WO2013094018A1

WO2013094018A1 - 暗号化データ管理装置、暗号化データ管理方法及び暗号化データ管理プログラム

Info

Publication number: WO2013094018A1
Application number: PCT/JP2011/079519
Authority: WO
Inventors: 幸宏市川; 松田　規; 忠和山中; 克幸高島
Original assignee: 三菱電機株式会社
Priority date: 2011-12-20
Filing date: 2011-12-20
Publication date: 2013-06-27
Also published as: EP2797254A4; US20140310521A1; EP2797254A1; US9237013B2; CN104012028B; IN2014CN04197A; JPWO2013094018A1; JP5668191B2; CN104012028A

Abstract

関数型暗号方式においても利用可能な秘密鍵の失効方式を実現する。暗号化データに設定された属性情報及び鍵情報と、秘密鍵に設定された属性情報及び鍵情報とが対応していない場合、暗号化データを秘密鍵で復号できない暗号化方式を用いる暗号処理システム１０において、データの暗号化及び復号を行うユーザ端末１００と、暗号化データを記憶する暗号化データ記憶装置３００との間の中継を行う暗号化データ管理装置２００を設ける。暗号化データ管理装置２００は、暗号化データ記憶装置３００から取得した暗号化データに設定された属性情報を有するユーザに、秘密鍵が失効しているユーザが含まれるか否かを判定し、判定結果によって異なる値を鍵情報として暗号化データに設定する。そして、暗号化データ管理装置２００は、鍵情報を設定した暗号化データをユーザ端末１００へ送信する。

Description

暗号化データ管理装置、暗号化データ管理方法及び暗号化データ管理プログラム

　この発明は、秘密鍵の失効を実現する暗号化データの管理技術に関する。

　１９７６年にディフィーとヘルマンとが開発した公開鍵暗号方式は、様々な改良と機能拡張が行われている。２００１年には、ボネとフランクリンとにより、ペアリング演算に基づいたＩＤベース暗号と呼ばれる公開鍵暗号方式が開発された。近年ではペアリング演算に基づいた方式に関する研究が盛んに行われている。
　ペアリングを用いた高機能な公開鍵暗号方式として、非特許文献１，２に記載された高い安全性を持つ暗号方式（以下、関数型暗号方式と呼ぶ）がある。関数型暗号方式は、従来の暗号とは異なり、復号が可能なユーザ（秘密鍵）を複数指定した暗号化を１つの公開鍵で行うことができる。

　公開鍵暗号方式を一般のユーザが利用するシステムに適用した場合には、ユーザが秘密鍵を紛失する恐れがある。この場合、紛失した秘密鍵が悪用されることを防止するため、紛失した秘密鍵を失効させることが必要になる。
　秘密鍵を失効させる失効方式としては、特許文献１，２に記載された方式がある。

　特許文献１には、特定のユーザの秘密鍵を無効にするコマンドが入力された場合に、そのユーザの秘密鍵を無効にし、秘密鍵を再発行するコマンドが入力された場合に新規の暗号鍵及び秘密鍵の鍵ペアを生成する失効方式について記載されている。

　特許文献２には、アクセス要求とアクセス識別子とを受信したとき、無効にされた識別子のリストに記載された識別子とアクセス識別子とが一致するかを確認し、一致する場合、アクセスを終了させる失効方式について記載されている。

特開２００５－５１６１４号公報特表２００３－５０６７８２号公報

Ｔ．Ｏｋａｍｏｔｏ，Ｋ．Ｔａｋａｓｈｉｍａ，"Ａ　ｇｅｏｍｅｔｒｉｃ　ａｐｐｒｏａｃｈ　ｏｎ　ｐａｉｒｉｎｇｓ　ａｎｄ　ｈｉｅｒａｒｃｈｉｃａｌ　ｐｒｅｄｉｃａｔｅ　ｅｎｃｒｙｐｔｉｏｎ"，Ｉｎ：Ｐｏｓｔｅｒ　ｓｅｓｓｉｏｎ，ＥＵＲＯＣＲＹＰＴ　２００９．Ｔ．Ｏｋａｍｏｔｏ，Ｋ．Ｔａｋａｓｈｉｍａ，"Ｆｕｌｌｙ　Ｓｅｃｕｒｅ　Ｆｕｎｃｔｉｏｎａｌ　Ｅｎｃｒｙｐｔｉｏｎ　Ｗｉｔｈ　Ｇｅｎｅｒａｌ　Ｒｅｌａｔｉｏｎｓ　ｆｒｏｍ　ｔｈｅ　Ｄｅｃｉｓｉｏｎａｌ　Ｌｉｎｅａｒ　Ａｓｓｕｍｐｔｉｏｎ"，ＣＲＹＰＴＯ　２０１０，Ｌｅｃｔｕｒｅ　Ｎｏｔｅｓ　Ｉｎ　Ｃｏｍｐｕｔｅｒ　Ｓｃｉｅｎｃｅ，２０１０，Ｖｏｌｕｍｅ　６２２３／２０１０．

　関数型暗号方式は、従来と大きく異なる暗号方式であるため、従来の暗号方式に適用された秘密鍵の失効方式を適用することができない。また、関数型暗号方式は、従来の暗号方式と同様に、アルゴリズム自体では失効を考慮していない。そのため、関数型暗号方式は、一般のユーザが利用するシステムに適用した場合に発生する可能性の高い秘密鍵の紛失に対応できない。

　特許文献１に記載された失効方式では、秘密鍵が失効した場合に新しく鍵ペアを再発行する。そのため、この失効方式を関数型暗号方式に適用すると失効した秘密鍵で復号できるように暗号化した全てのデータを再暗号化しなければならない。したがって、過去に暗号化した多くデータを再暗号化することが必要となる恐れがあり、膨大なコストがかかってしまう恐れがある。
　特許文献２に記載された失効方式を関数型暗号方式に適用した場合も同様に、失効した秘密鍵で復号できるように暗号化したデータを再暗号化しなければならない。

　この発明は、関数型暗号方式においても利用可能な秘密鍵の失効方式を実現することを主な目的とする。

　この発明に係る暗号化データ管理装置は、
　暗号化データに設定された属性情報及び鍵情報と、秘密鍵に設定された属性情報及び鍵情報とが対応していない場合、前記暗号化データを前記秘密鍵で復号できない暗号化方式において、前記暗号化データを管理する暗号化データ管理装置であり、
　属性情報が設定された暗号化データを記憶装置から取得するデータ取得部と、
　前記データ取得部が取得した前記暗号化データに設定された前記属性情報を有するユーザに、秘密鍵が失効しているユーザが含まれるか否か判定する失効判定部と、
　秘密鍵が失効しているユーザが含まれると前記失効判定部に判定されたか否かによって、異なる値を前記鍵情報として前記暗号化データに設定する鍵情報設定部と、
　前記鍵情報設定部が鍵情報を設定した暗号化データをユーザ端末へ送信するデータ送信部と
を備えることを特徴とする。

　この発明に係る暗号化データ管理装置は、暗号化データを復号可能なユーザに秘密鍵が失効しているユーザが含まれるか否かによって、異なる値を鍵情報として設定した上で、ユーザへ送信する。これにより、失効した秘密鍵で暗号化データが復号されることを防止できる。

実施の形態１に係る暗号処理システム１０の構成図。実施の形態１に係るユーザ端末１００の構成図。実施の形態１に係る暗号化データ管理装置２００の構成図。実施の形態１に係る暗号化データ記憶装置３００の構成図。実施の形態１に係る鍵生成装置４００の構成図。実施の形態１に係る暗号化データ登録処理の流れを示すフローチャート。実施の形態１に係る暗号化データ取得処理の流れを示すフローチャート。実施の形態３に係る暗号化データ管理装置２００の構成図。実施の形態３に係る暗号化データ記憶装置３００の構成図。実施の形態３に係る暗号化データ登録処理の流れを示すフローチャート。実施の形態３に係る暗号化データ取得処理の流れを示すフローチャート。ユーザ端末１００、暗号化データ管理装置２００、暗号化データ記憶装置３００、鍵生成装置４００のハードウェア構成の一例を示す図。

　実施の形態１．
　実施の形態１では、非特許文献１に記載された関数型暗号方式において、秘密鍵の失効方式を実現する方法を説明する。

　まず、非特許文献１に記載された関数型暗号方式について、この実施の形態の説明に必要な部分のみに簡略化して説明する。
　非特許文献１に記載された関数型暗号方式には、Ｓｅｔｕｐアルゴリズム、ＫｅｙＧｅｎアルゴリズム、Ｅｎｃアルゴリズム、Ｄｅｃアルゴリズムがある。

　Ｓｅｔｕｐアルゴリズムは、公開パラメータｐｋとマスター秘密鍵ｓｋとを生成するアルゴリズムである。
　Ｓｅｔｕｐアルゴリズムでは、双対ペアリングベクトル空間のパラメータｐａｒａｍと、ペアリング演算で関連付けられた双対正規直交基底である基底Ｂ及び基底Ｂ^＊とが生成される。そして、パラメータｐａｒａｍと基底Ｂとが公開パラメータｐｋとされ、基底Ｂ^＊がマスター秘密鍵ｓｋとされる。
　なお、基底Ｂは、基底ベクトルｂ_１，ｂ_２，．．．，ｂ_ｎ＋２を有し、基底Ｂ^＊は、基底ベクトルｂ^＊ _１，ｂ^＊ _２，．．．，ｂ^＊ _ｎ＋２を有する。つまり、基底Ｂ，Ｂ^＊は、それぞれのｎ＋２個（ｎは１以上の整数）の基底ベクトルを有する。

　ＫｅｙＧｅｎアルゴリズムは、ユーザ秘密鍵ｋ^＊を生成するアルゴリズムである。
　ＫｅｙＧｅｎアルゴリズムでは、式１に示すように、マスター秘密鍵ｓｋに含まれる基底Ｂ^＊を用いて、ユーザ秘密鍵ｋ^＊が生成される。
＜式１＞
ｋ^＊：＝σ（ｖ_１ｂ^＊ _１＋．．．＋ｖ_ｎｂ^＊ _ｎ）＋ｂ^＊ _ｎ＋１
　ここで、σは、乱数値である。ｖ_１，．．．，ｖ_ｎは、ユーザ秘密鍵ｋ^＊が与えられるユーザの属性情報等である。

　Ｅｎｃアルゴリズムは、暗号化データｃを生成するアルゴリズムである。
　Ｅｎｃアルゴリズムでは、式２に示すように、公開パラメータｐｋに含まれる基底Ｂを用いて、暗号化データｃの要素ｃ_１が生成される。
＜式２＞
ｃ_１：＝ω（ｘ_１ｂ_１＋．．．＋ｘ_ｎｂ_ｎ）＋ζｂ_ｎ＋１＋φｂ_ｎ＋２
　ここで、ω，ζ，φは、乱数値である。ｘ_１，．．．，ｘ_ｎは、暗号化データｃを復号可能なユーザの属性情報等である。
　また、Ｅｎｃアルゴリズムでは、式３に示すように、公開パラメータｐｋに含まれるパラメータｐａｒａｍを用いて、暗号化データｃの要素ｃ_２が生成される。
＜式３＞
ｃ_２：＝ｅ（ｇ，ｇ）^ζ・ｍ
　ここで、ｇは、パラメータｐａｒａｍに含まれる情報であり、双対ペアリングベクトル空間を構成する群Ｇの要素である。ｍは、メッセージである。ｅ（ｇ，ｇ）は、要素ｇと要素ｇとについてのペアリング演算である。

　Ｄｅｃアルゴリズムは、暗号化データｃをユーザ秘密鍵ｋ^＊で復号するアルゴリズムである。
　Ｄｅｃアルゴリズムでは、式４に示す計算が実行され、暗号化データｃがユーザ秘密鍵ｋ^＊で復号されて、ｍ’が抽出される。
＜式４＞
ｍ’：＝ｃ_２／ｅ（ｃ_１，ｋ^＊）
　ここで、ｅ（ｃ_１，ｋ^＊）は、要素ｃ_１とユーザ秘密鍵ｋ^＊とについてのペアリング演算である。

　Ｄｅｃアルゴリズムでは、ユーザ秘密鍵ｋ^＊における基底ベクトルｂ^＊ _１，．．．，ｂ^＊ _ｎに設定された属性情報等（ｖ_１，．．．，ｖ_ｎ）と、要素ｃ_１における基底ベクトルｂ_１，．．．，ｂ_ｎに設定された属性情報等（ｘ_１，．．．，ｘ_ｎ）とが対応する場合、抽出されたｍ’＝ｍとなる。
　属性情報等（ｖ_１，．．．，ｖ_ｎ）と属性情報等（ｘ_１，．．．，ｘ_ｎ）とが対応するとは、Σ_ｉ＝１ ^ｎｖ_ｉ・ｘ_ｉ＝０となることである。

