WO2016114259A1

WO2016114259A1 - 鍵交換方法、鍵交換システム、鍵装置、端末装置、およびプログラム

Info

Publication number: WO2016114259A1
Application number: PCT/JP2016/050695
Authority: WO
Inventors: 彰永井; 恆和齋藤; 鉄太郎小林
Original assignee: 日本電信電話株式会社
Priority date: 2015-01-16
Filing date: 2016-01-12
Publication date: 2016-07-21
Also published as: CN107113168B; US10419213B2; EP3232603A4; CN107113168A; EP3232603B1; JPWO2016114259A1; JP6594348B2; US20170373841A1; EP3232603A1

Abstract

　鍵装置が共有鍵を計算することができず、クライアントが正しい鍵装置により正しく処理されたことを確認することができる。乱数生成部１２は、乱数s₁, s₂, s'₁, s'₂を生成する。公開鍵乱数化部１３は、乱数s₁を用いて公開鍵を乱数化した第一乱数化公開鍵情報と、乱数s₂を用いて公開鍵を乱数化した第二乱数化公開鍵情報とを生成する。代理計算部２１は、秘密鍵を用いて第一委託結果を算出し、秘密鍵を用いて第二委託結果を算出する。検証部１４は、乱数s₂を用いて第一検証値を算出し、乱数s₁を用いて第二検証値を算出し、第一検証値と第二検証値とが一致するか否かを検証する。共有鍵生成部１５は、第一検証値と第二検証値とが一致する場合に、乱数s'₁, s'₂を用いて共有鍵を算出する。

Description

鍵交換方法、鍵交換システム、鍵装置、端末装置、およびプログラム

　本発明は、情報セキュリティ分野の応用技術に関し、特にクラウド鍵管理型の鍵交換技術に関する。

　特許文献１には、代理計算技術が記載されている。代理計算とは、別装置に何らかの計算を委託することである。よく知られる代理計算としては、復号機能を備えた装置に暗号文の復号を依頼し、平文を得るというものである。例えば、クライアントが平文mを公開鍵yで暗号化した暗号文Cを保持しており、鍵装置が公開鍵yに対する秘密鍵sを保持しているとする。クライアントは暗号文Cを鍵装置に送信し、鍵装置は公開鍵yに対応する秘密鍵sで暗号文Cを復号して平文mを得、クライアントへ返信する。代理計算によって、（１）クライアントが所持すべき計算能力と機能の不足、（２）クライアントが機能を実行するために必要な秘密情報の漏洩（例えば、代理計算を用いない通常の構成では、秘密鍵をクライアント自身が管理する必要があり、クライアントから秘密鍵が漏洩する恐れがある。）、（３）クライアントが所有する装置の紛失や盗難による不正利用（例えば、鍵装置が秘密鍵を失効させることでクライアントの復号機能を停止させ、不正利用を防止することができる。）、などの課題を解決することができる。

　非特許文献１、２には、鍵交換技術が記載されている。鍵交換とは、公開された通信路を使って2台のクライアントが安全に鍵を交換（共有）するための方式である。具体的な鍵交換の例は、DHM（Diffie-Hellman-Merkle）鍵交換方式がある。一般的に、暗復号を用いて鍵交換を行うことは可能であるが、暗復号では秘密鍵を用いるため、鍵管理が必要となる。一方、DHM鍵交換方式では乱数を用いるため、鍵管理が不要となり安全性が向上する。また、鍵の共有相手を認証しながら鍵交換を行う方式として、デジタル署名を用いた認証鍵交換、MQV（Menezes-Qu-Vanstone）認証鍵交換、HMQV（Hashed MQV）認証鍵交換（以上、非特許文献１参照）、およびFSU認証鍵交換（非特許文献２参照）、などが挙げられる。

　特許文献２には、自己訂正技術が記載されている。自己訂正とは、必ずしも正しい計算結果を出力するとは限らない計算機やシステムを用いて、常に正しい計算を行う技術である。より詳しくは、正しい計算結果を出力する計算機を用いた場合には正しい計算結果を出力し、必ずしも正しい結果を出力するとは限らない計算機を用いた場合には正しい計算結果、もしくは計算できない旨の結果を出力する技術である。

特許第５１６１１７７号公報特許第５５０６７０４号公報

岡本龍明、「鍵交換：現代暗号の誕生とその発展」、電気情報通信学会、Fundamentals Review、vol. 1、no. 4、pp. 70-76、2007年 Atsushi Fujioka, Koutarou Suzuki, Berkant Ustaoglu, "Ephemeral Key Leakage Resilient and Efficient ID-AKEs That Can Share Identities,Private and Master Keys", Pairing 2010, Lecture Notes in Computer Science, vol. 6487, pp. 187-205, 2010.

　代理計算を用いて鍵交換を行う場合、以下の課題がある。

　（１）共有鍵が漏洩する問題がある。例えば、クライアントu₁とクライアントu₂が鍵装置（代理計算装置）を利用して代理計算による鍵交換を行う場合、鍵装置はクライアントのみが知るべきである共有鍵を取得でき、クライアント間の暗号通信を解読できてしまう。具体的には、クライアントu₁はクライアントu₂の公開鍵をそのまま鍵装置へ送信するため、鍵装置はクライアントu₁とクライアントu₂が鍵交換を行おうとしていることを知ることができる。すると、鍵装置はクライアントu₁の秘密鍵と、公開もしくは送信されたクライアントu₂の公開鍵とを用いて共有鍵を計算できてしまう。

　（２）鍵装置の処理正当性の問題がある。秘密鍵を所持する鍵装置が、バグや故障等により正しい処理を行えない場合に、クライアントは鍵装置が正しい処理を行ったのかを検証できない。

　（３）鍵装置の正当性の問題がある。誤った鍵装置に代理計算を依頼した場合に、クライアントは誤った鍵装置の処理結果であることを検出できない。

　この発明の目的は、このような点に鑑みて、鍵装置が共有鍵を計算することができず、クライアントが正しい鍵装置により正しく処理されたことを確認することができる鍵交換技術を提供することである。

　上記の課題を解決するために、この発明の鍵交換方法は、s₁, s₂を互いに素な乱数とし、s'₁, s'₂を乱数s₁, s₂と所定の関係を満たす乱数とし、鍵装置の記憶部に、端末装置の秘密鍵が記憶されており、端末装置が、乱数s₁, s₂, s'₁, s'₂を生成する乱数生成ステップと、端末装置が、乱数s₁を用いて端末装置の公開鍵と他の端末装置の公開鍵を乱数化した第一乱数化公開鍵情報と、乱数s₂を用いて端末装置の公開鍵と他の端末装置の公開鍵を乱数化した第二乱数化公開鍵情報とを生成する公開鍵乱数化ステップと、鍵装置が、秘密鍵を用いて第一乱数化公開鍵情報から第一委託結果を算出し、秘密鍵を用いて第二乱数化公開鍵情報から第二委託結果を算出する代理計算ステップと、端末装置が、乱数s₂を用いて第一委託結果から第一検証値を算出し、乱数s₁を用いて第二委託結果から第二検証値を算出し、第一検証値と第二検証値とが一致するか否かを検証する検証ステップと、端末装置が、第一検証値と第二検証値とが一致する場合に、乱数s'₁, s'₂を用いて第一委託結果および第二委託結果から共有鍵を算出する共有鍵生成ステップと、を含む。

　端末装置から鍵装置へ送信される公開鍵が乱数化されているため、鍵装置は計算を依頼してきた端末装置が他のどの端末装置と鍵交換を行うのかを特定できない。また、端末装置は他の端末装置の公開鍵を乱数化して代理計算を委託するため、鍵装置は共有鍵を計算することができない。

　また、端末装置は自分の公開鍵と相手方の乱数化した公開鍵を鍵装置へ送信し、鍵装置は両方について処理結果を返信するため、正しい鍵装置が選択されていない場合や鍵装置が正しく処理をしていない場合は、委託した結果として得られる二つの鍵交換に必要な値に誤差が生じる。端末装置はその誤差の有無を確認することで、正しい鍵装置であることと正しく処理されていることを確認することができる。

　したがって、この発明の鍵交換技術によれば、鍵装置が共有鍵を計算することができず、クライアントが正しい鍵装置により正しく処理されたことを確認することができる。

図１は、第一実施形態の鍵交換システムの機能構成を例示する図である。図２Ａは、端末装置の機能構成を例示する図である。図２Ｂは、鍵装置の機能構成を例示する図である。図３は、第一実施形態の鍵交換方法の処理フローを例示する図である。図４は、第二実施形態の鍵交換方法の処理フローを例示する図である。図５は、第三実施形態の鍵交換方法の処理フローを例示する図である。図６は、第四実施形態の鍵交換方法の処理フローを例示する図である。図７は、第五実施形態の鍵交換システムの機能構成を例示する図である。図８は、第五実施形態の鍵交換方法の処理フローを例示する図である。図９は、第六実施形態の鍵交換システムの機能構成を例示する図である。図１０は、第六実施形態の鍵交換方法の処理フローを例示する図である。図１１は、第七実施形態の鍵交換システムの機能構成を例示する図である。図１２は、第七実施形態の鍵交換方法の処理フローを例示する図である。図１３は、第七実施形態の鍵交換方法の処理フローを例示する図である。

　以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

［自己訂正を用いた代理計算］
　自己訂正を用いた代理計算、特に群準同型の代理計算について説明する。二つの群G, Hと、その間の準同型写像をF: G→Hとする。このとき、GとHに定義される二項演算はともに乗法としても一般性を失わない。クライアント端末Uがg∈Gを秘匿化して代理計算装置Pに送信し、F(g)の計算を委託する手法を以下に述べる。

　（１）クライアント端末Uは単位元でない適当な元g₀∈Gに対してF(g₀)を計算する。

　（２）クライアント端末Uはランダムな整数s₁, s₂∈Zを互いに素になるようにとり、s'₁とs'₂をs₁s'₁+s₂s'₂=1を満足するように定める。

　（３）クライアント端末Uは任意の単位元でない元g₁, g₂∈Gを定め、代理計算装置Pへ二つのペア(g₁ ^-1, g₁g^s1), (g₂ ^-1, g₂g^s2)を送信する。

　（４）代理計算装置Pはζ₁=F(g₁ ^-1)F(g₁g^s1), ζ₂=F(g₂ ^-1)F(g₂g^s2)を計算し、クライアント端末Uへ送信する。

　（５）クライアント端末Uはζ₁ ^s2=ζ₂ ^s1を確認する。正しくなければ（１）に戻る。正しければ、ζ₁ ^s'1ζ₂ ^s'2=F(g^s1s'1+s2s'2)=F(g)を計算する。

［第一実施形態］
　第一実施形態は、自己訂正を用いたDHM鍵交換方式である。

　本形態の鍵交換システムは、例えば、図１に示すように、共有鍵の交換を行う２台の端末装置１₁, １₂と各端末装置に対応する２台の鍵装置２₁, ２₂とを含む。本形態では２台の端末装置１が鍵交換を行う例を説明するが、鍵交換システムに含まれる端末装置１および鍵装置２の数に制限はない。各端末装置１および各鍵装置２は通信網９を介して相互に通信可能に接続される。通信網９は、例えば、インターネットやWAN（Wide Area Network）、LAN（Local Area Network）、専用線、公衆交換電話網、携帯電話通信網などで構成することができる。

　端末装置１は、例えば、図２Ａに示すように、記憶部１０、公開鍵受信部１１、乱数生成部１２、公開鍵乱数化部１３、検証部１４、および共有鍵生成部１５を含む。

　鍵装置２は、例えば、図２Ｂに示すように、記憶部２０および代理計算部２１を含む。

　端末装置１および鍵装置２は、例えば、中央演算処理装置（CPU: Central Processing Unit）、主記憶装置（RAM: Random Access Memory）などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。端末装置１および鍵装置２は、例えば、中央演算処理装置の制御のもとで各処理を実行する。端末装置１および鍵装置２に入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて読み出されて他の処理に利用される。また、端末装置１および鍵装置２の各処理部の少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。

　以下、図３を参照して、本形態の鍵交換方法の処理手続きを説明する。図３では、端末装置１₁および鍵装置２₁の処理のみを示すが、端末装置１₂および鍵装置２₂についても同様の処理を行う。

