す述語ベクトル(v ,...,v )とに基づき、数122を計算して、第L層目(レベルL)の秘密鍵の先頭要素である鍵ベクトルk L,0を処理装置により生成する。
Figure JPOXMLDOC01-appb-M000121
Figure JPOXMLDOC01-appb-M000122
 また、鍵生成用ベクトル生成部140は、マスター公開鍵pkとマスター秘密鍵skと、数121に示す述語ベクトル(v ,...,v )とに基づき、数123を計算して、下位の秘密鍵を生成するための鍵生成用ベクトルk 1,jを処理装置により生成する。
Figure JPOXMLDOC01-appb-M000123
 つまり、(S302)と(S303)とにおいて、鍵ベクトル生成部130と鍵生成用ベクトル生成部140とは、数124に示すGenKeyアルゴリズムを実行して、鍵ベクトルk L,0と鍵生成用ベクトルk L,jとを含む第L層目の秘密鍵(鍵情報k→* )を処理装置により生成するとしてもよい。
Figure JPOXMLDOC01-appb-M000124
 なお、以下の説明においても、鍵生成装置100は、GenKeyアルゴリズムによって、第1層目の秘密鍵を生成するものとして説明する。しかし、以下の説明においても、鍵生成装置100は、第L層目の秘密鍵を生成するとしてもよい。
 また、以下のようにこの実施の形態に係る暗号処理システム10を変更することにより、暗号処理システム10は階層的述語暗号を実現することができる。
 図19は、階層的述語暗号を実現する暗号処理システム10の機能を示す機能ブロック図である。図19に示す暗号処理システム10の鍵生成装置100と鍵委譲装置400とは、図10に示す暗号処理システム10の鍵生成装置100と鍵委譲装置400と同一である。図19に示す暗号処理システム10の暗号化装置200は、図10に示す暗号処理システム10の暗号化装置200が備えるセッション鍵生成部240を備えていない。図19に示す暗号処理システム10の復号装置300は、図10に示す暗号処理システム10の復号装置300が備える機能に加え、離散対数計算部340を備える。
 図20は、図19に示す暗号化装置200の動作を示すフローチャートである。図21は、図19に示す復号装置300の動作を示すフローチャートである。なお、鍵生成装置100と鍵委譲装置400との動作は、図10に示す暗号処理システム10の鍵生成装置100と鍵委譲装置400との動作と同一であるため、説明を省略する。
 (S701)で、暗号化装置200の送信情報設定部210は、(S401)での送信情報ρに代えて、平文情報mを基底ベクトルbに対する係数として処理装置により設定して、平文ベクトルmvを生成する。次に、(S702)で、暗号ベクトル生成部220は、(S402)と同様に属性情報ベクトルxvと乱数ベクトルrvとを生成する。そして、暗号ベクトル生成部220は、生成した属性情報ベクトルxvと乱数ベクトルrvとを、平文ベクトルmvに加算して暗号ベクトルcを処理装置により生成する。そして、(S703)で、データ送信部230は、(S402)と同様に生成した暗号ベクトルcを復号装置300へ通信装置を介して送信する。
 (S801)で、復号装置300のベクトル入力部310は、(S501)と同様に暗号ベクトルcを通信装置を介して受信して入力する。(S802)で、ペアリング演算部330は、(S502)と同様に暗号ベクトルcと鍵ベクトルk L,0とについて、マスター公開鍵pkに含まれる空間Vと空間Vとを関連付けるペアリング演算eを処理装置により行う。そして、鍵ベクトル記憶部320は、平文情報mに関する情報f(=u)を取得する。(S803)で、離散対数計算部340は、fについて、uを底とする離散対数問題を解き、平文情報mを計算する。つまり、離散対数計算部340は、数125を計算する。
Figure JPOXMLDOC01-appb-M000125
 ここで入力する平文情報mは、所定の小さな整数τよりも小さな数であるとする。つまり、0≦m<τである。これは、上述したように、復号装置300が平文情報mを計算する際、離散対数問題を解く必要があるためである。つまり、平文情報mを自由に設定できるようにしてしまうと、復号装置300が平文情報mを計算するために多くの時間が必要になるためである。そこで、平文情報mを所定の小さな整数τよりも小さな数に制限することで、例えば、平文情報mがとり得る全ての値を全探索で調べたとしても、短時間で平文情報mを計算することができる。
 このように、平文情報mを小さな値に制限した場合であっても、多くの応用が可能であることは一般に知られている。
 なお、上記説明では、平文情報mを1つの基底ベクトルbにのみ設定する例を説明した。しかし、以上の説明に基づけば、容易に複数の基底ベクトルに平文情報mを設定することも可能である。
 また、上述した階層的述語鍵秘匿方式及び階層的述語暗号では、双対ディストーションベクトル空間であることの条件に含まれていたディストーション写像を利用していない。ディストーション写像については、暗号処理を実現するアルゴリズムでは使用せず、暗号処理の安全性を証明するために使用する。したがって、上述した階層的述語鍵秘匿方式及び階層的述語暗号は、ディストーション写像がない空間であっても成立するということができる。すなわち、上述した階層的述語鍵秘匿方式及び階層的述語暗号を実現する空間にディストーション写像があることは、必須ではない。
 実施の形態3.
 この実施の形態では、実施の形態2で説明した階層的述語鍵秘匿方式の安全性について説明する。
 まず、この実施の形態では、階層的述語鍵秘匿方式の正当性を説明する。そして、実施の形態2で説明した階層的述語鍵秘匿方式がこの正当性の要件を満たすことを説明する。次に、階層的述語鍵秘匿方式についての「属性秘匿安全」を説明する。次に、安全性の基準としてCPA(Chosen Plaintext Attacks)に対する適応的属性秘匿について定義する。そして、実施の形態2で説明した階層的述語鍵秘匿方式は、CPAに対する適応的属性秘匿の要件を満たす。
 <階層的述語鍵秘匿方式の正当性>
 階層的述語鍵秘匿方式は数126に示す要件を満たすことが必要である。
Figure JPOXMLDOC01-appb-M000126
 <実施の形態2で説明した階層的述語鍵秘匿方式の正当性>
 実施の形態2で説明した階層的述語鍵秘匿方式が上述した正当性の要件を満たすことを説明する。
 以下の説明において、数127に示す表記を用いる。
Figure JPOXMLDOC01-appb-M000127
 まず、以下の補題1が成立することを説明する。
 (補題1)
 Lを1≦L≦dとする。数128に示す第L層目の秘密鍵は、数129に示す式の係数φL,i,j∈Fの線形結合によって与えられる。
Figure JPOXMLDOC01-appb-M000128
Figure JPOXMLDOC01-appb-M000129
 (補題1が成立することの説明)
 Lにおける帰納法を用いて説明する。
 L=1に対して、数130であるから補題1は成立する。
Figure JPOXMLDOC01-appb-M000130
 L-1の場合に補題1が成立すると仮定する。つまり、数131である。
Figure JPOXMLDOC01-appb-M000131
 ここで、数132である。
Figure JPOXMLDOC01-appb-M000132
 これは、数129がk L,0に対して成立することを示す。同様に、数129はk L,i(i=μ,...,n-1)に対して成立することも言える。
 (補題2)
 実施の形態2で説明した階層的述語鍵秘匿方式が上述した正当性の要件を満たす。
 (補題2が成立することの説明)
 cを数133に示す属性ベクトルx Lxに対応する秘匿されたセッション鍵であるとする。基底BとB*との正規直交性、つまり数134と補題1とによって、復元されたセッション鍵K’は、数135となる。
Figure JPOXMLDOC01-appb-M000133
Figure JPOXMLDOC01-appb-M000134
Figure JPOXMLDOC01-appb-M000135
 そのため、数136となる。
Figure JPOXMLDOC01-appb-M000136
 ここで、数137である場合には、数138である。
Figure JPOXMLDOC01-appb-M000137
Figure JPOXMLDOC01-appb-M000138
なぜなら、数135において数139はFにおいて一様にランダムであり、K’はGにおいて一様にランダムであるためである。
 数140である場合、定義から数141であるjが存在する。
Figure JPOXMLDOC01-appb-M000140
Figure JPOXMLDOC01-appb-M000141
 そこで、L>Lの場合についてのみ考える。L>Lであるなら、cにおいて用いられた数142に示すベクトル(属性ではない)は、一様にランダムである。
Figure JPOXMLDOC01-appb-M000142
さらに、数143に示す述語は非ゼロである。
Figure JPOXMLDOC01-appb-M000143
そのため、無視し得る確率を除いて、数144である。
Figure JPOXMLDOC01-appb-M000144
 <属性秘匿安全>
 階層的述語鍵秘匿方式についての属性秘匿安全とは、暗号文(暗号ベクトル)を生成するために使用した属性ベクトルについての秘匿性が保たれることである。つまり、属性秘匿安全である階層的述語鍵秘匿方式において、攻撃者Aは、暗号文を取得した場合であっても、暗号文を生成するために使用した属性ベクトルについて、送信情報ρに関する情報(セッション鍵K)と同様に知ることができない。
 述語鍵秘匿方式についての属性秘匿安全についての正確な定義は、非特許文献19に記載がある。なお、非特許文献19では、「階層的」という概念を考慮していない。そこで、「階層的」という概念、すなわち鍵委譲という処理を考慮するため、数145に示す(1)(2)の2つの場合も扱い、非特許文献19に記載された述語鍵秘匿方式についての属性秘匿安全についての定義を、階層的述語鍵秘匿方式を含むように一般化する。以下の説明において、ビットτは、上記2つの場合を切り替えるために使用される。
Figure JPOXMLDOC01-appb-M000145
 <CPAに対する適応的属性秘匿の定義>
 階層的属性Σにおける階層的述語Fについての階層的述語鍵秘匿方式がCPAに対して適応的属性秘匿であることの要件は、全ての確率的多項式時間の攻撃者Aについて、以下に示す実験(CPA適応的属性秘匿ゲーム)における攻撃者Aのアドバンテージがセキュリティパラメータにおいて無視し得ることである。
 (実験:CPA適応的属性秘匿ゲーム)
1.Setupアルゴリズムが実行され、マスター公開鍵pkとマスター秘密鍵skが生成される。そして、マスター公開鍵pkが攻撃者Aに与えられる。
2.攻撃者Aは、数146に示すベクトルに対応する鍵を適応的に要求できる。
Figure JPOXMLDOC01-appb-M000146
その要求に対する応答として、攻撃者Aは、数147に示す要求に対応する鍵が与えられる。
Figure JPOXMLDOC01-appb-M000147
3.攻撃者Aは、数148の制限の下で数149を出力する。
Figure JPOXMLDOC01-appb-M000148
Figure JPOXMLDOC01-appb-M000149
4.ランダムなビットθが選択される。また、数150が計算される。
Figure JPOXMLDOC01-appb-M000150
そして、鍵K’は、数151に示すように、関連付けられたセッション鍵の空間からランダムに選択される。
Figure JPOXMLDOC01-appb-M000151
5.攻撃者Aは、上記の制限の下、さらに数152に示すベクトルについての鍵を要求し続けることができる。
Figure JPOXMLDOC01-appb-M000152
6.攻撃者Aはビットθ’を出力する。θ’=θであれば、成功である。
 ここで、攻撃者Aのアドバンテージを数153として定義する。
Figure JPOXMLDOC01-appb-M000153
 実施の形態2で説明した階層的述語鍵秘匿方式は、CPAに対する適応的属性秘匿の要件を満たす。
 実施の形態4.
 この実施の形態では、実施の形態2で説明した階層的述語鍵秘匿方式を応用した安全性の高い階層的述語暗号について説明する。ここで安全性が高いとは、後の実施の形態で説明するCCA(Chosen Ciphertext Attacks)に対する適応的属性秘匿の安全性を満たすという意味である。
 まず、CCAに対する適応的属性秘匿の安全性を満たす階層的述語暗号を実現するための概念として、(1)安全なメッセージ認証、(2)安全な秘匿方式、(3)安全な共通鍵暗号、(4)安全な鍵生成関数の4つの概念を説明する。なお、(1)から(4)の4つの概念は、以下に説明するように先行技術文献に記載された概念であるため、ここでは簡単に説明する。
 次に、上記4つの概念を用いて、CCAに対する適応的属性秘匿の安全性を満たす階層的述語暗号を実現する暗号処理システム10について説明する。
 <(1)安全なメッセージ認証>
 (Mac,Vrfy)を、ワンタイム選択メッセージ攻撃(one-time chosen-message atacks)に対して安全なメッセージ認証コードであるとする。なお、ワンタイム選択メッセージ攻撃に対して安全なメッセージ認証コードについての定義は、非特許文献7に記載されている。
 (Mac,Vrfy)は、対をなす処理であり、それぞれ以下のように動作する。
 Macは、データを暗号化して認証情報を生成する処理である。Mackey(x)は、データxに対して鍵keyにより暗号化する。つまり、y=Mackey(x)であれば、データyは、データxを鍵keyで暗号化したデータ(認証情報)である。
 Vrfyは、Macによって生成された認証情報を検証する処理である。Vrfykey’(x’,y’)は、y=Mackey(x)であるとき、x=x’、y=y’、key=key’である場合に1を返し、x=x’、y=y’、key=key’のいずれか1つでも成立しない場合に0を返す処理である。
 <(2)安全な秘匿方式>
 (Setupenc,Senc,Renc)を、安全な秘匿方式であるとする。また、(Setupenc,Senc,Renc)とともに、後述する第1検証情報com、第2検証情報dec、第3検証情報rを用いる。なお、安全な秘匿方式についての定義は、非特許文献7に記載されている。
 (Setupenc,Senc,Renc)は一体をなす処理であり、それぞれ以下のように動作する。
 Setupencは、セキュリティパラメータ1を入力として、文字列pubをランダムに選択して出力する。
 Sencは、1と文字列pubとを入力として、第1検証情報comと第2検証情報decとr∈{0,1}である第3検証情報rとをランダムに選択して出力する。
 Rencは、文字列pubと第1検証情報comと第2検証情報decとを入力として、r∈{0,1}∪{⊥}である第3検証情報rを出力する。ここで、Rencは、Setupencが出力した文字列pubと、そのpubによってSencが出力した第1検証情報comと第2検証情報decとが入力された場合、r∈{0,1}である第3検証情報rを出力し、その他の情報が入力された場合r∈{⊥}である第3検証情報rを出力する。
 <(3)安全な共通鍵暗号>
 (SE,SD)を、安全な共通鍵暗号方式であるとする。なお、安全な共通鍵暗号方式についての定義は、非特許文献1に記載されている。
 (SE、SD)は、対をなす処理であり、それぞれ以下のように動作する。
 SEは、共通鍵を用いて暗号化する処理である。SEkey(x)は、データxを共通鍵keyにより暗号化する処理である。y=SEkey(x)であれば、データyは、データxを共通鍵keyにより暗号化したデータである。
 SDは、共通鍵を用いて復号する処理である。SDkey(y)は、データyを共通鍵keyにより復号する処理である。つまり、y=SEkey(x)である場合に、x=SDkey(y)である。
 <(4)安全な鍵生成関数>
 KDFを、安全な鍵生成関数であるとする。なお、安全な鍵生成関数についての定義は、非特許文献1に記載されている。
 KDF(x)は、データxに基づき鍵を生成する処理である。key=KDF(x)であれば、鍵keyはデータxに基づき生成された鍵である。
 <CCAに対する適応的属性秘匿の安全性を満たす階層的述語暗号>
 図22から図25と、図11と図14とに基づき、暗号処理システム10の機能と動作とについて説明する。
 図22は、この実施の形態に係る暗号処理システム10の機能を示す機能ブロック図である。暗号処理システム10は、実施の形態2に係る暗号処理システム10と同様に、鍵生成装置100、暗号化装置200、復号装置300、鍵委譲装置400を備える。また、ここでも、復号装置300が鍵委譲装置400を備えるものとする。
 図23は、暗号化装置200の動作を示すフローチャートである。図24は、復号装置300の動作を示すフローチャートである。なお、鍵生成装置100と鍵委譲装置400との動作の流れは、実施の形態2に係る鍵生成装置100と鍵委譲装置400との動作の流れと同一である。そのため、鍵生成装置100の動作については、図11に基づき説明する。また、鍵委譲装置400の動作については、図14に基づき説明する。
 図25は、双対ディストーションベクトル空間の基底の構造を示す概念図である。
 鍵生成装置100の機能と動作とについて説明する。鍵生成装置100の機能構成は、図10に示す実施の形態2に係る鍵生成装置100の機能構成と同一である。また、鍵生成装置100の動作の流れも、図11に示す実施の形態2に係る鍵生成装置100の動作の流れと同一である。そのため、図11に基づき鍵生成装置100の機能と動作を説明する。
 (S301:マスター鍵生成ステップ)
 マスター鍵生成部110は、数154を計算して、マスター公開鍵pkとマスター秘密鍵skとを処理装置により生成してマスター鍵記憶部120に記憶する。
Figure JPOXMLDOC01-appb-M000154
