WO2020044748A1

WO2020044748A1 - Ｉｄベースハッシュ証明系構成装置、ｉｄベース暗号装置、ｉｄベースハッシュ証明系構成方法及びプログラム

Info

Publication number: WO2020044748A1
Application number: PCT/JP2019/024798
Authority: WO
Inventors: 高志山川; 陵西巻
Original assignee: 日本電信電話株式会社
Priority date: 2018-08-28
Filing date: 2019-06-21
Publication date: 2020-03-05
Also published as: JP7024666B2; US20210167945A1; US11658806B2; JP2020034662A

Abstract

セキュリティパラメータ１^λを入力として、内積値暗号のセットアップアルゴリズムＳｅｔｕｐ_ＩＰＥが含まれるセットアップアルゴリズムＳｅｔｕｐ_ＭＩＢＥと、疑似ランダム関数ＰＲＦの鍵空間からランダムに選択された鍵Ｋとを用いて、公開パラメータｐｐと、マスター秘密鍵（ｍｓｋ，Ｋ）とを出力するセットアップ手段と、前記公開パラメータｐｐと、前記マスター秘密鍵（ｍｓｋ，Ｋ）と、識別子ｉｄとを入力として、｛０，１｝からｎ個のビット値ｒ_ｉ（１≦ｉ≦ｎ）をランダムに選択した上で、選択されたビット値ｒ_ｉ（１≦ｉ≦ｎ）と、前記内積値暗号の鍵生成アルゴリズムＫｅｙＧｅｎ_ＩＰＥが含まれる鍵生成アルゴリズムＫｅｙＧｅｎ_ＭＩＢＥと、前記疑似ランダム関数ＰＲＦとを用いて、前記鍵生成アルゴリズムＫｅｙＧｅｎ_ＭＩＢＥの出力ｓｋ_ｉｄ´と前記ビット値ｒ_ｉ（１≦ｉ≦ｎ）とによって構成される秘密鍵ｓｋ_ｉｄ＝（ｓｋ_ｉｄ´，｛ｒ_ｉ｝_{ｉ∈［ｎ］}）を出力する鍵生成手段と、前記公開パラメータｐｐと、前記識別子ｉｄとを入力として、前記内積値暗号の暗号化アルゴリズムＥｎｃ_ＩＰＥが含まれる暗号化アルゴリズムＥｎｃ_ＭＩＢＥを用いて、暗号文ｃｔと鍵ｋとを出力するカプセル化手段と、前記公開パラメータｐｐと、前記識別子ｉｄとを入力として、前記暗号化アルゴリズムＥｎｃ_ＭＩＢＥを用いて、不正暗号文ｃｔ´を出力する不正カプセル化手段と、前記公開パラメータｐｐと、前記秘密鍵ｓｋ_ｉｄと、前記識別子ｉｄと、前記暗号文ｃｔとを入力として、前記内積値暗号の復号アルゴリズムＤｅｃ_ＩＰＥが含まれる復号アルゴリズムＤｅｃ_ＭＩＢＥを用いて、鍵ｋを出力する復号手段と、を有することを特徴とする。

Description

ＩＤベースハッシュ証明系構成装置、ＩＤベース暗号装置、ＩＤベースハッシュ証明系構成方法及びプログラム

　本発明は、ＩＤベースハッシュ証明系構成装置、ＩＤベース暗号装置、ＩＤベースハッシュ証明系構成方法及びプログラムに関する。

　ＩＤベースハッシュ証明系（以降、ＩＢ－ＨＰＳ（Identity-based hash proof system）とも表す。）と呼ばれる概念が知られている（例えば非特許文献１参照）。非特許文献１では、ＩＢ－ＨＰＳを用いるとＩＤベース暗号を構成することでき、その構成は鍵漏洩耐性（leakage-resilience）を満たすことが示されている。鍵漏洩耐性とは、秘密鍵の一部分が漏洩したとしても、安全性が脅かされないという通常より強い安全性のことである。現実世界においては秘密鍵を完全に秘密にしたまま保存しておくことは困難であるため、鍵漏洩耐性を達成していることが望ましい。

　非特許文献１には、鍵漏洩比率（leakage-ratio）、すなわち秘密鍵のうちで漏洩しても安全性が脅かされない比率は、部品となるＩＢ－ＨＰＳのユニバーサル比率（universality-ratio）と呼ばれるパラメータとほぼ同等であることが開示されている。

　ここで、従来のＩＢ－ＨＰＳの構成方法のうち、ユニバーサル比率が最適、すなわちユニバーサル比率がほぼ１となるものは、安全性の証明にランダムオラクルと呼ばれるヒューリスティックなモデルを用いている。

Jo¨el Alwen, Yevgeniy Dodis, Moni Naor, Gil Segev, Shabsi Walfish, and Daniel Wichs. Public-key encryption in the bounded-retrieval model. In Henri Gilbert, editor, EUROCRYPT 2010, volume 6110 of LNCS, pages 113-134. Springer, Heidelberg, May 2010.

　しかしながら、ランダムオラクルは現実のハッシュ関数を真ランダム関数であると見做すというヒューリスティックなモデルであり、そのモデルでの安全性の証明は必ずしも現実世界での安全性を保証しない場合がある。したがって、現実世界において十分な安全性を保証するためには、ランダムオラクルを用いずに安全性の証明が可能であることが望ましい。

