ホーム > 特許ランキング > 日本電信電話株式会社
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-12-16
(45)【発行日】2024-12-24
(54)【発明の名称】暗号システム、暗号化装置、復号装置、方法、及びプログラム
(51)【国際特許分類】
H04L 9/32 20060101AFI20241217BHJP
【FI】
H04L9/32 200Z
【請求項の数】
6
(21)【出願番号】P 2023514282
(86)(22)【出願日】2021-04-15
(86)【国際出願番号】 JP2021015630
(87)【国際公開番号】W WO2022219785
(87)【国際公開日】2022-10-20
【審査請求日】2023-09-28
【新規性喪失の例外の表示】特許法第30条第2項適用 2021年1月15日にhttps://www.iwsec.org/scis/2021/program.htmlにて公開 2021年1月15日に2021年暗号と情報セキュリティシンポジウム(SCIS2021)論文集、講演番号1A1-2にて公開
(73)【特許権者】
【識別番号】000004226
【氏名又は名称】日本電信電話株式会社
(74)【代理人】
【識別番号】110004381
【氏名又は名称】弁理士法人ITOH
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(74)【代理人】
【識別番号】100124844
【弁理士】
【氏名又は名称】石原 隆治
(72)【発明者】
【氏名】草川 恵太
【審査官】松平 英
(56)【参考文献】
【文献】特表2015-501110(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F12/14
21/00-21/88
G09C 1/00-5/00
H04K 1/00-3/00
H04L 9/00-9/40
(57)【特許請求の範囲】
【請求項1】
タグベース暗号方式TBE=(GenTBE,EncTBE,DecTBE)と弱いコミットメント方式wCom=(Init,S,R)とメッセージ認証符号方式MAC=(T,V)とで構成される公開鍵暗号方式により暗号化及び復号を行う暗号システムであって、安全性パラメータをκとして、鍵生成アルゴリズムGenTBE(1κ)により暗号化鍵ekTBE及び復号鍵dkTBEを生成すると共に、初期化アルゴリズムInit(1κ)により共通パラメータpubを生成し、前記暗号化鍵ekTBEと前記共通パラメータpubとを前記公開鍵暗号方式の暗号化鍵ek、前記復号鍵dkTBEを前記公開鍵暗号方式の復号鍵dkとする鍵生成部と、
送信者アルゴリズムS(1κ,pub)により乱数rとコミットメントcomとデコミットメントdecとを生成し、暗号化対象の平文をmとして暗号化アルゴリズムEncTBE(ekTBE,com,(m,dec))により暗号文cを生成し、MAC生成アルゴリズムT(r,c)によりタグσを生成し、前記コミットメントcomと前記暗号文cと前記タグσとを前記公開鍵暗号方式の暗号文ctとする暗号化部と、
前記暗号文ctを前記コミットメントcomと前記暗号文cと前記タグσとにパースし、復号アルゴリズムDecTBE(dkTBE,com,c)により平文mとデコミットメントdecを生成し、受信者アルゴリズムR(pub,com,dec)により乱数値rにコミットできたか否かを検証し、前記コミットに成功した場合は検証アルゴリズムV(r,c,σ)により前記タグσを検証する復号部と、
を有する暗号システム。
【請求項2】
前記タグベース暗号方式TBEがINDr-st-wCCA安全、前記弱いコミットメント方式wComが安全かつINDr安全、前記メッセージ認証符号方式MACがsEUF-OT-CMA安全かつ疑似ランダムである場合、前記公開鍵暗号方式は、INDr-CCA安全であり、前記タグベース暗号方式TBEがOS-st-wCCA安全、前記弱いコミットメント方式wComが安全かつOS安全、前記メッセージ認証符号方式MACがsEUF-OT-CMA安全かつOS安全である場合、前記公開鍵暗号方式は、OS-CCA安全である、請求項1に記載の暗号システム。
【請求項3】
