WO2017126571A1

WO2017126571A1 - 暗号文管理方法、暗号文管理装置及びプログラム

Info

Publication number: WO2017126571A1
Application number: PCT/JP2017/001608
Authority: WO
Inventors: 寛之尾崎
Original assignee: リアル・テクノロジー株式会社; 寛之尾崎
Priority date: 2016-01-18
Filing date: 2017-01-18
Publication date: 2017-07-27
Also published as: EP3407531A1; JP6703706B2; CN108463971A; JP2017130720A; EP3407531B1; US10854114B2; US20190027067A1; EP3407531A4

Abstract

情報分散・分散保存方式において不公平性を導入することにより、新たな暗号文データの管理を実現する暗号文管理方法等を提供する。暗号文データの分割に加えて鍵データの分割を行い、さらに、分割暗号文データと分割鍵データの組み合わせを行うときに、従来と同様に分割暗号文データ及び／又は分割鍵データを重複せずに組み合わせたものと、新たに、分割暗号文データ及び／又は分割鍵データを重複して組み合わせたものを生成する。重複しない組み合わせでは、従来と同様に平等性を担保し、閾値数以上の分割暗号文データ及び分割鍵データの組み合わせを集めることによって、暗号文データ及び鍵データを復元し、秘密データを復号することができる。重複した組み合わせでは、閾値数を集めても、暗号文データ及び／又は鍵データを復元できない。これにより、公平性を導入する。

Description

暗号文管理方法、暗号文管理装置及びプログラム

　本発明は、暗号文管理方法、暗号文管理装置及びプログラムに関し、特に、暗号文データを管理する暗号文管理方法等に関する。

　Krawczykは、RabinのＩＤＡ（Information Dispersal Algorithm）とShamirのＰＳＳ（Perfect Sharing Scheme）を組み合わせた、計算量的に安全なＳＳ（Secret Sharing）を提案している（SSMS、非特許文献１参照）。まず、秘密データを秘密鍵暗号で暗号化する。そして、暗号化データはＩＤＡで分散し、秘密鍵はＰＳＳで分割する。これにより、分散秘密データの大きさを、単にShamirを適用するよりも、大幅に削減することができる。
＜分散処理＞
　（Dis1）まず、暗号化鍵Ｋをランダムに選ぶ。秘密データＳを暗号関数ＥＮＣ、鍵Ｋで暗号化する。Ｅ＝ＥＮＣ_K（Ｓ）。
　（Dis2）ＥをＩＤＡ（α，β）でβ個に分割する：Ｅ₁，Ｅ₂，…，Ｅ_β
　（Dis3）ShamirのＰＳＳ（α，β）で、鍵Ｋをβ個に分割する：Ｋ₁，Ｋ₂，…，Ｋ_β
　（Dis4）各プレイヤーＰ_i（ｉ＝１，２，…，β）には、Ｓ_i＝（Ｅ_i，Ｋ_i）を配布する。ただし、Ｋ_iは、秘密裏にＰ_iに送る必要がある。
＜復元・復号処理＞
　（Rec1）プレイヤーが集まり、α個の組み合わせＳ_j＝（Ｅ_j，Ｋ_j）（ｊは、β以下で、α個の異なる自然数）を持ち寄る。
　（Rec2）ＩＤＡを使って、α個のＥ_jからＥを復元する
　（Rec3）ＰＳＳを使って、α個のＫ_jからＫを復元する。
　（Rec4）Ｋを使ってＥからＳを復号する。Ｓ＝ＤＥＣ_K（Ｅ）

Krawczyk,H. Secret sharing made short, CRYPTO’93, 1993.

　従来、情報分割・分散保存方式は、分割された全ての小片が「対等」であることを最大の特徴としてきた。例えば非特許文献１の手法における分散処理では、Ｅ_iの個数とＫ_iの個数は同数である。そして、Ｓ_iでは、全ての異なるＥ_iには、異なるＫ_iが組み合わされる。そのため、各Ｅ_iは対等なものであり、各プレイヤーＰ_iに対等な小片を配布する。

　しかしながら、この情報分割・分散保存方式の対等性が、運用現場においては規制事項となる。例えば、非特許文献１記載の手法において、（３，５）型秘密分散で、５つに分割し、そのうちの３つを集めれば復元できるとする。この場合、その３つを持った社員が一斉に退職してファイルを持ち出したならば、それが悪意を持った第三者に渡り、情報が漏えいする可能性がある。このように、従来、公平性を重視して設計されてきた情報分割・分散保存方式の利点が、組織管理の立場からは逆に問題点になる。

