WO2022153456A1

WO2022153456A1 - 暗号化装置、暗号通信システム、暗号化方法およびプログラム

Info

Publication number: WO2022153456A1
Application number: PCT/JP2021/001112
Authority: WO
Inventors: 真奈上野; 鉄太郎小林; 啓造村上
Original assignee: 日本電信電話株式会社
Priority date: 2021-01-14
Filing date: 2021-01-14
Publication date: 2022-07-21
Also published as: JPWO2022153456A1; US20240048362A1

Abstract

公開鍵暗号方式の秘密鍵および公開鍵を記憶する鍵記憶部と、前記秘密鍵および前記公開鍵を用いて、通信データを暗号化する暗号化部と、を備える暗号化装置である。

Description

暗号化装置、暗号通信システム、暗号化方法およびプログラム

　本発明は、暗号化装置、暗号通信システム、暗号化方法およびプログラムに関する。

　オンラインデータ通信における通信内容の暗号化の方式として、共通鍵暗号方式および公開鍵暗号方式の２つの暗号方式が知られている。また、２つの暗号方式を組み合わせたハイブリッド型の暗号が知られている。

　例えば、非特許文献１には、通信内容を共通鍵暗号方式で暗号化し、共通鍵暗号方式で用いた鍵を公開鍵暗号方式で暗号化する方法が開示されている。この方法は、公開鍵暗号方式の暗号化および復号の処理が共通鍵暗号方式と比較して非常に遅いことに対応する方法である。具体的には、この方法では、通信データについては、通信データの長さに応じた回数分繰り返されるために、高速な共通鍵暗号方式を用いて暗号化し、配送する鍵については、共通鍵暗号方式に生じる鍵配送問題を解決するために、公開鍵暗号方式を用いて暗号化する。

森山大輔，西巻陵，岡本龍明，「公開鍵暗号の数理」，共立出版株式会社，２０１１年，ｐ．１４７－１５４

　オンライン会議システムでは、少ない通信帯域で通信を行うため、各端末から収集した音声などのデータをサービス提供サーバで合成（加算）して各端末に送信する方式がある。また、サービス提供者に対しても通信内容を秘匿するエンドツーエンド暗号化通信を実現したいという要望がある。

　暗号化された通信内容の加算などの処理を行うにはサービス提供サーバで一度平文に直すことが考えられる。しかし、その場合、サービス提供者に対して通信内容を秘匿することができず、エンドツーエンド暗号化通信を実現できない。

　そこで、サービス提供者に対しても通信内容を秘匿する完全なエンドツーエンド暗号化は、暗号化したままサーバ上で加算できる準同型性を持つ特別な暗号を使用することによって実現される。そして、これまでの研究において、準同型性はＥｌＧａｍａｌ暗号などに代表される公開鍵暗号方式にあることがわかっている。

　このように、暗号通信の利用目的によっては、配送する鍵だけではなく、通信データについても非特許文献１のような共通鍵暗号方式ではなく、公開鍵暗号方式を用いて暗号化する必要がある。

　しかしながら、従来の公開鍵暗号方式による暗号化処理は非常に遅く、テレビ会議システムなどのリアルタイム通信における処理には使用できないという問題がある。

　開示の技術は、公開鍵暗号方式を用いた暗号化処理を高速化させることを目的とする。

　開示の技術は、公開鍵暗号方式の秘密鍵および公開鍵を記憶する鍵記憶部と、前記秘密鍵および前記公開鍵を用いて、通信データを暗号化する暗号化部と、を備える暗号化装置である。

　公開鍵暗号方式を用いた暗号化処理を高速化させることができる。

従来の公開鍵暗号方式における暗号化装置を説明するための図である。本発明の実施の形態に係る公開鍵暗号方式における暗号化装置を説明するための図である。実施の形態１に係る暗号通信システムの構成図である。実施の形態１に係る暗号通信処理を示すシーケンス図である。実施の形態２に係る暗号通信システムの構成図である。実施の形態２に係る暗号通信処理を示すシーケンス図である。実施の形態３に係る暗号通信システムの構成図である。実施の形態３に係る暗号通信処理を示すシーケンス図である。実施の形態４に係る暗号通信システムの構成図である。実施の形態４に係る暗号通信処理を示すシーケンス図である。各装置のハードウェア構成例を示す図である。

　以下、図面を参照して本発明の実施の形態を説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。

　本実施の形態に係る技術を説明する前に、まずは、本実施の形態の暗号化に関連する従来技術とその課題を説明する。

　（従来技術について）
　従来の公開鍵暗号方式について、図１を参照して説明する。

　図１に示すように、従来の暗号化装置は、メッセージＭおよび公開鍵ｐｋの入力を受けると、公開鍵ｐｋを用いてメッセージＭを暗号化し、暗号文Ｃを出力する。

　しかし、公開鍵ｐｋを使用した暗号化処理は、演算に時間がかかるため、テレビ会議システム等のようなリアルタイム性が求められる暗号通信には適していない。

　以下、上記の課題を解決する本実施の形態に係る技術を説明する。

　（本実施の形態の概要）
　まず、本実施の形態に係る技術の概要を説明する。図２は、本実施の形態に係る公開鍵暗号方式における暗号化装置を説明するための図である。

　本実施の形態に係る暗号方式では、図２に示すように、暗号化装置は、メッセージＭ、公開鍵ｐｋおよび秘密鍵ｓｋの入力を受けると、公開鍵ｐｋおよび秘密鍵ｓｋを用いてメッセージＭを暗号化し、暗号文Ｃを出力する。すなわち、暗号化装置が、暗号化プロセスにおいて、公開鍵ｐｋだけでなく、秘密鍵ｓｋを使う点が、従来技術と異なる。なお、メッセージＭは、暗号通信における通信データの一例である。また、暗号文Ｃは、暗号化された通信データの一例である。

　（実施の形態１）
　以下、図面を参照して本発明の実施の形態１を説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。

　図３は、本実施の形態に係る暗号通信システムの構成図である。図３に示すように、暗号通信システム１は、暗号化装置１０と、復号装置２０と、鍵生成装置３０と、を備える。暗号化装置１０、復号装置２０、および鍵生成装置３０は、通信ネットワーク等を介して互いに通信可能に接続されている。

　鍵生成装置３０は、ビット長の指定データ（１^ｌ）の入力を受けて、公開鍵暗号方式の公開鍵ｐｋおよび秘密鍵ｓｋを生成し、公開鍵ｐｋおよび秘密鍵ｓｋを暗号化装置１０および復号装置２０に送信する。

　暗号化装置１０は、暗号化部１１と、鍵記憶部１２と、を備える。鍵記憶部１２は、鍵生成装置３０から受信した公開鍵ｐｋと秘密鍵ｓｋとを記憶する。暗号化部１１は、入力されたメッセージＭを、公開鍵ｐｋおよび秘密鍵ｓｋを使用して暗号化することによって暗号文Ｃを生成し、復号装置２０に送信する。

　復号装置２０は、鍵記憶部２２と、復号部２１と、を備える。鍵記憶部２２は、鍵生成装置３０から受信した公開鍵ｐｋと秘密鍵ｓｋとを記憶する。復号部２１は、暗号化装置１０から受信した暗号文Ｃを、公開鍵ｐｋおよび秘密鍵ｓｋを使用して復号することによって、メッセージＭを得る。

　次に、本実施の形態に係る暗号通信システム１の動作について説明する。図４は、本実施の形態に係る暗号通信処理を示すシーケンス図である。

　鍵生成装置３０は、ユーザの操作等によって、ビット長の指定データ（１^ｌ）の入力を受ける（ステップＳ１０１）。そして、鍵生成装置３０は、指定されたビット長の鍵を生成する鍵生成処理を実行する（ステップＳ１０２）。具体的には、鍵生成装置３０は、公開鍵暗号方式の公開鍵ｐｋおよび秘密鍵ｓｋを生成する。

　次に、鍵生成装置３０は、公開鍵ｐｋおよび秘密鍵ｓｋを暗号化装置１０に送信する（ステップＳ１０３）。暗号化装置１０の鍵記憶部１２は、受信した公開鍵ｐｋおよび秘密鍵ｓｋを記憶する。同様に、鍵生成装置３０は、公開鍵ｐｋおよび秘密鍵ｓｋを復号装置２０に送信する（ステップＳ１０４）。復号装置２０の鍵記憶部２２は、受信した公開鍵ｐｋおよび秘密鍵ｓｋを記憶する。

　暗号化装置１０は、ユーザの操作等によって、メッセージＭの入力を受ける（ステップＳ１０５）。暗号化部１１は、暗号化処理を実行する（ステップＳ１０６）。具体的には、暗号化部１１は、鍵記憶部１２に記憶された公開鍵ｐｋおよび秘密鍵ｓｋを用いて、メッセージＭを暗号化して暗号文Ｃを生成する。

　暗号化装置１０は、暗号文Ｃを復号装置２０に送信する（ステップＳ１０７）。復号装置２０の復号部２１は、復号処理を実行する（ステップＳ１０８）。具体的には、復号部２１は、公開鍵ｐｋと秘密鍵ｓｋの両方を用いて暗号文Ｃを復号し、メッセージＭを得る。

　以下、本実施の形態に係る処理の詳細について、いくつかの実施例を説明する。

　（実施の形態１の実施例Ａ：ＲＳＡ暗号）
　実施例Ａでは、ＲＳＡ暗号によって暗号化する例を示す。ＲＳＡ暗号は、桁数が大きい合成数の素因数分解問題が困難であることを安全性の根拠とした公開鍵暗号の一つである。

　ＲＳＡ暗号を使用した各処理の詳細は以下である。

　（ｉ）鍵生成処理（図４：ステップＳ１０２）
　　鍵生成装置３０は、１^ｌが入力されると、公開鍵ｐｋ＝（ｎ，ｅ）と秘密鍵ｓｋ＝（ｄ，ｐ，ｑ）とを出力する。ここでｐ，ｑは、互いに同等程度のビット長の素数である。鍵生成装置３０が実行する具体的な処理の詳細は以下の通りである。

　　（ｉ―１）ｐ，ｑを同等程度のビット長の素数とし、ｎ＝ｐｑとする。

　　（ｉ―２）φ（ｎ）＝（ｐ－１）（ｑ－１）とする。

　　（ｉ―３）ｅをφ（ｎ）未満の正の整数でφ（ｎ）と互いに素な数とする。また、ｄをφ（ｎ）を法としたｅの逆数とする。これらの数値の選択方法により、ｄｅ≡１（ｍｏｄ　φ（ｎ））が成立する。

　　（ｉ―４）以上で得られたｎ，ｅを公開鍵ｐｋとし、ｄ，ｐ，ｑを秘密鍵ｓｋとする。

　以下では、０以上ｎ未満の整数の集合をＺｎで表す。

　（ｉｉ）暗号化処理（図４：ステップＳ１０６）
　　メッセージＭをＺｎの元とする。

　　暗号化部１１は、Ｃ＝Ｍ^ｅ　ｍｏｄ　ｎを計算し、暗号文Ｃを出力する。

　（ｉｉｉ）復号処理（図４：ステップＳ１０８）
　　復号部２１は、暗号文Ｃに対して以下の計算を行い、平文のメッセージＭを得る。

　　Ｍ＝Ｃ^ｄ　ｍｏｄ　ｎ

　特に（ｉｉ）暗号化処理において、暗号化部１１は、公開鍵ｐｋ＝（ｎ，ｅ）に加えて、秘密鍵ｓｋ＝（ｄ，ｐ，ｑ）を使用できる。そして、暗号化部１１は、中国の剰余定理によって、ｍｏｄ　ｎをｍｏｄ　ｐとｍｏｄ　ｑの組み合わせに置き換えることができる。すなわち、暗号化部１１は、中国の剰余定理によって、ビット長の短い除数に変換して剰余演算を実行する。したがって、演算のコストを減らし、暗号化処理を高速化させることができる。

　（実施の形態１の実施例Ｂ：Ｐａｉｌｌｉｅｒ暗号）
　実施例Ｂでは、Ｐａｉｌｌｉｅｒ暗号によって暗号化する例を示す。Ｐａｉｌｌｉｅｒ暗号は、ｍ１の暗号文とｍ２の暗号文からｍ１＋ｍ２の暗号文を計算出来る（加法準同型性）という性質を満たす公開鍵暗号の一つである。

　Ｐａｉｌｌｉｅｒ暗号を使用した各処理の詳細は以下である。

　（ｉ）鍵生成処理（図４：ステップＳ１０２）
　　鍵生成装置３０が実行する具体的な処理の詳細は以下の通りである。

　　（ｉ―１）２つの大きな素数ｐ，ｑをランダムに選び、ｎ＝ｐｑとする。

　　（ｉ―２）ｋをＺｎから任意に選び、ｇ＝１＋ｋｎ　ｍｏｄ　ｎ^２とする。

　　（ｉ―３）公開鍵ｐｋ＝（ｎ，ｇ）、秘密鍵ｓｋ＝（ｐ，ｑ）とする。

　（ｉｉ）暗号化処理（図４：ステップＳ１０６）
　　（ｉｉ－１）暗号化部１１は、

　からランダムにｒを選ぶ。

　　（ｉｉ－２）Ｃ＝ｇ^ｍ・ｒ^ｎ　ｍｏｄ　ｎ^２が暗号文である。

　（ｉｉｉ）復号処理（図４：ステップＳ１０８）
　　（ｉｉｉ－１）λ＝ｌｃｍ（ｐ－１，ｑ－１）とする。

　　（ｉｉｉ－１）復号部２１は、Ｍ＝Ｌ（Ｃ^λ　ｍｏｄ　ｎ^２）／Ｌ（ｇ^λ　ｍｏｄ　ｎ^２）　ｍｏｄ　ｎを計算し、元のメッセージを得る。

　特に（ｉｉ）暗号化処理において、暗号化部１１は、公開鍵ｐｋ＝（ｎ，ｇ）に加えて、秘密鍵ｓｋ＝（ｐ，ｑ）と、鍵生成過程で生じたパラメータｋと、を使用できる。なお、鍵生成装置３０は、公開鍵ｐｋおよび秘密鍵ｓｋとともに、パラメータｋを暗号化装置１０に送信しておけば良い。これによって、（ｉｉ－２）におけるｍｏｄ　ｎ^２の演算を中国の剰余定理を用いて行うことができる。すなわち、暗号化部１１は、中国の剰余定理によって、ビット長の短い除数に変換して剰余演算を実行する。したがって、演算のコストを減らし、暗号化処理を高速化させることができる。

　（実施の形態２）
　以下に図面を参照して、実施の形態２について説明する。実施の形態２は、暗号化装置１０および復号装置２０が事前演算部と事前演算テーブル記憶部を備える点が、実施の形態１と相違する。よって、以下の実施の形態２の説明では、実施の形態１との相違点を中心に説明し、実施の形態１と同様の機能構成を有するものには、実施の形態１の説明で用いた符号と同様の符号を付与し、その説明を省略する。

　図５は、実施の形態２に係る暗号通信システムの構成図である。本実施の形態に係る鍵生成装置３０は、ビット長の指定データ（１^ｌ）に加えて、システムパラメータＳｙｓの入力を受けて、公開鍵暗号方式の公開鍵ｐｋおよび秘密鍵ｓｋを生成する。そして、鍵生成装置３０は、公開鍵ｐｋ、秘密鍵ｓｋおよびシステムパラメータＳｙｓを、暗号化装置１０および復号装置２０に送信する。

　暗号化装置１０は、暗号化部１１および鍵記憶部１２に加えて、事前演算部１３と、事前演算テーブル記憶部１４と、を備える。鍵記憶部１２は、鍵生成装置３０から受信した公開鍵ｐｋと秘密鍵ｓｋとシステムパラメータＳｙｓとを記憶する。

　事前演算部１３は、事前演算を行う。事前演算は、暗号化処理の前にあらかじめ行う演算であって、暗号化の対象データ（メッセージＭ等）が決定しない段階で行うことのできる演算である。具体的には、事前演算部１３は、公開鍵ｐｋおよびシステムパラメータＳｙｓに基づいて、事前演算を行い、事前演算テーブルＴＢＬを生成し、事前演算テーブル記憶部１４に格納する。

　暗号化部１１は、入力されたメッセージＭを、公開鍵ｐｋおよび秘密鍵ｓｋに加えて、システムパラメータＳｙｓおよび事前演算テーブルＴＢＬを使用して暗号化することによって暗号文Ｃを生成し、復号装置２０に送信する。

　同様に、復号装置２０は、復号部２１および鍵記憶部２２に加えて、事前演算部２３と、事前演算テーブル記憶部２４と、を備える。鍵記憶部２２は、鍵生成装置３０から受信した公開鍵ｐｋと秘密鍵ｓｋとシステムパラメータＳｙｓとを記憶する。

　復号装置２０が備える事前演算部２３および事前演算テーブル記憶部２４の機能は、暗号化装置１０が備える事前演算部１３および事前演算テーブル記憶部１４と同様である。

　復号部２１は、暗号化装置１０から受信した暗号文Ｃを、公開鍵ｐｋおよび秘密鍵ｓｋに加えて、システムパラメータＳｙｓおよび事前演算テーブルＴＢＬを使用して復号することによって、メッセージＭを得る。

　次に、本実施の形態に係る暗号通信システム１の動作について説明する。図６は、実施の形態２に係る暗号通信処理を示すシーケンス図である。

　本実施の形態に係る暗号通信処理においては、ステップＳ１０３に続いて、暗号化装置１０の事前演算部１３は事前演算処理を実行する（ステップＳ２０１）。同様に、ステップＳ１０４に続いて、復号装置２０の事前演算部２３は、事前演算処理を実行する（ステップＳ２０２）。

　（実施の形態２の実施例Ｃ：ＥｌＧａｍａｌ暗号）
　実施例Ｃでは、ＥｌＧａｍａｌ暗号によって暗号化する例を示す。ＥｌＧａｍａｌ暗号は、位数が大きな群の離散対数問題が困難であることを安全性の根拠とした公開鍵暗号の一つである。

　ＥｌＧａｍａｌ暗号を使用した各処理の詳細は以下である。

　（ｉ）鍵生成処理（図６：ステップＳ１０２）
　　鍵生成装置３０は、１^ｌおよびＳｙｓ＝（Ｇ_０，Ｇ）が入力されると、公開鍵ｐｋ＝（ｑ，Ｈ）と秘密鍵ｓｋ＝ｘとシステムパラメータＳｙｓ＝（Ｇ_０，Ｇ）とを出力する。鍵生成装置３０が実行する具体的な処理の詳細は以下の通りである。

　　（ｉ―１）巡回群Ｇで位数ｑが素数であり、かつｑのビット数がｋであるものを選ぶ。

　　（ｉ―２）ｘを｛０，１，２，・・・，ｑ－１｝からランダムに選ぶ。

　　（ｉ―３）Ｈ＝ｘＧ_０とする。

　　（ｉ―４）（ｑ，Ｈ）を公開鍵ｐｋ、ｘを秘密鍵ｓｋとする。

　（ｉｉ）事前演算処理（図６：ステップＳ２０１，ステップＳ２０２）
　　事前演算部１３および事前演算部２３は、ｐｋ＝（ｑ，Ｈ）およびＳｙｓ＝（Ｇ_０，Ｇ）に基づいて事前演算テーブルＴＢＬ＝（Ｇ_０［０］［０］，Ｇ_０［０］［１］，Ｇ_０［０］［２］・・・Ｇ_０［ｉ］［ｊ］）を生成する。

　（ｉｉｉ）暗号化処理（図６：ステップＳ１０６）
　　Ｇの元Ｍを平文とする。

　　暗号化部１１は、以下の処理を実行する。

　　（ｉｉｉ－１）ｒを｛０，１，２，・・・，ｑ－１｝からランダムに選ぶ。

　　（ｉｉｉ－２）Ｃ１＝ｒＧ_０，Ｃ２＝Ｍ＋ｒＨを計算する。

　　（ｉｉｉ－３）（Ｃ１，Ｃ２）を暗号文とする。

　（ｉｖ）復号処理（図６：ステップＳ１０８）
　　復号部２１は、受け取った暗号文（Ｃ１，Ｃ２）を用いて以下の計算を行う。

　　Ｍ＝Ｃ２－ｘＣ１

　上記の暗号化処理および復号処理において、暗号化部１１および復号部２１は、基底の定まった楕円スカラー倍算を、事前演算テーブルＴＢＬを利用したｆｉｘｅｄ－ｂａｓｅ　ｅｘｐｏｎｅｎｔｉａｔｉｏｎを用いて行う。

　特に（ｉｉ）暗号化処理において、公開鍵ｐｋ＝（ｑ，Ｈ）に加えて、秘密鍵ｓｋ＝（ｘ）を使用できることによって、暗号化部１１は、ＨをｘＧ_０により演算することができる。これによって、事前演算テーブル記憶部２４は、Ｈの楕円スカラー倍算においては個別に事前演算テーブルを所持する必要がなくなり、Ｇ_０に基づく事前演算テーブルを利用することができる。

　事前演算テーブルの大きさは、全体の演算コストに関連するため、事前演算テーブルを小さくすることは全体の演算コストの削減に寄与する。したがって、実施例Ｃの構成によれば、従来よりも事前演算のテーブルが小さくなり、演算コストを削減し、暗号化処理を高速化させることができる。

　（実施の形態２の実施例Ｄ：ＫＨ－ＰＫＥ）
　実施例Ｄでは、鍵付き準同型公開鍵暗号（Keyed-Homomorphic Public-Key Encryption；ＫＨ－ＰＫＥ）によって暗号化する例を示す。ＫＨ－ＰＫＥは、下記の参考文献［１］に発表された暗号化方式である。

　［実施例Ｄの参考文献］
[1] Emura, K., Hanaoka, G., Nuida, K. et al. Chosen ciphertext secure keyed-homomorphic public-key cryptosystems. Des. Codes Cryptogr. 86, 1623-1683 (2018). https://doi.org/10.1007/s10623-017-0417-6

　ＫＨ－ＰＫＥを使用した各処理の詳細は以下である。

　（ｉ）鍵生成処理（図６：ステップＳ１０２）
　　鍵生成装置３０は、１^ｌおよびＳｙｓ＝（Ｇ_０，Ｇ_１，Ｇ）が入力されると、公開鍵ｐｋ＝Ｓおよび秘密鍵

を生成する。

　（ｉｉ）事前演算処理（図６：ステップＳ２０１，ステップＳ２０２）
　　事前演算部１３および事前演算部２３は、ｐｋ＝ＳおよびＳｙｓ＝（Ｇ_０，Ｇ_１，Ｇ）に基づいて事前演算テーブルＴＢＬ＝（（Ｇ_０［０］［０］，Ｇ_０［０］［１］，Ｇ_０［０］［２］・・・Ｇ_０［ｉ］［ｊ］），（Ｇ_１［０］［０］，Ｇ_１［０］［１］，Ｇ_１［０］［２］・・・Ｇ_１［ｉ］［ｊ］），（Ｓ［０］［０］，Ｓ［０］［１］，Ｓ［０］［２］・・・Ｓ［ｉ］［ｊ］））を生成する。

　（ｉｉｉ）暗号化処理（図６：ステップＳ１０６）
　　暗号化部１１は、事前演算テーブルＴＢＬを使用して、メッセージＭに対して以下の暗号化アルゴリズムに規定された処理を実行し、暗号文Ｃを得る。

　（ｉｖ）復号処理（図６：ステップＳ１０８）
　　復号部２１は、事前演算テーブルＴＢＬを使用して暗号文Ｃを復号することによってメッセージＭを得る。

　比較のために従来の方法について説明する。従来のＫＨ－ＰＫＥでは、暗号化処理において秘密鍵ｓｋを使用しないため、事前演算テーブルＴＢＬとして以下を使用する。

　そして、暗号化処理においては、事前演算テーブルＴＢＬを使用して、メッセージＭに対して以下の暗号化アルゴリズムに規定された処理を実行し、暗号文Ｃを得る。

　上述した実施例Ｄの方法によれば、ＫＨ－ＰＫＥにおける事前演算テーブルのサイズは、従来の方法に対して５０％以上小さくすることができる。事前演算テーブルの大きさは、全体の演算コストに関連するため、事前演算テーブルを小さくすることは全体の演算コストの削減に寄与する。したがって、実施例Ｄの構成によれば、事前演算のテーブルが小さくなり、演算コストを削減し、暗号化処理を高速化させることができる。

　（実施の形態３）
　以下に図面を参照して、実施の形態３について説明する。実施の形態３は、事前演算装置をさらに備える点が、実施の形態２と相違する。よって、以下の実施の形態３の説明では、実施の形態２との相違点を中心に説明し、実施の形態２と同様の機能構成を有するものには、実施の形態２の説明で用いた符号と同様の符号を付与し、その説明を省略する。

　図７は、実施の形態３に係る暗号通信システムの構成図である。本実施の形態に係る暗号通信システム１は、実施の形態２に係る各装置に加えて、事前演算装置４０をさらに備える。

　事前演算装置４０は、システムパラメータＳｙｓの入力を受けて、事前演算テーブルＴＢＬ＿Ｓｙｓを生成し、暗号化装置１０に送信する。

　暗号化装置１０の事前演算部１３は、公開鍵ｐｋに基づく事前演算テーブルＴＢＬ＿ｐｋを生成する。事前演算テーブル記憶部１４は、ＴＢＬ＿ＳｙｓおよびＴＢＬ＿ｐｋを記憶する。

　暗号化部１１は、鍵記憶部１２が記憶するｐｋ、ｓｋおよびＳｙｓと、事前演算テーブル記憶部１４が記憶するＴＢＬ＿ＳｙｓおよびＴＢＬ＿ｐｋと、に基づいて、メッセージＭを暗号化することによって、暗号文Ｃを生成する。

　次に、本実施の形態に係る暗号通信システム１の動作について説明する。図８は、実施の形態３に係る暗号通信処理を示すシーケンス図である。

　本実施の形態に係る暗号通信処理においては、事前演算装置４０は、システムパラメータＳｙｓの入力を受けて（ステップＳ３０１）、事前演算処理を実行する（ステップＳ３０２）。そして、事前演算装置４０は、生成された事前演算テーブルＴＢＬ＿Ｓｙｓを暗号化装置１０に送信する（ステップＳ３０３）。

　また、ステップＳ２０１における事前演算処理では、事前演算部１３は、公開鍵ｐｋに基づく事前演算テーブルＴＢＬ＿ｐｋを生成する。

　（実施の形態３の実施例Ｅ：ＫＨ－ＰＫＥ）
　実施例Ｅでは、本実施の形態においてＫＨ－ＰＫＥによって暗号化する例を示す。

　（ｉ）事前演算処理（図８：ステップＳ２０１）
　　事前演算部１３は、ｐｋ＝Ｓに基づいて事前演算テーブルＴＢＬ＿ｐｋ＝（Ｓ［０］［０］，Ｓ［０］［１］，Ｓ［０］［２］・・・Ｓ［ｉ］［ｊ］）を生成する。
を生成する。

　（ｉｉ）事前演算処理（図８：ステップＳ３０２）
　　事前演算装置４０は、Ｓｙｓ＝（Ｇ_０，Ｇ_１，Ｇ）に基づいて、事前演算テーブルＴＢＬ＿Ｓｙｓ＝（（Ｇ_０［０］［０］，Ｇ_０［０］［１］，Ｇ_０［０］［２］・・・Ｇ_０［ｉ］［ｊ］），（Ｇ_１［０］［０］，Ｇ_１［０］［１］，Ｇ_１［０］［２］・・・Ｇ_１［ｉ］［ｊ］））を生成する。

　（ｉｉｉ）暗号化処理（図８：ステップＳ１０６）
　　暗号化部１１は、メッセージＭに対して、実施の形態２に係る暗号化アルゴリズムと同様の処理を実行し、暗号文Ｃを得る。

　本実施の形態に係る暗号通信システム１によれば、暗号化装置１０は、システムパラメータＳｙｓに基づく事前演算を行わないため、実施の形態２と比較して、事前演算量が少なくて良い。したがって、暗号化装置１０の演算コストを実施の形態２よりもさらに削減し、暗号化処理をさらに高速化させることができる。

　（実施の形態４）
　以下に図面を参照して、実施の形態４について説明する。実施の形態４は、暗号化装置１０が事前演算部を備えていない点が、実施の形態３と相違する。よって、以下の実施の形態４の説明では、実施の形態３との相違点を中心に説明し、実施の形態３と同様の機能構成を有するものには、実施の形態３の説明で用いた符号と同様の符号を付与し、その説明を省略する。

　図９は、実施の形態４に係る暗号通信システムの構成図である。本実施の形態に係る暗号化装置１０は、実施の形態３に係る事前演算部１３を備えていない。したがって、事前演算テーブル記憶部１４は、システムパラメータＳｙｓに基づく事前演算テーブルＴＢＬ＿Ｓｙｓを記憶する。すなわち、事前演算テーブル記憶部１４は、公開鍵ｐｋに基づく事前演算テーブルＴＢＬ＿ｐｋを記憶しない）。

　暗号化部１１は、鍵記憶部１２が記憶するｐｋ、ｓｋおよびＳｙｓと、事前演算テーブル記憶部１４が記憶するＴＢＬ＿Ｓｙｓと、に基づいて、メッセージＭを暗号化することによって、暗号文Ｃを生成する。

　次に、本実施の形態に係る暗号通信システム１の動作について説明する。図１０は、実施の形態４に係る暗号通信処理を示すシーケンス図である。

　本実施の形態に係る暗号通信処理においては、暗号化装置１０は事前演算処理を実行しない（図８のステップＳ２０１に相当する処理が図１０に存在しない）。

　（実施の形態４の実施例Ｆ：ＥｌＧａｍａｌ暗号）
　実施例Ｆでは、本実施の形態においてＥｌＧａｍａｌ暗号によって暗号化する例を示す。ＥｌＧａｍａｌ暗号を使用した各処理の詳細は以下である。

　（ｉｉ）事前演算処理（図１０：ステップＳ３０２）
　　事前演算装置４０は、Ｓｙｓ＝（Ｇ_０，Ｇ）に基づいて事前演算テーブルＴＢＬ＝（Ｇ_０［０］［０］，Ｇ_０［０］［１］，Ｇ_０［０］［２］・・・Ｇ_０［ｉ］［ｊ］）を生成する。

　ＥｌＧａｍａｌ暗号における暗号化部１１は、ｓｋを利用した暗号化を行うため、システムパラメータＳｙｓ＝（Ｇ_０，Ｇ）に基づく事前演算テーブルＴＢＬ＝（Ｇ_０［０］［０］，Ｇ_０［０］［１］，Ｇ_０［０］［２］・・・Ｇ_０［ｉ］［ｊ］）を使用すれば足りる。これによって、暗号化装置１０は、事前演算処理を行わない構成とすることができる。

　（実施の形態４の実施例Ｇ：ＫＨ－ＰＫＥ）

　（ｉ）事前演算処理（図１０：ステップＳ３０２）
　　事前演算装置４０は、Ｓｙｓ＝（Ｇ_０，Ｇ_１，Ｇ）に基づいて、事前演算テーブルＴＢＬ＿Ｓｙｓ＝（（Ｇ_０［０］［０］，Ｇ_０［０］［１］，Ｇ_０［０］［２］・・・Ｇ_０［ｉ］［ｊ］），（Ｇ_１［０］［０］，Ｇ_１［０］［１］，Ｇ_１［０］［２］・・・Ｇ_１［ｉ］［ｊ］））を生成する。

　（ｉｉｉ）暗号化処理（図８：ステップＳ１０６）
　　暗号化部１１は、メッセージＭに対して以下の暗号化アルゴリズムに規定された処理を実行し、暗号文Ｃを得る。

　この暗号化アルゴリズムによれば、暗号化部１１は、システムパラメータＳｙｓ＝（Ｇ_０，Ｇ_１，Ｇ）に基づく事前演算テーブルＴＢＬ＿Ｓｙｓ＝（（Ｇ_０［０］［０］，Ｇ_０［０］［１］，Ｇ_０［０］［２］・・・Ｇ_０［ｉ］［ｊ］），（Ｇ_１［０］［０］，Ｇ_１［０］［１］，Ｇ_１［０］［２］・・・Ｇ_１［ｉ］［ｊ］））を用いて暗号化することができる。これによって、暗号化装置１０は、事前演算処理を行わない構成とすることができる。

　上述した実施例Ｆおよび実施例Ｇの方法によれば、暗号化装置１０が事前演算処理を行わないため、暗号化装置１０による演算コストをさらに削減することができる。なお、実施の形態４の構成は、実施の形態３の構成と比較して、事前演算の負荷が削減する代わりに、暗号化処理の負荷が増加する。したがって、暗号通信システム１を構築する際は、両者のトレードオフを考慮して、いずれかの形態を選択することによって、より適切な構成とすることができる。

　（ハードウェア構成例）
　暗号化装置１０、復号装置２０、鍵生成装置３０および事前演算装置４０（これらを総称して「装置」と呼ぶ）は、いずれも、例えば、コンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。なお、この「コンピュータ」は、物理マシンであってもよいし、クラウド上の仮想マシンであってもよい。仮想マシンを使用する場合、ここで説明する「ハードウェア」は仮想的なハードウェアである。

　上記プログラムは、コンピュータが読み取り可能な記録媒体（可搬メモリ等）に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メール等、ネットワークを通して提供することも可能である。

　図１１は、上記コンピュータのハードウェア構成例を示す図である。図１１のコンピュータは、それぞれバスＢで相互に接続されているドライブ装置１０００、補助記憶装置１００２、メモリ装置１００３、ＣＰＵ１００４、インタフェース装置１００５、表示装置１００６、入力装置１００７、出力装置１００８等を有する。

　当該コンピュータでの処理を実現するプログラムは、例えば、ＣＤ－ＲＯＭ又はメモリカード等の記録媒体１００１によって提供される。プログラムを記憶した記録媒体１００１がドライブ装置１０００にセットされると、プログラムが記録媒体１００１からドライブ装置１０００を介して補助記憶装置１００２にインストールされる。但し、プログラムのインストールは必ずしも記録媒体１００１より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置１００２は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。

　メモリ装置１００３は、プログラムの起動指示があった場合に、補助記憶装置１００２からプログラムを読み出して格納する。ＣＰＵ１００４は、メモリ装置１００３に格納されたプログラムに従って、当該装置に係る機能を実現する。インタフェース装置１００５は、ネットワークに接続するためのインタフェースとして用いられる。表示装置１００６はプログラムによるＧＵＩ（Ｇｒａｐｈｉｃａｌ　Ｕｓｅｒ　Ｉｎｔｅｒｆａｃｅ）等を表示する。入力装置１００７はキーボード及びマウス、ボタン、又はタッチパネル等で構成され、様々な操作指示を入力させるために用いられる。出力装置１００８は演算結果を出力する。

　上述した各実施の形態において、鍵生成装置３０が公開鍵ｐｋおよび秘密鍵ｓｋを生成する例を示したが、本発明の範囲はこれに限られず、暗号化装置１０または復号装置２０が公開鍵ｐｋおよび秘密鍵ｓｋを生成しても良い。

　（実施の形態のまとめ）
　本明細書には、少なくとも下記の各項に記載した暗号化装置、暗号通信システム、暗号化方法およびプログラムが記載されている。
（第１項）
　公開鍵暗号方式の秘密鍵および公開鍵を記憶する鍵記憶部と、
　前記秘密鍵および前記公開鍵を用いて、通信データを暗号化する暗号化部と、を備える、
　暗号化装置。
（第２項）
　前記暗号化部は、前記暗号化装置とは異なる装置で生成された事前演算テーブルを使用して、前記通信データを暗号化する、
　第１項に記載の暗号化装置。
（第３項）
　前記暗号化部は、ＥｌＧａｍａｌ暗号またはＫＨ－ＰＫＥによって前記通信データを暗号化する、
　第２項に記載の暗号化装置。
（第４項）
　前記暗号化部は、中国の剰余定理によってビット長の短い除数に変換して剰余演算を実行する、
　第１項から第３項のいずれか１項に記載の暗号化装置。
（第５項）
　前記暗号化部は、ＲＳＡ暗号またはＰａｉｌｌｉｅｒ暗号によって前記通信データを暗号化する、
　第４項に記載の暗号化装置。
（第６項）
　互いに暗号通信を行う暗号化装置と復号装置とを備える暗号通信システムであって、
　前記暗号化装置は、
　公開鍵暗号方式の秘密鍵および公開鍵を記憶する鍵記憶部と、
　前記秘密鍵および前記公開鍵を用いて、通信データを暗号化する暗号化部と、を備え、
　前記復号装置は、
　前記秘密鍵および前記公開鍵を記憶する鍵記憶部と、
　前記暗号化装置によって暗号化された通信データを、前記秘密鍵を用いて復号する復号部と、を備える、
　暗号通信システム。
（第７項）
　公開鍵暗号方式の秘密鍵および公開鍵を記憶する暗号化装置が実行する方法であって、
　前記秘密鍵および前記公開鍵を用いて、通信データを暗号化するステップを備える、
　暗号化方法。
（第８項）
　コンピュータを第１項から第５項のいずれか１項に記載の暗号化装置における各部として機能させるためのプログラム。

　以上、各実施の形態について説明したが、本発明はかかる特定の実施の形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。

　１　暗号通信システム
　１０　暗号化装置
　１１　暗号化部
　１２　鍵記憶部
　１３　事前演算部
　１４　事前演算テーブル記憶部
　２０　復号装置
　２１　復号部
　２２　鍵記憶部
　２３　事前演算部
　２４　事前演算テーブル記憶部
　３０　鍵生成装置
　４０　事前演算装置

Claims

　公開鍵暗号方式の秘密鍵および公開鍵を記憶する鍵記憶部と、
　前記秘密鍵および前記公開鍵を用いて、通信データを暗号化する暗号化部と、を備える、
　暗号化装置。
　前記暗号化部は、前記暗号化装置とは異なる装置で生成された事前演算テーブルを使用して、前記通信データを暗号化する、
　請求項１に記載の暗号化装置。
　前記暗号化部は、ＥｌＧａｍａｌ暗号またはＫＨ－ＰＫＥによって前記通信データを暗号化する、
　請求項２に記載の暗号化装置。
　前記暗号化部は、中国の剰余定理によってビット長の短い除数に変換して剰余演算を実行する、
　請求項１から３のいずれか１項に記載の暗号化装置。
　前記暗号化部は、ＲＳＡ暗号またはＰａｉｌｌｉｅｒ暗号によって前記通信データを暗号化する、
　請求項４に記載の暗号化装置。
　互いに暗号通信を行う暗号化装置と復号装置とを備える暗号通信システムであって、
　前記暗号化装置は、
　公開鍵暗号方式の秘密鍵および公開鍵を記憶する鍵記憶部と、
　前記秘密鍵および前記公開鍵を用いて、通信データを暗号化する暗号化部と、を備え、
　前記復号装置は、
　前記秘密鍵および前記公開鍵を記憶する鍵記憶部と、
　前記暗号化装置によって暗号化された通信データを、前記秘密鍵を用いて復号する復号部と、を備える、
　暗号通信システム。
　公開鍵暗号方式の秘密鍵および公開鍵を記憶する暗号化装置が実行する方法であって、
　前記秘密鍵および前記公開鍵を用いて、通信データを暗号化するステップを備える、
　暗号化方法。
　コンピュータを請求項１から５のいずれか１項に記載の暗号化装置における各部として機能させるためのプログラム。