WO2022239129A1

WO2022239129A1 - 鍵交換システム、機器、鍵交換方法、及びプログラム

Info

Publication number: WO2022239129A1
Application number: PCT/JP2021/017943
Authority: WO
Inventors: 聡史中邑; 恆和齋藤
Original assignee: 日本電信電話株式会社
Priority date: 2021-05-11
Filing date: 2021-05-11
Publication date: 2022-11-17
Also published as: JPWO2022239129A1

Abstract

一実施形態に係る鍵交換システムは、耐量子性を持つ第１の鍵カプセル化メカニズムの第１の短期秘密鍵及び第１の短期公開鍵と、前記第１の鍵カプセル化メカニズムに対して古典的な第２の鍵カプセル化メカニズムの第２の短期秘密鍵及び第２の短期公開鍵とを生成し、前記第１の短期秘密鍵と前記第２の短期秘密鍵とを連結した第３の短期秘密鍵と、前記第１の短期公開鍵と前記第２の短期公開鍵とを連結した第３の短期公開鍵とを生成する鍵生成部と、前記第３の短期公開鍵を用いて、前記第１の鍵カプセル化メカニズムの第１の暗号文及び第１の共有鍵と、前記第２の鍵カプセル化メカニズムの第２の暗号文及び第２の共有鍵とを生成し、前記第１の共有鍵と前記第２の共有鍵と前記第３の短期公開鍵と前記第１の暗号文と前記第２の暗号文を入力とする鍵生成関数により第３の共有鍵を生成する暗号化部と、前記第３の短期秘密鍵を用いて、前記第１の暗号文と前記第２の暗号文とをそれぞれ復号して前記第１の共有鍵と前記第２の共有鍵とを生成し、前記第１の共有鍵と前記第２の共有鍵と前記第３の短期公開鍵と前記第１の暗号文と前記第２の暗号文を入力とする前記鍵生成関数により前記第３の共有鍵を生成する復号部と、を有する。

Description

鍵交換システム、機器、鍵交換方法、及びプログラム

　本発明は、鍵交換システム、機器、鍵交換方法、及びプログラムに関する。

　量子計算機の実用化により、既存の暗号方式の安全性基盤となる数学的問題（例えば、素因数分解問題、離散対数問題）を現実的な時間内で解けるようになることが知られている。このため、既存の暗号方式であるＲＳＡ暗号や楕円曲線暗号等が危殆化する恐れがあり、量子計算機でも解読できない暗号（耐量子計算機暗号）への移行が必要となる。

　鍵カプセル化技術（ＫＥＭ：Key Encapsulation Mechanism）と呼ばれる技術が知られている。鍵カプセル化技術とは、公開鍵暗号を利用して共有鍵をカプセル化し、１回の通信により共有鍵を受信者に配送する技術である。耐量子のＫＥＭとしては、ＮＩＳＴ（National Institute of Standards and Technology）等のコンテストで提案されている（例えば、非特許文献１参照）。

NISTの耐量子計算機暗号標準化活動，インターネット＜ＵＲＬ：https://csrc.nist.gov/Projects/post-quantum-cryptography/round-3-submissions＞

　しかしながら、耐量子のＫＥＭは新しい技術であるため、十分に安全性の検証が行われた従来の暗号方式とは異なり、現在安全性の検証を行っている最中である。このため、全く新しい攻撃が発見され、それにより危殆化する可能性がある。

　本発明の一実施形態は、上記の点に鑑みてなされたもので、安全性が検証された暗号方式と耐量子暗号方式とのハイブリッド方式の鍵カプセル化技術を実現することを目的とする。

　上記目的を達成するため、一実施形態に係る鍵交換システムは、耐量子性を持つ第１の鍵カプセル化メカニズムの第１の短期秘密鍵及び第１の短期公開鍵と、前記第１の鍵カプセル化メカニズムに対して古典的な第２の鍵カプセル化メカニズムの第２の短期秘密鍵及び第２の短期公開鍵とを生成し、前記第１の短期秘密鍵と前記第２の短期秘密鍵とを連結した第３の短期秘密鍵と、前記第１の短期公開鍵と前記第２の短期公開鍵とを連結した第３の短期公開鍵とを生成する鍵生成部と、前記第３の短期公開鍵を用いて、前記第１の鍵カプセル化メカニズムの第１の暗号文及び第１の共有鍵と、前記第２の鍵カプセル化メカニズムの第２の暗号文及び第２の共有鍵とを生成し、前記第１の共有鍵と前記第２の共有鍵と前記第３の短期公開鍵と前記第１の暗号文と前記第２の暗号文を入力とする鍵生成関数により第３の共有鍵を生成する暗号化部と、前記第３の短期秘密鍵を用いて、前記第１の暗号文と前記第２の暗号文とをそれぞれ復号して前記第１の共有鍵と前記第２の共有鍵とを生成し、前記第１の共有鍵と前記第２の共有鍵と前記第３の短期公開鍵と前記第１の暗号文と前記第２の暗号文を入力とする前記鍵生成関数により前記第３の共有鍵を生成する復号部と、を有する。

