加密装置、解密装置、加密方法、解密方法、程序及记录介质的制作方法
专利名称:加密装置、解密装置、加密方法、解密方法、程序及记录介质的制作方法
技术领域:
本发明涉及安全技术,特别涉及密码技术。
背景技术:
在密码研究领域的一个领域,具有相对于选择密文攻击安全的(CCA - Secure Chosen Ciphertext Attacks — Secure)密码方式(CCA安全密码方式)。特别是,近年来, 要基于通常仅具有对选择明文攻击(CPA: Chosen PlaiIitext Attack)的安全性的基于ID的密码(IBE:1dentity 一 based Encrypt ion)方式(例如,参照非专利文献I)来构成CCA安全密码方式的研究正在盛行。例如,在非专利文献2中,提案有CHK变换方式。在CHK变换方式中,为了基于CPA安全的任意的基于ID的密码方式来构筑CCA安全密码方式,使用One — Time署名。例如,在非专利文献3中,提案有BK变换方式。在BK变换方式中,为了基于CPA 安全的任意的基于ID的密码方式来构筑CCA安全密码方式,使用消息认证码(MAC:Message Authentication Code)和位承诺(bit commitment)方式。
现有技术文献
非专利文献
非专利文献1:D. Boneh, M. Franklin, "Identity based encryption from· the Weil Pairing, //Crypto2001, Lecture Notes in Computer Science, Vol. 2139, Springer — Verlag, pp. 213 — 229, 2001.
非专利文献2 R. Canetti, S. Halevi, J. Katz, “Chosen — Ciphertext Security from Identity — Based Encryption, ^Proc. of EUR0CRYPT’ 04,LNCS3027, pp. 207 — 222,2004.
非专利文献3 D. Boneh, J. Katz, “Improved Efficiency for CCA — Secure Cryptosystems Built Using Identity — Based Encryption, ^Proc.of CT — RSA’ 05,LNCS3376, pp. 87 — 103,2005.发明内容
发明要解决的课题
基于上述的CHK变换方式而生成的密文包含加密后的明文、该加密后的明文的 One - Time署名、用于验证该One — Time署名的署名密钥。因此,基于CHK变换方式而生成的密文的密文空间不仅包含用于加密后的明文的空间,而且还包含用于One - Time署名及署名密钥的空间。基于上述的BK变换方式而生成的密文包含加密后的明文、消息认证码、位承诺列。因此,基于BK变换方式而生成的密文的密文空间不仅包含用于加密后的明文的空间,而且还包含用于消息认证码及位承诺列的空间。即,基于CHK变换方式及BK变换方式而生成的密文空间包含仅分配给用于使CCA安全性提高的二维空间。但是,密文空间的尺寸越大,运算量及数据量越大,因此密文空间的尺寸优选尽可能地小。
另外,在基于ID的密码方式中,进行加密的人在进行加密以前必须取得进行解密的人的ID。与此相对,如果进行加密的人不确定进行解密的人就能够生成密文,且与所期望的条件一致的人能够构成可将该密文解密的方式,则是很便利的。
本发明是鉴于这种情况而开发的,其目的在于,提供一种密码方式,其便利性高, 没有用于提高CCA安全性的附加的密文空间,能够提高CCA安全性。
用于解决课题的手段
在本发明的加密中,生成随机数r,且生成随机数r相应的二进制序列和二进制序列的明文M的异或值即密文C2。将随机数r和密文C2的组分别输入到无碰撞函数Hs (S=l,...,Smax),生成 Smax (Smax 兰 I)个函数值 Hs ( r ,C2) (S=l,...,Smax)。生成循环群 Gt 的元素即公钥K,利用公钥K,通过公钥密码方式,对随机数r进行加密,生成密文C( Ψ+1)。 生成包含 C (0) = u ^b1 (0)+Σ 1=2、t (0)*bt (0),C ( λ ) = υ · Σ l=1nUV ( λ ).bt (λ )+Σ ι=η(λ)+1η(λ) + ζ(λ) υ ( ( λ ) . bt ( λ )及密文 C (Ψ+1)在内的密文 C115
在此,Ψ是I以上的整数,Ψ是O以上Ψ以下的整数,η ( Ψ)是I以上的整数, ζ ( Ψ)是O以上的整数,λ是I以上Ψ以下的整数,I是2以上η (0) + ζ (O)以下的常数,%分别是将循环群G1Wn (Ψ) + ζ (Ψ)个元素Y0 (β=1,···,η (Ψ) + ζ (Ψ)) 和循环群G2的η ( Ψ ) + ζ ( Ψ)个元素Y ( β =1,· · ·,η ( Ψ ) + ζ (Ψ))设为输入并将循环群Gt的一个元素输出的非退化的双线性映射,i是I以上η(Ψ) + ζ (Ψ)以下的整数,匕(Ψ)是以循环群匕的!!(Ψ) + ζ (Ψ)个元素为要素的η (Ψ) + ζ (Ψ)维的基向量,( Ψ)是以循环群G2的11 ( Ψ) + ζ ( Ψ)个元素为要素的η ( Ψ) + ζ (Ψ)维的基向量,δ (i, j)是克罗内克三角函数,相对于循环群Gt的生成元gT及常数τ, τ,,满足 ev Cbi ( Ψ ),bj* ( Ψ )) =g/ . τ ’ . S (l,j), w ( λ ) —= (W1 ( λ ),· · ·,wn (λ) ( λ ))是以 W1 (λ ),. . . , wn(A) ( λ )为要素的 η ( λ )维向量。u,u t (O) ( ι =2,. . . , I), U1 ( λ ) ( ι =η (λ)+1,···,η ( λ ) + ζ ( λ ))中的至少一部分的值与函数值 Hs ( r ,C2) (S=I,..., Smax) 的任一个对应。