　本発明の実施の形態は、上記の点に鑑みてなされたもので、ランダムオラクルを用いずにユニバーサル比率が最適なＩＤベースハッシュ証明系を構成することを目的とする。

　上記目的を達成するため、本発明の実施の形態は、セキュリティパラメータ１^λを入力として、内積値暗号のセットアップアルゴリズムＳｅｔｕｐ_ＩＰＥが含まれるセットアップアルゴリズムＳｅｔｕｐ_ＭＩＢＥと、疑似ランダム関数ＰＲＦの鍵空間からランダムに選択された鍵Ｋとを用いて、公開パラメータｐｐと、マスター秘密鍵（ｍｓｋ，Ｋ）とを出力するセットアップ手段と、前記公開パラメータｐｐと、前記マスター秘密鍵（ｍｓｋ，Ｋ）と、識別子ｉｄとを入力として、｛０，１｝からｎ個のビット値ｒ_ｉ（１≦ｉ≦ｎ）をランダムに選択した上で、選択されたビット値ｒ_ｉ（１≦ｉ≦ｎ）と、前記内積値暗号の鍵生成アルゴリズムＫｅｙＧｅｎ_ＩＰＥが含まれる鍵生成アルゴリズムＫｅｙＧｅｎ_ＭＩＢＥと、前記疑似ランダム関数ＰＲＦとを用いて、前記鍵生成アルゴリズムＫｅｙＧｅｎ_ＭＩＢＥの出力ｓｋ_ｉｄ´と前記ビット値ｒ_ｉ（１≦ｉ≦ｎ）とによって構成される秘密鍵ｓｋ_ｉｄ＝（ｓｋ_ｉｄ´，｛ｒ_ｉ｝_{ｉ∈［ｎ］}）を出力する鍵生成手段と、前記公開パラメータｐｐと、前記識別子ｉｄとを入力として、前記内積値暗号の暗号化アルゴリズムＥｎｃ_ＩＰＥが含まれる暗号化アルゴリズムＥｎｃ_ＭＩＢＥを用いて、暗号文ｃｔと鍵ｋとを出力するカプセル化手段と、前記公開パラメータｐｐと、前記識別子ｉｄとを入力として、前記暗号化アルゴリズムＥｎｃ_ＭＩＢＥを用いて、不正暗号文ｃｔ´を出力する不正カプセル化手段と、前記公開パラメータｐｐと、前記秘密鍵ｓｋ_ｉｄと、前記識別子ｉｄと、前記暗号文ｃｔとを入力として、前記内積値暗号の復号アルゴリズムＤｅｃ_ＩＰＥが含まれる復号アルゴリズムＤｅｃ_ＭＩＢＥを用いて、鍵ｋを出力する復号手段と、を有することを特徴とする。

　ランダムオラクルを用いずにユニバーサル比率が最適なＩＤベースハッシュ証明系を構成することができる。

本発明の実施の形態におけるＩＤベースハッシュ証明系構成装置の機能構成の一例を示す図である。本発明の実施の形態におけるＩＤベースハッシュ証明系構成装置が実行する処理の流れの一例を説明するための図である。本発明の実施の形態におけるＩＤベースハッシュ証明系構成装置のハードウェア構成の一例を示す図である。

　以下、本発明の実施の形態について説明する。本発明の実施の形態では、ランダムオラクルを用いずに、ユニバーサル比率が最適なＩＤベースハッシュ証明系を構成するＩＤベースハッシュ証明系構成装置１０について説明する。

　ここで、本発明の実施の形態では、内積値暗号（以降、ＩＰＥ（Inner-product encryption）とも表す。）を用いてＩＢ－ＨＰＳを構成する場合について説明する。このとき、その中間生成物として、多重ＩＤベース暗号（以降、ＭＩＢＥ（Multi identity-based encryption）とも表す。）を構成する。そこで、まずは、ＩＢ－ＨＰＳ、ＩＰＥ及びＭＩＢＥの定義について説明する。

　＜１．定義＞
　　≪１－１．ＩＢ－ＨＰＳ≫
　ＩＢ－ＨＰＳはアルゴリズムの組（Ｓｅｔｕｐ，ＫｅｙＧｅｎ，Ｅｎｃａｐ，Ｅｎｃａｐ^＊，Ｄｅｃａｐ）からなる。なお、ＩＢ－ＨＰＳの詳細については、例えば、上記の非特許文献１を参照されたい。

　Ｓｅｔｕｐ（１^λ）：これはセットアップアルゴリズムであり、セキュリティパラメータ１^λを入力として、公開パラメータｐｐとマスター秘密鍵ｍｓｋとを出力する。なお、表記を簡単にするため、以下のアルゴリズムＫｅｙＧｅｎ、Ｅｎｃａｐ、Ｅｎｃａｐ^＊及びＤｅｃａｐは、公開パラメータｐｐを暗黙に入力としているものとする。

　ＫｅｙＧｅｎ（ｍｓｋ，ｉｄ）：これは鍵生成アルゴリズムであり、マスター秘密鍵ｍｓｋとＩＤ（以降、識別子とも表す。）ｉｄとを入力として、秘密鍵ｓｋ_ｉｄを出力する。

　Ｅｎｃａｐ（ｉｄ）：これはカプセル化アルゴリズムであり、識別子ｉｄを入力として、暗号文ｃｔと鍵ｋとを出力する。

　Ｅｎｃａｐ^＊（ｉｄ）：これは不正カプセル化アルゴリズムであり、識別子ｉｄを入力として、不正暗号文ｃｔ´を出力する。

　Ｄｅｃａｐ（ｓｋ_ｉｄ，ｉｄ，ｃｔ）：これは復号アルゴリズムであり、秘密鍵ｓｋ_ｉｄと、識別子ｉｄと、暗号文ｃｔとを入力として、鍵ｋを出力する。

　ここで、ＩＢ－ＨＰＳは、以下の正当性、暗号文識別不能性及びユニバーサル性の３つの性質を満たすことが要求される。

　正当性：カプセル化アルゴリズムＥｎｃａｐにより識別子ｉｄに対して生成された暗号文ｃｔを、このｉｄに対応する秘密鍵ｓｋ_ｉｄで復号すると正しい鍵ｋが得られる。

　暗号文識別不能性：カプセル化アルゴリズムＥｎｃａｐにより生成された暗号文と、不正カプセル化アルゴリズムＥｎｃａｐ^＊により生成された暗号文とは計量的識別不能である。

　ユニバーサル性：１つの識別子ｉｄに対応する秘密鍵ｓｋ_ｉｄの候補は多数存在し、不正カプセル化アルゴリズムＥｎｃａｐ^＊により生成された不正暗号文ｃｔ´の復号結果は、どの秘密鍵ｓｋ_ｉｄを使って復号したかに依存する。

　　≪１－２．ＩＰＥ≫
　ＩＰＥはアルゴリズムの組（Ｓｅｔｕｐ，ＫｅｙＧｅｎ，Ｅｎｃ，Ｄｅｃ）からなる。なお、ＩＰＥの詳細については、例えば、以下の参考文献１を参照されたい。

　［参考文献１］
　Jonathan Katz, Amit Sahai, and Brent Waters. Predicate encryption supporting disjunctions, polynomial equations, and inner products. In Nigel P. Smart, editor, EUROCRYPT 2008, volume 4965 of LNCS, pages 146-162. Springer, Heidelberg, April 2008.