 なお、数154に示す(1)から(5)は、数107に示す(1)から(5)と同一である。但し、N=n+4である点で異なる。N=n+4であることに関しては後述する。(6)マスター鍵生成部110は、Setupencを処理装置により実行して文字列pubを生成する。(7)マスター鍵生成部110は、生成した基底Bをマスター秘密鍵skとし、生成した基底Bを含む(1λ,μ,V,V,G,A,A,q,B,pub)をマスター公開鍵pkとする。つまり、マスター公開鍵pkに文字列pubが含まれる点で、実施の形態2に係るマスター鍵生成部110が生成するマスター鍵と異なる。そして、マスター鍵記憶部120は、マスター鍵生成部110が生成したマスター公開鍵pkとマスター秘密鍵skと記憶装置に記憶する。
 なお、双対ディストーションベクトル空間の次元数は、N(=n+4)であるとした。ここで、nは、階層情報μが有する階層構造をあらわすために割り当てられている基底数を表すnである。つまり、ここでは、階層構造をあらわすために割り当てられている基底数nに加え、4つの基底ベクトルが設けられている。もちろん、これよりも多くの基底ベクトルを設けてもよい。
 図25に示すように、N(=n+4)個の基底ベクトルのうち、n個の基底ベクトルが階層構造をあらわすために割り当てられている。階層構造をあらわすために割り当てられている基底ベクトルの構造は、図5に示す構造と同様である。そして、残り4つの基底ベクトルのうちの1つの基底ベクトル(n番目の基底ベクトル)は、平文情報mのための基底ベクトルである。残り4つの基底ベクトルのうちの他の1つの基底ベクトル(n+1番目の基底ベクトル)は、暗号文cをランダム化するための基底ベクトルである。残り4つの基底ベクトルのうちの他の2つの基底ベクトル(n+2,n+3番目の基底ベクトル)は、検証情報(第1検証情報com)のための基底ベクトルである。
 すなわち、(S301)において、マスター鍵生成部110は、数155に示すSetupアルゴリズムを実行して、マスター公開鍵pkとマスター秘密鍵skとを生成する。
Figure JPOXMLDOC01-appb-M000155
 (S302:鍵ベクトルk 1,0生成ステップ)
 実施の形態2と同様に、鍵ベクトル生成部130は、数156を計算して鍵ベクトルk 1,0を処理装置により生成する。
Figure JPOXMLDOC01-appb-M000156
 (S303:鍵生成用ベクトルk 1,j生成ステップ)
 実施の形態2と同様に、鍵生成用ベクトル生成部140は、数157を計算して鍵生成用ベクトルk 1,jを処理装置により生成する。
Figure JPOXMLDOC01-appb-M000157
但し、鍵生成用ベクトル生成部140は、鍵生成用ベクトルk 1,j(j=μ,...,n-1,n+2,n+3)を生成する。つまり、鍵生成用ベクトル生成部140は、鍵生成用ベクトルk 1,n+2と、鍵生成用ベクトルk 1,n+3とを生成する点で図10に示す鍵生成用ベクトル生成部140と異なる。
 すなわち、(S302)と(S303)とにおいて、鍵ベクトル生成部130と鍵生成用ベクトル生成部140とは、数158に示すGenKeyアルゴリズムを実行して、鍵ベクトルk 1,0と鍵生成用ベクトルk 1,jとを含む第1層目の秘密鍵(鍵情報k→* )を処理装置により生成する。
Figure JPOXMLDOC01-appb-M000158
 (S304:鍵配布ステップ)
 実施の形態2の鍵配布部150と同様に、鍵配布部150は、マスター鍵生成部110が生成したマスター公開鍵と、鍵ベクトル生成部130と鍵生成用ベクトル生成部140とが生成した鍵情報k→* とを復号装置300へ通信装置を介して送信する。また、鍵配布部150は、マスター公開鍵を暗号化装置200へ通信装置を介して送信する。
 暗号化装置200の機能と動作とについて説明する。暗号化装置200は、図10に示す実施の形態2に係る暗号化装置200が備える機能に加え、検証情報生成部250、検証情報設定部260、署名情報生成部270(c2生成部、c3生成部、c4生成部)を備える。
 (S901:検証情報生成ステップ)
 検証情報生成部250は、数159を処理装置により計算して第1検証情報com、第2検証情報dec、第3検証情報rを生成する。
Figure JPOXMLDOC01-appb-M000159
 つまり、検証情報生成部250は、マスター公開鍵に含まれる文字列pubを入力として、Senc(1λ,pub)を処理装置により実行して、第1検証情報com、第2検証情報dec、第3検証情報rを生成する。
 (S902:送信情報設定ステップ)
 実施の形態2と同様に、送信情報設定部210は、数160を処理装置により計算して送信情報ベクトルρvを生成する。
Figure JPOXMLDOC01-appb-M000160
 (S903:検証情報設定ステップ)
 検証情報設定部260は、マスター公開鍵pkに基づき、数161を処理装置により計算して検証情報ベクトルcvを生成する。
Figure JPOXMLDOC01-appb-M000161
 つまり、(1)検証情報設定部260は、乱数δn+2を処理装置により生成する。
 (2)検証情報設定部260は、マスター公開鍵pkに含まれる基底Bの基底ベクトルbn+2に対する係数として乱数δn+2でランダム化した所定の値(ここでは、1)を処理装置により設定するとともに、基底ベクトルbn+3に対する係数として乱数δn+2でランダム化した第1検証情報comを処理装置により設定して、検証情報ベクトルcvを生成する。
 (S904:暗号ベクトル(データc1)生成ステップ)
 暗号ベクトル生成部220は、マスター公開鍵pkと属性ベクトルx から属性ベクトルx (x (i=1,...,L)(=(x,...,x)(i=μ-1)))(Lは、階層の深さ)とに基づき、数162を処理装置により計算して暗号ベクトルcを生成する。
Figure JPOXMLDOC01-appb-M000162
 つまり、(1)実施の形態2と同様に、暗号ベクトル生成部220は、乱数x (i=L+1,...,d)と、乱数δ(i=1,...,d,n+1)を処理装置により生成する。
 (2)実施の形態2と同様に、暗号ベクトル生成部220は、マスター公開鍵pkに含まれる基底Bの基底ベクトルb(i=0,...,μ-1)に対する係数として属性ベクトルの各要素を処理装置により設定するとともに、基底ベクトルb(i=μ,...,n-1)に対する係数として乱数を処理装置により設定して属性情報ベクトルxvを生成する。
 (3)実施の形態2と同様に、暗号ベクトル生成部220は、マスター公開鍵pkに含まれる基底Bの基底ベクトルbn+1に対する係数として乱数を処理装置により設定して、乱数ベクトルrvを生成する。
 (4)暗号ベクトル生成部220は、生成した属性情報ベクトルxvと乱数ベクトルrvと、送信情報設定部210が生成した送信情報ベクトルρvと、検証情報設定部260が生成した検証情報ベクトルcvとを加算して暗号ベクトルc(データc1)を処理装置により生成する。
 (S905:セッション鍵生成ステップ)
 セッション鍵生成部240は、数163を処理装置により計算してセッション鍵Kを生成する。
Figure JPOXMLDOC01-appb-M000163
 (S906:データc2生成ステップ)
 署名情報生成部270は、数164を処理装置により計算してデータc2を生成する。
Figure JPOXMLDOC01-appb-M000164
 つまり、署名情報生成部270は、セッション鍵KからKDFを処理装置により実行して、共通鍵を生成する。署名情報生成部270は、生成した共通鍵により、SEを処理装置により実行して、平文情報mと第2検証情報decとを暗号化してデータc2を生成する。
 (S907:データc3生成ステップ)
 署名情報生成部270は、第1検証情報comをデータc3とする。
 (S908:データc4生成ステップ)
 署名情報生成部270は、以下の数165を処理装置により計算してデータc4を生成する。
Figure JPOXMLDOC01-appb-M000165
 つまり、署名情報生成部270は、暗号ベクトル生成部220が生成したデータc1と署名情報生成部270が生成したデータc2とを、第3検証情報rに基づき処理装置により暗号化する。
 (S909:データ送信ステップ)
 データ送信部230は、暗号ベクトル生成部220が生成したデータc1と、署名情報生成部270が生成したデータc2,c3,c4とを復号装置300へ通信装置を介して送信する。
 つまり、暗号化装置200は、数166に示すEncアルゴリズムを実行して、データc1,c2,c3,c4を生成する。
Figure JPOXMLDOC01-appb-M000166
 復号装置300の機能と動作とについて説明する。復号装置300は、図10に示す実施の形態2に係る復号装置300が備える機能に加え、ベクトル変形部350、復号部360(c2復号部)、改ざん検証部370を備える。
 (S1001:ベクトル入力ステップ)
 実施の形態2と同様に、ベクトル入力部310は、暗号化装置200のデータ送信部230が送信したデータc1,c2,c3,c4を通信装置を介して受信して入力する。
 (S1002:鍵ベクトル変形ステップ)
 ベクトル変形部350は、数167を処理装置により計算して、鍵ベクトルk L,0を変形する。
Figure JPOXMLDOC01-appb-M000167
 つまり、ベクトル変形部350は、後のステップで実行するペアリング演算によって、暗号化装置200の検証情報生成部250が設定した検証情報comが消える(検証情報comを含む情報を設定した基底ベクトル(基底ベクトルbn+2,bn+3と基底ベクトルb n+2,b n+3)についての内積が0になる)ように第L層目の秘密鍵の先頭要素である鍵ベクトルk L,0をデータc3(検証情報com)により変形する。
 (S1003:ペアリング演算ステップ)
 ペアリング演算部330は、マスター公開鍵pkと変形後の鍵ベクトルk L,0とに基づき、数168を処理装置により計算してセッション鍵K’(=K)を生成する。
Figure JPOXMLDOC01-appb-M000168
 つまり、ペアリング演算部330は、ベクトル入力部310が入力したデータc1(暗号ベクトルc)と、(S1002)で変形した鍵ベクトルk L,0とについて、マスター公開鍵pkに含まれる空間Vと空間Vとを関連付けるペアリング演算eを処理装置により行うことによりセッション鍵K’を計算する。
 なお、データc1が改ざんされていなければ、ベクトル変形部350が鍵ベクトルを変形したことにより、データc1に設定された検証情報comを含む情報(基底ベクトルbn+2,bn+3に設定された情報)は、ペアリング演算の結果消える。そのため、データc1が改ざんされていなければ、ペアリング演算部330は、暗号化装置200が生成したセッション鍵Kと同一のセッション鍵Kを生成することができる。
 (S1004:c2復号ステップ)
 復号部360は、数169を処理装置により計算してデータc2を復号する。
Figure JPOXMLDOC01-appb-M000169
 つまり、復号部360は、セッション鍵KからKDFを処理装置により実行して、共通鍵を生成する。復号部360は、生成した共通鍵により、SDを処理装置により実行して、平文情報m’(=m)と第2検証情報dec’(=dec)とを生成する。つまり、データc1が改ざんされておらず、正しくセッション鍵Kが生成されるとともに、データc2が改ざんされていなければ、暗号化装置200がデータc2に埋め込んだ平文mと第2検証情報decとが生成される。
 (S1005:改ざん検証ステップ)
 改ざん検証部370は、数170と数171とが成立するか否かを処理装置により判定してデータc1,c2,c3,c4が改ざんされていないことを検証する。すなわち、改ざん検証部370は、平文情報mが改ざんされていないことを検証する。
Figure JPOXMLDOC01-appb-M000170
Figure JPOXMLDOC01-appb-M000171
 つまり、(1)改ざん検証部370は、数170に示すように、マスター公開鍵pkに含まれる文字列pubと、暗号化装置200から受信したデータc3(第1検証情報com)と、生成した第2検証情報dec’とに基づき、Rencを処理装置により実行して、第3検証情報r’(=r)を生成する。データc3が改ざんされておらず、第2検証情報dec’が正しければ、暗号化装置200がSencを実行して生成した第3検証情報rが生成される。一方、データc3が改ざんされているか、あるいは第2検証情報dec’が正しくなければ、第3検証情報rではなく、識別情報⊥が生成される。つまり、改ざん検証部370は、識別情報⊥ではないデータが生成された場合、そのデータは暗号化装置200がSencを実行して生成した正しい第3検証情報rであると判定できる。
 (2)改ざん検証部370は、数171に示すように、生成した第3検証情報r’と、暗号化装置200から受信したデータc1,c2,c4とに基づき、Vrfyを処理装置により実行する。第3検証情報r’が正しく、データc1,c2,c4が改ざんされていなければ、Vrfyの実行結果は1となる。一方、第3検証情報r’が正しくないか、あるいはデータc1,c2,c4のいずれかが改ざんされていれば、Vrfyの実行結果は0となる。
 改ざん検証部370は、第3検証情報rが正しく生成されるとともに、Vrfyの実行結果が1であれば、生成した平文情報m’は暗号化装置200が送信した平文情報mであると判定する。平文情報m’が平文情報mであると判定した場合、改ざん検証部370は平文情報m’を出力する。一方、平文情報m’が平文情報mでないと判定した場合、改ざん検証部370は識別情報⊥を出力する。
 つまり、復号装置300は、数172に示すDecアルゴリズムを実行して、平文情報m’又は識別情報⊥を生成する。
Figure JPOXMLDOC01-appb-M000172
 鍵委譲装置400の機能と動作とについて説明する。鍵委譲装置400の機能構成は、図10に示す実施の形態2に係る鍵委譲装置400の機能構成と同一である。また、鍵委譲装置400の動作の流れも、図14に示す実施の形態2に係る鍵委譲装置400の動作の流れと同一である。そのため、図14に基づき鍵委譲装置400の機能と動作を説明する。
 (S601:鍵ベクトルk L,0取得ステップ)
 実施の形態2と同様に、鍵ベクトル取得部410は、第L層目の秘密鍵の先頭要素である鍵ベクトルk L,0と、第L層目の秘密鍵のj番目(j=μ,...,n-1)の要素である鍵生成用ベクトルk L,jとを含む第L層目の秘密鍵(鍵情報k→* )を通信装置を介して取得する。
 (S602:鍵ベクトルk L,0生成ステップ)
 実施の形態2と同様に、鍵ベクトル生成部420は、数173を計算して、第L+1層目の秘密鍵の先頭要素である鍵ベクトルk L+1,0を処理装置により生成する。
Figure JPOXMLDOC01-appb-M000173
 (S603:鍵生成用ベクトルk L,j生成ステップ)
 実施の形態2と同様に、鍵生成用ベクトル生成部430は、数174を計算して、鍵生成用ベクトルk L+1,jを処理装置により生成する。鍵生成用ベクトルk L+1,jは、第L+1層目の秘密鍵のj番目の要素である。
Figure JPOXMLDOC01-appb-M000174
但し、鍵生成用ベクトル生成部430は、鍵生成用ベクトルk L+1,j(j=μ,...,n-1,n+2,n+3)を生成する。つまり、鍵生成用ベクトル生成部140は、鍵生成用ベクトルk L+1,n+2と、鍵生成用ベクトルk L+1,n+3とを生成する点で図10に示す鍵生成用ベクトル生成部140と異なる。
 すなわち、(S602)と(S603)とにおいて、鍵ベクトル生成部420と鍵生成用ベクトル生成部430とは、数175に示すDelegateアルゴリズムを実行して、鍵ベクトルk L+1,0と鍵生成用ベクトルk L+1,jとを含む第L+1層目の秘密鍵(鍵情報k→* L+1)を処理装置により生成する。
Figure JPOXMLDOC01-appb-M000175
 (S604:鍵配布ステップ)
 実施の形態2と同様に、鍵配布部440は、鍵ベクトル生成部420と鍵生成用ベクトル生成部430とが生成した鍵情報k→* L+1を下位の復号装置300へ通信装置を介して送信する。
 以上のように、この実施の形態に係る暗号処理システム10は、実施の形態2で説明した階層的述語鍵秘匿方式を応用して、階層的述語暗号を実現する。なお、この実施の形態で説明した階層的述語暗号は、CCAに対する適応的属性秘匿の安全性を満たす安全性の高い暗号方式である。
 上述した階層的述語暗号は、実施の形態2で説明した階層的述語鍵秘匿方式に、非特許文献7に記載された方式を応用して構築した。しかし、以下のように、実施の形態2で説明した階層的述語鍵秘匿方式に、非特許文献11に記載された方式を応用して安全性の高い(CCAに対する適応的属性秘匿の安全性を満たす)階層的述語暗号を構築することもできる。ここでは、Setup、Genkey、Enc、Dec、Delegateの各アルゴリズムを簡単に説明をする。
 実施の形態2で説明した階層的述語鍵秘匿方式に、非特許文献11に記載された方式を応用した暗号処理システム10では、安全なワンタイム署名方式を用いて階層的述語暗号を実現する。ここで、「安全な」とは、偽造することができないという意味である。安全なワンタイム署名方式の定義は、非特許文献11に記載されている。そこで、ここでは、簡単に説明する。
 Sig:=(Gsig,Sign,Vrfy)を、安全なワンタイム署名方式であるとする。(Gsig,Sign,Vrfy)は、それぞれ以下のように動作する。
 Gsig(1λ)は、Fの認証用の鍵(検証鍵vk,署名鍵sk)を出力する処理である。
 Σ=Signsk(x)は、データxに対して署名鍵skで署名情報Σを生成する処理である。
 Vrfyvk(x,Σ)は、署名情報Σがデータxに対して署名鍵skで生成された正しい署名情報である場合に1を返し、正しい署名情報でない場合に0を返す処理である。
 数176にSetupアルゴリズムを示す。
Figure JPOXMLDOC01-appb-M000176
 数177にGenkeyアルゴリズムを示す。
Figure JPOXMLDOC01-appb-M000177
 数178にEncアルゴリズムを示す。
Figure JPOXMLDOC01-appb-M000178
 数179にDecアルゴリズムを示す。
Figure JPOXMLDOC01-appb-M000179
 数180にDelegateアルゴリズムを示す。
Figure JPOXMLDOC01-appb-M000180
 また、上述したCCAに対する適応的属性秘匿の安全性を満たす階層的述語暗号のEncアルゴリズムにおける平文情報mを乱数rnに変更するとともに、Decアルゴリズムの出力をK’に変更することにより、階層的述語暗号を階層的述語鍵秘匿方式に変形することができる。
