WO2022244079A1

WO2022244079A1 - 暗号文変換システム、変換鍵生成方法、及び、変換鍵生成プログラム

Info

Publication number: WO2022244079A1
Application number: PCT/JP2021/018664
Authority: WO
Inventors: 豊川合
Original assignee: 三菱電機株式会社
Priority date: 2021-05-17
Filing date: 2021-05-17
Publication date: 2022-11-24
Also published as: CN117242740A; JP7325689B2; US20240048377A1; DE112021007337T5; JPWO2022244079A1

Abstract

暗号文変換システム（１００）は、変換鍵生成装置（６００）を備える。変換鍵生成装置（６００）は、変換先設定部と変換鍵生成部とを備える。変換先設定部は、属性ベース暗号鍵と、属性ベース暗号鍵を暗号化した属性ベース暗号文とを、属性ベース暗号方式を用いて生成する。変換鍵生成部は、第１共通鍵暗号方式を用いて平文を第１秘密鍵で暗号化することにより第１共通鍵暗号文を生成する際に用いた第１共通鍵暗号情報に基づいて、第１共通鍵暗号文を、第１共通鍵暗号方式に対応する暗号文であって、第１共通鍵暗号文と異なる暗号文である第２共通鍵暗号文に変換する変換鍵を生成し、第２共通鍵暗号方式を用いて、第２共通鍵暗号文を復号することに用いられる第２秘密鍵を属性ベース暗号鍵で暗号化することにより第３共通鍵暗号文を生成する。

Description

暗号文変換システム、変換鍵生成方法、及び、変換鍵生成プログラム

　本開示は、暗号文変換システム、変換鍵生成方法、及び、変換鍵生成プログラムに関する。

　代理人再暗号化（Ｐｒｏｘｙ　Ｒｅ－Ｅｎｃｒｙｐｔｉｏｎ，ＰＲＥ）方式は、暗号文を復号することなく、暗号文の復号権限を他者に委譲するシステムである。非特許文献１は、任意の方式の属性ベース暗号におけるＰＲＥ（Ａｔｔｒｉｂｕｔｅ－Ｂａｓｅｄ　ＰＲＥ，ＡＢＰＲＥ）方式を開示している。非特許文献１が開示している方式を用いることにより、異なる属性ベース暗号間での代理人再暗号化が実現される。非特許文献２は、共通鍵暗号の暗号文を復号することなく、共通鍵暗号の鍵を変更する技術を開示している。

Ｚｕｏｘｉａ　Ｙｕ　ｅｔ　ａｌ．，"Ａｃｈｉｅｖｉｎｇ　Ｆｌｅｘｉｂｉｌｉｔｙ　ｆｏｒ　ＡＢＥ　ｗｉｔｈ　Ｏｕｔｓｏｕｒｃｉｎｇ　ｖｉａ　Ｐｒｏｘｙ　Ｒｅ－Ｅｎｃｒｙｐｔｉｏｎ"，ＡＳＩＡＣＣＳ’１８，Ｊｕｎｅ　４－８，２０１８，Ｓｅｓｓｉｏｎ　１６：Ａｐｐｌｉｅｄ　Ｃｒｙｐｔｏ　２，ｐｐ．６５９－６７２Ａｍｒｉｌ　Ｓｙａｌｉｍ　ｅｔ．ａｌ，"Ｒｅａｌｉｚｉｎｇ　Ｐｒｏｘｙ　Ｒｅ－ｅｎｃｒｙｐｔｉｏｎ　ｉｎ　ｔｈｅ　Ｓｙｍｍｅｔｒｉｃ　Ｗｏｒｌｄ"，　ＩＣＩＥＩＳ（Ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ　Ｉｎｆｏｒｍａｔｉｃｓ　Ｅｎｇｉｎｅｅｒｉｎｇ　ａｎｄ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｓｃｉｅｎｃｅ）　２０１１，Ｉｎｆｏｒｍａｔｉｃｓ　Ｅｎｇｉｎｅｅｒｉｎｇ　ａｎｄ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｓｃｉｅｎｃｅ，ｐｐ．２５９－２７４

　非特許文献１が開示する技術等の通常の代理人再暗号化方式は、ある公開鍵暗号方式の暗号文を他の公開鍵暗号方式の暗号文へ変換する技術である。また、非特許文献２が開示する技術は、共通鍵暗号の暗号文を共通鍵暗号の暗号文へ変換する技術である。
　ここで、従来技術を用いて公開鍵暗号方式に基づく暗号文へ共通鍵暗号方式の暗号文を変換する場合、共通鍵暗号方式の暗号文を一度復号して平文を取得し、その後公開鍵暗号方式で取得した平文を暗号化するほかなく、平文が露呈するために安全性が低いという課題がある。

　本開示は、共通鍵暗号方式で暗号化された暗号文を復号することなく公開鍵暗号方式に基づく暗号文に変換することを目的とする。

　本開示に係る暗号文変換システムは、
　属性ベース暗号鍵と、前記属性ベース暗号鍵を暗号化した属性ベース暗号文とを、属性ベース暗号方式を用いて生成する変換先設定部と、
　第１共通鍵暗号方式を用いて平文を第１秘密鍵で暗号化することにより第１共通鍵暗号文を生成する際に用いた第１共通鍵暗号情報に基づいて、前記第１共通鍵暗号文を、前記第１共通鍵暗号方式に対応する暗号文であって、前記第１共通鍵暗号文と異なる暗号文である第２共通鍵暗号文に変換する変換鍵を生成し、
　第２共通鍵暗号方式を用いて、前記第２共通鍵暗号文を復号することに用いられる第２秘密鍵を前記属性ベース暗号鍵で暗号化することにより第３共通鍵暗号文を生成する変換鍵生成部と
を備える変換鍵生成装置
を備える。