　さらに、非特許文献１では、Ｋ_iを秘密裏にＰ_iに送る必要性を指摘するのみである。Ｅ_iやＫ_iの情報が漏えいした場合について、十分に検討できていない。

　ゆえに、本発明は、情報分散・分散保存方式において不公平性を導入することにより、新たな暗号文データの管理を実現する暗号文管理方法等を提供することを目的とする。

　本願発明の第１の観点は、暗号文データを管理する暗号文管理方法であって、暗号文管理装置が備える暗号化手段が、鍵データを用いて秘密データを暗号化して前記暗号文データを得る暗号化ステップと、前記暗号文管理装置が備える分割手段が、前記暗号文データ及び前記鍵データを分割してそれぞれｍ個（ｍは自然数）の分割暗号文データ及びｎ個（ｎは自然数）の分割鍵データとする分割ステップと、前記暗号文管理装置が備える配布手段が、前記分割暗号文データと前記分割鍵データの組み合わせを行うリンクステップを含み、前記リンクステップにおいて、前記組み合わせは、前記分割暗号文データと前記分割鍵データが共に１回のみ組み合わされる平等な組み合わせと、前記分割暗号文データと前記分割鍵データの少なくとも一方が複数回組み合わされる不平等な組み合わせを含むものである。

　本願発明の第２の観点は、第１の観点の暗号文管理方法であって、前記分割ステップにおいて、前記分割暗号文データと前記分割鍵データの分割後の個数は異なり、前記リンクステップにおいて、前記配布手段は、ｎ＞ｍのとき、ｍ－１個の前記分割暗号文データとｍ－１個の前記分割鍵データをそれぞれ組み合わせてｍ－１個の平等な組み合わせを生じ、他のｎ－ｍ＋１個の前記分割暗号文データと他の１個の前記分割鍵データを組み合わせてｎ－ｍ＋１個の不平等な組み合わせを生じ、ｎ＜ｍのとき、ｎ－１個の前記分割暗号文データとｎ－１個の前記分割鍵データをそれぞれ組み合わせてｎ－１個の組み合わせを生じ、他の１個の前記分割暗号文データと他のｍ－ｎ＋１個の前記分割鍵データを組み合わせてｍ－ｎ＋１個の組み合わせを生じるものである。

　本願発明の第３の観点は、第１又は第２の観点の暗号文管理方法であって、前記分割ステップにおいて、前記分割手段は、ｓ個（ｓは、２以上ｍ未満の自然数）の前記分割暗号文データにより前記暗号文データを復元でき、及び、ｔ個（ｔは、２以上ｎ未満の自然数）の前記分割鍵データにより前記鍵データを復元できるように分割し、前記リンクステップにおいて、前記不平等な組み合わせの全体において、前記分割暗号文データの個数はｓ個未満であり、及び／又は、前記分割鍵データの個数はｔ個未満であるものである。

　本願発明の第４の観点は、暗号文データを管理する暗号文管理装置であって、鍵データを用いて秘密データを暗号化して前記暗号文データを得る暗号化手段と、前記暗号文データ及び前記鍵データを分割して複数の分割暗号文データ及び複数の分割鍵データとする分割手段と、前記分割暗号文データと前記分割鍵データの組み合わせを行う配布手段を備え、前記組み合わせは、前記分割暗号文データと前記分割鍵データが共に１回のみ組み合わされる平等な組み合わせと、前記分割暗号文データと前記分割鍵データの少なくとも一方が複数回組み合わされる不平等な組み合わせを含むものである。

　本願発明の第５の観点は、コンピュータを、第４の観点の暗号文管理装置として機能させるためのプログラムである。

　なお、本願発明を、第５の観点のプログラムを記録するコンピュータ読み取り可能な記録媒体として捉えてもよい。

　また、本願発明を、前記配布手段が、保持装置に対して、前記分割暗号文データと前記分割鍵データの組み合わせを保持させる保持ステップを含むものとして捉えてもよい。ここで、保持装置は、パソコンやスマートフォンなどのようなプレイヤーが所有する情報処理装置でもよく、サーバのようにプレイヤーが通信してアクセスするものでもよく、また、ＵＳＢメモリなどのように情報を記憶する記憶装置であってもよい。

　例えばサーバであれば、プレイヤーがアクセスをしてきたときに、適切なユーザ認証工程を経て、そのプレイヤーがアクセスを許可されたプレイヤーであるかを検出し、アクセスの許可／拒否をコントロールすることにより秘密漏えいを防ぐこともできる。

　また、平等な組み合わせと不平等な組み合わせを地理的にも異なる保存装置に保管することより、プレイヤーは各々のアクセス権に応じて許可された複数の保存装置から分割暗号文データと分割鍵を集めて秘密データを復元・復号できるので、耐故障性、耐災害性を高めることができる。

　本願発明の各観点によれば、平等な組み合わせに加えて、不平等な組み合わせを生じることにより、情報分散・分散保存方式による新たな秘密保持を実現することができる。

　例えば、分割暗号文データ及び分割鍵データを（３，５）型秘密分散し、それぞれ、５個に分割して、そのうちの３個を集めれば復元できるとする。平等な組み合わせは、３個の組み合わせを集めれば秘密データを復元することができる。そのため、従来と同様に、公平性が担保されている。他方、不平等な組み合わせでは、同じデータを含む３個の組み合わせを集めても秘密データを復元することはできず、不公平なものとなっている。

　さらに、本願発明の第２の観点によれば、不平等な組み合わせにおいては分割暗号文データと分割鍵データのいずれかが異なるため、不平等な組み合わせの情報が漏えいした場合でも、誰が漏えいしたかを特定することができる。

　さらに、本願発明の第３の観点によれば、不平等な組み合わせを集めてもｓ個未満の分割暗号文データ及び／又はｔ個未満の分割鍵データを得られるにすぎず、秘密データを復号することができない。そのため、平等な組み合わせの漏えいを防ぐことにより、秘密状態を保持することが可能となる。よって、秘密管理の負担が大幅に減少する。

　なお、Shamirはシェア受取人の重要度により、シェアの数を変えて配布するという階層構造を作る提案をしている。しかし、このShamir提案では、上位層の受取人は自分だけで秘密を合成できるという特権を持つことにはなるが、下位層の受取人が何人か集まることで秘密を合成できてしまうので、秘密の漏えいを防止することはできない。本願発明においてはこれを防止すべく、同じ階層構造においても、下位層の受取人だけでは秘密が合成できない構造を作ることができる。

本願発明の実施の形態に係る暗号文管理システムの一例を示す図である。図１の（ａ）暗号文管理装置３、（ｂ）サーバ群５の各サーバ、及び、（ｃ）復元装置群７の各復元装置の構成の一例を示すブロック図である。図１の（ａ）暗号文管理装置３、（ｂ）サーバ、（ｃ）トップ復元装置２１、リーダー復元装置２３及びフォロワー復元装置２５の動作の一例を示すフロー図である。本願発明の事例における暗号文管理システムの構成を示す図である。

　以下、図面を参照して、本願発明の実施例について述べる。なお、本願発明の実施の形態は、以下の実施例に限定されるものではない。

　組織内に、一つのチームがあるとする。チームには、リーダーと複数のフォロワーがいる。さらに、トップが、チーム外から管理している。

　図１は、本願発明の実施の形態に係る暗号文管理システムの一例を示す図である。暗号文管理システム１は、暗号文管理装置３（本願請求項の「暗号文管理装置」の一例）と、サーバ群５（本願請求項の「保持装置」の一例）と、復元装置群７を備える。

　サーバ群５は、トップサーバ群１１と、リーダーサーバ群１３を備える。

　復元装置群７は、トップ復元装置２１と、リーダー復元装置２３と、フォロワー復元装置２５₁，…，２５_rを備える。なお、符号の添え字は、省略する場合もある。復元装置は、各プレイヤーが使用するものであり、パソコンなどである。なお、暗号文データや鍵データや秘密データなどは、ハードディスクなどには保存せず、メモリなどに一時的に保存することにより、情報漏えいを防ぐ。

　トップサーバ群１１は、トップが管理する一つ又は複数のサーバである。他のプレイヤーは、トップの許可により、保持する情報にアクセスすることができる。トップ復元装置２１は、トップが使用する復元装置である。

　リーダーサーバ群１３は、リーダーが管理する一つ又は複数のサーバである。フォロワーは、リーダーの許可により、保持する情報にアクセスすることができる。リーダー復元装置２３は、リーダーが使用する復元装置である。

　フォロワー復元装置２５は、フォロワーが使用する復元装置である。

　暗号文管理装置３は、鍵データを利用して秘密データの暗号文を作成し、暗号文データ及び鍵データを分割し、サーバ群５や復元装置群７に対して分割暗号文データ及び分割鍵データの組み合わせを配布する。サーバや復元装置では、暗号文管理装置３から分割暗号文データ及び分割鍵データの組み合わせを受信して保管する。復元装置は、分割暗号文データ及び分割鍵データから暗号文データ及び鍵データを復元し、鍵データを用いて暗号文データから秘密データを復号する。以下では、簡単のために、「データ」の表現を省略する場合がある。ここで、組み合わせは、２つのデータ部分を物理的に一つにする場合（一般的にコンピュータ業界での「リンク」）と、ただペアとして扱う場合（一般用語としての「リンク」）を意味するものである。

　図２は、（ａ）暗号文管理装置３、（ｂ）サーバ群５の各サーバ、及び、（ｃ）復元装置群７の各復元装置の構成の一例を示すブロック図である。図３は、（ａ）暗号文管理装置３、（ｂ）サーバ、（ｃ）トップ復元装置２１、リーダー復元装置２３及びフォロワー復元装置２５の動作の一例を示すフロー図である。

　図２（ａ）及び図３（ａ）を参照して、暗号文管理装置の構成及び動作の一例を説明する。

　暗号文管理装置３１は、秘密データ記憶部３３と、鍵記憶部３５と、暗号文記憶部３７と、分割暗号文記憶部３９と、分割鍵記憶部４１と、暗号化部４３（本願請求項の「暗号化手段」の一例）と、分割部４３（本願請求項の「分割手段」の一例）と、配布部４５（本願請求項の「配布手段」の一例）を備える。

　秘密データ記憶部３３は、秘密データを記憶する。鍵記憶部３５は、鍵を記憶する。

　暗号化部４３は、鍵を使って秘密データを暗号化して暗号文を生成する（ステップＳＴＭ１）。暗号文記憶部３７は、暗号文を記憶する。

　分割部４５は、暗号文及び鍵を分割して、分割暗号文及び分割鍵を生成する（ステップＳＴＭ２）。分割部４５は、（ｓ，ｍ）型秘密分散で、暗号文Ｅをｍ個の分割暗号文Ｅ_q（ｑ＝１，…，ｍ）に分割して、そのうちのｓ個を集めれば復元できるようにする。また、分割部４５は、（ｔ，ｎ）型秘密分散で、鍵Ｋをｎ個の分割鍵Ｋ_q（ｑ＝１，…，ｎ）に分割し、そのうちのｔ個を集めれば復元できるようにする。分割暗号文記憶部３９は、分割暗号文を記憶する。分割鍵記憶部４１は、分割鍵を記憶する。ここで、ｍは自然数であり、ｓは、２以上ｍ未満の自然数である。また、ｎは自然数であり、ｔは、２以上ｎ未満の自然数である。また、簡単のために、ｓ＝ｔ及びｍ＞ｎであり、分割暗号文の個数は分割鍵の個数よりも多く、同じ個数ｓで復元処理ができるものとする。

　配布部４７は、分割暗号文と分割鍵の組み合わせＳ_q（ｑ＝１，…，ｍ）を生成する（ステップＳＴＭ３）。Ｓ_q＝（Ｅ_q，Ｋ_q）（ｑ＝１，…，ｎ－１）とし、Ｓ_q＝（Ｅ_q，Ｋ_n）（ｑ＝ｎ，…，ｍ）とする。すなわち、Ｅ_qとＫ_q（ｑ＝１，…，ｎ－１）は、全ての異なる分割暗号データＥ_qに対して、異なる分割鍵データＫ_qが組み合わさる。このように、すべてが異なる組み合わせを「平等な組み合わせ」という。また、Ｅ_q（ｑ＝ｎ，…，ｍ）とＫ_nを組み合わせる。Ｋ_nは、複数回組み合わされており、このような複数回組み合わされる分割暗号文及び／又は分割鍵を含む組み合わせを「不平等な組み合わせ」という。このように、平等な組み合わせと不平等な組み合わせにより、組み合わせＳ_qを生成する。

　続いて、配布部４７は、サーバ及び復元装置に、組み合わせＳ_qを配布する（ステップＳＴＭ４）。

　配布部４７は、トップサーバ群１１に対して、平等な組み合わせＳ_q（ｑ＝１，…，ｎ－１）のうちｓ個を送信する。また、ｍ－ｎ＋１個の不平等な組み合わせを送信する。トップサーバ群１１は、受信したＳ_qを保存する。トップサーバ群１１が保存した情報により、秘密データを復元することができる。ただし、一つのサーバで全ての組み合わせを管理するのではなく、例えばｓ＋ｍ－ｎ＋１台のサーバに対して各サーバに１個の組み合わせのみを保存する。サーバーコストを削減する目的で、閾値数未満であれば、各サーバに複数のリンク小片を保存することにより、各サーバでの情報での復元・復号処理を防止することは可能であるが、セキュリティー上のリスクは増大させることとなる。また、不平等な組み合わせでは分割鍵Ｋ_nが共通しているため、ｓ個集めたとしても復元することができない。

　配布部４７は、リーダーサーバ群１３に対して、平等な組み合わせのうちｓ個未満を送信する。リーダーサーバ群１３は、受信したＳ_qを保存する。以下では、ｓ－１台のサーバに、ｓ－１個を送信し、各サーバが１個の組み合わせを保存するとする。リーダーサーバ群１３が保存した情報により、秘密データを復元することができない。

　リーダーサーバ群１３が保存した情報に、不平等な組み合わせの１つの情報を加えることにより、秘密データを復元することができる。そのため、仮に、トップサーバ群１１のうち、平等な組み合わせを記憶するサーバが故障しても復元でき、耐故障性が高い。なお、正確には、リーダーサーバ群１３が保存しない平等な組み合わせの一つの情報でも復元できる。そのため、この事例では、トップサーバ群１１のうち、リーダーサーバ群１３が保存しない組み合わせが一つでもあれば、アクセス許可を取得した後に復元することができる。

　図２（ｂ）及び図３（ｂ）を参照して、サーバの構成及び動作の一例を説明する。

　サーバ６１は、組み合わせ記憶部６３と、受信部６５と、送信部６７を備える。受信部６５は、暗号文管理装置３１の配布部４７から、分割暗号文と分割鍵の組み合わせを受信し（ステップＳＴＳ１）、組み合わせ記憶部６３に記憶する（ステップＳＴＳ２）。送信部６７は、アクセスが許可されている復元装置から要求があると、復元装置７１に対して、分割暗号文と分割鍵の組み合わせを送信する（ステップＳＴＳ３）。

　図２（ｃ）並びに図３（ｃ）を参照して、復元装置の構成及び動作の一例を説明する。復元装置７１は、分割暗号文記憶部７３と、分割鍵記憶部７５と、暗号文記憶部７７と、鍵記憶部７９と、秘密データ記憶部８１と、受信部８３と、復元部８５と、復号部８７を備える。秘密データは、図示を省略する表示部に表示される。

　受信部８３は、サーバから分割暗号文と分割鍵の組み合わせを受信する。分割暗号文記憶部７３は、分割暗号文を記憶する。分割鍵記憶部７５は、分割鍵を記憶する。復元部８５は、分割暗号文及び分割鍵から暗号文及び鍵を復元する。復号部８７は、鍵記憶部７９の鍵を用いて、暗号文記憶部７７の暗号文を復号して秘密データを生成する。秘密データ記憶部８１は、秘密データを記憶する。

　図３（ｃ）を参照して、トップ復元装置２１の動作の一例を説明する。平等な組み合わせの情報により、秘密データを復元することができる。そのため、トップ復元装置２１の受信部８３は、トップサーバ群１１にアクセスして平等な組み合わせＳ_qを受信する（ステップＳＴＦ１）。受信した分割暗号文及び分割鍵を、それぞれ、分割暗号文記憶部７３及び分割鍵記憶部７５に記憶する。復元部８５は、分割暗号文及び分割鍵を用いて暗号文及び鍵を復元し、それぞれ、暗号文記憶部７７及び鍵記憶部７９に記憶する（ステップＳＴＦ２）。復号部８７は、鍵を用いて暗号文を復号して秘密データを得て、秘密データ記憶部８１に記憶する（ステップＳＴＦ３）。

　図３（ｃ）を参照して、リーダー復元装置２３の動作の一例を説明する。受信部８３は、ｓ個の組み合わせＳ_qを受信する（ステップＳＴＦ１）。まず、リーダーサーバ群１３が記憶するｓ－１個の組み合わせＳ_qを受信する。トップにサーバへのアクセスを許可してもらい、他の１個の組み合わせＳ_qを受信する。受信部８３は、受信した分割暗号文及び分割鍵を、それぞれ、分割暗号文記憶部７３及び分割鍵記憶部７５に記憶する。復元部８５は、分割暗号文及び分割鍵を用いて暗号文及び鍵を復元し、それぞれ、暗号文記憶部７７及び鍵記憶部７９に記憶する（ステップＳＴＦ２）。復号部８７は、鍵を用いて暗号文を復号して秘密データを得て、秘密データ記憶部８１に記憶する（ステップＳＴＦ３）。

　図３（ｃ）を参照して、フォロワー復元装置２５の動作の一例を説明する。フォロワーは、最初、アクセス権がなく、トップ及びリーダーの許可により、ｓ個の組み合わせに限り、サーバへのアクセスを許可してもらう。受信部８３は、ｓ個の組み合わせＳ_qを受信する（ステップＳＴＦ１）。例えば、まず、トップの許可により不平等な組み合わせの１個であるＳ_qを受信する。フォロワーは、リーダーにリーダーサーバ群１３へのアクセスを許可してもらい、フォロワーは、リーダーが管理するサーバにアクセスして他のｓ－１個の組み合わせＳ_qを受信する。受信部８３は、受信した分割暗号文及び分割鍵を、それぞれ、分割暗号文記憶部７３及び分割鍵記憶部７５に記憶する。復元部８５は、分割暗号文及び分割鍵を用いて暗号文及び鍵を復元し、それぞれ、暗号文記憶部７７及び鍵記憶部７９に記憶する（ステップＳＴＦ２）。復号部８７は、鍵を用いて暗号文を復号して秘密データを得て、秘密データ記憶部８１に記憶する（ステップＳＴＦ３）。

　なお、本実施例では、サーバが分割暗号文と分割鍵の組み合わせを保存し、そのアクセス制御を含めて、秘密管理を行う例を説明した。例えば、分割暗号文と分割鍵の組み合わせを、ＵＳＢメモリのような持ち運び可能な記録媒体に保存し、復元装置は、記録媒体から読み出して復号処理等を行うようにしてもよい。

　続いて、図４及び表１を参照して、本願発明を、事例を使って説明する。ＩＤＡ（ｔ，ｍ）の記号はRabinのＩＤＡによるｍ分割ｔ合成を表し、ＰＳＳ（ｓ，ｎ）の記号はShamirのＰＳＳによるｎ分割ｓ合成を表す。また、組織内に、１名の社長（Ｌ₁）と、１名の部長（Ｌ₂）と、２名の社員（Ｌ₃₁、Ｌ₃₂。２人）による場合について説明する。

　まず、図４を参照して、この事例における暗号文管理システムの構成及び動作の一例を説明する。暗号文管理システム１０１は、情報作成装置１０３と、暗号文管理装置１０５と、サーバ群１０７と、復元装置１０９と、表示装置１１１を備える。

　情報作成装置１０３は、平文記憶部１１３と、平文処理部１１５を備える。平文記憶部１１３は、秘密データを記憶する。平文処理部１１５は、秘密データの編集などの処理を行う。文書作成者は、情報作成装置１０３で文書を作成し、これを暗号化するために暗号文管理装置１０５に送る。

　暗号文管理装置１０５は、暗号化部１１７と、分割部１１９と、配布部１２１を備える。暗号化部１１７と分割部１１９と配布部１２１は、図２の暗号化部４３と分割部４５と配布部４７と同様に動作することにより、平文記憶部１１３に記憶された秘密データに対して、暗号化処理及び分割処理を行って分割暗号文及び分割鍵を生成し、配布部１２が、これらを組み合わせてサーバ群１０７の各サーバに配布する。

　サーバ群１０７には、この事例では５台のサーバ１，・・・，サーバ５が存在する。

　分割処理及び配布処理について、具体的に説明する。閾値は２、暗号文の分割数は５、鍵の分割数は４である。
　（Dis1）まず、暗号化鍵Ｋをランダムに選ぶ。秘密データＳを暗号関数ENC、鍵Ｋで暗号化する。Ｅ＝ＥＮＣ_K（Ｓ）。
　（Dis2）ＥをＩＤＡ（２，５）で５個に分割する：Ｅ₁，Ｅ₂，Ｅ₃，Ｅ₄，Ｅ₅
　（Dis3）ShamirのＰＳＳ（２，４）で、鍵Ｋを４個に分割する：Ｋ₁，Ｋ₂，Ｋ₃，Ｋ₄
　（Dis4）分散暗号文と分散鍵の組み合わせＳ_kを生成する。この事例では、Ｓ₁＝（Ｅ₁，Ｋ₁）、Ｓ₂＝（Ｅ₂，Ｋ₂）、Ｓ₃＝（Ｅ₃，Ｋ₃）、Ｓ₄＝（Ｅ₄，Ｋ₄）、Ｓ₅＝（Ｅ₅，Ｋ₄）とする。
　（Dis5）各サーバに組み合わせＳ_kを配布する。

　表１は、各サーバに格納される分割暗号文と分割鍵の組み合わせを示す。■は、各サーバに格納されている。↑は、他のプレイヤーが管理するサーバの組み合わせＳ_kを、管理者の許可によりアクセスして得るものである。

　サーバ１にＳ₁を、サーバ２にＳ₂を、サーバ３にＳ₃を、サーバ４にＳ₄を、サーバ５にＳ₅を格納する。Ｌ₁は、サーバ１、２、４及び５のアクセスを管理する。Ｌ₂は、サーバ３のアクセスを管理する。Ｌ₁は、Ｌ₂に対し、サーバ２へのアクセスを許可する。Ｌ₁は、Ｌ₃₁に対し、サーバ４へのアクセスを許可する。Ｌ₁は、Ｌ₃₂に対し、サーバ５へのアクセスを許可する。Ｌ₂は、Ｌ₃に対し、サーバ３へのアクセスを許可する。

　Ｌ₁（社長）は、合成できる小片を２つ持つので、いつでも合成できる。Ｌ₂（部長）は、自分だけでは合成できず、社長のサーバ２から小片を１つ借りる。Ｌ₃（社員）は、自分だけでは合成できず、部長のサーバ３から小片を１つ借りる。Ｌ₃の２人は、自分達に割り当てられている小片Ｓ₄＝（Ｅ₄，Ｋ₄）及びＳ₅＝（Ｅ₅，Ｋ₄）を合わせても鍵が一緒なので合成できない。仮にＬ₃₂が自分の小片を流出した場合、Ｅ₅を含むので、誰が流出したか分かる。

