WO2024004116A1 - 鍵発行装置、情報処理システム、方法及びコンピュータ可読媒体 - Google Patents

Abstract

ＩＤベース代理人再暗号化の技術において鍵発行機関が悪意を持っている場合であっても鍵発行機関によって暗号文が復号されることを抑制することが可能な鍵発行装置を提供する。分散マスタ鍵生成部（１２）は、複数の鍵発行装置（１０）に分散された状態の分散マスタ秘密鍵を少なくとも生成する。分散ユーザ秘密鍵生成部（１４）は、分散マスタ秘密鍵とユーザの識別情報とを用いて、分散ユーザ秘密鍵を生成する。送信部（１６）は、分散ユーザ秘密鍵をユーザのユーザ装置に送信する。

Description

鍵発行装置、情報処理システム、方法及びコンピュータ可読媒体

　本開示は、鍵発行装置、情報処理システム、方法及びコンピュータ可読媒体に関する。

　暗号化技術において、ＩＤベース暗号（ＩＢＥ：ID-Based Encryption）及び代理人再暗号化（ＰＲＥ：Proxy Re-Encryption）が知られている。これらの技術に関連し、非特許文献１は、ＩＤベース代理人再暗号化（ＩＢ－ＰＲＥ：Identity-Based Proxy Re-Encryption scheme）の技術を開示する。また、非特許文献２及び非特許文献３は、ＩＤベース暗号に関する技術を開示する。また、非特許文献４及び非特許文献５は、本開示に関する技術を開示する。

Chunpeng Ge1, Jinyue Xia and Liming Fang、"Key-Private Identity-Based Proxy Re-Encryption"、Computers, Materials & Continua 63.2 (2020): 633-647. Martin Geisler and Nigel P. Smart、"Distributing the Key Distribution Centre in Sakai-Kasahara Based Systems"、IMA International Conference on Cryptography and Coding. Springer, Berlin, Heidelberg, 2009. Aniket Kate, and Ian Goldberg、"Distributed Private-Key Generators for Identity-Based Cryptography"、Cryptology ePrint Archive, 2009、ＵＲＬ：https://eprint.iacr.org/2009/355.pdf Rosario Gennaro, Michael O. Rabin, and Tal Rabin、"Simplified VSS and Fast-track Multiparty Computations with Applications to Threshold Cryptography"、Proceedings of the seventeenth annual ACM symposium on Principles of distributed computing. 1998.、ＵＲＬ：https://dl.acm.org/doi/10.1145/277697.277716 Yoshinori Aono, et al.、"Key-Private Proxy Re-encryption under LWE"、International Conference on Cryptology in India. Springer, Cham, 2013

　ＩＤベース代理人再暗号化では、マスタ公開鍵及びマスタ秘密鍵を鍵発行機関が発行する。ここで、ＩＤベース代理人再暗号化では、マスタ秘密鍵とユーザのＩＤとを用いて、そのユーザの秘密鍵を生成することができる。そして、ユーザのＩＤは公知であることが多い。したがって、マスタ秘密鍵を取得した者は、ユーザの秘密鍵を容易に生成することができる。したがって、非特許文献１にかかる技術では、鍵発行機関が悪意を持っている場合に、マスタ秘密鍵を用いてシステム内の全ての暗号文が復号されてしまうおそれがある。

　本開示の目的は、このような課題を解決するためになされたものであり、ＩＤベース代理人再暗号化の技術において鍵発行機関が悪意を持っている場合であっても鍵発行機関によって暗号文が復号されることを抑制することが可能な鍵発行装置、システム、方法及びプログラムを提供することにある。

　本開示にかかる鍵発行装置は、複数の鍵発行装置に分散された状態の分散マスタ秘密鍵を少なくとも生成する分散マスタ鍵生成手段と、前記分散マスタ秘密鍵とユーザの識別情報とを用いて、前記ユーザのユーザ秘密鍵が分散された状態の分散ユーザ秘密鍵であって、複数の鍵発行装置から得られる当該分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵が取得される、分散ユーザ秘密鍵を生成する分散ユーザ秘密鍵生成手段と、前記分散ユーザ秘密鍵を前記ユーザのユーザ装置に送信する送信手段と、を有し、前記分散マスタ鍵生成手段は、秘匿される第１の乱数が分散された状態の第１の乱数のシェアと、秘匿される第２の乱数が分散された状態の第２の乱数のシェアとに基づいて、前記分散マスタ秘密鍵を生成し、前記分散ユーザ秘密鍵生成手段は、秘匿され前記ユーザ秘密鍵の要素となる第３の乱数が分散された状態の第３の乱数のシェアと、秘匿される第４の乱数が分散された状態の第４の乱数のシェアを取得し、前記分散マスタ秘密鍵の要素である前記第１の乱数のシェア、前記分散マスタ秘密鍵の要素である前記第２の乱数のシェア、及び前記第３の乱数のシェアのそれぞれに対して、前記第４の乱数のシェアを乗算し、乗算の結果得られた積に基づいて、前記分散ユーザ秘密鍵を生成する。

　また、本開示にかかる情報処理システムは、複数の鍵発行装置と、複数のユーザ装置と、再暗号化装置と、を有し、前記複数の鍵発行装置それぞれは、複数の鍵発行装置に分散された状態の分散マスタ秘密鍵を少なくとも生成する分散マスタ鍵生成手段と、前記分散マスタ秘密鍵とユーザの識別情報とを用いて、前記ユーザのユーザ秘密鍵が分散された状態の分散ユーザ秘密鍵であって、複数の鍵発行装置から得られる当該分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵が取得される、分散ユーザ秘密鍵を生成する分散ユーザ秘密鍵生成手段と、前記分散ユーザ秘密鍵を前記ユーザのユーザ装置に送信する送信手段と、を有し、前記分散マスタ鍵生成手段は、秘匿される第１の乱数が分散された状態の第１の乱数のシェアと、秘匿される第２の乱数が分散された状態の第２の乱数のシェアとに基づいて、前記分散マスタ秘密鍵を生成し、前記分散ユーザ秘密鍵生成手段は、秘匿され前記ユーザ秘密鍵の要素となる第３の乱数が分散された状態の第３の乱数のシェアと、秘匿される第４の乱数が分散された状態の第４の乱数のシェアを取得し、前記分散マスタ秘密鍵の要素である前記第１の乱数のシェア、前記分散マスタ秘密鍵の要素である前記第２の乱数のシェア、及び前記第３の乱数のシェアのそれぞれに対して、前記第４の乱数のシェアを乗算し、乗算の結果得られた積に基づいて、前記分散ユーザ秘密鍵を生成し、前記複数のユーザ装置それぞれは、複数の前記鍵発行装置から取得した前記分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵を生成するユーザ秘密鍵生成手段と、前記ユーザ秘密鍵を用いて再暗号化鍵を生成する再暗号化鍵生成手段と、暗号文を復号して平文を取得する復号手段と、を有し、前記再暗号化装置は、前記複数のユーザ装置の第１のユーザ装置で復号可能な暗号文を前記複数のユーザ装置の第２のユーザ装置で復号可能とするための前記再暗号化鍵を用いて、前記第１のユーザ装置に関する前記ユーザ秘密鍵で復号可能な前記暗号文を、復号することなしに再暗号化し、前記第２のユーザ装置の復号手段は、当該第２のユーザ装置に関する前記ユーザ秘密鍵を用いて、前記再暗号化された前記暗号文を復号する。

　また、本開示にかかる鍵発行方法は、秘匿される第１の乱数が分散された状態の第１の乱数のシェアと、秘匿される第２の乱数が分散された状態の第２の乱数のシェアとに基づいて、複数の鍵発行装置に分散された状態の分散マスタ秘密鍵を少なくとも生成し、前記分散マスタ秘密鍵とユーザの識別情報とを用いて、前記ユーザのユーザ秘密鍵が分散された状態の分散ユーザ秘密鍵であって、複数の鍵発行装置から得られる当該分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵が取得される、分散ユーザ秘密鍵を生成し、その際に、秘匿され前記ユーザ秘密鍵の要素となる第３の乱数が分散された状態の第３の乱数のシェアと、秘匿される第４の乱数が分散された状態の第４の乱数のシェアを取得し、前記分散マスタ秘密鍵の要素である前記第１の乱数のシェア、前記分散マスタ秘密鍵の要素である前記第２の乱数のシェア、及び前記第３の乱数のシェアのそれぞれに対して、前記第４の乱数のシェアを乗算し、乗算の結果得られた積に基づいて、前記分散ユーザ秘密鍵を生成し、前記分散ユーザ秘密鍵を前記ユーザのユーザ装置に送信する。

　また、本開示にかかる情報処理方法は、複数の鍵発行装置それぞれによって、秘匿される第１の乱数が分散された状態の第１の乱数のシェアと、秘匿される第２の乱数が分散された状態の第２の乱数のシェアとに基づいて、複数の鍵発行装置に分散された状態の分散マスタ秘密鍵を少なくとも生成し、前記分散マスタ秘密鍵とユーザの識別情報とを用いて、前記ユーザのユーザ秘密鍵が分散された状態の分散ユーザ秘密鍵であって、複数の鍵発行装置から得られる当該分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵が取得される、分散ユーザ秘密鍵を生成し、その際に、秘匿され前記ユーザ秘密鍵の要素となる第３の乱数が分散された状態の第３の乱数のシェアと、秘匿される第４の乱数が分散された状態の第４の乱数のシェアを取得し、前記分散マスタ秘密鍵の要素である前記第１の乱数のシェア、前記分散マスタ秘密鍵の要素である前記第２の乱数のシェア、及び前記第３の乱数のシェアのそれぞれに対して、前記第４の乱数のシェアを乗算し、乗算の結果得られた積に基づいて、前記分散ユーザ秘密鍵を生成し、前記分散ユーザ秘密鍵を前記ユーザのユーザ装置に送信し、前記ユーザ装置によって、複数の前記鍵発行装置から取得した前記分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵を生成し、前記ユーザ秘密鍵を用いて再暗号化鍵を生成し、暗号文を復号して平文を取得し、再暗号化装置によって、第１のユーザ装置で復号可能な暗号文を第２のユーザ装置で復号可能とするための前記再暗号化鍵を用いて、前記第１のユーザ装置に関する前記ユーザ秘密鍵で復号可能な前記暗号文を、復号することなしに再暗号化し、前記第２のユーザ装置によって当該第２のユーザ装置に関する前記ユーザ秘密鍵を用いて、前記再暗号化された前記暗号文を復号する。

　また、本開示にかかるプログラムは、秘匿される第１の乱数が分散された状態の第１の乱数のシェアと、秘匿される第２の乱数が分散された状態の第２の乱数のシェアとに基づいて、複数の鍵発行装置に分散された状態の分散マスタ秘密鍵を少なくとも生成するステップと、前記分散マスタ秘密鍵とユーザの識別情報とを用いて、前記ユーザのユーザ秘密鍵が分散された状態の分散ユーザ秘密鍵であって、複数の鍵発行装置から得られる当該分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵が取得される、分散ユーザ秘密鍵を生成し、その際に、秘匿され前記ユーザ秘密鍵の要素となる第３の乱数が分散された状態の第３の乱数のシェアと、秘匿される第４の乱数が分散された状態の第４の乱数のシェアを取得し、前記分散マスタ秘密鍵の要素である前記第１の乱数のシェア、前記分散マスタ秘密鍵の要素である前記第２の乱数のシェア、及び前記第３の乱数のシェアのそれぞれに対して、前記第４の乱数のシェアを乗算し、乗算の結果得られた積に基づいて、前記分散ユーザ秘密鍵を生成するステップと、前記分散ユーザ秘密鍵を前記ユーザのユーザ装置に送信するステップと、をコンピュータに実行させる。

　本開示によれば、ＩＤベース代理人再暗号化の技術において鍵発行機関が悪意を持っている場合であっても鍵発行機関によって暗号文が復号されることを抑制することが可能な鍵発行装置、システム、方法及びプログラムを提供できる。

一般的な公開鍵暗号を説明するための図である。 ＩＤベース暗号を説明するための図である。 一般的な代理人再暗号化を説明するための図である。 ＩＤベース代理人再暗号化を説明するための図である。 実施の形態１にかかる情報処理システムの構成を示す図である。 実施の形態１にかかる鍵発行装置の構成を示す図である。 実施の形態１にかかるユーザ装置の構成を示す図である。 実施の形態１にかかる再暗号化装置の構成を示す図である。 実施の形態１にかかる情報処理システムで実行される処理を示すフローチャートである。 実施の形態１にかかる情報処理システムで実行される処理を示すフローチャートである。 実施の形態１にかかる情報処理システムで実行される処理を示すフローチャートである。 実施の形態１にかかる情報処理システムで実行される処理を示すフローチャートである。 実施の形態２にかかる鍵発行装置の構成を示す図である。 各実施形態に係る装置およびシステムを実現可能な計算処理装置のハードウェア構成例を概略的に示すブロック図である。

（本実施の形態の概要）
　本実施の形態の説明に先立って、本実施の形態の概要について説明する。なお、以下、本実施の形態を説明するが、以下の実施形態は請求の範囲にかかる発明を限定するものではない。また、実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。また、以下の説明において、使用されるインデックス（英文字等）は、本明細書全体で共通のものとは限らない。

　図１～図４は、ＩＤベース代理人再暗号化について説明するための図である。図１は、一般的な公開鍵暗号を説明するための図である。暗号文作成者は、ユーザＡ～Ｃの公開鍵を所有している。暗号文作成者は、ユーザＡの公開鍵で暗号文Ｃａを作成し、ユーザＢの公開鍵で暗号文Ｃｂを作成し、ユーザＣの公開鍵で暗号文Ｃｃを作成する。ユーザＡは、ユーザＡの秘密鍵を所有している。ユーザＡは、ユーザＡの秘密鍵を用いて暗号文Ｃａを復号することができる。また、ユーザＢは、ユーザＢの秘密鍵を所有している。ユーザＢは、ユーザＢの秘密鍵を用いて暗号文Ｃｂを復号することができる。ユーザＣは、ユーザＣの秘密鍵を所有している。ユーザＣは、ユーザＣの秘密鍵を用いて暗号文Ｃｃを復号することができる。

　図２は、ＩＤベース暗号（ＩＢＥ）を説明するための図である。ＩＤベース暗号では、鍵発行期間がマスタ公開鍵及びマスタ秘密鍵を生成する。そして、鍵発行機関は、マスタ秘密鍵に各ユーザのＩＤ（実際にはＩＤのハッシュ値など）を埋め込むことで、ユーザＡ～Ｃそれぞれの秘密鍵を取得する。ユーザのＩＤ（Identification：識別情報）は、例えば、そのユーザのメールアドレスであってもよい。鍵発行機関は、ユーザＡ～Ｃに、それぞれ、ユーザＡ～Ｃのユーザ秘密鍵を配布する。また、鍵発行機関は、暗号文作成者にマスタ公開鍵を配布する。暗号文作成者は、取得したマスタ公開鍵にユーザＩＤを埋め込むことで、ユーザＡ～Ｃそれぞれの公開鍵を取得することができる。

　暗号文作成者は、図１の場合と同様にして、ユーザＡの公開鍵で暗号文Ｃａを作成し、ユーザＢの公開鍵で暗号文Ｃｂを作成し、ユーザＣの公開鍵で暗号文Ｃｃを作成する。そして、ユーザＡは、鍵発行機関によってマスタ秘密鍵から生成されたユーザＡの秘密鍵を用いて暗号文Ｃａを復号する。また、ユーザＢは、マスタ秘密鍵から生成されたユーザＢの秘密鍵を用いて暗号文Ｃｂを復号する。ユーザＣは、鍵発行機関によってマスタ秘密鍵から生成されたユーザＣの秘密鍵を用いて暗号文Ｃｃを復号する。ＩＤベース暗号によって、図１の公開鍵暗号と比較して、以下の利点が得られる。すなわち、任意の文字列（メールアドレス等）を、ユーザＩＤとして、ユーザ鍵（公開鍵及び秘密鍵）又は暗号文に埋め込むことができる。また、システム内に存在しないユーザ（図２の例では、存在しないユーザＤなど）に対して、事前に暗号文を作成することができる。さらに、図１の場合では必要であった公開鍵証明書が不要となる。

　図３は、一般的な代理人再暗号化（ＰＲＥ）を説明するための図である。代理人再暗号化は、クラウド環境などのサーバ上で、情報を暗号化したまま復号先を変更できる技術である。具体的には、変換先（変換された復号先）のユーザの公開鍵と変換元のユーザの秘密鍵とを用いて、再暗号化に必要な変換鍵（再暗号化鍵）を生成することができる。図３の例では、ユーザＡ（変換元）が、ユーザＡの秘密鍵とユーザＢ～Ｄ（変換先）の公開鍵とを用いて、変換鍵Ｋ_Ａ→Ｂ，Ｋ_Ａ→Ｃ，Ｋ_Ａ→Ｄを生成する。変換鍵Ｋ_Ａ→Ｂ，Ｋ_Ａ→Ｃ，Ｋ_Ａ→Ｄは、ユーザＡの秘密鍵で復号可能な暗号文Ｃａを、それぞれユーザＢ～Ｄの秘密鍵で復号可能な暗号文Ｃｂ，Ｃｃ，Ｃｄに変換するための鍵（再暗号化鍵）である。

　ユーザＡは、各変換鍵を、代理人に送信する。代理人は、例えば、プロキシサーバ又はゲートウェイサーバに対応する。代理人は、例えば、暗号文を公開する対象のネットワーク環境が変化する場合等に、暗号文を再暗号化する。代理人は、ユーザＡの秘密鍵で復号可能な暗号文Ｃａを、各変換鍵を用いて、暗号文Ｃａを復号することなく、再暗号化する。これにより、暗号文Ｃａは、変換鍵Ｋ_Ａ→Ｂを用いて、ユーザＢの秘密鍵で復号可能な暗号文Ｃｂに変換される。同様に、暗号文Ｃａは、変換鍵Ｋ_Ａ→Ｃ，Ｋ_Ａ→Ｄを用いて、それぞれ、ユーザＣ及びユーザＤの秘密鍵で復号可能な暗号文Ｃｃ，Ｃｄに変換される。ユーザＢ～Ｄは、それぞれ、暗号文Ｃｂ，Ｃｃ，Ｃｄを、自身の秘密鍵で復号することができる。なお、ユーザＡがユーザＤに暗号文Ｃａを開示したくなければ、ユーザＡは、変換鍵Ｋ_Ａ→Ｄを生成しなければよい。これにより、暗号文Ｃａは、ユーザＤに対して秘匿化されたままとなる。