　ペアリング演算ｅ（ｓｇ，ｔｇ）＝ｅ（ｇ，ｇ）^ｓｔである。そのため、ｅ（ｃ_１，ｋ^＊）＝ｅ（ｇ，ｇ）^Ｙとなる。ここで、Ｙ＝ωσ（ｘ_１・ｖ_１＋．．．ｘ_ｎ・ｖ_ｎ）＋ζである。したがって、Σ_ｉ＝１ ^ｎｖ_ｉ・ｘ_ｉ＝０であれば、Ｙ＝ζであり、ｅ（ｃ_１，ｋ^＊）＝ｅ（ｇ，ｇ）^ζである。
　式３に示すように、ｃ_２：＝ｅ（ｇ，ｇ）^ζ・ｍであるから、式４の計算を実行すれば、Σ_ｉ＝１ ^ｎｖ_ｉ・ｘ_ｉ＝０の場合には、ｍ’＝ｍとなる。

　以下の説明では、説明を簡単にするため、ｎ＝４として説明する。

　図１は、実施の形態１に係る暗号処理システム１０の構成図である。
　暗号処理システム１０は、非特許文献１，２等に記載された関数型暗号方式に基づく暗号処理を実現する。暗号処理システム１０は、複数のユーザ端末１００、暗号化データ管理装置２００、暗号化データ記憶装置３００、鍵生成装置４００を備える。各ユーザ端末１００、暗号化データ管理装置２００、暗号化データ記憶装置３００、鍵生成装置４００は、それぞれ、インターネット等のネットワーク５００を介して接続されている。

　図２は、実施の形態１に係るユーザ端末１００の構成図である。
　ユーザ端末１００は、ユーザが使用する端末であり、データの暗号化、復号を行う。ユーザ端末１００は、暗号化データ生成部１１０、データ送信部１２０、データ受信部１３０、復号部１４０、鍵管理部１５０を備える。

　図３は、実施の形態１に係る暗号化データ管理装置２００の構成図である。
　暗号化データ管理装置２００は、ユーザ端末１００と暗号化データ記憶装置３００との間で、暗号化データの管理をする。暗号化データ管理装置２００は、データ受信部２１０（データ取得部）、失効判定部２２０、鍵情報設定部２３０、データ送信部２４０、失効情報管理部２５０、鍵管理部２６０を備える。

　図４は、実施の形態１に係る暗号化データ記憶装置３００の構成図である。
　暗号化データ記憶装置３００は、暗号化データを記憶する。暗号化データ記憶装置３００は、データ受信部３１０、データ操作部３２０、データ送信部３３０、暗号化データ管理部３４０を備える。

　図５は、実施の形態１に係る鍵生成装置４００の構成図である。
　鍵生成装置４００は、ユーザ秘密鍵ｋ^＊、マスター秘密鍵ｓｋ、公開パラメータｐｋを生成する。鍵生成装置４００は、指示受信部４１０、鍵生成部４２０、鍵送信部４３０、マスター鍵記憶部４４０を備える。

　暗号処理システム１０の主な処理には、暗号化データ登録処理と、暗号化データ取得処理とがある。暗号化データ登録処理は、ユーザ端末１００が暗号化データを暗号化データ記憶装置３００に登録する処理である。暗号化データ取得処理は、ユーザ端末１００が暗号化データを暗号化データ記憶装置３００から取得する処理である。
　また、暗号化データ登録処理と暗号化データ取得処理とには、３つの前提条件がある。
　そこで、３つの前提条件を説明した上で、暗号化データ登録処理と、暗号化データ取得処理とを説明する。

　＜前提条件１＞
　ユーザ端末１００が、関数型暗号方式におけるユーザ秘密鍵ｋ^＊を取得している必要がある。
　鍵生成装置４００の指示受信部４１０は、ユーザ端末１００等から鍵の生成指示を受信する。すると、鍵生成装置４００の鍵生成部４２０は、処理装置により、Ｓｅｔｕｐアルゴリズムを実行して、公開パラメータｐｋとマスター秘密鍵ｓｋとを生成し、マスター鍵記憶部４４０に記憶する。また、鍵生成部４２０は、処理装置により、ＫｅｙＧｅｎアルゴリズムを実行して、マスター秘密鍵ｓｋに含まれる基底Ｂ^＊を用いて、ユーザ秘密鍵ｋ^＊を生成する。
　そして、鍵送信部４３０は、公開パラメータｐｋとユーザ秘密鍵ｋ^＊とをユーザ端末１００へ送信する。ユーザ端末１００のデータ受信部１３０は、公開パラメータｐｋとユーザ秘密鍵ｋ^＊とを受信して、鍵管理部１５０に記憶する。また、鍵送信部４３０は、公開パラメータｐｋを暗号化データ管理装置２００へ送信する。暗号化データ管理装置２００のデータ受信部２１０は、公開パラメータｐｋを受信して、鍵管理部２６０に記憶する。
　なお、Ｓｅｔｕｐアルゴリズムは一度だけ実行されればよく、ユーザ秘密鍵ｋ^＊を生成する度に実行する必要はない。
　また、鍵送信部４３０がユーザ秘密鍵ｋ^＊をユーザ端末１００へ送信する場合、ユーザ認証を行い、正当なユーザの端末であることを確認する。また、鍵送信部４３０がユーザ秘密鍵ｋ^＊をユーザ端末１００へ送信する場合、盗聴と改ざんを防ぐため、ＳＳＬ（Ｓｅｃｕｒｅ　Ｓｏｃｋｅｔ　Ｌａｙｅｒ）等を用いた安全な通信路を使用する。つまり、ユーザ秘密鍵ｋ^＊が悪意ある第三者に不正に利用されないようにする。

　ここでは、鍵生成部４２０は、式５に示すようにユーザ秘密鍵ｋ^＊を生成する。
＜式５＞
ｋ^＊＝σ_１（ｖ_１ｂ^＊ _１＋ｖ_２ｂ^＊ _２）＋σ_２（ｖ_３ｂ^＊ _３＋ｖ_４ｂ^＊ _４）＋ｂ^＊ _５
　ここで、σ_１，σ_２は、乱数値である。ｖ_１，ｖ_２は、鍵情報である。ここでは、鍵情報として、新たな鍵の発行毎に値がインクリメントされる世代番号を用いる。ｖ_３，ｖ_４は、ユーザ秘密鍵ｋ^＊が与えられるユーザの属性情報である。
　世代番号の値をρとし、属性情報の値をαとした場合、ここでは、式６に示すようにユーザ秘密鍵ｋ^＊は生成される。
＜式６＞
ｋ^＊＝σ_１（ρｂ^＊ _１＋ｂ^＊ _２）＋σ_２（αｂ^＊ _３＋ｂ^＊ _４）＋ｂ^＊ _５
　つまり、ｖ_１：＝ρ，ｖ_２：＝１，ｖ_３：＝α，ｖ_４：＝１である。

　鍵生成部４２０は、あるユーザに対して、初めにユーザ秘密鍵ｋ^＊を生成する場合には、世代番号の値を１とする。そのユーザがユーザ秘密鍵ｋ^＊を紛失して、再びユーザ秘密鍵ｋ^＊を生成する場合には、世代番号の値をインクリメントして２とする。以降、ユーザ秘密鍵ｋ^＊を紛失して再生成する場合には、インクリメントした世代番号の値を用いる。

　＜前提条件２＞
　ユーザ端末１００が、ドメイン公開鍵ｄｐｋを取得している必要がある。
　ドメイン公開鍵ｄｐｋとは、暗号化データ管理装置２００の秘密鍵（ドメイン秘密鍵ｄｓｋ）に対応する公開鍵である。なお、ドメイン秘密鍵ｄｓｋとドメイン公開鍵ｄｐｋとの鍵ペアは、関数型暗号方式における鍵ペアでなく、他の公開鍵暗号方式における鍵ペアであってもよい。
　鍵生成部４２０は、ドメイン秘密鍵ｄｓｋとドメイン公開鍵ｄｐｋとの鍵ペアを生成し、鍵送信部４３０は、ドメイン公開鍵ｄｐｋをユーザ端末１００へ送信し、ドメイン秘密鍵ｄｓｋを暗号化データ管理装置２００へ送信する。ユーザ端末１００のデータ受信部１３０は、ドメイン公開鍵ｄｐｋを受信し、鍵管理部１５０に記憶する。また、暗号化データ管理装置２００のデータ受信部２１０は、ドメイン公開鍵ｄｐｋを受信し、鍵管理部２６０に記憶する。
　鍵送信部４３０がドメイン秘密鍵ｄｓｋを暗号化データ管理装置２００へ送信する場合、盗聴と改ざんを防ぐため、ＳＳＬ等を用いた安全な通信路を使用する。

　＜前提条件３＞
　暗号化データ管理装置２００が、失効情報を取得している必要がある。
　失効情報とは、ユーザ秘密鍵ｋ^＊を紛失したユーザの識別情報と、紛失したユーザ秘密鍵ｋ^＊の世代番号とを示す情報である。
　ユーザがユーザ秘密鍵ｋ^＊を紛失した場合、ユーザ端末１００のデータ送信部１２０は、ユーザ秘密鍵ｋ^＊を紛失したユーザの識別情報と、紛失したユーザ秘密鍵ｋ^＊の世代番号とを失効情報として暗号化データ管理装置２００へ送信する。暗号化データ管理装置２００のデータ受信部２１０は、失効情報を受信し、失効情報管理部２５０に記憶する。
　なお、データ受信部２１０は、失効情報を受信する場合、ユーザ認証を行い、失効を届け出たユーザが本人であることを確認する。

　＜暗号化データ登録処理＞
　図６は、実施の形態１に係る暗号化データ登録処理の流れを示すフローチャートである。
　（Ｓ１１：暗号化処理）
　ユーザ端末１００の暗号化データ生成部１１０は、Ｅｎｃアルゴリズムを実行して暗号化データｃを生成する。

　ここでは、暗号化データ生成部１１０は、処理装置により、式７に示すように、鍵管理部１５０に記憶した公開パラメータｐｋに含まれる基底Ｂを用いて、暗号化データｃの要素ｃ_１を生成する。
＜式７＞
ｃ_１：＝ω_１（ｒ_１ｂ_１＋ｒ_２ｂ_２）＋ω_２（ｘ_３ｂ_３＋ｘ_４ｂ_４）＋ζｂ_５＋φｂ_６
　ここで、ω_１，ω_２，ｒ_１，ｒ_２，ζ，φは、乱数値である。ｘ_３，ｘ_４は、暗号化データｃを復号可能なユーザの属性情報が設定される。
　属性情報の値をαとした場合、ここでは、式８に示すように暗号化データｃは生成される。
＜式８＞
ｃ_１：＝ω_１（ｒ_１ｂ_１＋ｒ_２ｂ_２）＋ω_２（ｂ_３－αｂ_４）＋ζｂ_５＋φｂ_６
　つまり、ｘ_３：＝１，ｘ_４：＝－αである。

　また、暗号化データ生成部１１０は、処理装置により、式９に示すように、鍵管理部１５０に記憶した公開パラメータｐｋに含まれるパラメータｐａｒａｍを用いて、暗号化データｃの要素ｃ_２を生成する。
＜式９＞
ｃ_２：＝ｅ（ｇ，ｇ）^ζ・ｍ

　また、暗号化データ生成部１１０は、処理装置により、鍵管理部１５０に記憶したドメイン公開鍵ｄｐｋで、ω_１ｒ_１を暗号化したＥ（ω_１ｒ_１）と、ω_１ｒ_２を暗号化したＥ（ω_１ｒ_２）とを生成する。
　また、暗号化データ生成部１１０は、要素ｃ_１に設定した属性情報が示すユーザの識別情報をユーザリストｕｌとして生成する。

　（Ｓ１２：第１データ送信処理）
　ユーザ端末１００のデータ送信部１２０は、通信装置により、暗号化データ生成部１１０が生成した要素ｃ_１，ｃ_２，Ｅ（ω_１ｒ_１），Ｅ（ω_１ｒ_２），ｕｌを含む暗号化データｃを、暗号化データ管理装置２００へ送信する。

　（Ｓ１３：第２データ送信処理）
　暗号化データ管理装置２００のデータ受信部２１０は、通信装置により、暗号化データｃをユーザ端末１００から受信する。暗号化データ管理装置２００のデータ送信部２４０は、暗号化データｃに関連情報ｒを添付して、暗号化データ記憶装置３００へ送信する。なお、関連情報ｒとは、暗号化データｃの作成者や、暗号化データｃの受信日時等であり、後に暗号化データｃを検索する際に利用される情報である。

　（Ｓ１４：データ記憶処理）
　暗号化データ記憶装置３００のデータ受信部３１０は、通信装置により、暗号化データｃと関連情報ｒとを暗号化データ管理装置２００から受信する。暗号化データ記憶装置３００のデータ操作部３２０は、暗号化データｃと関連情報ｒとを関連付けて、暗号化データ管理部３４０に記憶する。

　（Ｓ１５：結果送信処理）
　暗号化データ記憶装置３００のデータ送信部３３０は、通信装置により、暗号化データｃの記憶が成功したか否かを示す結果情報を、暗号化データ管理装置２００へ送信する。

　（Ｓ１６：結果転送処理）
　暗号化データ管理装置２００のデータ受信部２１０は、通信装置により、結果情報を暗号化データ記憶装置３００から受信する。暗号化データ管理装置２００のデータ送信部２４０は、通信装置により、結果情報をユーザ端末１００へ送信する。