　本開示において、属性ベース暗号文は公開鍵暗号方式の暗号文である。第３共通鍵暗号文は、属性ベース暗号文を生成する際に用いた属性ベース暗号鍵で第２秘密鍵を暗号化した暗号文である。ここで、第２秘密鍵は第２共通鍵暗号文を復号することに用いられる。従って、第２共通鍵暗号文は公開鍵暗号方式に基づく暗号文である。また、第１共通鍵暗号文は共通鍵暗号方式である第１共通鍵暗号方式で暗号化された暗号文であり、第２共通鍵暗号文は変換鍵を用いて第１共通鍵暗号文を変換した暗号文であり、第１共通鍵暗号文を第２共通鍵暗号文に変換する際に第１共通鍵暗号文を復号する必要はない。
　従って、本開示によれば、共通鍵暗号方式で暗号化された暗号文を復号することなく公開鍵暗号方式に基づく暗号文に変換することができる。

実施の形態１に係る暗号文変換システム１００の構成例を示す図。実施の形態１に係る共通鍵暗号秘密鍵生成装置２００の構成例を示す図。パラメータ生成装置３００の構成例を示す図。実施の形態１に係るユーザ秘密鍵生成装置４００の構成例を示す図。実施の形態１に係る共通鍵暗号文生成装置５００の構成例を示す図。実施の形態１に係る変換鍵生成装置６００の構成例を示す図。実施の形態１に係る変換装置７００の構成例を示す図。実施の形態１に係る復号装置８００の構成例を示す図。実施の形態１に係る暗号文変換システム１００が備える各装置のハードウェア構成例を示す図。実施の形態１に係る共通鍵暗号秘密鍵生成装置２００の動作を示すフローチャート。実施の形態１に係るパラメータ生成装置３００の動作を示すフローチャート。実施の形態１に係るユーザ秘密鍵生成装置４００の動作を示すフローチャート。実施の形態１に係る共通鍵暗号文生成装置５００の動作を示すフローチャート。実施の形態１に係る変換鍵生成装置６００の動作を示すフローチャート。実施の形態１に係る変換装置７００の動作を示すフローチャート。実施の形態１に係る復号装置８００の動作を示すフローチャート。実施の形態１の変形例に係る暗号文変換システム１００が備える各装置のハードウェア構成例を示す図。

　実施の形態の説明及び図面において、同じ要素及び対応する要素には同じ符号を付している。同じ符号が付された要素の説明は、適宜に省略又は簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。また、「部」又は「装置」を、「回路」、「方法」、「工程」、「手順」、「処理」又は「サーキットリー」に適宜読み替えてもよい。

　実施の形態１．
　以下、本実施の形態について、図面を参照しながら詳細に説明する。

＊＊＊構成の説明＊＊＊
　図１は、本実施の形態に係る暗号文変換システム１００の構成例を示すブロック図である。
　図１に示すように、暗号文変換システム１００は、複数の共通鍵暗号秘密鍵生成装置２００から成る共通鍵暗号秘密鍵生成装置群２９０と、パラメータ生成装置３００と、複数のユーザ秘密鍵生成装置４００から成るユーザ秘密鍵生成装置群４９０と、共通鍵暗号文生成装置５００と、変換鍵生成装置６００と、変換装置７００と、復号装置８００とを備える。暗号文変換システム１００が備える各装置は、コンピュータであり、具体例としてＰＣ（Ｐｅｒｓｏｎａｌ　Ｃｏｍｐｕｔｅｒ）である。暗号文変換システム１００が備える各装置の少なくとも２つは１つのコンピュータから成ってもよい。

　ネットワーク１０１は、暗号文変換システム１００が備える各装置を接続する通信路である。ネットワーク１０１は、具体例としてインターネットであり、他の種類のネットワークであってもよい。
　暗号文変換システム１００が備える各装置は、ネットワーク１０１を経由して接続されず、ある施設内に敷設されたＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）内に設置されていてもよい。

　共通鍵暗号秘密鍵生成装置２００は、共通鍵暗号秘密鍵を生成し、生成した共通鍵暗号秘密鍵を共通鍵暗号文生成装置５００と変換鍵生成装置６００とへ送信する。

　パラメータ生成装置３００は、暗号文変換システム１００で用いる共通のパラメータを作成し、ネットワーク１０１を介して、複数のユーザ秘密鍵生成装置４００と、変換鍵生成装置６００と、変換装置７００と、復号装置８００との各々へ、作成した共通パラメータを送信するコンピュータである。なお、共通パラメータは、ネットワーク１０１を介さず、郵送等で直接的に送信されてもよい。

　ユーザ秘密鍵生成装置４００は、ユーザ秘密鍵を生成し、生成したユーザ秘密鍵を復号装置８００へ送信する。

　共通鍵暗号文生成装置５００は、データの暗号化装置として機能する。共通鍵暗号文生成装置５００は、共通鍵暗号秘密鍵生成装置２００から共通鍵暗号秘密鍵を受信し、平文Ｍを入力とし、共通鍵暗号秘密鍵と平文Ｍとを用いて共通鍵暗号文ｓｋＣと暗号文補助情報ａｕｘＣとを作成し、作成した共通鍵暗号文ｓｋＣと暗号文補助情報ａｕｘＣとを出力する。

　変換鍵生成装置６００は、パラメータ生成装置３００から公開鍵を受信し、共通鍵暗号秘密鍵生成装置２００から共通鍵暗号秘密鍵を受信し、共通鍵暗号文生成装置５００から暗号文補助情報を受信し、復号可能条件Ｌを入力とする。変換鍵生成装置６００は、公開鍵と共通鍵暗号秘密鍵と暗号文補助情報とを用いて変換鍵ｃｋを生成し、生成した変換鍵ｃｋを出力する。復号可能条件Ｌは、変換後の暗号文を復号可能なユーザを論理式で表現した条件である。

　変換装置７００は、変換鍵生成装置６００から変換鍵を受信し、共通鍵暗号文生成装置５００から共通鍵暗号文を受信し、変換鍵と共通鍵暗号文とを用いて変換後共通鍵暗号文ｓｋＣ‘と変換後公開鍵暗号文ｐｋＣとを生成し、生成した変換後共通鍵暗号文ｓｋＣ‘と変換後公開鍵暗号文ｐｋＣとを復号装置８００に出力する。

　復号装置８００は、変換装置７００から変換後共通鍵暗号文（ｓｋＣ‘，ａｕｘＣ’）と変換後公開鍵暗号文ｐｋＣとを受信し、また、ユーザ秘密鍵生成装置４００からユーザ秘密鍵を受信し、受信したユーザ秘密鍵を用いて暗号文を復号した復号結果を出力する。