　図４は、ＩＤベース代理人再暗号化（ＩＢ－ＰＲＥ）を説明するための図である。ＩＤベース代理人再暗号化は、代理人再暗号化を、ＩＤベースで行う。図２の場合と同様に、鍵発行機関は、マスタ公開鍵及びマスタ秘密鍵を生成する。そして、鍵発行機関は、マスタ秘密鍵に各ユーザのＩＤを埋め込むことで、ユーザＡ～Ｄそれぞれの秘密鍵を取得する。また、図４の例では、鍵発行機関は、ユーザＡにマスタ公開鍵を配布する。ユーザＡは、マスタ公開鍵と変換元の秘密鍵とを用いて、変換鍵（再暗号化鍵）を生成する。すなわち、ユーザＡは、ユーザＢ～ＤのＩＤを用いて、ユーザＢ～Ｄの公開鍵を取得する。そして、図３の場合と同様に、ユーザＡは、ユーザＡの秘密鍵とユーザＢ～Ｄの公開鍵とを用いて、変換鍵Ｋ_Ａ→Ｂ，Ｋ_Ａ→Ｃ，Ｋ_Ａ→Ｄを生成する。

　図３と同様に、ユーザＡは、各変換鍵を、代理人に送信する。代理人は、ユーザＡの秘密鍵で復号可能な暗号文Ｃａを、各変換鍵を用いて、暗号文Ｃａを復号することなく、再暗号化する。これにより、暗号文Ｃａは、暗号文Ｃｂ，Ｃｃ，Ｃｄに変換される。図３と同様に、ユーザＢ～Ｄは、それぞれ、暗号文Ｃｂ，Ｃｃ，Ｃｄを、自身の秘密鍵で復号することができる。

　ここで、上述したように、非特許文献１は、ＩＤベース代理人再暗号化の技術を開示している。非特許文献１にかかる技術は、変換鍵から変換先のＩＤに関する情報が漏れないというKey privateを達成できている。また、非特許文献１は、楕円曲線ベースＩＢＥの３つの分類のうち、所謂exponent-inversion typeのＩＢＥに対して再暗号化機能を実現している。ここで、exponent-inversion typeのＩＢＥの方式として、笠原・境方式があるが、非特許文献１でベースとなる方式は、笠原・境方式ではないことに留意されたい。具体的には、笠原・境方式は非対称ペアリングとｑ－ＢＤＨＩ（Bilinear Diffie-Hellman Inversion）仮定を用いるが、非特許文献１では、対称ペアリングとｑ－ＤＤＨＥ（Decisional Diffie-Hellman Exponent）仮定を用いる。

　また、秘密鍵の漏洩を抑制するための技術として、ＤＫＧ（Distributed Key Generation：分散鍵生成）がある。非特許文献２及び非特許文献３は、笠原・境方式に対するＤＫＧを提案している。ここで、非特許文献２及び非特許文献３についてはＩＤベース暗号（ＩＢＥ）に関する技術であり、ＩＤベース代理人再暗号化（ＩＢ－ＰＲＥ）に関する技術ではない。したがって、非特許文献２及び非特許文献３にかかる秘密鍵の形式が、非特許文献１に関するようなＩＢ－ＰＲＥにかかる秘密鍵の形式と異なる。したがって、非特許文献１に関する技術と、非特許文献２及び非特許文献３に関する技術とを単純に組み合わせることは、極めて困難である。これに対し、以下に説明するように、本実施の形態では、ＩＤベース代理人再暗号化において、ＤＫＧを実現している。したがって、本実施の形態では、ＩＤベース代理人再暗号化の技術において鍵発行機関が悪意を持っている場合であっても鍵発行機関によって暗号文が復号されることを抑制することが可能となる。

（本実施の形態で適用される原理）
　ここで、本実施の形態で適用される原理について説明する。
　本実施の形態では、ＤＫＧを実現するにあたり、秘密分散をベースとしたマルチパーティ計算（ＭＰＣ：Multiparty Computation）を用いる。また、秘密分散の手法として、シャミアの秘密分散法（Shamir's Secret Sharing scheme：ＳＳＳ）を用いる。なお、これらはあくまでも例示であって、ＤＫＧを実現する方法は、上記に限定されない。

　シャミアの秘密分散法は、（ｔ,ｎ）閾値秘密分散の一種である。ここで、ｎは参加者Ｐ_ｉの総数であり、ｔ（＜ｎ）は閾値（threshold values）である。秘密情報を参加者Ｐ_ｉそれぞれに分散することで、各参加者は、シェア（share：分散値）を得る。そして、任意のｔ個以上のシェアが集まると秘密を復元することができる。

　素数ｐ上の（ｔ－１）次の多項式をｆとする。ただし、ｆ（０）＝ｓとする。ここで、ｆは、多項式補完にかかる多項式である。また、ｓ∈Ｚ_ｐは、秘密にしたい値（秘密値）である。なお、Ｚ_ｐは、０～ｐ－１の値の集合である。また、参加者Ｐ_ｉ（ｉ＝１，・・・，ｎ）のｓのシェアを、［ｓ］_ｉ＝ｆ（ｉ）と表記する。また、ｓのシェアを［ｓ］＝（［ｓ］_１，・・・，［ｓ］_ｎ）と表記する。ここで、［ｓ］は、秘密値ｓが参加者全員に分散された状態を示しているとも言える。また、［ｓ］_ｉは、秘密値ｓを分散した際の、参加者Ｐ_ｉが有する値（分散値）を示している。なお、説明の便宜上、以下の説明では、シェア［ｓ］を、ｓが各参加者に分散された分散値［ｓ］_ｉ，・・・［ｓ］_ｎを区別しないで示す場合に使用することがある。

　ここで、ｃ，ｃ_１，ｃ_２∈Ｚ_ｐとしたとき、以下の式が成立する。これらは、参加者間の通信なしで計算され得る。
　・線形性（シェア同士の加算）：［ｃ_１ａ＋ｃ_２ｂ］＝ｃ_１［ａ］＋ｃ_２［ｂ］
　・定数倍：［ｃａ］＝ｃ［ａ］
　・定数加算：［ｃ＋ａ］＝ｃ＋［ａ］
　例えば、参加者Ｐ_ｊの動作のみに注目すると、上記の定数倍の式は、［ｃａ］_ｊ＝ｃ［ａ］_ｊと表記される。

　シャミアの秘密分散法において、秘密値の分散は、以下のようにして行われる。すなわち、ｉｎｐｕｔ　ｄｅａｌｅｒ（参加者Ｐの１つ）が秘密値ｓに対して多項式ｆをランダムに選び、参加者Ｐ_ｉに［ｓ］_ｉ（＝ｆ（ｉ））を送信する。これにより、ｓが各参加者に分散される。

　また、シャミアの秘密分散法において、秘密値の復元は、以下のようにして行われる。すなわち、ｒｅｃｏｎｓｔｒｕｃｔｉｎｇ　ｐａｒｔｙは、各参加者Ｐ_ｉから［ｓ］_ｉをｔ個受信する。そして、ｒｅｃｏｎｓｔｒｕｃｔｉｎｇ　ｐａｒｔｙは、多項式補完により、以下の式（１）を用いて、秘密値ｓを復元する。

　　・・・（１）

　ここで、λ_ｉは、ラグランジュ係数であり、以下の式（２）で表される。

　　・・・（２）

　なお、（ｔ,ｎ）閾値秘密分散のシェアを［ｓ］、（ｔ’,ｎ’）閾値秘密分散のシェアを以下の式（３）のように表す。

　　・・・（３）

　なお、表記の便宜上、式（３）を「[[ｓ]］」と表記する。このとき、参加者Ｐ_ｉは、λ_ｉ［ｓ］_ｉを秘密として、[[λ_ｉ［ｓ］_ｉ]]として再分散してもよい。そして、Σ[[λ_ｉ［ｓ］_ｉ]]として、閾値及び参加者数をそれぞれｔ，ｎからｔ’，ｎ’に変更してもよい。なお、これは、変更前の古いシェアを安全に削除しているなどの仮定の下で実現され得ることに留意されたい。

　また、本実施の形態におけるマルチパーティ計算において、秘密値の分散の関数として、ＳＳＳの「Ｓｈａｒｅ（）」を用いる。つまり、以下の式（４）のように、ａの分散が行われる。なお、ｉは、ｉｎｐｕｔ　ｄｅａｌｅｒである参加者Ｐ_ｉの添え字（インデックス）に対応する。また、ａは秘密値である。

　　・・・（４）

　また、秘密値の復元の関数として、ＳＳＳの「Ｏｐｅｎ（）」を用いる。つまり、以下の式（５）のように、ａの復元が行われる。

　　・・・（５）

　また、本実施の形態において、シェア同士の乗算を行うための関数として、「Ｍｕｌｔ（）」を用いる。つまり、以下の式（６）のように、秘密値ａのシェア［ａ］と秘密値ｂのシェア［ｂ］との乗算が行われる。

　　・・・（６）

　なお、Ｍｕｌｔ（）は、種々の方法で実現できる。例えば、非特許文献４に示される方法でＭｕｌｔ（）を実現してもよい。なお、Ｍｕｌｔ（）を実現する場合、参加者間で通信を行うことが必要となる。また、例えば、Ｍｕｌｔ（）は、以下のステップで実現されてもよいが、これに限定されない。

ステップＡ１：
　参加者Ｐ_ｉ（ｆｏｒ　ｉ＝１，・・・，ｎ）は、以下の式（７）によりｃ_ｉを計算して、ｃ_ｉを分散して、ｃ_ｉのシェア［ｃ_ｉ］を計算する。そして、参加者Ｐ_ｉは、シェア［ｃ_ｉ］（＝［ｃ_ｉ］_１，・・・，［ｃ_ｉ］_ｎ）を他の参加者に送信する。

　　・・・（７）

ステップＡ２：
　以下の式（８）を計算することにより、［ａ］と［ｂ］との乗算の結果である［ｃ］が得られる。

　　・・・（８）

　なお、［ａ］_ｉ＝ｆ（ｉ）、［ｂ］_ｉ＝ｇ（ｉ）である。また、ｆ，ｇは、（ｔ－１）次の多項式である。また、ｆ（ｉ）ｇ（ｉ）＝ｈ（ｉ）とする。このとき、ｈは（２ｔ－２）次の多項式である。また、ｆ（０）＝ａ、ｇ（０）＝ｂであるので、ｈ（０）＝ａｂとなる。したがって、上記の式（８）が成り立つ。

　また、本実施の形態では、ペアリング（双線形写像）を用いる。本実施の形態では、以下で説明するようなペアリングの条件下で計算が行われる。
　Ｇ，Ｇ_Ｔをそれぞれ位数ｐ（ｐは十分に大きい素数）の乗法巡回群とする。このとき、ｇ∈ＧはＧのｇｅｎｅｒａｔｏｒ（生成元）である。ｇは、例えば楕円曲線上の有理点であるが、これに限定されない。Ｇは、例えば楕円曲線上の有理点である生成元によって構成される集合であるが、これに限定されない。また、Ｇ_Ｔは、例えば、拡大体の要素の集合であるが、これに限定されない。

　また、双線形写像ｅ：Ｇ×Ｇ→Ｇ_Ｔは、以下の性質を満たす。
　・双線形性：ｅ（ｇ_１ ^ａ，ｇ_２ ^ｂ）＝ｅ（ｇ_１，ｇ_２）^ａｂ
　　但し、ａ，ｂは、Ｚ_ｐ ^＊からランダムに選択した任意の値である。また、ｇ_１，ｇ_２∈Ｇである。また、Ｚ_ｐ ^＊は、１～ｐ－１の値の集合である。
　・非退化性：ｅ（ｇ，ｇ）≠１
　・計算効率性：任意のｇ_１，ｇ_２∈Ｇに対して、ｅ（ｇ_１，ｇ_２）を計算する効率の良いアルゴリズム（多項式時間アルゴリズム）が存在する。
　なお、ｅ（ｇ_１，ｇ_２）は位数ｐの乗法巡回群Ｇ_Ｔの要素（元）である。

　ここで、暗号方式を構成する際にペアリングを使う概略を簡単に説明する。例えば、公開鍵としてｇ^ｔ，ｅ（ｇ，ｇ）^ｓｔがあり、マスタ秘密鍵がｓであるとする。このとき、ｇ^ｔ，ｅ（ｇ，ｇ）^ｓｔからはｔ，ｓｔを計算することができないことに留意されたい。このとき、暗号文作成者は、ｍ・ｅ（ｇ，ｇ）^ｓｔとして、平文ｍの暗号文を作成する。

　ここで、鍵発行機関は、マスタ秘密鍵の漏洩を防ぐためｓをユーザに直接渡すことはできないが、ｓに関連する何らかの値を渡さないと、ユーザが暗号文を復号することはできない。したがって、鍵発行機関は、例えば秘密鍵として、ｇ^ｓのような形式の値を、ユーザに渡す。このとき、ｇ^ｓからｓを計算することはできないことに留意されたい。

　ユーザはｇ^ｓからｓを計算することができないので、ｍ・ｅ（ｇ，ｇ）^ｓｔからｍを復号できないように思われる。しかしながら、ユーザは、ペアリングによって、公開鍵ｇ^ｔ及び秘密鍵ｇ^ｓを用いて、ｔ及びｓが未知の状態でも、ｅ（ｇ^ｔ，ｇ^ｓ）＝ｅ（ｇ，ｇ）^ｓｔを計算することができる。すなわち、ペアリングを用いることによって、ｇ^ｘ，ｇ^ｙからｘ，ｙを計算できない状態であっても、ｅ（ｇ，ｇ）^ｘｙとして指数の箇所でｘｙのような演算することができる。

（実施の形態１）
　以下、実施の形態について、図面を参照しながら説明する。説明の明確化のため、以下の記載及び図面は、適宜、省略、及び簡略化がなされている。また、各図面において、同一の要素には同一の符号が付されており、必要に応じて重複説明は省略されている。

　図５は、実施の形態１にかかる情報処理システム５０の構成を示す図である。情報処理システム５０は、複数の鍵発行装置１００－１～１００－ｎ（ｎは２以上の整数）と、暗号化装置６０と、複数のユーザ装置２００と、再暗号化装置３００とを有する。鍵発行装置１００、暗号化装置６０、ユーザ装置２００及び再暗号化装置３００は、有線又は無線を介して互いに通信可能に接続されている。

　情報処理システム５０を構成する各装置は、例えばコンピュータによって実現され得る。情報処理システム５０は、上記の装置によって、ＩＢ－ＰＲＥにおいて、ＤＫＧを実現する。詳しくは後述する。なお、情報処理システム５０は、公開鍵及び秘密鍵を生成する鍵生成システム（鍵発行システム）としても機能し得る。

　鍵発行装置１００は、上述した鍵発行機関により管理され得る。鍵発行装置１００－ｉ（ｉ＝１，・・・，ｎ）は、上述した秘密分散における参加者Ｐ_ｉに対応する。鍵発行装置１００は、分散マスタ秘密鍵を少なくとも生成し、分散マスタ秘密鍵とユーザの識別情報とを用いて、ユーザ秘密鍵が分散された状態の分散ユーザ秘密鍵を生成するように構成されている。そして、鍵発行装置１００は、分散ユーザ秘密鍵をユーザのユーザ装置に送信する。ここで、分散マスタ秘密鍵は、マスタ秘密鍵が仮想的に分散された状態にあるものであるとも言える。なお、本実施の形態では、実際にはマスタ秘密鍵は生成されないことに留意されたい。また、分散マスタ秘密鍵は、複数の鍵発行装置１００に分散された状態となっており、分散ユーザ秘密鍵を生成するための要素を含む。また、分散ユーザ秘密鍵は、複数の鍵発行装置１００に分散されており、複数の鍵発行装置１００から得られる当該分散ユーザ秘密鍵を用いてユーザ秘密鍵が取得されるように構成されている。詳しくは後述する。

　暗号化装置６０は、暗号文を作成するように構成されている。具体的には、暗号化装置６０は、平文ｍを暗号化して暗号文Ｃを作成する。なお、暗号化装置６０は、ユーザ装置２００と一体であってもよい。この場合、例えば、ユーザＡのユーザ装置２００Ａが、暗号化装置６０として機能してもよい。

　ユーザ装置２００は、上述したユーザによって管理され得る。図５の例では、ユーザ装置２００Ａ～２００Ｄは、それぞれ、ユーザＡ～Ｄによって管理され得る。なお、図５には４つのユーザ装置２００が示されているが、ユーザ装置２００の数は任意である。ユーザ装置２００それぞれは、複数の鍵発行装置１００から得られる当該分散ユーザ秘密鍵を用いて、当該ユーザ装置２００を管理するユーザのユーザ秘密鍵を生成するように構成されている。また、ユーザ装置２００は、ユーザ秘密鍵を用いて再暗号化鍵（変換鍵）を生成するように構成されている。また、ユーザ装置２００は、当該ユーザ装置２００に関するユーザ秘密鍵を用いて、暗号文を復号して平文を取得するように構成されている。詳しくは後述する。

　再暗号化装置３００は、上述した代理人によって管理され得る。再暗号化装置３００は、例えば、上述したプロキシサーバ又はゲートウェイサーバで構成され得る。再暗号化装置３００は、再暗号化鍵を用いて、複数のユーザ装置２００の第１のユーザ装置に関するユーザ秘密鍵で復号可能な暗号文を、復号することなしに再暗号化するように構成されている。つまり、再暗号化装置３００は、再暗号化鍵を用いて、第１のユーザ装置に関するユーザ秘密鍵で復号可能な暗号文を、第２のユーザ装置に関するユーザ秘密鍵で復号可能な暗号文に変換する。この場合、この再暗号化鍵は、第１のユーザ装置で復号可能な暗号文を複数のユーザ装置２００の第２のユーザ装置で復号可能とするための変換鍵である。このとき、第２のユーザ装置は、当該第２のユーザ装置に関するユーザ秘密鍵を用いて、再暗号化された暗号文を復号する。詳しくは後述する。

