專利名稱:加密裝置、解密裝置��、加密方法�、解密方法���、安全方法�����、程序以及記錄介質(zhì)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及安全技術(shù)���,尤其涉及密碼技術(shù)。
背景技術(shù):
在密碼研究領(lǐng)域之一中�,存在具有對于選擇密碼文攻擊(CCA :Chosen ciphertext attack)的安全性(CCA安全性)的密碼方式(CCA安全的密碼方式)的構(gòu)筑。尤其近年來����, 廣泛地進行如下的研究根據(jù)僅具有對于選擇平文攻擊(CPA =Chosen Plaintext Attack) 的安全性的基于ID密碼(IBE Jdentity-based Encrption)(例如參照非專利文獻1)�,構(gòu)成CCA安全的密碼方式��。例如�����,在非專利文獻2中提出了如下方法(CHK變換方式)使用 One-Time署名����,根據(jù)CPA安全的任意的基于ID密碼來構(gòu)成CCA安全的密碼方式。此外�,例如在非專利文獻3中提出了如下的方法(BK變換方式)使用消息認證符(MAC=Message Authentication Code)和比特承諾(commitment)方式,根據(jù)CPA安全的任意的基于ID密碼來構(gòu)成CCA安全的密碼方式?��,F(xiàn)有技術(shù)文獻非專利文獻1 :D. Boneh, Μ. Franklin, “Identity based encryption from the Weil pairing, " Crypto 2001, Lecture Notes in Computer Science, Vol. 2139, Springer-Verlag, pp.213-229����,2001.非專禾O 文獻 2 :R. Canetti, S. Halevi, J. Katz, "Chosen-Ciphertext Security fromldentity-Based Encryption,"Proc. of EUR0CRYPT' 04, LNCS 3027, pp.207-222, 2004.# 專禾I」文 ^ 3 :D. Boneh, J. Katz,"Improved Efficiency for CCA-Secure Cryptosystems Built UsingIdentity-Based Encryption,"Proc. of CT-RSA' 05, LNCS 3376�,pp.87-103,2005.
發(fā)明內(nèi)容
發(fā)明要解決的課題通過上述的CHK變換方式而生成的密碼文包含平文的密碼文、該平文的密碼文的One-Time署名��、以及用于驗證該One-Time署名的署名密鑰�����。因此,在該CHK變換方式的密碼文空間中�����,不僅需要用于平文的密碼文的空間��,還需要用于One-Time署名和署名密鑰的空間�����。此外�,通過上述的BK變換方式而生成的密碼文包含平文的密碼文、消息認證符���、 以及比特承諾列。因此�����,在BK變換方式的密碼文空間中��,不僅需要用于平文的密碼文的空間���,還需要用于消息認證符和比特承諾列的空間����。即,在CHK變換方式和BK變換方式的密碼文空間中�,額外地設置了僅用于提高CCA安全性的二維空間。但是���,隨著密碼文空間的尺寸變大而運算量和數(shù)據(jù)量增加��,因此期望密碼文空間的尺寸盡量小���。
此外,在基于ID密碼中���,加密人員必須在進行加密之前取得解密人員的ID��。與此相對��,如果能夠構(gòu)成如下的方式則便利加密人員能夠無需確定解密人員而生成密碼文��,符合規(guī)定的條件的人員能夠解密該密碼文����。本發(fā)明鑒于這樣的點而完成,提供一種便利性高�、無需在密碼文空間中設置僅用于提高CCA安全性的空間而能夠提高CCA安全性的密碼方式。用于解決課題的手段在本發(fā)明的加密處理中�,至少,將平文M和共同密鑰K輸入到共同密鑰密碼函數(shù)來計算第一密碼文C1����,將包含與共同密鑰K對應的值和與第一密碼文C1對應的值的值輸入到?jīng)_突困難的函數(shù)H來計算函數(shù)H的函數(shù)值,使用與函數(shù)H的函數(shù)值對應的值r���、與共同密鑰 K對應的值P��、n維向量ν — = (V1,... ,vn)的元素νμ(μ = 1����,...��,η���、η彡1)、以巡回群& 的η+1個元為元素的η+1維基底向量h e G111+1 (i = 1��,...�,n+1)來計算第二密碼文C2 = r· (Σ F1nVli -bJ + P .Iv1GG1n^在與此對應的解密處理中��,至少�,將第二密碼文C2 e G1n^和密鑰信息D廣= α -(Σ μ=>μ ·Κ*)+ 3η+1*£(;2η+1輸入到雙線型函數(shù)e來計算函數(shù)值S =MC2J1*) e Gt, 將與函數(shù)值S 對應的值和第一密碼文C1輸入到?jīng)_突困難的函數(shù)H來計算函數(shù)H的函數(shù)值��。 其中�����,在密鑰信息D1*正確的情況下��,“與函數(shù)值S 對應的值”與在加密處理中輸入到?jīng)_突困難的函數(shù)H的“與共同密鑰K對應的值”相等��。然后���,對值P ����;與函數(shù)H的函數(shù)值對應的值r �、η維向量vl勺元素νμ、基底向量h e G11^i = 1����,...,η+1),判定是否滿足C2 = r · (Σ ^1nV, .bJ + P .Iv1GG11^這里����,在加密處理的處理中使用的值r對應于,將包含與共同密鑰K對應的值和與第一密碼文C1對應的值的值輸入到?jīng)_突困難的函數(shù)H而得到的函數(shù)值�。因此,若第一密碼文C1或共同密鑰K不同��,則值r也不同��。因此����,不知道共同密鑰K的攻擊者即使能夠根據(jù)正確取得的第一密碼文C/來生成與其不同的第一密碼文C1,也無法正確生成與所生成的第一密碼文C1對應的值r。因此���,在解密處理中�,將與函數(shù)值S 對應的值和第一密碼文C1輸入到?jīng)_突困難的函數(shù)H來復原值r ��,并判定是否滿足C2 = r ·( Σ μ = !nvu ·Κ) + ρ *bn+1 e G111+1,從而能夠提高CCA安全性��。其中����,“與值1對應的值2”意味著,值2是值1的情況�、或者值2是至少依賴于值1的值的情況。此外���,僅通過用于作為第二密碼文C2的基本結(jié)構(gòu)的η維向量ν — = (V1, ...����,νη) 的η維空間和用于與包含共同密鑰K的值對應的值P的1維空間����,構(gòu)成第二密碼文C2 = r· (Σ μ=1ηνμ ·Κ) + ρ -bn+1 eGf1。即���,第二密碼文C2不需要僅用于提高CCA安全性的空間�����。此外��,本發(fā)明的加密處理的一例中����,將平文M和共同密鑰K輸入到共同密鑰密碼函數(shù)來計算第一密碼文C1�,將共同密鑰K和第一密碼文C1輸入到?jīng)_突困難的函數(shù)H來計算值 r和P��,計算將τ設為加法單位元以外的常數(shù)的情況下的函數(shù)值S = g/'P e GT�,計算作為將函數(shù)值S輸入到單射函數(shù)R而得到的二進制序列即函數(shù)值與共同密鑰K的邏輯異或值的第三密碼文C3,并計算第二密碼密碼文C2 = r· (Σ·Κ) + ρ · bn+1 e G1^10在與此對應的解密處理中���,例如��,將第二密碼文C2 e G廣1和密鑰信息D1*輸入到雙線型函數(shù)e來計算函數(shù)值S =θ^, ��;) e GT�,計算將函數(shù)值S 輸入到單射函數(shù)R而得到的二進制序列即函數(shù)值R(S )與第三密碼文C3的邏輯異或值K ���,將邏輯異或值K 和第
