WO2014061324A1

WO2014061324A1 - 暗号システム

Info

Publication number: WO2014061324A1
Application number: PCT/JP2013/069364
Authority: WO
Inventors: 克幸高島; 岡本　龍明
Original assignee: Mitsubishi Electric Corp; Nippon Telegraph and Telephone Corp
Current assignee: Mitsubishi Electric Corp; NTT Inc
Priority date: 2012-10-19
Filing date: 2013-07-17
Publication date: 2014-04-24
Anticipated expiration: 2015-04-19
Also published as: CN104718566A; EP2911137B1; EP2911137A1; KR101676977B1; ES2645072T3; US20150229472A1; US9722783B2; CN104718566B; EP2911137A4; KR20150070383A; JP2014085358A; JP5921410B2

Abstract

　属性ベクトルｘ^→と、述語ベクトルｖ^→との次元が同じであるという制約のない、自由度の高い内積述語暗号方式を実現することを目的とする。要素ｃ_０と、集合Ｉ_ｘ→に含まれる各インデックスｔについての要素ｃ_ｔとを有する暗号文を、要素ｋ_０と、集合Ｉ_ｖ→に含まれる各インデックスｔについての要素ｋ_ｔとを有する復号鍵を用いて、要素ｃ_０及び要素ｋ_０と、要素ｃ_ｔ及び要素ｋ_ｔとについて対応する基底ベクトル毎のペアリング演算の積を計算することにより復号する。

Description

暗号システム

　この発明は、一般化された内積述語暗号方式と、一般化された内積述語暗号方式を下部構造に有する関数型暗号方式及び属性ベース署名方式に関する。

　非特許文献３０，３１には、内積述語暗号方式についての記載がある。
　非特許文献３１には、関数型暗号方式についての記載がある。
　非特許文献３２には、属性ベース署名方式についての記載がある。

Ａｔｔｒａｐａｄｕｎｇ，　Ｎ．　ａｎｄ　Ｌｉｂｅｒｔ，　Ｂ．，　Ｆｕｎｃｔｉｏｎａｌ　Ｅｎｃｒｙｐｔｉｏｎ　ｆｏｒ　Ｉｎｎｅｒ　Ｐｒｏｄｕｃｔ：　Ａｃｈｉｅｖｉｎｇ　Ｃｏｎｓｔａｎｔ－Ｓｉｚｅ　Ｃｉｐｈｅｒｔｅｘｔｓ　ｗｉｔｈ　Ａｄａｐｔｉｖｅ　Ｓｅｃｕｒｉｔｙ　ｏｒ　Ｓｕｐｐｏｒｔ　ｆｏｒ　Ｎｅｇａｔｉｏｎ，　ＰＫＣ　２０１０，　ｐｐ．　３８４－４０２．　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２０１０）Ｂｅｉｍｅｌ，　Ａ．，　Ｓｅｃｕｒｅ　ｓｃｈｅｍｅｓ　ｆｏｒ　ｓｅｃｒｅｔ　ｓｈａｒｉｎｇ　ａｎｄ　ｋｅｙ　ｄｉｓｔｒｉｂｕｔｉｏｎ．　ＰｈＤ　Ｔｈｅｓｉｓ，　Ｉｓｒａｅｌ　Ｉｎｓｔｉｔｕｔｅ　ｏｆ　Ｔｅｃｈｎｏｌｏｇｙ，Ｔｅｃｈｎｉｏｎ，　Ｈａｉｆａ，　Ｉｓｒａｅｌ，　１９９６．Ｂｅｌｌａｒｅ，　Ｍ．，　Ｗａｔｅｒｓ，　Ｂ．，　Ｙｉｌｅｋ，　Ｓ．：　Ｉｄｅｎｔｉｔｙ－ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ　ｓｅｃｕｒｅ　ａｇａｉｎｓｔ　ｓｅｌｅｃｔｉｖｅ　ｏｐｅｎｉｎｇ　ａｔｔａｃｋ．　Ｉｎ：　Ｉｓｈａｉ，　Ｙ．（ｅｄ．）　ＴＣＣ　２０１１．　ｐｐ．　２３５－２５２．　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２０１１）Ｂｅｔｈｅｎｃｏｕｒｔ，　Ｊ．，　Ｓａｈａｉ，　Ａ．，　Ｗａｔｅｒｓ，　Ｂ．：　Ｃｉｐｈｅｒｔｅｘｔ－ｐｏｌｉｃｙ　ａｔｔｒｉｂｕｔｅ－ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ．　Ｉｎ：　２００７　ＩＥＥＥ　Ｓｙｍｐｏｓｉｕｍｏｎ　Ｓｅｃｕｒｉｔｙ　ａｎｄ　Ｐｒｉｖａｃｙ，　ｐｐ．　３２１－３３４．　ＩＥＥＥ　Ｐｒｅｓｓ　（２００７）Ｂｏｎｅｈ，　Ｄ．，　Ｂｏｙｅｎ，　Ｘ．：　Ｅｆｆｉｃｉｅｎｔ　ｓｅｌｅｃｔｉｖｅ－ＩＤ　ｓｅｃｕｒｅ　ｉｄｅｎｔｉｔｙ　ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ　ｗｉｔｈｏｕｔ　ｒａｎｄｏｍ　ｏｒａｃｌｅｓ．　Ｉｎ：　Ｃａｃｈｉｎ，Ｃ．，　Ｃａｍｅｎｉｓｃｈ，　Ｊ．　（ｅｄｓ．）　ＥＵＲＯＣＲＹＰＴ　２００４．　ＬＮＣＳ，　ｖｏｌ．　３０２７，　ｐｐ．　２２３－２３８．　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２００４）Ｂｏｎｅｈ，　Ｄ．，　Ｂｏｙｅｎ，　Ｘ．：　Ｓｅｃｕｒｅ　ｉｄｅｎｔｉｔｙ　ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ　ｗｉｔｈｏｕｔ　ｒａｎｄｏｍ　ｏｒａｃｌｅｓ．　Ｉｎ：　Ｆｒａｎｋｌｉｎ，　Ｍ．Ｋ．　（ｅｄ．）　ＣＲＹＰＴＯ２００４．　ＬＮＣＳ，　ｖｏｌ．　３１５２，　ｐｐ．　４４３－４５９．　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２００４）Ｂｏｎｅｈ，　Ｄ．，　Ｂｏｙｅｎ，　Ｘ．，　Ｇｏｈ，　Ｅ．：　Ｈｉｅｒａｒｃｈｉｃａｌ　ｉｄｅｎｔｉｔｙ　ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ　ｗｉｔｈ　ｃｏｎｓｔａｎｔ　ｓｉｚｅ　ｃｉｐｈｅｒｔｅｘｔ．　Ｉｎ：　Ｃｒａｍｅｒ，Ｒ．　（ｅｄ．）　ＥＵＲＯＣＲＹＰＴ　２００５．　ＬＮＣＳ，　ｖｏｌ．　３４９４，　ｐｐ．　４４０－４５６．　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２００５）Ｂｏｎｅｈ，　Ｄ．，　Ｂｏｙｅｎ，　Ｘ．，　Ｓｈａｃｈａｍ，　Ｈ．：　Ｓｈｏｒｔ　ｇｒｏｕｐ　ｓｉｇｎａｔｕｒｅｓ．　Ｉｎ：　Ｆｒａｎｋｌｉｎ，　Ｍ．　（ｅｄ．）　ＣＲＹＰＴＯ　２００４．　ＬＮＣＳ，　ｖｏｌ．３１５２，　ｐｐ．　４１－５５．　Ｓｐｒｉｎｇｅｒ，　Ｈｅｉｄｅｌｂｅｒｇ　（２００４）Ｂｏｎｅｈ，　Ｄ．，　Ｆｒａｎｋｌｉｎ，　Ｍ．：　Ｉｄｅｎｔｉｔｙ－ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ　ｆｒｏｍ　ｔｈｅ　Ｗｅｉｌ　ｐａｉｒｉｎｇ．　Ｉｎ：　Ｋｉｌｉａｎ，　Ｊ．　（ｅｄ．）　ＣＲＹＰＴＯ　２００１．ＬＮＣＳ，　ｖｏｌ．　２１３９，　ｐｐ．　２１３－２２９．　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２００１）Ｂｏｎｅｈ，　Ｄ．，　Ｈａｍｂｕｒｇ，　Ｍ．：　Ｇｅｎｅｒａｌｉｚｅｄ　ｉｄｅｎｔｉｔｙ　ｂａｓｅｄ　ａｎｄ　ｂｒｏａｄｃａｓｔ　ｅｎｃｒｙｐｔｉｏｎ　ｓｃｈｅｍｅ．　Ｉｎ：　Ｐｉｅｐｒｚｙｋ，　Ｊ．　（ｅｄ．）ＡＳＩＡＣＲＹＰＴ　２００８．　ＬＮＣＳ，　ｖｏｌ．　５３５０，　ｐｐ．　４５５－４７０．　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２００８）Ｂｏｎｅｈ，　Ｄ．，　Ｋａｔｚ，　Ｊ．，　Ｉｍｐｒｏｖｅｄ　ｅｆｆｉｃｉｅｎｃｙ　ｆｏｒ　ＣＣＡ－ｓｅｃｕｒｅ　ｃｒｙｐｔｏｓｙｓｔｅｍｓ　ｂｕｉｌｔ　ｕｓｉｎｇ　ｉｄｅｎｔｉｔｙ　ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ．ＲＳＡ－ＣＴ　２００５，　ＬＮＣＳ，　Ｓｐｒｉｎｇｅｒ　Ｖｅｒｌａｇ　（２００５）Ｂｏｎｅｈ，　Ｄ．，　Ｗａｔｅｒｓ，　Ｂ．：　Ｃｏｎｊｕｎｃｔｉｖｅ，　ｓｕｂｓｅｔ，　ａｎｄ　ｒａｎｇｅ　ｑｕｅｒｉｅｓ　ｏｎ　ｅｎｃｒｙｐｔｅｄ　ｄａｔａ．　Ｉｎ：　Ｖａｄｈａｎ，　Ｓ．Ｐ．　（ｅｄ．）　ＴＣＣ２００７．　ＬＮＣＳ，　ｖｏｌ．　４３９２，　ｐｐ．　５３５－５５４．　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２００７）Ｂｏｙｅｎ，　Ｘ．，　Ｗａｔｅｒｓ，　Ｂ．：　Ａｎｏｎｙｍｏｕｓ　ｈｉｅｒａｒｃｈｉｃａｌ　ｉｄｅｎｔｉｔｙ－ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ　（ｗｉｔｈｏｕｔ　ｒａｎｄｏｍ　ｏｒａｃｌｅｓ）．　Ｉｎ：　Ｄｗｏｒｋ，Ｃ．　（ｅｄ．）　ＣＲＹＰＴＯ　２００６．　ＬＮＣＳ，　ｖｏｌ．　４１１７，　ｐｐ．　２９０－３０７．　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２００６）Ｃａｎｅｔｔｉ，　Ｒ．，　Ｈａｌｅｖｉ　Ｓ．，　Ｋａｔｚ　Ｊ．：　Ｃｈｏｓｅｎ－ｃｉｐｈｅｒｔｅｘｔ　ｓｅｃｕｒｉｔｙ　ｆｒｏｍ　ｉｄｅｎｔｉｔｙ－ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ．　ＥＵＲＯＣＲＹＰＴ　２００４，ＬＮＣＳ，　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２００４）Ｃｈａｓｅ，　Ｍ．：　Ｍｕｌｔｉ－ａｕｔｈｏｒｉｔｙ　ａｔｔｒｉｂｕｔｅ　ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ．　ＴＣＣ，　ＬＮＣＳ，　ｐｐ．　５１５－５３４，　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２００７）．Ｃｈａｓｅ，　Ｍ．　ａｎｄ　Ｃｈｏｗ，　Ｓ．：　Ｉｍｐｒｏｖｉｎｇ　ｐｒｉｖａｃｙ　ａｎｄ　ｓｅｃｕｒｉｔｙ　ｉｎ　ｍｕｌｔｉ－ａｕｔｈｏｒｉｔｙ　ａｔｔｒｉｂｕｔｅ－ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ，　ＡＣＭ　Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ　Ｃｏｍｐｕｔｅｒ　ａｎｄ　Ｃｏｍｍｕｎｉｃａｔｉｏｎｓ　Ｓｅｃｕｒｉｔｙ，　ｐｐ．　１２１－１３０，　ＡＣＭ　（２００９）．Ｃｏｃｋｓ，　Ｃ．：　Ａｎ　ｉｄｅｎｔｉｔｙ　ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ　ｓｃｈｅｍｅ　ｂａｓｅｄ　ｏｎ　ｑｕａｄｒａｔｉｃ　ｒｅｓｉｄｕｅｓ．　Ｉｎ：　Ｈｏｎａｒｙ，　Ｂ．　（ｅｄ．）　ＩＭＡ　Ｉｎｔ．　Ｃｏｎｆ．ＬＮＣＳ，　ｖｏｌ．　２２６０，　ｐｐ．　３６０－３６３．　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２００１）Ｇｅｎｔｒｙ，　Ｃ．：　Ｐｒａｃｔｉｃａｌ　ｉｄｅｎｔｉｔｙ－ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ　ｗｉｔｈｏｕｔ　ｒａｎｄｏｍ　ｏｒａｃｌｅｓ．　Ｉｎ：　Ｖａｕｄｅｎａｙ，　Ｓ．　（ｅｄ．）　ＥＵＲＯＣＲＹＰＴ２００６．　ＬＮＣＳ，　ｖｏｌ．　４００４，　ｐｐ．　４４５－４６４．　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２００６）Ｇｅｎｔｒｙ，　Ｃ．，　Ｈａｌｅｖｉ，　Ｓ．：　Ｈｉｅｒａｒｃｈｉｃａｌ　ｉｄｅｎｔｉｔｙ－ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ　ｗｉｔｈ　ｐｏｌｙｎｏｍｉａｌｌｙ　ｍａｎｙ　ｌｅｖｅｌｓ．　Ｉｎ：　Ｒｅｉｎｇｏｌｄ，　Ｏ．（ｅｄ．）　ＴＣＣ　２００９．　ＬＮＣＳ，　ｖｏｌ．　５４４４，　ｐｐ．　４３７－４５６．　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２００９）Ｇｅｎｔｒｙ，　Ｃ．，　Ｓｉｌｖｅｒｂｅｒｇ，　Ａ．：　Ｈｉｅｒａｒｃｈｉｃａｌ　ＩＤ－ｂａｓｅｄ　ｃｒｙｐｔｏｇｒａｐｈｙ．　Ｉｎ：　Ｚｈｅｎｇ，　Ｙ．　（ｅｄ．）　ＡＳＩＡＣＲＹＰＴ　２００２．　ＬＮＣＳ，ｖｏｌ．　２５０１，　ｐｐ．　５４８－５６６．　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２００２）Ｇｏｙａｌ，　Ｖ．，　Ｐａｎｄｅｙ，　Ｏ．，　Ｓａｈａｉ，　Ａ．，　Ｗａｔｅｒｓ，　Ｂ．：　Ａｔｔｒｉｂｕｔｅ－ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ　ｆｏｒ　ｆｉｎｅ－ｇｒａｉｎｅｄ　ａｃｃｅｓｓ　ｃｏｎｔｒｏｌ　ｏｆ　ｅｎｃｒｙｐｔｅｄ　ｄａｔａ．　Ｉｎ：　ＡＣＭ　Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ　Ｃｏｍｐｕｔｅｒ　ａｎｄ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｓｅｃｕｒｉｔｙ　２００６，　ｐｐ．　８９－９８，　ＡＣＭ　（２００６）Ｋａｔｚ，　Ｊ．，　Ｓａｈａｉ，　Ａ．，　Ｗａｔｅｒｓ，　Ｂ．：　Ｐｒｅｄｉｃａｔｅ　ｅｎｃｒｙｐｔｉｏｎ　ｓｕｐｐｏｒｔｉｎｇ　ｄｉｓｊｕｎｃｔｉｏｎｓ，　ｐｏｌｙｎｏｍｉａｌ　ｅｑｕａｔｉｏｎｓ，　ａｎｄ　ｉｎｎｅｒ　ｐｒｏｄｕｃｔｓ．　Ｉｎ：　Ｓｍａｒｔ，　Ｎ．Ｐ．　（ｅｄ．）　ＥＵＲＯＣＲＹＰＴ　２００８．　ＬＮＣＳ，　ｖｏｌ．　４９６５，　ｐｐ．　１４６－１６２．　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２００８）Ｌｅｗｋｏ，　Ａ．，　Ｏｋａｍｏｔｏ，　Ｔ．，　Ｓａｈａｉ，　Ａ．，　Ｔａｋａｓｈｉｍａ，　Ｋ．，　Ｗａｔｅｒｓ，　Ｂ．：　Ｆｕｌｌｙ　ｓｅｃｕｒｅ　ｆｕｎｃｔｉｏｎａｌ　ｅｎｃｒｙｐｔｉｏｎ：　Ａｔｔｒｉｂｕｔｅ－ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ　ａｎｄ　（ｈｉｅｒａｒｃｈｉｃａｌ）　ｉｎｎｅｒ　ｐｒｏｄｕｃｔ　ｅｎｃｒｙｐｔｉｏｎ，　ＥＵＲＯＣＲＹＰＴ　２０１０．　ＬＮＣＳ，　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２０１０）　Ｆｕｌｌ　ｖｅｒｓｉｏｎ　ｉｓ　ａｖａｉｌａｂｌｅ　ａｔ　ｈｔｔｐ：／／ｅｐｒｉｎｔ．ｉａｃｒ．ｏｒｇ／２０１０／１１０Ｌｅｗｋｏ，　Ａ．Ｂ．，Ｗａｔｅｒｓ，　Ｂ．：　Ｎｅｗ　ｔｅｃｈｎｉｑｕｅｓ　ｆｏｒ　ｄｕａｌ　ｓｙｓｔｅｍ　ｅｎｃｒｙｐｔｉｏｎ　ａｎｄ　ｆｕｌｌｙ　ｓｅｃｕｒｅ　ＨＩＢＥ　ｗｉｔｈ　ｓｈｏｒｔ　ｃｉｐｈｅｒｔｅｘｔｓ．Ｉｎ：　Ｍｉｃｃｉａｎｃｉｏ，　Ｄ．　（ｅｄ．）　ＴＣＣ　２０１０．　ＬＮＣＳ，　ｖｏｌ．　５９７８，　ｐｐ．　４５５－４７９．　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２０１０）Ｌｅｗｋｏ，　Ａ．Ｂ．，　Ｗａｔｅｒｓ，　Ｂ．：　Ｄｅｃｅｎｔｒａｌｉｚｉｎｇ　Ａｔｔｒｉｂｕｔｅ－Ｂａｓｅｄ　Ｅｎｃｒｙｐｔｉｏｎ，　ＥＵＲＯＣＲＹＰＴ　２０１１．　ＬＮＣＳ，　ｖｏｌ．　６６３２，　ｐｐ．５６８－５８８．　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２０１１）Ｌｅｗｋｏ，　Ａ．Ｂ．，　Ｗａｔｅｒｓ，　Ｂ．：　Ｕｎｂｏｕｎｄｅｄ　ＨＩＢＥ　ａｎｄ　ａｔｔｒｉｂｕｔｅ－ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ，　ＥＵＲＯＣＲＹＰＴ　２０１１．　ＬＮＣＳ，　ｖｏｌ．６６３２，　ｐｐ．　５４７－５６７．　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２０１１）Ｈ．　Ｌｉｎ，　Ｚ．　Ｃａｏ，　Ｘ．　Ｌｉａｎｇ，　ａｎｄ　Ｊ．　Ｓｈａｏ．：　Ｓｅｃｕｒｅ　ｔｈｒｅｓｈｏｌｄ　ｍｕｌｔｉ　ａｕｔｈｏｒｉｔｙ　ａｔｔｒｉｂｕｔｅ　ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ　ｗｉｔｈｏｕｔ　ａ　ｃｅｎｔｒａｌ　ａｕｔｈｏｒｉｔｙ，　ＩＮＤＯＣＲＹＰＴ，　ＬＮＣＳ，　ｖｏｌ．　５３６５，　ｐｐ．　４２６－４３６，　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２００８）．Ｓ．　Ｍｕｅｌｌｅｒ，　Ｓ．　Ｋａｔｚｅｎｂｅｉｓｓｅｒ，　ａｎｄ　Ｃ．　Ｅｃｋｅｒｔ．；　Ｏｎ　ｍｕｌｔｉ－ａｕｔｈｏｒｉｔｙ　ｃｉｐｈｅｒｔｅｘｔ－ｐｏｌｉｃｙ　ａｔｔｒｉｂｕｔｅ－ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ，Ｂｕｌｌ．　Ｋｏｒｅａｎ　Ｍａｔｈ　Ｓｏｃ．　４６，　Ｎｏ．４，　ｐｐ．　８０３－８１９　（２００９）．Ｏｋａｍｏｔｏ，　Ｔ．，　Ｔａｋａｓｈｉｍａ，　Ｋ．：　Ｈｏｍｏｍｏｒｐｈｉｃ　ｅｎｃｒｙｐｔｉｏｎ　ａｎｄ　ｓｉｇｎａｔｕｒｅｓ　ｆｒｏｍ　ｖｅｃｔｏｒ　ｄｅｃｏｍｐｏｓｉｔｉｏｎ．　Ｉｎ：　Ｇａｌｂｒａｉｔｈ，Ｓ．Ｄ．，　Ｐａｔｅｒｓｏｎ，　Ｋ．Ｇ．　（ｅｄｓ．）　Ｐａｉｒｉｎｇ　２００８．　ＬＮＣＳ，　ｖｏｌ．　５２０９，　ｐｐ．　５７－７４，　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２００８）Ｏｋａｍｏｔｏ，　Ｔ．，　Ｔａｋａｓｈｉｍａ，　Ｋ．：　Ｈｉｅｒａｒｃｈｉｃａｌ　ｐｒｅｄｉｃａｔｅ　ｅｎｃｒｙｐｔｉｏｎ　ｆｏｒ　ｉｎｎｅｒ－ｐｒｏｄｕｃｔｓ，　Ｉｎ：　ＡＳＩＡＣＲＹＰＴ　２００９，Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２００９）Ｏｋａｍｏｔｏ，　Ｔ．，　Ｔａｋａｓｈｉｍａ，　Ｋ．：　Ｆｕｌｌｙ　ｓｅｃｕｒｅ　ｆｕｎｃｔｉｏｎａｌ　ｅｎｃｒｙｐｔｉｏｎ　ｗｉｔｈ　ｇｅｎｅｒａｌ　ｒｅｌａｔｉｏｎｓ　ｆｒｏｍ　ｔｈｅ　ｄｅｃｉｓｉｏｎａｌ　ｌｉｎｅａｒ　ａｓｓｕｍｐｔｉｏｎ．　Ｉｎ：　Ｒａｂｉｎ，　Ｔ．　（ｅｄ．）　ＣＲＹＰＴＯ　２０１０．　ＬＮＣＳ，　ｖｏｌ．　６２２３，　ｐｐ．　１９１－２０８．　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２０１０）．　Ｆｕｌｌ　ｖｅｒｓｉｏｎ　ｉｓ　ａｖａｉｌａｂｌｅ　ａｔ　ｈｔｔｐ：／／ｅｐｒｉｎｔ．ｉａｃｒ．ｏｒｇ／２０１０／５６３Ｏｋａｍｏｔｏ，　Ｔ．，　Ｔａｋａｓｈｉｍａ，　Ｋ．：　Ｅｆｆｉｃｉｅｎｔ　ａｔｔｒｉｂｕｔｅ－ｂａｓｅｄ　ｓｉｇｎａｔｕｒｅｓ　ｆｏｒ　ｎｏｎ－ｍｏｎｏｔｏｎｅ　ｐｒｅｄｉｃａｔｅｓ　ｉｎ　ｔｈｅ　ｓｔａｎｄａｒｄ　ｍｏｄｅｌ，　Ｉｎ：　ＰＫＣ　２０１１，　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２０１１）Ｏｋａｍｏｔｏ，　Ｔ．，　Ｔａｋａｓｈｉｍａ，　Ｋ．：　Ａｃｈｉｅｖｉｎｇ　Ｓｈｏｒｔ　Ｃｉｐｈｅｒｔｅｘｔｓ　ｏｒ　Ｓｈｏｒｔ　Ｓｅｃｒｅｔ－Ｋｅｙｓ　ｆｏｒ　Ａｄａｐｔｉｖｅｌｙ　Ｓｅｃｕｒｅ　Ｇｅｎｅｒａｌ　Ｉｎｎｅｒ－Ｐｒｏｄｕｃｔ　Ｅｎｃｒｙｐｔｉｏｎ．　ＣＡＮＳ　２０１１，　ＬＮＣＳ，　ｖｏｌ．　７０９２，　ｐｐ．　１３８－１５９　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２０１１）．Ｏｋａｍｏｔｏ，　Ｔ．，　Ｔａｋａｓｈｉｍａ，　Ｋ．：　Ａｄａｐｔｉｖｅｌｙ　Ａｔｔｒｉｂｕｔｅ－Ｈｉｄｉｎｇ　（Ｈｉｅｒａｒｃｈｉｃａｌ）　Ｉｎｎｅｒ　Ｐｒｏｄｕｃｔ　Ｅｎｃｒｙｐｔｉｏｎ．　ＥＵＲＯＣＲＹＰＴ　２０１２，　ＬＮＣＳ，　ｖｏｌ．　７２３７，　ｐｐ．５９１－６０８，　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２０１２）Ｏｓｔｒｏｖｓｋｙ，　Ｒ．，　Ｓａｈａｉ，　Ａ．，　Ｗａｔｅｒｓ，　Ｂ．：　Ａｔｔｒｉｂｕｔｅ－ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ　ｗｉｔｈ　ｎｏｎ－ｍｏｎｏｔｏｎｉｃ　ａｃｃｅｓｓ　ｓｔｒｕｃｔｕｒｅｓ．　Ｉｎ：　ＡＣＭ　Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ　Ｃｏｍｐｕｔｅｒ　ａｎｄ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｓｅｃｕｒｉｔｙ　２００７，　ｐｐ．　１９５－２０３，　ＡＣＭ　（２００７）Ｐｉｒｒｅｔｔｉ，　Ｍ．，　Ｔｒａｙｎｏｒ，　Ｐ．，　ＭｃＤａｎｉｅｌ，　Ｐ．，　Ｗａｔｅｒｓ，　Ｂ．：　Ｓｅｃｕｒｅ　ａｔｔｒｉｂｕｔｅ－ｂａｓｅｄ　ｓｙｓｔｅｍｓ．　Ｉｎ：　ＡＣＭ　Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ　Ｃｏｍｐｕｔｅｒ　ａｎｄ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｓｅｃｕｒｉｔｙ　２００６，　ｐｐ．　９９－１１２，　ＡＣＭ，　（２００６）Ｓａｈａｉ，　Ａ．，　Ｗａｔｅｒｓ，　Ｂ．：　Ｆｕｚｚｙ　ｉｄｅｎｔｉｔｙ－ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ．　Ｉｎ：　Ｃｒａｍｅｒ，　Ｒ．　（ｅｄ．）　ＥＵＲＯＣＲＹＰＴ　２００５．　ＬＮＣＳ，　ｖｏｌ．３４９４，　ｐｐ．　４５７－４７３．　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２００５）Ｓｈｉ，　Ｅ．，　Ｗａｔｅｒｓ，　Ｂ．：　Ｄｅｌｅｇａｔｉｎｇ　ｃａｐａｂｉｌｉｔｙ　ｉｎ　ｐｒｅｄｉｃａｔｅ　ｅｎｃｒｙｐｔｉｏｎ　ｓｙｓｔｅｍｓ．　Ｉｎ：　Ａｃｅｔｏ，　Ｌ．，　Ｄａｍｇ「ａａｒｄ，　Ｉ．，　Ｇｏｌｄｂｅｒｇ，Ｌ．Ａ．，　Ｈａｌｌｄｏｅｒｓｓｏｎ，　Ｍ．Ｍ．，　Ｉｎｇｏｅｌｆｓｄｏｅｔｔｉｒ，　Ａ．，　Ｗａｌｕｋｉｅｗｉｃｚ，　Ｉ．　（ｅｄｓ．）　ＩＣＡＬＰ　（２）　２００８．　ＬＮＣＳ，　ｖｏｌ．　５１２６，　ｐｐ．　５６０－５７８．　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２００８）Ｗａｔｅｒｓ，　Ｂ．：　Ｅｆｆｉｃｉｅｎｔ　ｉｄｅｎｔｉｔｙ　ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ　ｗｉｔｈｏｕｔ　ｒａｎｄｏｍ　ｏｒａｃｌｅｓ．　Ｅｕｒｏｃｒｙｐｔ　２００５，　ＬＮＣＳ，　ｖｏｌ．　３１５２，　ｐｐ．４４３－４５９．　Ｓｐｒｉｎｇｅｒ　Ｖｅｒｌａｇ，　（２００５）Ｗａｔｅｒｓ，　Ｂ．：　Ｃｉｐｈｅｒｔｅｘｔ－ｐｏｌｉｃｙ　ａｔｔｒｉｂｕｔｅ－ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ：　ａｎ　ｅｘｐｒｅｓｓｉｖｅ，　ｅｆｆｉｃｉｅｎｔ，　ａｎｄ　ｐｒｏｖａｂｌｙ　ｓｅｃｕｒｅ　ｒｅａｌｉｚａｔｉｏｎ．　ＰＫＣ　２０１１，　ＬＮＣＳ，　ｖｏｌ．　６５７１，　ｐｐ．　５３－７０．　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２０１１）．　ｅＰｒｉｎｔ，　ＩＡＣＲ，　ｈｔｔｐ：／／ｅｐｒｉｎｔ．ｉａｃｒ．ｏｒｇ／２００８／２９０Ｗａｔｅｒｓ，　Ｂ．：　Ｄｕａｌ　ｓｙｓｔｅｍ　ｅｎｃｒｙｐｔｉｏｎ：　ｒｅａｌｉｚｉｎｇ　ｆｕｌｌｙ　ｓｅｃｕｒｅ　ＩＢＥ　ａｎｄ　ＨＩＢＥ　ｕｎｄｅｒ　ｓｉｍｐｌｅ　ａｓｓｕｍｐｔｉｏｎｓ．　Ｉｎ：　Ｈａｌｅｖｉ，Ｓ．　（ｅｄ．）　ＣＲＹＰＴＯ　２００９．　ＬＮＣＳ，　ｖｏｌ．　５６７７，　ｐｐ．　６１９－６３６．　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２００９）