　（Ｓ１７：結果受信処理）
　ユーザ端末１００のデータ受信部１３０は、通信装置により、結果情報を暗号化データ管理装置２００から受信する。

　＜暗号化データ取得処理＞
　図７は、実施の形態１に係る暗号化データ取得処理の流れを示すフローチャートである。
　（Ｓ２１：キーワード送信処理）
　ユーザ端末１００のデータ送信部１２０は、通信装置により、暗号化データｃを特定可能なキーワードを、暗号化データ管理装置２００へ送信する。

　（Ｓ２２：キーワード転送処理）
　暗号化データ管理装置２００のデータ受信部２１０は、通信装置により、キーワードをユーザ端末１００から受信する。暗号化データ管理装置２００のデータ送信部２４０は、通信装置により、キーワードを暗号化データ記憶装置３００へ送信する。

　（Ｓ２３：データ検索処理）
　暗号化データ記憶装置３００のデータ受信部３１０は、通信装置により、キーワードを暗号化データ管理装置２００から受信する。暗号化データ記憶装置３００のデータ操作部３２０は、処理装置により、キーワードと一致する関連情報ｒを有する暗号化データｃを暗号化データ管理部３４０から抽出する。

　（Ｓ２４：第１データ送信処理）
　暗号化データ記憶装置３００のデータ送信部３３０は、通信装置により、抽出した暗号化データｃを暗号化データ管理装置２００へ送信する。

　（Ｓ２５：世代番号付け代え処理）
　暗号化データ管理装置２００のデータ受信部２１０は、通信装置により、暗号化データｃを暗号化データ記憶装置３００から受信する。
　暗号化データ管理装置２００の失効判定部２２０は、処理装置により、暗号化データｃのユーザリストｕｌに含まれるユーザの識別情報が、失効情報管理部２５０が記憶する失効情報に含まれているか否か判定する。鍵情報設定部２３０は、処理装置により、暗号化データｃの要素ｃ_１における乱数値ｒ_１，ｒ_２を、失効判定部２２０の判定結果に応じて異なる値に設定し直し、要素ｃ_１’を生成する。
　具体的には、鍵情報設定部２３０は、以下のように乱数値ｒ_１，ｒ_２を設定し直す。なお、ここでは、式８に示す要素ｃ_１における乱数値ｒ_１，ｒ_２を設定し直した要素ｃ_１’を示す。

　ユーザリストｕｌに含まれるユーザの識別情報が、失効情報管理部２５０が記憶する失効情報に含まれていない場合、鍵情報設定部２３０は、式１０に示すように、要素ｃ_１’を生成する。
＜式１０＞
ｃ_１’：＝ω_１（ｂ_１－ｂ_２）＋ω_２（ｂ_３－αｂ_４）＋ζｂ_５＋φｂ_６
　つまり、ｒ_１を１に設定し直し、ｒ_２を－１に設定し直す。ｒ_２を設定し直した－１は、－１×世代番号の初期値である。
　なお、式１１に示す計算をすることにより、式８に示す要素ｃ_１から式１０に示す要素ｃ_１’を得ることができる。
＜式１１＞
ｃ_１’：＝ｃ_１－（ω_１ｒ_１ｂ_１＋ω_１ｒ_２ｂ_２）＋（ω_１ｂ_１－ω_１ｂ_２）
　ここで、ω_１ｒ_１，ω_１ｒ_２は、暗号化データｃの要素Ｅ（ω_１ｒ_１），Ｅ（ω_１ｒ_２）を、鍵管理部２６０に記憶したドメイン秘密鍵ｄｓｋで復号することにより得られる。また、ｂ_１，ｂ_２は、公開パラメータｐｋに含まれる基底Ｂから得られる。

　ユーザリストｕｌに含まれるユーザの識別情報が、失効情報管理部２５０が記憶する失効情報に含まれている場合、鍵情報設定部２３０は、式１２に示すように、要素ｃ_１’を生成する。
＜式１２＞
ｃ_１’：＝ω_１（ｂ_１－ρ_１ｂ_２）＋ω_２（ｂ_３－αｂ_４）＋ζｂ_５＋φｂ_６
　つまり、ｒ_１を１に設定し直し、ｒ_２を－ρ_１に設定し直す。ｒ_２を設定し直した－ρ_１は、－１×（失効したユーザ秘密鍵ｋ^＊の世代番号の値＋１）である。つまり、ユーザリストｕｌにユーザＡが含まれており、失効したユーザＡのユーザ秘密鍵ｋ^＊の世代番号として１が失効リストに含まれている場合、－ρ_１は、－１×（１＋１）＝－２となる。
　なお、式１３に示す計算をすることにより、式８に示す要素ｃ_１から式１２に示す要素ｃ_１’を得ることができる。
＜式１３＞
ｃ_１’：＝ｃ_１－（ω_１ｒ_１ｂ_１＋ω_１ｒ_２ｂ_２）＋（ω_１ｂ_１－ω_１ρ_１ｂ_２）

　（Ｓ２６：第２データ送信処理）
　暗号化データ管理装置２００のデータ送信部２４０は、通信装置により、暗号化データｃの要素ｃ_１を要素ｃ_１’に置き換えた暗号化データｃ’を、ユーザ端末１００へ送信する。

　（Ｓ２７：復号処理）
　ユーザ端末１００の暗号化データ生成部１１０は、通信装置により、暗号化データｃ’を暗号化データ管理装置２００から受信する。ユーザ端末１００の復号部１４０は、Ｄｅｃアルゴリズムを実行することにより、暗号化データｃ’をユーザ秘密鍵ｋ^＊で復号する。
　ここでは、復号部１４０は、処理装置により、式１４に示す計算を実行することにより、暗号化データｃ’をユーザ秘密鍵ｋ^＊で復号して、メッセージｍ’を抽出する。
＜式１４＞
ｍ’：＝ｃ_２／ｅ（ｃ_１，ｋ^＊）

　上述したように、ユーザ秘密鍵ｋ^＊における基底ベクトルｂ^＊ _１，．．．，ｂ^＊ _ｎに設定された属性情報等（ｖ_１，．．．，ｖ_ｎ）と、要素ｃ_１における基底ベクトルｂ_１，．．．，ｂ_ｎに設定された属性情報等（ｘ_１，．．．，ｘ_ｎ）とが対応する場合、抽出されたｍ’＝ｍとなる。そして、ここでは、属性情報等（ｖ_１，．．．，ｖ_ｎ）と属性情報等（ｘ_１，．．．，ｘ_ｎ）とが対応するとは、Σ_ｉ＝１ ^ｎｖ_ｉ・ｘ_ｉ＝０となることである。

　ユーザ端末１００は、初めに生成され、世代番号の値として１が付されたユーザ秘密鍵ｋ^＊を有しているとする。つまり、ユーザ端末１００は、式６のρに１が設定された、式１５に示すユーザ秘密鍵ｋ^＊を有しているとする。
＜式１５＞
ｋ^＊＝σ_１（ｂ^＊ _１＋ｂ^＊ _２）＋σ_２（αｂ^＊ _３＋ｂ^＊ _４）＋ｂ^＊ _５
　また、Ｓ１１において、暗号化データｃの要素ｃ_１は、式１６（＝式８）に示すように生成されているとする。
＜式１６＞
ｃ_１：＝ω_１（ｒ_１ｂ_１＋ｒ_２ｂ_２）＋ω_２（ｂ_３－αｂ_４）＋ζｂ_５＋φｂ_６

　ユーザリストｕｌに含まれるユーザの識別情報が失効情報に含まれていない場合、式１７（＝式１０）に示すように、要素ｃ_１’は生成される。
＜式１７＞
ｃ_１’：＝ω_１（ｂ_１－ｂ_２）＋ω_２（ｂ_３－αｂ_４）＋ζｂ_５＋φｂ_６
　この場合、ｖ_１＝１，ｖ_２＝１，ｖ_３＝α，ｖ_４＝１であり、ｘ_１＝１，ｘ_２＝－１，ｘ_３＝１，ｘ_４＝－αであるから、Σ_ｉ＝１ ^４ｖ_ｉ・ｘ_ｉ＝１－１＋α－α＝０となる。したがって、Ｓ２６で抽出されたメッセージｍ’は、Ｓ１１で暗号化データｃの要素ｃ_２に設定されたメッセージｍと等しい。
　つまり、ユーザ秘密鍵ｋ^＊で、暗号化データｃを復号することができる。

　一方、ユーザリストｕｌに含まれるユーザの識別情報が失効情報に含まれている場合、式１８に示すように、要素ｃ_１’は生成される。ここでは、世代番号がの値が１のユーザ秘密鍵ｋ^＊が失効していたとする。
＜式１８＞
ｃ_１’：＝ω_１（ｂ_１－２ｂ_２）＋ω_２（ｂ_３－αｂ_４）＋ζｂ_５＋φｂ_６
　この場合、ユーザ秘密鍵ｋ^＊において、基底ベクトルｂ^＊ _１，．．．，ｂ^＊ _４の係数に設定されたｖ_１，．．．，ｖ_４は、ｖ_１＝１，ｖ_２＝１，ｖ_３＝α，ｖ_４＝１である。また、要素ｃ_１’において、基底ベクトルｂ_１，．．．，ｂ_４の係数に設定されたｘ_１，．．．，ｘ_４は、ｘ_１＝１，ｘ_２＝－２，ｘ_３＝１，ｘ_４＝－αであるから、Σ_ｉ＝１ ^４ｖ_ｉ・ｘ_ｉ＝１－２＋α－α≠０となる。したがって、Ｓ２６で抽出されたメッセージｍ’は、Ｓ１１で暗号化データｃの要素ｃ_２に設定されたメッセージｍと等しくない。
　つまり、失効しているユーザ秘密鍵ｋ^＊では、暗号化データｃを復号することはできない。

　しかし、ユーザ端末１００は、鍵生成装置４００にユーザ秘密鍵ｋ^＊を再生成してもらい、世代番号の値として２が付されたユーザ秘密鍵ｋ^＊を取得したとする。つまり、ユーザ端末１００は、式６のρに２が設定された、式１９に示すユーザ秘密鍵ｋ^＊を取得したとする。
＜式１９＞
ｋ^＊＝σ_１（２ｂ^＊ _１＋ｂ^＊ _２）＋σ_２（αｂ^＊ _３＋ｂ^＊ _４）＋ｂ^＊ _５
　この場合、ｖ_１＝２，ｖ_２＝１，ｖ_３＝α，ｖ_４＝１であり、ｘ_１＝１，ｘ_２＝－２，ｘ_３＝１，ｘ_４＝－αであるから、Σ_ｉ＝１ ^４ｖ_ｉ・ｘ_ｉ＝２－２＋α－α＝０となる。したがって、Ｓ２６で抽出されたメッセージｍ’は、Ｓ１１で暗号化データｃの要素ｃ_２に設定されたメッセージｍと等しい。
　つまり、ユーザ秘密鍵ｋ^＊を紛失した場合、ユーザ秘密鍵ｋ^＊を再生成してもらうことで、暗号化データｃの復号が可能となる。

　また、ユーザ端末１００が、暗号化データ管理装置２００を介すことなく、暗号化データ記憶装置３００から暗号化データｃを取得することも考えられる。しかし、この場合、暗号化データｃの要素ｃ_１は、式２０（＝式８）に示す通りである。
＜式２０＞
ｃ_１：＝ω_１（ｒ_１ｂ_１＋ｒ_２ｂ_２）＋ω_２（ｂ_３－αｂ_４）＋ζｂ_５＋φｂ_６
　この場合、乱数値ｒ_１，ｒ_２が用いられているため、ユーザ秘密鍵ｋ^＊に設定された世代番号の値がいくつであっても、Σ_ｉ＝１ ^４ｖ_ｉ・ｘ_ｉ≠０となり、復号できない。

　以上のように、実施の形態１に係る暗号処理システム１０では、ユーザ秘密鍵ｋ^＊を紛失した場合には、紛失したユーザ秘密鍵ｋ^＊では暗号化データｃを復号できない状態とし、再生成されたユーザ秘密鍵ｋ^＊では暗号化データｃを復号できる状態とすることができる。特に、この際、既に暗号化データ記憶装置３００に記憶された暗号化データｃに対して、再暗号化等の処理を行う必要はない。

　また、実施の形態１に係る暗号処理システム１０では、仮に、ユーザ端末１００が、暗号化データ管理装置２００を介すことなく、暗号化データ記憶装置３００から暗号化データｃを取得した場合にも、暗号化データｃを復号できない。
　したがって、実施の形態１に係る暗号処理システム１０では、暗号化データ記憶装置３００を第三者に委託し、暗号化データ記憶装置３００から暗号化データｃが漏洩する可能性がある場合であっても、安全性を保つことができる。

