WO2012086405A1 - 暗号処理システム、鍵生成装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム - Google Patents

暗号処理システム、鍵生成装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム Download PDF

Info

Publication number
WO2012086405A1
WO2012086405A1 PCT/JP2011/078164 JP2011078164W WO2012086405A1 WO 2012086405 A1 WO2012086405 A1 WO 2012086405A1 JP 2011078164 W JP2011078164 W JP 2011078164W WO 2012086405 A1 WO2012086405 A1 WO 2012086405A1
Authority
WO
WIPO (PCT)
Prior art keywords
integer
vector
coefficient
variable
identification information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/JP2011/078164
Other languages
English (en)
French (fr)
Inventor
克幸 高島
岡本 龍明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
NTT Inc
Original Assignee
Mitsubishi Electric Corp
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp, Nippon Telegraph and Telephone Corp filed Critical Mitsubishi Electric Corp
Priority to KR1020137012670A priority Critical patent/KR101393899B1/ko
Priority to US13/823,507 priority patent/US8938623B2/en
Priority to CN201180061703.XA priority patent/CN103270719B/zh
Priority to EP11851495.9A priority patent/EP2613472A4/en
Publication of WO2012086405A1 publication Critical patent/WO2012086405A1/ja
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • H04L9/007Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models involving hierarchical structures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/008Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption

Definitions

  • the present invention relates to a functional encryption (FE) system.
  • Non-Patent Documents 3-6, 10, 12, 13, 15, and 18 describe an ID-based encryption (Identity-Based Encryption, IBE) method, which is one class of functional encryption methods.
  • IBE Identity-Based Encryption
  • An object of the present invention is to provide a secure functional encryption method having a multifunctional encryption function.
  • L KP L KP is an integer of 1 or more
  • a first KP information input unit for inputting KP ; t 1,.
  • N t KP integer K ′ decryption key generator for generating element k * i KP by setting s i KP v i, i ′ KP as coefficients of base vector b * t, i ′ KP indicated by each integer i ′
  • a second KP information input unit for inputting an attribute set ⁇ KP having; i 1,. . .
  • T 1 , h ⁇ CP and f 2 ⁇ CP are vectors having r CP elements)
  • a random number ⁇ is set as a coefficient of base vectors b 0 and q
  • element c 0 is generated.
  • a KP encrypted data generation unit for generating an element c t KP for each identification information t included in the attribute set ⁇ KP input by the second KP information input unit the basis vector b t, i of the basis B t KP
  • the decoding device The element c 0 generated by the main encrypted data generation unit, the element c t KP generated by the KP encrypted data generation unit, the element c i CP generated by the CP encrypted data generation unit, and the attribute set A data acquisition unit that acquires encrypted data ct ( ⁇ KP, SCP) including ⁇ KP and the variable ⁇ CP (i); The element k * 0 generated by the main decryption key generation unit, the element k * i KP generated by the KP decryption key generation unit, the element k * t CP generated by the CP decryption key generation unit, and the variable ⁇ A decryption key obtaining unit for obtaining a decryption
  • an access structure is embedded in both the decryption key and the ciphertext, thereby realizing a multifunctional cryptographic function.
  • Explanatory drawing of the matrix M ⁇ .
  • Explanatory drawing of s- > T. 1 is a configuration diagram of a cryptographic processing system 10 that executes a unified-policy functional encryption scheme.
  • FIG. 3 is a functional block diagram showing functions of the key generation device 100.
  • FIG. 3 is a functional block diagram showing functions of the encryption device 200.
  • FIG. 3 is a functional block diagram showing functions of a decoding device 300.
  • the flowchart which shows the process of a Setup algorithm.
  • the flowchart which shows the process of KeyGen algorithm.
  • the processing device is a CPU 911 or the like which will be described later.
  • the storage device is a ROM 913, a RAM 914, a magnetic disk 920, etc., which will be described later.
  • the communication device is a communication board 915 or the like which will be described later.
  • the input device is a keyboard 902, a communication board 915, and the like which will be described later. That is, the processing device, the storage device, the communication device, and the input device are hardware.
  • Equation 101 represents selecting y from A randomly according to the distribution of A. That is, in Equation 101, y is a random number.
  • Equation 102 represents selecting y from A uniformly. That is, in Equation 102, y is a uniform random number.
  • the number 103 represents that y is a set defined by z, or y is a set to which z is substituted.
  • a is a constant, the number 104 represents that the machine (algorithm) A outputs a for the input x.
  • the number 105 that is, F q indicates a finite field of order q.
  • the vector notation represents a vector representation in the finite field Fq . That is, Formula 106.
  • Equation 107 represents the inner product shown in Equation 109 between the two vectors x ⁇ and v ⁇ shown in Equation 108.
  • X T represents the transpose of the matrix X.
  • Equation 111 is obtained.
  • e ⁇ t, j KP, e ⁇ t, j CP indicates the normalized basis vectors shown in Formula 112, respectively.
  • ntCP in F q ntCP is n t CP .
  • SKP in the decryption key sk (SKP, ⁇ CP) is that of the S KP
  • ⁇ CP is that of gamma CP.
  • GanmaKP in the encrypted data ct ( ⁇ KP, SCP) is that of gamma KP
  • SCP is that the S CP.
  • V0 in the param V0 is that of V 0.
  • VtKP in param VtKP is V t KP .
  • VtCP in param VtCP is V t CP .
  • encryption processing includes key generation processing, encryption processing, and decryption processing.
  • Embodiment 1 FIG.
  • a basic concept for realizing the “functional encryption scheme” and the configuration of the functional encryption will be described.
  • functional encryption will be briefly described.
  • Third, the concept for realizing functional encryption will be described.
  • “span program”, “inner product of attribute vectors and access structure”, and “secret sharing scheme (secret sharing scheme)” will be described.
  • a “functional encryption scheme” according to this embodiment will be described. In this embodiment, the “Unified-Policy Functional Encryption (UP-FE) scheme” will be described.
  • UP-FE Unified-Policy Functional Encryption
  • the functional encryption scheme is an encryption scheme in which the relationship between the encryption key (encryption-key, ek) and the decryption key (decryption-key, dk) is further advanced and made more flexible.
  • an attribute x and an attribute v are set for the encryption key and the decryption key, respectively.
  • the sentence can be decrypted.
  • Various functions such as database access control, mail service, and content distribution exist in the functional encryption system (see Non-Patent Documents 2, 7, 9, 16, 19, 25-28, 30).
  • the functional encryption method is an ID-based encryption method.
  • an attribute-based encryption method as a functional encryption method more generalized than the ID-based encryption method.
  • an attribute set for an encryption key and a decryption key is a set of attributes.
  • R (X, V) is established only when the access structure S receives the input.
  • the ciphertext encrypted with the encryption key can be decrypted with the decryption key.
  • the attribute-based encryption (ABE) scheme is called Key-Policy ABE (KP-ABE).
  • KP-ABE Key-Policy ABE
  • Ciphertext-Policy ABE Ciphertext-Policy ABE
  • U-ABE Unified-Policy ABE
  • the inner product predicate encryption (IPE) described in Non-Patent Document 19 is also a class of functional encryption.
  • the attributes set for the encryption key and the decryption key are vectors on the field or ring, respectively.
  • x ⁇ : (x 1 ,..., X n ) ⁇ F q n
  • Symmetric Bilinear Pairing Groups (q, G, G T, g, e) is a prime number q, and the cyclic additive group G of order q, and a cyclic multiplicative group G T of order q, g ⁇ 0 ⁇ G If, nondegenerate bilinear pairing that can be calculated in polynomial time (nondegenerate bilinear pairing) e: a set of a G ⁇ G ⁇ G T.
  • an algorithm for outputting the value of the parameter param G : (q, G, G T , g, e) of the bilinear pairing group in which the equation 113 is input with 1 ⁇ and the security parameter is ⁇
  • G parameter param
  • a i is as shown in Formula 115.
  • Arithmetic (2) Distortion Mapping
  • the linear transformation ⁇ i, j in the space V shown in Expression 117 can perform Expression 118.
  • the linear transformation ⁇ i, j is called a distortion map.
  • a dual pairing vector space is configured by the above-described symmetric bilinear pairing group.
  • a dual pairing vector space can also be configured by an asymmetric bilinear pairing group. It is easy to apply the following description to a case where a dual pairing vector space is configured by an asymmetric bilinear pairing group.
  • FIG. 1 is an explanatory diagram of the matrix M ⁇ . ⁇ P 1 ,. . . , P n ⁇ be a set of variables.
  • M ⁇ : (M, ⁇ ) is a labeled matrix.
  • the matrix M is a matrix of (L rows ⁇ r columns) on F q . ⁇ is a label attached to each column of the matrix M, and ⁇ p 1 ,. . . , P n , ⁇ p 1 ,. . . , ⁇ p n ⁇ is associated with any one literal.
  • a submatrix M ⁇ of the matrix M is defined.
  • the matrix M ⁇ is a partial matrix composed of rows of the matrix M in which the value “1” is associated with the label ⁇ by the input column ⁇ .
  • the matrix M is a matrix of (6 rows ⁇ 5 columns).
  • the label [rho, the [rho 1 is ⁇ P 2
  • the [rho 2 is p 1
  • the [rho 3 is p 4
  • [rho to 4 ⁇ P 5 is a ⁇ P 3, [rho 6
  • a submatrix composed of rows of the matrix M associated with literals (p 1 , p 3 , p 6 , p 7 , ⁇ p 2 , ⁇ p 4 , ⁇ p 5 ) surrounded by broken lines is a matrix M. ⁇ . That is, the submatrix composed of the first row (M 1 ), the second row (M 2 ), and the fourth row (M 4 ) of the matrix M is the matrix M ⁇ .
  • (M j ) ⁇ (j) 1 is M 1 , M 2 , M 4 and the matrix M ⁇ . That is, whether or not the jth row of the matrix M is included in the matrix M ⁇ is determined depending on whether the value of the mapping ⁇ (j) is “0” or “1”.
  • the span program M ⁇ accepts the input sequence ⁇ only if 1 ⁇ ⁇ span ⁇ M ⁇ >, and rejects the input sequence ⁇ otherwise.
  • the span program M ⁇ accepts the input string ⁇ only when 1 ⁇ is obtained by linearly combining the rows of the matrix M ⁇ obtained from the matrix M ⁇ with the input string ⁇ .
  • 1 ⁇ is a row vector in which each element has a value “1”.
  • the span program M ⁇ will only change the input string ⁇ if 1 ⁇ is obtained by linearly combining the rows of the matrix M ⁇ consisting of the first, second, and fourth rows of the matrix M. Accept.
  • a literal ⁇ p 1 ,. . . , P n ⁇ the span program is called monotone.
  • the label ⁇ is a literal ⁇ p 1 ,. . . , P n , ⁇ p 1 ,. . . , ⁇ p n ⁇
  • the span program is assumed to be non-monotone.
  • an access structure non-monotone access structure
  • the access structure simply controls access to encryption. That is, it controls whether or not the ciphertext can be decrypted.
  • the span program is not monotone but non-monotone, the use range of the functional encryption system configured by using the span program is expanded.
  • mapping ⁇ (j) is calculated using the inner product of the attribute vectors.
  • the inner product of the attribute vectors is used to determine which row of the matrix M is included in the matrix M ⁇ .
  • U t includes identification information (t) of a partial complete set and an n t dimensional vector (v ⁇ ). That is, U t is (t, v ⁇ ).
  • mapping ⁇ is calculated based on the inner product of the attribute vectors v 1 ⁇ and x 2 ⁇ .
  • the secret sharing scheme is to distribute secret information into meaningless shared information.
  • the secret information s is dispersed into 10 pieces, and 10 pieces of shared information are generated.
  • each of the 10 pieces of shared information does not have the information of the secret information s. Therefore, even if one piece of shared information is obtained, no information can be obtained regarding the secret information s.
  • the secret information s can be restored.
  • a case where the secret information s can be restored with 8 of the 10 pieces of shared information in this way is called 8-out-of-10. That is, a case where the secret information s can be restored with t pieces of the n pieces of shared information is called t-out-of-n. This t is called a threshold value.
  • D 1 ,. . . , D 10 , d 1 ,. . . , D 8 up to 8 shared information can restore the secret information s, but d 3 ,. . . , D 10 is also a secret sharing scheme in which the secret information s cannot be restored if it is eight pieces of shared information. In other words, there is a secret sharing scheme that controls whether or not the secret information s can be restored according to the combination of shared information as well as the number of shared information obtained.
  • FIG. 4 is an explanatory diagram of s ⁇ T.
  • the matrix M is a matrix of (L rows ⁇ r columns).
  • Let f ⁇ T be a column vector shown in Equation 120.
  • Let s 0 shown in Equation 121 be shared secret information.
  • s ⁇ T shown in Expression 122 is a vector of L pieces of shared information of s 0 .
  • the shared information s i is assumed to belong to ⁇ (i).
  • the functional encryption scheme according to this embodiment and the following embodiments configures an access structure by applying the inner product predicate and the secret sharing scheme to the span program. Therefore, the access control can be freely designed by designing the matrix M in the span program and the attribute information x and attribute information v (predicate information) in the inner product predicate. That is, the access control can be designed with a very high degree of freedom.
  • the design of the matrix M corresponds to a condition design such as a threshold of the secret sharing scheme.
  • the attribute-based encryption method described above corresponds to a case where the design of the inner product predicate is limited to a certain condition in the access structure in the functional encryption method according to this embodiment and the following embodiments.
  • the access structure in the attribute-based encryption scheme is designed to design the attribute information x and the attribute information v (predicate information) in the inner product predicate compared to the access structure in the functional encryption scheme according to this embodiment and the following embodiments. Since there is no degree of freedom, the degree of freedom in designing access control is low. More specifically, the attribute-based encryption method uses attribute information ⁇ x ⁇ t ⁇ t ⁇ ⁇ 1,. . . , D ⁇ and ⁇ v ⁇ t ⁇ t ⁇ ⁇ 1,. . .
  • the inner product predicate encryption method described above corresponds to the case where the design of the matrix M in the span program is limited to a certain condition in the access structure in the functional encryption method according to this embodiment and the following embodiments. That is, the access structure in the inner product predicate encryption system has less degree of freedom in designing the matrix M in the span program than the access structure in the functional encryption system according to this embodiment and the following embodiments. Low degree of freedom in design.
  • the inner product predicate encryption scheme is a case where the secret sharing scheme is limited to 1-out-of-1 (or d-out-of-d).
  • the access structure in the functional encryption scheme according to this embodiment and the following embodiments constitutes a non-monotone access structure using a non-monotone span program. Therefore, the degree of freedom in designing access control becomes higher.
  • the non-monotone span program includes a negative literal ( ⁇ p)
  • ⁇ p negative literal
  • the first company has four departments, A department, B department, C department, and D department.
  • Unified-Policy means that the Policy is embedded in the decryption key and the ciphertext, that is, the access structure is embedded.
  • the Unified-Policy functional encryption scheme includes four algorithms: Setup, KeyGen, Enc, and Dec.
  • x ⁇ t KP ⁇ F q ntKP ⁇ ⁇ 0 ⁇ ⁇ , 1 ⁇ t ⁇ d KP ⁇ , This is a probabilistic algorithm that outputs the encrypted data ct ( ⁇ KP, SCP) with the access structure S CP : (M CP , ⁇ CP ) and the public parameter pk as inputs.
  • the Dec algorithm is a method for decrypting encrypted data ct ( ⁇ KP, SCP) encrypted under a set of attributes and an access structure ( ⁇ KP , S CP ), and a set of access structures and attributes (S KP , ⁇ CP ).
  • This is an algorithm that outputs a message m (plain text information) or identification information ⁇ ⁇ ⁇ with a key sk (SKP, ⁇ CP) and a public parameter pk as inputs.
  • the unified-policy functional encryption scheme includes all public parameters pk and master key sk shown in Expression 124, all access structures SKP , all attribute sets ⁇ CP, and all decryption keys sk shown in Expression 125. against (SKP, ⁇ CP) and, with all messages m, a set gamma KP of all attributes, and all the access structure S CP, with all encrypted data ct indicated in Formula 126 ( ⁇ KP, SCP),
  • m Dec (pk, sk (SKP, ⁇ CP) , ct ( ⁇ KP, SCP) ). That is, the message m can be obtained by executing the Dec algorithm with the public parameter pk, the decryption key sk (SKP, ⁇ CP), and the encrypted data ct ( ⁇ KP, SCP) as inputs.
  • FIG. 5 is a configuration diagram of the cryptographic processing system 10 that executes the Unified-Policy functional encryption scheme.
  • the cryptographic processing system 10 includes a key generation device 100, an encryption device 200, and a decryption device 300.
  • the key generator 100 generates an access structure S KP, a set gamma CP attributes, and public parameters pk, running KeyGen algorithm as input a master key sk, the decryption key sk (SKP, ⁇ CP) Then, it is secretly distributed to the decryption device 300.
  • Encryption device 200 and a message m, a set gamma KP attributes, and access structure S CP, running Enc algorithm as input the public parameter pk, to generate encrypted data ct ( ⁇ KP, SCP).
  • the encryption device 200 transmits the generated encrypted data ct ( ⁇ KP, SCP) to the decryption device 300.
  • the decryption apparatus 300 receives the public parameter pk, the decryption key sk (SKP, ⁇ CP), and the encrypted data ct ( ⁇ KP, SCP) , executes the Dec algorithm, and outputs the message m or the identification information ⁇ .
  • FIG. 6 is a functional block diagram illustrating functions of the key generation device 100.
  • FIG. 7 is a functional block diagram showing functions of the encryption device 200.
  • FIG. 8 is a functional block diagram illustrating functions of the decoding device 300.
  • 9 and 10 are flowcharts showing the operation of the key generation apparatus 100.
  • FIG. 9 is a flowchart showing the process of the Setup algorithm
  • FIG. 10 is a flowchart showing the process of the KeyGen algorithm.
  • FIG. 9 is a flowchart showing the process of the Setup algorithm
  • FIG. 10 is a flowchart showing the process of the KeyGen algorithm.
  • FIG. 11 is a flowchart showing the operation of the encryption apparatus 200, and is a flowchart showing the processing of the Enc algorithm.
  • FIG. 12 is a flowchart showing the operation of the decoding apparatus 300, and is a flowchart showing the Dec algorithm processing.
  • x t, 1 KP and x t, 1 CP are not normalized, (1 / x t, 1 KP ) ⁇ x t, 1 KP and (1 / x t, 1 CP ) ⁇ x
  • What is necessary is just to normalize as t, 1 CP .
  • x t, i KP and x t, i CP are not 0.
  • the key generation device 100 includes a master key generation unit 110, a master key storage unit 120, an information input unit 130 (first information input unit), a decryption key generation unit 140, and a key distribution unit 150.
  • the information input unit 130 includes a KP information input unit 131 (first KP information input unit) and a CP information input unit 132 (first CP information input unit).
  • the decryption key generation unit 140 includes an f vector generation unit 141, an s vector generation unit 142, a random number generation unit 143, a main decryption key generation unit 144, a KP decryption key generation unit 145, and a CP decryption key generation unit 146.
  • d KP is an integer of 1 or more
  • t 1,. . .
  • D KP , n t KP , u t KP , w t KP , and z t KP are integers of 1 or more.
  • u 0 , w 0 and z 0 are integers of 1 or more.
  • GL is an abbreviation for General Linear. That is, GL is a general linear group, a set of square matrices whose determinants are not 0, and a group for multiplication.
  • the master key generation unit 110 based on the linear transformation X t KP, to produce a base B t KP from the canonical basis A t KP. Similarly, the master key generation unit 110 generates a base B * t KP from the standard base A t KP based on ( ⁇ t KP , i, j ) i, j .
  • the master key generation unit 110 generates a base B t CP from the standard base A t CP based on the linear transformation X t CP . Similarly, the master key generation unit 110 generates a base B * t CP from the standard base A t CP based on ( ⁇ t CP , i, j ) i, j .
  • the master key generation unit 110 calculates Formula 133 by the processing device.
  • the master key generation unit 110 sets the e (g, g) ⁇ in g T.