　Ｓｅｔｕｐ（１^λ，１^ｎ）：これはセットアップアルゴリズムであり、セキュリティパラメータ１^λと次元数１^ｎとを入力として、公開パラメータｐｐとマスター秘密鍵ｍｓｋとを出力する。公開パラメータｐｐは、ベクトル空間

を指定する（すなわち、公開パラメータｐｐには、自然数ｑが含まれる。）。なお、表記を簡単にするため、以下のアルゴリズムＫｅｙＧｅｎ、Ｅｎｃ及びＤｅｃは、公開パラメータｐｐを暗黙に入力としているものとする。

　ＫｅｙＧｅｎ（ｍｓｋ，ｙ）：これは鍵生成アルゴリズムであり、マスター秘密鍵ｍｓｋとベクトルｙ∈Ｖ^ｎとを入力として、このベクトルｙに対応する秘密鍵ｓｋ_ｙを出力する。

　Ｅｎｃ（ｘ，ｍ）：これは暗号化アルゴリズムであり、ベクトルｘ∈Ｖ^ｎと平文ｍとを入力として、暗号文ｃｔを出力する。

　Ｄｅｃ（ｓｋ_ｙ，ｙ，ｃｔ）：これは復号アルゴリズムであり、秘密鍵ｓｋ_ｙと、ベクトルｙ∈Ｖ^ｎと、暗号文ｃｔとを入力として、平文ｍを出力する。

　ここで、ＩＰＥは、以下の正当性及び安全性の２つの性質を満たすことが要求される。

　正当性：内積値＜ｘ，ｙ＞＝０である場合、ベクトルｘに対する暗号文（すなわち、Ｅｎｃ（ｘ，ｍ）により生成された暗号文ｃｔ）は、ベクトルｙに対する秘密鍵ｓｋ_ｙを用いて正しく平文ｍに復号することができる。

　安全性：内積値＜ｘ，ｙ＞＝０でない場合、ベクトルｘに対する暗号文とベクトルｙに対する秘密鍵ｓｋ_ｙとは平文を秘匿する。

　　≪１－３．ＭＩＢＥ≫
　ＭＩＢＥはアルゴリズムの組（Ｓｅｔｕｐ，ＫｅｙＧｅｎ，Ｅｎｃ，Ｄｅｃ）からなる。なお、ＭＩＢＥは本発明の実施の形態で導入する定式化である。

　Ｓｅｔｕｐ（１^λ，１^ｎ）：これはセットアップアルゴリズムであり、セキュリティパラメータ１^λとＩＤ多重度１^ｎとを入力として、公開パラメータｐｐとマスター秘密鍵ｍｓｋとを出力する。なお、表記を簡単にするため、以下のアルゴリズムＫｅｙＧｅｎ、Ｅｎｃ及びＤｅｃは、公開パラメータｐｐを暗黙に入力としているものとする。

　ここで、Ｓｅｔｕｐは乱択アルゴリズム（又は確率的アルゴリズムとも称される。）である。乱択アルゴリズムＡｌｇ（）が或る値ａを入力として、或る値ｂを出力することを

と表す。これを以降の明細書のテキスト中では、「Ａｌｇ（ａ）_Ｒ→ｂ」又は「ｂ←_ＲＡｌｇ（ａ）」と表す。一方で、確定的アルゴリズムがＡｌｇ（）が或る値ａを入力として、或る値ｂを出力することを、「Ａｌｇ（ａ）→ｂ」又は「ｂ←Ａｌｇ（ａ）」と表す。

　したがって、上記のセットアップアルゴリズムは、Ｓｅｔｕｐ（１^λ，１^ｎ）_Ｒ→（ｐｐ，ｍｓｋ）と表される。

　ＫｅｙＧｅｎ（ｍｓｋ，（ｉｄ_１，・・・，ｉｄ_ｎ））：これは鍵生成アルゴリズムであり、マスター鍵ｍｓｋと識別子の組（ｉｄ_１，・・・，ｉｄ_ｎ）とを入力として、秘密鍵

を出力する。なお、明細書のテキスト中では、この秘密鍵の添字である識別子の組（ｉｄ_１，・・・，ｉｄ_ｎ）に含まれる各ｉｄ_ｊ（ｊ＝１，・・・，ｎ）を「ｉｄｊ」と表す。したがって、明細書のテキスト中では、鍵生成アルゴリズムＫｅｙＧｅｎにより生成される上記の秘密鍵をｓｋ_{（ｉｄ１，・・・，ｉｄｎ）}と表す。

　ここで、ＫｅｙＧｅｎは乱択アルゴリズムであり、

と表される。

　Ｅｎｃ（ｉｄ，ｍ）：これは暗号化アルゴリズムであり、識別子ｉｄと平文ｍとを入力として、暗号文ｃｔを出力する。ここで、Ｅｎｃは乱択アルゴリズムであり、Ｅｎｃ（ｉｄ，ｍ）_Ｒ→ｃｔと表される。

　Ｄｅｃ（ｓｋ_{（ｉｄ１，・・・，ｉｄｎ）}，（ｉｄ_１，・・・，ｉｄ_ｎ），ｃｔ）：これは復号アルゴリズムであり、秘密鍵ｓｋ_{（ｉｄ１，・・・，ｉｄｎ）}と、識別子の組（ｉｄ_１，・・・，ｉｄ_ｎ）と、暗号文ｃｔとを入力として、平文ｍを出力する。ここで、Ｄｅｃは確定的アルゴリズムであり、Ｄｅｃ（ｓｋ_{（ｉｄ１，・・・，ｉｄｎ）}，（ｉｄ_１，・・・，ｉｄ_ｎ），ｃｔ）→ｍと表される。

　ここで、ＭＩＢＥは、以下の正当性及び安全性の２つの性質を満たすことが要求されるものとする。

　正当性：ｉｄ∈｛ｉｄ_１，・・・，ｉｄ_ｎ｝である場合、識別子ｉｄに対する暗号文（すなわち、Ｅｎｃ（ｉｄ，ｍ）により生成された暗号文ｃｔ）は、識別子の組（ｉｄ_１，・・・，ｉｄ_ｎ）に対する秘密鍵ｓｋ_{（ｉｄ１，・・・，ｉｄｎ）}を用いて正しく平文に復号することができる。

　安全性：ｉｄ∈｛ｉｄ_１，・・・，ｉｄ_ｎ｝でない場合、識別子ｉｄに対する暗号文と、識別子の組（ｉｄ_１，・・・，ｉｄ_ｎ）に対する秘密鍵ｓｋ_{（ｉｄ１，・・・，ｉｄｎ）}とは平文を秘匿する。

　＜２．ＩＰＥを用いたＭＩＢＥの構成＞
　次に、ＭＩＢＥを用いてＩＢ－ＨＰＳを構成する前段階として、上記の１－２で定義したＩＰＥを用いて、上記の１－３で定義したＭＩＢＥを構成する方法について説明する。以降では、上記の１－２で定義したＩＰＥのアルゴリズムの組を（Ｓｅｔｕｐ_ＩＰＥ，ＫｅｙＧｅｎ_ＩＰＥ，Ｅｎｃ_ＩＰＥ，Ｄｅｃ_ＩＰＥ）と表し、このＩＰＥを用いて構成されるＭＩＢＥのアルゴリズムの組を（Ｓｅｔｕｐ_ＭＩＢＥ，ＫｅｙＧｅｎ_ＭＩＢＥ，Ｅｎｃ_ＭＩＢＥ，Ｄｅｃ_ＭＩＢＥ）と表す。

　ＩＰＥのアルゴリズムの組（Ｓｅｔｕｐ_ＩＰＥ，ＫｅｙＧｅｎ_ＩＰＥ，Ｅｎｃ_ＩＰＥ，Ｄｅｃ_ＩＰＥ）を用いて、ＭＩＢＥのアルゴリズムの組（Ｓｅｔｕｐ_ＭＩＢＥ，ＫｅｙＧｅｎ_ＭＩＢＥ，Ｅｎｃ_ＭＩＢＥ，Ｄｅｃ_ＭＩＢＥ）を以下のように構成する。

　Ｓｅｔｕｐ_ＭＩＢＥ（１^λ，１^ｎ）：（ｐｐ，ｍｓｋ）←_ＲＳｅｔｕｐ_ＩＰＥ（１^λ，１^ｎ＋１）を生成し、（ｐｐ，ｍｓｋ）を出力する。ＩＰＥとして公開パラメータｐｐがベクトル空間Ｖ^ｎ＋１を指定する場合、ＭＩＢＥのＩＤ空間を

とする。

　ＫｅｙＧｅｎ_ＭＩＢＥ（ｍｓｋ，（ｉｄ_１，・・・，ｉｄ_ｎ）∈Ｖ^ｎ）：まず、不定変数Ｘについて

が成り立つような｛ｙ_ｉ∈Ｖ｝_{ｉ∈｛０，・・・，ｎ｝}を計算し、ｙ：＝（ｙ_０，・・・，ｙ_ｎ）∈Ｖ^ｎ＋１とする。そして、ｓｋ_ｙ←_ＲＫｅｙＧｅｎ_ＩＰＥ（ｍｓｋ，ｙ）を生成し、ｓｋ_{（ｉｄ１，・・・，ｉｄｎ）}：＝ｓｋ_ｙを出力する。

　Ｅｎｃ_ＭＩＢＥ（ｉｄ，ｍ）：ｉｄ^ｉをｉｄのｉビット目として、ｘ：＝（１，ｉｄ，ｉｄ^２，・・・，ｉｄ^ｎ）とし、ｃｔ←_ＲＥｎｃ_ＩＰＥ（ｘ，ｍ）を生成し、暗号文ｃｔを出力する。

　Ｄｅｃ_ＭＩＢＥ（ｓｋ_{（ｉｄ１，・・・，ｉｄｎ）}，（ｉｄ_１，・・・，ｉｄ_ｎ），ｃｔ）：ＫｅｙＧｅｎ_ＭＩＢＥと同様にしてｙ∈Ｖ^ｎ＋１を生成し、ｍ←_ＲＤｅｃ_ＩＰＥ（ｓｋ_{（ｉｄ１，・・・，ｉｄｎ）}，ｙ，ｃｔ）を計算し、平文ｍを出力する。

　＜３．ＭＩＢＥを用いたＩＢ－ＨＰＳの構成＞
　次に、ＭＩＢＥを用いてＩＢ－ＨＰＳを構成する方法について説明する。以降では、上記の１－１で定義したＩＢ－ＨＰＳのアルゴリズムの組を（Ｓｅｔｕｐ_ＨＰＳ，ＫｅｙＧｅｎ_ＨＰＳ，Ｅｎｃａｐ_ＨＰＳ，Ｅｎｃａｐ_ＨＰＳ ^＊，Ｄｅｃａｐ_ＨＰＳ）と表し、このアルゴリズムの組を上記の２で構成したＭＩＢＥを用いて構成する。

　ＭＩＢＥのアルゴリズムの組（Ｓｅｔｕｐ_ＭＩＢＥ，ＫｅｙＧｅｎ_ＭＩＢＥ，Ｅｎｃ_ＭＩＢＥ，Ｄｅｃ_ＭＩＢＥ）を用いて、ＩＢ－ＨＰＳのアルゴリズムの組（Ｓｅｔｕｐ_ＨＰＳ，ＫｅｙＧｅｎ_ＨＰＳ，Ｅｎｃａｐ_ＨＰＳ，Ｅｎｃａｐ_ＨＰＳ ^＊，Ｄｅｃａｐ_ＨＰＳ）を以下のように構成する。ここで、ＭＩＢＥのメッセージ空間は、Ｅｎｃａｐ_ＨＰＳ及びＤｅｃａｐ_ＨＰＳが出力する鍵ｋの長さをＬとして、｛０，１｝^Ｌを含むものとする。また、ＰＲＦを疑似ランダム関数、ｎを整数値のパラメータとする。なお、以降では、ａ｜｜ｂはビット列ａとｂとの連結を表し、整数ｃに対してｂｉｎ（ｃ）はｃのビット列を表すものとする。

　Ｓｅｔｕｐ_ＨＰＳ（１^λ）：（ｐｐ，ｍｓｋ）←_ＲＳｅｔｕｐ_ＭＩＢＥ（１^λ，１^ｎ）と、

とを生成して、公開パラメータｐｐと、マスター秘密鍵（ｍｓｋ，Ｋ）とを出力する。ここで、任意の集合をＳとして、この集合Ｓからランダムに元ｓを選択することを

と表す。これを以降の明細書のテキスト中では、「Ｓ_Ｒ→ｓ」又は「ｓ←_ＲＳ」と表す。なお、表記を簡単にするため、以下のアルゴリズムＫｅｙＧｅｎ_ＨＰＳ、Ｅｎｃａｐ_ＨＰＳ、Ｅｎｃａｐ_ＨＰＳ ^＊及びＤｅｃａｐ_ＨＰＳは、公開パラメータｐｐを暗黙に入力としているものとする。

　ＫｅｙＧｅｎ_ＨＰＳ（（ｍｓｋ，Ｋ），ｉｄ）：ｉ∈［ｎ］に対してｒ_ｉ←_Ｒ｛０，１｝として、

を生成し、

を出力する。なお、［ｎ］＝｛１，・・・，ｎ｝である。

　Ｅｎｃａｐ_ＨＰＳ（ｉｄ）：ｉ∈［ｎ］に対してｋ_ｉ∈｛０，１｝^Ｌを生成すると共に、ｉ∈［ｎ］及びｂ∈｛０，１｝に対してｃｔ_ｉ，ｂ←_ＲＥｎｃ_ＭＩＢＥ（ｉｄ｜｜ｂｉｎ（ｉ）｜｜ｂ，ｋ_ｉ）を生成し、

として、（ｃｔ，ｋ）を出力する。なお、

はビット毎の排他的論理和を表す。

　Ｅｎｃａｐ_ＨＰＳ ^＊（ｉｄ）：ｉ∈［ｎ］及びｂ∈｛０，１｝に対してｋ_ｉ，ｂ∈｛０，１｝^Ｌ及びｃｔ_ｉ，ｂ←_ＲＥｎｃ_ＭＩＢＥ（ｉｄ｜｜ｂｉｎ（ｉ）｜｜ｂ，ｋ_ｉ，ｂ）を生成し、ｃｔ´：＝｛ｃｔ_ｉ，ｂ｝_{ｉ∈［ｎ］，ｂ∈｛０，１｝}として、ｃｔ´を出力する。

　Ｄｅｃａｐ_ＨＰＳ（ｓｋ_ｉｄ，ｉｄ，ｃｔ）：（ｓｋ_ｉｄ´，｛ｒ_ｉ｝_{ｉ∈［ｎ］}）←ｓｋ_ｉｄと分解すると共に、｛ｃｔ_ｉ，ｂ｝_{ｉ∈［ｎ］，ｂ∈｛０，１｝}←ｃｔと分解して、

を生成し、

を出力する。

　以上により、ユニバーサル比率が最適なＩＢ－ＨＰＳ（すなわち、ユニバーサル比率がほぼ１となるＩＢ－ＨＰＳ）が構成される。

　ここで、ユニバーサル比率は、ユニバーサル性と秘密鍵のサイズとの比で表される。上記の３でＭＩＢＥを用いて構成したＩＢ－ＨＰＳでは、ＫｅｙＧｅｎ_ＨＰＳにより出力される秘密鍵ｓｋ_ｉｄは（ｓｋ_ｉｄ，｛ｒ_ｉ｝_{ｎ∈［ｎ］}）であるため、１つの識別子ｉｄに対して秘密鍵ｓｋ_ｉｄの候補は２^ｎ通りとなる。このため、ユニバーサル性はｌｏｇ_２２^ｎ＝ｎである。また、秘密鍵ｓｋ_ｉｄのサイズはｓｋ_ｉｄ´のサイズと｛ｒ_ｉ｝_{ｎ∈［ｎ］}のサイズとの和であるため、ｓｋ_ｉｄ´のサイズを｜ｓｋ_ｉｄ´｜として、秘密鍵ｓｋ_ｉｄのサイズ＝｜ｓｋ_ｉｄ´｜＋ｎである。

　したがって、上記の３でＭＩＢＥを用いて構成したＩＢ－ＨＰＳのユニバーサル比率はｎ／（｜ｓｋ_ｉｄ´｜＋ｎ）で表され、パラメータｎを十分に大きくすれば、ユニバーサル比率はほぼ１となる。これにより、上記の３でＭＩＢＥを用いて構成したＩＢ－ＨＰＳにより、ランダムオラクルを用いずに、鍵漏洩比率が最適なＩＤベース暗号を構成することができるようになる。