　以下、本実施の形態の構成について説明する。
　図２は、共通鍵暗号秘密鍵生成装置２００の構成例を示すブロック図である。
　図２に示すように、共通鍵暗号秘密鍵生成装置２００は、入力部２０１と、共通鍵暗号鍵生成部２０２と、送信部２０３とを備える。
　図示していないが、共通鍵暗号秘密鍵生成装置２００は、共通鍵暗号秘密鍵生成装置２００の各部で使用されるデータを記憶する記録媒体を備える。
　入力部２０１は、本システムで用いる鍵のビット長の入力を受け付ける。
　共通鍵暗号鍵生成部２０２は、暗号文変換システム１００で用いる演算の基本である共通鍵暗号秘密鍵ｓｋを生成する。図示していないが、共通鍵暗号鍵生成部２０２は、共通鍵暗号秘密鍵ｓｋを生成するために乱数生成機能等を備えてもよい。
　送信部２０３は、共通鍵暗号鍵生成部２０２が生成した共通鍵暗号秘密鍵ｓｋを、共通鍵暗号文生成装置５００と、変換鍵生成装置６００との各々へ送信する。

　図３は、共通パラメータ生成装置３００の構成例を示すブロック図である。
　図３に示すように、共通パラメータ生成装置３００は、入力部３０１と、共通パラメータ生成部３０２と、送信部３０３とを備える。
　図示していないが、共通パラメータ生成装置３００は、共通パラメータ生成装置３００の各部で使用されるデータを記憶する記録媒体を備える。
　入力部３０１は、暗号文変換システム１００で用いられる鍵のビット長の入力を受け付ける。
　共通パラメータ生成部３０２は、暗号文変換システム１００が実行する演算において用いられる公開鍵ｐｋとマスター秘密鍵ｍｓｋとの各々を生成する。図示していないが、公開鍵ｐｋとマスター秘密鍵ｍｓｋとの各々を生成するために、共通パラメータ生成部３０２は乱数生成機能等を備えてもよい。
　送信部３０３は、共通パラメータ生成部３０２が生成した公開鍵ｐｋを、変換鍵生成装置６００と、変換装置７００との各々へ送信する。また、送信部３０３は、マスター秘密鍵ｍｓｋを、複数のユーザ秘密鍵生成装置４００の各々へ送信する。

　図４は、ユーザ秘密鍵生成装置４００の構成例を示すブロック図である。図４に示すように、ユーザ秘密鍵生成装置４００は、入力部４０１と、鍵受信部４０２と、鍵生成部４０３と、鍵送信部４０４とを備える。
　図示していないが、ユーザ秘密鍵生成装置４００は、ユーザ秘密鍵生成装置４００の各部で使用されるデータを記憶する記録媒体を備える。
　入力部４０１は、属性パラメータΓを入力として受け付ける。
　鍵受信部４０２は、マスター秘密鍵ｍｓｋを受信する。
　鍵生成部４０３は、ユーザ秘密鍵ｓｋ_Γを生成する。図示していないが、ユーザ秘密鍵ｓｋ_Γを生成するために、鍵生成部４０３は乱数生成機能等を備えてもよい。
　鍵送信部４０４は、鍵生成部４０３が生成したユーザ秘密鍵ｓｋ_Γを復号装置８００へ送信する。

　図５は、共通鍵暗号文生成装置５００の構成例を示すブロック図である。図５に示すように、共通鍵暗号文生成装置５００は、入力部５０１と、鍵受信部５０２と、暗号化部５０３と、送信部５０４とを備える。
　図示していないが、共通鍵暗号文生成装置５００は、共通鍵暗号文生成装置５００の各部で使用されるデータを記憶する記録媒体を備える。
　入力部５０１は、平文Ｍを入力として受け付ける。
　鍵受信部５０２は、共通鍵暗号秘密鍵ｓｋを受信する。
　暗号化部５０３は、共通鍵暗号文ｓｋＣと補助情報ａｕｘＣとを生成する。図示していないが共通鍵暗号文ｓｋＣを生成するために、暗号化部５０３は乱数生成機能等を備えてもよい。暗号化部５０３は、第１共通鍵暗号文を生成する。
　送信部５０４は、共通鍵暗号文ｓｋＣを変換装置７００へ送信し、補助情報ａｕｘＣを変換鍵生成装置６００へ送信する。

　図６は、変換鍵生成装置６００の構成例を示すブロック図である。
　図６に示すように、変換鍵生成装置６００は、鍵受信部６０１と、入力部６０２と、変換先設定部６０３と、変換鍵生成部６０４と、送信部６０５とを備える。
　図示していないが、変換鍵生成装置６００は、変換鍵生成装置６００の各部で使用されるデータを記憶する記録媒体を備える。
　鍵受信部６０１は、公開鍵ｐｋと、共通鍵暗号秘密鍵ｓｋと、補助情報ａｕｘＣとの各々を受信する。
　入力部６０２は、外部より復号可能条件Ｌを入力として受け付ける。
　変換先設定部６０３は、鍵受信部６０１が受信した公開鍵ｐｋと、入力部６０２にて入力された復号可能条件Ｌとから、変換鍵の一部である公開鍵暗号文Ｐを生成する。変換先設定部６０３は、属性ベース暗号鍵と、属性ベース暗号鍵を暗号化した属性ベース暗号文とを、属性ベース暗号方式を用いて生成する。
　変換鍵生成部６０４は、鍵受信部６０１が受信した共通鍵暗号秘密鍵ｓｋと補助情報ａｕｘＣとから、変換鍵の一部であるＳを生成する。変換鍵生成部６０４は、第１共通鍵暗号方式を用いて平文を第１秘密鍵で暗号化することにより第１共通鍵暗号文を生成する際に用いた第１共通鍵暗号情報に基づいて、第１共通鍵暗号文を、第１共通鍵暗号方式に対応する暗号文であって、第１共通鍵暗号文と異なる暗号文である第２共通鍵暗号文に変換する変換鍵を生成する。変換鍵生成部６０４は、第２共通鍵暗号方式を用いて、第２共通鍵暗号文を復号することに用いられる第２秘密鍵を属性ベース暗号鍵で暗号化することにより第３共通鍵暗号文を生成する。第１共通鍵暗号方式は、具体例としてブロック暗号のカウンターモード方式である。第１共通鍵暗号情報は、第１秘密鍵と、ブロック暗号のカウンターモード方式による暗号化において用いられる第１補助情報とから成ってもよい。変換鍵生成部６０４は、第１共通鍵暗号情報と、ブロック暗号のカウンターモード方式による暗号化において用いられる第２秘密鍵と第２補助情報とから成る第２共通鍵暗号情報とを用いて変換鍵を生成してもよい。変換鍵生成部６０４は、変換鍵として、第１共通鍵暗号情報を用いて第１共通鍵暗号方式を実行した結果と、第２共通鍵暗号情報を用いて第１共通鍵暗号方式を実行した結果との排他的論理和を算出してもよい。
　図示していないが、変換鍵を生成するために、変換先設定部６０３と、変換鍵生成部６０４との各々は、乱数生成機能等を備えてもよい。
　送信部６０５は、生成した変換鍵を集約し、集約した変換鍵を変換鍵ｃｋ（＝（Ｐ，Ｓ））として変換装置７００に出力する。

