WO2023199436A1

WO2023199436A1 - 暗号文変換システム、暗号文変換方法、及び暗号文変換プログラム

Info

Publication number: WO2023199436A1
Application number: PCT/JP2022/017726
Authority: WO
Inventors: 豊川合
Original assignee: 三菱電機株式会社
Priority date: 2022-04-13
Filing date: 2022-04-13
Publication date: 2023-10-19
Also published as: JP7486693B2; JPWO2023199436A1

Abstract

暗号文変換システム（１００）は、変換鍵生成装置（６００）と変換装置（７００）とを備える。変換鍵生成装置（６００）は、公開鍵及び第１復号可能条件を用いて公開鍵暗号方式の暗号化を実行することによって、第１変換後公開鍵暗号文と、第１変換後公開鍵暗号文に対応する鍵とを生成し、第２共通鍵暗号秘密鍵を平文とし、生成した鍵を秘密鍵として共通鍵暗号方式の暗号化を実行することによって第１部分変換鍵を生成し、第１共通鍵暗号秘密鍵及び第１補助情報を用いて暗号化を実行した結果と、第２共通鍵暗号秘密鍵及び第２補助情報を用いて暗号化を実行した結果との排他的論理和を第２部分変換鍵として算出する。変換装置（７００）は、第１共通鍵暗号秘密鍵及び第１補助情報を用いて暗号化を実行した結果及び平文の排他的論理和である共通鍵暗号文と、第２部分変換鍵との排他的論理和を、変換後共通鍵暗号文の少なくとも一部として算出する。

Description

暗号文変換システム、暗号文変換方法、及び暗号文変換プログラム

　本開示は、暗号文変換システム、暗号文変換方法、及び暗号文変換プログラムに関する。

　代理人再暗号化（Ｐｒｏｘｙ　Ｒｅ－Ｅｎｃｒｙｐｔｉｏｎ，ＰＲＥ）システムは、暗号文を復号することなく、暗号文の復号権限を他者に委譲するシステムである。非特許文献１は、任意の方式の属性ベース暗号におけるＰＲＥ（Ａｔｔｒｉｂｕｔｅ－Ｂａｓｅｄ　ＰＲＥ，ＡＢＰＲＥ）方式を開示している。非特許文献１が開示している技術を用いることにより、互いに異なる属性ベース暗号間において代理人再暗号化が実現される。非特許文献２は、共通鍵暗号の暗号文を復号することなく鍵を変更する技術を開示している。

Ｚ．Ｙｕ，Ｍ．Ｈ．Ａｕ，Ｒ．Ｙａｎｇ，Ｊ．Ｌａｉ，Ｑ．Ｘｕ，"Ａｃｈｉｅｖｉｎｇ　Ｆｌｅｘｉｂｉｌｉｔｙ　ｆｏｒ　ＡＢＥ　ｗｉｔｈ　Ｏｕｔｓｏｕｒｃｉｎｇ　ｖｉａ　Ｐｒｏｘｙ　Ｒｅ－Ｅｎｃｒｙｐｔｉｏｎ"，ＡＳＩＡＣＣＳ’１８，２０１８年６月Ａ．Ｓｙａｌｉｍ，Ｔ．Ｎｉｓｈｉｄｅ，ａｎｄ　Ｋ．Ｓａｋｕｒａｉ，"Ｒｅａｌｉｚｉｎｇ　Ｐｒｏｘｙ　Ｒｅ－ｅｎｃｒｙｐｔｉｏｎ　ｉｎ　ｔｈｅ　Ｓｙｍｍｅｔｒｉｃ　Ｗｏｒｌｄ"，Ｃｏｍｍｕｎｉｃａｔｉｏｎｓ　ｉｎ　Ｃｏｍｐｕｔｅｒ　ａｎｄ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｓｃｉｅｎｃｅ　２５１，２０１１年１１月

　非特許文献１が開示している方式のような通常の代理人再暗号化方式は、ある公開鍵暗号方式の暗号文をほかの公開鍵暗号方式の暗号文へ変換する技術である。非特許文献２が開示している技術は、共通鍵暗号方式の暗号文を共通鍵暗号方式の暗号文へ変換する技術である。つまり、従来技術を用いて共通鍵暗号方式の暗号文から公開鍵暗号方式の暗号文へ変換する場合、共通鍵暗号方式の暗号文を一度復号し、復号した平文を公開鍵暗号方式によって暗号化する必要がある。従って、従来技術には、共通鍵暗号方式の暗号文から公開鍵暗号方式の暗号文へ変換する際に平文が露呈するため、安全性が低いという課題がある。

　本開示は、共通鍵暗号方式によって暗号化された暗号文を復号することなく公開鍵暗号方式の暗号文に変換することを目的とする。

　本開示に係る暗号文変換システムは、
　公開鍵及び第１復号可能条件を用いて公開鍵暗号方式の暗号化を実行することによって、第１変換後公開鍵暗号文と、前記第１変換後公開鍵暗号文に対応する鍵とを生成する変換先設定部と、
　第２共通鍵暗号秘密鍵を平文とし、前記第１変換後公開鍵暗号文に対応する鍵を秘密鍵として共通鍵暗号方式の暗号化を実行することによって第１部分変換鍵を生成し、
　第１共通鍵暗号秘密鍵及び第１補助情報を用いてブロック暗号のカウンターモードの暗号化を実行することによって算出した値と、前記第２共通鍵暗号秘密鍵及び第２補助情報を用いてブロック暗号のカウンターモードの暗号化を実行することによって算出した値との排他的論理和を、第２部分変換鍵として算出する鍵生成部と
を備える変換鍵生成装置と、
　前記第１共通鍵暗号秘密鍵及び前記第１補助情報を用いてブロック暗号のカウンターモードの暗号化を実行することによって算出した値及び平文の排他的論理和である共通鍵暗号文と、前記第２部分変換鍵との排他的論理和を、前記共通鍵暗号文を生成する際に用いた平文を復号することに用いられる変換後共通鍵暗号文の少なくとも一部として算出する変換部
を備える変換装置と
を備える。

　本開示によれば、共通鍵暗号文と第２部分変換鍵との排他的論理和が変換後共通鍵暗号文として生成される。ここで、第２部分変換鍵を算出する際に第２共通鍵暗号秘密鍵が用いられる。第２共通鍵暗号秘密鍵は、第１変換後公開鍵暗号文に対応する鍵を用いて第１部分変換鍵を復号することによって復号される。第１変換後公開鍵暗号文は公開鍵暗号方式の暗号文である。従って、本開示によれば、共通鍵暗号方式によって暗号化された暗号文を復号することなく公開鍵暗号方式の暗号文に変換することができる。

