WO2014007347A1

WO2014007347A1 - 共有秘密鍵生成装置、暗号化装置、復号化装置、共有秘密鍵生成方法、暗号化方法、復号化方法、及びプログラム

Info

Publication number: WO2014007347A1
Application number: PCT/JP2013/068419
Authority: WO
Inventors: 雅則大矢; 聖史入山; ルイジアカルディ; マッシモレゴリ
Original assignee: CRYPTO BASIC Corp
Current assignee: CRYPTO BASIC Corp
Priority date: 2012-07-05
Filing date: 2013-07-04
Publication date: 2014-01-09
Anticipated expiration: 2015-01-05
Also published as: KR20150037913A; JP2014017556A; KR102136904B1; EP2882132A4; JP6019453B2; CN104488218A; CN104488218B; US9608812B2; EP2882132B1; US20150156018A1; EP2882132A1

Description

共有秘密鍵生成装置、暗号化装置、復号化装置、共有秘密鍵生成方法、暗号化方法、復号化方法、及びプログラム

　本発明は、共有秘密鍵生成装置、暗号化装置、復号化装置、共有秘密鍵生成方法、暗号化方法、復号化方法、及びプログラムに関する。

　従来より、メッセージの公開型且つ非可換性の符号化方法及び暗号化方法が知られている（特開2001-202010号公報）。また、有限非可換群を用いた公開鍵暗号システムや、非可換体である環Ｒを用いた公開鍵暗号システムが知られている（特表2004-534971号公報、特表2000-516733号公報）。

　また、公開鍵暗号方式によるネットワーク上での相互認証および公開鍵の相互交換システムや、制御ベクトルに基づく公開鍵暗号システムの鍵管理が知られている（特開2006-262425号公報、特開平5-216409号公報）。

　本発明は、高速に、安全な共有秘密鍵を生成することができる共有秘密鍵生成装置、暗号化装置、復号化装置、共有秘密鍵生成方法、暗号化方法、復号化方法、及びプログラムを提供することを目的とする。

　上記の目的を達成するために第１の態様に係る共有秘密鍵生成装置は、素数ｐ、自然数ｄ、行列式の値が１ではないｄ×ｄの行列Ｑ（ｍｏｄ　ｐ）、及び逆行列が存在するｄ×ｄの行列Ｓ（ｍｏｄ　ｐ）を含む公開データを設定する公開データ設定部と、自然数ｎ_A（ｍｏｄ　ｐ）、ｋ_A（ｍｏｄ　ｐ）を含む秘密鍵を生成する秘密鍵生成部と、前記秘密鍵を用いて、以下の（Ｉ）式に従って、ｄ×ｄの行列Ｍ_A（ｍｏｄ　ｐ）を計算し、通信相手へ送信する行列計算部と、前記通信相手の秘密鍵に含まれる自然数ｎ_B（ｍｏｄ　ｐ）、ｋ_B（ｍｏｄ　ｐ）を用いて以下の（ＩＩ）式に従って計算される、ｄ×ｄの行列Ｍ_B（ｍｏｄ　ｐ）を取得する行列取得部と、前記行列取得部によって取得された行列ＭBを用いて、以下の（ＩＩＩ）式に従ってｄ×ｄの行列Ｍ_AB（ｍｏｄ　ｐ）を共有秘密鍵として算出する共有秘密鍵算出部と、を含んで構成されている。

Ｍ_A＝Ｓ^-kAＱ^nAＳ^kA　　　・・・（Ｉ）
Ｍ_B＝Ｓ^-kBＱ^nBＳ^kB　　　・・・（ＩＩ）
Ｍ_AB＝Ｓ^-kAＭ_B ^nAＳ^kA　　　・・・（ＩＩＩ）

　第２の態様に係るプログラムは、コンピュータを、素数ｐ、自然数ｄ、行列式の値が１ではないｄ×ｄの行列Ｑ（ｍｏｄ　ｐ）、及び逆行列が存在するｄ×ｄの行列Ｓ（ｍｏｄ　ｐ）を含む公開データを設定する公開データ設定部、自然数ｎ_A（ｍｏｄ　ｐ）、ｋ_A（ｍｏｄ　ｐ）を含む秘密鍵を生成する秘密鍵生成部、前記秘密鍵を用いて、以下の（ＩＶ）式に従って、ｄ×ｄの行列Ｍ_A（ｍｏｄ　ｐ）を計算し、通信相手へ送信する行列計算部、前記通信相手の秘密鍵に含まれる自然数ｎ_B（ｍｏｄ　ｐ）、ｋ_B（ｍｏｄ　ｐ）を用いて以下の（Ｖ）式に従って計算される、ｄ×ｄの行列Ｍ_B（ｍｏｄ　ｐ）を取得する行列取得部、及び前記行列取得部によって取得された行列Ｍ_Bを用いて、以下の（ＶＩ）式に従ってｄ×ｄの行列Ｍ_AB（ｍｏｄ　ｐ）を共有秘密鍵として算出する共有秘密鍵算出部として機能させるためのプログラムである。

Ｍ_A＝Ｓ^-kAＱ^nAＳ^kA　　　・・・（ＩＶ）
Ｍ_B＝Ｓ^-kBＱ^nBＳ^kB　　　・・・（Ｖ）
Ｍ_AB＝Ｓ^-kAＭ_B ^nAＳ^kA　　　・・・（ＶＩ）

　このように、公開データと秘密鍵を用いて計算した行列を、通信相手と交換し、通信相手から得られた行列を用いて、共有秘密鍵を算出することにより、高速に、安全な共有秘密鍵を生成することができる。

　第３の態様に係る秘密鍵生成部は、前記通信相手との通信毎に、自然数ｎ_A（ｍｏｄ　ｐ）、ｋ_A（ｍｏｄ　ｐ）を含む秘密鍵を生成して更新するようにすることができる。これによって、より安全な共有秘密鍵を生成することができる。

　また、第４の態様に係る暗号化装置は、復号化装置と共通に設定された、請求項１又は２の共有秘密鍵生成装置によって生成された共有秘密鍵Ｍ_AB、及び２つの素数ｐ１、ｐ２に基づいて、２つの非可換行列Ａ１、Ａ２を生成する行列生成部と、前記復号化装置と共通に設定されたｄ次元の初期ベクトルｖ₀又は前回求められたｄ次元のベクトルｖ_i-1 ¹に、非可換行列Ａ１を作用させて、ベクトルｖ_i ¹を求めると共に、前記初期ベクトルｖ₀、又は前回求められたｄ次元のベクトルｖ_i-1 ²に、非可換行列Ａ２を作用させて、ベクトルｖ_i ²を求める行列作用部であって、前記非可換行列Ａ１、Ａ２を作用させる際の和演算及び積演算の少なくとも一方を、予め定められた、複数種類の演算子を組み合わせた演算方法に置換して、非可換行列Ａ１、Ａ２を作用させる行列作用部と、前記行列作用部によって求められたベクトルｖ_i ¹に対して非線形変換を行ってビット列に変換し、前記変換したビット列を前回求められたビット列Ｗ１に結合させて前記ビット列Ｗ１を求めると共に、ベクトルｖ_i ²に対して非線形変換を行ってビット列に変換し、前記変換したビット列を前回求められたビット列Ｗ２に結合させて前記ビット列Ｗ２を求めるビット列変換部と、前記ビット列変換部によって求められた前記ビット列Ｗ１及び前記ビット列Ｗ２の各々のビット数が、暗号化対象データを表わすビット列のビット数になるまで、前記行列作用部による作用と前記ビット列変換部による変換及び結合とを繰り返すビット数判定部と、前記ビット列Ｗ１及び前記ビット列Ｗ２の排他的論理和を計算して、擬似乱数ビット列を求める擬似乱数列発生部と、前記擬似乱数列発生部によって求められた擬似乱数ビット列と、前記暗号化対象データを表わすビット列との排他的論理和を計算することにより、前記暗号化対象データを暗号化する暗号化部と、を含んで構成されている。