　＜４．ＩＤベースハッシュ証明系構成装置１０の機能構成＞
　以降では、上記の３でＭＩＢＥを用いて構成したＩＢ－ＨＰＳの各アルゴリズムを実行することで、ユニバーサル比率が最適なＩＤベースハッシュ証明系（ＩＢ－ＨＰＳ）を構成するＩＤベースハッシュ証明系構成装置１０の機能構成について、図１を参照しながら説明する。図１は、本発明の実施の形態におけるＩＤベースハッシュ証明系構成装置１０の機能構成の一例を示す図である。

　図１に示すように、本発明の実施の形態におけるＩＤベースハッシュ証明系構成装置１０は、セットアップ部１０１と、鍵生成部１０２と、カプセル化部１０３と、不正カプセル化部１０４と、復号部１０５とを有する。

　セットアップ部１０１は、セキュリティパラメータ１^λを入力としてＳｅｔｕｐ_ＨＰＳを実行し、公開パラメータｐｐとマスター秘密鍵（ｍｓｋ，Ｋ）とを出力する。

　鍵生成部１０２は、公開パラメータｐｐと、マスター秘密鍵（ｍｓｋ，Ｋ）と、識別子ｉｄとを入力としてＫｅｙＧｅｎ_ＨＰＳを実行し、秘密鍵ｓｋ_ｉｄを出力する。

　カプセル化部１０３は、公開パラメータｐｐと識別子ｉｄとを入力としてＥｎｃａｐ_ＨＰＳを実行し、（ｃｔ，ｋ）を出力する。なお、ｃｔは暗号文、ｋは鍵である。

　不正カプセル化部１０４は、公開パラメータｐｐと識別子ｉｄとを入力としてＥｎｃａｐ_ＨＰＳ ^＊を実行し、不正暗号文ｃｔ´を出力する。

　復号部１０５は、公開パラメータｐｐと、秘密鍵ｓｋ_ｉｄと、識別子ｉｄと、暗号文ｃｔとを入力としてＤｅｃａｐ_ＨＰＳを実行し、鍵ｋを出力する。

　＜５．ＩＤベースハッシュ証明系構成装置１０が実行する処理の流れ＞
　以降では、本発明の実施の形態におけるＩＤベースハッシュ証明系構成装置１０が実行する処理の流れについて、図２を参照しながら説明する。図２は、本発明の実施の形態におけるＩＤベースハッシュ証明系構成装置１０が実行する処理の流れの一例を説明するための図である。なお、後述するステップＳ１０１の処理（セットアップ処理）は、例えば、ＩＢ－ＨＰＳを構成する際の初期処理として１回のみ実行される。また、後述するステップＳ１０２の処理（鍵生成処理）は、例えば、秘密鍵ｓｋ_ｉｄの生成を行う度に実行される。また、後述するステップＳ１０２の処理（カプセル化処理）は、例えば、カプセル化（又は不正カプセル化）を行う度に実行される。同様に、後述するステップＳ１０３の処理（復号処理）は、例えば、復号を行う度に実行される。

　ステップＳ１０１（セットアップ処理）：セットアップ部１０１は、セキュリティパラメータ１^λを入力としてＳｅｔｕｐ_ＨＰＳを実行し、公開パラメータｐｐとマスター秘密鍵（ｍｓｋ，Ｋ）とを出力する。

　ステップＳ１０２（鍵生成処理）：鍵生成部１０２は、公開パラメータｐｐと、マスター秘密鍵（ｍｓｋ，Ｋ）と、識別子ｉｄとを入力としてＫｅｙＧｅｎ_ＨＰＳを実行し、秘密鍵ｓｋ_ｉｄを出力する。

　ステップＳ１０３（カプセル化処理）：カプセル化部１０３は、公開パラメータｐｐと識別子ｉｄとを入力としてＥｎｃａｐ_ＨＰＳを実行し、（ｃｔ，ｋ）を出力する。又は、不正カプセル化部１０４は、公開パラメータｐｐと識別子ｉｄとを入力としてＥｎｃａｐ_ＨＰＳ ^＊を実行し、不正暗号文ｃｔ´を出力する。

　ステップＳ１０４（復号処理）：復号部１０５は、公開パラメータｐｐと、秘密鍵ｓｋ_ｉｄと、識別子ｉｄと、暗号文ｃｔとを入力としてＤｅｃａｐ_ＨＰＳを実行し、鍵ｋを出力する。

　＜６．ＩＤベースハッシュ証明系構成装置１０のハードウェア構成＞
　次に、本発明の実施の形態におけるＩＤベースハッシュ証明系構成装置１０のハードウェア構成について、図３を参照しながら説明する。図３は、本発明の実施の形態におけるＩＤベースハッシュ証明系構成装置１０のハードウェア構成の一例を示す図である。

　図３に示すように、本発明の実施の形態におけるＩＤベースハッシュ証明系構成装置１０は、入力装置２０１と、表示装置２０２と、外部Ｉ／Ｆ２０３と、通信Ｉ／Ｆ２０４と、ＲＡＭ（Random access memory）２０５と、ＲＯＭ（Read only memory）２０６と、ＣＰＵ（Central processing unit）２０７と、補助記憶装置２０８とを有する。これら各ハードウェアは、それぞれがバス２０９を介して通信可能に接続されている。

　入力装置２０１は、例えばキーボードやマウス、タッチパネル等であり、ユーザが各種操作を入力するのに用いられる。表示装置２０２は、例えばディスプレイ等であり、ＩＤベースハッシュ証明系構成装置１０の処理結果を表示する。なお、ＩＤベースハッシュ証明系構成装置１０は、入力装置２０１及び表示装置２０２のうちの少なくとも一方を有していなくても良い。

　外部Ｉ／Ｆ２０３は、外部装置とのインタフェースである。外部装置には、記録媒体２０３ａ等がある。ＩＤベースハッシュ証明系構成装置１０は、外部Ｉ／Ｆ２０３を介して、記録媒体２０３ａ等の読み取りや書き込みを行うことができる。記録媒体２０３ａには、ＩＤベースハッシュ証明系構成装置１０が有する各機能部（例えば、セットアップ部１０１、鍵生成部１０２、カプセル化部１０３、不正カプセル化部１０４及び復号部１０５）を実現する１以上のプログラム等が記憶されていても良い。