 例えば、EncアルゴリズムとDecアルゴリズムとを数181、数182に示すようにすることで、実施の形態2で説明した階層的述語鍵秘匿方式に、非特許文献7に記載された方式を応用して構築した階層的述語暗号を階層的述語鍵秘匿方式に変更できる。
Figure JPOXMLDOC01-appb-M000181
Figure JPOXMLDOC01-appb-M000182
なお、Setupアルゴリズム、GenKeyアルゴリズム、Delegateアルゴリズムは変更する必要はない。また、上記説明では、平文情報mに代えて乱数rnを用いたが、単にEncアルゴリズムにおける平文情報mをなくしても、つまりデータc2の計算にmを用いないようにしても階層的述語暗号を階層的述語鍵秘匿方式に変形することができる。
 実施の形態2で説明した階層的述語鍵秘匿方式に、非特許文献11に記載された方式を応用した階層的述語暗号については、単純に、Encアルゴリズムで平文情報mに代えて送信情報ρを埋め込んだ暗号ベクトルcを生成して、Decアルゴリズムで送信情報ρに関する情報uρを抽出することで、容易に階層的述語鍵秘匿方式に変換することができる。
 実施の形態5.
 この実施の形態では、実施の形態4で説明した階層的述語暗号の安全性について説明する。
 まず、この実施の形態では、階層的述語暗号の正当性を説明する。次に、安全性の基準としてCCA(Chosen Ciphertext Attacks)に対する適応的属性秘匿について定義する。そして、実施の形態4で説明した階層的述語暗号がCCAに対する適応的属性秘匿の要件を満たすことを説明する。
 <階層的述語暗号の正当性>
 階層的述語暗号は数183に示す要件を満たすことが必要である。
Figure JPOXMLDOC01-appb-M000183
なお、DeriveLv(ここで、LvはLである)は、上述した通り、GenKeyとDelegateとを用いて定義される。
 <CCAに対する適応的属性秘匿の定義>
 階層的属性Σにおける階層的述語Fについての階層的述語暗号がCCAに対して適応的属性秘匿であることの要件は、全ての確率的多項式時間の攻撃者Aについて、以下に示す実験(CCA適応的属性秘匿ゲーム)における攻撃者Aのアドバンテージがセキュリティパラメータにおいて無視し得ることである。
 (実験:CCA適応的属性秘匿ゲーム)
1.Setupアルゴリズムが実行され、マスター公開鍵pkとマスター秘密鍵skが生成される。そして、マスター公開鍵pkが攻撃者Aに与えられる。
2.攻撃者Aは、数184に示すベクトルに対応する鍵を適応的に要求できる。
Figure JPOXMLDOC01-appb-M000184
その要求に対する応答として、攻撃者Aは、数185に示す要求に対応する鍵が与えられる。
Figure JPOXMLDOC01-appb-M000185
3.攻撃者は、暗号文cと数186に示す属性ベクトルにより問い合わせを行い、その属性ベクトルに関して暗号文cの復号を適応的に要求することができる。
Figure JPOXMLDOC01-appb-M000186
その要求に対する応答として、攻撃者Aは、数187に示す平文情報m’が与えられる。
Figure JPOXMLDOC01-appb-M000187
4.攻撃者Aは、数188の制限の下で数189を出力する。
Figure JPOXMLDOC01-appb-M000188
Figure JPOXMLDOC01-appb-M000189
5.ランダムなビットθが選択される。そして、攻撃者Aは、数190に示すcθが与えられる。
Figure JPOXMLDOC01-appb-M000190
6.攻撃者Aは、さらに上記の制限の下、数191に示すベクトルについての鍵を要求し続けることができる。
Figure JPOXMLDOC01-appb-M000191
7.攻撃者Aは、暗号文cと数192に示す属性ベクトルにより問い合わせを行い、その属性ベクトルに関連した暗号文cの復号を適応的に要求することができる。
Figure JPOXMLDOC01-appb-M000192
8.攻撃者Aはビットθ’を出力する。θ’=θであれば、成功である。
 ここで、攻撃者Aのアドバンテージを数193として定義する。
Figure JPOXMLDOC01-appb-M000193
 <実施の形態4で説明した階層的述語暗号の安全性>
 実施の形態4で説明した非特許文献7に記載された方式を応用した階層的述語暗号が、CCAに対する適応的属性秘匿の要件を満たすことを説明する。
 なお、ここでの説明は、非特許文献7に記載された証明に基づくものである。したがって、ここでは、CCAに対する適応的属性秘匿の要件を満たすことの概要を説明する。
 上述したCCA適応的属性秘匿ゲームにおいて、階層的述語暗号を攻撃する攻撃者Aが与えられる。上述したCPA適応的属性秘匿ゲームにおいて、(n+2)次元の内積述語の階層的述語暗号に対して攻撃する攻撃者A’を構築する。ここで、Setup,GenKey,Delegateアルゴリズムは、上述した階層的述語暗号(つまり、内積述語に対する(n+2)次元の部分空間は、階層的述語鍵秘匿方式についての階層情報μ HPKEMを除き、<b,...,bn-1,bn+2,bn+3>)と同一である。階層的述語鍵秘匿方式についての階層情報μ HPKEMは、μ HPKEM:=(n,d;μ,...,μ,μ+2)でありd+1レベルである。一方、階層的述語暗号についての階層情報μ HPEは、μ HPE:=(n,d;μ,...,μ)でありdレベルである。
 攻撃者A’は以下のように定義される。
1.階層的述語鍵秘匿方式の公開鍵pkHPKEM:=(μ HPKEM,V,V,GT,A,A,q,B)が攻撃者A’に与えられる。攻撃者A’(1λ)は、Setupenc(1λ)を実行してpubを生成する。また、階層的述語暗号の公開鍵pk:=(pkHPKEM,pub)を設定して、攻撃者Aに与える。
2.攻撃者Aが数194に示すベクトルを鍵問い合わせオラクル(CCAに対する適応的属性秘匿の定義参照)へ送信したなら、攻撃者A’は、数194に示すベクトルを鍵問い合わせオラクル(CPAに対する適応的属性秘匿の定義参照)へ送信する。そして、攻撃者Aへ応答が返る。
Figure JPOXMLDOC01-appb-M000194
3.攻撃者Aが属性ベクトル(x ,...,x )とともに暗号文(c,c,c,c)を復号オラクルへ送信したなら、攻撃者A’は以下の(1)から(3)の処理を行う。
(1)攻撃者A’は、数195に示す述語ベクトルを計算する。
Figure JPOXMLDOC01-appb-M000195
(2)攻撃者A’は数196に示すベクトル(d+1レベル)を鍵問い合わせオラクル(CPAに対する適応的属性秘匿の定義参照)へ送信して、k d+1,0が応答として返る。
Figure JPOXMLDOC01-appb-M000196
(3)攻撃者A’は、数197を設定する。
Figure JPOXMLDOC01-appb-M000197
また、攻撃者A’は、Dec(k L,0,k L,n+2,k L,n+3,(c,c,c,c))を計算する。ここで、Dec(k L,0,k L,n+2,k L,n+3,(c,c,c,c))は、階層的述語暗号におけるDecアルゴリズムである。また、Dec(k L,0,k L,n+2,k L,n+3,(c,c,c,c))の計算においては、k L,0,k L,n+2,k L,n+3から計算される値に代えて数198の値を直接的に用いる。そして、結果を攻撃者Aへ返す。
Figure JPOXMLDOC01-appb-M000198
4.攻撃者Aが数199を出力したなら、攻撃者A’は、数200に示すようにθを選択する。
Figure JPOXMLDOC01-appb-M000199
Figure JPOXMLDOC01-appb-M000200
また、攻撃者A’は、数201を計算する。ここで、数201に示すEncアルゴリズムは、階層的述語暗号におけるEncアルゴリズムである。そして、攻撃者A’は、(c(θ) ,c(θ) ,c(θ) ,c(θ) )を攻撃者Aへ返す。
Figure JPOXMLDOC01-appb-M000201
5.攻撃者Aが数202に示すベクトルを鍵問い合わせオラクル(CCAに対する適応的属性秘匿の定義参照)へ送信した場合、攻撃者A’は、ステップ2と同じ処理を実行する。
Figure JPOXMLDOC01-appb-M000202
6.攻撃者Aが属性ベクトル(x ,...,x )とともに暗号文(c,c,c,c)を復号オラクルへ送信したなら、攻撃者A’は以下の(1)(2)の処理を行う。
(1)c=c(θ) である場合、攻撃者A’は識別情報⊥を返す。
(2)c≠c(θ) である場合、攻撃者A’はステップ3と同じ処理を実行する。
7.最後に、攻撃者Aは予想したθ’を出力する。攻撃者A’は同じ予想を出力する。
 そして、非特許文献7に記載された方法と同様に、数203を示すことができる。
Figure JPOXMLDOC01-appb-M000203
 実施の形態6.
 この実施の形態では、以上の実施の形態で説明した暗号処理よりも安全性が高くなるように変更した暗号処理について説明する。なお、この実施の形態では、実施の形態2で説明した暗号処理と同様に、CPAに対する適応的属性秘匿の安全性を満たす暗号処理であって、安全性が高くなるように変更した暗号処理について説明する。そして、後の実施の形態において、実施の形態4と同様に、CCAに対する適応的属性秘匿の安全性を満たす暗号処理であって、安全性が高くなるように変更した暗号処理について説明する。
 まず、安全性が高くなるようにするために用いる「nコピーベクトル空間」という概念を説明する。そして、nコピーベクトル空間に基づき、安全性が高くなるように変更した暗号処理について説明する。ここでは、階層的述語暗号について説明するが、階層的述語鍵秘匿方式を実現することも可能である。
 なお、この実施の形態に係る階層的述語暗号では、nコピーベクトル空間や、上記実施の形態に係る階層的述語暗号では用いていない複数の乱数を用いる。
 <nコピーベクトル空間>
 上記実施の形態では、空間Vにおける標準基底Aから生成した基底Bと、空間Vにおける標準基底Aから生成した基底Bとの1個の双対正規直交規定において暗号処理を実現した。ここでは、基底(B[0],...,B[n-1])と基底(B[0]*,...,B[n-1]*)とのn個の双対正規直交規定において暗号処理を実現する。
 図26と図27とは、nコピーベクトル空間を説明するための図である。
 図26に示すように、n個の双対ベクトル空間(V[0],...,V[n-1])と(V[0]*,...,V[n-1]*)とがある。そして、各空間(V[0],...,V[n-1])と(V[0]*,...,V[n-1]*)との標準基底(A[0],...,A[n-1])と(A[0]*,...,A[n-1]*)とがある。ここで、各基底A[t](t=0,...,n-1)とA[t]*(t=0,...,n-1)とは双対正規直交基底である。つまり、基底A[0]とA[0]*とは双対正規直交基底であり、基底A[1]とA[1]*とは双対正規直交基底であり、・・・、基底A[n-1]とA[n-1]*とは双対正規直交基底である。また、標準基底(A[0],...,A[n-1])と(A[0]*,...,A[n-1]*)とから基底(B[0],...,B[n-1])と基底(B[0]*,...,B[n-1]*)とを生成する。ここで、標準基底(A[0],...,A[n-1])から基底(B[0],...,B[n-1])を生成するには、線形変換X[t](t=0,...,n-1)を用いる。一方、標準基底(A[0]*,...,A[n-1]*)から基底(B[0]*,...,B[n-1]*)とを生成するには、線形変換X[t](t=0,...,n-1)から生成された((X[t]-1(t=0,...,n-1)を用いる。その結果、各基底B[t](t=0,...,n-1)とB[t]*(t=0,...,n-1)とは双対正規直交基底である。つまり、基底B[0]とB[0]*とは双対正規直交基底であり、基底B[1]とB[1]*とは双対正規直交基底であり、・・・、基底B[n-1]とB[n-1]*とは双対正規直交基底である。
 なお、ここでは、図27に示すように、1つの双対空間VとVとの標準基底AとAとから、それぞれn個の基底(B[0],...,B[n-1])と基底(B[0]*,...,B[n-1]*)とを生成して、暗号処理を実現する。このように、それぞれn個の基底(B[0],...,B[n-1])と基底(B[0]*,...,B[n-1]*)とを生成しても、各基底B[t](t=0,...,n-1)とB[t]*(t=0,...,n-1)とは双対正規直交基底である。
 <暗号処理>
 上述したnコピーベクトル空間を用いた安全性の高い階層的述語暗号を実現する暗号処理システム10について説明する。
 図28から図32に基づき、暗号処理システム10の機能と動作とについて説明する。
 図28は、nコピーベクトル空間を用いた安全性の高い階層的述語暗号を実現する暗号処理システム10の機能を示す機能ブロック図である。暗号処理システム10は、実施の形態2に係る暗号処理システム10と同様に、鍵生成装置100、暗号化装置200、復号装置300、鍵委譲装置400を備える。また、ここでも、復号装置300が鍵委譲装置400を備えるものとする。
 図29は、鍵生成装置100の動作を示すフローチャートである。図30は、暗号化装置200の動作を示すフローチャートである。図31は、復号装置300の動作を示すフローチャートである。図32は、鍵委譲装置400の動作を示すフローチャートである。
 鍵生成装置100の機能と動作とについて説明する。鍵生成装置100の機能構成は、図19に示す実施の形態2に係る鍵生成装置100の機能構成と同一である。
 (S1301:マスター鍵生成ステップ)
 マスター鍵生成部110は、数204を計算して、マスター公開鍵pkとマスター秘密鍵skとを処理装置により生成してマスター鍵記憶部120に記憶する。
Figure JPOXMLDOC01-appb-M000204
 つまり、まず、(1)マスター鍵生成部110は、セキュリティパラメータ1λで、N(=n+2)次元の双対ディストーションベクトル空間(V,V,G,A,A,q)を処理装置により生成する。
 次に、マスター鍵生成部110は、以下の(2)から(5)を各t(t=0,...,n-1)について実行する。
 (2)マスター鍵生成部110は、標準基底A:=(a,...,an-1)から基底B[t]:=(b[t] ,...,b[t] n-1)を生成するための線形変換X[t]を処理装置によりランダムに選択する。
 (3)マスター鍵生成部110は、選択した線形変換X[t]に基づき、基底Aから基底B[t]を処理装置により生成する。
 (4)マスター鍵生成部110は、基底A:=(a ,...,a n-1)から基底B[t]*:=(b[t]* ,...,b[t]* n-1)を生成するための線形変換((X[t]-1を線形変換X[t]から処理装置により生成する。
 (5)マスター鍵生成部110は、生成した線形変換((X[t]-1に基づき、基底Aから基底B[t]*を処理装置により生成する。
 そして、(6)マスター鍵生成部110は、生成した線形変換X[t](t=0,...,n-1)と基底B[t]*(t=0,...,n-1)とをマスター秘密鍵skとし、生成した基底B[t](t=0,...,n-1)を含む(1λ,μ,V,V,G,A,A,q,B[0],...,B[n-1])をマスター公開鍵pkとする。そして、マスター鍵記憶部120は、マスター鍵生成部110が生成したマスター公開鍵pkとマスター秘密鍵skと記憶装置に記憶する。
 なお、実施の形態2に係る暗号処理システム10と同様に、双対ディストーションベクトル空間の次元数は、N(=n+2)であるとした。つまり、双対ディストーションベクトル空間の基底ベクトルの構造は、図15に示す構造である。
 すなわち、(S1301)において、マスター鍵生成部110は、数205に示すSetupアルゴリズムを実行して、マスター公開鍵pkとマスター秘密鍵skとを生成する。
Figure JPOXMLDOC01-appb-M000205
 次に、鍵ベクトル生成部130と鍵生成用ベクトル生成部140とは、(S1302)と(S1303)とを各t(t=0,...,n-1)について実行する。
 (S1302:鍵ベクトルk[t] * 1,0生成ステップ)
 鍵ベクトル生成部130は、マスター公開鍵pkとマスター秘密鍵skと、述語ベクトルv とに基づき、数206を計算して、第1層目(レベル1)の秘密鍵の先頭要素である鍵ベクトルk[t]* 1,0を処理装置により生成する。
Figure JPOXMLDOC01-appb-M000206
 つまり、(1)鍵ベクトル生成部130は、乱数τと乱数σ1,0と乱数ζ[t] 1,0とを処理装置により生成する。
 (2)鍵ベクトル生成部130は、基底B[t]*における基底ベクトルb[t]* に対する係数として乱数ζ[t] 1,0でランダム化した所定の値(ここでは、1)を処理装置により設定するとともに、基底ベクトルb[t]* (i=0,...,μ-1)に対する係数として乱数σ1,0でランダム化した述語ベクトルv の各要素を処理装置により設定し、全体を乱数τでランダム化した鍵ベクトルk[t]* 1,0を生成する。
 (S1303:鍵生成用ベクトルk[t]* 1,j生成ステップ)
 鍵生成用ベクトル生成部140は、マスター公開鍵pkとマスター秘密鍵skと、述語ベクトルv (v =(v,...,v)(i=μ-1))とに基づき、数207を計算して、下位の秘密鍵(下位の鍵ベクトル)を生成するための鍵生成用ベクトルk[t]* 1,jを処理装置により生成する。鍵生成用ベクトルk[t]* 1,jは、第1層目の秘密鍵のj番目の要素である。
Figure JPOXMLDOC01-appb-M000207
 つまり、(1)鍵生成用ベクトル生成部140は、乱数τと乱数σ1,j(j=1,μ,...,n-1)と乱数ζ[t] 1,j(j=1,μ,...,n-1)とを処理装置により生成する。
 (2)鍵生成用ベクトル生成部140は、基底B[t]*における基底ベクトルb[t]* に対する係数として乱数ζ[t] 1,1でランダム化した所定の値(ここでは、1)を処理装置により設定するとともに、基底ベクトルb[t]* (i=0,...,μ-1)に対する係数として乱数σ1,1でランダム化した述語ベクトルv の各要素を処理装置により設定し、全体を乱数τでランダム化した鍵生成用ベクトルk[t]* 1,1を生成する。