　このように、非可換行列Ａ１、Ａ２を作用させる際の和演算及び積演算の少なくとも一方を、複数種類の演算子を組み合わせた演算方法に置換して、ベクトルに、非可換行列Ａ１、Ａ２を繰り返し作用させると共に非線形変換を行って、得られるビット列Ｗ１、Ｗ２の排他的論理和を計算して、擬似乱数ビット列を求める。擬似乱数ビット列を用いて暗号化することにより、暗号化対象データのビット数が可変である場合において、暗号化処理を高速化し、かつ暗号解読強度を強くすることができる。

　第５の態様の暗号化装置に係る行列作用部は、前記初期ベクトルｖ₀、又は前回求められたベクトルｖ_i-1 ¹に、非可換行列Ａ１を作用させて、前記ベクトルｖ_i ¹を求める際に、ベクトルｖ_i ¹の要素毎に、既に計算されたベクトルｖ_i ¹の要素に置き換えた前記初期ベクトルｖ₀又は前記ベクトルｖ_i-1 ¹に、非可換行列Ａ１を作用させて、ベクトルｖ_i ¹の前記要素を計算し、前記初期ベクトルｖ₀、又は前回求められたベクトルｖ_i-1 ²に、非可換行列Ａ２を作用させて、前記ベクトルｖ_i ²を求める際に、ベクトルｖ_i ²の要素毎に、既に計算されたベクトルｖ_i ²の要素に置き換えた前記初期ベクトルｖ₀又は前記ベクトルｖ_i-1 ²に、非可換行列Ａ２を作用させて、ベクトルｖ_i ²の前記要素を計算するようにすることができる。これによって、暗号解読強度をより強くすることができる。

　第６の態様の暗号化装置に係るビット列変換部は、前記非線形変換として、前記行列作用部によって求められたベクトルｖ_i ¹をビット列に変換し、変換されたビット列に対して、予め定められた条件を満たす先頭ビット列をカットするカットオフ処理を行い、前記先頭ビット列がカットされた前記ビット列を前回求められたビット列Ｗ１に結合させると共に、ベクトルｖ_i ²をビット列に変換し、変換されたビット列に対して、前記カットオフ処理を行い、前記先頭ビット列がカットされた前記ビット列を前回求められたビット列Ｗ２に結合させるようにすることができる。これによって、暗号解読強度をより強くすることができる。

　また、第７の態様に係る暗号化装置のビット列変換部は、前記カットオフ処理として、前記変換されたビット列に対して、前記予め定められた条件を満たす先頭ビット列として、先頭から連続する０と、先頭から最初に出現する１とからなる先頭ビット列をカットすると共に、前記先頭ビット列がカットされた前記ビット列から、予め定められたビット数の先頭ビット列をカットする処理を行うようにすることができる。これによって、暗号解読強度をより強くすることができる。

　第８の態様に係る復号化装置は、暗号化装置と共通に設定された、請求項１又は２の共有秘密鍵生成装置によって生成された共有秘密鍵Ｍ_AB、及び２つの素数ｐ１、ｐ２に基づいて、２つの非可換行列Ａ１、Ａ２を生成する行列生成部と、前記暗号化装置と共通に設定されたｄ次元の初期ベクトルｖ₀又は前回求められたｄ次元のベクトルｖ_i-1 ¹に、非可換行列Ａ１を作用させて、ベクトルｖ_i ¹を求めると共に、前記初期ベクトルｖ₀、又は前回求められたｄ次元のベクトルｖ_i-1 ²に、非可換行列Ａ２を作用させて、ベクトルｖ_i ²を求める行列作用部であって、前記非可換行列Ａ１、Ａ２を作用させる際の和演算及び積演算の少なくとも一方を、予め定められた、複数種類の演算子を組み合わせた演算方法に置換して、非可換行列Ａ１、Ａ２を作用させる行列作用部と、前記行列作用部によって求められたベクトルｖ_i ¹に対して非線形変換を行ってビット列に変換し、前記変換したビット列を前回求められたビット列Ｗ１に結合させて前記ビット列Ｗ１を求めると共に、ベクトルｖ_i ²に対して非線形変換を行ってビット列に変換し、前記変換したビット列を前回求められたビット列Ｗ２に結合させて前記ビット列Ｗ２を求めるビット列変換部と、前記ビット列変換部によって求められた前記ビット列Ｗ１及び前記ビット列Ｗ２の各々のビット数が、復号化対象データを表わすビット列のビット数になるまで、前記行列作用部による作用と前記ビット列変換部による変換及び結合とを繰り返すビット数判定部と、前記ビット列Ｗ１及び前記ビット列Ｗ２の排他的論理和を計算して、擬似乱数ビット列を求める擬似乱数列発生部と、前記擬似乱数列発生部によって求められた擬似乱数ビット列と、前記復号化対象データを表わすビット列との排他的論理和を計算することにより、前記復号化対象データを復号化する復号化部と、を含んで構成されている。

　本発明の一態様である共有秘密鍵生成装置、方法、及びプログラムによれば、公開データと秘密鍵を用いて計算した行列を、通信相手と交換し、通信相手から得られた行列を用いて、共有秘密鍵を算出することにより、高速に、安全な共有秘密鍵を生成することができる。

　本発明の一態様である暗号化装置、暗号化方法、復号化装置、及び復号化方法によれば、非可換行列Ａ１、Ａ２を作用させる際の和演算及び積演算の少なくとも一方を、複数種類の演算子を組み合わせた演算方法に置換して、ベクトルに、非可換行列Ａ１、Ａ２を繰り返し作用させると共に非線形変換を行って、得られるビット列Ｗ１、Ｗ２の排他的論理和を計算して、擬似乱数ビット列を求め。擬似乱数ビット列を用いて暗号化又は復号化することにより、暗号化対象データ又は復号化対象データのビット数が可変である場合において、暗号化処理又は復号化処理を高速化し、かつ暗号解読強度を強くすることができる。

本発明の実施の形態に係る暗号化処理システムの構成を示す概略図である。本発明の実施の形態に係る暗号復号装置の構成を示す概略図である。共有秘密鍵を算出する方法を説明するための図である。暗号化方法を説明するための図である。復号化方法を説明するための図である。本発明の実施の形態に係る暗号復号装置における共有秘密鍵算出処理ルーチンの内容を示すフローチャートである。本発明の実施の形態に係る暗号復号装置における擬似乱数列発生処理ルーチンの内容を示すフローチャートである。コンピュータ上での実験結果を示すグラフである。モバイル端末上での実験結果を示すグラフである。

　以下、図面を参照して本発明の実施の形態を詳細に説明する。

＜システム構成＞
　図１に示すように、本発明の実施の形態に係る暗号化処理システム１０は、暗号復号装置１２Ａ、１２Ｂと、複数のユーザ端末１４Ａと、複数のユーザ端末１４Ｂと、インターネットアクセス網１６とを備えている。なお、暗号復号装置１２Ａ、１２Ｂは、暗号化装置、復号化装置の一例である。