　記録媒体２０３ａとしては、例えば、フレキシブルディスク、ＣＤ（Compact Disc）、ＤＶＤ（Digital Versatile Disk）、ＳＤメモリカード（Secure Digital memory card）、ＵＳＢ（Universal Serial Bus）メモリカード等が挙げられる。

　通信Ｉ／Ｆ２０４は、ＩＤベースハッシュ証明系構成装置１０を通信ネットワークに接続するためのインタフェースである。ＩＤベースハッシュ証明系構成装置１０が有する各機能部を実現する１以上のプログラムは、通信Ｉ／Ｆ２０４を介して、所定のサーバ等から取得（ダウンロード）されても良い。

　ＲＡＭ２０５は、プログラムやデータを一時保持する揮発性の半導体メモリである。ＲＯＭ２０６は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリである。ＲＯＭ２０６には、例えば、ＯＳ（Operating System）に関する設定情報や通信ネットワークに関する設定情報等が格納されている。

　ＣＰＵ２０７は、ＲＯＭ２０６や補助記憶装置２０８等からプログラムやデータをＲＡＭ２０５上に読み出して処理を実行する演算装置である。ＩＤベースハッシュ証明系構成装置１０が有する各機能部は、例えば補助記憶装置２０８に格納されている１以上のプログラムがＣＰＵ２０７に実行させる処理により実現される。

　補助記憶装置２０８は、例えばＨＤＤ（Hard disk drive）やＳＳＤ（Solid state drive）等であり、プログラムやデータを格納している不揮発性の記憶装置である。補助記憶装置２０８に格納されているプログラムやデータには、ＯＳ、アプリケーションプログラム、ＩＤベースハッシュ証明系構成装置１０が有する各機能部を実現する１以上のプログラム等が挙げられる。

　本発明の実施の形態におけるＩＤベースハッシュ証明系構成装置１０は、図３に示すハードウェア構成を有することにより、上述した各種処理を実現することができる。なお、図３では、ＩＤベースハッシュ証明系構成装置１０が１台のコンピュータで実現されている場合のハードウェア構成例を示したが、これに限られず、ＩＤベースハッシュ証明系構成装置１０は複数台のコンピュータで実現されていても良い。

　＜７．まとめ＞
　以上のように、本発明の実施の形態におけるＩＤベースハッシュ証明系構成装置１０は、ＩＰＥを用いて構成されたＭＩＢＥにより、ＩＢ－ＨＰＳを構成する。これにより、本発明の実施の形態におけるＩＤベースハッシュ証明系構成装置１０は、ランダムオラクルを用いずに、ユニバーサル比率が最適なＩＢ－ＨＰＳを構成することができる。

　このため、本発明の実施の形態におけるＩＤベースハッシュ証明系構成装置１０によれば、ランダムオラクルを用いずに、鍵漏洩比率が最適なＩＤベース暗号を構成することができるようになる。すなわち、本発明の実施の形態におけるＩＤベースハッシュ証明系構成装置１０により構成されたＩＢ－ＨＰＳによりＩＤベース暗号を構成した上で、このＩＤベース暗号を実現する装置（ＩＤベース暗号装置）を構成することができる。なお、このとき、ＩＤベースハッシュ証明系構成装置１０とＩＤベース暗号装置とが異なる装置であっても良いし、同一の装置であっても良い。

　本発明は、具体的に開示された上記の実施形態に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。

　１０　　　　ＩＤベースハッシュ証明系構成装置
　１０１　　　セットアップ部
　１０２　　　鍵生成部
　１０３　　　カプセル化部
　１０４　　　不正カプセル化部
　１０５　　　復号部