  • t 1,. . .
  • t 1 ,. . .
  • t 1,. . .
  • t 1,. . .
  • t 1 ⁇ ⁇
  • t 1 ⁇
  • S101 public parameter generation step
  • S101 Public parameter generation step
  • the master key generation unit 110 generates the generated partial base B ⁇ 0 , partial base B ⁇ t KP , partial base B ⁇ t CP , the security parameter ⁇ (1 ⁇ ) input in (S101), and (S101).
  • the generated parameter n ⁇ is combined to be a public parameter pk.
  • the master key storage unit 120 stores the public parameter pk generated in (S102) in the storage device. Further, the master key storage unit 120 stores the master key sk generated in (S103) in the storage device.
  • the key generation device 100 executes the Setup algorithm shown in Formula 136 to generate the public parameter pk and the master key sk.
  • the key generation device 100 stores the generated public parameter pk and master key sk in the storage device.
  • the public parameter is made public via a network, for example, and is made available for the encryption device 200 and the decryption device 300.
  • the matrix M KP is a matrix of L KP rows ⁇ r KP columns.
  • L KP and r KP are integers of 1 or more.
  • t is not all integer less 1 or d CP, it may be one or more d CP following at least a portion of the integer.
  • the setting of the matrix M KP of the access structure S KP is set according to the conditions of the system to be realized. Also, the set gamma CP of [rho KP and attributes of the access structure S KP, for example, attribute information of the user of the decryption key sk (SKP, ⁇ CP) is set.
  • the f vector generation unit 141 randomly generates a vector f ⁇ KP having r KP elements as shown in Expression 137 by the processing device.
  • the s vector generation unit 142 uses the processing device to generate a matrix M KP of (L KP rows ⁇ r KP columns) included in the access structure S KP input in (S201) and r KP elements generated in (S202).
  • a vector (s ⁇ KP ) T is generated based on the vector f ⁇ KP having
  • the s vector generation unit 142 generates the value s 0 KP as shown in Equation 139 based on the vector f ⁇ KP generated in (S202) by the processing device.
  • 1 ⁇ is a vector in which all elements have a value of 1.
  • the random number generation unit 143 indicates the random number ⁇ ⁇ t CP and the random number ⁇ ⁇ 0 for each integer t of (t, x ⁇ t CP ) included in the random number ⁇ CP and ⁇ CP by the processing device in the formula 140. Generate as follows.
  • the main decryption key generation unit 144 generates the main decryption key k * 0 , which is an element of the decryption key sk (SKP, ⁇ CP), by the processing device as shown in Formula 141.
  • Equation 111 is used for the basis B and the basis B * shown in Equation 110. Therefore, the equation 141 means that the coefficient of the basis vector of the basis B * 0 is set as follows.
  • the notation is simplified and the basis vector is specified only by the portion i among the basis vectors b * 0, i .
  • the basis vector 1 means the basis vector b * 0,1 .
  • the basis vectors b * 0 , 1,. . . , B * 0,3 . -S 0 KP is set as the coefficient of the basis vector 1 of the basis B * 0 .
  • a random number ⁇ CP is set as a coefficient of the basis vector 2.
  • Basis vectors 2 + 1,. . . , 2 + u 0 is set to 0. 1 is set as the coefficient of the basis vector 2 + u 0 +1.
  • Basis vector 2 + u 0 + 1 + w 0 +1,. . . , 2 + u 0 + 1 + w 0 + z 0 as a coefficient of 0 is set.
  • Equation 142 means that the basis vector coefficient of basis B * t KP is set as follows.
  • the notation is simplified, and the basis vector is specified only by the portion i among the basis vectors b * t, i KP .
  • the basis vector 1 means the basis vector b * t, 1 KP .
  • ⁇ KP (i) is an affirmative group (t, v ⁇ i KP )
  • s i KP + ⁇ i KP v i, 1 KP is set as the coefficient of the base vector 1.
  • e ⁇ t, j KP represents a normal basis vector represented by Formula 112.
  • Basis vectors n t KP +1,. . . , N t KP + u t KP , 0 is set.
  • Basis vectors n t KP + u t KP + w t KP +1,. . . , N t KP + u t KP + w t KP + z t KP is set to 0.
  • ⁇ KP (i) is a negative combination (t, v ⁇ i KP )
  • N t KP + u t KP , 0 is set.
  • Basis vectors n t KP + u t KP + w t KP +1,. . . , N t KP + u t KP + w t KP + z t KP is set to 0.
  • ⁇ i KP and ⁇ ⁇ i KP are random numbers generated by the random number generation unit 143.
  • Equation 143 means that the coefficient of the basis vector of the basis B * t CP is set as follows, like Equation 141.
  • the notation is simplified, and the basis vector is specified only by the part i among the basis vectors b * t, iCP .
  • the basis vector 1 means the basis vector b * t, 1 CP .
  • Basis vectors 1,. . . , N t CP as ⁇ CP x t, 1 CP,. . . , ⁇ CP x t, ntCP CP ( here, NTCP is that of n t CP) is set.
  • Basis vectors n t CP +1,. . . , N t CP + u t CP is set to 0.
  • Basis vectors n t CP + u t CP + w t CP +1,. . . , N t CP + u t CP + w t CP + z t CP is set to 0.
  • a decryption key sk (SKP, ⁇ CP) whose element is t CP (t is t in (t, x ⁇ t CP ) included in the attribute set ⁇ CP ) is secretized via a network by a communication device, for example. Distributed to the decryption apparatus 300.
  • the decryption key sk (SKP, ⁇ CP) may be distributed to the decryption apparatus 300 by other methods.
  • the key generation device 100 executes the KeyGen algorithm shown in Formula 144 to generate the decryption key sk (SKP, ⁇ CP) .
  • the key generation device 100 distributes the generated decryption key sk (SKP, ⁇ CP) to the decryption device 300.
  • the encryption device 200 includes a public parameter acquisition unit 210, an information input unit 220 (second information input unit), an encrypted data generation unit 230, and a data transmission unit 240 (data output unit).
  • the information input unit 220 includes a KP information input unit 221 (second KP information input unit), a CP information input unit 222 (second CP information input unit), and a message input unit 223.
  • the encrypted data generation unit 230 includes an f vector generation unit 231, an s vector generation unit 232, a random number generation unit 233, a main encryption data generation unit 234, a KP encryption data generation unit 235, and a CP encryption data generation unit 236.
  • the message encrypted data generation unit 237 is provided.
  • the processing of the Enc algorithm will be described based on FIG. (S301: Public parameter acquisition step)
  • the public parameter acquisition unit 210 acquires, for example, the public parameter pk generated by the key generation device 100 via the network by the communication device.
  • t is not all integer less 1 or d KP, may be one or more d KP following at least a portion of the integer.
  • the matrix M CP is a matrix of L CP rows ⁇ r CP columns.
  • L CP and r CP are integers of 1 or more.
  • the message input unit inputs a message m to be transmitted to the decryption device 300 using the input device.
  • the setting of the matrix M CP of the access structure S CP is set according to the conditions of the system to be realized. In the access structure S CP ⁇ CP and attribute set ⁇ KP , for example, user attribute information that can be decrypted is set.
  • the random number generation unit 233 uses a processing device to calculate a random number ⁇ KP , a random number ⁇ ⁇ 0, and ⁇ ⁇ t KP and a random number ⁇ for each integer t included in (t, x ⁇ t KP ) included in ⁇ KP. Generate as shown at 145.
  • the f vector generation unit 231 randomly generates a vector f ⁇ CP having r CP elements, as shown in Formula 146, by the processing device.
  • (S305: s vector generation step) s vector generation unit 232, the processing device, (S302) and the matrix M CP of included in the access structure S CP input (L CP rows ⁇ r CP columns) in, r CP pieces of elements generated in (S304)
  • a vector (s ⁇ CP ) T is generated based on the vector f ⁇ CP having the following formula (147).
  • the s vector generation unit 142 generates the value s 0 CP as shown in the equation 148 based on the vector f ⁇ CP generated in (S304) by the processing device. Note that 1 ⁇ is a vector in which all elements have a value of 1.
  • the main encrypted data generation unit 234 generates the main encrypted data c 0 that is an element of the encrypted data ct ( ⁇ KP, SCP) by the processing device as shown in the equation 149.
  • Equation 111 is used for the basis B and the basis B * shown in Equation 110.
  • the number 149 is as follows, the coefficient of the basis vectors of the basis B 0 is meant to be set.
  • the notation is simplified and the basis vector is specified only by the portion i among the basis vectors b 0, i .
  • the basis vector 1 means the basis vector b 0,1 .
  • a random number ⁇ KP is set as a coefficient of the basis vector 1 of the basis B 0 . -S 0 CP is set as the coefficient of the basis vector 2.
  • Basis vectors 2 + 1,. . . , 2 + u 0 is set to 0.
  • a random number ⁇ is set as a coefficient of the basis vector 2 + u 0 +1.
  • Basis vectors 2 + u 0 + 1 + 1,. . . , 0 as a coefficient of 2 + u 0 + 1 + w 0 is set.
  • the KP encrypted data generation unit 235 uses the processing device to generate KP encrypted data c that is an element of the encrypted data ct ( ⁇ KP, SCP) for each integer t included in ⁇ KP (t, x ⁇ t KP ).
  • t KP is generated as shown in Formula 150. That is, Expression 150 means that the coefficient of the basis vector of the basis B t KP is set as follows, like Expression 149. Here, the notation is simplified, and the basis vector is specified only by the portion i among the basis vectors b t, i KP .
  • the basis vector 1 means the basis vector b t, 1 KP . Also, basis vectors 1,. . .
  • Basis vectors n t KP +1,. . . , N t KP + u t KP + w t KP is set to 0.
  • basis vectors b t, 1 CP,. . . , B t, 3 means CP .
  • ⁇ CP (i) is an affirmative pair (t, v ⁇ i CP )
  • s i CP + ⁇ i CP v i, 1 CP is set as the coefficient of the basis vector 1.
  • e ⁇ t, j CP represents a normal basis vector represented by Formula 112.
  • ⁇ i CP v i, ntCP CP ( here, NTCP is that of n t CP) is set.
  • Basis vectors n t CP +1,. . . , N t CP + u t CP + w t CP is set to 0.
  • ⁇ CP (i) is a negative combination (t, v ⁇ i CP )
  • the basis vectors 1,. . . , N t CP as coefficients of s i CP v i, 1 CP,. . . , S i CP v i, ntCP CP ( here, NTCP is that of n t CP) is set.
  • Basis vectors n t CP +1,. . . , N t CP + u t CP + w t CP is set to 0.
  • ⁇ i CP and ⁇ ⁇ i CP are random numbers generated by the random number generation unit 233.
  • the message encrypted data generation unit 237 generates message encrypted data cd + 1 , which is an element of the encrypted data ct ( ⁇ KP, SCP), by the processing device as shown in Formula 152. Note that, as described above, Expression 153.
  • the data transmission unit 240 includes the main encrypted data c 0 , the attribute set ⁇ KP and the KP encrypted data c t KP , the access structure SCP and the CP encrypted data c i CP, and the message encrypted data c d + 1 .
  • the encrypted data ct ( ⁇ KP, SCP) is transmitted to the decryption device 300 via the network by the communication device.
  • the encrypted data ct ( ⁇ KP, SCP) may be transmitted to the decryption apparatus 300 by other methods.
  • the encryption apparatus 200 executes the Enc algorithm expressed by Equation 154 to generate encrypted data ct ( ⁇ KP, SCP) .
  • the encryption device 200 transmits the generated encrypted data ct ( ⁇ KP, SCP) to the decryption device 300.
  • the decryption apparatus 300 includes a decryption key acquisition unit 310, a data reception unit 320 (data acquisition unit), a span program calculation unit 330, a complementary coefficient calculation unit 340, a pairing calculation unit 350, and a message calculation unit 360.
  • the span program calculation unit 330 includes a KP span program calculation unit 331 and a CP span program calculation unit 332.
  • the complementary coefficient calculation unit 340 includes a KP complementary coefficient calculation unit 341 and a CP complementary coefficient calculation unit 342.
  • the decryption key acquisition unit 310 acquires, for example, the decryption key sk (SKP, ⁇ CP) distributed from the key generation device 100 via the network by the communication device. Further, the decryption key acquisition unit 310 acquires the public parameter pk generated by the key generation device 100.
  • the decryption key acquisition unit 310 acquires the public parameter pk generated by the key generation device 100.
  • the data receiving unit 320 receives the encrypted data ct ( ⁇ KP, SCP) transmitted from the encryption device 200 via the network by the communication device.
  • KP span program calculation unit 331 by the processing device, the obtained decryption key sk (SKP, ⁇ CP) at (S401) the access structure S KP is contained in the encrypted data ct received in (S402) ( ⁇ KP, SCP) It is determined whether or not to accept the set of attributes ⁇ KP included in.
  • CP span program calculation unit 332 by the processing device, the encrypted data ct ( ⁇ KP, SCP) received in (S402) the access structure S CP contained in the, (S401) the decryption key acquired in sk (SKP, It is determined whether or not to accept the set of attributes ⁇ CP included in ⁇ CP) .
  • the method for determining whether or not the access structure accepts the attribute set is as described in “3. Concept for realizing functional encryption”.
  • the span program calculation unit 330 advances the process to (S404). .
  • the access structure S KP rejects the attribute set ⁇ KP and / or the access structure S CP rejects the attribute set ⁇ CP (rejected in S403)
  • the encrypted data ct Assuming that ⁇ KP, SCP) cannot be decrypted with the decryption key sk (SKP, ⁇ CP)
  • the identification information ⁇ is output, and the process is terminated.
  • the KP complementary coefficient calculation unit 341 calculates I KP as expressed by Formula 155 and a constant (complement coefficient) ⁇ i KP for each integer i included in I KP by the processing device.
  • the CP complement coefficient calculation unit 342 calculates an I CP of Formula 156 and a constant (complement coefficient) ⁇ i CP for each integer i included in the I CP by the processing device.
  • the cryptographic processing system 10 uses the access structure S KP and S CP constructed using the span program and inner product predicate and secret sharing, to realize the cryptography (functional encryption scheme). Therefore, the cryptographic processing system 10 realizes an encryption method that can design access control with a very high degree of freedom.
  • the cryptographic processing system 10 has the access structure SKP as a decryption key and the access structure SCP as encrypted data. Therefore, the cryptographic processing system 10 can perform access control using both the decryption key and the encrypted data.
  • 2 + u 0 + 1 + w 0 + z 0 is set to N 0 in (S101).
  • 2 + u 0 + 1 + w 0 + z 0 may be set to 2 + 2 + 1 + 2 + 1, and 8 may be set to N 0 .
  • the n t KP + u t KP + w t KP + z t KP as n t KP + n t KP + n t KP +1 may be set 3n t KP +1 to N t KP.
  • the n t CP + u t CP + w t CP + z t CP may be set 3n t CP +1 to N t CP.
  • Equation 160 the Setup algorithm shown in Equation 136 is rewritten as shown in Equation 160.
  • Gob UP is rewritten as shown in Formula 161.
  • the KeyGen algorithm shown in Formula 144 can be rewritten as Formula 162.
  • the Enc algorithm shown in Expression 154 can be rewritten as Expression 163. There is no change in the Dec algorithm shown in Formula 159.
  • N 0 is not 8 and may be an integer of 3 or more.
  • the base B 0 and the base B * 0 are two-dimensional.
  • B * 0 is that of B * 0, B0 is that of B 0.
  • k * 0 : ( ⁇ s 0 , ⁇ CP , 0, 0, 1 , ⁇ 0 , 1 , ⁇ 0 , 2 , 0) B * 0 .
  • k * 0 : ( ⁇ s 0 , ⁇ CP , 0,0, ⁇ , ⁇ 0,1 , ⁇ 0,2 , 0) B * using a predetermined value ⁇ known to the encryption device 200 . It may be 0 .
  • B * 0 is that of B * 0, B0 is that of B 0.
  • K: g ⁇ T calculated by the Dec algorithm
  • v i, NTCP CP (where NTCP than it of n t CP) not particularly limited value of.
  • ⁇ 1 to KP may be limited to be injection.
  • i 1,. . . , [Rho CP for each integer i of L CP (i) is a positive-type set of the different identification information t respectively (t, v ⁇ i CP) or negation of the set ⁇ (t, v ⁇ i CP ) You may limit that there is.
  • the Setup algorithm may be executed once at the time of setting up the cryptographic processing system 10, and need not be executed every time a decryption key is generated.
  • the key generation device 100 executes the Setup algorithm and the KeyGen algorithm. However, different devices may execute the Setup algorithm and the KeyGen algorithm.
  • the span program M ⁇ accepts the input string ⁇ only when 1 ⁇ is obtained by linearly combining the rows of the matrix M ⁇ obtained from the matrix M ⁇ with the input string ⁇ .
  • the span program M ⁇ may accept the input sequence ⁇ only when another vector h ⁇ is obtained instead of 1 ⁇ .
  • Embodiment 2 the method for realizing the cryptographic processing in the dual vector space has been described. In this embodiment, a method for realizing cryptographic processing in a dual module will be described.
  • the unified-policy functional encryption described in the first embodiment is realized in a module with a ring R as a coefficient, it is as shown in Expression 165 to Expression 169.
  • the cryptographic processing in the above description can also delegate authority.
  • Delegation of authority means that a person who has a decryption key generates a lower-order decryption key whose authority is weaker than that decryption key.
  • FIG. 13 is a diagram illustrating an example of a hardware configuration of the key generation device 100, the encryption device 200, and the decryption device 300.
  • the key generation device 100, the encryption device 200, and the decryption device 300 include a CPU 911 (Central Processing Unit, central processing unit, processing unit, arithmetic unit, microprocessor, microcomputer, A processor).
  • CPU 911 Central Processing Unit, central processing unit, processing unit, arithmetic unit, microprocessor, microcomputer, A processor
  • the CPU 911 is connected to the ROM 913, the RAM 914, the LCD 901 (Liquid Crystal Display), the keyboard 902 (K / B), the communication board 915, and the magnetic disk device 920 via the bus 912, and controls these hardware devices.
  • the magnetic disk device 920 (fixed disk device)
  • a storage device such as an optical disk device or a memory card read / write device may be used.
  • the magnetic disk device 920 is connected via a predetermined fixed disk interface.
  • the ROM 913 and the magnetic disk device 920 are examples of a nonvolatile memory.
  • the RAM 914 is an example of a volatile memory.
  • the ROM 913, the RAM 914, and the magnetic disk device 920 are examples of a storage device (memory).
  • the keyboard 902 and the communication board 915 are examples of input devices.
  • the communication board 915 is an example of a communication device.
  • the LCD 901 is an example of a display device.
  • an operating system 921 OS
  • a window system 922 a program group 923
  • a file group 924 are stored in the magnetic disk device 920 or the ROM 913.
  • the programs in the program group 923 are executed by the CPU 911, the operating system 921, and the window system 922.
  • the program group 923 includes “master key generation unit 110”, “information input unit 130”, “decryption key generation unit 140”, “key distribution unit 150”, “public parameter acquisition unit 210”, “information” in the above description.
  • the program is read and executed by the CPU 911.
  • Information, data, signal values, variable values, and parameters stored in a storage medium such as a disk or memory are read out to the main memory or cache memory by the CPU 911 via a read / write circuit, and extracted, searched, referenced, compared, and calculated. Used for the operation of the CPU 911 such as calculation / processing / output / printing / display. Information, data, signal values, variable values, and parameters are temporarily stored in the main memory, cache memory, and buffer memory during the operation of the CPU 911 for extraction, search, reference, comparison, calculation, calculation, processing, output, printing, and display. Is remembered.
  • the arrows in the flowchart mainly indicate input / output of data and signals, and the data and signal values are recorded in a memory of the RAM 914, other recording media such as an optical disk, and an IC chip.
  • Data and signals are transmitted online by a bus 912, signal lines, cables, other transmission media, and radio waves.
  • what is described as “to part” in the above description may be “to circuit”, “to device”, “to device”, “to means”, and “to function”. It may be “step”, “ ⁇ procedure”, “ ⁇ processing”.
  • ⁇ device may be “ ⁇ circuit”, “ ⁇ equipment”, “ ⁇ means”, “ ⁇ function”, and “ ⁇ step”, “ ⁇ procedure”, “ May be “processing”.
  • to process may be “to step”. That is, what is described as “ ⁇ unit” may be realized by firmware stored in the ROM 913. Alternatively, it may be implemented only by software, or only by hardware such as elements, devices, substrates, and wirings, by a combination of software and hardware, or by a combination of firmware.
  • Firmware and software are stored in a recording medium such as ROM 913 as a program. The program is read by the CPU 911 and executed by the CPU 911. That is, the program causes a computer or the like to function as the “ ⁇ unit” described above. Alternatively, the procedure or method of “unit” described above is executed by a computer or the like.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Abstract