 (3)鍵生成用ベクトル生成部140は、j=μ,...,n-1の各jについて、基底B[t]*における基底ベクトルb[t]* に対する係数として所定の値(ここでは、1)を処理装置により設定し、基底ベクトルb[t]* (i=0,...,μ-1)に対する係数として乱数σ1,iでランダム化した述語ベクトルv の各要素を処理装置により設定し、基底ベクトルb[t]* に対する係数として乱数ζ[t] 1,jでランダム化した所定の値(ここでは、1)を設定して、全体を乱数τでランダム化した鍵生成用ベクトルk[t]* 1,jを生成する。
 すなわち、(S1302)と(1S303)とにおいて、鍵ベクトル生成部130と鍵生成用ベクトル生成部140とは、数208に示すGenKeyアルゴリズムを実行して、鍵ベクトルk[t]* 1,0と鍵生成用ベクトルk[t]* 1,jとを含む第1層目の秘密鍵(鍵情報k→[t]* )を処理装置により生成する。
Figure JPOXMLDOC01-appb-M000208
 (S1304:鍵配布ステップ)
 鍵配布部150は、マスター鍵生成部110が生成したマスター公開鍵と、鍵ベクトル生成部130と鍵生成用ベクトル生成部140とが生成した鍵情報k→[t]* (t=0,...,n-1)とを復号装置300へ通信装置を介して送信する。また、鍵配布部150は、マスター公開鍵を暗号化装置200へ通信装置を介して送信する。
 暗号化装置200の機能と動作とについて説明する。暗号化装置200の機能構成は、図19に示す実施の形態2に係る暗号化装置200の機能構成と同一である。
 (S1401:平文情報設定ステップ)
 送信情報設定部210は、マスター公開鍵pkに基づき、数209を処理装置により計算して平文情報ベクトルmv[t](t=0,...,n-1)を生成する。
Figure JPOXMLDOC01-appb-M000209
 つまり、送信情報設定部210は、各t(t=0,...,n-1)について、マスター公開鍵pkに含まれる基底B[t]の基底ベクトルb[t] に対する係数として平文情報mを処理装置により設定して、平文情報ベクトルmv[t]を生成する。
 (S1402:暗号ベクトル生成ステップ)
 暗号ベクトル生成部220は、マスター公開鍵pkと属性ベクトルx から属性ベクトルx(x (i=1,...,L)(=(x,...,x)(i=μ-1)))(Lは、階層の深さ)とに基づき、数210を処理装置により計算して暗号ベクトルc[t](t=0,...,n-1)を生成する。
Figure JPOXMLDOC01-appb-M000210
 つまり、(1)暗号ベクトル生成部220は、乱数x (i=L+1,...,d)と、乱数δ(i=1,...,d)と、乱数δ[t] n+1(t=0,...,n-1)とを処理装置により生成する。
 (2)暗号ベクトル生成部220は、マスター公開鍵pkに含まれる基底B[t](t=0,...,n-1)の各基底B[t]について、属性ベクトルの各要素等を処理装置により設定して属性情報ベクトルxv[t]を生成する。
 i=0,...,μ-1の各iについて、t=0,...,n-1の基底ベクトルb[t] に対する係数の合計がランダム化された属性ベクトルx となるように、基底ベクトルb[t] (t=0,...,n-1)に対する係数を設定する。ここでは、t=0,...,n-2の基底ベクトルb[t] に対する係数として乱数s[t] を設定して、t=n-1の基底ベクトルb[t] に対する係数で合計値がランダム化された属性ベクトルx となるように調整している。
 また、i=μ,...,n-1については、基底ベクトルb[t] (t=0,...,n-1)に対する係数として乱数を設定する。
 (3)暗号ベクトル生成部220は、基底B[t](t=0,...,n-1)の各基底B[t]について、マスター公開鍵pkに含まれる基底Bの基底ベクトルb[t] n+1に対する係数として乱数δ[t] n+1を処理装置により設定して、乱数ベクトルrv[t]を生成する。
 (4)暗号ベクトル生成部220は、基底B[t](t=0,...,n-1)の各基底B[t]について、生成した属性情報ベクトルxv[t]と乱数ベクトルrv[t]とを、送信情報設定部210が生成した平文情報ベクトルmv[t]に加算して暗号ベクトルc[t]を処理装置により生成する。
 (S1403:データ送信ステップ)
 データ送信部230は、暗号ベクトル生成部220が生成した暗号ベクトルc[t]を復号装置300へ通信装置を介して送信する。
 つまり、暗号化装置200は、数211に示すEncアルゴリズムを実行して、暗号ベクトルc[t]を生成する。
Figure JPOXMLDOC01-appb-M000211
 復号装置300の機能と動作とについて説明する。復号装置300の機能構成は、図19に示す実施の形態2に係る復号装置300の機能構成と同一である。
 (S1501:ベクトル入力ステップ)
 ベクトル入力部310は、暗号化装置200のデータ送信部230が送信した暗号ベクトルc[t](t=0,...,n-1)を通信装置を介して受信して入力する。
 (S1502:ペアリング演算ステップ)
 ペアリング演算部330は、マスター公開鍵pkと第L層目の秘密鍵の先頭要素である鍵ベクトルk[t]* L,0(t=0,...,n-1)とに基づき、数212を処理装置により計算して平文情報mに関する情報fを生成する。
Figure JPOXMLDOC01-appb-M000212
 つまり、ペアリング演算部330は、ベクトル入力部310が入力した暗号ベクトルcと、鍵ベクトル記憶部320が記憶装置に記憶した鍵ベクトルk[t]* L,0とについて、マスター公開鍵pkに含まれる空間Vと空間Vとを関連付けるペアリング演算eを処理装置により行い情報fを生成する。
 また、ペアリング演算部330は、マスター公開鍵pkと鍵ベクトルk*[t] L,0(t=0,...,n-1)とに基づき、数213を処理装置により計算して情報fから平文情報mを抽出するために用いる情報gを生成する。
Figure JPOXMLDOC01-appb-M000213
 つまり、ペアリング演算部330は、マスター公開鍵pkに含まれる基底B[t]の基底b[t] と、鍵ベクトル記憶部320が記憶装置に記憶した鍵ベクトルk[t]* L,0とについて、マスター公開鍵pkに含まれる空間Vと空間Vとを関連付けるペアリング演算eを処理装置により行い情報gを生成する。
 (S1503:離散対数計算ステップ)
 離散対数計算部340は、情報fについて、情報gを底とする離散対数問題を解き、平文情報mを計算する。つまり、離散対数計算部340は、数214を計算する。
Figure JPOXMLDOC01-appb-M000214
 なお、実施の形態2で説明した階層的述語暗号を実現する暗号処理システム10と同様に、ここで入力する平文情報mは、所定の小さな整数τよりも小さな数であるとする。これは、上述したように、復号装置300が平文情報mを計算する際、離散対数問題を解く必要があるためである。また、実施の形態2で説明した階層的述語暗号を実現する暗号処理システム10と同様に、複数の基底ベクトルに平文情報mを設定することも可能である。
 つまり、復号装置300は、数215に示すDecアルゴリズムを実行して、平文情報m’又は識別情報⊥を生成する。
Figure JPOXMLDOC01-appb-M000215
 鍵委譲装置400の機能と動作とについて説明する。鍵委譲装置400の機能構成は、図19に示す実施の形態2に係る鍵委譲装置400の機能構成と同一である。
 (S1601:鍵ベクトルk[t]* L,0取得ステップ)
 鍵ベクトル取得部410は、各t(t=0,...,n-1)について、第L層目の秘密鍵の先頭要素である鍵ベクトルk[t]* L,0と、第L層目の秘密鍵のj番目(j=μ,...,n-1)の要素である鍵生成用ベクトルk[t]* L,jとを含む第L層目の秘密鍵(鍵情報k→[t]* )を通信装置を介して取得する。
 鍵ベクトル生成部420と鍵生成用ベクトル生成部430とは、(S1602)と(S1603)とを各t(t=0,...,n-1)について実行する。
 (S1602:鍵ベクトルk[t]* L,0生成ステップ)
 鍵ベクトル生成部420は、マスター公開鍵pkと鍵情報k→[t]* と述語ベクトルv L+1(v L+1=(v,...,v)(i=μ,j=μL+1-1))とに基づき、数216を計算して、第L+1層目の秘密鍵の先頭要素である鍵ベクトルk[t]* L+1,0を処理装置により生成する。
Figure JPOXMLDOC01-appb-M000216
 つまり、(1)鍵ベクトル生成部420は、乱数τL+1,0と乱数ψL+1,0,i(i=0,...,L)と乱数σL+1,0とを処理装置により生成する。
 (2)鍵ベクトル生成部420は、鍵生成用ベクトルk[t]* L,i(i=μ,...,μL+1-1)に対する係数として乱数σL+1,0でランダム化した述語ベクトルv L+1の各要素を設定したベクトルv(i=μ,...,μL+1-1)と、乱数ψL+1,0,0でランダム化した鍵ベクトルk[t]* L,0と、乱数ψL+1,0,i(i=1,...,L)でランダム化した鍵生成用ベクトルk[t]* L,i(i=1,...,L)とを、鍵ベクトルk[t]* L,0に加算して鍵ベクトルk[t]* L+1,0を処理装置により生成する。
 (S1603:鍵生成用ベクトルk[t]* L,j生成ステップ)
 鍵生成用ベクトル生成部430は、マスター公開鍵pkと鍵情報k→[t]* と述語ベクトルv L+1とに基づき、数217を計算して、下位の秘密鍵(下位の鍵ベクトル)を生成するための鍵生成用ベクトルk[t]* L+1,jを処理装置により生成する。鍵生成用ベクトルk[t]* L+1,jは、第L+1層目の秘密鍵のj番目の要素である。
Figure JPOXMLDOC01-appb-M000217
 つまり、(1)鍵生成用ベクトル生成部430は、乱数τL+1と乱数ψL+1,j,i(i=0,...,L)(j=1,...,L+1,μL+1,...,n-1)と乱数σL+1,j(j=μL+1,...,n-1)とを処理装置により生成する。
 (2)鍵生成用ベクトル生成部140は、j=1,...,L+1,μL+1,...,n-1の各jについて、鍵生成用ベクトルk[t]* L,jに、鍵生成用ベクトルk[t]* L,i(i=μ,...,μL+1-1)に対する係数として乱数σL+1,jでランダム化した述語ベクトルv L+1の各要素を処理装置により設定したベクトルと、乱数ψL+1,j,0でランダム化した鍵ベクトルk[t]* L,0と、乱数ψL+1,j,i(i=1,...,L)でランダム化した鍵生成用ベクトルk[t]* L,iとを加算して、鍵ベクトルk[t]* L+1,0の下位の鍵ベクトルを生成するための鍵生成用ベクトルk[t]* L+1,jを生成する。
 すなわち、(S1601)と(S1602)とにおいて、鍵ベクトル生成部420と鍵生成用ベクトル生成部430とは、数218に示すDelegateアルゴリズムを実行して、鍵ベクトルk[t]* L+1,0と鍵生成用ベクトルk[t]* L+1,jとを含む第L+1層目の秘密鍵(鍵情報k→[t]* L+1)を処理装置により生成する。
Figure JPOXMLDOC01-appb-M000218
 (S1604:鍵配布ステップ)
 鍵配布部440は、鍵ベクトル生成部420と鍵生成用ベクトル生成部430とが生成した鍵情報k→[t]* L+1とを下位の復号装置300へ通信装置を介して送信する。
 (S1502)で計算するペアリング演算について補足説明する。
 実施の形態2では、図16に基づき説明したように、属性ベクトルと述語ベクトルとの内積が0になることを利用して、暗号文cのうち基底ベクトルbに関する成分以外をペアリング演算により0にして、基底ベクトルbに関する成分を抽出した。同様に、この実施の形態でも(S1502)でペアリング演算を行うことにより、数219に示すように暗号文cのうち基底ベクトルbに関する成分が抽出される。数219は、ペアリング演算の説明のための式である。数219においては、簡単のため、乱数の添え字を簡略化している。
Figure JPOXMLDOC01-appb-M000219
 以上のように、この実施の形態に係る暗号処理システム10は、CPAに対する適応的属性秘匿の安全性を満たす階層的述語暗号であって、安全性が高くなるように変更した階層的述語暗号を実現する。
 なお、この実施の形態に係る暗号処理システム10も上記実施の形態に係る暗号処理システム10と同様に、容易に階層的述語鍵秘匿方式を実現することができる。
 実施の形態7.
 この実施の形態では、実施の形態6で説明したCPAに対する適応的属性秘匿の要件を満たす暗号処理に基づき構築したCCAに対する適応的属性秘匿の要件を満たす暗号処理について説明する。
 実施の形態6で説明したnコピー空間を利用した階層的述語暗号に、非特許文献11に記載された方式を応用して、CCAに対する適応的属性秘匿の要件を満たすである階層的述語暗号を構築する。
 なお、実施の形態4では、非特許文献7に記載された方式を応用した階層的述語暗号を主として説明し、非特許文献11に記載された方式を応用した階層的述語暗号は簡単に説明した。ここでは、非特許文献11に記載された方式を応用した階層的述語暗号を説明する。
 図33から図35と、図29と図32とに基づき、暗号処理システム10の機能と動作とについて説明する。
 図33は、この実施の形態に係る暗号処理システム10の機能を示す機能ブロック図である。暗号処理システム10は、実施の形態2に係る暗号処理システム10と同様に、鍵生成装置100、暗号化装置200、復号装置300、鍵委譲装置400を備える。また、ここでも、復号装置300が鍵委譲装置400を備えるものとする。
 図34は、暗号化装置200の動作を示すフローチャートである。図35は、復号装置300の動作を示すフローチャートである。なお、鍵生成装置100と鍵委譲装置400との動作の流れは、実施の形態6に係る鍵生成装置100と鍵委譲装置400との動作の流れと同一である。そのため、鍵生成装置100の動作については、図29に基づき説明する。また、鍵委譲装置400の動作については、図32に基づき説明する。
 なお、以下の説明において、Sig:=(Gsig,Sign,Vrfy)は、実施の形態4で説明した安全なワンタイム署名方式である。
 鍵生成装置100の機能と動作とについて説明する。鍵生成装置100の機能構成は、図28に示す実施の形態6に係る鍵生成装置100の機能構成と同一である。また、鍵生成装置100の動作の流れは、図29に示す実施の形態6に係る鍵生成装置100の動作の流れと同一であるため、図29に基づき鍵生成装置100の機能と動作を説明する。
 (S1301:マスター鍵生成ステップ)
 実施の形態6と同様に、マスター鍵生成部110は、マスター公開鍵pkとマスター秘密鍵skとを処理装置により生成してマスター鍵記憶部120に記憶する。
 なお、実施の形態4と同様に、双対ディストーションベクトル空間の次元数は、N(=n+4)であるとした。つまり、双対ディストーションベクトル空間の基底ベクトルの構造は、図25に示す構造である。
 すなわち、(S1301)において、マスター鍵生成部110は、数220に示すSetupアルゴリズムを実行して、マスター公開鍵pkとマスター秘密鍵skとを生成する。
Figure JPOXMLDOC01-appb-M000220
 次に、実施の形態6と同様に、鍵ベクトル生成部130と鍵生成用ベクトル生成部140とは、(S1302)と(S1303)とを各t(t=0,...,n-1)について実行する。
 (S1302:鍵ベクトルk[t]* 1,0生成ステップ)
 実施の形態6と同様に、鍵ベクトル生成部130は、数221を計算して、第1層目(レベル1)の秘密鍵の先頭要素である鍵ベクトルk[t]* 1,0を処理装置により生成する。
Figure JPOXMLDOC01-appb-M000221
 (S1303:鍵生成用ベクトルk[t]* 1,j生成ステップ)
 実施の形態6と同様に、鍵生成用ベクトル生成部140は、数222を計算して鍵生成用ベクトルk[t]* 1,jを処理装置により生成する。鍵生成用ベクトルk[t]* 1,jは、第1層目の秘密鍵のj番目の要素である。
Figure JPOXMLDOC01-appb-M000222
但し、鍵生成用ベクトル生成部140は、鍵生成用ベクトルk[t]* 1,j(j=1,μ,...,n-1,n+2,n+3)を生成する。つまり、鍵生成用ベクトル生成部140は、鍵生成用ベクトルk[t]* 1,n+2と、鍵生成用ベクトルk[t]* 1,n+3とを生成する点で図28に示す鍵生成用ベクトル生成部140と異なる。
 すなわち、(S1302)と(S1303)とにおいて、鍵ベクトル生成部130と鍵生成用ベクトル生成部140とは、数223に示すGenKeyアルゴリズムを実行して、鍵ベクトルk[t]* 1,0と鍵生成用ベクトルk[t]* 1,jとを含む第1層目の秘密鍵(鍵情報k→[t]* )を処理装置により生成する。
Figure JPOXMLDOC01-appb-M000223
 (S1304:鍵配布ステップ)
 実施の形態6と同様に、鍵配布部150は、マスター鍵生成部110が生成したマスター公開鍵と、鍵ベクトル生成部130と鍵生成用ベクトル生成部140とが生成した鍵情報k→[t]* (t=0,...,n-1)とを復号装置300へ通信装置を介して送信する。また、鍵配布部150は、マスター公開鍵を暗号化装置200へ通信装置を介して送信する。
 暗号化装置200の機能と動作とについて説明する。暗号化装置200は、図28に示す実施の形態6に係る暗号化装置200の機能に加え、検証情報生成部250、検証情報設定部260、署名情報生成部270を備える。
 (S1701:検証情報生成ステップ)
 検証情報生成部250は、数224を処理装置により計算して検証鍵vk、署名鍵skを生成する。
Figure JPOXMLDOC01-appb-M000224
 (S1702:平文情報設定ステップ)
 実施の形態6と同様に、送信情報設定部210は、数225を処理装置により計算してマスター公開鍵pkに基づき、平文情報ベクトルmv[t](t=0,...,n-1)を処理装置により生成する。
Figure JPOXMLDOC01-appb-M000225
 (S1703:検証情報設定ステップ)
 検証情報設定部260は、マスター公開鍵pkに基づき、数226を処理装置により計算して検証情報ベクトルcv[t](t=0,...,n-1)を生成する。
