WO2014010725A1

WO2014010725A1 - 暗号文照合システムと方法とプログラム

Info

Publication number: WO2014010725A1
Application number: PCT/JP2013/069132
Authority: WO
Inventors: 賢尾花; 寿幸一色; 健吾森; 俊則荒木
Original assignee: 日本電気株式会社
Priority date: 2012-07-13
Filing date: 2013-07-12
Publication date: 2014-01-16
Also published as: US9906363B2; IN2014DN11080A; JP6048501B2; US20150195090A1; EP2874346A1; JPWO2014010725A1; EP2874346A4

Abstract

　本発明は、暗号文照合において、元の平文に関する情報の漏洩を回避可能とし、安全性を担保可能とする。システムは、入力データを暗号化して記憶装置に登録される第１の暗号文と、照合対象の入力データを暗号化した第２の暗号文のそれぞれに対して、前記第１の暗号文と前記第２の暗号文との間の平文のハミング距離が、予め定められた所定値以下であることを検証するための第１、第２の補助データをそれぞれ生成する手段（図１の１０３）と、前記第２の暗号文に対して、前記記憶装置に登録された前記第１の暗号文との差分をとり、前記第１及び第２の補助データを用いて、前記第１の暗号文と、前記第２の暗号文の前記差分に対応する平文のハミング距離が前記予め定められた所定値以下であるか否かを判定する手段（図１の４０２、４０３）を備えている。

Description

暗号文照合システムと方法とプログラム

　（関連出願についての記載）
　本発明は、日本国特許出願：特願２０１２－１５７２６５号（２０１２年７月１３日出願）の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。

　本発明は、暗号文照合システムと方法とプログラムに関する。

　近年、クラウドコンピューティングの普及に伴い、ネットワークに接続された計算資源に利用者のデータを置き、そのデータに基づいたサービスが急速に広がってきている。このようなサービスでは、利用者の機微なデータを扱う機会も増大してきている。このため、利用者が自分のデータが安全に管理されていることを保証することが重要になってきている。このような状況の下、オープンなネットワーク環境でデータを暗号化したまま管理し、データを復号することなく、検索や、統計処理等を行う技術の研究開発が活発に行われている。

　また、近年、パスワードや磁気カードを用いた個人認証の脆弱性をついた犯罪が頻発している。このため、より安全性の高い指紋、静脈等の生体的な特徴に基づく生体認証技術が注目を集めている。生体認証においては、認証情報の検証を行うために、生体情報に関するテンプレートをデータベースに保管する必要がある。指紋、静脈等の生体情報は、基本的に生涯不変のデータである。生体情報は、もし漏洩すると、その被害は甚大なものとなる。このため、生体情報は、最も機密性が要求される情報である。したがって、テンプレートが漏洩した場合でも、「なりすまし」等が行えないようにする必要がある。

　そこで、テンプレート情報を秘匿したまま認証を行うテンプレート保護型の生体認証技術が重要となってきている。

　例えば特許文献１には、指紋データを多項式上の点として表現し、その点にランダムな点を付加して指紋データを秘匿したデータをテンプレートとして生体認証を行う方式が開示されている。

　しかしながら、上記特許文献１の方式は、生体認証を何度も繰り返した時に、十分な強度で生体情報が保護されているかに関して課題があることが知られている。

　非特許文献１には、データベース上に置くテンプレートをランダムなBCH（Bose-Chaudhuri-Hocquenghem）符号語(code word）でマスクすることによって、生体情報を保護する方式が開示されている。非特許文献１では、生体情報Ｚと秘匿情報Ｓを用いて、生体認証用テンプレートを生成している。図５は、非特許文献１のFig.2に基づく図であり、非特許文献１のFig.2における特徴量の抽出（Feature Extraction）、統計処理（Statistical Analysis）、量子化（Quantization）等は省略されている。テンプレートの登録（enrollment）は以下ようにして行われる。

（１）秘匿情報Ｓをエンコーダ（ENC）に入力して誤り訂正符号化し（Error Correcting Coding：ECC）、符号語Ｃを生成する。ECCはパラメータ（K, s, d）の２元BCH符号が用いられる。Kは符号語（code word）の長さ、sは情報シンボル(information symbol）数、dは訂正可能な誤り数である。

（２）ＣとＺの排他的論理和W2 = C (+) Zを計算する（ただし、(+)はビット毎の排他的論理和演算（bitwise XOR）を表す）。

（３）ＳをSHA（Secure Hash Algorithm）－１等の暗号学的ハッシュ関数（cryptographic (one-way) hash function）Hに入力してハッシュ値H(S)を得る。

（４）W2及びH(S)をテンプレート情報としてデータベース（DB）に格納する。

　上記（１）から（４）によって生成されたテンプレートと、別の生体情報Ｚ'が同じ人物から採取したものであるか否かの検証（Verification）は、次のようにして行われる。

（１）Z'とW2との排他的論理和C' = W2 (+) Z' = C (+) (Z (+) Z')を計算する。

（２）C'をデコーダ（DEC）に入力してBCH符号の誤り訂正復号を行い、S'を計算する。

（３）Ｓ'をSHA-1等の暗号学的ハッシュ関数Ｈに入力してハッシュ値H(S')を計算する。

（４）データベース（DB）からH(S)を読み出し、H(S) = H(S')が成立するかチェックする。H(S) = H(S')が成立する場合には、テンプレートと生体情報Ｚ'が同じ人物から採取されたものと判断する。H(S) = H(S')が成立しない場合は、異なる人物から採取されたものと判断する。

　図５に示した手法は、生体情報Ｚの取得方法に依存しない。このため、一般に、秘匿（暗号化）されたデータを復号することなく、暗号文が、提示されたデータと一定のハミング距離以内のデータを暗号化したものであるか否かの照合を行う方式と解釈することが可能である。

特開２００６－１５８８５１号公報

Pim Tuyls, Anton H. M. Akkermans, Tom A. M. Kevenaar, Geert-Jan Schrijen, Asker M. Bazen and Raymond N. J. Veldhuis, "Practical Biometric Authentication with Templete Protection", Proceedings of AVBPA 2005, Lecture Notes in Computer Science, Vol. 3546, Springer Verlag, pp. 436-446, (2005)

　以下に関連技術の分析を与える。

　上記した関連技術の問題点として、データベースにある暗号文の照合を行う際、照合を行う管理者等に、平文に関する情報が漏洩する可能性がある、ということがある。その理由は以下の通りである。

　例えば上記特許文献１では、暗号文の秘匿強度が十分でないことによる。

　また上記非特許文献１においては、暗号文が、提示されたデータと一定のハミング距離以内のデータを暗号化したものであるか否かの照合を可能にするためには、平文情報を、照合時に送出する必要があることによる。このように、照合処理を複数回行った場合に、元の平文の情報漏洩の可能性があり、例えば照合処理を行うデータベース管理者等に悪意がある場合等において、十分な安全性が担保できない。

　したがって、本発明は、上記問題点に鑑みて創案されたものであって、その目的は、暗号文の照合にあたり、元の平文に関する情報の漏洩を回避可能とし、安全性を担保可能とするシステム、方法、及びプログラムを提供することにある。

　本発明によれば、入力データを暗号化して記憶装置に登録される第１の暗号文と、照合対象の入力データを暗号化した第２の暗号文のそれぞれに対して、前記登録される前記第１の暗号文と前記照合対象の入力データを暗号化した前記第２の暗号文との間の平文のハミング距離が、予め定められた所定値以下であることを検証するための第１、第２の補助データをそれぞれ生成する手段と、
　前記照合対象の入力データを暗号化した前記第２の暗号文に対して、前記記憶装置に登録された前記第１の暗号文との差分をとり、前記第１及び第２の補助データを用いて、前記第１の暗号文と、前記第２の暗号文の前記差分に対応する平文のハミング距離が前記予め定められた所定値以下であるか否かを判定する手段と、
　を含む暗号文照合システムが提供される。