 多くの暗号機能を有する安全な関数型暗号方式を提供することを目的とする。スパンプログラムに属性ベクトルの内積を適用することにより、アクセスストラクチャを構成した。このアクセスストラクチャは、スパンプログラムの設計と、属性ベクトルの設計とに自由度があり、アクセス制御の設計に大きな自由度を有する。このアクセスストラクチャを、暗号文と復号鍵とのそれぞれに持たせて関数型暗号処理を実現した。

Description

暗号処理システム、鍵生成装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム
 この発明は、関数型暗号(Functional Encryption,FE)方式に関するものである。
 非特許文献3-6,10,12,13,15,18には、関数型暗号方式の1つのクラスであるIDベース暗号(Identity-Based Encryption,IBE)方式についての記載がある。
Beimel, A., Secure schemes for secret sharing and key distribution. PhD Thesis, Israel Institute of Technology, Technion, Haifa, Israel, 1996 Bethencourt, J., Sahai, A., Waters, B.: Ciphertextpolicy attribute-based encryption. In: 2007 IEEE Symposium on Security and Privacy, pp. 321・34. IEEE Press (2007) Boneh, D., Boyen, X.: Efficient selective-ID secure identity based encryption without random oracles. In:Cachin, C., Camenisch, J. (eds.) EUROCRYPT 2004. LNCS, vol. 3027, pp. 223・38. Springer Heidelberg(2004) Boneh, D., Boyen, X.: Secure identity based encryption without random oracles. In: Franklin, M.K. (ed.)CRYPTO 2004. LNCS, vol. 3152, pp. 443・59. Springer Heidelberg (2004) Boneh, D., Boyen, X., Goh, E.: Hierarchical identity based encryption with constant size ciphertext. In:Cramer, R. (ed.) EUROCRYPT 2005. LNCS, vol. 3494, pp. 440・56. Springer Heidelberg (2005) Boneh, D., Franklin, M.: Identity-based encryption from the Weil pairing. In: Kilian, J. (ed.) CRYPTO2001. LNCS, vol. 2139, pp. 213・29. Springer Heidelberg (2001) Boneh, D., Hamburg, M.: Generalized identity based and broadcast encryption scheme. In: Pieprzyk, J.(ed.) ASIACRYPT 2008. LNCS, vol. 5350, pp. 455・70. Springer Heidelberg (2008) Boneh, D., Katz, J., Improved efficiency for CCA-secure cryptosystems built using identity based encryption. RSA-CT 2005, LNCS, Springer Verlag (2005) Boneh, D., Waters, B.: Conjunctive, subset, and range queries on encrypted data. In: Vadhan, S.P. (ed.)TCC 2007. LNCS, vol. 4392, pp. 535・54. Springer Heidelberg (2007) Boyen, X., Waters, B.: Anonymous hierarchical identity-based encryption (without random oracles). In:Dwork, C. (ed.) CRYPTO 2006. LNCS, vol. 4117, pp. 290・07. Springer Heidelberg (2006) Canetti, R., Halevi S., Katz J., Chosen-ciphertext security from identity-based encryption. EUROCRYPT2004, LNCS, Springer-Verlag (2004) Cocks, C.: An identity based encryption scheme based on quadratic residues. In: Honary, B. (ed.) IMAInt. Conf. LNCS, vol. 2260, pp. 360・63. Springer Heidelberg (2001) Gentry, C.: Practical identity-based encryption without random oracles. In: Vaudenay, S. (ed.) EUROCRYPT 2006. LNCS, vol. 4004, pp. 445・64. Springer Heidelberg (2006) Gentry, C., Halevi, S.: Hierarchical identity-based encryption with polynomially many levels. In: Reingold,O. (ed.) TCC 2009. LNCS, vol. 5444, pp. 437・56. Springer Heidelberg (2009) Gentry, C., Silverberg, A.: Hierarchical ID-based cryptography. In: Zheng, Y. (ed.) ASIACRYPT 2002.LNCS, vol. 2501, pp. 548・66. Springer Heidelberg (2002) Goyal, V., Pandey, O., Sahai, A., Waters, B.: Attribute-based encryption for fine-grained access controlof encrypted data. In: ACM Conference on Computer and Communication Security 2006, pp. 89・8, ACM(2006) Groth, J., Sahai, A.: Efficient non-interactive proof systems for bilinear groups. In: Smart, N.P. (ed.)EUROCRYPT 2008. LNCS, vol. 4965, pp. 415・32. Springer Heidelberg (2008) Horwitz, J., Lynn, B.: Towards hierarchical identity-based encryption. In: Knudsen, L.R. (ed.) EUROCRYPT 2002. LNCS, vol. 2332, pp. 466・81. Springer Heidelberg (2002) Katz, J., Sahai, A., Waters, B.: Predicate encryption supporting disjunctions, polynomial equations, andinner products. In: Smart, N.P. (ed.) EUROCRYPT 2008. LNCS, vol. 4965, pp. 146・62. Springer Heidelberg (2008) Lewko, A., Okamoto, T., Sahai, A., Takashima, K., Waters, B.: Fully secure functional encryption: Attribute-based encryption and (hierarchical) inner product encryption, In: Gilbert, H. (ed.) EUROCRYPT 2010. LNCS, vol. 6110, pp. 62-91. Springer, Heidelberg (2010) Lewko, A.B., Waters, B.: Fully secure HIBE with short ciphertexts. ePrint, IACR, http://eprint.iacr.org/2009/482 Okamoto, T., Takashima, K.: Homomorphic encryption and signatures from vector decomposition. In:Galbraith, S.D., Paterson, K.G. (eds.) Pairing 2008. LNCS, vol. 5209, pp. 57・4. Springer Heidelberg(2008) Okamoto, T., Takashima, K.: Hierarchical predicate encryption for Inner-Products, In: ASIACRYPT 2009,Springer Heidelberg (2009) Okamoto, T., Takashima, K.: Fully Secure Functional Encryption with General Relations from the Decisional Linear Assumption, In: CRYPTO 2010, LNCS vol. 6223, pp. 191-208. Springer Heidelberg (2010) Ostrovsky, R., Sahai, A., Waters, B.: Attribute-based encryption with non-monotonic access structures.In: ACM Conference on Computer and Communication Security 2007, pp. 195・03, ACM (2007) Pirretti, M., Traynor, P., McDaniel, P., Waters, B.: Secure attribute-based systems. In: ACM Conferenceon Computer and Communication Security 2006, pp. 99・12, ACM, (2006) Sahai, A., Waters, B.: Fuzzy identity-based encryption. In: Cramer, R. (ed.) EUROCRYPT 2005. LNCS,vol. 3494, pp. 457・73. Springer Heidelberg (2005) Shi, E., Waters, B.: Delegating capability in predicate encryption systems. In: Aceto, L., Damgard, I.,Goldberg, L.A., Halldosson, M.M., Ingofsdotir, A., Walukiewicz, I. (eds.) ICALP (2) 2008. LNCS, vol.5126, pp. 560・78. Springer Heidelberg (2008) Waters, B.: Efficient identity based encryption without random oracles. Eurocrypt 2005, LNCS No. 3152,pp.443・59.Springer Verlag, 2005. Waters, B.: Ciphertext-policy attribute-based encryption: an expressive, efficient, and provably securerealization. ePrint, IACR, http://eprint.iacr.org/2008/290 Waters, B.: Dual system encryption: Realizing fully secure IBE and HIBE under simple assumptions. In:Halevi, S. (ed.) CRYPTO 2009. LNCS, vol. 5677, pp. 619・36. Springer Heidelberg (2009)
 この発明は、多機能な暗号機能を有する安全な関数型暗号方式を提供することを目的とする。
 この発明に係る暗号処理システムは、
 鍵生成装置と暗号化装置と復号装置とを備え、基底B及び基底B と、t=1,...,dKP(dKPは1以上の整数)の各整数tについての基底B KP及び基底B KPと、t=1,...,dCP(dCPは1以上の整数)の各整数tについての基底B CP及び基底B CPとを用いて暗号処理を実行する暗号処理システムであり、
 前記鍵生成装置は、
 i=1,...,LKP(LKPは1以上の整数)の各整数iについての変数ρKP(i)であって、識別情報t(t=1,...,dKPのいずれかの整数)と、属性ベクトルv KP:=(vi,i’ KP)(i’=1,...,n KP,n KPは1以上の整数)との肯定形の組(t,v KP)又は否定形の組¬(t,v KP)のいずれかである変数ρKP(i)と、LKP行rKP列(rKPは1以上の整数)の所定の行列MKPとを入力する第1KP情報入力部と、
 t=1,...,dCPの少なくとも1つ以上の整数tについて、識別情報tと、属性ベクトルx CP:=(xt,i’ CP)(i’=1,...,n CP,n CPは1以上の整数)とを有する属性集合ΓCPを入力する第1CP情報入力部と、
 基底B の基底ベクトルb 0,p(pは所定の値)の係数として値-s KP(s KP:=h→KP・(f→KP,h→KP及びf→KPはrKP個の要素を有するベクトル)を設定し、基底ベクトルb 0,p’(p’は前記pとは異なる所定の値)の係数として乱数δCPを設定し、基底ベクトルb 0,q(qは前記p及び前記p’とは異なる所定の値)の係数として所定の値κを設定して要素k を生成する主復号鍵生成部と、
 前記f→KPと、前記第1KP情報入力部が入力した行列MKPに基づき生成される列ベクトル(s→KP:=(s KP,...,s KP:=MKP・(f→KP(i=LKP)と、乱数θ KP(i=1,...,LKP)とに基づき、i=1,...,LKPの各整数iについての要素k KPを生成するKP復号鍵生成部であって、i=1,...,LKPの各整数iについて、変数ρKP(i)が肯定形の組(t,v KP)である場合には、その組の識別情報tが示す基底B KPの基底ベクトルb t,1 KPの係数としてs KP+θ KPi,1 KPを設定するとともに、前記識別情報tとi’=2,...,n KPの各整数i’とが示す基底ベクトルb t,i’ KPの係数としてθ KPi,i’ KPを設定して要素k KPを生成し、変数ρKP(i)が否定形の組¬(t,v KP)である場合には、その組の識別情報tとi’=1,...,n KPの各整数i’とが示す基底ベクトルb t,i’ KPの係数としてs KPi,i’ KPを設定して要素k KPを生成するKP復号鍵生成部と、
 前記第1CP情報入力部が入力した属性集合ΓCPに含まれる各識別情報tについての要素k CPを生成するCP復号鍵生成部であって、基底B CPの基底ベクトルb t,i’ CP(i’=1,...,n CP)の係数として前記乱数δCP倍したxt,i’ CPを設定して要素k CPを生成するCP復号鍵生成部と
を備え、
 前記暗号化装置は、
 t=1,...,dKPの少なくとも1つ以上の整数tについて、識別情報tと、属性ベクトルx KP:=(xt,i’ KP)(i’=1,...,n KP)とを有する属性集合ΓKPを入力する第2KP情報入力部と、
 i=1,...,LCP(LCPは1以上の整数)の各整数iについての変数ρCP(i)であって、識別情報t(t=1,...,dCPのいずれかの整数)と、属性ベクトルv CP:=(vi,i’ CP)(i’=1,...,n CP)との肯定形の組(t,v CP)又は否定形の組¬(t,v CP)のいずれかである変数ρCP(i)と、LCP行rCP列(rCPは1以上の整数)の所定の行列MCPとを入力する第2CP情報入力部と、
 基底Bの基底ベクトルb0,pの係数として乱数ωKPを設定し、基底ベクトルb0,p’の係数として値-s CP(s CP:=h→CP・(f→CP,h→CP及びf→CPはrCP個の要素を有するベクトル)を設定し、基底ベクトルb0,qの係数として乱数ζを設定して要素cを生成する主暗号化データ生成部と、
 前記第2KP情報入力部が入力した属性集合ΓKPに含まれる各識別情報tについての要素c KPを生成するKP暗号化データ生成部であって、基底B KPの基底ベクトルbt,i’ KP(i’=1,...,n)の係数として前記乱数ωKP倍したxt,i’ KPを設定して要素c KPを生成するKP暗号化データ生成部と、
 前記f→CPと、前記第2CP情報入力部が入力した行列MCPとに基づき生成される列ベクトル(s→CP:=(s CP,...,s CP:=MCP・(f→CP(i=LCP)と、乱数θ CP(i=1,...,LCP)とに基づき、i=1,...,LCPの各整数iについての要素c CPを生成するCP暗号化データ生成部であって、i=1,...,LCPの各整数iについて、変数ρCP(i)が肯定形の組(t,v CP)である場合には、その組の識別情報tが示す基底B CPの基底ベクトルbt,1 CPの係数としてs CP+θ CPi,1 CPを設定するとともに、前記識別情報tとi’=2,...,n CPの各整数i’とが示す基底ベクトルbt,i’ CPの係数としてθ CPi,i’ CPを設定して要素c CPを生成し、変数ρCP(i)が否定形の組¬(t,v CP)である場合には、その組の識別情報tとi’=1,...,n CPの各整数i’とが示す基底ベクトルbt,i’ CPの係数としてs CPi,i’ CPを設定して要素c CPを生成するCP暗号化データ生成部と
を備え、
 前記復号装置は、
 前記主暗号化データ生成部が生成した要素cと、前記KP暗号化データ生成部が生成した要素c KPと、前記CP暗号化データ生成部が生成した要素c CPと、前記属性集合ΓKPと、前記変数ρCP(i)とを含む暗号化データct(ΓKP,SCP)を取得するデータ取得部と、
 前記主復号鍵生成部が生成した要素k と、前記KP復号鍵生成部が生成した要素k KPと、前記CP復号鍵生成部が生成した要素k CPと、前記変数ρKP(i)と、前記属性集合ΓCPとを含む復号鍵sk(SKP,ΓCP)を取得する復号鍵取得部と、
 前記データ取得部が取得した暗号化データct(ΓKP,SCP)に含まれる属性集合ΓKPと、前記復号鍵取得部が取得した復号鍵sk(SKP,ΓCP)に含まれる変数ρKP(i)とに基づき、i=1,...,LKPの各整数iのうち、変数ρKP(i)が肯定形の組(t,v KP)であり、かつ、その組のv KPと、その組の識別情報tが示すΓKPに含まれるx KPとの内積が0となるiと、変数ρKP(i)が否定形の組¬(t,v KP)であり、かつ、その組のv KPと、その組の識別情報tが示すΓKPに含まれるx KPとの内積が0とならないiとの集合IKPを特定するとともに、特定した集合IKPに含まれるiについて、α KP KPを合計した場合に前記h→KPとなる補完係数α KPを計算するKP補完係数計算部と、
 前記暗号化データct(ΓKP,SCP)に含まれるi=1,...,LCPの各整数iについての変数ρCP(i)と、前記復号鍵sk(SKP,ΓCP)に含まれる属性集合ΓCPとに基づき、i=1,...,LCPの各整数iのうち、変数ρCP(i)が肯定形の組(t,v CP)であり、かつ、その組のv CPと、その組の識別情報tが示すΓCPに含まれるx CPとの内積が0となるiと、変数ρCP(i)が否定形の組¬(t,v CP)であり、かつ、その組のv CPと、その組の識別情報tが示すΓCPに含まれるx CPとの内積が0とならないiとの集合ICPを特定するとともに、特定した集合ICPに含まれるiについて、α CP CPを合計した場合に前記h→CPとなる補完係数α CPを計算するCP補完係数計算部と、
 前記暗号化データct(ΓKP,SCP)に含まれる要素cと要素c KPと要素c CPと、前記復号鍵sk(SKP,ΓCP)に含まれる要素k と要素k KPと要素k CPとについて、前記KP補完係数計算部が特定した集合IKPと、前記KP補完係数計算部が計算した補完係数α KPと、前記CP補完係数計算部が特定した集合ICPと、前記CP補完係数計算部が計算した補完係数α CPとに基づき、数1に示すペアリング演算を行い値Kを計算するペアリング演算部と
を備えることを特徴とする。
Figure JPOXMLDOC01-appb-M000013
 この発明に係る暗号処理システムは、復号鍵と暗号文との両方にアクセスストラクチャが埋め込まれており、多機能な暗号機能を実現している。
行列M^の説明図。 行列Mδの説明図。 の説明図。 →Tの説明図。 Unified-Policy関数型暗号方式を実行する暗号処理システム10の構成図。 鍵生成装置100の機能を示す機能ブロック図。 暗号化装置200の機能を示す機能ブロック図。 復号装置300の機能を示す機能ブロック図。 Setupアルゴリズムの処理を示すフローチャート。 KeyGenアルゴリズムの処理を示すフローチャート。 Encアルゴリズムの処理を示すフローチャート。 Decアルゴリズムの処理を示すフローチャート。 鍵生成装置100、暗号化装置200、復号装置300のハードウェア構成の一例を示す図。
 以下、図に基づき、発明の実施の形態を説明する。
 以下の説明において、処理装置は後述するCPU911等である。記憶装置は後述するROM913、RAM914、磁気ディスク920等である。通信装置は後述する通信ボード915等である。入力装置は後述するキーボード902、通信ボード915等である。つまり、処理装置、記憶装置、通信装置、入力装置はハードウェアである。
 以下の説明における記法について説明する。
 Aがランダムな変数または分布であるとき、数101は、Aの分布に従いAからyをランダムに選択することを表す。つまり、数101において、yは乱数である。
Figure JPOXMLDOC01-appb-M000014
  Aが集合であるとき、数102は、Aからyを一様に選択することを表す。つまり、数102において、yは一様乱数である。
Figure JPOXMLDOC01-appb-M000015
  数103は、yがzにより定義された集合であること、又はyがzを代入された集合であることを表す。
Figure JPOXMLDOC01-appb-M000016
  aが定数であるとき、数104は、機械(アルゴリズム)Aが入力xに対しaを出力することを表す。
Figure JPOXMLDOC01-appb-M000017
  数105、つまりFは、位数qの有限体を示す。
Figure JPOXMLDOC01-appb-M000018
  ベクトル表記は、有限体Fにおけるベクトル表示を表す。つまり、数106である。
Figure JPOXMLDOC01-appb-M000019
  数107は、数108に示す2つのベクトルxとvとの数109に示す内積を表す。
Figure JPOXMLDOC01-appb-M000020
Figure JPOXMLDOC01-appb-M000021
Figure JPOXMLDOC01-appb-M000022
  Xは、行列Xの転置行列を表す。
 数110に示す基底Bと基底Bとに対して、数111である。
Figure JPOXMLDOC01-appb-M000023
Figure JPOXMLDOC01-appb-M000024
  e t,j KP,e t,j CPは、それぞれ数112に示す正規基底ベクトルを示す。
Figure JPOXMLDOC01-appb-M000025
 また、以下の説明において、F ntCPにおけるntCPはn CPのことである。
 同様に、復号鍵sk(SKP,ΓCP)におけるSKPはSKPのことであり、ΓCPはΓCPのことである。暗号化データct(ΓKP,SCP)におけるΓKPはΓKPのことであり、SCPはSCPのことである。
 同様に、paramV0におけるV0はVのことである。paramVtKPにおけるVtKPはV KPのことである。paramVtCPにおけるVtCPはV CPのことである。
 同様に、“δi,j”が上付きで示されている場合、このδi,jは、δi,jを意味する。
 また、ベクトルを意味する“→”が下付き文字又は上付き文字に付されている場合、この“→”は下付き文字又は上付き文字に上付きで付されていることを意味する。
 また、以下の説明において、暗号処理とは、鍵生成処理、暗号化処理、復号処理を含むものである。
 実施の形態1.
 この実施の形態では、「関数型暗号(Functional Encryption)方式」を実現する基礎となる概念と、関数型暗号の構成について説明する。
 第1に、関数型暗号について簡単に説明する。
 第2に、関数型暗号を実現するための空間である「双対ペアリングベクトル空間(Dual Pairing Vector Spaces,DPVS)」という豊かな数学的構造を有する空間を説明する。
 第3に、関数型暗号を実現するための概念を説明する。ここでは、「スパンプログラム(Span Program)」、「属性ベクトルの内積とアクセスストラクチャ」、「秘密分散方式(秘密共有方式)」について説明する。
 第4に、この実施の形態に係る「関数型暗号方式」を説明する。この実施の形態では、「Unified-Policy関数型暗号(Unified-Policy Functional Encryption,UP-FE)方式」について説明する。そこで、まず、「Unified-Policy関数型暗号方式」の基本構成について説明する。次に、この「Unified-Policy関数型暗号方式」を実現する「暗号処理システム10」の基本構成について説明する。そして、この実施の形態に係る「Unified-Policy関数型暗号方式」及び「暗号処理システム10」について詳細に説明する。
 <第1.関数型暗号方式>
 関数型暗号方式は、暗号化鍵(encryption-key,ek)と、復号鍵(decryption-key,dk)との間の関係をより高度化し、より柔軟にした暗号方式である。
 関数型暗号方式において、暗号化鍵と復号鍵とは、それぞれ、属性xと属性vとが設定されている。そして、関係Rに対してR(x,v)が成立する場合に限り、復号鍵dk:=(dk,v)は暗号化鍵ek:=(ek,x)で暗号化された暗号文を復号することができる。
 関数型暗号方式には、データベースのアクセスコントロール、メールサービス、コンテンツ配布等の様々なアプリケーションが存在する(非特許文献2,7,9,16,19,25-28,30参照)。
 Rが等号関係である場合、つまり、x=vである場合に限りR(x,v)が成立する場合、関数型暗号方式はIDベース暗号方式である。
 IDベース暗号方式よりも一般化された関数型暗号方式として、属性ベース暗号方式がある。
 属性ベース暗号方式では、暗号化鍵と復号鍵とに設定される属性が属性の組である。例えば、暗号化鍵と復号鍵とに設定される属性が、それぞれ、X:=(x,...,x)と、V:=(v,...,v)とである。
 そして、属性のコンポーネントについて、コンポーネント毎の等号関係(例えば、{x=v}t∈{1,...,d})がアクセスストラクチャSに入力される。そして、アクセスストラクチャSが入力を受理した場合にのみ、R(X,V)が成立する。つまり、暗号化鍵で暗号化された暗号文を復号鍵で復号することができる。
 アクセスストラクチャSが復号鍵dkに埋め込まれている場合、属性ベース暗号(ABE)方式は、Key-Policy ABE(KP-ABE)と呼ばれる。一方、アクセスストラクチャSが暗号文に埋め込まれている場合、属性ベース暗号(ABE)方式は、Ciphertext-Policy ABE(CP-ABE)と呼ばれる。そして、アクセスストラクチャSが復号鍵dkと暗号文との両方に埋め込まれている場合、属性ベース暗号(ABE)方式は、Unified-Policy ABE(UP-ABE)と呼ばれる。
 非特許文献19に記載された内積述語暗号(Inner-Product Encryption,IPE)も関数型暗号の1つのクラスである。ここでは、暗号化鍵と復号鍵とに設定される属性がぞれぞれ体又は環上のベクトルである。例えば、x:=(x,...,x)∈F とv:=(v,...,v)∈F とがそれぞれ暗号化鍵と復号鍵とに設定される。そして、x・v=0である場合に限り、R(x,v)が成立する。
 <第2.双対ペアリングベクトル空間>
 まず、対称双線形ペアリング群(Symmetric Bilinear Pairing Groups)について説明する。
 対称双線形ペアリング群(q,G,G,g,e)は、素数qと、位数qの巡回加法群Gと、位数qの巡回乗法群Gと、g≠0∈Gと、多項式時間で計算可能な非退化双線形ペアリング(Nondegenerate Bilinear Pairing)e:G×G→Gとの組である。非退化双線形ペアリングは、e(sg,tg)=e(g,g)stであり、e(g,g)≠1である。
 以下の説明において、数113を、1λを入力として、セキュリティパラメータをλとする双線形ペアリング群のパラメータparam:=(q,G,G,g,e)の値を出力するアルゴリズムとする。
Figure JPOXMLDOC01-appb-M000026
 次に、双対ペアリングベクトル空間について説明する。
 双対ペアリングベクトル空間(q,V,G,A,e)は、対称双線形ペアリング群(param:=(q,G,G,g,e))の直積によって構成することができる。双対ペアリングベクトル空間(q,V,G,A,e)は、素数q、数114に示すF上のN次元ベクトル空間V、位数qの巡回群G、空間Vの標準基底A:=(a,...,a)の組であり、以下の演算(1)(2)を有する。ここで、aは、数115に示す通りである。
Figure JPOXMLDOC01-appb-M000027
Figure JPOXMLDOC01-appb-M000028
 演算(1):非退化双線形ペアリング
 空間Vにおけるペアリングは、数116によって定義される。
Figure JPOXMLDOC01-appb-M000029
  これは、非退化双線形である。つまり、e(sx,ty)=e(x,y)stであり、全てのy∈Vに対して、e(x,y)=1の場合、x=0である。また、全てのiとjとに対して、e(a,a)=e(g,g)δi,jである。ここで、i=jであれば、δi,j=1であり、i≠jであれば、δi,j=0である。また、e(g,g)≠1∈Gである。
 演算(2):ディストーション写像