　例えば、図４の例において、ユーザＡのユーザ装置２００Ａを第１のユーザ装置とし、ユーザＢのユーザ装置２００Ｂを第２のユーザ装置とする。このとき、再暗号化装置３００は、再暗号化鍵Ｋ_Ａ→Ｂを用いて、暗号文Ｃａを、暗号文Ｃｂに変換（再暗号化）する。ユーザ装置２００Ｂは、再暗号化された暗号文である暗号文Ｃｂを、ユーザＢのユーザ秘密鍵を用いて復号する。

　図６は、実施の形態１にかかる鍵発行装置１００の構成を示す図である。鍵発行装置１００は、構成要素として、乱数生成部１０２と、分散部１０４と、乱数シェア取得部１０６と、シェア乗算部１０８と、復元部１１０と、シェア記憶部１１２とを有する。また、鍵発行装置１００は、構成要素として、分散マスタ鍵生成部１２０と、マスタ公開鍵生成部１３０と、分散ユーザ秘密鍵生成部１４０と、送信部１５０とを有する。乱数生成部１０２は、分散マスタ鍵生成部１２０、マスタ公開鍵生成部１３０及び分散ユーザ秘密鍵生成部１４０から呼び出されるサブルーチンとして構成されてもよい。同様に、分散部１０４、乱数シェア取得部１０６、シェア乗算部１０８、復元部１１０及びシェア記憶部１１２は、分散マスタ鍵生成部１２０、マスタ公開鍵生成部１３０及び分散ユーザ秘密鍵生成部１４０から呼び出されるサブルーチンとして構成されてもよい。

　乱数生成部１０２は、乱数生成手段としての機能を有する。分散部１０４は、分散手段としての機能を有する。乱数シェア取得部１０６は、乱数シェア取得手段としての機能を有する。シェア乗算部１０８は、シェア乗算手段としての機能を有する。復元部１１０は、復元手段としての機能を有する。分散マスタ鍵生成部１２０は、分散マスタ鍵生成手段としての機能を有する。マスタ公開鍵生成部１３０は、マスタ公開鍵生成手段としての機能を有する。分散ユーザ秘密鍵生成部１４０は、分散ユーザ秘密鍵生成手段としての機能を有する。送信部１５０は、送信手段としての機能を有する。

　乱数生成部１０２は、乱数を生成するように構成されている。また、乱数生成部１０２は、秘匿される乱数の要素となる乱数要素を生成する。分散部１０４は、乱数（乱数要素）に対して秘密分散を行うように構成されている。分散部１０４は、例えば、上述した式（４）で示される関数を用いて秘密分散を行って、乱数要素のシェア（分散値）を取得してもよい。分散部１０４は、取得された乱数要素のシェア（分散値）を、他の鍵発行装置１００に対して送信する。

　乱数シェア取得部１０６は、複数の鍵発行装置１００から受信した複数の乱数要素のシェアを用いて乱数のシェアを取得するように構成されている。乱数シェア取得部１０６は、複数の鍵発行装置１００から受信した複数の乱数要素のシェア（分散値）を合計することによって乱数のシェアを取得してもよい。シェア乗算部１０８は、シェア同士の乗算を行うように構成されている。シェア乗算部１０８は、例えば、上述した式（６）で示される関数を用いて、シェア同士の乗算を行ってもよい。復元部１１０は、ある値（秘密値）のシェアに対して復元を行って、その値を取得する。復元部１１０は、例えば、上述した式（５）で示される関数を用いて、復元を行ってもよい。シェア記憶部１１２は、シェアに関する演算の過程で取得されたシェア（分散値）を記憶する。シェア記憶部１１２は、後述するＳ１２０～Ｓ１４０の処理で取得されるシェア（分散値）を記憶する。シェア記憶部１１２は、シェア（分散値）を一時的に記憶してもよい。

　分散マスタ鍵生成部１２０は、複数の鍵発行装置１００に分散された状態の分散マスタ秘密鍵を少なくとも生成するように構成されている。分散マスタ鍵生成部１２０は、複数の鍵発行装置１００に分散された状態の分散マスタ公開鍵を生成してもよい。詳しくは後述する。マスタ公開鍵生成部１３０は、マスタ公開鍵を生成するように構成されている。詳しくは後述する。分散ユーザ秘密鍵生成部１４０は、分散マスタ秘密鍵とユーザの識別情報とを用いて、分散ユーザ秘密鍵を生成するように構成されている。詳しくは後述する。送信部１５０は、分散ユーザ秘密鍵を、上記の識別情報に対応するユーザのユーザ装置２００に送信するように構成されている。

　図７は、実施の形態１にかかるユーザ装置２００の構成を示す図である。ユーザ装置２００は、ユーザ秘密鍵生成部２１０と、ユーザ秘密鍵記憶部２２０と、再暗号化鍵生成部２３０と、復号部２４０とを有する。ユーザ秘密鍵生成部２１０は、ユーザ秘密鍵生成手段としての機能を有する。ユーザ秘密鍵記憶部２２０は、ユーザ秘密鍵記憶手段としての機能を有する。再暗号化鍵生成部２３０は、再暗号化鍵生成手段としての機能を有する。復号部２４０は、復号手段としての機能を有する。

　ユーザ秘密鍵生成部２１０は、複数の鍵発行装置１００から得られる分散ユーザ秘密鍵を用いて、当該ユーザ装置２００を管理するユーザのユーザ秘密鍵を生成するように構成されている。詳しくは後述する。ユーザ秘密鍵記憶部２２０は、生成されたユーザ秘密鍵を記憶するように構成されている。

　再暗号化鍵生成部２３０は、ユーザ秘密鍵を用いて再暗号化鍵を生成するように構成されている。例えば、ユーザ装置２００Ａの再暗号化鍵生成部２３０は、ユーザＡのユーザ秘密鍵Ｋ_Ａを用いて、再暗号化鍵（変換鍵）Ｋ_Ａ→Ｂ，Ｋ_Ａ→Ｃ，Ｋ_Ａ→Ｄを生成する。詳しくは後述する。復号部２４０は、当該ユーザ装置２００に関するユーザ秘密鍵を用いて、暗号文を復号して平文を取得するように構成されている。詳しくは後述する。

　図８は、実施の形態１にかかる再暗号化装置３００の構成を示す図である。再暗号化装置３００は、再暗号化鍵記憶部３１０と、暗号文記憶部３２０と、再暗号化部３３０とを有する。再暗号化鍵記憶部３１０は、再暗号化鍵記憶手段としての機能を有する。暗号文記憶部３２０は、暗号文記憶手段としての機能を有する。再暗号化部３３０は、再暗号化手段としての機能を有する。

　再暗号化鍵記憶部３１０は、ユーザ装置２００で生成された再暗号化鍵を記憶する。暗号文記憶部３２０は、暗号化装置６０で生成された暗号文を記憶する。再暗号化部３３０は、再暗号化鍵を用いて、複数のユーザ装置２００の第１のユーザ装置に関するユーザ秘密鍵で復号可能な暗号文を、復号することなしに再暗号化するように構成されている。つまり、再暗号化部３３０は、再暗号化鍵を用いて、第１のユーザ装置に関するユーザ秘密鍵で復号可能な暗号文を、第２のユーザ装置に関するユーザ秘密鍵で復号可能な暗号文に変換（再暗号化）する。詳しくは後述する。

　図９～図１２は、実施の形態１にかかる情報処理システム５０で実行される処理を示すフローチャートである。図９は、情報処理システム５０で実行される情報処理方法（鍵発行方法、鍵生成方法）を示す。また、図９において、Ｓ１２０～Ｓ１６０は、鍵発行装置１００で実現される鍵発行方法（鍵生成方法）を示す。

　情報処理システム５０は、大域パラメータｇｐａｒａｍを設定する（ステップＳ１０２）。Ｓ１０２において、情報処理システム５０は、「Ｇｌｏｂａｌ　Ｓｅｔｕｐ」を行う。大域パラメータｇｐａｒａｍは、情報処理システム５０内で公開され得る。なお、大域パラメータの設定は、鍵発行装置１００のいずれかによって行われてもよいし、標準化機関によって管理される装置（図示せず）によって行われてもよい。

　具体的には、情報処理システム５０は、セキュリティパラメータλを用いて、大域パラメータｇｐａｒａｍ＝（ｐ，Ｇ，ｅ，ｇ，Ｈ）を設定する。ここで、ｐは素数である。Ｇは、位数ｐの乗法巡回群である。ｅは、双線形写像であり、ｅ：Ｇ×Ｇ→Ｇ_Ｔである。ｇはＧの生成元であり、ｇ∈Ｇである。Ｈはハッシュ関数であり、Ｈ：Ｇ_Ｔ→Ｚ_ｐである。なお、非特許文献１では、Ｇの要素（元）であるｈを大域パラメータ（公開パラメータ）として設定していたが、本実施の形態では、ｈは公開されない。ｈが公開されると、攻撃者によって暗号文から平文が取得されてしまう可能性があるからである。

　複数の鍵発行装置１００それぞれの分散マスタ鍵生成部１２０は、分散マスタ鍵を生成する（ステップＳ１２０）。Ｓ１２０において、鍵発行装置１００は、「Ｄｉｓｔｒｉｂｕｔｅ　Ｓｅｔｕｐ」を行う。鍵発行装置１００－ｉ（ｉ＝１，・・・，ｎ）は、後述するように、大域パラメータｇｐａｒａｍを用いて、分散マスタ鍵（ｍｐｋ_ｉ，ｍｓｋ_ｉ）を生成する。ここで、ｍｐｋ_ｉは、分散マスタ公開鍵である。また、ｍｓｋ_ｉは、分散マスタ秘密鍵である。つまり、分散マスタ鍵（ｍｐｋ_ｉ，ｍｓｋ_ｉ）は、分散マスタ公開鍵ｍｐｋ_ｉと分散マスタ秘密鍵ｍｓｋ_ｉとの組である。

　複数の鍵発行装置１００－１～１００－ｎがそれぞれ分散マスタ鍵を生成することにより、分散マスタ鍵の集合である｛（ｍｐｋ_ｉ，ｍｓｋ_ｉ）｝＝｛（ｍｐｋ_１，ｍｓｋ_１），・・・，（ｍｐｋ_ｎ，ｍｓｋ_ｎ）｝が生成される。つまり、分散マスタ公開鍵ｍｐｋ_１～ｍｐｋ_ｎは、複数の鍵発行装置１００に分散された状態となっている。同様に、分散マスタ秘密鍵ｍｓｋ_１～ｍｓｋ_ｎは、複数の鍵発行装置１００に分散された状態となっている。複数の鍵発行装置１００－１～１００－ｎは、協調して、分散マスタ鍵｛（ｍｐｋ_ｉ，ｍｓｋ_ｉ）｝を生成する。

　図１０は、図９のＳ１２０の処理を示すフローチャートである。図１０は、実施の形態１にかかる分散マスタ鍵生成部１２０の処理を示す。なお、以下の説明では、鍵発行装置１００－ｉの分散マスタ鍵生成部１２０の処理について述べるが、他の鍵発行装置１００についても同様の処理が行われる。つまり、鍵発行装置１００－ｉ（ｉ＝１，・・・，ｎ）について、同様の処理が行われる。このことは、他の処理においても同様である。

　分散マスタ鍵生成部１２０は、乱数要素を生成する（ステップＳ１２２）。つまり、鍵発行装置１００－ｉの分散マスタ鍵生成部１２０は、乱数要素α_ｉ，β_ｉを生成する。なお、分散マスタ鍵生成部１２０は、上述した乱数生成部１０２によって、Ｓ１２２の処理を行ってもよい。ここで、α_ｉ，β_ｉ∈Ｚ_ｐである。また、乱数要素α_ｉ（第１の乱数要素）は、乱数α（第１の乱数）の要素となる。また、乱数要素β_ｉ（第２の乱数要素）は、乱数β（第２の乱数）の要素となる。なお、乱数α，βの値は、各鍵発行装置１００に対して秘匿される、つまり各鍵発行装置１００に知られないようにされていることに、留意されたい。

　分散マスタ鍵生成部１２０は、乱数要素を秘密分散する（ステップＳ１２４）。つまり、鍵発行装置１００－ｉの分散マスタ鍵生成部１２０は、乱数要素α_ｉ，β_ｉを秘密分散する。なお、分散マスタ鍵生成部１２０は、上述した分散部１０４によって、Ｓ１２４の処理を行ってもよい。分散マスタ鍵生成部１２０は、乱数要素α_ｉ，β_ｉに対して秘密分散を行い、秘密分散によって得られた乱数要素α_ｉのシェア［α_ｉ］（分散値）と乱数要素β_ｉのシェア［β_ｉ］（分散値）とを他の鍵発行装置１００に対して送信する。

　具体的には、鍵発行装置１００－ｉの分散マスタ鍵生成部１２０は、以下の式（９）によって、乱数要素α_ｉのシェア［α_ｉ］（分散値）を生成する。

　　・・・（９）

　同様に、鍵発行装置１００－ｉの分散マスタ鍵生成部１２０は、以下の式（１０）によって、乱数要素β_ｉのシェア［β_ｉ］（分散値）を生成する。

　　・・・（１０）

　そして、鍵発行装置１００－ｉの分散マスタ鍵生成部１２０は、生成されたシェア［α_ｉ］（分散値）及びシェア［β_ｉ］（分散値）を、他の鍵発行装置１００に送信する。具体的には、鍵発行装置１００－ｉの分散マスタ鍵生成部１２０は、鍵発行装置１００－ｊ（ｊ＝１，・・・，ｎ）に対して、分散値［α_ｉ］_ｊ及び［β_ｉ］_ｊを送信する。これにより、［α_ｉ］＝（［α_ｉ］_１，・・・，［α_ｉ］_ｎ）という状態、及び、［β_ｉ］＝（［β_ｉ］_１，・・・，［β_ｉ］_ｎ）という状態が生成される。また、他の鍵発行装置１００においても同様の処理が行われる。したがって、鍵発行装置１００－ｉは、複数の鍵発行装置１００から、［α_１］_ｉ，・・・，［α_ｎ］_ｉ、及び、［β_１］_ｉ，・・・，［β_ｎ］_ｉを取得する。

　分散マスタ鍵生成部１２０は、乱数α，βのシェア［α］，［β］（分散値）を取得する（ステップＳ１２６）。分散マスタ鍵生成部１２０は、上述した乱数シェア取得部１０６によって、Ｓ１２６の処理を行ってもよい。分散マスタ鍵生成部１２０は、複数の鍵発行装置１００から取得した第１の乱数要素のシェア（分散値）を用いて乱数α（第１の乱数）のシェア［α］（分散値）を取得する。同様に、分散マスタ鍵生成部１２０は、複数の鍵発行装置１００から取得した第２の乱数要素のシェア（分散値）を用いて乱数β（第２の乱数）のシェア［β］（分散値）を取得する。

　具体的には、分散マスタ鍵生成部１２０は、複数の鍵発行装置１００から取得した第１の乱数要素のシェア（分散値）を合計して、乱数α（第１の乱数）のシェア［α］（分散値）を取得する。同様に、分散マスタ鍵生成部１２０は、複数の鍵発行装置１００から取得した第２の乱数要素のシェア（分散値）を合計して、乱数β（第２の乱数）のシェア［β］（分散値）を取得する。

　つまり、分散マスタ鍵生成部１２０は、以下の式（１１）及び式（１２）によって、それぞれシェア［α］，［β］（分散値）を生成する。

　・・・（１１）

　・・・（１２）

　鍵発行装置１００－ｉに着目すると、分散マスタ鍵生成部１２０は、複数の鍵発行装置１００から取得した乱数要素α_ｊ（ｊ＝１，・・・，ｎ）の分散値［α_ｊ］_ｉを合計して、乱数αの分散値（シェア）［α］_ｉを取得する。つまり、分散マスタ鍵生成部１２０は、以下の式（１３）によって、分散値［α］_ｉを生成する。

　　・・・（１３）

　同様に、分散マスタ鍵生成部１２０は、複数の鍵発行装置１００から取得した乱数要素β_ｊ（ｊ＝１，・・・，ｎ）の分散値［β_ｊ］_ｉを合計して、乱数βの分散値（シェア）［β］_ｉを取得する。つまり、分散マスタ鍵生成部１２０は、以下の式（１４）によって、分散値［β］_ｉを生成する。

　　・・・（１４）

　分散マスタ鍵生成部１２０は、分散マスタ鍵を生成する（ステップＳ１２８）。具体的には、分散マスタ鍵生成部１２０は、取得されたシェア［α］，［β］（分散値）に基づいて、分散マスタ鍵を生成する。鍵発行装置１００－ｉの分散マスタ鍵生成部１２０は、取得されたシェア［α］，［β］（分散値［α］_ｉ，［β］_ｉ）に基づいて、分散マスタ鍵（ｍｐｋ_ｉ，ｍｓｋ_ｉ）を生成する。つまり、分散マスタ鍵生成部１２０は、第１の乱数αのシェア［α］（分散値）と第２の乱数βのシェア［β］（分散値）とに基づいて、複数の鍵発行装置１００に分散された状態の分散マスタ公開鍵を生成する。また、分散マスタ鍵生成部１２０は、第１の乱数αが分散された状態の第１の乱数のシェア［α］（分散値）と、第２の乱数βが分散された状態の第２の乱数のシェア［β］（分散値）とに基づいて、分散された状態の分散マスタ秘密鍵を生成する。