タグベース暗号方式TBE=(GenTBE,EncTBE,DecTBE)と弱いコミットメント方式wCom=(Init,S,R)とメッセージ認証符号方式MAC=(T,V)とで構成される公開鍵暗号方式により平文mを暗号化する暗号化装置であって、安全性パラメータをκ、共通パラメータをpubとして送信者アルゴリズムS(1κ,pub)により乱数rとコミットメントcomとデコミットメントdecとを生成し、前記公開鍵暗号方式の暗号化鍵をek=ekTBEとして暗号化アルゴリズムEncTBE(ekTBE,com,(m,dec))により暗号文cを生成し、MAC生成アルゴリズムT(r,c)によりタグσを生成し、前記コミットメントcomと前記暗号文cと前記タグσとを前記公開鍵暗号方式の暗号文ctとする暗号化部と、
前記暗号化装置と通信ネットワークを介して接続される復号装置に前記暗号文ctを送信する送信部と、
を有する暗号化装置。
【請求項4】
タグベース暗号方式TBE=(GenTBE,EncTBE,DecTBE)と弱いコミットメント方式wCom=(Init,S,R)とメッセージ認証符号方式MAC=(T,V)とで構成される公開鍵暗号方式により暗号文ctを復号する復号装置であって、安全性パラメータをκとして、鍵生成アルゴリズムGenTBE(1κ)により暗号化鍵ekTBE及び復号鍵dkTBEを生成すると共に、初期化アルゴリズムInit(1κ)により共通パラメータpubを生成し、前記暗号化鍵ekTBEと前記共通パラメータpubとを前記公開鍵暗号方式の暗号化鍵ek、前記復号鍵dkTBEを前記公開鍵暗号方式の復号鍵dkとする鍵生成部と、
前記暗号文ctをコミットメントcomと暗号文cとタグσとにパースし、復号アルゴリズムDecTBE(dkTBE,com,c)により平文mとデコミットメントdecを生成し、受信者アルゴリズムR(pub,com,dec)により乱数値rにコミットできたか否かを検証し、前記コミットに成功した場合は検証アルゴリズムV(r,c,σ)により前記タグσを検証する復号部と、
を有する復号装置。
【請求項5】
タグベース暗号方式TBE=(GenTBE,EncTBE,DecTBE)と弱いコミットメント方式wCom=(Init,S,R)とメッセージ認証符号方式MAC=(T,V)とで構成される公開鍵暗号方式により暗号化及び復号を行う暗号システムが、安全性パラメータをκとして、鍵生成アルゴリズムGenTBE(1κ)により暗号化鍵ekTBE及び復号鍵dkTBEを生成すると共に、初期化アルゴリズムInit(1κ)により共通パラメータpubを生成し、前記暗号化鍵ekTBEと前記共通パラメータpubとを前記公開鍵暗号方式の暗号化鍵ek、前記復号鍵dkTBEを前記公開鍵暗号方式の復号鍵dkとする鍵生成手順と、
送信者アルゴリズムS(1κ,pub)により乱数rとコミットメントcomとデコミットメントdecとを生成し、暗号化対象の平文をmとして暗号化アルゴリズムEncTBE(ekTBE,com,(m,dec))により暗号文cを生成し、MAC生成アルゴリズムT(r,c)によりタグσを生成し、前記コミットメントcomと前記暗号文cと前記タグσとを前記公開鍵暗号方式の暗号文ctとする暗号化手順と、
前記暗号文ctを前記コミットメントcomと前記暗号文cと前記タグσとにパースし、復号アルゴリズムDecTBE(dkTBE,com,c)により平文mとデコミットメントdecを生成し、受信者アルゴリズムR(pub,com,dec)により乱数値rにコミットできたか否かを検証し、前記コミットに成功した場合は検証アルゴリズムV(r,c,σ)により前記タグσを検証する復号手順と、
を実行する方法。
【請求項6】
コンピュータを、請求項3に記載の暗号化装置、又は、請求項4に記載の復号装置、として機能させるプログラム。【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号システム、暗号化装置、復号装置、方法、及びプログラムに関する。
【背景技術】
【0002】
IDベース暗号やタグベース暗号からBoneh-Katz変換(以下、BK変換ともいう。)によりIND-CCA安全な公開鍵暗号を構成する方法が知られている。例えば、非特許文献1には、IDベース暗号からBK変換によりIND-CCA安全な公開鍵暗号を構成する方法が記載されている。
【先行技術文献】
【非特許文献】
【0003】
【文献】Dan Boneh, Ran Canetti, Shai Halevi, and Jonathan Katz. Chosen-ciphertext security from identity-based encryption. SIAM J. Comput., 36(5):1301-1328, 2007.