　非特許文献３０，３１に記載された内積述語暗号方式では、属性ベクトルｘ^→（暗号化に用いられるパラメータ）と、述語ベクトルｖ^→（秘密鍵に用いられるパラメータ）との次元が同じであるという制約があった。
　この発明は、より自由度の高い内積述語暗号方式を実現することを目的とする。

　この発明に係る暗号システムは、
　暗号化装置と復号装置とを備える暗号システムであり、
　前記暗号化装置は、
　基底ベクトルｂ_０，ｒの係数として値ω^～が設定された要素ｃ_０と、集合Ｉ_ｘ→に含まれる各インデックスｔについて、基底ベクトルｂ_ｐの係数として属性情報ｘ_ｔが設定され、基底ベクトルｂ_ｑの係数として前記値ω^～が設定された要素ｃ_ｔとを有する暗号文を生成する暗号文生成部
を備え、
　前記復号装置は、
　集合Ｉ_ｖ→に含まれる各インデックスｔについての値ｓ_ｔの合計が値ｓ_０である値ｓ_ｔ及び値ｓ_０を用いて生成された要素ｋ_０と要素ｋ_ｔとであって、前記基底ベクトルｂ_０，ｒに対応する基底ベクトルｂ^＊ _０，ｒの係数として値－ｓ_０が設定された要素ｋ_０と、集合Ｉ_ｖ→に含まれる各インデックスｔについて、前記基底ベクトルｂ_ｐに対応する基底ベ
クトルｂ^＊ _ｐの係数として述語情報ｖ_ｔが設定され、前記基底ベクトルｂ_ｑに対応する基底ベクトルｂ^＊ _ｑの係数として値ｓ_ｔが設定された要素ｋ_ｔとを有する復号鍵を記憶する復号鍵記憶部と、
　前記暗号文生成部が生成した暗号文を、前記復号鍵記憶部が記憶した復号鍵により復号する復号部であって、前記要素ｃ_０及び前記要素ｋ_０と、前記集合Ｉ_ｖ→に含まれる各インデックスｔについての要素ｃ_ｔ及び要素ｋ_ｔとに対して、対応する基底ベクトル毎のペアリング演算の積を計算して、前記暗号文を復号する復号部と
を備えることを特徴とする。

　この発明に係る暗号システムは、集合Ｉ_ｖ→に含まれるインデックスｔについてのみペアリング演算を行っており、属性ベクトルｘ^→と述語ベクトルｖ^→との次元が同じである必要はない。そのため、この発明に係る暗号システムは、自由度の高い内積述語暗号方式を実現できる。

実施の形態１に係る暗号処理システム１０の構成図。実施の形態１に係る鍵生成装置１００の機能を示す機能ブロック図。実施の形態１に係る暗号化装置２００の機能を示す機能ブロック図。実施の形態１に係る復号装置３００の機能を示す機能ブロック図。実施の形態１に係るＳｅｔｕｐアルゴリズムの処理を示すフローチャート。実施の形態１に係るＫｅｙＧｅｎアルゴリズムの処理を示すフローチャート。実施の形態１に係るＥｎｃアルゴリズムの処理を示すフローチャート。実施の形態１に係るＤｅｃアルゴリズムの処理を示すフローチャート。実施の形態２に係るＫｅｙＧｅｎアルゴリズムの処理を示すフローチャート。実施の形態２に係るＥｎｃアルゴリズムの処理を示すフローチャート。実施の形態２に係るＤｅｃアルゴリズムの処理を示すフローチャート。実施の形態３に係るＳｅｔｕｐアルゴリズムの処理を示すフローチャート。実施の形態３に係るＫｅｙＧｅｎアルゴリズムの処理を示すフローチャート。実施の形態３に係るＥｎｃアルゴリズムの処理を示すフローチャート。実施の形態３に係るＤｅｃアルゴリズムの処理を示すフローチャート。鍵生成装置１００、暗号化装置２００、復号装置３００のハードウェア構成の一例を示す図。

　以下、図に基づき、発明の実施の形態を説明する。
　以下の説明において、処理装置は後述するＣＰＵ９１１等である。記憶装置は後述するＲＯＭ９１３、ＲＡＭ９１４、磁気ディスク９２０等である。通信装置は後述する通信ボード９１５等である。入力装置は後述するキーボード９０２、通信ボード９１５等である。出力装置は後述するＲＡＭ９１４、磁気ディスク９２０、通信ボード９１５、ＬＣＤ９０１等である。つまり、処理装置、記憶装置、通信装置、入力装置、出力装置はハードウェアである。

　以下の説明における記法について説明する。
　Ａがランダムな変数または分布であるとき、数１０１は、Ａの分布に従いＡからｙをランダムに選択することを表す。つまり、数１０１において、ｙは乱数である。

　Ａが集合であるとき、数１０２は、Ａからｙを一様に選択することを表す。つまり、数１０２において、ｙは一様乱数である。

　数１０３は、ｙがｚにより定義された集合であること、又はｙがｚを代入された集合であることを表す。

　ａが定数であるとき、数１０４は、機械（アルゴリズム）Ａが入力ｘに対しａを出力することを表す。

　数１０５、つまりＦ_ｑは、位数ｑの有限体を示す。

　ベクトル表記は、有限体Ｆ_ｑにおけるベクトル表示を表す。つまり、数１０６である。

　数１０７は、数１０８に示す２つのベクトルｘ^→とｖ^→との数１０９に示す内積を表す。

　Ｘ^Ｔは、行列Ｘの転置行列を表す。
　数１１０に示す基底Ｂと基底Ｂ^＊とに対して、数１１１である。

　また、以下の説明において、“δｉ，ｊ”が上付きで示されている場合、このδｉ，ｊは、δ_ｉ，ｊを意味する。
　また、ベクトルを意味する“→”が下付き文字又は上付き文字に付されている場合、この“→”は下付き文字又は上付き文字に上付きで付されていることを意味する。

　また、以下の説明において、暗号プリミティブの処理は、情報を第三者から秘匿するための狭義の暗号処理だけでなく、署名処理をも含むものであり、鍵生成処理、暗号化処理、復号処理、署名処理、検証処理を含む。

　実施の形態１．
　実施の形態１では、内積述語暗号方式の基礎となる概念を説明した上で、１つの内積述語暗号方式について説明する。
　第１に、属性ベクトルｘ^→及び述語ベクトルｖ^→の次元について説明する。
　第２に、属性カテゴリの追加について説明する。
　第３に、内積述語暗号方式を実現するための空間である「双対ペアリングベクトル空間（Ｄｕａｌ　Ｐａｉｒｉｎｇ　Ｖｅｃｔｏｒ　Ｓｐａｃｅｓ（ＤＰＶＳ））」という豊かな数学的構造を有する空間を説明する。
　第４に、実施の形態１に係る内積述語暗号方式（Ｔｙｐｅ１）について説明する。

　＜第１．属性ベクトルｘ^→及びｖ^→の次元＞
　非特許文献３０，３１に記載された内積述語暗号方式では、属性ベクトルｘ^→及び述語ベクトルｖ^→の次元が同じであるという制約があった。この制約は、内積ｘ^→・ｖ^→の関係に対しては不可避であると考えられていた。しかし、様々なアプリケーションにおいて効率を改善するためには、この制約を緩和する必要がある。

　一例として、個人の遺伝子データについて考える。個人の遺伝子データは、慎重に扱うべきデータであり、データの処理や検索を行う場合には暗号化されるべきデータである。遺伝子データは膨大な情報量であるが、多くのアプリケーションでは、遺伝子データの一部のみが用いられるという特徴がある。
　例えば、アリスの遺伝子データがある特性を有しているか否かを検査する場合、多数（例えば、１００個）の遺伝子プロパティのうち、対象とする数個（例えば、３個）の遺伝子プロパティについて、アリスの遺伝子データが条件を満たしているか否かを判定する。残り（９７個）の遺伝子プロパティについては、条件を満たしているか否か判定する必要はない。

　例えば、Ｘ_１，．．．，Ｘ_１００は１００個の遺伝子プロパティであり、ｘ_１，．．．，ｘ_１００はアリスについての１００個の遺伝子プロパティの値であるとする。３次の（多変数の）検査多項式ｆに対してｆ（ｘ_１，．．．，ｘ_１００）＝０か否かを評価するために、又は、対応する述語φ_ｆ（ｘ_１，．．．，ｘ_１００）の真理値を評価するために、アリスの属性ベクトルｘ^→を、３次のアリスの値の単項式ベクトルｘ^→：＝（１，ｘ_１，．．．，ｘ_１００，ｘ_１ ^２，ｘ_１ｘ_２，．．．，ｘ_１００ ^２，ｘ_１ ^３，ｘ_１ ^２ｘ_２，．．．，ｘ_１００ ^３）に変換する。この属性ベクトルｘ^→は、約１０^６次元である。
　検査に使用される検査式（述語）は、（（Ｘ_５＝ａ）∨（Ｘ_１６＝ｂ））∧（Ｘ_５７＝ｃ）であり、３つの遺伝子プロパティＸ_５，Ｘ_１６，Ｘ_５７にのみ注目したものであるとする。これは、ｒ_１（Ｘ_５－ａ）（Ｘ_１６－ｂ）＋ｒ_２（Ｘ_５７－ｃ）＝０（ここで、ｒ_１、ｒ_２は一様乱数）という多項式によって表される。なお、この多項式は、（ｒ_１ａｂ－ｒ_２ｃ）－ｒ_１ｂＸ_５－ｒ_１ａＸ_１６＋ｒ_２Ｘ_５７＋ｒ_１Ｘ_５Ｘ_１６＝０に変換できる。ｘ^→・ｖ^→＝０の場合に限り、ｒ_１（Ｘ_５－ａ）（Ｘ_１６－ｂ）＋ｒ_２（Ｘ_５７－ｃ）＝０とするため、この多項式は、述語ベクトルｖ^→は、（（ｒ_１ａｂ－ｒ_２ｃ），０，．．．，０，－ｒ_１ｂ，０，．．．，０，－ｒ_１ａ，０，．．．，０，ｒ_２，０，．．．，０，ｒ_１，０，．．．，０）に変換される。この述語ベクトルｖ^→は、有効な次元（０以外の要素を有する次元）は５次元だけであるが、属性ベクトルｘ^→と同じ約１０^６次元である。

　このように、述語ベクトルｖ^→は、実際に有効な次元は５次元であるにも関わらず、約１０^６次元としなければならないのは、属性ベクトルｘ^→及び述語ベクトルｖ^→の次元が同じであるという制約があるためである。この制限を取り除ければ、述語ベクトルｖ^→を有効な次元（ここでは、５次元）だけで構成することが可能になる。
　ここでは、述語ベクトルｖ^→を有効な次元だけで構成することを説明したが、同様に、属性ベクトルｘ^→を有効な次元だけで構成することも可能である。

　＜第２．属性カテゴリの追加＞
　属性カテゴリとは、例えば、所属機関、所属部署、役職、年齢、性別等、各ユーザの属性の分類のことである。

　以下の実施の形態で説明する内積述語暗号方式は、ユーザの属性に基づくアクセスコントロールを実現する。例えば、情報を第三者から秘匿するための狭義の暗号処理であれば、ユーザの属性に基づき、暗号文を復号できるか否かを制御する。
　通常、アクセスコントロールに使用する属性カテゴリは、システム設計時に予め決定される。しかし、後にシステムの運用が変更され、アクセスコントロールに使用する属性カテゴリの追加が必要になる場合がある。
　例えば、Ａ会社内のみで使用することを想定して暗号システムを構築したとする。この場合、使用する属性カテゴリとしては、所属部署、役職、個人のＩＤ等が想定される。しかし、後に、Ａ会社だけでなく、Ａ会社の関連会社でも暗号システムを使用するように運用が変更されたとする。この場合、使用する属性カテゴリとして、新たに所属会社を追加する必要がある。

　アクセスコントロールに使用する属性カテゴリが、公開パラメータにより規定されている場合、後に属性カテゴリを追加するには、公開パラメータを再発行し、ユーザへ配布し直さなければならない。そのため、後に属性カテゴリを追加することは容易でなく、システム設計時に想定していなかった運用形態を柔軟に採用することができない。
　そのため、公開パラメータを再発行することなく、属性カテゴリを追加できることは重要である。

　公開パラメータを再発行することなく、属性カテゴリの追加を可能とするために、双対ペアリングベクトル空間における双対システム暗号に、インデックス付けの技法を適用する。

　双対ペアリングベクトル空間における双対システム暗号では、双対基底である基底Ｂと基底Ｂ^＊とがランダムに生成される。そして、基底Ｂの一部（基底Ｂ＾）が公開パラメータとされる。

　非特許文献３１に記載された内積述語暗号方式では、基底Ｂ＾_１，．．．，基底Ｂ＾_ｄが公開パラメータとして生成される。そして、ｔ＝１，．．．，ｄの各整数ｔについての基底Ｂ＾_ｔに、１つの属性カテゴリが割り当てられる。つまり、ｄ個の属性カテゴリを扱うことができる。
　ここで、基底Ｂ＾_１，．．．，基底Ｂ＾_ｄが公開パラメータであることから明らかなように、後に基底Ｂ＾を追加する場合、すなわちｄの値を増やす場合には、公開パラメータを再発行しなければならない。つまり、ｄの値は公開パラメータによって制限されている。

　以下に説明する内積述語暗号方式では、基底Ｂ＾が公開パラメータとして生成される。そして、ｔ＝１，．．．，ｄの各整数ｔについて、σ_ｔ（１，ｔ）とμ_ｉ（ｔ，－１）との２次元のインデックスベクトルが暗号文ｃと秘密鍵ｋ^＊とに設定され、各整数ｔに対して１つの属性カテゴリが割り当てられる。つまり、ｄ個の属性カテゴリを扱うことができる。
　ここで、公開パラメータには、基底Ｂ＾は含まれているものの、インデックスベクトルは含まれていない。そのため、後にインデックスベクトルを追加し、ｄの値を増やす場合、公開パラメータを再発行する必要はない。つまり、ｄの値は公開パラメータによって制限されていない。