実施の形態１に係る暗号文変換システム１００の構成例を示す図。実施の形態１に係る共通秘密鍵生成装置２００の構成例を示す図。実施の形態１に係る共通パラメータ生成装置３００の構成例を示す図。実施の形態１に係るユーザ秘密鍵生成装置４００の構成例を示す図。実施の形態１に係る暗号文生成装置５００の構成例を示す図。実施の形態１に係る変換鍵生成装置６００の構成例を示す図。実施の形態１に係る変換装置７００の構成例を示す図。実施の形態１に係る復号装置８００の構成例を示す図。実施の形態１に係る各装置のハードウェア構成例を示す図。実施の形態１に係る共通秘密鍵生成装置２００の動作を示すフローチャート。実施の形態１に係る共通パラメータ生成装置３００の動作を示すフローチャート。実施の形態１に係るユーザ秘密鍵生成装置４００の動作を示すフローチャート。実施の形態１に係る暗号文生成装置５００の動作を示すフローチャート。実施の形態１に係る変換鍵生成装置６００の動作を示すフローチャート。実施の形態１に係る変換装置７００の動作を示すフローチャート。実施の形態１に係る復号装置８００の動作を示すフローチャート。実施の形態１の変形例に係る各装置のハードウェア構成例を示す図。

　実施の形態の説明及び図面において、同じ要素及び対応する要素には同じ符号を付している。同じ符号が付された要素の説明は、適宜に省略又は簡略化する。図中の矢印は、データ若しくは信号の流れ、又は処理の流れを主に示している。また、「装置」又は「部」を、「装置」、「機器」、「回路」、「工程」、「手順」、「処理」又は「サーキットリー」に適宜読み替えてもよい。

　実施の形態１．
＊＊＊構成の説明＊＊＊
　本実施の形態では、暗号文変換システム１００を開示する。以下、本実施の形態の概要について図面を参照しながら説明する。

　図１は、本実施の形態に係る暗号文変換システム１００の構成を示すブロック図である。図１に示すように、暗号文変換システム１００は、複数の共通秘密鍵生成装置２００と、共通パラメータ生成装置３００と、複数のユーザ秘密鍵生成装置４００と、暗号文生成装置５００と、変換鍵生成装置６００と、変換装置７００と、復号装置８００とを備える。
　暗号文変換システム１００を構成する各装置は、インターネット１０１を経由して互いに通信可能に接続されず、同じ企業内などに敷設されたＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）内などに設置されていてもよい。暗号文変換システム１００を構成する少なくとも２つの装置が適宜一体的に構成されていてもよい。

　インターネット１０１は、複数の共通秘密鍵生成装置２００と、共通パラメータ生成装置３００と、複数のユーザ秘密鍵生成装置４００と、暗号文生成装置５００と、変換鍵生成装置６００と、変換装置７００と、復号装置８００とを通信可能に接続する通信路である。インターネット１０１はネットワークの具体例である。インターネット１０１の代わりに他の種類のネットワークが用いられてもよい。

　共通秘密鍵生成装置２００は、具体例としてＰＣ（Ｐｅｒｓｏｎａｌ　Ｃｏｍｐｕｔｅｒ）であり、共通鍵暗号秘密鍵生成装置とも呼ばれる。共通秘密鍵生成装置２００は、秘密鍵ｓｋを生成し、生成した秘密鍵ｓｋを暗号文生成装置５００と変換鍵生成装置６００との各々へ送信するコンピュータである。秘密鍵ｓｋは共通鍵暗号秘密鍵とも呼ばれる。

　共通パラメータ生成装置３００は、具体例としてＰＣであり、暗号文変換システム１００において用いられる共通パラメータを生成し、インターネット１０１を介して、複数のユーザ秘密鍵生成装置４００と、変換鍵生成装置６００と、変換装置７００との各々へ生成した共通パラメータを示す情報を送信するコンピュータである。共通パラメータには、マスター秘密鍵ｍｓｋと公開鍵ｐｋとが含まれる。なお、共通パラメータを示す情報は、インターネット１０１を介して送信されず、郵送などによって直接的に各装置に送付されてもよい。データという用語と情報という用語とは同等の意味を有することもある。

　ユーザ秘密鍵生成装置４００は具体例としてＰＣである。ユーザ秘密鍵生成装置４００は、共通パラメータ生成装置３００からマスター秘密鍵ｍｓｋを受信し、属性パラメータΓを示す情報を入力として受け取り、マスター秘密鍵ｍｓｋと属性パラメータΓとを用いてユーザ秘密鍵ｓｋ_Γを生成し、生成したユーザ秘密鍵ｓｋ_Γを復号装置８００へ送信するコンピュータである。

　暗号文生成装置５００は、データの暗号化装置として機能する装置であり、具体例としてＰＣであり、共通鍵暗号文生成装置とも呼ばれる。暗号文生成装置５００は、共通秘密鍵生成装置２００から秘密鍵ｓｋを受信し、また、平文Ｍを示す情報を入力として受け取る。暗号文生成装置５００は、補助情報ａｕｘＣを生成し、秘密鍵ｓｋと平文Ｍと補助情報ａｕｘＣとを用いて共通鍵暗号文Ｃｓｋを生成し、生成した共通鍵暗号文Ｃｓｋを変換装置７００へ送信し、生成した補助情報ａｕｘＣを変換鍵生成装置６００へ送信するコンピュータである。補助情報ａｕｘＣは暗号文補助情報とも呼ばれる。

　変換鍵生成装置６００は具体例としてＰＣである。変換鍵生成装置６００は、共通パラメータ生成装置３００から公開鍵ｐｋを受信し、共通秘密鍵生成装置２００から秘密鍵ｓｋを受信し、暗号文生成装置５００から補助情報ａｕｘＣを受信し、復号可能条件Ｌを示す情報を入力として受け取り、補助情報ａｕｘＣ’を生成し、受信したデータと、復号可能条件Ｌと、生成した補助情報ａｕｘＣ’とに基づいて変換鍵ｃｋを生成し、生成した変換鍵ｃｋを変換装置７００へ送信するコンピュータである。