　復元装置１０９は、受信部１２３と、復元部１２５と、復号部１２７を備える。受信部１２３は、サーバ群にダウンロードリクエストを行い、認証された後に、分割暗号文及び分割鍵の組み合わせをダウンロードする。

　サーバ１及び２は、Ｌ₁がユーザとして認証できたならば、格納する小片のダウンロードを許可する。サーバ２は、Ｌ₂がユーザとして認証できたならば、格納する小片のダウンロードを許可する。サーバ３は、Ｌ₂又はＬ₃がユーザとして認証できたならば、格納する小片のダウンロードを許可する。サーバ４及び５は、それぞれ、Ｌ₃₁及びＬ₃₂がユーザとして認証できたならば、格納する小片のダウンロードを許可する。

　復元部１２５及び復号部１２７は、図２の復元部８５及び復号部８７と同様に動作し、ダウンロードされた閾値数分の分割暗号文及び分割鍵から暗号文及び鍵を復元し、元の秘密データを復号する。

　表示部１１１は、復号した秘密データを表示する。

　Ｌ₂が、Ｌ₃によるサーバ３へのアクセスを禁止すると、Ｌ₃₁及びＬ₃₂は、単独で復元することはできず、また、協力しても、Ｋ₄が共通するために復元はできない。ここに、不平等性がある。よって、Ｌ₂は、Ｌ₃が情報漏えいしたような非常時に、サーバ３を止めることにより情報流出を防ぐことができる。

　なお、図４において、情報作成装置１０３、暗号文管理装置１０５、及び、復元装置１０９は別々のシステム（パソコン）と捉えてもよく、また、通信中の情報漏洩を防ぐためには一台のシステム（パソコン）の中にある機能部分として実現してもよい。情報を閲覧するだけの場合は、復元装置１０９によるダウンロードリクエストから始まる。

　なお、本実施例は、容易に一般化することができる。すなわち、本実施例では、分割された暗号文及び鍵の組み合わせについて、不平等な組み合わせにおける分割鍵が１つで分割暗号文が複数である場合について説明したが、分割暗号文が１つで分割鍵が複数であってもよく、また、分割鍵が複数で、分割暗号文も複数であってもよい。ただし、運用上、不平等な組み合わせは、情報を流出するリスクのあるプレイヤーにアクセス許可をすることを想定している。そのため、秘密管理の観点からは、不平等な組み合わせにおける分割暗号文と分割鍵の個数は、少なくとも一方は、分割暗号文についてはｓ個未満とするか、分割鍵の個数についてはｔ個未満とすることが望ましい。これにより、不平等な組み合わせにアクセス許可されるプレイヤーが集まっても、暗号文と鍵の少なくとも一方は復元できない。そのため、復元するには、平等な組み合わせへのアクセス許可を得ることが必要となる。そのため、平等な組み合わせを適切に管理することにより、秘密管理を行うことができる。

　例えば、暗号文を（３，７）型秘密分散して分割暗号文Ｅ₁，…，Ｅ₇とし、鍵を（３，５）型秘密分散して分割鍵Ｋ₁，…，Ｋ₅とする。そして、平等な組み合わせを（Ｅ₁，Ｋ₁），（Ｅ₂，Ｋ₂），（Ｅ₃，Ｋ₃）とする。不平等な組み合わせとして、例えば、（Ｅ₄，Ｋ₄），（Ｅ₅，Ｋ₄），（Ｅ₆，Ｋ₅），（Ｅ₇，Ｋ₅）のようにしてもよい。これにより、例えば、不平等な組み合わせへのアクセスを、チーム１のフォロワーには分割鍵Ｋ₄の組み合わせに、チーム２のフォロワーには分割鍵Ｋ₅の組み合わせに許可するように、いわば、垂直的な階層構造だけでなく、同レベルの水平的な組織構造にも対応することが可能になる。また、不平等な組み合わせを（Ｅ₄，Ｋ₄），…，（Ｅ₇，Ｋ₄），（Ｅ₄，Ｋ₅），…，（Ｅ₇，Ｋ₅）のようにすることにより、不平等な組み合わせの数を大幅に増やすことができる。