　複数のユーザ端末１４Ａは、暗号復号装置１２Ａと接続されており、暗号復号装置１２Ａは、インターネットアクセス網１６に接続されている。また、複数のユーザ端末１４Ｂは、暗号復号装置１２Ｂと接続されており、暗号復号装置１２Ｂは、インターネットアクセス網１６に接続されている。暗号復号装置１２Ａ、１２Ｂは、インターネットアクセス網１６を介して相互に接続されている。

　ユーザ端末１４Ａは、インターネットアクセス網１６を介したデータ送信を行う場合に、暗号復号装置１２Ａを介して、送信データがインターネットアクセス網１６に出力される。一方、ユーザ端末１４Ａがインターネットアクセス網１６を介したデータ受信を行う場合に、暗号復号装置１２Ａを介して、受信データがインターネットアクセス網１６から入力される。

　また、ユーザ端末１４Ｂは、インターネットアクセス網１６を介したデータ送信を行う場合に、暗号復号装置１２Ｂを介して、送信データがインターネットアクセス網１６へ出力される。一方、ユーザ端末１４Ｂがインターネットアクセス網１６を介したデータ受信を行う場合に、暗号復号装置１２Ｂを介して、受信データがインターネットアクセス網１６から入力される。

　暗号復号装置１２Ａ、１２Ｂは、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）と、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）と、後述する共有秘密鍵生成処理ルーチン及び擬似乱数列発生処理ルーチンを実行するためのプログラムを記憶したＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）とを備えたコンピュータで構成され、機能的には次に示すように構成されている。図２に示すように、暗号復号装置１２Ａ、１２Ｂは、通信部２０、公開データ取得部２２、秘密鍵生成部２４、非可換行列生成部２６、共有秘密鍵算出部２８、データ入出力部３２、共通データ設定部３４、擬似乱数列発生部３６、暗号化部３８、及び復号化部４０を備えている。なお、非可換行列生成部２６は、行列計算部の一例であり、共有秘密鍵算出部２８は、行列取得部及び共有秘密鍵算出部の一例である。また、擬似乱数列発生部３６は、行列生成部、行列作用部、ビット列変換部、ビット数判定部、及び擬似乱数発生列部の一例である。

　通信部２０は、インターネットアクセス網１６を介してデータの送受信を行う。

　データ入出力部３２は、ユーザ端末１４Ａ、１４Ｂから出力されたデータが入力されると共に、ユーザ端末１４Ａ、１４Ｂに対してデータを出力する。

　暗号復号装置１２Ａ、１２Ｂの公開データ取得部２２は、通信部２０を介して、通信相手との通信で用いる公開データとして、素数ｐ、自然数ｄ、ｄ×ｄの行列Ｑ（ｍｏｄ　ｐ）、及び逆行列が存在するｄ×ｄの行列Ｓ（ｍｏｄ　ｐ）を取得する。ただし、ｄｅｔ　Ｑ≠１であり、（ｍｏｄ　ｐ）は、変数あるいは行列の要素の値が、素数ｐの法であることを示す。

　暗号復号装置１２Ａの秘密鍵生成部２４は、自然数ｎ_A（ｍｏｄ　ｐ）、ｋ_A（ｍｏｄ　ｐ）からなる秘密鍵を生成する。

　暗号復号装置１２Ｂの秘密鍵生成部２４は、自然数ｎ_B（ｍｏｄ　ｐ）、ｋ_B（ｍｏｄ　ｐ）からなる秘密鍵を生成する。

　秘密鍵生成部２４は、通信を行う毎に、新たな秘密鍵を生成し、秘密鍵を更新する。

　暗号復号装置１２Ａの非可換行列生成部２６は、秘密鍵ｎ_A、ｋ_Aを用いて、以下の（１）式に従って、ｄ×ｄの行列Ｍ_A（ｍｏｄ　ｐ）を計算し、通信部２０を介して、通信相手である暗号復号装置１２Ｂへ、行列Ｍ_Aを送信する。

Ｍ_A＝Ｓ^-kAＱ^nAＳ^kA　　　・・・（１）

　暗号復号装置１２Ｂの非可換行列生成部２６は、秘密鍵ｎ_B、ｋ_Bを用いて、以下の（２）式に従って、ｄ×ｄの行列Ｍ_B（ｍｏｄ　ｐ）を計算し、通信部２０を介して、通信相手である暗号復号装置１２Ａへ、行列ＭBを送信する。

Ｍ_B＝Ｓ^-kBＱ^nBＳ^kB　　　・・・（２）

　暗号復号装置１２Ａの共有秘密鍵算出部２８は、通信部２０によって受信した行列Ｍ_Bを取得し、取得された行列Ｍ_Bを用いて、以下の（３）式に従ってｄ×ｄの行列Ｍ_AB（ｍｏｄ　ｐ）を算出する。

Ｍ_AB＝Ｓ^-kAＭ_B ^nAＳ^kA　　　・・・（３）

　暗号復号装置１２Ｂの共有秘密鍵算出部２８は、通信部２０によって受信した行列Ｍ_Aを取得し、取得された行列Ｍ_Aを用いて、以下の（４）式に従ってｄ×ｄの行列Ｍ_BA（ｍｏｄ　ｐ）を算出する。

Ｍ_BA＝Ｓ^-kBＭ_A ^nBＳ^kB　　　・・・（４）

　ここで、図３に示すように、上記（３）式は、以下のように、（５）式に変換される。

Ｍ_ＡＢ＝Ｓ^－ＫＡＭ_Ｂ ^ｎＡＳ^ＫＡ
Ｍ_ＡＢ＝Ｓ^－ＫＡ（Ｓ^－ＫＢＱ^ｎBＳ^ＫＢ）^ｎＡＳ^ＫＡ
Ｍ_ＡＢ＝Ｓ^－ＫＡＳ^－ＫＢ（Ｑ^ｎB）^ｎＡＳ^ＫＢＳ^ＫＡ
Ｍ_ＡＢ＝Ｓ^{－（ＫＡ＋ＫＢ）}Ｑ^ｎＢｎＡＳ^{（ＫＡ＋ＫＢ）}　　　・・・（５）

　また、上記（４）式は、以下のように、（６）式に変換される。

Ｓ^－ＫＢＭ_Ａ ^ｎＢＳ^ＫＢ＝Ｍ_ＢＡ
Ｓ^－ＫＢ（Ｓ^－ＫＡＱ^ｎＡＳ^ＫＡ）^ｎＢＳ^ＫＢ＝Ｍ_ＢＡ
Ｓ^－ＫＢＳ^－ＫＡ（Ｑ^ｎＡ）^ｎＢＳ^ＫＡＳ^ＫＢ＝Ｍ_ＢＡ
Ｓ^{－（ＫＡ＋ＫＢ）}Ｑ^ｎＡｎＢＳ^{（ＫＡ＋ＫＢ）}＝Ｍ_ＢＡ　　　・・・（６）