　本発明によれば、暗号文照合システムを備えた生体認証システムが提供される。

　本発明によれば、入力データを暗号化して記憶装置に登録される第１の暗号文と、照合対象の入力データを暗号化した第２の暗号文のそれぞれに対して、前記登録される前記第１の暗号文と前記照合対象の入力データを暗号化した前記第２の暗号文との間の平文のハミング距離が、予め定められた所定値以下であることを検証するための第１、第２の補助データをそれぞれ生成し、
　前記照合対象の入力データを暗号化した前記第２の暗号文に対して、前記記憶装置に登録された前記第１の暗号文との差分をとり、前記第１及び第２の補助データを用いて、前記第１の暗号文と、前記第２の暗号文の前記差分に対応する平文のハミング距離が前記予め定められた所定値以下であるか否かを判定する、暗号文照合方法が提供される。

　本発明によれば、入力データを暗号化して記憶装置に登録される第１の暗号文と、照合対象の入力データを暗号化した第２の暗号文のそれぞれに対して、前記登録される前記第１の暗号文と前記照合対象の入力データを暗号化した前記第２の暗号文との間の平文のハミング距離が、予め定められた所定値以下であることを検証するための第１、第２の補助データをそれぞれ生成する処理と、
　前記照合対象の入力データを暗号化した前記第２の暗号文に対して、前記記憶装置に登録された前記第１の暗号文との差分をとり、前記第１及び第２の補助データを用いて、前記第１の暗号文と、前記第２の暗号文の前記差分に対応する平文のハミング距離が前記予め定められた所定値以下であるか否かを判定する処理と、をコンピュータに実行させるプログラムが提供される。本発明によれば、該プログラムを記録したコンピュータ読み出し可能な記録媒体（磁気／光記録媒体、半導体記録媒体）が提供される。

　本発明によれば、暗号文の照合において、元の平文の情報漏洩を回避可能とし、安全を担保可能としている。

本発明の実施形態１の構成を例示する図である。本発明の実施形態２の構成を例示する図である。（Ａ）、（Ｂ）は本発明の実施形態１のデータ登録フェイズと暗号文照合フェイズを説明する図である。（Ａ）、（Ｂ）は本発明の実施形態２のデータ登録フェイズと暗号文照合フェイズを説明する図である。非特許文献１の方式を例示する図である。

　本発明の実施形態について説明する。本発明の実施形態においては、照合対象の入力データが暗号化され、該入力データの照合を行うための登録データが暗号化されており、照合（一致）の判定の指標（曖昧さの指標）に平文のハミング距離を用いる。登録暗号データだけでなく、照合のための入力データも秘匿強度の高い暗号方式により暗号化される。同じ入力データを用いて複数回の照合を行った場合でも、照合を行うたびに、データの秘匿に用いる鍵情報を変える。このため、照合を多数回行った場合でも、平文に関する情報が漏洩する可能性を低く抑えることができ、攻撃耐性を高め、セキュリティの向上に寄与する。

　一実施形態によれば、入力データを暗号化して記憶装置に登録される第１の暗号文と、照合対象の入力データを暗号化した第２の暗号文のそれぞれに対して、前記登録される前記第１の暗号文と前記照合対象の入力データを暗号化した前記第２の暗号文との間の平文のハミング距離が、予め定められた所定値以下であることを検証するための第１、第２の補助データをそれぞれ生成する手段（図１、図２の１０３、３０３）と、前記照合対象の入力データを暗号化した前記第２の暗号文に対して、前記記憶装置に登録された前記第１の暗号文との差分をとり、前記第１及び第２の補助データを用いて、前記記憶装置に登録された前記第１の暗号文と、前記照合対象の入力データの前記第２の暗号文の前記差分に対応する平文のハミング距離が前記予め定められた所定値以下であるか否かを判定する手段（図１の４０２、４０３、図２の５０２、５０３）と、を備えている。一実施形態によれば、前記入力データの平文に対して暗号化する鍵を、線形性を有する誤り訂正符号で符号化した符号語と前記平文との排他的論理和の演算結果から前記暗号文を生成し、前記記憶装置に登録された前記暗号文と前記照合対象の入力データの前記暗号文に関する前記第１及び第２の補助データを、それぞれ、前記鍵と定数との内積と、前記暗号文、乱数に対して施す暗号学的ハッシュ関数との排他的論理和に基づき算出する。

　また、一実施形態によれば、上記非特許文献１では実現が不可能であった、暗号化されたデータ同士での照合処理を可能とするため、照合結果を判定するためのハッシュ関数に関して二つのデータのハッシュ値からそれらのデータの和のハッシュ値を計算可能とすることを保証している。

　上記のとおり、暗号文同士の照合処理時に、照合を行うユーザが送出するデータも、データベース管理者等に知られることのない暗号化鍵によって暗号化される。このため、照合処理を複数回行った場合や、照合処理を行うデータベース管理者等に悪意がある場合であっても、照合処理時に、元の平文に関する情報の漏洩を防止することができる。以下、例示的ないくつかの実施形態について説明する。

＜実施形態１＞
　図１を参照すると、本発明の実施形態１のシステムは、登録データ生成装置１００、記憶装置２００、データ秘匿装置３００、指定データ照合装置４００を備えている。なお、これらの各装置は、１つのサイト等にまとめて１つの装置とした構成としてもよいし、あるいは分散配置し通信手段を介して相互接続する構成としてもよい。

　登録データ生成装置１００は、暗号化部１０１と、鍵生成部１０２と、登録補助データ生成部１０３とを備えている。

　暗号化部１０１は、
・秘匿の対象となる入力データと、
・入力データの秘匿を行う鍵と、
を入力とし、
　入力データを鍵を用いて秘匿処理を施した暗号データを出力する。

　鍵生成部１０２は、暗号化部１０１が入力データの秘匿を行うための鍵を生成し、暗号化部１０１と、登録補助データ生成部１０３に出力する。

　登録補助データ生成部１０３は、
・入力データと、
・暗号化部１０１が出力した暗号データと、
・鍵生成部１０２が出力した鍵と、
を入力とし、
・データ秘匿装置３００の暗号化部３０１が出力する暗号データに対応する入力データと、
・暗号化部１０１に入力された入力データとの間のハミング距離が予め定められた所定値以下（一定数以内）であることを判断するためのデータ（補助データ）を生成して出力する。

　ここで、登録データ生成装置１００の暗号化部１０１によって出力される暗号文は、
入力データm1を鍵k1で暗号化した暗号文をc1、
入力データm2を鍵k2で暗号化した暗号文をc2
とした時、
c1とc2の和c1+c2は、入力データm1+m2を鍵k1+k2で暗号化した暗号文となる。

　記憶装置２００は、識別子管理部２０１と、暗号文記憶部２０２と、補助データ記憶部２０３とを備えている。暗号文記憶部２０２と補助データ記憶部２０３は、登録データ生成装置１００が出力した暗号データ及び登録補助データをそれぞれ記憶する。暗号文記憶部２０２と補助データ記憶部２０３はデータベースとして構成してもよい（あるいは、ファイル構成であってもよい）。

　暗号文記憶部２０２と、補助データ記憶部２０３は、識別子管理部２０１の制御のもと、暗号データの照合時に、指定データ照合装置４００から入力される識別子に対応する暗号データ及び補助データを出力する。

　記憶装置２００の識別子管理部２０１は、登録データ生成装置１００から入力される暗号データ、及び補助データを一意に特定する識別子を管理する。

　識別子管理部２０１は、指定データ照合装置４００から識別子が入力された際に、暗号文記憶部２０２と、補助データ記憶部２０３に対して、入力された識別子に対応する暗号データ、及び補助データをそれぞれ出力することを指示する命令を出力する。

　暗号文記憶部２０２は、登録データ生成装置１００の暗号化部１０１が出力した暗号データを記憶し、識別子管理部２０１から暗号データ出力の命令が入力された際には、対応する暗号データを出力する。