Claims

　セキュリティパラメータ１^λを入力として、内積値暗号のセットアップアルゴリズムＳｅｔｕｐ_ＩＰＥが含まれるセットアップアルゴリズムＳｅｔｕｐ_ＭＩＢＥと、疑似ランダム関数ＰＲＦの鍵空間からランダムに選択された鍵Ｋとを用いて、公開パラメータｐｐと、マスター秘密鍵（ｍｓｋ，Ｋ）とを出力するセットアップ手段と、
　前記公開パラメータｐｐと、前記マスター秘密鍵（ｍｓｋ，Ｋ）と、識別子ｉｄとを入力として、｛０，１｝からｎ個のビット値ｒ_ｉ（１≦ｉ≦ｎ）をランダムに選択した上で、選択されたビット値ｒ_ｉ（１≦ｉ≦ｎ）と、前記内積値暗号の鍵生成アルゴリズムＫｅｙＧｅｎ_ＩＰＥが含まれる鍵生成アルゴリズムＫｅｙＧｅｎ_ＭＩＢＥと、前記疑似ランダム関数ＰＲＦとを用いて、前記鍵生成アルゴリズムＫｅｙＧｅｎ_ＭＩＢＥの出力ｓｋ_ｉｄ´と前記ビット値ｒ_ｉ（１≦ｉ≦ｎ）とによって構成される秘密鍵ｓｋ_ｉｄ＝（ｓｋ_ｉｄ´，｛ｒ_ｉ｝_{ｉ∈［ｎ］}）を出力する鍵生成手段と、
　前記公開パラメータｐｐと、前記識別子ｉｄとを入力として、前記内積値暗号の暗号化アルゴリズムＥｎｃ_ＩＰＥが含まれる暗号化アルゴリズムＥｎｃ_ＭＩＢＥを用いて、暗号文ｃｔと鍵ｋとを出力するカプセル化手段と、
　前記公開パラメータｐｐと、前記識別子ｉｄとを入力として、前記暗号化アルゴリズムＥｎｃ_ＭＩＢＥを用いて、不正暗号文ｃｔ´を出力する不正カプセル化手段と、
　前記公開パラメータｐｐと、前記秘密鍵ｓｋ_ｉｄと、前記識別子ｉｄと、前記暗号文ｃｔとを入力として、前記内積値暗号の復号アルゴリズムＤｅｃ_ＩＰＥが含まれる復号アルゴリズムＤｅｃ_ＭＩＢＥを用いて、鍵ｋを出力する復号手段と、
　を有することを特徴とするＩＤベースハッシュ証明系構成装置。
　前記セットアップアルゴリズムＳｅｔｕｐ_ＭＩＢＥは、
　セキュリティパラメータ１^λとＩＤ多重度１^ｎとを前記セットアップアルゴリズムＳｅｔｕｐ_ＩＰＥに入力して、ｎ＋１次元のベクトル空間を指定する公開パラメータｐｐと、前記マスター秘密鍵（ｍｓｋ，Ｋ）に含まれる部分鍵ｍｓｋとを生成する、ことを特徴とする請求項１に記載のＩＤベースハッシュ証明系構成装置。
　前記鍵生成アルゴリズムＫｅｙＧｅｎ_ＭＩＢＥは、
　不定変数Ｘに関して前記ビット値ｒ_ｉ（１≦ｉ≦ｎ）と前記識別子ｉｄとから決定される所定の式が成り立つようなｎ＋１次元のベクトルｙを計算し、前記ベクトルｙと、前記公開パラメータｐｐと、前記マスター秘密鍵（ｍｓｋ，Ｋ）に含まれる部分鍵ｍｓｋと、前記疑似ランダム関数ＰＲＦの関数値とを前記鍵生成アルゴリズムＫｅｙＧｅｎ_ＩＰＥに入力して、前記ｓｋ_ｉｄ´を生成する、ことを特徴とする請求項１又は２に記載のＩＤベースハッシュ証明系構成装置。
　前記暗号化アルゴリズムＥｎｃ_ＭＩＢＥは、
　前記公開パラメータｐｐと、前記識別子ｉｄから決定されるｎ次元のベクトルとを前記暗号化アルゴリズムＥｎｃ_ＩＰＥに入力して、前記暗号文ｃｔを生成する、ことを特徴とする請求項１乃至３の何れか一項に記載のＩＤベースハッシュ証明系構成装置。
　前記復号アルゴリズムＤｅｃ_ＭＩＢＥは、
　前記秘密鍵ｓｋ_ｉｄを（ｓｋ_ｉｄ´，｛ｒ_ｉ｝_{ｉ∈［ｎ］}）と分解すると共に、前記暗号文ｃｔを｛ｃｔ_ｉ，ｂ｝_{ｉ∈［ｎ］，ｂ∈｛０，１｝}と分解した上で、不定変数Ｘに関して前記ビット値ｒ_ｉ（１≦ｉ≦ｎ）と前記識別子ｉｄとから決定される所定の式が成り立つようなｎ＋１次元のベクトルｙを計算し、前記ｓｋ_ｉｄ´と、前記ベクトルｙと、前記公開パラメータｐｐと、前記ｃｔ_ｉ，ｂとを前記復号アルゴリズムＤｅｃ_ＩＰＥに入力して、前記鍵ｋを生成する、ことを特徴とする請求項１乃至４の何れか一項に記載のＩＤベースハッシュ証明系構成装置。
　ＩＤベース暗号により暗号化及び復号を行うＩＤベース暗号装置であって、請求項１乃至５の何れか一項に記載のＩＤベースハッシュ証明系構成装置における各手段を有することを特徴とするＩＤベース暗号装置。
　セキュリティパラメータ１^λを入力として、内積値暗号のセットアップアルゴリズムＳｅｔｕｐ_ＩＰＥが含まれるセットアップアルゴリズムＳｅｔｕｐ_ＭＩＢＥと、疑似ランダム関数ＰＲＦの鍵空間からランダムに選択された鍵Ｋとを用いて、公開パラメータｐｐと、マスター秘密鍵（ｍｓｋ，Ｋ）とを出力するセットアップ手順と、
　前記公開パラメータｐｐと、前記マスター秘密鍵（ｍｓｋ，Ｋ）と、識別子ｉｄとを入力として、｛０，１｝からｎ個のビット値ｒ_ｉ（１≦ｉ≦ｎ）をランダムに選択した上で、選択されたビット値ｒ_ｉ（１≦ｉ≦ｎ）と、前記内積値暗号の鍵生成アルゴリズムＫｅｙＧｅｎ_ＩＰＥが含まれる鍵生成アルゴリズムＫｅｙＧｅｎ_ＭＩＢＥと、前記疑似ランダム関数ＰＲＦとを用いて、前記鍵生成アルゴリズムＫｅｙＧｅｎ_ＭＩＢＥの出力ｓｋ_ｉｄ´と前記ビット値ｒ_ｉ（１≦ｉ≦ｎ）とによって構成される秘密鍵ｓｋ_ｉｄ＝（ｓｋ_ｉｄ´，｛ｒ_ｉ｝_{ｉ∈［ｎ］}）を出力する鍵生成手順と、
　前記公開パラメータｐｐと、前記識別子ｉｄとを入力として、前記内積値暗号の暗号化アルゴリズムＥｎｃ_ＩＰＥが含まれる暗号化アルゴリズムＥｎｃ_ＭＩＢＥを用いて、暗号文ｃｔと鍵ｋとを出力するカプセル化手順と、
　前記公開パラメータｐｐと、前記識別子ｉｄとを入力として、前記暗号化アルゴリズムＥｎｃ_ＭＩＢＥを用いて、不正暗号文ｃｔ´を出力する不正カプセル化手順と、
　前記公開パラメータｐｐと、前記秘密鍵ｓｋ_ｉｄと、前記識別子ｉｄと、前記暗号文ｃｔとを入力として、前記内積値暗号の復号アルゴリズムＤｅｃ_ＩＰＥが含まれる復号アルゴリズムＤｅｃ_ＭＩＢＥを用いて、鍵ｋを出力する復号手順と、
　をコンピュータが実行することを特徴とするＩＤベースハッシュ証明系構成方法。
　コンピュータを、請求項１乃至５の何れか一項に記載のＩＤベースハッシュ証明系構成装置における各手段として機能させるためのプログラム。