　上記（５）式、（６）式により、以下の（７）式が得られ、Ｍ_ABとＭ_BAとが等しいことが証明される。

Ｍ_ＡＢ＝Ｓ^{－（ＫＡ＋ＫＢ）}Ｑ^ｎＡｎＢＳ^{（ＫＡ＋ＫＢ）}＝Ｓ^{－（ＫＢ＋ＫＡ）}Ｑ^ｎＡｎＢＳ^{（ＫＢ＋ＫＡ）}＝Ｍ_ＢＡ
　　　・・・（７）

　そこで、暗号復号装置１２Ａ、１２Ｂの共有秘密鍵算出部２８は、算出した行列Ｍ_AB、Ｍ_BAを、共有秘密鍵として、共通データ設定部３４へ出力する。

　共通データ設定部３４は、暗号復号装置１２Ａ、１２Ｂで共通のデータを設定する。具体的には、共有秘密鍵である行列Ｍ_AB（Ｍ_BA）、プライベートデータである素数ｐ１、ｐ２、及び初期ベクトルｖ₀が共通のデータとして設定される。

　擬似乱数列発生部３６は、後述する手法により、共有秘密鍵である行列Ｍ_AB（Ｍ_BA）、プライベートデータである素数ｐ１、ｐ２、及び初期ベクトルｖ₀を用いて、擬似乱数ビット列を発生させる。

　暗号化部３８は、擬似乱数列発生部３６によって発生した擬似乱数ビット列を、ワンタイムパッド暗号の鍵として用いることで、データ入出力部３２により入力された暗号化対象データに対して、ストリーム暗号化を行う。例えば、暗号化部３８は、図４Ａに示すように、ビット列で表した平文（plain text）と、暗号化の鍵としての擬似乱数ビット列とのＸＯＲを演算することにより、前から１ビット毎に（あるいは1バイト毎に）暗号化する。暗号化部３８により暗号化されたデータは、通信部２０によりデータ送信される。

　復号化部４０は、擬似乱数列発生部３６によって発生した擬似乱数ビット列を、ワンタイムパッド暗号の鍵として用いることで、通信部２０により受信された復号化対象データに対して、復号化を行う。例えば、復号化部４０は、図４Ｂに示すように、ビット列で表した暗号化文（cypher text）と、暗号化の鍵としての擬似乱数ビット列とのＸＯＲを演算することにより、前から１ビット毎に（あるいは1バイト毎に）復号化する。復号化部４０により復号化されたデータは、データ入出力部３２により、データ端末１４Ａ、１４Ｂへ出力される。

　次に、本実施の形態における擬似乱数ビット列を発生させる原理について説明する。

　まず、擬似乱数列発生部３６は、共通秘密鍵として生成されたｄ×ｄの行列Ｍ_AB（またはＭ_BA）及び共通のプライベートデータとして設定された素数ｐ１、ｐ２とを用いて、以下のように、２つの非可換行列Ａ１、Ａ２を生成する。なお、以下では、行列Ｍ_ABが、２×２の行列である場合を例に説明する。

　擬似乱数列発生部３６は、以下の（８）式に示すように、行列Ｍ_ABと素数ｐ１とを用いて、行列Ａ１’を計算する。

　そして、擬似乱数列発生部３６は、＜ｇ＞＝｛１，…，ｐ_１－１｝となるジェネレータｇを求める。例えば、ｐ₁＝７のジェネレータは、以下のように、＜３＞＝｛１，…，６｝である。

３^１＝３，３^２＝９ｍｏｄ７＝２，３^３＝２７ｍｏｄ７＝６，３^４＝８１ｍｏｄ７＝４，
３^５＝２４３ｍｏｄ７＝５，・・・

　そして、Ａ_１”を、以下の（９）式で表わすとすると、擬似乱数列発生部３６は、ｄｅｔ　Ａ_１”＝ｇになるようにｄ’を変更し、ｄ’を変更したＡ”_１を、非可換行列Ａ１とする。

　また、擬似乱数列発生部３６は、以下の（１０）式に示すように、行列Ｍ_ABと素数ｐ２とを用いて、行列Ａ２’を計算し、上記と同様に、非可換行列Ａ２を生成する。

　ここで、非可換行列Ａ１、Ａ２を用いて生成される擬似乱数列の周期の長さＯ（Ａ）は、非可換行列Ａ１、Ａ２の生成に用いる、任意の素数ｐを用いて、以下の（１１）式のように書ける。

Ｏ（Ａ）≧ｐ　　　・・・（１１）

　たとえば、ｐを１０００００ビットの素数とした場合、Ａの周期はそれ以上に長くなる。

　また、擬似乱数列発生部３６は、共通に設定された初期ベクトルｖ_０に対して、生成された非可換行列Ａ_１を用いて変換を行い、ベクトルｖ_１を得る。また、ベクトルｖ_１に対して、非可換行列Ａ_１を用いた変換を繰り返し、ベクトル列Ｖ=｛ｖ_０,ｖ_１,...,ｖ_ｔ｝を得る。ここでｖ_ｉ＝Ａ_１ ^ｉｖ_０である。

　そして、擬似乱数列発生部３６は、得られたベクトル列Ｖから非線形変換により、ビット列Ｗ１を得る。ベクトル列Ｖからビット列Ｗを得る非線形変換として、Ｖの要素をｖ_ｉ＝（ｖ_ｉ,０,ｖ_ｉ,１，...，ｖ_ｉ，ｎ）とし、ｖ_ｉ，０をバイナリ変換したビット列から、先頭ビットから続く０と次に現われた１とからなるビット列を含む先頭ビット列を取り除くカットオフ処理を行う。ここで、カットオフの後、残ったビット列は高い乱数性を持つことが知られている。

　本実施の形態では、カットオフ処理において、Random cut及びFixed cut の2種類のカットオフを使用している。

　Random cutでは、上述したように、最初に現れる連続した0と、次に出現する1とからなる先頭ビット列をカットする。また、Fixed cutでは、あらかじめ決めておいたビット数だけカットする。例えば、Fixed cutでカットするビット数が3である場合、Random cutの結果として得られるビット列の先頭3ビットをカットする。

　ｖ_ｉの要素すべてにこのカットオフ処理を行い、カットオフ処理後の要素を全て並べたビット列をＷとする。

　攻撃者は、すべてのカットオフの可能性を検証しなければ、非可換行列Ａ１とＡ２を復元することはできないため、攻撃に対する強さを向上させることができる。

　また、本実施の形態では、ベクトルｖ_iに、非可換行列Ａ１、Ａ２を作用させて、新しいベクトルｖ_i+1を得る際に、数同士の和演算及び積演算を、以下のように複数の演算子を組み合わせた演算に置き換える。

　例えば、a、bを32bitの数とし、記号a<<kを、aをkビットずらす記号とすると、（和演算）a+bを、a+b mod 2³²に置き換える。また、（積演算）a×b を、 a<< (b / 2²⁷) xorbに置き換える。ここで、a<< (b / 2²⁷)は、a を、bを2²⁷で割った商だけずらすことを表わし、xorはビットごとの排他的論理和を表わす。

　また、ベクトルｖ_iに、非可換行列Ａ１、Ａ２を作用させて、新しいベクトルｖ_i+1を得る際に、更に、行列の作用の方法を以下のように置き換えてもよい。

　例えば、ｖ_i＝（ｖ_i ¹, ｖ_i ²,..., ｖ_i ^d）を、行列Ａを初期ベクトルｖ₀にi回作用させたものとする（dはＡの次元）と、ｖ_i+1＝（ｖ_i+1 ¹, ｖ_i+1 ²,..., ｖ_i+1 ^d）を得る方法を以下のようにする。