　図７は、変換装置７００の構成例を示すブロック図である。図７に示すように、変換装置７００は、鍵受信部７０１と、暗号文受信部７０２と、変換部７０３と、送信部７０４とを備える。
　図示していないが、変換装置７００は、変換装置７００の各部で使用されるデータを記憶する記録媒体を備える。
　鍵受信部７０１は、公開鍵ｐｋと変換鍵ｃｋとの各々を受信する。
　暗号文受信部７０２は、共通鍵暗号文ｓｋＣを受信する。
　変換部７０３は、共通鍵暗号文ｓｋＣを変換鍵ｃｋの一部を用いて変換することによって共通鍵暗号文ｓｋＣを変換後共通鍵暗号文ｓｋＣ‘に変換する。変換後共通鍵暗号文ｓｋＣ‘は、公開鍵暗号文Ｐで設定されている復号可能条件での暗号文である。また、変換部７０３は、変換鍵ｃｋの一部を用いて変換後公開鍵暗号文ｐｋＣを生成する。変換部７０３は、第２共通鍵暗号文として、第１共通鍵暗号文と、変換鍵との排他的論理和を算出する。
　送信部７０４は、変換後公開鍵暗号文ｐｋＣと、変換後共通鍵暗号文（ｓｋＣ‘，ａｕｘＣ’）とを復号装置８００に出力する。

　図８は、復号装置８００の構成例を示すブロック図である。図８に示すように、復号装置８００は、暗号文受信部８０１と、鍵受信部８０２と、復号部８０３と、結果出力部８０４とを備える。
　暗号文受信部８０１は、変換後公開鍵暗号文ｐｋＣと、変換後共通鍵暗号文（ｓｋＣ‘，ａｕｘＣ’）との各々を受信する。
　鍵受信部８０２は、ユーザ秘密鍵生成装置４００よりユーザ秘密鍵ｓｋ_Γを受信する。
　復号部８０３は、復号処理を実行することにより平文Ｍを計算する。復号処理の具体例として、まず、復号部８０３は、属性ベース暗号鍵に対応する属性情報に対応するユーザ秘密鍵を用いて属性ベース暗号文を復号することにより属性ベース暗号鍵を取得する。次に、復号部８０３は、取得した属性ベース暗号鍵を用いて第３共通鍵暗号文を復号することにより第２秘密鍵を取得する。次に、復号部８０３は、取得した第２共通鍵暗号文に対応する平文として、第２秘密鍵を用いて第２補助情報を暗号化した結果と、第２共通鍵暗号文との排他的論理和を求める。
　結果出力部８０４は、平文Ｍを出力する。

　図９は、本実施の形態に係る暗号文変換システム１００が備える各装置のハードウェア資源の一例を示す図である。暗号文変換システム１００が備える各装置は、複数のコンピュータから成ってもよい。
　暗号文変換システム１００が備える各装置は、プロセッサ１１（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）を備えている。プロセッサ１１は、バス１２を介して、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）１３と、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）１４と、通信ボード１５と、ディスプレイ５１（表示装置）と、キーボード５２と、マウス５３と、ドライブ５４と、磁気ディスク装置２０等のハードウェアデバイスと接続され、これらのハードウェアデバイスを制御する。ドライブ５４は、ＦＤ（Ｆｌｅｘｉｂｌｅ　Ｄｉｓｋ　Ｄｒｉｖｅ）、ＣＤ（Ｃｏｍｐａｃｔ　Ｄｉｓｃ）、又はＤＶＤ（Ｄｉｇｉｔａｌ　Ｖｅｒｓａｔｉｌｅ　Ｄｉｓｃ）等の記憶媒体を読み書きする装置である。
　プロセッサ１１は、演算処理を行うＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）であり、具体例として、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）、又はＧＰＵ（Ｇｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。暗号文変換システム１００が備える各装置は、プロセッサ１１を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ１１の役割を分担する。

　ＲＯＭ１３と、ＲＡＭ１４と、磁気ディスク装置２０と、ドライブ５４との各々は記憶装置の一例である。キーボード５２と、マウス５３と、通信ボード１５との各々は入力装置の一例である。ディスプレイ５１及び通信ボード１５の各々は出力装置の一例である。

　通信ボード１５は、有線又は無線で、ＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）、インターネット、又は電話回線等の通信網に接続している。通信ボード１５は、具体例として、通信チップ又はＮＩＣ（Ｎｅｔｗｏｒｋ　Ｉｎｔｅｒｆａｃｅ　Ｃａｒｄ）から成る。