 数117に示す空間Vにおける線形変換φi,jは、数118を行うことができる。
Figure JPOXMLDOC01-appb-M000030
Figure JPOXMLDOC01-appb-M000031
  ここで、線形変換φi,jをディストーション写像と呼ぶ。
 以下の説明において、数119を、1λ(λ∈自然数)、N∈自然数、双線形ペアリング群のパラメータparam:=(q,G,G,g,e)の値を入力として、セキュリティパラメータがλであり、N次元の空間Vとする双対ペアリングベクトル空間のパラメータparam:=(q,V,G,A,e)の値を出力するアルゴリズムとする。
Figure JPOXMLDOC01-appb-M000032
 なお、ここでは、上述した対称双線形ペアリング群により、双対ペアリングベクトル空間を構成した場合について説明する。なお、非対称双線形ペアリング群により双対ペアリングベクトル空間を構成することも可能である。以下の説明を、非対称双線形ペアリング群により双対ペアリングベクトル空間を構成した場合に応用することは容易である。
 <第3.関数型暗号を実現するための概念>
 <第3-1.スパンプログラム>
 図1は、行列M^の説明図である。
 {p,...,p}を変数の集合とする。M^:=(M,ρ)は、ラベル付けされた行列である。ここで、行列Mは、F上の(L行×r列)の行列である。また、ρは、行列Mの各列に付されたラベルであり、{p,...,p,¬p,...,¬p}のいずれか1つのリテラルへ対応付けられる。なお、Mの全ての行に付されたラベルρi(i=1,...,L)がいずれか1つのリテラルへ対応付けられる。つまり、ρ:{1,...,L}→{p,...,p,¬p,...,¬p}である。
 全ての入力列δ∈{0,1}に対して、行列Mの部分行列Mδは定義される。行列Mδは、入力列δによってラベルρに値“1”が対応付けられた行列Mの行から構成される部分行列である。つまり、行列Mδは、δ=1であるようなpに対応付けられた行列Mの行と、δ=0であるような¬pに対応付けられた行列Mの行とからなる部分行列である。
 図2は、行列Mδの説明図である。なお、図2では、n=7,L=6,r=5としている。つまり、変数の集合は、{p,...,p}であり、行列Mは(6行×5列)の行列である。また、図2において、ラベルρは、ρが¬pに、ρがpに、ρがpに、ρが¬pに、ρが¬pに、ρがpにそれぞれ対応付けられているとする。
 ここで、入力列δ∈{0,1}が、δ=1,δ=0,δ=1,δ=0,δ=0,δ=1,δ=1であるとする。この場合、破線で囲んだリテラル(p,p,p,p,¬p,¬p,¬p)に対応付けられている行列Mの行からなる部分行列が行列Mδである。つまり、行列Mの1行目(M),2行目(M),4行目(M)からなる部分行列が行列Mδである。
 言い替えると、写像γ:{1,...,L}→{0,1}が、[ρ(j)=p]∧[δ=1]又は[ρ(j)=¬p]∧[δ=0]である場合、γ(j)=1であり、他の場合、γ(j)=0であるとする。この場合に、Mδ:=(Mγ(j)=1である。ここで、Mは、行列Mのj番目の行である。
 つまり、図2では、写像γ(j)=1(j=1,2,4)であり、写像γ(j)=0(j=3,5,6)である。したがって、(Mγ(j)=1は、M,M,Mであり、行列Mδである。
 すなわち、写像γ(j)の値が“0”であるか“1”であるかによって、行列Mのj番目の行が行列Mδに含まれるか否かが決定される。
 1∈span<Mδ>である場合に限り、スパンプログラムM^は入力列δを受理し、他の場合には入力列δを拒絶する。つまり、入力列δによって行列M^から得られる行列Mδの行を線形結合して1が得られる場合に限り、スパンプログラムM^は入力列δを受理する。なお、1とは、各要素が値“1”である行ベクトルである。
 例えば、図2の例であれば、行列Mの1,2,4行目からなる行列Mδの各行を線形結合して1が得られる場合に限り、スパンプログラムM^は入力列δを受理する。つまり、α(M)+α(M)+α(M)=1となるα,α,αが存在する場合には、スパンプログラムM^は入力列δを受理する。
 ここで、ラベルρが正のリテラル{p,...,p}にのみ対応付けられている場合、スパンプログラムはモノトーンと呼ばれる。一方、ラベルρがリテラル{p,...,p,¬p,...,¬p}に対応付けられている場合、スパンプログラムはノンモノトーンと呼ばれる。ここでは、スパンプログラムはノンモノトーンとする。そして、ノンモノトーンスパンプログラムを用いて、アクセスストラクチャ(ノンモノトーンアクセスストラクチャ)を構成する。アクセスストラクチャとは、簡単に言うと暗号へのアクセス制御を行うものである。つまり、暗号文を復号できるか否かの制御を行うものである。
 詳しくは後述するが、スパンプログラムがモノトーンではなく、ノンモノトーンであることにより、スパンプログラムを利用して構成する関数型暗号方式の利用範囲が広がる。
 <第3-2.属性ベクトルの内積とアクセスストラクチャ>
 ここでは、属性ベクトルの内積を用いて上述した写像γ(j)を計算する。つまり、属性ベクトルの内積を用いて、行列Mのどの行を行列Mδに含めるかを決定する。
 U(t=1,...,dでありU⊂{0,1})は、部分全集合(sub-universe)であり、属性の集合である。そして、Uは、それぞれ部分全集合の識別情報(t)と、n次元ベクトル(v)とを含む。つまり、Uは、(t,v)である。ここで、t∈{1,...,d}であり、v∈F ntである。
 U:=(t,v)をスパンプログラムM^:=(M,ρ)における変数pとする。つまり、p:=(t,v)である。そして、変数(p:=(t,v),(t’,v’),...)としたスパンプログラムM^:=(M,ρ)をアクセスストラクチャSとする。
 つまり、アクセスストラクチャS:=(M,ρ)であり、ρ:{1,...,L}→{(t,v),(t’,v’),...,¬(t,v),¬(t’,v’),...}である。
 次に、Γを属性の集合とする。つまり、Γ:={(t,x )|x ∈Fqnt,1≦t≦d}である。
 アクセスストラクチャSにΓが与えられた場合、スパンプログラムM^:=(M,ρ)に対する写像γ:{1,...,L}→{0,1}は、以下のように定義される。i=1,...,Lの各整数iについて、[ρ(i)=(t,v )]∧[(t,x )∈Γ]∧[v ・x =0]、又は、[ρ(i)=¬(t,v )]∧[(t,x )∈Γ]∧[v ・x ≠0]である場合、γ(j)=1であり、他の場合、γ(j)=0とする。
 つまり、属性ベクトルvとxとの内積に基づき、写像γが計算される。そして、上述したように、写像γにより、行列Mのどの行を行列Mδに含めるかが決定される。すなわち、属性ベクトルvとxとの内積により、行列Mのどの行を行列Mδに含めるかが決定され、1∈span<(Mγ(i)=1>である場合に限り、アクセスストラクチャS:=(M,ρ)はΓを受理する。
 <第3-3.秘密分散方式>
 アクセスストラクチャS:=(M,ρ)に対する秘密分散方式について説明する。
 なお、秘密分散方式とは、秘密情報を分散させ、意味のない分散情報にすることである。例えば、秘密情報sを10個に分散させ、10個の分散情報を生成する。ここで、10個の分散情報それぞれは、秘密情報sの情報を有していない。したがって、ある1個の分散情報を手に入れても秘密情報sに関して何ら情報を得ることはできない。一方、10個の分散情報を全て手に入れれば、秘密情報sを復元できる。
 また、10個の分散情報を全て手に入れなくても、一部だけ(例えば、8個)手に入れれば秘密情報sを復元できる秘密分散方式もある。このように、10個の分散情報のうち8個で秘密情報sを復元できる場合を、8-out-of-10と呼ぶ。つまり、n個の分散情報のうちt個で秘密情報sを復元できる場合を、t-out-of-nと呼ぶ。このtを閾値と呼ぶ。
 また、d,...,d10の10個の分散情報を生成した場合に、d,...,dまでの8個の分散情報であれば秘密情報sを復元できるが、d,...,d10までの8個の分散情報であれば秘密情報sを復元できないというような秘密分散方式もある。つまり、手に入れた分散情報の数だけでなく、分散情報の組合せに応じて秘密情報sを復元できるか否かを制御する秘密分散方式もある。
 図3は、sの説明図である。図4は、s→Tの説明図である。
 行列Mを(L行×r列)の行列とする。f→Tを数120に示す列ベクトルとする。
Figure JPOXMLDOC01-appb-M000033
  数121に示すsを共有される秘密情報とする。
Figure JPOXMLDOC01-appb-M000034
  また、数122に示すs→TをsのL個の分散情報のベクトルとする。
Figure JPOXMLDOC01-appb-M000035
  そして、分散情報sをρ(i)に属するものとする。
 アクセスストラクチャS:=(M,ρ)がΓを受理する場合、つまりγ:{1,...,L}→{0,1}について1∈span<(Mγ(i)=1>である場合、I⊆{i∈{1,...,L}|γ(i)-=1}である定数{α∈F|i∈I}が存在する。
 これは、図2の例で、α(M)+α(M)+α(M)=1となるα,α,αが存在する場合には、スパンプログラムM^は入力列δを受理すると説明したことからも明らかである。つまり、α(M)+α(M)+α(M)=1となるα,α,αが存在する場合には、スパンプログラムM^が入力列δを受理するのであれば、α(M)+α(M)+α(M)=1となるα,α,αが存在する。
 そして、数123である。
Figure JPOXMLDOC01-appb-M000036
  なお、定数{α}は、行列Mのサイズにおける多項式時間で計算可能である。
 この実施の形態及び以下の実施の形態に係る関数型暗号方式は、上述したように、スパンプログラムに内積述語と秘密分散方式とを適用してアクセスストラクチャを構成する。そのため、スパンプログラムにおける行列Mや、内積述語における属性情報x及び属性情報v(述語情報)を設計するにより、アクセス制御を自由に設計することができる。つまり、非常に高い自由度でアクセス制御の設計を行うことができる。なお、行列Mの設計は、秘密分散方式の閾値等の条件設計に相当する。
 例えば、上述した属性ベース暗号方式は、この実施の形態及び以下の実施の形態に係る関数型暗号方式におけるアクセスストラクチャにおいて、内積述語の設計をある条件に限定した場合に相当する。つまり、この実施の形態及び以下の実施の形態に係る関数型暗号方式におけるアクセスストラクチャに比べ、属性ベース暗号方式におけるアクセスストラクチャは、内積述語における属性情報x及び属性情報v(述語情報)を設計の自由度がない分、アクセス制御の設計の自由度が低い。なお、具体的には、属性ベース暗号方式は、属性情報{x t∈{1,...,d}と{v t∈{1,...,d}とを、等号関係に対する2次元ベクトル、例えばx :=(1,x)とv :=(v,-1)とに限定した場合に相当する。
 また、上述した内積述語暗号方式は、この実施の形態及び以下の実施の形態に係る関数型暗号方式におけるアクセスストラクチャにおいて、スパンプログラムにおける行列Mの設計をある条件に限定した場合に相当する。つまり、この実施の形態及び以下の実施の形態に係る関数型暗号方式におけるアクセスストラクチャに比べ、内積述語暗号方式におけるアクセスストラクチャは、スパンプログラムにおける行列Mの設計の自由度がない分、アクセス制御の設計の自由度が低い。なお、具体的には、内積述語暗号方式は、秘密分散方式を1-out-of-1(あるいは、d-out-of-d)に限定した場合である。
 特に、この実施の形態及び以下の実施の形態に係る関数型暗号方式におけるアクセスストラクチャは、ノンモノトーンスパンプログラムを用いたノンモノトーンアクセスストラクチャを構成する。そのため、アクセス制御の設計の自由度がより高くなる。
 具体的には、ノンモノトーンスパンプログラムには、否定形のリテラル(¬p)を含むため、否定形の条件を設定できる。例えば、第1会社には、A部とB部とC部とD部との4つの部署があったとする。ここで、第1会社のB部以外の部署の属するユーザにのみアクセス可能(復号可能)というアクセス制御をしたいとする。この場合に、否定形の条件の設定ができないとすると、「第1会社のA部とC部とD部とのいずれかに属すること」という条件を設定する必要がある。一方、否定形の条件の設定ができるとすると、「第1会社の社員であって、B部以外に属すること」という条件を設定することができる。つまり、否定形の条件が設定できることで、自然な条件設定が可能となる。なお、ここでは部署の数が少ないが、部署の数が多い場合等は非常に有効であることが分かる。
 <第4.関数型暗号方式の基本構成>
 <第4-1.Unified-Policy関数型暗号方式の基本構成>
 Unified-Policy関数型暗号方式の構成を簡単に説明する。なお、Unified-Policyとは、復号鍵及び暗号文にPolicyが埋め込まれること、つまりアクセスストラクチャが埋め込まれることを意味する。
 Unified-Policy関数型暗号方式は、Setup、KeyGen、Enc、Decの4つのアルゴリズムを備える。
 (Setup)
 Setupアルゴリズムは、セキュリティパラメータλと、属性のフォーマットn:=((dKP;n KP,u KP,w KP,z KP(t=1,...,dKP)),(dCP;n CP,u CP,w CP,z CP(t=1,...,dCP)))とが入力され、公開パラメータpkと、マスター鍵skとを出力する確率的アルゴリズムである。
 (KeyGen)
 KeyGenアルゴリズムは、アクセスストラクチャSKP:=(MKP,ρKP)と、属性の集合であるΓCP:={(t,x CP)|x CP∈F ntCP\{0},1≦t≦dCP}と、公開パラメータpkと、マスター鍵skとを入力として、復号鍵sk(SKP,ΓCP)を出力する確率的アルゴリズムである。
 (Enc)
 Encアルゴリズムは、メッセージmと、属性の集合であるΓKP:={(t,x KP)|x KP∈F ntKP\{0},1≦t≦dKP}と、アクセスストラクチャSCP:=(MCP,ρCP)と、公開パラメータpkとを入力として、暗号化データct(ΓKP,SCP)を出力する確率的アルゴリズムである。
 (Dec)
 Decアルゴリズムは、属性の集合及びアクセスストラクチャ(ΓKP,SCP)の下で暗号化された暗号化データct(ΓKP,SCP)と、アクセスストラクチャ及び属性の集合(SKP,ΓCP)に対する復号鍵sk(SKP,ΓCP)と、公開パラメータpkとを入力として、メッセージm(平文情報)、又は、識別情報⊥を出力するアルゴリズムである。
 Unified-Policy関数型暗号方式は、数124に示す全ての公開パラメータpk及びマスター鍵skと、全てのアクセスストラクチャSKPと、全ての属性の集合ΓCPと、数125に示す全ての復号鍵sk(SKP,ΓCP)と、全てのメッセージmと、全ての属性の集合ΓKPと、全てのアクセスストラクチャSCPと、数126に示す全ての暗号化データct(ΓKP,SCP)とに対して、アクセスストラクチャSKPが属性の集合ΓKPを受理し、かつ、アクセスストラクチャSCPが属性の集合ΓCPを受理する場合、圧倒的な確率でm=Dec(pk,sk(SKP,ΓCP),ct(ΓKP,SCP))である。つまり、公開パラメータpkと、復号鍵sk(SKP,ΓCP)と、暗号化データct(ΓKP,SCP)とを入力としてDecアルゴリズムを実行することで、メッセージmを得ることができる。
Figure JPOXMLDOC01-appb-M000037
Figure JPOXMLDOC01-appb-M000038
Figure JPOXMLDOC01-appb-M000039
 <第4-2.暗号処理システム10>
 上述したUnified-Policy関数型暗号方式のアルゴリズムを実行する暗号処理システム10について説明する。
 図5は、Unified-Policy関数型暗号方式を実行する暗号処理システム10の構成図である。
 暗号処理システム10は、鍵生成装置100、暗号化装置200、復号装置300を備える。
 鍵生成装置100は、セキュリティパラメータλと、属性のフォーマットn:=((dKP;n KP,u KP,w KP,z KP(t=1,...,dKP)),(dCP;n CP,u CP,w CP,z CP(t=1,...,dCP)))とを入力としてSetupアルゴリズムを実行して、公開パラメータpkとマスター鍵skとを生成する。そして、鍵生成装置100は、生成した公開パラメータpkを公開する。また、鍵生成装置100は、アクセスストラクチャSKPと、属性の集合ΓCPと、公開パラメータpkと、マスター鍵skとを入力としてKeyGenアルゴリズムを実行して、復号鍵sk(SKP,ΓCP)を生成して復号装置300へ秘密裡に配布する。
 暗号化装置200は、メッセージmと、属性の集合ΓKPと、アクセスストラクチャSCPと、公開パラメータpkとを入力としてEncアルゴリズムを実行して、暗号化データct(ΓKP,SCP)を生成する。暗号化装置200は、生成した暗号化データct(ΓKP,SCP)を復号装置300へ送信する。
 復号装置300は、公開パラメータpkと、復号鍵sk(SKP,ΓCP)と、暗号化データct(ΓKP,SCP)とを入力としてDecアルゴリズムを実行して、メッセージm又は識別情報⊥を出力する。
 <第4-3.Unified-Policy関数型暗号方式及び暗号処理システム10の詳細>
 図6から図12に基づき、Unified-Policy関数型暗号方式、及び、Unified-Policy関数型暗号方式を実行する暗号処理システム10の機能と動作とについて説明する。
 図6は、鍵生成装置100の機能を示す機能ブロック図である。図7は、暗号化装置200の機能を示す機能ブロック図である。図8は、復号装置300の機能を示す機能ブロック図である。
 図9と図10とは、鍵生成装置100の動作を示すフローチャートである。なお、図9はSetupアルゴリズムの処理を示すフローチャートであり、図10はKeyGenアルゴリズムの処理を示すフローチャートである。図11は、暗号化装置200の動作を示すフローチャートであり、Encアルゴリズムの処理を示すフローチャートである。図12は、復号装置300の動作を示すフローチャートであり、Decアルゴリズムの処理を示すフローチャートである。
 なお、ここでは、xt,1 KP:=1,xt,1 CP:=1に正規化する。なお、xt,1 KP及びxt,1 CPが正規化されていない場合、(1/xt,1 KP)・xt,1 KP、及び、(1/xt,1 CP)・xt,1 CPとして正規化すればよい。この場合、xt,i KP及びxt,i CPは0でないものとする。
 鍵生成装置100の機能と動作とについて説明する。
 図6に示すように、鍵生成装置100は、マスター鍵生成部110、マスター鍵記憶部120、情報入力部130(第1情報入力部)、復号鍵生成部140、鍵配布部150を備える。
 また、情報入力部130は、KP情報入力部131(第1KP情報入力部)、CP情報入力部132(第1CP情報入力部)を備える。また、復号鍵生成部140は、fベクトル生成部141、sベクトル生成部142、乱数生成部143、主復号鍵生成部144、KP復号鍵生成部145、CP復号鍵生成部146を備える。
 まず、図9に基づき、Setupアルゴリズムの処理について説明する。
 (S101:正規直交基底生成ステップ)
 マスター鍵生成部110は、処理装置により、数127を計算して、paramn→と、基底B及び基底B と、t=1,...,dKPの各整数tについて基底B KP及び基底B KPと、t=1,...,dCPの各整数tについて基底B CP及び基底B CPとをランダムに生成する。
Figure JPOXMLDOC01-appb-M000040
 つまり、マスター鍵生成部110は以下の処理を実行する。
 まず、マスター鍵生成部110は、入力装置により、セキュリティパラメータλ(1λ)と、属性のフォーマットn:=((dKP;n KP,u KP,w KP,z KP(t=1,...,dKP)),(dCP;n CP,u CP,w CP,z CP(t=1,...,dCP)))とを入力する。ここで、dKPは1以上の整数であり、t=1,...,dKPまでの各整数tについてn KP,u KP,w KP,z KPは1以上の整数である。また、dCPは1以上の整数であり、t=1,...,dCPまでの各整数tについてn CP,u CP,w CP,z CPは1以上の整数である。
 次に、マスター鍵生成部110は、処理装置により、数128を計算する。
Figure JPOXMLDOC01-appb-M000041
  つまり、マスター鍵生成部110は、セキュリティパラメータλ(1λ)を入力としてアルゴリズムGbpgを実行して、双線形ペアリング群のパラメータparam:=(q,G,G,g,e)の値を生成する。
 次に、マスター鍵生成部110は、処理装置により、数129を計算する。
Figure JPOXMLDOC01-appb-M000042
  つまり、マスター鍵生成部110は、乱数ψを生成する。また、マスター鍵生成部110は、Nに2+u+1+w+zを設定し、t=1,...,dKPの各整数tについてN KPにn KP+u KP+w KP+z KPを設定し、t=1,...,dCPの各整数tについてN CPにn CP+u CP+w CP+z CPを設定する。ここで、u,w,zは1以上の整数である。
 次に、マスター鍵生成部110は、処理装置により、数130を計算する。
Figure JPOXMLDOC01-appb-M000043
  つまり、マスター鍵生成部110は、入力したセキュリティパラメータλ(1λ)と、設定したNと、生成したparam:=(q,G,G,g,e)の値とを入力としてアルゴリズムGdpvsを実行して、双対ペアリングベクトル空間のパラメータparamV0:=(q,V,G,A,e)の値を生成する。
 また、マスター鍵生成部110は、設定したNと、Fとを入力として、線形変換X:=(χ0,i,ji,jをランダムに生成する。なお、GLは、General Linearの略である。つまり、GLは、一般線形群であり、行列式が0でない正方行列の集合であり、乗法に関し群である。また、(χ0,i,ji,jは、行列χ0,i,jの添え字i,jに関する行列という意味であり、ここでは、i,j=1,...,Nである。
 また、マスター鍵生成部110は、乱数ψと線形変換Xとに基づき、(ν0,i,ji,j:=ψ・(X -1を生成する。なお、(ν0,i,ji,jも(χ0,i,ji,jと同様に、行列ν0,i,jの添え字i,jに関する行列という意味であり、ここでは、i,j=1,...,Nである。
 そして、マスター鍵生成部110は、線形変換Xに基づき、標準基底Aから基底Bを生成する。同様に、マスター鍵生成部110は、(ν0,i,ji,jに基づき、標準基底Aから基底B を生成する。
 次に、マスター鍵生成部110は、処理装置により、数131を計算する。
Figure JPOXMLDOC01-appb-M000044
  つまり、マスター鍵生成部110は、t=1,...,dKPの各整数tについて以下の処理を実行する。
 マスター鍵生成部110は、入力したセキュリティパラメータλ(1λ)と、設定したN KPと、生成したparam:=(q,G,G,g,e)の値とを入力としてアルゴリズムGdpvsを実行して、双対ペアリングベクトル空間のパラメータparamVtKP:=(q,V KP,G,A KP,e)の値を生成する。
 また、マスター鍵生成部110は、設定したN KPと、Fとを入力として、線形変換X KP:=(χ KP ,i,ji,jをランダムに生成する。(χ KP ,i,ji,jは、行列χ KP ,i,jの添え字i,jに関する行列という意味であり、ここでは、i,j=1,...,N KPである。
 また、マスター鍵生成部110は、乱数ψと線形変換X KPとに基づき、(ν KP ,i,ji,j:=ψ・((X KP-1を生成する。なお、(ν KP ,i,ji,jも(χ KP ,i,ji,jと同様に、行列ν KP ,i,jの添え字i,jに関する行列という意味であり、ここでは、i,j=1,...,N KPである。
 そして、マスター鍵生成部110は、線形変換X KPに基づき、標準基底A KPから基底B KPを生成する。同様に、マスター鍵生成部110は、(ν KP ,i,ji,jに基づき、標準基底A KPから基底B KPを生成する。
 次に、マスター鍵生成部110は、処理装置により、数132を計算する。
Figure JPOXMLDOC01-appb-M000045
  つまり、マスター鍵生成部110は、t=1,...,dCPの各整数tについて以下の処理を実行する。
 マスター鍵生成部110は、入力したセキュリティパラメータλ(1λ)と、設定したN CPと、生成したparam:=(q,G,G,g,e)の値とを入力としてアルゴリズムGdpvsを実行して、双対ペアリングベクトル空間のパラメータparamVtCP:=(q,V CP,G,A CP,e)の値を生成する。
 また、マスター鍵生成部110は、設定したN CPと、Fとを入力として、線形変換X CP:=(χ CP ,i,ji,jをランダムに生成する。(χ CP ,i,ji,jは、行列χ CP ,i,jの添え字i,jに関する行列という意味であり、ここでは、i,j=1,...,N CPである。
 また、マスター鍵生成部110は、乱数ψと線形変換X CPとに基づき、(ν CP ,i,ji,j:=ψ・((X CP-1を生成する。なお、(ν CP ,i,ji,jも(χ CP ,i,ji,jと同様に、行列ν CP ,i,jの添え字i,jに関する行列という意味であり、ここでは、i,j=1,...,N CPである。
 そして、マスター鍵生成部110は、線形変換X CPに基づき、標準基底A CPから基底B CPを生成する。同様に、マスター鍵生成部110は、(ν CP ,i,ji,jに基づき、標準基底A CPから基底B CPを生成する。
 次に、マスター鍵生成部110は、処理装置により、数133を計算する。
Figure JPOXMLDOC01-appb-M000046
  つまり、マスター鍵生成部110は、gにe(g,g)ψを設定する。
 また、マスター鍵生成部110は、paramn→にparamV0と、t=1,...,dKPの各整数tについてのparamVtKPと、t=1,...,dCPの各整数tについてのparamVtCPと、gとを設定する。なお、i=1,...,Nの各整数iについて、g=e(b0,i,b 0,i)である。また、t=1,...,dKPとi=1,...,N KPとの各整数t,iについて、g=e(bt,i,b t,i)である。また、t=1,...,dCPとi=1,...,N CPとの各整数t,iについて、g=e(bt,i,b t,i)である。
 そして、マスター鍵生成部110は、paramn→と、{B、B }と、t=1,...,dKPの各整数tについての{B KP、B KP}と、t=1,...,dCPの各整数tについての{B CP、B CP}とを得る。
 (S102:公開パラメータ生成ステップ)
 マスター鍵生成部110は、処理装置により、基底Bの部分基底B^と、t=1,...,dKPの各整数tについて、基底B KPの部分基底B^ KPと、t=1,...,dCPの各整数tについて、基底B CPの部分基底B^ CPとを数134に示すように生成する。
Figure JPOXMLDOC01-appb-M000047
  マスター鍵生成部110は、生成した部分基底B^,部分基底B^ KP,部分基底B^ CPと、(S101)で入力されたセキュリティパラメータλ(1λ)と、(S101)で生成したparamn→とを合わせて、公開パラメータpkとする。
 (S103:マスター鍵生成ステップ)
 マスター鍵生成部110は、処理装置により、基底B の部分基底B^ と、t=1,...,dKPの各整数tについて、基底B KPの部分基底B^ KPと、t=1,...,dCPの各整数tについて、基底B CPの部分基底B^ CPとを数135に示すように生成する。
Figure JPOXMLDOC01-appb-M000048
  マスター鍵生成部110は、生成した部分基底B^ ,部分基底B^ KP,部分基底B^ CPをマスター鍵skとする。
 (S104:マスター鍵記憶ステップ)
 マスター鍵記憶部120は、(S102)で生成した公開パラメータpkを記憶装置に記憶する。また、マスター鍵記憶部120は、(S103)で生成したマスター鍵skを記憶装置に記憶する。
 つまり、(S101)から(S103)において、鍵生成装置100は数136に示すSetupアルゴリズムを実行して、公開パラメータpkとマスター鍵skとを生成する。そして、(S104)で、鍵生成装置100は生成された公開パラメータpkとマスター鍵skとを記憶装置に記憶する。
 なお、公開パラメータは、例えば、ネットワークを介して公開され、暗号化装置200や復号装置300が取得可能な状態にされる。
Figure JPOXMLDOC01-appb-M000049
 次に、図10に基づき、KeyGenアルゴリズムの処理について説明する。
 (S201:情報入力ステップ)
 第1KP情報入力部131は、入力装置により、アクセスストラクチャSKP:=(MKP,ρKP)を入力する。なお、行列MKPは、LKP行×rKP列の行列である。LKP,rKPは、1以上の整数である。
 また、第1CP情報入力部132は、入力装置により、属性の集合ΓCP:={(t,x CP:=(xt,i CP(i=1,...,n CP))∈F ntCP\{0})|1≦t≦dCP}を入力する。tは、1以上dCP以下の全ての整数ではなく、1以上dCP以下の少なくとも一部の整数であってもよい。
 なお、アクセスストラクチャSKPの行列MKPの設定については、実現したいシステムの条件に応じて設定されるものである。また、アクセスストラクチャSKPのρKPや属性の集合ΓCPは、例えば、復号鍵sk(SKP,ΓCP)の使用者の属性情報が設定されている。
 (S202:fベクトル生成ステップ)
 fベクトル生成部141は、処理装置により、rKP個の要素を有するベクトルf→KPを数137に示すようにランダムに生成する。
Figure JPOXMLDOC01-appb-M000050
 (S203:sベクトル生成ステップ)
 sベクトル生成部142は、処理装置により、(S201)で入力したアクセスストラクチャSKPに含まれる(LKP行×rKP列)の行列MKPと、(S202)で生成したrKP個の要素を有するベクトルf→KPとに基づき、ベクトル(s→KPを数138に示すように生成する。
Figure JPOXMLDOC01-appb-M000051
  また、sベクトル生成部142は、処理装置により、(S202)で生成したベクトルf→KPに基づき、値s KPを数139に示すように生成する。なお、1は、全ての要素が値1のベクトルである。
Figure JPOXMLDOC01-appb-M000052
 (S204:乱数生成ステップ)
 乱数生成部143は、処理装置により、乱数δCPと、ΓCPに含まれる(t,x CP)の各整数tについて乱数η CPと、乱数η とを数140に示すように生成する。
Figure JPOXMLDOC01-appb-M000053
 (S205:主復号鍵生成ステップ)
 主復号鍵生成部144は、処理装置により、復号鍵sk(SKP,ΓCP)の要素である主復号鍵k を数141に示すように生成する。
Figure JPOXMLDOC01-appb-M000054