　まず、ｖ_i+1 ¹＝（Ａｖ_i）¹とする。これはベクトルＡｖ_iの1番目の要素だけである。また、必要な計算は1番目の要素の計算だけである。2x2行列で書くと、

となるが、和演算と積演算は、上述したように、別の演算で置き換えられている。

　そして、ｖ_i+1 ²＝（Ａ（ｖ_i+1 ¹, ｖ_i ²,..., ｖ_i ^d））²とする。これは非可換行列Ａを、ｖ_iの1番目の要素をｖ_i+1 ¹に置き換えたものに作用させ、２番目の要素を取り出したものである。なお、ここで必要な計算は、2番目の要素の計算だけである。

　そして、ｖ_i+1 ³＝（Ａ（ｖ_i+1 ¹, ｖ_i+1 ²,..., ｖ_i ^d））²とする。これは上記と同様に、ｖ_iの１番目、２番目の要素を置き換えて、非可換行列Ａを作用させ、3番目の要素を抜き出したものである。

　以降、d番目の要素まで同様に行い、ｖ_i+1を得る。

　また、暗号化する平文のビット数をｎとすると、ビット列Ｗ１のビット数がnに到達した瞬間、ビット列Ｗ１に対する処理は中断され、ビット列Ｗ１の余った部分は捨てられる。

　擬似乱数列発生部３６は、非可換行列Ａ_２に対しても同様に、ベクトルへの作用及びカットオフ処理を繰り返し行い、ビット列Ｗ２を生成する。また、ビット列Ｗ２のビット数がnに到達した瞬間、ビット列Ｗ２に対する処理は中断され、ビット列Ｗ２の余った部分は捨てられる。

　そして、擬似乱数列発生部３６は、最終的に得られたビット列Ｗ１とビット列Ｗ２とのＸＯＲを計算し、得られたビット列を、擬似乱数ビット列とする。なお、ビット列Ｗ１とビット列Ｗ２とのＸＯＲにより得られたビット列に対して、更に非線形変換を行って、その結果を、擬似乱数ビット列としてもよい。

　擬似乱数列発生部３６は、上記のように、暗号化対象データのビット数又は復号化対象データのビット数と同じビット数の擬似乱数ビット列を発生させる。

＜暗号化処理システムの動作＞
　次に、本実施の形態に係る暗号化処理システム１０の動作について説明する。

　まず、ユーザ端末１４Ａから、データをユーザ端末１４Ｂへ送信する場合に、ユーザ端末１４Ａが、送信データを、暗号復号装置１２Ａに出力する。

　次に、暗号復号装置１２Ａは、通信相手の暗号復号装置１２Ｂに対して、通信開始要求を送信し、暗号復号装置１２Ｂから応答信号を受信すると、暗号復号装置１２Ａにおいて、図５に示す共有秘密鍵算出処理ルーチンが実行される。また、暗号復号装置１２Ｂにおいても、同様に、図５に示す共有秘密鍵算出処理ルーチンが実行される。なお、以下では、暗号復号装置１２Ａにおいて、共有秘密鍵算出処理ルーチンを実行する場合について説明する。

　まず、ステップ１００において、暗号復号装置１２Ａは、暗号復号装置１２Ａ、１２Ｂの間の通信において用いる公開データ（ｐ、ｄ、Ｑ、Ｓ）を取得する。例えば、Ｗｅｂ上に公開された公開データにアクセスして取得する。

　そして、ステップ１０２において、暗号復号装置１２Ａは、秘密鍵ｎ_A、ｋ_Aを生成する。次のステップ１０４では、暗号復号装置１２Ａは、上記ステップ１００で取得した公開データと、上記ステップ１０２で生成した秘密鍵とに基づいて、上記（１）式に従って、非可換行列Ｍ_Aを算出する。

　ステップ１０６では、暗号復号装置１２Ａは、上記ステップ１０４で算出した非可換行列Ｍ_Aを、通信相手の暗号復号装置１２Ｂへ送信する。次のステップ１０８では、暗号復号装置１２Ａは、暗号復号装置１２Ｂから、非可換行列Ｍ_Bを受信したか否かを判定する。暗号復号装置１２Ａは、暗号復号装置１２Ｂによって同様に算出された非可換行列Ｍ_Bを受信すると、ステップ１１０へ進む。

　ステップ１１０では、暗号復号装置１２Ａは、上記ステップ１００で取得した公開データと、上記ステップ１０２で生成した秘密鍵と、上記ステップ１０８で受信した非可換行列Ｍ_Bとに基づいて、上記（３）式に従って、行列Ｍ_ABを算出して、暗号復号装置１２Ｂとの通信における共有秘密鍵として設定し、共有秘密鍵算出処理ルーチンを終了する。

　上記共有秘密鍵算出処理ルーチンは、通信が開始される毎に実行され、その度に、新しい秘密鍵が生成され、新しい共有秘密鍵が設定される。

　また、暗号復号装置１２Ａにおいて、図６に示す擬似乱数列発生処理ルーチンが実行される。

　まず、ステップ１２０において、暗号復号装置１２Ａは、暗号復号装置１２Ｂと共通に設定された共有秘密鍵Ｍ_AB、素数ｐ１、ｐ２を用いて、非可換行列Ａ１、Ａ２を生成する。ステップ１２２では、暗号復号装置１２Ａは、ベクトルを識別する変数ｉを初期値である０に設定する。また、暗号復号装置１２Ａは、初期ベクトルｖ0を設定する。

　次のステップ１２４では、暗号復号装置１２Ａは、ベクトルｖ_iに、非可換行列Ａ１、Ａ２をそれぞれ作用させて、ベクトルｖ_i+1 ¹、ｖ_i+1 ²を計算する。ステップ１２６では、暗号復号装置１２Ａは、上記ステップ１２４で計算されたベクトルｖ_i+1 ¹、ｖ_i+1 ²の各々を、ビット列に変換すると共に、それぞれのビット列に対して、カットオフ処理を行い、先頭ビット列をカットオフする。そして、ステップ１２８において、暗号復号装置１２Ａは、上記ステップ１２６で得られたビット列の各々を、ビット列Ｗ１、Ｗ２に対して更に並べるように追加する。

　ステップ１３０では、暗号復号装置１２Ａは、ビット列Ｗ１、Ｗ２の各々のビット数が、送信データ（暗号化対象データ）のビット列のビット数に到達したか否かを判定する。ビット列Ｗ１、Ｗ２の各々のビット数が、ユーザ端末１４Ａから入力された送信データ（暗号化対象データ）のビット列のビット数に到達していない場合には、ステップ１３２において、暗号復号装置１２Ａは、変数ｉを１インクリメントして、上記ステップ１２４へ戻って、ステップ１２４以降の処理を繰り返す。ここで、ビット列Ｗ１のみについて、ビット数が、送信データのビット列のビット数に到達した場合には、上記ステップ１２４以降の処理において、非可換行列Ａ１を用いた処理は行わない。また、ビット列Ｗ２のみについて、ビット数が、送信データのビット列のビット数に到達した場合には、上記ステップ１２４以降の処理において、非可換行列Ａ２を用いた処理は行わない。