　磁気ディスク装置２０には、ＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）２１と、プログラム群２２と、ファイル群２３とが記憶されている。磁気ディスク装置２０は、具体例としてＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）である。磁気ディスク装置２０はフラッシュメモリ等であってもよい。
　プログラム群２２には、本実施の形態において各部として説明する機能を実行するプログラムが含まれる。プログラムは、具体例としてデータ検索プログラム又はデータ登録プログラムであり、プロセッサ１１により読み出され実行される。即ち、プログラムは、各部としてコンピュータを機能させるものであり、また、各部の手順又は方法をコンピュータに実行させるものである。本明細書に記載されているいずれのプログラムも、コンピュータが読み取り可能な不揮発性の記録媒体に記録されていてもよい。不揮発性の記録媒体は、具体例として、光ディスク又はフラッシュメモリである。本明細書に記載されているいずれのプログラムも、プログラムプロダクトとして提供されてもよい。
　ファイル群２３には、本実施の形態において説明する各部で使用されるデータが含まれる。当該データは、具体例として、入力データと、出力データと、判定結果と、計算結果と、処理結果とから成る。

＊＊＊動作の説明＊＊＊
　暗号文変換システム１００の動作手順は、暗号文変換方法に相当する。また、暗号文変換システム１００の動作を実現するプログラムは、暗号文変換プログラムに相当する。暗号文変換システム１００が備える各装置の動作手順は、暗号文変換システム１００が備える各装置の名称を冠する方法に相当する。具体例として、変換鍵生成装置６００の動作手順は変換鍵生成方法に相当する。また、暗号文変換システム１００が備える各装置の動作を実現するプログラムは、暗号文変換システム１００が備える各装置の名称を冠するプログラムに相当する。具体例として、変換鍵生成装置６００の動作を実現するプログラムは変換鍵生成プログラムに相当する。

　以下では、本実施の形態に係る各装置の計算方法に相当する、暗号文変換システム１００の動作について説明する。

　暗号文変換システム１００の動作を説明する前に、本実施の形態で使用する基本的な暗号技術と、当該暗号技術において用いられる表記について説明する。

　属性ベース暗号方式は、復号可能条件Ｌで設定された復号条件を満たすような属性パラメータΓから生成されたユーザ秘密鍵を所持するユーザのみが復号することができる暗号技術である。属性パラメータΓは属性の集合でもある。属性ベース暗号方式は以下のようなアルゴリズムで構成される。
　まず、セットアップＡＢＥＳＥＴＵＰと、鍵長等とを入力としてマスター秘密鍵ｍｓｋと、公開鍵ｐｋとが出力される。次に、ユーザ秘密鍵生成ＡＢＥＫＥＹＧＥＮと、マスター秘密鍵ｍｓｋと、属性パラメータΓとを入力として、属性パラメータΓに対応するユーザ秘密鍵ｓｋ_Γが生成される。次に、暗号化ＡＢＥＥＮＣと、公開鍵ｐｋと、復号可能条件Ｌとを入力として、共通鍵暗号用の鍵Ｋと、鍵Ｋに対応する公開鍵暗号文Ｐとが生成される。次に、復号ＡＢＥＤＥＣと、ユーザ秘密鍵ｓｋ_Γと、公開鍵暗号文Ｐとを入力とし、ユーザ秘密鍵ｓｋ_Γに対応する属性パラメータΓと、公開鍵暗号文Ｐを生成した際の復号可能条件Ｌとがマッチした場合に、公開鍵暗号文Ｐを暗号化している鍵Ｋが出力される。

　共通鍵暗号は、共通鍵暗号秘密鍵ｓｋを用いて平文Ｍを暗号化し、共通鍵暗号秘密鍵ｓｋを用いて復号する暗号技術である。共通鍵暗号秘密鍵ｓｋをランダムな値としたとき、暗号化ＳＫＥＥＮＣは、共通鍵暗号秘密鍵ｓｋと平文Ｍとを入力とし、当該入力に対応する暗号文Ｃを出力する。復号ＳＫＥＤＥＣは、共通鍵暗号秘密鍵ｓｋと暗号文Ｃとを入力とし、当該入力に対応する平文Ｍを出力する。

　共通鍵暗号の中でもブロック暗号を用いたカウンターモードの暗号化及び復号を本実施の形態では用いる。当該暗号化をＳＣＴＲＥＮＣと記述し、当該復号をＳＣＴＲＤＥＣと記述する。カウンターモードにおいて、補助情報としてカウンター値が存在し、以下に示すように暗号化及び復号が実行される。本明細書において、＋は特に断りがない限り排他的論理和を示す。

［暗号化］
Ｃ＝ＳＣＴＲＥＮＣ（ｓｋ，ａｕｘＣ）＋Ｍ
［復号］
Ｍ＝ＳＣＴＲＤＥＣ（ｓｋ，ａｕｘＣ）＋Ｃ

　図１０は、共通鍵暗号秘密鍵生成ステップの一例を表すフローチャートである。本図を参照して共通鍵暗号秘密鍵生成ステップを説明する。

（ステップＳ２０１：情報入力ステップ）
　入力部２０１は、鍵のビット長ｋを入力として受け付ける。

（ステップＳ２０２：秘密鍵生成ステップ）
　共通鍵暗号鍵生成部２０２は、ｋビットの乱数を生成し、生成した乱数を共通鍵暗号秘密鍵ｓｋとする。

（ステップＳ２０３：配布ステップ）
　送信部２０３は、共通鍵暗号秘密鍵ｓｋを変換鍵生成装置６００に出力する。

　図１１は、パラメータ生成ステップの一例を表すフローチャートである。本図を参照してパラメータ生成ステップを説明する。

（ステップＳ３０１：情報入力ステップ）
　入力部３０１は、鍵のビット長ｋを入力として受け付ける。

（ステップＳ３０２：鍵生成ステップ）
　共通パラメータ生成部３０２は、属性ベース暗号のセットアップＳｅｔｕｐを実行することにより、マスター秘密鍵ｍｓｋと公開鍵ｐｋとの各々を生成する。

（ステップＳ３０３：配布ステップ）
　送信部３０３は、マスター秘密鍵ｍｓｋと公開鍵ｐｋとの各々を各装置へ適宜送信する。

　図１２は、ユーザ秘密鍵生成ステップの一例を表すフローチャートである。本図を参照してユーザ秘密鍵生成ステップを説明する。

（ステップＳ４０１：属性入力ステップ）
　入力部４０１は、属性パラメータΓを入力として受け付ける。

（ステップＳ４０２：マスター鍵入力ステップ）
　鍵受信部４０２は、マスター秘密鍵ｍｓｋを受信する。

（ステップＳ４０３：ユーザ秘密鍵生成ステップ）
　鍵生成部４０３は、属性パラメータΓとマスター秘密鍵ｍｓｋとを用いて属性ベース暗号のユーザ秘密鍵生成ＫｅｙＧｅｎを実行することにより、ユーザ秘密鍵ｓｋ_Γを生成する。