Figure JPOXMLDOC01-appb-M000226
 つまり、(1)検証情報設定部260は、乱数δ[t] n+2(t=0,...,n-1)を処理装置により生成する。
 (2)検証情報設定部260は、各t(t=0,...,n-1)に対して、マスター公開鍵pkに含まれる基底Bの基底ベクトルb[t] n+2に対する係数として乱数δ[t] n+2でランダム化した所定の値(ここでは、1)を処理装置により設定するとともに、基底ベクトルb[t] n+3に対する係数として乱数δ[t] n+2でランダム化した検証鍵vkを処理装置により設定して、検証情報ベクトルcv[t](t=0,...,n-1)を生成する。
 (S1704:暗号ベクトル生成ステップ)
 暗号ベクトル生成部220は、マスター公開鍵pkと属性ベクトルx から属性ベクトルx (x (i=1,...,L)(=(x,...,x)(i=μ-1)))(Lは、階層の深さ)とに基づき、数227を処理装置により計算して暗号ベクトルc[t](t=0,...,n-1)を生成する。
Figure JPOXMLDOC01-appb-M000227
 なお、数227に示す(1)から(3)は、数238に示す(1)から(3)と同一である。(4)暗号ベクトル生成部220は、基底B[t](t=0,...,n-1)の各基底B[t]について、生成した属性情報ベクトルxv[t]と乱数ベクトルrv[t]と、送信情報設定部210が生成した平文情報ベクトルmv[t]と、検証情報設定部260が生成した検証情報ベクトルcv[t]とを加算して暗号ベクトルc[t]を処理装置により生成する。
 (S1705:署名情報生成ステップ)
 署名情報生成部270は、数228を処理装置により計算して署名情報Σを生成する。
Figure JPOXMLDOC01-appb-M000228
 つまり、署名情報生成部270は、署名鍵skに基づきSignを処理装置により実行して、署名情報Σを生成する。
 (S1706:データ送信ステップ)
 データ送信部230は、暗号ベクトル生成部220が生成した暗号ベクトルc[t]と、検証情報生成部250が生成した検証鍵vkと、署名情報生成部270が生成した署名情報Σとを復号装置300へ通信装置を介して送信する。
 つまり、暗号化装置200は、数229に示すEncアルゴリズムを実行して、暗号ベクトルc[t](t=0,...,n-1)と検証鍵vkと署名情報Σとを生成する。
Figure JPOXMLDOC01-appb-M000229
 復号装置300の機能と動作とについて説明する。復号装置300は、図28に示す実施の形態6に係る復号装置300が備える機能に加え、改ざん検証部370を備える。
 (S1801:ベクトル入力ステップ)
 ベクトル入力部310は、暗号化装置200のデータ送信部230が送信した暗号ベクトルc[t](t=0,...,n-1)と検証鍵vkと署名情報Σとを通信装置を介して受信して入力する。
 (S1802:署名検証ステップ)
 改ざん検証部370は、数230が成立するか否かを処理装置により判定する。
Figure JPOXMLDOC01-appb-M000230
 つまり、改ざん検証部370は、署名情報Σについて検証鍵vkによってVrfyを実行することにより検証を行う。
 (S1803:鍵ベクトル変形ステップ)
 ベクトル変形部350は、数231を処理装置により計算して、鍵ベクトルk[t]* L,0を変形する。
Figure JPOXMLDOC01-appb-M000231
 つまり、ベクトル変形部350は、後のステップで実行するペアリング演算によって、暗号化装置200の検証情報生成部250が設定した検証鍵vkが消える(検証鍵vkを含む情報を設定した基底ベクトルの係数が0になる)ように鍵ベクトルを検証鍵vkにより変形する。
 (S1804:ペアリング演算ステップ)
 ペアリング演算部330は、数232を計算して、マスター公開鍵pkと変形後の鍵ベクトルk[t]* L,0(t=0,...,n-1)とに基づき、平文情報mに関する情報fを生成する。
Figure JPOXMLDOC01-appb-M000232
 また、ペアリング演算部330は、数233を計算して、マスター公開鍵pkと変形後の鍵ベクトルk[t]* L,0(t=0,...,n-1)とに基づき、情報fから平文情報mを抽出するために用いる情報gを生成する。
Figure JPOXMLDOC01-appb-M000233
 (S1805:離散対数計算ステップ)
 実施の形態6と同様に、離散対数計算部340は、情報fについて、情報gを底とする離散対数問題を解き、平文情報mを計算する。つまり、離散対数計算部340は、数234を計算する。
Figure JPOXMLDOC01-appb-M000234
 なお、実施の形態2で説明した階層的述語暗号を実現する暗号処理システム10と同様に、ここで入力する平文情報mは、所定の小さな整数τよりも小さな数であるとする。これは、上述したように、復号装置300が平文情報mを計算する際、離散対数問題を解く必要があるためである。また、実施の形態2で説明した階層的述語暗号を実現する暗号処理システム10と同様に、複数の基底ベクトルに平文情報mを設定することも可能である。
 つまり、復号装置300は、数235に示すDecアルゴリズムを実行して、平文情報m’又は識別情報⊥を生成する。
Figure JPOXMLDOC01-appb-M000235
 鍵委譲装置400の機能と動作とについて説明する。鍵委譲装置400の機能構成は、図28に示す実施の形態6に係る鍵委譲装置400の機能構成と同一である。また、鍵委譲装置400の動作の流れも、図32に示す実施の形態2に係る鍵委譲装置400の動作の流れと同一であるため、図32に基づき鍵委譲装置400の機能と動作を説明する。
 (S1601:鍵ベクトルk[t]* L,0取得ステップ)
 実施の形態6と同様に、鍵ベクトル取得部410は、第L層目の秘密鍵の先頭要素である鍵ベクトルk[t]* L,0と、第L層目の秘密鍵のj番目(j=μ,...,n-1)の要素である鍵生成用ベクトルk[t]* L,jとを含む第L層目の秘密鍵(鍵情報k→[t]* )を通信装置を介して取得する。
 実施の形態6と同様に、鍵ベクトル生成部420と鍵生成用ベクトル生成部430とは、(S1602)と(S1603)とを各t(t=0,...,n-1)について実行する。
 (S1602:鍵ベクトルk[t]* L,0生成ステップ)
 実施の形態6と同様に、鍵ベクトル生成部420は、数236を計算して、第L+1層目の秘密鍵の先頭要素である鍵ベクトルk[t]* L+1,0を処理装置により生成する。
Figure JPOXMLDOC01-appb-M000236
 (S1603:鍵生成用ベクトルk[t]* L,j生成ステップ)
 実施の形態6と同様に、鍵生成用ベクトル生成部430は、数237を計算して、鍵生成用ベクトルk[t]* L+1,jを処理装置により生成する。鍵生成用ベクトルk[t]* L+1,jは、第L+1層目の秘密鍵のj番目の要素である。
Figure JPOXMLDOC01-appb-M000237
但し、鍵生成用ベクトル生成部430は、鍵生成用ベクトルk[t]* L+1,j(j=μ,...,n-1,n+2,n+3)を生成する。つまり、鍵生成用ベクトル生成部430は、鍵生成用ベクトルk[t]* L+1,n+2と、鍵生成用ベクトルk[t]* L+1,n+3とを生成する点で図10に示す鍵生成用ベクトル生成部140と異なる。
 すなわち、(S1602)と(S1603)とにおいて、鍵ベクトル生成部420と鍵生成用ベクトル生成部430とは、数238に示すDelegateアルゴリズムを実行して、鍵ベクトルk[t]* L+1,0と鍵生成用ベクトルk[t]* L+1,jとを含む鍵情報k→[t]* L+1を処理装置により生成する。
Figure JPOXMLDOC01-appb-M000238
 (S1604:鍵配布ステップ)
 実施の形態6と同様に、鍵配布部440は、鍵ベクトル生成部420と鍵生成用ベクトル生成部430とが生成した鍵情報k→[t]* L+1を下位の復号装置300へ通信装置を介して送信する。
 以上のように、この実施の形態に係る暗号処理システム10は、実施の形態6で説明したCPAに対する適応的属性秘匿の安全性を満たす階層的述語暗号を応用して、CCAに対する適応的属性秘匿の安全性を満たす階層的述語暗号を実現する。
 実施の形態8.
 この実施の形態では、双対ディストーションベクトル空間の実現方法について説明する。まず、上記実施の形態で双対ディストーションベクトル空間の例として用いた非対称双線形ペアリンググループの直積による実現方法について説明する。次に、対称双線形ペアリンググループの直積による実現方法について説明する。そして、種数1以上の超特異曲線のヤコビ多様体による実現方法について説明する。
 <非対称双線形ペアリンググループの直積による実現方法>
 非対称双線形ペアリンググループ(G,G,G,g,g,q)と、非対称双線形ペアリンググループ(G,G,G,g,g,q)におけるペアリング演算eとが与えられる。なお、非対称双線形ペアリンググループ(G,G,G,g,g,q)とペアリング演算とについては実施の形態1で説明した通りである。
 以下のように、双対ディストーションベクトル空間を実現する。
 V,V,a,...,aN-1,a ,...,a N-1は、数239に示す通りである。
Figure JPOXMLDOC01-appb-M000239
 ベクトルx,yは、数240のようになる。
Figure JPOXMLDOC01-appb-M000240
 (V,V)におけるペアリング演算eを数241のように定義する。
Figure JPOXMLDOC01-appb-M000241
 ここで、なお、ペアリング演算eのeという表記は、(G,G)と(V,V)との両方において使用する。また、ペアリング演算eの非退化性と双線形性とは明らかに成立する。ここで、数242である。
Figure JPOXMLDOC01-appb-M000242
 また、ディストーション写像φi,jは、数243のように単純に定義される。
Figure JPOXMLDOC01-appb-M000243
 <対称双線形ペアリンググループの直積による実現方法>
 上記実施の形態で説明した対称双線形ペアリンググループ(G,G,g,q)を用いても、非対称双線形ペアリンググループ(G,G,G,g,g,q)を用いた場合と同様に、直積を構築できる。つまり、V=Vであり、A=Aである構造となる。そのため、ペアリング演算eと基底A=Aにおける基底ベクトルへの射影を用いて、空間V=Vにおけるどんな非ゼロのベクトルxとx’とに対しても、x=cx’であるc∈Fが存在することを確認できる。
 <種数1以上の超特異曲線のヤコビ多様体による実現方法>
 双対ディストーションベクトル空間は、いくつかの特別な超特異楕円曲線Cのヤコビ多様体における有理数qの点の集合として認識される。つまり、V=V:=Jac[q]である。空間V(とV)の次元Nは、超特異楕円曲線Cの2倍である。空間Vの標準基底A=(a,...,aN-1)は、フロベニウス自己準同型の固有ベクトルによって与えられる。数244であるような全ての値κi,j∈Fは非特許文献27に記載されたWeilペアリングeによって決定される。そのような明白な値κi,jを用いれば、空間Vの双対正規直交基底Aを構築できる。
Figure JPOXMLDOC01-appb-M000244
 ここで、非特許文献21では、自己準同型φi,jをディストーション写像と呼び、k≠jであるとき、φi,j(a)=0であることを満たす必要はなかった。しかし、非特許文献21は、<a>に対する射影作用素Pr、つまり、Pr(a)=δj,kが多項式時間で計算可能であることを示した。そのため、φi,jPrの構成は、φi,jPr(a)=δj,kである。そして、これは多項式時間で計算可能である。ここでは、φi,jPrをディストーション写像と呼ぶ。
 実施の形態9.
 以上の実施の形態では、双対ベクトル空間において暗号処理を実現する方法について説明した。この実施の形態では、双対加群において暗号処理を実現する方法について説明する。
 つまり、以上の実施の形態では、素数位数qの巡回群において暗号処理を実現した。しかし、合成数Mを用いて数245のように環Rを表した場合、環Rを係数とする加群においても、上記実施の形態で説明した暗号処理を適用することができる。
Figure JPOXMLDOC01-appb-M000245
 例えば、実施の形態2で説明した階層的述語鍵秘匿方式を、環Rを係数とする加群において実現すると数246から数250のようになる。
Figure JPOXMLDOC01-appb-M000246
Figure JPOXMLDOC01-appb-M000247
Figure JPOXMLDOC01-appb-M000248
Figure JPOXMLDOC01-appb-M000249
Figure JPOXMLDOC01-appb-M000250
 すなわち、原則として、以上の実施の形態で体Fとして説明した処理を、環Rに置き換えることにより、以上の実施の形態で説明した暗号処理を、環Rを係数とする加群において実現できる。
 次に、実施の形態における暗号処理システム10(鍵生成装置100、暗号化装置200、復号装置300、鍵委譲装置400)のハードウェア構成について説明する。
 図36は、鍵生成装置100、暗号化装置200、復号装置300、鍵委譲装置400のハードウェア構成の一例を示す図である。
 図36に示すように、鍵生成装置100、暗号化装置200、復号装置300、鍵委譲装置400は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、LCD901(Liquid Crystal Display)、キーボード902(K/B)、通信ボード915、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920(固定ディスク装置)の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。磁気ディスク装置920は、所定の固定ディスクインタフェースを介して接続される。
 ROM913、磁気ディスク装置920は、不揮発性メモリの一例である。RAM914は、揮発性メモリの一例である。ROM913とRAM914と磁気ディスク装置920とは、記憶装置(メモリ)の一例である。また、キーボード902、通信ボード915は、入力装置の一例である。また、通信ボード915は、通信装置(ネットワークインタフェース)の一例である。さらに、LCD901は、表示装置の一例である。
 磁気ディスク装置920又はROM913などには、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
 プログラム群923には、上記の説明において「マスター鍵生成部110」、「マスター鍵記憶部120」、「鍵ベクトル生成部130」、「鍵生成用ベクトル生成部140」、「鍵配布部150」、「送信情報設定部210」、「暗号ベクトル生成部220」、「データ送信部230」、「セッション鍵生成部240」、「検証情報生成部250」、「検証情報設定部260」、「署名情報生成部270」、「ベクトル入力部310」、「鍵ベクトル記憶部320」、「ペアリング演算部330」、「離散対数計算部340」、「ベクトル変形部350」、「復号部360」、「改ざん検証部370」、「鍵ベクトル取得部410」、「鍵ベクトル生成部420」、「鍵生成用ベクトル生成部430」、「鍵配布部440」等として説明した機能を実行するソフトウェアやプログラムやその他のプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
 ファイル群924には、上記の説明において「マスター公開鍵pk」、「マスター秘密鍵sk」、「暗号ベクトルc」、「鍵ベクトル」等の情報やデータや信号値や変数値やパラメータが、「ファイル」や「データベース」の各項目として記憶される。「ファイル」や「データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPU911の動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPU911の動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
 また、上記の説明におけるフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、その他光ディスク等の記録媒体やICチップに記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体や電波によりオンライン伝送される。
 また、上記の説明において「~部」として説明するものは、「~回路」、「~装置」、「~機器」、「~手段」、「~機能」であってもよく、また、「~ステップ」、「~手順」、「~処理」であってもよい。また、「~装置」として説明するものは、「~回路」、「~装置」、「~機器」、「~手段」、「~機能」であってもよく、また、「~ステップ」、「~手順」、「~処理」であってもよい。さらに、「~処理」として説明するものは「~ステップ」であっても構わない。すなわち、「~部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、ROM913等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、上記で述べた「~部」としてコンピュータ等を機能させるものである。あるいは、上記で述べた「~部」の手順や方法をコンピュータ等に実行させるものである。
 10 暗号処理システム、100 鍵生成装置、110 マスター鍵生成部、120 マスター鍵記憶部、130 鍵ベクトル生成部、140 鍵生成用ベクトル生成部、150 鍵配布部、200 暗号化装置、210 送信情報設定部、220 暗号ベクトル生成部、230 データ送信部、240 セッション鍵生成部、250 検証情報生成部、260 検証情報設定部、270 署名情報生成部、300 復号装置、310 ベクトル入力部、320 鍵ベクトル記憶部、330 ペアリング演算部、340 離散対数計算部、350 ベクトル変形部、360 復号部、370 改ざん検証部、400 鍵委譲装置、410 鍵ベクトル取得部、420 鍵ベクトル生成部、430 鍵生成用ベクトル生成部、440 鍵配布部。