　さらに具体的には、鍵発行装置１００－ｉの分散マスタ鍵生成部１２０は、以下の式（１５）により、分散マスタ公開鍵ｍｐｋ_ｉを生成する。

　　・・・（１５）

　また、鍵発行装置１００－ｉの分散マスタ鍵生成部１２０は、以下の式（１６）により、分散マスタ秘密鍵ｍｓｋ_ｉを生成する。

　　・・・（１６）

　上述した分散マスタ鍵生成部１２０の処理によって、どの鍵発行装置１００（鍵発行機関）にも乱数α，βの値を知らせずに、複数の鍵発行装置１００－１～１００－ｎに乱数α，βが分散された状態を実現することができる。すなわち、図４の例のように、鍵を分散して生成しない場合は、単一の鍵発行機関（鍵発行装置）が乱数α，βを生成するだけでよい。これに対し、鍵を分散して生成する場合、秘密鍵の漏洩を抑制するという目的を達成するためには、どの鍵発行装置１００（鍵発行機関）も乱数α，βを知ってはいけない。したがって、Ｓ１２２の処理において、各鍵発行装置１００－ｉ（ｉ＝１，・・・，ｎ）は、乱数要素α_ｉ，β_ｉを生成し、Ｓ１２４の処理において乱数要素α_ｉ，β_ｉを秘密分散する。そして、Ｓ１２６の処理によって、各鍵発行装置１００－ｉは、乱数α，βのシェア［α］，［β］（分散値）を生成する。このような処理により、どの鍵発行装置１００（鍵発行機関）も乱数α，βの値を知らずに、乱数α，βが分散した状態を実現することができる。そして、どの鍵発行装置１００（鍵発行機関）に対しても乱数α，βが秘匿された状態で、各鍵発行装置１００は、乱数α，βのシェア（分散値）を用いて、分散マスタ鍵を生成することができる。

　図９の説明に戻る。複数の鍵発行装置１００それぞれのマスタ公開鍵生成部１３０は、マスタ公開鍵を生成する（ステップＳ１３０）。Ｓ１３０において、鍵発行装置１００は、「Ｄｉｓｔｒｉｂｕｔｅ　ＰＫＧ（Public Key Generation）」を行う。上述したように、Ｓ１２０の処理で、複数の鍵発行装置１００－１～１００－ｎにより、分散マスタ公開鍵の集合｛ｍｐｋ_ｉ｝＝｛ｍｐｋ_１，・・・，ｍｐｋ_ｎ｝が生成される。鍵発行装置１００－ｉ（ｉ＝１，・・・，ｎ）は、大域パラメータｇｐａｒａｍ及び分散マスタ公開鍵の集合｛ｍｐｋ_ｉ｝を用いて、マスタ公開鍵ｍｐｋを生成する。つまり、マスタ公開鍵生成部１３０は、複数の鍵発行装置１００－１～１００－ｎから取得した分散マスタ公開鍵に基づいて、マスタ公開鍵を生成する。

　図１１は、図９のＳ１３０の処理を示すフローチャートである。図１１は、実施の形態１にかかるマスタ公開鍵生成部１３０の処理を示す。マスタ公開鍵生成部１３０は、分散マスタ公開鍵を送信する（ステップＳ１３２）。具体的には、鍵発行装置１００－ｉ（ｉ＝１，・・・，ｎ）のマスタ公開鍵生成部１３０は、上述した式（１５）で示される分散マスタ公開鍵ｍｐｋ_ｉを、全ての鍵発行装置１００に送信（ブロードキャスト）する。なお、マスタ公開鍵生成部１３０は、マスタ公開鍵が必要な装置（暗号化装置６０、ユーザ装置２００又は鍵発行装置１００）に、分散マスタ公開鍵を送信してもよい。

　マスタ公開鍵生成部１３０は、マスタ公開鍵を生成する（ステップＳ１３４）。具体的には、マスタ公開鍵生成部１３０は、複数の鍵発行装置１００から取得した分散マスタ公開鍵｛ｍｐｋ_ｉ｝＝｛ｍｐｋ_１，・・・，ｍｐｋ_ｎ｝＝｛（ｇ＾（［α］_ｉ），ｅ（ｇ，ｇ）＾（［β］_ｉ））｝を用いて、マスタ公開鍵を生成する。このとき、後述するように、マスタ公開鍵生成部１３０は、上述した式（５）で示される関数を用いて、シェア［α］，［β］に対して復元を行うことによって、マスタ公開鍵ｍｐｋ＝（ｇ^α，ｅ（ｇ，ｇ）^β）を生成する。マスタ公開鍵生成部１３０は、上述した復元部１１０によって、Ｓ１３４の処理を行ってもよい。

　さらに具体的には、マスタ公開鍵生成部１３０は、以下の式（１７）及び式（１８）によって、マスタ公開鍵ｍｐｋを生成する。なお、このような処理により、各鍵発行装置１００で、同じマスタ公開鍵が生成され得る。このようにして、ｇのべき乗及びｅ（ｇ，ｇ）のべき乗それぞれの指数部分で復元を行うことによって、どの鍵発行装置１００（鍵発行機関）も乱数α，βを知らないまま、マスタ公開鍵ｍｐｋ＝（ｇ^α，ｅ（ｇ，ｇ）^β）が生成され得る。

　　・・・（１７）

　　・・・（１８）

　なお、マスタ公開鍵生成部１３０は、全ての鍵発行装置１００－１～１００－ｎからｎ個全ての｛［α］_ｉ｝＝｛［α］_１，・・・，［α］_ｎ｝を取得して式（１７）に示す計算を行う必要はない。マスタ公開鍵生成部１３０は、ｔ個以上の［α］_ｉ（αの分散値）を取得することで、ｇ^αを生成することができる。同様に、マスタ公開鍵生成部１３０は、全ての鍵発行装置１００－１～１００－ｎからｎ個全ての｛［β］_ｉ｝＝｛［β］_１，・・・，［β］_ｎ｝を取得して式（１８）に示す計算を行う必要はない。マスタ公開鍵生成部１３０は、ｔ個以上の［β］_ｉ（βの分散値）を取得することで、ｅ（ｇ，ｇ）^βを生成することができる。

　なお、本実施の形態では、非特許文献１の技術で公開されていたパラメータｈについて、ｈ＝ｇ^βとみなす。このとき、上述したペアリングの双線形性から、以下の式（１９）が成り立つ。

　　・・・（１９）

　上述したように、非特許文献１の技術では、上記のｈが公開される。すなわち、非特許文献１の技術では、公開パラメータとして、（ｇ，ｇ_１，ｈ，Ｈ）が公開される。なお、ｇ_１＝ｇ^αであることに留意されたい。一方、本実施の形態では、ｈではなく、ｅ（ｇ，ｈ）（＝ｅ（ｇ，ｇ）^β）が公開される。すなわち、本実施の形態では、公開パラメータとして、（ｇ，ｇ_１，ｅ（ｇ，ｈ），Ｈ）が公開される。したがって、本実施の形態では、ｈが公開されないので、上述したような攻撃者からの攻撃を抑制することができる。なお、ｅ（ｇ，ｈ）＝ｅ（ｇ，ｇ）の場合、ｈ＝ｇとなるので、ｈが公開されてしまうこととなる。したがって、この場合は、処理フローはＳ１２０の処理に戻り、Ｓ１２０から処理が再度実行される。

　図９の説明に戻る。複数の鍵発行装置１００それぞれの分散ユーザ秘密鍵生成部１４０は、分散ユーザ秘密鍵を生成する（ステップＳ１４０）。Ｓ１４０において、鍵発行装置１００は、「Ｄｉｓｔｒｉｂｕｔｅ　ＫｅｙＧｅｎ（Key Generation）」を行う。上述したように、Ｓ１２０の処理で、複数の鍵発行装置１００－１～１００－ｎにより、分散マスタ秘密鍵の集合｛ｍｓｋ_ｉ｝＝｛ｍｓｋ_１，・・・，ｍｓｋ_ｎ｝が生成される。鍵発行装置１００－ｉ（ｉ＝１，・・・，ｎ）は、大域パラメータｇｐａｒａｍ、分散マスタ秘密鍵の集合｛ｍｓｋ_ｉ｝及びユーザの識別情報であるＩＤを用いて、識別情報ＩＤに対応するユーザのユーザ秘密鍵が分散された状態の分散ユーザ秘密鍵を生成する。

　つまり、分散ユーザ秘密鍵生成部１４０は、複数の鍵発行装置１００－１～１００－ｎから取得した分散マスタ秘密鍵｛ｍｓｋ_ｉ｝とユーザの識別情報ＩＤとに基づいて、分散ユーザ秘密鍵ｄｋ_ＩＤ，ｉを生成する。複数の鍵発行装置１００－１～１００－ｎがそれぞれ分散ユーザ秘密鍵を生成することにより、分散ユーザ秘密鍵の集合である｛ｄｋ_ＩＤ，ｉ｝＝｛ｄｋ_ＩＤ，１，・・・，ｄｋ_ＩＤ，ｎ｝が生成される。つまり、分散ユーザ秘密鍵ｄｋ_ＩＤ，１，・・・，ｄｋ_ＩＤ，ｎは、複数の鍵発行装置１００に分散された状態となっている。なお、識別情報ＩＤは例えばメールアドレス等であるので、ユーザの識別情報ＩＤは公開されていてもよいことに留意されたい。

　図１２は、図９のＳ１４０の処理を示すフローチャートである。図１２は、実施の形態１にかかる分散ユーザ秘密鍵生成部１４０の処理を示す。分散ユーザ秘密鍵生成部１４０は、乱数要素を生成する（ステップＳ１４２）。すなわち、鍵発行装置１００－ｉの分散ユーザ秘密鍵生成部１４０は、乱数要素ｒ_ＩＤ，ｉ，ｗ_ｉを生成する。なお、分散ユーザ秘密鍵生成部１４０は、上述した乱数生成部１０２によって、Ｓ１４２の処理を行ってもよい。ここで、ｒ_ＩＤ，ｉ，ｗ_ｉ∈Ｚ_ｐである。また、乱数要素ｒ_ＩＤ，ｉ（第３の乱数要素）は、乱数ｒ_ＩＤ（第３の乱数）の要素となる。また、乱数要素ｗ_ｉ（第４の乱数要素）は、乱数ｗ（第４の乱数）の要素となる。なお、乱数ｒ_ＩＤ，ｗの値は、各鍵発行装置１００に対して秘匿される、つまり各鍵発行装置１００に知られないようにされていることに、留意されたい。

　分散ユーザ秘密鍵生成部１４０は、乱数要素を秘密分散する（ステップＳ１４４）。つまり、鍵発行装置１００－ｉの分散ユーザ秘密鍵生成部１４０は、乱数要素ｒ_ＩＤ，ｉ，ｗ_ｉを秘密分散する。なお、分散ユーザ秘密鍵生成部１４０は、上述した分散部１０４によって、Ｓ１４４の処理を行ってもよい。分散ユーザ秘密鍵生成部１４０は、乱数要素ｒ_ＩＤ，ｉ，ｗ_ｉに対して秘密分散を行い、秘密分散によって得られた乱数要素ｒ_ＩＤ，ｉのシェア［ｒ_ＩＤ，ｉ］（分散値）と乱数要素ｗ_ｉのシェア［ｗ_ｉ］（分散値）とを他の鍵発行装置１００に対して送信する。

　具体的には、鍵発行装置１００－ｉの分散ユーザ秘密鍵生成部１４０は、以下の式（２０）によって、乱数要素ｒ_ＩＤ，ｉのシェア［ｒ_ＩＤ，ｉ］（分散値）を生成する。

　　・・・（２０）

　同様に、鍵発行装置１００－ｉの分散ユーザ秘密鍵生成部１４０は、以下の式（２１）によって、乱数要素ｗ_ｉのシェア［ｗ_ｉ］（分散値）を生成する。

　　・・・（２１）

　そして、鍵発行装置１００－ｉの分散ユーザ秘密鍵生成部１４０は、生成されたシェア［ｒ_ＩＤ，ｉ］（分散値）及びシェア［ｗ_ｉ］（分散値）を、他の鍵発行装置１００に送信する。具体的には、鍵発行装置１００－ｉの分散ユーザ秘密鍵生成部１４０は、鍵発行装置１００－ｊ（ｊ＝１，・・・，ｎ）に対して、分散値［ｒ_ＩＤ，ｉ］_ｊ及び［ｗ_ｉ］_ｊを送信する。これにより、［ｒ_ＩＤ，ｉ］＝（［ｒ_ＩＤ，ｉ］_１，・・・，［ｒ_ＩＤ，ｉ］_ｎ）という状態、及び、［ｗ_ｉ］＝（［ｗ_ｉ］_１，・・・，［ｗ_ｉ］_ｎ）という状態が生成される。また、他の鍵発行装置１００においても同様の処理が行われる。したがって、鍵発行装置１００－ｉは、複数の鍵発行装置１００から、［ｒ_ＩＤ，１］_ｉ，・・・，［ｒ_ＩＤ，ｎ］_ｉ、及び、［ｗ_１］_ｉ，・・・，［ｗ_ｎ］_ｉを取得する。

　分散ユーザ秘密鍵生成部１４０は、乱数ｒ_ＩＤ，ｗのシェア［ｒ_ＩＤ］，［ｗ］（分散値）を取得する（ステップＳ１４６）。分散ユーザ秘密鍵生成部１４０は、上述した乱数シェア取得部１０６によって、Ｓ１４６の処理を行ってもよい。分散ユーザ秘密鍵生成部１４０は、複数の鍵発行装置１００から取得した第３の乱数要素のシェア（分散値）を用いて乱数ｒ_ＩＤ（第３の乱数）のシェア［ｒ_ＩＤ］（分散値）を取得する。同様に、分散ユーザ秘密鍵生成部１４０は、複数の鍵発行装置１００から取得した第４の乱数要素のシェア（分散値）を用いて乱数ｗ（第４の乱数）のシェア［ｗ］（分散値）を取得する。

　具体的には、分散ユーザ秘密鍵生成部１４０は、複数の鍵発行装置１００から取得した第３の乱数要素のシェア（分散値）を合計して、乱数ｒ_ＩＤ（第３の乱数）のシェア［ｒ_ＩＤ］（分散値）を取得する。同様に、分散ユーザ秘密鍵生成部１４０は、複数の鍵発行装置１００から取得した第４の乱数要素のシェア（分散値）を合計して、乱数ｗ（第４の乱数）のシェア［ｗ］（分散値）を取得する。

　つまり、分散ユーザ秘密鍵生成部１４０は、以下の式（２２）及び式（２３）によって、それぞれシェア［ｒ_ＩＤ］，［ｗ］（分散値）を生成する。

　・・・（２２）

　・・・（２３）

　鍵発行装置１００－ｉに着目すると、分散ユーザ秘密鍵生成部１４０は、複数の鍵発行装置１００から取得した乱数要素ｒ_ＩＤ，ｊ（ｊ＝１，・・・，ｎ）の分散値［ｒ_ＩＤ，ｊ］_ｉを合計して、乱数ｒ_ＩＤの分散値（シェア）［ｒ_ＩＤ］_ｉを取得する。つまり、分散ユーザ秘密鍵生成部１４０は、以下の式（２４）によって、分散値［ｒ_ＩＤ］_ｉを生成する。

　　・・・（２４）

　同様に、分散ユーザ秘密鍵生成部１４０は、複数の鍵発行装置１００から取得した乱数要素ｗ_ｊ（ｊ＝１，・・・，ｎ）の分散値［ｗ_ｊ］_ｉを合計して、乱数ｗの分散値（シェア）［ｗ］_ｉを取得する。つまり、分散ユーザ秘密鍵生成部１４０は、以下の式（２５）によって、分散値［ｗ］_ｉを生成する。

　　・・・（２５）

　分散ユーザ秘密鍵生成部１４０は、シェアの乗算を行う（ステップＳ１４８）。分散ユーザ秘密鍵生成部１４０は、上述したシェア乗算部１０８によって、Ｓ１４８の処理を行ってもよい。分散ユーザ秘密鍵生成部１４０は、［β］－［ｒ_ＩＤ］、及び［α］－ＩＤのそれぞれに対して、［ｗ］を乗算する。つまり、分散ユーザ秘密鍵生成部１４０は、α（第１の乱数）のシェア［α］、β（第２の乱数）のシェア［β］、及びｒ_ＩＤ（第３の乱数）のシェア［ｒ_ＩＤ］のそれぞれに対して、ｗ（第４の乱数）のシェア［ｗ］を乗算する。ここで、［α］，［β］は、分散マスタ秘密鍵ｍｓｋ_ｉの要素である。したがって、分散ユーザ秘密鍵生成部１４０は、分散マスタ秘密鍵ｍｓｋ_ｉの要素であるαのシェア［α］、分散マスタ秘密鍵ｍｓｋ_ｉの要素であるβのシェア［β］、及びｒ_ＩＤのシェア［ｒ_ＩＤ］のそれぞれに対して、ｗのシェア［ｗ］を乗算する。

　具体的には、分散ユーザ秘密鍵生成部１４０は、以下の式（２６）及び式（２７）による乗算を、並行して実行する。このように、本実施の形態では、シェア同士の乗算が、複数実行される。なお、上述したように、Ｍｕｌｔ（）を実行する際、複数の鍵発行装置１００の間で、通信が行われる。

　　・・・（２６）

　　・・・（２７）

　上記の式（２６）で示されるように、［β］－［ｒ_ＩＤ］と［ｗ］との乗算により、積［（β－［ｒ_ＩＤ］）・ｗ］（第２の積）が得られる。上記の式（２６）により、β－ｒ_ＩＤ（つまりβ及びｒ_ＩＤ）がｗによってマスク（秘匿）される。また、上記の式（２７）で示されるように、［α］－ＩＤと［ｗ］との乗算により、積［（α－ＩＤ）・ｗ］（第１の積）が得られる。上記の式（２７）によって、α－ＩＤ（つまりα）がｗによってマスク（秘匿）される。なお、後述するように、β－ｒ_ＩＤ及びα－ＩＤ（つまりα、β、及びｒ_ＩＤ）は、ユーザ秘密鍵の要素となる。