  なお、上述したように、数110に示す基底Bと基底Bとに対して、数111である。したがって、数141は、以下のように、基底B の基底ベクトルの係数が設定されることを意味する。ここでは、表記を簡略化して、基底ベクトルb 0,iのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルb 0,1を意味する。また、基底ベクトル1,...,3であれば、基底ベクトルb 0,1,...,b 0,3を意味する。
 基底B の基底ベクトル1の係数として-s KPが設定される。基底ベクトル2の係数として乱数δCPが設定される。基底ベクトル2+1,...,2+uの係数として0が設定される。基底ベクトル2+u+1の係数として1が設定される。基底ベクトル2+u+1+1,...,2+u+1+wの係数として乱数η0,1,...,η0,w0(ここで、w0はwのことである)が設定される。基底ベクトル2+u+1+w+1,...,2+u+1+w+zの係数として0が設定される。
 (S206:KP復号鍵生成ステップ)
 KP復号鍵生成部145は、処理装置により、i=1,...,LKPの各整数iについて、復号鍵sk(SKP,ΓCP)の要素であるKP復号鍵k KPを数142に示すように生成する。
Figure JPOXMLDOC01-appb-M000055
  つまり、数142は、数141と同様に、以下のように、基底B KPの基底ベクトルの係数が設定されることを意味する。なお、ここでは、表記を簡略化して、基底ベクトルb t,i KPのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルb t,1 KPを意味する。また、基底ベクトル1,...,3であれば、基底ベクトルb t,1 KP,...,b t,3 KPを意味する。
 ρKP(i)が肯定形の組(t,v KP)である場合には、基底ベクトル1の係数としてs KP+θ KPi,1 KPが設定される。なお、上述したように、e t,j KPは、数112に示す正規基底ベクトルを示す。また、基底ベクトル2,...,n KPの係数としてθ KPi,2 KP,...,θ KPi,ntKP KP(ここで、ntKPはn KPのことである)が設定される。基底ベクトルn KP+1,...,n KP+u KPの係数として0が設定される。基底ベクトルn KP+u KP+1,...,n KP+u KP+w KPの係数としてηi,1 KP,...,ηi,wtKP KP(ここで、wtKPはw KPのことである)が設定される。基底ベクトルn KP+u KP+w KP+1,...,n KP+u KP+w KP+z KPの係数として0が設定される。
 一方、ρKP(i)が否定形の組¬(t,v KP)である場合には、基底ベクトル1,...,n KPの係数としてs KPi,1 KP,...,s KPi,ntKP KP(ここで、ntKPはn KPのことである)が設定される。基底ベクトルn KP+1,...,n KP+u KPの係数として0が設定される。基底ベクトルn KP+u KP+1,...,n KP+u KP+w KPの係数としてηi,1 KP,...,ηi,wtKP KP(ここで、wtKPはw KPのことである)が設定される。基底ベクトルn KP+u KP+w KP+1,...,n KP+u KP+w KP+z KPの係数として0が設定される。
 なお、θ KP及びη KPは乱数生成部143によって生成される乱数である。
 (S207:CP復号鍵生成ステップ)
 CP復号鍵生成部146は、処理装置により、ΓCPに含まれる(t,x CP)の各整数tについて、復号鍵sk(SKP,ΓCP)の要素であるCP復号鍵k CPを数143に示すように生成する。
Figure JPOXMLDOC01-appb-M000056
  つまり、数143は、数141と同様に、以下のように、基底B CPの基底ベクトルの係数が設定されることを意味する。なお、ここでは、表記を簡略化して、基底ベクトルb t,i CPのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルb t,1 CPを意味する。また、基底ベクトル1,...,3であれば、基底ベクトルb t,1 CP,...,b t,3 CPを意味する。
 基底ベクトル1,...,n CPの係数としてδCPt,1 CP,...,δCPt,ntCP CP(ここで、ntCPはn CPのことである)が設定される。基底ベクトルn CP+1,...,n CP+u CPの係数として0が設定される。基底ベクトルn CP+u CP+1,...,n CP+u CP+w CPの係数としてηt,1 CP,...,ηt,wtCP CP(ここで、wtCPはw CPのことである)が設定される。基底ベクトルn CP+u CP+w CP+1,...,n CP+u CP+w CP+z CPの係数として0が設定される。
 (S208:鍵配布ステップ)
 鍵配布部150は、主復号鍵k と、アクセスストラクチャSKP及びKP復号鍵k KP(i=1,...,LKP)と、属性の集合ΓCP及びCP復号鍵k CP(tは属性の集合ΓCPに含まれる(t,x CP)におけるt)とを要素とする復号鍵sk(SKP,ΓCP)を、例えば通信装置によりネットワークを介して秘密裡に復号装置300へ配布する。もちろん、復号鍵sk(SKP,ΓCP)は、他の方法により復号装置300へ配布されてもよい。
 つまり、(S201)から(S207)において、鍵生成装置100は数144に示すKeyGenアルゴリズムを実行して、復号鍵sk(SKP,ΓCP)を生成する。そして、(S208)で、鍵生成装置100は生成された復号鍵sk(SKP,ΓCP)を復号装置300へ配布する。
Figure JPOXMLDOC01-appb-M000057
 暗号化装置200の機能と動作とについて説明する。
 図7に示すように、暗号化装置200は、公開パラメータ取得部210、情報入力部220(第2情報入力部)、暗号化データ生成部230、データ送信部240(データ出力部)を備える。
 また、情報入力部220は、KP情報入力部221(第2KP情報入力部)、CP情報入力部222(第2CP情報入力部)、メッセージ入力部223を備える。また、暗号化データ生成部230は、fベクトル生成部231、sベクトル生成部232、乱数生成部233、主暗号化データ生成部234、KP暗号化データ生成部235、CP暗号化データ生成部236、メッセージ暗号化データ生成部237を備える。
 図11に基づき、Encアルゴリズムの処理について説明する。
 (S301:公開パラメータ取得ステップ)
 公開パラメータ取得部210は、例えば、通信装置によりネットワークを介して、鍵生成装置100が生成した公開パラメータpkを取得する。
 (S302:情報入力ステップ)
 KP情報入力部221は、入力装置により、属性の集合ΓKP:={(t,x KP:=(xt,i KP(i=1,...,n KP))∈F ntKP\{0})|1≦t≦dKP}を入力する。tは、1以上dKP以下の全ての整数ではなく、1以上dKP以下の少なくとも一部の整数であってもよい。
 また、CP情報入力部222は、入力装置により、アクセスストラクチャSCP:=(MCP,ρCP)を入力する。なお、行列MCPは、LCP行×rCP列の行列である。LCP,rCPは、1以上の整数である。
 また、メッセージ入力部は、入力装置により、復号装置300へ送信するメッセージmを入力する。
 なお、アクセスストラクチャSCPの行列MCPの設定については、実現したいシステムの条件に応じて設定されるものである。アクセスストラクチャSCPのρCPや属性の集合ΓKPは、例えば、復号可能なユーザの属性情報が設定されている。
 (S303:乱数生成ステップ)
 乱数生成部233は、処理装置により、乱数ωKPと、乱数φ と、ΓKPに含まれる(t,x KP)の各整数tについてφ KPと、乱数ζとを数145に示すように生成する。
Figure JPOXMLDOC01-appb-M000058
 (S304:fベクトル生成ステップ)
 fベクトル生成部231は、処理装置により、rCP個の要素を有するベクトルf→CPを数146に示すようにランダムに生成する。
Figure JPOXMLDOC01-appb-M000059
 (S305:sベクトル生成ステップ)
 sベクトル生成部232は、処理装置により、(S302)で入力したアクセスストラクチャSCPに含まれる(LCP行×rCP列)の行列MCPと、(S304)で生成したrCP個の要素を有するベクトルf→CPとに基づき、ベクトル(s→CPを数147に示すように生成する。
Figure JPOXMLDOC01-appb-M000060
  また、sベクトル生成部142は、処理装置により、(S304)で生成したベクトルf→CPに基づき、値s CPを数148に示すように生成する。なお、1は、全ての要素が値1のベクトルである。
Figure JPOXMLDOC01-appb-M000061
 (S306:主暗号化データ生成ステップ)
 主暗号化データ生成部234は、処理装置により、暗号化データct(ΓKP,SCP)の要素である主暗号化データcを数149に示すように生成する。
Figure JPOXMLDOC01-appb-M000062
  なお、上述したように、数110に示す基底Bと基底Bとに対して、数111である。したがって、数149は、以下のように、基底Bの基底ベクトルの係数が設定されることを意味する。ここでは、表記を簡略化して、基底ベクトルb0,iのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルb0,1を意味する。また、基底ベクトル1,...,3であれば、基底ベクトルb0,1,...,b0,3を意味する。
 基底Bの基底ベクトル1の係数として乱数ωKPが設定される。基底ベクトル2の係数として-s CPが設定される。基底ベクトル2+1,...,2+uの係数として0が設定される。基底ベクトル2+u+1の係数として乱数ζが設定される。基底ベクトル2+u+1+1,...,2+u+1+wの係数として0が設定される。基底ベクトル2+u+1+w+1,...,2+u+1+w+zの係数として乱数φ0,1,...,φ0,z0(ここで、z0はzのことである)が設定される。
 (S307:KP暗号化データ生成ステップ)
 KP暗号化データ生成部235は、処理装置により、ΓKPに含まれる(t,x KP)の各整数tについて、暗号化データct(ΓKP,SCP)の要素であるKP暗号化データc KPを数150に示すように生成する。
Figure JPOXMLDOC01-appb-M000063
  つまり、数150は、数149と同様に、以下のように、基底B KPの基底ベクトルの係数が設定されることを意味する。なお、ここでは、表記を簡略化して、基底ベクトルbt,i KPのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルbt,1 KPを意味する。また、基底ベクトル1,...,3であれば、基底ベクトルbt,1 KP,...,bt,3 KPを意味する。
 基底ベクトル1,...,n KPの係数としてωKPt,1 KP,...,ωKPt,ntKP KP(ここで、ntKPはn KPのことである)が設定される。基底ベクトルn KP+1,...,n KP+u KP+w KPの係数として0が設定される。基底ベクトルn KP+u KP+w KP+1,...,n KP+u KP+w KP+z KPの係数としてφt,1 KP,...,φt,ztKP KP(ここで、ztCPはz CPのことである)が設定される。
 (S308:CP暗号化データ生成ステップ)
 CP暗号化データ生成部236は、処理装置により、i=1,...,LCPの各整数iについて、暗号化データct(ΓKP,SCP)の要素であるCP暗号化データc CPを数151に示すように生成する。
Figure JPOXMLDOC01-appb-M000064
  つまり、数151は、数150と同様に、以下のように、基底B CPの基底ベクトルの係数が設定されることを意味する。なお、ここでは、表記を簡略化して、基底ベクトルbt,i CPのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルbt,1 CPを意味する。また、基底ベクトル1,...,3であれば、基底ベクトルbt,1 CP,...,bt,3 CPを意味する。
 ρCP(i)が肯定形の組(t,v CP)である場合には、基底ベクトル1の係数としてs CP+θ CPi,1 CPが設定される。なお、上述したように、e t,j CPは、数112に示す正規基底ベクトルを示す。また、基底ベクトル2,...,n CPの係数としてθ CPi,2 CP,...,θ CPi,ntCP CP(ここで、ntCPはn CPのことである)が設定される。基底ベクトルn CP+1,...,n CP+u CP+w CPの係数として0が設定される。基底ベクトルn CP+u CP+w CP+1,...,n CP+u CP+w CP+z CPの係数としてφi,1 CP,...,φi,ztCP CP(ここで、ztCPはz CPのことである)が設定される。
 一方、ρCP(i)が否定形の組¬(t,v CP)である場合には、基底ベクトル1,...,n CPの係数としてs CPi,1 CP,...,s CPi,ntCP CP(ここで、ntCPはn CPのことである)が設定される。基底ベクトルn CP+1,...,n CP+u CP+w CPの係数として0が設定される。基底ベクトルn CP+u CP+w CP+1,...,n CP+u CP+w CP+z CPの係数としてφi,1 CP,...,φi,ztCP CP(ここで、ztCPはz CPのことである)が設定される。
 なお、θ CP及びφ CPは乱数生成部233によって生成される乱数である。
 (S309:メッセージ暗号化データ生成ステップ)
 メッセージ暗号化データ生成部237は、処理装置により、暗号化データct(ΓKP,SCP)の要素であるメッセージ暗号化データcd+1を数152に示すように生成する。
Figure JPOXMLDOC01-appb-M000065
  なお、上述したように、数153である。
Figure JPOXMLDOC01-appb-M000066
 (S310:データ送信ステップ)
 データ送信部240は、主暗号化データcと、属性の集合ΓKP及びKP暗号化データc KPと、アクセスストラクチャSCP及びCP暗号化データc CPと、メッセージ暗号化データcd+1とを要素とする暗号化データct(ΓKP,SCP)を、例えば通信装置によりネットワークを介して復号装置300へ送信する。もちろん、暗号化データct(ΓKP,SCP)は、他の方法により復号装置300へ送信されてもよい。
 つまり、(S301)から(S309)において、暗号化装置200は、数154に示すEncアルゴリズムを実行して、暗号化データct(ΓKP,SCP)を生成する。そして、(S310)で、暗号化装置200は、生成された暗号化データct(ΓKP,SCP)を復号装置300へ送信する。
Figure JPOXMLDOC01-appb-M000067
 復号装置300の機能と動作とについて説明する。
 図8に示すように、復号装置300は、復号鍵取得部310、データ受信部320(データ取得部)、スパンプログラム計算部330、補完係数計算部340、ペアリング演算部350、メッセージ計算部360を備える。
 また、スパンプログラム計算部330は、KPスパンプログラム計算部331、CPスパンプログラム計算部332を備える。また、補完係数計算部340は、KP補完係数計算部341、CP補完係数計算部342を備える。
 図12に基づき、Decアルゴリズムの処理について説明する。
 (S401:復号鍵取得ステップ)
 復号鍵取得部310は、例えば、通信装置によりネットワークを介して、鍵生成装置100から配布された復号鍵sk(SKP,ΓCP)を取得する。また、復号鍵取得部310は、鍵生成装置100が生成した公開パラメータpkを取得する。
 (S402:データ受信ステップ)
 データ受信部320は、例えば、通信装置によりネットワークを介して、暗号化装置200が送信した暗号化データct(ΓKP,SCP)を受信する。
 (S403:スパンプログラム計算ステップ)
 KPスパンプログラム計算部331は、処理装置により、(S401)で取得した復号鍵sk(SKP,ΓCP)に含まれるアクセスストラクチャSKPが、(S402)で受信した暗号化データct(ΓKP,SCP)に含まれる属性の集合ΓKPを受理するか否かを判定する。
 また、CPスパンプログラム計算部332は、処理装置により、(S402)で受信した暗号化データct(ΓKP,SCP)に含まれるアクセスストラクチャSCPが、(S401)で取得した復号鍵sk(SKP,ΓCP)に含まれる属性の集合ΓCPを受理するか否かを判定する。
 なお、アクセスストラクチャが属性の集合を受理するか否かの判定方法は、「第3.関数型暗号を実現するための概念」で説明した通りである。
 スパンプログラム計算部330は、アクセスストラクチャSKPが属性の集合ΓKPを受理し、かつ、アクセスストラクチャSCPが属性の集合ΓCPを受理する場合(S403で受理)、処理を(S404)へ進める。一方、アクセスストラクチャSKPが属性の集合ΓKPを拒絶する場合と、アクセスストラクチャSCPが属性の集合ΓCPを拒絶する場合との少なくともいずれかの場合(S403で拒絶)、暗号化データct(ΓKP,SCP)を復号鍵sk(SKP,ΓCP)で復号できないとして、識別情報⊥を出力して、処理を終了する。
 (S404:補完係数計算ステップ)
 KP補完係数計算部341は、処理装置により、数155となるIKPと、IKPに含まれる各整数iについて定数(補完係数)α KPとを計算する。
Figure JPOXMLDOC01-appb-M000068
  また、CP補完係数計算部342は、処理装置により、数156となるICPと、ICPに含まれる各整数iについて定数(補完係数)α CPとを計算する。
Figure JPOXMLDOC01-appb-M000069
 (S405:ペアリング演算ステップ)
 ペアリング演算部350は、処理装置により、数157を計算して、セッション鍵K=g ζを生成する。
Figure JPOXMLDOC01-appb-M000070
  なお、数158に示すように、数157を計算することにより鍵K=g ζが得られる。
Figure JPOXMLDOC01-appb-M000071
 (S406:メッセージ計算ステップ)
 メッセージ計算部360は、処理装置により、m’=cd+1/Kを計算して、メッセージm’(=m)を生成する。なお、メッセージ暗号化データcd+1は数152に示す通りg ζmであり、Kはg ζであるから、m’=cd+1/Kを計算すればメッセージmが得られる。
 つまり、(S401)から(S406)において、復号装置300は、数159に示すDecアルゴリズムを実行して、メッセージm’(=m)を生成する。
Figure JPOXMLDOC01-appb-M000072
 以上のように、暗号処理システム10は、スパンプログラムと内積述語と秘密分散とを用いて構成したアクセスストラクチャSKP及びSCPを用いて、暗号方式(関数型暗号方式)を実現する。したがって、暗号処理システム10は、非常に高い自由度でアクセス制御の設計を行うことが可能な暗号方式を実現する。
 特に、暗号処理システム10は、アクセスストラクチャSKPを復号鍵に持たせ、アクセスストラクチャSCPを暗号化データに持たせている。したがって、暗号処理システム10は、復号鍵と暗号化データとの両方でアクセスコントロールを行うことができる。
 なお、上記説明において、u、w、z(t=0,...,d+1)の次元は、安全性を高めるために設けた次元である。したがって、安全性が低くなってしまうが、u、w、z(t=0,...,d+1)をそれぞれ0として、u、w、z(t=0,...,d+1)の次元を設けなくてもよい。
 また、上記説明では、(S101)でNに2+u+1+w+zを設定した。しかし、2+u+1+w+zを2+2+1+2+1として、Nに8を設定してもよい。
 また、上記説明では、(S101)でN KPにn KP+u KP+w KP+z KPを設定した。しかし、n KP+u KP+w KP+z KPをn KP+n KP+n KP+1として、N KPに3n KP+1を設定してもよい。
 同様に、(S101)でN CPにn CP+u CP+w CP+z CPを設定した。しかし、n CP+u CP+w CP+z CPをn CP+n CP+n CP+1として、N CPに3n CP+1を設定してもよい。
 この場合、数136に示すSetupアルゴリズムは、数160のように書き換えられる。なお、Gob UPは数161のように書き換えられる。
Figure JPOXMLDOC01-appb-M000073
Figure JPOXMLDOC01-appb-M000074
  また、数144に示すKeyGenアルゴリズムは、数162のように書き換えられる。
Figure JPOXMLDOC01-appb-M000075
  また、数154に示すEncアルゴリズムは、数163のように書き換えられる。
Figure JPOXMLDOC01-appb-M000076
  なお、数159に示すDecアルゴリズムには変更はない。
 また、上記説明では、(S101)でNに8を設定した。しかし、Nは8ではなく、3以上の整数であればよい。Nが3であると、基底Bと基底B とが2次元になる。Nが3の場合、KeyGenアルゴリズムにおいて、k :=(-s KP,δCP,1))B*0とし、Encアルゴリズムにおいて、c:=(ωKP,-s CP,ζ)B0とすればよい。ここで、B*0はB のことであり、B0はBのことである。
 また、上記説明では、KeyGenアルゴリズムにおいて、k :=(-s,δCP,0,0,1,η0,1,η0,2,0)B*0とした。しかし、暗号化装置200が知りえる所定の値κを用いて、k :=(-s,δCP,0,0,κ,η0,1,η0,2,0)B*0としてもよい。ここで、B*0はB のことであり、B0はBのことである。この場合、Decアルゴリズムで計算されるK:=gζκ となるため、Encアルゴリズムにおいて、cd+1:=gζκ mとすればよい。
 また、上記説明では、vi,ntCP CP(ここでntCPはn CPのことである)の値について特に限定しなかった。しかし、安全性の証明の観点から、vi,ntCP CP:=1である限定としてもよい。
 また、安全性の証明の観点から、i=1,...,LKPの各整数iについてのρKP(i)は、それぞれ異なる識別情報tについての肯定形の組(t,v KP)又は否定形の組¬(t,v KP)であると限定してもよい。
 言い替えると、ρKP(i)=(t,v KP)又はρKP(i)=¬(t,v KP)である場合に、関数ρ~KPを、ρ~KP(i)=tである{1,...,L}→{1,..,dKP}の写像であるとする。この場合、ρ~KPが単射であると限定してもよい。なお、ρKP(i)は、上述したアクセスストラクチャSKP:=(MKP,ρKP(i))のρKP(i)である。
 同様に、i=1,...,LCPの各整数iについてのρCP(i)は、それぞれ異なる識別情報tについての肯定形の組(t,v CP)又は否定形の組¬(t,v CP)であると限定してもよい。
 言い替えると、ρCP(i)=(t,v CP)又はρCP(i)=¬(t,v CP)である場合に、関数ρ~CPを、ρ~CP(i)=tである{1,...,L}→{1,..,dCP}の写像であるとする。この場合、ρ~CPが単射であると限定してもよい。なお、ρCP(i)は、上述したアクセスストラクチャSCP:=(MCP,ρCP(i))のρCP(i)である。
 また、Setupアルゴリズムは、暗号処理システム10のセットアップ時に一度実行すればよく、復号鍵を生成する度に実行する必要はない。また、上記説明では、SetupアルゴリズムとKeyGenアルゴリズムとを鍵生成装置100が実行するとしたが、SetupアルゴリズムとKeyGenアルゴリズムとをそれぞれ異なる装置が実行するとしてもよい。
 また、上記説明では、スパンプログラムM^は、入力列δによって行列M^から得られる行列Mδの行を線形結合して1が得られる場合に限り、入力列δを受理するとした。しかし、スパンプログラムM^は、1ではなく、他のベクトルhが得られる場合に限り、入力列δを受理するとしてもよい。
 この場合、KeyGenアルゴリズムにおいて、s KP:=1・(f→KPではなく、s:=h→KP・(f→KPとすればよい。同様に、Encアルゴリズムにおいて、s CP:=1・(f→CPではなく、s:=h→CP・(f→CPとすればよい。
 実施の形態2.
 以上の実施の形態では、双対ベクトル空間において暗号処理を実現する方法について説明した。この実施の形態では、双対加群において暗号処理を実現する方法について説明する。
 つまり、以上の実施の形態では、素数位数qの巡回群において暗号処理を実現した。しかし、合成数Mを用いて数164のように環Rを表した場合、環Rを係数とする加群においても、上記実施の形態で説明した暗号処理を適用することができる。
Figure JPOXMLDOC01-appb-M000077
 例えば、実施の形態1で説明したUnified-Policy関数型暗号を、環Rを係数とする加群において実現すると数165から数169のようになる。
Figure JPOXMLDOC01-appb-M000078
Figure JPOXMLDOC01-appb-M000079
Figure JPOXMLDOC01-appb-M000080
Figure JPOXMLDOC01-appb-M000081
Figure JPOXMLDOC01-appb-M000082
 また、上記説明における暗号処理は、権限の委譲を行うことも可能である。権限の委譲とは、復号鍵を有する者がその復号鍵よりも権限の弱い下位の復号鍵を生成することである。ここで、権限が弱いとは、復号できる暗号化データが限定されるという意味である。
 例えば、第1階層目(最上位)においては、t=1の基底Bと基底B とを用い、第2階層目においては、t=1,2の基底Bと基底B とを用い、・・・、第k階層目においては、t-1,...,kの基底Bと基底B とを用いる。用いる基底Bと基底B とが増える分、属性情報が多く設定されることになる。したがって、より復号鍵の権限が限定されることになる。
 次に、実施の形態における暗号処理システム10(鍵生成装置100、暗号化装置200、復号装置300)のハードウェア構成について説明する。
 図13は、鍵生成装置100、暗号化装置200、復号装置300のハードウェア構成の一例を示す図である。
 図13に示すように、鍵生成装置100、暗号化装置200、復号装置300は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、LCD901(Liquid Crystal Display)、キーボード902(K/B)、通信ボード915、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920(固定ディスク装置)の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。磁気ディスク装置920は、所定の固定ディスクインタフェースを介して接続される。
 ROM913、磁気ディスク装置920は、不揮発性メモリの一例である。RAM914は、揮発性メモリの一例である。ROM913とRAM914と磁気ディスク装置920とは、記憶装置(メモリ)の一例である。また、キーボード902、通信ボード915は、入力装置の一例である。また、通信ボード915は、通信装置の一例である。さらに、LCD901は、表示装置の一例である。
 磁気ディスク装置920又はROM913などには、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
 プログラム群923には、上記の説明において「マスター鍵生成部110」、「情報入力部130」、「復号鍵生成部140」、「鍵配布部150」、「公開パラメータ取得部210」、「情報入力部220」、「暗号化データ生成部230」、「データ送信部240」、「復号鍵取得部310」、「データ受信部320」、「スパンプログラム計算部330」、「補完係数計算部340」、「ペアリング演算部350」、「メッセージ計算部360」等として説明した機能を実行するソフトウェアやプログラムやその他のプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
 ファイル群924には、上記の説明において「公開パラメータpk」、「マスター鍵sk」、「暗号化データct(ΓKP,SCP)」、「復号鍵sk(SKP,ΓCP)」、「アクセスストラクチャSKP,SCP」、「属性の集合ΓKP,ΓCP」、「メッセージm」等の情報やデータや信号値や変数値やパラメータが、「ファイル」や「データベース」の各項目として記憶される。「ファイル」や「データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPU911の動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPU911の動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
 また、上記の説明におけるフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、その他光ディスク等の記録媒体やICチップに記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体や電波によりオンライン伝送される。
 また、上記の説明において「~部」として説明するものは、「~回路」、「~装置」、「~機器」、「~手段」、「~機能」であってもよく、また、「~ステップ」、「~手順」、「~処理」であってもよい。また、「~装置」として説明するものは、「~回路」、「~機器」、「~手段」、「~機能」であってもよく、また、「~ステップ」、「~手順」、「~処理」であってもよい。さらに、「~処理」として説明するものは「~ステップ」であっても構わない。すなわち、「~部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、ROM913等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、上記で述べた「~部」としてコンピュータ等を機能させるものである。あるいは、上記で述べた「~部」の手順や方法をコンピュータ等に実行させるものである。
 10 暗号処理システム、100 鍵生成装置、110 マスター鍵生成部、120 マスター鍵記憶部、130 情報入力部、131 KP情報入力部、132 CP情報入力部、140 復号鍵生成部、141 fベクトル生成部、142 sベクトル生成部、143 乱数生成部、144 主復号鍵生成部、145 KP復号鍵生成部、146 CP復号鍵生成部、150 鍵配布部、200 暗号化装置、210 公開パラメータ取得部、220 情報入力部、221 KP情報入力部、222 CP情報入力部、223 メッセージ入力部、230 暗号化データ生成部、231 fベクトル生成部、232 sベクトル生成部、233 乱数生成部、234 主暗号化データ生成部、235 KP暗号化データ生成部、236 CP暗号化データ生成部、237 メッセージ暗号化データ生成部、240 データ送信部、300 復号装置、310 復号鍵取得部、320 データ受信部、330 スパンプログラム計算部、331 KPスパンプログラム計算部、332 CPスパンプログラム計算部、340 補完係数計算部、341 KP補完係数計算部、342 CP補完係数計算部、350 ペアリング演算部、360 メッセージ計算部。