　補助データ記憶部２０３は、登録データ生成装置１００の登録補助データ生成部１０３が出力した補助データを記憶し、識別子管理部２０１から暗号データ出力の命令が入力された際に、対応する補助データを出力する。

　データ秘匿装置３００は、暗号化部３０１と、鍵生成部３０２と、補助データ生成部３０３とを備えている。

　暗号化部３０１は、秘匿の対象となる入力データ（照合対象となる入力データ）と、入力データの秘匿を行う鍵とを入力とし、入力データを鍵を用いて秘匿処理を施した暗号データを出力する。

　鍵生成部３０２は、暗号化部３０１が入力データの秘匿を行うための鍵を生成し、暗号化部３０１と、補助データ生成部３０３に出力する。

　補助データ生成部３０３は、入力データと、暗号化部３０１が出力した暗号データと、鍵生成部３０２が出力した鍵とを入力とし、登録データ生成装置１００の暗号化部１０１が出力する暗号データ（登録暗号データ）に対応する入力データ（平文）と、暗号化部３０１に入力された入力データ（平文）との間のハミング距離が予め定められた所定値以下（一定数以内）であることを判断するための補助データを出力する。これは、登録暗号データに対応する入力データ（平文）と、暗号化部３０１に入力された照合対象の入力データ（平文）との間のハミング距離が、所定値以下（あるいは所定値未満）であれば、照合（一致）すると判定し、前記所定値を超えた（あるいは所定値以上の）場合、照合しない（不一致）と判定するために用いられる補助情報である。

　データ秘匿装置３００の暗号化部３０１によって出力される暗号文は、暗号化部１０１と同じ方法によって計算される。すなわち、
入力データm1を鍵k1で暗号化した暗号文をc1、
入力データm2を鍵k2で暗号化した暗号文をc2
とした時、
c1とc2の和c1+c2は、入力データm1+m2を鍵k1+k2で暗号化した暗号文となる。

　指定データ照合装置４００は、識別子保持部４０１と、暗号文減算部４０２と、一致判定部４０３と、制御部４０４とを備えている。

　識別子保持部４０１は、識別子を入力として、記憶装置２００に入力された識別子に対応する暗号文データと補助データを出力するように記憶装置２００の識別子管理部２０１に対して命令を出力する。

　暗号文減算部４０２は、
・記憶装置２００の暗号文記憶部２０２に格納された暗号データ（登録暗号データ）の一つと、データ秘匿装置３００の暗号化部３０１から出力される暗号データとを入力とし、入力された二つの暗号データｃ１とｃ２の差ｃ１－ｃ２を出力する。

　このとき、暗号化部１０１、及び暗号化部３０１の性質により、
c1を入力データm1を鍵k1で暗号化した暗号文、
c2を入力データm2を鍵k2で暗号化した暗号文
とした時、二つの暗号文c1、C2の差c1-c2は、入力データm1-m2を、鍵k1-k2で暗号化した暗号文となっている。

　一致判定部４０３は、
・記憶装置２００の補助データ記憶部２０３に格納された補助データの一つと、
・データ秘匿装置３００の補助データ生成部３０３から出力される補助データと、
・暗号文減算部４０２から出力される二つの暗号データの差分と
を入力とし、暗号文減算部４０２に入力された二つの暗号データc1とc2にそれぞれ対応する平文m1とm2のハミング距離が予め定められた所定値以下であるか否かを出力する。

　制御部４０４は、データ秘匿装置３００と、指定データ照合装置４００とがデータをやり取りする際の通信等を制御する。

　次に、実施形態１の動作について図３の流れ図を参照して説明する。実施形態１の暗号文照合システムの動作は、データ登録フェイズと、暗号文照合フェイズの二つのフェイズに大別される。

　データ登録フェイズは、登録データ生成装置１００に入力データを入力し、入力データを暗号化し、補助データとともに、記憶装置２００に登録するフェイズである。

　暗号文照合フェイズは、データ秘匿装置３００に入力された入力データを暗号化し、その際に生成された暗号データ、及び補助データが、別途入力される識別子で指定される記憶装置内の暗号データ、及び補助データと近い（ハミング距離が予め定められた所定値以下の）平文となるものであるか否かを判定するフェイズである。

　データ登録フェイズにおいては、はじめに、登録データ生成装置１００の暗号化部１０１に秘匿対象となる入力データが入力される（図３（Ａ）のステップＡ１）。

　次に、登録データ生成装置１００の鍵生成部１０２が、入力データの秘匿に用いる鍵を生成し、暗号化部１０１及び登録補助データ生成部１０３に出力する（図３（Ａ）のステップＡ２）。

　次に、登録データ生成装置１００の暗号化部１０１は、入力された入力データと、鍵とから、入力データを暗号化した暗号データを計算し、暗号文記憶部２０２に格納する（図３（Ａ）のステップＡ３）。

　次に、ステップＡ１で入力された入力データと、ステップＡ２で生成された鍵と、ステップＡ３で生成された暗号データとを登録補助データ生成部１０３に入力し、登録補助データ生成部１０３から出力される補助データを、記憶装置２００の補助データ記憶部２０３に格納する（図３（Ａ）のステップＡ４）。

　以上の処理により、記憶装置２００に入力されたデータには、識別子管理部２０１で一意な識別子が割り振られ、後に、割り振られた識別子での呼び出し（読み出し）が可能となる。

　暗号文照合フェイズにおいては、はじめに、指定データ照合装置４００の識別子保持部４０１に識別子が入力され、入力された識別子に対応する暗号データ（登録暗号データ）が記憶装置２００の暗号文記憶部２０２から暗号文減算部４０２に入力される。また、入力された識別子に対応する補助データが補助データ記憶部２０３から一致判定部４０３に入力される（図３（Ｂ）のステップＢ１）。

　次に入力データ（照合対象のデータ）がデータ秘匿装置３００の暗号化部３０１に入力される（図３（Ｂ）のステップＢ２）。

　次にデータ秘匿装置３００の鍵生成部３０２が、入力データの秘匿に用いる鍵を生成し、作成した鍵を暗号化部３０１及び補助データ生成部３０３に出力する（図３（Ｂ）のステップＢ３）。

　次に、暗号化部３０１は、ステップＢ２で入力された入力データと、ステップＢ３で入力された鍵とから、入力データを暗号化した暗号データを計算し、指定データ照合装置４００の暗号文減算部４０２に入力する（図３（Ｂ）のステップＢ４）。

　記憶装置２００の暗号文記憶部２０２と、データ秘匿装置３００の暗号化部３０１とから暗号データとを入力した暗号文減算部４０２は、入力された二つの暗号データの差を一致判定部４０３に出力する（図３（Ｂ）のステップＢ５）。

　次に、制御部４０４によって制御される、記憶装置２００の補助データ記憶部２０３と、データ秘匿装置３００の補助データ生成部３０３とが、協調して通信を行うことにより、補助データ記憶部２０３と、補助データ生成部３０３とから、それぞれ補助データが一致判定部４０３に入力される（図３（Ｂ）のステップＢ６）。

　ステップＢ５で暗号文減算部４０２から二つの暗号データの差を入力し、ステップＢ６で補助データ記憶部２０３と、補助データ生成部３０３とから補助データをそれぞれ入力した一致判定部４０３は、入力したデータから、ステップＢ１で暗号文減算部４０２に入力された暗号データの平文と、ステップＢ４で暗号文減算部４０２に入力された暗号データの平文とのハミング距離が予め定められた所定値以下となるか否かを判定し、その判定結果を出力する（図３（Ｂ）のステップＢ７）。

　なお、図１の各装置１００、２００、３００、４００を一つのコンピュータシステム上に実装してもよいし、あるいは各装置を単体として構成してもよい。あるいは、各装置１００、２００、３００、４００内の各部をそれぞれ１つの単体装置で構成してもよい。図１の各装置の各部の処理を、コンピュータで実行されるプログラムによって実現するようにしてもよい。本発明によれば、該プログラムを記録した記録媒体（半導体メモリ、磁気／光ディスク）が提供される。

