加密装置、解密装置、加密方法、解密方法、安全方法、程序以及记录介质的制作方法

专利名称：加密装置、解密装置、加密方法、解密方法、安全方法、程序以及记录介质的制作方法
技术领域：
本发明涉及安全技术，尤其涉及密码技术。
背景技术：
在密码研究领域之一中，存在具有对于选择密码文攻击(CCA :Chosen ciphertext attack)的安全性(CCA安全性)的密码方式(CCA安全的密码方式)的构筑。尤其近年来， 广泛地进行如下的研究根据仅具有对于选择平文攻击(CPA =Chosen Plaintext Attack) 的安全性的基于ID密码(IBE Jdentity-based Encrption)(例如参照非专利文献1)，构成CCA安全的密码方式。例如，在非专利文献2中提出了如下方法(CHK变换方式)使用 One-Time署名，根据CPA安全的任意的基于ID密码来构成CCA安全的密码方式。此外，例如在非专利文献3中提出了如下的方法(BK变换方式)使用消息认证符(MAC=Message Authentication Code)和比特承诺(commitment)方式，根据CPA安全的任意的基于ID密码来构成CCA安全的密码方式。现有技术文献非专利文献1 :D. Boneh, Μ. Franklin, “Identity based encryption from the Weil pairing, " Crypto 2001, Lecture Notes in Computer Science, Vol. 2139, Springer-Verlag, pp.213-229，2001.非专禾O 文献 2 :R. Canetti, S. Halevi, J. Katz, "Chosen-Ciphertext Security fromldentity-Based Encryption,"Proc. of EUR0CRYPT' 04, LNCS 3027, pp.207-222, 2004.# 专禾I」文 ^ 3 :D. Boneh, J. Katz,"Improved Efficiency for CCA-Secure Cryptosystems Built UsingIdentity-Based Encryption,"Proc. of CT-RSA' 05, LNCS 3376，pp.87-103,2005.

发明内容
发明要解决的课题通过上述的CHK变换方式而生成的密码文包含平文的密码文、该平文的密码文的One-Time署名、以及用于验证该One-Time署名的署名密钥。因此，在该CHK变换方式的密码文空间中，不仅需要用于平文的密码文的空间，还需要用于One-Time署名和署名密钥的空间。此外，通过上述的BK变换方式而生成的密码文包含平文的密码文、消息认证符、 以及比特承诺列。因此，在BK变换方式的密码文空间中，不仅需要用于平文的密码文的空间，还需要用于消息认证符和比特承诺列的空间。即，在CHK变换方式和BK变换方式的密码文空间中，额外地设置了仅用于提高CCA安全性的二维空间。但是，随着密码文空间的尺寸变大而运算量和数据量增加，因此期望密码文空间的尺寸尽量小。
此外，在基于ID密码中，加密人员必须在进行加密之前取得解密人员的ID。与此相对，如果能够构成如下的方式则便利加密人员能够无需确定解密人员而生成密码文，符合规定的条件的人员能够解密该密码文。本发明鉴于这样的点而完成，提供一种便利性高、无需在密码文空间中设置仅用于提高CCA安全性的空间而能够提高CCA安全性的密码方式。用于解决课题的手段在本发明的加密处理中，至少，将平文M和共同密钥K输入到共同密钥密码函数来计算第一密码文C1，将包含与共同密钥K对应的值和与第一密码文C1对应的值的值输入到冲突困难的函数H来计算函数H的函数值，使用与函数H的函数值对应的值r、与共同密钥 K对应的值P、n维向量ν — = (V1,... ,vn)的元素νμ(μ = 1，...，η、η彡1)、以巡回群& 的η+1个元为元素的η+1维基底向量h e G111+1 (i = 1，...，n+1)来计算第二密码文C2 = r· (Σ F1nVli -bJ + P .Iv1GG1n^在与此对应的解密处理中，至少，将第二密码文C2 e G1n^和密钥信息D广= α -(Σ μ=>μ ·Κ*)+ 3η+1*￡(;2η+1输入到双线型函数e来计算函数值S =MC2J1*) e Gt, 将与函数值S 对应的值和第一密码文C1输入到冲突困难的函数H来计算函数H的函数值。 其中，在密钥信息D1*正确的情况下，“与函数值S 对应的值”与在加密处理中输入到冲突困难的函数H的“与共同密钥K对应的值”相等。然后，对值P ；与函数H的函数值对应的值r 、η维向量vl勺元素νμ、基底向量h e G11^i = 1，...，η+1)，判定是否满足C2 = r · (Σ ^1nV, .bJ + P .Iv1GG11^这里，在加密处理的处理中使用的值r对应于，将包含与共同密钥K对应的值和与第一密码文C1对应的值的值输入到冲突困难的函数H而得到的函数值。因此，若第一密码文C1或共同密钥K不同，则值r也不同。因此，不知道共同密钥K的攻击者即使能够根据正确取得的第一密码文C/来生成与其不同的第一密码文C1,也无法正确生成与所生成的第一密码文C1对应的值r。因此，在解密处理中，将与函数值S 对应的值和第一密码文C1输入到冲突困难的函数H来复原值r ，并判定是否满足C2 = r ·( Σ μ = !nvu ·Κ) + ρ *bn+1 e G111+1,从而能够提高CCA安全性。其中，“与值1对应的值2”意味着，值2是值1的情况、或者值2是至少依赖于值1的值的情况。此外，仅通过用于作为第二密码文C2的基本结构的η维向量ν — = (V1, ...，νη) 的η维空间和用于与包含共同密钥K的值对应的值P的1维空间，构成第二密码文C2 = r· (Σ μ=1ηνμ ·Κ) + ρ -bn+1 eGf1。即，第二密码文C2不需要仅用于提高CCA安全性的空间。此外，本发明的加密处理的一例中，将平文M和共同密钥K输入到共同密钥密码函数来计算第一密码文C1，将共同密钥K和第一密码文C1输入到冲突困难的函数H来计算值 r和P，计算将τ设为加法单位元以外的常数的情况下的函数值S = g/'P e GT，计算作为将函数值S输入到单射函数R而得到的二进制序列即函数值与共同密钥K的逻辑异或值的第三密码文C3,并计算第二密码密码文C2 = r· (Σ·Κ) + ρ · bn+1 e G1^10在与此对应的解密处理中，例如，将第二密码文C2 e G广1和密钥信息D1*输入到双线型函数e来计算函数值S =θ^, ；) e GT，计算将函数值S 输入到单射函数R而得到的二进制序列即函数值R(S )与第三密码文C3的逻辑异或值K ，将逻辑异或值K 和第