　また、上記ステップ１３０において、ビット列Ｗ１、Ｗ２の双方のビット数が、送信データのビット列のビット数に到達したと判定された場合には、ステップ１３４へ進む。

　ステップ１３４では、暗号復号装置１２Ａは、ビット列Ｗ１、Ｗ２のＸＯＲを演算して、擬似乱数ビット列Ｓを生成し、擬似乱数列発生処理ルーチンを終了する。

　そして、暗号復号装置１２Ａは、上記の擬似乱数列発生処理ルーチンによって生成された擬似乱数ビット列Ｓと、ユーザ端末１４から入力された送信データのビット列とのＸＯＲを演算することにより、暗号化された送信データを生成する。また、暗号復号装置１２Ａは、暗号化された送信データを、インターネットアクセス網１６を介してユーザ端末１４Ｂへ送信する。

　暗号化された送信データは、暗号復号装置１２Ｂによって受信され、暗号復号装置１２Ｂにおいて、上記図６の擬似乱数列発生処理ルーチンが同様に実行され、暗号化された送信データと同じビット数の擬似乱数ビット列Ｓが生成される。

　そして、暗号復号装置１２Ｂは、生成された擬似乱数ビット列Ｓと、暗号化された送信データのビット列とのＸＯＲを演算することにより、暗号化された送信データの平文を生成する。また、暗号復号装置１２Ｂは、送信データの平文を、送信先として指定されたユーザ端末Ｂへ出力する。

　次に、上記の実施の形態で説明した共有秘密鍵の算出アルゴリズムを用いた実験を行った結果について説明する。

　２者間における鍵共有の速度を検証した。秘密鍵を生成し、交換が終了するまでの計算時間を計測した。

　また、以下の環境でテストを行った。Ｗｉｎｄｏｗｓ７（登録商標）上のパフォーマンスは、以下の表１に示す。

　（ＲＳＡ公開鍵暗号（図７のRSA参照)）、Diffie‐Hellman型暗号（図７のDH参照)、Elliptic Curve（楕円）暗号（図７のECC参照）を比較対象として、速度の比較を行い、鍵生成、公開情報生成、鍵共有の速度をプロットした。図７に示すグラフより、本実施の形態で提案した手法（図７のQP-kex参照）は他の方式より圧倒的に速く、特に、RSAと比較して約10倍の速度であることが分かった。

　また、以下の表２に示すようなモバイル端末上で、実装実験を行った。

　この端末はNokia（Ｒ） N70 platform である。比較とする対象は、Diffie‐Hellman型暗号（図８のDH参照)、Elliptic Curve（楕円）暗号（図８のECC参照）である。ＲＳＡ公開鍵暗号は非常に実行時間がかかるため割愛した。横軸に方式名と鍵長をとり、縦軸を実行時間とした。図８に示すグラフより、本実施の形態で提案した手法（図８のQP参照）は小型デバイスでも他の方式と比べ、圧倒的に実行時間が速く、鍵長を長くとっても実行時間は大きくならないということが分かった。

　以上説明したように、本発明の実施の形態に係る暗号復号装置は、公開データと秘密鍵を用いて計算した非可換行列を、通信相手と交換し、通信相手から得られた非可換行列を用いて、共有秘密鍵を算出することにより、高速に、安全な共有秘密鍵を生成することができる。

　また、暗号復号装置は、高速な処理で、長い鍵を共有することができる。

　また、共通秘密鍵への攻撃に対する強さについては、攻撃者は公開されている情報（ｐ、ｄ、Ｑ，Ｓ）と公開鍵_ＭＡ、Ｍ_Ｂから、次の問題を解き、秘密鍵ｎ_Ａ、ｋ_Ａ、（若しくはｎ_Ｂ、ｋ_Ｂ）を得る必要がある。

[問題]次を満たすｎ_Ａ、ｋ_Ａを求めよ。
Ｍ_Ａ＝Ｓ^－ＫＡＱ^ｎＡＳ^ＫＡ

　これは、ＤＨ型（離散対数問題）よりはるかに難しい問題となる。仮にｎ_Ａを得ることができても、それからｋ_Ａを得るには、非線形問題を解かねばならない。このとき、不定方程式が出現し、数学的には解を得る確率は０となる。従って、生成される共有秘密鍵は、D-H より数学的に厳密に安全である。

　また、暗号復号装置は、非可換行列Ａ１、Ａ２を作用させる際の和演算及び積演算を、複数種類の演算子を組み合わせた演算方法に置換して、初期ベクトルに、非可換行列Ａ１、Ａ２を繰り返し作用させると共に非線形変換を行って、得られるビット列Ｗ１、Ｗ２のＸＯＲを計算して、擬似乱数ビット列を求める。暗号復号装置は、擬似乱数ビット列を用いて暗号化又は復号化することにより、暗号化対象データ又は復号化対象データのビット数が可変である場合において、暗号化処理又は復号化処理を高速化し、かつ暗号解読強度を強くすることができる。また、暗号復号装置は、共有秘密鍵の生成方法と、乱数を用いた暗号化・復号化方法とを組み合わせることで、高速かつ安全にストリーム暗号を開始することができる。

　また、他のストリーム暗号より高速で、計算能力の低い小型デバイス上でも実装が可能である。

　また、擬似乱数列発生アルゴリズムにおいて、いくつかの非線形変換を用いることにより、擬似乱数列の統計的ランダム性と長周期を保証することができ、生成された擬似乱数列を用いることにより、安全な使い捨て暗号鍵（One-Time-Padキー）を生成することができる。

　また、ストリーミング暗号を実現することができるため、音声・動画などのマルチメディア・ファイルを安全にかつ高速に転送することができる。

　なお、本発明は、上述した実施形態に限定されるものではなく、この発明の要旨を逸脱しない範囲内で様々な変形や応用が可能である。

　例えば、サーバとモバイルとの間の通信を行うようにしてもよい。上記の共有秘密鍵の生成方法は、モバイル環境でも高速に動作し、鍵交換を行う２者間で計算量を偏らせることができるため、サーバとモバイル間通信に適している。

　また、ストリーミング暗号以外に、本発明を適用してもよく、自動車のキーレスエントリーなどへ応用してもよい。また、HDD(hard disk drive)の暗号化に応用してもよい。例えば、本実施の形態で説明した暗号化方法により、HDDに保存されるすべてのデータが暗号化され、正当なユーザしか読み出しできないようにしてもよい。また、Cloudサービスのセキュリティに、本発明を応用してもよい。

　また、本願明細書中において、プログラムが予めインストールされている実施形態として説明したが、当該プログラムを、コンピュータ読み取り可能な記録媒体に格納して提供することも可能である。

　本発明の一態様のコンピュータ可読媒体は、コンピュータを、素数ｐ、自然数ｄ、行列式の値が１ではないｄ×ｄの行列Ｑ（ｍｏｄ　ｐ）、及び逆行列が存在するｄ×ｄの行列Ｓ（ｍｏｄ　ｐ）を含む公開データを設定する公開データ設定部、自然数ｎ_A（ｍｏｄ　ｐ）、ｋ_A（ｍｏｄ　ｐ）を含む秘密鍵を生成する秘密鍵生成部、前記秘密鍵を用いて、以下の（ＩＶ）式に従って、ｄ×ｄの行列Ｍ_A（ｍｏｄ　ｐ）を計算し、通信相手へ送信する行列計算部、前記通信相手の秘密鍵に含まれる自然数ｎ_B（ｍｏｄ　ｐ）、ｋ_B（ｍｏｄ　ｐ）を用いて以下の（Ｖ）式に従って計算される、ｄ×ｄの行列Ｍ_B（ｍｏｄ　ｐ）を取得する行列取得部、及び前記行列取得部によって取得された行列Ｍ_Bを用いて、以下の（ＶＩ）式に従ってｄ×ｄの行列Ｍ_AB（ｍｏｄ　ｐ）を共有秘密鍵として算出する共有秘密鍵算出部として機能させるためのプログラムを記憶したコンピュータ可読媒体である。
Ｍ_A＝Ｓ^-kAＱ^nAＳ^kA　　　・・・（ＩＶ）
Ｍ_B＝Ｓ^-kBＱ^nBＳ^kB　　　・・・（Ｖ）
Ｍ_AB＝Ｓ^-kAＭ_B ^nAＳ^kA　　　・・・（ＶＩ）