　変換装置７００は具体例としてＰＣである。変換装置７００は、変換鍵生成装置６００から変換鍵ｃｋを受信し、暗号文生成装置５００から共通鍵暗号文Ｃｓｋを受信し、復号可能条件Ｌ’を示す情報を入力として受け取り、受信したデータと復号可能条件Ｌ’とを用いて変換後共通鍵暗号文（Ｃｓｋ’，ａｕｘＣ’）と変換後公開鍵暗号文Ｃｐｋとの各々を生成し、生成した変換後共通鍵暗号文Ｃｓｋ’と変換後公開鍵暗号文Ｃｐｋとの各々を復号装置８００へ送信するコンピュータである。なお、復号可能条件Ｌ’において、変換後の暗号文を復号可能なユーザに対応する条件が論理式によって表現されている。

　復号装置８００は具体例としてＰＣである。復号装置８００は、変換装置７００から変換後共通鍵暗号文（Ｃｓｋ’，ａｕｘＣ’）と変換後公開鍵暗号文Ｃｐｋとの各々を受信し、また、ユーザ秘密鍵生成装置４００からユーザ秘密鍵ｓｋ_Γを受信し、受信したデータを用いて平文Ｍを復号した結果を出力するコンピュータである。

　以下、本実施の形態の構成について説明する。
　図２は、共通秘密鍵生成装置２００の構成例を示すブロック図である。図２に示すように、共通秘密鍵生成装置２００は、入力部２０１と、共通鍵暗号鍵生成部２０２と、送信部２０３とを備える。なお、図示していないが、共通秘密鍵生成装置２００は、共通秘密鍵生成装置２００の各部において使用されるデータを記憶する記録媒体を備える。
　入力部２０１は、暗号文変換システム１００において用いられる鍵のビット長ｋを示す情報の入力を受け付ける。
　共通鍵暗号鍵生成部２０２は、秘密鍵ｓｋを生成する。秘密鍵ｓｋは、暗号文変換システム１００において演算の基本として用いられる。なお、図示していないが、共通鍵暗号鍵生成部２０２は、秘密鍵ｓｋを生成するために乱数生成機能などを備えてもよい。
　送信部２０３は、共通鍵暗号鍵生成部２０２が生成した秘密鍵ｓｋを、暗号文生成装置５００と変換鍵生成装置６００との各々へ送信する。

　図３は、共通パラメータ生成装置３００の構成例を示すブロック図である。図３に示すように、共通パラメータ生成装置３００は、入力部３０１と、共通パラメータ生成部３０２と、送信部３０３とを備える。なお、図示していないが、共通パラメータ生成装置３００は、共通パラメータ生成装置３００の各部において使用されるデータを記憶する記録媒体を備える。
　入力部３０１は、暗号文変換システム１００において用いられる鍵のビット長ｋを示す情報の入力を受け付ける。
　共通パラメータ生成部３０２は、公開鍵ｐｋ及びマスター秘密鍵ｍｓｋの各々を生成する。公開鍵ｐｋ及びマスター秘密鍵ｍｓｋの各々は、暗号文変換システム１００において演算の基本として用いられる。なお、図示していないが、共通パラメータ生成部３０２は、公開鍵ｐｋ及びマスター秘密鍵ｍｓｋの各々を生成するために乱数生成機能などを備えてもよい。
　送信部３０３は、共通パラメータ生成部３０２によって生成された公開鍵ｐｋを、変換鍵生成装置６００と、変換装置７００との各々へ送信する。また、送信部３０３は、共通パラメータ生成部３０２が生成したマスター秘密鍵ｍｓｋを、複数のユーザ秘密鍵生成装置４００の各々へ送信する。

　図４は、ユーザ秘密鍵生成装置４００の構成例を示すブロック図である。図４に示すように、ユーザ秘密鍵生成装置４００は、入力部４０１と、鍵受信部４０２と、鍵生成部４０３と、送信部４０４とを備える。なお、図示していないが、ユーザ秘密鍵生成装置４００は、ユーザ秘密鍵生成装置４００の各部において使用されるデータを記憶する記録媒体を備える。
　入力部４０１は、属性パラメータΓを示す情報の入力を受け付ける。
　鍵受信部４０２はマスター秘密鍵ｍｓｋを受信する。
　鍵生成部４０３は、属性パラメータΓとマスター秘密鍵ｍｓｋとを用いてユーザ秘密鍵ｓｋ_Γを生成する。なお、図示していないが、鍵生成部４０３は、ユーザ秘密鍵ｓｋ_Γを生成するために乱数生成機能などを備えてもよい。
　送信部４０４は、鍵生成部４０３が生成したユーザ秘密鍵ｓｋ_Γを復号装置８００へ送信する。

　図５は、暗号文生成装置５００の構成例を示すブロック図である。図５に示すように、暗号文生成装置５００は、入力部５０１と、鍵受信部５０２と、暗号化部５０３と、送信部５０４とを備える。なお、図示していないが、暗号文生成装置５００は、暗号文生成装置５００の各部において使用されるデータを記憶する記録媒体を備える。
　入力部５０１は、平文Ｍを示す情報の入力を受け付ける。
　鍵受信部５０２は、秘密鍵ｓｋを受信する。
　暗号化部５０３は、補助情報ａｕｘＣを生成し、平文Ｍと秘密鍵ｓｋと生成した補助情報ａｕｘＣとを用いて生成共通鍵暗号文Ｃｓｋを生成する。なお、図示していないが、暗号化部５０３は、生成共通鍵暗号文Ｃｓｋを生成するために乱数生成機能などを備えてもよい。
　送信部５０４は、暗号化部５０３が生成した共通鍵暗号文Ｃｓｋを変換装置７００へ送信し、暗号化部５０３が生成した補助情報ａｕｘＣを変換鍵生成装置６００へ送信する。

　図６は、変換鍵生成装置６００の構成例を示すブロック図である。図６に示すように、変換鍵生成装置６００は、鍵受信部６０１と、入力部６０２と、変換先設定部６０３と、鍵生成部６０４と、送信部６０５とを備える。なお、図示していないが、変換鍵生成装置６００は、変換鍵生成装置６００の各部において使用されるデータを記憶する記録媒体を備える。