11一密碼文C1輸入到?jīng)_突困難的函數(shù)H來計算值r 和P ����,計算函數(shù)值C廠=! (Eli = !nVu -bu) + P ^.bn+1 G G1"+1,并判定函數(shù)值C廠與第二密碼文C2是否相等�����,在判定結(jié)果表示 函數(shù)值C廠與第二密碼文C2相等的情況下�,將邏輯異或值K 作為共同密鑰,將該邏輯異或 值K 和第一密碼文C1輸入到共同密鑰解密函數(shù)來計算解密值M:此外�,在加密處理的其他例子中,選擇值P�,計算將て設為加法単位元以外的常 數(shù)的情況下的函數(shù)值S = ‘p e Gt����,將把函數(shù)值S輸入到単射函數(shù)R而得到的函數(shù)值 R(S)設為共同密鑰K�����,將該共同密鑰K和平文M輸入到共同密鑰密碼函數(shù)來計算第一密碼 文C1�,將函數(shù)值S和第一密碼文C1輸入到?jīng)_突困難的函數(shù)H來計算值r�����,計算第二密碼文C2 =r. (E ^1nV, -bu) + P IviEG1n^在與此對應的解密處理中��,例如�,將第二密碼文C2 G G廣1和密鑰信息D廣輸入到雙 線型函數(shù)e來計算函數(shù)值S =e(C2, D1*) G Gt,將函數(shù)值S 和第一密碼文C1輸入到?jīng)_突 困難的函數(shù)H來計算值r又使用第二密碼文C2和值r 和n維向量vヰ的各元素( P = 1�����,. . .���,n)來計算函數(shù)值\ = C2-I ( E ^1nVu bu) G G111+1,將函數(shù)值\和輔助密鑰 信息D/ = E w =廣日w b/輸入到雙線型函數(shù)e來計算函數(shù)值e (���、D2*)��,并判定函數(shù)值 e (入�����,D2*)是否滿足e (入�,D2*) = 1 G Gt,在判定結(jié)果表示滿足e (入���,D2*) = 1 G Gt的情況 下���,將把函數(shù)值S 輸入到単射函數(shù)R而得到的函數(shù)值R(S )設為共同密鑰K ,將該共同 密鑰K 和第一密碼文C1輸入到共同密鑰解密函數(shù)來計算解密值M:此外��,優(yōu)選的単射函數(shù)R和沖突困難的函數(shù)H的例子是�����,近似的隨機函數(shù)�。由此, 安全性進ー步提高�����。發(fā)明效果如上所述����,本發(fā)明的密碼方式便利性高�����,并且無需在密碼文空間中設置僅用于提 高CCA安全性的空間而能夠提高CCA安全性�。
圖1是用于說明第一實施方式的密碼系統(tǒng)的結(jié)構(gòu)的圖�����。圖2是用于說明圖1的加密裝置的結(jié)構(gòu)的圖�����。圖3是用于說明圖1的解密裝置的結(jié)構(gòu)的圖�。圖4是用于說明圖1的密鑰生成裝置的結(jié)構(gòu)的圖�����。圖5是用于說明第一實施方式的加密處理的圖����。圖6是用于說明第一實施方式的密鑰信息的生成處理的圖。圖7是用于說明第一實施方式的解密處理的圖���。圖8是用于說明第二實施方式的密碼系統(tǒng)的結(jié)構(gòu)的圖���。圖9是用于說明圖8的加密裝置的結(jié)構(gòu)的圖���。圖10是用于說明圖8的解密裝置的結(jié)構(gòu)的圖。圖11是用于說明圖8的密鑰生成裝置的結(jié)構(gòu)的圖��。圖12是用于說明第二實施方式的加密處理的圖����。圖13是用于說明第二實施方式的密鑰信息的生成處理的圖。圖14是用于說明第二實施方式的解密處理的圖���。
具體實施例方式說明用于實施本發(fā)明的方式�����。定義首先����,對在本方式中使用的用語和符號進行定義�。矩陣“矩陣”表示將定義了運算的集合的元以矩形排列的集合。不僅將以環(huán)的元作為元素的集合表現(xiàn)為“矩陣”,也將以群的元作為元素的集合表現(xiàn)為“矩陣”���。(·)Τ:(·)Τ表示·的轉(zhuǎn)置矩陣��。(O^^r1表示 的逆矩陣�。Λ Λ表示邏輯積���。V: V表示邏輯和�����。Z :Ζ表示整數(shù)集合����。k :k 表示安全參數(shù)(k e Z�,k > 0)����。{O, 1}* {O, 1}*表示任意比特長度的二進制序列。其一例是由整數(shù)O和1構(gòu)成的序列�。但是,{0��,1}*不限定于由整數(shù)O和1構(gòu)成的序列����。{0�����,1}*與位數(shù)2的有限域或者其擴展域意思相同�。{0,1} ζ {0,1} ζ表示比特長度為ζ (ζ e Ζ, ζ >0)的二進制序列��。其一例是由整數(shù)O和1構(gòu)成的序列���。但是��,{0��,1}ζ不限定于由整數(shù)O和1構(gòu)成的序列�����。{0�����,1”與位數(shù)2的有限域(ζ = 1時)或者將其擴大了 ζ次的擴展域(ζ > 1時)意思相同���。(+) (+)表示二進制序列之間的邏輯異或運算符���。例如,滿足 10110011(+)11100001 = 01010010���。Ftl =Ftl表示位數(shù)q的有限域���。位數(shù)q為1以上的整數(shù),例如將質(zhì)數(shù)或質(zhì)數(shù)的冪乘值作為位數(shù)q��。即��,有限域F,的例子是質(zhì)數(shù)域��、或者將其作為基礎(chǔ)域的擴展域。另外,例如通過將位數(shù)q作為除數(shù)的余數(shù)運算���,從而能夠容易地構(gòu)成在有限域F,為質(zhì)數(shù)域時的運算�。此外��,例如通過將不可約多項式作為除數(shù)的余數(shù)運算�,從而能夠容易地構(gòu)成在有限域F,為擴展域時的運算。有限域F,的具體的構(gòu)成方法,例如公開于參考文獻1 “IS0/IEC 18033-2 Information technology-Security techniques-Encryption algorithms-Part 2 :Asymmetric ciphers����,,�����。0F :0f表示有限域F,的加法單位元�����。If :1F表示有限域F,的乘法單位元�。δ (i, j) δ (i, j)表示 Kronecker 的 δ 函數(shù)。