　＜第３．双対ペアリングベクトル空間＞
　以下に説明する内積述語暗号方式は、双対ペアリングベクトル空間において実現される。

　まず、対称双線形ペアリング群について説明する。
　対称双線形ペアリング群（ｑ，Ｇ，Ｇ^Ｔ，ｇ，ｅ）は、素数ｑと、位数ｑの巡回加法群Ｇと、位数ｑの巡回乗法群Ｇ^Ｔと、ｇ≠０∈Ｇと、多項式時間で計算可能な非退化双線形ペアリング（Ｎｏｎｄｅｇｅｎｅｒａｔｅ　Ｂｉｌｉｎｅａｒ　Ｐａｉｒｉｎｇ）ｅ：Ｇ×Ｇ→Ｇ_Ｔとの組である。非退化双線形ペアリングは、ｅ（ｓｇ，ｔｇ）＝ｅ（ｇ，ｇ）^ｓｔであり、ｅ（ｇ，ｇ）≠１である。
　以下の説明において、Ｇ_ｂｐｇを、１^λを入力として、セキュリティパラメータをλとする双線形ペアリング群のパラメータｐａｒａｍ_Ｇ：＝（ｑ，Ｇ，Ｇ_Ｔ，ｇ，ｅ）の値を出力するアルゴリズムとする。

　次に、双対ペアリングベクトル空間について説明する。
　双対ペアリングベクトル空間（ｑ，Ｖ，Ｇ_Ｔ，Ａ，ｅ）は、対称双線形ペアリング群（ｐａｒａｍ_Ｇ：＝（ｑ，Ｇ，Ｇ_Ｔ，ｇ，ｅ））の直積によって構成することができる。双対ペアリングベクトル空間（ｑ，Ｖ，Ｇ_Ｔ，Ａ，ｅ）は、素数ｑ、数１１２に示すＦ_ｑ上のＮ次元ベクトル空間Ｖ、位数ｑの巡回群Ｇ_Ｔ、空間Ｖの標準基底Ａ：＝（ａ_１，．．．，ａ_Ｎ）の組であり、以下の演算（１）（２）を有する。ここで、ａ_ｉは、数１１３に示す通りである。

　演算（１）：非退化双線形ペアリング
　空間Ｖにおけるペアリングは、数１１４によって定義される。

　これは、非退化双線形である。つまり、ｅ（ｓｘ，ｔｙ）＝ｅ（ｘ，ｙ）^ｓｔであり、全てのｙ∈Ｖに対して、ｅ（ｘ，ｙ）＝１の場合、ｘ＝０である。また、全てのｉとｊとに対して、ｅ（ａ_ｉ，ａ_ｊ）＝ｅ（ｇ，ｇ）^δｉ，ｊである。ここで、ｉ＝ｊであれば、δ_ｉ，ｊ＝１であり、ｉ≠ｊであれば、δ_ｉ，ｊ＝０である。また、ｅ（ｇ，ｇ）≠１∈Ｇ_Ｔである。

　演算（２）：ディストーション写像
　数１１５に示す空間Ｖにおける線形変換φ_ｉ，ｊは、数１１６を行うことができる。

　ここで、線形変換φ_ｉ，ｊをディストーション写像と呼ぶ。

　以下の説明において、Ｇ_ｄｐｖｓを、１^λ（λ∈自然数）、Ｎ∈自然数、双線形ペアリング群のパラメータｐａｒａｍ_Ｇ：＝（ｑ，Ｇ，Ｇ_Ｔ，ｇ，ｅ）の値を入力として、セキュリティパラメータがλであり、Ｎ次元の空間Ｖとする双対ペアリングベクトル空間のパラメータｐａｒａｍ_Ｖ：＝（ｑ，Ｖ，Ｇ_Ｔ，Ａ，ｅ）の値を出力するアルゴリズムとする。

　なお、ここでは、上述した対称双線形ペアリング群により、双対ペアリングベクトル空間を構成した場合について説明する。なお、非対称双線形ペアリング群により双対ペアリングベクトル空間を構成することも可能である。以下の説明を、非対称双線形ペアリング群により双対ペアリングベクトル空間を構成した場合に応用することは容易である。

　＜第４．内積述語暗号方式＞
　内積述語暗号方式は、Ｓｅｔｕｐ、ＫｅｙＧｅｎ、Ｅｎｃ、Ｄｅｃの４つの確率的多項式時間アルゴリズムを備える。
　（Ｓｅｔｕｐ）
　Ｓｅｔｕｐアルゴリズムでは、セキュリティパラメータ１^λが入力され、マスター公開鍵ｐｋとマスター秘密鍵ｓｋとが出力される。
　（ＫｅｙＧｅｎ）
　ＫｅｙＧｅｎアルゴリズムでは、マスター公開鍵ｐｋとマスター秘密鍵ｓｋと述語ベクトルｖ^→とが入力され、秘密鍵ｓｋ_ｖが出力される。
　（Ｅｎｃ）
　Ｅｎｃアルゴリズムでは、マスター公開鍵ｐｋと属性ベクトルｘ^→とメッセージｍとが入力され、暗号文ｃｔ_ｘが出力される。
　（Ｄｅｃ）
　Ｄｅｃアルゴリズムでは、マスター公開鍵ｐｋと秘密鍵ｓｋ_ｖと暗号文ｃｔ_ｘとが入力され、メッセージｍ又は識別情報⊥が出力される。識別情報⊥とは、復号に失敗したことを示す情報である。

　内積述語暗号方式のアルゴリズムを実行する暗号処理システム１０について説明する。
　図１は、実施の形態１に係る暗号処理システム１０の構成図である。
　暗号処理システム１０は、鍵生成装置１００、暗号化装置２００（送信装置）、復号装置３００（受信装置）を備える。
　鍵生成装置１００は、セキュリティパラメータλを入力としてＳｅｔｕｐアルゴリズムを実行して、マスター公開鍵ｐｋとマスター秘密鍵ｓｋとを生成する。そして、鍵生成装置１００は、生成したマスター公開鍵ｐｋを公開する。また、鍵生成装置１００は、マスター公開鍵ｐｋとマスター秘密鍵ｓｋと述語ベクトルｖ^→とを入力としてＫｅｙＧｅｎアルゴリズムを実行して、秘密鍵ｓｋ_ｖを生成して復号装置３００へ秘密裡に配布する。
　暗号化装置２００は、マスター公開鍵ｐｋと属性ベクトルｘ^→とメッセージｍとを入力としてＥｎｃアルゴリズムを実行して、暗号文ｃｔ_ｘを生成する。暗号化装置２００は、生成した暗号文ｃｔ_ｘを復号装置３００へ送信する。
　復号装置３００は、マスター公開鍵ｐｋと秘密鍵ｓｋ_ｖと暗号文ｃｔ_ｘとを入力としてＤｅｃアルゴリズムを実行して、メッセージｍ又は識別情報⊥を出力する。

　図２は、実施の形態１に係る鍵生成装置１００の機能を示す機能ブロック図である。図３は、実施の形態１に係る暗号化装置２００の機能を示す機能ブロック図である。図４は、実施の形態１に係る復号装置３００の機能を示す機能ブロック図である。
　図５と図６とは、実施の形態１に係る鍵生成装置１００の動作を示すフローチャートである。なお、図５は実施の形態１に係るＳｅｔｕｐアルゴリズムの処理を示すフローチャートであり、図６は実施の形態１に係るＫｅｙＧｅｎアルゴリズムの処理を示すフローチャートである。図７は、実施の形態１に係る暗号化装置２００の動作を示すフローチャートであり、実施の形態１に係るＥｎｃアルゴリズムの処理を示すフローチャートである。図８は、実施の形態１に係る復号装置３００の動作を示すフローチャートであり、実施の形態１に係るＤｅｃアルゴリズムの処理を示すフローチャートである。

　鍵生成装置１００の機能と動作とについて説明する。
　図２に示すように、鍵生成装置１００は、マスター鍵生成部１１０、マスター鍵記憶部１２０、情報入力部１３０、復号鍵生成部１４０、鍵配布部１５０を備える。

　まず、図５に基づき、Ｓｅｔｕｐアルゴリズムの処理について説明する。
　（Ｓ１０１：正規直交基底生成ステップ）
　マスター鍵生成部１１０は、処理装置により、数１１７を計算して、パラメータｐａｒａｍと、基底Ｂ_０及び基底Ｂ^＊ _０と、基底Ｂ_１（基底Ｂ）及び基底Ｂ^＊ _１（基底Ｂ^＊）とを生成する。

　つまり、マスター鍵生成部１１０は以下の処理を実行する。
　（１）マスター鍵生成部１１０は、入力装置により、セキュリティパラメータλ（１^λ）を入力する。
　（２）マスター鍵生成部１１０は、処理装置により、（１）で入力したセキュリティパラメータλ（１^λ）を入力としてアルゴリズムＧ_ｂｐｇを実行して、双線形ペアリング群のパラメータｐａｒａｍ_Ｇ：＝（ｑ，Ｇ，Ｇ_Ｔ，ｇ，ｅ）の値を生成する。
　（３）マスター鍵生成部１１０は、処理装置により、乱数ψを生成するとともに、Ｎ_０に１＋ｕ_０＋１＋ｗ_０＋ｚ_０を、Ｎ_１に４＋ｕ＋ｗ＋ｚを設定する。なお、ｕ_０，ｗ_０，ｚ_０，ｕ，ｗ，ｚはそれぞれ０以上の整数である。

　続いて、マスター鍵生成部１１０は、ｔ＝０，１の各ｔについて以下の（４）から（８）までの処理を実行する。
　（４）マスター鍵生成部１１０は、処理装置により、（１）で入力したセキュリティパラメータλ（１^λ）と、（３）で設定したＮ_ｔと、（２）で生成したｐａｒａｍ_Ｇ：＝（ｑ，Ｇ，Ｇ_Ｔ，ｇ，ｅ）の値とを入力としてアルゴリズムＧ_ｄｐｖｓを実行して、双対ペアリングベクトル空間のパラメータｐａｒａｍ_Ｖｔ：＝（ｑ，Ｖ_ｔ，Ｇ_Ｔ，Ａ_ｔ，ｅ）の値を生成する。
　（５）マスター鍵生成部１１０は、処理装置により、（３）で設定したＮ_ｔと、Ｆ_ｑとを入力として、線形変換Ｘ_ｔ：＝（χ_{ｔ，ｉ，ｊ}）_ｉ，ｊをランダムに生成する。なお、ＧＬは、Ｇｅｎｅｒａｌ　Ｌｉｎｅａｒの略である。つまり、ＧＬは、一般線形群であり、行列式が０でない正方行列の集合であり、乗法に関し群である。また、（χ_{ｔ，ｉ，ｊ}）_ｉ，ｊは、行列χ_{ｔ，ｉ，ｊ}の添え字ｉ，ｊに関する行列という意味であり、ここでは、ｉ，ｊ＝１，．．．，Ｎ_ｔである。
　（６）マスター鍵生成部１１０は、処理装置により、乱数ψと線形変換Ｘ_ｔとに基づき、（ν_{ｔ，ｉ，ｊ}）_ｉ，ｊ：＝ψ・（Ｘ_ｔ ^Ｔ）^－１を生成する。なお、（ν_{ｔ，ｉ，ｊ}）_ｉ，ｊも（χ_{ｔ，ｉ，ｊ}）_ｉ，ｊと同様に、行列ν_{ｔ，ｉ，ｊ}の添え字ｉ，ｊに関する行列という意味であり、ここでは、ｉ，ｊ＝１，．．．，Ｎ_ｔである。
　（７）マスター鍵生成部１１０は、処理装置により、（５）で生成した線形変換Ｘ_ｔに基づき、（４）で生成した標準基底Ａ_ｔから基底Ｂ_ｔを生成する。なお、ｘ^→ _ｔ，ｉとは、線形変換Ｘ_ｔのｉ行目を示す。
　（８）マスター鍵生成部１１０は、処理装置により、（６）で生成した（ν_{ｔ，ｉ，ｊ}）_ｉ，ｊに基づき、（４）で生成した標準基底Ａ_ｔから基底Ｂ^＊ _ｔを生成する。なお、ｖ^→ _ｔ，ｉとは、線形変換Ｘ^＊ _ｔのｉ行目を示す。
　（９）マスター鍵生成部１１０は、処理装置により、ｇ_Ｔにｅ（ｇ，ｇ）^ψを設定する。また、マスター鍵生成部１１０は、ｐａｒａｍに（４）で生成した｛ｐａｒａｍ_Ｖｔ｝_{ｔ＝０，１}と、ｇ_Ｔとを設定する。

　すなわち、Ｓ１０１で、マスター鍵生成部１１０は、数１１８に示すアルゴリズムＧ_ｏｂを実行して、ｐａｒａｍと、基底Ｂ_０及び基底Ｂ^＊ _０と、基底Ｂ_１（基底Ｂ）及び基底Ｂ^＊ _１（基底Ｂ^＊）とを生成する。

　なお、以下の説明では、簡単のため、基底Ｂ_１及び基底Ｂ^＊ _１を基底Ｂ及び基底Ｂ^＊とする。

　（Ｓ１０２：公開パラメータ生成ステップ）
　マスター鍵生成部１１０は、処理装置により、Ｓ１０１で生成した基底Ｂ_０の部分基底Ｂ＾_０と、基底Ｂの部分基底Ｂ＾とを数１１９に示すように生成する。

　マスター鍵生成部１１０は、生成した部分基底Ｂ＾_０及び部分基底Ｂ＾と、Ｓ１０１で入力されたセキュリティパラメータλ（１^λ）と、Ｓ１０１で生成したｐａｒａｍとを合わせて、公開パラメータｐｋとする。

　（Ｓ１０３：マスター鍵生成ステップ）
　マスター鍵生成部１１０は、処理装置により、Ｓ１０１で生成した基底Ｂ^＊ _０の部分基底Ｂ＾^＊ _０と、基底Ｂ^＊の部分基底Ｂ＾^＊とを数１２０に示すように生成する。

　マスター鍵生成部１１０は、生成した部分基底Ｂ＾^＊ _０と部分基底Ｂ＾^＊とをマスター鍵ｓｋとする。

　（Ｓ１０４：マスター鍵記憶ステップ）
　マスター鍵記憶部１２０は、Ｓ１０２で生成した公開パラメータｐｋを記憶装置に記憶する。また、マスター鍵記憶部１２０は、Ｓ１０３で生成したマスター鍵ｓｋを記憶装置に記憶する。