　分散ユーザ秘密鍵生成部１４０は、［（α－ＩＤ）・ｗ］を復元し、復元結果の逆元である１／（α－ＩＤ）・ｗを計算する（ステップＳ１５０）。分散ユーザ秘密鍵生成部１４０は、上述した復元部１１０によって、Ｓ１５０の処理を行ってもよい。分散ユーザ秘密鍵生成部１４０は、乱数αのシェア［α］と識別情報ＩＤとによって得られるユーザ秘密鍵の要素（α－ＩＤ）に対して乱数ｗのシェア［ｗ］を乗算して得られた第１の積［（α－ＩＤ）・ｗ］に対して復元を行う。これにより、（α－ＩＤ）・ｗの値が得られる。また、分散ユーザ秘密鍵生成部１４０は、復元の結果得られた値（α－ＩＤ）・ｗの逆元ｖ（第１の値）を計算する。

　具体的には、分散ユーザ秘密鍵生成部１４０は、以下の式（２８）により、［（α－ＩＤ）・ｗ］を復元して、（α－ＩＤ）・ｗの値を取得する。

　　・・・（２８）

　また、分散ユーザ秘密鍵生成部１４０は、以下の式（２９）によって、（α－ＩＤ）・ｗの逆元ｖを計算する。なお、（α－ＩＤ）・ｗ＝０である場合、Ｓ１４０の処理は、Ｓ１４２から再度実行されることに留意されたい。

　　・・・（２９）

　ここで、式（２８）のように、（α－ＩＤ）・ｗの値が得られても、ｗが秘匿されているので、αの値も秘匿されることに留意されたい。したがって、α，ｗが秘匿されたまま、値（α－ＩＤ）・ｗの逆元ｖが得られる。

　分散ユーザ秘密鍵生成部１４０は、分散ユーザ秘密鍵を生成する（ステップＳ１５２）。以下に示すように、分散ユーザ秘密鍵生成部１４０は、式（２６）～式（２７）の乗算の結果得られた積に基づいて、分散ユーザ秘密鍵を生成する。なお、後述するように、分散ユーザ秘密鍵生成部１４０は、複数の鍵発行装置１００から得られる分散ユーザ秘密鍵を用いてユーザ秘密鍵が取得される際に乱数ｗのシェア（分散値）が除去されるように、分散ユーザ秘密鍵を生成する。

　具体的には、鍵発行装置１００－ｉの分散ユーザ秘密鍵生成部１４０は、上記の式（２６）及び式（２９）から、以下の式（３０）で示される分散ユーザ秘密鍵の要素ｈ_ＩＤ，ｉを計算する。つまり、分散ユーザ秘密鍵生成部１４０は、ｇのべき乗ｇ＾（［（β－ｒ_ＩＤ）・ｗ］_ｉ）をｖだけべき乗（冪演算）して得られる、（ｇ＾（［（β－ｒ_ＩＤ）・ｗ］_ｉ））^ｖを、ｈ_ＩＤ，ｉとして計算する。言い換えると、分散ユーザ秘密鍵生成部１４０は、第１のｇのべき乗ｇ＾（［（β－ｒ_ＩＤ）・ｗ］_ｉ）の、ｖを指数（冪指数）とする第２のべき乗（ｇ＾（［（β－ｒ_ＩＤ）・ｗ］_ｉ））^ｖを、ｈ_ＩＤ，ｉとして計算する。ここで、第１のｇのべき乗（第１のべき乗）の指数（冪指数）は、式（２６）の乗算の結果得られた積［（β－ｒ_ＩＤ）・ｗ］_ｉ（第２の積）に対応する。

　　・・・（３０）

　そして、鍵発行装置１００－ｉの分散ユーザ秘密鍵生成部１４０は、以下の式（３１）で示される分散ユーザ秘密鍵ｄｋ_ＩＤ，ｉを生成する。

　　・・・（３１）

　ここで、分散ユーザ秘密鍵ｄｋ_ＩＤ，ｉは、［ｒ_ＩＤ］_ｉとｈ_ＩＤ，ｉとの組である。つまり、分散ユーザ秘密鍵生成部１４０は、乱数ｒ_ＩＤのシェア（分散値）と、第１のデータとの組を、分散ユーザ秘密鍵として生成する。ここで、第１のデータは、乱数βのシェア及び乱数ｒ_ＩＤのシェアによって得られるユーザ秘密鍵の要素に対して乱数ｗのシェアを乗算して得られた積（第２の積）、及びｖ（第１の値）を要素とする。

　図９の説明に戻る。複数の鍵発行装置１００それぞれの送信部１５０は、分散ユーザ秘密鍵を、ユーザ装置２００に送信する（ステップＳ１６０）。具体的には、鍵発行装置１００－ｉの送信部１５０は、識別情報ＩＤに対応するユーザのユーザ装置２００に対して、分散ユーザ秘密鍵ｄｋ_ＩＤ，ｉを送信する。これにより、識別情報ＩＤに対応するユーザ装置２００は、複数の鍵発行装置１００－１～１００－ｎから、分散ユーザ秘密鍵ｄｋ_ＩＤ，ｉ（ｉ＝１，・・・，ｎ）を取得する。

　ユーザ装置２００は、ユーザ秘密鍵を生成する（ステップＳ１６２）。具体的には、識別情報ＩＤに対応するユーザ装置２００のユーザ秘密鍵生成部２１０は、複数の分散ユーザ秘密鍵ｄｋ_ＩＤ，ｉを用いて、ユーザ秘密鍵ｄｋ_ＩＤ＝（ｒ_ＩＤ，ｈ_ＩＤ）を生成する。ユーザ秘密鍵生成部２１０は、上述した復元部１１０と実質的に同様に機能によって、Ｓ１６２の処理を行ってもよい。ユーザ秘密鍵生成部２１０によって生成されたユーザ秘密鍵は、ユーザ秘密鍵記憶部２２０に記憶される。

　さらに具体的には、ユーザ秘密鍵生成部２１０は、以下の式（３２）によってｒ_ＩＤを生成する。

　　・・・（３２）

　また、ユーザ秘密鍵生成部２１０は、以下の式（３３）によってｈ_ＩＤを生成する。なお、上述したように、ｈ＝ｇ^βであることに留意されたい。

　　・・・（３３）

　なお、ユーザ秘密鍵生成部２１０は、全ての鍵発行装置１００－１～１００－ｎからｎ個全ての｛ｄｋ_ＩＤ，ｉ｝＝｛ｄｋ_ＩＤ，１，・・・，ｄｋ_ＩＤ，ｎ｝を取得して式（３２）及び式（３３）に示す計算を行う必要はない。つまり、ユーザ秘密鍵生成部２１０は、ｔ個以上の［ｒ_ＩＤ］_ｉを取得することで、ｒ_ＩＤを生成することができる。同様に、ユーザ秘密鍵生成部２１０は、ｔ個以上のｈ_ＩＤ，ｉを取得することで、ｈ_ＩＤを生成することができる。

　また、式（３０）と式（３３）とを比較すると、ユーザ装置２００におけるユーザ秘密鍵生成部２１０の処理において、乱数ｗが除去されていることが分かる。すなわち、ｈ_ＩＤ，ｉを式（３０）で示すような形式とすることで、乱数ｗが除去される。したがって、分散ユーザ秘密鍵生成部１４０は、複数の鍵発行装置１００から得られる分散ユーザ秘密鍵を用いてユーザ秘密鍵が取得される際に乱数ｗのシェアが除去されるように、分散ユーザ秘密鍵を生成していると言える。このようにして、ユーザ秘密鍵の要素でない乱数ｗが除去されることとなる。

　なお、非特許文献１においてもそうであるように、ＩＢ－ＰＲＥにおけるユーザ秘密鍵は、ｄｋ_ＩＤ＝（ｒ_ＩＤ，ｈ_ＩＤ）といったように、２つの値の組で構成される形式となっている。このように、ユーザ秘密鍵が組の形式となっていることにより、暗号文を再暗号化することができる。なお、ＩＢＥにかかる技術を開示する非特許文献２及び非特許文献３では、ユーザ秘密鍵が１つの値で構成される形式となっている。したがって、ユーザ秘密鍵の形式が、ＩＢ－ＰＲＥとＩＢＥとで異なる。したがって、上述したように、非特許文献１に関する技術と、非特許文献２及び非特許文献３に関する技術とを単純に組み合わせることは、極めて困難である。

　また、実施の形態１にかかる鍵発行装置１００は、上述した構成によって、ユーザ秘密鍵、及びユーザ秘密鍵の要素（乱数α、乱数β及び乱数ｒ_ＩＤ）が、どの鍵発行装置１００にも知られないまま、ユーザ秘密鍵を生成させることができる。したがって、実施の形態１にかかる構成によって、ＩＤベース代理人再暗号化の技術において鍵発行機関が悪意を持っている場合であっても鍵発行機関によって暗号文が復号されることを抑制することが可能となる。

　暗号化装置６０は、暗号文を作成する（ステップＳ１７０）。暗号化装置６０は、非特許文献１の方式と実質的に同様にして、平文から暗号文を作成してもよい。暗号化装置６０によって作成された暗号文は、再暗号化装置３００の暗号文記憶部３２０に記憶される。暗号化装置６０は、以下の式（３４）によって、平文ｍから暗号文Ｃ_ＩＤを生成する。これにより、ＩＤに関するユーザのユーザ秘密鍵で復号可能な暗号文が生成される。なお、マスタ公開鍵ｍｐｋ及び識別情報ＩＤによって、ＩＤに対応するユーザに関する公開鍵が生成され得ることに留意されたい。

　　・・・（３４）

　なお、ユーザｉ（ｉ＝Ａ，Ｂ，Ｃ，Ｄ）のユーザ秘密鍵で復号可能な暗号文を生成する場合、暗号化装置６０は、以下の式（３５）によって、平文ｍから暗号文Ｃ＿（ＩＤ_ｉ）を生成する。なお、ＩＤ_ｉは、ユーザｉの識別情報である。

　　・・・（３５）

　ユーザ装置２００の再暗号化鍵生成部２３０は、再暗号化鍵を生成する（ステップＳ１７４）。再暗号化鍵生成部２３０は、ユーザ秘密鍵を用いて再暗号化鍵を生成する。再暗号化鍵生成部２３０は、非特許文献１の方式と実質的に同様にして、再暗号化鍵を生成してもよい。

　再暗号化鍵生成部２３０は、以下の式（３６）によって、再暗号化鍵ｒｋ＿（ＩＤ_ｉ→ＩＤ_ｊ）を生成する。なお、ｄｋ＿（ＩＤ_ｉ）は、ユーザｉのユーザ秘密鍵である。また、ＩＤ_ｊは、ユーザｊ（ｉ≠ｊ、ｊ＝Ａ，Ｂ，Ｃ，Ｄ）の識別情報である。したがって、再暗号化鍵ｒｋ＿（ＩＤ_ｉ→ＩＤ_ｊ）は、第１のユーザ装置（ユーザｉのユーザ装置２００）で復号可能な暗号文を第２のユーザ装置（ユーザｊのユーザ装置２００）で復号可能とするための再暗号化鍵である。

　　・・・（３６）

　再暗号化装置３００の再暗号化部３３０は、暗号文記憶部３２０に記憶された暗号文の再暗号化を行う（ステップＳ１７６）。再暗号化部３３０は、再暗号化鍵記憶部３１０に記憶された再暗号化鍵を用いて、複数のユーザ装置２００の第１のユーザ装置に関するユーザ秘密鍵で復号可能な暗号文を、復号することなしに再暗号化する。再暗号化部３３０は、非特許文献１の方式と実質的に同様にして、再暗号化を行ってもよい。再暗号化された暗号文は、暗号文記憶部３２０に記憶されてもよい。

　再暗号化部３３０は、以下の式（３７）によって、再暗号化を行う。つまり、再暗号化部３３０は、再暗号化鍵を用いて、第１のユーザ装置（ユーザｉのユーザ装置２００）に関するユーザ秘密鍵で復号可能な暗号文を、第２のユーザ装置（ユーザｊのユーザ装置２００）に関するユーザ秘密鍵で復号可能な暗号文に変換する。

　　・・・（３７）

　ユーザ装置２００の復号部２４０は、暗号文を復号して平文を取得する（ステップＳ１８０）。復号部２４０は、対応するユーザのユーザ秘密鍵を用いて、暗号文を復号する。復号部２４０は、非特許文献１の方式と実質的に同様にして、暗号文を復号してもよい。

　Ｓ１７０の処理で作成された暗号文を復号する場合、復号部２４０は、以下の式（３８）によって復号を行って、平文ｍを取得する。このとき、式（３８）において、ＩＤはユーザｉの識別情報ＩＤ_ｉに対応する。

　　・・・（３８）

　一方、Ｓ１７６の処理で再暗号化された暗号文を復号する場合、復号部２４０は、以下の式（３９）によって復号を行って、平文ｍを取得する。このとき、式（３９）において、ＩＤはユーザｊの識別情報ＩＤ_ｊに対応する。つまり、第２のユーザ装置の復号部２４０は、第２のユーザ装置に関するユーザ秘密鍵を用いて、再暗号化された暗号文を復号する。

　　・・・（３９）

＜注記＞
　なお、鍵発行装置１００（鍵発行機関）の追加又は削除を行う場合、単にマスタ鍵のシェアの再分散を行うことでは問題があることに留意されたい。なぜならば、以下に示すように、最初に設定したｔ（不正者数）の値を単に変更することが困難であるからである。

　例えば、３個の鍵発行装置１００（ｎ＝３）があり、１個の鍵発行装置１００までの不正を許容する（ｔ＝１）と仮定する。このとき、「ｎ／２＞ｔ」が成り立つので、ユーザ秘密鍵の漏洩といった問題がなく、システムが動作する。

　この場合において、鍵発行装置１００を２個追加して、ｎ＝５となったとする。このとき、「ｎ／２＞ｔであれば良い」と判断して、ｔ＝２として、２個の鍵発行装置１００までの不正が許容できるようになるわけではない。なぜならば、上述した秘密値の再分散前の元のシェアを保存しておけば、追加前の３個の鍵発行装置１００のうちの２つの鍵発行装置１００が協力することで、マスタ秘密鍵の要素となる乱数α等が得られてしまう。そして、結果として、本実施の形態では鍵発行装置１００で生成されないマスタ秘密鍵が得られてしまう。

　したがって、ｔの変更を伴ってｎを更新したい場合は、更新前の乱数を適切に削除するだけでなく、乱数α等の再セットアップ、再暗号化装置における再暗号化鍵の変更、及び暗号文の更新が必要である。乱数α等の再セットアップにより、公開鍵及び秘密鍵がリニューアルされる。また、再暗号化鍵の変更について、再暗号化鍵は、ユーザ装置２００によって変更されてもいし、鍵発行装置１００におけるマルチパーティ計算によって変更されてもよい。また、暗号文の更新は、その暗号文を復号可能なユーザ装置２００が関与しないで、実行されてもよい。

　また、非特許文献３におけるｍａｌｉｃｉｏｕｓ安全な方式は、不正を検知したらプロトコルを打ち切るものである。しかしながら、不正が生じても常に正しく動作するような、ｒｏｂｕｓｔｎｅｓｓな方式が求められる。これに対し、ＳＳＳの各参加者（鍵発行装置１００）のシェアを複製型秘密分散とし、乗算時に多数決を取るようにしてもよい。このように、シェアを各参加者（鍵発行装置１００）で複製して持つことで、計算結果の改竄を試みるような攻撃者に対しても安全である。

　また、ＣＣＡ（Chosen Ciphertext Attack：選択的暗号文攻撃）安全性について、例えば非特許文献５を参照して、藤崎・岡本変換を用いることにより、ＣＣＡ安全を達成した方式を構成できる。すなわち、藤崎・岡本変換を、本実施の形態にかかる暗号化方式（Ｓ１７０）に適用することで、ＣＣＡ安全を達成できる。

（実施の形態２）
　次に、実施の形態２について説明する。実施の形態２は、上述した実施の形態にかかる構成の概要を示している。なお、実施の形態２にかかる情報処理システム５０は、実施の形態１にかかるものと実質的に同様であるので、説明を省略する。つまり、実施の形態２にかかる情報処理システム５０は、複数の鍵発行装置を有する。

　図１３は、実施の形態２にかかる鍵発行装置１０の構成を示す図である。実施の形態２にかかる鍵発行装置１０は、実施の形態１にかかる鍵発行装置１００に対応する。実施の形態２にかかる鍵発行装置１０は、分散マスタ鍵生成部１２と、分散ユーザ秘密鍵生成部１４と、送信部１６とを有する。分散マスタ鍵生成部１２は、分散マスタ鍵生成手段としての機能を有する。分散ユーザ秘密鍵生成部１４は、分散ユーザ秘密鍵生成手段としての機能を有する。送信部１６は、送信手段としての機能を有する。

　分散マスタ鍵生成部１２は、実施の形態１にかかる分散マスタ鍵生成部１２０に対応する。分散マスタ鍵生成部１２は、分散マスタ鍵生成部１２０の機能と実質的に同様の機能によって実現できる。分散マスタ鍵生成部１２は、複数の鍵発行装置１０に分散された状態の分散マスタ秘密鍵を少なくとも生成する。分散マスタ鍵生成部１２は、秘匿される第１の乱数（α）が分散された状態の第１の乱数のシェア（［α］）と、秘匿される第２の乱数（β）が分散された状態の第２の乱数のシェア（［β］）とに基づいて、分散マスタ秘密鍵を生成する。

　分散ユーザ秘密鍵生成部１４は、実施の形態１にかかる分散ユーザ秘密鍵生成部１４０に対応する。分散ユーザ秘密鍵生成部１４は、分散ユーザ秘密鍵生成部１４０の機能と実質的に同様の機能によって実現できる。分散ユーザ秘密鍵生成部１４は、分散マスタ秘密鍵とユーザの識別情報とを用いて、分散ユーザ秘密鍵を生成する。ここで、複数の鍵発行装置から得られる当該分散ユーザ秘密鍵を用いて、ユーザ秘密鍵が取得される。分散ユーザ秘密鍵生成部１４は、秘匿されユーザ秘密鍵の要素となる第３の乱数（ｒ_ＩＤ）が分散された状態の第３の乱数のシェア（［ｒ_ＩＤ］）と、秘匿される第４の乱数（ｗ）が分散された状態の第４の乱数のシェア（［ｗ］）を取得する。分散ユーザ秘密鍵生成部１４は、分散マスタ秘密鍵の要素である第１の乱数のシェア、分散マスタ秘密鍵の要素である第２の乱数のシェア、及び第３の乱数のシェアのそれぞれに対して、第４の乱数のシェアを乗算する。分散ユーザ秘密鍵生成部１４は、乗算の結果得られた積に基づいて、分散ユーザ秘密鍵を生成する。