Claims (8)

  1.  鍵生成装置と暗号化装置と復号装置とを備え、基底B及び基底B と、t=1,...,dKP(dKPは1以上の整数)の各整数tについての基底B KP及び基底B KPと、t=1,...,dCP(dCPは1以上の整数)の各整数tについての基底B CP及び基底B CPとを用いて暗号処理を実行する暗号処理システムであり、
     前記鍵生成装置は、
     i=1,...,LKP(LKPは1以上の整数)の各整数iについての変数ρKP(i)であって、識別情報t(t=1,...,dKPのいずれかの整数)と、属性ベクトルv KP:=(vi,i’ KP)(i’=1,...,n KP,n KPは1以上の整数)との肯定形の組(t,v KP)又は否定形の組¬(t,v KP)のいずれかである変数ρKP(i)と、LKP行rKP列(rKPは1以上の整数)の所定の行列MKPとを入力する第1KP情報入力部と、
     t=1,...,dCPの少なくとも1つ以上の整数tについて、識別情報tと、属性ベクトルx CP:=(xt,i’ CP)(i’=1,...,n CP,n CPは1以上の整数)とを有する属性集合ΓCPを入力する第1CP情報入力部と、
     基底B の基底ベクトルb 0,p(pは所定の値)の係数として値-s KP(s KP:=h→KP・(f→KP,h→KP及びf→KPはrKP個の要素を有するベクトル)を設定し、基底ベクトルb 0,p’(p’は前記pとは異なる所定の値)の係数として乱数δCPを設定し、基底ベクトルb 0,q(qは前記p及び前記p’とは異なる所定の値)の係数として所定の値κを設定して要素k を生成する主復号鍵生成部と、
     前記f→KPと、前記第1KP情報入力部が入力した行列MKPに基づき生成される列ベクトル(s→KP:=(s KP,...,s KP:=MKP・(f→KP(i=LKP)と、乱数θ KP(i=1,...,LKP)とに基づき、i=1,...,LKPの各整数iについての要素k KPを生成するKP復号鍵生成部であって、i=1,...,LKPの各整数iについて、変数ρKP(i)が肯定形の組(t,v KP)である場合には、その組の識別情報tが示す基底B KPの基底ベクトルb t,1 KPの係数としてs KP+θ KPi,1 KPを設定するとともに、前記識別情報tとi’=2,...,n KPの各整数i’とが示す基底ベクトルb t,i’ KPの係数としてθ KPi,i’ KPを設定して要素k KPを生成し、変数ρKP(i)が否定形の組¬(t,v KP)である場合には、その組の識別情報tとi’=1,...,n KPの各整数i’とが示す基底ベクトルb t,i’ KPの係数としてs KPi,i’ KPを設定して要素k KPを生成するKP復号鍵生成部と、
     前記第1CP情報入力部が入力した属性集合ΓCPに含まれる各識別情報tについての要素k CPを生成するCP復号鍵生成部であって、基底B CPの基底ベクトルb t,i’ CP(i’=1,...,n CP)の係数として前記乱数δCP倍したxt,i’ CPを設定して要素k CPを生成するCP復号鍵生成部と
    を備え、
     前記暗号化装置は、
     t=1,...,dKPの少なくとも1つ以上の整数tについて、識別情報tと、属性ベクトルx KP:=(xt,i’ KP)(i’=1,...,n KP)とを有する属性集合ΓKPを入力する第2KP情報入力部と、
     i=1,...,LCP(LCPは1以上の整数)の各整数iについての変数ρCP(i)であって、識別情報t(t=1,...,dCPのいずれかの整数)と、属性ベクトルv CP:=(vi,i’ CP)(i’=1,...,n CP)との肯定形の組(t,v CP)又は否定形の組¬(t,v CP)のいずれかである変数ρCP(i)と、LCP行rCP列(rCPは1以上の整数)の所定の行列MCPとを入力する第2CP情報入力部と、
     基底Bの基底ベクトルb0,pの係数として乱数ωKPを設定し、基底ベクトルb
    ,p’の係数として値-s CP(s CP:=h→CP・(f→CP,h→CP及びf→CPはrCP個の要素を有するベクトル)を設定し、基底ベクトルb0,qの係数として乱数ζを設定して要素cを生成する主暗号化データ生成部と、
     前記第2KP情報入力部が入力した属性集合ΓKPに含まれる各識別情報tについての要素c KPを生成するKP暗号化データ生成部であって、基底B KPの基底ベクトルbt,i’ KP(i’=1,...,n)の係数として前記乱数ωKP倍したxt,i’ KPを設定して要素c KPを生成するKP暗号化データ生成部と、
     前記f→CPと、前記第2CP情報入力部が入力した行列MCPとに基づき生成される列ベクトル(s→CP:=(s CP,...,s CP:=MCP・(f→CP(i=LCP)と、乱数θ CP(i=1,...,LCP)とに基づき、i=1,...,LCPの各整数iについての要素c CPを生成するCP暗号化データ生成部であって、i=1,...,LCPの各整数iについて、変数ρCP(i)が肯定形の組(t,v CP)である場合には、その組の識別情報tが示す基底B CPの基底ベクトルbt,1 CPの係数としてs CP+θ CPi,1 CPを設定するとともに、前記識別情報tとi’=2,...,n CPの各整数i’とが示す基底ベクトルbt,i’ CPの係数としてθ CPi,i’ CPを設定して要素c CPを生成し、変数ρCP(i)が否定形の組¬(t,v CP)である場合には、その組の識別情報tとi’=1,...,n CPの各整数i’とが示す基底ベクトルbt,i’ CPの係数としてs CPi,i’ CPを設定して要素c CPを生成するCP暗号化データ生成部と
    を備え、
     前記復号装置は、
     前記主暗号化データ生成部が生成した要素cと、前記KP暗号化データ生成部が生成した要素c KPと、前記CP暗号化データ生成部が生成した要素c CPと、前記属性集合ΓKPと、前記変数ρCP(i)とを含む暗号化データct(ΓKP,SCP)を取得するデータ取得部と、
     前記主復号鍵生成部が生成した要素k と、前記KP復号鍵生成部が生成した要素k KPと、前記CP復号鍵生成部が生成した要素k CPと、前記変数ρKP(i)と、前記属性集合ΓCPとを含む復号鍵sk(SKP,ΓCP)を取得する復号鍵取得部と、
     前記データ取得部が取得した暗号化データct(ΓKP,SCP)に含まれる属性集合ΓKPと、前記復号鍵取得部が取得した復号鍵sk(SKP,ΓCP)に含まれる変数ρKP(i)とに基づき、i=1,...,LKPの各整数iのうち、変数ρKP(i)が肯定形の組(t,v KP)であり、かつ、その組のv KPと、その組の識別情報tが示すΓKPに含まれるx KPとの内積が0となるiと、変数ρKP(i)が否定形の組¬(t,v KP)であり、かつ、その組のv KPと、その組の識別情報tが示すΓKPに含まれるx KPとの内積が0とならないiとの集合IKPを特定するとともに、特定した集合IKPに含まれるiについて、α KP KPを合計した場合に前記h→KPとなる補完係数α KPを計算するKP補完係数計算部と、
     前記暗号化データct(ΓKP,SCP)に含まれるi=1,...,LCPの各整数iについての変数ρCP(i)と、前記復号鍵sk(SKP,ΓCP)に含まれる属性集合ΓCPとに基づき、i=1,...,LCPの各整数iのうち、変数ρCP(i)が肯定形の組(t,v CP)であり、かつ、その組のv CPと、その組の識別情報tが示すΓCPに含まれるx CPとの内積が0となるiと、変数ρCP(i)が否定形の組¬(t,v CP)であり、かつ、その組のv CPと、その組の識別情報tが示すΓCPに含まれるx CPとの内積が0とならないiとの集合ICPを特定するとともに、特定した集合ICPに含まれるiについて、α CP CPを合計した場合に前記h→CPとなる補完係数α CPを計算するCP補完係数計算部と、
     前記暗号化データct(ΓKP,SCP)に含まれる要素cと要素c KPと要素c CPと、前記復号鍵sk(SKP,ΓCP)に含まれる要素k と要素k KPと要素k CPとについて、前記KP補完係数計算部が特定した集合IKPと、前記KP
    補完係数計算部が計算した補完係数α KPと、前記CP補完係数計算部が特定した集合ICPと、前記CP補完係数計算部が計算した補完係数α CPとに基づき、数1に示すペアリング演算を行い値Kを計算するペアリング演算部と
    を備えることを特徴とする暗号処理システム。
    Figure JPOXMLDOC01-appb-M000001
  2.  前記暗号処理システムは、
     少なくとも基底ベクトルb0,i(i=1,2,...,2+u,2+u+1,...,2+u+1+w,...,2+u+1+z)を有する基底Bと、
     少なくとも基底ベクトルb 0,i(i=1,2,...,2+u,2+u+1,...,2+u+1+w,...,2+u+1+z)を有する基底B と、
     少なくとも基底ベクトルbt,i KP(i=1,...,n KP,...,n KP+u KP,...,n KP+u KP+w KP,...,n KP+u KP+w KP+z KP)(u KP,w KP,z KPは1以上の整数、)を有する基底B KP(t=1,...,d)と、
     少なくとも基底ベクトルb t,i KP(i=1,...,n KP,...,n KP+u KP,...,n KP+u KP+w KP,...,n KP+u KP+w KP+z KP)を有する基底B KP(t=1,...,dKP)と、
     少なくとも基底ベクトルbt,i CP(i=1,...,n CP,...,n CP+u CP,...,n CP+u CP+w CP,...,n CP+u CP+w CP+z CP)(u CP,w CP,z CPは1以上の整数、)を有する基底B CP(t=1,...,d)と、
     少なくとも基底ベクトルb t,i CP(i=1,...,n CP,...,n CP+u CP,...,n CP+u CP+w CP,...,n CP+u CP+w CP+z CP)を有する基底B CP(t=1,...,dCP)と
    を用いて暗号処理を実行し、
     前記鍵生成装置では、
     前記主復号鍵生成部は、乱数δCP,η0,i(i=1,...,w)と所定の値κとに基づき数2に示す要素k を生成し、
     前記KP復号鍵生成部は、前記変数ρKP(i)が肯定形の組(t,v KP)である場合には、乱数θ KP,ηi,i’ KP(i=1,...,LKP,i’=1,...,w KP)に基づき数3に示す要素k KPを生成し、変数ρKP(i)が否定形の組¬(t,v KP)である場合には、乱数ηi,i’ KP(i=1,...,LKP,i’=1,...,w KP)に基づき数4に示す要素k KPを生成し、
     前記CP復号鍵生成部は、前記乱数δCPと乱数ηt,i CP(i=1,...,w CP)に基づき数5に示す要素k CPとを生成し、
     前記暗号化装置では、
     前記主暗号化データ生成部は、前記乱数ωKPと乱数ζ,φ0,i(i=1,...,z)とに基づき数6に示す要素cを生成し、
     前記KP暗号化データ生成部は、前記乱数ωKPと乱数φt,i KP(i=1,...,z KP)に基づき数7に示す要素c KPとを生成し、
     前記CP暗号化データ生成部は、前記変数ρCP(i)が肯定形の組(t,v CP)である場合には、乱数θ CP,φi,i’ CP(i=1,...,LCP,i’=1,...,z CP)に基づき数8に示す要素c CPを生成し、変数ρCP(i)が否定形の組¬(t,v CP)である場合には、乱数φi,i’ CP(i=1,...,LCP,i’=1,...,z CP)に基づき数9に示す要素c CPを生成する
    ことを特徴とする請求項1に記載の暗号処理システム。
    Figure JPOXMLDOC01-appb-M000002
    Figure JPOXMLDOC01-appb-M000003
    Figure JPOXMLDOC01-appb-M000004
    Figure JPOXMLDOC01-appb-M000005
    Figure JPOXMLDOC01-appb-M000006
    Figure JPOXMLDOC01-appb-M000007
    Figure JPOXMLDOC01-appb-M000008
    Figure JPOXMLDOC01-appb-M000009
  3.  前記暗号化装置は、さらに、
     所定の値iについてg=e(b0,i,b 0,i)であり、t=1,...,dKPの各整数tと所定の値iとについてg=e(bt,i,b t,i)であり、t=1,...,dCPの各整数tと所定の値iとについてg=e(bt,i,b t,i)である値gを用いて、メッセージmを埋め込んだ要素cd+1=g ζmを生成するメッセージ暗号化データ生成部
    を備え、
     前記復号装置では、
     前記データ取得部は、さらに前記要素cd+1を含む暗号化データct(ΓKP,SCP)を取得し、
     前記復号装置は、さらに、
     前記暗号化データct(ΓKP,SCP)に含まれる前記要素cd+1を、前記ペアリング演算部が計算した値Kで除して、前記メッセージmを計算するメッセージ計算部
    を備えることを特徴とする請求項1又は2に記載の暗号処理システム。
  4.  基底B及び基底B と、t=1,...,dKP(dKPは1以上の整数)の各整数tについての基底B KP及び基底B KPと、t=1,...,dCP(dCP
    1以上の整数)の各整数tについての基底B CP及び基底B CPとを用いて暗号処理を実行する暗号処理システムにおいて、復号鍵sk(SKP,ΓCP)を生成する鍵生成装置であり、
     i=1,...,LKP(LKPは1以上の整数)の各整数iについての変数ρKP(i)であって、識別情報t(t=1,...,dKPのいずれかの整数)と、属性ベクトルv KP:=(vi,i’ KP)(i’=1,...,n KP,n KPは1以上の整数)との肯定形の組(t,v KP)又は否定形の組¬(t,v KP)のいずれかである変数ρKP(i)と、LKP行rKP列(rKPは1以上の整数)の所定の行列MKPとを入力する第1KP情報入力部と、
     t=1,...,dCPの少なくとも1つ以上の整数tについて、識別情報tと、属性ベクトルx CP:=(xt,i’ CP)(i’=1,...,n CP,n CPは1以上の整数)とを有する属性集合ΓCPを入力する第1CP情報入力部と、
     基底B の基底ベクトルb 0,p(pは所定の値)の係数として値-s KP(s KP:=h→KP・(f→KP,h→KP及びf→KPはrKP個の要素を有するベクトル)を設定し、基底ベクトルb 0,p’(p’は前記pとは異なる所定の値)の係数として乱数δCPを設定し、基底ベクトルb 0,q(qは前記p及び前記p’とは異なる所定の値)の係数として所定の値κを設定して復号鍵sk(SKP,ΓCP)の要素k を生成する主復号鍵生成部と、
     前記f→KPと、前記第1KP情報入力部が入力した行列MKPに基づき生成される列ベクトル(s→KP:=(s KP,...,s KP:=MKP・(f→KP(i=LKP)と、乱数θ KP(i=1,...,LKP)とに基づき、i=1,...,LKPの各整数iについての要素k KPを生成するKP復号鍵生成部であって、i=1,...,LKPの各整数iについて、変数ρKP(i)が肯定形の組(t,v KP)である場合には、その組の識別情報tが示す基底B KPの基底ベクトルb t,1 KPの係数としてs KP+θ KPi,1 KPを設定するとともに、前記識別情報tとi’=2,...,n KPの各整数i’とが示す基底ベクトルb t,i’ KPの係数としてθ KPi,i’ KPを設定して復号鍵sk(SKP,ΓCP)の要素k KPを生成し、変数ρKP(i)が否定形の組¬(t,v KP)である場合には、その組の識別情報tとi’=1,...,n KPの各整数i’とが示す基底ベクトルb t,i’ KPの係数としてs KPi,i’ KPを設定して復号鍵sk(SKP,ΓCP)の要素k KPを生成するKP復号鍵生成部と、
     前記第1CP情報入力部が入力した属性集合ΓCPに含まれる各識別情報tについての要素k CPを生成するCP復号鍵生成部であって、基底B CPの基底ベクトルb t,i’ CP(i’=1,...,n CP)の係数として前記乱数δCP倍したxt,i’ CPを設定して復号鍵sk(SKP,ΓCP)の要素k CPを生成するCP復号鍵生成部と
    を備えることを特徴とする鍵生成装置。
  5.  基底B及び基底B と、t=1,...,dKP(dKPは1以上の整数)の各整数tについての基底B KP及び基底B KPと、t=1,...,dCP(dCPは1以上の整数)の各整数tについての基底B CP及び基底B CPとを用いて暗号処理を実行する暗号処理システムにおいて、暗号化データct(ΓKP,SCP)を生成する暗号化装置であり、
     t=1,...,dKPの少なくとも1つ以上の整数tについて、識別情報tと、属性ベクトルx KP:=(xt,i’ KP)(i’=1,...,n KP)とを有する属性集合ΓKPを入力する第2KP情報入力部と、
     i=1,...,LCP(LCPは1以上の整数)の各整数iについての変数ρCP(i)であって、識別情報t(t=1,...,dCPのいずれかの整数)と、属性ベクトルv CP:=(vi,i’ CP)(i’=1,...,n CP)との肯定形の組(t,v CP)又は否定形の組¬(t,v CP)のいずれかである変数ρCP(i
    )と、LCP行rCP列(rCPは1以上の整数)の所定の行列MCPとを入力する第2CP情報入力部と、
     基底Bの基底ベクトルb0,pの係数として乱数ωKPを設定し、基底ベクトルb0,p’の係数として値-s CP(s CP:=h→CP・(f→CP,h→CP及びf→CPはrCP個の要素を有するベクトル)を設定し、基底ベクトルb0,qの係数として乱数ζを設定して暗号化データct(ΓKP,SCP)の要素cを生成する主暗号化データ生成部と、
     前記第2KP情報入力部が入力した属性集合ΓKPに含まれる各識別情報tについての要素c KPを生成するKP暗号化データ生成部であって、基底B KPの基底ベクトルbt,i’ KP(i’=1,...,n)の係数として前記乱数ωKP倍したxt,i’ KPを設定して暗号化データct(ΓKP,SCP)の要素c KPを生成するKP暗号化データ生成部と、
     前記f→CPと、前記第2CP情報入力部が入力した行列MCPとに基づき生成される列ベクトル(s→CP:=(s CP,...,s CP:=MCP・(f→CP(i=LCP)と、乱数θ CP(i=1,...,LCP)とに基づき、i=1,...,LCPの各整数iについての要素c CPを生成するCP暗号化データ生成部であって、i=1,...,LCPの各整数iについて、変数ρCP(i)が肯定形の組(t,v CP)である場合には、その組の識別情報tが示す基底B CPの基底ベクトルbt,1 CPの係数としてs CP+θ CPi,1 CPを設定するとともに、前記識別情報tとi’=2,...,n CPの各整数i’とが示す基底ベクトルbt,i’ CPの係数としてθ CPi,i’ CPを設定して暗号化データct(ΓKP,SCP)の要素c CPを生成し、変数ρCP(i)が否定形の組¬(t,v CP)である場合には、その組の識別情報tとi’=1,...,n CPの各整数i’とが示す基底ベクトルbt,i’ CPの係数としてs CPi,i’ CPを設定して暗号化データct(ΓKP,SCP)の要素c CPを生成するCP暗号化データ生成部と
    を備えることを特徴とする暗号化装置。
  6.  基底B及び基底B と、t=1,...,dKP(dKPは1以上の整数)の各整数tについての基底B KP及び基底B KPと、t=1,...,dCP(dCPは1以上の整数)の各整数tについての基底B CP及び基底B CPとを用いて暗号処理を実行する暗号処理システムにおいて、暗号化データct(ΓKP,SCP)を復号鍵sk(SKP,ΓCP)で復号する復号装置であり、
     t=1,...,dKPの少なくとも1つ以上の整数tについて、識別情報tと、属性ベクトルx KP:=(xt,i’ KP)(i’=1,...,n KP,n KPは1以上の整数)とを有する属性集合ΓKPと、
     i=1,...,LCP(LCPは1以上の整数)の各整数iについての変数ρCP(i)であって、識別情報t(t=1,...,dCPのいずれかの整数)と、属性ベクトルv CP:=(vi,i’ CP)(i’=1,...,n CP,n CPは1以上の整数)との肯定形の組(t,v CP)又は否定形の組¬(t,v CP)のいずれかである変数ρCP(i)と、
     LCP行rCP列(rCPは1以上の整数)の所定の行列MCPと、
     基底Bの基底ベクトルb0,pの係数として乱数ωKPが設定され、基底ベクトルb0,p’の係数として値-s CP(s CP:=h→CP・(f→CP,h→CP及びf→CPはrCP個の要素を有するベクトル)が設定され、基底ベクトルb0,qの係数として乱数ζが設定された要素cと、
     前記属性集合ΓKPに含まれる各識別情報tについて、基底B KPの基底ベクトルbt,i’ KP(i’=1,...,n)の係数として前記乱数ωKP倍したxt,i’ KPが設定された要素c KPと、
     前記f→CPと、前記行列MCPとに基づき生成される列ベクトル(s→CP:=(s CP,...,s CP:=MCP・(f→CP(i=LCP)と、乱数
    θ CP(i=1,...,LCP)とに基づき、i=1,...,LCPの各整数iについて生成された要素c CPであって、i=1,...,LCPの各整数iについて、変数ρCP(i)が肯定形の組(t,v CP)である場合には、その組の識別情報tが示す基底B CPの基底ベクトルbt,1 CPの係数としてs CP+θ CPi,1 CPが設定されるとともに、前記識別情報tとi’=2,...,n CPの各整数i’とが示す基底ベクトルbt,i’ CPの係数としてθ CPi,i’ CPが設定され、変数ρCP(i)が否定形の組¬(t,v CP)である場合には、その組の識別情報tとi’=1,...,n CPの各整数i’とが示す基底ベクトルbt,i’ CPの係数としてs CPi,i’ CPが設定された要素c CP
    を含む暗号化データct(ΓKP,SCP)を取得するデータ取得部と、
     i=1,...,LKP(LKPは1以上の整数)の各整数iについての変数ρKP(i)であって、識別情報t(t=1,...,dKPのいずれかの整数)と、属性ベクトルv KP:=(vi,i’ KP)(i’=1,...,n KP)との肯定形の組(t,v KP)又は否定形の組¬(t,v KP)のいずれかである変数ρKP(i)と、
     LKP行rKP列(rKPは1以上の整数)の所定の行列MKPと、
     t=1,...,dCPの少なくとも1つ以上の整数tについて、識別情報tと、属性ベクトルx CP:=(xt,i’ CP)(i’=1,...,n CP)とを有する属性集合ΓCP