11一密码文C1输入到冲突困难的函数H来计算值r 和P ，计算函数值C厂=! (Eli = !nVu -bu) + P ^.bn+1 G G1"+1,并判定函数值C厂与第二密码文C2是否相等，在判定结果表示 函数值C厂与第二密码文C2相等的情况下，将逻辑异或值K 作为共同密钥，将该逻辑异或 值K 和第一密码文C1输入到共同密钥解密函数来计算解密值M:此外，在加密处理的其他例子中，选择值P，计算将て设为加法単位元以外的常 数的情况下的函数值S = ‘p e Gt，将把函数值S输入到単射函数R而得到的函数值 R(S)设为共同密钥K，将该共同密钥K和平文M输入到共同密钥密码函数来计算第一密码 文C1，将函数值S和第一密码文C1输入到冲突困难的函数H来计算值r，计算第二密码文C2 =r. (E ^1nV, -bu) + P IviEG1n^在与此对应的解密处理中，例如，将第二密码文C2 G G广1和密钥信息D广输入到双 线型函数e来计算函数值S =e(C2, D1*) G Gt，将函数值S 和第一密码文C1输入到冲突 困难的函数H来计算值r又使用第二密码文C2和值r 和n维向量vヰ的各元素( P = 1，. . .，n)来计算函数值\ = C2-I ( E ^1nVu bu) G G111+1,将函数值\和辅助密钥 信息D/ = E w =广日w b/输入到双线型函数e来计算函数值e (、D2*)，并判定函数值 e (入，D2*)是否满足e (入，D2*) = 1 G Gt,在判定结果表示满足e (入，D2*) = 1 G Gt的情况 下，将把函数值S 输入到単射函数R而得到的函数值R(S )设为共同密钥K ，将该共同 密钥K 和第一密码文C1输入到共同密钥解密函数来计算解密值M:此外，优选的単射函数R和冲突困难的函数H的例子是，近似的随机函数。由此， 安全性进ー步提高。发明效果如上所述，本发明的密码方式便利性高，并且无需在密码文空间中设置仅用于提 高CCA安全性的空间而能够提高CCA安全性。


图1是用于说明第一实施方式的密码系统的结构的图。图2是用于说明图1的加密装置的结构的图。图3是用于说明图1的解密装置的结构的图。图4是用于说明图1的密钥生成装置的结构的图。图5是用于说明第一实施方式的加密处理的图。图6是用于说明第一实施方式的密钥信息的生成处理的图。图7是用于说明第一实施方式的解密处理的图。图8是用于说明第二实施方式的密码系统的结构的图。图9是用于说明图8的加密装置的结构的图。图10是用于说明图8的解密装置的结构的图。图11是用于说明图8的密钥生成装置的结构的图。图12是用于说明第二实施方式的加密处理的图。图13是用于说明第二实施方式的密钥信息的生成处理的图。图14是用于说明第二实施方式的解密处理的图。
具体实施例方式说明用于实施本发明的方式。定义首先，对在本方式中使用的用语和符号进行定义。矩阵“矩阵”表示将定义了运算的集合的元以矩形排列的集合。不仅将以环的元作为元素的集合表现为“矩阵”，也将以群的元作为元素的集合表现为“矩阵”。(·)Τ:(·)Τ表示·的转置矩阵。(O^^r1表示 的逆矩阵。Λ Λ表示逻辑积。V: V表示逻辑和。Z :Ζ表示整数集合。k :k 表示安全参数(k e Z，k > 0)。{O, 1}* {O, 1}*表示任意比特长度的二进制序列。其一例是由整数O和1构成的序列。但是，{0，1}*不限定于由整数O和1构成的序列。{0，1}*与位数2的有限域或者其扩展域意思相同。{0,1} ζ {0,1} ζ表示比特长度为ζ (ζ e Ζ, ζ >0)的二进制序列。其一例是由整数O和1构成的序列。但是，{0，1}ζ不限定于由整数O和1构成的序列。{0，1”与位数2的有限域(ζ = 1时)或者将其扩大了 ζ次的扩展域(ζ > 1时)意思相同。(+) (+)表示二进制序列之间的逻辑异或运算符。例如，满足 10110011(+)11100001 = 01010010。Ftl =Ftl表示位数q的有限域。位数q为1以上的整数，例如将质数或质数的幂乘值作为位数q。即，有限域F,的例子是质数域、或者将其作为基础域的扩展域。另外，例如通过将位数q作为除数的余数运算，从而能够容易地构成在有限域F,为质数域时的运算。此外，例如通过将不可约多项式作为除数的余数运算，从而能够容易地构成在有限域F,为扩展域时的运算。有限域F,的具体的构成方法，例如公开于参考文献1 “IS0/IEC 18033-2 Information technology-Security techniques-Encryption algorithms-Part 2 :Asymmetric ciphers，，。0F :0f表示有限域F,的加法单位元。If :1F表示有限域F,的乘法单位元。δ (i, j) δ (i, j)表示 Kronecker 的 δ 函数。在 i = j 时满足 δ (i，j) = 1F， 在i乒j时满足S (i，j) = OfoE :E表示在有限域F,上定义的椭圆曲线。E被定义成，对由满足如式(1) Waffine 坐标版的Wfeierstrass方程式(其中，a” a2，a3，a4，a6 e Fq)的x，y e Fq构成的点(x，y) 的集合附加了被称为无限远点的特别的点0的集合。