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、非特許文献1等に記載されている従来方法では、暗号文の中に公開鍵を入れておくと、暗号文から誰宛て暗号文かが分かる等、十分に匿名性が確保できない、といった問題が存在する。
【0005】
本発明の一実施形態は、上記の点に鑑みてなされたもので、匿名性を確保した安全な公開鍵暗号を実現することを目的とする。
【課題を解決するための手段】
【0006】
上記目的を達成するため、一実施形態に係る暗号システムは、タグベース暗号方式TBE=(GenTBE,EncTBE,DecTBE)と弱いコミットメント方式wCom=(Init,S,R)とメッセージ認証符号方式MAC=(T,V)とで構成される公開鍵暗号方式により暗号化及び復号を行う暗号システムであって、安全性パラメータをκとして、鍵生成アルゴリズムGenTBE(1κ)により暗号化鍵ekTBE及び復号鍵dkTBEを生成すると共に、初期化アルゴリズムInit(1κ)により共通パラメータpubを生成し、前記暗号化鍵ekTBEと前記共通パラメータpubとを前記公開鍵暗号方式の暗号化鍵ek、前記復号鍵dkTBEを前記公開鍵暗号方式の復号鍵dkとする鍵生成部と、送信者アルゴリズムS(1κ,pub)により乱数rとコミットメントcomとデコミットメントdecとを生成し、暗号化対象の平文をmとして暗号化アルゴリズムEncTBE(ekTBE,com,(m,dec))により暗号文cを生成し、MAC生成アルゴリズムT(r,c)によりタグσを生成し、前記コミットメントcomと前記暗号文cと前記タグσとを前記公開鍵暗号方式の暗号文ctとする暗号化部と、前記暗号文ctを前記コミットメントcomと前記暗号文cと前記タグσとにパースし、復号アルゴリズムDecTBE(dkTBE,com,c)により平文mとデコミットメントdecを生成し、受信者アルゴリズムR(pub,com,dec)により乱数値rにコミットできたか否かを検証し、前記コミットに成功した場合は検証アルゴリズムV(r,c,σ)により前記タグσを検証する復号部と、を有する。
【発明の効果】
【0007】
匿名性を確保した安全な公開鍵暗号を実現することができる。
【図面の簡単な説明】
【0008】
【図1】本実施形態に係る暗号システムの全体構成の一例を示す図である。
【図2】コンピュータのハードウェア構成の一例を示す図である。
【図3】本実施形態に係る暗号システムの全体処理の流れの一例を示すシーケンス図である。
【発明を実施するための形態】
【0009】
以下、本発明の一実施形態について説明する。本実施形態では、匿名性を確保した安全な公開鍵暗号(以下、匿名公開鍵暗号ともいう。)を実現する暗号システム1について説明する。
【0010】
<準備>
以下では、匿名公開鍵暗号を説明するために必要な構成要素を準備する。
以下では、匿名公開鍵暗号を説明するために必要な構成要素を準備する。
【0011】
≪公開鍵暗号≫
公開鍵暗号方式PKEは、3つのアルゴリズム(GenPKE,EncPKE,DecPKE)で構成される。
公開鍵暗号方式PKEは、3つのアルゴリズム(GenPKE,EncPKE,DecPKE)で構成される。
【0012】
・GenPKE(1κ)→(ek,dk)
鍵生成アルゴリズムGenPKEは、安全性パラメータκを使った1κを入力とし、鍵のペア(ek,dk)を出力する。ekを暗号化鍵、dkを復号鍵と呼ぶ。なお、1κは1のκビット列を表す。正確にはκのことを安全性パラメータというが、誤解がない場合は1κのことを安全性パラメータと呼んでもよい。
鍵生成アルゴリズムGenPKEは、安全性パラメータκを使った1κを入力とし、鍵のペア(ek,dk)を出力する。ekを暗号化鍵、dkを復号鍵と呼ぶ。なお、1κは1のκビット列を表す。正確にはκのことを安全性パラメータというが、誤解がない場合は1κのことを安全性パラメータと呼んでもよい。
【0013】
・EncPKE(ek,m)→c
暗号化アルゴリズムEncPKEは、暗号化鍵ekと平文m∈Mを入力とし、暗号文c∈Cを出力する。なお、Mは平文空間、Cは暗号文空間を表す。
暗号化アルゴリズムEncPKEは、暗号化鍵ekと平文m∈Mを入力とし、暗号文c∈Cを出力する。なお、Mは平文空間、Cは暗号文空間を表す。
【0014】
・DecPKE(dk,c)→m/⊥
復号アルゴリズムDecPKEは、復号鍵dkと暗号文cを入力とし、平文m∈M又は拒否を表す記号⊥を出力する。なお、拒否を表す記号⊥は暗号文cの復号に失敗したことを意味し、平文空間Mには含まれない。
復号アルゴリズムDecPKEは、復号鍵dkと暗号文cを入力とし、平文m∈M又は拒否を表す記号⊥を出力する。なお、拒否を表す記号⊥は暗号文cの復号に失敗したことを意味し、平文空間Mには含まれない。
【0015】
≪タグベース暗号≫
タグベース暗号方式TBEは、3つのアルゴリズム(GenTBE,EncTBE,DecTBE)で構成される。
タグベース暗号方式TBEは、3つのアルゴリズム(GenTBE,EncTBE,DecTBE)で構成される。
【0016】
・GenTBE(1κ)→(ek,dk)
鍵生成アルゴリズムGenTBEは、安全性パラメータκを使った1κを入力とし、鍵のペア(ek,dk)を出力する。
鍵生成アルゴリズムGenTBEは、安全性パラメータκを使った1κを入力とし、鍵のペア(ek,dk)を出力する。
【0017】
・EncTBE(ek,τ,m)→c
暗号化アルゴリズムEncTBEは、暗号化鍵ekとタグτと平文m∈Mを入力とし、暗号文c∈Cを出力する。
暗号化アルゴリズムEncTBEは、暗号化鍵ekとタグτと平文m∈Mを入力とし、暗号文c∈Cを出力する。
【0018】
・DecTBE(dk,τ,c)→m/⊥
復号アルゴリズムDecTBEは、復号鍵dkとタグτと暗号文cを入力とし、平文m∈M又は拒否を表す記号⊥を出力する。
復号アルゴリズムDecTBEは、復号鍵dkとタグτと暗号文cを入力とし、平文m∈M又は拒否を表す記号⊥を出力する。
【0019】
≪弱いコミットメント≫
弱いコミットメント方式wComは、3つのアルゴリズム(Init,S,R)で構成される。
弱いコミットメント方式wComは、3つのアルゴリズム(Init,S,R)で構成される。
【0020】
・Init(1κ)→pub
初期化アルゴリズムInitは、安全性パラメータκを使った1κを入力とし、共通パラメータpubを出力する。
初期化アルゴリズムInitは、安全性パラメータκを使った1κを入力とし、共通パラメータpubを出力する。
【0021】
・S(1κ,pub)→(r,com,dec)
送信者アルゴリズムSは、安全性パラメータκを使った1κと共通パラメータpubを入力とし、乱数値r∈{0,1}κとコミットメントcomとデコミットメントdecを出力する。なお、{0,1}κはκビット長のバイナリ系列を表す。
送信者アルゴリズムSは、安全性パラメータκを使った1κと共通パラメータpubを入力とし、乱数値r∈{0,1}κとコミットメントcomとデコミットメントdecを出力する。なお、{0,1}κはκビット長のバイナリ系列を表す。
【0022】
・R(pub,com,dec)→r/⊥
受信者アルゴリズムRは、公開パラメータpubとコミットメントcomとデコミットメントdecを入力とし、乱数値r∈{0,1}κ又は拒否を表す記号⊥を出力する。なお、拒否を表す記号⊥はコミットに失敗したことを意味し、{0,1}κに含まれない。
受信者アルゴリズムRは、公開パラメータpubとコミットメントcomとデコミットメントdecを入力とし、乱数値r∈{0,1}κ又は拒否を表す記号⊥を出力する。なお、拒否を表す記号⊥はコミットに失敗したことを意味し、{0,1}κに含まれない。
【0023】
≪メッセージ認証符号≫
メッセージ認証符号方式MACは、2つのアルゴリズム(T,V)で構成される。
メッセージ認証符号方式MACは、2つのアルゴリズム(T,V)で構成される。
【0024】
・T(r,μ)→σ
MAC生成アルゴリズムTは、鍵r∈{0,1}κとメッセージμ∈{0,1}*を入力とし、タグσを出力する。なお、{0,1}*は任意長のバイナリ系列を表す。
MAC生成アルゴリズムTは、鍵r∈{0,1}κとメッセージμ∈{0,1}*を入力とし、タグσを出力する。なお、{0,1}*は任意長のバイナリ系列を表す。
【0025】
・V(r,μ,σ)→Τ/⊥
検証アルゴリズムVは、鍵rとメッセージμとタグσを入力とし、受諾を表す記号Τ又は拒否を表す記号⊥を出力する。なお、受諾を表す記号Tが出力された場合はタグσの検証に成功したことを意味し、拒否を表す記号⊥が出力された場合はタグσの検証に失敗したことを意味する。
検証アルゴリズムVは、鍵rとメッセージμとタグσを入力とし、受諾を表す記号Τ又は拒否を表す記号⊥を出力する。なお、受諾を表す記号Tが出力された場合はタグσの検証に成功したことを意味し、拒否を表す記号⊥が出力された場合はタグσの検証に失敗したことを意味する。
【0026】
<匿名公開鍵暗号>
次に、上記で準備したタグベース暗号方式TBEと弱いコミットメント方式wComとメッセージ認証符号方式MACとを用いて、本実施形態に係る匿名公開鍵暗号方式PKEを構成する。なお、この構成方法そのものは、上記の非特許文献1に記載されているBK変換である。ただし、上記の非特許文献1では、タグベース暗号方式TBEではなく、IDベース暗号方式IBEを用いている。
次に、上記で準備したタグベース暗号方式TBEと弱いコミットメント方式wComとメッセージ認証符号方式MACとを用いて、本実施形態に係る匿名公開鍵暗号方式PKEを構成する。なお、この構成方法そのものは、上記の非特許文献1に記載されているBK変換である。ただし、上記の非特許文献1では、タグベース暗号方式TBEではなく、IDベース暗号方式IBEを用いている。
【0027】
本実施形態に係る匿名公開鍵暗号方式PKE=(GenPKE,EncPKE,DecPKE)では、各アルゴリズムを以下のように構成する。なお、以下では、タグベース暗号方式TBEの暗号化鍵ek及び復号鍵dkをそれぞれekTBE及びdkTBEと表す。
【0028】
・GenPKE(1κ)→(ek,dk)
鍵生成アルゴリズムGenPKEは、安全性パラメータκを使った1κを入力とし、暗号化鍵ekと復号鍵dkのペア(ek,dk)を出力する。このとき、鍵生成アルゴリズムGenPKEは、以下のStep1-1~Step1-3により(ek,dk)を出力する。ただし、Step1-1とStep1-2は順不同である。
鍵生成アルゴリズムGenPKEは、安全性パラメータκを使った1κを入力とし、暗号化鍵ekと復号鍵dkのペア(ek,dk)を出力する。このとき、鍵生成アルゴリズムGenPKEは、以下のStep1-1~Step1-3により(ek,dk)を出力する。ただし、Step1-1とStep1-2は順不同である。
【0029】
Step1-1:(ekTBE,dkTBE)←GenTBE(1κ)
Step1-2:pub←Init(1κ)
Step1-3:ek:=(ekTBE,pub)とdk:=dkTBEを出力する。
Step1-2:pub←Init(1κ)
Step1-3:ek:=(ekTBE,pub)とdk:=dkTBEを出力する。
【0030】
・EncPKE(ek,m)→ct
暗号化アルゴリズムEncPKEは、暗号化鍵ekと平文m∈Mを入力とし、暗号文ct∈Cを出力する。このとき、暗号化アルゴリズムEncPKEは、以下のStep2-1~Step2-4により暗号文ctを出力する。
暗号化アルゴリズムEncPKEは、暗号化鍵ekと平文m∈Mを入力とし、暗号文ct∈Cを出力する。このとき、暗号化アルゴリズムEncPKEは、以下のStep2-1~Step2-4により暗号文ctを出力する。
【0031】
Step2-1:(r,com,dec)←S(1κ,pub)
Step2-2:c←EncTBE(ekTBE,com,(m,dec))
Step2-3:σ←T(r,c)
Step2-4:ct:=(com,c,σ)を出力する。
Step2-2:c←EncTBE(ekTBE,com,(m,dec))
Step2-3:σ←T(r,c)
Step2-4:ct:=(com,c,σ)を出力する。
【0032】
・DecPKE(dk,ct)→m/⊥
復号アルゴリズムDecPKEは、復号鍵dkと暗号文ctを入力とし、平文m∈M又は拒否を表す記号⊥を出力する。このとき、復号アルゴリズムDecPKEは、以下のStep3-1~Step3-4により平文m又は拒否を表す記号⊥を出力する。
復号アルゴリズムDecPKEは、復号鍵dkと暗号文ctを入力とし、平文m∈M又は拒否を表す記号⊥を出力する。このとき、復号アルゴリズムDecPKEは、以下のStep3-1~Step3-4により平文m又は拒否を表す記号⊥を出力する。
【0033】
Step3-1:ct=(com,c,σ)をパースする。なお、ctをパースするとは、ctからcomとcとσを取り出すことを意味する。
【0034】
Step3-2:(m,dec)←DecTBE(dkTBE,com,c);そして、(m,dec)=⊥である場合は、拒否を表す記号⊥を出力
Step3-3:r←R(pub,com,dec);そして、r=⊥である場合は、拒否を表す記号⊥を出力
Step3-4:V(r,c,σ)=⊥である場合は⊥を出力し、そうでない場合はmを出力する。
Step3-3:r←R(pub,com,dec);そして、r=⊥である場合は、拒否を表す記号⊥を出力
Step3-4:V(r,c,σ)=⊥である場合は⊥を出力し、そうでない場合はmを出力する。
【0035】
<安全性について>
上記で構成した匿名公開鍵暗号方式PKEは、その構成要素であるタグベース暗号方式TBEと弱いコミットメント方式wComとメッセージ認証符号方式MACの安全性に応じて、その安全性も変化する。
上記で構成した匿名公開鍵暗号方式PKEは、その構成要素であるタグベース暗号方式TBEと弱いコミットメント方式wComとメッセージ認証符号方式MACの安全性に応じて、その安全性も変化する。
【0036】
・BKの変換の場合(従来技術と同等)
タグベース暗号方式TBEがIND-st-wCCA安全
弱いコミットメント方式wComが安全
メッセージ認証符号方式MACがsEUF-OT-CMA安全
である場合は、匿名公開鍵暗号方式PKEはIND-CCA安全となる。
タグベース暗号方式TBEがIND-st-wCCA安全
弱いコミットメント方式wComが安全
メッセージ認証符号方式MACがsEUF-OT-CMA安全
である場合は、匿名公開鍵暗号方式PKEはIND-CCA安全となる。
【0037】
・安全性パターン1
タグベース暗号方式TBEがINDr-st-wCCA安全
弱いコミットメント方式wComが安全かつINDr安全
メッセージ認証符号方式MACがsEUF-OT-CMA安全かつ疑似ランダム
である場合は、匿名公開鍵暗号方式PKEはINDr-CCA安全となる。
タグベース暗号方式TBEがINDr-st-wCCA安全
弱いコミットメント方式wComが安全かつINDr安全
メッセージ認証符号方式MACがsEUF-OT-CMA安全かつ疑似ランダム
である場合は、匿名公開鍵暗号方式PKEはINDr-CCA安全となる。
【0038】
・安全性パターン2
タグベース暗号方式TBEがOS-st-wCCA安全
弱いコミットメント方式wComが安全かつOS安全
メッセージ認証符号方式MACがsEUF-OT-CMA安全かつOS安全
である場合は、匿名公開鍵暗号方式PKEはOS-CCA安全となる。
タグベース暗号方式TBEがOS-st-wCCA安全
弱いコミットメント方式wComが安全かつOS安全
メッセージ認証符号方式MACがsEUF-OT-CMA安全かつOS安全
である場合は、匿名公開鍵暗号方式PKEはOS-CCA安全となる。
【0039】
このように、上記で構成した匿名公開鍵暗号方式PKEはその構成要素の安全性を変化させることで、当該匿名公開鍵暗号方式PKEの安全性も変化する。また、上記の通り、安全性パターン1及び安全性パターン2では、匿名公開鍵暗号方式PKEの安全性はそれぞれINDr-CCA安全及びOS-CCA安全となる。このため、タグベース暗号方式TBE、弱いコミットメント方式wCom、及びメッセージ認証符号方式MACの安全性として安全性パターン1又は安全性パターン2を採用することで、匿名性を確保した安全な公開鍵暗号方式PKEを実現することができる。なお、安全性パターン1の場合に匿名公開鍵暗号方式PKEがINDr-CCA安全であること、安全性パターン2の場合に匿名公開鍵暗号方式PKEがOS-CCA安全であることはいずれも証明可能である。
【0040】
なお、上記の各安全性の定義は一般的に知られているものであるが、必要に応じて以下の参考文献等を参照されたい。
【0041】
参考文献1:Ran Canetti and Marc Fischlin. Universally composable commitments. In Joe Kilian, editor, CRYPTO 2001, volume 2139 of LNCS, pages 19-40. Springer, Heidelberg, August 2001.
参考文献2:Charles Rackoff and Daniel R. Simon. Noninteractive zero-knowledge proof of knowledge and chosen ciphertext attack. In Joan Feigenbaum, editor, CRYPTO'91, volume 576
of LNCS, pages 433-444. Springer, Heidelberg, August 1992.
参考文献3:Mihir Bellare, Anand Desai, David Pointcheval, and Phillip Rogaway. Relations among notions of security for public-key encryption schemes. In Hugo Krawczyk, editor, CRYPTO'98, volume 1462 of LNCS, pages 26-45. Springer, Heidelberg, August 1998.