Claims (47)

  1.  ペアリング演算によって関連付けられた双対ベクトル空間である空間Vと空間Vとを用いて暗号処理を行う暗号処理システムであり、
     前記空間Vにおけるベクトルであって、所定の情報を埋め込んだベクトルを暗号ベクトルとして処理装置により生成する暗号化装置と、
     前記空間Vにおける所定のベクトルを鍵ベクトルとして、前記暗号化装置が生成した暗号ベクトルと前記鍵ベクトルとについて、処理装置により前記ペアリング演算を行い前記暗号ベクトルを復号して前記所定の情報に関する情報を抽出する復号装置と
    を備えることを特徴とする暗号処理システム。
  2.  前記暗号処理システムは、N次元ベクトル空間である前記空間VとN次元ベクトル空間である前記空間Vとにおいて暗号処理を行い、
     前記暗号化装置は、前記空間VにおけるN次元ベクトルχ:=(χ,...,χN-1)を暗号ベクトルとして生成し、
     前記復号装置は、前記空間VにおけるN次元ベクトルη:=(η,...,ηN-1)を鍵ベクトルとして、前記暗号ベクトルχ:=(χ,...,χN-1)と、前記鍵ベクトルη:=(η,...,ηN-1)とについて、数1に示すペアリング演算e(χ,η)を行う
    ことを特徴とする請求項1に記載の暗号処理システム。
    Figure JPOXMLDOC01-appb-M000001
  3.  前記暗号処理システムは、数2に示す正規直交基底の要件を満たす標準基底A:=(a,...,aN-1)を有する空間Vと、標準基底A:=(a ,...,a N-1)を有する空間Vとにおいて暗号処理を行う
    ことを特徴とする請求項1又は2に記載の暗号処理システム。
    Figure JPOXMLDOC01-appb-M000002
  4.  前記空間Vと前記空間Vとは、それぞれ数3と数4とに示すディストーション写像φi,jとφ i,jとを有する標準基底A:=(a,...,aN-1)とA:=(a ,...,a N-1)とを有する空間である
    ことを特徴とする請求項1から3までのいずれかに記載の暗号処理システム。
    Figure JPOXMLDOC01-appb-M000003
    Figure JPOXMLDOC01-appb-M000004
  5.  前記暗号化装置は、前記空間Vの標準基底Aに所定の演算を行った基底Bにおけるベクトルを暗号ベクトルとして生成し、
     前記復号装置は、前記空間Vの標準基底Aに前記所定の演算から導出される演算を行った基底Bであって、前記基底Bと正規直交基底である基底Bにおけるベクトルを前記鍵ベクトルとする
    ことを特徴とする請求項1から4までのいずれかに記載の暗号処理システム。
  6.  前記基底Bは、前記標準基底Aに数5に示す演算を行った基底B:=(b,...,bN-1)であり、
     前記基底Bは、前記標準基底Aに数6に示す演算を行った基底B:=(b ,...,b N-1)である
    ことを特徴とする請求項5に記載の暗号処理システム。
    Figure JPOXMLDOC01-appb-M000005
    Figure JPOXMLDOC01-appb-M000006
  7.  前記暗号化装置は、
     前記空間Vにおける所定の基底Bの基底ベクトルb(i=0,...,N-1)のうち、基底ベクトルbに対する係数としてρを設定したベクトルを送信情報ベクトルとして処理装置により生成する送信情報設定部と、
     基底ベクトルb(i=0,...,μLx-1)に対する係数として属性情報x(i=0,...,μLx-1)を設定したベクトルを、前記送信情報設定部が生成した送信情報ベクトルに加えて暗号ベクトルを処理装置により生成する暗号ベクトル生成部とを備え、
     前記復号装置は、
     前記空間Vにおける所定の基底Bの基底ベクトルb (i=0,...,N-1)のうち、所定の基底ベクトルb に対する係数として所定の値が設定されるとともに、基底ベクトルb (i=0,...,μLv-1)(μLx≧μLv)に対する係数として述語情報v(i=0,...,μLv-1)が設定されたベクトルを鍵ベクトルとして記憶装置に記憶する鍵ベクトル記憶部と、
     前記暗号ベクトル生成部が生成した暗号ベクトルと、前記鍵ベクトル記憶部が記憶した鍵ベクトルとについて処理装置により前記ペアリング演算を行い、前記暗号ベクトルから前記基底ベクトルbの係数として設定したρに関する値を抽出するペアリング演算部を備える
    ことを特徴とする請求項1から6までのいずれかに記載の暗号処理システム。
  8.  前記暗号処理システムは、さらに、
     前記空間Vにおける所定の基底Bの基底ベクトルb (i=0,...,n-1)のうち、所定の基底ベクトルb に対する係数として所定の値を設定するとともに、基底ベクトルb (i=0,...,μ-1)に対する係数として述語情報v(i=0,...,μ-1)を設定したベクトルを鍵ベクトルkL,0として処理装置により生成する鍵ベクトル生成部を備える鍵生成装置
    を備えることを特徴とする請求項1から7までのいずれかに記載の暗号処理システム。
  9.  前記鍵生成装置は、さらに、
     i=μ,...,n-1の各iについて、基底ベクトルb に対する係数として所定の値を設定した((n-1)-μ-1)個のベクトルを、前記鍵ベクトルkL,0の下位の鍵ベクトルを生成するための鍵生成用ベクトルkL,i(i=μ,...,n-1)として処理装置により生成する鍵生成用ベクトル生成部
    を備えることを特徴とする請求項8に記載の暗号処理システム。
  10.  前記暗号処理システムは、さらに、
     鍵生成用ベクトルkL,i(i=μ,...,μL+1-1)に対する係数として述語情報v(i=μ,...,μL+1-1)を設定したベクトルv(i=μ,...,μL+1-1)と、前記鍵ベクトルkL,0とを加算して、前記鍵ベクトルkL,0の下位の鍵ベクトルである鍵ベクトルkL+1,0を処理装置により生成する鍵ベクトル生成部と、
     鍵生成用ベクトルkL,i(i=μL+1,...,n-1)に所定の変更を加えて、前記鍵ベクトルkL+1,0の下位の鍵ベクトルを生成するための鍵生成用ベクトルkL,i(i=μL+1,...,n-1)を処理装置により生成する鍵生成用ベクトル生成部と
    を備える鍵委譲装置
    を備えることを特徴とする請求項1から9までのいずれかに記載の暗号処理システム。
  11.  述語暗号における秘密鍵である鍵ベクトルkL,0を生成する鍵生成装置であり、
     ペアリング演算によって関連付けられた双対ベクトル空間である空間Vと空間Vとのうちの前記空間Vをマスター秘密鍵として記憶装置に記憶するマスター鍵記憶部と、
     前記マスター鍵記憶部が記憶したマスター秘密鍵である前記空間Vにおける所定の基底Bの基底ベクトルb (i=0,...,N-1)のうち、所定の基底ベクトルb に対する係数として所定の値を設定するとともに、基底ベクトルb (i=0,...,μ-1)に対する係数として述語情報v(i=0,...,μ-1)を設定したベクトルを鍵ベクトルkL,0として処理装置により生成する鍵ベクトル生成部と
    を備えることを特徴とする鍵生成装置。
  12.  前記鍵ベクトル生成部は、基底ベクトルb (i=0,...,μ-1)に対する係数として、属性情報x(i=0,...,μ-1)との内積が0となる述語情報v(i=0,...,μ-1)を設定する
    ことを特徴とする請求項11に記載の鍵生成装置。
  13.  前記鍵ベクトル生成部は、数7に示す鍵ベクトルkL,0を生成する
    ことを特徴とする請求項11又は12に記載の鍵生成装置。
    Figure JPOXMLDOC01-appb-M000007
  14.  前記鍵生成装置は、さらに、
     i=μ,...,n-1の各iについて、基底ベクトルb に対する係数として所定の値を設定した((n-1)-μ-1)個のベクトルを、前記鍵ベクトルkL,0の下位の鍵ベクトルを生成するための鍵生成用ベクトルkL,i(i=μ,...,n-1)として処理装置により生成する鍵生成用ベクトル生成部
    を備えることを特徴とする請求項11から13までのいずれかに記載の鍵生成装置。
  15.  前記鍵ベクトル生成部は、数8に示す鍵ベクトルkL,0を生成し、
     前記鍵生成用ベクトル生成部は、数8に示す鍵生成用ベクトルkL,i(i=μ,...,n-1)を生成する
    ことを特徴とする請求項14に記載の鍵生成装置。
    Figure JPOXMLDOC01-appb-M000008
  16.  述語暗号における秘密鍵である鍵ベクトルを生成する鍵委譲装置であり、
     ペアリング演算によって関連付けられた双対ベクトル空間である空間Vと空間Vとのうちの前記空間Vにおける所定の暗号ベクトルを復号可能な前記空間Vにおける鍵ベクトルを取得する鍵ベクトル取得部と、
     前記鍵ベクトル取得部が取得した鍵ベクトルに基づき、前記鍵ベクトルで復号可能な前記所定の暗号ベクトルのうちの一部の暗号ベクトルを復号可能な前記空間Vにおける新たな鍵ベクトルを処理装置により生成する鍵ベクトル生成部と
    を備えることを特徴とする鍵委譲装置。
  17.  前記鍵ベクトル取得部は、前記空間Vにおける所定の基底Bの所定の基底ベクトルに対する係数として述語情報が設定されたベクトルを鍵ベクトルとして取得し、
     前記鍵ベクトル生成部は、前記所定の基底ベクトル以外の前記基底Bの基底ベクトルに対する係数として述語情報を設定したベクトルを、前記鍵ベクトル取得部が取得した鍵ベクトルに加算して新たな鍵ベクトルを生成する
    ことを特徴とする請求項16に記載の鍵委譲装置。
  18.  前記鍵ベクトル取得部は、前記基底Bの基底ベクトルb (i=0,...,N-1)のうち基底ベクトルb (i=0,...,μ-1)に述語情報v(i=0,...,μ-1)が設定された第L層目の鍵ベクトルkL,0と、基底ベクトルb に対する係数として所定の値が設定された鍵生成用ベクトルkL,i(i=μ,...,μL+1-1)とを取得し、
     前記鍵ベクトル生成部は、i=μ,...,μL+1-1の各iについて、前記鍵ベクトル取得部が取得した鍵生成用ベクトルkL,iの基底ベクトルb に対する係数として述語情報vを設定したベクトルv(i=μ,...,μL+1-1)を、前記鍵ベクトルkL,0にを加算して第L+1層目の鍵ベクトルkL+1,0を処理装置により生成する
    ことを特徴とする請求項16又は17に記載の鍵委譲装置。
  19.  前記鍵ベクトル生成部は、前記鍵生成用ベクトルkL,iの基底ベクトルb に対する係数を、属性情報x(i=μ,...,μL+1-1)との内積が0となる述語情報v(i=μ,...,μL+1-1)倍する
    ことを特徴とする請求項18に記載の鍵委譲装置。
  20.  前記鍵ベクトル生成部は、鍵ベクトルkL,0と鍵生成用ベクトルkL,iとに基づき、数9に示す鍵ベクトルkL+1,0を生成する
    ことを特徴とする請求項18又は19に記載の鍵委譲装置。
    Figure JPOXMLDOC01-appb-M000009
  21.  前記鍵委譲装置は、さらに、
     鍵生成用ベクトルkL,i(i=μ,...,μL+1-1)に所定の変更を加えて、前記鍵ベクトルkL+1,0の下位の鍵ベクトルを生成するための鍵生成用ベクトルkL,i(i=μL+1,...,n-1)を処理装置により生成する鍵生成用ベクトル生成部
    を備えることを特徴とする請求項18から20までのいずれかに記載の鍵委譲装置。
  22.  前記鍵ベクトル取得部は、数10に示す鍵ベクトルkL,0と鍵生成用ベクトルkL,i(i=μ,...,n-1)とを取得し、
     前記鍵ベクトル生成部は、前記鍵ベクトル取得部が取得した鍵ベクトルkL,0と鍵生成用ベクトルkL,iとに基づき、数10に示す鍵ベクトルkL+1,0を生成し、
     前記鍵生成用ベクトル生成部は、前記鍵ベクトル取得部が取得した鍵生成用ベクトルkL,iに基づき、数10に示す鍵生成用ベクトルkL+1,i(i=μL+1,...,n-1)を生成する
    ことを特徴とする請求項21に記載の鍵委譲装置。
    Figure JPOXMLDOC01-appb-M000010
  23.  ペアリング演算によって関連付けられた双対ベクトル空間である空間Vと空間Vとのうちの空間Vにおける所定の基底Bの基底ベクトルb(i=0,...,N-1)のうち、基底ベクトルbに対する係数としてρを設定したベクトルを送信情報ベクトルとして処理装置により生成する送信情報設定部と、
     基底ベクトルb(i=0,...,μLx-1)に対する係数として属性情報x(i=0,...,μLx-1)を設定した属性ベクトルを、前記送信情報設定部が生成した送信情報ベクトルに加算して暗号ベクトルを処理装置により生成する暗号ベクトル生成部と
    を備えることを特徴とする暗号化装置。
  24.  前記送信情報設定部は、数11に示す送信情報ベクトルρvを生成し、
     前記暗号ベクトル生成部は、数12に示す属性情報ベクトルxvを数11に示す送信情報ベクトルρvに加算して暗号ベクトルcを生成する
    ことを特徴とする請求項23に記載の暗号化装置。
    Figure JPOXMLDOC01-appb-M000011
    Figure JPOXMLDOC01-appb-M000012
  25.  ペアリング演算によって関連付けられた双対ベクトル空間である空間Vと空間Vとのうちの空間Vにおける所定の基底Bの基底ベクトルb(i=0,...,N-1)のうち、基底ベクトルbの係数としてρが設定されるとともに、基底ベクトルb(i=0,...,μLx-1)の所定の基底ベクトルの係数に属性情報x(i=0,...,μLx-1)を設定されたベクトルを暗号ベクトルとして入力するベクトル入力部と、
     前記空間Vにおける所定の基底Bの基底ベクトルb (i=0,...,N-1)のうち、所定の基底ベクトルb に対する係数として所定の値が設定されるとともに、基底ベクトルb (i=0,...,μLv-1)(μLx≧μLv)に対する係数として述語情報v(i=0,...,μLv-1)が設定されたベクトルを鍵ベクトルとして記憶装置に記憶する鍵ベクトル記憶部と、
     前記ベクトル入力部が入力した暗号ベクトルと、前記鍵ベクトル記憶部が記憶した鍵ベクトルとについて処理装置により前記ペアリング演算を行い、前記暗号ベクトルから前記基底ベクトルbの係数として設定したρに関する値を抽出するペアリング演算部と
    を備えることを特徴とする復号装置。
  26.  前記ベクトル入力部は、数13に示す暗号ベクトルcを入力し、
     前記鍵ベクトル記憶部は、数14に示す鍵ベクトルkvを記憶し、
     前記ペアリング演算部は、数15に示すペアリング演算を行い、uρを抽出する
    ことを特徴とする請求項25に記載の復号装置。
    Figure JPOXMLDOC01-appb-M000013
    Figure JPOXMLDOC01-appb-M000014
    Figure JPOXMLDOC01-appb-M000015
  27.  前記暗号化装置は、さらに、
     基底ベクトルbと前記基底ベクトルb(i=0,...,μLx-1)と以外の所定の基底ベクトルに対する係数として検証情報を含む情報を設定したベクトルを検証情報ベクトルとして処理装置により生成する検証情報設定部を備え、
     前記暗号ベクトル生成部は、前記属性ベクトルと前記送信情報ベクトルと前記検証情報設定部が生成した検証情報ベクトルとを加算して暗号ベクトルを生成し、
     前記暗号化装置は、さらに、
     前記検証情報設定部が設定した検証情報に基づき検証される署名情報を処理装置により生成する署名情報生成部と、
     前記暗号ベクトル生成部が生成した暗号ベクトルと、前記署名情報生成部が生成した署名情報と、前記検証情報とを復号装置へ送信するデータ送信部と
    を備えることを特徴とする請求項23に記載の暗号化装置。
  28.  前記検証情報設定部は、前記所定の基底ベクトルに対する係数として第1検証情報comを含む情報を設定したベクトルを検証情報ベクトルとして生成し、
     前記暗号ベクトル生成部は、前記暗号ベクトルをデータc1として生成し、
     前記署名情報生成部は、
     平文情報mと第2検証情報decとを、前記基底ベクトルbに対する係数として設定したρから生成されたセッション鍵で暗号化してデータc2を生成するc2生成部と、
     前記第1検証情報comをデータc3として生成するc3生成部と、
     前記データc1と前記データc2とを、前記第1検証情報comと前記第2検証情報decとに基づき生成可能な第3検証情報rにより暗号化した署名情報をデータc4として生成するc4生成部と、
     前記データ出力部は、前記暗号ベクトル生成部が生成したデータc1と、前記c2生成部が生成したデータc2と、前記c3生成部が生成したデータc3と、前記c4生成部が生成したデータc4とを出力する
    ことを特徴とする請求項27に記載の暗号化装置。
  29.  前記送信情報設定部は、数16に示す送信情報ベクトルρvを生成し、
     前記検証情報設定部は、数17に示す検証情報ベクトルcvを生成し、
     前記c1生成部は、数18に示す属性情報ベクトルxvと、数16に示す送信情報ベクトルρvと、数17に示す検証情報ベクトルcvとを加算してデータc1を生成し、
     前記c2生成部は、数19に従いデータc2を生成し、
     前記c4生成部は、数20に従いデータc4を生成する
    ことを特徴とする請求項28に記載の暗号化装置。
    Figure JPOXMLDOC01-appb-M000016
    Figure JPOXMLDOC01-appb-M000017
    Figure JPOXMLDOC01-appb-M000018
    Figure JPOXMLDOC01-appb-M000019
    Figure JPOXMLDOC01-appb-M000020
  30.  前記ベクトル入力部は、前記基底ベクトルbの係数としてρが設定され、前記基底ベクトルb(i=0,...,μLx-1)に対する係数として属性情報x(i=0,...,μLx-1)が設定され、前記基底ベクトルbと前記基底ベクトルb(i=0,...,μLx-1)と以外の所定の基底ベクトルに対する係数として検証情報を含む情報が設定された暗号ベクトルと、前記検証情報に基づき検証される署名情報と、前記検証情報とを入力し、
     前記復号装置は、さらに、
     所定の基底ベクトルに対する係数として前記検証情報を含む情報を設定したベクトルを前記鍵ベクトル記憶部が記憶した鍵ベクトルに加えて鍵ベクトルを処理装置により変形す
    る鍵ベクトル変形部を備え、
     前記ペアリング演算部は、前記ベクトル入力部が入力した暗号ベクトルと、前記鍵ベクトル変形部が変形した鍵ベクトルとについて、前記ペアリング演算を行い、前記暗号ベクトルから前記基底ベクトルbの係数として設定したρに関する値を抽出し、
     前記復号装置は、さらに、
     前記検証情報に基づき、前記署名情報に改ざんがないことを処理装置により検証する改ざん検証部
    を備えることを特徴とする請求項25に記載の復号装置。
  31.  前記ベクトル入力部は、前記検証情報として第1検証情報comを含む情報が設定された暗号ベクトルであるデータc1と、
     平文情報mと第2検証情報decとを、前記データc1の前記基底ベクトルbに対する係数として設定したρから生成されたセッション鍵で暗号化したデータc2と、
     第1検証情報comであるデータc3と、
     前記データc1と前記データc2とを、前記第1検証情報comと前記第2検証情報decとに基づき生成可能な第3検証情報rにより暗号化した署名情報であるデータc4とを入力し、
     前記復号装置は、さらに、
     前記ペアリング演算部が抽出したρに関する値からセッション鍵を生成して、生成したセッション鍵により前記データc2を復号して、前記平文情報mと前記第2検証情報decとを取得するc2復号部を備え、
     前記改ざん検証部は、前記c2復号部が取得した第2検証情報と前記データc3とから前記第3検証情報rを生成するとともに、生成した前記第3検証情報rと前記データc4とに基づき、前記データc1と前記データc2とに改ざんがないことを検証する
    ことを特徴とする請求項30に記載の復号装置。
  32.  前記データ入力部は、数21に示すデータc1とデータc2とデータc3とデータc4とを入力し、
     前記鍵ベクトル記憶部は、数22に示す鍵ベクトルkvを記憶し、
     前記鍵ベクトル変形部は、数23に従い鍵ベクトルkvを変換し、
     前記ペアリング演算部は、数24に示すペアリング演算を行って、ρに関する値Kを取得し、
     前記c2復号部は、数25に従い前記ρに関する値Kから共通鍵を生成して、生成した共通鍵により前記データc2を復号して、前記平文情報mと前記第2検証情報decとを取得し、
     前記改ざん検証部は、数26に従い前記第3検証情報rを生成して、数27に従い改ざんを検証する
    ことを特徴とする請求項31に記載の復号装置。
    Figure JPOXMLDOC01-appb-M000021
    Figure JPOXMLDOC01-appb-M000022
    Figure JPOXMLDOC01-appb-M000023
    Figure JPOXMLDOC01-appb-M000024
    Figure JPOXMLDOC01-appb-M000025
    Figure JPOXMLDOC01-appb-M000026
    Figure JPOXMLDOC01-appb-M000027
  33.  前記送信情報設定部は、t=0,...,n-1の各tについて、前記空間Vにおける基底B[t]の基底ベクトルb[t] (i=0,...,N-1)のうち、基底ベクト
    ルb[t] に対する係数として平文情報mを設定したベクトルを送信情報ベクトルmv[t]として生成し、
     前記暗号ベクトル生成部は、t=0,...,n-1の各tについて、基底ベクトルb[t] (i=0,...,μLx-1)に対する係数として、数28に示す係数値s[t] を設定した属性情報ベクトルxv[t]を、前記送信情報設定部が生成した送信情報ベクトルmv[t]に加算して暗号ベクトルc[t]を生成する
    ことを特徴とする請求項23に記載の暗号化装置。
    Figure JPOXMLDOC01-appb-M000028
  34.  前記送信情報設定部は、数29に示す送信情報ベクトルmv[t]を生成し、
     前記暗号ベクトル生成部は、数30に示す属性情報ベクトルxv[t]を数29に示す送信情報ベクトルmv[t]に加算して暗号ベクトルc[t]を生成する
    ことを特徴とする請求項33に記載の暗号化装置。
    Figure JPOXMLDOC01-appb-M000029
    Figure JPOXMLDOC01-appb-M000030
  35.  前記ベクトル入力部は、t=0,...,n-1の各tについて、前記空間Vにおける基底B[t]の基底ベクトルb[t] (i=0,...,N-1)のうち、基底ベクトルb[t] に対する係数として平文情報mが設定されるとともに、基底ベクトルb[t] (i=0,...,μLx-1)に対する係数として、数31に示す係数値s[t] を設定されたベクトルv[t]を暗号ベクトルc[t]として入力し、
     前記鍵ベクトル記憶部は、t=0,...,n-1の各tについて、前記空間Vにおける基底B[t]*の基底ベクトルb[t]* (i=0,...,N-1)のうち、基底ベクトルb[t]* に対する係数として所定の値が設定されるとともに、ベクトルb[t]* (i=0,...,μLv-1)(μLx≧μLv)に対する係数として述語情報v(i=0,...,μLv-1)が設定されたベクトルv[t]を鍵ベクトルkv[t]として記憶装置に記憶し、
     前記ペアリング演算部は、t=0,...,n-1の各tについて、前記ベクトル入力部が入力した暗号ベクトルc[t]と、前記鍵ベクトル記憶部が記憶した鍵ベクトルkv[t]とについて前記ペアリング演算を行い、前記暗号ベクトルから前記基底ベクトルb[t] の係数として設定した平文情報mに関する情報fを生成するとともに、t=0,...,n-1の各tについて、基底ベクトルb[t] と、前記鍵ベクトルkv[t]とについて前記ペアリング演算を行い、前記値fから前記平文情報mを抽出するための情報gを生成し、
     前記復号装置は、さらに、
     前記ペアリング演算部が生成した情報fについて、情報gを底として離散対数問題を計算して、前記平文情報mを計算する離散対数計算部
    を備えることを特徴とする請求項25に記載の復号装置。
    Figure JPOXMLDOC01-appb-M000031
  36.  前記ベクトル入力部は、数32に示す暗号ベクトルc[t]を入力し、
     前記鍵ベクトル記憶部は、数33に示す鍵ベクトルkv[t]を記憶し、
     前記ペアリング演算部は、数34に示すペアリング演算を行い情報fと情報gとを生成し、
     前記離散対数問題は、数35に示す離散対数問題を解き平文情報mを計算する
    ことを特徴とする請求項35に記載の復号装置。
    Figure JPOXMLDOC01-appb-M000032
    Figure JPOXMLDOC01-appb-M000033
    Figure JPOXMLDOC01-appb-M000034
    Figure JPOXMLDOC01-appb-M000035
  37.  前記暗号化装置は、さらに、
     t=0,...,n-1の各tについて、基底ベクトルb[t] と前記基底ベクトルb[t] (i=0,...,μLx-1)と以外の所定の基底ベクトルb[t] に対する係数として検証情報vkを含む情報を設定したベクトルv[t]を検証情報ベクトルck[t]として生成する検証情報設定部を備え、
     前記暗号ベクトル生成部は、t=0,...,n-1の各tについて、前記属性情報ベクトルxv[t]と送信情報ベクトルmv[t]と前記検証情報設定部が生成した検証情報ベクトルck[t]とを加算して暗号ベクトルc[t]を生成し、
     前記暗号化装置は、さらに、
     前記検証情報設定部が設定した検証情報vkに基づき検証される署名情報Σを生成する署名情報生成部と、
     前記暗号ベクトル生成部が生成した暗号ベクトルc[t](t=0,...,n-1)と、前記署名情報生成部が生成した署名情報Σと、前記検証情報vkとを復号装置へ送信するデータ送信部と
    を備えることを特徴とする請求項33に記載の暗号化装置。
  38.  前記送信情報設定部は、数36に示す送信情報ベクトルmv[t]を生成し、
     前記検証情報設定部は、数37に示す検証情報ベクトルck[t]を生成し、
     前記暗号ベクトル生成部は、数38に示す属性情報ベクトルxv[t]を数36に示す送信情報ベクトルmv[t]と数37に示す検証情報ベクトルck[t]とに加算して暗号ベクトルc[t]を生成する
    ことを特徴とする請求項37に記載の暗号化装置
    Figure JPOXMLDOC01-appb-M000036
    Figure JPOXMLDOC01-appb-M000037
    Figure JPOXMLDOC01-appb-M000038
  39.  前記ベクトル入力部は、t=0,...,n-1の各tについて、前記基底ベクトルb[t] と前記基底ベクトルb[t] (i=0,...,μLx-1)と以外の所定の基底ベクトルb[t] に対する係数として検証情報vkを含む情報が設定された暗号ベクトルc[t]と、前記検証情報vkに基づき検証される署名情報Σと、前記検証情報vkとを入力し、
     前記復号装置は、さらに、
     t=0,...,n-1の各tについて、所定の基底ベクトルb[t] に対する係数として前記検証情報vkを含む情報を設定したベクトルv[t]を前記鍵ベクトル記憶部が記憶した鍵ベクトルに加えて鍵ベクトルkv[t]を変形する鍵ベクトル変形部を備え、
     前記ペアリング演算部は、t=0,...,n-1の各tについて、前記ベクトル入力部が入力した暗号ベクトルc[t]と前記鍵ベクトル変形部が変形した鍵ベクトルkv[t]とについて前記ペアリング演算を行い情報fを生成するとともに、t=0,...,n-1の各tについて、基底ベクトルb[t] と前記変形した鍵ベクトルkv[t]とについて前記ペアリング演算を行い情報gを生成し、
     前記復号装置は、さらに、
     前記検証情報vkに基づき、前記署名情報Σに改ざんがないことを検証する改ざん検証

