WO2016162941A1 - 暗号システム及び鍵生成装置 - Google Patents

Abstract

　暗号システム（１０）は、格子理論に基づく関数型暗号方式を実現する。暗号システム（１０）において、鍵生成装置（１００）は、入力パラメータＹである述語ベクトルｖによって定まる行列ＡＹと、行列ｅとの積が、公開パラメータＰＰから得られる複数の行列ｕのうちの行列ｕｊであって、複数の値を含む集合［Ｎ］のうちの値ｊについての行列ｕｊになる行列ｅを鍵要素として含む秘密鍵ｓｋｖを、述語ベクトルｖについての秘密鍵ｓｋｖとして生成する。

Description

暗号システム及び鍵生成装置

　この発明は、格子理論に基づく関数型暗号方式に関する。

　非特許文献１～３には、格子理論に基づく関数型暗号方式について記載されている。非特許文献１～３に記載された関数型暗号方式は、格子理論に基づくことにより、量子計算機にも耐性を有している。

Ｓｈｗｅｔａ　Ａｇｒａｗａｌ，　Ｄａｖｉｄ　Ｍａｎｄｅｌｌ　Ｆｒｅｅｍａｎ，　ａｎｄ　Ｖｉｎｏｄ　Ｖａｉｋｕｎｔａｎａｔｈａｎ．　Ｆｕｎｃｔｉｏｎａｌ　ｅｎｃｒｙｐｔｉｏｎ　ｆｏｒ　ｉｎｎｅｒ　ｐｒｏｄｕｃｔ　ｐｒｅｄｉｃａｔｅｓ　ｆｒｏｍ　ｌｅａｒｎｉｎｇ　ｗｉｔｈ　ｅｒｒｏｒｓ．　Ｉｎ　Ａｄｖａｎｃｅｓ　ｉｎ　Ｃｒｙｐｔｏｌｏｇｙ　－　ＡＳＩＡＣＲＹＰＴ　２０１１　－　１７ｔｈ　Ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ　ｔｈｅ　Ｔｈｅｏｒｙ　ａｎｄ　Ａｐｐｌｉｃａｔｉｏｎ　ｏｆ　Ｃｒｙｐｔｏｌｏｇｙ　ａｎｄ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｓｅｃｕｒｉｔｙ，　Ｓｅｏｕｌ，　Ｓｏｕｔｈ　Ｋｏｒｅａ，　Ｄｅｃｅｍｂｅｒ　４－８，２０１１．　Ｐｒｏｃｅｅｄｉｎｇｓ，　ｐａｇｅｓ　２１－４０，　２０１１． Ｍｉｃｈｅｌ　Ａｂｄａｌｌａ，　Ａｎｇｅｌｏ　Ｄｅ　Ｃａｒｏ，　ａｎｄ　Ｋａｒｉｎａ　Ｍｏｃｈｅｔｔｉ．　Ｌａｔｔｉｃｅ－ｂａｓｅｄ　ｈｉｅｒａｒｃｈｉｃａｌ　ｉｎｎｅｒ　ｐｒｏｄｕｃｔ　ｅｎｃｒｙｐｔｉｏｎ．Ｉｎ　Ｐｒｏｇｒｅｓｓ　ｉｎ　Ｃｒｙｐｔｏｌｏｇｙ　－　ＬＡＴＩＮＣＲＹＰＴ　２０１２　－　２ｎｄ　Ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ　Ｃｒｙｐｔｏｌｏｇｙ　ａｎｄ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｓｅｃｕｒｉｔｙ　ｉｎ　Ｌａｔｉｎ　Ａｍｅｒｉｃａ，　Ｓａｎｔｉａｇｏ，　Ｃｈｉｌｅ，　Ｏｃｔｏｂｅｒ　７－１０，　２０１２．　Ｐｒｏｃｅｅｄｉｎｇｓ，　ｐａｇｅｓ　１２１－１３８，　２０１２． Ｋｅｉｔａ　Ｘａｇａｗａ．　Ｉｍｐｒｏｖｅｄ　（ｈｉｅｒａｒｃｈｉｃａｌ）　ｉｎｎｅｒ－ｐｒｏｄｕｃｔ　ｅｎｃｒｙｐｔｉｏｎ　ｆｒｏｍ　ｌａｔｔｉｃｅｓ．　Ｉｎ　Ｐｕｂｌｉｃ－Ｋｅｙ　Ｃｒｙｐｔｏｇｒａｐｈｙ　－　ＰＫＣ　２０１３　－　１６ｔｈ　Ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ　Ｐｒａｃｔｉｃｅ　ａｎｄ　Ｔｈｅｏｒｙ　ｉｎ　Ｐｕｂｌｉｃ－Ｋｅｙ　Ｃｒｙｐｔｏｇｒａｐｈｙ，　Ｎａｒａ，　Ｊａｐａｎ，　Ｆｅｂｒｕａｒｙ　２６　－　Ｍａｒｃｈ　１，　２０１３．　Ｐｒｏｃｅｅｄｉｎｇｓ，　ｐａｇｅｓ　２３５－２５２，　２０１３．