　送信部１６は、分散ユーザ秘密鍵をユーザのユーザ装置２００に送信する。ユーザ装置２００は、上述したように、複数の鍵発行装置１０から取得された複数の分散ユーザ秘密鍵を用いて、ユーザ秘密鍵を生成することができる。

　実施の形態２にかかる鍵発行装置１０は、上述した構成によって、上述したように、ユーザ秘密鍵、及びユーザ秘密鍵の要素（第１の乱数、第２の乱数及び第３の乱数）が、どの鍵発行装置１０にも知られないまま、ユーザ秘密鍵を生成させることができる。したがって、ＩＤベース代理人再暗号化の技術において鍵発行機関が悪意を持っている場合であっても鍵発行機関によって暗号文が復号されることを抑制することが可能となる。このことは、複数の鍵発行装置１０を有する情報処理システム５０、鍵発行装置１０によって実行される鍵発行方法、及び鍵発行方法を実現するプログラムにおいても同様である。

（ハードウェア構成例）
　上述した各実施形態に係る装置およびシステムを、１つの計算処理装置（情報処理装置、コンピュータ）を用いて実現するハードウェア資源の構成例について説明する。但し、各実施形態に係る装置（鍵発行装置、暗号化装置、ユーザ装置及び再暗号化装置等）は、物理的または機能的に少なくとも２つの計算処理装置を用いて実現されてもよい。また、各実施形態に係る装置は、専用の装置として実現されてもよいし、汎用の情報処理装置で実現されてもよい。

　図１４は、各実施形態に係る装置およびシステムを実現可能な計算処理装置のハードウェア構成例を概略的に示すブロック図である。計算処理装置１０００は、ＣＰＵ１００１、揮発性記憶装置１００２、ディスク１００３、不揮発性記録媒体１００４、及び、通信ＩＦ１００７（ＩＦ：Interface）を有する。したがって、各実施形態に係る装置は、ＣＰＵ１００１、揮発性記憶装置１００２、ディスク１００３、不揮発性記録媒体１００４、及び、通信ＩＦ１００７を有しているといえる。計算処理装置１０００は、入力装置１００５及び出力装置１００６に接続可能であってもよい。計算処理装置１０００は、入力装置１００５及び出力装置１００６を備えていてもよい。また、計算処理装置１０００は、通信ＩＦ１００７を介して、他の計算処理装置、及び、通信装置と情報を送受信することができる。

　不揮発性記録媒体１００４は、コンピュータが読み取り可能な、たとえば、コンパクトディスク（Compact Disc)、デジタルバーサタイルディスク（Digital Versatile Disc）である。また、不揮発性記録媒体１００４は、ＵＳＢ（Universal Serial Bus）メモリ、ソリッドステートドライブ（Solid State Drive）等であってもよい。不揮発性記録媒体１００４は、電源を供給しなくても係るプログラムを保持し、持ち運びを可能にする。なお、不揮発性記録媒体１００４は、上述した媒体に限定されない。また、不揮発性記録媒体１００４の代わりに、通信ＩＦ１００７及び通信ネットワークを介して、係るプログラムが供給されてもよい。

　揮発性記憶装置１００２は、コンピュータが読み取り可能であって、一時的にデータを記憶することができる。揮発性記憶装置１００２は、ＤＲＡＭ（dynamic random Access memory）、ＳＲＡＭ（static random Access memory）等のメモリ等である。

　すなわち、ＣＰＵ１００１は、ディスク１００３に格納されているソフトウェアプログラム（コンピュータ・プログラム：以下、単に「プログラム」と称する）を、実行する際に揮発性記憶装置１００２にコピーし、演算処理を実行する。ＣＰＵ１００１は、プログラムの実行に必要なデータを揮発性記憶装置１００２から読み取る。表示が必要な場合、ＣＰＵ１００１は、出力装置１００６に出力結果を表示する。外部からプログラムを入力する場合、ＣＰＵ１００１は、入力装置１００５からプログラムを取得する。ＣＰＵ１００１は、上述した図６～図８，図１３に示される各構成要素の機能（処理）に対応するプログラムを解釈し実行する。ＣＰＵ１００１は、上述した各実施形態において説明した処理を実行する。言い換えると、上述した図６～図８，図１３に示される各構成要素の機能は、ディスク１００３又は揮発性記憶装置１００２に格納されたプログラムを、ＣＰＵ１００１が実行することによって実現され得る。

　すなわち、各実施形態は、上述したプログラムによっても成し得ると捉えることができる。さらに、上述したプログラムが記録されたコンピュータが読み取り可能な不揮発性の記録媒体によっても、上述した各実施形態は成し得ると捉えることができる。

（変形例）
　なお、本発明は上記実施形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。例えば、上述したフローチャートにおいて、各処理（ステップ）の順序は、適宜、変更可能である。また、複数ある処理（ステップ）のうちの１つ以上は、省略されてもよい。例えば、図９のＳ１０２の処理は省略されてもよい。また、図９のＳ１３９の処理は省略されてもよい。

　また、上述した実施の形態では、分散ユーザ秘密鍵生成部１４０は、［β］－［ｒ_ＩＤ］に対して、［ｗ］を乗算するとしたが、このような構成に限られない。以下の式（４０）及び式（４１）のように、［β］と０－［ｒ_ＩＤ］とに対して、別個に、［ｗ］を乗算してもよい。

　　・・・（４０）

　　・・・（４１）

　この場合、分散ユーザ秘密鍵の要素ｈ_ＩＤ，ｉは、以下の式（４２）で表される。

　　・・・（４２）

　また、この場合、ユーザ秘密鍵生成部２１０は、以下の式（４３）によってｈ_ＩＤを生成する。

　　・・・（４３）

　一方、上記の式（４０）～式（４３）の場合、実施の形態１で示した式（２６）、式（３０）及び式（３３）の場合と比較して、Ｍｕｌｔ（）の演算が、１回多くなる。したがって、式（２６）等のように演算することにより、Ｍｕｌｔ（）の演算回数を抑制できるので、演算の効率を向上させることができる。つまり、第１のｇのべき乗ｇ＾（［（β－ｒ_ＩＤ）・ｗ］_ｉ）の、ｖを指数（冪指数）とする第２のべき乗（ｇ＾（［（β－ｒ_ＩＤ）・ｗ］_ｉ））^ｖを、ｈ_ＩＤ，ｉとして計算することにより、演算の効率を向上させることが可能となる。

　上述の例において、プログラムは、コンピュータに読み込まれた場合に、実施形態で説明された１又はそれ以上の機能をコンピュータに行わせるための命令群（又はソフトウェアコード）を含む。プログラムは、非一時的なコンピュータ可読媒体又は実体のある記憶媒体に格納されてもよい。限定ではなく例として、コンピュータ可読媒体又は実体のある記憶媒体は、random-access memory（RAM）、read-only memory（ROM）、フラッシュメモリ、solid-state drive（SSD）又はその他のメモリ技術、CD-ROM、digital versatile disk（DVD）、Blu-ray（登録商標）ディスク又はその他の光ディスクストレージ、磁気カセット、磁気テープ、磁気ディスクストレージ又はその他の磁気ストレージデバイスを含む。プログラムは、一時的なコンピュータ可読媒体又は通信媒体上で送信されてもよい。限定ではなく例として、一時的なコンピュータ可読媒体又は通信媒体は、電気的、光学的、音響的、またはその他の形式の伝搬信号を含む。