　つまり、実施の形態１に係る暗号処理システム１０では、ユーザ秘密鍵ｋ^＊に、ユーザの属性情報と、その鍵の世代番号とを設定しておく。また、暗号化データｃに、復号できる条件として、復号可能なユーザの属性情報の条件と、復号可能な鍵の世代番号の条件とをＡＮＤ条件で設定しておく。
　また、実施の形態１に係る暗号処理システム１０では、ユーザ端末１００と暗号化データ記憶装置３００との間の処理を中継する暗号化データ管理装置２００を設置する。そして、ユーザ端末１００が暗号化データｃを取得する場合、暗号化データ管理装置２００が暗号化データ記憶装置３００から暗号化データｃを取得して、ユーザ端末１００へ送信する。この際、暗号化データ管理装置２００は、暗号化データｃを復号可能なユーザにユーザ秘密鍵ｋ^＊を失効したユーザが含まれるか否かに応じて、暗号化データｃの世代番号を異なる値に設定し直す。具体的には、失効したユーザが含まれない場合には、世代番号の値に初期値を設定し、失効したユーザが含まれる場合には、世代番号の値に失効していない世代番号の値を設定する。
　これにより、実施の形態１に係る暗号処理システム１０は、暗号化データｃの再暗号化をすることなく、紛失したユーザ秘密鍵ｋ^＊では暗号化データｃを復号できず、再生成されたユーザ秘密鍵ｋ^＊では暗号化データｃを復号できる状態とする。

　なお、上記説明では、式５に示すようにユーザ秘密鍵ｋ^＊を生成するとした。つまり、鍵情報と属性情報とに、異なる乱数値σ_１，σ_２を乗じていた。しかし、式２１に示すように、鍵情報と属性情報とに同一の乱数値σを乗じて、ユーザ秘密鍵ｋ^＊を生成してもよい。
＜式２１＞
ｋ^＊＝σ（ｖ_１ｂ^＊ _１＋ｖ_２ｂ^＊ _２＋ｖ_３ｂ^＊ _３＋ｖ_４ｂ^＊ _４）＋ｂ^＊ _５

　また、上記説明では、式７に示すように暗号化データｃの要素ｃ_１を生成するとした。つまり、鍵情報と属性情報とに、異なる乱数値ω_１，ω_２を乗じていた。しかし、式２２に示すように、鍵情報と属性情報とに同一の乱数値ωを乗じて、要素ｃ_１を生成してもよい。
＜式２２＞
ｃ_１：＝ω（ｒ_１ｂ_１＋ｒ_２ｂ_２＋ｘ_３ｂ_３＋ｘ_４ｂ_４）＋ζｂ_５＋φｂ_６

　また、式２３に示すように、乱数値ω_１を用いず、要素ｃ_１を生成してもよい。これは、ｒ_１，ｒ_２自身が乱数値であり、さらに乱数値を掛けなくてもよいためである。
＜式２３＞
ｃ_１：＝ｒ_１ｂ_１＋ｒ_２ｂ_２＋ω_２（ｘ_３ｂ_３＋ｘ_４ｂ_４）＋ζｂ_５＋φｂ_６

　また、式２４に示すように、鍵情報を設定する一部の基底ベクトル（式２４ではｂ_１）の係数を０とし、要素ｃ_１を生成してもよい。これは、基底ベクトルｂ_１，ｂ_２は、暗号化データ管理装置２００によって値を付け直しされるので、どちらか１つの基底ベクトルの係数に乱数値を設定しておけばよいためである。
＜式２４＞
ｃ_１：＝ｒ_２ｂ_２＋ω_２（ｘ_３ｂ_３＋ｘ_４ｂ_４）＋ζｂ_５＋φｂ_６

　また、式２５に示すように、鍵情報を設定する基底ベクトルに乱数値を設定せず、他の部分をドメイン公開鍵で暗号化して、要素ｃ_１を生成してもよい。鍵情報を設定する基底ベクトルに乱数値を設定することにより、ユーザ端末１００が暗号化データ記憶装置３００から直接暗号化データｃを取得した場合に、復号できない状態としていた。しかし、他の部分をドメイン公開鍵で暗号化しておくことで、同様の効果が得られるためである。
＜式２５＞
ｃ_１：＝Ｅ（ω_２（ｘ_３ｂ_３＋ｘ_４ｂ_４）＋ζｂ_５＋φｂ_６）

　また、上記説明では、説明を簡単にするため、αが属性情報の値として設定されたユーザ秘密鍵ｋ^＊と暗号化データｃとを用いて説明した。
　しかし、実際には、ユーザＵの所属するＡ会社を示す値α_１、Ｂ部を示す値α_２、Ｃ課を示す値α_３、ユーザＵを示すα_４が属性情報の値として設定されたユーザ秘密鍵ｋ^＊を用いることがある。例えば、式２６に示すユーザ秘密鍵ｋ^＊を用いることがある。なお、ここでは、世代番号の値として１を設定している。また、この場合、ｎ＝１０である。
＜式２６＞
ｋ^＊＝σ_１（ｂ^＊ _１＋ｂ^＊ _２）＋σ_２（α_１ｂ^＊ _３＋ｂ^＊ _４＋α_２ｂ^＊ _５＋ｂ^＊ _６＋α_３ｂ^＊ _７＋ｂ^＊ _８＋α_４ｂ^＊ _９＋ｂ^＊ _１０）＋ｂ^＊ _１１
　また、Ａ会社のＢ部に所属するユーザであれば誰でも復号可能であるように、Ａ会社を示す値α_１、Ｂ部を示す値α_２が属性情報の値として設定された暗号化データｃを用いることがある。例えば、式２７に示す暗号化データｃを用いることがある。
＜式２７＞
ｃ_１：＝ω_１（ｒ_１ｂ_１＋ｒ_２ｂ_２）＋ω_２（ｂ_３－α_１ｂ_４＋ｂ_５－α_２ｂ_６）＋ζｂ_１１＋φｂ_１２

　ユーザリストｕｌに含まれるユーザの識別情報が失効情報に含まれている場合、式２８に示すように、要素ｃ_１’は生成される。
＜式２８＞
ｃ_１：＝ω_１（ｂ_１－ｂ_２）＋ω_２（ｂ_３－α_１ｂ_４＋ｂ_５－α_２ｂ_６）＋ζｂ_１１＋φｂ_１２
　この場合、ｖ_１＝１，ｖ_２＝１，ｖ_３＝α_１，ｖ_４＝１，ｖ_５＝α_２，ｖ_６＝１，ｖ_７＝α_３，ｖ_８＝１，ｖ_９＝α_４，ｖ_１０＝１であり、ｘ_１＝１，ｘ_２＝－１，ｘ_３＝１，ｘ_４＝－α_１，ｘ_５＝１，ｘ_６＝－α_２，ｘ_７＝０，ｘ_８＝０，ｘ_９＝０，ｘ_１０＝０であるから、Σ_ｉ＝１ ^１０ｖ_ｉ・ｘ_ｉ＝σ_１ω_１（１－１）＋σ_２ω_２（α_１－α_１＋α_２－α_２＋０＋０＋０＋０）＝０となる。したがって、Ｓ２６で抽出されたメッセージｍ’は、Ｓ１１で暗号化データｃの要素ｃ_２に設定されたメッセージｍと等しい。

　一方、ユーザリストｕｌに含まれるユーザの識別情報が失効情報に含まれている場合、式２９に示すように、要素ｃ_１’は生成される。ここでは、世代番号がの値が１のユーザ秘密鍵ｋ^＊が失効していたとする。
＜式２９＞
ｃ_１：＝ω_１（ｂ_１－２ｂ_２）＋ω_２（ｂ_３－α_１ｂ_４＋ｂ_５－α_２ｂ_６）＋ζｂ_１１＋φｂ_１２
　なお、Ｂ部に所属する１人のユーザＵ_１がユーザ秘密鍵ｋ^＊を紛失すると、Ｂ部に所属する他のユーザＵ_２が暗号化データｃを取得する場合にも、要素ｃ_１は式２８に示す要素ｃ_１’ではなく、式２９に示す要素ｃ_１’に変換される。したがって、ユーザＵ_１だけでなく、ユーザＵ_２等のＢ部に所属する他のユーザもユーザ秘密鍵ｋ^＊を再作成してもらわなければ、暗号化データｃを復号することはできなくなる。

　実施の形態２．
　実施の形態２では、非特許文献２に記載された関数型暗号方式において、秘密鍵の失効方式を実現する方法を説明する。

　まず、非特許文献２に記載された関数型暗号方式について、この実施の形態の説明に必要な部分のみに簡略化して説明する。特に、非特許文献２に記載された関数型暗号方式で用いられるスパンプログラムや秘密分散等については、省略、あるいは簡略化して説明する。
　非特許文献２に記載された関数型暗号方式には、非特許文献１に記載された関数型暗号方式と同様に、Ｓｅｔｕｐアルゴリズム、ＫｅｙＧｅｎアルゴリズム、Ｅｎｃアルゴリズム、Ｄｅｃアルゴリズムがある。

　Ｓｅｔｕｐアルゴリズムは、公開パラメータｐｋとマスター秘密鍵ｓｋとを生成するアルゴリズムである。
　Ｓｅｔｕｐアルゴリズムでは、双対ペアリングベクトル空間のパラメータｐａｒａｍと、ｔ＝０，．．．，ｄ（ｄは１以上の整数）の各ｔについての正規直交基底である基底Ｂ_ｔ及び基底Ｂ^＊ _ｔとが生成される。そして、パラメータｐａｒａｍと基底Ｂ_ｔとが公開パラメータｐｋとされ、基底Ｂ^＊ _ｔがマスター秘密鍵ｓｋとされる。
　なお、基底Ｂ_０は、基底ベクトルｂ_０，１，ｂ_０，２，．．．，ｂ_０，５を有し、基底Ｂ^＊ _０は、基底ベクトルｂ^＊ _０，１，ｂ^＊ _０，２，．．．，ｂ^＊ _０，５を有する。つまり、基底Ｂ_０，Ｂ^＊ _０は、それぞれ５個の基底ベクトルを有する。また、ｔ＝１，．．．，ｄの各ｔについての基底Ｂ_ｔは、基底ベクトルｂ_ｔ，１，ｂ_ｔ，２，．．．，ｂ_{ｔ，３ｎｔ＋１}を有し、基底Ｂ^＊ _ｔは、基底ベクトルｂ^＊ _ｔ，１，ｂ^＊ _ｔ，２，．．．，ｂ^＊ _{ｔ，３ｎｔ＋１}を有する。つまり、基底Ｂ_ｔ，Ｂ^＊ _ｔは、それぞれ３ｎｔ＋１個（ｎｔは１以上の整数）の基底ベクトルを有する。
　但し、厳密には、係数として必ず０が割り当てられる基底ベクトルは公開パラメータｐｋやマスター秘密鍵ｓｋに含める必要がない。そのため、公開パラメータｐｋに含める基底Ｂ_０は、基底ベクトルｂ_０，１，ｂ_０，３，ｂ_０，５のみを有し、マスター秘密鍵ｓｋに含める基底Ｂ^＊ _０は、基底ベクトルｂ^＊ _０，１，ｂ^＊ _０，３，ｂ^＊ _０，４のみを有するとしてもよい。また、ｔ＝１，．．．，ｄの各ｔについて、公開パラメータｐｋに含める基底Ｂ_ｔは、基底ベクトルｂ_ｔ，１，，．．．，ｂ_ｔ，ｎｔ，ｂ_{ｔ，３ｎｔ＋１}のみを有し、マスター秘密鍵ｓｋに含める基底Ｂ^＊ _ｔは、基底ベクトルｂ^＊ _ｔ，１，．．．，ｂ^＊ _{ｔ，ｎｔ＋１}，ｂ^＊ _{ｔ，２ｎｔ＋１}，．．．，ｂ^＊ _{ｔ，３ｎｔ}のみを有するとしてもよい。

　ＫｅｙＧｅｎアルゴリズムは、ユーザ秘密鍵ｋ^＊を生成するアルゴリズムである。
　ＫｅｙＧｅｎアルゴリズムでは、式３０に示すように、マスター秘密鍵ｓｋに含まれる基底Ｂ^＊ _ｔを用いて、要素ｋ^＊ _０と、ｔ＝１，．．．，ｄの各ｔについての要素ｋ^＊ _ｔとを有するユーザ秘密鍵ｋ^＊が生成される。
＜式３０＞
ｋ^＊ _０：＝（δ，０，１，φ_０，０）Ｂ^＊ _０
ｋ^＊ _ｔ：＝（δｖ^→ _ｔ，０^ｎｔ，φ^→ _ｔ，０）Ｂ^＊ _ｔ
　ここで、δ，φ_０，φ^→ _ｔ：＝φ_ｔ，１，．．．，φ_ｔ，ｎｔは、乱数値である。ｖ^→ _ｔ：＝ｖ_ｔ，１，．．．，ｖ_ｔ，ｎｔは、ユーザ秘密鍵ｋ^＊が与えられるユーザの属性情報等である。
　また、（ｚ_１，．．．，ｚ_Ｎ）Ｂ^＊ _ｔ：＝Σ_ｉ＝１ ^Ｎｚ_ｉｂ^＊ _ｔ，ｉである。つまり、ｋ^＊ _０：＝（δ，０，１，φ_０，０）Ｂ^＊ _０：＝δｂ^＊ _０，１＋ｂ^＊ _０，３＋φ_０ｂ^＊ _０，４である。また、ｋ^＊ _ｔ：＝（δｖ^→ _ｔ，０^ｎｔ，φ^→ _ｔ，０）Ｂ^＊ _ｔ：＝Σ_ｉ＝１ ^ｎｔδｖ_ｔ，ｉｂ^＊ _ｔ，ｉ＋Σ_ｉ＝１ ^ｎｔφ_ｔ，ｉｂ^＊ _{ｔ，２ｎｔ＋ｉ}である。

