解密裝置����、解密能力提供裝置��、其方法�����、以及程序的制作方法
【技術領域】
[0001 ] 本發(fā)明涉及云密鑰管理型的解密技術。
【背景技術】
[0002]為了對通過公開密鑰密碼方式����、公共密鑰密碼方式等密碼方式而加密的密文進行解密,需要特定的解密密鑰�。沒有保持解密密鑰的解密裝置用于得到密文的解密結果的以往方法之一是,保持有解密密鑰的外部裝置向解密裝置提供解密密鑰����,解密裝置使用該解密密鑰來進行密文的解密的方法。用于解密裝置得到密文的解密結果的其他以往方法是���,解密裝置將密文提供給外部裝置�,外部裝置對密文進行解密而將其解密結果提供給解密裝置的方法����。
[0003]但是,在前者的方法中�,由于解密密鑰本身被提供給解密裝置,所以存在安全性的問題���。另一方面����,在后者的方法中,解密裝置不能驗證解密結果的正確性���。
[0004]作為解決這樣的問題的技術�����,存在使用了自校正(Self-Correcting)技術的云密鑰管理型的解密技術(例如��,參照專利文獻1?3等)�。自校正技術是�����,使用不一定輸出正確的計算結果的計算機���、系統而始終進行正確的計算(在使用了輸出正確的計算結果的計算機的情況下輸出正確的計算結果��,在使用了不一定輸出正確的結果的計算機的情況下,得到正確的計算結果或者得到不能計算的意旨的結果)的技術��。在使用了自校正技術的云密鑰管理型的解密技術中,保持解密密鑰的解密能力提供裝置不將解密密鑰提供給解密裝置���,而僅將用于解密裝置對密文進行解密的信息提供給解密裝置����。解密裝置能夠使用該信息而始終進行正確的解密運算���。
[0005]現有技術文獻
[0006]專利文獻
[0007]專利文獻1:國際公開W0/2012/057134號公報
[0008]專利文獻2:國際公開W0/2011/086992號公報
[0009]專利文獻3:國際公開W0/2012/121152號公報
【發(fā)明內容】
[0010]發(fā)明要解決的課題
[0011]但是��,在包含同態(tài)運算和非同態(tài)運算的解密處理的情況下��,不能進行使用了自校正技術的云密鑰管理型的解密���。
[0012]用于解決課題的手段
[0013]解密裝置在與解密能力提供裝置之間進行自校正處理,得到第一密文的解密值��,進行使用了對應于或來自于第一密文的解密值的值和附加值的非同態(tài)運算,輸出明文,該解密能力提供裝置保持用于對能夠通過同態(tài)運算而解密的第一密文進行解密的解密密鑰����。
[0014]發(fā)明效果
[0015]在本發(fā)明中,由于僅在能夠通過同態(tài)運算而解密的第一密文的解密處理中使用自校正處理�,所以即使在解密處理包含同態(tài)運算和非同態(tài)運算的情況下�,也能夠進行使用了自校正技術的云密鑰管理型的解密�。
【附圖說明】
[0016]圖1是實施方式的安全系統的框圖��。
[0017]圖2是第一實施方式的加密裝置的框圖�。
[0018]圖3A是第一實施方式的解密裝置以及解密能力提供裝置的框圖。圖3B是例示第一實施方式的自校正處理部以及解密能力提供部142的細節(jié)的框圖����。
[0019]圖4是用于說明第一實施方式的解密處理的圖。
[0020]圖5是第二實施方式的加密裝置的框圖�。
[0021]圖6是第二實施方式的解密裝置以及解密能力提供裝置的框圖。
[0022]圖7是用于說明第二實施方式的解密處理的圖���。
[0023]圖8是第三實施方式的加密裝置的框圖���。
[0024]圖9是第三實施方式的解密裝置以及解密能力提供裝置的框圖。
[0025]圖10是用于說明第三實施方式的解密處理的圖���。
【具體實施方式】
[0026]以下����,說明本發(fā)明的實施方式�。
[0027][原理]