    を備えることを特徴とする請求項35に記載の復号装置。
  40.  前記ベクトル入力部は、数39に示す暗号ベクトルc[t]と、前記検証情報vkに基づき検証される署名情報Σと、前記検証情報vkとを入力し、
     前記鍵ベクトル記憶部は、数40に示す鍵ベクトルkv[t]を記憶し、
     前記鍵ベクトル変形部は、数41に従い鍵ベクトルkv[t]を変換し、
     前記ペアリング演算部は、数42に示すペアリング演算を行い情報fと情報gとを抽出する
    ことを特徴とする請求項39に記載の復号装置。
    Figure JPOXMLDOC01-appb-M000039
    Figure JPOXMLDOC01-appb-M000040
    Figure JPOXMLDOC01-appb-M000041
    Figure JPOXMLDOC01-appb-M000042
  41.  ペアリング演算によって関連付けられた双対加群である空間Vと空間Vとを用いて暗号処理を行う暗号処理システムであり、
     前記空間Vにおけるベクトルであって、所定の情報を埋め込んだベクトルを暗号ベクトルとして生成する暗号化装置と、
     前記空間Vにおける所定のベクトルを鍵ベクトルとして、前記暗号化装置が生成した暗号ベクトルと前記鍵ベクトルとについて、前記ペアリング演算を行い前記暗号ベクトルを復号して前記所定の情報に関する情報を抽出する復号装置と
    を備えることを特徴とする暗号処理システム。
  42.  述語暗号における秘密鍵である鍵ベクトルkL,0を生成する鍵生成装置であり、
     ペアリング演算によって関連付けられた双対加群である空間Vと空間Vとのうちの前記空間Vをマスター秘密鍵として記憶装置に記憶するマスター鍵記憶部と、
     前記マスター鍵記憶部が記憶したマスター秘密鍵である前記空間Vにおける所定の基底Bの基底ベクトルb (i=0,...,N-1)のうち、所定の基底ベクトルb に対する係数として所定の値を設定するとともに、基底ベクトルb (i=0,...,μ-1)に対する係数として述語情報v(i=0,...,μ-1)を設定したベクトルを鍵ベクトルkL,0として生成する鍵ベクトル生成部と
    を備えることを特徴とする鍵生成装置。
  43.  述語暗号における秘密鍵である鍵ベクトルを生成する鍵委譲装置であり、
     ペアリング演算によって関連付けられた双対加群である空間Vと空間Vとのうちの前記空間Vにおける所定の暗号ベクトルを復号可能な前記空間Vにおける鍵ベクトルを取得する鍵ベクトル取得部と、
     前記鍵ベクトル取得部が取得した鍵ベクトルに基づき、前記鍵ベクトルで復号可能な前記所定の暗号ベクトルのうちの一部の暗号ベクトルを復号可能な前記空間Vにおける新たな鍵ベクトルを処理装置により生成する鍵ベクトル生成部と
    を備えることを特徴とする鍵委譲装置。
  44.  ペアリング演算によって関連付けられた双対加群である空間Vと空間Vとのうちの空間Vにおける所定の基底Bの基底ベクトルb(i=0,...,N-1)のうち、基底ベクトルbに対する係数としてρを設定したベクトルを送信情報ベクトルとして生成する送信情報設定部と、
     基底ベクトルb(i=0,...,μLx-1)に対する係数として属性情報x(i=0,...,μLx-1)を設定した属性ベクトルを、前記送信情報設定部が生成した送信情報ベクトルに加算して暗号ベクトルを生成する暗号ベクトル生成部と
    を備えることを特徴とする暗号化装置。
  45.  ペアリング演算によって関連付けられた双対加群である空間Vと空間Vとのうちの空間Vにおける所定の基底Bの基底ベクトルb(i=0,...,N-1)のうち、基底ベクトルbの係数としてρが設定されるとともに、基底ベクトルb(i=0,...,μLx-1)の所定の基底ベクトルの係数に属性情報x(i=0,...,μLx-1)を設定されたベクトルを暗号ベクトルとして入力するベクトル入力部と、
     前記空間Vにおける所定の基底Bの基底ベクトルb (i=0,...,N-1)のうち、所定の基底ベクトルb に対する係数として所定の値が設定されるとともに、基底ベクトルb (i=0,...,μLv-1)(μLx≧μLv)に対する係数として述語情報v(i=0,...,μLv-1)が設定されたベクトルを鍵ベクトルとして記憶装置に記憶する鍵ベクトル記憶部と、
     前記ベクトル入力部が入力した暗号ベクトルと、前記鍵ベクトル記憶部が記憶した鍵ベクトルとについて前記ペアリング演算を行い、前記暗号ベクトルから前記基底ベクトルbの係数として設定したρに関する値を抽出するペアリング演算部と
    を備えることを特徴とする復号装置。
  46.  ペアリング演算によって関連付けられた双対ベクトル空間である空間Vと空間Vとを用いて暗号処理を行う暗号処理方法であり、
     処理装置が、前記空間Vにおけるベクトルであって、所定の情報を埋め込んだベクトルを暗号ベクトルとして生成する暗号化ステップと、
     処理装置が、前記空間Vにおける所定のベクトルを鍵ベクトルとして、前記暗号化ステップで生成した暗号ベクトルと前記鍵ベクトルとについて、前記ペアリング演算を行い前記暗号ベクトルを復号して前記所定の情報に関する情報を抽出する復号ステップと
    を備えることを特徴とする暗号処理方法。
  47.  ペアリング演算によって関連付けられた双対ベクトル空間である空間Vと空間Vとを用いて暗号処理を行う暗号処理プログラムであり、
     前記空間Vにおけるベクトルであって、所定の情報を埋め込んだベクトルを暗号ベクトルとして生成する暗号化処理と、
     前記空間Vにおける所定のベクトルを鍵ベクトルとして、前記暗号化処理で生成した暗号ベクトルと前記鍵ベクトルとについて、前記ペアリング演算を行い前記暗号ベクトルを復号して前記所定の情報に関する情報を抽出する復号処理と
    をコンピュータに実行させることを特徴とする暗号処理プログラム。
PCT/JP2010/056639 2009-04-23 2010-04-14 暗号処理システム WO2010122926A1 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN201080017994.8A CN102415047B (zh) 2009-04-23 2010-04-14 密码处理系统
US13/266,002 US8559638B2 (en) 2009-04-23 2010-04-14 Cryptographic processing system
EP10766983.0A EP2424154B1 (en) 2009-04-23 2010-04-14 Encryption processing system
KR1020117027936A KR101359200B1 (ko) 2009-04-23 2010-04-14 암호 처리 시스템
ES10766983T ES2873230T3 (es) 2009-04-23 2010-04-14 Sistema de procesamiento de encriptado

