特開 2024-171704 鍵生成装置、鍵生成方法及び鍵生成プログラム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】公開特許公報(A)

(11)【公開番号】P2024171704

(43)【公開日】2024-12-12

(54)【発明の名称】鍵生成装置、鍵生成方法及び鍵生成プログラム

(51)【国際特許分類】

   G09C 1/00 20060101AFI20241205BHJP

【ＦＩ】

G09C1/00 620Z

【審査請求】未請求

【請求項の数】3

【出願形態】ＯＬ

(21)【出願番号】P 2023088857

(22)【出願日】2023-05-30

(71)【出願人】

【識別番号】000208891

【氏名又は名称】ＫＤＤＩ株式会社

(74)【代理人】

【識別番号】100106002

【弁理士】

【氏名又は名称】正林 真之

(74)【代理人】

【識別番号】100120891

【弁理士】

【氏名又は名称】林 一好

(72)【発明者】

【氏名】岡田 大樹

(57)【要約】

【課題】従来のＬＷＲ型公開鍵暗号方式と同等の安全性を保証し、かつ、従来の構成よりも公開鍵長を短縮できる鍵生成装置、鍵生成方法及び鍵生成プログラムを提供すること。
【解決手段】ＬＷＲ型公開鍵暗号方式における秘密鍵、及び公開鍵ペアを生成する暗号システム１は、所定の分布に従う法ｑ上のベクトルを秘密鍵とし、法ｑ上の一様ランダムな行列Ａの各要素をｐ／ｑ倍して整数に丸めた行列、及び行列Ａと秘密鍵との積をｐ／ｑ倍して整数に丸めたベクトルの組を公開鍵ペアとして生成する鍵生成部１１１を備え、秘密鍵を暗号化装置２０へ、公開鍵ペアを復号装置１０へ提供することにより、法ｐ上での暗号化処理及び復号処理を実行させる。
【選択図】図１

【特許請求の範囲】

【請求項1】

ＬＷＲ型公開鍵暗号方式における秘密鍵、及び公開鍵ペアを生成する鍵生成装置であって、
所定の分布に従う法ｑ上のベクトルを前記秘密鍵とし、法ｑ上の一様ランダムな行列Ａの各要素をｐ／ｑ倍して整数に丸めた行列、及び行列Ａと前記秘密鍵との積をｐ／ｑ倍して整数に丸めたベクトルの組を前記公開鍵ペアとして生成する鍵生成部を備え、
前記秘密鍵を暗号化装置へ、前記公開鍵ペアを復号装置へ提供することにより、法ｐ上での暗号化処理及び復号処理を実行させる鍵生成装置。

【請求項2】

ＬＷＲ型公開鍵暗号方式における秘密鍵、及び公開鍵ペアを生成する鍵生成装置が、
所定の分布に従う法ｑ上のベクトルを前記秘密鍵とし、法ｑ上の一様ランダムな行列Ａの各要素をｐ／ｑ倍して整数に丸めた行列、及び行列Ａと前記秘密鍵との積をｐ／ｑ倍して整数に丸めたベクトルの組を前記公開鍵ペアとして生成し、
前記秘密鍵を暗号化装置へ、前記公開鍵ペアを復号装置へ提供することにより、法ｐ上での暗号化処理及び復号処理を実行させる鍵生成方法。

【請求項3】

請求項１に記載の鍵生成装置としてコンピュータを機能させるための鍵生成プログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、ＬＷＲ型公開鍵暗号方式の構成に関する。

【背景技術】

【0002】

従来、量子計算機に耐性を持つ暗号方式として、ＬＷＲ（Ｌｅａｒｎｉｎｇ Ｗｉｔｈ Ｒｏｕｎｄｉｎｇ）問題に基づく公開鍵暗号方式が非特許文献１などで提案されている。

【先行技術文献】

【非特許文献】

【0003】

【非特許文献1】Jan-Pieter D'Anvers, Angshuman Karmakar, Sujoy Sinha Roy, and Frederik Vercauteren. "Saber: Module-LWR Based Key Exchange, CPA-Secure Encryption and CCA-Secure KEM". In: AFRICACRYPT 2018. 2018, pp. 282-305.

【発明の概要】

【発明が解決しようとする課題】

【0004】

一般に、公開鍵暗号方式において、要求される安全性が高くなるほど、公開鍵及び暗号文に十分な長さを用意する必要があった。このため、メモリ使用量及び処理負荷の増大により、実装が難しくなっていた。

【0005】

本発明は、従来のＬＷＲ型公開鍵暗号方式と同等の安全性を保証し、かつ、従来の構成よりも公開鍵長を短縮できる鍵生成装置、鍵生成方法及び鍵生成プログラムを提供することを目的とする。

【課題を解決するための手段】

【0006】

本発明に係る鍵生成装置は、ＬＷＲ型公開鍵暗号方式における秘密鍵、及び公開鍵ペアを生成する装置であって、所定の分布に従う法ｑ上のベクトルを前記秘密鍵とし、法ｑ上の一様ランダムな行列Ａの各要素をｐ／ｑ倍して整数に丸めた行列、及び行列Ａと前記秘密鍵との積をｐ／ｑ倍して整数に丸めたベクトルの組を前記公開鍵ペアとして生成する鍵生成部を備え、前記秘密鍵を暗号化装置へ、前記公開鍵ペアを復号装置へ提供することにより、法ｐ上での暗号化処理及び復号処理を実行させる。

【0007】

本発明に係る鍵生成方法は、ＬＷＲ型公開鍵暗号方式における秘密鍵、及び公開鍵ペアを生成する鍵生成装置が、所定の分布に従う法ｑ上のベクトルを前記秘密鍵とし、法ｑ上の一様ランダムな行列Ａの各要素をｐ／ｑ倍して整数に丸めた行列、及び行列Ａと前記秘密鍵との積をｐ／ｑ倍して整数に丸めたベクトルの組を前記公開鍵ペアとして生成し、前記秘密鍵を暗号化装置へ、前記公開鍵ペアを復号装置へ提供することにより、法ｐ上での暗号化処理及び復号処理を実行させる。

【0008】

本発明に係る鍵生成プログラムは、前記鍵生成装置としてコンピュータを機能させるためのものである。

【発明の効果】

【0009】

本発明によれば、ＬＷＲ型公開鍵暗号方式において、従来と同等の安全性が保証され、かつ、従来の構成よりも公開鍵長が短縮される。

【図面の簡単な説明】

【0010】

【図1】実施形態における暗号システムの機能構成を示すブロック図である。

【図2】実施形態における暗号システムによる、暗号化及び復号の処理の流れを示すシーケンス図である。

【発明を実施するための形態】

【0011】

以下、本発明の実施形態の一例について説明する。
本実施形態の暗号システムは、従来よりも公開鍵長の短いＬＷＲ型公開鍵暗号方式により、従来と同等の安全性を保証したうえで、メッセージの暗号化及び復号を実現するシステムである。

【0012】

なお、本実施形態では、次の約束を設ける。
・確率分布Ｄの確率密度関数をＤ（ｘ）と書く。
・Ｕ（Ｘ）は、集合Ｘ上の一様分布を表す。
・Ｚ_ｑ上の値の行列又はベクトル同士の積は、全てｍｏｄ ｑ上で実行される。

【0013】

また、ＬＷＲ問題は、次のように定義される。
ｍ，ｎ≧２，ｑ≧ｐ＞２，を整数とする。秘密ベクトルｓ～Ｕ（Ｚ^ｎ _ｑ）のＬＷＲサンプルＬＷＲ_ｓ（ｍ，ｎ，ｑ，ｐ）とは、

【数1】

であり、Ａ～Ｕ（Ｚ^ｍ×ｎ _ｑ）である。ＬＷＲ問題とは、与えられたＬＷＲサンプルから秘密ベクトルｓを求める問題である。

【0014】

図１は、本実施形態における暗号システム１の機能構成を示すブロック図である。
暗号システム１は、復号装置１０（鍵生成装置）及び暗号化装置２０を含み、暗号化装置２０において公開鍵ｐｋにより暗号化された暗号文ｃｔを、復号装置１０が秘密鍵ｓｋにより復号する構成である。

【0015】

復号装置１０は、制御部１１及び記憶部１２の他、各種の入出力インタフェース等を備えた情報処理装置（コンピュータ）であり、暗号化装置２０も同様に、制御部２１及び記憶部２２の他、各種の入出力インタフェース等を備えた情報処理装置である。
記憶部１２に記憶された各種プログラムを制御部１１が読み出して実行することにより、また、記憶部２２に記憶された各種プログラムを制御部２１が読み出して実行することにより、本実施形態における各機能を実現する。

【0016】

制御部１１は、鍵生成部１１１と、復号部１１２とを備え、制御部２１は、暗号化部２１１を備える。
なお、鍵生成部１１１は、復号装置１０とは別の、信頼できる第三者の鍵生成装置に設けられてもよい。
暗号システム１に実装されるＬＷＲ型公開鍵暗号方式は、これらの機能部により実現されるＫｅｙＧｅｎ（鍵生成）、Ｅｎｃ（暗号化）、Ｄｅｃ（復号）の３つの機能を含んで構成される。

【0017】

図２は、本実施形態における暗号システム１による、暗号化及び復号の処理の流れを示すシーケンス図である。

【0018】

［ＫｅｙＧｅｎ（１^λ）（鍵生成）］
ステップＳ１において、鍵生成部１１１は、次の秘密鍵及び公開鍵ペアを出力する。

【0019】

秘密鍵ｓｋ：

【数2】

ここで、χ_βは、平均が０，分散がβ^２の分布である。

【0020】

公開鍵ｐｋ： （Ａ’，ｂ）
ここで、

【数3】

であり、Ｅ及びｅは、その要素が（－ｑ／２ｐ，ｑ／２ｐ）上のｒｏｕｎｄｉｎｇ ｅｒｒｏｒｓ（丸め誤差）である。また、β＜ｐ＜ｑである。

【0021】

ステップＳ２において、鍵生成部１１１は、公開鍵ペアｐｋ：＝（Ａ’，ｂ）を暗号化部２１１に提供する。
ステップＳ３において、鍵生成部１１１は、秘密鍵ｓｋ：＝ｓを復号部１１２に提供する。

【0022】

［Ｅｎｃ_ｓ（μ）（暗号化）］
ステップＳ４において、暗号化部２１１は、平文μ∈｛０，１｝に対し、次のように暗号文ｃｔを出力する。

【数4】

【0023】

ステップＳ５において、暗号化部２１１は、暗号文ｃｔ：＝（ｕ，ｖ）を復号部１１２に提供する。

【0024】

［Ｄｅｃ_ｓ（ｃｔ）（復号）］
ステップＳ６において、復号部１１２は、秘密鍵ｓｋを用いて次のように暗号文ｃｔを復号し、メッセージμ￣を出力する。

【数5】

【0025】

ここで、本実施形態の暗号方式の正確性、すなわち、無視できる失敗確率でμ￣＝μとなることは、次のように保証され、パラメータ設計における条件が定義される。

【数6】

【0026】

したがって、各パラメータ（λ，ｎ，ｍ，ｑ，ｐ，β）の設計において、
Ｐｒ［ｅ_Ｅｎｃ＜ｐ／２］＝１－ｎｅｇｌ（λ）
を満たすように選ぶことで、
Ｐｒ［μ￣＝μ］＝１－ｎｅｇｌ（λ）
となり、無視できる失敗確率で復号が成功する。

【0027】

本実施形態によれば、従来のＬＷＲ型公開鍵暗号方式の公開鍵ペアがｐｋ：＝（Ａ，ｂ）∈Ｚ^ｍ×ｎ _ｑ×Ｚ^ｍ _ｐであり、法ｑ上のランダム行列Ａが用いられるのに対して、暗号システム１の公開鍵ペアは、ｐｋ：＝（Ａ’，ｂ）∈Ｚ^ｍ×ｎ _ｐ×Ｚ^ｍ _ｐであり、法ｐ上のランダム行列Ａ’が用いられる。
よって、公開鍵長は、従来に比べておよそ、

【数7】

倍に短縮される。
したがって、暗号システム１は、従来のＬＷＲ型公開鍵暗号方式と同等の安全性を保証し、かつ、従来の構成よりも公開鍵長を短縮できる。

【0028】

なお、本実施形態により、例えば、安全で効率的な暗号方式を提供できることから、国連が主導する持続可能な開発目標（ＳＤＧｓ）の目標９「レジリエントなインフラを整備し、持続可能な産業化を推進するとともに、イノベーションの拡大を図る」に貢献することが可能となる。

【0029】

以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。

【0030】

暗号システム１による鍵生成方法、暗号化方法及び復号方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置（コンピュータ）にインストールされる。また、これらのプログラムは、ＣＤ－ＲＯＭのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したＷｅｂサービスとしてユーザのコンピュータに提供されてもよい。

【符号の説明】

【0031】

１ 暗号システム
１０ 復号装置
１１ 制御部
１２ 記憶部
２０ 暗号化装置
２１ 制御部
２２ 記憶部
１１１ 鍵生成部
１１２ 復号部
２１１ 暗号化部

【図1】

【図2】