　また、本実施例では、暗号文及び鍵の分割は、Kwawczykに習いＩＤＡとＰＳＳを利用したが、本願発明は、秘密をｎ個に分割してｔ個で復元ができる秘密分散のアルゴリズムや手法であれば、どのようなものでも実現することが可能である。例えば、ランプ型などを利用してもよい。また、例えば、Rivestは、1997年に計算量的に安全な(n,n)型秘密分散とみなせるAONTを提案した。さらに、RS符号化の後処理を適用したAONT-RSも提案されている。本願発明は、AONTやAONT-RSを用いても実現できる。この場合は、例えば、AONTのように初期値が秘密鍵として利用できるkeyed-AONTの鍵に対して、Shamirの秘密分散を適用する。

　１　暗号文管理システム、３　暗号文管理装置、５　サーバ群、７　復元装置群、　トップサーバ群、１３　リーダーサーバ群、２１　トップ復元装置、２３　リーダー復元装置、２５　フォロワー復元装置、３１　暗号文管理装置、３３　秘密データ記憶部、３５　鍵記憶部、３７　暗号文記憶部、３９　分割暗号文記憶部、４１　分割鍵記憶部、４３　暗号化部、４５　分割部、４７　配布部、６１　サーバ、６３　組み合わせ記憶部、６５　受信部、６７　送信部、７１　復元装置、７３　分割暗号文記憶部、７５　分割鍵記憶部、７７　暗号文記憶部、７９　鍵記憶部、８１　秘密データ記憶部、８３　受信部、８５　復元部、８７　復号部、１０１　暗号文管理システム、１０３　情報作成装置、１０５　暗号文管理装置、１０７　サーバ群、１０９　復元装置、１１１　表示部、１１３　平文記憶部、１１５　平文処理部、１１７　暗号化部、１１９　分割部、１２１　配布部、１２３　受信部、１２５　復元部、１２７　復号部

Claims

　暗号文データを管理する暗号文管理方法であって、
　暗号文管理装置が備える暗号化手段が、鍵データを用いて秘密データを暗号化して前記暗号文データを得る暗号化ステップと、
　前記暗号文管理装置が備える分割手段が、前記暗号文データ及び前記鍵データを分割してそれぞれｍ個（ｍは自然数）の分割暗号文データ及びｎ個（ｎは自然数）の分割鍵データとする分割ステップと、
　前記暗号文管理装置が備える配布手段が、前記分割暗号文データと前記分割鍵データの組み合わせを行うリンクステップを含み、
　前記リンクステップにおいて、前記組み合わせは、
　　前記分割暗号文データと前記分割鍵データが共に１回のみ組み合わされる平等な組み合わせと、
　　前記分割暗号文データと前記分割鍵データの少なくとも一方が複数回組み合わされる不平等な組み合わせを含む、暗号文管理方法。
　前記分割ステップにおいて、前記分割暗号文データと前記分割鍵データの分割後の個数は異なり、
　前記リンクステップにおいて、前記配布手段は、
　　ｎ＞ｍのとき、ｍ－１個の前記分割暗号文データとｍ－１個の前記分割鍵データをそれぞれ組み合わせてｍ－１個の平等な組み合わせを生じ、他のｎ－ｍ＋１個の前記分割暗号文データと他の１個の前記分割鍵データを組み合わせてｎ－ｍ＋１個の不平等な組み合わせを生じ、
　　ｎ＜ｍのとき、ｎ－１個の前記分割暗号文データとｎ－１個の前記分割鍵データをそれぞれ組み合わせてｎ－１個の組み合わせを生じ、他の１個の前記分割暗号文データと他のｍ－ｎ＋１個の前記分割鍵データを組み合わせてｍ－ｎ＋１個の組み合わせを生じる、請求項１記載の暗号文管理方法。
　前記分割ステップにおいて、前記分割手段は、ｓ個（ｓは、２以上ｍ未満の自然数）の前記分割暗号文データにより前記暗号文データを復元でき、及び、ｔ個（ｔは、２以上ｎ未満の自然数）の前記分割鍵データにより前記鍵データを復元できるように分割し、
　前記リンクステップにおいて、前記不平等な組み合わせの全体において、前記分割暗号文データの個数はｓ個未満であり、及び／又は、前記分割鍵データの個数はｔ個未満である、請求項１又は２に記載の暗号文管理方法。
　暗号文データを管理する暗号文管理装置であって、
　鍵データを用いて秘密データを暗号化して前記暗号文データを得る暗号化手段と、
　前記暗号文データ及び前記鍵データを分割して複数の分割暗号文データ及び複数の分割鍵データとする分割手段と、
　前記分割暗号文データと前記分割鍵データの組み合わせを行う配布手段を備え、
　前記組み合わせは、
　　前記分割暗号文データと前記分割鍵データが共に１回のみ組み合わされる平等な組み合わせと、
　　前記分割暗号文データと前記分割鍵データの少なくとも一方が複数回組み合わされる不平等な組み合わせを含む、暗号文管理装置。
　コンピュータを、請求項４記載の暗号文管理装置として機能させるためのプログラム。