　鍵受信部６０１は、公開鍵ｐｋと、秘密鍵ｓｋと、補助情報ａｕｘＣとの各々を受信する。

　入力部６０２は、復号可能条件Ｌを示す情報を入力として受け取る。

　変換先設定部６０３は、公開鍵ｐｋと復号可能条件Ｌとを用いて変換鍵ｃｋの一部であるＰを生成する。この際、変換先設定部６０３は、公開鍵ｐｋ及び第１復号可能条件を用いて公開鍵暗号方式の暗号化を実行することによって、第１変換後公開鍵暗号文と、第１変換後公開鍵暗号文に対応する鍵とを生成する。公開鍵暗号方式は、具体例として、アクセス範囲を設定可能な関数型暗号方式又は属性ベース暗号方式である。

　鍵生成部６０４は、秘密鍵ｓｋと補助情報ａｕｘＣとを用いて変換鍵ｃｋの一部であるＳを生成する。なお、図示していないが、変換先設定部６０３及び鍵生成部６０４の各々は、変換鍵ｃｋの一部を生成するために乱数生成機能などを備えてもよい。
　具体的には、まず、鍵生成部６０４は、第２共通鍵暗号秘密鍵を平文とし、第１変換後公開鍵暗号文に対応する鍵を秘密鍵として共通鍵暗号方式の暗号化を実行することによって第１部分変換鍵を生成する。
　次に、鍵生成部６０４は、第１共通鍵暗号秘密鍵及び第１補助情報を用いてブロック暗号のカウンターモードの暗号化を実行することによって算出した値と、第２共通鍵暗号秘密鍵及び第２補助情報を用いてブロック暗号のカウンターモードの暗号化を実行することによって算出した値との排他的論理和を、第２部分変換鍵として算出する。

　送信部６０５は、変換先設定部６０３及び鍵生成部６０４の各々が生成した変換鍵の一部を集約して変換鍵ｃｋ（＝（Ｐ，Ｓ））とし、変換鍵ｃｋを変換装置７００へ送信する。

　図７は、変換装置７００の構成例を示すブロック図である。図７に示すように、変換装置７００は、鍵受信部７０１と、暗号文受信部７０２と、入力部７０３と、変換部７０４と、送信部７０５とを備える。なお、図示していないが、変換装置７００は、変換装置７００の各部において使用されるデータを記憶する記録媒体を備える。

　鍵受信部７０１は、公開鍵ｐｋ及び変換鍵ｃｋの各々を受信する。

　暗号文受信部７０２は、共通鍵暗号文Ｃｓｋを受信する。

　入力部７０３は、復号可能条件Ｌ’を示す情報の入力を受け付ける。

　変換部７０４は、変換鍵ｃｋを用いて共通鍵暗号文ＣｓｋをＣｓｋ’に変換し、公開鍵ｐｋ及び復号可能条件Ｌ’を用いてＰに復号可能条件を設定することによりＰをＰ’に変換する。なお、Ｐ’は変換後公開鍵暗号文Ｃｐｋの一部である。
　変換部７０４は、共通鍵暗号文Ｃｓｋと、第２部分変換鍵との排他的論理和を、共通鍵暗号文を生成する際に用いた平文Ｍを復号することに用いられる変換後共通鍵暗号文の少なくとも一部として算出する。共通鍵暗号文Ｃｓｋは、第１共通鍵暗号秘密鍵及び第１補助情報を用いてブロック暗号のカウンターモードの暗号化を実行することによって算出した値と、平文Ｍとの排他的論理和である。変換後共通鍵暗号文は、変換後共通鍵暗号文の少なくとも一部と、第２補助情報とから成ってもよい。
　変換部７０４は、公開鍵ｐｋと、第１変換後公開鍵暗号文と、第２復号可能条件とを用いて属性ベース暗号方式の委譲変換を実行することにより第２変換後公開鍵暗号文を生成してもよい。第２復号可能条件は、第１復号可能条件よりも限定的な条件である。

　送信部７０５は、変換後公開鍵暗号文Ｃｐｋと変換後共通鍵暗号文（Ｃｓｋ’，ａｕｘＣ’）との各々を出力する。

　図８は、復号装置８００の構成例を示すブロック図である。図８に示すように、復号装置８００は、暗号文受信部８０１と、鍵受信部８０２と、復号部８０３と、結果出力部８０４とを備える。

　暗号文受信部８０１は、変換後公開鍵暗号文Ｃｐｋと変換後共通鍵暗号文（Ｃｓｋ’，ａｕｘＣ’）との各々を受信する。

　鍵受信部８０２は、ユーザ秘密鍵ｓｋ_Γを受信する。

　復号部８０３は、変換後公開鍵暗号文Ｃｐｋと変換後共通鍵暗号文（Ｃｓｋ’，ａｕｘＣ’）とユーザ秘密鍵ｓｋ_Γとを用いて復号処理を実行することにより平文Ｍを算出する。
　具体的には、まず、復号部８０３は、復号可能条件Ｌに対応するユーザ秘密鍵ｓｋ_Γと、第２変換後公開鍵暗号文とを用いて属性ベース暗号の復号を実行することによって第１変換後公開鍵暗号文に対応する鍵を復号する。
　次に、復号部８０３は、復号した第１変換後公開鍵暗号文に対応する鍵と、第１部分変換鍵とを用いて共通鍵暗号の復号を実行することによって第２共通鍵暗号秘密鍵を復号する。
　次に、復号部８０３は、変換後共通鍵暗号文の少なくとも一部と、復号した第２共通鍵暗号秘密鍵及び第２補助情報を用いてブロック暗号のカウンターモードの暗号化を実行することによって算出した値との排他的論理和を、平文Ｍとして算出する。

　結果出力部８０４は、算出された平文Ｍを出力する。

　図９は、本実施の形態に係る各装置のハードウェア資源の一例を示す図である。図９に示すように、各装置はプロセッサ１１（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）を備える一般的なコンピュータである。

　プロセッサ１１は、具体例として、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）、又はＧＰＵ（Ｇｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。プロセッサ１１は、バス１２を介して、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）１３と、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）１４と、通信ボード１５と、ディスプレイ３１（表示装置）と、キーボード３２、マウス３３と、ドライブ３４と、磁気ディスク装置２０などのハードウェアデバイスと接続され、これらのハードウェアデバイスを制御する。ドライブ３４は、ＦＤ（Ｆｌｅｘｉｂｌｅ　Ｄｉｓｋ　Ｄｒｉｖｅ）、ＣＤ（Ｃｏｍｐａｃｔ　Ｄｉｓｃ）、ＤＶＤ（Ｄｉｇｉｔａｌ　Ｖｅｒｓａｔｉｌｅ　Ｄｉｓｃ）などの記憶媒体を読み書きする装置である。