　非特許文献１～３に記載された関数型暗号方式は、弱属性秘匿である。つまり、非特許文献１～３に記載された関数型暗号方式は、秘密鍵の条件が満たされるような属性をもつ暗号文からは余計な情報が漏れる恐れがある。
　この発明は、秘密鍵の条件が満たされるような属性をもつ暗号文から余計な情報が漏れないようにすることを目的とする。

　この発明に係る暗号システムは、
　入力パラメータＹによって定まる行列Ａ_Ｙと、行列ｅとの積が、公開パラメータＰＰから得られる複数の行列ｕのうちの行列ｕ_ｊであって、複数の値を含む集合［Ｎ］のうちの値ｊについての行列ｕ_ｊになる前記行列ｅを鍵要素として含む秘密鍵を、前記入力パラメータＹについての秘密鍵として生成する鍵生成装置と、
　前記集合［Ｎ］に含まれる各値についての暗号要素を含む暗号文を生成する暗号化装置と、
　前記暗号文に含まれる暗号要素のうちの前記値ｊについての暗号要素と、前記秘密鍵とを用いて、前記暗号文を復号する復号装置と
を備える。

　この発明では、行列Ａ_Ｙと行列ｅとの積が、集合Ｎに含まれる値ｊについての行列ｕ_ｊになる行列ｅを鍵要素として含む秘密鍵を生成する。これにより、秘密鍵の条件が満たされるような属性をもつ暗号文から余計な情報が漏れないようにすることが可能である。

実施の形態１に係る暗号システム１０の構成図。 実施の形態１に係る鍵生成装置１００の構成図。 実施の形態１に係る暗号化装置２００の構成図。 実施の形態１に係る復号装置３００の構成図。 実施の形態１に係るＳｅｔｕｐアルゴリズムの処理を示すフローチャート。 実施の形態１に係るＫｅｙＧｅｎアルゴリズムの処理を示すフローチャート。 実施の形態１に係るＥｎｃアルゴリズムの処理を示すフローチャート。 実施の形態１に係るＤｅｃアルゴリズムの処理を示すフローチャート。 実施の形態１に係る鍵生成装置１００と暗号化装置２００と復号装置３００とのハードウェア構成例を示す図。

　実施の形態１．
　実施の形態１では、まず、秘密鍵の条件が満たされるような属性をもつ暗号文から余計な情報が漏れない強属性秘匿にするためのキーテクニックを説明する。その上で、キーテクニックを適用した暗号方式を説明する。
　実施の形態１では、非特許文献１に記載された関数型暗号方式に対して、キーテクニックを適用した方式について説明する。しかし、非特許文献２，３等に記載された関数型暗号方式にもキーテクニックを適用することができる。

　＊＊＊キーテクニック＊＊＊
　格子理論に基づく関数型暗号では、入力パラメータＹに関する秘密鍵生成において、入力パラメータＹによって定まる行列Ａ_Ｙと、公開パラメータＰＰから得られる行列ｕと、行列Ａ_Ｙ及び行列ｕよりもノルムが短い行列ｅとについて、行列ターゲット等式“Ａ_Ｙ・ｅ＝ｕ”を満たす行列ｅを鍵要素とする秘密鍵が生成される。

　実施の形態１では、公開パラメータＰＰから得られる行列ｕのうち、複数の値を含む集合Ｎから選択された値ｊについての行列ｕ_ｊを用いて、行列ターゲット等式“Ａ_Ｙ・ｅ＝ｕ_ｊ”を満たす行列ｅを鍵要素とする秘密鍵が生成される。
　暗号化する場合には、集合Ｎのうちのどの値が値ｊとして選択されたか特定できないため、集合Ｎに含まれる各値について暗号要素を含む暗号文が生成される。そして、復号する場合には、値ｊについての暗号要素と、秘密鍵とを用いて、暗号文が復号される。

　＊＊＊構成の説明＊＊＊
　図１に基づき、実施の形態１に係る暗号システム１０の構成を説明する。
　暗号システム１０は、鍵生成装置１００と、暗号化装置２００と、復号装置３００とを備える。

　鍵生成装置１００は、パラメータである１^ｎと１^Ｌと１^Ｎとを入力として、Ｓｅｔｕｐアルゴリズムを実行して、公開パラメータＰＰと、マスター鍵ＭＫとを生成する。また、鍵生成装置１００は、公開パラメータＰＰと、マスター鍵ＭＫと、入力パラメータＹである述語ベクトルｖとを入力として、ＫｅｙＧｅｎアルゴリズムを実行して、述語ベクトルｖについての秘密鍵ｓｋ_ｖを生成する。
　なお、Ｓｅｔｕｐアルゴリズムは、システムセットアップ時等に１度実行され、ＫｅｙＧｅｎアルゴリズムは、秘密鍵ｓｋ_ｖを生成する度に実行される。また、Ｓｅｔｕｐアルゴリズムを実行する装置と、ＫｅｙＧｅｎアルゴリズムを実行する装置とを別の装置としてもよい。