　つまり、Ｓ１０１からＳ１０３において、鍵生成装置１００は、数１２１に示すＳｅｔｕｐアルゴリズムを実行して、公開パラメータｐｋとマスター鍵ｓｋとを生成する。そして、Ｓ１０４で、鍵生成装置１００は、生成した公開パラメータｐｋとマスター鍵ｓｋとを記憶装置に記憶する。
　なお、公開パラメータは、例えば、ネットワークを介して公開され、暗号化装置２００や復号装置３００が取得可能な状態にされる。

　図６に基づき、ＫｅｙＧｅｎアルゴリズムの処理について説明する。
　（Ｓ２０１：情報入力ステップ）
　情報入力部１３０は、入力装置により、述語ベクトルｖ^→：＝｛（ｔ，ｖ_ｔ）｜ｔ∈Ｉ_ｖ→｝を入力する。つまり、述語ベクトルｖ^→は、集合Ｉ_ｖ→に含まれるインデックスｔについて、インデックスｔと述語情報ｖ_ｔとを要素として有するベクトルである。述語情報ｖ_ｔとしては、例えば、復号鍵ｓｋ_ｖの使用者の属性情報が設定されている。

　（Ｓ２０２：秘密情報生成ステップ）
　復号鍵生成部１４０は、処理装置により、秘密情報ｓ_ｔ，ｓ_０を数１２２に示すように生成する。

　（Ｓ２０３：乱数生成ステップ）
　復号鍵生成部１４０は、処理装置により、乱数を数１２３に示すように生成する。

　（Ｓ２０４：鍵要素生成ステップ）
　復号鍵生成部１４０は、処理装置により、復号鍵ｓｋ_ｖの要素ｋ^＊ _０を数１２４に示すように生成する。

　なお、上述したように、数１１０に示す基底Ｂと基底Ｂ^＊とに対して、数１１１である。したがって、数１２４は、基底Ｂ^＊ _０の基底ベクトルｂ^＊ _０，１の係数として－ｓ_０を設定し、基底ベクトルｂ^＊ _{０，１＋１}，．．．，ｂ^＊ _{０，１＋ｕ０}の係数として０を設定し、基底ベクトルｂ^＊ _{０，１＋ｕ０＋１}の係数として１を設定し、基底ベクトルｂ^＊ _{０，１＋ｕ０＋１＋１}，．．．，ｂ^＊ _{０，１＋ｕ０＋１＋ｗ０}の係数としてη_０，１，．．．，η_０，ｗ０を設定し、基底ベクトルｂ^＊ _{０，１＋ｕ０＋１＋ｗ０＋１}，．．．，ｂ^＊ _{０，１＋ｕ０＋１＋ｗ０＋ｚ０}の係数として０を設定することを意味する。ここで、ｕ０，ｗ０，ｚ０はそれぞれｕ_０，ｗ_０，ｚ_０のことである。
　また、復号鍵生成部１４０は、処理装置により、集合Ｉ_ｖ→に含まれるインデックスｔについて、復号鍵ｓｋ_ｖの要素ｋ^＊ _ｔを数１２５に示すように生成する。

　つまり、数１２５は、数１２４と同様に、基底Ｂ^＊の基底ベクトルｂ^＊ _１の係数としてμ_ｔｔを設定し、基底ベクトルｂ^＊ _２の係数として－μ_ｔを設定し、基底ベクトルｂ^＊ _３の係数としてδｖ_ｔを設定し、基底ベクトルｂ^＊ _４の係数としてｓ_ｔを設定し、基底ベクトルｂ^＊ _４＋１，．．．，ｂ^＊ _４＋ｕの係数として０を設定し、基底ベクトルｂ^＊ _{４＋ｕ＋１}，．．．，ｂ^＊ _{４＋ｕ＋ｗ}の係数としてη_ｔ，１，．．．，η_ｔ，ｗを設定し、基底ベクトルｂ^＊ _{４＋ｕ＋ｗ＋１}，．．．，ｂ^＊ _{４＋ｕ＋ｗ＋ｚ}の係数として０を設定することを意味する。

　（Ｓ２０５：鍵配布ステップ）
　鍵配布部１５０は、Ｓ２０４で生成されたｋ^＊ _０，ｋ^＊ _ｔとを要素とする復号鍵ｓｋ_ｖを、例えば通信装置によりネットワークを介して秘密裡に復号装置３００へ配布する。もちろん、復号鍵ｓｋ_ｖは、他の方法により復号装置３００へ配布されてもよい。

　つまり、Ｓ２０１からＳ２０４において、鍵生成装置１００は、数１２６に示すＫｅｙＧｅｎアルゴリズムを実行して、復号鍵ｓｋ_ｖを生成する。そして、Ｓ２０５で、鍵生成装置１００は、生成した復号鍵ｓｋ_ｖを復号装置３００へ配布する。

　暗号化装置２００の機能と動作とについて説明する。
　暗号化装置２００は、公開パラメータ取得部２１０、情報入力部２２０、暗号文生成部２３０、データ送信部２４０を備える。

　図７に基づき、Ｅｎｃアルゴリズムの処理について説明する。
　（Ｓ３０１：公開パラメータ取得ステップ）
　公開パラメータ取得部２１０は、例えば、通信装置によりネットワークを介して、鍵生成装置１００が生成した公開パラメータｐｋを取得する。

　（Ｓ３０２：情報入力ステップ）
　情報入力部２２０は、入力装置により、復号装置３００へ送信するメッセージｍを入力する。また、情報入力部２２０は、入力装置により、属性ベクトルｘ^→：＝｛（ｔ，ｘ_ｔ）｜ｔ∈Ｉ_ｘ→｝を入力する。つまり、属性ベクトルｘ^→は、集合Ｉ_ｘ→に含まれるインデックスｔについて、インデックスｔと属性情報ｘ_ｔとを要素として有するベクトルである。属性ベクトルｘ^→は、例えば、復号可能なユーザの属性情報が設定されている。

　（Ｓ３０３：乱数生成ステップ）
　暗号文生成部２３０は、処理装置により、乱数を数１２７に示すように生成する。

　（Ｓ３０４：暗号要素生成ステップ）
　暗号文生成部２３０は、処理装置により、暗号文ｃｔ_ｘの要素ｃ_０を数１２８に示すように生成する。

　また、暗号文生成部２３０は、処理装置により、集合Ｉ_ｘ→に含まれるインデックスｔについて、暗号文ｃｔ_ｘの要素ｃ_ｔを数１２９に示すように生成する。

　また、暗号要素生成部２３２は、処理装置により、暗号文ｃｔ_ｘの要素ｃ_Ｔを数１３０に示すように生成する。

　（Ｓ３０５：データ送信ステップ）
　データ送信部２４０は、Ｓ３０４で生成されたｃ_０，ｃ_ｔ，ｃ_Ｔを要素とする暗号文ｃｔ_ｘを、例えば通信装置によりネットワークを介して復号装置３００へ送信する。もちろん、暗号文ｃｔ_ｘは、他の方法により復号装置３００へ送信されてもよい。

　つまり、Ｓ３０１からＳ３０４において、暗号化装置２００は、数１３１に示すＥｎｃアルゴリズムを実行して、暗号文ｃｔ_ｘを生成する。そして、Ｓ３０５で、暗号化装置２００は生成した暗号文ｃｔ_ｘを復号装置３００へ送信する。

　復号装置３００の機能と動作とについて説明する。
　復号装置３００は、復号鍵取得部３１０、復号鍵記憶部３２０、暗号文取得部３３０、ペアリング演算部３４０、メッセージ計算部３５０を備える。ペアリング演算部３４０とメッセージ計算部３５０とを合わせて復号部と呼ぶ。

　図８に基づき、Ｄｅｃアルゴリズムの処理について説明する。
　（Ｓ４０１：復号鍵取得ステップ）
　復号鍵取得部３１０は、例えば、通信装置によりネットワークを介して、鍵生成装置１００から配布された復号鍵ｓｋ_ｖを取得する。また、復号鍵取得部３１０は、鍵生成装置１００が生成した公開パラメータｐｋを取得する。
　復号鍵取得部３１０は、取得した復号鍵ｓｋ_ｖと公開パラメータｐｋとを復号鍵記憶部３２０に記憶する。

　（Ｓ４０２：暗号文取得ステップ）
　暗号文取得部３３０は、例えば、通信装置によりネットワークを介して、暗号化装置２００が送信した暗号文ｃｔ_ｘを受信する。

　（Ｓ４０３：ペアリング演算ステップ）
　ペアリング演算部３４０は、処理装置により、数１３２を計算して、セッション鍵Ｋ＝ｇ_Ｔ ^ζを生成する。

　なお、もし、数１３３であるなら、数１３４に示すように、数１３２を計算することにより鍵Ｋ＝ｇ_Ｔ ^ζが得られる。

　つまり、集合Ｉ_ｖ→が集合Ｉ_ｘ→の部分集合であり、かつ、集合Ｉ_ｖ→に含まれるインデックスｔについて、ｖ_ｔｘ_ｔの合計が０となるなら、数１３２を計算することにより鍵Ｋ＝ｇ_Ｔ ^ζが得られる。

　（Ｓ４０４：メッセージ計算ステップ）
　メッセージ計算部３５０は、処理装置により、ｍ’＝ｃ_Ｔ／Ｋを計算して、メッセージｍ’（＝ｍ）を生成する。なお、ｃ_Ｔは数１３０に示す通りｇ_Ｔ ^ζｍであり、Ｋはｇ_Ｔ ^ζであるから、ｍ’＝ｃ_Ｔ／Ｋを計算すればメッセージｍが得られる。

　つまり、Ｓ４０１からＳ４０４において、復号装置３００は、数１３５に示すＤｅｃアルゴリズムを実行して、メッセージｍ’（＝ｍ）を生成する。

　以上のように、実施の形態１に係る内積述語暗号方式では、属性ベクトルｘ^→及び述語ベクトルｖ^→の次元が同じでなくても、集合Ｉ_ｖ→が集合Ｉ_ｘ→の部分集合であり、かつ、集合Ｉ_ｖ→に含まれるインデックスｔについて、ｖ_ｔｘ_ｔの合計が０となるなら、暗号文ｃｔ_ｘを復号鍵ｓｋ_ｖで復号することができる。

　また、実施の形態１に係る内積述語暗号方式では、復号鍵ｓｋ_ｖの要素ｋ^＊ _ｔについて、基底ベクトルｂ^＊ _１，ｂ^＊ _２（基底ベクトルｂ^＊ _{ｉｎｄｅｘ}）の係数として、μ_ｔｔと－μ_ｔとをそれぞれ設定した。また、暗号システム１０は、暗号文ｃｔ_ｘの要素ｃ_ｔについて、基底ベクトルｂ_１，ｂ_２（基底ベクトルｂ_{ｉｎｄｅｘ}）の係数として、σ_ｔとσ_ｔｔとをそれぞれ設定した。
　そのため、対応するインデックスｔについての要素ｋ^＊ _ｔと要素ｃ_ｔとのペアリング演算を行うと、基底ベクトルｂ^＊ _１，ｂ^＊ _２と基底ベクトルｂ_１，ｂ_２との部分については、内積が０となり、キャンセルされる。つまり、対応するインデックスｔについての要素ｋ^＊ _ｔと要素ｃ_ｔとのペアリング演算を行うと、基底ベクトルの係数として設定したインデックス部（基底ベクトルｂ^＊ _１，ｂ^＊ _２と基底ベクトルｂ_１，ｂ_２との部分）はキャンセルされ、残りの部分についてのペアリング演算の結果が得られる。

　実施の形態１に係る内積述語暗号方式では、インデックス部を設けることにより、各属性カテゴリで使用する基底を共通の基底（基底Ｂ及び基底Ｂ^＊）とすることができる。その結果、公開パラメータには、基底Ｂ及び基底Ｂ^＊だけを含めておけばよく、後に属性カテゴリを追加する場合に、公開パラメータを再発行する必要がない。

　なお、インデックス部については、内積した結果が０となればよい。そのため、上記説明では、基底ベクトルｂ^＊ _１，ｂ^＊ _２と基底ベクトルｂ_１，ｂ_２との２次元をインデックス部としが、これに限らず、３次元以上をインデックス部としてもよい。また、インデックス部への値の割り当ても上記説明のものに限らず、他の割り当てであってもよい。

　また、上記説明では、インデックス部を設けることにより、各属性カテゴリで使用する基底を共通の基底（基底Ｂ及び基底Ｂ^＊）とした。しかし、後に属性カテゴリを追加する場合に、公開パラメータを再発行してもよい場合、各属性カテゴリで使用する基底を別の基底にすれば、インデックス部を設ける必要はない。
　この場合、上述した内積述語暗号方式のＧ_ｏｂアルゴリズム、Ｓｅｔｕｐアルゴリズム、ＫｅｙＧｅｎアルゴリズム、Ｅｎｃアルゴリズムは、数１３６から数１３９のようになる。なお、Ｄｅｃアルゴリズムは数１３５の通りであり、変更はない。

　つまり、インデックスｔ毎に異なる基底Ｂ_ｔ及び基底Ｂ^＊ _ｔを用いる。

　また、上記説明では、ｕ_０，ｗ_０，ｚ_０，ｕ，ｗ，ｚはそれぞれ０以上の整数であるとした。例えば、ｕ_０＝１，ｗ_０＝１，ｚ_０＝１，ｕ＝９，ｗ＝２，ｚ＝２としてもよい。

　実施の形態２．
　実施の形態１では、集合Ｉ_ｖ→が集合Ｉ_ｘ→の部分集合であり、かつ、集合Ｉ_ｖ→に含まれるインデックスｔについて、ｖ_ｔｘ_ｔの合計が０となるなら、暗号文ｃｔ_ｘを復号鍵ｓｋ_ｖで復号することができる内積述語暗号方式（Ｔｙｐｅ１）について説明した。
　実施の形態２では、集合Ｉ_ｘ→が集合Ｉ_ｖ→の部分集合であり、かつ、集合Ｉ_ｘ→に含まれるインデックスｔについて、ｖ_ｔｘ_ｔの合計が０となるなら、暗号文ｃｔ_ｘを復号鍵ｓｋ_ｖで復号することができる内積述語暗号方式（Ｔｙｐｅ２）について説明する。
　実施の形態２では、実施の形態１と異なる部分を中心に説明する。

　実施の形態２に係る暗号処理システム１０の構成は、図１に示す実施の形態１に係る暗号処理システム１０の構成と同じである。また、実施の形態２に係る鍵生成装置１００、暗号化装置２００、復号装置３００の構成は、図２から図４に示す実施の形態１に係る鍵生成装置１００、暗号化装置２００、復号装置３００の構成と同じである。
　図９は、実施の形態２に係るＫｅｙＧｅｎアルゴリズムの処理を示すフローチャートである。図１０は、実施の形態２に係るＥｎｃアルゴリズムの処理を示すフローチャートである。図１１は、実施の形態２に係るＤｅｃアルゴリズムの処理を示すフローチャートである。
　実施の形態２に係るＳｅｔｕｐアルゴリズムは、実施の形態１に係るＳｅｔｕｐアルゴリズムと同じである。

