过同态运算而解密的密文。
[0152]变换部326将第一密文C31作为输入,将其输入至变换函数IS0SP而得到密文C 3 =I20SP(C31)并进行输出(步骤S305)。密文C3通过网络被送出至解密装置33。
[0153]密文C3被输入至解密装置33(图3)的输入部331,被储存至存储部332 (步骤S306)。变换部337从存储部332读出密文C3,将其输入至I20SP的反变换函数0S2IP而得到第一密文C31= 0S2IP(C 3)并进行输出(步骤S307)。
[0154]自校正处理部334将第一密文C31作为输入,在与保持用于对第一密文C31进行解密的秘密密钥(解密密钥)sk的解密能力提供装置34的解密能力提供部342之间进行自校正处理(使用了自校正技术的云密钥管理型的解密处理),得到第一密文C31的解密值MS=Dec(sk,C31)并进行输出(步骤 S310、S311)。
[0155]S卩,自校正处理部334将与第一密文C31对应的信息提供给解密能力提供装置34的解密能力提供部342,且从解密能力提供装置34得到用于在自校正处理部334中得到第一密文C31的解密值MS的信息而不是从解密能力提供装置34得到秘密密钥(解密密钥)sk的信息。换言之,解密能力提供装置34的解密能力提供部342从自校正处理部334得到与第一密文C31对应的信息,将用于自校正处理部334通过自校正处理而得到第一密文C 31的解密值MS的信息输出至自校正处理部334而不将秘密密钥sk的信息提供给解密装置33。自校正处理部334使用从解密能力提供部342提供的信息而得到解密值MS。在此,为了避免解密值MS泄露给解密能力提供装置34,优选被提供给解密能力提供部342的“与第一密文C31对应的信息”是扰乱了第一密文C31的信息。另外,步骤S310、S311的具体例是,设为X = C31,将自校正处理部134置换为自校正处理部334,将解密能力提供部142置换为解密能力提供部342而进行的前述的“使用了自校正技术的云密钥管理型的解密处理的具体例”。
[0156]复原部333以及非同态处理部335将解密值MS、以及从存储部332读出的编码参数P作为输入,通过同态运算Decode (MS,P) — m对明文m进行复原并进行输出。即,复原部333根据MS对与明文m对应的值maskedDB和随机值seed进行复原(步骤S312),非同态处理部335根据其而对明文m进行复原并进行输出,输出部336输出明文m(步骤S313)。这些处理是非同态运算。例如,复原部333使用0S2IP的反变换函数IS0SP得到EM=ISOSP (MS),将 EM 分离为满足 EM = maskedSeed | maskedDB 的 maskedSeed 和 maskedDB,得到 seedMask = MGF (makedDB),可得到 seed = maskedSeed (+) seedMask (步骤 S312)。非同态处理部335使用所得到的maskedDB以及seed,得到dbMask = MGF (seed),得到DB =makedDB (+) dbMask,得到 pHash = Hash (P),得到满足 DB = pHash PS | 011 m 的明文 m,输出部336输出明文m(步骤S313)。
[0157][其他变形例等]
[0158]另外,本发明不限定于上述的实施方式。例如,也可以是至少一部分组的装置经由可移动记录介质来交换信息而不是各装置通过网络交换信息。或者,也可以是至少一部分组的装置经由非可移动的记录介质来交换信息。即,也可以是由这些装置的一部分构成的组合是相同的装置。
[0159]此外自校正技术不限定于前述。例如,也可以是,群Η是群G的直积群GXG,群G是循环群,循环群G的生成元是μ g,第一密文X = (Ci, c2),(V,ff)是群Η的元,f (V,ff) = Y,r4 ?r7 为 0 以上的自然数的随机数,τ 1= (c 2bffr4, ClbVr4 μ ;5), τ 2= (c Ζ?6, ο,?6 u J7),u = ZjY- r4 μ g_r5,ν = ζ2Υ r6 μ g r7。
[0160]在第三实施方式中编码参数P也可以是空。此时,编码参数P不被生成,P作为空而被处理。此外,在各实施方式中比特串也可以是字节串。
[0161]上述的各种处理不仅按照记载而时序地执行,也可以根据执行处理的装置的处理能力或根据需要而并行地或单独地执行。此外,在不脱离本发明的意旨的范围内能够进行适当变更是不言而喻的。
[0162]在通过计算机来实现上述的结构的情况下,各装置应具有的功能的处理内容通过程序而记述。该程序在计算机中执行,从而上述处理功能在计算机上被实现。记述了该处理内容的程序能够记录至计算机能够读取的记录介质。计算机能够读取的记录介质的例子是非临时的(non-transitory)记录介质。这样的记录介质的例子是磁记录装置、光盘、光磁记录介质、半导体存储器等。
[0163]该程序的流通例如通过对记录有该程序的DVD、⑶一 ROM等可移动记录介质进行销售、转让、借出等而进行。进而,也可以是通过将该程序储存至服务器计算机的存储装置,经由网络,从服务器计算机向其他计算机转发该程序,从而使该程序流通的结构。