在 i = j 時滿足 δ (i�����,j) = 1F�����, 在i乒j時滿足S (i��,j) = OfoE :E表示在有限域F,上定義的橢圓曲線����。E被定義成����,對由滿足如式(1) Waffine 坐標版的Wfeierstrass方程式(其中����,a” a2,a3�,a4,a6 e Fq)的x�,y e Fq構(gòu)成的點(x,y) 的集合附加了被稱為無限遠點的特別的點0的集合�。能夠分別對橢圓曲線E上的任意2點定義被稱作橢圓加算的二項運算+,對橢圓曲線E上的任意1點定義被稱作橢圓逆元的單項運算_���。此外�,由橢圓曲線E上的有理點構(gòu)成的有限集合關(guān)于橢圓加算而組成群�、使用橢圓加算能夠定義被稱為橢圓標量倍算的運算、以及計算機上的橢圓加算等橢圓運算的具體的運算方法被眾所周知(例如��,參照參考文獻1���、參考文獻2 "RFC 5091 =Identity-Based Cryptography Standard (IBCS) #1 :Supersingular Curve Implementations of the BFand BBlCryptosystems”��、參考文獻 3 “ 4 了 > · F · ���,夂、辦 r 4 工卟 七口夕〉����、于 ^夕工卟· P · 7 7 —卜=著、「楕円曲線暗號」�、出版=If 7 乂 > ·工尹二夕一〉3 >、 ISBN4-89471-431-0�����,���,等)�。Y^a1 · χ · y+a3 · y = x3+a2 · x2+a4 · x+a6. · · (1)此外�,由橢圓曲線E上的有理點構(gòu)成的有限集合具有位數(shù)p(p ^ 1)的子群。例如���, 在將由橢圓曲線E上的有理點構(gòu)成的有限集合的元素數(shù)設為#E��,將P設為用于切割#E的大的質(zhì)數(shù)的情況下�,由橢圓曲線E的ρ等分點構(gòu)成的有限集合E [ρ]構(gòu)成由橢圓曲線E上的有理點構(gòu)成的有限集合的子群。另外�����,橢圓曲線E的ρ等分點意味著�����,在橢圓曲線E上的點A 中�,橢圓曲線E上的橢圓標量倍算值ρ · A滿足ρ · A = 0的點。61��、62��、&:61��、62����、&表示位數(shù)9的巡回群。巡回群G1��,�、( 的具體例子是,由橢圓曲線E的ρ等分點構(gòu)成的有限集合E[p]或者其子群��。既可以是G1 = G2,也可以是G1興G20 此外����,巡回群Gt的具體例子是,構(gòu)成將有限域Ftl作為基礎(chǔ)體的擴展域的有限集合����。其一例是,由有限域F,的代數(shù)閉包中的1的ρ乘根構(gòu)成的有限集合�����。另外���,在本方式中�����,用加法表現(xiàn)在巡回群G1,�、G2上定義的運算�,用乘法表現(xiàn)在巡回群GT上定義的運算。S卩���,對于χ e Ft^P Ω e G1的χ · Ω e G1意味著���,對Ω e G1實施 χ次在巡回群G1中定義的運算�,對于Ω^ Ω2 e G1的Ω^Ω2 e G1意味著�����,將Q1 e G1* Q2GG1作為被運算符進行在巡回群G1中定義的運算��。同樣地�,對于χ £&和Ω e(}2的 χ · Ω e (}2意味著,對Ω e &實施χ次在巡回群(�;2中定義的運算,對于Ω^Ω2 e &的 Ω1+Ω2 e ( 意味著��,將Q1 e &和Ω2 e ( 作為被運算符進行在巡回群( 中定義的運算�����。 另一方面�����,對于χ e Ft^P Ω e Gt的Ω x e Gt意味著����,對Ω e Gt實施χ次在巡回群Gt 中定義的運算��,對于Ω ρ Ω 2 e Gt的Ω工· Ω 2 e Gt意味著����,將Ω工e Gt和Ω 2 e Gt作為被運算符進行在巡回群Gt中定義的運算���。G111+1 =G1n^表示η+1 (η彡1)個巡回群G1的直積。G2n+1 :G2n+1表示η+1個巡回群( 的直積���。g” g2�����、gT :gl����、g2�、gT 表示巡回群 G1, G2、Gt 的生成元��。V :V表示由n+1個巡回群G1的直積構(gòu)成的η+1維的向量空間��。V* =V*表示由η+1個巡回群( 的直積構(gòu)成的η+1維的向量空間。e :e表示用于計算將直積G111+1和直積(i2n+1的直積Gin+1XG2n+1映射到巡回群Gt的非退化的雙線型映射(bilinear map)的函數(shù)(稱為“雙線型函數(shù)”)���。雙線型函數(shù)e將巡回群 G1 的 η+1 個元 Yl(L= L... ,η+1) (η ^ 1)和巡回群( 的 η+1 個元 YL*(L= 1��,..., η+1)作為輸入,輸出巡回群Gt的1個元���。e =G1lriX (}2η+1 — Gt . . . (2)雙線型函數(shù)e滿足以下的性質(zhì)。[雙線型性]對所有的eGr1 > Γ2 e Gf1和ν���,κ G F,,滿足以下的關(guān)系。e( ν · ?!?κ · Γ 2) = θ(Γ17 Γ 2)……(3)[非退化性]不是將所有的F1 e G1""1, T2 e G2n+1... (4)映射到巡回群Gt的單位元的函數(shù)�。[可計算性]存在對所有的ri e Gf1��、Γ 2 e G2n+1有效率地計算e ( Γ ρ Γ 2)的算
14法�����。在本方式中�����,使用用于計算將巡回群G1和巡回群( 的直積G1XG2映射到巡回群Gt 的非退化的雙線型映射的函數(shù)Pair =G1XG2 ^ Gt …(5),來構(gòu)成雙線型函數(shù)e。本方式的雙線型函數(shù)e是,對于由巡回群G1的11+1個元 Yl(L= l��,...,n+l)構(gòu)成的η+l維向量(Y1,...,Y n+1)�、由巡回群( 的n+1個元Y彳(L = l�����,...�,n+l)構(gòu)成的η+l維向量(υΛ...,Υη+1*)的輸入��,輸出巡回群Gt的一個元e = Π L = !n+1Pair ( y L, y L*). . . (6)的函數(shù)����。另外��,雙線型函數(shù)I^air是將巡回群G1的1個元和巡回群( 的1個元的組合作為輸入�����,輸出巡回群Gt的1個元的函數(shù),滿足以下的性質(zhì)�����。[雙線型性]對所有的Ωi G G” Ω2 G &和ν�,κ e F,,滿足以下的關(guān)系����。Pair ( ν · Ω” κ · Ω2) = Pair(Q1, Ω2)ν.κ··· (7)[非退化性]不是將所有的Q1 e G1, Ω 2 e G2... (8)映射到巡回群Gt的單位元的函數(shù)。[可計算性]存在對所有的Ωi G G^ Ω 2 G &有效率地計算I^air ( Ω ^ Ω 2)的算法��。另外��,雙線型函數(shù)I^air的具體例子是,用于進行^feil-Pairing或Tate-Pairing 等配對運算的函數(shù)(例如����,參照參考文獻4 "Alfred. J. Menezes, ELLIPTIC CURVE PUBLIC KEY CRYPTOSYSTEMS,KLUffER ACADEMIC PUBLISHERS, ISBN0-7923-9368-6, pp. 61-81” 等)��。 此外,根據(jù)橢圓曲線E的種類����,也可以將組合了用于進行Tate-Pairing等配對運算的函數(shù)與規(guī)定的函數(shù)Phi的變形配對函數(shù)ΜΩρ Phi(Q2)) (Q1 e G1, Ω2 e G2)作為雙線型函數(shù)I^air來使用(例如����,參照參考文獻2等)�����。此外����,作為用于在計算機上進行配對運算的算法,存在眾所周知的Miller算法(參考文獻5 "V. S. Miller, "Shorr Programs for functions on Curves,�,��,1986,因特網(wǎng) <http://crypto. Stanford, edu/miller/miller. pdf>”)等���。此外,眾所周知用于有效率地進行配對運算的橢圓曲線和巡回群的構(gòu)成方法(例如,參照參考文獻 2�、參考文獻 6 "A. Miyaji,M. Nakabayashi��,S. Takano���,“ New explicit conditions of elliptic curve Traces for FR-Reduction, " IEICE Trans. Fundamentals, vol. E84-A���,no05,pp. 1234-1243���,May 2001”�����、參考文獻 7"P. S. L. Μ. Barreto, B. Lynn, Μ. Scott, " Constructing elliptic curves with prescribed embedding degrees, “ Proc. SCN' 2002, LNCS 2576�����,pp. 257-267�,Springer-Verlag. 2003�����,�����,�、參考文獻 8 "R. Dupont,A. Enge,F. Morain," Building curves with arbitrary small MOV degree over finite prime fields, " http://eprint. iacr. org/2002/094/,���,等)���。Bi (i = 1, ... , η+l) =Bi表示將巡回群G1的η+l個元作為元素的η+l維的基底向量?;紫蛄?的一例是,將K1^1 GG1作為第i維的元素�,將剩余的η個元素設為巡回群G1的單位元(加法上表現(xiàn)為“0”)的η+l維的基底向量。這種情況下,分別列舉并表現(xiàn) η+l維的基底向量ai(i = l�,...,n+l)的各元素�����,則成為如下����。B1 = (K1. gl,0,0, . . . ,0)
a2(0, κ j . gl,0, . . . ,0). . . (9)...an+1 = (0,0,0, . . . , κ j . gl)這里,κ工是由加法單位元Of以外的有限域F,的元構(gòu)成的常數(shù)���,K1GFq的具體例子是K1 = 1F��?;紫蛄?是正交基底����,將巡回群&的11+1個元作為元素的所有的n+1維向量,通過n+1維的基底向量 (i = l�����,...�����,n+l)的線性和來表現(xiàn)。即�,n+1維的基底向量 Bi展開上述的向量空間V��。ai*(i = 1���,. . .�����,n+1) : *表示將巡回群( 的n+1個元作為元素的n+1維的基底向量�?����;紫蛄?< 的一例是��,將作為第i維的元素�,將剩余的n個元素設為巡回群&的單位元(加法上表現(xiàn)為“0”)的n+1維的基底向量。這種情況下���,分別列舉并表現(xiàn)基底向量= 1�,···,η+1)的各元素�,則成為如下。B1* = (κ 2 . g2,0,0, . . . ,0)a2* = (0��,κ 2 . g2,0, . . . ,0). . . (10)...an+1* = (0���,0�,0���,· · ·���,κ 2 · g2)這里,κ 2是由加法單位元Of以外的有限域F,的元構(gòu)成的常數(shù)��,K2GFq的具體例子是K2= 1F����。基底向量< 是正交基底����,將巡回群&的11+1個元作為元素的所有的n+1維向量,通過11+1維的基底向量<(1 = 1���,...�,11+1)的線性和來表現(xiàn)。即���,n+1維的基底向量 a廣展開上述的向量空間壙�。另外��,關(guān)于除了 Of的有限域F,的元τ = Κι· κ 2�����,基底向量 和基底向量a廣滿足式(11)��。e(ai,a����;) = gTτ ‘ 5 (i'J). . . (11)即�����,i = j時�,根據(jù)式(6) (7)的關(guān)系,滿足e(ai; a/) =Pair(K1.g1��,κ 2 · g2) · Pair (0,0) ·... ‘ Pair (0,0)= Pairfe1,g2) κ1. κ2 · Pairfe1�,g2)0.0 · · · · · Pairfe1,g2)0.0=Pair(gl,g2)Kl-K2 = gT\另一方面�,i乒 j 時,efepa/)不包括i .gl,K2 .g2),成為 Pair(0�,κ 2-g2) 與· &,0)與l^ir(0,0)的積�。而且,根據(jù)式(7)的關(guān)系而滿足I^air(gl�,0)= Pair(0, g2) = Pairfe1����,g2)0�。因此��,i Φ j 時�����,滿足e(ai,…*) = e(gl�,由)。=gT0�。尤其��,在τ = κ工· K2 = “時(例如�����,K1= κ2 = If時)�����,滿足式(12)���。這里���, gT° = 1是巡回群Gt的單位元���,g = gT是巡回群Gt的生成元�。這種情況下�����,基底向量屮和基底向量%*是雙對正規(guī)正交基底����,向量空間V和向量空間V*是可構(gòu)成雙線型映射的雙對向量空間[雙配對向量空間(DPVS =Dual Paring Vector space)]。e(ai,a���;) = gT5(i'J)... (12)A :A表示將基底向量EiiG = 1,... ,n+1)作為元素的n+1行n+1列的矩陣��。例如��, 通過式(9)表現(xiàn)基底向量 (i = l�,...���,n+l)的情況下,矩陣A成為數(shù)1�。[數(shù)1]
權(quán)利要求
1.一種加密裝置�����,具有共同密鑰加密單元,將平文M和共同密鑰K輸入到共同密鑰密碼函數(shù)來計算密碼文C1, 并輸出該密碼文C1;函數(shù)運算單元����,將包含與所述共同密鑰K對應的值和與所述密碼文C1對應的值的值輸入到?jīng)_突困難的函數(shù)H來計算函數(shù)H的函數(shù)值��;以及向量運算單元,使用與所述函數(shù)H的函數(shù)值對應的值r�、與所述共同密鑰K對應的值 P��、n 維向量 ν —= (vi; . . . , vn)的元素 νμ(μ = 1, ... , η) (η ^ 1)����、以巡回群 G1 的 η+l 個元為元素的η+l維基底向量h e G111+1 (i = 1����,...���,η+l)來計算第二密碼文C2 = r · ( Σ μ = 1nvu ·Κ) + Ρ .bn+1 e G111+1,并輸出該第二密碼文 C2���。