　図９に基づき、ＫｅｙＧｅｎアルゴリズムについて説明する。
　Ｓ５０１の処理は、図６に示すＳ２０１の処理と同じである。

　（Ｓ５０２：乱数生成ステップ）
　復号鍵生成部１４０は、処理装置により、乱数を数１４０に示すように生成する。

　（Ｓ５０３：鍵要素生成ステップ）
　復号鍵生成部１４０は、処理装置により、復号鍵ｓｋ_ｖの要素ｋ^＊ _０を数１４１に示すように生成する。

　また、復号鍵生成部１４０は、処理装置により、集合Ｉ_ｖ→に含まれるインデックスｔについて、復号鍵ｓｋ_ｖの要素ｋ^＊ _ｔを数１４２に示すように生成する。

　（Ｓ５０４：鍵配布ステップ）
　鍵配布部１５０は、Ｓ５０３で生成されたｋ^＊ _０，ｋ^＊ _ｔとを要素とする復号鍵ｓｋ_ｖを、例えば通信装置によりネットワークを介して秘密裡に復号装置３００へ配布する。もちろん、復号鍵ｓｋ_ｖは、他の方法により復号装置３００へ配布されてもよい。

　つまり、Ｓ５０１からＳ５０３において、鍵生成装置１００は、数１４３に示すＫｅｙＧｅｎアルゴリズムを実行して、復号鍵ｓｋ_ｖを生成する。そして、Ｓ５０４で、鍵生成装置１００は、生成した復号鍵ｓｋ_ｖを復号装置３００へ配布する。

　図１０に基づき、Ｅｎｃアルゴリズムの処理について説明する。
　Ｓ６０１からＳ６０２の処理は、図７に示すＳ３０１からＳ３０２の処理と同じである。

　（Ｓ６０３：秘密情報生成ステップ）
　暗号文生成部２３０は、処理装置により、秘密情報ｆ_ｔ，ｆ_０を数１４４に示すように生成する。

　（Ｓ６０４：乱数生成ステップ）
　暗号文生成部２３０は、処理装置により、乱数を数１４５に示すように生成する。

　（Ｓ６０５：暗号要素生成ステップ）
　暗号文生成部２３０は、処理装置により、暗号文ｃｔ_ｘの要素ｃ_０を数１４６に示すように生成する。

　また、暗号文生成部２３０は、処理装置により、集合Ｉ_ｘ→に含まれるインデックスｔについて、暗号文ｃｔ_ｘの要素ｃ_ｔを数１４７に示すように生成する。

　また、暗号要素生成部２３２は、処理装置により、暗号文ｃｔ_ｘの要素ｃ_Ｔを数１４８に示すように生成する。

　（Ｓ６０６：データ送信ステップ）
　データ送信部２４０は、Ｓ６０５で生成されたｃ_０，ｃ_ｔ，ｃ_Ｔを要素とする暗号文ｃｔ_ｘを、例えば通信装置によりネットワークを介して復号装置３００へ送信する。もちろん、暗号文ｃｔ_ｘは、他の方法により復号装置３００へ送信されてもよい。

　つまり、Ｓ６０１からＳ６０５において、暗号化装置２００は、数１４９に示すＥｎｃアルゴリズムを実行して、暗号文ｃｔ_ｘを生成する。そして、Ｓ６０６で、暗号化装置２００は生成した暗号文ｃｔ_ｘを復号装置３００へ送信する。

　図１１に基づき、Ｄｅｃアルゴリズムの処理について説明する。
　Ｓ７０１からＳ７０２の処理は、図８に示すＳ４０１からＳ４０２の処理と同じである。また、Ｓ７０４の処理は、図８に示すＳ４０４の処理と同じである。

　（Ｓ７０３：ペアリング演算ステップ）
　ペアリング演算部３４０は、処理装置により、数１５０を計算して、セッション鍵Ｋ＝ｇ_Ｔ ^ζを生成する。

　なお、もし、数１５１であるなら、数１５２に示すように、数１５０を計算することにより鍵Ｋ＝ｇ_Ｔ ^ζが得られる。

　つまり、集合Ｉ_ｘ→が集合Ｉ_ｖ→の部分集合であり、かつ、集合Ｉ_ｘ→に含まれるインデックスｔについて、ｖ_ｔｘ_ｔの合計が０となるなら、数１５０を計算することにより鍵Ｋ＝ｇ_Ｔ ^ζが得られる。

　つまり、Ｓ７０１からＳ７０４において、復号装置３００は、数１５３に示すＤｅｃアルゴリズムを実行して、メッセージｍ’（＝ｍ）を生成する。

　以上のように、実施の形態２に係る内積述語暗号方式では、属性ベクトルｘ^→及び述語ベクトルｖ^→の次元が同じでなくても、集合Ｉ_ｘ→が集合Ｉ_ｖ→の部分集合であり、かつ、集合Ｉ_ｘ→に含まれるインデックスｔについて、ｖ_ｔｘ_ｔの合計が０となるなら、暗号文ｃｔ_ｘを復号鍵ｓｋ_ｖで復号することができる。

　また、上記説明では、インデックス部を設けることにより、各属性カテゴリで使用する基底を共通の基底（基底Ｂ及び基底Ｂ^＊）とした。しかし、後に属性カテゴリを追加する場合に、公開パラメータを再発行してもよい場合、各属性カテゴリで使用する基底を別の基底にすれば、インデックス部を設ける必要はない。
　この場合、上述した内積述語暗号方式のＫｅｙＧｅｎアルゴリズム、Ｅｎｃアルゴリズムは、数１５４から数１５５のようになる。なお、Ｇ_ｏｂアルゴリズムは数１３６と同じであり、Ｓｅｔｕｐアルゴリズムは数１３７と同じであり、Ｄｅｃアルゴリズムは数１５３の通りであり、変更はない。

　実施の形態３．
　実施の形態１では、集合Ｉ_ｖ→が集合Ｉ_ｘ→の部分集合であり、かつ、集合Ｉ_ｖ→に含まれるインデックスｔについて、ｖ_ｔｘ_ｔの合計が０となるなら、暗号文ｃｔ_ｘを復号鍵ｓｋ_ｖで復号することができる内積述語暗号方式（Ｔｙｐｅ１）について説明した。
　実施の形態２では、集合Ｉ_ｘ→が集合Ｉ_ｖ→の部分集合であり、かつ、集合Ｉ_ｘ→に含まれるインデックスｔについて、ｖ_ｔｘ_ｔの合計が０となるなら、暗号文ｃｔ_ｘを復号鍵ｓｋ_ｖで復号することができる内積述語暗号方式（Ｔｙｐｅ２）について説明した。
　実施の形態３では、集合Ｉ_ｖ→が集合Ｉ_ｘ→と等しく、かつ、集合Ｉ_ｖ→（又は集合Ｉ_ｘ→）に含まれるインデックスｔについて、ｖ_ｔｘ_ｔの合計が０となるなら、暗号文ｃｔ_ｘを復号鍵ｓｋ_ｖで復号することができる内積述語暗号方式（Ｔｙｐｅ０）について説明する。
　なお、集合Ｉ_ｖ→が集合Ｉ_ｘ→と等しいとは、集合Ｉ_ｖ→が集合Ｉ_ｘ→の部分集合であり、かつ、集合Ｉ_ｘ→が集合Ｉ_ｖ→の部分集合であることを意味する。したがって、内積述語暗号方式（Ｔｙｐｅ０）は、実施の形態１で説明した内積述語暗号方式（Ｔｙｐｅ１）と、実施の形態２で説明した内積述語暗号方式（Ｔｙｐｅ２）とを組み合わせた方式ということができる。
　実施の形態３では、実施の形態１，２と異なる部分を中心に説明する。

　実施の形態３に係る暗号処理システム１０の構成は、図１に示す実施の形態１に係る暗号処理システム１０の構成と同じである。また、実施の形態３に係る鍵生成装置１００、暗号化装置２００、復号装置３００の構成は、図２から図４に示す実施の形態１に係る鍵生成装置１００、暗号化装置２００、復号装置３００の構成と同じである。
　図１２は、実施の形態３に係るＳｅｔｕｐアルゴリズムの処理を示すフローチャートである。図１３は、実施の形態３に係るＫｅｙＧｅｎアルゴリズムの処理を示すフローチャートである。図１４は、実施の形態３に係るＥｎｃアルゴリズムの処理を示すフローチャートである。図１５は、実施の形態３に係るＤｅｃアルゴリズムの処理を示すフローチャートである。

　図１２に基づき、Ｓｅｔｕｐアルゴリズムについて説明する。
　Ｓ８０１の処理は、図５に示すＳ１０１の処理と同じである。但し、Ｎ_０＝２＋ｕ_０＋１＋ｗ_０＋ｚ_０、Ｎ_１＝５＋ｕ＋ｗ＋ｚである点が異なる。

　つまり、Ｓ８０１で、マスター鍵生成部１１０は、数１５６に示すアルゴリズムＧ_ｏｂを実行して、ｐａｒａｍと、基底Ｂ_０及び基底Ｂ^＊ _０と、基底Ｂ_１（基底Ｂ）及び基底Ｂ^＊ _１（基底Ｂ^＊）とを生成する。

　（Ｓ８０２：公開パラメータ生成ステップ）
　マスター鍵生成部１１０は、処理装置により、Ｓ８０１で生成した基底Ｂ_０の部分基底Ｂ＾_０と、基底Ｂの部分基底Ｂ＾とを数１５７に示すように生成する。

　マスター鍵生成部１１０は、生成した部分基底Ｂ＾_０及び部分基底Ｂ＾と、Ｓ８０１で入力されたセキュリティパラメータλ（１^λ）と、Ｓ８０１で生成したｐａｒａｍとを合わせて、公開パラメータｐｋとする。

　（Ｓ８０３：マスター鍵生成ステップ）
　マスター鍵生成部１１０は、処理装置により、Ｓ８０１で生成した基底Ｂ^＊ _０の部分基底Ｂ＾^＊ _０と、基底Ｂ^＊の部分基底Ｂ＾^＊とを数１５８に示すように生成する。

　Ｓ８０４の処理は、図５に示すＳ１０４の処理と同じである。

　つまり、Ｓ８０１からＳ８０３において、鍵生成装置１００は、数１５９に示すＳｅｔｕｐアルゴリズムを実行して、公開パラメータｐｋとマスター鍵ｓｋとを生成する。そして、Ｓ８０４で、鍵生成装置１００は、生成した公開パラメータｐｋとマスター鍵ｓｋとを記憶装置に記憶する。
　なお、公開パラメータは、例えば、ネットワークを介して公開され、暗号化装置２００や復号装置３００が取得可能な状態にされる。

　図１３に基づき、ＫｅｙＧｅｎアルゴリズムについて説明する。
　（Ｓ９０１：情報入力ステップ）
　情報入力部１３０は、入力装置により、述語ベクトルｖ^→：＝（ｖ_１，．．．，ｖ_ｎ）を入力する。述語情報ｖ_ｔとしては、例えば、復号鍵ｓｋ_ｖの使用者の属性情報が設定されている。

　（Ｓ９０２：秘密情報生成ステップ）
　復号鍵生成部１４０は、処理装置により、秘密情報ｓ_ｔ，ｓ_０を数１６０に示すように生成する。

　（Ｓ９０３：乱数生成ステップ）
　復号鍵生成部１４０は、処理装置により、乱数を数１６１に示すように生成する。

　（Ｓ９０４：鍵要素生成ステップ）
　復号鍵生成部１４０は、処理装置により、復号鍵ｓｋ_ｖの要素ｋ^＊ _０を数１６２に示すように生成する。

　また、復号鍵生成部１４０は、処理装置により、ｔ＝１，．．．，ｎの各インデックスｔについて、復号鍵ｓｋ_ｖの要素ｋ^＊ _ｔを数１６３に示すように生成する。

　（Ｓ９０５：鍵配布ステップ）
　鍵配布部１５０は、Ｓ９０４で生成されたｋ^＊ _０，ｋ^＊ _ｔとを要素とする復号鍵ｓｋ_ｖを、例えば通信装置によりネットワークを介して秘密裡に復号装置３００へ配布する。もちろん、復号鍵ｓｋ_ｖは、他の方法により復号装置３００へ配布されてもよい。

　つまり、Ｓ９０１からＳ９０４において、鍵生成装置１００は、数１６４に示すＫｅｙＧｅｎアルゴリズムを実行して、復号鍵ｓｋ_ｖを生成する。そして、Ｓ９０５で、鍵生成装置１００は、生成した復号鍵ｓｋ_ｖを復号装置３００へ配布する。

　図１４に基づき、Ｅｎｃアルゴリズムの処理について説明する。
　Ｓ１００１の処理は、図７に示すＳ３０１の処理と同じである。

　（Ｓ１００２：情報入力ステップ）
　情報入力部２２０は、入力装置により、復号装置３００へ送信するメッセージｍを入力する。また、情報入力部２２０は、入力装置により、属性ベクトルｘ^→：＝（ｘ_１，．．．，ｘ_ｎ’）を入力する。属性ベクトルｘ^→は、例えば、復号可能なユーザの属性情報が設定されている。

　（Ｓ１００３：秘密情報生成ステップ）
　暗号文生成部２３０は、処理装置により、秘密情報ｆ_ｔ，ｆ_０を数１６５に示すように生成する。

　（Ｓ１００４：乱数生成ステップ）
　暗号文生成部２３０は、処理装置により、乱数を数１６６に示すように生成する。

　（Ｓ１００５：暗号要素生成ステップ）
　暗号文生成部２３０は、処理装置により、暗号文ｃｔ_ｘの要素ｃ_０を数１６７に示すように生成する。

　また、暗号文生成部２３０は、処理装置により、ｔ＝１，．．．，ｎ’の各インデックスｔについて、暗号文ｃｔ_ｘの要素ｃ_ｔを数１６８に示すように生成する。

　また、暗号要素生成部２３２は、処理装置により、暗号文ｃｔ_ｘの要素ｃ_Ｔを数１６９に示すように生成する。

　（Ｓ１００６：データ送信ステップ）
　データ送信部２４０は、Ｓ１００５で生成されたｃ_０，ｃ_ｔ，ｃ_Ｔを要素とする暗号文ｃｔ_ｘを、例えば通信装置によりネットワークを介して復号装置３００へ送信する。もちろん、暗号文ｃｔ_ｘは、他の方法により復号装置３００へ送信されてもよい。

　つまり、Ｓ１００１からＳ１００５において、暗号化装置２００は、数１７０に示すＥｎｃアルゴリズムを実行して、暗号文ｃｔ_ｘを生成する。そして、Ｓ１００６で、暗号化装置２００は生成した暗号文ｃｔ_ｘを復号装置３００へ送信する。