　日本出願２０１２－１５１８３５の開示はその全体が参照により本明細書に取り込まれる。

　本明細書に記載された全ての文献、特許出願、及び技術規格は、個々の文献、特許出願、及び技術規格が参照により取り込まれることが具体的かつ個々に記載された場合と同程度に、本明細書中に参照により取り込まれる。

Claims

　素数ｐ、自然数ｄ、行列式の値が１ではないｄ×ｄの行列Ｑ（ｍｏｄ　ｐ）、及び逆行列が存在するｄ×ｄの行列Ｓ（ｍｏｄ　ｐ）を含む公開データを設定する公開データ設定部と、
　自然数ｎ_A（ｍｏｄ　ｐ）、ｋ_A（ｍｏｄ　ｐ）を含む秘密鍵を生成する秘密鍵生成部と、
　前記秘密鍵を用いて、以下の（Ｉ）式に従って、ｄ×ｄの行列Ｍ_A（ｍｏｄ　ｐ）を計算し、通信相手へ送信する行列計算部と、
　前記通信相手の秘密鍵に含まれる自然数ｎ_B（ｍｏｄ　ｐ）、ｋ_B（ｍｏｄ　ｐ）を用いて以下の（ＩＩ）式に従って計算される、ｄ×ｄの行列Ｍ_B（ｍｏｄ　ｐ）を取得する行列取得部と、
　前記行列取得部によって取得された行列Ｍ_Bを用いて、以下の（ＩＩＩ）式に従ってｄ×ｄの行列Ｍ_AB（ｍｏｄ　ｐ）を共有秘密鍵として算出する共有秘密鍵算出部と、
　を含む共有秘密鍵生成装置。
Ｍ_A＝Ｓ^-kAＱ^nAＳ^kA　　　・・・（Ｉ）
Ｍ_B＝Ｓ^-kBＱ^nBＳ^kB　　　・・・（ＩＩ）
Ｍ_AB＝Ｓ^-kAＭ_B ^nAＳ^kA　　　・・・（ＩＩＩ）
　前記秘密鍵生成部は、前記通信相手との通信毎に、自然数ｎ_A（ｍｏｄ　ｐ）、ｋ_A（ｍｏｄ　ｐ）を含む秘密鍵を生成して更新する請求項１記載の共有秘密鍵生成装置。
　復号化装置と共通に設定された、請求項１又は２の共有秘密鍵生成装置によって生成された共有秘密鍵Ｍ_AB、及び２つの素数ｐ１、ｐ２に基づいて、２つの非可換行列Ａ１、Ａ２を生成する行列生成部と、
　前記復号化装置と共通に設定されたｄ次元の初期ベクトルｖ₀又は前回求められたｄ次元のベクトルｖ_i-1 ¹に、非可換行列Ａ１を作用させて、ベクトルｖ_i ¹を求めると共に、前記初期ベクトルｖ₀、又は前回求められたｄ次元のベクトルｖ_i-1 ²に、非可換行列Ａ２を作用させて、ベクトルｖ_i ²を求める行列作用部であって、前記非可換行列Ａ１、Ａ２を作用させる際の和演算及び積演算の少なくとも一方を、予め定められた、複数種類の演算子を組み合わせた演算方法に置換して、非可換行列Ａ１、Ａ２を作用させる行列作用部と、
　前記行列作用部によって求められたベクトルｖ_i ¹に対して非線形変換を行ってビット列に変換し、前記変換したビット列を前回求められたビット列Ｗ１に結合させて前記ビット列Ｗ１を求めると共に、ベクトルｖ_i ²に対して非線形変換を行ってビット列に変換し、前記変換したビット列を前回求められたビット列Ｗ２に結合させて前記ビット列Ｗ２を求めるビット列変換部と、
　前記ビット列変換部によって求められた前記ビット列Ｗ１及び前記ビット列Ｗ２の各々のビット数が、暗号化対象データを表わすビット列のビット数になるまで、前記行列作用部による作用と前記ビット列変換部による変換及び結合とを繰り返すビット数判定部と、
　前記ビット列Ｗ１及び前記ビット列Ｗ２の排他的論理和を計算して、擬似乱数ビット列を求める擬似乱数列発生部と、
　前記擬似乱数列発生部によって求められた擬似乱数ビット列と、前記暗号化対象データを表わすビット列との排他的論理和を計算することにより、前記暗号化対象データを暗号化する暗号化部と、
　を含む暗号化装置。
　暗号化装置と共通に設定された、請求項１又は２の共有秘密鍵生成装置によって生成された共有秘密鍵Ｍ_AB、及び２つの素数ｐ１、ｐ２に基づいて、２つの非可換行列Ａ１、Ａ２を生成する行列生成部と、
　前記暗号化装置と共通に設定されたｄ次元の初期ベクトルｖ₀又は前回求められたｄ次元のベクトルｖ_i-1 ¹に、非可換行列Ａ１を作用させて、ベクトルｖ_i ¹を求めると共に、前記初期ベクトルｖ₀、又は前回求められたｄ次元のベクトルｖ_i-1 ²に、非可換行列Ａ２を作用させて、ベクトルｖ_i ²を求める行列作用部であって、前記非可換行列Ａ１、Ａ２を作用させる際の和演算及び積演算の少なくとも一方を、予め定められた、複数種類の演算子を組み合わせた演算方法に置換して、非可換行列Ａ１、Ａ２を作用させる行列作用部と、
　前記行列作用部によって求められたベクトルｖ_i ¹に対して非線形変換を行ってビット列に変換し、前記変換したビット列を前回求められたビット列Ｗ１に結合させて前記ビット列Ｗ１を求めると共に、ベクトルｖ_i ²に対して非線形変換を行ってビット列に変換し、前記変換したビット列を前回求められたビット列Ｗ２に結合させて前記ビット列Ｗ２を求めるビット列変換部と、
　前記ビット列変換部によって求められた前記ビット列Ｗ１及び前記ビット列Ｗ２の各々のビット数が、復号化対象データを表わすビット列のビット数になるまで、前記行列作用部による作用と前記ビット列変換部による変換及び結合とを繰り返すビット数判定部と、
　前記ビット列Ｗ１及び前記ビット列Ｗ２の排他的論理和を計算して、擬似乱数ビット列を求める擬似乱数列発生部と、
　前記擬似乱数列発生部によって求められた擬似乱数ビット列と、前記復号化対象データを表わすビット列との排他的論理和を計算することにより、前記復号化対象データを復号化する復号化部と、
　を含む復号化装置。
　コンピュータを、
　素数ｐ、自然数ｄ、行列式の値が１ではないｄ×ｄの行列Ｑ（ｍｏｄ　ｐ）、及び逆行列が存在するｄ×ｄの行列Ｓ（ｍｏｄ　ｐ）を含む公開データを設定する公開データ設定部、
　自然数ｎ_A（ｍｏｄ　ｐ）、ｋ_A（ｍｏｄ　ｐ）を含む秘密鍵を生成する秘密鍵生成部、
　前記秘密鍵を用いて、以下の（ＩＶ）式に従って、ｄ×ｄの行列Ｍ_A（ｍｏｄ　ｐ）を計算し、通信相手へ送信する行列計算部、