（ステップＳ４０４：送信ステップ）
　鍵送信部４０４は、生成されたユーザ秘密鍵ｓｋ_Γを復号装置８００へ送信する。

　図１３は、共通鍵暗号文生成ステップの一例を表すフローチャートである。本図を参照して共通鍵暗号文生成ステップを説明する。

（ステップＳ５０１：鍵受信ステップ）
　鍵受信部５０２は、共通鍵暗号秘密鍵ｓｋを受信する。

（ステップＳ５０２：平文入力ステップ）
　入力部５０１は、平文Ｍを入力として受け付ける。

（ステップＳ５０３：暗号化ステップ）
　暗号化部５０３は、ブロック暗号のカウンターモードを実行することにより平文Ｍを暗号化する。暗号化部５０３は、カウンターモード実行時のカウンター値を補助情報ａｕｘＣとし、暗号文を共通鍵暗号文ｓｋＣとする。補助情報ａｕｘＣと共通鍵暗号文ｓｋＣとの関係は［数式１］で記述される。共通鍵暗号文ｓｋＣは第１共通鍵暗号文に当たる。ＳＣＴＲＥＮＣは第１共通鍵暗号方式による暗号化に当たる。共通鍵暗号秘密鍵ｓｋは第１秘密鍵に当たる。補助情報ａｕｘＣは第１補助情報に当たる。共通鍵暗号秘密鍵ｓｋと補助情報ａｕｘＣとは第１共通鍵暗号情報に当たる。

［数式１］
ｓｋＣ＝ＳＣＴＲＥＮＣ（ｓｋ，ａｕｘＣ）＋Ｍ

（ステップＳ５０４：送信ステップ）
　送信部５０４は、共通鍵暗号文ｓｋＣと補助情報ａｕｘＣとの各々を各装置に適宜送信する。

　図１４は、変換鍵生成ステップの一例を表すフローチャートである。本図を参照して変換鍵生成ステップを説明する。

（ステップＳ６０１：鍵受信ステップ）
　鍵受信部６０１は、公開鍵ｐｋと、共通鍵暗号秘密鍵ｓｋと、補助情報ａｕｘＣとの各々を受信する。

（ステップＳ６０２：入力ステップ）
　入力部６０２は、復号可能条件Ｌを入力として受け付ける。

（ステップＳ６０３：変換先設定ステップ）
　変換先設定部６０３は、公開鍵ｐｋと復号可能条件Ｌとから、属性ベース暗号の暗号化ＡＢＥＥＮＣを［数式２］に示すように実行する。ここで、公開鍵暗号文Ｐは変換後公開鍵暗号文であり、鍵Ｋは公開鍵暗号文Ｐが暗号化をしている鍵である。公開鍵暗号文Ｐは属性ベース暗号文に当たる。鍵Ｋは属性ベース暗号鍵に当たる。

［数式２］
（Ｋ，Ｐ）＝ＡＢＥＥＮＣ（ｐｋ，Ｌ）

（ステップＳ６０４：共通鍵秘密鍵生成ステップ）
　変換鍵生成部６０４は、新たな共通鍵暗号秘密鍵ｓｋ‘を選択する。

（ステップＳ６０５：共通鍵秘密鍵暗号化ステップ）
　変換鍵生成部６０４は、共通鍵暗号秘密鍵ｓｋ‘を平文とし、鍵Ｋを秘密鍵として共通鍵暗号化を［数式３］に示すように実行する。Ｓ１は第３共通鍵暗号文に当たる。ＳＫＥＥＮＣは第２共通鍵暗号方式による暗号化に当たる。ｓｋ‘は第２秘密鍵に当たる。

［数式３］
Ｓ１＝ＳＫＥＥＮＣ（Ｋ，ｓｋ‘）

（ステップＳ６０６：変換鍵生成ステップ）
　変換鍵生成部６０４は、新たな補助情報ａｕｘＣ’を選択し、選択した新たな補助情報ａｕｘＣ’を用いて［数式４］に示す演算を実行する。補助情報ａｕｘＣ’は第２補助情報に当たる。共通鍵暗号秘密鍵ｓｋ‘と補助情報ａｕｘＣ’とは第２共通鍵暗号情報に当たる。

［数式４］
Ｓ２＝ＳＣＴＲＥＮＣ（ｓｋ，ａｕｘＣ）＋ＳＣＴＲＥＮＣ（ｓｋ‘，ａｕｘＣ’）
Ｓ＝（Ｓ１，Ｓ２）

（ステップ６０７：配布ステップ）
　送信部６０５は、変換鍵ｃｋ（＝（Ｐ，Ｓ））を変換装置７００に出力する。

　図１５は、変換ステップの一例を表すフローチャートである。本図を参照して変換ステップを説明する。

（ステップＳ７０１：鍵受信ステップ）
　鍵受信部７０１は、公開鍵ｐｋ及び変換鍵ｃｋ（＝（Ｐ，Ｓ（＝（Ｓ１，Ｓ２））））を受信する。

（ステップＳ７０２：入力ステップ）
　暗号文受信部７０２は、共通鍵暗号文ｓｋＣを受信する。

（ステップＳ７０３：変換ステップ）
　変換部７０３は、共通鍵暗号文ｓｋＣとＳ２とを用いて［数式５］に示す計算を実行する。変換後共通鍵暗号文ｓｋＣ‘は第２共通鍵暗号文に当たる。また、Ｓ２は第１共通鍵暗号方式を用いて生成されており、変換後共通鍵暗号文ｓｋＣ‘は共通鍵暗号文ｓｋＣとＳ２との排他的論理和であるため、変換後共通鍵暗号文ｓｋＣ‘は第１共通鍵暗号方式に対応する。