2.如權(quán)利要求1所述的加密裝置,其中��, 所述共同密鑰K是二進制序列���,所述函數(shù)運算單元將所述共同密鑰K和所述密碼文C1輸入到所述沖突困難的函數(shù)H來計算所述值r和P, 該加密裝置還具有群運算單元�,使用所述值P,計算將&設為巡回群Gt的生成元��、將τ設為加法單位元以外的常數(shù)的情況下的函數(shù)值S = &τ‘ρ eGT;以及邏輯異或運算單元����,計算作為將所述函數(shù)值S輸入到單射函數(shù)R而得到的二進制序列即函數(shù)值R(S)與所述共同密鑰K的邏輯異或值的第三密碼文C3,并輸出該第三密碼文C3。
3.如權(quán)利要求1所述的加密裝置��,還具有 選擇單元�����,選擇所述值P ��;群運算單元�,使用所述值P�����,計算將&設為巡回群Gt的生成元、將τ設為加法單位元以外的常數(shù)的情況下的函數(shù)值S = g/ · P e Gt �;以及共同密鑰生成單元,將所述函數(shù)值S輸入到單射函數(shù)R來計算函數(shù)值R6)�,并將該函數(shù)值R6)設為所述共同密鑰K,所述函數(shù)運算單元將所述函數(shù)值S和所述密碼文C1輸入到所述沖突困難的函數(shù)H來計算所述值r��。
4.如權(quán)利要求2所述的加密裝置���,其中�, 所述單射函數(shù)R是近似的隨機函數(shù)��。
5.如權(quán)利要求3所述的加密裝置��,其中���, 所述單射函數(shù)R是近似的隨機函數(shù)��。
6.如權(quán)利要求1所述的加密裝置����,其中���, 所述沖突困難的函數(shù)H是近似的隨機函數(shù)�����。
7.如權(quán)利要求2所述的加密裝置���,其中, 所述沖突困難的函數(shù)H是近似的隨機函數(shù)。
8.如權(quán)利要求3所述的加密裝置��,其中�, 所述沖突困難的函數(shù)H是近似的隨機函數(shù)���。
9.如權(quán)利要求2所述的加密裝置,其中�,所述巡回群G1和所述巡回群Gt是存在非退化的雙線型函數(shù)e的集合��,該非退化的雙線型函數(shù)e對所述巡回群G1的η+l個元Y,(L= 1,... ,η+l)和巡回群( 的η+l個元=1,. . .�,n+1)的輸入而輸出所述巡回群Gt的1個元�����。
10.如權(quán)利要求9所述的加密裝置,其中�����,所述值r和所述值P和所述常數(shù)τ是有限域Ftl的元��,所述巡回群G1和(���;2的位數(shù)分別與所述有限域Ftl的位數(shù)q(q ^ 1)相等�����。
11.如權(quán)利要求9或10所述的加密裝置�,其中,所述雙線型函數(shù)e是對所述巡回群G1的n+1個元h (L = 1����,. . .,n+1)和所述巡回群( 的n+1個元Y L* (L = 1���,· · ·,n+1)的輸入而輸出所述巡回群Gt的元e = Π i = ^+1Pair ( y L,YL*)的函數(shù)�,其中I^air是將所述巡回群G1的1個元與所述巡回群( 的1個元的組映射到所述巡回群Gt的1個元的非退化的雙線型函數(shù)�。
12.如權(quán)利要求3所述的加密裝置�����,其中�����,所述巡回群G1和所述巡回群Gt是存在非退化的雙線型函數(shù)e的集合,該非退化的雙線型函數(shù)e對所述巡回群G1的n+1個元Y,(L= l��,...,n+l)和巡回群( 的n+1個元 =1�,. . .,n+1)的輸入而輸出所述巡回群Gt的1個元����。
13.如權(quán)利要求12所述的加密裝置�����,其中���,所述值r和所述值P和所述常數(shù)τ是有限域Ftl的元����,所述巡回群G1和(�����;2的位數(shù)分別與所述有限域Ftl的位數(shù)q(q ^ 1)相等����。
14.如權(quán)利要求12或13所述的加密裝置��,其中,所述雙線型函數(shù)e是對所述巡回群G1的n+1個元h (L = 1��,. . .��,n+1)和所述巡回群( 的n+1個元Y L* (L = 1�,· · ·���,n+1)的輸入而輸出所述巡回群Gt的元e = Π i = ^+1Pair ( y L,YL*)的函數(shù)�����,其中I^air是將所述巡回群G1的1個元與所述巡回群( 的1個元的組映射到所述巡回群Gt的1個元的非退化的雙線型函數(shù)��。
15.一種解密裝置�,具有輸入單元�,輸入包含密碼文C1和第二密碼文C2 e G1^1的值;雙線型函數(shù)運算單元�����,將所述第二密碼文C2 e G1^1和密鑰信息D1* e G2n+1輸入到雙線型函數(shù)e來計算函數(shù)值S =MC2J1*) e GT��;函數(shù)運算單元�,將與所述函數(shù)值S 對應的值和所述密碼文C1輸入到?jīng)_突困難的函數(shù)H 來計算函數(shù)H的函數(shù)值�;以及判定單元�,對所述第二密碼文C2��、值P ����、與所述函數(shù)H的函數(shù)值對應的值r �����、n維向量 ν — = (V1Vn)的元素 νμ (μ = 1�,...,n)���、基底向量、e G1n^ (i = 1����,...����,n+l),判定是否滿足C2 = r ·(Σ F11Vli \) + 口 *1^+1£6廣1,并輸出該判定結(jié)果����,所述雙線型函數(shù)e是對巡回群G1的n+1個元YL(L= 1,. . .,n+1) (η彡1)和巡回群 &的11+1個元Υ: (L= 1�,...,n+1)的輸入而輸出巡回群Gt的1個元的非退化的雙線型函數(shù)��,所述基底向量h e G1lriG = 1���,...���,n+1)分別是以所述巡回群G1的n+1個元為元素的n+1維的基底向量��,b����; e G2n+1 (i = 1��,...,n+1)分別是以所述巡回群&的n+1個元為元素的n+1維的基底向量�,將所述基底向量h e G111+1 (i = 1,...��,n+1)的各元素和所述基底向量b/ e G2n+1(j = 1,...��,n+l)的各元素輸入到所述雙線型函數(shù)e而得到的函數(shù)值,使用Kronecker的δ函數(shù)δ (i����,j)而被表現(xiàn)為‘s (i��,j) e GT�,τ是加法單位元以外的常數(shù)����,份是所述巡回群Gt的生成元��,w — = (W1, ... , wn)是η維向量�,(μ = 1,...�����,η)是所述η維向量w — = (Wl����,...���,Wn)的元素���,α是被選擇的值,所述密鑰信息D^eGn+1是D1* =