[0164]执行这样的程序的计算机例如首先将在可移动记录介质中记录的程序或从服务器计算机转发的程序临时储存在自己的存储装置中。在执行处理时,该计算机读取在自己的记录装置中储存的程序,执行按照所读取的程序的处理。作为该程序的另一执行方式,也可以是计算机从可移动记录介质直接读取程序,执行按照该程序的处理,进而,也可以在每次从服务器计算机向该计算机转发程序时,依次执行按照所接受到的程序的处理。
[0165]在上述实施方式中,在计算机上执行规定的程序而实现了本装置的处理功能,但这些处理功能的至少一部分也可以通过硬件来实现。
[0166]标号说明
[0167]1、2、3安全系统
[0168]11、21、31密钥生成装置
[0169]12、22、32 加密装置
[0170]13、23、33 解密装置
[0171]14、24、34解密能力提供装置
【主权项】
1.一种解密装置,其中,具有: 自校正处理部,在与解密能力提供装置之间进行自校正处理,得到第一密文的解密值,该解密能力提供装置保持用于对能够通过同态运算而解密的所述第一密文进行解密的解密密钥;以及 非同态处理部,进行使用了对应于或来自于所述第一密文的解密值的值、和附加值的非同态运算,输出明文。2.如权利要求1的解密装置,其中, 所述明文是对应于或来自于包含所述第一密文的信息的第二密文的解密值, 所述第一密文关于所述第一密文的解密值而0W - CPA安全, 所述第二密文关于所述明文而IND - CCA安全。3.如权利要求1或者2的解密装置,其中, 所述第一密文包含对对应于或来自于随机值的值进行加密而得到的值, 所述附加值包含对应于或来自于包含所述明文和所述随机值的信息的值。4.如权利要求1或者2的解密装置,其中, 所述第一密文包含对对应于或来自于包含所述明文的信息的值进行加密而得到的值, 所述附加值包含对应于或来自于包含所述第一密文和随机值的信息的值。5.如权利要求1或者2的解密装置,其中, 所述第一密文是对对应于或来自于包含所述明文和随机值的信息的值进行加密而得至IJ的值, 所述附加值是对应于或来自于包含所述随机值的信息的值。6.一种解密能力提供装置,其中,具有:存储部,保持用于对能够通过同态运算而解密的第一密文进行解密的解密密钥;以及解密能力提供部,从进行使用了对应于或来自于所述第一密文的解密值的值和附加值的非同态运算而输出明文的解密装置,得到对应于或来自于所述第一密文的信息,将用于所述解密装置通过自校正处理而得到所述第一密文的解密值的信息输出至所述解密装置而不是使用所述解密密钥而向所述解密装置提供所述解密密钥的信息。7.如权利要求6的解密能力提供装置,其中, 所述明文是对应于或来自于包含所述第一密文的信息的第二密文的解密值, 所述第一密文关于所述第一密文的解密值而0W - CPA安全, 所述第二密文关于所述明文而IND - CCA安全。8.如权利要求6或者7的解密能力提供装置,其中, 所述第一密文包含对对应于或来自于随机值的值进行加密而得到的值, 所述附加值包含对应于或来自于包含所述明文和所述随机值的信息的值。9.如权利要求6或者7的解密能力提供装置,其中, 所述第一密文包含对对应于或来自于包含所述明文的信息的值进行加密而得到的值, 所述附加值包含对应于或来自于包含所述第一密文和随机值的信息的值。10.如权利要求6或者7的解密能力提供装置,其中, 所述第一密文包含对对应于或来自于包含所述明文和随机值的信息的值进行加密而得到的值, 所述附加值包含对应于或来自于包含所述随机值的信息的值。11.一种解密方法,其中,具有: 自校正处理部在与解密能力提供装置之间进行自校正处理,得到第一密文的解密值的步骤,该解密能力提供装置保持用于对能够通过同态运算而解密的所述第一密文进行解密的解密密钥;以及 非同态处理部进行使用了对应于或来自于所述第一密文的解密值的值、和附加值的非同态运算,输出明文的步骤。12.—种解密能力提供方法,其中,具有: 解密能力提供部从进行使用了对应于或来自于能够通过同态运算而解密的第一密文的解密值的值和附加值的非同态运算而输出明文的解密装置,得到与所述第一密文对应的信息的步骤;以及 所述解密能力提供部将用于所述解密装置通过自校正处理而得到所述第一密文的解密值的信息输出至所述解密装置而不是使用用于对所述第一密文进行解密的解密密钥而向所述解密装置提供所述解密密钥的信息的步骤。13.—种程序, 使计算机作为权利要求1或者2的解密装置而发挥作用。14.一种程序, 使计算机作为权利要求6或者7的解密能力提供装置而发挥作用。
【专利摘要】解密装置(13)在与解密能力提供装置之间进行自校正处理,得到第一密文的解密值,进行使用了对应于或来自于第一密文的解密值的值和附加值的非同态运算,输出明文,该解密能力提供装置保持用于对能够通过同态运算而解密的第一密文进行解密的解密密钥。
【IPC分类】H04L9/08, G09C1/00
【公开号】CN105339995
【申请号】CN201480034506
【发明人】吉田丽生, 山本刚, 小林铁太郎
【申请人】日本电信电话株式会社
【公开日】2016年2月17日
【申请日】2014年6月30日
【公告号】EP3001401A1, US20160133164, WO2015008607A1