［数式５］
ｓｋＣ‘＝ｓｋＣ＋Ｓ２

　ここで、［数式５］の右辺に［数式６］に示す性質があることに留意する。

［数式６］
ｓｋＣ＋Ｓ２
＝ＳＣＴＲＥＮＣ（ｓｋ，ａｕｘＣ）＋Ｍ＋ＳＣＴＲＥＮＣ（ｓｋ，ａｕｘＣ）＋ＳＣＴＲＥＮＣ（ｓｋ‘，ａｕｘＣ’）
＝ＳＣＴＲＥＮＣ（ｓｋ‘，ａｕｘＣ’）＋Ｍ

（ステップＳ７０４：出力ステップ）
　送信部７０４は、変換後公開鍵暗号文をｐｋＣ（＝（Ｐ，Ｓ１））として復号装置８００に出力し、変換後共通鍵暗号文を（ｓｋＣ‘，ａｕｘＣ’）として復号装置８００に出力する。

　図１６は、復号ステップの一例を表すフローチャートである。本図を参照して復号ステップを説明する。

（ステップＳ８０１：暗号文受信ステップ）
　暗号文受信部８０１は、変換後公開鍵暗号文ｐｋＣ（＝（Ｐ，Ｓ１））と、変換後共通鍵暗号文（ｓｋＣ‘，ａｕｘＣ’）とを受信する。

（ステップＳ８０２：入力ステップ）
　鍵受信部８０２は、ユーザ秘密鍵ｓｋ_Γを受信する。ユーザ秘密鍵ｓｋ_Γは、属性ベース暗号鍵に対応する属性情報に対応するユーザ秘密鍵に当たる。

（ステップＳ８０３：復号処理ステップ）
　復号部８０３は、受信したデータを用いて［数式７］に示す計算を上から順に実行することにより、平文Ｍを復号する。［数式７］において、まず属性ベース暗号の復号が行われることにより鍵Ｋが復号される。［数式７］のうち平文Ｍを復号する数式は、［数式５］及び［数式６］から求まる数式である。平文Ｍは、第２共通鍵暗号文に対応する平文である。

［数式７］
Ｋ＝ＡＢＥＤＥＣ（ｓｋ_Γ，Ｐ）
ｓｋ‘＝ＳＫＥＤＥＣ（Ｋ，Ｓ１）
Ｍ＝ｓｋＣ‘＋ＳＣＴＲＥＮＣ（ｓｋ‘，ａｕｘＣ’）

（ステップ８０４：出力ステップ）
　結果出力部８０４は、平文Ｍを出力する。具体例として、結果出力部８０４は復号装置８００が備えるディスプレイに平文Ｍを出力する。

＊＊＊実施の形態１の効果の説明＊＊＊
　以上のように、本実施の形態によれば、ユーザは、たとえユーザ秘密鍵を所持していたとしても、復号トークンを用いて復号鍵を取得しなければ内積の和を計算することができない。そのため、従来の技術における、個々の暗号文に紐づいたベクトルｘの情報を類推しづらい。従って、本実施の形態によればより安全な暗号文変換システム１００を実現することができる。
　また、本実施の形態によれば、公開鍵暗号方式と、アクセス範囲を設定可能な関数型暗号方式と、属性ベース暗号方式等のいずれの方式についても復号することなく、共通鍵暗号方式で暗号化された暗号文を公開鍵暗号方式に基づく暗号文に変換することができる。そのため、本実施の形態によれば、共通鍵暗号方式で暗号化された暗号文を公開鍵暗号方式に基づく暗号文に変換すること、及び、変換した暗号文を配布すること等を、公開鍵暗号の演算等を実行することができない省リソースなデバイスを用いて実行することができる等、利便性が向上する。

＊＊＊他の構成＊＊＊
＜変形例１＞
　図１７は、本変形例に係る暗号文変換システム１００が備える各装置のハードウェア構成例を示している。
　暗号文変換システム１００が備える各装置は、プロセッサ１１、プロセッサ１１とＲＯＭ１３、プロセッサ１１とＲＡＭ１４、あるいはプロセッサ１１とＲＯＭ１３とＲＡＭ１４とに代えて、処理回路１８を備える。
　処理回路１８は、暗号文変換システム１００が備える各装置が備える各部の少なくとも一部を実現するハードウェアである。
　処理回路１８は、専用のハードウェアであってもよく、また、ＲＯＭ１３又はＲＡＭ１４に格納されるプログラムを実行するプロセッサであってもよい。

　処理回路１８が専用のハードウェアである場合、処理回路１８は、具体例として、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）、ＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）又はこれらの組み合わせである。
　暗号文変換システム１００が備える各装置は、処理回路１８を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路１８の役割を分担する。

　暗号文変換システム１００が備える各装置において、一部の機能が専用のハードウェアによって実現されて、残りの機能がソフトウェア又はファームウェアによって実現されてもよい。

　処理回路１８は、具体例として、ハードウェア、ソフトウェア、ファームウェア、又はこれらの組み合わせにより実現される。
　プロセッサ１１とＲＯＭ１３とＲＡＭ１４と処理回路１８とを、総称して「プロセッシングサーキットリー」という。つまり、暗号文変換システム１００が備える各装置の各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。

＊＊＊他の実施の形態＊＊＊
　実施の形態１について説明したが、本実施の形態のうち、複数の部分を組み合わせて実施しても構わない。あるいは、本実施の形態を部分的に実施しても構わない。その他、本実施の形態は、必要に応じて種々の変更がなされても構わず、全体としてあるいは部分的に、どのように組み合わせて実施されても構わない。また、本明細書が開示する各部は、ファームウェア、ソフトウェア、ハードウェア、又はこれらの組み合わせのいずれで実現されても構わない。
　なお、前述した実施の形態は、本質的に好ましい例示であって、本開示と、その適用物と、用途の範囲とを制限することを意図するものではない。フローチャート等を用いて説明した手順は、適宜変更されてもよい。