　以上、実施の形態を参照して本願発明を説明したが、本願発明は上記によって限定されるものではない。本願発明の構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
　（付記１）
　鍵発行装置であって、
　複数の鍵発行装置に分散された状態の分散マスタ秘密鍵を少なくとも生成する分散マスタ鍵生成手段と、
　前記分散マスタ秘密鍵とユーザの識別情報とを用いて、前記ユーザのユーザ秘密鍵が分散された状態の分散ユーザ秘密鍵であって、複数の鍵発行装置から得られる当該分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵が取得される、分散ユーザ秘密鍵を生成する分散ユーザ秘密鍵生成手段と、
　前記分散ユーザ秘密鍵を前記ユーザのユーザ装置に送信する送信手段と、
　を有し、
　前記分散マスタ鍵生成手段は、秘匿される第１の乱数が分散された状態の第１の乱数のシェアと、秘匿される第２の乱数が分散された状態の第２の乱数のシェアとに基づいて、前記分散マスタ秘密鍵を生成し、
　前記分散ユーザ秘密鍵生成手段は、
　　秘匿され前記ユーザ秘密鍵の要素となる第３の乱数が分散された状態の第３の乱数のシェアと、秘匿される第４の乱数が分散された状態の第４の乱数のシェアを取得し、
　　前記分散マスタ秘密鍵の要素である前記第１の乱数のシェア、前記分散マスタ秘密鍵の要素である前記第２の乱数のシェア、及び前記第３の乱数のシェアのそれぞれに対して、前記第４の乱数のシェアを乗算し、
　　乗算の結果得られた積に基づいて、前記分散ユーザ秘密鍵を生成する、
　鍵発行装置。
　（付記２）
　前記分散ユーザ秘密鍵生成手段は、複数の鍵発行装置から得られる当該分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵が取得される際に前記第４の乱数のシェアが除去されるように、前記分散ユーザ秘密鍵を生成する、
　付記１に記載の鍵発行装置。
　（付記３）
　前記分散ユーザ秘密鍵生成手段は、前記第１の乱数のシェアと前記識別情報とによって得られる前記ユーザ秘密鍵の要素に対して前記第４の乱数のシェアを乗算して得られた第１の積に対して復元を行い、復元の結果得られた値の逆元である第１の値を用いて、前記分散ユーザ秘密鍵を生成する、
　付記２に記載の鍵発行装置。
　（付記４）
　前記分散ユーザ秘密鍵生成手段は、前記第３の乱数のシェアと、前記第２の乱数のシェア及び前記第３の乱数のシェアによって得られる前記ユーザ秘密鍵の要素に対して前記第４の乱数のシェアを乗算して得られた第２の積、及び前記第１の値を要素とする第１のデータとの組を、前記分散ユーザ秘密鍵として生成する、
　付記３に記載の鍵発行装置。
　（付記５）
　前記分散ユーザ秘密鍵生成手段は、予め定められた位数の乗法巡回群の生成元の第１のべき乗の、前記第１の値を指数とする第２のべき乗を、前記第１のデータとして生成し、
　前記第１のべき乗の指数は前記第２の積に対応する、
　付記４に記載の鍵発行装置。
　（付記６）
　前記分散マスタ鍵生成手段は、
　　前記第１の乱数の要素となる第１の乱数要素と、前記第２の乱数の要素となる第２の乱数要素とを生成し、
　　前記第１の乱数要素と、前記第２の乱数要素とに対して秘密分散を行い、秘密分散によって得られた前記第１の乱数要素のシェアと前記第２の乱数要素のシェアとを他の鍵発行装置に対して送信し、
　　前記複数の鍵発行装置から取得した前記第１の乱数要素のシェアを用いて前記第１の乱数のシェアを取得し、前記複数の鍵発行装置から取得した前記第２の乱数要素のシェアを用いて前記第２の乱数のシェアを取得する、
　付記１に記載の鍵発行装置。
　（付記７）
　前記分散ユーザ秘密鍵生成手段は、
　　秘匿され前記ユーザ秘密鍵の要素となる第３の乱数の要素となる第３の乱数要素と、秘匿される第４の乱数の要素となる第４の乱数要素とを生成し、
　　前記第３の乱数要素と、前記第４の乱数要素とに対して秘密分散を行い、秘密分散によって得られた前記第３の乱数要素のシェアと前記第４の乱数要素のシェアとを他の鍵発行装置に対して送信し、
　　前記複数の鍵発行装置から取得した前記第３の乱数要素のシェアを用いて前記第３の乱数のシェアを取得し、前記複数の鍵発行装置から取得した前記第４の乱数要素のシェアを用いて前記第４の乱数のシェアを取得する、
　付記１に記載の鍵発行装置。
　（付記８）
　マスタ公開鍵を生成するマスタ公開鍵生成手段、
　をさらに有し、
　前記分散マスタ鍵生成手段は、前記第１の乱数のシェアと前記第２の乱数のシェアとに基づいて、複数の鍵発行装置に分散された状態の分散マスタ公開鍵をさらに生成し、
　前記マスタ公開鍵生成手段は、前記複数の鍵発行装置から取得した前記分散マスタ公開鍵に基づいて、前記マスタ公開鍵を生成する、
　付記１に記載の鍵発行装置。
　（付記９）
　複数の鍵発行装置と、
　複数のユーザ装置と、
　再暗号化装置と、
　を有し、
　前記複数の鍵発行装置それぞれは、
　　複数の鍵発行装置に分散された状態の分散マスタ秘密鍵を少なくとも生成する分散マスタ鍵生成手段と、
　　前記分散マスタ秘密鍵とユーザの識別情報とを用いて、前記ユーザのユーザ秘密鍵が分散された状態の分散ユーザ秘密鍵であって、複数の鍵発行装置から得られる当該分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵が取得される、分散ユーザ秘密鍵を生成する分散ユーザ秘密鍵生成手段と、
　　前記分散ユーザ秘密鍵を前記ユーザのユーザ装置に送信する送信手段と、
　を有し、
　前記分散マスタ鍵生成手段は、秘匿される第１の乱数が分散された状態の第１の乱数のシェアと、秘匿される第２の乱数が分散された状態の第２の乱数のシェアとに基づいて、前記分散マスタ秘密鍵を生成し、
　前記分散ユーザ秘密鍵生成手段は、
　　秘匿され前記ユーザ秘密鍵の要素となる第３の乱数が分散された状態の第３の乱数のシェアと、秘匿される第４の乱数が分散された状態の第４の乱数のシェアを取得し、
　　前記分散マスタ秘密鍵の要素である前記第１の乱数のシェア、前記分散マスタ秘密鍵の要素である前記第２の乱数のシェア、及び前記第３の乱数のシェアのそれぞれに対して、前記第４の乱数のシェアを乗算し、
　　乗算の結果得られた積に基づいて、前記分散ユーザ秘密鍵を生成し、
　前記複数のユーザ装置それぞれは、
　複数の前記鍵発行装置から取得した前記分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵を生成するユーザ秘密鍵生成手段と、
　前記ユーザ秘密鍵を用いて再暗号化鍵を生成する再暗号化鍵生成手段と、
　暗号文を復号して平文を取得する復号手段と、
　を有し、
　前記再暗号化装置は、前記複数のユーザ装置の第１のユーザ装置で復号可能な暗号文を前記複数のユーザ装置の第２のユーザ装置で復号可能とするための前記再暗号化鍵を用いて、前記第１のユーザ装置に関する前記ユーザ秘密鍵で復号可能な前記暗号文を、復号することなしに再暗号化し、
　前記第２のユーザ装置の復号手段は、当該第２のユーザ装置に関する前記ユーザ秘密鍵を用いて、前記再暗号化された前記暗号文を復号する、
　情報処理システム。
　（付記１０）
　前記鍵発行装置の前記分散ユーザ秘密鍵生成手段は、複数の鍵発行装置から得られる当該分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵が取得される際に前記第４の乱数のシェアが除去されるように、前記分散ユーザ秘密鍵を生成し、
　前記ユーザ装置の前記ユーザ秘密鍵生成手段は、前記第４の乱数のシェアが除去されるように前記分散ユーザ秘密鍵を生成する、
　付記９に記載の情報処理システム。
　（付記１１）
　前記鍵発行装置の前記分散ユーザ秘密鍵生成手段は、前記第１の乱数のシェアと前記識別情報とによって得られる前記ユーザ秘密鍵の要素に対して前記第４の乱数のシェアを乗算して得られた第１の積に対して復元を行い、復元の結果得られた値の逆元である第１の値を用いて、前記分散ユーザ秘密鍵を生成する、
　付記１０に記載の情報処理システム。
　（付記１２）
　前記鍵発行装置の前記分散ユーザ秘密鍵生成手段は、前記第３の乱数のシェアと、前記第２の乱数のシェア及び前記第３の乱数のシェアによって得られる前記ユーザ秘密鍵の要素に対して前記第４の乱数のシェアを乗算して得られた第２の積、及び前記第１の値を要素とする第１のデータとの組を、前記分散ユーザ秘密鍵として生成し、
　前記ユーザ装置の前記ユーザ秘密鍵生成手段は、前記第３の乱数のシェア及び前記第２の積それぞれに対して復元を行うことにより、前記ユーザ秘密鍵を生成する、
　付記１１に記載の情報処理システム。
　（付記１３）
　前記鍵発行装置の前記分散ユーザ秘密鍵生成手段は、予め定められた位数の乗法巡回群の生成元の第１のべき乗の、前記第１の値を指数とする第２のべき乗を、前記第１のデータとして生成し、
　前記第１のべき乗の指数は前記第２の積に対応する、
　付記１２に記載の情報処理システム。
　（付記１４）
　前記鍵発行装置の前記分散マスタ鍵生成手段は、
　　前記第１の乱数の要素となる第１の乱数要素と、前記第２の乱数の要素となる第２の乱数要素とを生成し、
　　前記第１の乱数要素と、前記第２の乱数要素とに対して秘密分散を行い、秘密分散によって得られた前記第１の乱数要素のシェアと前記第２の乱数要素のシェアとを他の鍵発行装置に対して送信し、
　　前記複数の鍵発行装置から取得した前記第１の乱数要素のシェアを用いて前記第１の乱数のシェアを取得し、前記複数の鍵発行装置から取得した前記第２の乱数要素のシェアを用いて前記第２の乱数のシェアを取得する、
　付記９に記載の情報処理システム。
　（付記１５）
　前記鍵発行装置の前記分散ユーザ秘密鍵生成手段は、
　　秘匿され前記ユーザ秘密鍵の要素となる第３の乱数の要素となる第３の乱数要素と、秘匿される第４の乱数の要素となる第４の乱数要素とを生成し、
　　前記第３の乱数要素と、前記第４の乱数要素とに対して秘密分散を行い、秘密分散によって得られた前記第３の乱数要素のシェアと前記第４の乱数要素のシェアとを他の鍵発行装置に対して送信し、
　　前記複数の鍵発行装置から取得した前記第３の乱数要素のシェアを用いて前記第３の乱数のシェアを取得し、前記複数の鍵発行装置から取得した前記第４の乱数要素のシェアを用いて前記第４の乱数のシェアを取得する、
　付記９に記載の情報処理システム。
　（付記１６）
　前記鍵発行装置は、
　マスタ公開鍵を生成するマスタ公開鍵生成手段、
　をさらに有し、
　前記鍵発行装置の前記分散マスタ鍵生成手段は、前記第１の乱数のシェアと前記第２の乱数のシェアとに基づいて、複数の鍵発行装置に分散された状態の分散マスタ公開鍵をさらに生成し、
　前記鍵発行装置の前記マスタ公開鍵生成手段は、前記複数の鍵発行装置から取得した前記分散マスタ公開鍵に基づいて、前記マスタ公開鍵を生成し、
　前記ユーザ装置の前記再暗号化鍵生成手段は、前記マスタ公開鍵と前記ユーザ秘密鍵とを用いて再暗号化鍵を生成する、
　付記９に記載の情報処理システム。
　（付記１７）
　秘匿される第１の乱数が分散された状態の第１の乱数のシェアと、秘匿される第２の乱数が分散された状態の第２の乱数のシェアとに基づいて、複数の鍵発行装置に分散された状態の分散マスタ秘密鍵を少なくとも生成し、
　前記分散マスタ秘密鍵とユーザの識別情報とを用いて、前記ユーザのユーザ秘密鍵が分散された状態の分散ユーザ秘密鍵であって、複数の鍵発行装置から得られる当該分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵が取得される、分散ユーザ秘密鍵を生成し、その際に、秘匿され前記ユーザ秘密鍵の要素となる第３の乱数が分散された状態の第３の乱数のシェアと、秘匿される第４の乱数が分散された状態の第４の乱数のシェアを取得し、前記分散マスタ秘密鍵の要素である前記第１の乱数のシェア、前記分散マスタ秘密鍵の要素である前記第２の乱数のシェア、及び前記第３の乱数のシェアのそれぞれに対して、前記第４の乱数のシェアを乗算し、乗算の結果得られた積に基づいて、前記分散ユーザ秘密鍵を生成し、
　前記分散ユーザ秘密鍵を前記ユーザのユーザ装置に送信する、
　鍵発行方法。
　（付記１８）
　複数の鍵発行装置から得られる当該分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵が取得される際に前記第４の乱数のシェアが除去されるように、前記分散ユーザ秘密鍵を生成する、
　付記１７に記載の鍵発行方法。
　（付記１９）
　前記第１の乱数のシェアと前記識別情報とによって得られる前記ユーザ秘密鍵の要素に対して前記第４の乱数のシェアを乗算して得られた第１の積に対して復元を行い、復元の結果得られた値の逆元である第１の値を用いて、前記分散ユーザ秘密鍵を生成する、
　付記１８に記載の鍵発行方法。
　（付記２０）
　前記第３の乱数のシェアと、前記第２の乱数のシェア及び前記第３の乱数のシェアによって得られる前記ユーザ秘密鍵の要素に対して前記第４の乱数のシェアを乗算して得られた第２の積、及び前記第１の値を要素とする第１のデータとの組を、前記分散ユーザ秘密鍵として生成する、
　付記１９に記載の鍵発行方法。
　（付記２１）
　予め定められた位数の乗法巡回群の生成元の第１のべき乗の、前記第１の値を指数とする第２のべき乗を、前記第１のデータとして生成し、
　前記第１のべき乗の指数は前記第２の積に対応する、
　付記２０に記載の鍵発行方法。
　（付記２２）
　前記第１の乱数の要素となる第１の乱数要素と、前記第２の乱数の要素となる第２の乱数要素とを生成し、
　前記第１の乱数要素と、前記第２の乱数要素とに対して秘密分散を行い、秘密分散によって得られた前記第１の乱数要素のシェアと前記第２の乱数要素のシェアとを他の鍵発行装置に対して送信し、
　前記複数の鍵発行装置から取得した前記第１の乱数要素のシェアを用いて前記第１の乱数のシェアを取得し、前記複数の鍵発行装置から取得した前記第２の乱数要素のシェアを用いて前記第２の乱数のシェアを取得する、
　付記１７に記載の鍵発行方法。
　（付記２３）
　秘匿され前記ユーザ秘密鍵の要素となる第３の乱数の要素となる第３の乱数要素と、秘匿される第４の乱数の要素となる第４の乱数要素とを生成し、
　前記第３の乱数要素と、前記第４の乱数要素とに対して秘密分散を行い、秘密分散によって得られた前記第３の乱数要素のシェアと前記第４の乱数要素のシェアとを他の鍵発行装置に対して送信し、
　前記複数の鍵発行装置から取得した前記第３の乱数要素のシェアを用いて前記第３の乱数のシェアを取得し、前記複数の鍵発行装置から取得した前記第４の乱数要素のシェアを用いて前記第４の乱数のシェアを取得する、
　付記１７に記載の鍵発行方法。
　（付記２４）
　前記第１の乱数のシェアと前記第２の乱数のシェアとに基づいて、複数の鍵発行装置に分散された状態の分散マスタ公開鍵をさらに生成し、
　前記複数の鍵発行装置から取得した前記分散マスタ公開鍵に基づいて、マスタ公開鍵を生成する、
　付記１７に記載の鍵発行方法。
　（付記２５）
　複数の鍵発行装置それぞれによって、
　　秘匿される第１の乱数が分散された状態の第１の乱数のシェアと、秘匿される第２の乱数が分散された状態の第２の乱数のシェアとに基づいて、複数の鍵発行装置に分散された状態の分散マスタ秘密鍵を少なくとも生成し、
　　前記分散マスタ秘密鍵とユーザの識別情報とを用いて、前記ユーザのユーザ秘密鍵が分散された状態の分散ユーザ秘密鍵であって、複数の鍵発行装置から得られる当該分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵が取得される、分散ユーザ秘密鍵を生成し、その際に、秘匿され前記ユーザ秘密鍵の要素となる第３の乱数が分散された状態の第３の乱数のシェアと、秘匿される第４の乱数が分散された状態の第４の乱数のシェアを取得し、前記分散マスタ秘密鍵の要素である前記第１の乱数のシェア、前記分散マスタ秘密鍵の要素である前記第２の乱数のシェア、及び前記第３の乱数のシェアのそれぞれに対して、前記第４の乱数のシェアを乗算し、乗算の結果得られた積に基づいて、前記分散ユーザ秘密鍵を生成し、
　　前記分散ユーザ秘密鍵を前記ユーザのユーザ装置に送信し、
　前記ユーザ装置によって、
　　複数の前記鍵発行装置から取得した前記分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵を生成し、
　　前記ユーザ秘密鍵を用いて再暗号化鍵を生成し、
　　暗号文を復号して平文を取得し、
　再暗号化装置によって、第１のユーザ装置で復号可能な暗号文を第２のユーザ装置で復号可能とするための前記再暗号化鍵を用いて、前記第１のユーザ装置に関する前記ユーザ秘密鍵で復号可能な前記暗号文を、復号することなしに再暗号化し、
　前記第２のユーザ装置によって当該第２のユーザ装置に関する前記ユーザ秘密鍵を用いて、前記再暗号化された前記暗号文を復号する、
　情報処理方法。
　（付記２６）
　前記鍵発行装置によって、複数の鍵発行装置から得られる当該分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵が取得される際に前記第４の乱数のシェアが除去されるように、前記分散ユーザ秘密鍵を生成し、
　前記ユーザ装置によって、前記第４の乱数のシェアが除去されるように前記分散ユーザ秘密鍵を生成する、
　付記２５に記載の情報処理方法。
　（付記２７）
　前記鍵発行装置によって、前記第１の乱数のシェアと前記識別情報とによって得られる前記ユーザ秘密鍵の要素に対して前記第４の乱数のシェアを乗算して得られた第１の積に対して復元を行い、復元の結果得られた値の逆元である第１の値を用いて、前記分散ユーザ秘密鍵を生成する、
　付記２６に記載の情報処理方法。
　（付記２８）
　前記鍵発行装置によって、前記第３の乱数のシェアと、前記第２の乱数のシェア及び前記第３の乱数のシェアによって得られる前記ユーザ秘密鍵の要素に対して前記第４の乱数のシェアを乗算して得られた第２の積、及び前記第１の値を要素とする第１のデータとの組を、前記分散ユーザ秘密鍵として生成し、
　前記ユーザ装置によって、前記第３の乱数のシェア及び前記第２の積それぞれに対して復元を行うことにより、前記ユーザ秘密鍵を生成する、
　付記２７に記載の情報処理方法。
　（付記２９）
　前記鍵発行装置によって、予め定められた位数の乗法巡回群の生成元の第１のべき乗の、前記第１の値を指数とする第２のべき乗を、前記第１のデータとして生成し、
　前記第１のべき乗の指数は前記第２の積に対応する、
　付記２８に記載の情報処理方法。
　（付記３０）
　前記鍵発行装置によって、
　　前記第１の乱数の要素となる第１の乱数要素と、前記第２の乱数の要素となる第２の乱数要素とを生成し、
　　前記第１の乱数要素と、前記第２の乱数要素とに対して秘密分散を行い、秘密分散によって得られた前記第１の乱数要素のシェアと前記第２の乱数要素のシェアとを他の鍵発行装置に対して送信し、
　　前記複数の鍵発行装置から取得した前記第１の乱数要素のシェアを用いて前記第１の乱数のシェアを取得し、前記複数の鍵発行装置から取得した前記第２の乱数要素のシェアを用いて前記第２の乱数のシェアを取得する、
　付記２５に記載の情報処理方法。
　（付記３１）
　前記鍵発行装置によって、
　　秘匿され前記ユーザ秘密鍵の要素となる第３の乱数の要素となる第３の乱数要素と、秘匿される第４の乱数の要素となる第４の乱数要素とを生成し、
　　前記第３の乱数要素と、前記第４の乱数要素とに対して秘密分散を行い、秘密分散によって得られた前記第３の乱数要素のシェアと前記第４の乱数要素のシェアとを他の鍵発行装置に対して送信し、
　　前記複数の鍵発行装置から取得した前記第３の乱数要素のシェアを用いて前記第３の乱数のシェアを取得し、前記複数の鍵発行装置から取得した前記第４の乱数要素のシェアを用いて前記第４の乱数のシェアを取得する、
　付記２５に記載の情報処理方法。
　（付記３２）
　前記鍵発行装置によって、
　　前記第１の乱数のシェアと前記第２の乱数のシェアとに基づいて、複数の鍵発行装置に分散された状態の分散マスタ公開鍵をさらに生成し、
　　前記複数の鍵発行装置から取得した前記分散マスタ公開鍵に基づいて、マスタ公開鍵を生成し、
　前記ユーザ装置によって、前記マスタ公開鍵と前記ユーザ秘密鍵とを用いて再暗号化鍵を生成する、
　付記２５に記載の情報処理方法。
　（付記３３）
　秘匿される第１の乱数が分散された状態の第１の乱数のシェアと、秘匿される第２の乱数が分散された状態の第２の乱数のシェアとに基づいて、複数の鍵発行装置に分散された状態の分散マスタ秘密鍵を少なくとも生成するステップと、
　前記分散マスタ秘密鍵とユーザの識別情報とを用いて、前記ユーザのユーザ秘密鍵が分散された状態の分散ユーザ秘密鍵であって、複数の鍵発行装置から得られる当該分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵が取得される、分散ユーザ秘密鍵を生成し、その際に、秘匿され前記ユーザ秘密鍵の要素となる第３の乱数が分散された状態の第３の乱数のシェアと、秘匿される第４の乱数が分散された状態の第４の乱数のシェアを取得し、前記分散マスタ秘密鍵の要素である前記第１の乱数のシェア、前記分散マスタ秘密鍵の要素である前記第２の乱数のシェア、及び前記第３の乱数のシェアのそれぞれに対して、前記第４の乱数のシェアを乗算し、乗算の結果得られた積に基づいて、前記分散ユーザ秘密鍵を生成するステップと、
　前記分散ユーザ秘密鍵を前記ユーザのユーザ装置に送信するステップと、
　をコンピュータに実行させるプログラムが格納された非一時的なコンピュータ可読媒体。

１０　鍵発行装置
１２　分散マスタ鍵生成部
１４　分散ユーザ秘密鍵生成部
１６　送信部
５０　情報処理システム
６０　暗号化装置
１００　鍵発行装置
１０２　乱数生成部
１０４　分散部
１０６　乱数シェア取得部
１０８　シェア乗算部
１１０　復元部
１１２　シェア記憶部
１２０　分散マスタ鍵生成部
１３０　マスタ公開鍵生成部
１４０　分散ユーザ秘密鍵生成部
１５０　送信部
２００　ユーザ装置
２１０　ユーザ秘密鍵生成部
２２０　ユーザ秘密鍵記憶部
２３０　再暗号化鍵生成部
２４０　復号部
３００　再暗号化装置
３１０　再暗号化鍵記憶部
３２０　暗号文記憶部
３３０　再暗号化部

Claims (33)