　Ｅｎｃアルゴリズムは、暗号化データｃを生成するアルゴリズムである。
　Ｅｎｃアルゴリズムでは、式３１に示すように、公開パラメータｐｋに含まれる基底Ｂを用いて、暗号化データｃの要素ｃ_０と、ｔ＝１，．．．，Ｌ（Ｌは、ｄ以下の整数）の各ｔについての要素ｃ_ｔとが生成される。
＜式３１＞
ｃ_０：＝（－ｓ_０，０，ζ，０，η_０）Ｂ_０
ｃ_ｔ：＝（ｓ_ｔｅ^→ _ｔ，１＋θ_ｔｘ^→ _ｔ，０^ｎｔ，０^ｎｔ，η_ｔ）Ｂ_ｔ
　ここで、ｅ^→ _ｔ，１は、ｎｔ個の要素を持ち、先頭要素が１で残りの要素が０であるベクトルである。また、ｓ_０＝Σ_ｉ＝１ ^Ｌｓ_ｉである。ζ，θ_ｔ，η_０，η_ｔは、乱数値である。ｘ_ｔ，１，．．．，ｘ_ｔ，ｎｔは、暗号化データｃを復号可能なユーザの属性情報等である。
　また、（ｚ_１，．．．，ｚ_Ｎ）Ｂ_ｔ：＝Σ_ｉ＝１ ^Ｎｚ_ｉｂ_ｔ，ｉである。つまり、ｃ_０：＝（－ｓ_０，０，ζ，０，η_０）Ｂ_０：＝－ｓ_０ｂ_０，１＋ζｂ_０，３＋η_０ｂ_０，５である。また、ｃ_ｔ：＝（ｓ_ｔｅ^→ _ｔ，１＋θ_ｔｘ^→ _ｔ，０^ｎｔ，０^ｎｔ，η_ｔ）Ｂ_ｔ：＝Σ_ｉ＝１ ^ｎｔ（ｓ_ｔｅ^→ _ｔ，１＋θ_ｔｘ_ｔ，ｉ）ｂ_ｔ，ｉ＋η_ｔｂ_{３ｎｔ＋１}である。

　また、Ｅｎｃアルゴリズムでは、式３２に示すように、公開パラメータｐｋに含まれるパラメータｐａｒａｍを用いて、暗号化データｃの要素ｃ_ｄ＋１が生成される。
＜式３２＞
ｃ_ｄ＋１：＝ｅ（ｇ，ｇ）^ζ・ｍ
　ここで、ｇは、パラメータｐａｒａｍに含まれる情報であり、双対ペアリングベクトル空間を構成する群Ｇの要素である。ｍは、メッセージである。ｅ（ｇ，ｇ）は、要素ｇと要素ｇとについてのペアリング演算である。

　Ｄｅｃアルゴリズムは、暗号化データｃをユーザ秘密鍵ｋ^＊で復号するアルゴリズムである。
　Ｄｅｃアルゴリズムでは、式３３に示す計算が実行され、暗号化データｃがユーザ秘密鍵ｋ^＊で復号されて、ｍ’が抽出される。
＜式３３＞
ｍ’：＝ｃ_ｄ＋１／（ｅ（ｃ_０，ｋ^＊ _０）・Π_ｔ＝１ ^Ｌｅ（ｃ_ｔ，ｋ^＊ _ｔ））
　ここで、ｅ（ｃ_０，ｋ^＊ _０）は、要素ｃ_０とユーザ秘密鍵ｋ^＊ _０とについてのペアリング演算であり、ｅ（ｃ_ｔ，ｋ^＊ _ｔ）は、要素ｃ_ｔとユーザ秘密鍵ｋ^＊ _ｔとについてのペアリング演算である。

　Ｄｅｃアルゴリズムでは、ｔ＝１，．．．，Ｌの各ｔについて、ユーザ秘密鍵ｋ^＊における要素ｋ^＊ _ｔに設定された属性情報等（ｖ^→ _ｔ）と、暗号化データｃにおける要素ｃ_ｔに設定された属性情報等（ｘ^→ _ｔ）とが対応する場合、抽出されたｍ’＝ｍとなる。
　属性情報等（ｖ^→ _ｔ）と属性情報等（ｘ^→ _ｔ）とが対応するとは、ｖ^→ _ｔ・ｘ^→ _ｔ＝Σ_ｉ＝１ ^ｎｔｖ_ｔ，ｉ・ｘ_ｔ，ｉ＝０となることである。

　ペアリング演算ｅ（ｓｇ，ｔｇ）＝ｅ（ｇ，ｇ）^ｓｔである。そのため、ｅ（ｃ_０，ｋ^＊ _０）＝ｅ（ｇ，ｇ）^Ｙ１となる。ここで、Ｙ１＝－ｓ_０＋ζである。また、Π_ｔ＝１ ^Ｌｅ（ｃ_ｔ，ｋ^＊ _ｔ）＝（ｇ，ｇ）^Ｙ２となる。ここで、Ｙ２＝Σ_ｉ＝１ ^Ｌ（ｓ_ｉ＋ｖ^→ _ｔ・ｘ^→ _ｔ）＝Σ_ｉ＝１ ^Ｌ（ｓ_ｉ）＋Σ_ｉ＝１ ^Ｌｖ^→ _ｉ・ｘ^→ _ｉである。したがって、Σ_ｉ＝１ ^Ｌｖ^→ _ｉ・ｘ^→ _ｉ＝０であれば、Ｙ２＝Σ_ｉ＝１ ^Ｌ（ｓ_ｉ）である。
　そして、ｅ（ｃ_０，ｋ^＊ _０）・Π_ｔ＝１ ^Ｌｅ（ｃ_ｔ，ｋ^＊ _ｔ）＝ｅ（ｇ，ｇ）^Ｙ３となり、Σ_ｉ＝１ ^Ｌｖ^→ _ｉ・ｘ^→ _ｉ＝０であれば、Ｙ３＝－ｓ_０＋ζ＋Σ_ｉ＝１ ^Ｌ（ｓ_ｉ）である。そして、上述した通り、ｓ_０＝Σ_ｉ＝１ ^Ｌｓ_ｉであるから、Ｙ３＝ζである。つまり、ｅ（ｃ_０，ｋ^＊ _０）・Π_ｔ＝１ ^Ｌｅ（ｃ_ｔ，ｋ^＊ _ｔ）＝ｅ（ｇ，ｇ）^ζである。
　式３２に示すように、ｃ_ｄ＋１：＝ｅ（ｇ，ｇ）^ζ・ｍであるから、式３３の計算を実行すれば、Σ_ｉ＝１ ^Ｌｖ^→ _ｉ・ｘ^→ _ｉ＝０の場合には、ｍ’＝ｍとなる。

　以下の説明では、説明を簡単にするため、ｄ＝２，Ｌ＝２とし、ｎ１＝２，ｎ２＝２として説明する。

　実施の形態２に係る暗号処理システム１０の構成は、図１に示す実施の形態１に係る暗号処理システム１０の構成と同じである。実施の形態２に係るユーザ端末１００、暗号化データ管理装置２００、暗号化データ記憶装置３００、鍵生成装置４００の構成は、図２－５に示す実施の形態１に係るユーザ端末１００、暗号化データ管理装置２００、暗号化データ記憶装置３００、鍵生成装置４００の構成と同じである。

　実施の形態２に係る暗号処理システム１０の主な処理には、実施の形態１に係る暗号処理システム１０と同様に、暗号化データ登録処理と、暗号化データ取得処理とがあり、暗号化データ登録処理と暗号化データ取得処理とには、３つの前提条件がある。

　３つの前提条件は、前提条件１において生成されるユーザ秘密鍵ｋ^＊の構成を除き、実施の形態１と同じである。

　ここでは、鍵生成部４２０は、式３４に示すようにユーザ秘密鍵ｋ^＊を生成する。
＜式３４＞
ｋ^＊ _０：＝（δ，０，１，φ_０，０）Ｂ^＊ _０
ｋ^＊ _１：＝（δｖ^→ _１，０^ｎ１，φ^→ _１，０）Ｂ^＊ _１
ｋ^＊ _２：＝（δｖ^→ _２，０^ｎ２，φ^→ _２，０）Ｂ^＊ _２
　ここで、δ，φ_０，φ^→ _１，φ^→ _２は、乱数値である。ｖ^→ _１：＝ｖ_１，１，ｖ_１，２は、鍵情報である。ここでは実施の形態１と同様に、鍵情報として、新たな鍵の発行毎に値がインクリメントされる世代番号を用いる。ｖ^→ _２：＝ｖ_２，１，ｖ_２，２は、ユーザ秘密鍵ｋ^＊が与えられるユーザの属性情報等である。
　世代番号の値をρとし、属性情報の値をαとした場合、ここでは、式３５に示すようにユーザ秘密鍵ｋ^＊は生成される。
＜式３５＞
ｋ^＊ _０：＝（δ，０，１，φ_０，０）Ｂ^＊ _０
ｋ^＊ _１：＝（δ（ρ，１），０^ｎ１，φ^→ _１，０）Ｂ^＊ _１
ｋ^＊ _２：＝（δ（α，１），０^ｎ２，φ^→ _２，０）Ｂ^＊ _２
　つまり、ｖ_１，１：＝ρ，ｖ_１，２：＝１，ｖ_２，１：＝α，ｖ_２，２：＝１である。

　＜暗号化データ登録処理＞
　図６を用いて、実施の形態２に係る暗号化データ登録処理について、実施の形態１に係る暗号化データ登録処理と異なる部分を中心に説明する。
　（Ｓ１１：暗号化処理）
　ユーザ端末１００の暗号化データ生成部１１０は、Ｅｎｃアルゴリズムを実行して暗号化データｃを生成する。

　ここでは、暗号化データ生成部１１０は、処理装置により、式３６に示すように、鍵管理部１５０に記憶した公開パラメータｐｋに含まれる基底Ｂを用いて、暗号化データｃの要素ｃ_０，ｃ_１，ｃ_２を生成する。
＜式３６＞
ｃ_０：＝（－ｓ_０，０，ζ，０，η_０）Ｂ_０
ｃ_１：＝（ｓ_１ｅ^→ _１，１＋θ_１（１，ｒ），０^ｎ１，０^ｎ１，η_１）Ｂ_１
ｃ_２：＝（ｓ_２ｅ^→ _２，１＋θ_２ｘ^→ _２，０^ｎ２，０^ｎ２，η_２）Ｂ_２
　ここで、ｓ_０＝ｓ_１＋ｓ_２である。ζ，θ_１，θ_２，η_０，η_１，η_２，ｒは、乱数値である。ｘ_２，１，ｘ_２，２は、暗号化データｃを復号可能なユーザの属性情報等である。
　属性情報の値をαとした場合、ここでは、式３７に示すように暗号化データｃは生成される。
＜式３７＞
ｃ_０：＝（－ｓ_０，０，ζ，０，η_０）Ｂ_０
ｃ_１：＝（ｓ_１ｅ^→ _１，１＋θ_１（１，ｒ），０^ｎ１，０^ｎ１，η_１）Ｂ_１
ｃ_２：＝（ｓ_２ｅ^→ _２，１＋θ_２（１，－α），０^ｎ２，０^ｎ２，η_２）Ｂ_２
　つまり、ｘ_２，１：＝１，ｘ_２，２：＝－αである。

　また、暗号化データ生成部１１０は、処理装置により、式３８に示すように、鍵管理部１５０に記憶した公開パラメータｐｋに含まれるパラメータｐａｒａｍを用いて、暗号化データｃの要素ｃ_ｄ＋１を生成する。
＜式３８＞
ｃ_ｄ＋１：＝ｅ（ｇ，ｇ）^ζ・ｍ

　また、暗号化データ生成部１１０は、処理装置により、鍵管理部１５０に記憶したドメイン公開鍵ｄｐｋで、ｒを暗号化したＥ（ｒ）と、θ_１を暗号化したＥ（θ_１）とを生成する。
　また、暗号化データ生成部１１０は、要素ｃ_１に設定した属性情報が示すユーザの識別情報をユーザリストｕｌとして生成する。

　（Ｓ１２：第１データ送信処理）
　データ送信部１２０は、通信装置により、暗号化データ生成部１１０が生成した要素ｃ_０，ｃ_１，ｃ_２，ｃ_ｄ＋１，Ｅ（ｒ），Ｅ（ｒ），ｕｌを含む暗号化データｃを、暗号化データ管理装置２００へ送信する。

　Ｓ１３からＳ１７までの処理は、実施の形態１と同じである。

　＜暗号化データ取得処理＞
　図７を用いて、実施の形態２に係る暗号化データ取得処理について、実施の形態１に係る暗号化データ取得処理と異なる部分を中心に説明する。
　Ｓ２１からＳ２４までの処理は、実施の形態１と同じである。

　（Ｓ２５：世代番号付け代え処理）
　Ｓ２５も、原則として実施の形態１と同様である。しかし、暗号化データｃの要素ｃ_１における乱数値ｒを設定し直す方法が異なる。
　具体的には、鍵情報設定部２３０は、以下のように乱数値ｒを設定し直す。なお、ここでは、式３７に示す要素ｃ_１における乱数値ｒを設定し直した要素ｃ_１’を示す。