　暗号化装置２００は、鍵生成装置１００によって生成された公開パラメータＰＰと、属性ベクトルｗと、０又は１を示す１ビットのメッセージＭとを入力として、Ｅｎｃアルゴリズムを実行して、暗号文ＣＴを生成する。

　復号装置３００は、鍵生成装置１００によって生成された公開パラメータＰＰ及び秘密鍵ｓｋ_ｖと、暗号化装置２００によって生成された暗号文ＣＴとを入力として、Ｄｅｃアルゴリズムを実行して、０又は１を出力する。

　図２に基づき、実施の形態１に係る鍵生成装置１００の構成を説明する。
　鍵生成装置１００は、パラメータ取得部１１０と、マスター鍵生成部１２０と、秘密鍵生成部１３０と、パラメータ公開部１４０と、秘密鍵出力部１５０とを備える。

　パラメータ取得部１１０は、暗号システム１０の管理者によって入力された、パラメータである１^ｎと１^Ｌと１^Ｎとを取得する。
　パラメータ取得部１１０は、暗号システム１０の管理者によって入力された、述語ベクトルｖを取得する。ここでは、述語ベクトルｖは、秘密鍵ｓｋ_ｖのユーザの属性を示す。

　マスター鍵生成部１２０は、パラメータ取得部１１０によって取得された１^ｎと１^Ｌと１^Ｎとを入力として、Ｓｅｔｕｐアルゴリズムを実行して、公開パラメータＰＰと、マスター鍵ＭＫとを生成する。
　マスター鍵生成部１２０は、基本行列選択部１２１と、ランダム行列選択部１２２と、ランダムベクトル選択部１２３とを備える。

　秘密鍵生成部１３０は、マスター鍵生成部１２０によって生成された公開パラメータＰＰ及びマスター鍵ＭＫと、パラメータ取得部１１０によって取得された述語ベクトルｖとを入力として、ＫｅｙＧｅｎアルゴリズムを実行して、述語ベクトルｖについての秘密鍵ｓｋ_ｖを生成する。
　秘密鍵生成部１３０は、ベクトル分解部１３１と、述語行列生成部１３２と、鍵要素生成部１３３とを備える。

　パラメータ公開部１４０は、マスター鍵生成部１２０によって生成された公開パラメータＰＰを公開する。
　ここでは、パラメータ公開部１４０は、公開パラメータＰＰを公開用のサーバに送信し、インターネット又はイントラネットでアクセス可能にすることにより、公開パラメータＰＰを公開する。公開パラメータＰＰは、暗号化装置２００及び復号装置３００に送信されるといった他の方法により公開されてもよい。

　秘密鍵出力部１５０は、秘密鍵生成部１３０によって生成された秘密鍵ｓｋ_ｖを秘密裡に復号装置３００に出力する。
　ここでは、秘密鍵出力部１５０は、秘密鍵ｓｋ_ｖを何らかの暗号方式で暗号化した上でネットワークを介して送信することにより、秘密鍵ｓｋ_ｖを秘密裡に出力する。秘密鍵ｓｋ_ｖは、記憶媒体に記憶した上で記憶媒体を復号装置３００に配送するといった他の方法により、秘密裡に復号装置３００に出力されてもよい。

　図３に基づき、実施の形態１に係る暗号化装置２００の構成を説明する。
　暗号化装置２００は、パラメータ取得部２１０と、暗号文生成部２２０と、暗号文出力部２３０とを備える。

　パラメータ取得部２１０は、鍵生成装置１００によって生成された公開パラメータＰＰを取得する。
　パラメータ取得部２１０は、暗号化装置２００のユーザによって入力された、属性ベクトルｗと、メッセージＭとを取得する。ここでは、属性ベクトルｗは、暗号文ＣＴを復号可能なユーザの属性を示す。また、ここでは、メッセージＭは、０又は１を示す１ビットの値である。

　暗号文生成部２２０は、パラメータ取得部２１０によって取得された公開パラメータＰＰ及び属性ベクトルｗ及びメッセージＭを入力として、Ｅｎｃアルゴリズムを実行して、暗号文ＣＴを生成する。
　暗号文生成部２２０は、ランダム行列選択部２２１と、乱数選択部２２２と、ノイズ選択部２２３と、暗号要素生成部２２４とを備える。

　暗号文出力部２３０は、暗号文生成部２２０によって生成された暗号文ＣＴを復号装置３００に出力する。
　ここでは、暗号文出力部２３０は、暗号文ＣＴをネットワークを介して復号装置３００に送信することにより、暗号文ＣＴを復号装置３００に出力する。暗号文ＣＴは、記憶媒体に記憶した上で記憶媒体を復号装置３００に配送するといった他の方法により、復号装置３００に出力されてもよい。

　図４に基づき、実施の形態１に係る復号装置３００の構成を説明する。
　復号装置３００は、パラメータ取得部３１０と、復号部３２０とを備える。

　パラメータ取得部３１０は、鍵生成装置１００によって生成された公開パラメータＰＰ及び秘密鍵ｓｋ_ｖを取得する。
　パラメータ取得部３１０は、暗号化装置２００によって生成された暗号文ＣＴを取得する。