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2009-104915 2009-04-23
JP2009104915 2009-04-23
JP2009-264576 2009-11-20
JP2009264576A JP5349261B2 (ja) 2009-04-23 2009-11-20 暗号処理システム、鍵生成装置、鍵委譲装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム

Publications (1)

Publication Number Publication Date
WO2010122926A1 true WO2010122926A1 (ja) 2010-10-28

Family

ID=43011044

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2010/056639 WO2010122926A1 (ja) 2009-04-23 2010-04-14 暗号処理システム

Country Status (7)

Country Link
US (1) US8559638B2 (ja)
EP (1) EP2424154B1 (ja)
JP (1) JP5349261B2 (ja)
KR (1) KR101359200B1 (ja)
CN (1) CN102415047B (ja)
ES (1) ES2873230T3 (ja)
WO (1) WO2010122926A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012108100A1 (ja) * 2011-02-09 2012-08-16 三菱電機株式会社 暗号処理システム、鍵生成装置、暗号化装置、復号装置、鍵委譲装置、暗号処理方法及び暗号処理プログラム

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5269188B2 (ja) * 2009-04-24 2013-08-21 日本電信電話株式会社 有限体演算装置、有限体演算方法、プログラム及び記録媒体
CN102396011B (zh) * 2009-04-24 2014-04-16 日本电信电话株式会社 加密装置、解密装置、加密方法、解密方法、安全方法、程序以及记录介质
ES2602052T3 (es) * 2009-11-20 2017-02-17 Mitsubishi Electric Corporation Sistema de procesamiento criptográfico, dispositivo de generación de clave, dispositivo de delegación de clave, dispositivo de cifrado, dispositivo de descifrado, método de procesamiento criptográfico y programa de procesamiento criptográfico
JP5334873B2 (ja) * 2010-01-08 2013-11-06 三菱電機株式会社 暗号処理システム、鍵生成装置、鍵委譲装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム
WO2011086687A1 (ja) 2010-01-15 2011-07-21 三菱電機株式会社 秘匿検索システム及び暗号処理システム
JP5424974B2 (ja) 2010-04-27 2014-02-26 三菱電機株式会社 暗号処理システム、鍵生成装置、暗号化装置、復号装置、署名処理システム、署名装置及び検証装置
CN103329478B (zh) * 2011-01-18 2015-11-25 三菱电机株式会社 密码系统以及密码系统的密码处理方法
JP5677273B2 (ja) * 2011-11-18 2015-02-25 三菱電機株式会社 暗号処理システム、暗号処理方法、暗号処理プログラム及び鍵生成装置
JP5680007B2 (ja) * 2012-03-06 2015-03-04 三菱電機株式会社 暗号システム、暗号方法及び暗号プログラム
JP5730805B2 (ja) * 2012-04-04 2015-06-10 日本電信電話株式会社 格子問題に基づく階層型内積暗号システム,格子問題に基づく階層型内積暗号方法,装置
JP6057725B2 (ja) * 2013-01-15 2017-01-11 三菱電機株式会社 情報処理装置
US9344276B2 (en) * 2013-01-16 2016-05-17 Mitsubishi Electric Corporation Cryptographic system, re-encryption key generation device, re-encryption device, cryptographic method, and cryptographic program
EP2947641B1 (en) * 2013-01-16 2018-03-14 Mitsubishi Electric Corporation Information processing device, information processing method, and program
US8559631B1 (en) * 2013-02-09 2013-10-15 Zeutro Llc Systems and methods for efficient decryption of attribute-based encryption
EP2860905A1 (en) * 2013-10-09 2015-04-15 Thomson Licensing Method for ciphering a message via a keyed homomorphic encryption function, corresponding electronic device and computer program product
WO2015052799A1 (ja) * 2013-10-09 2015-04-16 三菱電機株式会社 暗号システム、暗号化装置、再暗号化鍵生成装置、再暗号化装置及び暗号プログラム
WO2015107620A1 (ja) * 2014-01-14 2015-07-23 三菱電機株式会社 暗号システム、再暗号化鍵生成装置、再暗号化装置及び暗号プログラム
EP3113405B1 (en) 2014-02-24 2020-10-28 Mitsubishi Electric Corporation Cipher system and cipher program
WO2016088251A1 (ja) * 2014-12-05 2016-06-09 三菱電機株式会社 暗号システム、マスター鍵更新装置及びマスター鍵更新プログラム
US9438412B2 (en) * 2014-12-23 2016-09-06 Palo Alto Research Center Incorporated Computer-implemented system and method for multi-party data function computing using discriminative dimensionality-reducing mappings
US10965459B2 (en) 2015-03-13 2021-03-30 Fornetix Llc Server-client key escrow for applied key management system and process
JP6305638B2 (ja) 2015-04-07 2018-04-04 三菱電機株式会社 暗号システム及び鍵生成装置
CN105635135B (zh) * 2015-12-28 2019-01-25 北京科技大学 一种基于属性集及关系谓词的加密系统及访问控制方法
US10931653B2 (en) * 2016-02-26 2021-02-23 Fornetix Llc System and method for hierarchy manipulation in an encryption key management system
CN106533697B (zh) * 2016-12-06 2019-11-08 上海交通大学 随机数生成与提取方法及其在身份认证上的应用
US10205713B2 (en) * 2017-04-05 2019-02-12 Fujitsu Limited Private and mutually authenticated key exchange
US11184161B2 (en) 2017-07-18 2021-11-23 Legic Identsystems Ag Method and devices for verifying authorization of an electronic device
JP6456451B1 (ja) 2017-09-25 2019-01-23 エヌ・ティ・ティ・コミュニケーションズ株式会社 通信装置、通信方法、及びプログラム
CN115004559A (zh) * 2020-01-20 2022-09-02 上海诺基亚贝尔股份有限公司 基于数据隐私保护的极性编码
US12099997B1 (en) 2020-01-31 2024-09-24 Steven Mark Hoffberg Tokenized fungible liabilities

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2744309B1 (fr) * 1996-01-26 1998-03-06 Bull Cp8 Procede de communicatin cryptographique asymetrique, et objet portatif associe
CN100588131C (zh) * 2003-02-12 2010-02-03 松下电器产业株式会社 发送装置及无线通信方法
US20070223686A1 (en) * 2004-09-16 2007-09-27 Shidong Li Methods and apparatus for data and signal encryption and decryption by irregular subspace leaping
US8190553B2 (en) * 2007-12-20 2012-05-29 Routt Thomas J Methods and systems for quantum search, computation and memory
CN101911582B (zh) 2008-01-18 2012-09-05 三菱电机株式会社 密码参数设定装置、密钥生成装置、密码系统、密码参数设定方法和密钥生成方法
CN102396011B (zh) * 2009-04-24 2014-04-16 日本电信电话株式会社 加密装置、解密装置、加密方法、解密方法、安全方法、程序以及记录介质

Non-Patent Citations (33)

* Cited by examiner, † Cited by third party
Title
A. SAHAI, B. WATERS: "EUROCRYPT 2005, LNCS", 2005, SPRINGER VERLAG, article "Fuzzy identity-based encryption"
C. COCKS: "Proceedings of the 8th IMA International Conference on Cryptography and Coding", 2001, SPRINGER-VERLAG, article "An identity based encryption scheme based on quadratic residues", pages: 360 - 363
C. GENTRY, A. SILVERBERG: "ASIACRYPT 2002, LNCS", 2002, SPRINGER-VERLAG, article "Hierarchical ID-based cryptography"
C. GENTRY: "EUROCRYPT 2006, LNCS", 2006, SPRINGER-VERLAG, article "Practical identity-based encryption without random oracles"
CRAIG GENTRY ET AL.: "Hierarchical Identity Based Encryption with Polynomially Many Levels", LNCS, vol. 5444, March 2009 (2009-03-01), pages 437 - 456, XP019115082 *
D. BONEH, B. WATERS: "TCC 2007, LNCS", vol. 4392, 2007, SPRINGER VERLAG, article "Conjunctive, subset, and range queries on encrypted data", pages: 535 - 554
D. BONEH, J. KATZ: "RSA-CT 2005, LNCS", 2005, SPRINGER VERLAG, article "Improved efficiency for cca-secure cryptosystems built using identity based encryption"
D. BONEH, M. FRANKLIN: "CRYPTO 2001, LNCS", vol. 2139, 2001, SPRINGER VERLAG, article "Identity-based encryption from the Weil pairing", pages: 213 - 229
D. BONEH, X. BOYEN, E. GOH: "EUROCRYPT 2005, LNCS", 2005, SPRINGER-VERLAG, article "Hierarchical identity based encryption with constant size ciphertext", pages: 440 - 456
D. BONEH, X. BOYEN, H. SHACHAM: "CRYPTO 2004, LNCS", vol. 3152, 2004, SPRINGER VERLAG, article "Short group signatures", pages: 41 - 55
D. BONEH, X. BOYEN: "CRYPTO 2004, LNCS", 2004, SPRINGER-VERLAG, article "Secure identity based encryption without random oracles"
D. BONEH, X. BOYEN: "EUROCRYPT 2004, LNCS", 2004, SPRINGER-VERLAG, article "Efficient selective-ID secure identity based encryption without random oracles"
D. HOFHEINZ, E. KILTZ: "CRYPTO 2007, LNCS", vol. 4622, 2007, SPRINGER VERLAG, article "Secure hybrid encryption from weakened key encapsulation", pages: 553 - 571
E. SHI, B. WATERS: "ICALP 2008, LNCS", 2008, SPRINGER VERLAG, article "Delegating capability in predicate encryption systems"
EMILY SHEN ET AL.: "Predicate Privacy in Encryption Systems", LNCS, vol. 5444, March 2009 (2009-03-01), pages 457 - 473, XP019115083 *
H. SHACHAM: "A Cramer-Shoup encryption scheme from the linear assumption and from progressively weaker linear variants", IACR, vol. 074, 2007
J. BETHENCOURT, A. SAHAI, B. WATERS: "Ciphertext-policy attribute-based encryption", PROCEEDINGS OF THE 2007 IEEE SYMPOSIUM ON SECURITY AND PRIVACY, 2007
J. GROTH, A. SAHAI: "EUROCRYPT 2008, LNCS", vol. 4965, 2008, SPRINGER VERLAG, article "Efficient non-interactive proof systems for bilinear groups", pages: 415 - 432
J. HORWITZ, B. LYNN: "EUROCRYPT 2002, LNCS", 2002, SPRINGER VERLAG, article "Towards hierarchical identity-based encryption"
J. KATZ, A. SAHAI, B. WATERS: "EUROCRYPT 2008, LNCS", vol. 4965, 2008, SPRINGER VERLAG, article "Predicate encryption supporting disjunctions, polynomial equations, and inner products", pages: 146 - 162
J. KATZ, B. WATERS: "Compact signatures for network coding", IACR, vol. 316, 2008
K. TAKASHIMA: "ANTS, LNCS", vol. 5011, 2008, SPRINGER VERLAG, article "Efficiently computable distortion maps for supersingular curves", pages: 88 - 101
LUAN IBRAIMI ET AL.: "Ciphertect- Polocy Attribute-Based Threshold Decryption with Flexible Delegation and Revocation of User Attributes", INTERNAL REPORT, 2009, XP008157320 *
M. ABE, R. GENNARO, K. KUROSAWA, V SHOUP: "Tag-KEM/DEM: A New Framework for Hybrid Encryption and New Analysis of Kurosawa-Desmedt KEM", EUROCRYPT, 2005, LNCS, vol. 3494, pages 128 - 146
M. PIRRETTI, P. TRAYNOR, P. MCDANIEL, B. WATERS: "Secure attribute-based systems", ACM CCS 2006, 2006
R. CANETTI, S. HALEVI, J. KATZ: "EUROCRYPT 2004, LNCS", 2004, SPRINGER-VERLAG, article "Chosen-ciphertext security from identity-based encryption"
R. OSTROVSKY, A. SAHAI, B. WATERS: "Attribute-based encryption with non-monotonic access structures", ACM CCS 2007, 2007
See also references of EP2424154A4
T. OKAMOTO, K. TAKASHIMA: "Pairing 2008. LNCS", vol. 5209, 2008, SPRINGER VERLAG, article "Homomorphic encryption and signatures from vector decomposition", pages: 57 - 74
TATSUAKI OKAMOTO ET AL.: "Hierarchical Predicate Encryption for Inner- Products", LNCS, vol. 5912, December 2009 (2009-12-01), pages 214 - 231, XP019134479 *
TATSUAKI OKAMOTO ET AL.: "Relations among Computational and Decisional Problems concerning Vector Decomposition Problems", NEN SYMPOSIUM ON CRYPTOGRAPHY AND INFORMATION SECURITY, 20 January 2009 (2009-01-20), XP008157297 *
V. GOYAL, O. PANDEY, A. SAHAI, B. WATERS: "ACM-CCCS 2006, LNCS", 2006, SPRINGER VERLAG, article "Attribute-based encryption for fine-grained access control of encrypted data"
X. BOYEN, B. WATERS: "Anonymous hierarchical identity-based encryption (without random oracles", CRYPTO 2006, 2006, pages 290 - 307

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012108100A1 (ja) * 2011-02-09 2012-08-16 三菱電機株式会社 暗号処理システム、鍵生成装置、暗号化装置、復号装置、鍵委譲装置、暗号処理方法及び暗号処理プログラム
JP2012163917A (ja) * 2011-02-09 2012-08-30 Mitsubishi Electric Corp 暗号処理システム、鍵生成装置、暗号化装置、復号装置、鍵委譲装置、暗号処理方法及び暗号処理プログラム
US9385867B2 (en) 2011-02-09 2016-07-05 Mitsubishi Electric Corporation Cryptographic processing system, key generation device, encryption device, decryption device, key delegation device, cryptographic processing method, and cryptographic processing program

Also Published As

Publication number Publication date
JP5349261B2 (ja) 2013-11-20
CN102415047A (zh) 2012-04-11
EP2424154A1 (en) 2012-02-29
US20120045056A1 (en) 2012-02-23
EP2424154A4 (en) 2017-07-12
ES2873230T3 (es) 2021-11-03
CN102415047B (zh) 2015-12-09
EP2424154B1 (en) 2021-04-07
US8559638B2 (en) 2013-10-15
KR101359200B1 (ko) 2014-02-05
KR20120068762A (ko) 2012-06-27
JP2010273317A (ja) 2010-12-02

Similar Documents

Publication Publication Date Title
JP5349261B2 (ja) 暗号処理システム、鍵生成装置、鍵委譲装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム
KR101386294B1 (ko) 암호 처리 시스템, 키 생성 장치, 암호화 장치, 복호 장치, 서명 처리 시스템, 서명 장치 및 검증 장치
JP5769401B2 (ja) 暗号処理システム、鍵生成装置、鍵委譲装置、暗号化装置、復号装置、暗号処理方法及びプログラム
KR101393899B1 (ko) 암호 처리 시스템, 키 생성 장치, 암호화 장치, 복호 장치, 암호 처리 방법 및 암호 처리 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체
KR101443553B1 (ko) 암호 처리 시스템, 키 생성 장치, 암호화 장치, 복호 장치, 암호 처리 방법 및 암호 처리 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체
KR101310439B1 (ko) 암호 처리 시스템, 키 생성 장치, 키 위양 장치, 암호화 장치, 복호 장치, 암호 처리 방법 및 암호 처리 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체
KR101588992B1 (ko) 암호 시스템, 암호 방법 및 암호 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체
JP5606344B2 (ja) 署名処理システム、鍵生成装置、署名装置、検証装置、署名処理方法及び署名処理プログラム
JP5606351B2 (ja) 暗号処理システム、鍵生成装置、暗号化装置、復号装置、鍵委譲装置、暗号処理方法及び暗号処理プログラム
Koshiba et al. New assumptions on isogenous pairing groups with applications to attribute-based encryption
Lin et al. CCA-Secure Identity-Based Matchmaking Encryption from Standard Assumptions

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 201080017994.8

Country of ref document: CN

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 10766983

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2010766983

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 13266002

Country of ref document: US

ENP Entry into the national phase

Ref document number: 20117027936

Country of ref document: KR

Kind code of ref document: A