　以下では、gを位数が素数pである群Gの要素とし、Z_pを位数pの剰余環とし、x, y∈Z_pとする。

　鍵装置２₁の記憶部２０には、端末装置１₁の秘密鍵xが記憶されている。端末装置１₁の記憶部１０には、端末装置１₁の公開鍵g^xが記憶されている。同様に、鍵装置２₂の記憶部２０には、端末装置１₂の秘密鍵yが記憶されている。端末装置１₂の記憶部１０には、端末装置１₂の公開鍵g^yが記憶されている。

　ステップＳ１１において、端末装置１₂の公開鍵受信部１１は、端末装置１₂の公開鍵g^yを端末装置１₁へ送信する。端末装置１₁の公開鍵受信部１１は、公開鍵g^yを端末装置１₂より受信する。同様に、端末装置１₁の公開鍵受信部１１は、端末装置１₁の公開鍵g^xを端末装置１₂へ送信する。端末装置１₂の公開鍵受信部１１は、公開鍵g^xを端末装置１₁より受信する。

　ステップＳ１２において、端末装置１₁の乱数生成部１２は、乱数s₁, s₂, s'₁, s'₂, r₁, r₂を生成する。ここで、s₁, s₂は互いに素であり、s₁s'₁+s₂s'₂=1を満たすものとする。r₁, r₂は任意の数でよい。同様に、端末装置１₂の乱数生成部１２は、s₃, s₄, s'₃, s'₄, r₃, r₄を生成する。ここで、s₃, s₄は互いに素であり、s₃s'₃+s₄s'₄=1を満たすものとする。r₃, r₄は任意の数でよい。

　ステップＳ１３において、端末装置１₁の公開鍵乱数化部１３は、式（１）により、端末装置１₁の公開鍵g^xと端末装置１₂の公開鍵g^yとの組を、乱数s₁, r₁を用いて乱数化した値（以下、第一乱数化公開鍵情報と呼ぶ。）を算出する。また、式（２）により、端末装置１₁の公開鍵g^xと端末装置１₂の公開鍵g^yとの組を、乱数s₂, r₂を用いて乱数化した値（以下、第二乱数化公開鍵情報と呼ぶ。）を算出する。算出した第一乱数化公開鍵情報と第二乱数化公開鍵情報とのペアは、鍵装置２₁へ送信する。

　第一乱数化公開鍵情報は、具体的には以下のようにして計算することができる。g^xを-r₁乗してg^-r1xを計算する。g^yをs₁乗してg^s1yを計算する。gをr₁乗してg^r1を計算する。g^s1yとg^r1とを掛け合わせて、g^s1y+r1を計算する。第二乱数化公開鍵情報も同様にして計算することができる。

　同様に、端末装置１₂の公開鍵乱数化部１３は、式（３）により、端末装置１₁の公開鍵g^xと端末装置１₂の公開鍵g^yとの組を、乱数s₃, r₃を用いて乱数化した値（以下、第一乱数化公開鍵情報と呼ぶ。）を算出する。また、式（４）により、端末装置１₁の公開鍵g^xと端末装置１₂の公開鍵g^yとの組を、乱数s₄, r₄を用いて乱数化した値（以下、第二乱数化公開鍵情報と呼ぶ。）を算出する。算出した第一乱数化公開鍵情報と第二乱数化公開鍵情報とのペアは、鍵装置２₂へ送信する。

　ステップＳ２１において、鍵装置２₁の代理計算部２１は、式（５）により、秘密鍵xを用いて第一乱数化公開鍵情報から共有鍵の計算に必要な値Z₁（以下、第一委託結果と呼ぶ。）を算出する。また、式（６）により、秘密鍵xを用いて第二乱数化公開鍵情報から共有鍵の計算に必要な値Z₂（以下、第二委託結果と呼ぶ。）を算出する。算出した第一委託結果Z₁と第二委託結果Z₂とは、端末装置１₁へ送信する。

　第一委託結果Z₁は、具体的には以下のようにして計算することができる。g^s1y+r1をx乗してg^(s1y+r1)xを計算する。g^-r1xとg^(s1y+r1)xとを掛け合わせて、g^-r1xg^(s1y+r1)xを計算する。第二委託結果Z₂も同様にして計算することができる。

　同様に、鍵装置２₂の代理計算部２１は、式（７）により、秘密鍵yを用いて第一乱数化公開鍵情報から共有鍵の計算に必要な値Z₃（以下、第一委託結果と呼ぶ。）を算出する。また、式（８）により、秘密鍵yを用いて第二乱数化公開鍵情報から共有鍵の計算に必要な値Z₄（以下、第二委託結果と呼ぶ。）を算出する。算出した第一委託結果Z₃と第二委託結果Z₄とは、端末装置１₂へ送信する。

　ステップＳ１４において、端末装置１₁の検証部１４は、式（９）により、第一委託結果Z₁をs₂乗した値（以下、第一検証値と呼ぶ。）と第二委託結果Z₂をs₁乗した値（以下、第二検証値と呼ぶ。）とが一致するか否かを検証する。同様に、端末装置１₂の検証部１４は、式（10）により、第一委託結果Z₃をs₄乗した値（以下、第一検証値と呼ぶ。）と第二委託結果Z₄をs₃乗した値（以下、第二検証値と呼ぶ。）とが一致するか否かを検証する。第一検証値と第二検証値とが一致する場合には、ステップＳ１５へ処理を進める。第一検証値と第二検証値とが一致しない場合には、ステップＳ１２へ処理を戻す。

　ステップＳ１５において、端末装置１₁の共有鍵計算部１５は、式（11）により、乱数s'₁, s'₂を用いて第一委託結果Z₁および第二委託結果Z₂から共有鍵Kを算出する。同様に、端末装置１₂の共有鍵計算部１５は、式（12）により、乱数s'₃, s'₄を用いて第一委託結果Z₃および第二委託結果Z₄から共有鍵Kを算出する。

　本形態は、以下のように変形してもよい。ステップＳ１３において、端末装置１₁の公開鍵乱数化部１３が、第一乱数化公開鍵情報をg^s1y+r1のみとし、第二乱数化公開鍵情報をg^s2y+r2のみとして鍵装置２₁へ送信する。このとき、g^-r1xおよびg^-r2xを保持しておく。ステップＳ２１において、鍵装置２₁の代理計算部２１は、式（13）により、第一委託結果Z'₁および第二委託結果Z'₂を計算する。

　そして、ステップＳ１４において、端末装置１₁の検証部１４は、式（14）により、第一委託結果Z₁および第二委託結果Z₂を計算する。

［第二実施形態］
　第二実施形態は、自己訂正とデジタル署名を用いた認証鍵交換方式である。

　以下、図４を参照して、本形態の鍵交換方法の処理手続きを説明する。以下では、上述の第一実施形態との相違点を中心に説明する。

　本形態では、端末装置１₁の記憶部１０には、端末装置１₁の公開鍵g^x、端末装置１₁の署名鍵Sig_u1、端末装置１₂の検証鍵Ver_u2、および端末装置１₁のユーザ識別子u₁が記憶されている。鍵装置２₁の記憶部２０には、第一実施形態と同様に、端末装置１₁の秘密鍵xが記憶されている。同様に、端末装置１₂の記憶部１０には、端末装置１₂の公開鍵g^y、端末装置１₂の署名鍵Sig_u2、端末装置１₁の検証鍵Ver_u1、および端末装置１₂のユーザ識別子u₂が記憶されている。鍵装置２₂の記憶部２０には、第一実施形態と同様に、端末装置１₂の秘密鍵yが記憶されている。

　ステップＳ１１１において、端末装置１₂の公開鍵受信部１１は、ユーザ識別子u₂と公開鍵g^yの組(u₂, g^y)を端末装置１₁へ送信する。端末装置１₁の公開鍵受信部１１は、(u₂, g^y)を端末装置１₂より受信する。同様に、端末装置１₁の公開鍵受信部１１は、ユーザ識別子u₁と公開鍵g^xの組(u₁, g^x)を端末装置１₂へ送信する。端末装置１₂の公開鍵受信部１１は、(u₁, g^x)を端末装置１₁より受信する。

　ステップＳ１１２において、端末装置１₁の公開鍵受信部１１は、署名鍵Sig_u1を用いて、公開鍵g^xと公開鍵g^yとユーザ識別子u₁の組に対する署名Sig_u1(g^x, g^y, u₁)を生成し、(u₁, g^x, Sig_u1(g^x, g^y, u₁))を端末装置１₂へ送信する。端末装置１₂の公開鍵受信部１１は、端末装置１₁より(u₁, g^x, Sig_u1(g^x, g^y, u₁))を受信する。同様に、端末装置１₂の公開鍵受信部１１は、署名鍵Sig_u2を用いて、公開鍵g^xと公開鍵g^yとユーザ識別子u₂の組に対する署名Sig_u2(g^x, g^y, u₂)を生成し、(u₂, g^y, Sig_u2(g^x, g^y, u₂))を端末装置１₁へ送信する。端末装置１₁の公開鍵受信部１１は、端末装置１₂より(u₂, g^y, Sig_u2(g^x, g^y, u₂))を受信する。

　ステップＳ１１３において、端末装置１₁の公開鍵受信部１１は、検証鍵Ver_u2を用いて、署名Sig_u2(g^x, g^y, u₂)を検証する。同様に、端末装置１₂の公開鍵受信部１１は、検証鍵Ver_u1を用いて、署名Sig_u1(g^x, g^y, u₁)を検証する。署名Sig_u2(g^x, g^y, u₂)および署名Sig_u1(g^x, g^y, u₁)が正しければ、ステップＳ１２へ処理を進める。署名Sig_u2(g^x, g^y, u₂)もしくは署名Sig_u1(g^x, g^y, u₁)が不正であれば、処理を終了する。

　以降のステップＳ１２～Ｓ１５、Ｓ２１の処理は、第一実施形態と同様である。

［第三実施形態］
　第三実施形態は、自己訂正を用いたMQV鍵交換方式である。

　以下、図５を参照して、本形態の鍵交換方法の処理手続きを説明する。以下では、上述の第一実施形態との相違点を中心に説明する。

　本形態では、鍵装置２₁の記憶部２０には、端末装置１₁の固定秘密鍵a∈Z_pが記憶されている。端末装置１₁の記憶部１０には、端末装置１₁の固定公開鍵A=g^a、端末装置１₁の一時秘密鍵x∈Z_p、および端末装置１₁の一時公開鍵X=g^xが記憶されている。同様に、鍵装置２₂の記憶部２０には、端末装置１₂の固定秘密鍵b∈Z_pが記憶されている。端末装置１₂の記憶部１０には、端末装置１₂の固定公開鍵B=g^b、端末装置１₂の一時秘密鍵y∈Z_p、および端末装置１₂の一時公開鍵Y=g^yが記憶されている。

　ステップＳ１１１において、端末装置１₂の公開鍵受信部１１は、固定公開鍵Bと一時公開鍵Yの組(B, Y)を端末装置１₁へ送信する。端末装置１₁の公開鍵受信部１１は、(B, Y)を端末装置１₂より受信する。同様に、端末装置１₁の公開鍵受信部１１は、固定公開鍵Aと一時公開鍵Xの組(A, X)を端末装置１₂へ送信する。端末装置１₂の公開鍵受信部１１は、(A, X)を端末装置１₁より受信する。

　ステップＳ１１２において、端末装置１₁の公開鍵受信部１１は、値e={Y}_|p|および値d={X}_|p|を計算する。ここで、{・}_|p|は、・をビット表現した際の上位pビットを意味する。同様に、端末装置１₂の公開鍵受信部１１は、値e={Y}_|p|および値d={X}_|p|を計算する。

　ステップＳ１３において、端末装置１₁の公開鍵乱数化部１３は、式（15）により、第一乱数化公開鍵情報を算出する。また、式（16）により、第二乱数化公開鍵情報を算出する。算出した第一乱数化公開鍵情報と第二乱数化公開鍵情報とのペアは、鍵装置２₁へ送信する。

　第一乱数化公開鍵情報は、具体的には以下のようにして計算することができる。g^aを-r₁乗してg^-r1aを計算する。g^bをe乗してg^beを計算し、g^yと掛け合わせてg^y+beを計算する。g^y+beをs₁乗してg^(y+be)s1を計算する。gをr₁乗してg^r1を計算し、g^(y+be)s1とg^r1とを掛け合わせて、g^(y+be)s1+r1を計算する。第二乱数化公開鍵情報も同様にして計算することができる。

　同様に、端末装置１₂の公開鍵乱数化部１３は、式（17）により、第一乱数化公開鍵情報を算出する。また、式（18）により、第二乱数化公開鍵情報を算出する。算出した第一乱数化公開鍵情報と第二乱数化公開鍵情報とのペアは、鍵装置２₂へ送信する。

　ステップＳ２１において、鍵装置２₁の代理計算部２１は、式（19）により、第一委託結果Z₁を算出する。また、式（20）により、第二委託結果Z₂を算出する。算出した第一委託結果Z₁と第二委託結果Z₂とは、端末装置１₁へ送信する。

　同様に、鍵装置２₂の代理計算部２１は、式（21）により、第一委託結果Z₃を算出する。また、式（22）により、第二委託結果Z₄を算出する。算出した第一委託結果Z₃と第二委託結果Z₄とは、端末装置１₂へ送信する。

　ステップＳ１５１において、端末装置１₁の共有鍵計算部１５は、式（23）により、乱数s'₁, s'₂を用いて、第一委託結果Z₁および第二委託結果Z₂から値YB^eaを計算する。同様に、端末装置１₂の共有鍵計算部１５は、式（24）により、乱数s'₃, s'₄を用いて、第一委託結果Z₃および第二委託結果Z₄から値XA^dbを計算する。

　ステップＳ１５１において、端末装置１₁の共有鍵計算部１５は、式（25）により、共有鍵Kを算出する。なお、KDFは鍵導出関数（Key Derivation Function）であり、入力値を乱数に変換する関数である。同様に、端末装置１₂の共有鍵計算部１５は、式（26）により、共有鍵Kを算出する。

　(YB^e)^x+adは、具体的には以下のようにして計算することができる。YB^eをx乗してYB^exを計算する。YB^eaをd乗してYB^eadを計算する。YB^exとYB^eadとを掛け合わせて、(YB^e)^x+adを計算する。(XA^d)^y+beも同様にして計算することができる。

　本形態は、以下のように変形してもよい。ステップＳ１３において、端末装置１₁の公開鍵乱数化部１３は、第一乱数化公開鍵情報をg^(y+be)s1+r1のみとし、第二乱数化公開鍵情報をg^(y+be)s2+r2のみとして鍵装置２₁へ送信する。このとき、g^-r1aおよびg^-r2aを保持しておく。ステップＳ２１において、鍵装置２₁の代理計算部２１は、式（27）により、第一委託結果Z₁’および第二委託結果Z₂’を計算する。

　そして、ステップＳ１４において、端末装置１₁の検証部１４は、式（28）により、第一委託結果Z₁および第二委託結果Z₂を計算する。

［第四実施形態］
　第四実施形態は、自己訂正を用いたHMQV鍵交換方式である。

　以下、図６を参照して、本形態の鍵交換方法の処理手続きを説明する。以下では、上述の第三実施形態との相違点を中心に説明する。

　ステップＳ１１２において、端末装置１₁の公開鍵受信部１１は、値e=H(Y, X)および値d=H(X, B)を計算する。ここで、H(・)は暗号学的ハッシュ関数である。暗号学的ハッシュ関数の例は、SHA-1, SHA-2などが挙げられる。同様に、端末装置１₂の公開鍵受信部１１は、値e=H(Y, X)および値d=H(X, B)を計算する。

　本形態は、値e, dをハッシュ関数により求める点のみが第三実施形態と異なり、その他の処理は第三実施形態と同様である。

［第五実施形態］
　第五実施形態は、自己訂正を用いたid-id AKE法である。本形態は、特に、鍵装置が秘密鍵を持ち、端末装置が短期秘密鍵を生成する構成である。

　本形態の鍵交換システムは、例えば、図７に示すように、端末装置１₁, １₂と鍵装置２₁, ２₂とに加えて、鍵生成装置３を含む。

　以下では、кをセキュリティパラメータとし、G₁, G₂, G_Tを位数がкビット長の素数qの巡回群とし、g₁, g₂, g_Tをそれぞれ群G₁, G₂, G_Tの生成元とする。e: G₁×G₂→G_Tをペアリングとする。ここで、g_T=e(g₁, g₂)を満足するものとする。H: {0, 1}^*→{0, 1}^к, H₁: {0, 1}^*→G₁, H₂: {0, 1}^*→G₂をそれぞれ暗号学的ハッシュ関数とする。

　2以上の自然数mに対して、m個の多項式p_i∈Z_q[u₀, u₁, v₀, v₁](i=1,…,m)を式（29）のように与える。なお、c_i,0,0, c_i,0,1, c_i,1,0, c_i,1,1は定数であってもよいし、短期公開鍵、公開鍵、ユーザID等に依存して決まる数でもよい。

　以下、図８を参照して、本形態の鍵交換方法の処理手続きを説明する。

　本形態では、以下のようにして鍵生成を行う。鍵生成装置３は、マスタ秘密鍵z∈Z_qをランダムに選択し、マスタ公開鍵のペア(Z₁=g₁ ^z∈G₁, Z₂=g₂ ^z∈G₂)を計算し公開する。端末装置１₁は、識別子ID_Aを用いて、公開鍵のペア(Q_A,1=H₁(ID_A)∈G₁, Q_A,2=H₂(ID_A)∈G₂)を計算し公開する。同様に、端末装置１₂は、識別子ID_Bを用いて、公開鍵のペア(Q_B,1=H₁(ID_B)∈G₁, Q_B,2=H₂(ID_B)∈G₂)を計算し公開する。鍵生成装置３は、公開鍵の二つのペア(Q_A,1, Q_A,2), (Q_B,1, Q_B,2)を用いて、秘密鍵の二つのペア(D_A,1=Q_A,1 ^z, D_A,2=Q_A,2 ^z), (D_B,1=Q_B,1 ^z, D_B,2=Q_B,2 ^z)を計算し、鍵装置２₁へ秘密鍵のペア(D_A,1, D_A,2)を、鍵装置２₂へ秘密鍵のペア(D_B,1, D_B,2)を配布する。端末装置１₁は、短期秘密鍵z_A∈Z_qをランダムに選び、短期公開鍵のペア(X_A,1=g₁ ^xA, X_A,2=g₂ ^xA)を生成する。同様に、端末装置１₂は、短期秘密鍵z_B∈Z_qをランダムに選び、短期公開鍵のペア(X_B,1=g₁ ^xB, X_B,2=g₂ ^xB)を生成する。

　ステップＳ１１１において、端末装置１₁の公開鍵受信部１１は、識別子と短期公開鍵からなる情報（ID_A, ID_B, X_A,1, X_A,2）を端末装置１₂へ送信する。端末装置１₂の公開鍵受信部１１は、情報（ID_A, ID_B, X_A,1, X_A,2）を端末装置１₁から受信する。同様に、端末装置１₂の公開鍵受信部１１は、識別子と短期公開鍵からなる情報（ID_A, ID_B, X_B,1, X_B,2）を端末装置１₁へ送信する。端末装置１₁の公開鍵受信部１１は、情報（ID_A, ID_B, X_B,1, X_B,2）を端末装置１₂から受信する。

　ステップＳ１１２において、端末装置１₁の公開鍵受信部１１は、式（30）が成り立つか否かを確認する。同様に、端末装置１₂の公開鍵受信部１１は、式（31）が成り立つか否かを確認する。いずれか一方でも正しくなければ、鍵生成からやり直す。

　本形態では、ステップＳ１２１、Ｓ１２２、Ｓ１３、Ｓ２１、Ｓ１４、Ｓ１５１の処理をm回繰り返し実行する。以下では、i（=1,…,m）回目の繰り返しにおける処理手続きを説明するものとする。

　ステップＳ１２１において、端末装置１₁の乱数生成部１２は、式（32）を計算する。同様に、端末装置１₂の乱数生成部１２は、式（33）を計算する。

　ステップＳ１２２において、端末装置１₁の乱数生成部１２は、乱数s_i1, s_i2, s'_i1, s'_i2, r_i1, r_i2を生成する。ここで、s_i1, s_i2は互いに素であり、s_i1s'_i1+s_i2s'_i2=1を満たすものとする。r_i1, r_i2は任意の非零整数とする。同様に、端末装置１₂の乱数生成部１２は、t_i1, t_i2, t'_i1, t'_i2, l_i1, l_i2を生成する。ここで、t_i1, t_i2は互いに素であり、t_i1t'_i1+t_i2t'_i2=1を満たすものとする。l_i1, l_i2は任意の非零整数とする。

　ステップＳ１３において、端末装置１₁の公開鍵乱数化部１３は、式（34）により、端末装置１₂の公開鍵Q_B,2と短期公開鍵X_B,2とを、乱数s_i1, r_i1を用いて乱数化した値（以下、第一乱数化公開鍵情報と呼ぶ。）を算出する。また、式（35）により、端末装置１₂の公開鍵Q_B,2と短期公開鍵X_B,2とを、乱数s_i2, r_i2を用いて乱数化した値（以下、第二乱数化公開鍵情報と呼ぶ。）を算出する。算出した第一乱数化公開鍵情報と第二乱数化公開鍵情報とのペアは、鍵装置２₁へ送信する。

　同様に、端末装置１₂の公開鍵乱数化部１３は、式（36）により、端末装置１₁の公開鍵Q_A,1と短期公開鍵X_A,1とを、乱数t_i1, l_i1を用いて乱数化した値（以下、第一乱数化公開鍵情報と呼ぶ。）を算出する。また、式（37）により、端末装置１₁の公開鍵Q_A,1と短期公開鍵X_A,1とを、乱数t_i2, l_i2を用いて乱数化した値（以下、第二乱数化公開鍵情報と呼ぶ。）を算出する。算出した第一乱数化公開鍵情報と第二乱数化公開鍵情報とのペアは、鍵装置２₂へ送信する。

　ステップＳ２１において、鍵装置２₁の代理計算部２１は、式（38）により、秘密鍵D_A,1を用いて第一乱数化公開鍵情報から共有鍵の計算に必要な値ζ_A,i1（以下、第一委託結果と呼ぶ。）を算出する。また、式（39）により、秘密鍵D_A,2を用いて第二乱数化公開鍵情報から共有鍵の計算に必要な値ζ_A,i2（以下、第二委託結果と呼ぶ。）を算出する。算出した第一委託結果ζ_A,i1と第二委託結果ζ_A,i2とは、端末装置１₁へ送信する。

　同様に、鍵装置２₂の代理計算部２１は、式（40）により、秘密鍵D_B,2を用いて第一乱数化公開鍵情報から共有鍵の計算に必要な値ζ_B,i1（以下、第一委託結果と呼ぶ。）を算出する。また、式（41）により、秘密鍵D_B,2を用いて第二乱数化公開鍵情報から共有鍵の計算に必要な値ζ_B,i2（以下、第二委託結果と呼ぶ。）を算出する。算出した第一委託結果ζ_B,i1と第二委託結果ζ_B,i2とは、端末装置１₂へ送信する。

　ステップＳ１４において、端末装置１₁の検証部１４は、式（42）により、第一委託結果ζ_A,i1をs_i2乗した値（以下、第一検証値と呼ぶ。）と第二委託結果ζ_A,i2をs_i1乗した値（以下、第二検証値と呼ぶ。）とが一致するか否かを検証する。同様に、端末装置１₂の検証部１４は、式（43）により、第一委託結果ζ_B,i1をt_i2乗した値（以下、第一検証値と呼ぶ。）と第二委託結果ζ_B,i2をt_i1乗した値（以下、第二検証値と呼ぶ。）とが一致するか否かを検証する。第一検証値と第二検証値とが一致する場合には、ステップＳ１５１へ処理を進める。第一検証値と第二検証値とが一致しない場合には、ステップＳ１２２へ処理を戻す。

　ステップＳ１５１において、端末装置１₁の共有鍵計算部１５は、式（44）により、乱数s'_i1, s'_i2を用いて第一委託結果ζ_A,i1および第二委託結果ζ_A,i2から委託結果ζ_A,iを算出する。同様に、端末装置１₂の共有鍵計算部１５は、式（45）により、乱数t'_i1, t'_i2を用いて第一委託結果ζ_B,i1および第二委託結果ζ_B,i2から委託結果ζ_B,iを算出する。

　ステップＳ１５２において、端末装置１₁の共有鍵計算部１５は、i=1,…,mについて、式（46）により、値σ_iを計算して、値σ₁,…,σ_mを生成する。同様に、端末装置１₂の共有鍵計算部１５は、i=1,…,mについて、式（47）により、値σ_iを計算して、値σ₁,…,σ_mを生成する。

　ステップＳ１５３において、端末装置１₁の共有鍵計算部１５は、式（48）により、値σ_m+1, σ_m+2を計算する。同様に、端末装置１₂の共有鍵計算部１５は、式（49）により、値σ_m+1, σ_m+2を計算する。

　ステップＳ１５４において、端末装置１₁および端末装置１₂の共有鍵計算部１５は、式（50）により、値σ₁,…,σ_m+2を用いて、共有鍵Kを算出する。

　端末装置１₁および端末装置１₂の共有鍵計算部１５が計算した値σ₁,…,σ_m+2はいずれも、i=1,…,mとして、式（51）のように表すことができる。したがって、端末装置１₁の計算した共有鍵Kと端末装置１₂の計算した共有鍵Kとは一致する。

［変形例５－１］
　変形例５－１は、第五実施形態の自己訂正を用いたid-id AKE法の変形例である。本変形例は、特に、鍵装置が秘密鍵を持ち、鍵装置が短期秘密鍵を生成する構成において、鍵装置に群G_Tのべき乗の計算を委託する構成である。

　以下、本変形例の鍵交換方法の処理手続きを説明する。以下では、上述の第五実施形態との相違点を中心に説明する。

　本変形例では、以下のようにして鍵生成を行う。鍵生成装置３は、マスタ秘密鍵z∈Z_qをランダムに選択し、マスタ公開鍵のペア(Z₁=g₁ ^z∈G₁, Z₂=g₂ ^z∈G₂)を計算し公開する。端末装置１₁は、識別子ID_Aを用いて、公開鍵のペア(Q_A,1=H₁(ID_A)∈G₁, Q_A,2=H₂(ID_A)∈G₂)を計算し公開する。同様に、端末装置１₂は、識別子ID_Bを用いて、公開鍵のペア(Q_B,1=H₁(ID_B)∈G₁, Q_B,2=H₂(ID_B)∈G₂)を計算し公開する。鍵生成装置３は、公開鍵の二つのペア(Q_A,1, Q_A,2), (Q_B,1, Q_B,2)を用いて、秘密鍵の二つのペア(D_A,1=Q_A,1 ^z, D_A,2=Q_A,2 ^z), (D_B,1=Q_B,1 ^z, D_B,2=Q_B,2 ^z)を計算し、鍵装置２₁へ秘密鍵のペア(D_A,1, D_A,2)を、鍵装置２₂へ秘密鍵のペア(D_B,1, D_B,2)を配布する。鍵装置２₁は、短期秘密鍵z_A∈Z_qをランダムに選び、短期公開鍵のペア(X_A,1=g₁ ^xA, X_A,2=g₂ ^xA)を生成し、端末装置１₁へ送信する。同様に、鍵装置２₂は、短期秘密鍵z_B∈Z_qをランダムに選び、短期公開鍵のペア(X_B,1=g₁ ^xB, X_B,2=g₂ ^xB)を生成し、端末装置１₂へ送信する。

　本変形例では、ステップＳ１２１、Ｓ１２２、Ｓ１３、Ｓ２１、Ｓ１４、Ｓ１５１の処理をm回繰り返し実行した後、以下のステップＳ１２１ｂ、Ｓ１２２ｂ、Ｓ１３ｂ、Ｓ２１ｂ、Ｓ１４ｂ、Ｓ１５１ｂ（図示せず）の処理をm+2回繰り返し実行する。以下では、i（=1,…,m+2）回目の繰り返しにおける処理手続きを説明する。

　ステップＳ１２１ｂにおいて、端末装置１₁の乱数生成部１２は、式（52）を計算する。同様に、端末装置１₂の乱数生成部１２は、式（53）を計算する。

　ステップＳ１２２ｂにおいて、端末装置１₁の乱数生成部１２は、乱数s_i21, s_i22, s'_i21, s'_i22, r_i21, r_i22を生成する。ここで、s_i21, s_i22は互いに素であり、s_i21s'_i21+s_i22s'_i22=1を満たすものとする。r_i21, r_i22は任意の非零整数とする。同様に、端末装置１₂の乱数生成部１２は、乱数t_i21, t_i22, t'_i21, t'_i22, l_i21, l_i22を生成する。ここで、t_i21, t_i22は互いに素であり、t_i21t'_i21+t_i22t'_i22=1を満たすものとする。l_i21, l_i22は任意の非零整数とする。

　ステップＳ１３ｂにおいて、端末装置１₁の公開鍵乱数化部１３は、式（54）により、端末装置１₂の公開鍵Q_B,2と短期公開鍵X_B,2とを、乱数s_i21, r_i21を用いて乱数化した値（以下、第一乱数化公開鍵情報と呼ぶ。）を算出する。また、式（55）により、端末装置１₂の公開鍵Q_B,2と短期公開鍵X_B,2とを、乱数s_i22, r_i22を用いて乱数化した値（以下、第二乱数化公開鍵情報と呼ぶ。）を算出する。算出した第一乱数化公開鍵情報と第二乱数化公開鍵情報とのペアは、鍵装置２₁へ送信する。

　同様に、端末装置１₂の公開鍵乱数化部１３は、式（56）により、端末装置１₁の公開鍵Q_A,1と短期公開鍵X_A,1とを、乱数t_i21, l_i21を用いて乱数化した値（以下、第一乱数化公開鍵情報と呼ぶ。）を算出する。また、式（57）により、端末装置１₁の公開鍵Q_A,1と短期公開鍵X_A,1とを、乱数t_i22, l_i22を用いて乱数化した値（以下、第二乱数化公開鍵情報と呼ぶ。）を算出する。算出した第一乱数化公開鍵情報と第二乱数化公開鍵情報とのペアは、鍵装置２₂へ送信する。

　ステップＳ２１ｂにおいて、鍵装置２₁の代理計算部２１は、式（58）により、短期秘密鍵x_Aを用いて第一乱数化公開鍵情報から共有鍵の計算に必要な値ξ_A,i1（以下、第一委託結果と呼ぶ。）を算出する。また、式（59）により、短期秘密鍵x_Aを用いて第二乱数化公開鍵情報から共有鍵の計算に必要な値ξ_A,i2（以下、第二委託結果と呼ぶ。）を算出する。算出した第一委託結果ζ_A,i1と第二委託結果ζ_A,i2とは、端末装置１₁へ送信する。

　同様に、鍵装置２₂の代理計算部２１は、式（60）により、短期秘密鍵x_Bを用いて第一乱数化公開鍵情報から共有鍵の計算に必要な値ξ_B,i1（以下、第一委託結果と呼ぶ。）を算出する。また、式（61）により、短期秘密鍵x_Bを用いて第二乱数化公開鍵情報から共有鍵の計算に必要な値ξ_B,i2（以下、第二委託結果と呼ぶ。）を算出する。算出した第一委託結果ζ_B,i1と第二委託結果ζ_B,i2とは、端末装置１₂へ送信する。

　ステップＳ１４ｂにおいて、端末装置１₁の検証部１４は、式（62）により、第一委託結果ξ_A,i1をs_i22乗した値（以下、第一検証値と呼ぶ。）と第二委託結果ξ_A,i2をs_i21乗した値（以下、第二検証値と呼ぶ。）とが一致するか否かを検証する。同様に、端末装置１₂の検証部１４は、式（63）により、第一委託結果ξ_B,i1をt_i22乗した値（以下、第一検証値と呼ぶ。）と第二委託結果ξ_B,i2をt_i21乗した値（以下、第二検証値と呼ぶ。）とが一致するか否かを検証する。第一検証値と第二検証値とが一致する場合には、ステップＳ１５１ｂへ処理を進める。第一検証値と第二検証値とが一致しない場合には、ステップＳ１２２ｂへ処理を戻す。

　ステップＳ１５１ｂにおいて、端末装置１₁の共有鍵計算部１５は、式（64）により、乱数s'_i21, s'_i22を用いて第一委託結果ξ_A,i1および第二委託結果ξ_A,i2から委託結果ξ_A,iを算出する。同様に、端末装置１₂の共有鍵計算部１５は、式（65）により、乱数t'_i21, t'_i22を用いて第一委託結果ξ_B,i1および第二委託結果ξ_B,i2から委託結果ξ_B,iを算出する。

　ステップＳ１５２において、端末装置１₁の共有鍵計算部１５は、i=1,…,mについて、式（66）により、値σ_iを計算して、値σ₁,…,σ_mを生成する。同様に、端末装置１₂の共有鍵計算部１５は、i=1,…,mについて、式（67）により、値σ_iを計算して、値σ₁,…,σ_mを生成する。

　ステップＳ１５３において、端末装置１₁の共有鍵計算部１５は、式（68）により、値σ_m+1, σ_m+2を計算する。同様に、端末装置１₂の共有鍵計算部１５は、式（69）により、値σ_m+1, σ_m+2を計算する。

　ステップＳ１５４において、端末装置１₁の共有鍵計算部１５および端末装置１₂の共有鍵計算部１５は、式（70）により、値σ₁,…,σ_m+2を用いて、共有鍵Kを算出する。

［変形例５－２］
　変形例５－２は、第五実施形態の自己訂正を用いたid-id AKE法の変形例である。本変形例は、特に、鍵装置が秘密鍵を持ち、鍵装置が短期秘密鍵を生成する構成において、鍵装置に群G_Tのペアリングの計算を委託する構成である。

　本変形例では、変形例５－１と同様にして鍵生成を行う。

　本変形例では、ステップＳ１２１、Ｓ１２２、Ｓ１３、Ｓ２１、Ｓ１４、Ｓ１５１の処理をm回繰り返し実行した後、以下のステップＳ１２１ｃ、Ｓ１２２ｃ、Ｓ１３ｃ、Ｓ２１ｃ、Ｓ１４ｃ、Ｓ１５１ｃ（図示せず）の処理をm回繰り返し実行する。以下では、i（=1,…,m）回目の繰り返しにおける処理手続きを説明する。その後、上述のステップＳ１２１ｂ、Ｓ１２２ｂ、Ｓ１３ｂ、Ｓ２１ｂ、Ｓ１４ｂ、Ｓ１５１ｂの処理をi=m+1, m+2について実行する。

　ステップＳ１２１ｃにおいて、端末装置１₁の乱数生成部１２は、式（71）を計算する。同様に、端末装置１₂の乱数生成部１２は、式（72）を計算する。

　ステップＳ１２２ｃにおいて、端末装置１₁の乱数生成部１２は、乱数s_i31, s_i32, s'_i31, s'_i32, r_i31, r_i32を生成する。ここで、s_i31, s_i32は互いに素であり、s_i31s'_i31+s_i32s'_i32=1を満たすものとする。r_i31, r_i32は任意の非零整数とする。同様に、端末装置１₂の乱数生成部１２は、乱数t_i31, t_i32, t'_i31, t'_i32, l_i31, l_i32を生成する。ここで、t_i31, t_i32は互いに素であり、t_i31t'_i31+t_i32t'_i32=1を満たすものとする。l_i31, l_i32は任意の非零整数とする。

　ステップＳ１３ｃにおいて、端末装置１₁の公開鍵乱数化部１３は、式（73）により、端末装置１₂の公開鍵Q_B,2と短期公開鍵X_B,2とを、乱数s_i31, r_i31を用いて乱数化した値（以下、第一乱数化公開鍵情報と呼ぶ。）を算出する。また、式（74）により、端末装置１₂の公開鍵Q_B,2と短期公開鍵X_B,2とを、乱数s_i32, r_i32を用いて乱数化した値（以下、第二乱数化公開鍵情報と呼ぶ。）を算出する。算出した第一乱数化公開鍵情報と第二乱数化公開鍵情報とのペアは、鍵装置２₁へ送信する。

　同様に、端末装置１₂の公開鍵乱数化部１３は、式（75）により、端末装置１₁の公開鍵Q_A,1と短期公開鍵X_A,1とを、乱数t_i31, l_i31を用いて乱数化した値（以下、第一乱数化公開鍵情報と呼ぶ。）を算出する。また、式（76）により、端末装置１₁の公開鍵Q_A,1と短期公開鍵X_A,1とを、乱数t_i32, l_i32を用いて乱数化した値（以下、第二乱数化公開鍵情報と呼ぶ。）を算出する。算出した第一乱数化公開鍵情報と第二乱数化公開鍵情報とのペアは、鍵装置２₂へ送信する。

　ステップＳ２１ｃにおいて、鍵装置２₁の代理計算部２１は、式（77）により、短期秘密鍵x_Aを用いて第一乱数化公開鍵情報から共有鍵の計算に必要な値ξ_A,i1（以下、第一委託結果と呼ぶ。）を算出する。また、式（78）により、短期秘密鍵x_Aを用いて第二乱数化公開鍵情報から共有鍵の計算に必要な値ξ_A,i2（以下、第二委託結果と呼ぶ。）を算出する。算出した第一委託結果ζ_A,i1と第二委託結果ζ_A,i2とは、端末装置１₁へ送信する。

　同様に、鍵装置２₂の代理計算部２１は、式（79）により、短期秘密鍵x_Bを用いて第一乱数化公開鍵情報から共有鍵の計算に必要な値ξ_B,i1（以下、第一委託結果と呼ぶ。）を算出する。また、式（80）により、短期秘密鍵x_Bを用いて第二乱数化公開鍵情報から共有鍵の計算に必要な値ξ_B,i2（以下、第二委託結果と呼ぶ。）を算出する。算出した第一委託結果ζ_B,i1と第二委託結果ζ_B,i2とは、端末装置１₂へ送信する。

　ステップＳ１４ｃにおいて、端末装置１₁の検証部１４は、式（81）により、第一委託結果ξ_A,i1をs_i32乗した値（以下、第一検証値と呼ぶ。）と第二委託結果ξ_A,i2をs_i31乗した値（以下、第二検証値と呼ぶ。）とが一致するか否かを検証する。同様に、端末装置１₂の検証部１４は、式（82）により、第一委託結果ξ_B,i1をt_i32乗した値（以下、第一検証値と呼ぶ。）と、第二委託結果ξ_B,i2をt_i31乗した値（以下、第二検証値と呼ぶ。）とが一致するか否かを検証する。第一検証値と第二検証値とが一致する場合には、ステップＳ１５１ｃへ処理を進める。第一検証値と第二検証値とが一致しない場合には、ステップＳ１２２ｃへ処理を戻す。

　ステップＳ１５１ｃにおいて、端末装置１₁の共有鍵計算部１５は、式（83）により、乱数s'_i31, s'_i32を用いて第一委託結果ξ_A,i1および第二委託結果ξ_A,i2から委託結果ξ_A,iを算出する。同様に、端末装置１₂の共有鍵計算部１５は、式（84）により、乱数t'_i21, t'_i22を用いて第一委託結果ξ_B,i1および第二委託結果ξ_B,i2から委託結果ξ_B,iを算出する。

［第六実施形態］
　第六実施形態は、自己訂正を用いたcert-cert AKE法である。本形態は、特に、鍵装置が秘密鍵を持ち、端末装置が短期秘密鍵を生成する構成である。

　本形態の鍵交換システムは、例えば、図９に示すように、端末装置１₁, １₂と鍵装置２₁, ２₂とに加えて、認証局装置４を含む。

　以下、図１０を参照して、本形態の鍵交換方法の処理手続きを説明する。以下では、上述の第五実施形態との相違点を中心に説明する。

　本形態では、以下のようにして鍵生成を行う。鍵装置１₁は、秘密鍵s_A∈Z_qをランダムに選択し、公開鍵S_A=g^sA∈Gを計算し、端末装置１₁へ送信する。同様に、鍵装置１₂は、秘密鍵s_B∈Z_qをランダムに選択し、公開鍵S_B=g^sB∈Gを計算し、端末装置１₂へ送信する。認証局装置４は、端末装置１₁の公開鍵S_Aおよび端末装置１₂の公開鍵S_Bを認証する。端末装置１₁は、短期秘密鍵x_A∈Z_qをランダムに選択し、短期公開鍵X_A=g^xA∈Gを計算する。同様に、端末装置１₂は、短期秘密鍵x_B∈Z_qをランダムに選択し、短期公開鍵X_B=g^xB∈Gを計算する。

　ステップＳ１１において、端末装置１₁の公開鍵受信部１１は、公開鍵と短期公開鍵からなる情報（S_A, X_A）を端末装置１₂へ送信する。端末装置１₂の公開鍵受信部１１は、情報（S_A, X_A）を端末装置１₁から受信する。同様に、端末装置１₂の公開鍵受信部１１は、公開鍵と短期公開鍵からなる情報（S_B, X_B）を端末装置１₁へ送信する。端末装置１₁の公開鍵受信部１１は、情報（S_B, X_B）を端末装置１₂から受信する。

　本形態では、ステップＳ１２、Ｓ１３、Ｓ２１、Ｓ１４、Ｓ１５１の処理をm回繰り返し実行する。以下では、i（=1,…,m）回目の繰り返しにおける処理手続きを説明するものとする。

　ステップＳ１２において、端末装置１₁の乱数生成部１２は、乱数s_i1, s_i2, s'_i1, s'_i2∈Zおよび群要素g₁, g₂∈Gを生成する。ここで、s_i1, s_i2は互いに素であり、s_i1s'_i1+s_i2s'_i2=1を満たすものとする。g₁, g₂は群Gの単位元ではない元とする。同様に、端末装置１₂の乱数生成部１２は、乱数t_i1, t_i2, t'_i1, t'_i2∈Zおよび群要素g₃, g₄∈Gを生成する。ここで、t_i1, t_i2は互いに素であり、t_i1t'_i1+t_i2t'_i2=1を満たすものとする。g₃, g₄は群Gの単位元ではない元とする。

　ステップＳ１３において、端末装置１₁の公開鍵乱数化部１３は、式（85）により、端末装置１₂の公開鍵S_Bと短期公開鍵X_Bとを、乱数s_i1を用いて乱数化した値（以下、第一乱数化公開鍵情報と呼ぶ。）を算出する。また、式（86）により、端末装置１₂の公開鍵S_Bと短期公開鍵X_Bとを、乱数s_i2を用いて乱数化した値（以下、第二乱数化公開鍵情報と呼ぶ。）を算出する。算出した第一乱数化公開鍵情報と第二乱数化公開鍵情報とのペアは、鍵装置２₁へ送信する。

　同様に、端末装置１₂の公開鍵乱数化部１３は、式（87）により、端末装置１₁の公開鍵S_Aと短期公開鍵X_Aとを、乱数t_i1を用いて乱数化した値（以下、第一乱数化公開鍵情報と呼ぶ。）を算出する。また、式（88）により、端末装置１₁の公開鍵S_Aと短期公開鍵X_Aとを、乱数t_i2を用いて乱数化した値（以下、第二乱数化公開鍵情報と呼ぶ。）を算出する。算出した第一乱数化公開鍵情報と第二乱数化公開鍵情報とのペアは、鍵装置２₂へ送信する。

　ステップＳ２１において、鍵装置２₁の代理計算部２１は、式（89）により、準同型写像F_A: G→G, h→h^xAについて、共有鍵の計算に必要な値ζ_A,i1（以下、第一委託結果と呼ぶ。）を算出する。また、式（90）により、共有鍵の計算に必要な値ζ_A,i2（以下、第二委託結果と呼ぶ。）を算出する。算出した第一委託結果ζ_A,i1と第二委託結果ζ_A,i2とは、端末装置１₁へ送信する。

　同様に、鍵装置２₂の代理計算部２１は、式（91）により、準同型写像F_B: G→G, h→h^xBについて、共有鍵の計算に必要な値ζ_B,i1（以下、第一委託結果と呼ぶ。）を算出する。また、式（92）により、共有鍵の計算に必要な値ζ_B,i2（以下、第二委託結果と呼ぶ。）を算出する。算出した第一委託結果ζ_B,i1と第二委託結果ζ_B,i2とは、端末装置１₂へ送信する。

　ステップＳ１４において、端末装置１₁の検証部１４は、式（93）により、第一委託結果ζ_A,i1をs_i2乗した値（以下、第一検証値と呼ぶ。）と、第二委託結果ζ_A,i2をs_i1乗した値（以下、第二検証値と呼ぶ。）とが一致するか否かを検証する。同様に、端末装置１₂の検証部１４は、式（94）により、第一委託結果ζ_B,i1をt_i2乗した値（以下、第一検証値と呼ぶ。）と、第二委託結果ζ_B,i2をt_i1乗した値（以下、第二検証値と呼ぶ。）とが一致するか否かを検証する。第一検証値と第二検証値とが一致する場合には、ステップＳ１５１へ処理を進める。第一検証値と第二検証値とが一致しない場合には、ステップＳ１２へ処理を戻す。

　ステップＳ１５１において、端末装置１₁の共有鍵計算部１５は、式（95）により、乱数s'_i1, s'_i2を用いて第一委託結果ζ_A,i1および第二委託結果ζ_A,i2から委託結果ζ_A,iを算出する。同様に、端末装置１₂の共有鍵計算部１５は、式（96）により、乱数t'_i1, t'_i2を用いて第一委託結果ζ_B,i1および第二委託結果ζ_B,i2から委託結果ζ_B,iを算出する。

　ステップＳ１５２において、端末装置１₁の共有鍵計算部１５は、i=1,…,mについて、式（97）により、値σ_iを計算して、値σ₁,…,σ_mを生成する。同様に、端末装置１₂の共有鍵計算部１５は、i=1,…,mについて、式（98）により、値σ_iを計算して、値σ₁,…,σ_mを生成する。

　ステップＳ１５４において、端末装置１₁および端末装置１₂の共有鍵計算部１５は、式（99）により、値σ₁,…,σ_mを用いて、共有鍵Kを算出する。

　端末装置１₁および端末装置１₂の共有鍵計算部１５が計算した値σ₁,…,σ_mはいずれも、i=1,…,mとして、式（100）のように表すことができる。したがって、端末装置１₁の計算した共有鍵Kと端末装置１₂の計算した共有鍵Kとは一致する。

［変形例６］
　変形例６は、第六実施形態の自己訂正を用いたcert-cert AKE法の変形例である。本変形例は、特に、鍵装置が秘密鍵を持ち、鍵装置が短期秘密鍵を生成する構成において、鍵装置に群G_Tのべき乗の計算を委託する構成である。

　以下、本変形例の鍵交換方法の処理手続きを説明する。以下では、上述の第六実施形態との相違点を中心に説明する。

　本変形例では、以下のようにして鍵生成を行う。鍵装置１₁は、秘密鍵s_A∈Z_qをランダムに選択し、公開鍵S_A=g^sA∈Gを計算し、端末装置１₁へ送信する。同様に、鍵装置１₂は、秘密鍵s_B∈Z_qをランダムに選択し、公開鍵S_B=g^sB∈Gを計算し、端末装置１₂へ送信する。認証局装置４は、端末装置１₁の公開鍵S_Aおよび端末装置１₂の公開鍵S_Bを認証する。鍵装置２₁は、短期秘密鍵x_A∈Z_qをランダムに選択し、短期公開鍵X_A=g^xA∈Gを計算し、端末装置１₁へ送信する。同様に、鍵装置２₂は、短期秘密鍵x_B∈Z_qをランダムに選択し、短期公開鍵X_B=g^xB∈Gを計算し、端末装置１₂へ送信する。

　本変形例では、ステップＳ１２、Ｓ１３、Ｓ２１、Ｓ１４、Ｓ１５１の処理をm回繰り返し実行した後、以下のステップＳ１２ｂ、Ｓ１３ｂ、Ｓ２１ｂ、Ｓ１４ｂ、Ｓ１５１ｂ（図示せず）の処理をm回繰り返し実行する。以下では、i（=1,…,m）回目の繰り返しにおける処理手続きを説明する。

　ステップＳ１２ｂにおいて、端末装置１₁の乱数生成部１２は、乱数s_i21, s_i22, s'_i21, s'_i22∈Zおよび群要素g₁, g₂∈Gを生成する。ここで、s_i21, s_i22は互いに素であり、s_i21s'_i21+s_i22s'_i22=1を満たすものとする。g₁, g₂は群Gの単位元ではない元とする。同様に、端末装置１₂の乱数生成部１２は、乱数t_i21, t_i22, t'_i21, t'_i22∈Zおよび群要素g₃, g₄∈Gを生成する。ここで、t_i21, t_i22は互いに素であり、t_i21t'_i21+t_i22t'_i22=1を満たすものとする。g₃, g₄は群Gの単位元ではない元とする。

　ステップＳ１３ｂにおいて、端末装置１₁の公開鍵乱数化部１３は、式（101）により、端末装置１₂の公開鍵S_Bと短期公開鍵X_Bとを、乱数s_i21を用いて乱数化した値（以下、第一乱数化公開鍵情報と呼ぶ。）を算出する。また、式（102）により、端末装置１₂の公開鍵S_Bと短期公開鍵X_Bとを、乱数s_i22を用いて乱数化した値（以下、第二乱数化公開鍵情報と呼ぶ。）を算出する。算出した第一乱数化公開鍵情報と第二乱数化公開鍵情報とのペアは、鍵装置２₁へ送信する。

　同様に、端末装置１₂の公開鍵乱数化部１３は、式（103）により、端末装置１₁の公開鍵S_Aと短期公開鍵X_Aとを、乱数t_i21を用いて乱数化した値（以下、第一乱数化公開鍵情報と呼ぶ。）を算出する。また、式（104）により、端末装置１₁の公開鍵S_Aと短期公開鍵X_Aとを、乱数t_i22を用いて乱数化した値（以下、第二乱数化公開鍵情報と呼ぶ。）を算出する。算出した第一乱数化公開鍵情報と第二乱数化公開鍵情報とのペアは、鍵装置２₂へ送信する。

　ステップＳ２１ｂにおいて、鍵装置２₁の代理計算部２１は、式（105）により、準同型写像F_A,2: G→G, h→h^sAについて、共有鍵の計算に必要な値ξ_A,i1（以下、第一委託結果と呼ぶ。）を算出する。また、式（106）により、共有鍵の計算に必要な値ξ_A,i2（以下、第二委託結果と呼ぶ。）を算出する。算出した第一委託結果ζ_A,i1と第二委託結果ζ_A,i2とは、端末装置１₁へ送信する。

　同様に、鍵装置２₂の代理計算部２１は、式（107）により、準同型写像F_B,2: G→G, h→h^sBについて、共有鍵の計算に必要な値ξ_B,i1（以下、第一委託結果と呼ぶ。）を算出する。また、式（108）により、共有鍵の計算に必要な値ξ_B,i2（以下、第二委託結果と呼ぶ。）を算出する。

　ステップＳ１４ｂにおいて、端末装置１₁の検証部１４は、式（109）により、第一委託結果ξ_A,i1をs_i22乗した値（以下、第一検証値と呼ぶ。）と、第二委託結果ξ_A,i2をs_i21乗した値（以下、第二検証値と呼ぶ。）とが一致するか否かを検証する。同様に、端末装置１₂の検証部１４は、式（110）により、第一委託結果ξ_B,i1をt_i2乗した値（以下、第一検証値と呼ぶ。）と、第二委託結果ξ_B,i2をt_i1乗した値（以下、第二検証値と呼ぶ。）とが一致するか否かを検証する。第一検証値と第二検証値とが一致する場合には、ステップＳ１５１ｂへ処理を進める。第一検証値と第二検証値とが一致しない場合には、ステップＳ１２ｂへ処理を戻す。

　ステップＳ１５１ｂにおいて、端末装置１₁の共有鍵計算部１５は、式（111）により、乱数s'_i21, s'_i22を用いて第一委託結果ξ_A,i1および第二委託結果ξ_A,i2から委託結果ξ_A,iを算出する。同様に、端末装置１₂の共有鍵計算部１５は、式（112）により、乱数t'_i1, t'_i2を用いて第一委託結果ζ_B,i1および第二委託結果ζ_B,i2から委託結果ζ_B,iを算出する。

　ステップＳ１５２において、端末装置１₁の共有鍵計算部１５は、i=1,…,mについて、式（113）により、値σ_iを計算して、値σ₁,…,σ_mを生成する。同様に、端末装置１₂の共有鍵計算部１５は、i=1,…,mについて、式（114）により、値σ_iを計算して、値σ₁,…,σ_mを生成する。

　ステップＳ１５４において、端末装置１₁および端末装置１₂の共有鍵計算部１５は、式（115）により、値σ₁,…,σ_mを用いて、共有鍵Kを算出する。

［第七実施形態］
　第七実施形態は、自己訂正を用いたcert-id AKE法である。本形態は、特に、鍵装置が秘密鍵を持ち、端末装置が短期秘密鍵を生成する構成である。

　本形態の鍵交換システムは、例えば、図１１に示すように、端末装置１₁, １₂と鍵装置２₁, ２₂とに加えて、鍵生成装置３と認証局装置４とを含む。

　以下、図１２、１３を参照して、本形態の鍵交換方法の処理手続きを説明する。以下では、上述の第五実施形態との相違点を中心に説明する。図１２は、端末装置１₁と鍵装置２₁の処理フローを例示したものであり、図１３は、端末装置１₂と鍵装置２₂の処理フローを例示したものである。

　本形態では、以下のようにして鍵生成を行う。鍵生成装置３は、マスタ秘密鍵z∈Z_qをランダムに選択し、マスタ公開鍵のペア(Z₁=g₁ ^z∈G₁, Z₂=g₂ ^z∈G₂)を計算し公開する。端末装置１₁は、識別子ID_Aを用いて、公開鍵のペア(Q_A,1=H₁(ID_A)∈G₁, Q_A,2=H₂(ID_A)∈G₂)を計算し公開する。鍵生成装置３は、公開鍵のペア(Q_A,1, Q_A,2)を用いて、秘密鍵のペア(D_A,1=Q_A,1 ^z, D_A,2=Q_A,2 ^z)を計算し、鍵装置２₁へ配布する。鍵装置１₂は、秘密鍵s_B∈Z_qをランダムに選択し、公開鍵のペア(S_B,1=g₁ ^sB∈G₁, S_B,2=g₂ ^sB∈G₂)を計算し、端末装置１₂へ送信する。認証局装置４は、鍵装置１₂の公開鍵S_Bを認証する。端末装置１₁は、短期秘密鍵z_A∈Z_qをランダムに選び、短期公開鍵のペア(X_A,1=g₁ ^xA, X_A,2=g₂ ^xA)を生成する。同様に、端末装置１₂は、短期秘密鍵x_B∈Z_qをランダムに選び、短期公開鍵のペア(X_B,1=g₁ ^xB, X_B,2=g₂ ^xB)を生成する。

　ステップＳ１１１Ａにおいて、端末装置１₁の公開鍵受信部１１は、識別子と短期公開鍵からなる情報（ID_A, X_A,1, X_A,2）を端末装置１₂へ送信する。ステップＳ１１１Ｂにおいて、端末装置１₂の公開鍵受信部１１は、情報（ID_A, X_A,1, X_A,2）を端末装置１₁から受信する。

　ステップＳ１１２Ｂにおいて、端末装置１₂の公開鍵受信部１１は、公開鍵と短期公開鍵からなる情報（S_B,1, S_B,2, X_B,1, X_B,2）を端末装置１₁へ送信する。ステップＳ１１２Ａにおいて、端末装置１₁の公開鍵受信部１１は、情報（S_B,1, S_B,2, X_B,1, X_B,2）を端末装置１₂から受信する。

　ステップＳ１１３Ａにおいて、端末装置１₁の公開鍵受信部１１は、式（116）が成り立つか否かを確認する。ステップＳ１１３Ｂにおいて、端末装置１₂の公開鍵受信部１１は、式（117）が成り立つか否かを確認する。いずれか一方でも正しくなければ、鍵生成からやり直す。

　本形態では、図１２のステップＳ１２Ａ、Ｓ１３Ａ、Ｓ２１Ａ、Ｓ１４Ａ、Ｓ１５１Ａの処理をm回繰り返し実行する。以下では、i（=1,…,m）回目の繰り返しにおける処理手続きを説明する。

　ステップＳ１２Ａにおいて、端末装置１₁の乱数生成部１２は、乱数s_i1, s_i2, s'_i1, s'_i2∈Zおよび群要素g₁, g₂∈Gを生成する。ここで、s_i1, s_i2は互いに素であり、s_i1s'_i1+s_i2s'_i2=1を満たすものとする。g₁, g₂は群Gの単位元ではない元とする。

　ステップＳ１３Ａにおいて、端末装置１₁の公開鍵乱数化部１３は、式（118）により、端末装置１₂の公開鍵S_B,2と短期公開鍵X_B,2とを、乱数s_i1を用いて乱数化した値（以下、第一乱数化公開鍵情報と呼ぶ。）を算出する。また、式（119）により、端末装置１₂の公開鍵S_B,2と短期公開鍵X_B,2とを、乱数s_i2を用いて乱数化した値（以下、第二乱数化公開鍵情報と呼ぶ。）を算出する。算出した第一乱数化公開鍵情報と第二乱数化公開鍵情報とのペアは、鍵装置２₁へ送信する。

　ステップＳ２１Ａにおいて、鍵装置２₁の代理計算部２１は、式（120）により、準同型写像F_A: G₂→G_T, h₂→e(D_A,1, h₂)について、共有鍵の計算に必要な値ζ_A,i1（以下、第一委託結果と呼ぶ。）を算出する。また、式（121）により、共有鍵の計算に必要な値ζ_A,i2（以下、第二委託結果と呼ぶ。）を算出する。算出した第一委託結果ζ_A,i1と第二委託結果ζ_A,i2とは、端末装置１₁へ送信する。

　ステップＳ１４Ａにおいて、端末装置１₁の検証部１４は、式（122）により、第一委託結果ζ_A,i1をs_i2乗した値（以下、第一検証値と呼ぶ。）と、第二委託結果ζ_A,i2をs_i1乗した値（以下、第二検証値と呼ぶ。）とが一致するか否かを検証する。第一検証値と第二検証値とが一致する場合には、ステップＳ１５１Ａへ処理を進める。第一検証値と第二検証値とが一致しない場合には、ステップＳ１２Ａへ処理を戻す。

　ステップＳ１５１Ａにおいて、端末装置１₁の共有鍵計算部１５は、式（123）により、乱数s'_i1, s'_i2を用いて第一委託結果ζ_A,i1および第二委託結果ζ_A,i2から委託結果ζ_A,iを算出する。

　ステップＳ１５２Ａにおいて、端末装置１₁の共有鍵計算部１５は、i=1,…,mについて、式（124）により、値σ_iを計算して、値σ₁,…,σ_mを生成する。

　ステップＳ１５３Ａにおいて、端末装置１₁の共有鍵計算部１５は、式（125）により、値σ_m+1, σ_m+2, σ_m+3, σ_m+4を計算する。

　ステップＳ１５４Ａにおいて、端末装置１₁の共有鍵計算部１５は、式（126）により、値σ₁,…,σ_m+4を用いて、共有鍵Kを算出する。

　本形態では、図１３のステップＳ１２Ｂ、Ｓ１３Ｂ、Ｓ２１Ｂ、Ｓ１４Ｂ、Ｓ１５１Ｂの処理をm回繰り返し実行する。以下では、i（=1,…,m）回目の繰り返しにおける処理手続きを説明する。

　ステップＳ１２Ｂにおいて、端末装置１₂の乱数生成部１２は、乱数t_i1, t_i2, t'_i1, t'_i2∈Zおよび群要素g₃, g₄∈Gを生成する。ここで、t_i1, t_i2は互いに素であり、t_i1t'_i1+t_i2t'_i2=1を満たすものとする。g₃, g₄は群Gの単位元ではない元とする。

　ステップＳ１３Ｂにおいて、端末装置１₁の公開鍵乱数化部１３は、式（127）により、端末装置１₂の公開鍵Q_A,1と短期公開鍵X_A,1とを、乱数t_i1を用いて乱数化した値（以下、第一乱数化公開鍵情報と呼ぶ。）を算出する。また、式（128）により、端末装置１₂の公開鍵Q_A,1と短期公開鍵X_A,1とを、乱数t_i2を用いて乱数化した値（以下、第二乱数化公開鍵情報と呼ぶ。）を算出する。算出した第一乱数化公開鍵情報と第二乱数化公開鍵情報とのペアは、鍵装置２₁へ送信する。

　ステップＳ２１Ｂにおいて、鍵装置２₂の代理計算部２１は、式（129）により、準同型写像F_B: G₁→G_T, h₁→e(h₁, Z₂ ^sB)について、共有鍵の計算に必要な値ζ_B,i1（以下、第一委託結果と呼ぶ。）を算出する。また、式（130）により、共有鍵の計算に必要な値ζ_B,i2（以下、第二委託結果と呼ぶ。）を算出する。算出した第一委託結果ζ_B,i1と第二委託結果ζ_B,i2とは、端末装置１₂へ送信する。