＜実施形態２＞
　次に、本発明の実施の形態２について説明する。前述した実施の形態１における暗号文照合システムでは、入力データと識別子がシステムに入力され、識別子に対応する暗号データの平文と入力データの照合が行われるのに対して、本実施の形態２は、入力データのみがシステムに入力され、入力データと照合する暗号データの識別子が出力される。前記実施の形態１は１対１照合とも呼ばれる照合であり、実施の形態２は、１対多照合を実現するものである。

　図２を参照すると、実施の形態２のシステムは、登録データ生成装置１００、記憶装置２００、データ秘匿装置３００、データ照合装置５００から構成される。登録データ生成装置１００、記憶装置２００、データ秘匿装置３００は、前記実施形態１と同様の構成とされ、データ照合装置５００の構成が前記実施形態１と相違している。　

　登録データ生成装置１００は、暗号化部１０１と、鍵生成部１０２と、登録補助データ生成部１０３とを備えている。暗号化部１０１は、秘匿の対象となる入力データと、入力データの秘匿を行う鍵とを入力とし、入力データを、鍵を用いて秘匿処理を施した暗号データを出力する。鍵生成部１０２は、暗号化部１０１が入力データの秘匿を行うための鍵を生成し、暗号化部１０１と、登録補助データ生成部１０３に出力する。登録補助データ生成部１０３は、入力データと、暗号化部が出力した暗号データと、鍵生成部１０２が出力した鍵とを入力とし、データ秘匿装置３００の暗号化部３０１が出力する暗号データに対応する入力データが、暗号化部１０１に入力された入力データとハミング距離が一定数以内であることを判断するためのデータを出力する。

　記憶装置２００は、識別子管理部２０１と、暗号文記憶部２０２と、補助データ記憶部２０３とから構成され、登録データ生成装置が出力した暗号データ及び登録補助データを記憶するとともに、暗号データの照合時に、データ照合装置５００から入力される識別子に対応する暗号データ、及び補助データを出力する。

　識別子管理部２０１は、登録データ生成装置１００から入力される暗号データ、及び補助データを一意に特定する識別子を管理し、データ照合装置５００から識別子が入力された際に、暗号文記憶部２０２と、補助データ記憶部２０３に入力された識別子に対応する暗号データ、及び補助データを出力する命令を出力する。暗号文記憶部２０２は、登録データ生成装置１００の暗号化部１０１が出力した暗号データを記憶し、識別子管理部２０１から暗号データ出力の命令が入力された際には、対応する暗号データを出力する。補助データ記憶部２０３は、登録データ生成装置１００の登録補助データ生成部１０３が出力した補助データを記憶し、識別子管理部２０１から暗号データ出力の命令が入力された際には、対応する補助データを出力する。

　暗号化部３０１は、秘匿の対象となる入力データと、入力データの秘匿を行う鍵とを入力とし、入力データを、鍵を用いて秘匿処理を施した暗号データを出力する。鍵生成部３０２は、暗号化部３０１が入力データの秘匿を行うための鍵を生成し、暗号化部３０１と、補助データ生成部３０３に出力する。

　補助データ生成部３０３は、入力データと、暗号化部が出力した暗号データと、鍵生成部３０２が出力した鍵とを入力とし、登録データ生成装置１００の暗号化部１０１が出力する暗号データに対応する入力データが、暗号化部３０１に入力された入力データとハミング距離が予め定められた所定値未満であることを判断するための補助データを出力する。ここで、データ秘匿装置３００の暗号化部３０１によって出力される暗号文は、暗号化部１０１と同じ方法によって計算される。すなわち、
入力データm1を鍵k1で暗号化した暗号文をc1、
入力データm2を鍵k2で暗号化した暗号文をc2
とした時、
c1とc2の和c1+c2は、入力データm1+m2を鍵k1+k2で暗号化した暗号文となる。

　データ照合装置５００は、全データ要求部５０１と、暗号文減算部５０２と、一致判定部５０３と、制御部５０４と、識別子出力部５０５とを備えている。

　全データ要求部５０１は、識別子出力部５０５からの命令により、記憶装置２００内に格納されている全てのデータを逐次的に読み出す命令を、識別子管理部２０１に入力する。

　暗号文減算部５０２は、記憶装置２００の暗号文記憶部２０２に格納された暗号データの一つと、データ秘匿装置３００の暗号化部から出力される暗号データとを入力とし、入力された二つの暗号データｃ１、ｃ２の差ｃ１－ｃ２を出力する。

　一致判定部５０３は、
・記憶装置２００の補助データ記憶部２０３に格納された補助データの一つと、
・データ秘匿装置３００の補助データ生成部３０３から出力される補助データと、
・暗号文減算部４０２から出力される暗号データと、
を入力として、暗号文減算部５０２に入力された二つの暗号データc1とc2に対応する平文m1とm2のハミング距離が、予め定められた所定値以下（あるいは未満）であるか否かを出力する。

　制御部５０４は、データ秘匿装置３００と、データ照合装置５００とがデータをやり取りする際の通信を制御する。

　識別子出力部５０５は、
　識別子管理部２０１が暗号文記憶部２０２、及び補助データ記憶部２０３にデータ出力命令を出した識別子と、
　一致判定部５０３が出力した照合結果と、
を入力とし、一致判定部５０３が照合（一致）したと判定した場合には、識別子管理部２０１から入力された識別子を出力する。

　次に実施形態２の動作について図４の流れ図を参照して説明する。データ登録フェイズと、暗号文照合フェイズの二つのフェイズに大別される。ここで、データ登録フェイズは、登録データ生成装置１００に入力データを入力し、入力データを暗号化し、補助データとともに記憶装置２００に登録するフェイズであり、暗号文照合フェイズは、データ秘匿装置３００に入力された入力データを暗号化し、その際に生成された暗号データ、及び補助データと近い（ハミング距離の小さい）平文となる記憶装置２００内の暗号データに対応する識別子を出力するフェイズである。

　データ登録フェイズにおいては、はじめに、登録データ生成装置１００の暗号化部１０１に秘匿対象となる入力データが入力される（図４（Ａ）のステップＣ１）。

　次に、登録データ生成装置１００の鍵生成部１０２が、入力データの秘匿に用いる鍵を生成し、暗号化部１０１及び登録補助データ生成部１０３に出力する（図４（Ａ）のステップＣ２）。

　次に、暗号化部１０１は、入力された入力データと、鍵とから、入力データを暗号化した暗号データを計算し、暗号文記憶部２０２に格納する（図４（Ａ）のステップＣ３）。

　次に、ステップＣ１で入力された入力データと、ステップＣ２で生成された鍵と、ステップＣ３で生成された暗号データとを登録補助データ生成部１０３に入力し、出力（補助データ）を記憶装置２００の補助データ記憶部２０３に格納する（図４（Ａ）のステップＣ４）。

　以上の処理により、記憶装置２００に格納されたデータ（暗号データ、補助データ）には識別子管理部２０１で一意な識別子が割り振られ、後に振り振られた識別子での呼び出し（読み出し）が可能となる。

　暗号文照合フェイズにおいては、はじめに入力データがデータ秘匿装置３００の暗号化部に入力される（図４（Ｂ）のステップＤ１）。

　次にデータ秘匿装置３００の鍵生成部３０２が、入力データの秘匿に用いる鍵を生成し、暗号化部３０１及び補助データ生成部３０３に出力する（図４（Ｂ）のステップＤ２）。

　次に、暗号化部３０１は、ステップＤ１で入力された入力データと、ステップＤ２で入力された鍵とから、入力データを暗号化した暗号データを計算し、データ照合装置５００の暗号文減算部５０２に入力する（図４（Ｂ）のステップＤ３）。

　次に、全データ要求部５０１から識別子管理部２０１に識別子が入力され、暗号文減算部５０２に、入力された識別子に対応する暗号データが記憶装置２００の暗号文記憶部２０２から入力される。また、一致判定部５０３に、入力された識別子に対応する補助データが補助データ記憶部２０３から入力される（図４（Ｂ）のステップＤ４）。

　記憶装置２００の暗号文記憶部２０２と、データ秘匿装置３００の暗号化部３０１とから暗号文を入力された暗号文減算部５０２は、入力された二つの暗号データの差を一致判定部５０３に出力する（図４（Ｂ）のステップＤ５）。

　次に、制御部５０４によって制御された、記憶装置２００の補助データ記憶部２０３と、データ秘匿装置３００の補助データ生成部３０３とが、協調して通信を行うことにより、補助データ記憶部２０３と、補助データ生成部３０３とから、それぞれ補助データが一致判定部５０３に入力される（図４（Ｂ）のステップＤ６）。

　ステップＤ５で二つの暗号データの差を、ステップＤ６で補助データを入力された一致判定部５０３は、入力されたデータから、ステップＤ３で暗号文減算部５０２に入力された暗号データの平文と、ステップＤ４で暗号文減算部５０２に入力された暗号データの平文とのハミング距離が予め定められた所定値以下となるか否かを判定し、その判定結果を出力する（図４（Ｂ）のステップＤ７）。

　ステップＤ７の結果が照合と判断された場合は、識別子出力部５０５は、ステップＤ４で識別子管理部２０１に入力された識別子を出力する（図４（Ｂ）のステップＤ８）。

　ステップＤ４からステップＤ８の処理は、記憶装置２００の識別子管理部２０１で管理される、記憶装置２００に格納された、全ての識別子（暗号データ、補助データ）に関して繰り返される。

　なお、図２の各装置１００、２００、３００、５００を一つのコンピュータシステム上に実装してもよいし、あるいは各装置を単体として構成してもよい。あるいは、各装置１００、２００、３００、４００内の各部をそれぞれ１つの単体装置で構成してもよい。図１の各装置の各部の処理を、コンピュータで実行されるプログラムによって実現するようにしてもよい。本発明によれば、該プログラムを記録した記録媒体（半導体メモリ、磁気／光ディスク）が提供される。以下では、前記した実施形態に関して、より具体的な例に即して説明する。

＜実施例１＞
　次に、本発明の実施例１について図１を参照して詳細に説明する。実施例１は、前記実施形態１の一具体例である。

　データ登録フェイズでは、まず入力データとして、Nビットのバイナリ列Zが登録データ生成装置１００の暗号化部１０１に入力される。

　次に、登録データ生成装置１００の鍵生成部１０２が、鍵（Kビットの乱数）Sを生成し、暗号化部１０１及び登録補助データ生成部１０３に出力する。

　次に、暗号化部１０１は、入力されたKビットの鍵Sを二元BCH符号で符号化したNビットの符号語Cと、Nビットの入力データＺとの排他的論理和をとったNビットの暗号データW1を計算し（次式（１）参照）、記憶装置２００の暗号文記憶部２０２に格納する。
W1 = C (+) Z 　　　　　・・・(1)
　ただし、(+)はビット毎の排他的論理和を表す。ここで用いる二元BCH符号は、Kビットデータを入力しNビットデータ（N>K）を出力する符号であり、任意の相異なる符号語は、少なくともｄ以上のハミング距離を有することが保証されるものとする。

　次に、入力データZと、鍵Sと、暗号データW1とを登録補助データ生成部１０３に入力し、登録補助データ生成部１０３では、次式（２）に従って補助データW2を計算する。

　W2 = (c, S) (+) h(W1, n)　　　　　・・・(2)

　但し、上式（２）において、
cは、Kビットの定数である。
nはkビット（kはセキュリティパラメータ）の乱数である。なお、セキュリティパラメータとは、安全性の強度を表すパラメータであり、システムによって予め定められた値である。
(c, S)は内積を表す。すなわち、(A, B)は、二つのK = (m*k)ビットデータA及びBをｋビットごとに分割し、m個並んだベクトルとみなした時の、AとBの内積（演算はガロア拡大体GF(2^k)上で行うものとする）。
(+)はビット毎の排他的論理和を表す。
ｈは、出力がkビットとなる暗号学的ハッシュ関数（例えばSHA-256等）とする。

　H(x, y, z)を、次式（３）で表される関数として定義する。

　H(x, y, z) = (c, z) (+) h(y, z)　　　　・・・(3)

　H(x, y, z)は次式（４）を満足する。

H(a1, b1, c1) (+) H(a2, b2, c2) = H(a1 (+) a2, b1, c1) (+) h(b2, c2)　・・・(4)

　また、ビット(K-k)の乱数ｒに対して、
h(W1, N) ∥ r　　　　　　・・・(5)
をBCH符号で誤り訂正符号化した符号語データとC3とし（但し、∥は、ビットの連結（concatenation）を表す演算記号である）、C3とZから、W3を次式（６）に従って計算する。

　W3 = C3 (+) Z 　　　　・・・(6)

　登録補助データ生成部１０３は、上式（２）、（６）で求めた（W2, W3）の組を補助データとして、補助データ記憶部２０３に登録する。

　以上の処理で、記憶装置２００に入力されたデータには、識別子管理部２０１で一意な識別子が割り振られ、後に、割り振られた識別子での呼び出しが可能となる。

　以降、識別子ｉと関連付けられた暗号データW1と、補助データW2とW3をそれぞれW1[i]、W2[i]、W3[i]と表す。

　暗号文照合フェイズにおいては、はじめに指定データ照合装置４００の識別子保持部４０１に識別子ｉが入力され、入力された識別子ｉに対応する暗号データW1[i]が、記憶装置２００の暗号文記憶部２０２から読み出され暗号文減算部４０２に入力される。また、入力された識別子ｉに対応する補助データW2[i]、W3[i]が、補助データ記憶部２０３から読み出され、一致判定部４０３に入力される。

　次にＮビットのバイナリ列入力データZ'（照合するデータ）がデータ秘匿装置３００の暗号化部３０１に入力される。

　次にデータ秘匿装置３００の鍵生成部３０２は、入力データZ'の秘匿に用いる鍵（Ｋビットの乱数）S'を生成し、暗号化部３０１及び補助データ生成部３０３に出力する。

　データ秘匿装置３００の暗号化部３０１は、鍵生成部３０２から入力された鍵S'を二元ＢＣＨ符号で誤り訂正符号化した符号語C'と、入力データZ'との排他的論理和をとった暗号データW1'を計算し、指定データ照合装置４００の暗号文減算部４０２に入力する。

　W1' = C' (+) Z'　　　　・・・(7)

　暗号文減算部４０２は、データ秘匿装置３００の暗号化部３０１からの暗号データW1'と、記憶装置２００の暗号文記憶部２０２からの識別子ｉに対応する暗号データW1[i]を入力し、入力した二つの暗号データW1'とW1[i]の差（排他的論理和）
W1' (+) W[i] 　　　　・・・(8)
を計算して、一致判定部４０３に出力する。

　次に、制御部４０４が乱数nsと、予め定められた群（乗法群Zp）Ｇの要素（生成元）gに対して
g_s = g**ns　　　　　　・・・(9)
を計算する。

　式（９）において、g**nsは、群Ｇ（乗法群Zp）上でのgのns乗を表すものとする（**は冪乗演算子である）。群Gは乗法に関して巡回群となり、ｐを素数として位数ｐの乗法群Zp（=Z/pZ）からなり、g**nsの値は素数ｐを法（modulo）とする剰余（mod p）で与えられる。

　制御部４０４は、W3[i]とg_sとを補助データ生成部３０３に出力する。

　次に、データ秘匿装置３００の補助データ生成部３０３は、W3[i]と入力データZ'の排他的論理和をとった値
W3[i] (+) Z'　　　　・・・ (10)
に、二元BCH符号の復号処理を適用し、復号結果であるh'を得る。

　補助データ生成部３０３は、鍵S'、暗号データW1'、h'、g、g_s、乱数ncから、次式（１１ａ）、（１１ｂ）に基づいて、W2'とg_cを計算し、データ照合装置４００の一致判定部４０３に出力する。

W2' = H(S', W1', g_s**nc) (+) h'　　　・・・(11a)

g_c = g**nc　　　　　　　　　　　　・・・(11b)

　上式(11a)において、gを乗法群Zpの生成元としたとき、gとpを公開し、X、Yの２者はns、nc（秘密鍵）を用いて、A=g**ns (= g**ns mod p)、B=g**nc (=g**nc mod p)を計算し、相手Y、Xに送信し、XはYから受信したBにnsを用いて、B**ns =g**(ns*nc) （= g**(ns*nc) mod p）を計算し、YはXから受信したAにncを用いてA**nc = g**(ns*nc) (= g**(ns*nc) mod p)を計算し、g**(ns*nc) mod p を共通鍵暗号の鍵として使用する(Diffie-Hellman鍵交換)。第３者が盗聴等でA、Bを取得してもA、Bから、g**(ns*nc) mod pを計算する方法が存在しないため鍵を生成することは困難である。また、g**nsの計算において Diffie-Hellman鍵交換をした値を乱数成分(NONCE)とすることで、例えば後述される生体認証への適用においてリプレイ攻撃に対する防御を行う。

　次に一致判定部４０３は、入力した二つの暗号データW1'とW[i]の差
W1' (+) W[i] 　　　・・・(12)
に二元BCH符号の復号処理を適用し、二つの暗号データW1'とW[i]の差の復号結果であるＴを計算する。

　そして、一致判定部４０３は、二つの暗号データW1'とW[i]の差の復号結果ＴとW1'とg_c**nsを用いて計算したH(T, W1', g_c**ns)（= (g_c**ns, T) + h (W1', g_c**ns)）と、式（１１ａ）で求めたW2'との排他的論理和演算結果が、W2[i]と等しいか否か、すなわち、次の等式（１３）が成り立つか否かをチェックする。

　W2[i] = H(T, W1', g_c**ns) (+) W2'　　　・・・(13)

　一致判定部４０３は、上式（１３）が成立する場合は、W1[i]の元のデータ（平文）と入力データ（平文）Z'のハミング距離がｄ以下であると判定し、上式（１３）が成立しない場合には、W1[i]の元のデータ（平文）と入力データ（平文）Z'のハミング距離がｄを超えると判定し、判定結果を出力する。なお、上記BCH符号化は、任意の相異なる符号語のハミング距離が少なくともｄを超える値とされている。

　データ秘匿装置３００の補助データ生成部３０３で生成する補助データW2' = H(S', W1', g_s**nc)(+)h'におけるg_s**nc（=(g**ns)**nc）と、指定データ照合装置４００の一致判定部４０３でのg_c**ns（=(g**nc)**ns）を、例えば公知のDiffie-Hellman鍵共有法によって、データ秘匿装置３００の補助データ生成部３０３と、指定データ照合装置４００の一致判定部４０３との双方で生成されるようにしてもよい。

＜実施例２＞
　次に、実施例２について図２を参照して詳細に説明する。実施例２は、前記実施形態２の一具体例である。

　次に、登録データ生成装置１００の鍵生成部１０２が、Kビットの乱数Sを生成し、暗号化部１０１及び登録補助データ生成部１０３に出力する。

　次に、暗号化部１０１は、入力された鍵Ｓを二元BCH符号で符号化した符号語Cと、入力データZとの排他的論理和を取った暗号データＷ１を計算し、暗号文記憶部２０２に格納する。ここで用いる二元BCH符号は、Kビットデータを入力し、Nビットデータを出力する符号であり、任意の相異なる符号語は、少なくともｄ以上のハミング距離を有することが保証されるものとする。

　次に、入力データZと、鍵Sと、暗号データW1とを登録補助データ生成部１０３に入力し、登録補助データ生成部１０３は、次式（１４）に従ってW2を計算する。

　W2 = (c, S) (+) h(W1, n)　　　　・・・(14)

　但し、上式（１４）において、
ｃは、Kビットの定数である。
nは、kビット（kはセキュリティパラメータ）の乱数である。
（A，B）は、二つのK＝(m*k)ビットデータA及びBをｋビットごとに分割したベクトルとみなした時の、AとBの内積（演算はガロア拡大体ＧＦ（２^ｋ）上で行うものとする。
(+)はビット毎の排他的論理和を表す。
ｈは、出力がkビットとなる暗号学的ハッシュ関数（例えばSHA-256等）とする。

　また、H(x, y, z) を式（１５）で表される関数として定義する（上式（３）と同一）。

H(x, y, z) = (c, x) (+) h(y, z)　　　　　　　・・・(15)

　K-kビットの乱数ｒに対し
h(W1, N) ∥r　　　　　　　　　・・・(16)
をBCH符号で符号化した符号語データをC3とし（但し、∥は、ビットの連結を表す記号である）、C3とZから、W3を、
W3 = C3 (+) Z 　　　　　　　　・・・(17)
により計算する。

　以上によって生成された(W2、W3)の組を補助データとして補助データ記憶部２０３に登録する。

　以上の処理で、記憶装置２００に入力されたデータには識別子管理部２０１で一意な識別子が割り振られ、後に振り振られた識別子での呼び出しが可能となる。以降、識別子ｉと関連付けられたW1、W2、W3をそれぞれW1[i]、W2[i]、W3[i]と表す。

　暗号文照合フェイズにおいては、はじめに入力データZ'（照合するデータ）がデータ秘匿装置３００の暗号化部３０１に入力される。

　次にデータ秘匿装置３００の鍵生成部３０２が、入力データZ'の秘匿に用いる鍵Ｓ'（Kビットの乱数）を生成し、暗号化部３０１及び補助データ生成部３０３に出力する。

　暗号化部３０１は、入力された鍵S'を二元BCH符号で符号化した符号語C'と、入力データＺ'との排他的論理和をとった暗号データW1'
W1' = C' (+) Z' 　　　　　　　・・・(18)
を計算し、データ照合装置５００の暗号文減算部５０２に入力する。

　次に全データ要求部５０１から識別子管理部２０１に識別子ｉが入力され、入力された識別子ｉに対応する暗号データW1[i]が記憶装置２００の暗号文記憶部２０２から読み出され、暗号文減算部５０２に入力される。また、識別子ｉに対応する補助データW2[i]、W3[i]が補助データ記憶部から読み出され、一致判定部５０３に入力される。記憶装置２００の暗号文記憶部２０２からの暗号データW1[i]と、データ秘匿装置３００からの暗号データW1'とを入力した暗号文減算部５０２は、入力した二つの暗号データW1'とW1[i]の差（排他的論理和）
W1' (+) W1[i]　　　　　　　　　・・・(19)
を一致判定部５０３に出力する。

　次に、制御部５０４が乱数ｎｓと予め定められた群（乗法群Zp）Ｇの要素（生成元）ｇに対して
g_s = g**ns　　　　　　　　　　・・・(20)
を計算し、補助データ生成部３０３に出力する。

　次に、データ秘匿装置３００の補助データ生成部３０３は、
S'=S1' (+) S2'　　　　　　　　・・・(21)
を満たすS1'とS2'をランダムに選ぶ。

　データ秘匿装置３００の補助データ生成部３０３は、次式（２２ａ）、（２２ｂ）に基づいて、W2'とg_cを計算する。

W2' = H(S1', W1', g_s**nc) 　　　　　　　　・・・(22a)

g_c = g**nc 　　　　　　　　　　　　　　　・・・(22b)

　次に、データ秘匿装置３００の補助データ生成部３０３は、内積(c,S2')と乱数r'をビット連結したデータである
(c, S2') ∥ r' 　　　　　　・・・(23)
を二元ＢＣＨ誤訂正符号化したC3とZ'からW3'を、
W3' = C3 (+) Z' 　　　　・・・(24)
により計算し、W1'、W2'、W3'、g_cをデータ照合装置５００の一致判定部５０３に出力する。

　次に一致判定部５０３は、入力された暗号データの差
W1' (+) W1[i]　　　　　　　　・・・(25)
に二元BCH符号の復号処理を適用し、二つの暗号データW1'、W1[i]の差の復号結果であるＴを計算する。

　さらに、一致判定部５０３は、W3[i]とW3'の排他的論理和
W3[i] (+) W3'　　　　　　　・・・(26)
に二元BCH符号の復号処理を適用し、W3[i](+)W3'の復号結果であるw3を計算する。

　一致判定部５０３は、二つの暗号データの差の復号結果ＴとW1'、g_c**nsとを用いて計算したH(T, W1', g_c**ns)と、W2'とw3のビット毎の排他的論理和演算結果が、W2[i]と等しいか否か、すなわち、等式（２７）が成立するか否かをチェックする。

　W2[i] = H(T, W1', g_c**ns) (+) W2' (+) w3　・・・(27)

　上式（２７）が成立する場合に、識別子出力部５０５は、W1[i]の元のデータとZ'のハミング距離がｄ以下であると判定し、識別子ｉを出力する。上式（２７）が成立しない場合、ハミング距離はｄを超えるものと判定し、識別子ｉは出力しない。

　以上の操作を、記憶装置が管理している全ての識別子ｉに対して実行し、入力データZ'とのハミング距離がｄ以下となるような元データを有する全ての識別子を出力する。

　実施例２においても、前記実施例１と同様、データ秘匿装置３００の補助データ生成部３０３で生成する補助データW2' = H(S', W1', g_s**nc)(+)h'におけるg_s**nc（=(g**ns)**nc）と、データ照合装置５００の一致判定部５０３でのg_c**ns（=(g**nc)**ns）を、例えば公知のDiffie-Hellman鍵共有法によって、データ秘匿装置３００の補助データ生成部３０３と、データ照合装置５００の一致判定部５０３との双方で生成されるようにしてもよい。

　実施例１、２の適用例として、生体情報を保護した認証が挙げられる。以下その概略を説明する。

　データ登録フェイズにおける入力データと、暗号文照合フェイズにおける入力データを、指紋や静脈等から取得した生体情報とすることで、生体情報を秘匿（暗号化）したまま、記憶装置に格納された暗号化された生体データと、データ秘匿装置から送出された暗号化された生体データとが同一人物から採取したものであるか否かを、二つの入力データのハミング距離が予め定められた所定値以下となるかどうかにより判定することが可能となり、認証を行うことが可能となる。生体情報は、常に安定して同一のデータが取得できるわけではないが、同じ人物から取得されるデータが類似している（ハミング距離が小さいデータが取得できる）と仮定できるため、生体認証に適用して好適とされる。なお、生体認証用途において、例えばBCHのパラメータ（K, s, d）の各値は実験的に求められる。

　なお、上記の特許文献、非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素（各請求項の各要素、各実施例の各要素、各図面の各要素等を含む）の多様な組み合わせないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。

１００　登録データ生成装置
１０１　暗号化部
１０２　鍵生成部
１０３　登録補助データ生成部
２００　記憶装置
２０１　識別子管理部
２０２　暗号文記憶部
２０３　補助データ記憶部
３００　データ秘匿装置
３０１　暗号化部
３０２　鍵生成部
３０３　補助データ生成部
４００　指定データ照合装置
４０１　識別子保持部
４０２　暗号文減算部
４０３　一致判定部
４０４　制御部
５００　データ照合装置
５０１　全データ要求部
５０２　暗号文減算部
５０３　一致判定部
５０４　制御部
５０５　識別子出力部