参考文献4:Eike Kiltz. Chosen-ciphertext security from tag-based encryption. In Shai Halevi and Tal Rabin, editors, TCC 2006, volume 3876 of LNCS, pages 581-600. Springer, Heidelberg, March 2006.
<暗号システム1の全体構成>
次に、本実施形態に係る暗号システム1の全体構成について、図1を参照しながら説明する。図1は、本実施形態に係る暗号システム1の全体構成の一例を示す図である。
参考文献2:Charles Rackoff and Daniel R. Simon. Noninteractive zero-knowledge proof of knowledge and chosen ciphertext attack. In Joan Feigenbaum, editor, CRYPTO'91, volume 576
of LNCS, pages 433-444. Springer, Heidelberg, August 1992.
参考文献3:Mihir Bellare, Anand Desai, David Pointcheval, and Phillip Rogaway. Relations among notions of security for public-key encryption schemes. In Hugo Krawczyk, editor, CRYPTO'98, volume 1462 of LNCS, pages 26-45. Springer, Heidelberg, August 1998.
参考文献4:Eike Kiltz. Chosen-ciphertext security from tag-based encryption. In Shai Halevi and Tal Rabin, editors, TCC 2006, volume 3876 of LNCS, pages 581-600. Springer, Heidelberg, March 2006.
<暗号システム1の全体構成>
次に、本実施形態に係る暗号システム1の全体構成について、図1を参照しながら説明する。図1は、本実施形態に係る暗号システム1の全体構成の一例を示す図である。
【0042】
図1に示すように、本実施形態に係る暗号システム1には、暗号化装置10と、復号装置20とが含まれる。また、暗号化装置10と復号装置20は、インターネット等の通信ネットワーク30を介して通信可能に接続される。
【0043】
暗号化装置10は、平文mを暗号化する端末や機器等の各種情報処理装置である。暗号化装置10は、暗号化処理部101と、記憶部102とを有する。暗号化処理部101は、匿名公開鍵暗号方式PKEの暗号化アルゴリズムEncPKEにより平文mを暗号化する。記憶部102には、匿名公開鍵暗号方式PKEの暗号化アルゴリズムEncPKEの実行に必要な各種情報(例えば、暗号化鍵ek、安全性パラメータκ、共通パラメータpub等)が記憶される。
【0044】
復号装置20は、暗号文ctを復号する端末や機器等の各種情報処理装置である。復号装置20は、鍵生成処理部201と、復号処理部202と、記憶部203とを有する。鍵生成処理部201は、匿名公開鍵暗号方式PKEの鍵生成アルゴリズムGenPKEにより暗号化鍵ek及び復号鍵dkを生成する。復号処理部202は、匿名公開鍵暗号方式PKEの復号アルゴリズムDecPKEにより暗号文ctを復号する。記憶部203には、匿名公開鍵暗号方式PKEの鍵生成アルゴリズムGenPKEや復号アルゴリズムDecPKEの実行に必要な情報(例えば、安全性パラメータκ、共通パラメータpub、復号鍵dk等)が記憶される。なお、以下では、安全性パラメータκ及び共通パラメータpubを公開パラメータともいう。
【0045】
なお、図1に示す例では、匿名公開鍵暗号方式PKEの暗号化鍵ek及び復号鍵dkを復号装置20が生成しているが、これは一例であって、例えば、鍵生成局等として機能するサーバが当該暗号化鍵ek及び復号鍵dkを生成してもよい。この場合、当該サーバが鍵生成処理部201を有しており、この鍵生成処理部201により暗号化鍵ek及び復号鍵dkが生成され、当該復号鍵dkは何等かのセキュアな方法で復号装置20に配布される一方で、当該暗号化鍵ekと公開パラメータは暗号化装置10及び復号装置20に公開される。
【0046】
<暗号システム1のハードウェア構成>
次に、本実施形態に係る暗号システム1に含まれる暗号化装置10及び復号装置20のハードウェア構成について説明する。これらの暗号化装置10及び復号装置20は、例えば、図2に示すコンピュータ500のハードウェア構成により実現可能である。
次に、本実施形態に係る暗号システム1に含まれる暗号化装置10及び復号装置20のハードウェア構成について説明する。これらの暗号化装置10及び復号装置20は、例えば、図2に示すコンピュータ500のハードウェア構成により実現可能である。
【0047】