　復号部３２０は、パラメータ取得部３１０によって取得された公開パラメータＰＰ及び秘密鍵ｓｋ_ｖ及び暗号文ＣＴを入力として、Ｄｅｃアルゴリズムを実行して、０又は１を出力する。つまり、復号部３２０は、暗号文ＣＴを秘密鍵ｓｋ_ｖによって復号した結果を出力する。
　復号部３２０は、行列計算部３２１と、値計算部３２２と、結果出力部３２３とを備える。

　＊＊＊動作の説明＊＊＊
　図５から図８に基づき、実施の形態１に係る暗号システム１０の動作を説明する。
　実施の形態１に係る暗号システム１０の動作は、実施の形態１に係る暗号方法に相当する。また、実施の形態１に係る暗号システム１０の動作は、実施の形態１に係る暗号プログラムの処理に相当する。

　図５に基づき、実施の形態１に係るＳｅｔｕｐアルゴリズムの処理を説明する。
　上述した通り、Ｓｅｔｕｐアルゴリズムは鍵生成装置１００によって実行される。

　Ｓ１０１のパラメータ取得処理では、パラメータ取得部１１０は、Ｓｅｔｕｐアルゴリズムの入力となるパラメータ１^ｎと１^Ｌと１^Ｎとを取得する。
　ここで、ｎはセキュリティパラメータであり、１以上の整数である。Ｌは、述語ベクトルｖと属性ベクトルｗとの長さを示す１以上の整数である。Ｎは、２以上の整数である。

　以下の説明では、ｑは２より大きい整数であり、ｍはｎより大きい整数であるとする。また、σ及びαは、正の実数ガウスパラメータであるとする。

　Ｓ１０２の基本行列選択処理では、基本行列選択部１２１は、行列Ａ∈Ｚ_ｑ ^ｎ×ｍを、数１１に示すようなベクトルの最大階数集合Ｔ_Ａとともに選択する。基本行列選択部１２１は、非特許文献１に記載されているＴｒａｐＧｅｎアルゴリズムを用いることにより、行列Ａとベクトルの最大階数集合Ｔ_Ａとを選択することが可能である。

　ここで、Ｔ^～ _Ａは、Ｔ_Ａをグラムシュミット直交化したものである。ωは、漸近的な下界を示す記号であり、ω（√ｌｏｇｍ）は、√ｌｏｇｍと同じか少し大きいという意味である。

　Ｓ１０３のランダム行列選択処理では、ランダム行列選択部１２２は、ｉ＝１，．．．，Ｌの各整数ｉと、γ＝０，．．．，ｋの各整数γとについてのＬ・（ｋ＋１）個の一様にランダムな行列Ａ_ｉ，γ∈Ｚ_ｑ ^ｎ×ｍを選択する。
　なお、Ｚ_ｑとは、ｑを法とする整数空間を意味する。また、Ｚ_ｑ ^ａにおけるａは要素数を表している。そのため、行列Ａ_ｉ，γ∈Ｚ_ｑ ^ｎ×ｍは、ｑを法とする整数空間におけるｎ行ｍ列の行列を意味する。

　Ｓ１０４のランダムベクトル選択処理では、ランダムベクトル選択部１２３は、ｊ＝１，．．．，Ｎの各整数ｊについてのｊ個の一様にランダムなベクトルｕ_ｊ∈Ｚ_ｑ ^ｎを選択する。

　Ｓ１０５の鍵生成処理では、マスター鍵生成部１２０は、Ｓ１０２からＳ１０４で生成された行列Ａと、Ｌ・（ｋ＋１）個の行列Ａ_ｉ，γと、ｊ個のベクトルｕ_ｊとを公開パラメータＰＰとする。また、マスター鍵生成部１２０は、Ｓ１０２で生成されたベクトルの集合Ｔ_Ａをマスター鍵ＭＫとする。

　Ｓ１０６のパラメータ公開処理では、パラメータ公開部１４０は、Ｓ１０５で生成された公開パラメータＰＰを公開する。

　図６に基づき、実施の形態１に係るＫｅｙＧｅｎアルゴリズムの処理を説明する。
　上述した通り、ＫｅｙＧｅｎアルゴリズムは鍵生成装置１００によって実行される。

　Ｓ２０１のパラメータ取得処理では、パラメータ取得部１１０は、述語ベクトルｖ：＝（ｖ_１，．．．，ｖ_Ｌ）∈Ｚ_ｑ ^Ｌを取得する。また、秘密鍵生成部１３０は、マスター鍵生成部１２０によって生成された公開パラメータＰＰ及びマスター鍵ＭＫを取得する。

　Ｓ２０２のベクトル分解処理では、ベクトル分解部１３１は、ｉ＝１，．．．，Ｌの各整数ｉについての述語ベクトルｖの要素ｖ_ｉを数１２に示すように２進分解する。

　ここで、ｖ_ｉ，γは、０又は１である。

　Ｓ２０３の述語行列生成処理では、述語行列生成部１３２は、Ｓ２０２で分解され生成された値ｖ_ｉ，γと、Ｓ２０１で取得された公開パラメータＰＰに含まれる行列Ａ_ｉ，γとを用いて、数１３に示すように行列Ｃ_ｖと、行列Ａ_ｖとを生成する。