[0028]在各實施方式中,解密裝置在與解密能力提供裝置之間進行自校正處理�,得到第一密文的解密值����,進行使用了對應于或來自于第一密文的解密值的值和附加值的非同態(tài)運算�����,從而輸出明文���,該解密能力提供裝置保持用于對能夠通過同態(tài)運算而解密的第一密文進行解密的解密密鑰。明文是與包含第一密文的信息對應的第二密文的解密值�����?��!皝碜?derive)于A的值B”意味著(1)A或A的一部分的信息�、或者(2)A或A的一部分的信息的函數值��、或者(3)包含A或A的一部分的信息以及其他信息在內的信息的函數值�����?!皝碜杂贏的值B”的例子是“與A對應的B”��?���!皝碜杂贏的值B”的其他例是“基于A的B”����。此夕卜“包含A的B”意味著(1)B是A、或者(2)B將A包含于要素�、或者(3)B的一部分是A(例如,B的一部分比特表示A)����。
[0029]<第二密文的例1 >
[0030]第二密文例如是與能夠通過同態(tài)運算而解密的第一密文和在解密時成為非同態(tài)運算的被運算符的附加值對應的密文(例如,包含第一密文和附加值的密文)�。進行這樣的第二密文的解密的解密裝置在與保持用于對第一密文進行解密的解密密鑰的解密能力提供裝置之間進行自校正處理,得到第一密文的解密值����。第一密文能夠通過同態(tài)運算而解密,這樣的第一密文的解密能夠通過使用了自校正技術的公知的云密鑰管理型的解密方式來執(zhí)行(例如���,參照專利文獻1?3等)��。進而�����,解密裝置進行使用了該第一密文的解密值和附加值的非同態(tài)運算�����,輸出第二密文的解密值��。像這樣����,由于僅在能夠通過同態(tài)運算而解密的第一密文的解密處理中使用自校正處理�����,所以即使第二密文包含在其解密時成為非同態(tài)運算的被運算符的附加值���,也能夠進行使用了自校正技術的云密鑰管理型的解密���。
[0031]第一密文的例子包含對來自于隨機值的值進行加密而得到的值(例如,是對與隨機值對應的值進行加密而得到的值)�����,此時的附加值的例子是包含與包含明文和隨機值的信息對應的值的值(例如,與明文和隨機值對應的值)����。在該第一密文的例子中,優(yōu)選的是���,僅從第一密文的解密值難以(例如不可能)得到第二密文的解密值��?�!半y以得到解密值”例如意味著在多項式時間內不能得到解密值���。“多項式時間”例如意味著能夠通過解密密鑰的大小(長度)的多項式來表現的時間(計算時間)�。換言之,“多項式時間”例如意味著在將解密密鑰的長度(例如比特長)設為X的情況下的能夠通過關于X的任意的多項式來表現的時間(計算時間)�。第一密文的其他例是包含對來自于包含明文的信息的值進行加密而得到的值的值(例如,是對與明文對應的值進行加密而得到的值)����,此時的附加值是包含來自于包含第一密文和隨機值的信息的值的值(例如,與第一密文和隨機值對應的值)���。與值Θ (例如���,隨機值����、明文等)對應的值的例子是表示值Θ的信息或者其映射�、示出表示值Θ的信息的一部分的信息或者其映射、包含表示值Θ的信息在內的信息或者其映射���、包含示出表示值Θ的信息的一部分的信息在內的信息或者其映射、用于得到值Θ的映射的原像的其他映射�����,包含表示用于得到值Θ的映射的原像的信息在內的信息的其他映射�����。