能够分别对椭圆曲线E上的任意2点定义被称作椭圆加算的二项运算+，对椭圆曲线E上的任意1点定义被称作椭圆逆元的单项运算_。此外，由椭圆曲线E上的有理点构成的有限集合关于椭圆加算而组成群、使用椭圆加算能够定义被称为椭圆标量倍算的运算、以及计算机上的椭圆加算等椭圆运算的具体的运算方法被众所周知(例如，参照参考文献1、参考文献2 "RFC 5091 =Identity-Based Cryptography Standard (IBCS) #1 :Supersingular Curve Implementations of the BFand BBlCryptosystems”、参考文献 3 “ 4 了 > · F · ，夂、办 r 4 工卟 七口夕〉、于 ^夕工卟· P · 7 7 —卜=著、「楕円曲線暗号」、出版=If 7 乂 > ·工尹二夕一〉3 >、 ISBN4-89471-431-0，，等)。Y^a1 · χ · y+a3 · y = x3+a2 · x2+a4 · x+a6. · · (1)此外，由椭圆曲线E上的有理点构成的有限集合具有位数p(p ^ 1)的子群。例如， 在将由椭圆曲线E上的有理点构成的有限集合的元素数设为#E，将P设为用于切割#E的大的质数的情况下，由椭圆曲线E的ρ等分点构成的有限集合E [ρ]构成由椭圆曲线E上的有理点构成的有限集合的子群。另外，椭圆曲线E的ρ等分点意味着，在椭圆曲线E上的点A 中，椭圆曲线E上的椭圆标量倍算值ρ · A满足ρ · A = 0的点。61、62、&:61、62、&表示位数9的巡回群。巡回群G1，、( 的具体例子是，由椭圆曲线E的ρ等分点构成的有限集合E[p]或者其子群。既可以是G1 = G2,也可以是G1兴G20 此外，巡回群Gt的具体例子是，构成将有限域Ftl作为基础体的扩展域的有限集合。其一例是，由有限域F,的代数闭包中的1的ρ乘根构成的有限集合。另外，在本方式中，用加法表现在巡回群G1,、G2上定义的运算，用乘法表现在巡回群GT上定义的运算。S卩，对于χ e Ft^P Ω e G1的χ · Ω e G1意味着，对Ω e G1实施 χ次在巡回群G1中定义的运算，对于Ω^ Ω2 e G1的Ω^Ω2 e G1意味着，将Q1 e G1* Q2GG1作为被运算符进行在巡回群G1中定义的运算。同样地，对于χ ￡&和Ω e(}2的 χ · Ω e (}2意味着，对Ω e &实施χ次在巡回群(；2中定义的运算，对于Ω^Ω2 e &的 Ω1+Ω2 e ( 意味着，将Q1 e &和Ω2 e ( 作为被运算符进行在巡回群( 中定义的运算。 另一方面，对于χ e Ft^P Ω e Gt的Ω x e Gt意味着，对Ω e Gt实施χ次在巡回群Gt 中定义的运算，对于Ω ρ Ω 2 e Gt的Ω工· Ω 2 e Gt意味着，将Ω工e Gt和Ω 2 e Gt作为被运算符进行在巡回群Gt中定义的运算。G111+1 =G1n^表示η+1 (η彡1)个巡回群G1的直积。G2n+1 :G2n+1表示η+1个巡回群( 的直积。g” g2、gT :gl、g2、gT 表示巡回群 G1, G2、Gt 的生成元。V :V表示由n+1个巡回群G1的直积构成的η+1维的向量空间。V* =V*表示由η+1个巡回群( 的直积构成的η+1维的向量空间。e :e表示用于计算将直积G111+1和直积(i2n+1的直积Gin+1XG2n+1映射到巡回群Gt的非退化的双线型映射(bilinear map)的函数(称为“双线型函数”)。双线型函数e将巡回群 G1 的 η+1 个元 Yl(L= L... ,η+1) (η ^ 1)和巡回群( 的 η+1 个元 YL*(L= 1，...， η+1)作为输入，输出巡回群Gt的1个元。e =G1lriX (}2η+1 — Gt . . . (2)双线型函数e满足以下的性质。[双线型性]对所有的eGr1 > Γ2 e Gf1和ν，κ G F,，满足以下的关系。e( ν · Γ” κ · Γ 2) = θ(Γ17 Γ 2)……(3)[非退化性]不是将所有的F1 e G1""1, T2 e G2n+1... (4)映射到巡回群Gt的单位元的函数。[可计算性]存在对所有的ri e Gf1、Γ 2 e G2n+1有效率地计算e ( Γ ρ Γ 2)的算
14法。在本方式中，使用用于计算将巡回群G1和巡回群( 的直积G1XG2映射到巡回群Gt 的非退化的双线型映射的函数Pair =G1XG2 ^ Gt …(5)，来构成双线型函数e。本方式的双线型函数e是，对于由巡回群G1的11+1个元 Yl(L= l，...，n+l)构成的η+l维向量(Y1,...，Y n+1)、由巡回群( 的n+1个元Y彳(L = l，...，n+l)构成的η+l维向量(υΛ...，Υη+1*)的输入，输出巡回群Gt的一个元e = Π L = !n+1Pair ( y L, y L*). . . (6)的函数。另外，双线型函数I^air是将巡回群G1的1个元和巡回群( 的1个元的组合作为输入，输出巡回群Gt的1个元的函数，满足以下的性质。[双线型性]对所有的Ωi G G” Ω2 G &和ν，κ e F,，满足以下的关系。Pair ( ν · Ω” κ · Ω2) = Pair(Q1, Ω2)ν.κ··· (7)[非退化性]不是将所有的Q1 e G1, Ω 2 e G2... (8)映射到巡回群Gt的单位元的函数。[可计算性]存在对所有的Ωi G G^ Ω 2 G &有效率地计算I^air ( Ω ^ Ω 2)的算法。另外，双线型函数I^air的具体例子是，用于进行^feil-Pairing或Tate-Pairing 等配对运算的函数(例如，参照参考文献4 "Alfred. J. Menezes, ELLIPTIC CURVE PUBLIC KEY CRYPTOSYSTEMS,KLUffER ACADEMIC PUBLISHERS, ISBN0-7923-9368-6, pp. 61-81” 等)。 此外，根据椭圆曲线E的种类，也可以将组合了用于进行Tate-Pairing等配对运算的函数与规定的函数Phi的变形配对函数ΜΩρ Phi(Q2)) (Q1 e G1, Ω2 e G2)作为双线型函数I^air来使用(例如，参照参考文献2等)。此外，作为用于在计算机上进行配对运算的算法，存在众所周知的Miller算法(参考文献5 "V. S. Miller, "Shorr Programs for functions on Curves,，，1986,因特网 <http://crypto. Stanford, edu/miller/miller. pdf>”)等。此外，众所周知用于有效率地进行配对运算的椭圆曲线和巡回群的构成方法(例如，参照参考文献 2、参考文献 6 "A. Miyaji，M. Nakabayashi，S. Takano，“ New explicit conditions of elliptic curve Traces for FR-Reduction, " IEICE Trans. Fundamentals, vol. E84-A，no05，pp. 1234-1243，May 2001”、参考文献 7"P. S. L. Μ. Barreto, B. Lynn, Μ. Scott, " Constructing elliptic curves with prescribed embedding degrees, “ Proc. SCN' 2002, LNCS 2576，pp. 257-267，Springer-Verlag. 2003，，、参考文献 8 "R. Dupont,A. Enge,F. Morain," Building curves with arbitrary small MOV degree over finite prime fields, " http://eprint. iacr. org/2002/094/，，等)。Bi (i = 1, ... , η+l) =Bi表示将巡回群G1的η+l个元作为元素的η+l维的基底向量。基底向量 的一例是，将K1^1 GG1作为第i维的元素，将剩余的η个元素设为巡回群G1的单位元(加法上表现为“0”)的η+l维的基底向量。这种情况下，分别列举并表现 η+l维的基底向量ai(i = l，...，n+l)的各元素，则成为如下。B1 = (K1. gl,0,0, . . . ,0)
a2(0, κ j . gl,0, . . . ,0). . . (9)...an+1 = (0,0,0, . . . , κ j . gl)这里，κ工是由加法单位元Of以外的有限域F,的元构成的常数，K1GFq的具体例子是K1 = 1F。基底向量 是正交基底，将巡回群&的11+1个元作为元素的所有的n+1维向量，通过n+1维的基底向量 (i = l，...，n+l)的线性和来表现。即，n+1维的基底向量 Bi展开上述的向量空间V。ai*(i = 1，. . .，n+1) : *表示将巡回群( 的n+1个元作为元素的n+1维的基底向量。基底向量 < 的一例是，将作为第i维的元素，将剩余的n个元素设为巡回群&的单位元(加法上表现为“0”)的n+1维的基底向量。这种情况下，分别列举并表现基底向量= 1，···，η+1)的各元素，则成为如下。B1* = (κ 2 . g2,0,0, . . . ,0)a2* = (0，κ 2 . g2,0, . . . ,0). . . (10)...an+1* = (0，0，0，· · ·，κ 2 · g2)这里，κ 2是由加法单位元Of以外的有限域F,的元构成的常数，K2GFq的具体例子是K2= 1F。基底向量< 是正交基底，将巡回群&的11+1个元作为元素的所有的n+1维向量，通过11+1维的基底向量<(1 = 1，...，11+1)的线性和来表现。即，n+1维的基底向量 a广展开上述的向量空间圹。另外，关于除了 Of的有限域F,的元τ = Κι· κ 2，基底向量 和基底向量a广满足式(11)。e(ai,a；) = gTτ ‘ 5 (i'J). . . (11)即，i = j时，根据式(6) (7)的关系，满足e(ai; a/) =Pair(K1.g1，κ 2 · g2) · Pair (0,0) ·... ‘ Pair (0,0)= Pairfe1，g2) κ1. κ2 · Pairfe1，g2)0.0 · · · · · Pairfe1，g2)0.0=Pair(gl,g2)Kl-K2 = gT\另一方面，i乒 j 时，efepa/)不包括i .gl，K2 .g2)，成为 Pair(0，κ 2-g2) 与· &，0)与l^ir(0，0)的积。而且，根据式(7)的关系而满足I^air(gl，0)= Pair(0, g2) = Pairfe1，g2)0。因此，i Φ j 时，满足e(ai，…*) = e(gl，由)。=gT0。尤其，在τ = κ工· K2 = “时(例如，K1= κ2 = If时)，满足式(12)。这里， gT° = 1是巡回群Gt的单位元，g = gT是巡回群Gt的生成元。这种情况下，基底向量屮和基底向量％*是双对正规正交基底，向量空间V和向量空间V*是可构成双线型映射的双对向量空间[双配对向量空间(DPVS =Dual Paring Vector space)]。e(ai,a；) = gT5(i'J)... (12)A :A表示将基底向量EiiG = 1,... ,n+1)作为元素的n+1行n+1列的矩阵。例如， 通过式(9)表现基底向量 (i = l，...，n+l)的情况下，矩阵A成为数1。[数1]
权利要求
1.一种加密装置，具有共同密钥加密单元，将平文M和共同密钥K输入到共同密钥密码函数来计算密码文C1, 并输出该密码文C1;函数运算单元，将包含与所述共同密钥K对应的值和与所述密码文C1对应的值的值输入到冲突困难的函数H来计算函数H的函数值；以及向量运算单元，使用与所述函数H的函数值对应的值r、与所述共同密钥K对应的值 P、n 维向量 ν —= (vi; . . . , vn)的元素 νμ(μ = 1, ... , η) (η ^ 1)、以巡回群 G1 的 η+l 个元为元素的η+l维基底向量h e G111+1 (i = 1，...，η+l)来计算第二密码文C2 = r · ( Σ μ = 1nvu ·Κ) + Ρ .bn+1 e G111+1,并输出该第二密码文 C2。
2.如权利要求1所述的加密装置，其中， 所述共同密钥K是二进制序列，所述函数运算单元将所述共同密钥K和所述密码文C1输入到所述冲突困难的函数H来计算所述值r和P， 该加密装置还具有群运算单元，使用所述值P，计算将&设为巡回群Gt的生成元、将τ设为加法单位元以外的常数的情况下的函数值S = &τ‘ρ eGT;以及逻辑异或运算单元，计算作为将所述函数值S输入到单射函数R而得到的二进制序列即函数值R(S)与所述共同密钥K的逻辑异或值的第三密码文C3,并输出该第三密码文C3。
3.如权利要求1所述的加密装置，还具有 选择单元，选择所述值P ；群运算单元，使用所述值P，计算将&设为巡回群Gt的生成元、将τ设为加法单位元以外的常数的情况下的函数值S = g/ · P e Gt ；以及共同密钥生成单元，将所述函数值S输入到单射函数R来计算函数值R6)，并将该函数值R6)设为所述共同密钥K，所述函数运算单元将所述函数值S和所述密码文C1输入到所述冲突困难的函数H来计算所述值r。
4.如权利要求2所述的加密装置，其中， 所述单射函数R是近似的随机函数。
5.如权利要求3所述的加密装置，其中， 所述单射函数R是近似的随机函数。
6.如权利要求1所述的加密装置，其中， 所述冲突困难的函数H是近似的随机函数。
7.如权利要求2所述的加密装置，其中， 所述冲突困难的函数H是近似的随机函数。
8.如权利要求3所述的加密装置，其中， 所述冲突困难的函数H是近似的随机函数。
9.如权利要求2所述的加密装置，其中，所述巡回群G1和所述巡回群Gt是存在非退化的双线型函数e的集合，该非退化的双线型函数e对所述巡回群G1的η+l个元Y,(L= 1,... ,η+l)和巡回群( 的η+l个元=1，. . .，n+1)的输入而输出所述巡回群Gt的1个元。
10.如权利要求9所述的加密装置，其中，所述值r和所述值P和所述常数τ是有限域Ftl的元，所述巡回群G1和(；2的位数分别与所述有限域Ftl的位数q(q ^ 1)相等。
11.如权利要求9或10所述的加密装置，其中，所述双线型函数e是对所述巡回群G1的n+1个元h (L = 1，. . .，n+1)和所述巡回群( 的n+1个元Y L* (L = 1，· · ·，n+1)的输入而输出所述巡回群Gt的元e = Π i = ^+1Pair ( y L,YL*)的函数，其中I^air是将所述巡回群G1的1个元与所述巡回群( 的1个元的组映射到所述巡回群Gt的1个元的非退化的双线型函数。
12.如权利要求3所述的加密装置，其中，所述巡回群G1和所述巡回群Gt是存在非退化的双线型函数e的集合，该非退化的双线型函数e对所述巡回群G1的n+1个元Y,(L= l，...，n+l)和巡回群( 的n+1个元 =1，. . .，n+1)的输入而输出所述巡回群Gt的1个元。
13.如权利要求12所述的加密装置，其中，所述值r和所述值P和所述常数τ是有限域Ftl的元，所述巡回群G1和(；2的位数分别与所述有限域Ftl的位数q(q ^ 1)相等。
14.如权利要求12或13所述的加密装置，其中，所述双线型函数e是对所述巡回群G1的n+1个元h (L = 1，. . .，n+1)和所述巡回群( 的n+1个元Y L* (L = 1，· · ·，n+1)的输入而输出所述巡回群Gt的元e = Π i = ^+1Pair ( y L,YL*)的函数，其中I^air是将所述巡回群G1的1个元与所述巡回群( 的1个元的组映射到所述巡回群Gt的1个元的非退化的双线型函数。
15.一种解密装置，具有输入单元，输入包含密码文C1和第二密码文C2 e G1^1的值；双线型函数运算单元，将所述第二密码文C2 e G1^1和密钥信息D1* e G2n+1输入到双线型函数e来计算函数值S =MC2J1*) e GT；函数运算单元，将与所述函数值S 对应的值和所述密码文C1输入到冲突困难的函数H 来计算函数H的函数值；以及判定单元，对所述第二密码文C2、值P 、与所述函数H的函数值对应的值r 、n维向量 ν — = (V1Vn)的元素 νμ (μ = 1，...，n)、基底向量、e G1n^ (i = 1，...，n+l)，判定是否满足C2 = r ·(Σ F11Vli \) + 口 *1^+1￡6广1，并输出该判定结果，所述双线型函数e是对巡回群G1的n+1个元YL(L= 1，. . .，n+1) (η彡1)和巡回群 &的11+1个元Υ: (L= 1，...，n+1)的输入而输出巡回群Gt的1个元的非退化的双线型函数，所述基底向量h e G1lriG = 1，...，n+1)分别是以所述巡回群G1的n+1个元为元素的n+1维的基底向量，b； e G2n+1 (i = 1，...，n+1)分别是以所述巡回群&的n+1个元为元素的n+1维的基底向量，将所述基底向量h e G111+1 (i = 1，...，n+1)的各元素和所述基底向量b/ e G2n+1(j = 1，...，n+l)的各元素输入到所述双线型函数e而得到的函数值，使用Kronecker的δ函数δ (i，j)而被表现为‘s (i，j) e GT，τ是加法单位元以外的常数，份是所述巡回群Gt的生成元，w — = (W1, ... , wn)是η维向量，(μ = 1，...，η)是所述η维向量w — = (Wl，...，Wn)的元素，α是被选择的值，所述密钥信息D^eGn+1是D1* =
16.如权利要求15所述的解密装置，其中，对所述输入单元输入的、包含所述密码文C1和所述第二密码文C2 e G1n^的值还包含， 作为二进制序列的第三密码文C3,该解密装置还包括逻辑异或运算单元，该逻辑异或运算单元计算将所述函数值S 输入到单射函数R而得到的二进制序列即函数值R(S )与所述第三密码文C3的逻辑异或值 K ，所述函数运算单元将所述逻辑异或值K 和所述密码文C1输入到所述冲突困难的函数 H来计算所述值r 和P , 所述判定单元包括向量运算单元，使用所述η维向量vl勺元素νμ( μ = 1，...，η)和所述值r 和P , 计算函数值 C厂=r ·(Σ ^1nV, ·Κ) + Ρ ·Ιν η+1^& 比较单元，判定所述函数值C厂与所述第二密码文C2是否相等， 该解密装置还具有共同密钥解密单元，其中该共同密钥解密单元在所述比较单元的判定结果是表示所述运算结果C厂与所述第二密码文C2相等的判定结果的情况下，将所述逻辑异或值K 设为共同密钥，将该逻辑异或值K 和所述密码文C1输入到共同密钥解密函数来计算解密值M ，并输出该解密值M
17.如权利要求15所述的解密装置，其中，所述函数运算单元将所述函数值S 和所述密码文C1输入到所述冲突困难的函数H来计算所述值!· ，所述判定单元包括向量运算单元，使用所述第二密码文C2和所述值r 和所述η维向量ν —的元素νμ ( μ =1，...，η)，计算函数值 λ = C2-r · Σ μ=1ηνμ ·Κ e G1n^ ；第二双线型函数运算单元，将所述函数值λ和对于值β μ (μ = 1，. . .，η)的辅助密钥信息μ^ηβμ 输入到所述双线型函数e来计算函数值e( λ，D/)；以及比较单元，判定所述函数值e ( λ，D2*)是否满足e ( λ，D2*) = 1 e GT， 该解密装置还具有共同密钥解密单元，其中该共同密钥解密单元在所述比较单元的判定结果是表示满足，D/) = 1 e Gt的判定结果的情况下，将把所述函数值S 输入到单射函数R而得到的函数值R(S )设为共同密钥IT，将该共同密钥IT和所述密码文C1输入到共同密钥解密函数来计算解密值M ，并输出该解密值M 。
18.如权利要求16或17所述的解密装置，其中， 所述单射函数R是近似的随机函数。
19.如权利要求15至17的任一项所述的解密装置，其中， 所述冲突困难的函数H是近似的随机函数。
20.如权利要求15至17的任一项所述的解密装置，其中，在将把κ工· &设为第i维的元素、把剩余的η个元素设为所述巡回群G1的单位元的 η+1维的基底向量分别设为 e G111+1 (i = 1，. . .，n+1)，将n+1行n+1列的矩阵设为X，将该矩阵X的i行j列的元素设为χ 的情况下，所述基底向量h满足h = Σ &广χ -Bj, 其中将所述巡回群G1的生成元设为&，将κ工设为加法单位元以外的常数，在将把κ 2 · &设为第i维的元素、把剩余的η个元素设为所述巡回群( 的单位元的 η+1维的基底向量分别设为< e G2n+1(i = 1，...，n+1)，将n+1行n+1列的矩阵设为X*，将该矩阵f的i行j列的元素设为χ i,；的情况下，所述基底向量Y满足V = Σ」=广χ i, ；· a/，其中将所述巡回群&的生成元设为g2，将κ 2设为加法单位元以外的常数。
21.如权利要求15至17的任一项所述的解密装置，其中，所述值r 和所述值P 和所述常数τ和所述值α是有限域Fq的元，所述巡回群G1和(；2的位数分别与所述有限域Ftl的位数q(q ^ 1)相等。
22.如权利要求15至17的任一项所述的解密装置，其中，所述双线型函数e是对所述巡回群G1的n+1个元h (L = 1，. . .，n+1)和所述巡回群( 的n+1个元Y L* (L = 1，· · ·，n+1)的输入而输出所述巡回群Gt的元e = Π i = ^+1Pair ( y L, Yl*)的函数，其中将把所述巡回群G1的1个元与所述巡回群( 的1个元的组映射到所述巡回群Gt的1个元的非退化的双线型函数设为I^air。
23.一种在加密装置和解密装置中执行的安全方法，具有(A)由所述加密装置将平文M和共同密钥K输入到共同密钥密码函数来计算密码文C1, 并输出该密码文C1的步骤；(B)由所述加密装置将包含与所述共同密钥K对应的值和与所述密码文C1对应的值的值输入到冲突困难的函数H来计算函数H的第一函数值的步骤；(C)由所述加密装置使用与所述函数H的第一函数值对应的值r、与所述共同密钥K 对应的值P、n维向量ν —= (νι; ...，vn)的元素νμ(μ = 1，...，run彡1)、以巡回群& 的n+1个元为元素的n+1维基底向量h e G111+1 (i = 1，...，n+1)来计算第二密码文C2 = r· (Σ μ=1ηνμ ·Κ) + ρ .bn+1 e G111+1,并输出该第二密码文(2的步骤；(D)对所述解密装置输入包含所述密码文C1和所述第二密码文C2e G1^1的值的步骤；(E)由所述解密装置将所述第二密码文C2e G1^1和密钥信息D1*输入到双线型函数e 来计算函数值S =e(C2, D1*) e Gt的步骤；(F)由所述解密装置将与所述函数值S 对应的值和所述密码文C1输入到所述冲突困难的函数H来计算函数H的第二函数值的步骤；以及(G)由所述解密装置对所述第二密码文C2、所述值P入与所述函数H的第二函数值对应的值r入所述η维向量f的元素νμ、基底向量bi e G1lriG = 1，...，n+1)，判定是否满足 C2 = r ·( Σ μ=1ηνμ · bJ + P · bn+1 e G1n^ 的步骤，所述双线型函数e是对巡回群G1的n+1个元YL(L= 1，. . .，n+1) (η彡1)和巡回群 &的11+1个元L... ,n+1)的输入而输出巡回群Gt的1个元的非退化的双线型函数，所述基底向量h e G1lriG = 1，...，n+1)分别是以所述巡回群G1的n+1个元为元素的 n+1维的基底向量，基底向量b广e G2n+1(i = 1，...，n+1)分别是以所述巡回群( 的n+1个元为元素的n+1维的基底向量，将所述基底向量h e G111+1 (i = 1，...，n+1)的各元素和所述基底向量b/ e G2n+1(j = 1，. . .，n+1)的各元素输入到所述双线型函数e而得到的函数值，使用Kronecker的δ函数δ (i，j)而被表现为· 5 (i，j) e GT，τ是加法单位元以外的常数，份是所述巡回群Gt的生成元，α是被选择的值，w — = (Wl，...，Wn)是η维向量， = 1，...，η)是所述η维向量^^= (wi; . . . , wn)的元素，所述密钥信息D1*是D1* = α · (Σ μ=>μ ·Κ*)+ 3η+1*￡(;2η+1。
24.如权利要求23所述的安全方法，其中，所述步骤(B)包括将所述共同密钥K和所述密码文C1输入到冲突困难的函数H来计算所述值r和P的步骤， 所述步骤(C)包括由所述解密装置使用所述值P来计算函数值S = & τ ‘p e Gt的步骤； 由所述解密装置计算作为将所述函数值S输入到单射函数R而得到的二进制序列即函数值R6)与所述共同密钥K的逻辑异或值的第三密码文C3,并输出该第三密码文C3的步骤·’以及由所述解密装置使用η维向量ν —的各元素、(μ = 1，...，η)和所述值r和P来计算所述第二密码文C2，并输出该第二密码文C2的步骤， 所述步骤(D)包括在所述解密装置中，对所述解密装置输入包含所述密码文C1和所述第二密码文 C2 e G1^1和所述第三密码文C3的值的步骤， 所述步骤(F)包括由所述解密装置计算将所述函数值S 输入到单射函数R而得到的二进制序列即函数值R(S )与所述第三密码文C3的逻辑异或值K 的步骤；以及由所述解密装置将所述逻辑异或值K 和所述密码文C1输入到所述冲突困难的函数H 来计算所述值r 和P 的步骤， 所述步骤(G)包括由所述解密装置使用所述η维向量ν —的元素νμ( μ = 1，...，η)和所述值r 和P , 计算函数值C厂=r ·(Σ ^1nV, ·Κ) + Ρ ’l^eGr1的步骤；以及由所述解密装置判定所述函数值C厂与所述第二密码文C2是否相等，在该判定结果是表示所述函数值C厂与所述第二密码文C2相等的判定结果的情况下，将所述逻辑异或值IT 设为共同密钥，将该逻辑异或值K 和所述密码文C1输入到共同密钥解密函数来计算解密值M ，并输出该解密值M 的步骤。
25.如权利要求23所述的安全方法，其中， 所述步骤(A)包括由所述加密装置选择所述值P的步骤；由所述加密装置使用所述值P来计算函数值S = & τ ‘p e Gt的步骤；以及由所述加密装置将把所述函数值S输入到单射函数R而得到的函数值R6)设为共同密钥K，将该共同密钥K和平文M输入到共同密钥密码函数来计算密码文C1,并输出该密码文C1的步骤，所述步骤(B)包括由所述加密装置将所述函数值S和所述密码文C1输入到所述冲突困难的函数H来计算所述值r的步骤，所述步骤(C)包括由所述加密装置将η维向量ν —的各元素νμ ( μ = 1，...，η)和所述值r和所述值P来计算所述第二密码文，并输出该第二密码文C2的步骤，所述步骤(F)包括由所述解密装置将所述函数值S 和所述密码文C1输入到所述冲突困难的函数H来计算所述值r 的步骤， 所述步骤(G)包括由所述解密装置使用所述第二密码文C2和所述值和所述η维向量ν —的各元素 νμ(μ = 1，···，η)，计算函数值 λ =C2-r · Σ μ=1ηνμ · bu e G111+1 的步骤；由所述解密装置将所述函数值λ和辅助密钥信息D/输入到所述双线型函数e来计算函数值e(A，D/)的步骤；以及由所述解密装置判定所述函数值e( λ，D/)是否满足e(A，D/) = 1 e Gt，在该判定结果是表示满足，D/) = 1 e Gt的判定结果的情况下，将把所述函数值S 输入到单射函数R而得到的函数值R(S )设为共同密钥IT，将该共同密钥IT和所述密码文C1输入到共同密钥解密函数来计算解密值M ，并输出该解密值M 的步骤。
26.一种加密方法，具有(A)由加密装置的第一部件将平文M和共同密钥K输入到共同密钥密码函数来计算密码文C1，并输出该密码文C1的步骤；(B)由所述加密装置的第二部件将包含与所述共同密钥K对应的值和与所述密码文C1 对应的值的值输入到冲突困难的函数H来计算函数H的函数值的步骤；以及(C)由所述加密装置的第三部件使用与所述函数H的函数值对应的值r、与所述共同密钥K对应的值P、n维向量f= (V1Vn)的元素νμ(μ = 1，...，run彡1)、以巡回群& 的n+1个元为元素的n+1维基底向量h e G111+1 (i = 1，...，n+1)来计算第二密码文C2 = r· (Σ μ=1ηνμ ·Κ) + ρ .bn+1 e G111+1,并输出该第二密码文(2的步骤。
27.如权利要求沈所述的加密方法，其中， 所述共同密钥K是二进制序列，所述步骤(B)包括由所述加密装置的第四部件将所述共同密钥K和所述密码文C1输入到所述冲突困难的函数H来计算所述值r和P的步骤， 该加密方法还具有由所述加密装置的第五部件使用所述值P，计算将&设为巡回群Gt的生成元、将τ设为加法单位元以外的常数的情况下的函数值S = ‘p e Gt的步骤；以及由所述加密装置的第六部件计算作为将所述函数值S输入到单射函数R而得到的二进制序列即函数值R (S)与所述共同密钥K的逻辑异或值的第三密码文C3,并输出该第三密码文C3的步骤。
28.如权利要求沈所述的加密方法，还具有由所述加密装置的第七部件选择所述值P的步骤；由所述加密装置的第八部件使用所述值P，计算将&设为巡回群Gt的生成元、将τ设为加法单位元以外的常数的情况下的函数值S = ‘p e Gt的步骤；以及由所述加密装置的第九部件将所述函数值S输入到单射函数R来计算函数值R(S)，并将该函数值R6)设为所述共同密钥K的步骤，所述步骤(B)包括由所述加密装置的第十部件将所述函数值S和所述密码文C1输入到所述冲突困难的函数H来计算所述值r的步骤。
29.一种解密方法，具有(A)对解密装置输入包含密码文C1和第二密码文C2e G1^1的值的步骤；(B)由所述解密装置的第一部件将所述第二密码文C2e G1^1和密钥信息D1* e G2n+1输入到双线型函数e来计算函数值S =e(C2, D1*) e Gt的步骤；(C)由所述解密装置的第二部件将与所述函数值S 对应的值和所述密码文C1输入到冲突困难的函数H来计算函数H的函数值的步骤；以及(D)由所述解密装置的第三部件对所述第二密码文C2、值P 、与所述函数H的函数值对应的值r 、η维向量ν — = (V1,... ,νη)的元素νμ (μ = 1，...，n)、基底向量h e G111+1 (i =1，...，n+1)，判定是否满足 C2 = r ·( Σ μ=1ηνμ · bJ + P · bn+1 e G111+1,并输出该判定结果的步骤，所述双线型函数e是对巡回群G1的n+1个元YL(L= 1，. . .，η+1) (η彡1)和巡回群 &的11+1个元Υ: (L= 1，...，n+1)的输入而输出巡回群Gt的1个元的非退化的双线型函数，所述基底向量h e G1lriG = 1，...，n+1)分别是以所述巡回群G1的n+1个元为元素的n+1维的基底向量，b； e G2n+1 (i = 1，...，n+1)分别是以所述巡回群&的n+1个元为元素的n+1维的基底向量，将所述基底向量h e G111+1 (i = 1，...，n+1)的各元素和所述基底向量b/ e G2n+1(j = 1，...，n+l)的各元素输入到所述双线型函数e而得到的函数值，使用Kronecker的δ函数δ (i，j)而被表现为‘ 5 (i'J) e GT，τ是加法单位元以外的常数，份是所述巡回群Gt的生成元，w — = (W1, ... , wn)是η维向量，(μ = 1，...，η)是所述η维向量w — = (Wl，...，Wn)的元素，α是被选择的值，所述密钥信息D^eGn+1是D1* = α · (Σ μ=>μ ·Κ*)+ 3η+1*￡(;2η+1。
30.如权利要求四所述的解密方法，其中，在所述步骤(A)中输入的、包含所述密码文C1和所述第二密码文C2 e G1n^的值还包含，作为二进制序列的第三密码文C3,该解密方法还包括，由所述解密装置的第四部件计算将所述函数值S 输入到单射函数R而得到的二进制序列即函数值R(S )与所述第三密码文C3的逻辑异或值K 的步骤，所述步骤(C)包括，由所述解密装置的第五部件将所述逻辑异或值IT和所述密码文C1 输入到所述冲突困难的函数H来计算所述值和P 的步骤，所述步骤(D)包括(D-I)由所述解密装置的第六部件使用所述η维向量f的元素νμ( μ =1，...，η)和所述值r 和P ，计算函数值C2 =r · ( Σ ^1nV, ·Κ) + ρ · bn+1 e G1n^的步骤；以及(D-2)由所述解密装置的第七部件判定所述函数值C厂与所述第二密码文C2是否相等的步骤，该解密方法还具有，在所述步骤(D-2)中的判定结果是表示所述运算结果C厂与所述第二密码文C2相等的判定结果的情况下，由所述解密装置的第八部件将所述逻辑异或值 K 设为共同密钥，将该逻辑异或值K 和所述密码文C1输入到共同密钥解密函数来计算解密值M ，并输出该解密值M 的步骤。
31.如权利要求四所述的解密方法，其中，所述步骤(C)包括由所述解密装置的第九部件将所述函数值S 和所述密码文C1输入到所述冲突困难的函数H来计算所述值r 的步骤，所述步骤(D)包括(D-I)由所述解密装置的第十部件使用所述第二密码文C2和所述值r 和所述η维向量ν —的元素νμ(μ = 1，···，η)，计算函数值λ =C2-r ·Σ ^1nV, -b, e G广的步骤；(D-2)由所述解密装置的第十一部件将所述函数值λ和对于值β μ (μ = 1，. . .，η) 的辅助密钥信息μ^ηβμ 输入到所述双线型函数e来计算函数值e( λ，D/) 的步骤；以及(D-3)由所述解密装置的第十二部件判定所述函数值e( λ，D/)是否满足e(A，D/)= 1 e Gt的步骤，该解密方法还具有，在所述步骤(D-3)中的判定结果是表示满足e( λ，D2*) = 1 e Gt 的判定结果的情况下，由所述解密装置的第十三部件将把所述函数值S 输入到单射函数R 而得到的函数值R(S )设为共同密钥IT，将该共同密钥IT和所述密码文C1输入到共同密钥解密函数来计算解密值M ，并输出该解密值M 的步骤。
32.—种程序，用于使计算机作为权利要求1至3的任一项所述的加密装置发挥作用。
33.一种程序，用于使计算机作为权利要求15至17的任一项所述的解密装置发挥作用。
34.一种计算机可读取的记录介质，存储有用于使计算机作为权利要求1至3的任一项所述的加密装置发挥作用的程序。
35.一种计算机可读取的记录介质，存储有用于使计算机作为权利要求15至17的任一项所述的解密装置发挥作用的程序。
全文摘要
提高CCA安全性，而无需在密码文空间中设置仅用于提高CCA安全性的空间。在加密处理中，根据平文M和共同密钥K来计算第一密码文C1，将包含与共同密钥K对应的值和与第一密码文C1对应的值的值输入到冲突困难的函数H来计算函数H的函数值，使用与其对应的r来计算第二密码文C2＝r·(∑μ＝1nvμ·bμ)+ρ·bn+1∈G1n+1。在解密处理中，将第二密码文C2∈G1n+1和密钥信息D1*＝α·(∑μ＝1nwμ·bμ*)+bn+1*∈G2n+1输入到双线型函数e来计算函数值S～＝e(C2，D1*)∈GT，将与函数值S～对应的值和第一密码文C1输入到冲突困难的函数H来计算函数H的函数值，并对与其对应的r～判定是否满足C2＝r～·(∑μ＝1nvμ·bμ)+ρ～·bn+1∈G1n+1。
文档编号H04L9/08GK102396011SQ20108001640
公开日2012年3月28日 申请日期2010年4月23日 优先权日2009年4月24日
发明者藤崎英一郎, 铃木幸太郎 申请人:日本电信电话株式会社