　安全性が検証された暗号方式と耐量子暗号方式とのハイブリッド方式の鍵カプセル化技術を実現することができる。

本実施形態に係る鍵交換システムの全体構成の一例を示す図である。本実施形態に係る鍵交換処理の一例を示すシーケンス図である。本実施形態に係る機器のハードウェア構成の一例を示す図である。

　以下、本発明の一実施形態について説明する。本実施形態では、十分に安全性の検証が行われた暗号方式と耐量子暗号方式とを組み合わせたハイブリッド方式の鍵カプセル化技術を提案し、この鍵カプセル化技術により鍵交換を行う鍵交換システム１について説明する。

　＜鍵カプセル化技術＞
　鍵カプセル化技術ＫＥＭは、３つのアルゴリズム（ＫｅｙＧｅｎ，Ｅｎｃａｐ，Ｄｅｃａｐ）で構成される。なお、これらのアルゴリズムは関数や手続き等と称されてもよい。

　ＫｅｙＧｅｎ（）→（ｓｋ，ｐｋ）：ＫｅｙＧｅｎアルゴリズムは、短期秘密鍵ｓｋと短期公開鍵ｐｋとを出力する。なお、ＫｅｙＧｅｎアルゴリズムは、例えば、鍵のサイズ等のパラメータを入力としてもよい。

　Ｅｎｃａｐ（ｐｋ）→（ｋ，Ｃ）：Ｅｎｃａｐアルゴリズムは、短期公開鍵ｐｋを入力し、セッション鍵ｋと暗号文Ｃとを出力する。

　Ｄｅｃａｐ（ｓｋ，Ｃ）→ｋ／ｅｒｒｏｒ：Ｄｅｃａｐアルゴリズムは、短期秘密鍵ｓｋと暗号文Ｃとを入力し、セッション鍵ｋ又は復号失敗を示すｅｒｒｏｒを出力する。

　以下では、耐量子暗号方式のＫＥＭ（以下、耐量子ＫＥＭともいう。）をＫＥＭ_{ＰＯＳＴＱ}＝（ＫｅｙＧｅｎ_{ＰＯＳＴＱ}，Ｅｎｃａｐ_{ＰＯＳＴＱ}，Ｄｅｃａｐ_{ＰＯＳＴＱ}）とする。

　また、これらのアルゴリズムの入力及び出力を、
　ＫｅｙＧｅｎ_{ＰＯＳＴＱ}（）→（ｓｋ_{ＰＯＳＴＱ}，ｐｋ_{ＰＯＳＴＱ}）
　Ｅｎｃａｐ_{ＰＯＳＴＱ}（ｐｋ_{ＰＯＳＴＱ}）→（ｋ_{ＰＯＳＴＱ}，Ｃ_{ＰＯＳＴＱ}）
　Ｄｅｃａｐ（ｓｋ_{ＰＯＳＴＱ}，Ｃ_{ＰＯＳＴＱ}）→ｋ_{ＰＯＳＴＱ}／ｅｒｒｏｒ
とする。

　また、十分に安全性の検証が行われ、従来から存在する暗号方式（このような暗号方式は耐量子暗号方式に対して古典的な暗号方式であるため、以下、古典ＫＥＭともいう。）をＫＥＭ_ＰＲＥＱ＝（ＫｅｙＧｅｎ_ＰＲＥＱ，Ｅｎｃａｐ_ＰＲＥＱ，Ｄｅｃａｐ_ＰＲＥＱ）とする。

　また、これらのアルゴリズムの入力及び出力を、
　ＫｅｙＧｅｎ_ＰＲＥＱ（）→（ｓｋ_ＰＲＥＱ，ｐｋ_ＰＲＥＱ）
　Ｅｎｃａｐ_ＰＲＥＱ（ｐｋ_ＰＲＥＱ）→（ｋ_ＰＲＥＱ，Ｃ_ＰＲＥＱ）
　Ｄｅｃａｐ（ｓｋ_ＰＲＥＱ，Ｃ_ＰＲＥＱ）→ｋ_ＰＲＥＱ／ｅｒｒｏｒ
とする。

　なお、耐量子ＫＥＭ_{ＰＯＳＴＱ}の具体例としては、例えば、ＮＩＳＴの耐量子コンテストで提案されている技術等が挙げられる（これらの技術については、上記の非特許文献１を参照されたい。）。一方で、古典ＫＥＭ_ＰＲＥＱの具体例としては、例えば、ＰＳＥＣ－ＫＥＭやＲＳＡ－ＫＥＭ等が挙げられる。ＰＳＥＣ－ＫＥＭについては以下の参考文献１、ＲＳＡ－ＫＥＭについては以下の参考文献２等をそれぞれ参照されたい。

　参考文献１：PSEC-KEM Specification version 2.2, インターネット＜ＵＲＬ：https://info.isl.ntt.co.jp/crypt/psec/dl/iso/psec-kem_v2.2_20080414e.pdf＞
　参考文献２：Use of the RSA-KEM Key Transport Algorithm in the Cryptographic Message Syntax (CMS), インターネット＜ＵＲＬ：https://tools.ietf.org/pdf/rfc5990.pdf＞
　ただし、上記の具体例は一例であって、耐量子ＫＥＭ_{ＰＯＳＴＱ}としては任意の耐量子ＫＥＭを採用することができるし、古典ＫＥＭ_ＰＲＥＱとしては任意の古典ＫＥＭ（特に、十分に安全性の検証が行われたＫＥＭ）を採用することができる。

　以上の耐量子ＫＥＭ_{ＰＯＳＴＱ}と古典ＫＥＭ_ＰＲＥＱとを用いて、これらのハイブリッド方式のＫＥＭ（以下、ハイブリッドＫＥＭともいう。）を構成する。ハイブリッドＫＥＭをＫＥＭ_ｈ＝（ＫｅｙＧｅｎ_ｈ，Ｅｎｃａｐ_ｈ，Ｄｅｃａｐ_ｈ）とする。

　ＫｅｙＧｅｎ_ｈ＝ＫｅｙＧｅｎ_{ＰＯＳＴＱ}||ＫｅｙＧｅｎ_ＰＲＥＱとする。

　具体的には、ＫｅｙＧｅｎ_ｈ（）→（ｓｋ_ｈ，ｐｋ_ｈ）＝（ｓｋ_{ＰＯＳＴＱ}||ｓｋ_ＰＲＥＱ，ｐｋ_{ＰＯＳＴＱ}||ｐｋ_ＰＲＥＱ）とする。ここで、|| は連結（ビット列の連結、結合、コンカチネート、又は単にコンカチ、等とも呼ばれる。）を表す。

　すなわち、ハイブリッドＫＥＭ_ｈの短期秘密鍵ｓｋ_ｈを、耐量子ＫＥＭ_{ＰＯＳＴＱ}の短期秘密鍵ｓｋ_{ＰＯＳＴＱ}と古典ＫＥＭ_ＰＲＥＱの短期秘密鍵ｓｋ_ＰＲＥＱとを連結したものとする。同様に、ハイブリッドＫＥＭ_ｈの短期公開鍵ｐｋ_ｈを、耐量子ＫＥＭ_{ＰＯＳＴＱ}の短期公開鍵ｐｋ_{ＰＯＳＴＱ}と古典ＫＥＭ_ＰＲＥＱの短期公開鍵ｐｋ_ＰＲＥＱとを連結したものとする。

　Ｅｎｃａｐ_ｈ＝Ｅｎｃａｐ_{ＰＯＳＴＱ}||Ｅｎｃａｐ_ＰＲＥＱとする。

　具体的には、Ｅｎｃａｐ_ｈ（ｐｋ_ｈ）→（ｋ，Ｃ_ｈ）として、以下とする。

　Ｃ_ｈ＝Ｃ_{ＰＯＳＴＱ}||Ｃ_ＰＲＥＱ
　ｋ_ｈ＝ｋ_{ＰＯＳＴＱ}||ｋ_ＰＲＥＱ
　ｋ＝ＫＤＦ（ｋ_ｈ||ｐｋ_ｈ||Ｃ_ｈ）
　ここで、ＫＤＦ（）は鍵導出関数である。

　Ｄｅｃａｐ_ｈ＝Ｄｅｃａｐ_{ＰＯＳＴＱ}||Ｄｅｃａｐ_ＰＲＥＱとする。

　具体的には、Ｄｅｃａｐ_ｈ（ｓｋ_ｈ，Ｃ_ｈ）→ｋ＝ＫＤＦ（ｋ_ｈ||ｐｋ_ｈ||Ｃ_ｈ）／ｅｒｒｏｒとする。

　このように、耐量子ＫＥＭ_{ＰＯＳＴＱ}と古典ＫＥＭ_ＰＲＥＱとを用いて、ハイブリッドＫＥＭ_ｈ＝（ＫｅｙＧｅｎ_ｈ，Ｅｎｃａｐ_ｈ，Ｄｅｃａｐ_ｈ）を構成する。このとき、セッション鍵ｋを生成する際に、単純にｋ_{ＰＯＳＴＱ}とｋ_ＰＲＥＱとを連結した鍵ｋ_ｈをセッション鍵とするのではなく、短期公開鍵ｐｋ_ｈと暗号文Ｃ_ｈとも連結した上で、鍵導出関数ＫＤＦによりセッション鍵ｋ＝ＫＤＦ（ｋ_ｈ||ｐｋ_ｈ||Ｃ_ｈ）を生成する。言い換えれば、鍵交換におけるセッションＩＤとして短期公開鍵ｐｋ_ｈと暗号文Ｃ_ｈも含め、そのセッションＩＤで鍵導出関数によりセッション鍵ｋを生成する。

　これにより、例えば、耐量子ＫＥＭ_{ＰＯＳＴＱ}に対する突発的な攻撃による危殆化を低減することができる。また、セッション鍵ｋの生成の際に短期公開鍵ｐｋ_ｈと暗号文Ｃ_ｈも鍵導出関数ＫＤＦに入力しているため、仮にセッション鍵ｋが漏洩したとしても、他のセッションには影響がない。

　＜全体構成＞
　次に、上記のハイブリッドＫＥＭ_ｈにより鍵交換を実現する鍵交換システム１の全体構成について、図１を参照しながら説明する。図１は、本実施形態に係る鍵交換システム１の全体構成の一例を示す図である。

　図１に示すように、本実施形態に係る鍵交換システム１には、機器１０と、機器２０とが含まれる。また、機器１０と機器２０は、例えば、インターネット等の通信ネットワークＮを介して通信可能に接続される。

　機器１０は、ＫｅｙＧｅｎ_ｈアルゴリズムとＤｅｃａｐ_ｈアルゴリズムとを実行する機器である。一方で、機器２０は、Ｅｎｃａｐ_ｈアルゴリズムを実行する機器である。なお、機器１０及び２０としては、例えば、汎用サーバ、ＰＣ（パーソナルコンピュータ）、スマートフォン、タブレット端末、ウェアラブルデバイス、車載器、産業用機器、家電製品、ロボット等といった各種装置や機器等が挙げられる。

　ここで、機器１０は、鍵生成部１０１と、復号部１０２と、記憶部１０３とを有する。なお、鍵生成部１０１及び復号部１０２は、例えば、機器１０にインストールされた１以上のプログラムが、ＣＰＵ（Central Processing Unit）等のプロセッサに実行させる処理により実現される。また、記憶部１０３は、例えば、ＨＤＤ（Hard Disk Drive）やＳＳＤ（Solid State Drive）、フラッシュメモリ等の各種メモリ装置により実現される。

　鍵生成部１０１は、ＫｅｙＧｅｎ_ｈアルゴリズムを実行し、短期秘密鍵ｓｋ_ｈと短期公開鍵ｐｋ_ｈを生成する。また、鍵生成部１０１は、短期公開鍵ｐｋ_ｈを機器２０に送信する。

　復号部１０２は、機器２０から暗号文Ｃ_ｈを受信すると、Ｄｅｃａｐ_ｈアルゴリズムを実行し、セッション鍵ｋを生成する。

　記憶部１０３は、ＫｅｙＧｅｎ_ｈアルゴリズムやＤｅｃａｐ_ｈアルゴリズムの実行に用いられる各種情報、それらのアルゴリズムの出力等を記憶する。

　また、機器２０は、暗号化部２０１と、記憶部２０２とを有する。なお、暗号化部２０１は、例えば、機器２０にインストールされた１以上のプログラムが、ＣＰＵ等のプロセッサに実行させる処理により実現される。また、記憶部２０２は、例えば、ＨＤＤやＳＳＤ、フラッシュメモリ等の各種メモリ装置により実現される。

　暗号化部２０１は、Ｅｎｃａｐ_ｈアルゴリズムを実行し、暗号文Ｃ_ｈとセッション鍵ｋを生成する。また、暗号化部２０１は、暗号文Ｃ_ｈを機器１０に送信する。

　記憶部２０２は、Ｅｎｃａｐ_ｈアルゴリズムに用いられる各種情報、このアルゴリズムの出力等を記憶する。

　＜鍵交換処理＞
　次に、本実施形態に係る鍵交換処理について、図２を参照しながら説明する。図２は、本実施形態に係る鍵交換処理の一例を示すシーケンス図である。

　まず、機器１０の鍵生成部１０１は、ＫｅｙＧｅｎ_ｈ（）により短期秘密鍵ｓｋ_ｈと短期公開鍵ｐｋ_ｈを生成する（ステップＳ１０１）。なお、短期秘密鍵ｓｋ_ｈ及び短期公開鍵ｐｋ_ｈは記憶部１０３に格納される。

　次に、機器１０の鍵生成部１０１は、上記のステップＳ１０１で生成した短期公開鍵ｐｋ_ｈを機器２０に送信する（ステップＳ１０２）。

　機器２０の暗号化部２０１は、短期公開鍵ｐｋ_ｈを受信すると、Ｅｎｃａｐ_ｈ（ｐｋ_ｈ）によりセッション鍵ｋと暗号文Ｃ_ｈを生成する（ステップＳ１０３）。

　ここで、ｐｋ_ｈ＝ｐｋ_{ＰＯＳＴＱ}||ｐｋ_ＰＲＥＱであるため、暗号化部２０１は、ｐｋ_ｈをｐｋ_{ＰＯＳＴＱ}とｐｋ_ＰＲＥＱに分割した上で、Ｅｎｃａｐ_{ＰＯＳＴＱ}（ｐｋ_{ＰＯＳＴＱ}）→（ｋ_{ＰＯＳＴＱ}，Ｃ_{ＰＯＳＴＱ}）とＥｎｃａｐ_ＰＲＥＱ（ｐｋ_ＰＲＥＱ）→（ｋ_ＰＲＥＱ，Ｃ_ＰＲＥＱ）とを実行し、以下によりセッション鍵ｋを生成する。

　Ｃ_ｈ＝Ｃ_{ＰＯＳＴＱ}||Ｃ_ＰＲＥＱ
　ｋ_ｈ＝ｋ_{ＰＯＳＴＱ}||ｋ_ＰＲＥＱ
　ｋ＝ＫＤＦ（ｋ_ｈ||ｐｋ_ｈ||Ｃ_ｈ）
　なお、セッション鍵ｋは記憶部２０２に格納される。

　次に、機器２０の暗号化部２０１は、上記のステップＳ１０３で生成した暗号文Ｃ_ｈを機器１０に送信する（ステップＳ１０４）。

　機器１０の復号部１０２は、暗号文Ｃ_ｈを受信すると、Ｄｅｃａｐ_ｈ（ｓｋ_ｈ，Ｃ_ｈ）によりセッション鍵ｋを生成する（ステップＳ１０５）。

　ここで、Ｃ_ｈ＝Ｃ_{ＰＯＳＴＱ}||Ｃ_ＰＲＥＱ及びｓｋ_ｈ＝ｓｋ_{ＰＯＳＴＱ}||ｓｋ_ＰＲＥＱであるため、復号部１０２は、Ｃ_ｈをＣ_{ＰＯＳＴＱ}とＣ_ＰＲＥＱに分割すると共にｓｋ_ｈをｓｋ_{ＰＯＳＴＱ}とｓｋ_ＰＲＥＱに分割した上で、Ｄｅｃａｐ（ｓｋ_{ＰＯＳＴＱ}，Ｃ_{ＰＯＳＴＱ}）→ｋ_{ＰＯＳＴＱ}／ｅｒｒｏｒとＤｅｃａｐ（ｓｋ_ＰＲＥＱ，Ｃ_ＰＲＥＱ）→ｋ_ＰＲＥＱ／ｅｒｒｏｒとを実行する。そして、ｋ_{ＰＯＳＴＱ}とｋ_ＰＲＥＱが得られた場合は、復号部１０２は、以下によりセッション鍵ｋを生成する。

　ｋ_ｈ＝ｋ_{ＰＯＳＴＱ}||ｋ_ＰＲＥＱ
　ｋ＝ＫＤＦ（ｋ_ｈ||ｐｋ_ｈ||Ｃ_ｈ）
　なお、セッション鍵ｋは記憶部１０３に格納される。

　以上により、機器１０と機器２０との間でセッション鍵ｋが共有され、鍵交換処理が終了する。したがって、これ以降、機器１０及び２０は、当該セッション鍵ｋを用いて暗号化通信を実現することができる。

　＜応用例＞
　以下、本実施形態で説明したハイブリッドＫＥＭ_ｈの応用例として、耐量子ＤＭＫＤのハイブリッド化について説明する。

　多者間鍵交換技術には、メッシュ型の鍵交換であるＧＫＥ（Group Key Exchange）とスター型の鍵交換であるＭＫＤ（Multi Key Distribution）とがある。これらの鍵交換は参加人数に比例して通信コストがあがる、サーバに共有鍵を伝達してしまう等といった課題がある。これらの課題を解決したのがＤＭＫＤ（Multi-Cast Key Distribution: Scalable, Dynamic and Provably Secure Construction）と呼ばれる鍵交換技術（例えば、以下の参考文献３を参照されたい。）である。ＤＭＫＤでは、参加人数に依らず定数Ｒｏｕｎｄで鍵交換を行うことができると共に、サーバに対して共有鍵を秘匿できる。また、ＤＭＫＤの鍵交換の部分に耐量子方式を適用可能としたＤＭＫＤプロトコルの構成法が提案されている（例えば、以下の参考文献４を参照されたい。）。

　参考文献３：Kazuki Yoneyama, Reo Yoshida, Yuto Kawahara, TetsutaroKobayashi, Hitoshi Fuji, TomohideYamamoto, Multi-Cast Key Distribution: Scalable, Dynamic and Provably Secure Construction, ProvSec(2016)
　参考文献４：金城皓羽，岡野裕樹，齋藤恆和，草川恵太，小林鉄太郎，星野文学，KEMを用いた動的多者鍵配布プロトコル，暗号と情報セキュリティシンポジウム(2018)
　耐量子方式が適用可能なＤＭＫＤプロトコルは、（Ｓｅｔｕｐ，Ｄｉｓｔ，Ｊｏｉｎ，Ｌｅａｖｅ，Ｕｐｄａｔｅ）の５つのアルゴリズムで構成される。また、これらのアルゴリズムは、属性ベース暗号、公開鍵暗号、鍵カプセル化技術、コミットメント、メッセージ認証の各アルゴリズムを利用する。

　本応用例では、耐量子ＤＭＫＤをハイブリッド化するために、公開鍵系である属性ベース暗号、公開鍵暗号、鍵カプセル化技術、及びコミットメントに対してハイブリッド方式を用いる。このとき、鍵カプセル化技術のハイブリッド化には、本実施形態で説明したハイブリッドＫＥＭ_ｈを用いる。一方で、鍵カプセル化技術以外については、単純な連結でハイブリッド化を実現できる。つまり、鍵カプセル化技術以外の技術（属性ベース暗号、公開鍵暗号、及びコミットメント）のハイブリッド方式の任意のアルゴリズムをＡｌｇ_ｈ、耐量子暗号方式の当該アルゴリズムをＡｌｇ_{ＰＯＳＴＱ}、古典的な暗号方式の当該アルゴリズムをＡｌｇ_ＰＲＥＱとすれば、Ａｌｇ_ｈ＝Ａｌｇ_{ＰＯＳＴＱ}||Ａｌｇ_ＰＲＥＱとすればよい。このとき、鍵や各種情報等も単純に連結すればよい。

　なお、属性ベース暗号の具体例としては、例えば、古典的な暗号方式にはインテリ暗号等があり、耐量子暗号方式には格子ベースの属性ベース暗号等がある。インテリ暗号については以下の参考文献５、格子ベースの属性ベース暗号については以下の参考文献６等をそれぞれ参照されたい。

　参考文献５：Okamoto, Tatsuaki, and KatsuyukiTakashima. "Fully secure functional encryption with general relations from the decisional linear assumption." Annual cryptology conference. Springer, Berlin, Heidelberg, 2010.
　参考文献６：YongtaoWang, Lattice CiphertextPolicy Attribute-based Encryption in the Standard Model, International Journal of Network Security, Vol.16, No.6, PP.444-451, Nov. 2014.
　公開鍵暗号及び鍵カプセル化技術の具体例としては、例えば、古典的な暗号方式にはＰＳＥＣ－ＫＥＭ等があり、耐量子暗号方式にはＮＩＳＴの耐量子コンテストで提案されている技術等がある。

　コミットメントの具体例としては、例えば、古典的な暗号方式にはＥＣＤＳＡやＥｄＤＳＡ等があり、耐量子暗号方式にはＮＩＳＴの耐量子コンテストで提案されている技術等がある。

　ただし、上記の具体例は一例であって、これらの具体例に限定されるものはない。

　＜ハードウェア構成＞
　最後に、本実施形態に係る機器１０及び２０のハードウェア構成について、図３を参照しながら説明する。図３は、本実施形態に係る機器１０及び２０のハードウェア構成の一例を示す図である。なお、機器１０及び２０は同様のハードウェア構成で実現可能なため、以下では、機器１０のハードウェア構成について説明する。

　図３に示すように、本実施形態に係る機器１０は、入力装置３０１と、表示装置３０２と、外部Ｉ／Ｆ３０３と、通信Ｉ／Ｆ３０４と、プロセッサ３０５と、メモリ装置３０６とを有する。これらの各ハードウェアは、それぞれがバス３０７により通信可能に接続される。

　入力装置３０１は、例えば、キーボードやマウス、タッチパネル等である。表示装置３０２は、例えば、ディスプレイ等である。なお、機器１０は、例えば、入力装置３０１及び表示装置３０２のうちの少なくとも一方を有していなくてもよい。

　外部Ｉ／Ｆ３０３は、記録媒体３０３ａ等の外部装置とのインタフェースである。機器１０は、外部Ｉ／Ｆ３０３を介して、記録媒体３０３ａの読み取りや書き込み等を行うことができる。なお、記録媒体３０３ａとしては、例えば、ＣＤ（Compact Disc）、ＤＶＤ（Digital Versatile Disk）、ＳＤメモリカード（Secure Digital memory card）、ＵＳＢ（Universal Serial Bus）メモリカード等が挙げられる。

　通信Ｉ／Ｆ３０４は、機器１０を通信ネットワークＮに接続するためのインタフェースである。プロセッサ３０５は、例えば、ＣＰＵ等の各種演算装置である。メモリ装置３０６は、例えば、ＨＤＤやＳＳＤ、フラッシュメモリ、ＲＡＭ（Random Access Memory）、ＲＯＭ（Read Only Memory）等の各種記憶装置である。

　本実施形態に係る機器１０及び２０は、図３に示すハードウェア構成を有することにより、上述した鍵交換処理を実現することができる。なお、図３に示すハードウェア構成は一例であって、機器１０及び２０は、例えば、複数のプロセッサを有していたり、複数のメモリ装置を有していたりしてもよく、様々なハードウェア構成を有していてもよい。

　本発明は、具体的に開示された上記の実施形態に限定されるものではなく、請求の範囲の記載から逸脱することなく、種々の変形や変更、既知の技術との組み合わせ等が可能である。

　１　　　　鍵交換システム
　１０　　　機器
　２０　　　機器
　１０１　　鍵生成部
　１０２　　復号部
　１０３　　記憶部
　２０１　　暗号化部
　２０２　　記憶部
　３０１　　入力装置
　３０２　　表示装置
　３０３　　外部Ｉ／Ｆ
　３０３ａ　記録媒体
　３０４　　通信Ｉ／Ｆ
　３０５　　プロセッサ
　３０６　　メモリ装置
　３０７　　バス

Claims

　耐量子性を持つ第１の鍵カプセル化メカニズムの第１の短期秘密鍵及び第１の短期公開鍵と、前記第１の鍵カプセル化メカニズムに対して古典的な第２の鍵カプセル化メカニズムの第２の短期秘密鍵及び第２の短期公開鍵とを生成し、前記第１の短期秘密鍵と前記第２の短期秘密鍵とを連結した第３の短期秘密鍵と、前記第１の短期公開鍵と前記第２の短期公開鍵とを連結した第３の短期公開鍵とを生成する鍵生成部と、
　前記第３の短期公開鍵を用いて、前記第１の鍵カプセル化メカニズムの第１の暗号文及び第１の共有鍵と、前記第２の鍵カプセル化メカニズムの第２の暗号文及び第２の共有鍵とを生成し、前記第１の共有鍵と前記第２の共有鍵と前記第３の短期公開鍵と前記第１の暗号文と前記第２の暗号文を入力とする鍵生成関数により第３の共有鍵を生成する暗号化部と、
　前記第３の短期秘密鍵を用いて、前記第１の暗号文と前記第２の暗号文とをそれぞれ復号して前記第１の共有鍵と前記第２の共有鍵とを生成し、前記第１の共有鍵と前記第２の共有鍵と前記第３の短期公開鍵と前記第１の暗号文と前記第２の暗号文を入力とする前記鍵生成関数により前記第３の共有鍵を生成する復号部と、
　を有する鍵交換システム。
　前記暗号化部は、
　前記第１の共有鍵と前記第２の共有鍵と前記第３の短期公開鍵と前記第１の暗号文と前記第２の暗号文とを連結した値を前記鍵生成関数に入力することで、前記第３の共有鍵を生成し、
　前記復号部は、
　前記第１の共有鍵と前記第２の共有鍵と前記第３の短期公開鍵と前記第１の暗号文と前記第２の暗号文とを連結した値を前記鍵生成関数に入力することで、前記第３の共有鍵を生成する、請求項１に記載の鍵交換システム。
　耐量子性を持つ第１の鍵カプセル化メカニズムの第１の短期秘密鍵及び第１の短期公開鍵と、前記第１の鍵カプセル化メカニズムに対して古典的な第２の鍵カプセル化メカニズムの第２の短期秘密鍵及び第２の短期公開鍵とを生成し、前記第１の短期秘密鍵と前記第２の短期秘密鍵とを連結した第３の短期秘密鍵と、前記第１の短期公開鍵と前記第２の短期公開鍵とを連結した第３の短期公開鍵とを生成する鍵生成部と、
　通信ネットワークを介して接続される他の機器に対して、前記第３の短期公開鍵を送信する送信部と、
　前記第３の短期秘密鍵を用いて、前記他の機器から受信した暗号文を復号して前記第１の鍵カプセル化メカニズムの第１の共有鍵と前記第２の鍵カプセル化メカニズムの第２の共有鍵とを生成し、前記第１の共有鍵と前記第２の共有鍵と前記第３の短期公開鍵と前記暗号文を入力とする鍵生成関数により、前記他の機器との間で共有される第３の共有鍵を生成する復号部と、
　を有する機器。
　通信ネットワークを介して接続される他の機器から受信した短期公開鍵を用いて、耐量子性を持つ第１の鍵カプセル化メカニズムの第１の暗号文及び第１の共有鍵と、前記第１の鍵カプセル化メカニズムに対して古典的な第２の鍵カプセル化メカニズムの第２の暗号文及び第２の共有鍵とを生成し、前記第１の共有鍵と前記第２の共有鍵と前記短期公開鍵と前記第１の暗号文と前記第２の暗号文を入力とする鍵生成関数により、前記他の機器との間で共有される第３の共有鍵を生成する暗号化部、
　を有する機器。
　耐量子性を持つ第１の鍵カプセル化メカニズムの第１の短期秘密鍵及び第１の短期公開鍵と、前記第１の鍵カプセル化メカニズムに対して古典的な第２の鍵カプセル化メカニズムの第２の短期秘密鍵及び第２の短期公開鍵とを生成し、前記第１の短期秘密鍵と前記第２の短期秘密鍵とを連結した第３の短期秘密鍵と、前記第１の短期公開鍵と前記第２の短期公開鍵とを連結した第３の短期公開鍵とを生成する鍵生成手順と、
　前記第３の短期公開鍵を用いて、前記第１の鍵カプセル化メカニズムの第１の暗号文及び第１の共有鍵と、前記第２の鍵カプセル化メカニズムの第２の暗号文及び第２の共有鍵とを生成し、前記第１の共有鍵と前記第２の共有鍵と前記第３の短期公開鍵と前記第１の暗号文と前記第２の暗号文を入力とする鍵生成関数により第３の共有鍵を生成する暗号化手順と、
　前記第３の短期秘密鍵を用いて、前記第１の暗号文と前記第２の暗号文とをそれぞれ復号して前記第１の共有鍵と前記第２の共有鍵とを生成し、前記第１の共有鍵と前記第２の共有鍵と前記第３の短期公開鍵と前記第１の暗号文と前記第２の暗号文を入力とする前記鍵生成関数により前記第３の共有鍵を生成する復号手順と、
　をコンピュータが実行する鍵交換方法。
　コンピュータを、請求項１又は２に記載の鍵交換システムとして機能させるプログラム。