　ＲＯＭ１３と、ＲＡＭ１４と、磁気ディスク装置２０と、ドライブ３４とは記憶装置の一例である。
　キーボード３２と、マウス３３と、通信ボード１５とは入力装置の一例である。
　ディスプレイ３１及び通信ボード１５は出力装置の一例である。

　通信ボード１５は、有線又は無線で、ＬＡＮ、インターネット、又は電話回線などの通信網に接続している。

　磁気ディスク装置２０は、ＯＳ（オペレーティングシステム）２１と、プログラム群２２と、ファイル群２３とを記憶している。

　プログラム群２２には、本実施の形態において「部」として説明する機能を実行するプログラムが含まれる。プログラムは、プロセッサ１１により読み出されて実行される。即ち、プログラムは、「部」としてコンピュータを機能させるものであり、また「部」の手順及び方法をコンピュータに実行させるものである。

　ファイル群２３には、本実施の形態において説明する「部」において使用される各種データ（入力、出力、判定結果、計算結果、処理結果など）が含まれる。

　フローチャートなどに基づいて説明される本実施の形態の処理はプロセッサ１１、記憶装置、入力装置、出力装置などのハードウェアを用いて実行される。
　「部」として説明するものは、ファームウェア、ソフトウェア、ハードウェア又はこれらの組み合わせのいずれによって実現されても構わない。
　本明細書に記載されているいずれのプログラムも、コンピュータが読み取り可能な不揮発性の記録媒体に記録されていてもよい。不揮発性の記録媒体は、具体例として、光ディスク又はフラッシュメモリである。本明細書に記載されているいずれのプログラムも、プログラムプロダクトとして提供されてもよい。

＊＊＊動作の説明＊＊＊
　暗号文変換システム１００を構成する各装置の動作手順は暗号文変換方法に相当する。暗号文変換方法は各装置において実行される方法の総称でもある。また、暗号文変換システム１００を構成する各装置の動作を実現するプログラムは暗号文変換プログラムに相当する。暗号文変換プログラムは各装置において実行されるプログラムの総称でもある。

　以下では、本実施の形態に係る暗号文変換システム１００の動作を説明する前に、本実施の形態において使用する暗号技術と表記について説明する。

　属性ベース暗号は、復号可能条件Ｌによって設定された復号条件を満たすような属性の集合Γから生成されたユーザ秘密鍵を所持するユーザのみが復号可能である暗号である。本実施の形態では委譲可能な属性ベース暗号、即ち、復号可能条件を限定する方向に対する変更であれば暗号文を復号せずに変更可能である属性ベース暗号を用いる。当該属性ベース暗号は以下の処理を含むアルゴリズムにより構成される。このような属性ベース暗号は、様々に達成されており、非特許文献１などでも扱われている。

　処理１：セットアップＡＢＥＳＥＴＵＰと鍵長などを入力として、マスター秘密鍵ｍｓｋと公開鍵ｐｋとを出力する処理。
　処理２：ユーザ秘密鍵生成ＡＢＥＫＥＹＧＥＮとマスター秘密鍵ｍｓｋと属性の集合Γとを入力として、属性の集合Γに対応するユーザ秘密鍵ｓｋ_Γを生成する処理。
　処理３：暗号化ＡＢＥＥＮＣと公開鍵ｐｋと復号可能条件Ｌとを入力として、共通鍵暗号用の鍵Ｋと鍵Ｋに対応する暗号文Ｐとを生成する処理。
　処理４：委譲変換ＡＢＥＤＥＲと公開鍵ｐｋと暗号文Ｐと復号可能条件Ｌ’とを入力として、復号可能条件Ｌ’が暗号文Ｐに紐づいている復号可能条件Ｌよりも限定された条件を示す場合に、復号可能条件Ｌ’に対応する暗号文Ｐ’を出力する処理。
　処理５：復号ＡＢＥＤＥＣとユーザ秘密鍵ｓｋ_Γと暗号文Ｐとを入力とし、属性の集合Γと、暗号文Ｐを生成した際の復号可能条件Ｌとがマッチした場合、暗号文Ｐとして暗号化されている鍵Ｋが出力される処理。

　共通鍵暗号は、秘密鍵ｓｋを用いて平文Ｍを暗号化し、秘密鍵ｓｋを用いて暗号文を復号する技術である。秘密鍵ｓｋはランダムな値であり、暗号化ＳＫＥＥＮＣは、秘密鍵ｓｋと平文Ｍとを入力とし、暗号文を出力する。復号ＳＫＥＤＥＣは、秘密鍵ｓｋと暗号文とを入力とし、平文Ｍを出力する。

　共通鍵暗号のうち、ブロック暗号を用いたカウンターモードの暗号化技術が本実施の形態では用いられる。ブロック暗号を用いたカウンターモードの暗号化をＳＣＴＲＥＮＣと記述し、ブロック暗号を用いたカウンターモードの復号をＳＣＴＲＤＥＣと記述する。カウンターモードにおいて、補助情報ａｕｘＣが存在し、［数式１］に示すように暗号化が実行され、［数式２］に示すように復号が実行される。ここで、演算子＋は排他的論理和を示す。補助情報はカウンター値である。

［数式１］
　Ｃ＝ＳＣＴＲＥＮＣ（ｓｋ，ａｕｘＣ）＋Ｍ
［数式２］
　Ｍ＝ＳＣＴＲＤＥＣ（ｓｋ，ａｕｘＣ）＋Ｃ

　図１０は共通秘密鍵生成処理の一例を表している。図１０を用いて共通秘密鍵生成処理を説明する。

（ステップＳ２０１：情報入力ステップ）
　入力部２０１は、鍵のビット長ｋを示す情報の入力を受け付ける。

（ステップＳ２０２：秘密鍵生成ステップ）
　共通鍵暗号鍵生成部２０２は、ｋビットの乱数を生成し、生成した乱数を秘密鍵ｓｋとする。

（ステップＳ２０３：送信ステップ）
　送信部２０３は、生成された秘密鍵ｓｋを各装置に適宜送信する。

　図１１は共通パラメータ生成処理の一例を表している。図１１を用いて共通パラメータ生成処理を説明する。

（ステップＳ３０１：情報入力ステップ）
　入力部３０１は、鍵のビット長ｋを示す情報の入力を受け付ける。

（ステップＳ３０２：鍵生成ステップ）
　共通パラメータ生成部３０２は、属性ベース暗号のセットアップＳｅｔｕｐを実行することにより、マスター秘密鍵ｍｓｋと公開鍵ｐｋとの各々を生成する。