　前記通信相手の秘密鍵に含まれる自然数ｎ_B（ｍｏｄ　ｐ）、ｋ_B（ｍｏｄ　ｐ）を用いて以下の（Ｖ）式に従って計算される、ｄ×ｄの行列Ｍ_B（ｍｏｄ　ｐ）を取得する行列取得部、及び
　前記行列取得部によって取得された行列Ｍ_Bを用いて、以下の（ＶＩ）式に従ってｄ×ｄの行列Ｍ_AB（ｍｏｄ　ｐ）を共有秘密鍵として算出する共有秘密鍵算出部
　として機能させるためのプログラム。
Ｍ_A＝Ｓ^-kAＱ^nAＳ^kA　　　・・・（ＩＶ）
Ｍ_B＝Ｓ^-kBＱ^nBＳ^kB　　　・・・（Ｖ）
Ｍ_AB＝Ｓ^-kAＭ_B ^nAＳ^kA　　　・・・（ＶＩ）
　公開データ設定部によって、素数ｐ、自然数ｄ、行列式の値が１ではないｄ×ｄの行列Ｑ（ｍｏｄ　ｐ）、及び逆行列が存在するｄ×ｄの行列Ｓ（ｍｏｄ　ｐ）を含む公開データを設定するステップと、
　秘密鍵生成部によって、自然数ｎ_A（ｍｏｄ　ｐ）、ｋ_A（ｍｏｄ　ｐ）を含む秘密鍵を生成するステップと、
　行列計算部によって、前記秘密鍵を用いて、以下の（ＶＩＩ）式に従って、ｄ×ｄの行列Ｍ_A（ｍｏｄ　ｐ）を計算し、通信相手へ送信するステップと、
　行列取得部によって、前記通信相手の秘密鍵に含まれる自然数ｎ_B（ｍｏｄ　ｐ）、ｋ_B（ｍｏｄ　ｐ）を用いて以下の（ＶＩＩＩ）式に従って計算される、ｄ×ｄの行列Ｍ_B（ｍｏｄ　ｐ）を取得するステップと、
　共有秘密鍵算出部によって、前記行列取得部によって取得された行列Ｍ_Bを用いて、以下の（ＩＸ）式に従ってｄ×ｄの行列Ｍ_AB（ｍｏｄ　ｐ）を共有秘密鍵として算出するステップと、
　を含む共有秘密鍵生成方法。
Ｍ_A＝Ｓ^-kAＱ^nAＳ^kA　　　・・・（ＶＩＩ）
Ｍ_B＝Ｓ^-kBＱ^nBＳ^kB　　　・・・（ＶＩＩＩ）
Ｍ_AB＝Ｓ^-kAＭ_B ^nAＳ^kA　　　・・・（ＩＸ）
　行列生成部によって、復号化装置と共通に設定された、請求項６の共有秘密鍵生成方法によって生成された共有秘密鍵Ｍ_AB、及び２つの素数ｐ１、ｐ２に基づいて、２つの非可換行列Ａ１、Ａ２を生成するステップと、
　行列作用部によって、前記復号化装置と共通に設定されたｄ次元の初期ベクトルｖ₀又は前回求められたｄ次元のベクトルｖ_i-1 ¹に、非可換行列Ａ１を作用させて、ベクトルｖ_i ¹を求めると共に、前記初期ベクトルｖ₀、又は前回求められたｄ次元のベクトルｖ_i-1 ²に、非可換行列Ａ２を作用させて、ベクトルｖ_i ²を求める行列作用部であって、前記非可換行列Ａ１、Ａ２を作用させる際の和演算及び積演算の少なくとも一方を、予め定められた、複数種類の演算子を組み合わせた演算方法に置換して、非可換行列Ａ１、Ａ２を作用させるステップと、
　ビット列変換部によって、前記行列作用部によって求められたベクトルｖ_i ¹に対して非線形変換を行ってビット列に変換し、前記変換したビット列を前回求められたビット列Ｗ１に結合させて前記ビット列Ｗ１を求めると共に、ベクトルｖ_i ²に対して非線形変換を行ってビット列に変換し、前記変換したビット列を前回求められたビット列Ｗ２に結合させて前記ビット列Ｗ２を求めるステップと、
　ビット数判定部によって、前記ビット列変換部によって求められた前記ビット列Ｗ１及び前記ビット列Ｗ２の各々のビット数が、暗号化対象データを表わすビット列のビット数になるまで、前記行列作用部による作用と前記ビット列変換部による変換及び結合とを繰り返すステップと、
　擬似乱数列発生部によって、前記ビット列Ｗ１及び前記ビット列Ｗ２の排他的論理和を計算して、擬似乱数ビット列を求めるステップと、
　暗号化部によって、前記擬似乱数列発生部によって求められた擬似乱数ビット列と、前記暗号化対象データを表わすビット列との排他的論理和を計算することにより、前記暗号化対象データを暗号化するステップと、
　を含む暗号化方法。
　行列生成部によって、暗号化装置と共通に設定された、請求項１又は２の共有秘密鍵生成方法によって生成された共有秘密鍵Ｍ_AB、及び２つの素数ｐ１、ｐ２に基づいて、２つの非可換行列Ａ１、Ａ２を生成するステップと、
　行列作用部によって、前記暗号化装置と共通に設定されたｄ次元の初期ベクトルｖ₀又は前回求められたｄ次元のベクトルｖ_i-1 ¹に、非可換行列Ａ１を作用させて、ベクトルｖ_i ¹を求めると共に、前記初期ベクトルｖ₀、又は前回求められたｄ次元のベクトルｖ_i-1 ²に、非可換行列Ａ２を作用させて、ベクトルｖ_i ²を求める行列作用部であって、前記非可換行列Ａ１、Ａ２を作用させる際の和演算及び積演算の少なくとも一方を、予め定められた、複数種類の演算子を組み合わせた演算方法に置換して、非可換行列Ａ１、Ａ２を作用させるステップと、
　ビット列変換部によって、前記行列作用部によって求められたベクトルｖ_i ¹に対して非線形変換を行ってビット列に変換し、前記変換したビット列を前回求められたビット列Ｗ１に結合させて前記ビット列Ｗ１を求めると共に、ベクトルｖ_i ²に対して非線形変換を行ってビット列に変換し、前記変換したビット列を前回求められたビット列Ｗ２に結合させて前記ビット列Ｗ２を求めるステップと、
　ビット数判定部によって、前記ビット列変換部によって求められた前記ビット列Ｗ１及び前記ビット列Ｗ２の各々のビット数が、復号化対象データを表わすビット列のビット数になるまで、前記行列作用部による作用と前記ビット列変換部による変換及び結合とを繰り返すステップと、
　擬似乱数列発生部によって、前記ビット列Ｗ１及び前記ビット列Ｗ２の排他的論理和を計算して、擬似乱数ビット列を求めるステップと、
　復号化部によって、前記擬似乱数列発生部によって求められた擬似乱数ビット列と、前記復号化対象データを表わすビット列との排他的論理和を計算することにより、前記復号化対象データを復号化するステップと、
　を含む復号化方法。