　ステップＳ１４Ｂにおいて、端末装置１₂の検証部１４は、式（131）により、第一委託結果ζ_B,i1をt_i2乗した値（以下、第一検証値と呼ぶ。）と、第二委託結果ζ_B,i2をt_i1乗した値（以下、第二検証値と呼ぶ。）とが一致するか否かを検証する。第一検証値と第二検証値とが一致する場合には、ステップＳ１５１Ｂへ処理を進める。第一検証値と第二検証値とが一致しない場合には、ステップＳ１２Ｂへ処理を戻す。

　ステップＳ１５１Ｂにおいて、端末装置１₂の共有鍵計算部１５は、式（132）により、乱数t'_i1, t'_i2を用いて第一委託結果ζ_B,i1および第二委託結果ζ_B,i2から委託結果ζ_B,iを算出する。

　ステップＳ１５２Ｂにおいて、端末装置１₂の共有鍵計算部１５は、i=1,…,mについて、式（133）により、値σ_iを計算して、値σ₁,…,σ_mを生成する。

　ステップＳ１５３Ｂにおいて、端末装置１₂の共有鍵計算部１５は、式（134）により、値σ_m+1, σ_m+2を計算する。また、式（135）による値σ_m+3, σ_m+4の計算を鍵装置２₂へ委託する。

　ステップＳ１５４Ｂにおいて、端末装置１₁の共有鍵計算部１５は、式（136）により、値σ₁,…,σ_m+4を用いて、共有鍵Kを算出する。

　端末装置１₁および端末装置１₂の共有鍵計算部１５が計算した値σ₁,…,σ_m+2はいずれも、i=1,…,mとして、式（137）のように表すことができる。したがって、端末装置１₁の計算した共有鍵Kと端末装置１₂の計算した共有鍵Kとは一致する。

　なお、本形態では、ステップＳ１３ＢおよびＳ２１Ｂで実行される代理計算により、式（138）を計算することになる。

　そこで、ステップＳ１３Ｂにおいて、β_i,Aを式（139）のβ’_i,Aに置き換え、ステップＳ２１Ｂにおいて、準同型写像F_B: G₁→G_T, h₁→e(h₁, Z₂ ^sB)をF'_B: G_T→G_T, h_T→h_T ^sBに置き換えることで、同様の代理計算を行うことも可能である。

［変形例７］
　変形例７は、第七実施形態の自己訂正を用いたcert-id AKE法の変形例である。本変形例は、特に、鍵装置が秘密鍵を持ち、鍵装置が短期秘密鍵を生成する構成である。

　以下、本変形例の鍵交換方法の処理手続きを説明する。以下では、上述の第七実施形態との相違点を中心に説明する。

　本形態では、以下のようにして鍵生成を行う。鍵生成装置３は、マスタ秘密鍵z∈Z_qをランダムに選択し、マスタ公開鍵のペア(Z₁=g₁ ^z∈G₁, Z₂=g₂ ^z∈G₂)を計算し公開する。端末装置１₁は、識別子ID_Aを用いて、公開鍵のペア(Q_A,1=H₁(ID_A)∈G₁, Q_A,2=H₂(ID_A)∈G₂)を計算し公開する。鍵生成装置３は、公開鍵のペア(Q_A,1, Q_A,2)を用いて、秘密鍵のペア(D_A,1=Q_A,1 ^z, D_A,2=Q_A,2 ^z)を計算し、鍵装置２₁へ配布する。鍵装置１₂は、秘密鍵s_B∈Z_qをランダムに選択し、公開鍵のペア(S_B,1=g₁ ^sB∈G₁, S_B,2=g₂ ^sB∈G₂)を計算し、端末装置１₂へ送信する。認証局装置４は、鍵装置１₂の公開鍵S_Bを認証する。鍵装置２₁は、短期秘密鍵z_A∈Z_qをランダムに選び、短期公開鍵のペア(X_A,1=g₁ ^xA, X_A,2=g₂ ^xA)を生成し、端末装置１₁へ送信する。同様に、鍵装置２₂は、短期秘密鍵z_B∈Z_qをランダムに選び、短期公開鍵のペア(X_B,1=g₁ ^xB, X_B,2=g₂ ^xB)を生成し、端末装置１₂へ送信する。

　本変形例では、ステップＳ１２Ａ、Ｓ１３Ａ、Ｓ２１Ａ、Ｓ１４Ａ、Ｓ１５１Ａの処理をm回繰り返し実行した後、以下のステップＳ１２Ａｂ、Ｓ１３Ａｂ、Ｓ２１Ａｂ、Ｓ１４Ａｂ、Ｓ１５１Ａｂ（図示せず）の処理をm回繰り返し実行する。以下では、i（=1,…,m）回目の繰り返しにおける処理手続きを説明する。

　ステップＳ１２Ａｂにおいて、端末装置１₁の乱数生成部１２は、乱数s_i21, s_i22, s'_i21, s'_i22∈Zおよび群要素g₁, g₂∈Gを生成する。ここで、s_i21, s_i22は互いに素であり、s_i21s'_i21+s_i22s'_i22=1を満たすものとする。g₁, g₂は群Gの単位元ではない元とする。

　ステップＳ１３Ａｂにおいて、端末装置１₁の公開鍵乱数化部１３は、式（140）により、端末装置１₂の公開鍵S_B,2と短期公開鍵X_B,2とを、乱数s_i21を用いて乱数化した値（以下、第一乱数化公開鍵情報と呼ぶ。）を算出する。また、式（141）により、端末装置１₂の公開鍵S_B,2と短期公開鍵X_B,2とを、乱数s_i22を用いて乱数化した値（以下、第二乱数化公開鍵情報と呼ぶ。）を算出する。算出した第一乱数化公開鍵情報と第二乱数化公開鍵情報とのペアは、鍵装置２₁へ送信する。

　ステップＳ２１Ａｂにおいて、鍵装置２₁の代理計算部２１は、式（142）により、準同型写像F_1,A: G₂→G_T, h₂→e(Z₁ ^xA, h₂)について、共有鍵の計算に必要な値ξ_A,i1（以下、第一委託結果と呼ぶ。）を算出する。また、式（143）により、共有鍵の計算に必要な値ξ_A,i2（以下、第二委託結果と呼ぶ。）を算出する。算出した第一委託結果ζ_A,i1と第二委託結果ζ_A,i2とは、端末装置１₁へ送信する。

　ステップＳ１４Ａｂにおいて、端末装置１₁の検証部１４は、式（144）により、第一委託結果ξ_A,i1をs_i22乗した値（以下、第一検証値と呼ぶ。）と、第二委託結果ξ_A,i2をs_i21乗した値（以下、第二検証値と呼ぶ。）とが一致するか否かを検証する。第一検証値と第二検証値とが一致する場合には、ステップＳ１５１Ａｂへ処理を進める。第一検証値と第二検証値とが一致しない場合には、ステップＳ１２Ａｂへ処理を戻す。

　ステップＳ１５１Ａｂにおいて、端末装置１₁の共有鍵計算部１５は、式（145）により、乱数s'_i21, s'_i22を用いて第一委託結果ξ_A,i1および第二委託結果ξ_A,i2から委託結果ξ_A,iを算出する。

　ステップＳ１５２Ａにおいて、端末装置１₁の共有鍵計算部１５は、i=1,…,mについて、式（146）により、値σ_iを計算して、値σ₁,…,σ_mを生成する。

　ステップＳ１５３Ａ、Ｓ１５４Ａの処理は、第七実施形態と同様である。

　本変形例では、ステップＳ１２Ｂ、Ｓ１３Ｂ、Ｓ２１Ｂ、Ｓ１４Ｂ、Ｓ１５１Ｂの処理をm回繰り返し実行した後、以下のステップＳ１２Ｂｂ、Ｓ１３Ｂｂ、Ｓ２１Ｂｂ、Ｓ１４Ｂｂ、Ｓ１５１Ｂｂ（図示せず）の処理をm回繰り返し実行する。以下では、i（=1,…,m）回目の繰り返しにおける処理手続きを説明する。

　ステップＳ１２Ｂｂにおいて、端末装置１₂の乱数生成部１２は、乱数t_i21, t_i22, t'_i21, t'_i22∈Zおよび群要素g₃, g₄∈Gを生成する。ここで、t_i21, t_i22は互いに素であり、t_i21t'_i21+t_i22t'_i22=1を満たすものとする。g₃, g₄は群Gの単位元ではない元とする。

　ステップＳ１３Ｂｂにおいて、端末装置１₁の公開鍵乱数化部１３は、式（147）により、端末装置１₂の公開鍵Q_A,1と短期公開鍵X_A,1とを、乱数t_i21を用いて乱数化した値（以下、第一乱数化公開鍵情報と呼ぶ。）を算出する。また、式（148）により、端末装置１₂の公開鍵Q_A,1と短期公開鍵X_A,1とを、乱数t_i22を用いて乱数化した値（以下、第二乱数化公開鍵情報と呼ぶ。）を算出する。算出した第一乱数化公開鍵情報と第二乱数化公開鍵情報とのペアは、鍵装置２₁へ送信する。

　ステップＳ２１Ｂｂにおいて、鍵装置２₂の代理計算部２１は、式（149）により、準同型写像F_1,B: G₁→G_T, h₁→e(h₁, Z₂ ^xB)について、共有鍵の計算に必要な値ξ_B,i1（以下、第一委託結果と呼ぶ。）を算出する。また、式（150）により、共有鍵の計算に必要な値ξ_B,i2（以下、第二委託結果と呼ぶ。）を算出する。算出した第一委託結果ζ_B,i1と第二委託結果ζ_B,i2とは、端末装置１₂へ送信する。

　ステップＳ１４Ｂｂにおいて、端末装置１₂の検証部１４は、式（151）により、第一委託結果ξ_B,i1をt_i22乗した値（以下、第一検証値と呼ぶ。）と、第二委託結果ξ_B,i2をt_i21乗した値（以下、第二検証値と呼ぶ。）とが一致するか否かを検証する。第一検証値と第二検証値とが一致する場合には、ステップＳ１５１Ｂｂへ処理を進める。第一検証値と第二検証値とが一致しない場合には、ステップＳ１２Ｂｂへ処理を戻す。

　ステップＳ１５１Ｂｂにおいて、端末装置１₂の共有鍵計算部１５は、式（152）により、乱数t'_i21, t'_i22を用いて第一委託結果ξ_B,i1および第二委託結果ξ_B,i2から委託結果ξ_B,iを算出する。

　ステップＳ１５２Ｂにおいて、端末装置１₂の共有鍵計算部１５は、i=1,…,mについて、式（153）により、値σ_iを計算して、値σ₁,…,σ_mを生成する。

　ステップＳ１５３Ｂ、Ｓ１５４Ｂの処理は、第七実施形態と同様である。

　本変形例では、ステップＳ１３ＡｂおよびＳ２１Ａｂで実行される代理計算により、式（154）を計算することになる。

　そこで、ステップＳ１３Ａｂにおいて、β_i,Bを式（155）のβ'_i,Bに置き換え、ステップＳ２１Ａｂにおいて、準同型写像F_1,A: G₂→G_T, h₂→e(Z₁ ^xA, h₂)をF_2,A: G_T→G_T, h_T→g_T ^xAに置き換えることで、同様の代理計算を行うことも可能である。

　また、本変形例では、ステップＳ１３ＢｂおよびＳ２１Ｂｂで実行される代理計算により、式（156）を計算することになる。

　そこで、ステップＳ１３Ｂｂにおいて、β_1,i,Aを式（157）のβ_2,i,Aに置き換え、ステップＳ２１Ｂｂにおいて、準同型写像F_1,B: G₁→G_T, h₁→e(h₁, Z₂ ^xB)をF_2,B: G_T→G_T, h_T→g_T ^xBに置き換えることで、同様の代理計算を行うことも可能である。

［第八実施形態］
　第八実施形態は、鍵装置が端末装置の固有情報を記憶しており、予め固有情報を登録している端末装置のみが代理計算を委託できる構成である。以下では、第一実施形態に対して適用した構成を例として説明するが、上述の各実施形態についても同様に適用して構成することが可能である。

　以下、本形態の鍵交換方法の処理手続きを説明する。以下では、上述の第一実施形態との相違点を中心に説明する。

　本形態では、端末装置１₁の記憶部１０には、端末装置１₁の公開鍵g^xに加えて、固有情報Add₁が記憶されている。鍵装置２₁の記憶部２０には、端末装置１₁の秘密鍵xに加えて、リストList₁が記憶されている。リストList₁には予め端末装置１₁の固有情報Add₁が登録されている。

　ステップＳ１３において、端末装置１₁の公開鍵乱数化部１３は、第一乱数化公開鍵情報と第二乱数化公開鍵情報とのペアに加えて、固有情報Add₁を鍵装置２₁へ送信する。

　ステップＳ２１において、鍵装置２₁の代理計算部２１は、受信した固有情報Add₁が記憶部２０のリストList₁に登録されているか否かを確認する。登録されている場合には、第一委託結果Z₁および第二委託結果Z₂を計算する。登録されていない場合には、代理計算を行わず処理を終了する。

　この発明は上述の実施形態に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。上記実施形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。

［プログラム、記録媒体］
　上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

　また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims

　s₁, s₂を互いに素な乱数とし、s'₁, s'₂を乱数s₁, s₂と所定の関係を満たす乱数とし、
　鍵装置の記憶部に、端末装置の秘密鍵が記憶されており、
　上記端末装置が、上記乱数s₁, s₂, s'₁, s'₂を生成する乱数生成ステップと、
　上記端末装置が、上記乱数s₁を用いて上記端末装置の公開鍵と他の端末装置の公開鍵を乱数化した第一乱数化公開鍵情報と、上記乱数s₂を用いて上記端末装置の公開鍵と上記他の端末装置の公開鍵を乱数化した第二乱数化公開鍵情報とを生成する公開鍵乱数化ステップと、
　上記鍵装置が、上記秘密鍵を用いて上記第一乱数化公開鍵情報から第一委託結果を算出し、上記秘密鍵を用いて上記第二乱数化公開鍵情報から第二委託結果を算出する代理計算ステップと、
　上記端末装置が、上記乱数s₂を用いて上記第一委託結果から第一検証値を算出し、上記乱数s₁を用いて上記第二委託結果から第二検証値を算出し、上記第一検証値と上記第二検証値とが一致するか否かを検証する検証ステップと、
　上記端末装置が、上記第一検証値と上記第二検証値とが一致する場合に、上記乱数s'₁, s'₂を用いて上記第一委託結果および上記第二委託結果から共有鍵を算出する共有鍵生成ステップと、
　を含む鍵交換方法。
　請求項１に記載の鍵交換方法であって、
　gを群Gの要素とし、xを上記端末装置の秘密鍵とし、g^xを上記端末装置の公開鍵とし、yを上記他の端末装置の秘密鍵とし、g^yを上記他の端末装置の公開鍵とし、r₁, r₂を任意の数とし、
　上記公開鍵乱数化ステップは、次式により、上記第一乱数化公開鍵情報を算出し、

次式により、上記第二乱数化公開鍵情報を算出するものであり、

　上記代理計算ステップは、次式により、上記第一委託結果Z₁を算出し、

次式により、上記第二委託結果Z₂を算出するものであり、

　上記検証ステップは、次式により、上記第一検証値と上記第二検証値とが一致するか否かを検証するものであり、

　上記共有鍵生成ステップは、次式により、上記共有鍵Kを算出するものである

　鍵交換方法。
　請求項１に記載の鍵交換方法であって、
　G₁, G₂, G_Tを位数がкビット長の素数qの巡回群とし、g₁, g₂, g_Tをそれぞれ群G₁, G₂, G_Tの生成元とし、e: G₁×G₂→G_Tをg_T=e(g₁, g₂)を満足するペアリングとし、H: {0, 1}^*→{0, 1}^к, H₁: {0, 1}^*→G₁, H₂: {0, 1}^*→G₂をそれぞれ暗号学的ハッシュ関数とし、mを2以上の自然数とし、i=1,…,mとし、c_i,0,0, c_i,0,1, c_i,1,0, c_i,1,1を定数とし、p_i∈Z_q[u₀, u₁, v₀, v₁]を次式により定義されるm個の多項式とし、

z∈Z_qをマスタ秘密鍵とし、Z₁=g₁ ^z∈G₁, Z₂=g₂ ^z∈G₂をマスタ公開鍵とし、ID_Aを上記端末装置の識別子とし、Q_A,1=H₁(ID_A)∈G₁, Q_A,2=H₂(ID_A)∈G₂を公開値とし、ID_Bを上記他の端末装置の識別子とし、Q_B,1=H₁(ID_B)∈G₁, Q_B,2=H₂(ID_B)∈G₂を公開値とし、D_A,1=Q_A,1 ^z, D_A,2=Q_A,2 ^zを上記端末装置の秘密鍵とし、D_B,1=Q_B,1 ^z, D_B,2=Q_B,2 ^zを上記他の端末装置の秘密鍵とし、z_A∈Z_qを上記端末装置の短期秘密鍵とし、X_A,1=g₁ ^xA, X_A,2=g₂ ^xAを上記端末装置の短期公開鍵とし、z_B∈Z_qを上記他の端末装置の短期秘密鍵とし、X_B,1=g₁ ^xB, X_B,2=g₂ ^xBを上記他の端末装置の短期公開鍵とし、P_i,Bを次式により定義される値とし、

s_i1, s_i2を互いに素な乱数とし、s'_i1, s'_i2を乱数s_i1, s_i2と所定の関係を満たす乱数とし、
　上記乱数生成ステップは、上記乱数s_i1, s_i2, s'_i1, s'_i2を生成するものであり、
　上記公開鍵乱数化ステップは、次式により、i=1,…,mについて、上記第一乱数化公開鍵情報を算出し、

次式により、i=1,…,mについて、上記第二乱数化公開鍵情報を算出するものであり、

　上記代理計算ステップは、次式により、i=1,…,mについて、上記第一委託結果ζ_i1を算出し、

次式により、i=1,…,mについて、上記第二委託結果ζ_i2を算出するものであり、

　上記検証ステップは、次式により、i=1,…,mについて、上記第一検証値と上記第二検証値とが一致するか否かを検証するものであり、

　上記共有鍵生成ステップは、次式により、i=1,…,mについて、委託結果ζ_iを算出した上で、委託結果ζ₁,…,ζ_mを用いて上記共有鍵を生成するものである

　鍵交換方法。
　請求項１に記載の鍵交換方法であって、
　Gを位数がкビット長の素数qの巡回群とし、gを群Gの生成元とし、H: {0, 1}^*→{0, 1}^к, H₁: {0, 1}^*→Gをそれぞれ暗号学的ハッシュ関数とし、mを2以上の自然数とし、i=1,…,mとし、c_i,0,0, c_i,0,1, c_i,1,0, c_i,1,1を定数とし、p_i∈Z_q[u₀, u₁, v₀, v₁]を次式により定義されるm個の多項式とし、

s_A∈Z_qを上記端末装置の秘密鍵とし、S_A=g^sA∈Gを上記端末装置の公開鍵とし、s_B∈Z_qを上記他の端末装置の秘密鍵とし、S_B=g^sB∈Gを上記他の端末装置の公開鍵とし、x_A∈Z_qを上記端末装置の短期秘密鍵とし、X_A=g^xA∈Gを上記端末装置の短期公開鍵とし、x_B∈Z_qを上記他の端末装置の短期秘密鍵とし、X_B=g^xB∈Gを上記他の端末装置の短期公開鍵とし、F_AをF_A: G→G, h→h^xAである準同型写像とし、α_B,iを次式により定義される値とし、

s_i1, s_i2を互いに素な乱数とし、s'_i1, s'_i2を乱数s_i1, s_i2と所定の関係を満たす乱数とし、
　上記乱数生成ステップは、上記乱数s_i1, s_i2, s'_i1, s'_i2を生成するものであり、
　上記公開鍵乱数化ステップは、次式により、i=1,…,mについて、上記第一乱数化公開鍵情報を算出し、

次式により、i=1,…,mについて、上記第二乱数化公開鍵情報を算出するものであり、

　上記代理計算ステップは、次式により、i=1,…,mについて、上記第一委託結果ζ_i1を算出し、

次式により、i=1,…,mについて、上記第二委託結果ζ_i2を算出するものであり、

　上記検証ステップは、次式により、i=1,…,mについて、上記第一検証値と上記第二検証値とが一致するか否かを検証するものであり、

　上記共有鍵生成ステップは、次式により、i=1,…,mについて、委託結果ζ_iを算出した上で、委託結果ζ₁,…,ζ_mを用いて上記共有鍵を生成するものである

　鍵交換方法。
　請求項１から４のいずれかに記載の鍵交換方法であって、
　上記鍵装置の記憶部に、上記端末装置の固有情報が記憶されており、
　上記代理計算ステップは、上記第一乱数化公開鍵情報および上記第二乱数化公開鍵情報とともに受信する固有情報が、上記端末装置の固有情報と一致する場合に、上記第一委託結果および上記第二委託結果を算出するものである
　鍵交換方法。
　s₁, s₂を互いに素な乱数とし、s'₁, s'₂を乱数s₁, s₂と所定の関係を満たす乱数とし、
　複数の端末装置と少なくとも１台の鍵装置を含む鍵交換システムであって、
　上記端末装置は、
　　上記乱数s₁, s₂, s'₁, s'₂を生成する乱数生成部と、
　　上記乱数s₁を用いて上記端末装置の公開鍵と他の端末装置の公開鍵を乱数化した第一乱数化公開鍵情報と、上記乱数s₂を用いて上記端末装置の公開鍵と上記他の端末装置の公開鍵を乱数化した第二乱数化公開鍵情報とを生成する公開鍵乱数化部と、
　　上記鍵装置から第一委託結果および第二委託結果を受信し、上記乱数s₂を用いて上記第一委託結果から第一検証値を算出し、上記乱数s₁を用いて上記第二委託結果から第二検証値を算出し、上記第一検証値と上記第二検証値とが一致するか否かを検証する検証部と、
　　上記第一検証値と上記第二検証値とが一致する場合に、上記乱数s'₁, s'₂を用いて上記第一委託結果および上記第二委託結果から共有鍵を算出する共有鍵生成部と、
　を含み、
　上記鍵装置は、
　　上記端末装置の秘密鍵を記憶する記憶部と、
　　上記秘密鍵を用いて上記第一乱数化公開鍵情報から上記第一委託結果を算出し、上記秘密鍵を用いて上記第二乱数化公開鍵情報から上記第二委託結果を算出する代理計算部と、
　を含む鍵交換システム。
　s₁, s₂を互いに素な乱数とし、s'₁, s'₂を乱数s₁, s₂と所定の関係を満たす乱数とし、
　端末装置の秘密鍵を記憶する記憶部と、
　上記秘密鍵を用いて上記第一乱数化公開鍵情報から上記第一委託結果を算出し、上記秘密鍵を用いて上記第二乱数化公開鍵情報から上記第二委託結果を算出する代理計算部と、
　を含み、
　上記第一乱数化公開鍵情報は、上記乱数s₁を用いて上記端末装置の公開鍵と他の端末装置の公開鍵を乱数化したものであり、
　上記第二乱数化公開鍵情報は、上記乱数s₂を用いて上記端末装置の公開鍵と上記他の端末装置の公開鍵を乱数化したものである
　鍵装置。
　s₁, s₂を互いに素な乱数とし、s'₁, s'₂を乱数s₁, s₂と所定の関係を満たす乱数とし、
　上記乱数s₁を用いて端末装置の公開鍵と他の端末装置の公開鍵を乱数化した第一乱数化公開鍵情報と、上記乱数s₂を用いて上記端末装置の公開鍵と上記他の端末装置の公開鍵を乱数化した第二乱数化公開鍵情報とを生成する公開鍵乱数化部と、
　鍵装置が算出した第一委託結果および第二委託結果を受信し、上記乱数s₂を用いて上記第一委託結果から第一検証値を算出し、上記乱数s₁を用いて上記第二委託結果から第二検証値を算出し、上記第一検証値と上記第二検証値とが一致するか否かを検証する検証部と、
　上記第一検証値と上記第二検証値とが一致する場合に、上記乱数s'₁, s'₂を用いて上記第一委託結果および上記第二委託結果から共有鍵を算出する共有鍵生成部と、
　を含み、
　上記第一委託結果は、上記端末装置の秘密鍵を用いて上記第一乱数化公開鍵情報から算出したものであり、
　上記第二委託結果は、上記端末装置の秘密鍵を用いて上記第二乱数化公開鍵情報から算出したものである
　端末装置。
　請求項７に記載の鍵装置もしくは請求項８に記載の端末装置としてコンピュータを機能させるためのプログラム。