[0032]在此���,第一密文包含對來自于隨機值的值進行加密而得到的值(例如�,是對與隨機值對應的值進行加密而得到的值)����,附加值是包含與包含明文和隨機值的信息對應的值的值(例如��,是與明文和隨機值對應的值)�����,在僅從第一密文的解密值難以得到第二密文的解密值的情況下(例如���,這不可能的情況下),即使第一密文的信息被提供給解密能力提供裝置�����,只要附加值的信息不被提供給解密能力提供裝置�����,第二密文的解密值的信息就不會泄露給解密能力提供裝置��。因此�,在這樣的情況下,也可以是解密裝置不擾亂第一密文的信息地將其提供給解密能力提供裝置(例如���,解密裝置將表示第一密文的信息提供給解密能力提供裝置)��,且從解密能力提供裝置得到用于得到第一密文的解密值的信息而不是從解密能力提供裝置得到解密密鑰的信息���。由此��,能夠削減解密裝置用于擾亂第一密文的信息的運算量���。其中,這是一例�,在這樣的情況下,也可以是解密裝置將擾亂了第一密文的信息提供給解密能力提供裝置�����,從解密能力提供裝置得到用于得到解密值的信息�。
[0033]另一方面�,在從第一密文的解密值得到第二密文的解密值的信息的情況下,優(yōu)選解密裝置是��,將擾亂了第一密文的信息提供給解密能力提供裝置�,且從解密能力提供裝置得到用于得到第一密文的解密值的信息而不是從解密能力提供裝置得到解密密鑰的信息的結構。
[0034]第一密文的具體例是具有同態(tài)的0W - CPA安全的密碼方式的密文(關于第一密文的解密值而0W - CPA安全的密文)�,與第一密文和附加值對應的第二密文的具體例是不具有同態(tài)的IND - CCA安全的密碼方式的密文(關于明文而IND — CCA安全的密文)。以下�,例示0W — CPA安全的密碼方式、和基于其的IND - CCA安全的密碼方式。
[0035]〈方式例1>
[0036]方式例1是基于公開密鑰密碼方式的方式�。
[0037]《0W- CPA安全的密碼方式1 一 1》
[0038]密鑰生成算法:KeyGen(lA)— (pk,sk)
[0039]加密算法:Enc(pk, Μ!) — C0
[0040]解密算法:Dec(sk�����,C�。)一 Μ/
[0041]其中,λ表示是1以上的整數的安全參數����,1λ表示由λ個1構成的串,pk表示公開密鑰密碼方式的公開密鑰(加密密鑰)����,sk表示與其對應的秘密密鑰(解密密鑰)。KeyGen(lA) 一(pk�����,sk)表示使用 1λ得至lj (pk����,sk)的運算,Enc(pk�����,Μ 丨)一 C。表示使用 pk遵照公開密鑰密碼方式對吣進行加密而得到C��。的同態(tài)的運算�,Dec(sk, C0) — Μ/表示使用sk遵照公開密鑰密碼方式對C。進行解密而得到Μ /的同態(tài)的運算�����。0W - CPA安全的密碼方式1 一 1的例子是RSA密碼��、ElGamal密碼���、modified — ElGamal密碼���、Paillier密碼等。
[0042]《基于0W- CPA安全的密碼方式1 一 1的IND — CCA安全的密碼方式1 一 2》
[0043]密鑰生成算法:KeyGen(lA)— (pk, sk)
[0044]加密算法:Enc— F0 (pk) — C = (C!��,C2) = (Enc (pk, a)�����,F0(Q���,r))
[0045]解密算法:Dec— F0(sk�,C) — k
[0046]其中�����,r表示隨機值�����,a以及k表示來自于r的值(例如��,與r對應的值)����。Enc _F0(pk) — C表示使用pk得到與隨機值r對應的密文C的運算,Enc (pk, a ) — (^表示使用pk對a進行加密而得到密文(^的同態(tài)的運算�。F0(Q,r) — C 2表示得到來自于包含Q和r的信息的值C2的非同態(tài)的運算���。其中����,Q是來自于a的值���。由于a以及k是來自于r的值�����,所以Q是與明文k對應的值���。Dec —F0(sk�,C) — k表示使用sk對C進行解密而得到k的非同態(tài)的運算���。該Dec —F0(sk�����,C)包含使用秘密密鑰sk對密文Q