（ステップＳ３０３：送信ステップ）
　送信部３０３は、生成されたマスター秘密鍵ｍｓｋと公開鍵ｐｋとの各々を各装置へ適宜送信する。

　図１２はユーザ秘密鍵生成処理の一例を表している。図１２を用いてユーザ秘密鍵生成処理を説明する。

（ステップＳ４０１：属性入力ステップ）
　入力部４０１は、属性パラメータΓを示す情報の入力を受け付ける。

（ステップＳ４０２：マスター鍵受信ステップ）
　鍵受信部４０２は、マスター秘密鍵ｍｓｋを受信する。

（ステップＳ４０３：ユーザ秘密鍵生成ステップ）
　鍵生成部４０３は、属性パラメータΓとマスター秘密鍵ｍｓｋとを用いて属性ベース暗号のユーザ秘密鍵生成ＫｅｙＧｅｎを実行することによりユーザ秘密鍵ｓｋ_Γを生成する。

（ステップＳ４０４：送信ステップ）
　送信部４０４は、生成されたユーザ秘密鍵ｓｋ_Γを各装置へ適宜送信する。

　図１３は暗号文生成処理の一例を表している。図１３を用いて暗号文生成処理を説明する。

（ステップＳ５０１：鍵受信ステップ）
　鍵受信部５０２は、秘密鍵ｓｋを入力として受け取る。

（ステップＳ５０２：平文入力ステップ）
　入力部５０１は平文Ｍを示す情報を入力として受け取る。

（ステップＳ５０３：暗号化ステップ）
　暗号化部５０３は、［数式３］に示すようにブロック暗号のカウンターモードの暗号化を実行することにより平文Ｍを暗号化する。ここで、暗号化部５０３は、カウンターモード実行時のカウンター値を補助情報ａｕｘＣとして生成し、共通鍵暗号文をＣｓｋとする。秘密鍵ｓｋは第１共通鍵暗号秘密鍵に当たる。補助情報ａｕｘＣは第１補助情報に当たる。

［数式３］
　Ｃｓｋ＝ＳＣＴＲＥＮＣ（ｓｋ，ａｕｘＣ）＋Ｍ

（ステップＳ５０４：送信ステップ）
　送信部５０４は、生成された共通鍵暗号文Ｃｓｋと補助情報ａｕｘＣとの各々を各装置に適宜送信する。

　図１４は変換鍵生成処理を表している。図１４を用いて変換鍵生成処理を説明する。

（ステップＳ６０１：鍵受信ステップ）
　鍵受信部６０１は、公開鍵ｐｋと、秘密鍵ｓｋと、補助情報ａｕｘＣとの各々を受信する。

（ステップ６０２：復号可能条件受信ステップ）
　入力部６０２は、復号可能条件Ｌを示す情報を受信する。復号可能条件Ｌは、ユーザ秘密鍵ｓｋ_Γを発行されているユーザであれば誰でも復号することができることに対応する条件を示す。復号可能条件Ｌは第１復号可能条件に当たる。

（ステップ６０３：変換先設定ステップ）
　変換先設定部６０３は、公開鍵ｐｋと、復号可能条件Ｌとを用いて、属性ベース暗号の暗号化ＡＢＥＥＮＣを［数式４］に示すように実行する。ここで、Ｐは変換後公開鍵暗号文であり、ＫはＰを復号することによって生成される鍵に当たる。Ｐは第１変換後公開鍵暗号文に当たる。Ｋは第１変換後公開鍵暗号文に対応する鍵に当たる。

［数式４］
　（Ｋ，Ｐ）＝ＡＢＥＥＮＣ（ｐｋ，Ｌ）

（ステップＳ６０４：秘密鍵生成ステップ）
　鍵生成部６０４は、新たな秘密鍵ｓｋ’を生成する。

（ステップＳ６０５：秘密鍵暗号化ステップ）
　鍵生成部６０４は、秘密鍵ｓｋ’を平文とし、Ｋを秘密鍵として、［数式５］に示すように共通鍵暗号の暗号化を実行する。ここで、秘密鍵ｓｋ’は第２共通鍵暗号秘密鍵に当たる。Ｓ１は第１部分変換鍵に当たる。

［数式５］
　Ｓ１＝ＳＫＥＥＮＣ（Ｋ，ｓｋ’）

（ステップＳ６０６：変換鍵生成ステップ）
　鍵生成部６０４は、新たな補助情報ａｕｘＣ’を生成し、生成した補助情報ａｕｘＣ’を用いて［数式６］に示す計算を実行する。ここで、ＳＣＴＲＥＮＣ（ｓｋ，ａｕｘＣ）は、第１共通鍵暗号秘密鍵及び第１補助情報を用いてブロック暗号のカウンターモードの暗号化を実行することによって算出した値である。ＳＣＴＲＥＮＣ（ｓｋ’，ａｕｘＣ’）は、第２共通鍵暗号秘密鍵及び第２補助情報を用いてブロック暗号のカウンターモードの暗号化を実行することによって算出した値である。Ｓ２は第２部分変換鍵に当たる。

［数式６］
　Ｓ２＝ＳＣＴＲＥＮＣ（ｓｋ，ａｕｘＣ）＋ＳＣＴＲＥＮＣ（ｓｋ’，ａｕｘＣ’）
　Ｓ＝（Ｓ１，Ｓ２）

（ステップ６０７：送信ステップ）
　送信部６０５は、変換鍵ｃｋ（＝（Ｐ，Ｓ））を各装置に適宜送信する。

　図１５は変換処理の一例を表している。図１５を参照して変換処理を説明する。

（ステップＳ７０１：鍵受信ステップ）
　鍵受信部７０１は、公開鍵ｐｋと、変換鍵ｃｋ（＝（Ｐ，Ｓ＝（Ｓ１，Ｓ２）））との各々を受信する。

（ステップ７０２：入力ステップ）
　暗号文受信部７０２は共通鍵暗号文Ｃｓｋを示す情報を受信する。
　入力部７０３は、復号可能条件Ｌ’を示す情報を受信する。復号可能条件Ｌ’は第２復号可能条件に当たる。