図2に示すコンピュータ500は、ハードウェアとして、入力装置501と、表示装置502と、外部I/F503と、通信I/F504と、プロセッサ505と、メモリ装置506とを有する。これらの各ハードウェアは、それぞれがバス507を介して通信可能に接続されている。
【0048】
入力装置501は、例えば、キーボードやマウス、タッチパネル等である。表示装置502は、例えば、ディスプレイ等である。なお、コンピュータ500は、入力装置501及び表示装置502のうちの少なくとも一方を有していなくてもよい。
【0049】
外部I/F503は、記録媒体503a等の外部装置とのインタフェースである。なお、記録媒体503aとしては、例えば、CD(Compact Disc)、DVD(Digital Versatile Disk)、SDメモリカード(Secure Digital memory card)、USB(Universal Serial Bus)メモリカード等が挙げられる。
【0050】
通信I/F504は、通信ネットワーク30に接続するためのインタフェースである。プロセッサ505は、例えば、CPU(Central Processing Unit)やGPU(Graphics Processing Unit)等といった各種演算装置である。メモリ装置506は、例えば、HDD(Hard Disk Drive)やSSD(Solid State Drive)、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ等といった各種記憶装置である。
【0051】
本実施形態に係る暗号化装置10及び復号装置20は、図2に示すコンピュータ500のハードウェア構成により、後述する各種処理を実現することができる。なお、図2に示すコンピュータ500のハードウェア構成は一例であって、暗号システム1が適用される対象の用途等に応じて種々のハードウェア構成が採用されてもよい。
【0052】
なお、暗号化処理部101は、例えば、暗号化装置10にインストールされた1以上のプログラムが、当該暗号化装置10を実現するコンピュータ500のプロセッサ505に実行させる処理により実現される。また、記憶部102は、例えば、当該暗号化装置10を実現するコンピュータ500のメモリ装置506により実現される。
【0053】
同様に、鍵生成処理部201及び復号処理部202は、例えば、復号装置20にインストールされた1以上のプログラムが、当該復号装置20を実現するコンピュータ500のプロセッサ505に実行させる処理により実現される。また、記憶部203は、例えば、当該復号装置20を実現するコンピュータ500のメモリ装置506により実現される。
【0054】
<暗号システム1の全体処理>
次に、本実施形態に係る暗号システム1の全体処理の流れについて、図3を参照しながら説明する。図3は、本実施形態に係る暗号システム1の全体処理の流れの一例を示すシーケンス図である。
次に、本実施形態に係る暗号システム1の全体処理の流れについて、図3を参照しながら説明する。図3は、本実施形態に係る暗号システム1の全体処理の流れの一例を示すシーケンス図である。
【0055】
まず、復号装置20の鍵生成処理部201は、匿名公開鍵暗号方式PKEの鍵生成アルゴリズムGenPKE(1κ)を実行し、暗号化鍵ekと復号鍵dkとを生成する(ステップS101)。なお、復号鍵dkは記憶部203に保存される。
【0056】
次に、復号装置20の鍵生成処理部201は、公開パラメータ(つまり、安全性パラメータκ及び共通パラメータpub)と、上記のステップS101で生成された暗号化鍵ekとを暗号化装置10に送信する(ステップS102)。なお、本ステップでは公開パラメータと暗号化鍵ekとを暗号化装置10に送信しているが、必ずしも送信する必要はなく、例えば、暗号化装置10が参照可能なサーバ等に保存されてもよい。
【0057】
暗号化装置10の暗号化処理部101は、匿名公開鍵暗号方式PKEの暗号化アルゴリズムEncPKE(ek,m)を実行し、平文mを暗号化する(ステップS103)。これにより、暗号文ctが生成される。
【0058】
次に、暗号化装置10の暗号化処理部101は、上記のステップS103で生成された暗号文ctを復号装置20に送信する(ステップS104)。
【0059】
復号装置20の復号処理部202は、匿名公開鍵暗号方式PKEの復号アルゴリズムDecPKE(dk,ct)を実行し、暗号文ctを復号する(ステップS105)。これにより、平文mが生成される。
【0060】
本発明は、具体的に開示された上記の実施形態に限定されるものではなく、請求の範囲の記載から逸脱することなく、種々の変形や変更、既知の技術との組み合わせ等が可能である。
【符号の説明】
【0061】
1 暗号システム
10 暗号化装置
20 復号装置
30 通信ネットワーク
101 暗号化処理部
102 記憶部
201 鍵生成処理部
202 復号処理部
203 記憶部
10 暗号化装置
20 復号装置
30 通信ネットワーク
101 暗号化処理部
102 記憶部
201 鍵生成処理部
202 復号処理部
203 記憶部
【図1】
【図2】
【図3】