     基底B の基底ベクトルb 0,p(pは所定の値)の係数として値-s KP(s KP:=h→KP・(f→KP,h→KP及びf→KPはrKP個の要素を有するベクトル)が設定され、基底ベクトルb 0,p’(p’は前記pとは異なる所定の値)の係数として乱数δCPが設定され、基底ベクトルb 0,q(qは前記p及び前記p’とは異なる所定の値)の係数として所定の値κが設定された要素k と、
     前記f→KPと、前記第1KP情報入力部が入力した行列MKPに基づき生成される列ベクトル(s→KP:=(s KP,...,s KP:=MKP・(f→KP(i=LKP)と、乱数θ KP(i=1,...,LKP)とに基づき、i=1,...,LKPの各整数iについて生成された要素k KPであって、i=1,...,LKPの各整数iについて、変数ρKP(i)が肯定形の組(t,v KP)である場合には、その組の識別情報tが示す基底B KPの基底ベクトルb t,1 KPの係数としてs KP+θ KPi,1 KPが設定されるとともに、前記識別情報tとi’=2,...,n KPの各整数i’とが示す基底ベクトルb t,i’ KPの係数としてθ KPi,i’ KPが設定され、変数ρKP(i)が否定形の組¬(t,v KP)である場合には、その組の識別情報tとi’=1,...,n KPの各整数i’とが示す基底ベクトルb t,i’ KPの係数としてs KPi,i’ KPが設定された要素k KPと、
     前記属性集合ΓCPに含まれる各識別情報tについて、基底B CPの基底ベクトルb t,i’ CP(i’=1,...,n CP)の係数として前記乱数δCP倍したxt,i’ CPが設定された要素k CP
    を含む復号鍵sk(SKP,ΓCP)を取得する復号鍵取得部と、
     前記データ取得部が取得した暗号化データct(ΓKP,SCP)に含まれる属性集合ΓKPと、前記復号鍵取得部が取得した復号鍵sk(SKP,ΓCP)に含まれる変数ρKP(i)とに基づき、i=1,...,LKPの各整数iのうち、変数ρKP(i)が肯定形の組(t,v KP)であり、かつ、その組のv KPと、その組の識別情報tが示すΓKPに含まれるx KPとの内積が0となるiと、変数ρKP(i)が否定形の組¬(t,v KP)であり、かつ、その組のv KPと、その組の識別情報tが示すΓKPに含まれるx KPとの内積が0とならないiとの集合IKPを特定するとともに、特定した集合IKPに含まれるiについて、α KP KPを合計した場合に前記h→KPとなる補完係数α KPを計算するKP補完係数計算部と、
     前記暗号化データct(ΓKP,SCP)に含まれるi=1,...,LCPの各整数
    iについての変数ρCP(i)と、前記復号鍵sk(SKP,ΓCP)に含まれる属性集合ΓCPとに基づき、i=1,...,LCPの各整数iのうち、変数ρCP(i)が肯定形の組(t,v CP)であり、かつ、その組のv CPと、その組の識別情報tが示すΓCPに含まれるx CPとの内積が0となるiと、変数ρCP(i)が否定形の組¬(t,v CP)であり、かつ、その組のv CPと、その組の識別情報tが示すΓCPに含まれるx CPとの内積が0とならないiとの集合ICPを特定するとともに、特定した集合ICPに含まれるiについて、α CP CPを合計した場合に前記h→CPとなる補完係数α CPを計算するCP補完係数計算部と、
     前記暗号化データct(ΓKP,SCP)に含まれる要素cと要素c KPと要素c CPと、前記復号鍵sk(SKP,ΓCP)に含まれる要素k と要素k KPと要素k CPとについて、前記KP補完係数計算部が特定した集合IKPと、前記KP補完係数計算部が計算した補完係数α KPと、前記CP補完係数計算部が特定した集合ICPと、前記CP補完係数計算部が計算した補完係数α CPとに基づき、数10に示すペアリング演算を行い値Kを計算するペアリング演算部と
    を備えることを特徴とする復号装置。
    Figure JPOXMLDOC01-appb-M000010
  7.  基底B及び基底B と、t=1,...,dKP(dKPは1以上の整数)の各整数tについての基底B KP及び基底B KPと、t=1,...,dCP(dCPは1以上の整数)の各整数tについての基底B CP及び基底B CPとを用いた暗号処理方法であり、
     鍵生成装置が、i=1,...,LKP(LKPは1以上の整数)の各整数iについての変数ρKP(i)であって、識別情報t(t=1,...,dKPのいずれかの整数)と、属性ベクトルv KP:=(vi,i’ KP)(i’=1,...,n KP,n KPは1以上の整数)との肯定形の組(t,v KP)又は否定形の組¬(t,v KP)のいずれかである変数ρKP(i)と、LKP行rKP列(rKPは1以上の整数)の所定の行列MKPとを入力する第1KP情報入力工程と、
     前記鍵生成装置が、t=1,...,dCPの少なくとも1つ以上の整数tについて、識別情報tと、属性ベクトルx CP:=(xt,i’ CP)(i’=1,...,n CP,n CPは1以上の整数)とを有する属性集合ΓCPを入力する第1CP情報入力工程と、
     前記鍵生成装置が、基底B の基底ベクトルb 0,p(pは所定の値)の係数として値-s KP(s KP:=h→KP・(f→KP,h→KP及びf→KPはrKP個の要素を有するベクトル)を設定し、基底ベクトルb 0,p’(p’は前記pとは
    異なる所定の値)の係数として乱数δCPを設定し、基底ベクトルb 0,q(qは前記p及び前記p’とは異なる所定の値)の係数として所定の値κを設定して要素k を生成する主復号鍵生成工程と、
     前記鍵生成装置が、前記f→KPと、前記第1KP情報入力工程で入力した行列MKPに基づき生成される列ベクトル(s→KP:=(s KP,...,s KP:=MKP・(f→KP(i=LKP)と、乱数θ KP(i=1,...,LKP)とに基づき、i=1,...,LKPの各整数iについての要素k KPを生成するKP復号鍵生成工程であって、i=1,...,LKPの各整数iについて、変数ρKP(i)が肯定形の組(t,v KP)である場合には、その組の識別情報tが示す基底B KPの基底ベクトルb t,1 KPの係数としてs KP+θ KPi,1 KPを設定するとともに、前記識別情報tとi’=2,...,n KPの各整数i’とが示す基底ベクトルb t,i’ KPの係数としてθ KPi,i’ KPを設定して要素k KPを生成し、変数ρKP(i)が否定形の組¬(t,v KP)である場合には、その組の識別情報tとi’=1,...,n KPの各整数i’とが示す基底ベクトルb t,i’ KPの係数としてs KPi,i’ KPを設定して要素k KPを生成するKP復号鍵生成工程と、
     前記鍵生成装置が、前記第1CP情報入力工程で入力した属性集合ΓCPに含まれる各識別情報tについての要素k CPを生成するCP復号鍵生成工程であって、基底B CPの基底ベクトルb t,i’ CP(i’=1,...,n CP)の係数として前記乱数δCP倍したxt,i’ CPを設定して要素k CPを生成するCP復号鍵生成工程と、
     暗号化装置が、t=1,...,dKPの少なくとも1つ以上の整数tについて、識別情報tと、属性ベクトルx KP:=(xt,i’ KP)(i’=1,...,n KP)とを有する属性集合ΓKPを入力する第2KP情報入力工程と、
     前記暗号化装置が、i=1,...,LCP(LCPは1以上の整数)の各整数iについての変数ρCP(i)であって、識別情報t(t=1,...,dCPのいずれかの整数)と、属性ベクトルv CP:=(vi,i’ CP)(i’=1,...,n CP)との肯定形の組(t,v CP)又は否定形の組¬(t,v CP)のいずれかである変数ρCP(i)と、LCP行rCP列(rCPは1以上の整数)の所定の行列MCPとを入力する第2CP情報入力工程と、
     前記暗号化装置が、基底Bの基底ベクトルb0,pの係数として乱数ωKPを設定し、基底ベクトルb0,p’の係数として値-s CP(s CP:=h→CP・(f→CP,h→CP及びf→CPはrCP個の要素を有するベクトル)を設定し、基底ベクトルb0,qの係数として乱数ζを設定して要素cを生成する主暗号化データ生成工程と、
     前記暗号化装置が、前記第2KP情報入力工程で入力した属性集合ΓKPに含まれる各識別情報tについての要素c KPを生成するKP暗号化データ生成工程であって、基底B KPの基底ベクトルbt,i’ KP(i’=1,...,n)の係数として前記乱数ωKP倍したxt,i’ KPを設定して要素c KPを生成するKP暗号化データ生成工程と、
     前記暗号化装置が、前記f→CPと、前記第2CP情報入力工程で入力した行列MCPとに基づき生成される列ベクトル(s→CP:=(s CP,...,s CP:=MCP・(f→CP(i=LCP)と、乱数θ CP(i=1,...,LCP)とに基づき、i=1,...,LCPの各整数iについての要素c CPを生成するCP暗号化データ生成工程であって、i=1,...,LCPの各整数iについて、変数ρCP(i)が肯定形の組(t,v CP)である場合には、その組の識別情報tが示す基底B CPの基底ベクトルbt,1 CPの係数としてs CP+θ CPi,1 CPを設定するとともに、前記識別情報tとi’=2,...,n CPの各整数i’とが示す基底ベクトルbt,i’ CPの係数としてθ CPi,i’ CPを設定して要素c CPを生成し、変数ρCP(i)が否定形の組¬(t,v CP)である場合には、その組の識別情報tとi’=1,...,n CPの各整数i’とが示す基底ベクトルbt,i’ CPの係数としてs CPi,i’ CPを設定して要素c CPを生成するCP暗号化データ生成工程と、
     復号装置が、前記主暗号化データ生成工程で生成した要素cと、前記KP暗号化データ生成工程で生成した要素c KPと、前記CP暗号化データ生成工程で生成した要素c CPと、前記属性集合ΓKPと、前記変数ρCP(i)とを含む暗号化データct(ΓKP,SCP)を取得するデータ取得工程と、
     前記復号装置が、前記主復号鍵生成工程で生成した要素k と、前記KP復号鍵生成工程で生成した要素k KPと、前記CP復号鍵生成工程で生成した要素k CPと、前記変数ρKP(i)と、前記属性集合ΓCPとを含む復号鍵sk(SKP,ΓCP)を取得する復号鍵取得工程と、
     前記復号装置が、前記データ取得工程で取得した暗号化データct(ΓKP,SCP)に含まれる属性集合ΓKPと、前記復号鍵取得工程で取得した復号鍵sk(SKP,ΓCP)に含まれる変数ρKP(i)とに基づき、i=1,...,LKPの各整数iのうち、変数ρKP(i)が肯定形の組(t,v KP)であり、かつ、その組のv KPと、その組の識別情報tが示すΓKPに含まれるx KPとの内積が0となるiと、変数ρKP(i)が否定形の組¬(t,v KP)であり、かつ、その組のv KPと、その組の識別情報tが示すΓKPに含まれるx KPとの内積が0とならないiとの集合IKPを特定するとともに、特定した集合IKPに含まれるiについて、α KP KPを合計した場合に前記h→KPとなる補完係数α KPを計算するKP補完係数計算工程と、
     前記復号装置が、前記暗号化データct(ΓKP,SCP)に含まれるi=1,...,LCPの各整数iについての変数ρCP(i)と、前記復号鍵sk(SKP,ΓCP)に含まれる属性集合ΓCPとに基づき、i=1,...,LCPの各整数iのうち、変数ρCP(i)が肯定形の組(t,v CP)であり、かつ、その組のv CPと、その組の識別情報tが示すΓCPに含まれるx CPとの内積が0となるiと、変数ρCP(i)が否定形の組¬(t,v CP)であり、かつ、その組のv CPと、その組の識別情報tが示すΓCPに含まれるx CPとの内積が0とならないiとの集合ICPを特定するとともに、特定した集合ICPに含まれるiについて、α CP CPを合計した場合に前記h→CPとなる補完係数α CPを計算するCP補完係数計算工程と、
     前記復号装置が、前記暗号化データct(ΓKP,SCP)に含まれる要素cと要素c KPと要素c CPと、前記復号鍵sk(SKP,ΓCP)に含まれる要素k と要素k KPと要素k CPとについて、前記KP補完係数計算工程で特定した集合IKPと、前記KP補完係数計算工程で計算した補完係数α KPと、前記CP補完係数計算工程で特定した集合ICPと、前記CP補完係数計算工程で計算した補完係数α CPとに基づき、数1に示すペアリング演算を行い値Kを計算するペアリング演算工程と
    を備えることを特徴とする暗号処理方法。
    Figure JPOXMLDOC01-appb-M000011
  8.  鍵生成プログラムと暗号化プログラムと復号プログラムとを備え、基底B及び基底B と、t=1,...,dKP(dKPは1以上の整数)の各整数tについての基底B KP及び基底B KPと、t=1,...,dCP(dCPは1以上の整数)の各整数tについての基底B CP及び基底B CPとを用いて暗号処理を実行する暗号処理プログラムであり、
     前記鍵生成プログラムは、
     i=1,...,LKP(LKPは1以上の整数)の各整数iについての変数ρKP(i)であって、識別情報t(t=1,...,dKPのいずれかの整数)と、属性ベクトルv KP:=(vi,i’ KP)(i’=1,...,n KP,n KPは1以上の整数)との肯定形の組(t,v KP)又は否定形の組¬(t,v KP)のいずれかである変数ρKP(i)と、LKP行rKP列(rKPは1以上の整数)の所定の行列MKPとを入力する第1KP情報入力処理と、
     t=1,...,dCPの少なくとも1つ以上の整数tについて、識別情報tと、属性ベクトルx CP:=(xt,i’ CP)(i’=1,...,n CP,n CPは1以上の整数)とを有する属性集合ΓCPを入力する第1CP情報入力処理と、
     基底B の基底ベクトルb 0,p(pは所定の値)の係数として値-s KP(s KP:=h→KP・(f→KP,h→KP及びf→KPはrKP個の要素を有するベクトル)を設定し、基底ベクトルb 0,p’(p’は前記pとは異なる所定の値)の係数として乱数δCPを設定し、基底ベクトルb 0,q(qは前記p及び前記p’とは異なる所定の値)の係数として所定の値κを設定して要素k を生成する主復号鍵生成処理と、
     前記f→KPと、前記第1KP情報入力処理で入力した行列MKPに基づき生成される列ベクトル(s→KP:=(s KP,...,s KP:=MKP・(f→KP(i=LKP)と、乱数θ KP(i=1,...,LKP)とに基づき、i=1,...,LKPの各整数iについての要素k KPを生成するKP復号鍵生成処理であって、i=1,...,LKPの各整数iについて、変数ρKP(i)が肯定形の組(t,v KP)である場合には、その組の識別情報tが示す基底B KPの基底ベクトルb t,1 KPの係数としてs KP+θ KPi,1 KPを設定するとともに、前記識別情報tとi’=2,...,n KPの各整数i’とが示す基底ベクトルb t,i’ KPの係数としてθ KPi,i’ KPを設定して要素k KPを生成し、変数ρKP(i)が否定形の組¬(t,v KP)である場合には、その組の識別情報tとi’=1,...,n KPの各整数i’とが示す基底ベクトルb t,i’ KPの係数としてs KPi,i’ KPを設定して要素k KPを生成するKP復号鍵生成処理と、
     前記第1CP情報入力処理で入力した属性集合ΓCPに含まれる各識別情報tについての要素k CPを生成するCP復号鍵生成処理であって、基底B CPの基底ベクトルb t,i’ CP(i’=1,...,n CP)の係数として前記乱数δCP倍したxt,i’ CPを設定して要素k CPを生成するCP復号鍵生成処理と
    をコンピュータに実行させ、
     前記暗号化プログラムは、
     t=1,...,dKPの少なくとも1つ以上の整数tについて、識別情報tと、属性ベクトルx KP:=(xt,i’ KP)(i’=1,...,n KP)とを有する属性集合ΓKPを入力する第2KP情報入力処理と、
     i=1,...,LCP(LCPは1以上の整数)の各整数iについての変数ρCP(i)であって、識別情報t(t=1,...,dCPのいずれかの整数)と、属性ベクトルv CP:=(vi,i’ CP)(i’=1,...,n CP)との肯定形の組(t,v CP)又は否定形の組¬(t,v CP)のいずれかである変数ρCP(i)と、LCP行rCP列(rCPは1以上の整数)の所定の行列MCPとを入力する第2CP情報入力処理と、
     基底Bの基底ベクトルb0,pの係数として乱数ωKPを設定し、基底ベクトルb0,p’の係数として値-s CP(s CP:=h→CP・(f→CP,h→CP及びf→CPはrCP個の要素を有するベクトル)を設定し、基底ベクトルb0,qの係数として乱数ζを設定して要素cを生成する主暗号化データ生成処理と、
     前記第2KP情報入力処理で入力した属性集合ΓKPに含まれる各識別情報tについての要素c KPを生成するKP暗号化データ生成処理であって、基底B KPの基底ベクトルbt,i’ KP(i’=1,...,n)の係数として前記乱数ωKP倍したxt,i’ KPを設定して要素c KPを生成するKP暗号化データ生成処理と、
     前記f→CPと、前記第2CP情報入力処理で入力した行列MCPとに基づき生成される列ベクトル(s→CP:=(s CP,...,s CP:=MCP・(f→CP(i=LCP)と、乱数θ CP(i=1,...,LCP)とに基づき、i=1,...,LCPの各整数iについての要素c CPを生成するCP暗号化データ生成処理であって、i=1,...,LCPの各整数iについて、変数ρCP(i)が肯定形の組(t,v CP)である場合には、その組の識別情報tが示す基底B CPの基底ベクトルbt,1 CPの係数としてs CP+θ CPi,1 CPを設定するとともに、前記識別情報tとi’=2,...,n CPの各整数i’とが示す基底ベクトルbt,i’ CPの係数としてθ CPi,i’ CPを設定して要素c CPを生成し、変数ρCP(i)が否定形の組¬(t,v CP)である場合には、その組の識別情報tとi’=1,...,n CPの各整数i’とが示す基底ベクトルbt,i’ CPの係数としてs CPi,i’ CPを設定して要素c CPを生成するCP暗号化データ生成処理と
    をコンピュータに実行させ、
     前記復号プログラムは、
     前記主暗号化データ生成処理で生成した要素cと、前記KP暗号化データ生成処理で生成した要素c KPと、前記CP暗号化データ生成処理で生成した要素c CPと、前記属性集合ΓKPと、前記変数ρCP(i)とを含む暗号化データct(ΓKP,SCP)を取得するデータ取得処理と、
     前記主復号鍵生成処理で生成した要素k と、前記KP復号鍵生成処理で生成した要素k KPと、前記CP復号鍵生成処理で生成した要素k CPと、前記変数ρKP(i)と、前記属性集合ΓCPとを含む復号鍵sk(SKP,ΓCP)を取得する復号鍵取得処理と、
     前記データ取得処理で取得した暗号化データct(ΓKP,SCP)に含まれる属性集合ΓKPと、前記復号鍵取得処理で取得した復号鍵sk(SKP,ΓCP)に含まれる変数ρKP(i)とに基づき、i=1,...,LKPの各整数iのうち、変数ρKP(i)が肯定形の組(t,v KP)であり、かつ、その組のv KPと、その組の識別情報tが示すΓKPに含まれるx KPとの内積が0となるiと、変数ρKP(i)が否定形の組¬(t,v KP)であり、かつ、その組のv KPと、その組の識別情報tが示すΓKPに含まれるx KPとの内積が0とならないiとの集合IKPを特定するとともに、特定した集合IKPに含まれるiについて、α KP KPを合計した場合に前記h→KPとなる補完係数α KPを計算するKP補完係数計算処理と、
     前記暗号化データct(ΓKP,SCP)に含まれるi=1,...,LCPの各整数iについての変数ρCP(i)と、前記復号鍵sk(SKP,ΓCP)に含まれる属性集合ΓCPとに基づき、i=1,...,LCPの各整数iのうち、変数ρCP(i)が肯定形の組(t,v CP)であり、かつ、その組のv CPと、その組の識別情報tが示すΓCPに含まれるx CPとの内積が0となるiと、変数ρCP(i)が否定形の組¬(t,v CP)であり、かつ、その組のv CPと、その組の識別情報tが示すΓCPに含まれるx CPとの内積が0とならないiとの集合ICPを特定するとともに、特定した集合ICPに含まれるiについて、α CP CPを合計した場合に前記h→CPとなる補完係数α CPを計算するCP補完係数計算処理と、
     前記暗号化データct(ΓKP,SCP)に含まれる要素cと要素c KPと要素c CPと、前記復号鍵sk(SKP,ΓCP)に含まれる要素k と要素k KPと要素k CPとについて、前記KP補完係数計算処理で特定した集合IKPと、前記KP補完係数計算処理で計算した補完係数α KPと、前記CP補完係数計算処理で特定した集合ICPと、前記CP補完係数計算処理で計算した補完係数α CPとに基づき、数1に示すペアリング演算を行い値Kを計算するペアリング演算処理と
    をコンピュータに実行させることを特徴とする暗号処理プログラム。
    Figure JPOXMLDOC01-appb-M000012
PCT/JP2011/078164 2010-12-22 2011-12-06 暗号処理システム、鍵生成装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム Ceased WO2012086405A1 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR1020137012670A KR101393899B1 (ko) 2010-12-22 2011-12-06 암호 처리 시스템, 키 생성 장치, 암호화 장치, 복호 장치, 암호 처리 방법 및 암호 처리 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체
US13/823,507 US8938623B2 (en) 2010-12-22 2011-12-06 Cryptographic processing system, key generation device, encryption device, decryption device, cryptographic processing method, and cryptographic processing program
CN201180061703.XA CN103270719B (zh) 2010-12-22 2011-12-06 密码处理系统、密钥生成装置、加密装置、解密装置、密码处理方法
EP11851495.9A EP2613472A4 (en) 2010-12-22 2011-12-06 Encryption processing system, key generation device, encryption device, decryption device, encryption processing method, and encryption processing program