（ステップ７０３：変換ステップ）
　変換部７０４は、共通鍵暗号文ＣｓｋとＳ２を用いて［数式７］に示す計算を実行する。ここで、［数式７］の右辺は［数式８］に示すように示すように変形することができることに留意する。Ｃｓｋ’は、平文Ｍを復号することに用いられる変換後共通鍵暗号文の少なくとも一部に当たる。平文Ｍは、共通鍵暗号文Ｃｓｋを生成する際に用いられている。

［数式７］
　Ｃｓｋ’＝Ｃｓｋ＋Ｓ２
［数式８］
　Ｃｓｋ＋Ｓ２
＝ＳＣＴＲＥＮＣ（ｓｋ，ａｕｘＣ）＋Ｍ＋ＳＣＴＲＥＮＣ（ｓｋ，ａｕｘＣ）＋ＳＣＴＲＥＮＣ（ｓｋ’，ａｕｘＣ’）
＝ＳＣＴＲＥＮＣ（ｓｋ’，ａｕｘＣ’）＋Ｍ

　また、変換部７０４は［数式９］に示す計算を実行する。Ｐ’は第２変換後公開鍵暗号文に当たる。

［数式９］
　Ｐ’＝ＡＢＥＤＥＲ（ｐｋ，Ｐ，Ｌ’）

（ステップ７０４：出力ステップ）
　送信部７０５は、変換後公開鍵暗号文をＣｐｋ（＝（Ｐ’，Ｓ１））とし、変換後共通鍵暗号文を（Ｃｓｋ’，ａｕｘＣ’）とし、変換後公開鍵暗号文Ｃｐｋと変換後共通鍵暗号文（Ｃｓｋ’，ａｕｘＣ’）との各々を復号装置８００へ送信する。

　図１６は復号処理の一例を表している。図１６を用いて復号処理を説明する。

（ステップＳ８０１：暗号文受信ステップ）
　暗号文受信部８０１は、変換後公開鍵暗号文Ｃｐｋ（＝（Ｐ’，Ｓ１））と、変換後共通鍵暗号文（Ｃｓｋ’，ａｕｘＣ’）との各々を受信する。

（ステップＳ８０２：入力ステップ）
　鍵受信部８０２は、ユーザ秘密鍵ｓｋ_Γを受信する。

（ステップ８０３：復号処理ステップ）
　まず、復号部８０３は、［数式１０］に示すように属性ベース暗号の復号を実行する。
　次に、復号部８０３は、［数式１１］に示すように共通鍵暗号の復号を実行する。
　次に、復号部８０３は、［数式１２］に示す計算を実行することにより平文Ｍを求める。

［数式１０］
　Ｋ＝ＡＢＥＤＥＣ（ｓｋ_Γ，Ｐ’）
［数式１１］
　ｓｋ’＝ＳＫＥＤＥＣ（Ｋ，Ｓ１）
［数式１２］
　Ｍ＝Ｃｓｋ’＋ＳＣＴＲＥＮＣ（ｓｋ’，ａｕｘＣ’）

（ステップ８０４：出力ステップ）
　結果出力部８０４は、復号部８０３が求めた平文Ｍを示すデータを出力する。

＊＊＊実施の形態１の効果の説明＊＊＊
　以上のように、本実施の形態によれば、共通鍵暗号方式の暗号文を復号することなく公開鍵暗号方式の暗号文に変換することができる。
　また、本実施の形態によれば、共通鍵暗号方式の暗号文から公開鍵暗号方式の暗号文へ変換する変換鍵を暗号文毎に生成する必要がない。そのため、本実施の形態によれば、変換鍵を生成するコストを低減することができ、また、変換鍵を生成するために秘密鍵を呼び出す回数を低減することができるためにセキュリティの強化を実現することができる。また、本実施の形態によれば、公開鍵暗号の演算等が不可能な省リソースなデバイスにおいて暗号文を公開鍵暗号の暗号文に変換することができる。

＊＊＊他の構成＊＊＊
＜変形例１＞
　図１７は、本変形例に係る各装置のハードウェア構成例を示している。
　各装置は、プロセッサ１１、プロセッサ１１とＲＯＭ１３、プロセッサ１１とＲＡＭ１４、あるいはプロセッサ１１とＲＯＭ１３とＲＡＭ１４とに代えて、処理回路１８を備える。
　処理回路１８は、各装置が備える各部の少なくとも一部を実現するハードウェアである。
　処理回路１８は、専用のハードウェアであってもよく、また、ＲＡＭ１４に格納されるプログラムを実行するプロセッサであってもよい。

　処理回路１８が専用のハードウェアである場合、処理回路１８は、具体例として、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）、ＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）又はこれらの組み合わせである。
　各装置は、処理回路１８を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路１８の役割を分担する。

　各装置において、一部の機能が専用のハードウェアによって実現されて、残りの機能がソフトウェア又はファームウェアによって実現されてもよい。

　処理回路１８は、具体例として、ハードウェア、ソフトウェア、ファームウェア、又はこれらの組み合わせにより実現される。
　プロセッサ１１とＲＯＭ１３とＲＡＭ１４と処理回路１８とを、総称して「プロセッシングサーキットリー」という。つまり、各装置の各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。

＊＊＊他の実施の形態＊＊＊
　実施の形態１について説明したが、本実施の形態のうち、複数の部分を組み合わせて実施しても構わない。あるいは、本実施の形態を部分的に実施しても構わない。その他、本実施の形態は、必要に応じて種々の変更がなされても構わず、全体としてあるいは部分的に、どのように組み合わせて実施されても構わない。
　なお、前述した実施の形態は、本質的に好ましい例示であって、本開示と、その適用物と、用途の範囲とを制限することを意図するものではない。フローチャートなどを用いて説明した手順は適宜変更されてもよい。

　１１　プロセッサ、１２　バス、１３　ＲＯＭ、１４　ＲＡＭ、１５　通信ボード、１８　処理回路、２０　磁気ディスク装置、２１　ＯＳ、２２　プログラム群、２３　ファイル群、３１　ディスプレイ、３２　キーボード、３３　マウス、３４　ドライブ、１００　暗号文変換システム、１０１　インターネット、２００　共通秘密鍵生成装置、２０１　入力部、２０２　共通鍵暗号鍵生成部、２０３　送信部、３００　共通パラメータ生成装置、３０１　入力部、３０２　共通パラメータ生成部、３０３　送信部、４００　ユーザ秘密鍵生成装置、４０１　入力部、４０２　鍵受信部、４０３　鍵生成部、４０４　送信部、５００　暗号文生成装置、５０１　入力部、５０２　鍵受信部、５０３　暗号化部、５０４　送信部、６００　変換鍵生成装置、６０１　鍵受信部、６０２　入力部、６０３　変換先設定部、６０４　鍵生成部、６０５　送信部、７００　変換装置、７０１　鍵受信部、７０２　暗号文受信部、７０３　入力部、７０４　変換部、７０５　送信部、８００　復号装置、８０１　暗号文受信部、８０２　鍵受信部、８０３　復号部、８０４　結果出力部、ａｕｘＣ，ａｕｘＣ’　補助情報、ｃｋ　変換鍵、Ｃｓｋ　共通鍵暗号文、Ｃｐｋ　変換後公開鍵暗号文、Ｌ，Ｌ’　復号可能条件、Ｍ　平文、ｍｓｋ　マスター秘密鍵、ｐｋ　公開鍵、ｓｋ，ｓｋ’　秘密鍵、ｓｋ_Γ　ユーザ秘密鍵。

Claims

　公開鍵及び第１復号可能条件を用いて公開鍵暗号方式の暗号化を実行することによって、第１変換後公開鍵暗号文と、前記第１変換後公開鍵暗号文に対応する鍵とを生成する変換先設定部と、
　第２共通鍵暗号秘密鍵を平文とし、前記第１変換後公開鍵暗号文に対応する鍵を秘密鍵として共通鍵暗号方式の暗号化を実行することによって第１部分変換鍵を生成し、
　第１共通鍵暗号秘密鍵及び第１補助情報を用いてブロック暗号のカウンターモードの暗号化を実行することによって算出した値と、前記第２共通鍵暗号秘密鍵及び第２補助情報を用いてブロック暗号のカウンターモードの暗号化を実行することによって算出した値との排他的論理和を、第２部分変換鍵として算出する鍵生成部と
を備える変換鍵生成装置と、
　前記第１共通鍵暗号秘密鍵及び前記第１補助情報を用いてブロック暗号のカウンターモードの暗号化を実行することによって算出した値及び平文の排他的論理和である共通鍵暗号文と、前記第２部分変換鍵との排他的論理和を、前記共通鍵暗号文を生成する際に用いた平文を復号することに用いられる変換後共通鍵暗号文の少なくとも一部として算出する変換部
を備える変換装置と
を備える暗号文変換システム。
　前記変換後共通鍵暗号文は、前記変換後共通鍵暗号文の少なくとも一部と、前記第２補助情報とから成る請求項１に記載の暗号文変換システム。
　前記公開鍵暗号方式は、属性ベース暗号方式である請求項１又は２に記載の暗号文変換システム。
　前記変換部は、前記公開鍵と、前記第１変換後公開鍵暗号文と、前記第１復号可能条件よりも限定的な条件である第２復号可能条件とを用いて属性ベース暗号方式の委譲変換を実行することにより第２変換後公開鍵暗号文を生成する請求項３に記載の暗号文変換システム。
　前記暗号文変換システムは、さらに、
　前記復号可能条件に対応するユーザ秘密鍵と、前記第２変換後公開鍵暗号文とを用いて属性ベース暗号の復号を実行することによって前記第１変換後公開鍵暗号文に対応する鍵を復号し、
　復号した前記第１変換後公開鍵暗号文に対応する鍵と、前記第１部分変換鍵とを用いて共通鍵暗号の復号を実行することによって前記第２共通鍵暗号秘密鍵を復号し、
　前記変換後共通鍵暗号文の少なくとも一部と、復号した前記第２共通鍵暗号秘密鍵及び前記第２補助情報を用いてブロック暗号のカウンターモードの暗号化を実行することによって算出した値との排他的論理和を、前記平文として算出する復号部
を備える復号装置
を備える請求項４に記載の暗号文変換システム。
　コンピュータである変換鍵生成装置が、公開鍵及び第１復号可能条件を用いて公開鍵暗号方式の暗号化を実行することによって、第１変換後公開鍵暗号文と、前記第１変換後公開鍵暗号文に対応する鍵とを生成し、
　前記変換鍵生成装置が、第２共通鍵暗号秘密鍵を平文とし、前記第１変換後公開鍵暗号文に対応する鍵を秘密鍵として共通鍵暗号方式の暗号化を実行することによって第１部分変換鍵を生成し、
　前記変換鍵生成装置が、第１共通鍵暗号秘密鍵及び第１補助情報を用いてブロック暗号のカウンターモードの暗号化を実行することによって算出した値と、前記第２共通鍵暗号秘密鍵及び第２補助情報を用いてブロック暗号のカウンターモードの暗号化を実行することによって算出した値との排他的論理和を、第２部分変換鍵として算出し、
　コンピュータである変換装置が、前記第１共通鍵暗号秘密鍵及び前記第１補助情報を用いてブロック暗号のカウンターモードの暗号化を実行することによって算出した値及び平文の排他的論理和である共通鍵暗号文と、前記第２部分変換鍵との排他的論理和を、前記共通鍵暗号文を生成する際に用いた平文を復号することに用いられる変換後共通鍵暗号文の少なくとも一部として算出する暗号文変換方法。
　公開鍵及び第１復号可能条件を用いて公開鍵暗号方式の暗号化を実行することによって、第１変換後公開鍵暗号文と、前記第１変換後公開鍵暗号文に対応する鍵とを生成する変換先設定処理と、
　第２共通鍵暗号秘密鍵を平文とし、前記第１変換後公開鍵暗号文に対応する鍵を秘密鍵として共通鍵暗号方式の暗号化を実行することによって第１部分変換鍵を生成し、
　第１共通鍵暗号秘密鍵及び第１補助情報を用いてブロック暗号のカウンターモードの暗号化を実行することによって算出した値と、前記第２共通鍵暗号秘密鍵及び第２補助情報を用いてブロック暗号のカウンターモードの暗号化を実行することによって算出した値との排他的論理和を、第２部分変換鍵として算出する鍵生成処理と
をコンピュータである変換鍵生成装置に実行させ、
　前記第１共通鍵暗号秘密鍵及び前記第１補助情報を用いてブロック暗号のカウンターモードの暗号化を実行することによって算出した値及び平文の排他的論理和である共通鍵暗号文と、前記第２部分変換鍵との排他的論理和を、前記共通鍵暗号文を生成する際に用いた平文を復号することに用いられる変換後共通鍵暗号文の少なくとも一部として算出する変換処理
をコンピュータである変換装置に実行させる暗号文変換プログラム。