　ユーザリストｕｌに含まれるユーザの識別情報が、失効情報管理部２５０が記憶する失効情報に含まれていない場合、鍵情報設定部２３０は、式３９に示すように、要素ｃ_１’を生成する。
＜式３９＞
ｃ_１’：＝（ｓ_１ｅ^→ _１，１＋θ_１（１，－１），０^ｎ１，０^ｎ１，η_１）Ｂ_１
　つまり、ｒを－１に設定し直す。ｒを設定し直した－１は、－１×世代番号の初期値である。
　なお、式４０に示す計算をすることにより、式３７に示す要素ｃ_１から式３９に示す要素ｃ_１’を得ることができる。
＜式４０＞
ｃ_１’：＝ｃ_１－θ_１ｒｂ_１，２－θ_１ｂ_１，２
　ここで、ｒ，θ_１は、暗号化データｃの要素Ｅ（ｒ），Ｅ（θ_１）を、鍵管理部２６０に記憶したドメイン秘密鍵ｄｓｋで復号することにより得られる。また、ｂ_１，１，ｂ_１，２は、公開パラメータｐｋに含まれる基底Ｂから得られる。

　ユーザリストｕｌに含まれるユーザの識別情報が、失効情報管理部２５０が記憶する失効情報に含まれている場合、鍵情報設定部２３０は、式４１に示すように、要素ｃ_１’を生成する。
＜式４１＞
ｃ_１’：＝（ｓ_１ｅ^→ _１，１＋θ_１（１，－ρ_１），０^ｎ１，０^ｎ１，η_１）Ｂ_１
　つまり、ｒを－ρ_１に設定し直す。ｒを設定し直した－ρ_１は、－１×（失効したユーザ秘密鍵ｋ^＊の世代番号の値＋１）である。つまり、ユーザリストｕｌにユーザＡが含まれており、失効したユーザＡのユーザ秘密鍵ｋ^＊の世代番号として１が失効リストに含まれている場合、－ρ_１は、－１×（１＋１）＝－２となる。
　なお、式４２に示す計算をすることにより、式３７に示す要素ｃ_１から式４１に示す要素ｃ_１’を得ることができる。
＜式４２＞
ｃ_１’：＝ｃ_１－θ_１ｒｂ_１，２－θ_１ρ_１ｂ_１，２

　Ｓ２６は、実施の形態１と同じである。

　Ｓ２７も、原則として実施の形態１と同様である。しかし、復号の方法が異なる。
　ここでは、復号部１４０は、処理装置により、式４３に示す計算を実行することにより、暗号化データｃ’をユーザ秘密鍵ｋ^＊で復号して、メッセージｍ’を抽出する。
＜式４３＞
ｍ’：＝ｃ_ｄ＋１／（ｅ（ｃ_０，ｋ^＊ _０）・Π_ｔ＝１ ^Ｌｅ（ｃ_ｔ，ｋ^＊ _ｔ））

　上述したように、ｔ＝１，．．．，Ｌの各ｔについて、ユーザ秘密鍵ｋ^＊における要素ｋ^＊ _ｔに設定された属性情報等（ｖ^→ _ｔ）と、暗号化データｃにおける要素ｃ_ｔに設定された属性情報等（ｘ^→ _ｔ）とが対応する場合、抽出されたｍ’＝ｍとなる。そして、ここでは、属性情報等（ｖ^→ _ｔ）と属性情報等（ｘ^→ _ｔ）とが対応するとは、ｖ^→ _ｔ・ｘ^→ _ｔ＝Σ_ｉ＝１ ^ｎｔｖ_ｔ，ｉ・ｘ_ｔ，ｉ＝０となることである。

　ユーザ端末１００は、初めに生成され、世代番号の値として１が付されたユーザ秘密鍵ｋ^＊を有しているとする。つまり、ユーザ端末１００は、式３５のρに１が設定された、式４４に示すユーザ秘密鍵ｋ^＊を有しているとする。
＜式４４＞
ｋ^＊ _０：＝（δ，０，１，φ_０，０）Ｂ^＊ _０
ｋ^＊ _１：＝（δ（１，１），０^ｎ１，φ^→ _１，０）Ｂ^＊ _１
ｋ^＊ _２：＝（δ（α，１），０^ｎ２，φ^→ _２，０）Ｂ^＊ _２
　また、Ｓ１１において、暗号化データｃの要素ｃ_１は、式４５（＝式３７）に示すように生成されているとする。
＜式４５＞
ｃ_０：＝（－ｓ_０，０，ζ，０，η_０）Ｂ_０
ｃ_１：＝（ｓ_１ｅ^→ _１，１＋θ_１（１，ｒ），０^ｎ１，０^ｎ１，η_１）Ｂ_１
ｃ_２：＝（ｓ_２ｅ^→ _２，１＋θ_２（１，－α），０^ｎ２，０^ｎ２，η_２）Ｂ_２

　ユーザリストｕｌに含まれるユーザの識別情報が失効情報に含まれていない場合、式４６（＝式３９）に示すように、要素ｃ_１’は生成される。
＜式４６＞
ｃ_１’：＝（ｓ_１ｅ^→ _１，１＋θ_１（１，－１），０^ｎ１，０^ｎ１，η_１）Ｂ_１
　この場合、ユーザ秘密鍵ｋ^＊において、基底Ｂ^＊ _１の基底ベクトルｂ^＊ _１，１，ｂ^＊ _１，２の係数に設定されたｖ_１，１，ｖ_１，２は、ｖ_１，１＝１，ｖ_１，２＝１である。また、要素ｃ_１’において、基底Ｂ_１の基底ベクトルｂ_１，１，ｂ_１，２の係数に設定されたｘ_１，１，ｘ_１，２は、ｘ_１，１＝１，ｘ_１，２＝－１である。そのため、ｖ^→ _１・ｘ^→ _１＝Σ_ｉ＝１ ^２ｖ_１，ｉ・ｘ_１，ｉ＝１－１＝０となる。また、ユーザ秘密鍵ｋ^＊において、基底Ｂ^＊ _２の基底ベクトルｂ^＊ _２，１，ｂ^＊ _２，２の係数に設定されたｖ_２，１，ｖ_２，２は、ｖ_２，１＝α，ｖ_２，２＝１である。また、要素ｃ_１’において、基底Ｂ_２の基底ベクトルｂ_２，１，ｂ_２，２の係数に設定されたｘ_２，１，ｘ_２，２は、ｘ_２，１＝１，ｘ_２，２＝－αである。そのため、ｖ^→ _２・ｘ^→ _２＝Σ_ｉ＝１ ^２ｖ_２，ｉ・ｘ_２，ｉ＝α－α＝０となる。したがって、Ｓ２６で抽出されたメッセージｍ’は、Ｓ１１で暗号化データｃの要素ｃ_ｄ＋１に設定されたメッセージｍと等しい。
　つまり、ユーザ秘密鍵ｋ^＊で、暗号化データｃを復号することができる。

　一方、ユーザリストｕｌに含まれるユーザの識別情報が失効情報に含まれている場合、式４７に示すように、要素ｃ_１’は生成される。ここでは、世代番号がの値が１のユーザ秘密鍵ｋ^＊が失効していたとする。
＜式４７＞
ｃ_１’：＝（ｓ_１ｅ^→ _１，１＋θ_１（１，－２），０^ｎ１，０^ｎ１，η_１）Ｂ_１
　この場合、ｖ_１，１＝１，ｖ_１，２＝１であり、ｘ_１，１＝１，ｘ_１，２＝－２であるから、ｖ^→ _１・ｘ^→ _１＝Σ_ｉ＝１ ^２ｖ_１，ｉ・ｘ_１，ｉ＝１－２≠０となる。したがって、Ｓ２６で抽出されたメッセージｍ’は、Ｓ１１で暗号化データｃの要素ｃ_ｄ＋１に設定されたメッセージｍと等しくない。
　つまり、失効しているユーザ秘密鍵ｋ^＊では、暗号化データｃを復号することはできない。

　しかし、ユーザ端末１００は、鍵生成装置４００にユーザ秘密鍵ｋ^＊を再生成してもらい、世代番号の値として２が付されたユーザ秘密鍵ｋ^＊を取得したとする。つまり、ユーザ端末１００は、式３５のρに２が設定された、式４８に示すユーザ秘密鍵ｋ^＊を取得したとする。
＜式４８＞
ｋ^＊ _０：＝（δ，０，１，φ_０，０）Ｂ^＊ _０
ｋ^＊ _１：＝（δ（２，１），０^ｎ１，φ^→ _１，０）Ｂ^＊ _１
ｋ^＊ _２：＝（δ（α，１），０^ｎ２，φ^→ _２，０）Ｂ^＊ _２
　この場合、ｖ_１，１＝２，ｖ_１，２＝１であり、ｘ_１，１＝１，ｘ_１，２＝－２であるから、ｖ^→ _１・ｘ^→ _１＝Σ_ｉ＝１ ^２ｖ_１，ｉ・ｘ_１，ｉ＝２－２＝０となる。また、ｖ^→ _２・ｘ^→ _２＝Σ_ｉ＝１ ^２ｖ_２，ｉ・ｘ_２，ｉ＝α－α＝０である。したがって、Ｓ２６で抽出されたメッセージｍ’は、Ｓ１１で暗号化データｃの要素ｃ_ｄ＋１に設定されたメッセージｍと等しい。
　つまり、ユーザ秘密鍵ｋ^＊を紛失した場合、ユーザ秘密鍵ｋ^＊を再生成してもらうことで、暗号化データｃの復号が可能となる。

　また、ユーザ端末１００が、暗号化データ管理装置２００を介すことなく、暗号化データ記憶装置３００から暗号化データｃを取得することも考えられる。しかし、この場合、暗号化データｃの要素ｃ_１は、式４９（＝式３７）に示す通りである。
＜式４９＞
ｃ_１：＝（ｓ_１ｅ^→ _１，１＋θ_１（１，ｒ），０^ｎ１，０^ｎ１，η_１）Ｂ_１
　この場合、乱数値ｒが用いられているため、ユーザ秘密鍵ｋ^＊に設定された世代番号の値がいくつであっても、Σ_ｉ＝１ ^２ｖ_１，ｉ・ｘ_１，ｉ≠０となり、復号できない。

　以上のように、実施の形態２に係る暗号処理システム１０では、実施の形態１に係る暗号処理システム１０と同様の効果を得ることができる。

　なお、上記説明では、式３６に示すように暗号化データｃの要素ｃ_１を生成するとした。しかし、式５０に示すように、乱数値θ_１を用いず、要素ｃ_１を生成してもよい。これは、ｒ自身が乱数値であり、さらに乱数値を掛けなくてもよいためである。
＜式５０＞
ｃ_１：＝（ｓ_１ｅ^→ _１，１＋（１，ｒ），０^ｎ１，０^ｎ１，η_１）Ｂ_１

　また、式５１に示すように、鍵情報を設定する基底ベクトルに乱数値を設定せず、要素ｃ_１全体をドメイン公開鍵で暗号化して、要素ｃ_１を生成してもよい。鍵情報を設定する基底ベクトルに乱数値を設定することにより、ユーザ端末１００が暗号化データ記憶装置３００から直接暗号化データｃを取得した場合に、復号できない状態としていた。しかし、他の部分をドメイン公開鍵で暗号化しておくことで、同様の効果が得られるためである。
＜式５１＞
ｃ_１：＝Ｅ（ｓ_１ｅ^→ _１，１，０^ｎ１，０^ｎ１，η_１）Ｂ_１

　実施の形態３．
　実施の形態１では、暗号化データｃの要素ｃ_１における鍵情報が設定される基底ベクトルに乱数値ｒ_１，ｒ_２を設定すること等により、ユーザ端末１００が直接暗号化データ記憶装置３００から暗号化データｃを取得した場合の安全性を保っていた。同様に、実施の形態２では、暗号化データｃの要素ｃ_１における鍵情報が設定される基底に乱数値ｒを設定すること等により、ユーザ端末１００が直接暗号化データ記憶装置３００から暗号化データｃを取得した場合の安全性を保っていた。
　実施の形態３では、暗号化データｃの設定を簡略化しつつ、暗号化データ記憶装置３００へのアクセス制御を行うことにより、ユーザ端末１００が直接暗号化データ記憶装置３００から暗号化データｃを取得しようとした場合の安全性を保つ方法について説明する。
　実施の形態３では、実施の形態１に係る処理を応用した場合について説明するが、実施の形態２に係る処理を応用した場合についても同様に実現可能である。

　暗号処理システム１０の構成は、図１に示す実施の形態１に係る暗号処理システム１０の構成と同じである。ユーザ端末１００、鍵生成装置４００の構成は、図２，５に示す実施の形態１に係るユーザ端末１００、鍵生成装置４００の構成と同じである。

　図８は、実施の形態３に係る暗号化データ管理装置２００の構成図である。
　実施の形態３に係る暗号化データ管理装置２００は、図３に示す実施の形態１に係る暗号化データ管理装置２００の機能に加え、認証処理部２７０を備える。

　図９は、実施の形態３に係る暗号化データ記憶装置３００の構成図である。
　実施の形態３に係る暗号化データ記憶装置３００は、図４に示す実施の形態１に係る暗号化データ記憶装置３００の機能に加え、認証処理部３５０を備える。

　３つの前提条件については、原則として実施の形態１と同じである。
　但し、実施の形態１では公開パラメータｐｋに含まれていた基底Ｂの基底ベクトルｂ_１，ｂ_２は、公開パラメータｐｋから除かれ、鍵生成装置４００から暗号化データ管理装置２００へのみ送信される。なお、この際、盗聴と改ざんを防ぐため、ＳＳＬ等を用いた安全な通信路が使用される。

　＜暗号化データ登録処理＞
　図１０は、実施の形態３に係る暗号化データ登録処理の流れを示すフローチャートである。
　（Ｓ３１：暗号化処理）
　ユーザ端末１００の暗号化データ生成部１１０は、図６のＳ１１と同様に、Ｅｎｃアルゴリズムを実行して暗号化データｃを生成する。

　ここでは、暗号化データ生成部１１０は、処理装置により、式５２に示すように暗号化データｃの要素ｃ_１を生成する。
＜式５２＞
ｃ_１：＝ω（ｘ_３ｂ_３＋ｘ_４ｂ_４）＋ζｂ_５＋φｂ_６
　ここで、ω，ζ，φは、乱数値である。ｘ_３，ｘ_４は、暗号化データｃを復号可能なユーザの属性情報が設定される。
　属性情報の値をαとした場合、ここでは、式５３に示すように暗号化データｃは生成される。
＜式５３＞
ｃ_１：＝ω（ｂ_３－αｂ_４）＋ζｂ_５＋φｂ_６
　つまり、ｘ_３：＝１，ｘ_４：＝－αである。

　暗号化データ生成部１１０は、要素ｃ２，Ｅ（ω_１ｒ_１），Ｅ（ω_１ｒ_２），ｕｌについても、図６のＳ１１と同様に生成する。

　（Ｓ３２：第１認証情報送信処理）
　ユーザ端末１００のデータ送信部１２０は、通信装置により、認証情報として、ユーザの識別情報とパスワードとを暗号化データ管理装置２００へ送信する。

　（Ｓ３３：第１認証処理）
　暗号化データ管理装置２００のデータ受信部２１０は、通信装置により、ユーザの識別情報とパスワードとをユーザ端末１００から受信する。
　すると、暗号化データ管理装置２００の認証処理部２７０は、ユーザの識別情報とパスワードとに基づき、ユーザの認証を行う。例えば、認証処理部２７０は、ユーザ毎に識別情報とパスワードとを予め記憶しておき、受信した識別情報及びパスワードと、記憶された識別情報及びパスワードとが一致するか否かにより認証する。認証処理部２７０は、認証に成功した場合、処理をＳ３４へ進め、認証に失敗した場合、処理を終了する。
　（Ｓ３４：第１データ送信処理）
　ユーザ端末１００のデータ送信部１２０は、図６のＳ１２と同様に、暗号化データｃを暗号化データ管理装置２００へ送信する。

　（Ｓ３５：第２認証情報送信処理）
　暗号化データ管理装置２００のデータ受信部２１０は、通信装置により、暗号化データｃをユーザ端末１００から受信する。すると、データ送信部２４０は、認証情報として、暗号化データ管理装置２００の識別情報とパスワードとを暗号化データ記憶装置３００へ送信する。

　（Ｓ３６：第２認証処理）
　暗号化データ記憶装置３００のデータ受信部３１０は、通信装置により、暗号化データ管理装置２００の識別情報とパスワードとをユーザ端末１００から受信する。
　すると、暗号化データ記憶装置３００の認証処理部３５０は、暗号化データ管理装置２００の識別情報とパスワードとに基づき認証処理を行う。例えば、認証処理部３５０は、暗号化データ管理装置２００の識別情報とパスワードとを予め記憶しておき、受信した識別情報及びパスワードと、記憶された識別情報及びパスワードとが一致するか否かにより認証する。認証処理部３５０は、認証に成功した場合、処理をＳ３７へ進め、認証に失敗した場合、処理を終了する。

　（Ｓ３７：第２データ送信処理）
　暗号化データ管理装置２００のデータ送信部２４０は、暗号化データｃに関連情報ｒを添付して、暗号化データ記憶装置３００へ送信する。

　Ｓ３８からＳ４１までの処理は、図６に示すＳ１４からＳ１７までの処理と同じである。

　＜暗号化データ取得処理＞
　図１１は、実施の形態３に係る暗号化データ取得処理の流れを示すフローチャートである。
　（Ｓ５１：第１認証情報送信処理）
　ユーザ端末１００のデータ送信部１２０は、通信装置により、認証情報として、ユーザの識別情報とパスワードとを暗号化データ管理装置２００へ送信する。

　（Ｓ５２：第１認証処理）
　暗号化データ管理装置２００のデータ受信部２１０は、通信装置により、ユーザの識別情報とパスワードとをユーザ端末１００から受信する。
　すると、暗号化データ管理装置２００の認証処理部２７０は、ユーザの識別情報とパスワードとに基づき、ユーザの認証を行う。例えば、認証処理部２７０は、Ｓ３３と同じ方法により認証を行う。認証処理部２７０は、認証に成功した場合、処理をＳ５３へ進め、認証に失敗した場合、処理を終了する。

　（Ｓ５３：キーワード送信処理）
　ユーザ端末１００のデータ送信部１２０は、通信装置により、暗号化データｃを特定可能なキーワードを、暗号化データ管理装置２００へ送信する。

　（Ｓ５４：第２認証情報送信処理）
　暗号化データ管理装置２００のデータ受信部２１０は、通信装置により、キーワードをユーザ端末１００から受信する。すると、データ送信部２４０は、認証情報として、暗号化データ管理装置２００の識別情報とパスワードとを暗号化データ記憶装置３００へ送信する。

　（Ｓ５５：第２認証処理）
　暗号化データ記憶装置３００のデータ受信部３１０は、通信装置により、暗号化データ管理装置２００の識別情報とパスワードとをユーザ端末１００から受信する。
　すると、暗号化データ記憶装置３００の認証処理部３５０は、暗号化データ管理装置２００の識別情報とパスワードとに基づき認証処理を行う。例えば、認証処理部３５０は、Ｓ３６と同じ方法より認証する。認証処理部３５０は、認証に成功した場合、処理をＳ５６へ進め、認証に失敗した場合、処理を終了する。

　（Ｓ５６：キーワード転送処理）
　暗号化データ管理装置２００のデータ送信部２４０は、通信装置により、キーワードを暗号化データ記憶装置３００へ送信する。

　Ｓ５７からＳ５８までの処理は、図７に示すＳ２３からＳ２４までの処理と同じである。

　（Ｓ５９：権限判定処理）
　暗号化データ管理装置２００のデータ受信部２１０は、通信装置により、暗号化データｃを暗号化データ記憶装置３００から受信する。
　すると、暗号化データ管理装置２００の認証処理部２７０は、処理装置により、Ｓ５２で受信したユーザの識別情報が、暗号化データｃのユーザリストｕｌに含まれているか否かを判定する。認証処理部２７０は、含まれている場合、処理をＳ６０へ進め、含まれていない場合、処理を終了する。

　（Ｓ６０：世代番号付け代え処理）
　暗号化データ管理装置２００の失効判定部２２０は、処理装置により、暗号化データｃのユーザリストｕｌに含まれるユーザの識別情報が、失効情報管理部２５０が記憶する失効情報に含まれているか否か判定する。鍵情報設定部２３０は、処理装置により、暗号化データｃの要素ｃ_１に、失効判定部２２０の判定結果に応じて異なる値に設定し、要素ｃ_１’を生成する。
　具体的には、鍵情報設定部２３０は、以下のように要素ｃ_１に値を設定する。なお、ここでは、式５３に示す要素ｃ_１に値を設定した要素ｃ_１’を示す。

　ユーザリストｕｌに含まれるユーザの識別情報が、失効情報管理部２５０が記憶する失効情報に含まれていない場合、鍵情報設定部２３０は、式５４（＝式１０）に示すように、要素ｃ_１’を生成する。
＜式５４＞
ｃ_１’：＝ω_１（ｂ_１－ｂ_２）＋ω_２（ｂ_３－αｂ_４）＋ζｂ_５＋φｂ_６
　つまり、基底ベクトルｂ_１の係数に１を設定し、基底ベクトルｂ_２の係数に－１を設定する。基底ベクトルｂ_２の係数に設定し直した－１は、－１×世代番号の初期値である。

　なお、式５５に示す計算をすることにより、式５３に示す要素ｃ_１から式５４に示す要素ｃ_１’を得ることができる。
＜式５５＞
ｃ_１’：＝ｃ_１＋（ω_１ｂ_１－ω_１ｂ_２）

　ユーザリストｕｌに含まれるユーザの識別情報が、失効情報管理部２５０が記憶する失効情報に含まれている場合、鍵情報設定部２３０は、式５６（＝式１２）に示すように、要素ｃ_１’を生成する。
＜式５６＞
ｃ_１’：＝ω_１（ｂ_１－ρ_１ｂ_２）＋ω_２（ｂ_３－αｂ_４）＋ζｂ_５＋φｂ_６
　つまり、基底ベクトルｂ_１の係数に１を設定し、基底ベクトルｂ_２の係数に－ρ_１を設定する。基底ベクトルｂ_２の係数に設定した－ρ_１は、－１×（失効したユーザ秘密鍵ｋ^＊の世代番号の値＋１）である。
　なお、式５７に示す計算をすることにより、式５３に示す要素ｃ_１から式５６に示す要素ｃ_１’を得ることができる。
＜式５７＞
ｃ_１’：＝ｃ_１＋（ω_１ｂ_１－ω_１ρ_１ｂ_２）

　Ｓ６１からＳ６２までの処理は、図７に示すＳ２６からＳ２７までの処理と同じである。

　以上のように、実施の形態３に係る暗号処理システム１０は、暗号化データ管理装置２００と暗号化データ記憶装置３００とでそれぞれ認証を行う。これにより、ユーザ端末１００により直接暗号化データ記憶装置３００から暗号化データｃを取得されることを防止できる。そのため、暗号化データｃに乱数値を設定する等せずに、安全性を保つことができる。

　また、実施の形態３に係る暗号処理システム１０は、暗号化データ登録処理において、不正なデータを暗号化データ記憶装置３００に登録されることを防止できる。

　なお、上記説明では、暗号化データ管理装置２００と暗号化データ記憶装置３００とでそれぞれ認証を行った。しかし、暗号化データ管理装置２００では認証を行わず、暗号化データ記憶装置３００だけが認証を行うようにしてもよい。少なくとも暗号化データ記憶装置３００が認証を行うことで、ユーザ端末１００により直接暗号化データ記憶装置３００から暗号化データｃを取得されることや、不正なデータを暗号化データ記憶装置３００に登録されることを防止できる。

　また、上記説明では、実施の形態１に係る処理を応用した場合について説明した。実施の形態２に係る処理を応用した場合、処理の流れは実施の形態１に係る処理を応用した場合と同じである。しかし、Ｓ３１で生成される要素ｃ_１と、Ｓ６０で生成される要素ｃ_１’とが、実施の形態１に係る処理を応用した場合とは異なる。
　実施の形態２に係る処理を応用した場合、Ｓ３１で生成される要素ｃ_１は式５８のようになる。
＜式５８＞
ｃ_１：＝（ｓ_１ｅ^→ _１，１，０^ｎ１，０^ｎ１，η_１）Ｂ_１
　また、実施の形態２に係る処理を応用した場合、Ｓ６０で生成される要素ｃ_１’は式３９や式４１のようになる。
　また、実施の形態２では公開パラメータｐｋに含まれていた基底Ｂ_１は、公開パラメータｐｋから除かれ、鍵生成装置４００から暗号化データ管理装置２００へのみ送信される。なお、この際、盗聴と改ざんを防ぐため、ＳＳＬ等を用いた安全な通信路が使用される。

　ここで、上記実施の形態におけるユーザ秘密鍵ｋ^＊と暗号化データｃとへの鍵情報や属性情報の割り当て方法は、一例であり他の方法であってもよい。
　例えば、実施の形態１では、属性情報がαであれば、ユーザ秘密鍵ｋ^＊については、基底ベクトルｂ^＊ _３の係数としてα、基底ベクトルｂ^＊ _４の係数として１が設定された。また、暗号化データｃの要素ｃ_１については、基底ベクトルｂ_３の係数として１、基底ベクトルｂ_４の係数として－αが設定された。しかし、例えば、ユーザ秘密鍵ｋ^＊については、基底ベクトルｂ^＊ _３の係数として１、基底ベクトルｂ^＊ _４の係数としてαが設定され、暗号化データｃの要素ｃ_１については、基底ベクトルｂ_３の係数として－α、基底ベクトルｂ_４の係数として１が設定されてもよい。
　また、このように単純に値を設定する基底ベクトルを変更するのではなく、全く別の方法により鍵情報や属性情報を割り当てるようにしてもよい。どのような割り当て方法であっても、上記実施の形態に係る失効方式を適用することは可能である。