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2010286511A JP5693206B2 (ja) 2010-12-22 2010-12-22 暗号処理システム、鍵生成装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム
JP2010-286511 2010-12-22

Publications (1)

Publication Number Publication Date
WO2012086405A1 true WO2012086405A1 (ja) 2012-06-28

Family

ID=46313685

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2011/078164 Ceased WO2012086405A1 (ja) 2010-12-22 2011-12-06 暗号処理システム、鍵生成装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム

Country Status (6)

Country Link
US (1) US8938623B2 (ja)
EP (1) EP2613472A4 (ja)
JP (1) JP5693206B2 (ja)
KR (1) KR101393899B1 (ja)
CN (1) CN103270719B (ja)
WO (1) WO2012086405A1 (ja)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5606344B2 (ja) 2011-01-25 2014-10-15 三菱電機株式会社 署名処理システム、鍵生成装置、署名装置、検証装置、署名処理方法及び署名処理プログラム
JP5921410B2 (ja) * 2012-10-19 2016-05-24 三菱電機株式会社 暗号システム
JP5852551B2 (ja) * 2012-11-12 2016-02-03 日本電信電話株式会社 関数型暗号システム、鍵生成装置、暗号化装置、復号装置、関数型暗号方法、およびプログラム
EP2947810B1 (en) 2013-01-16 2021-07-14 Mitsubishi Electric Corporation Encryption system, re-encryption key generation device, re-encryption device, encryption method and encryption program
US9979536B2 (en) 2013-10-09 2018-05-22 Mitsubishi Electric Corporation Cryptographic system, encryption device, re-encryption key generation device, re-encryption device, and cryptographic program
EP2860905A1 (en) * 2013-10-09 2015-04-15 Thomson Licensing Method for ciphering a message via a keyed homomorphic encryption function, corresponding electronic device and computer program product
US20160294551A1 (en) * 2013-12-02 2016-10-06 Mitsubishi Electric Corporation Data processing system, encryption apparatus, decryption apparatus, and computer readable medium
WO2015107620A1 (ja) 2014-01-14 2015-07-23 三菱電機株式会社 暗号システム、再暗号化鍵生成装置、再暗号化装置及び暗号プログラム
US9640090B2 (en) 2014-02-24 2017-05-02 Mitsubishi Electric Corporation Cryptographic system and computer readable medium
WO2016088250A1 (ja) 2014-12-05 2016-06-09 三菱電機株式会社 復号条件追加装置、暗号システム及び復号条件追加プログラム
CN107454975B (zh) 2015-04-07 2020-11-27 三菱电机株式会社 加密系统和密钥生成装置
KR102447476B1 (ko) * 2015-08-20 2022-09-27 삼성전자주식회사 암복호 장치, 그것을 포함하는 저장 장치 및 그것의 암복호 방법
US10205713B2 (en) * 2017-04-05 2019-02-12 Fujitsu Limited Private and mutually authenticated key exchange
KR101994236B1 (ko) * 2017-04-21 2019-09-30 한국전자통신연구원 프라이버시 보존형 각도 기반 이상치 검출 방법 및 장치
EP3698515B1 (en) * 2017-10-17 2021-02-17 Koninklijke Philips N.V. Configurable device for lattice-based cryptography
JP7117964B2 (ja) * 2018-10-04 2022-08-15 三菱電機株式会社 復号装置、暗号システム、復号方法及び復号プログラム
US10778410B2 (en) * 2019-06-18 2020-09-15 Alibaba Group Holding Limited Homomorphic data encryption method and apparatus for implementing privacy protection
US12099997B1 (en) 2020-01-31 2024-09-24 Steven Mark Hoffberg Tokenized fungible liabilities
CN113271309B (zh) * 2021-05-24 2022-04-08 四川师范大学 一种分层文件加密方法及系统
KR20230136950A (ko) 2022-03-21 2023-10-04 삼성전자주식회사 함수 암호 시스템 및 함수 암호 수행 방법
US12519613B2 (en) * 2022-11-07 2026-01-06 Crypto Lab Inc. Apparatus for calculating matrix multiplication of homomorphic encryption and method thereof

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011135895A1 (ja) * 2010-04-27 2011-11-03 三菱電機株式会社 暗号処理システム、鍵生成装置、暗号化装置、復号装置、署名処理システム、署名装置及び検証装置

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7349538B2 (en) * 2002-03-21 2008-03-25 Ntt Docomo Inc. Hierarchical identity-based encryption and signature schemes
CN1633776A (zh) * 2002-04-15 2005-06-29 美国多科摩通讯研究所股份有限公司 利用双线性映射的签名方案
US6886096B2 (en) * 2002-11-14 2005-04-26 Voltage Security, Inc. Identity-based encryption system
US7003117B2 (en) * 2003-02-05 2006-02-21 Voltage Security, Inc. Identity-based encryption system for secure data distribution
US7499544B2 (en) * 2003-11-03 2009-03-03 Microsoft Corporation Use of isogenies for design of cryptosystems
EP1646174A1 (en) * 2004-10-07 2006-04-12 Axalto SA Method and apparatus for generating cryptographic sets of instructions automatically and code generation
JP5131187B2 (ja) * 2006-03-14 2013-01-30 日本電気株式会社 情報処理システム、情報処理方法および情報処理プログラム
WO2008066671A2 (en) * 2006-11-08 2008-06-05 Voltage Security, Inc. Indentity-based-encryption extensions formed using multiple instances of an identity based encryption scheme

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011135895A1 (ja) * 2010-04-27 2011-11-03 三菱電機株式会社 暗号処理システム、鍵生成装置、暗号化装置、復号装置、署名処理システム、署名装置及び検証装置

Non-Patent Citations (35)

* Cited by examiner, † Cited by third party
Title
"Functional Encryption for Inner Product:Achieving Constant- Size Ciphertexts with Adaptive Security or Support for Negation", PROCEEDINGS OF THE 13TH INTERNATIONAL CONFERENCE ON PRACTICE AND THEORY IN PUBLIC KEY CRYPTOGRAPHY, 26 May 2010 (2010-05-26) - 28 May 2010 (2010-05-28), PARIS, FRANCE, pages 384 - 402, XP019141973 *
"News Analysis", THE JOURNAL OF THE INSTITUTE OF ELECTRONICS, INFORMATION AND COMMUNICATION ENGINEERS, vol. 93, no. 12, 1 December 2010 (2010-12-01), pages 1070 - 1071, XP008170407 *
BEIMEL, A.: "Secure schemes for secret sharing and key distribution", PHD THESIS, ISRAEL INSTITUTE OF TECHNOLOGY, TECHNION, HAIFA, ISRAEL, 1996
BETHENCOURT, J.; SAHAI, A.; WATERS, B.: "2007 IEEE Symposium on Security and Privacy", 2007, IEEE PRESS, article "Ciphertext policy attribute-based encryption", pages: 321 - 34
BONEH, D.; BOYEN, X.: "CRYPTO 2004", vol. 3152, 2004, SPRINGER HEIDELBERG, article "Secure identity based encryption without random oracles", pages: 443
BONEH, D.; BOYEN, X.: "EUROCRYPT 2004. LNCS", vol. 3027, 2004, SPRINGER HEIDELBERG, article "Efficient selective-ID secure identity based encryption without random oracles", pages: 223 - 38
BONEH, D.; BOYEN, X.; GOH, E.: "EUROCRYPT 2005", vol. 3494, 2005, SPRINGER HEIDELBERG, article "Hierarchical identity based encryption with constant size ciphertext", pages: 440 - 56
BONEH, D.; FRANKLIN, M.: "CRYPT02001", vol. 2139, 2001, SPRINGER HEIDELBERG, article "Identity-based encryption from the Weil pairing", pages: 213 - 29
BONEH, D.; HAMBURG, M.: "ASIACRYPT 2008", vol. 5350, 2008, SPRINGER HEIDELBERG, article "Generalized identity based and broadcast encryption scheme", pages: 455 - 70
BONEH, D.; KATZ, J.: "RSA-CT 2005", 2005, LNCS, SPRINGER VERLAG, article "Improved efficiency for CCA-secure cryptosystems built using identity based encryption"
BONEH, D.; WATERS, B.: "TCC 2007", vol. 4392, 2007, SPRINGER HEIDELBERG, article "Conjunctive, subset, and range queries on encrypted data", pages: 535 - 54
BOYEN, X.; WATERS, B.: "CRYPTO 2006", vol. 4117, 2006, SPRINGER HEIDELBERG, article "Anonymous hierarchical identity-based encryption (without random oracles", pages: 290 - 07
CANETTI, R.; HALEVI S.; KATZ J.: "EUROCRYPT2004", 2004, LNCS, SPRINGER-VERLAG, article "Chosen-ciphertext security from identity-based encryption"
COCKS, C.: "IMAInt. Conf.", vol. 2260, 2001, SPRINGER HEIDELBERG, article "An identity based encryption scheme based on quadratic residues", pages: 360.63
DAN BONEH ET AL.: "Functional Encryption: Definitions and Challenges", 1 November 2010 (2010-11-01), XP061004394, Retrieved from the Internet <URL:http://eprint.iacr.org/cgi-bin/versions.pl?entry=2010/543> *
GENTRY, C.: "EUROCRYPT 2006", vol. 4004, 2006, SPRINGER HEIDELBERG, article "Practical identity-based encryption without random oracles", pages: 445 - 64
GENTRY, C.; HALEVI, S.: "TCC 2009", vol. 5444, 2009, SPRINGER HEIDELBERG, article "Hierarchical identity-based encryption with polynomially many levels", pages: 437 - 56
GENTRY, C.; SILVERBERG, A.: "ASIACRYPT 2002", vol. 2501, 2002, SPRINGER HEIDELBERG, article "Hierarchical ID-based cryptography", pages: 548 - 66
GOYAL, V.; PANDEY, O.; SAHAI, A.; WATERS, B.: "ACM Conference on Computer and Communication Security 2006", 2006, ACM, article "Attribute-based encryption for fme-grained access control of encrypted data", pages: 89,8
GROTH, J.; SAHAI, A.: "EUROCRYPT 2008", vol. 4965, 2008, SPRINGER HEIDELBERG, article "Efficient non-interactive proof systems for bilinear groups", pages: 415 - 32
HORWITZ, J.; LYNN, B.: "EUROCRYPT 2002", vol. 2332, 2002, SPRINGER HEIDELBERG, article "Towards hierarchical identity-based encryption", pages: 466 - 81
KATZ, J.; SAHAI, A.; WATERS, B.: "EUROCRYPT 2008. LNCS", vol. 4965, 2008, SPRINGER HEIDELBERG, article "Predicate encryption supporting disjunctions, polynomial equations, and inner products", pages: 146.62
LEWKO, A.; OKAMOTO, T.; SAHAI, A.; TAKASHIMA, K.; WATERS, B.: "EUROCRYPT 2010", vol. 6110, 2010, SPRINGER, HEIDELBERG, article "Fully secure functional encryption: Attribute-based encryption and (hierarchical) inner product encryption", pages: 62 - 91
LEWKO, A.B.; WATERS, B.: "Fully secure HIBE with short ciphertexts", EPRINT, IACR, Retrieved from the Internet <URL:eprint.iacr.org/2009/482>
OKAMOTO, T.; TAKASHIMA, K.: "ASIACRYPT", 2009, SPRINGER, article "Hierarchical predicate encryption for Inner-Products"
OKAMOTO, T.; TAKASHIMA, K.: "CRYPTO 2010", vol. 6223, 2010, SPRINGER HEIDELBERG, article "Fully Secure Functional Encryption with General Relations from the Decisional Linear Assumption", pages: 191 - 208
OKAMOTO, T.; TAKASHIMA, K.: "Pairing 2008", vol. 5209, 2008, SPRINGER HEIDELBERG, article "Homomorphic encryption and signatures from vector decomposition", pages: 57
OSTROVSKY, R.; SAHAI, A.; WATERS, B.: "ACM Conference on Computer and Communication Security 2007", 2007, ACM, article "Attribute-based encryption with non-monotonic access structures", pages: 195 - 3
PIRRETTI, M.; TRAYNOR, P.; MCDANIEL, P.; WATERS, B.: "ACM Conference on Computer and Communication Security 2006", 2006, ACM, article "Secure attribute-based systems", pages: 99.12
SAHAI, A.; WATERS, B.: "EUROCRYPT 2005", vol. 3494, 2005, SPRINGER HEIDELBERG, article "Fuzzy identity-based encryption", pages: 457 - 73
See also references of EP2613472A4 *
SHI, E.; WATERS, B.: "ICALP (2) 2008", vol. 5126, 2008, SPRINGER HEIDELBERG, article "Delegating capability in predicate encryption systems", pages: 560 - 78
WATERS, B.: "Ciphertext-policy attribute-based encryption: an expressive, efficient, and provably secure realization", EPRINT, IACR, Retrieved from the Internet <URL:eprint.iacr.org/2008/290>
WATERS, B.: "CRYPTO 2009. LNCS", vol. 5677, 2009, SPRINGER HEIDELBERG, article "Dual system encryption: Realizing fully secure IBE and HIBE under simple assumptions", pages: 619 - 36
WATERS, B.: "Eurocrypt 2005", vol. 3152, 2005, SPRINGER VERLAG, article "Efficient identity based encryption without random oracles", pages: 443 - 59

Also Published As

Publication number Publication date
EP2613472A4 (en) 2017-07-12
US20130173929A1 (en) 2013-07-04
KR20130084669A (ko) 2013-07-25
CN103270719B (zh) 2015-09-30
KR101393899B1 (ko) 2014-05-12
JP2012133214A (ja) 2012-07-12
CN103270719A (zh) 2013-08-28
JP5693206B2 (ja) 2015-04-01
US8938623B2 (en) 2015-01-20
EP2613472A1 (en) 2013-07-10

Similar Documents

Publication Publication Date Title
JP5693206B2 (ja) 暗号処理システム、鍵生成装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム
JP5424974B2 (ja) 暗号処理システム、鍵生成装置、暗号化装置、復号装置、署名処理システム、署名装置及び検証装置
JP5618881B2 (ja) 暗号処理システム、鍵生成装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム
JP5769401B2 (ja) 暗号処理システム、鍵生成装置、鍵委譲装置、暗号化装置、復号装置、暗号処理方法及びプログラム
JP5680007B2 (ja) 暗号システム、暗号方法及び暗号プログラム
JP5606344B2 (ja) 署名処理システム、鍵生成装置、署名装置、検証装置、署名処理方法及び署名処理プログラム
JP5334873B2 (ja) 暗号処理システム、鍵生成装置、鍵委譲装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム
JP5921410B2 (ja) 暗号システム
JP5606351B2 (ja) 暗号処理システム、鍵生成装置、暗号化装置、復号装置、鍵委譲装置、暗号処理方法及び暗号処理プログラム

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 11851495

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 13823507

Country of ref document: US

WWE Wipo information: entry into national phase

Ref document number: 2011851495

Country of ref document: EP

ENP Entry into the national phase

Ref document number: 20137012670

Country of ref document: KR

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE