特許 7586210 暗号システム、鍵生成装置、暗号化装置、復号装置、方法及びプログラム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2024-11-11

(45)【発行日】2024-11-19

(54)【発明の名称】暗号システム、鍵生成装置、暗号化装置、復号装置、方法及びプログラム

(51)【国際特許分類】

   G09C 1/00 20060101AFI20241112BHJP

【ＦＩ】

G09C1/00 620Z

【請求項の数】 6

(21)【出願番号】P 2023039565

(22)【出願日】2023-03-14

(62)【分割の表示】P 2021530426の分割

【原出願日】2019-07-10

(65)【公開番号】P2023063430

(43)【公開日】2023-05-09

【審査請求日】2023-03-14

(73)【特許権者】

【識別番号】000004226

【氏名又は名称】日本電信電話株式会社

(74)【代理人】

【識別番号】110004381

【氏名又は名称】弁理士法人ＩＴＯＨ

(74)【代理人】

【識別番号】100107766

【弁理士】

【氏名又は名称】伊東 忠重

(74)【代理人】

【識別番号】100070150

【弁理士】

【氏名又は名称】伊東 忠彦

(74)【代理人】

【識別番号】100124844

【弁理士】

【氏名又は名称】石原 隆治

(72)【発明者】

【氏名】富田 潤一

【審査官】青木 重徳

(56)【参考文献】

【文献】特開２０１４－０９５８４７（ＪＰ，Ａ）

【文献】市川 幸宏 ほか，関数型暗号アプリケーションにおける適切な述語付与方式の検討，情報処理学会研究報告 ２０１２（平成２４）年度▲６▼ ［ＤＶＤ－ＲＯＭ］，日本，一般社団法人情報処理学会，2013年04月15日，Vol.2013-DPS-15 No.5，p. 1-6

【文献】高島 克幸，高効率な適応的安全属性ベース暗号を設計するための新しい照明技法，ＳＣＩＳ２０１６ ［ＵＳＢ］，2016年01月19日，２E4-3，pp. 1-7

【文献】Allison Lewko et al.，New Proof Methods for Attribute-Based Encryption: Achieving Full Security through Selective Techniques，LNSC, Advances in Cryptology - CRYPTO 2012，2012年，volume 7417，pp. 180-198

【文献】Katsuyuki Takashima，New Proof Techniques for DLIN-Based Adaptively Secure Attribute-Based Encryption，Cryptology ePrint Archive，［オンライン］，2017年04月18日，Paper 2015/1021，<URL: https://eprint.iacr.org/2015/1021.pdf>，［２０２４年 ３月１１日検索］、インターネット

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｇ０９Ｃ １／００

ＪＳＴＰｌｕｓ／ＪＭＥＤＰｌｕｓ／ＪＳＴ７５８０（ＪＤｒｅａｍＩＩＩ）

ＩＥＥＥ Ｘｐｌｏｒｅ

ＴＨＥ ＡＣＭ ＤＩＧＩＴＡＬ ＬＩＢＲＡＲＹ

(57)【特許請求の範囲】

【請求項1】

属性ベース暗号に用いられる公開鍵と、属性と前記属性に関する任意の条件式で表されたポリシーとのうちのいずれか一方とを少なくとも入力として、前記属性と前記ポリシーとのうちのいずれか一方が埋め込まれた暗号文を生成する暗号化手段と、
前記公開鍵と、前記属性ベース暗号に用いられるマスター秘密鍵と、前記属性と前記ポリシーとのうちの前記一方とは異なる他方とを入力として、前記他方が埋め込まれた秘密鍵を生成する鍵生成手段と、
前記公開鍵と、前記暗号文と、前記秘密鍵とを入力として、前記暗号文を復号する復号手段と、
を有し、
前記条件式は、非単調論理式を含む任意の論理式で表現され、
前記鍵生成手段は、
前記暗号化手段によって前記ポリシーが埋め込まれた暗号文が生成された場合、前記ポリシー中の同じ属性ラベルの出現回数に依存しない鍵サイズの前記秘密鍵を生成し、
前記暗号化手段は、
前記鍵生成手段によって前記ポリシーが埋め込まれる秘密鍵が生成される場合、前記ポリシー中の同じ属性ラベルの出現回数に依存しない暗号文サイズの前記暗号文を生成する、ことを特徴とする暗号システム。

【請求項2】

属性ベース暗号に用いられる公開鍵及びマスター秘密鍵と、属性と前記属性に関する任意の条件式で表されたポリシーとのうちのいずれか一方とを入力として、前記属性と前記ポリシーとのうちのいずれか一方が埋め込まれた秘密鍵を生成する鍵生成手段、
を有し、
前記条件式は、非単調論理式を含む任意の論理式で表現され、
前記鍵生成手段は、
前記ポリシー中の同じ属性ラベルの出現回数に依存しない鍵サイズの前記秘密鍵を生成する、ことを特徴とする鍵生成装置。

【請求項3】

属性ベース暗号に用いられる公開鍵と、属性と前記属性に関する任意の条件式で表されたポリシーとのうちのいずれか一方とを少なくとも入力として、前記属性と前記ポリシーとのうちのいずれか一方が埋め込まれた暗号文を生成する暗号化手段、
を有し、
前記条件式は、非単調論理式を含む任意の論理式で表現され、
前記暗号化手段は、
前記ポリシー中の同じ属性ラベルの出現回数に依存しない暗号文サイズの前記暗号文を生成する、ことを特徴とする暗号化装置。

【請求項4】

属性ベース暗号に用いられる公開鍵と、属性と前記属性に関する任意の条件式で表されたポリシーとのうちのいずれか一方が埋め込まれた暗号文と、前記属性と前記ポリシーとのうちのいずれか一方とは異なる他方が埋め込まれた秘密鍵とを入力として、前記暗号文を復号する復号手段、
を有し、
前記条件式は、非単調論理式を含む任意の論理式で表現され、
前記ポリシーが前記暗号文又は前記秘密鍵のいずれに埋め込まれているかに応じて、前記秘密鍵又は前記暗号文のいずれかのサイズが前記ポリシー中の同じ属性ラベルの出現回数の最大値に依存しない、ことを特徴とする復号装置。

【請求項5】

暗号化装置が、属性ベース暗号に用いられる公開鍵と、属性と前記属性に関する任意の条件式で表されたポリシーとのうちのいずれか一方とを少なくとも入力として、前記属性と前記ポリシーとのうちのいずれか一方が埋め込まれた暗号文を生成する暗号化手順と、
鍵生成装置が、前記公開鍵と、前記属性ベース暗号に用いられるマスター秘密鍵と、前記属性と前記ポリシーとのうちの前記一方とは異なる他方とを入力として、前記他方が埋め込まれた秘密鍵を生成する鍵生成手順と、
復号装置が、前記公開鍵と、前記暗号文と、前記秘密鍵とを入力として、前記暗号文を復号する復号手順と、
を実行し、
前記条件式は、非単調論理式を含む任意の論理式で表現され、
前記鍵生成手順は、
前記暗号化手順で前記ポリシーが埋め込まれた暗号文が生成された場合、前記ポリシー中の同じ属性ラベルの出現回数に依存しない鍵サイズの前記秘密鍵を生成し、
前記暗号化手順は、
前記鍵生成手順で前記ポリシーが埋め込まれる秘密鍵が生成される場合、前記ポリシー中の同じ属性ラベルの出現回数に依存しない暗号文サイズの前記暗号文を生成する、ことを特徴とする方法。

【請求項6】

コンピュータを、請求項１に記載の暗号システムにおける各手段、請求項２に記載の鍵生成装置における各手段、請求項３に記載の暗号化装置における各手段又は請求項４に記載の復号装置における各手段、として機能させるためのプログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、暗号システム、鍵生成装置、暗号化装置、復号装置、方法及びプログラムに関する。

【背景技術】

【0002】

複雑な復号制御が可能な暗号方式として属性ベース暗号が知られている。属性ベース暗号は、主に、鍵ポリシー属性ベース暗号と暗号文ポリシー属性ベース暗号との２つに分けられる。鍵ポリシー属性ベース暗号では、暗号文には平文の他に属性の情報が埋め込まれており、秘密鍵にはポリシー（属性に対する条件式のようなもの）が埋め込まれる。暗号文を秘密鍵で復号する場合には、暗号文に埋め込まれている属性が、秘密鍵に埋め込まれているポリシーを満たすときのみ復号することができる。他方で、暗号文ポリシー属性ベース暗号は、鍵ポリシー属性ベース暗号の対になるもので、暗号文にポリシーが埋め込まれ、秘密鍵に属性の情報が埋め込まれる。

【0003】

属性ベース暗号の重要な性質の１つにポリシーの表現力がある。ポリシーの表現力とは、概ね、どの程度きめ細かく復号条件を記述できるかということを指す。きめ細かく復号条件を記述できるほどポリシーの表現力が高いことを表す。一般に、ポリシーは論理式で表現されることが多い。例えば、「（役職＝部長）かつ（部署＝総務部）」等のように表される。これは、役職として部長という属性を持っており、かつ、部署として総務部という属性を持っている場合のみ復号を許すというポリシーである。

【0004】

ポリシーの表現力に関する項目の１つとして、条件式の中で否定を扱えるかどうかというものがある。すなわち、例えば、「（役職＝部長）かつ（部署≠総務部）」というような条件式を扱えるかどうかというものである。このような形で否定を含む条件式を表現でき、かつ、方式の中で属性集合やポリシーの大きさの制限が掛からない暗号方式として、ＯＴ方式が知られている（例えば非特許文献１参照）。

【先行技術文献】

【非特許文献】

【0005】

【文献】Okamoto T., Takashima K. (2012) Fully Secure Unbounded Inner-Product and Attribute-Based Encryption. In: Wang X., Sako K. (eds) Advances in Cryptology - ASIACRYPT 2012. ASIACRYPT 2012. Lecture Notes in Computer Science, vol 7658. Springer, Berlin, Heidelberg

【発明の概要】

【発明が解決しようとする課題】

【0006】

ＯＴ方式は表現力の高さや、属性集合やポリシーの大きさに制限が掛からないという点で優れている一方で、動作が非効率的であり、鍵生成処理や暗号化処理、復号処理等に時間を要する場合がある。属性ベース暗号はスマートフォン等にも応用可能性があり、比較的計算リソースの小さな機器でも実用的な時間で動作することが望ましい。

【0007】

また、同じ属性ラベルを多数含むようなポリシーを扱えるようにするためには、ＯＴ方式では属性を埋め込む側の要素数を、同じ属性ラベルの出現回数の最大値に比例して増大させる必要がある。例えば、「（（役職＝部長）かつ（部署＝総務部））または（（役職＝課長）かつ（部署＝経理部））」という条件式を考えると、この条件式の中には役職という属性ラベルと部署という属性ラベルとがそれぞれ２回ずつ含まれている。このような条件式を扱えるようにするためには、もとのＯＴ方式に対して鍵ポリシー属性ベース暗号では暗号文（暗号文ポリシー属性ベース暗号では秘密鍵）の大きさ（サイズ）を２倍にする必要がある。同じ属性ラベルの出現回数がより多い条件式を扱えるようにするためには、暗号文又は秘密鍵のサイズをより大きくしなければならない。

【0008】

本発明の実施形態は、上記の点に鑑みてなされたもので、暗号文や秘密鍵のサイズを増大させずに任意の条件式をポリシーとして利用可能で、効率的な属性ベース暗号を実現することを目的とする。

【課題を解決するための手段】

【0009】

上記目的を達成するため、本実施形態に係る暗号システムは、属性ベース暗号に用いられる公開鍵とマスター秘密鍵とを生成するセットアップ手段と、前記公開鍵と、属性と前記属性に関する任意の条件式で表されたポリシーとのうちのいずれか一方とを少なくとも入力として、前記属性と前記ポリシーとのうちのいずれか一方が埋め込まれた暗号文を少なくとも生成する暗号化手段と、前記公開鍵と、前記マスター秘密鍵と、前記属性と前記ポリシーとのうちの前記一方とは異なる他方とを入力として、前記他方が埋め込まれた秘密鍵を生成する鍵生成手段と、前記公開鍵と、前記暗号文と、前記秘密鍵とを入力として、前記暗号文を復号する復号手段と、を有することを特徴とする。

【発明の効果】

【0010】

暗号文や秘密鍵のサイズを増大させずに任意の条件式をポリシーとして利用可能で、効率的な属性ベース暗号を実現することができる。

【図面の簡単な説明】

【0011】

【図1】本実施形態に係る暗号システムの全体構成の一例を示す図である。

【図2】本実施形態に係る鍵生成装置、暗号化装置及び復号装置のハードウェア構成の一例を示す図である。

【発明を実施するための形態】

【0012】

以下、本発明の実施の形態（以降、「本実施形態」とも表す。）について説明する。本実施形態では、暗号文や秘密鍵のサイズを増大させずに任意の条件式をポリシーとして利用可能で、かつ、効率的に動作する属性ベース暗号を実現する暗号システム１について説明する。

【0013】

＜準備＞
まず、本実施形態の説明に必要な記法や概念等について説明する。

【0014】

・記法
ｐを素数として、体Ｚ／ｐＺをＺ_ｐと表す。有限の長さの全てのビット列の集合を｛０，１｝^＊と表す。例えば、ｎを自然数として、長さｎの全てのビット列の集合を｛０，１｝^ｎと表す。

【0015】

自然数ｎに対して、｛１，・・・，ｎ｝を［ｎ］と表す。Ｓを集合として、集合Ｓから一様にｓを選択することをｓ←Ｓと表す。同一行数の行列Ａ_１及びＡ_２に対して、Ａ_１及びＡ_２の連結（concatenation）を

【0016】

【数1】

と表す。行列Ａの列全体で張られる空間（つまり、行列Ａを構成する各列ベクトルを基底とする空間）をｓｐａｎ（Ａ）と表す。

【0017】

ｉ∈｛１，２，Ｔ｝として、Ｚ_ｐ上の行列Ａ：＝（ａ_ｊ，ｌ）_ｊ，ｌに対して、位数ｐの巡回群Ｇ_ｉ上の行列で、その（ｊ，ｌ）成分が

【0018】

【数2】

である行列を［Ａ］_ｉと表す。なお、この記法は、ベクトルやスカラーに対しても同様に適用する。また、（［Ａ］_１，［Ａ］_２）を［Ａ］_１，２と表す。

【0019】

【数3】

が定義された行列Ａ及びＢに対して、記法の濫用ではあるが、ペアリングを

【0020】

【数4】

と表す。なお、

【0021】

【数5】

は転置を表す。

【0022】

・論理式
論理式とは、ブール変数を「かつ（ＡＮＤ）」、「または（ＯＲ）」、「否定（ＮＯＴ）」で繋いだ式である。論理式は、ファンイン２、ファンアウト１の論理回路に簡単に変換することができる。否定（ＮＯＴ）を含まない論理式を単調論理式（monotone Boolean formula）と呼び、否定（ＮＯＴ）を含む論理式を非単調論理式（non-monotone Boolean formula）と呼ぶ。本実施形態では、論理式は論理回路で表されているものとする。

【0023】

・属性とポリシー
本実施形態では、属性の集合を以下の式（１）で定義する。

【0024】

【数6】

ここで、Φ_ｉは全ての単射関数φ：［ｉ］→｛０，１｝^＊で構成される集合である。

【0025】

また、ポリシーの集合を以下の式（２）で定義する。

【0026】

【数7】

ここで、

【0027】

【数8】

である。

【0028】

本実施形態で説明する属性ベース暗号では、各属性は上記の式（１）で定義される集合の要素であり、各ポリシーは上記の式（２）で定義される集合の要素である。

【0029】

また、属性

【0030】

【数9】

がポリシー

【0031】

【数10】

を満たすとは、以下の式（３）で定義されるｂに対してｆ（ｂ）＝１となることを指す。すなわち、ｆ（ｂ）＝１である場合に限り復号が可能である。

【0032】

属性ｘ及びポリシーｙに対して、ｂ＝（ｂ_１，・・・，ｂ_ｎ）∈｛０，１｝^ｎを以下の式（３）で定義する。

【0033】

【数11】

ここで、

【0034】

【数12】

は否定排他的論理和（ＸＮＯＲ）を表し、ｔｕｒｅは真理値を表す。また、ｘ_ｊは

【0035】

【数13】

のｊ番目の要素であり、ｙ_ｉは

【0036】

【数14】

のｉ番目の要素である。

【0037】

なお、上記の式（１）及び式（２）は鍵ポリシー属性ベース暗号における場合の表記であり、暗号文ポリシー属性ベース暗号では、属性の集合とポリシーの集合との定義内容が逆になる。

【0038】

・線形秘密分散
本実施形態では線形秘密分散法を用いる。線形秘密分散法は或る関数ｆ：｛０，１｝^ｎ→｛０，１｝に従って、秘密ベクトルｋを割り当てσ_１，・・・，σ_ｎに分散する方法である。分散された割り当てのうち、ｆ（ｂ）＝１となるようなビット列ｂのビットが１である部分に対応する割り当てを集めると元の秘密ベクトルｋを復元することができる。すなわち、ｆとｂとから簡単に計算できる集合Ｓが存在し、

【0039】

【数15】

という単純に割り当てを足し合わせるだけで復元できる。一方で、ｆ（ｂ）＝０となるようなビット列ｂのビットが１である部分に対応する割り当てを集めてもｋを復元することができない。

【0040】

線形秘密分散法は、以下の（Ｓ１）～（Ｓ４）に示すアルゴリズムより実現される。ここで、線形秘密分散法の入力は、単調論理式ｆ：｛０，１｝^ｎ→｛０，１｝と秘密ベクトル

【0041】

【数16】

である。以降では、この線形秘密分散法のアルゴリズムをＳｈａｒｅとも表す。

【0042】

（Ｓ１）論理回路で表されている単調論理式ｆの出力線（つまり、当該論理回路の出力線）にベクトルσ_ｏｕｔ：＝ｋを設定する。

【0043】

（Ｓ２）当該論理回路の各ＡＮＤゲートの入力線をａ及びｂ、出力線をｃとして、出力線ｃにベクトルσ_ｃが設定されている各ＡＮＤゲートについて、ベクトル

【0044】

【数17】

を選択した上で、ベクトルσ_ａ：＝σ_ｃ－ｕ_ｇとベクトルσ_ｂ：＝ｕ_ｇとを入力線ａと入力線ｂとにそれぞれ設定する。

【0045】

（Ｓ３）当該論理回路の各ＯＲゲートの入力線をａ及びｂ、出力線をｃとして、出力線ｃにベクトルσ_ｃが設定されている各ＯＲゲートについて、ベクトルσ_ａ：＝σ_ｃとσ_ｂ：＝σ_ｃとを入力線ａと入力線ｂとにそれぞれ設定する。

【0046】

（Ｓ４）単調論理式ｆの入力線１，・・・，ｎ（つまり、当該論理回路の入力線１，・・・，ｎ）に設定されたσ_１，・・・，σ_ｎを秘密ベクトルｋの割り当てとして出力する。

【0047】

なお、この線形秘密分散のアルゴリズムＳｈａｒｅは、群要素のベクトルに対しても同様に適用可能である。

【0048】

＜本実施形態に係る属性ベース暗号＞
本実施形態に係る属性ベース暗号として、本実施形態に係る鍵ポリシー属性ベース暗号と本実施形態に係る暗号文ポリシー属性ベース暗号とについて説明する。属性ベース暗号は４つのアルゴリズム（つまり、セットアップアルゴリズムＳｅｔｕｐ、暗号化アルゴリズムＥｎｃ、鍵生成アルゴリズムＫｅｙＧｅｎ及び復号アルゴリズムＤｅｃ）で構成される。本実施形態では、素数位数ｐの巡回群Ｇ_１、Ｇ_２及びＧ_Ｔとして、双線形写像ｅ：Ｇ_１×Ｇ_２→Ｇ_Ｔを持つものを用いる。これらの巡回群及び双線形写像をあわせて双線形群と呼ぶ。双線形群は既知のものを利用してもよいし、セットアップアルゴリズムＳｅｔｕｐで生成されてもよい。

【0049】

・行列の記法
まず、属性ベース暗号の各アルゴリズムの説明と、後述する属性ベースＫＥＭ（Key Encapsulation Mechanism）の各アルゴリズムの説明とで用いる行列の記法について説明する。

【0050】

ｋを任意の自然数として、

【0051】

【数18】

をＺ_ｐ上の（ｋ＋１）×ｋで最大階数の適当な行列の集合とする。このとき、

【0052】

【数19】

に対して、Ａ^＊、ａ_Ｒ及びａ^⊥を次のように定義する。すなわち、或る決まった方法により行列Ａから確定的に計算されるベクトルであって、

【0053】

【数20】

が基底となるものをａ_Ｒとする。また、

【0054】

【数21】

の左からｋ個の列（つまり、第１列目から第ｋ列目までの列）で構成される行列をＡ^＊、

【0055】

【数22】

の最も右側にある列をベクトルａ^⊥とする。これらのＡ^＊、ａ_Ｒ及びａ^⊥には以下の関係が成り立つ。

【0056】

【数23】

ここで、Ｉ_ｋはｋ×ｋの単位行列、Ｉ_ｋ＋１は（ｋ＋１）×（ｋ＋１）の単位行列である。

【0057】

また、行列Ｂ、ベクトルｂ_１及びベクトルｂ_２を、それぞれ、行列

【0058】

【数24】

の左からｋ個の列で構成される行列、第ｋ＋１列目の列を表すベクトル及び最も右側にある列（つまり、第ｋ＋２列目の列）を表すベクトルとする。ここで、ＧＬ_ｋ＋２（Ｚ_ｐ）は、Ｚ_ｐ上の（ｋ＋２）×（ｋ＋２）の正則行列全体の集合（つまり、サイズｋ＋２のＺ_ｐ上の一般線型群）である。

【0059】

同様に、行列Ｂ^＊、ベクトルｂ_１ ^＊及びベクトルｂ_２ ^＊を、それぞれ、行列

【0060】

【数25】

の左からｋ個の列で構成される行列、第ｋ＋１列目の列を表すベクトル及び最も右側にある列を表すベクトルとする。

【0061】

また、簡単のため、

【0062】

【数26】

をＢ_１２とも表す。この表記は他の場合（例えば、行列の場合等）にも同様に適用する。

【0063】

・本実施形態に係る鍵ポリシー属性ベース暗号
以降では、本実施形態に係る鍵ポリシー属性ベース暗号の各アルゴリズムについて説明する。ｋを任意の自然数として、

【0064】

【数27】

を関数とする。また、

【0065】

【数28】

をＫを添字とする関数族とし、

【0066】

【数29】

をＫの添字空間とする。このとき、本実施形態に係る鍵ポリシー属性ベース暗号のセットアップアルゴリズムＳｅｔｕｐ、暗号化アルゴリズムＥｎｃ、鍵生成アルゴリズムＫｅｙＧｅｎ及び復号アルゴリズムＤｅｃは、以下のように構成される。

【0067】

Ｓｅｔｕｐ（）：セットアップアルゴリズムＳｅｔｕｐは、以下により公開鍵ｐｋとマスター秘密鍵ｍｓｋとを出力する。

【0068】

【数30】

ここで、Ｇは双線形群であり、Ｇ：＝（ｐ，Ｇ_１，Ｇ_２，Ｇ_Ｔ，ｇ_１，ｇ_２，ｅ）である。また、ｇ_１及びｇ_２はそれぞれＧ_１及びＧ_２の生成元である。上述したように、双線形群Ｇは既知のものを利用してもよいし、セットアップアルゴリズムＳｅｔｕｐで生成されてもよい。

【0069】

Ｅｎｃ（ｐｋ，ｘ，Ｍ）：暗号化アルゴリズムＥｎｃは、公開鍵ｐｋと、属性

【0070】

【数31】

と、メッセージＭ∈Ｇ_Ｔとを入力して、以下により暗号文ｃｔ_ｘ（属性付き暗号文ｃｔ_ｘ）を出力する。

【0071】

【数32】

ＫｅｙＧｅｎ（ｐｋ，ｍｓｋ，ｙ）：鍵生成アルゴリズムＫｅｙＧｅｎは、公開鍵ｐｋと、マスター秘密鍵ｍｓｋと、ポリシー

【0072】

【数33】

とを入力して、以下により秘密鍵ｓｋ_ｙ（ポリシー付き秘密鍵ｓｋ_ｙ）を出力する。

【0073】

【数34】

ここで、π：［ｎ］→｛ｎ｜ｎは自然数｝はπ（ｉ）：＝｜｛ｊ｜ψ（ｊ）＝ψ（ｉ），ｊ≦ｉ｝｜となる関数であり、ｄはｆにおける同じ属性ラベルの出現回数の最大値（つまり、ｄ：＝ｍａｘ_{ｉ∈［ｎ］}π（ｉ））である。

【0074】

Ｄｅｃ（ｐｋ，ｃｔ_ｘ，ｓｋ_ｙ）：復号アルゴリズムＤｅｃは、公開鍵ｐｋと、暗号文ｃｔ_ｘと、秘密鍵ｓｋ_ｙとを入力して、上記の式（３）によってｘ及びｙからｂを計算した上で、ｆ（ｂ）＝０である場合は復号失敗を示す⊥を出力する。一方で、ｆ（ｂ）≠０である場合は

【0075】

【数35】

を満たす集合Ｓ⊆｛ｉ｜ｂ_ｉ＝１｝を計算し、以下によりＭ´を出力する。

【0076】

【数36】

ここで、Ｓ_１：＝Ｓ∩｛ｉ｜ｔ（ｉ）＝１｝、Ｓ_０：＝Ｓ∩｛ｉ｜ｔ（ｉ）＝０｝である。

【0077】

・本実施形態に係る暗号文ポリシー属性ベース暗号
以降では、本実施形態に係る暗号文ポリシー属性ベース暗号の各アルゴリズムについて説明する。ｋを任意の自然数として、ＧＬ_ｋ（Ｚ_ｐ）をサイズｋのＺ_ｐ上の一般線型群、

【0078】

【数37】

を関数とする。また、

【0079】

【数38】

をＫを添字とする関数族とし、

【0080】

【数39】

をＫの添字空間とする。このとき、本実施形態に係る暗号文ポリシー属性ベース暗号のセットアップアルゴリズムＳｅｔｕｐ、暗号化アルゴリズムＥｎｃ、鍵生成アルゴリズムＫｅｙＧｅｎ及び復号アルゴリズムＤｅｃは、以下のように構成される。

【0081】

Ｓｅｔｕｐ（）：セットアップアルゴリズムＳｅｔｕｐは、以下により公開鍵ｐｋとマスター秘密鍵ｍｓｋとを出力する。

【0082】

【数40】

ここで、Ｇは双線形群であり、Ｇ：＝（ｐ，Ｇ_１，Ｇ_２，Ｇ_Ｔ，ｇ_１，ｇ_２，ｅ）である。上述したように、双線形群Ｇは既知のものを利用してもよいし、セットアップアルゴリズムＳｅｔｕｐで生成されてもよい。

【0083】

Ｅｎｃ（ｐｋ，ｘ，Ｍ）：暗号化アルゴリズムＥｎｃは、公開鍵ｐｋと、ポリシー

【0084】

【数41】

と、メッセージＭ∈Ｇ_Ｔとを入力して、以下により暗号文ｃｔ_ｘ（ポリシー付き暗号文ｃｔ_ｘ）を出力する。

【0085】

【数42】

ここで、π：［ｎ］→｛ｎ｜ｎは自然数｝はπ（ｉ）：＝｜｛ｊ｜ψ（ｊ）＝ψ（ｉ），ｊ≦ｉ｝｜となる関数であり、ｄはｆにおける同じ属性ラベルの出現回数の最大値（つまり、ｄ：＝ｍａｘ_{ｉ∈［ｎ］}π（ｉ））である。

【0086】

ＫｅｙＧｅｎ（ｐｋ，ｍｓｋ，ｙ）：鍵生成アルゴリズムＫｅｙＧｅｎは、公開鍵ｐｋと、マスター秘密鍵ｍｓｋと、属性

【0087】

【数43】

とを入力して、以下により秘密鍵ｓｋ_ｙ（属性付き秘密鍵ｓｋ_ｙ）を出力する。

【0088】

【数44】

Ｄｅｃ（ｐｋ，ｃｔ_ｘ，ｓｋ_ｙ）：復号アルゴリズムＤｅｃは、公開鍵ｐｋと、暗号文ｃｔ_ｘと、秘密鍵ｓｋ_ｙとを入力して、上記の式（３）によってｘ及びｙからｂを計算した上で、ｆ（ｂ）＝０である場合は復号失敗を示す⊥を出力する。一方で、ｆ（ｂ）≠０である場合は

【0089】

【数45】

を満たす集合Ｓ⊆｛ｉ｜ｂ_ｉ＝１｝を計算し、以下によりＭ´を出力する。

【0090】

【数46】

ここで、Ｓ_１：＝Ｓ∩｛ｉ｜ｔ（ｉ）＝１｝、Ｓ_０：＝Ｓ∩｛ｉ｜ｔ（ｉ）＝０｝である。

【0091】

＜本実施形態に係る属性ベースＫＥＭ＞
上述した本実施形態に係る鍵ポリシー属性ベース暗号及び暗号文ポリシー属性ベース暗号は、ＫＥＭ方式にも応用可能である。一般的に公開鍵暗号技術は動作が遅いため、大容量のデータを暗号化する場合は、公開鍵暗号で共通鍵暗号に用いる秘密鍵を安全に配送し、データの方は共通鍵暗号で暗号化することが多い。共通鍵暗号の秘密鍵（以降、「共通鍵」とも表す。）を安全に配送するために用いられる方式がＫＥＭと呼ばれる。

【0092】

そこで、本実施形態に係る鍵ポリシー属性ベース暗号をＫＥＭに応用した鍵ポリシー属性ベースＫＥＭと、本実施形態に係る暗号文ポリシー属性ベース暗号をＫＥＭに応用した暗号文ポリシー属性ベースＫＥＭとについて説明する。

【0093】

・本実施形態に係る鍵ポリシー属性ベースＫＥＭ
以降では、本実施形態に係る鍵ポリシー属性ベースＫＥＭの各アルゴリズムについて説明する。関数Ｈ及び関数族Ｆ_Ｋは、上記で説明した「本実施形態に係る鍵ポリシー属性ベース暗号」と同様として、

【0094】

【数47】

を関数とする。ここで、

【0095】

【数48】

は共通鍵暗号の秘密鍵空間である。このとき、本実施形態に係る鍵ポリシー属性ベースＫＥＭのセットアップアルゴリズムＳｅｔｕｐ、暗号化アルゴリズムＥｎｃ、鍵生成アルゴリズムＫｅｙＧｅｎ及び復号アルゴリズムＤｅｃは、以下のように構成される。

【0096】

Ｓｅｔｕｐ（）：セットアップアルゴリズムＳｅｔｕｐは、以下により公開鍵ｐｋとマスター秘密鍵ｍｓｋとを出力する。

【0097】

【数49】

ここで、Ｇは双線形群であり、Ｇ：＝（ｐ，Ｇ_１，Ｇ_２，Ｇ_Ｔ，ｇ_１，ｇ_２，ｅ）である。上述したように、双線形群Ｇは既知のものを利用してもよいし、セットアップアルゴリズムＳｅｔｕｐで生成されてもよい。

【0098】

Ｅｎｃ（ｐｋ，ｘ）：暗号化アルゴリズムＥｎｃは、公開鍵ｐｋと、属性

【0099】

【数50】

とを入力して、以下により暗号文ｃｔ_ｘ（属性付き暗号文ｃｔ_ｘ）と、共通鍵Ｌとを出力する。

【0100】

【数51】

ＫｅｙＧｅｎ（ｐｋ，ｍｓｋ，ｙ）：鍵生成アルゴリズムＫｅｙＧｅｎは、公開鍵ｐｋと、マスター秘密鍵ｍｓｋと、ポリシー

【0101】

【数52】

とを入力して、以下により秘密鍵ｓｋ_ｙ（ポリシー付き秘密鍵ｓｋ_ｙ）を出力する。

【0102】

【数53】

ここで、π：［ｎ］→｛ｎ｜ｎは自然数｝はπ（ｉ）：＝｜｛ｊ｜ψ（ｊ）＝ψ（ｉ），ｊ≦ｉ｝｜となる関数であり、ｄはｆにおける同じ属性ラベルの出現回数の最大値（つまり、ｄ：＝ｍａｘ_{ｉ∈［ｎ］}π（ｉ））である。

【0103】

Ｄｅｃ（ｐｋ，ｃｔ_ｘ，ｓｋ_ｙ）：復号アルゴリズムＤｅｃは、公開鍵ｐｋと、暗号文ｃｔ_ｘと、秘密鍵ｓｋ_ｙとを入力して、上記の式（３）によってｘ及びｙからｂを計算した上で、ｆ（ｂ）＝０である場合は復号失敗を示す⊥を出力する。一方で、ｆ（ｂ）≠０である場合は

【0104】

【数54】

を満たす集合Ｓ⊆｛ｉ｜ｂ_ｉ＝１｝を計算し、以下により共通鍵Ｌ´を出力する。

【0105】

【数55】

ここで、Ｓ_１：＝Ｓ∩｛ｉ｜ｔ（ｉ）＝１｝、Ｓ_０：＝Ｓ∩｛ｉ｜ｔ（ｉ）＝０｝である。

【0106】

・本実施形態に係る暗号文ポリシー属性ベースＫＥＭ
以降では、本実施形態に係る暗号文ポリシー属性ベースＫＥＭの各アルゴリズムについて説明する。関数Ｈ及び関数族Ｆ_Ｋは、上記で説明した「本実施形態に係る暗号文ポリシー属性ベース暗号」と同様として、

【0107】

【数56】

を関数とする。ここで、

【0108】

【数57】

は共通鍵暗号の秘密鍵空間である。このとき、本実施形態に係る暗号文ポリシー属性ベースＫＥＭのセットアップアルゴリズムＳｅｔｕｐ、暗号化アルゴリズムＥｎｃ、鍵生成アルゴリズムＫｅｙＧｅｎ及び復号アルゴリズムＤｅｃは、以下のように構成される。

【0109】

Ｓｅｔｕｐ（）：セットアップアルゴリズムＳｅｔｕｐは、以下により公開鍵ｐｋとマスター秘密鍵ｍｓｋとを出力する。

【0110】

【数58】

ここで、Ｇは双線形群であり、Ｇ：＝（ｐ，Ｇ_１，Ｇ_２，Ｇ_Ｔ，ｇ_１，ｇ_２，ｅ）である。上述したように、双線形群Ｇは既知のものを利用してもよいし、セットアップアルゴリズムＳｅｔｕｐで生成されてもよい。

【0111】

Ｅｎｃ（ｐｋ，ｘ）：暗号化アルゴリズムＥｎｃは、公開鍵ｐｋと、ポリシー

【0112】

【数59】

とを入力して、以下により暗号文ｃｔ_ｘ（ポリシー付き暗号文ｃｔ_ｘ）と、共通鍵Ｌとを出力する。

【0113】

【数60】

ここで、π：［ｎ］→｛ｎ｜ｎは自然数｝はπ（ｉ）：＝｜｛ｊ｜ψ（ｊ）＝ψ（ｉ），ｊ≦ｉ｝｜となる関数であり、ｄはｆにおける同じ属性ラベルの出現回数の最大値（つまり、ｄ：＝ｍａｘ_{ｉ∈［ｎ］}π（ｉ））である。

【0114】

ＫｅｙＧｅｎ（ｐｋ，ｍｓｋ，ｙ）：鍵生成アルゴリズムＫｅｙＧｅｎは、公開鍵ｐｋと、マスター秘密鍵ｍｓｋと、属性

【0115】

【数61】

とを入力して、以下により秘密鍵ｓｋ_ｙ（属性付き秘密鍵ｓｋ_ｙ）を出力する。

【0116】

【数62】

Ｄｅｃ（ｐｋ，ｃｔ_ｘ，ｓｋ_ｙ）：復号アルゴリズムＤｅｃは、公開鍵ｐｋと、暗号文ｃｔ_ｘと、秘密鍵ｓｋ_ｙとを入力して、上記の式（３）によってｘ及びｙからｂを計算した上で、ｆ（ｂ）＝０である場合は復号失敗を示す⊥を出力する。一方で、ｆ（ｂ）≠０である場合は

【0117】

【数63】

を満たす集合Ｓ⊆｛ｉ｜ｂ_ｉ＝１｝を計算し、以下により共通鍵Ｌ´を出力する。

【0118】

【数64】

ここで、Ｓ_１：＝Ｓ∩｛ｉ｜ｔ（ｉ）＝１｝、Ｓ_０：＝Ｓ∩｛ｉ｜ｔ（ｉ）＝０｝である。

【0119】

＜暗号システム１の全体構成＞
次に、上記で説明した「本実施形態に係る鍵ポリシー属性ベース暗号」、「本実施形態に係る暗号文ポリシー属性ベース暗号」、「本実施形態に係る鍵ポリシー属性ベースＫＥＭ」及び「本実施形態に係る暗号文ポリシー属性ベースＫＥＭ」を実現する暗号システム１の全体構成について、図１を参照しながら説明する。図１は、本実施形態に係る暗号システム１の全体構成の一例を示す図である。

【0120】

図１に示すように、本実施形態に係る暗号システム１には、鍵生成装置１０と、暗号化装置２０と、復号装置３０とが含まれる。これらの各装置は、例えばインターネット等の通信ネットワークＮを介して通信可能に接続される。なお、図１に示す例では、暗号化装置２０及び復号装置３０がそれぞれ１台ずつである場合を示しているが、これらの装置はそれぞれ複数台存在してもよい。また、鍵生成装置１０も複数台存在してもよい。

【0121】

鍵生成装置１０は、セットアップアルゴリズムＳｅｔｕｐや鍵生成アルゴリズムＫｅｙＧｅｎを実行して鍵を生成するコンピュータ又はコンピュータシステムである。ここで、鍵生成装置１０は、セットアップ処理部１０１と、鍵生成処理部１０２と、記憶部１０３とを有する。なお、セットアップ処理部１０１及び鍵生成処理部１０２は、鍵生成装置１０にインストールされた１以上のプログラムがプロセッサ等に実行させる処理により実現される。また、記憶部１０３は、例えば、補助記憶装置等の各種メモリを用いて実現可能である。

【0122】

セットアップ処理部１０１は、セットアップアルゴリズムＳｅｔｕｐを実行する。鍵生成処理部１０２は、鍵生成アルゴリズムＫｅｙＧｅｎを実行する。記憶部１０３には、各種データ（例えば、セットアップアルゴリズムＳｅｔｕｐで出力された公開鍵ｐｋやマスター秘密鍵ｍｓｋ等）が記憶される。

【0123】

暗号化装置２０は、暗号化アルゴリズムＥｎｃを実行して暗号文を生成するコンピュータ又はコンピュータシステムである。ここで、暗号化装置２０は、暗号化処理部２０１と、記憶部２０２とを有する。暗号化処理部２０１は、暗号化装置２０にインストールされた１以上のプログラムがプロセッサ等に実行させる処理により実現される。また、記憶部２０２は、例えば、補助記憶装置等の各種メモリを用いて実現可能である。

【0124】

暗号化処理部２０１は、暗号化アルゴリズムＥｎｃを実行する。記憶部２０２には、各種データ（例えば、暗号化アルゴリズムＥｎｃに入力されるデータ等）が記憶される。

【0125】

復号装置３０は、復号アルゴリズムＤｅｃを実行して暗号文を復号するコンピュータ又はコンピュータシステムである。ここで、復号装置３０は、復号処理部３０１と、記憶部３０２とを有する。復号処理部３０１は、復号装置３０にインストールされた１以上のプログラムがプロセッサ等に実行させる処理により実現される。また、記憶部３０２は、例えば、補助記憶装置等の各種メモリを用いて実現可能である。

【0126】

復号処理部３０１は、復号アルゴリズムＤｅｃを実行する。記憶部３０２には、各種データ（例えば、復号アルゴリズムＤｅｃに入力されるデータや復号アルゴリズムＤｅｃにより出力されるデータ等）が記憶される。

【0127】

なお、図１に示す暗号システム１の構成は一例であって、他の構成であってもよい。例えば、暗号化装置２０と復号装置３０とが同一の装置で実現されていてもよい。この場合、当該装置は、例えば、暗号化処理部２０１と、復号処理部３０１と、記憶部とを有することなる。

【0128】

＜暗号システム１が実行する処理の流れ＞
以降では、本実施形態に係る暗号システム１が実行する処理の流れについて説明する。

【0129】

・本実施形態に係る鍵ポリシー属性ベース暗号
本実施形態に係る暗号システム１が「本実施形態に係る鍵ポリシー属性ベース暗号」を実現する場合には、以下のＳｔｅｐ１－１～Ｓｔｅｐ１－４が実行される。

【0130】

Ｓｔｅｐ１－１）鍵生成装置１０のセットアップ処理部１０１は、本実施形態に係る鍵ポリシー属性ベース暗号のセットアップアルゴリズムＳｅｔｕｐを実行する。これにより、公開鍵ｐｋとマスター秘密鍵ｍｓｋとが生成及び出力される。これらの公開鍵ｐｋ及びマスター秘密鍵ｍｓｋは記憶部１０３に記憶される。また、公開鍵ｐｋは公開される。

【0131】

Ｓｔｅｐ１－２）暗号化装置２０の暗号化処理部２０１は、公開鍵ｐｋと属性ｘとメッセージＭとを入力として、本実施形態に係る鍵ポリシー属性ベース暗号の暗号化アルゴリズムＥｎｃを実行する。これにより、属性付き暗号文ｃｔ_ｘが出力される。属性付き暗号文ｃｔ_ｘは、例えば、通信ネットワークＮを介して復号装置３０に送信される。属性付き暗号文ｃｔ_ｘは記憶部２０２に記憶されてもよい。

【0132】

Ｓｔｅｐ１－３）鍵生成装置１０の鍵生成処理部１０２は、公開鍵ｐｋとマスター秘密鍵ｍｓｋとポリシーｙとを入力として、本実施形態に係る鍵ポリシー属性ベース暗号の鍵生成アルゴリズムＫｅｙＧｅｎを実行する。これにより、ポリシー付き秘密鍵ｓｋ_ｙが生成される。ポリシー付き秘密鍵ｓｋ_ｙは、例えば、通信ネットワークＮを介して復号装置３０に送信される。

【0133】

Ｓｔｅｐ１－４）復号装置３０の復号処理部３０１は、公開鍵ｐｋと属性付き暗号文ｃｔ_ｘとポリシー付き秘密鍵ｓｋ_ｙとを入力として、本実施形態に係る鍵ポリシー属性ベース暗号の復号アルゴリズムＤｅｃを実行する。これにより、復号失敗を示す⊥又はメッセージＭ´のいずれかが出力される。この出力結果は、例えば、記憶部３０２に記憶される。

【0134】

・本実施形態に係る暗号文ポリシー属性ベース暗号
本実施形態に係る暗号システム１が「本実施形態に係る暗号文ポリシー属性ベース暗号」を実現する場合には、以下のＳｔｅｐ２－１～Ｓｔｅｐ２－４が実行される。

【0135】

Ｓｔｅｐ２－１）鍵生成装置１０のセットアップ処理部１０１は、本実施形態に係る暗号文ポリシー属性ベース暗号のセットアップアルゴリズムＳｅｔｕｐを実行する。これにより、公開鍵ｐｋとマスター秘密鍵ｍｓｋとが生成及び出力される。これらの公開鍵ｐｋ及びマスター秘密鍵ｍｓｋは記憶部１０３に記憶される。また、公開鍵ｐｋは公開される。

【0136】

Ｓｔｅｐ２－２）暗号化装置２０の暗号化処理部２０１は、公開鍵ｐｋとポリシーｘとメッセージＭとを入力として、本実施形態に係る暗号文ポリシー属性ベース暗号の暗号化アルゴリズムＥｎｃを実行する。これにより、ポリシー付き暗号文ｃｔ_ｘが出力される。ポリシー付き暗号文ｃｔ_ｘは、例えば、通信ネットワークＮを介して復号装置３０に送信される。ポリシー付き暗号文ｃｔ_ｘは記憶部２０２に記憶されてもよい。

【0137】

Ｓｔｅｐ２－３）鍵生成装置１０の鍵生成処理部１０２は、公開鍵ｐｋとマスター秘密鍵ｍｓｋと属性ｙとを入力として、本実施形態に係る暗号文ポリシー属性ベース暗号の鍵生成アルゴリズムＫｅｙＧｅｎを実行する。これにより、属性付き秘密鍵ｓｋ_ｙが生成される。属性付き秘密鍵ｓｋ_ｙは、例えば、通信ネットワークＮを介して復号装置３０に送信される。

【0138】

Ｓｔｅｐ２－４）復号装置３０の復号処理部３０１は、公開鍵ｐｋとポリシー付き暗号文ｃｔ_ｘと属性付き秘密鍵ｓｋ_ｙとを入力として、本実施形態に係る暗号文ポリシー属性ベース暗号の復号アルゴリズムＤｅｃを実行する。これにより、復号失敗を示す⊥又はメッセージＭ´のいずれかが出力される。この出力結果は、例えば、記憶部３０２に記憶される。

【0139】

・本実施形態に係る鍵ポリシー属性ベースＫＥＭ
本実施形態に係る暗号システム１が「本実施形態に係る鍵ポリシー属性ベースＫＥＭ」を実現する場合には、以下のＳｔｅｐ３－１～Ｓｔｅｐ３－４が実行される。

【0140】

Ｓｔｅｐ３－１）鍵生成装置１０のセットアップ処理部１０１は、本実施形態に係る鍵ポリシー属性ベースＫＥＭのセットアップアルゴリズムＳｅｔｕｐを実行する。これにより、公開鍵ｐｋとマスター秘密鍵ｍｓｋとが生成及び出力される。これらの公開鍵ｐｋ及びマスター秘密鍵ｍｓｋは記憶部１０３に記憶される。また、公開鍵ｐｋは公開される。

【0141】

Ｓｔｅｐ３－２）暗号化装置２０の暗号化処理部２０１は、公開鍵ｐｋと属性ｘとを入力として、本実施形態に係る鍵ポリシー属性ベースＫＥＭの暗号化アルゴリズムＥｎｃを実行する。これにより、属性付き暗号文ｃｔ_ｘと共通鍵Ｌとが出力される。属性付き暗号文ｃｔ_ｘは、例えば、通信ネットワークＮを介して復号装置３０に送信される。属性付き暗号文ｃｔ_ｘは記憶部２０２に記憶されてもよい。また、共通鍵Ｌは記憶部２０２に記憶される。

【0142】

Ｓｔｅｐ３－３）鍵生成装置１０の鍵生成処理部１０２は、公開鍵ｐｋとマスター秘密鍵ｍｓｋとポリシーｙとを入力として、本実施形態に係る鍵ポリシー属性ベースＫＥＭの鍵生成アルゴリズムＫｅｙＧｅｎを実行する。これにより、ポリシー付き秘密鍵ｓｋ_ｙが生成される。ポリシー付き秘密鍵ｓｋ_ｙは、例えば、通信ネットワークＮを介して復号装置３０に送信される。

【0143】

Ｓｔｅｐ３－４）復号装置３０の復号処理部３０１は、公開鍵ｐｋと属性付き暗号文ｃｔ_ｘとポリシー付き秘密鍵ｓｋ_ｙとを入力として、本実施形態に係る鍵ポリシー属性ベースＫＥＭの復号アルゴリズムＤｅｃを実行する。これにより、復号失敗を示す⊥又は共通鍵Ｋ´のいずれかが出力される。この出力結果は、例えば、記憶部３０２に記憶される。

【0144】

・本実施形態に係る暗号文ポリシー属性ベースＫＥＭ
本実施形態に係る暗号システム１が「本実施形態に係る暗号文ポリシー属性ベースＫＥＭ」を実現する場合には、以下のＳｔｅｐ４－１～Ｓｔｅｐ４－４が実行される。

【0145】

Ｓｔｅｐ４－１）鍵生成装置１０のセットアップ処理部１０１は、本実施形態に係る暗号文ポリシー属性ベースＫＥＭのセットアップアルゴリズムＳｅｔｕｐを実行する。これにより、公開鍵ｐｋとマスター秘密鍵ｍｓｋとが生成及び出力される。これらの公開鍵ｐｋ及びマスター秘密鍵ｍｓｋは記憶部１０３に記憶される。また、公開鍵ｐｋは公開される。

【0146】

Ｓｔｅｐ４－２）暗号化装置２０の暗号化処理部２０１は、公開鍵ｐｋとポリシーｘとを入力として、本実施形態に係る暗号文ポリシー属性ベースＫＥＭの暗号化アルゴリズムＥｎｃを実行する。これにより、ポリシー付き暗号文ｃｔ_ｘと共通鍵Ｌとが出力される。ポリシー付き暗号文ｃｔ_ｘは、例えば、通信ネットワークＮを介して復号装置３０に送信される。ポリシー付き暗号文ｃｔ_ｘは記憶部２０２に記憶されてもよい。また、共通鍵Ｌは記憶部２０２に記憶される。

【0147】

Ｓｔｅｐ４－３）鍵生成装置１０の鍵生成処理部１０２は、公開鍵ｐｋとマスター秘密鍵ｍｓｋと属性ｙとを入力として、本実施形態に係る暗号文ポリシー属性ベースＫＥＭの鍵生成アルゴリズムＫｅｙＧｅｎを実行する。これにより、属性付き秘密鍵ｓｋ_ｙが生成される。属性付き秘密鍵ｓｋ_ｙは、例えば、通信ネットワークＮを介して復号装置３０に送信される。

【0148】

Ｓｔｅｐ４－４）復号装置３０の復号処理部３０１は、公開鍵ｐｋとポリシー付き暗号文ｃｔ_ｘと属性付き秘密鍵ｓｋ_ｙとを入力として、本実施形態に係る暗号文ポリシー属性ベースＫＥＭの復号アルゴリズムＤｅｃを実行する。これにより、復号失敗を示す⊥又は共通鍵Ｌ´のいずれかが出力される。この出力結果は、例えば、記憶部３０２に記憶される。

【0149】

＜鍵生成装置１０、暗号化装置２０及び復号装置３０のハードウェア構成＞
次に、本実施形態に係る暗号システム１に含まれる鍵生成装置１０、暗号化装置２０及び復号装置３０のハードウェア構成について、図２を参照しながら説明する。図２は、本実施形態に係る鍵生成装置１０、暗号化装置２０及び復号装置３０のハードウェア構成の一例を示す図である。なお、本実施形態に係る鍵生成装置１０、暗号化装置２０及び復号装置３０は同様のハードウェア構成で実現可能であるため、以降では、主に、鍵生成装置１０のハードウェア構成について説明する。

【0150】

図２に示すように、本実施形態に係る鍵生成装置１０は、入力装置５０１と、表示装置５０２と、ＲＡＭ（Random Access Memory）５０３と、ＲＯＭ（Read Only Memory）５０４と、プロセッサ５０５と、外部Ｉ／Ｆ５０６と、通信Ｉ／Ｆ５０７と、補助記憶装置５０８とを有する。これら各ハードウェアは、それぞれがバス５０９を介して通信可能に接続されている。

【0151】

入力装置５０１は、例えばキーボードやマウス、タッチパネル等である。表示装置５０２は、例えばディスプレイ等である。なお、鍵生成装置１０、暗号化装置２０及び復号装置３０は、入力装置５０１及び表示装置５０２のうちの少なくとも一方を有していなくてもよい。

【0152】

ＲＡＭ５０３は、プログラムやデータを一時保持する揮発性の半導体メモリである。ＲＯＭ５０４は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリである。プロセッサ５０５は、例えばＣＰＵ（Central Processing Unit）等であり、ＲＯＭ５０４や補助記憶装置５０８等からプログラムやデータをＲＡＭ５０３上に読み出して処理を実行する演算装置である。

【0153】

外部Ｉ／Ｆ５０６は、外部装置とのインタフェースである。外部装置には、例えば、ＣＤ（Compact Disc）やＤＶＤ（Digital Versatile Disk）、ＳＤメモリカード（Secure Digital memory card）、ＵＳＢ（Universal Serial Bus）メモリカード等の記録媒体５０６ａ等がある。

【0154】

通信Ｉ／Ｆ５０７は、通信ネットワークに接続して他の装置と通信を行うためのインタフェースである。補助記憶装置５０８は、例えばＨＤＤ（Hard Disk Drive）やＳＳＤ（Solid State Drive）等の不揮発性の記憶装置である。

【0155】

本実施形態に係る鍵生成装置１０、暗号化装置２０及び復号装置３０は、図２に示すハードウェア構成を有することにより、上述した各アルゴリズムを実行して各種処理を実現することができる。なお、図２では、本実施形態に係る鍵生成装置１０、暗号化装置２０及び復号装置３０が１台の装置（コンピュータ）で実現されている場合を示したが、これに限られない。本実施形態に係る鍵生成装置１０、暗号化装置２０及び復号装置３０は、複数台の装置（コンピュータ）で実現されていてもよい。また、１台の装置（コンピュータ）には、複数のプロセッサ５０５や複数のメモリ（ＲＡＭ５０３やＲＯＭ５０４、補助記憶装置５０８等）が含まれていてもよい。

【0156】

＜まとめ＞
以上のように、本実施形態に係る暗号システム１では、「本実施形態に係る鍵ポリシー属性ベース暗号」、「本実施形態に係る暗号文ポリシー属性ベース暗号」、「本実施形態に係る鍵ポリシー属性ベースＫＥＭ」及び「本実施形態に係る暗号文ポリシー属性ベースＫＥＭ」を実現することができる。これらの暗号方式及びＫＥＭ方式は、効率的である一方で表現力はＯＴ方式に比べると低いＦＡＭＥと呼ばれる方式の構成技術をベースにしている。なお、ＦＡＭＥの詳細については、例えば、文献「S. Agrawal and M. Chase. FAME: Fast attribute-based message encryption. In ACM CCS, 2017.」を参照されたい。

【0157】

ＦＡＭＥは効率的な構成である一方でポリシーを表現する条件式の中で否定を使うことができなかった。これに対して、本実施形態に係る暗号方式（及びこの暗号方式を応用したＫＥＭ方式）では、ＦＡＭＥの構造を参考に効率的に動作する性質を保ちながら、条件式の否定と属性ラベルの複数回出現とを可能にするように設計している。これにより、本実施形態に係る暗号システム１は、暗号文や秘密鍵のサイズを増大させずに任意の条件式をポリシーとして利用可能で、かつ、効率的な属性ベース暗号（及びこの属性ベース暗号を応用したＫＥＭ）を実現することができる。

【0158】

より具体的には、本実施形態に係る暗号システム１が実現する属性ベース暗号（及びこの属性ベース暗号を応用したＫＥＭ）では、第一に、ＯＴ方式と比較して暗号文と秘密鍵の群要素の数が減っているため、暗号化及び鍵生成時の比較的重い計算であるべき乗計算の回数を大きく減らすことができる。したがって、暗号化及び鍵生成の計算時間を削減することができる。

【0159】

また、第二に、復号時に必要な重い計算であるペアリング演算の回数も大きく減るため、復号もＯＴ方式に比べて高速である。特に、ペアリング演算の回数は利用されるポリシーにもよるが、高速なケースではそのポリシーの変数の数倍以上の速さの復号が可能である。例えば、２０個の変数からなるポリシーを持つ暗号文又は秘密鍵を用いて復号処理を行う場合、２０倍以上の高速化が可能である。

【0160】

更に、本実施形態に係る暗号システム１が実現する属性ベース暗号（及びこの属性ベース暗号を応用したＫＥＭ）では、暗号文や鍵のサイズを増大させることなく、任意の条件式をポリシーとして利用可能である。すなわち、条件式の中に属性ラベルが任意の回数出てきてもよい。

【0161】

本発明は、具体的に開示された上記の実施形態に限定されるものではなく、請求の範囲の記載から逸脱することなく、種々の変形や変更等が可能である。

【符号の説明】

【0162】

１ 暗号システム
１０ 鍵生成装置
２０ 暗号化装置
３０ 復号装置
１０１ セットアップ処理部
１０２ 鍵生成処理部
１０３ 記憶部
２０１ 暗号化処理部
２０２ 記憶部
３０１ 復号処理部
３０２ 記憶部

【図1】

【図2】