　ここでは、入力パラメータＹが述語ベクトルｖであるため、行列Ａ_ｖはキーテクニックで説明した行列Ａ_Ｙに相当する。

　Ｓ２０４のインデックス選択処理では、鍵要素生成部１３３は、集合［Ｎ］：＝１，．．．，Ｎに含まれる値からランダムに値ｊを選択する。

　Ｓ２０５の鍵要素生成処理では、鍵要素生成部１３３は、Ｓ２０４で選択された値ｊについて、行列Ａ_ｖとベクトルｅとの積がベクトルｕ_ｊとなる、つまりＡ_ｖ・ｅ＝ｕ_ｊ　ｍｏｄ　ｑとなるベクトルｅを計算する。
　ここでは、鍵要素生成部１３３は、Ｓ２０１で取得された公開パラメータＰＰに含まれる行列Ａと、Ｓ２０３で生成された行列Ｃ_ｖと、マスター鍵ＭＫである集合Ｔ_Ａと、公開パラメータＰＰに含まれるベクトルｕ_ｊと、ガウスパラメータσとを入力として、ＳａｍｐｌｅＬｅｆｔアルゴリズムを実行して、ランダムにベクトルｅを計算する。なお、ＳａｍｐｌｅＬｅｆｔアルゴリズムについては、非特許文献１に記載されている。ベクトルｅが計算できるのであれば、ＳａｍｐｌｅＬｅｆｔアルゴリズム以外の方法であってもよい。

　Ｓ２０６の秘密鍵出力処理では、秘密鍵出力部１５０は、Ｓ２０１で取得された述語ベクトルｖと、Ｓ２０４で選択された値ｊと、Ｓ２０５で計算されたベクトルｅとを鍵要素とする秘密鍵ｓｋ_ｖを出力する。

　図７に基づき、実施の形態１に係るＥｎｃアルゴリズムの処理を説明する。
　上述した通り、Ｅｎｃアルゴリズムは暗号化装置２００によって実行される。

　Ｓ３０１のパラメータ取得処理では、パラメータ取得部２１０は、パラメータ公開部１４０によって公開された公開パラメータＰＰを取得する。また、パラメータ取得部２１０は、属性ベクトルｗ：＝（ｗ_１，．．．，ｗ_Ｌ）と、メッセージＭ∈｛０，１｝とを取得する。

　Ｓ３０２のランダム行列選択処理では、ランダム行列選択部２２１は、一様にランダムな行列Ｂ∈Ｚ_ｑ ^ｎ×ｍを選択する。

　Ｓ３０３の乱数選択処理では、乱数選択部２２２は、ベクトルｓ∈Ｚ_ｑ ^ｎをランダムに選択する。

　Ｓ３０４のノイズ選択処理では、ノイズ選択部２２３は、確率分布φ_αからｍ個の要素を有するノイズベクトルＸをランダムに選択するとともに、確率分布φ_αからノイズ項ｘをランダムに選択する。
　ここで、確率分布φ_αは、α∈（０，１）と，２より大きい整数ｑとに対して、平均０であり、標準偏差α／√（２π）の正規分布（ガウス分布）から実数ｘを生成し、ｑｘに最も近い整数を出力することにより得られたＺ_ｑ：＝Ｚ／ｑＺ上の確率分布である。

　Ｓ３０５のｃ_０生成処理では、暗号要素生成部２２４は、Ｓ３０１で取得された公開パラメータＰＰに含まれる行列Ａと、Ｓ３０３で選択されたベクトルｓと、Ｓ３０４で生成されたノイズベクトルＸとを用いて、ｃ_０：＝Ａ^Ｔｓ＋Ｘのように、行列ｃ_０を計算する。

　Ｓ３０６のｃ_ｉ，γ生成処理では、暗号要素生成部２２４は、ｉ＝１，．．．，Ｌの各整数ｉと、γ＝０，．．．，ｋの各整数γとについて、以下の（ａ）（ｂ）を実行する。
　（ａ）暗号要素生成部２２４は、ランダムな行列Ｒ_ｉ，γ∈｛０，１｝^ｍ×ｍを選択する。（ｂ）暗号要素生成部２２４は、Ｓ３０１で取得された公開パラメータＰＰに含まれる行列Ａ_ｉ，γと、Ｓ３０１で取得された属性ベクトルｗと、Ｓ３０２で選択された行列Ｂと、Ｓ３０３で選択されたベクトルｓと、Ｓ３０４で生成されたノイズベクトルＸとを用いて、ｃ_ｉ，γ：＝（Ａ_ｉ，γ＋２^γｗ_ｉＢ）^Ｔｓ＋Ｒ_ｉ，γ ^ＴＸのように、行列ｃ_ｉ，γを計算する。