　１１　プロセッサ、１２　バス、１３　ＲＯＭ、１４　ＲＡＭ、１５　通信ボード、１８　処理回路、２０　磁気ディスク装置、２１　ＯＳ、２２　プログラム群、２３　ファイル群、５１　ディスプレイ、５２　キーボード、５３　マウス、５４　ドライブ、１００　暗号文変換システム、１０１　ネットワーク、２００　共通鍵暗号秘密鍵生成装置、２０１　入力部、２０２　共通鍵暗号鍵生成部、２０３　送信部、２９０　共通鍵暗号秘密鍵生成装置群、３００　パラメータ生成装置、３０１　入力部、３０２　共通パラメータ生成部、３０３　送信部、４００　ユーザ秘密鍵生成装置、４０１　入力部、４０２　鍵受信部、４０３　鍵生成部、４０４　鍵送信部、４９０　ユーザ秘密鍵生成装置群、５００　共通鍵暗号文生成装置、５０１　入力部、５０２　鍵受信部、５０３　暗号化部、５０４　送信部、６００　変換鍵生成装置、６０１　鍵受信部、６０２　入力部、６０３　変換先設定部、６０４　変換鍵生成部、６０５　送信部、７００　変換装置、７０１　鍵受信部、７０２　暗号文受信部、７０３　変換部、７０４　送信部、８００　復号装置、８０１　暗号文受信部、８０２　鍵受信部、８０３　復号部、８０４　結果出力部、ａｕｘＣ，ａｕｘＣ’　補助情報、Ｋ　鍵、Ｌ　復号可能条件、Ｍ　平文、Ｐ　公開鍵暗号文、ｃｋ　変換鍵、ｐｋ　公開鍵、ｐｋＣ　変換後公開鍵暗号文、ｍｓｋ　マスター秘密鍵、ｓｋ，ｓｋ‘　共通鍵暗号秘密鍵、ｓｋＣ　共通鍵暗号文、ｓｋＣ‘　変換後共通鍵暗号文、ｓｋ_Γ　ユーザ秘密鍵、Γ　属性パラメータ。

Claims

　属性ベース暗号鍵と、前記属性ベース暗号鍵を暗号化した属性ベース暗号文とを、属性ベース暗号方式を用いて生成する変換先設定部と、
　第１共通鍵暗号方式を用いて平文を第１秘密鍵で暗号化することにより第１共通鍵暗号文を生成する際に用いた第１共通鍵暗号情報に基づいて、前記第１共通鍵暗号文を、前記第１共通鍵暗号方式に対応する暗号文であって、前記第１共通鍵暗号文と異なる暗号文である第２共通鍵暗号文に変換する変換鍵を生成し、
　第２共通鍵暗号方式を用いて、前記第２共通鍵暗号文を復号することに用いられる第２秘密鍵を前記属性ベース暗号鍵で暗号化することにより第３共通鍵暗号文を生成する変換鍵生成部と
を備える変換鍵生成装置
を備える暗号文変換システム。
　前記第１共通鍵暗号方式は、ブロック暗号のカウンターモード方式である請求項１に記載の暗号文変換システム。
　前記第１共通鍵暗号情報は、前記第１秘密鍵と、ブロック暗号のカウンターモード方式による暗号化において用いられる第１補助情報とから成る請求項２に記載の暗号文変換システム。
　前記変換鍵生成部は、前記第１共通鍵暗号情報と、前記ブロック暗号のカウンターモード方式による暗号化において用いられる第２秘密鍵と第２補助情報とから成る第２共通鍵暗号情報とを用いて前記変換鍵を生成する請求項３に記載の暗号文変換システム。
　前記変換鍵生成部は、前記変換鍵として、前記第１共通鍵暗号情報を用いて前記第１共通鍵暗号方式を実行した結果と、前記第２共通鍵暗号情報を用いて前記第１共通鍵暗号方式を実行した結果との排他的論理和を算出する請求項４に記載の暗号文変換システム。
　前記暗号文変換システムは、さらに、
　前記属性ベース暗号鍵に対応する属性情報に対応するユーザ秘密鍵を用いて前記属性ベース暗号文を復号することにより前記属性ベース暗号鍵を取得し、
　前記属性ベース暗号鍵を用いて前記第３共通鍵暗号文を復号することにより前記第２秘密鍵を取得し、
　前記平文として、前記第２秘密鍵を用いて前記第２補助情報を暗号化した結果と、前記第２共通鍵暗号文との排他的論理和を求める復号部
を備える復号装置
を備える請求項４又は５に記載の暗号文変換システム。
　前記暗号文変換システムは、さらに、
　前記第２共通鍵暗号文として、前記第１共通鍵暗号文と、前記変換鍵との排他的論理和を算出する変換部
を備える変換装置
を備える請求項１から６のいずれか１項に記載の暗号文変換システム。
　属性ベース暗号鍵と、前記属性ベース暗号鍵を暗号化した属性ベース暗号文とを、属性ベース暗号方式を用いて生成し、
　第１共通鍵暗号方式を用いて平文を第１秘密鍵で暗号化することにより第１共通鍵暗号文を生成する際に用いた第１共通鍵暗号情報に基づいて、前記第１共通鍵暗号文を、前記第１共通鍵暗号方式に対応する暗号文であって、前記第１共通鍵暗号文と異なる暗号文である第２共通鍵暗号文に変換する変換鍵を生成し、
　第２共通鍵暗号方式を用いて、前記第２共通鍵暗号文を復号することに用いられる第２秘密鍵を前記属性ベース暗号鍵で暗号化することにより第３共通鍵暗号文を生成する変換鍵生成方法。
　属性ベース暗号鍵と、前記属性ベース暗号鍵を暗号化した属性ベース暗号文とを、属性ベース暗号方式を用いて生成する変換先設定処理と、
　第１共通鍵暗号方式を用いて平文を第１秘密鍵で暗号化することにより第１共通鍵暗号文を生成する際に用いた第１共通鍵暗号情報に基づいて、前記第１共通鍵暗号文を、前記第１共通鍵暗号方式に対応する暗号文であって、前記第１共通鍵暗号文と異なる暗号文である第２共通鍵暗号文に変換する変換鍵を生成し、
　第２共通鍵暗号方式を用いて、前記第２共通鍵暗号文を復号することに用いられる第２秘密鍵を前記属性ベース暗号鍵で暗号化することにより第３共通鍵暗号文を生成する変換鍵生成処理と
をコンピュータである変換鍵生成装置に実行させる変換鍵生成プログラム。