16.如權(quán)利要求15所述的解密裝置����,其中���,對所述輸入單元輸入的����、包含所述密碼文C1和所述第二密碼文C2 e G1n^的值還包含�, 作為二進制序列的第三密碼文C3,該解密裝置還包括邏輯異或運算單元,該邏輯異或運算單元計算將所述函數(shù)值S 輸入到單射函數(shù)R而得到的二進制序列即函數(shù)值R(S )與所述第三密碼文C3的邏輯異或值 K �,所述函數(shù)運算單元將所述邏輯異或值K 和所述密碼文C1輸入到所述沖突困難的函數(shù) H來計算所述值r 和P , 所述判定單元包括向量運算單元,使用所述η維向量vl勺元素νμ( μ = 1��,...��,η)和所述值r 和P , 計算函數(shù)值 C廠=r ·(Σ ^1nV, ·Κ) + Ρ ·Ιν η+1^& 比較單元����,判定所述函數(shù)值C廠與所述第二密碼文C2是否相等����, 該解密裝置還具有共同密鑰解密單元����,其中該共同密鑰解密單元在所述比較單元的判定結(jié)果是表示所述運算結(jié)果C廠與所述第二密碼文C2相等的判定結(jié)果的情況下���,將所述邏輯異或值K 設為共同密鑰�����,將該邏輯異或值K 和所述密碼文C1輸入到共同密鑰解密函數(shù)來計算解密值M ,并輸出該解密值M
17.如權(quán)利要求15所述的解密裝置��,其中,所述函數(shù)運算單元將所述函數(shù)值S 和所述密碼文C1輸入到所述沖突困難的函數(shù)H來計算所述值!· �����,所述判定單元包括向量運算單元�,使用所述第二密碼文C2和所述值r 和所述η維向量ν —的元素νμ ( μ =1����,...�����,η)�,計算函數(shù)值 λ = C2-r · Σ μ=1ηνμ ·Κ e G1n^ ;第二雙線型函數(shù)運算單元�����,將所述函數(shù)值λ和對于值β μ (μ = 1���,. . .,η)的輔助密鑰信息μ^ηβμ 輸入到所述雙線型函數(shù)e來計算函數(shù)值e( λ�����,D/)�;以及比較單元,判定所述函數(shù)值e ( λ�����,D2*)是否滿足e ( λ�,D2*) = 1 e GT�, 該解密裝置還具有共同密鑰解密單元�����,其中該共同密鑰解密單元在所述比較單元的判定結(jié)果是表示滿足,D/) = 1 e Gt的判定結(jié)果的情況下�,將把所述函數(shù)值S 輸入到單射函數(shù)R而得到的函數(shù)值R(S )設為共同密鑰IT,將該共同密鑰IT和所述密碼文C1輸入到共同密鑰解密函數(shù)來計算解密值M ,并輸出該解密值M ��。
18.如權(quán)利要求16或17所述的解密裝置��,其中, 所述單射函數(shù)R是近似的隨機函數(shù)����。
19.如權(quán)利要求15至17的任一項所述的解密裝置�,其中��, 所述沖突困難的函數(shù)H是近似的隨機函數(shù)。
20.如權(quán)利要求15至17的任一項所述的解密裝置���,其中���,在將把κ工· &設為第i維的元素�����、把剩余的η個元素設為所述巡回群G1的單位元的 η+1維的基底向量分別設為 e G111+1 (i = 1���,. . .��,n+1)��,將n+1行n+1列的矩陣設為X,將該矩陣X的i行j列的元素設為χ 的情況下�,所述基底向量h滿足h = Σ &廣χ -Bj, 其中將所述巡回群G1的生成元設為&,將κ工設為加法單位元以外的常數(shù)���,在將把κ 2 · &設為第i維的元素、把剩余的η個元素設為所述巡回群( 的單位元的 η+1維的基底向量分別設為< e G2n+1(i = 1����,...�,n+1)����,將n+1行n+1列的矩陣設為X*,將該矩陣f的i行j列的元素設為χ i,��;的情況下�,所述基底向量Y滿足V = Σ」=廣χ i, ��;· a/���,其中將所述巡回群&的生成元設為g2,將κ 2設為加法單位元以外的常數(shù)���。
21.如權(quán)利要求15至17的任一項所述的解密裝置���,其中����,所述值r 和所述值P 和所述常數(shù)τ和所述值α是有限域Fq的元���,所述巡回群G1和(;2的位數(shù)分別與所述有限域Ftl的位數(shù)q(q ^ 1)相等���。
22.如權(quán)利要求15至17的任一項所述的解密裝置��,其中�,所述雙線型函數(shù)e是對所述巡回群G1的n+1個元h (L = 1���,. . .�,n+1)和所述巡回群( 的n+1個元Y L* (L = 1,· · ·�����,n+1)的輸入而輸出所述巡回群Gt的元e = Π i = ^+1Pair ( y L, Yl*)的函數(shù)����,其中將把所述巡回群G1的1個元與所述巡回群( 的1個元的組映射到所述巡回群Gt的1個元的非退化的雙線型函數(shù)設為I^air�。
23.一種在加密裝置和解密裝置中執(zhí)行的安全方法��,具有(A)由所述加密裝置將平文M和共同密鑰K輸入到共同密鑰密碼函數(shù)來計算密碼文C1, 并輸出該密碼文C1的步驟;(B)由所述加密裝置將包含與所述共同密鑰K對應的值和與所述密碼文C1對應的值的值輸入到?jīng)_突困難的函數(shù)H來計算函數(shù)H的第一函數(shù)值的步驟�;(C)由所述加密裝置使用與所述函數(shù)H的第一函數(shù)值對應的值r�����、與所述共同密鑰K 對應的值P���、n維向量ν —= (νι; ...��,vn)的元素νμ(μ = 1,...�,run彡1)��、以巡回群& 的n+1個元為元素的n+1維基底向量h e G111+1 (i = 1��,...,n+1)來計算第二密碼文C2 = r· (Σ μ=1ηνμ ·Κ) + ρ .bn+1 e G111+1,并輸出該第二密碼文(2的步驟����;(D)對所述解密裝置輸入包含所述密碼文C1和所述第二密碼文C2e G1^1的值的步驟�����;(E)由所述解密裝置將所述第二密碼文C2e G1^1和密鑰信息D1*輸入到雙線型函數(shù)e 來計算函數(shù)值S =e(C2, D1*) e Gt的步驟�����;(F)由所述解密裝置將與所述函數(shù)值S 對應的值和所述密碼文C1輸入到所述沖突困難的函數(shù)H來計算函數(shù)H的第二函數(shù)值的步驟���;以及(G)由所述解密裝置對所述第二密碼文C2����、所述值P入與所述函數(shù)H的第二函數(shù)值對應的值r入所述η維向量f的元素νμ���、基底向量bi e G1lriG = 1�,...,n+1)�,判定是否滿足 C2 = r ·( Σ μ=1ηνμ · bJ + P · bn+1 e G1n^ 的步驟,所述雙線型函數(shù)e是對巡回群G1的n+1個元YL(L= 1����,. . .���,n+1) (η彡1)和巡回群 &的11+1個元L... ,n+1)的輸入而輸出巡回群Gt的1個元的非退化的雙線型函數(shù)����,所述基底向量h e G1lriG = 1,...���,n+1)分別是以所述巡回群G1的n+1個元為元素的 n+1維的基底向量�����,基底向量b廣e G2n+1(i = 1����,...,n+1)分別是以所述巡回群( 的n+1個元為元素的n+1維的基底向量�,將所述基底向量h e G111+1 (i = 1����,...,n+1)的各元素和所述基底向量b/ e G2n+1(j = 1,. . .��,n+1)的各元素輸入到所述雙線型函數(shù)e而得到的函數(shù)值���,使用Kronecker的δ函數(shù)δ (i,j)而被表現(xiàn)為· 5 (i�,j) e GT����,τ是加法單位元以外的常數(shù)���,份是所述巡回群Gt的生成元,α是被選擇的值�����,w — = (Wl���,...���,Wn)是η維向量�, = 1����,...���,η)是所述η維向量^^= (wi; . . . , wn)的元素�����,所述密鑰信息D1*是D1* = α · (Σ μ=>μ ·Κ*)+ 3η+1*£(;2η+1����。
24.如權(quán)利要求23所述的安全方法�,其中�,所述步驟(B)包括將所述共同密鑰K和所述密碼文C1輸入到?jīng)_突困難的函數(shù)H來計算所述值r和P的步驟����, 所述步驟(C)包括由所述解密裝置使用所述值P來計算函數(shù)值S = & τ ‘p e Gt的步驟; 由所述解密裝置計算作為將所述函數(shù)值S輸入到單射函數(shù)R而得到的二進制序列即函數(shù)值R6)與所述共同密鑰K的邏輯異或值的第三密碼文C3,并輸出該第三密碼文C3的步驟·’以及由所述解密裝置使用η維向量ν —的各元素�、(μ = 1�����,...,η)和所述值r和P來計算所述第二密碼文C2�,并輸出該第二密碼文C2的步驟���, 所述步驟(D)包括在所述解密裝置中����,對所述解密裝置輸入包含所述密碼文C1和所述第二密碼文 C2 e G1^1和所述第三密碼文C3的值的步驟���, 所述步驟(F)包括由所述解密裝置計算將所述函數(shù)值S 輸入到單射函數(shù)R而得到的二進制序列即函數(shù)值R(S )與所述第三密碼文C3的邏輯異或值K 的步驟����;以及由所述解密裝置將所述邏輯異或值K 和所述密碼文C1輸入到所述沖突困難的函數(shù)H 來計算所述值r 和P 的步驟, 所述步驟(G)包括由所述解密裝置使用所述η維向量ν —的元素νμ( μ = 1�����,...�����,η)和所述值r 和P , 計算函數(shù)值C廠=r ·(Σ ^1nV, ·Κ) + Ρ ’l^eGr1的步驟����;以及由所述解密裝置判定所述函數(shù)值C廠與所述第二密碼文C2是否相等,在該判定結(jié)果是表示所述函數(shù)值C廠與所述第二密碼文C2相等的判定結(jié)果的情況下����,將所述邏輯異或值IT 設為共同密鑰,將該邏輯異或值K 和所述密碼文C1輸入到共同密鑰解密函數(shù)來計算解密值M ,并輸出該解密值M 的步驟�。
25.如權(quán)利要求23所述的安全方法�,其中�, 所述步驟(A)包括由所述加密裝置選擇所述值P的步驟�����;由所述加密裝置使用所述值P來計算函數(shù)值S = & τ ‘p e Gt的步驟�����;以及由所述加密裝置將把所述函數(shù)值S輸入到單射函數(shù)R而得到的函數(shù)值R6)設為共同密鑰K���,將該共同密鑰K和平文M輸入到共同密鑰密碼函數(shù)來計算密碼文C1,并輸出該密碼文C1的步驟����,所述步驟(B)包括由所述加密裝置將所述函數(shù)值S和所述密碼文C1輸入到所述沖突困難的函數(shù)H來計算所述值r的步驟���,所述步驟(C)包括由所述加密裝置將η維向量ν —的各元素νμ ( μ = 1��,...,η)和所述值r和所述值P來計算所述第二密碼文�,并輸出該第二密碼文C2的步驟��,所述步驟(F)包括由所述解密裝置將所述函數(shù)值S 和所述密碼文C1輸入到所述沖突困難的函數(shù)H來計算所述值r 的步驟�, 所述步驟(G)包括由所述解密裝置使用所述第二密碼文C2和所述值和所述η維向量ν —的各元素 νμ(μ = 1��,···,η)�����,計算函數(shù)值 λ =C2-r · Σ μ=1ηνμ · bu e G111+1 的步驟�;由所述解密裝置將所述函數(shù)值λ和輔助密鑰信息D/輸入到所述雙線型函數(shù)e來計算函數(shù)值e(A,D/)的步驟��;以及由所述解密裝置判定所述函數(shù)值e( λ,D/)是否滿足e(A����,D/) = 1 e Gt,在該判定結(jié)果是表示滿足,D/) = 1 e Gt的判定結(jié)果的情況下�����,將把所述函數(shù)值S 輸入到單射函數(shù)R而得到的函數(shù)值R(S )設為共同密鑰IT�,將該共同密鑰IT和所述密碼文C1輸入到共同密鑰解密函數(shù)來計算解密值M �,并輸出該解密值M 的步驟���。
26.一種加密方法����,具有(A)由加密裝置的第一部件將平文M和共同密鑰K輸入到共同密鑰密碼函數(shù)來計算密碼文C1���,并輸出該密碼文C1的步驟��;(B)由所述加密裝置的第二部件將包含與所述共同密鑰K對應的值和與所述密碼文C1 對應的值的值輸入到?jīng)_突困難的函數(shù)H來計算函數(shù)H的函數(shù)值的步驟���;以及(C)由所述加密裝置的第三部件使用與所述函數(shù)H的函數(shù)值對應的值r、與所述共同密鑰K對應的值P��、n維向量f= (V1Vn)的元素νμ(μ = 1���,...,run彡1)、以巡回群& 的n+1個元為元素的n+1維基底向量h e G111+1 (i = 1�,...,n+1)來計算第二密碼文C2 = r· (Σ μ=1ηνμ ·Κ) + ρ .bn+1 e G111+1,并輸出該第二密碼文(2的步驟。
27.如權(quán)利要求沈所述的加密方法�����,其中�, 所述共同密鑰K是二進制序列,所述步驟(B)包括由所述加密裝置的第四部件將所述共同密鑰K和所述密碼文C1輸入到所述沖突困難的函數(shù)H來計算所述值r和P的步驟���, 該加密方法還具有由所述加密裝置的第五部件使用所述值P�����,計算將&設為巡回群Gt的生成元����、將τ設為加法單位元以外的常數(shù)的情況下的函數(shù)值S = ‘p e Gt的步驟����;以及由所述加密裝置的第六部件計算作為將所述函數(shù)值S輸入到單射函數(shù)R而得到的二進制序列即函數(shù)值R (S)與所述共同密鑰K的邏輯異或值的第三密碼文C3,并輸出該第三密碼文C3的步驟���。
28.如權(quán)利要求沈所述的加密方法,還具有由所述加密裝置的第七部件選擇所述值P的步驟�����;由所述加密裝置的第八部件使用所述值P����,計算將&設為巡回群Gt的生成元���、將τ設為加法單位元以外的常數(shù)的情況下的函數(shù)值S = ‘p e Gt的步驟���;以及由所述加密裝置的第九部件將所述函數(shù)值S輸入到單射函數(shù)R來計算函數(shù)值R(S)�����,并將該函數(shù)值R6)設為所述共同密鑰K的步驟�,所述步驟(B)包括由所述加密裝置的第十部件將所述函數(shù)值S和所述密碼文C1輸入到所述沖突困難的函數(shù)H來計算所述值r的步驟。