　Ｓ３０７のｃ’_ｊ生成処理では、暗号要素生成部２２４は、ｊ＝１，．．．，Ｎの各整数ｊについて、Ｓ３０１で取得された公開パラメータＰＰに含まれるベクトルｕ_ｊと、Ｓ３０３で選択されたベクトルｓと、Ｓ３０４で選択されたノイズ項ｘと、Ｓ３０１で取得されたメッセージＭとを用いて、ｃ’_ｊ：＝ｕ_ｊ ^Ｔｓ＋ｘ＋Ｍ・“２／ｑ”∈Ｚ_ｑのように、行列ｃ’_ｊを計算する。つまり、暗号要素生成部２２４は、集合［Ｎ］に含まれる各値について、行列ｃ’_ｊを計算する。
　ここで、“２／ｑ”は、２／ｑに最も近い整数を意味する。

　Ｓ３０８の暗号文出力処理では、暗号文出力部２３０は、Ｓ３０５で計算された行列ｃ_０と、Ｓ３０６で計算された行列ｃ_ｉ，γと、Ｓ３０７で計算された行列ｃ’_ｊとを暗号要素とする暗号文ＣＴを出力する。

　図８に基づき、実施の形態１に係るＤｅｃアルゴリズムの処理を説明する。
　上述した通り、Ｄｅｃアルゴリズムは復号装置３００によって実行される。

　Ｓ４０１のパラメータ取得処理では、パラメータ取得部３１０は、パラメータ公開部１４０によって公開された公開パラメータＰＰを取得する。また、パラメータ取得部３１０は、秘密鍵出力部１５０によって出力された秘密鍵ｓｋ_ｖを取得する。また、パラメータ取得部３１０は、暗号文出力部２３０によって出力された暗号文ＣＴを取得する。

　Ｓ４０２の行列計算処理では、行列計算部３２１は、Ｓ４０１で取得された秘密鍵ｓｋ_ｖに含まれる述語ベクトルｖと、Ｓ４０１で取得された暗号文ＣＴに含まれる行列ｃ_ｉ，γとを用いて、数１４に示すように、行列ｃ_ｖを計算する。

　Ｓ４０３の値計算処理では、値計算部３２２は、暗号文ＣＴに含まれる行列ｃ_０と、Ｓ４０２で計算された行列ｃ_ｖとを連接して行列ｃを計算する。つまり、値計算部３２２は、ｃ：＝［ｃ_０｜｜ｃ_ｖ］とする。
　そして、値計算部３２２は、暗号文ＣＴに含まれる行列ｃ’_ｊと、秘密鍵ｓｋ_ｖに含まれるベクトルｅと、行列ｃとを用いて、ｚ：＝ｃ’_ｊ－ｅ^Ｔｃ　ｍｏｄ　ｑのように、値ｚを計算する。

　Ｓ４０４の結果出力処理では、結果出力部３２３は、Ｓ４０３で計算された値ｚの絶対値｜ｚ｜が、ｑ／４よりも小さいなら０を出力し、そうでないなら、１を出力する。

　ノイズベクトルＸとノイズ項ｘとを“ｎｏｉｓｅ”と表記する。すると、述語ベクトルｖと属性ベクトルｗとの内積が０（ｖ・ｗ＝０）なら、ｃ_ｖ：＝Σ_ｉ＝１ ^ＬΣ_γ＝０ ^ｋｖ_ｉ，γｃ_ｉ，γ＝Ｃ_ｖ ^Ｔｓ＋ｎｏｉｓｅである。そのため、ｃ：＝［ｃ_０｜｜ｃ_ｖ］＝［Ａ｜｜Ｃ_ｖ］^Ｔｓ＋ｎｏｉｓｅ＝Ａ_ｖ ^Ｔｓ＋ｎｏｉｓｅである。Ａ_ｖ・ｅ＝ｕ_ｊなので、ｅ^Ｔｃ＝ｅ^ＴＡ_ｖ ^Ｔｓ＋ｎｏｉｓｅ＝ｕ^Ｔｓ＋ｎｏｉｓｅである。したがって、ｚ＝Ｍ・“ｑ／２”＋ｎｏｉｓｅである。ここで、“２／ｑ”は、２／ｑに最も近い整数である。
　メッセージＭは０又は１であり、ｎｏｉｓｅはφ_αから選択されたものであり、小さい値である。そのため、絶対値｜ｚ｜が、ｑ／４よりも小さいなら、メッセージＭは０であり、そうでないなら、メッセージＭは１であるということができる。

　＊＊＊効果の説明＊＊＊
　以上のように、実施の形態１に係る暗号システム１０は、格子理論に基づく関数型暗号方式を実現する。特に、実施の形態１に係る暗号システム１０は、複数の値を含む集合Ｎから選択された値ｊについての行列ｕ_ｊを用いて、行列ターゲット等式“Ａ_ｖ・ｅ＝ｕ_ｊ”を満たすベクトルｅを鍵要素とする秘密鍵ｓｋ_ｖ生成する。
　これにより、秘密鍵の条件が満たされるような属性をもつ暗号文から余計な情報が漏れないようにすることが可能である。