　図１５に基づき、Ｄｅｃアルゴリズムの処理について説明する。
　Ｓ１１０１からＳ１１０２の処理は、図８に示すＳ４０１からＳ４０２の処理と同じである。

　（Ｓ１１０３：ペアリング演算ステップ）
　ペアリング演算部３４０は、処理装置により、数１７１を計算して、セッション鍵Ｋ＝ｇ_Ｔ ^ζを生成する。

　なお、もし、数１７２であるなら、数１７３に示すように、数１７１を計算することにより鍵Ｋ＝ｇ_Ｔ ^ζが得られる。

　つまり、集合Ｉ_ｘ→が集合Ｉ_ｖ→と等しく、かつ、集合Ｉ_ｖ→（又は集合Ｉ_ｘ→）に含まれるインデックスｔについて、ｖ_ｔｘ_ｔの合計が０となるなら、数１７０を計算することにより鍵Ｋ＝ｇ_Ｔ ^ζが得られる。

　Ｓ１１０４の処理は、図８に示すＳ４０４の処理と同じである。

　つまり、Ｓ１１０１からＳ１１０４において、復号装置３００は、数１７４に示すＤｅｃアルゴリズムを実行して、メッセージｍ’（＝ｍ）を生成する。

　以上のように、実施の形態３に係る内積述語暗号方式では、集合Ｉ_ｘ→が集合Ｉ_ｖ→と等しく、かつ、集合Ｉ_ｖ→（集合Ｉ_ｘ→）に含まれるインデックスｔについて、ｖ_ｔｘ_ｔの合計が０となるなら、暗号文ｃｔ_ｘを復号鍵ｓｋ_ｖで復号することができる。

　また、上記説明では、インデックス部を設けることにより、各属性カテゴリで使用する基底を共通の基底（基底Ｂ及び基底Ｂ^＊）とした。しかし、後に属性カテゴリを追加する場合に、公開パラメータを再発行してもよい場合、各属性カテゴリで使用する基底を別の基底にすれば、インデックス部を設ける必要はない。
　この場合、上述した内積述語暗号方式のＧ_ｏｂアルゴリズム、Ｓｅｔｕｐアルゴリズム、ＫｅｙＧｅｎアルゴリズム、Ｅｎｃアルゴリズムは、数１７５から数１７８のようになる。なお、Ｄｅｃアルゴリズムは数１７４の通りであり、変更はない。

　また、上記説明では、ｕ_０，ｗ_０，ｚ_０，ｕ，ｗ，ｚはそれぞれ０以上の整数であるとした。例えば、ｕ_０＝２，ｗ_０＝２，ｚ_０＝２，ｕ＝１１，ｗ＝３，ｚ＝３としてもよい。

　実施の形態４．
　上記実施の形態で説明した内積述語暗号方式を下部構造として有する関数型暗号方式及び属性ベース署名方式について説明する。

　非特許文献３１には関数型暗号方式についての記載がある。
　非特許文献３１に記載された関数型暗号方式では、インデックスｔ毎に、属性ベクトルｘ^→と述語ベクトルｖ^→との内積を計算する。そして、与えられた全てのインデックスｔについて、属性ベクトルｘ^→と述語ベクトルｖ^→との内積が０で暗号文が復号鍵により復号できる。
　各インデックスｔにおける属性ベクトルｘ^→と述語ベクトルｖ^→との内積の計算に、上記実施の形態で説明した内積述語暗号方式を適用する。これにより、上記実施の形態で説明した内積述語暗号方式を下部構造として有する関数型暗号方式を構成する。
　非特許文献３１に記載された関数型暗号方式では、各インデックスｔにおいて、属性ベクトルｘ^→と述語ベクトルｖ^→と次元は同じでなければならなかった。しかし、上記実施の形態で説明した内積述語暗号方式を下部構造として有する関数型暗号方式とすることにより、各インデックスｔにおいて、属性ベクトルｘ^→と述語ベクトルｖ^→と次元が同じである必要はなくなる。

　以下の説明では、一例として、非特許文献３１に記載されたＫｅｙ－Ｐｏｌｉｃｙ関数型暗号方式（ＫＰ－ＦＥ方式）に、実施の形態１で説明した内積述語暗号方式を適用した場合を説明する。
　ここでは、ＫＰ－ＦＥ方式のうち、実施の形態１で説明した内積述語暗号方式を適用することによって変更が発生した箇所を中心に説明する。
　なお、非特許文献３１に記載された関数型暗号方式では、変数ρ（ｉ）を用いて、インデックスｔ毎に、属性ベクトルｘ^→と述語ベクトルｖ^→との内積が０になった場合に復号可能とするか、属性ベクトルｘ^→と述語ベクトルｖ^→との内積が０以外になった場合に復号可能とするかを使い分けている。しかし、ここでは、説明の簡単のため、与えられた全てのインデックスｔについて、属性ベクトルｘ^→と述語ベクトルｖ^→との内積が０になった場合に復号可能とする場合を説明する。
　また、実施の形態１では、インデックス部を設けることにより、各属性カテゴリで使用する基底を共通の基底（基底Ｂ及び基底Ｂ^＊）とした。しかし、ここでは、説明の簡単のため、インデックス部を設けず、各属性カテゴリで使用する基底を別の基底とする場合を説明する。
　また、非特許文献３１と、実施の形態１とでインデックスｔと、秘密情報ｓとの文字が重複している。そこで、ここでは、非特許文献３１におけるインデックスｔをインデックスτとし、非特許文献３１における秘密情報ｓを秘密情報σとする。

　ＫＰ－ＦＥ方式は、Ｓｅｔｕｐアルゴリズム、ＫｅｙＧｅｎアルゴリズム、Ｅｎｃアルゴリズム、Ｄｅｃアルゴリズムの４つのアルゴリズムを備える。

　Ｓｅｔｕｐアルゴリズムについて説明する。
　マスター鍵生成部１１０は、処理装置により、インデックスτ，ｔ毎に基底Ｂ_τ，ｔ及び基底Ｂ^＊ _τ，ｔを生成する。すなわち、マスター鍵生成部１１０は、インデックスｔ毎に基底Ｂ_ｔ及び基底Ｂ^＊ _ｔを生成するのではなく、インデックスτ，ｔ毎に基底Ｂ_τ，ｔ及び基底Ｂ^＊ _τ，ｔを生成する。
　つまり、Ｓｅｔｕｐアルゴリズムは、数１７９に示す通りである。なお、Ｓｅｔｕｐアルゴリズムで用いられるアルゴリズムＧ_ｏｂは、数１８０に示す通りである。

　ＫｅｙＧｅｎアルゴリズムについて説明する。
　復号鍵生成部１４０は、処理装置により、秘密情報σと、秘密情報ｓとを数１８１に示すように生成する。

　そして、復号鍵生成部１４０は、処理装置により、復号鍵ｓｋ_Ｓの要素ｋ^＊ _０を数１８２に示すように生成し、ｉ＝１，．．．，Ｌ（Ｌは１以上の整数）及び集合Ｉ_ｖｉ→に含まれるインデックスｔについて、復号鍵ｓｋ_Ｓの要素ｋ^＊ _ｉ，ｔを数１８３に示すように生成する。

　つまり、ＫｅｙＧｅｎアルゴリズムは、数１８４に示す通りである。

　Ｅｎｃアルゴリズムについて説明する。
　暗号文生成部２３０は、処理装置により、１つ以上のインデックスτ及び集合Ｉ_ｘｉ→に含まれるインデックスｔについて、暗号文ｃｔ_ｘの要素ｃ_τ，ｔを数１８５に示すように生成する。

　つまり、Ｅｎｃアルゴリズムは、数１８６に示す通りである。

　Ｄｅｃアルゴリズムについて説明する。
　ペアリング演算部３４０は、処理装置により、数１８７を計算して、セッション鍵Ｋ＝ｇ_Ｔ ^ζを生成して、メッセージｍ’＝ｃ_ｄ＋１／Ｋを計算する。

　つまり、Ｄｅｃアルゴリズムは、数１８８に示す通りである。

　以上のように、上記実施の形態で説明した内積述語暗号方式を下部構造として有する関数型暗号方式を実現することができる。

　上記説明では、後に属性カテゴリを追加する場合に、公開パラメータを再発行する必要がある関数型暗号方式を説明した。しかし、実施の形態１－３で説明したように、インデックス部を設けることにより、公開パラメータを再発行することなく、属性カテゴリを追加できるようにすることも可能である。
　なお、上述した関数型暗号方式では、基底Ｂ_τ，ｔ及び基底Ｂ^＊ _τ，ｔを用いた。そこで、インデックスτ及びインデックスｔのそれぞれについて、インデックス部を設ける必要がある。

　この場合、上述した内積述語暗号方式のＧ_ｏｂアルゴリズム、Ｓｅｔｕｐアルゴリズム、ＫｅｙＧｅｎアルゴリズム、Ｅｎｃアルゴリズムは、数１８９から数１９２のようになる。なお、Ｄｅｃアルゴリズムは数１８８の通りであり、変更はない。

　なお、上記説明では、一例として、非特許文献３１に記載されたＫＰ－ＦＥ方式に、実施の形態１で説明した内積述語暗号方式を適用した場合を説明した。
　しかし、同様の方法により、非特許文献３１に記載されたＣｉｐｈｅｒｔｅｘｔ－Ｐｏｌｉｃｙ関数型暗号方式（ＣＰ－ＦＥ方式）及びＵｎｉｆｉｅｄ－Ｐｏｌｉｃｙ関数型暗号方式（ＵＰ－ＦＥ方式）に、実施の形態１で説明した内積述語暗号方式を適用することもできる。また、非特許文献３１に記載された各関数型暗号方式に、実施の形態２，３で説明した内積述語暗号方式を適用することもできる。もちろん、非特許文献３１に記載された関数型暗号方式に限らず、他の関数型暗号方式に上記実施の形態で説明した内積述語暗号方式を適用することもできる。また、同様の方法により、非特許文献３２や他の文献に記載された属性ベース署名方式に、上記実施の形態で説明した内積述語暗号方式を適用することもできる。
　いずれの場合であっても、各インデックスｔにおける属性ベクトルｘ^→と述語ベクトルｖ^→との内積の計算に、上記実施の形態で説明した内積述語暗号方式を適用すればよい。

　実施の形態５．
　以上の実施の形態では、双対ベクトル空間において暗号プリミティブの処理を実現する方法について説明した。実施の形態５では、双対加群において暗号プリミティブの処理を実現する方法について説明する。

　つまり、以上の実施の形態では、素数位数ｑの巡回群において暗号プリミティブの処理を実現した。しかし、合成数Ｍを用いて数１９３のように環Ｒを表した場合、環Ｒを係数とする加群においても、上記実施の形態で説明した暗号プリミティブの処理を適用することができる。

　以上の実施の形態で説明したアルゴリズムにおけるＦ_ｑをＲに変更すれば、双対加群における暗号プリミティブの処理を実現することができる。

　次に、実施の形態における暗号処理システム１０（鍵生成装置１００、暗号化装置２００、復号装置３００）のハードウェア構成について説明する。
　図１６は、鍵生成装置１００、暗号化装置２００、復号装置３００のハードウェア構成の一例を示す図である。
　図１６に示すように、鍵生成装置１００、暗号化装置２００、復号装置３００は、プログラムを実行するＣＰＵ９１１（Ｃｅｎｔｒａｌ・Ｐｒｏｃｅｓｓｉｎｇ・Ｕｎｉｔ、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう）を備えている。ＣＰＵ９１１は、バス９１２を介してＲＯＭ９１３、ＲＡＭ９１４、ＬＣＤ９０１（Ｌｉｑｕｉｄ　Ｃｒｙｓｔａｌ　Ｄｉｓｐｌａｙ）、キーボード９０２（Ｋ／Ｂ）、通信ボード９１５、磁気ディスク装置９２０と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置９２０（固定ディスク装置）の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。磁気ディスク装置９２０は、所定の固定ディスクインタフェースを介して接続される。

　ＲＯＭ９１３、磁気ディスク装置９２０は、不揮発性メモリの一例である。ＲＡＭ９１４は、揮発性メモリの一例である。ＲＯＭ９１３とＲＡＭ９１４と磁気ディスク装置９２０とは、記憶装置（メモリ）の一例である。また、キーボード９０２、通信ボード９１５は、入力装置の一例である。また、通信ボード９１５は、通信装置の一例である。さらに、ＬＣＤ９０１は、表示装置の一例である。

　磁気ディスク装置９２０又はＲＯＭ９１３などには、オペレーティングシステム９２１（ＯＳ）、ウィンドウシステム９２２、プログラム群９２３、ファイル群９２４が記憶されている。プログラム群９２３のプログラムは、ＣＰＵ９１１、オペレーティングシステム９２１、ウィンドウシステム９２２により実行される。

　プログラム群９２３には、上記の説明においてマスター鍵生成部１１０、マスター鍵記憶部１２０、情報入力部１３０、復号鍵生成部１４０、鍵配布部１５０、公開パラメータ取得部２１０、情報入力部２２０、暗号文生成部２３０、データ送信部２４０、復号鍵取得部３１０、復号鍵記憶部３２０、暗号文取得部３３０、ペアリング演算部３４０、メッセージ計算部３５０等として説明した機能を実行するソフトウェアやプログラムやその他のプログラムが記憶されている。プログラムは、ＣＰＵ９１１により読み出され実行される。
　ファイル群９２４には、上記の説明において公開パラメータｐｋ、マスター秘密鍵ｓｋ、復号鍵ｓｋ_ｖ、暗号文ｃｔ_ｘ、述語ベクトルｖ、属性ベクトルｘ、メッセージｍ等の情報やデータや信号値や変数値やパラメータが、ファイルやデータベースの各項目として記憶される。ファイルやデータベースは、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してＣＰＵ９１１によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのＣＰＵ９１１の動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のＣＰＵ９１１の動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。

　また、上記の説明におけるフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、ＲＡＭ９１４のメモリ、その他光ディスク等の記録媒体やＩＣチップに記録される。また、データや信号は、バス９１２や信号線やケーブルその他の伝送媒体や電波によりオンライン伝送される。
　また、上記の説明において「～部」として説明するものは、「～回路」、「～装置」、「～機器」、「～手段」、「～機能」であってもよく、また、「～ステップ」、「～手順」、「～処理」であってもよい。また、「～装置」として説明するものは、「～回路」、「～機器」、「～手段」、「～機能」であってもよく、また、「～ステップ」、「～手順」、「～処理」であってもよい。さらに、「～処理」として説明するものは「～ステップ」であっても構わない。すなわち、「～部」として説明するものは、ＲＯＭ９１３に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、ＲＯＭ９１３等の記録媒体に記憶される。プログラムはＣＰＵ９１１により読み出され、ＣＰＵ９１１により実行される。すなわち、プログラムは、上記で述べた「～部」としてコンピュータ等を機能させるものである。あるいは、上記で述べた「～部」の手順や方法をコンピュータ等に実行させるものである。

　１００　鍵生成装置、１１０　マスター鍵生成部、１２０　マスター鍵記憶部、１３０　情報入力部、１４０　復号鍵生成部、１５０　鍵配布部、２００　暗号化装置、２１０　公開パラメータ取得部、２２０　情報入力部、２３０　暗号文生成部、２４０　データ送信部、３００　復号装置、３１０　復号鍵取得部、３２０　復号鍵記憶部、３３０　暗号文取得部、３４０　ペアリング演算部、３５０　メッセージ計算部。

Claims

　暗号化装置と復号装置とを備える暗号システムであり、
　前記暗号化装置は、
　基底ベクトルｂ_０，ｒの係数として値ω^～が設定された要素ｃ_０と、集合Ｉ_ｘ→に含まれる各インデックスｔについて、基底ベクトルｂ_ｐの係数として属性情報ｘ_ｔが設定され、基底ベクトルｂ_ｑの係数として前記値ω^～が設定された要素ｃ_ｔとを有する暗号文を生成する暗号文生成部
を備え、
　前記復号装置は、
　集合Ｉ_ｖ→に含まれる各インデックスｔについての値ｓ_ｔの合計が値ｓ_０である値ｓ_ｔ及び値ｓ_０を用いて生成された要素ｋ_０と要素ｋ_ｔとであって、前記基底ベクトルｂ_０，ｒに対応する基底ベクトルｂ^＊ _０，ｒの係数として値－ｓ_０が設定された要素ｋ_０と、集合Ｉ_ｖ→に含まれる各インデックスｔについて、前記基底ベクトルｂ_ｐに対応する基底ベクトルｂ^＊ _ｐの係数として述語情報ｖ_ｔが設定され、前記基底ベクトルｂ_ｑに対応する基底ベクトルｂ^＊ _ｑの係数として値ｓ_ｔが設定された要素ｋ_ｔとを有する復号鍵を記憶する復号鍵記憶部と、
　前記暗号文生成部が生成した暗号文を、前記復号鍵記憶部が記憶した復号鍵により復号する復号部であって、前記要素ｃ_０及び前記要素ｋ_０と、前記集合Ｉ_ｖ→に含まれる各インデックスｔについての要素ｃ_ｔ及び要素ｋ_ｔとに対して、対応する基底ベクトル毎のペアリング演算の積を計算して、前記暗号文を復号する復号部と
を備えることを特徴とする暗号システム。
　前記暗号文生成部は、さらに、基底ベクトルｂ_{ｉｎｄｅｘ}の係数として、インデックスｔに予め割り当てられた情報Ｊが設定された要素ｃ_ｔを生成し、
　前記復号鍵記憶部は、さらに、前記基底ベクトルｂ_{ｉｎｄｅｘ}に対応する基底ベクトルｂ^＊ _{ｉｎｄｅｘ}の係数として、インデックスｔに予め割り当てられた前記情報Ｊとの内積が０になる情報Ｊ’が設定された要素ｋ_ｔを生成する
ことを特徴とする請求項１に記載の暗号システム。
　前記暗号文生成部は、数１に示す要素ｃ_０及び要素ｃ_ｔを生成し、
　前記復号鍵記憶部は、数２に示す要素ｋ_０及び要素ｋ_ｔを記憶し、
　前記復号部は、数３に示す計算をする
ことを特徴とする請求項２に記載の暗号システム。
　送信装置と受信装置とを備え、インデックスτ毎に、集合Ｉ_τ，ｘ→に含まれる各インデックスｔについての属性情報ｘ_τ，ｔを要素として持つ属性ベクトルｘ_τ ^→と、集合Ｉ_τ，ｖ→に含まれる各インデックスｔについての属性情報ｖ_τ，ｔを要素として持つ述語ベクトルｖ_τ ^→との内積が０か否かを判定することにより、暗号プリミティブの処理を実現する暗号システムであり、
　前記送信装置は、
　インデックスτ毎に、集合Ｉ_τ，ｘ→に含まれる各インデックスｔについて、基底ベクトルｂ_ｐの係数として属性情報ｘ_τ，ｔが設定され、基底ベクトルｂ_ｑの係数として値ω
^～ _τが設定された要素ｃ_τ，ｔを有する送信情報を生成する送信情報生成部
を備え、
　前記受信装置は、
　インデックスτ毎に、集合Ｉ_τ，ｖ→に含まれる各インデックスｔについて、前記基底ベクトルｂ_ｐに対応する基底ベクトルｂ^＊ _ｐの係数として属性情報ｖ_τ，ｔが設定され、前記基底ベクトルｂ_ｑに対応する基底ベクトルｂ^＊ _ｑの係数として値ｓ_τ，ｔが設定された要素ｋ_τ，ｔを有する受信情報を記憶する受信情報記憶部と、
　各インデックスτについて、前記集合Ｉ_τ，ｖ→に含まれる各インデックスｔについての要素ｃ_τ，ｔ及び要素ｋ_τ，ｔに対して、対応する基底ベクトル毎のペアリング演算の積を計算するペアリング演算部と
を備えることを特徴とする暗号システム。
　暗号化装置と復号装置とを備える暗号システムであり、
　前記暗号化装置は、
　集合Ｉ_ｘ→に含まれる各インデックスｔについての値ｆ_ｔの合計が値ｆ_０である値ｆ_ｔ及び値ｆ_０を用いて生成された要素ｃ_０と要素ｃ_ｔとであって、基底ベクトルｂ_０，ｒの係数として値－ｆ_０が設定された要素ｃ_０と、集合Ｉ_ｘ→に含まれる各インデックスｔについて、基底ベクトルｂ_ｐの係数として属性情報ｘ_ｔが設定され、基底ベクトルｂ_ｑの係数として値ｆ_ｔが設定された要素ｃ_ｔとを有する暗号文を生成する暗号文生成部
を備え、
　前記復号装置は、
　前記基底ベクトルｂ_０，ｒに対応する基底ベクトルｂ^＊ _０，ｒの係数として値δ^～が設定された要素ｋ_０と、集合Ｉ_ｖ→に含まれる各インデックスｔについて、前記基底ベクトルｂ_ｐに対応する基底ベクトルｂ^＊ _ｐの係数として述語情報ｖ_ｔが設定され、前記基底ベクトルｂ_ｑに対応する基底ベクトルｂ^＊ _ｑの係数として前記値δ^～が設定された要素ｋ_ｔとを有する復号鍵を記憶する復号鍵記憶部と、
　前記暗号文生成部が生成した暗号文を、前記復号鍵記憶部が記憶した復号鍵により復号する復号部であって、前記要素ｃ_０及び前記要素ｋ_０と、前記集合Ｉ_ｘ→に含まれる各インデックスｔについての要素ｃ_ｔ及び要素ｋ_ｔとに対して、対応する基底ベクトル毎のペアリング演算の積を計算して、前記暗号文を復号する復号部と
を備えることを特徴とする暗号システム。
　前記暗号文生成部は、さらに、基底ベクトルｂ_{ｉｎｄｅｘ}の係数として、インデックスｔに予め割り当てられた情報Ｊが設定された要素ｃ_ｔを生成し、
　前記復号鍵記憶部は、さらに、前記基底ベクトルｂ_{ｉｎｄｅｘ}に対応する基底ベクトルｂ^＊ _{ｉｎｄｅｘ}の係数として、インデックスｔに予め割り当てられた前記情報Ｊとの内積が０になる情報Ｊ’が設定された要素ｋ_ｔを生成する
ことを特徴とする請求項５に記載の暗号システム。
　前記暗号文生成部は、数４に示す要素ｃ_０及び要素ｃ_ｔを生成し、
　前記復号鍵記憶部は、数５に示す要素ｋ_０及び要素ｋ_ｔを記憶し、
　前記復号部は、数６に示す計算をする
ことを特徴とする請求項６に記載の暗号システム。
　送信装置と受信装置とを備え、インデックスτ毎に、集合Ｉ_τ，ｘ→に含まれる各インデックスｔについての属性情報ｘ_τ，ｔを要素として持つ属性ベクトルｘ_τ ^→と、集合Ｉ_τ，ｖ→に含まれる各インデックスｔについての属性情報ｖ_τ，ｔを要素として持つ述語ベクトルｖ_τ ^→との内積が０か否かを判定することにより、暗号プリミティブの処理を実現する暗号システムであり、
　前記送信装置は、
　インデックスτ毎に、集合Ｉ_τ，ｘ→に含まれる各インデックスｔについて、基底ベクトルｂ_ｐの係数として属性情報ｘ_τ，ｔが設定され、基底ベクトルｂ_ｑの係数として値ｆ
_τ，ｔが設定された要素ｃ_τ，ｔを有する送信情報を生成する送信情報生成部
を備え、
　前記受信装置は、
　インデックスτ毎に、集合Ｉ_τ，ｖ→に含まれる各インデックスｔについて、前記基底ベクトルｂ_ｐに対応する基底ベクトルｂ^＊ _ｐの係数として属性情報ｖ_τ，ｔが設定され、前記基底ベクトルｂ_ｑに対応する基底ベクトルｂ^＊ _ｑの係数として値δ^～ _τが設定された要素ｋ_τ，ｔを有する受信情報を記憶する受信情報記憶部と、
　各インデックスτについて、前記集合Ｉ_τ，ｘ→に含まれる各インデックスｔについての要素ｃ_τ，ｔ及び要素ｋ_τ，ｔに対して、対応する基底ベクトル毎のペアリング演算の積を計算するペアリング演算部と
を備えることを特徴とする暗号システム。
　暗号化装置と復号装置とを備える暗号システムであり、
　前記暗号化装置は、
　ｔ＝１，．．．，ｎ（ｎは１以上の整数）の各インデックスｔについての値ｆ_ｔの合計が値ｆ_０である値ｆ_ｔ及び値ｆ_０を用いて生成された要素ｃ_０と要素ｃ_ｔとであって、基底ベクトルｂ_０，ｒの係数として値ω^～が設定され、基底ベクトルｂ_０，ｒ’の係数として値－ｆ_０が設定された要素ｃ_０と、集合Ｉ_ｘ→に含まれる各インデックスｔについて、基底ベクトルｂ_ｐの係数として属性情報ｘ_ｔが設定され、基底ベクトルｂ_ｑの係数として前記値ω^～が設定され、基底ベクトルｂ_ｑ’の係数として値ｆ_ｔが設定された要素ｃ_ｔとを有する暗号文を生成する暗号文生成部
を備え、
　前記復号装置は、
　前記各インデックスｔについての値ｓ_ｔの合計が値ｓ_０である値ｓ_ｔ及び値ｓ_０を用いて生成された要素ｋ_０と要素ｋ_ｔとであって、前記基底ベクトルｂ_０，ｒに対応する基底ベクトルｂ^＊ _０，ｒの係数として値－ｓ_０が設定され、基底ベクトルｂ_０，ｒ’に対応する基底ベクトルｂ^＊ _０，ｒ’の係数として値δ^～が設定された要素ｋ_０と、集合Ｉ_ｖ→に含まれる各インデックスｔについて、前記基底ベクトルｂ_ｐに対応する基底ベクトルｂ^＊ _ｐの係数として述語情報ｖ_ｔが設定され、前記基底ベクトルｂ_ｑに対応する基底ベクトルｂ^＊ _ｑの係数として値ｓ_ｔが設定され、前記基底ベクトルｂ_ｑ’に対応する基底ベクトルｂ^＊ _ｑ’の係数として前記値δ^～が設定された要素ｋ_ｔとを有する復号鍵を記憶する復号鍵記憶部と、
　前記暗号文生成部が生成した暗号文を、前記復号鍵記憶部が記憶した復号鍵により復号する復号部であって、前記要素ｃ_０及び前記要素ｋ_０と、前記各インデックスｔについての要素ｃ_ｔ及び要素ｋ_ｔとに対して、対応する基底ベクトル毎のペアリング演算の積を計算して、前記暗号文を復号する復号部と
を備えることを特徴とする暗号システム。
　前記暗号文生成部は、さらに、基底ベクトルｂ_{ｉｎｄｅｘ}の係数として、インデックスｔに予め割り当てられた情報Ｊが設定された要素ｃ_ｔを生成し、
　前記復号鍵記憶部は、さらに、前記基底ベクトルｂ_{ｉｎｄｅｘ}に対応する基底ベクトルｂ^＊ _{ｉｎｄｅｘ}の係数として、インデックスｔに予め割り当てられた前記情報Ｊとの内積が０になる情報Ｊ’が設定された要素ｋ_ｔを生成する
ことを特徴とする請求項９に記載の暗号システム。
　前記暗号文生成部は、数７に示す要素ｃ_０及び要素ｃ_ｔを生成し、
　前記復号鍵記憶部は、数８に示す要素ｋ_０及び要素ｋ_ｔを記憶し、
　前記復号部は、数９に示す計算をする
ことを特徴とする請求項１０に記載の暗号システム。
　送信装置と受信装置とを備え、インデックスτ毎に、ｔ＝１，．．．，ｎ（ｎは１以上の整数）の各インデックスｔについての属性情報ｘ_τ，ｔを要素として持つ属性ベクトルｘ_τ ^→と、前記各インデックスｔについての属性情報ｖ_τ，ｔを要素として持つ述語ベクトルｖ_τ ^→との内積が０か否かを判定することにより、暗号プリミティブの処理を実現する暗号システムであり、
　前記送信装置は、
　インデックスτ毎に、集合Ｉ_τ，ｘ→に含まれる各インデックスｔについて、基底ベクトルｂ_ｐの係数として属性情報ｘ_τ，ｔが設定され、基底ベクトルｂ_ｑの係数として値ω
^～ _τが設定され、基底ベクトルｂ_ｑ’の係数として値ｆ_ｔが設定された要素ｃ_τ，ｔを有する送信情報を生成する送信情報生成部
を備え、
　前記受信装置は、
　インデックスτ毎に、集合Ｉ_τ，ｖ→に含まれる各インデックスｔについて、前記基底ベクトルｂ_ｐに対応する基底ベクトルｂ^＊ _ｐの係数として属性情報ｖ_τ，ｔが設定され、前記基底ベクトルｂ_ｑに対応する基底ベクトルｂ^＊ _ｑの係数として値ｓ_τ，ｔが設定され、前記基底ベクトルｂ_ｑ’に対応する基底ベクトルｂ^＊ _ｑ’の係数として値δ^～が設定された要素ｋ_τ，ｔを有する受信情報を記憶する受信情報記憶部と、
　各インデックスτ及び各インデックスｔについての要素ｃ_τ，ｔ及び要素ｋ_τ，ｔに対して、対応する基底ベクトル毎のペアリング演算の積を計算するペアリング演算部と
を備えることを特徴とする暗号システム。