Claims

　入力データを暗号化して記憶装置に登録される第１の暗号文と、照合対象の入力データを暗号化した第２の暗号文のそれぞれに対して、前記登録される前記第１の暗号文と前記照合対象の入力データを暗号化した前記第２の暗号文との間の平文のハミング距離が、予め定められた所定値以下であることを検証するための第１、第２の補助データをそれぞれ生成する手段と、
　前記照合対象の入力データを暗号化した前記第２の暗号文に対して、前記記憶装置に登録された前記第１の暗号文との差分をとり、前記第１及び第２の補助データを用いて前記第１の暗号文と、前記第２の暗号文の前記差分に対応する平文のハミング距離が前記予め定められた所定値以下であるか否かを判定する手段と、
　を含む、ことを特徴とする暗号文照合システム。
　前記入力データの平文に対して暗号化する鍵を線形性を有する誤り訂正符号で符号化した符号語と、前記平文との排他的論理和の演算から前記暗号文を生成し、
　前記記憶装置に登録された前記第１の暗号文と、前記照合対象の入力データを暗号化した前記第２の暗号文に関する前記第１及び第２の補助データの各補助データを、それぞれ、対応する前記鍵と定数との内積と、対応する前記暗号文に基づくビット列に対する暗号学的ハッシュ関数の出力と、の排他的論理和に基づき算出する、ことを特徴とする請求項１記載の暗号文照合システム。
　登録データ生成装置と、
　記憶装置と、
　データ秘匿装置と、
　第１のデータ照合装置と、
　を備え、
　前記登録データ生成装置は、
　固定長の入力データと鍵を入力とし、前記入力データを前記鍵で暗号化した前記第１の暗号文であって、
　平文１を鍵１で暗号化した暗号文１と平文２を鍵２で暗号化した暗号文２との和が、前記平文１と前記平文２の和を前記鍵１と前記鍵２の和で暗号化した暗号文に、等しいという関係を満たす前記第１の暗号文を出力する第１の暗号化部と、
　前記第１の暗号化部に入力する前記鍵を生成する第１の鍵生成部と、
　前記入力データと、前記第１の鍵生成部で生成された前記鍵とを入力とし、前記第１の暗号化部によって出力された前記第１の暗号文と、前記データ秘匿装置によって出力される前記第２の暗号文との差分に対応する平文のハミング距離が予め定められた所定値以下であることを検証するための前記第１の補助データを出力する登録補助データ生成部と、
　を備え、
　前記記憶装置は、
　前記登録データ生成装置の前記第１の暗号化部が出力する、一または複数の前記第１の暗号文を格納する暗号文記憶部と、
　前記登録データ生成装置の前記登録補助データ生成部が出力する、一つ又は複数の前記第１の補助データを格納する補助データ記憶部と、
　前記第１のデータ照合装置から識別子を入力とし、前記暗号文記憶部と前記補助データ記憶部とに対して、前記識別子に対応する前記第１の暗号文と前記第１の補助データとをそれぞれ出力させる識別子管理部と、
　を備え、
　前記データ秘匿装置は、
　固定長の照合対象の入力データと鍵を入力とし、前記照合対象の入力データを前記鍵で暗号化した前記第２の暗号文であって、平文１を鍵１で暗号化した暗号文１と平文２を鍵２で暗号化した暗号文２との和が、前記平文１と前記平文２の和を前記鍵１と前記鍵２の和で暗号化した暗号文に、等しいという関係を満たす前記第２の暗号文を出力する第２の暗号化部と、
　前記第２の暗号化部に入力する前記鍵を生成する第２の鍵生成部と、
　前記照合対象の入力データと、前記第２の鍵生成部で生成された前記鍵とを入力とし、前記第２の暗号化部によって出力された前記第２の暗号文と、前記登録データ生成装置の前記第１の暗号化部によって出力された前記第１の暗号文との差分に対応する平文のハミング距離が予め定められた所定値以下であることを検証するための前記第２の補助データを出力する補助データ生成部と、
　を備え、
　前記第１のデータ照合装置は、
　識別子を入力し、前記識別子を前記記憶装置の前記識別子管理部に出力し、前記識別子に対応する前記第１の暗号文と前記第１の補助データとを出力するように前記識別子管理部に指示する識別子保持部と、
　前記データ秘匿装置の前記第２の暗号化部から出力される前記第２の暗号文と、前記記憶装置の前記暗号文記憶部に格納される前記第１の暗号文と、を入力とし、入力した二つの前記暗号文の差分を出力する暗号文減算部と、
　前記暗号文減算部から出力される前記暗号文の差分と、
　前記記憶装置の前記補助データ記憶部に格納される前記第１の補助データと、
　前記データ秘匿装置の前記補助データ生成部から出力される前記第２の補助データと、
を入力とし、
　前記第１、第２の暗号文の差分に対応する平文のハミング距離が予め定められた所定値以下であるか否かを判定する一致判定部と、
　前記データ秘匿装置と前記第１のデータ照合装置との間のデータのやりとりを制御する制御部と、
　を備える、ことを特徴とする請求項１記載の暗号文照合システム。
　登録データ生成装置と、
　記憶装置と、
　データ秘匿装置と、
　第２のデータ照合装置と、
　を備え、
　前記登録データ生成装置は、
　固定長の入力データと、鍵を入力とし、前記入力データを前記鍵で暗号化した前記第１の暗号文であって、
　平文１を鍵１で暗号化した暗号文１と平文２を鍵２で暗号化した暗号文２との和が、前記平文１と前記平文２の和を前記鍵１と前記鍵２の和で暗号化した暗号文に、等しいという関係を満たす前記第１の暗号文を出力する第１の暗号化部と、
　前記第１の暗号化部に入力する前記鍵を生成する第１の鍵生成部と、
　前記入力データと、前記第１の鍵生成部で生成された前記鍵を入力とし、前記第１の暗号化部によって出力された前記第１の暗号文と、前記データ秘匿装置によって出力される前記第２の暗号文との差分に対応する平文のハミング距離が予め定められた値以下であることを検証するための前記第１の補助データを出力する登録補助データ生成部と、
　を備え、
　前記記憶装置は、
　前記登録データ生成装置の前記第１の暗号化装置が出力する一又は複数の前記第１の暗号文を格納する暗号文記憶部と、
　前記登録データ生成装置の前記登録補助データ生成部が出力する一又は複数の前記第１の補助データを格納する補助データ記憶部と、
　前記第２のデータ照合装置から識別子を入力とし、前記暗号文記憶部と、前記補助データ記憶部とに前記識別子に対応する前記第１の暗号文と前記第１の補助データとをそれぞれ出力させる識別子管理部と、
　を備え、
　前記データ秘匿装置は、
　固定長の照合対象の入力データと鍵を入力とし、前記照合対象の入力データを前記鍵で暗号化した前記第２の暗号文であって、
　平文１を鍵１で暗号化した暗号文１と平文２を鍵２で暗号化した暗号文２との和が、前記平文１と前記平文２の和を前記鍵１と前記鍵２の和で暗号化した暗号文に、等しいという関係を満たす前記第２の暗号文を出力する第２の暗号化部と、
　前記第２の暗号化部に入力する前記鍵を生成する第２の鍵生成部と、
　前記入力データと、前記第２の鍵生成部で生成された前記鍵を入力とし、前記第２の暗号化部によって出力された前記第２の暗号文と、前記登録データ生成装置の前記第１の暗号化部によって出力される前記第１の暗号文との差分に対応する平文のハミング距離が予め定められた所定値以下であることを検証するための前記第２の補助データを出力する補助データ生成部と、
　を備え、
　前記第２のデータ照合装置は、
　識別子出力部からの命令により、前記記憶装置内に格納されている全てのデータを逐次的に読み出す命令を、前記記憶装置の前記識別子管理部に入力する全データ要求部と、
　前記データ秘匿装置の前記第２の暗号化部から出力される前記第２の暗号文と、前記記憶装置内の前記暗号文記憶部に格納される前記第１の暗号文とを入力とし、入力した二つの暗号文の差分を出力する暗号文減算部と、
　前記暗号文減算部から出力される前記暗号文の差分と、
　前記記憶装置の前記補助データ記憶部に格納される前記第１の補助データと、
　前記データ秘匿装置の前記補助データ生成部から出力される前記第２の補助データと、
を入力として、前記第１、第２の暗号文の差分に対応する平文のハミング距離が予め定められた所値以下であるか否かを判定する一致判定部と、
　前記一致判定部からの判定結果の出力と、前記記憶装置の前記識別子管理部の出力とを入力とし、前記一致判定部が、平文のハミング距離が予め定められた所定値以下と判定したデータに対応する識別子を出力する前記識別子出力部と、
　前記データ秘匿装置と、前記第２のデータ照合装置との間のデータのやりとりを制御する制御装置と、
　を備える、ことを特徴とする請求項１記載の暗号文照合システム。
　前記第１、第２の暗号化部が、前記鍵と、前記入力データの平文に対して、前記鍵を、線形性を有する誤り訂正符号で符号化し、誤り訂正符号化結果である符号語と、前記平文とのベクトル上の和を計算した結果を、前記暗号文として出力する、ことを特徴とする請求項３又は４記載の暗号文照合システム。
　前記記憶装置の前記登録補助データ生成部が出力する前記第１の補助データが、
　前記登録データ生成装置の第１の暗号化部に入力された鍵Ｓ、
　前記第１の暗号化部が出力した前記第１の暗号文Ｗ１、
　繰り返し利用される可能性の低いデータｎ、及び、
　（ｃ，Ｓ）（＋）ｈ（Ｗ１，ｎ）
（但し、（ｘ，ｙ）は、ベクトルｘとｙとの内積を表し、ｈは暗号学的ハッシュ関数、（＋）はビット毎の排他的論理和を表す）によって計算されるデータを含み、
　前記データ秘匿装置の前記補助データ生成部が出力する前記第２の補助データが、
　前記データ秘匿装置の第２の暗号化部に入力された鍵Ｓ’、
　前記第２の暗号化部が出力した前記第２の暗号文Ｗ１’、
　繰り返し利用される可能性の低いデータｎ’、及び、
　（ｃ，Ｓ’）（＋）ｈ（Ｗ１’，ｎ’）によって計算されるデータ
　を含む、ことを特徴とする請求項３又は４記載の暗号文照合システム。
　前記ｎ’が、Ｄｉｆｆｉｅ－Ｈｅｌｌｍａｎ鍵共有法によって、前記第１又は第２のデータ照合装置と、前記データ秘匿装置の双方で生成される、ことを特徴とする請求項６記載の暗号文照合システム。
　請求項１乃至７のいずれか１項に記載の暗号文照合システムを備え、前記登録データ生成装置、前記データ秘匿装置に入力される入力データが、生体情報によって生成され、前記データ秘匿装置を介して前記第１のデータ照合装置又は前記データ照合装に入力されたデータが、記憶装置に格納されたデータと一致するか否かを判定することによって生体認証を行うことを特徴とする生体認証システム。
　入力データを暗号化して記憶装置に登録される第１の暗号文と、照合対象の入力データを暗号化した第２の暗号文のそれぞれに対して、前記登録される前記第１の暗号文と前記照合対象の入力データを暗号化した前記第２の暗号文との間の平文のハミング距離が、予め定められた所定値以下であることを検証するための第１、第２の補助データをそれぞれ生成し、
　前記照合対象の入力データを暗号化した前記第２の暗号文に対して、前記記憶装置に登録された前記第１の暗号文との差分をとり、前記第１及び第２の補助データを用いて、前記第１の暗号文と前記第２の暗号文の前記差分に対応する平文のハミング距離が前記予め定められた所定値以下であるか否かを判定する、ことを特徴とする暗号文照合方法。
　入力データを暗号化して記憶装置に登録される第１の暗号文と、照合対象の入力データを暗号化した第２の暗号文のそれぞれに対して、前記登録される前記第１の暗号文と前記照合対象の入力データを暗号化した前記第２の暗号文との間の平文のハミング距離が、予め定められた所定値以下であることを検証するための第１、第２の補助データをそれぞれ生成する処理と、
　前記照合対象の入力データを暗号化した前記第２の暗号文に対して、前記記憶装置に登録された前記第１の暗号文との差分をとり、前記第１及び第２の補助データを用いて、前記第１の暗号文と前記第２の暗号文の前記差分に対応する平文のハミング距離が前記予め定められた所定値以下であるか否かを判定する処理と、
　をコンピュータに実行させるプログラム。