　なお、上記関数型暗号方式では、ｅ及びｕ_ｊがベクトルであった。しかし、キーテクニックを適用するアルゴリズムによっては、ｅ及びｕ_ｊは行列になる。

　また、上記説明では、行列Ａ_Ｙと行列ｅと行列ｕ_ｊとについて、行列ターゲット等式Ａ_Ｙ・ｅ＝ｕ_ｊを満たす行列ｅを鍵要素とする秘密鍵を生成するとした。しかし、行列Ａ_Ｙと行列ｅと行列ｕ_ｊとは、関数空間の要素と読み替えてもよい。また、行列Ａ_Ｙと行列ｅと行列ｕ_ｊとは、無限次元ベクトルと読み替えてもよい。

　また、上記説明では、行列ｅは、行列Ａ_Ｙに比べてノルムが短いとした。
　行列ｅは、ＳａｍｐｌｅＬｅｆｔアルゴリズムによって計算される。ＳａｍｐｌｅＬｅｆｔアルゴリズムでは、行列ｅは、ガウス分布Ｄ_Λ，σからサンプリングして選択される。そのため、行列ｅは、ほぼガウス分布Ｄ_Λ，σに従って分布している。
　この場合、標準偏差値σが実質的な分布の幅を２σ√（ｍ＋ｍ_１）に定めている。標準偏差値σは、大体、Ｏ（√（ｎ・（ｍ＋ｍ１））・ｌｏｇｑ・ｌｏｇ（ｍ＋ｍ_１））と同じくらいである。そのため、行列ｅの長さも、適当な定数ｃを使って、ほぼｃ√（ｎ・（ｍ＋ｍ_１））・ｌｏｇｑ・ｌｏｇ（ｍ＋ｍ_１）である。なお、ｍ_１は、正の整数である。

　図９は、実施の形態１に係る鍵生成装置１００と暗号化装置２００と復号装置３００とのハードウェア構成例を示す図である。
　鍵生成装置１００と暗号化装置２００と復号装置３００とはコンピュータである。
　鍵生成装置１００と暗号化装置２００と復号装置３００とは、プロセッサ９０１、補助記憶装置９０２、メモリ９０３、通信装置９０４、入力インタフェース９０５、ディスプレイインタフェース９０６といったハードウェアを備える。
　プロセッサ９０１は、信号線９１０を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
　入力インタフェース９０５は、ケーブル９１１により入力装置９０７に接続されている。
　ディスプレイインタフェース９０６は、ケーブル９１２によりディスプレイ９０８に接続されている。

　プロセッサ９０１は、プロセッシングを行うＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）である。プロセッサ９０１は、例えば、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）、ＧＰＵ（Ｇｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。
　補助記憶装置９０２は、例えば、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、フラッシュメモリ、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）である。
　メモリ９０３は、例えば、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）である。
　通信装置９０４は、データを受信するレシーバー９０４１及びデータを送信するトランスミッター９０４２を含む。通信装置９０４は、例えば、通信チップ又はＮＩＣ（Ｎｅｔｗｏｒｋ　Ｉｎｔｅｒｆａｃｅ　Ｃａｒｄ）である。
　入力インタフェース９０５は、入力装置９０７のケーブル９１１が接続されるポートである。入力インタフェース９０５は、例えば、ＵＳＢ（Ｕｎｉｖｅｒｓａｌ　Ｓｅｒｉａｌ　Ｂｕｓ）端子である。
　ディスプレイインタフェース９０６は、ディスプレイ９０８のケーブル９１２が接続されるポートである。ディスプレイインタフェース９０６は、例えば、ＵＳＢ端子又はＨＤＭＩ（登録商標）（Ｈｉｇｈ　Ｄｅｆｉｎｉｔｉｏｎ　Ｍｕｌｔｉｍｅｄｉａ　Ｉｎｔｅｒｆａｃｅ）端子である。
　入力装置９０７は、例えば、マウス、キーボード又はタッチパネルである。
　ディスプレイ９０８は、例えば、ＬＣＤ（Ｌｉｑｕｉｄ　Ｃｒｙｓｔａｌ　Ｄｉｓｐｌａｙ）である。

　パラメータ取得部１１０と、パラメータ公開部１４０と、秘密鍵出力部１５０と、パラメータ取得部２１０と、暗号文出力部２３０と、パラメータ取得部３１０とは、通信装置９０４によって実現される。パラメータ取得部１１０と、パラメータ取得部２１０と、パラメータ取得部３１０とは、入力インタフェース９０５によって実現されてもよい。
　結果出力部３２３は、ディスプレイインタフェース９０６によって実現される。

　補助記憶装置９０２には、上述したマスター鍵生成部１２０と、基本行列選択部１２１と、ランダム行列選択部１２２と、ランダムベクトル選択部１２３と、秘密鍵生成部１３０と、ベクトル分解部１３１と、述語行列生成部１３２と、鍵要素生成部１３３と、暗号文生成部２２０と、ランダム行列選択部２２１と、乱数選択部２２２と、ノイズ選択部２２３と、暗号要素生成部２２４と、復号部３２０と、行列計算部３２１と、値計算部３２２と（以下、マスター鍵生成部１２０と、基本行列選択部１２１と、ランダム行列選択部１２２と、ランダムベクトル選択部１２３と、秘密鍵生成部１３０と、ベクトル分解部１３１と、述語行列生成部１３２と、鍵要素生成部１３３と、暗号文生成部２２０と、ランダム行列選択部２２１と、乱数選択部２２２と、ノイズ選択部２２３と、暗号要素生成部２２４と、復号部３２０と、行列計算部３２１と、値計算部３２２とをまとめて「部」と表記する）の機能を実現するプログラムが記憶されている。
　このプログラムは、メモリ９０３にロードされ、プロセッサ９０１に読み込まれ、プロセッサ９０１によって実行される。
　更に、補助記憶装置９０２には、ＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）も記憶されている。
　そして、ＯＳの少なくとも一部がメモリ９０３にロードされ、プロセッサ９０１はＯＳを実行しながら、「部」の機能を実現するプログラムを実行する。
　図９では、１つのプロセッサ９０１が図示されているが、鍵生成装置１００と暗号化装置２００と復号装置３００とが複数のプロセッサ９０１を備えていてもよい。そして、複数のプロセッサ９０１が「部」の機能を実現するプログラムを連携して実行してもよい。
　また、「部」の処理の結果を示す情報やデータや信号値や変数値が、メモリ９０３、補助記憶装置９０２、又は、プロセッサ９０１内のレジスタ又はキャッシュメモリにファイルとして記憶される。

　「部」を「サーキットリー」で提供してもよい。また、「部」を「回路」又は「工程」又は「手順」又は「処理」に読み替えてもよい。「回路」及び「サーキットリー」は、プロセッサ９０１だけでなく、ロジックＩＣ又はＧＡ（Ｇａｔｅ　Ａｒｒａｙ）又はＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）又はＦＰＧＡ（Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）といった他の種類の処理回路をも包含する概念である。

　１０　暗号システム、１００　鍵生成装置、１１０　パラメータ取得部、１２０　マスター鍵生成部、１２１　基本行列選択部、１２２　ランダム行列選択部、１２３　ランダムベクトル選択部、１３０　秘密鍵生成部、１３１　ベクトル分解部、１３２　述語行列生成部、１３３　鍵要素生成部、１４０　パラメータ公開部、１５０　秘密鍵出力部、２００　暗号化装置、２１０　パラメータ取得部、２２０　暗号文生成部、２２１　ランダム行列選択部、２２２　乱数選択部、２２３　ノイズ選択部、２２４　暗号要素生成部、２３０　暗号文出力部、３００　復号装置、３１０　パラメータ取得部、３２０　復号部、３２１　行列計算部、３２２　値計算部、３２３　結果出力部。

Claims (6)

1. 　入力パラメータＹによって定まる行列Ａ_Ｙと、行列ｅとの積が、公開パラメータＰＰから得られる複数の行列ｕのうちの行列ｕ_ｊであって、複数の値を含む集合［Ｎ］のうちの値ｊについての行列ｕ_ｊになる前記行列ｅを鍵要素として含む秘密鍵を、前記入力パラメータＹについての秘密鍵として生成する鍵生成装置と、
   　前記集合［Ｎ］に含まれる各値についての暗号要素を含む暗号文を生成する暗号化装置と、
   　前記暗号文に含まれる暗号要素のうちの前記値ｊについての暗号要素と、前記秘密鍵とを用いて、前記暗号文を復号する復号装置と
   を備える暗号システム。
2. 　前記行列ｅは、前記行列Ａ_Ｙ及び行列ｕ_ｊよりもノルムが短い
   請求項１に記載の暗号システム。
3. 　前記各値についての暗号要素は、その値についての行列ｕを用いて生成された
   請求項１又は２に記載の暗号システム。
4. 　前記行列Ａ_Ｙは、前記入力パラメータＹである述語ベクトルｖが設定された行列Ａ_ｖであり、
   　前記暗号化装置は、前記各値についての暗号要素に加えて、属性ベクトルｗを設定した暗号要素を含む暗号文を生成する
   請求項１から３までのいずれか１項に記載の暗号システム。
5. 　前記鍵生成装置は、数１に示す行列ｅを前記鍵要素として生成し、
   　前記暗号化装置は、数２に示すｃ_０と、数３に示すｃ_ｉ，γと、数４に示すｃ’_ｊとを前記暗号要素として生成し、
   　前記復号装置は、数５に示す計算をして、前記暗号文を復号する
   請求項４に記載の暗号システム。
   

   

   

   

   

   
6. 　入力パラメータＹと公開パラメータＰＰとを取得するパラメータ取得部と、
   　前記パラメータ取得部が取得した入力パラメータＹによって定まる行列Ａ_Ｙと、行列ｅとの積が、公開パラメータＰＰから得られる複数の行列ｕのうちの行列ｕ_ｊであって、複数の値を含む集合［Ｎ］のうちの値ｊについての行列ｕ_ｊになる前記行列ｅを秘密鍵の鍵要素として生成する秘密鍵生成部と
   を備える鍵生成装置。

Images