1. 　鍵発行装置であって、
   　複数の鍵発行装置に分散された状態の分散マスタ秘密鍵を少なくとも生成する分散マスタ鍵生成手段と、
   　前記分散マスタ秘密鍵とユーザの識別情報とを用いて、前記ユーザのユーザ秘密鍵が分散された状態の分散ユーザ秘密鍵であって、複数の鍵発行装置から得られる当該分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵が取得される、分散ユーザ秘密鍵を生成する分散ユーザ秘密鍵生成手段と、
   　前記分散ユーザ秘密鍵を前記ユーザのユーザ装置に送信する送信手段と、
   　を有し、
   　前記分散マスタ鍵生成手段は、秘匿される第１の乱数が分散された状態の第１の乱数のシェアと、秘匿される第２の乱数が分散された状態の第２の乱数のシェアとに基づいて、前記分散マスタ秘密鍵を生成し、
   　前記分散ユーザ秘密鍵生成手段は、
   　　秘匿され前記ユーザ秘密鍵の要素となる第３の乱数が分散された状態の第３の乱数のシェアと、秘匿される第４の乱数が分散された状態の第４の乱数のシェアを取得し、
   　　前記分散マスタ秘密鍵の要素である前記第１の乱数のシェア、前記分散マスタ秘密鍵の要素である前記第２の乱数のシェア、及び前記第３の乱数のシェアのそれぞれに対して、前記第４の乱数のシェアを乗算し、
   　　乗算の結果得られた積に基づいて、前記分散ユーザ秘密鍵を生成する、
   　鍵発行装置。
2. 　前記分散ユーザ秘密鍵生成手段は、複数の鍵発行装置から得られる当該分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵が取得される際に前記第４の乱数のシェアが除去されるように、前記分散ユーザ秘密鍵を生成する、
   　請求項１に記載の鍵発行装置。
3. 　前記分散ユーザ秘密鍵生成手段は、前記第１の乱数のシェアと前記識別情報とによって得られる前記ユーザ秘密鍵の要素に対して前記第４の乱数のシェアを乗算して得られた第１の積に対して復元を行い、復元の結果得られた値の逆元である第１の値を用いて、前記分散ユーザ秘密鍵を生成する、
   　請求項２に記載の鍵発行装置。
4. 　前記分散ユーザ秘密鍵生成手段は、前記第３の乱数のシェアと、前記第２の乱数のシェア及び前記第３の乱数のシェアによって得られる前記ユーザ秘密鍵の要素に対して前記第４の乱数のシェアを乗算して得られた第２の積、及び前記第１の値を要素とする第１のデータとの組を、前記分散ユーザ秘密鍵として生成する、
   　請求項３に記載の鍵発行装置。
5. 　前記分散ユーザ秘密鍵生成手段は、予め定められた位数の乗法巡回群の生成元の第１のべき乗の、前記第１の値を指数とする第２のべき乗を、前記第１のデータとして生成し、
   　前記第１のべき乗の指数は前記第２の積に対応する、
   　請求項４に記載の鍵発行装置。
6. 　前記分散マスタ鍵生成手段は、
   　　前記第１の乱数の要素となる第１の乱数要素と、前記第２の乱数の要素となる第２の乱数要素とを生成し、
   　　前記第１の乱数要素と、前記第２の乱数要素とに対して秘密分散を行い、秘密分散によって得られた前記第１の乱数要素のシェアと前記第２の乱数要素のシェアとを他の鍵発行装置に対して送信し、
   　　前記複数の鍵発行装置から取得した前記第１の乱数要素のシェアを用いて前記第１の乱数のシェアを取得し、前記複数の鍵発行装置から取得した前記第２の乱数要素のシェアを用いて前記第２の乱数のシェアを取得する、
   　請求項１に記載の鍵発行装置。
7. 　前記分散ユーザ秘密鍵生成手段は、
   　　秘匿され前記ユーザ秘密鍵の要素となる第３の乱数の要素となる第３の乱数要素と、秘匿される第４の乱数の要素となる第４の乱数要素とを生成し、
   　　前記第３の乱数要素と、前記第４の乱数要素とに対して秘密分散を行い、秘密分散によって得られた前記第３の乱数要素のシェアと前記第４の乱数要素のシェアとを他の鍵発行装置に対して送信し、
   　　前記複数の鍵発行装置から取得した前記第３の乱数要素のシェアを用いて前記第３の乱数のシェアを取得し、前記複数の鍵発行装置から取得した前記第４の乱数要素のシェアを用いて前記第４の乱数のシェアを取得する、
   　請求項１に記載の鍵発行装置。
8. 　マスタ公開鍵を生成するマスタ公開鍵生成手段、
   　をさらに有し、
   　前記分散マスタ鍵生成手段は、前記第１の乱数のシェアと前記第２の乱数のシェアとに基づいて、複数の鍵発行装置に分散された状態の分散マスタ公開鍵をさらに生成し、
   　前記マスタ公開鍵生成手段は、前記複数の鍵発行装置から取得した前記分散マスタ公開鍵に基づいて、前記マスタ公開鍵を生成する、
   　請求項１に記載の鍵発行装置。
9. 　複数の鍵発行装置と、
   　複数のユーザ装置と、
   　再暗号化装置と、
   　を有し、
   　前記複数の鍵発行装置それぞれは、
   　　複数の鍵発行装置に分散された状態の分散マスタ秘密鍵を少なくとも生成する分散マスタ鍵生成手段と、
   　　前記分散マスタ秘密鍵とユーザの識別情報とを用いて、前記ユーザのユーザ秘密鍵が分散された状態の分散ユーザ秘密鍵であって、複数の鍵発行装置から得られる当該分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵が取得される、分散ユーザ秘密鍵を生成する分散ユーザ秘密鍵生成手段と、
   　　前記分散ユーザ秘密鍵を前記ユーザのユーザ装置に送信する送信手段と、
   　を有し、
   　前記分散マスタ鍵生成手段は、秘匿される第１の乱数が分散された状態の第１の乱数のシェアと、秘匿される第２の乱数が分散された状態の第２の乱数のシェアとに基づいて、前記分散マスタ秘密鍵を生成し、
   　前記分散ユーザ秘密鍵生成手段は、
   　　秘匿され前記ユーザ秘密鍵の要素となる第３の乱数が分散された状態の第３の乱数のシェアと、秘匿される第４の乱数が分散された状態の第４の乱数のシェアを取得し、
   　　前記分散マスタ秘密鍵の要素である前記第１の乱数のシェア、前記分散マスタ秘密鍵の要素である前記第２の乱数のシェア、及び前記第３の乱数のシェアのそれぞれに対して、前記第４の乱数のシェアを乗算し、
   　　乗算の結果得られた積に基づいて、前記分散ユーザ秘密鍵を生成し、
   　前記複数のユーザ装置それぞれは、
   　複数の前記鍵発行装置から取得した前記分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵を生成するユーザ秘密鍵生成手段と、
   　前記ユーザ秘密鍵を用いて再暗号化鍵を生成する再暗号化鍵生成手段と、
   　暗号文を復号して平文を取得する復号手段と、
   　を有し、
   　前記再暗号化装置は、前記複数のユーザ装置の第１のユーザ装置で復号可能な暗号文を前記複数のユーザ装置の第２のユーザ装置で復号可能とするための前記再暗号化鍵を用いて、前記第１のユーザ装置に関する前記ユーザ秘密鍵で復号可能な前記暗号文を、復号することなしに再暗号化し、
   　前記第２のユーザ装置の復号手段は、当該第２のユーザ装置に関する前記ユーザ秘密鍵を用いて、前記再暗号化された前記暗号文を復号する、
   　情報処理システム。
10. 　前記鍵発行装置の前記分散ユーザ秘密鍵生成手段は、複数の鍵発行装置から得られる当該分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵が取得される際に前記第４の乱数のシェアが除去されるように、前記分散ユーザ秘密鍵を生成し、
    　前記ユーザ装置の前記ユーザ秘密鍵生成手段は、前記第４の乱数のシェアが除去されるように前記分散ユーザ秘密鍵を生成する、
    　請求項９に記載の情報処理システム。
11. 　前記鍵発行装置の前記分散ユーザ秘密鍵生成手段は、前記第１の乱数のシェアと前記識別情報とによって得られる前記ユーザ秘密鍵の要素に対して前記第４の乱数のシェアを乗算して得られた第１の積に対して復元を行い、復元の結果得られた値の逆元である第１の値を用いて、前記分散ユーザ秘密鍵を生成する、
    　請求項１０に記載の情報処理システム。
12. 　前記鍵発行装置の前記分散ユーザ秘密鍵生成手段は、前記第３の乱数のシェアと、前記第２の乱数のシェア及び前記第３の乱数のシェアによって得られる前記ユーザ秘密鍵の要素に対して前記第４の乱数のシェアを乗算して得られた第２の積、及び前記第１の値を要素とする第１のデータとの組を、前記分散ユーザ秘密鍵として生成し、
    　前記ユーザ装置の前記ユーザ秘密鍵生成手段は、前記第３の乱数のシェア及び前記第２の積それぞれに対して復元を行うことにより、前記ユーザ秘密鍵を生成する、
    　請求項１１に記載の情報処理システム。
13. 　前記鍵発行装置の前記分散ユーザ秘密鍵生成手段は、予め定められた位数の乗法巡回群の生成元の第１のべき乗の、前記第１の値を指数とする第２のべき乗を、前記第１のデータとして生成し、
    　前記第１のべき乗の指数は前記第２の積に対応する、
    　請求項１２に記載の情報処理システム。
14. 　前記鍵発行装置の前記分散マスタ鍵生成手段は、
    　　前記第１の乱数の要素となる第１の乱数要素と、前記第２の乱数の要素となる第２の乱数要素とを生成し、
    　　前記第１の乱数要素と、前記第２の乱数要素とに対して秘密分散を行い、秘密分散によって得られた前記第１の乱数要素のシェアと前記第２の乱数要素のシェアとを他の鍵発行装置に対して送信し、
    　　前記複数の鍵発行装置から取得した前記第１の乱数要素のシェアを用いて前記第１の乱数のシェアを取得し、前記複数の鍵発行装置から取得した前記第２の乱数要素のシェアを用いて前記第２の乱数のシェアを取得する、
    　請求項９に記載の情報処理システム。
15. 　前記鍵発行装置の前記分散ユーザ秘密鍵生成手段は、
    　　秘匿され前記ユーザ秘密鍵の要素となる第３の乱数の要素となる第３の乱数要素と、秘匿される第４の乱数の要素となる第４の乱数要素とを生成し、
    　　前記第３の乱数要素と、前記第４の乱数要素とに対して秘密分散を行い、秘密分散によって得られた前記第３の乱数要素のシェアと前記第４の乱数要素のシェアとを他の鍵発行装置に対して送信し、
    　　前記複数の鍵発行装置から取得した前記第３の乱数要素のシェアを用いて前記第３の乱数のシェアを取得し、前記複数の鍵発行装置から取得した前記第４の乱数要素のシェアを用いて前記第４の乱数のシェアを取得する、
    　請求項９に記載の情報処理システム。
16. 　前記鍵発行装置は、
    　マスタ公開鍵を生成するマスタ公開鍵生成手段、
    　をさらに有し、
    　前記鍵発行装置の前記分散マスタ鍵生成手段は、前記第１の乱数のシェアと前記第２の乱数のシェアとに基づいて、複数の鍵発行装置に分散された状態の分散マスタ公開鍵をさらに生成し、
    　前記鍵発行装置の前記マスタ公開鍵生成手段は、前記複数の鍵発行装置から取得した前記分散マスタ公開鍵に基づいて、前記マスタ公開鍵を生成し、
    　前記ユーザ装置の前記再暗号化鍵生成手段は、前記マスタ公開鍵と前記ユーザ秘密鍵とを用いて再暗号化鍵を生成する、
    　請求項９に記載の情報処理システム。
17. 　秘匿される第１の乱数が分散された状態の第１の乱数のシェアと、秘匿される第２の乱数が分散された状態の第２の乱数のシェアとに基づいて、複数の鍵発行装置に分散された状態の分散マスタ秘密鍵を少なくとも生成し、
    　前記分散マスタ秘密鍵とユーザの識別情報とを用いて、前記ユーザのユーザ秘密鍵が分散された状態の分散ユーザ秘密鍵であって、複数の鍵発行装置から得られる当該分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵が取得される、分散ユーザ秘密鍵を生成し、その際に、秘匿され前記ユーザ秘密鍵の要素となる第３の乱数が分散された状態の第３の乱数のシェアと、秘匿される第４の乱数が分散された状態の第４の乱数のシェアを取得し、前記分散マスタ秘密鍵の要素である前記第１の乱数のシェア、前記分散マスタ秘密鍵の要素である前記第２の乱数のシェア、及び前記第３の乱数のシェアのそれぞれに対して、前記第４の乱数のシェアを乗算し、乗算の結果得られた積に基づいて、前記分散ユーザ秘密鍵を生成し、
    　前記分散ユーザ秘密鍵を前記ユーザのユーザ装置に送信する、
    　鍵発行方法。
18. 　複数の鍵発行装置から得られる当該分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵が取得される際に前記第４の乱数のシェアが除去されるように、前記分散ユーザ秘密鍵を生成する、
    　請求項１７に記載の鍵発行方法。
19. 　前記第１の乱数のシェアと前記識別情報とによって得られる前記ユーザ秘密鍵の要素に対して前記第４の乱数のシェアを乗算して得られた第１の積に対して復元を行い、復元の結果得られた値の逆元である第１の値を用いて、前記分散ユーザ秘密鍵を生成する、
    　請求項１８に記載の鍵発行方法。
20. 　前記第３の乱数のシェアと、前記第２の乱数のシェア及び前記第３の乱数のシェアによって得られる前記ユーザ秘密鍵の要素に対して前記第４の乱数のシェアを乗算して得られた第２の積、及び前記第１の値を要素とする第１のデータとの組を、前記分散ユーザ秘密鍵として生成する、
    　請求項１９に記載の鍵発行方法。
21. 　予め定められた位数の乗法巡回群の生成元の第１のべき乗の、前記第１の値を指数とする第２のべき乗を、前記第１のデータとして生成し、
    　前記第１のべき乗の指数は前記第２の積に対応する、
    　請求項２０に記載の鍵発行方法。
22. 　前記第１の乱数の要素となる第１の乱数要素と、前記第２の乱数の要素となる第２の乱数要素とを生成し、
    　前記第１の乱数要素と、前記第２の乱数要素とに対して秘密分散を行い、秘密分散によって得られた前記第１の乱数要素のシェアと前記第２の乱数要素のシェアとを他の鍵発行装置に対して送信し、
    　前記複数の鍵発行装置から取得した前記第１の乱数要素のシェアを用いて前記第１の乱数のシェアを取得し、前記複数の鍵発行装置から取得した前記第２の乱数要素のシェアを用いて前記第２の乱数のシェアを取得する、
    　請求項１７に記載の鍵発行方法。
23. 　秘匿され前記ユーザ秘密鍵の要素となる第３の乱数の要素となる第３の乱数要素と、秘匿される第４の乱数の要素となる第４の乱数要素とを生成し、
    　前記第３の乱数要素と、前記第４の乱数要素とに対して秘密分散を行い、秘密分散によって得られた前記第３の乱数要素のシェアと前記第４の乱数要素のシェアとを他の鍵発行装置に対して送信し、
    　前記複数の鍵発行装置から取得した前記第３の乱数要素のシェアを用いて前記第３の乱数のシェアを取得し、前記複数の鍵発行装置から取得した前記第４の乱数要素のシェアを用いて前記第４の乱数のシェアを取得する、
    　請求項１７に記載の鍵発行方法。
24. 　前記第１の乱数のシェアと前記第２の乱数のシェアとに基づいて、複数の鍵発行装置に分散された状態の分散マスタ公開鍵をさらに生成し、
    　前記複数の鍵発行装置から取得した前記分散マスタ公開鍵に基づいて、マスタ公開鍵を生成する、
    　請求項１７に記載の鍵発行方法。
25. 　複数の鍵発行装置それぞれによって、
    　　秘匿される第１の乱数が分散された状態の第１の乱数のシェアと、秘匿される第２の乱数が分散された状態の第２の乱数のシェアとに基づいて、複数の鍵発行装置に分散された状態の分散マスタ秘密鍵を少なくとも生成し、
    　　前記分散マスタ秘密鍵とユーザの識別情報とを用いて、前記ユーザのユーザ秘密鍵が分散された状態の分散ユーザ秘密鍵であって、複数の鍵発行装置から得られる当該分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵が取得される、分散ユーザ秘密鍵を生成し、その際に、秘匿され前記ユーザ秘密鍵の要素となる第３の乱数が分散された状態の第３の乱数のシェアと、秘匿される第４の乱数が分散された状態の第４の乱数のシェアを取得し、前記分散マスタ秘密鍵の要素である前記第１の乱数のシェア、前記分散マスタ秘密鍵の要素である前記第２の乱数のシェア、及び前記第３の乱数のシェアのそれぞれに対して、前記第４の乱数のシェアを乗算し、乗算の結果得られた積に基づいて、前記分散ユーザ秘密鍵を生成し、
    　　前記分散ユーザ秘密鍵を前記ユーザのユーザ装置に送信し、
    　前記ユーザ装置によって、
    　　複数の前記鍵発行装置から取得した前記分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵を生成し、
    　　前記ユーザ秘密鍵を用いて再暗号化鍵を生成し、
    　　暗号文を復号して平文を取得し、
    　再暗号化装置によって、第１のユーザ装置で復号可能な暗号文を第２のユーザ装置で復号可能とするための前記再暗号化鍵を用いて、前記第１のユーザ装置に関する前記ユーザ秘密鍵で復号可能な前記暗号文を、復号することなしに再暗号化し、
    　前記第２のユーザ装置によって当該第２のユーザ装置に関する前記ユーザ秘密鍵を用いて、前記再暗号化された前記暗号文を復号する、
    　情報処理方法。
26. 　前記鍵発行装置によって、複数の鍵発行装置から得られる当該分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵が取得される際に前記第４の乱数のシェアが除去されるように、前記分散ユーザ秘密鍵を生成し、
    　前記ユーザ装置によって、前記第４の乱数のシェアが除去されるように前記分散ユーザ秘密鍵を生成する、
    　請求項２５に記載の情報処理方法。
27. 　前記鍵発行装置によって、前記第１の乱数のシェアと前記識別情報とによって得られる前記ユーザ秘密鍵の要素に対して前記第４の乱数のシェアを乗算して得られた第１の積に対して復元を行い、復元の結果得られた値の逆元である第１の値を用いて、前記分散ユーザ秘密鍵を生成する、
    　請求項２６に記載の情報処理方法。
28. 　前記鍵発行装置によって、前記第３の乱数のシェアと、前記第２の乱数のシェア及び前記第３の乱数のシェアによって得られる前記ユーザ秘密鍵の要素に対して前記第４の乱数のシェアを乗算して得られた第２の積、及び前記第１の値を要素とする第１のデータとの組を、前記分散ユーザ秘密鍵として生成し、
    　前記ユーザ装置によって、前記第３の乱数のシェア及び前記第２の積それぞれに対して復元を行うことにより、前記ユーザ秘密鍵を生成する、
    　請求項２７に記載の情報処理方法。
29. 　前記鍵発行装置によって、予め定められた位数の乗法巡回群の生成元の第１のべき乗の、前記第１の値を指数とする第２のべき乗を、前記第１のデータとして生成し、
    　前記第１のべき乗の指数は前記第２の積に対応する、
    　請求項２８に記載の情報処理方法。
30. 　前記鍵発行装置によって、
    　　前記第１の乱数の要素となる第１の乱数要素と、前記第２の乱数の要素となる第２の乱数要素とを生成し、
    　　前記第１の乱数要素と、前記第２の乱数要素とに対して秘密分散を行い、秘密分散によって得られた前記第１の乱数要素のシェアと前記第２の乱数要素のシェアとを他の鍵発行装置に対して送信し、
    　　前記複数の鍵発行装置から取得した前記第１の乱数要素のシェアを用いて前記第１の乱数のシェアを取得し、前記複数の鍵発行装置から取得した前記第２の乱数要素のシェアを用いて前記第２の乱数のシェアを取得する、
    　請求項２５に記載の情報処理方法。
31. 　前記鍵発行装置によって、
    　　秘匿され前記ユーザ秘密鍵の要素となる第３の乱数の要素となる第３の乱数要素と、秘匿される第４の乱数の要素となる第４の乱数要素とを生成し、
    　　前記第３の乱数要素と、前記第４の乱数要素とに対して秘密分散を行い、秘密分散によって得られた前記第３の乱数要素のシェアと前記第４の乱数要素のシェアとを他の鍵発行装置に対して送信し、
    　　前記複数の鍵発行装置から取得した前記第３の乱数要素のシェアを用いて前記第３の乱数のシェアを取得し、前記複数の鍵発行装置から取得した前記第４の乱数要素のシェアを用いて前記第４の乱数のシェアを取得する、
    　請求項２５に記載の情報処理方法。
32. 　前記鍵発行装置によって、
    　　前記第１の乱数のシェアと前記第２の乱数のシェアとに基づいて、複数の鍵発行装置に分散された状態の分散マスタ公開鍵をさらに生成し、
    　　前記複数の鍵発行装置から取得した前記分散マスタ公開鍵に基づいて、マスタ公開鍵を生成し、
    　前記ユーザ装置によって、前記マスタ公開鍵と前記ユーザ秘密鍵とを用いて再暗号化鍵を生成する、
    　請求項２５に記載の情報処理方法。
33. 　秘匿される第１の乱数が分散された状態の第１の乱数のシェアと、秘匿される第２の乱数が分散された状態の第２の乱数のシェアとに基づいて、複数の鍵発行装置に分散された状態の分散マスタ秘密鍵を少なくとも生成するステップと、
    　前記分散マスタ秘密鍵とユーザの識別情報とを用いて、前記ユーザのユーザ秘密鍵が分散された状態の分散ユーザ秘密鍵であって、複数の鍵発行装置から得られる当該分散ユーザ秘密鍵を用いて前記ユーザ秘密鍵が取得される、分散ユーザ秘密鍵を生成し、その際に、秘匿され前記ユーザ秘密鍵の要素となる第３の乱数が分散された状態の第３の乱数のシェアと、秘匿される第４の乱数が分散された状態の第４の乱数のシェアを取得し、前記分散マスタ秘密鍵の要素である前記第１の乱数のシェア、前記分散マスタ秘密鍵の要素である前記第２の乱数のシェア、及び前記第３の乱数のシェアのそれぞれに対して、前記第４の乱数のシェアを乗算し、乗算の結果得られた積に基づいて、前記分散ユーザ秘密鍵を生成するステップと、
    　前記分散ユーザ秘密鍵を前記ユーザのユーザ装置に送信するステップと、
    　をコンピュータに実行させるプログラムが格納された非一時的なコンピュータ可読媒体。

Images