　また、上記実施の形態では、鍵の失効方式を非特許文献１，２に記載された関数型暗号方式へ適用する方法について説明した。
　しかし、上記実施の形態に係る鍵の失効方式は、非特許文献１，２に記載された関数型暗号方式に限らず、非特許文献１，２に記載された関数型暗号方式を応用した関数型暗号方式に適用することも可能である。
　また、上記実施の形態に係る鍵の失効方式は、関数型暗号方式に限らず、他の暗号方式にも適用可能である。

　また、上記実施の形態では、関数型暗号方式を用いて、メッセージｍを送信する場合について説明した。
　公開鍵暗号方式を用いた暗号化では、通常、データを共通鍵で暗号化した後、その共通鍵をユーザの公開鍵で暗号化するいわゆるハイブリッド暗号方式を用いることが多い。ハイブリッド暗号方式では、暗号化したデータにユーザの公開鍵で暗号化された共通鍵が添付される。
　ハイブリッド暗号方式では、暗号化された共通鍵を暗号化データから削除することで、共通鍵で暗号化されたデータを復号することができなくなる。しかし、関数型暗号方式は複数の秘密鍵で復号可能なデータを１つの公開鍵で暗号化する。そのため、仮に同じ仕組みで共通鍵を添付する場合、複数の秘密鍵に対して１つしか暗号化された共通鍵を付与しない。つまり、１人のユーザが失効すれば、従来通りの方式で対応すると再暗号化するしか方法がない。
　しかし、上記実施の形態に係る鍵の失効方式を用いれば、関数型暗号方式を用いたハイブリッド暗号方式の場合であっても鍵の失効を実現することができる。なお、ハイブリッド暗号方式の場合、メッセージｍとして、コンテンツを暗号化するための共通鍵（又は共通鍵の生成元データ）が設定される。

　図１２は、ユーザ端末１００、暗号化データ管理装置２００、暗号化データ記憶装置３００、鍵生成装置４００のハードウェア構成の一例を示す図である。
　図１２に示すように、ユーザ端末１００、暗号化データ管理装置２００、暗号化データ記憶装置３００、鍵生成装置４００は、プログラムを実行するＣＰＵ９１１（Ｃｅｎｔｒａｌ・Ｐｒｏｃｅｓｓｉｎｇ・Ｕｎｉｔ、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう）を備えている。ＣＰＵ９１１は、バス９１２を介してＲＯＭ９１３、ＲＡＭ９１４、ＬＣＤ９０１（Ｌｉｑｕｉｄ　Ｃｒｙｓｔａｌ　Ｄｉｓｐｌａｙ）、キーボード９０２（Ｋ／Ｂ）、通信ボード９１５、磁気ディスク装置９２０と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置９２０（固定ディスク装置）の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。磁気ディスク装置９２０は、所定の固定ディスクインタフェースを介して接続される。

　ＲＯＭ９１３、磁気ディスク装置９２０は、不揮発性メモリの一例である。ＲＡＭ９１４は、揮発性メモリの一例である。ＲＯＭ９１３とＲＡＭ９１４と磁気ディスク装置９２０とは、記憶装置（メモリ）の一例である。また、キーボード９０２、通信ボード９１５は、入力装置の一例である。また、通信ボード９１５は、通信装置の一例である。さらに、ＬＣＤ９０１は、表示装置の一例である。

　磁気ディスク装置９２０又はＲＯＭ９１３などには、オペレーティングシステム９２１（ＯＳ）、ウィンドウシステム９２２、プログラム群９２３、ファイル群９２４が記憶されている。プログラム群９２３のプログラムは、ＣＰＵ９１１、オペレーティングシステム９２１、ウィンドウシステム９２２により実行される。

　プログラム群９２３には、上記の説明において「暗号化データ生成部１１０」、「データ送信部１２０」、「データ受信部１３０」、「復号部１４０」、「データ受信部２１０」、「失効判定部２２０」、「鍵情報設定部２３０」、「データ送信部２４０」、「認証処理部２７０」、「データ受信部３１０」、「データ操作部３２０」、「データ送信部３３０」、「指示受信部４１０」、「鍵生成部４２０」、「鍵送信部４３０」等として説明した機能を実行するソフトウェアやプログラムやその他のプログラムが記憶されている。プログラムは、ＣＰＵ９１１により読み出され実行される。
　ファイル群９２４には、上記の説明において「鍵管理部１５０」、「失効情報管理部２５０」、「鍵管理部２６０」、「暗号化データ管理部３４０」、「マスター鍵記憶部４４０」等に記憶される情報やデータや信号値や変数値やパラメータが、「ファイル」や「データベース」の各項目として記憶される。「ファイル」や「データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してＣＰＵ９１１によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのＣＰＵ９１１の動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のＣＰＵ９１１の動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。

　また、上記の説明におけるフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、ＲＡＭ９１４のメモリ、その他光ディスク等の記録媒体やＩＣチップに記録される。また、データや信号は、バス９１２や信号線やケーブルその他の伝送媒体や電波によりオンライン伝送される。
　また、上記の説明において「～部」として説明するものは、「～回路」、「～装置」、「～機器」、「～手段」、「～機能」であってもよく、また、「～ステップ」、「～手順」、「～処理」であってもよい。また、「～装置」として説明するものは、「～回路」、「～機器」、「～手段」、「～機能」であってもよく、また、「～ステップ」、「～手順」、「～処理」であってもよい。さらに、「～処理」として説明するものは「～ステップ」であっても構わない。すなわち、「～部」として説明するものは、ＲＯＭ９１３に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、ＲＯＭ９１３等の記録媒体に記憶される。プログラムはＣＰＵ９１１により読み出され、ＣＰＵ９１１により実行される。すなわち、プログラムは、上記で述べた「～部」としてコンピュータ等を機能させるものである。あるいは、上記で述べた「～部」の手順や方法をコンピュータ等に実行させるものである。

　１０　暗号処理システム、１００　ユーザ端末、１１０　暗号化データ生成部、１２０　データ送信部、１３０　データ受信部、１４０　復号部、１５０　鍵管理部、２００　暗号化データ管理装置、２１０　データ受信部、２２０　失効判定部、２３０　鍵情報設定部、２４０　データ送信部、２５０　失効情報管理部、２６０　鍵管理部、２７０　認証処理部、３００　暗号化データ記憶装置、３１０　データ受信部、３２０　データ操作部、３３０　データ送信部、３４０　暗号化データ管理部、３５０　認証処理部、４００　鍵生成装置、４１０　指示受信部、４２０　鍵生成部、４３０　鍵送信部、４４０　マスター鍵記憶部。

Claims

　暗号化データに設定された属性情報及び鍵情報と、秘密鍵に設定された属性情報及び鍵情報とが対応していない場合、前記暗号化データを前記秘密鍵で復号できない暗号化方式において、前記暗号化データを管理する暗号化データ管理装置であり、
　属性情報が設定された暗号化データを記憶装置から取得するデータ取得部と、
　前記データ取得部が取得した前記暗号化データに設定された前記属性情報を有するユーザに、秘密鍵が失効しているユーザが含まれるか否か判定する失効判定部と、
　秘密鍵が失効しているユーザが含まれると前記失効判定部に判定されたか否かによって、異なる値を前記鍵情報として前記暗号化データに設定する鍵情報設定部と、
　前記鍵情報設定部が鍵情報を設定した暗号化データをユーザ端末へ送信するデータ送信部と
を備えることを特徴とする暗号化データ管理装置。
　前記データ取得部は、前記鍵情報として乱数値が設定された暗号化データを取得し、
　前記鍵情報設定部は、前記データ取得部が取得した暗号化データに設定された鍵情報を前記異なる値に設定し直す
ことを特徴とする請求項１に記載の暗号化データ管理装置。
　前記暗号化データ管理装置は、さらに、
　失効した秘密鍵の世代番号を管理する失効情報管理部
を備え、
　前記鍵情報設定部は、秘密鍵が失効しているユーザが含まれないと判定された場合、前記世代番号の初期値を前記鍵情報として設定し、秘密鍵が失効しているユーザが含まれると判定された場合、前記失効情報管理部が管理する世代番号とは異なる値を前記鍵情報として設定する
ことを特徴とする請求項１に記載の暗号化データ管理装置。
　前記データ取得部は、所定の基底Ｂにおける一部の基底ベクトルである基底ベクトルＡの係数に前記属性情報が設定された暗号化ベクトルを前記暗号化データとして取得し、
　前記鍵情報設定部は、前記基底Ｂにおける前記基底ベクトルＡとは異なる基底ベクトルである基底ベクトルＫの係数に前記異なる値を設定する
ことを特徴とする請求項１に記載の暗号化データ管理装置。
　前記データ取得部は、前記基底ベクトルＫの係数に乱数値が設定された前記暗号化ベクトルと、前記乱数値が暗号化された暗号化乱数値とを含む暗号化データを取得し、
　前記鍵情報設定部は、前記暗号化乱数値を復号して前記乱数値を得て、前記基底ベクトルＫの係数に前記乱数値を設定したベクトルを前記暗号化ベクトルから減算し、前記基底ベクトルＫの係数に前記異なる値を設定したベクトルを前記暗号化ベクトルに加算する
ことを特徴とする請求項４に記載の暗号化データ管理装置。
　前記データ取得部は、前記基底ベクトルＫの係数に０が設定された前記暗号化ベクトルを前記暗号化データとして取得し、
　前記鍵情報設定部は、前記基底ベクトルＫの係数に前記異なる値を設定したベクトルを前記暗号化ベクトルに加算する
ことを特徴とする請求項４に記載の暗号化データ管理装置。
　前記データ取得部は、ｔ＝１，．．．，ｎ（ｎは２以上の整数）の各ｔについての基底Ｂ^［ｔ］の一部の基底である属性基底の基底ベクトルの係数に前記属性情報が設定された属性ベクトルと、前記基底Ｂ^［ｔ］における前記属性基底とは異なる基底である鍵情報基底の鍵情報ベクトルとを含む暗号化ベクトルを前記暗号化データとして取得し、
　前記鍵情報設定部は、前記鍵情報基底の基底ベクトルの係数に前記異なる値を設定したベクトルに前記鍵情報ベクトルをする
ことを特徴とする請求項１に記載の暗号化データ管理装置。
　前記データ取得部は、前記鍵情報基底の基底ベクトルのうちの所定の基底ベクトルＫの係数に乱数値が設定されたベクトルを、前記鍵情報ベクトルとして含む前記暗号化ベクトルと、前記乱数値が暗号化された暗号化乱数値とを含む暗号化データを取得し、
　前記鍵情報設定部は、前記暗号化乱数値を復号して前記乱数値を得て、前記基底ベクトルＫの係数に前記乱数値を設定したベクトルを前記鍵情報ベクトルから減算し、前記基底ベクトルＫの係数に前記異なる値を設定したベクトルを前記鍵情報ベクトルに加算する
ことを特徴とする請求項７に記載の暗号化データ管理装置。
　前記データ取得部は、前記鍵情報基底の基底ベクトルのうちの所定の前記基底ベクトルＫの係数に０が設定された前記暗号化ベクトルを前記暗号化データとして取得し、
　前記鍵情報設定部は、前記基底ベクトルＫの係数に前記異なる値を設定したベクトルを前記鍵情報ベクトルに加算する
ことを特徴とする請求項７に記載の暗号化データ管理装置。
　暗号化データに設定された属性情報及び鍵情報と、秘密鍵に設定された属性情報及び鍵情報とが対応していない場合、前記暗号化データを前記秘密鍵で復号できない暗号化方式において、前記暗号化データを管理する暗号化データ管理方法であり、
　通信装置が、属性情報が設定された暗号化データを記憶装置から取得するデータ取得ステップと、
　処理装置が、前記データ取得ステップで取得した前記暗号化データに設定された前記属性情報を有するユーザに、秘密鍵が失効しているユーザが含まれるか否か判定する失効判定ステップと、
　処理装置が、秘密鍵が失効しているユーザが含まれると前記失効判定ステップで判定されたか否かによって、異なる値を前記鍵情報として前記暗号化データに設定する鍵情報設定ステップと、
　通信装置が、前記鍵情報設定ステップで鍵情報を設定した暗号化データをユーザ端末へ送信するデータ送信ステップと
を備えることを特徴とする暗号化データ管理方法。
　暗号化データに設定された属性情報及び鍵情報と、秘密鍵に設定された属性情報及び鍵情報とが対応していない場合、前記暗号化データを前記秘密鍵で復号できない暗号化方式において、前記暗号化データを管理する暗号化データ管理プログラムであり、
　属性情報が設定された暗号化データを記憶装置から取得するデータ取得処理と、
　前記データ取得処理で取得した前記暗号化データに設定された前記属性情報を有するユーザに、秘密鍵が失効しているユーザが含まれるか否か判定する失効判定処理と、
　秘密鍵が失効しているユーザが含まれると前記失効判定処理で判定されたか否かによって、異なる値を前記鍵情報として前記暗号化データに設定する鍵情報設定処理と、
　前記鍵情報設定処理で鍵情報を設定した暗号化データをユーザ端末へ送信するデータ送信処理と
をコンピュータに実行させることを特徴とする暗号化データ管理プログラム。