29.一種解密方法����,具有(A)對解密裝置輸入包含密碼文C1和第二密碼文C2e G1^1的值的步驟��;(B)由所述解密裝置的第一部件將所述第二密碼文C2e G1^1和密鑰信息D1* e G2n+1輸入到雙線型函數(shù)e來計算函數(shù)值S =e(C2, D1*) e Gt的步驟��;(C)由所述解密裝置的第二部件將與所述函數(shù)值S 對應的值和所述密碼文C1輸入到?jīng)_突困難的函數(shù)H來計算函數(shù)H的函數(shù)值的步驟�����;以及(D)由所述解密裝置的第三部件對所述第二密碼文C2����、值P ���、與所述函數(shù)H的函數(shù)值對應的值r �、η維向量ν — = (V1,... ,νη)的元素νμ (μ = 1�,...�,n)、基底向量h e G111+1 (i =1,...��,n+1)��,判定是否滿足 C2 = r ·( Σ μ=1ηνμ · bJ + P · bn+1 e G111+1,并輸出該判定結(jié)果的步驟��,所述雙線型函數(shù)e是對巡回群G1的n+1個元YL(L= 1��,. . .���,η+1) (η彡1)和巡回群 &的11+1個元Υ: (L= 1��,...��,n+1)的輸入而輸出巡回群Gt的1個元的非退化的雙線型函數(shù)���,所述基底向量h e G1lriG = 1�,...�,n+1)分別是以所述巡回群G1的n+1個元為元素的n+1維的基底向量�����,b�; e G2n+1 (i = 1,...����,n+1)分別是以所述巡回群&的n+1個元為元素的n+1維的基底向量����,將所述基底向量h e G111+1 (i = 1,...,n+1)的各元素和所述基底向量b/ e G2n+1(j = 1����,...,n+l)的各元素輸入到所述雙線型函數(shù)e而得到的函數(shù)值�����,使用Kronecker的δ函數(shù)δ (i,j)而被表現(xiàn)為‘ 5 (i'J) e GT���,τ是加法單位元以外的常數(shù)�,份是所述巡回群Gt的生成元�����,w — = (W1, ... , wn)是η維向量�����,(μ = 1����,...���,η)是所述η維向量w — = (Wl��,...�����,Wn)的元素�����,α是被選擇的值�,所述密鑰信息D^eGn+1是D1* = α · (Σ μ=>μ ·Κ*)+ 3η+1*£(;2η+1�。
30.如權(quán)利要求四所述的解密方法��,其中����,在所述步驟(A)中輸入的���、包含所述密碼文C1和所述第二密碼文C2 e G1n^的值還包含�����,作為二進制序列的第三密碼文C3,該解密方法還包括�,由所述解密裝置的第四部件計算將所述函數(shù)值S 輸入到單射函數(shù)R而得到的二進制序列即函數(shù)值R(S )與所述第三密碼文C3的邏輯異或值K 的步驟�,所述步驟(C)包括,由所述解密裝置的第五部件將所述邏輯異或值IT和所述密碼文C1 輸入到所述沖突困難的函數(shù)H來計算所述值和P 的步驟��,所述步驟(D)包括(D-I)由所述解密裝置的第六部件使用所述η維向量f的元素νμ( μ =1����,...,η)和所述值r 和P �����,計算函數(shù)值C2 =r · ( Σ ^1nV, ·Κ) + ρ · bn+1 e G1n^的步驟;以及(D-2)由所述解密裝置的第七部件判定所述函數(shù)值C廠與所述第二密碼文C2是否相等的步驟�����,該解密方法還具有,在所述步驟(D-2)中的判定結(jié)果是表示所述運算結(jié)果C廠與所述第二密碼文C2相等的判定結(jié)果的情況下�����,由所述解密裝置的第八部件將所述邏輯異或值 K 設為共同密鑰,將該邏輯異或值K 和所述密碼文C1輸入到共同密鑰解密函數(shù)來計算解密值M ���,并輸出該解密值M 的步驟。
31.如權(quán)利要求四所述的解密方法�����,其中����,所述步驟(C)包括由所述解密裝置的第九部件將所述函數(shù)值S 和所述密碼文C1輸入到所述沖突困難的函數(shù)H來計算所述值r 的步驟���,所述步驟(D)包括(D-I)由所述解密裝置的第十部件使用所述第二密碼文C2和所述值r 和所述η維向量ν —的元素νμ(μ = 1��,···,η)���,計算函數(shù)值λ =C2-r ·Σ ^1nV, -b, e G廣的步驟����;(D-2)由所述解密裝置的第十一部件將所述函數(shù)值λ和對于值β μ (μ = 1,. . .�,η) 的輔助密鑰信息μ^ηβμ 輸入到所述雙線型函數(shù)e來計算函數(shù)值e( λ����,D/) 的步驟;以及(D-3)由所述解密裝置的第十二部件判定所述函數(shù)值e( λ��,D/)是否滿足e(A����,D/)= 1 e Gt的步驟,該解密方法還具有��,在所述步驟(D-3)中的判定結(jié)果是表示滿足e( λ���,D2*) = 1 e Gt 的判定結(jié)果的情況下,由所述解密裝置的第十三部件將把所述函數(shù)值S 輸入到單射函數(shù)R 而得到的函數(shù)值R(S )設為共同密鑰IT�����,將該共同密鑰IT和所述密碼文C1輸入到共同密鑰解密函數(shù)來計算解密值M ����,并輸出該解密值M 的步驟�。
32.—種程序���,用于使計算機作為權(quán)利要求1至3的任一項所述的加密裝置發(fā)揮作用���。
33.一種程序���,用于使計算機作為權(quán)利要求15至17的任一項所述的解密裝置發(fā)揮作用。
34.一種計算機可讀取的記錄介質(zhì)�,存儲有用于使計算機作為權(quán)利要求1至3的任一項所述的加密裝置發(fā)揮作用的程序。
35.一種計算機可讀取的記錄介質(zhì)�����,存儲有用于使計算機作為權(quán)利要求15至17的任一項所述的解密裝置發(fā)揮作用的程序���。
全文摘要
提高CCA安全性�,而無需在密碼文空間中設置僅用于提高CCA安全性的空間����。在加密處理中��,根據(jù)平文M和共同密鑰K來計算第一密碼文C1,將包含與共同密鑰K對應的值和與第一密碼文C1對應的值的值輸入到?jīng)_突困難的函數(shù)H來計算函數(shù)H的函數(shù)值���,使用與其對應的r來計算第二密碼文C2=r·(∑μ=1nvμ·bμ)+ρ·bn+1∈G1n+1�����。在解密處理中,將第二密碼文C2∈G1n+1和密鑰信息D1*=α·(∑μ=1nwμ·bμ*)+bn+1*∈G2n+1輸入到雙線型函數(shù)e來計算函數(shù)值S~=e(C2��,D1*)∈GT��,將與函數(shù)值S~對應的值和第一密碼文C1輸入到?jīng)_突困難的函數(shù)H來計算函數(shù)H的函數(shù)值,并對與其對應的r~判定是否滿足C2=r~·(∑μ=1nvμ·bμ)+ρ~·bn+1∈G1n+1���。
文檔編號H04L9/08GK102396011SQ20108001640
公開日2012年3月28日 申請日期2010年4月23日 優(yōu)先權(quán)日2009年4月24日
發(fā)明者藤崎英一郎, 鈴木幸太郎 申請人:日本電信電話株式會社