在本发明的解密中,在存在满足SE=S μ eSETconst ( μ ) share ( μ ) ( μ e SET) 的系数const ( μ )的情况下,利用第一密钥信息D* (O)、第二密钥信息D* ( λ )及已输入的密文C’(0)、C’( λ ),如下生成公钥K’。
数学式I
权利要求
1.一种加密装置,其具有 随机数生成部,生成随机数r ; 第一加密部,生成所述随机数r相应的二进制序列和二进制序列的明文M的异或值即密文C2 ; 函数运算部,生成将所述随机数r和所述密文C2的组分别输入到无碰撞函数Hs(S=l,...,Smax)而得到的 Smax (Sfflax ^ I)个函数值 Hs (r ,C2) (S=I,Sfflax); 公钥生成部,生成循环群Gt的元素即公钥K ; 第二加密部,利用所述公钥K,通过公钥密码方式,对所述随机数r进行加密,生成密文C (Ψ+1);以及 第三加密部,生成包含 C (O) = U A1 (O)+Σ P21 U t (OVbl (0)、C ( λ ) = υ · Σ l=1nU)wt (A).bt (λ)+Σι,(λ)+1η(λ) + ζ(λ)υι (A).bt (λ)及所述密文 C (Ψ+1)在内的密文C1, Ψ是I以上的整数,Ψ是O以上Ψ以下的整数,η ( Ψ )是I以上的整数,ζ ( Ψ )是O以上的整数,λ是I以上Ψ以下的整数,I是2以上η (O) + ζ (O)以下的常数,θψ分别是将循环群G1的η ( Ψ ) + ζ ( Ψ)个元素γ β (β=1,...,η (ψ) + ζ ( Ψ 和循环群G2的η ( Ψ ) + ζ ( Ψ)个元素Y ( β =1,· · ·,η ( Ψ ) + ζ ( Ψ 设为输入并将所述循环群Gt的一个元素输出的非退化的双线性映射,i是I以上η(Ψ) + ζ ( Ψ)以下的整数,匕(Ψ )是以所述循环群G1的η ( Ψ )+ ζ (Ψ )个元素为要素的η ( Ψ )+ ζ (Ψ )维的基向量, ( Ψ)是以所述循环群G2的η ( Ψ ) + ζ ( Ψ)个元素为要素的η ( Ψ ) + ζ ( ψ)维的基向量,S (i,j)是克罗内克三角函数,相对于所述循环群Gt的生成元&及常数τ,τ’,满足 ev Cbi ( Ψ ) , bj* ( Ψ )) =gT τ ' τ ' δ (1。), w (λ)—= (W1 ( λ ),···,Wn (λ) (λ))是以W1 ( λ ),···,wn u) ( λ )为要素的 η (λ)维向量,u, U1 (O) (ι = 2, . . . , I), U1 (λ)(ι = η(λ)+1,···,η(λ) + ζ (λ))中的至少一部分的值与所述函数值Hs ( r , C2)(S=I,..., Smax)中的任一个对应。
2.如权利要求1所述的加密装置,其中, 所述随机数r相应的二进制序列是在所述随机数r上作用有随机函数的函数值。
3.如权利要求1所述的加密装置,其中, 所述无碰撞函数Hs中的至少一部分是随机函数。
4.如权利要求2所述的加密装置,其中, 所述无碰撞函数Hs中的至少一部分是随机函数。
5.如权利要求1 4中的任一项所述的加密装置,其中, 所述常数τ,τ’、所述要素¥1 (λ),···,¥η(λ)(λ)、所述函数值Hs (r,C2)(S=l, · · ·,Smax)及 U, U1 (O) ( I =2,... , I), U1 (λ) (I = η(λ)+1,···,η(λ)+ζ(λ))是有限域Fq的元素, 所述循环群G1及G2的位数分别与所述有限域Fq的位数q (q 3 I)相等。
6.如权利要求1 4中的任一项所述的加密装置,其中,ζ ( λ ) =3 · η ( λ ), 1=5, Smax=3+ Σ λ=1Ψη (λ), υ 2 (O) , υ 4 (O) , υ η (λ)+1(λ ),· · ·,υ3.η(λ) ( λ )是零元,K=g/ ·τ’·υ’ e GT,υ' = υ3 (O), υ , υ3 (O), υ5 (O), υ3.η(Λ)+ι ( λ ),· · ·,υ4.η(λ) ( λ )分别是 H1 ( r,C2),· · . , Hsmax ( r , C2)中的任一个。
7.如权利要求6所述的加密装置,其中, 所述常数τ,τ’、所述要素¥1 (λ),···,¥η(λ)(λ)、所述函数值Hs (r,C2)(S=l,. . . , Smax)及 U, U1 (O) ( I =2,... , I), U1 (λ) (I = η(λ)+1,···,η(λ)+ζ(λ))是有限域Fq的元素, 所述循环群G1及G2的位数分别与所述有限域Fq的位数q (q 3 I)相等。
8.一种解密装置,其具有 公钥生成部,在存在满足SE=Iy S1:丨const ( μ )■ share ( μ ) ( SET )的系数const (μ )的情况下,利用第一密钥信息D* (O)、第二密钥信息D* (λ)及已输入的密文C’(0)、C’(λ ),生成如下公钥K’ 数学式21
9.如权利要求8所述的解密装置,其中, 所述无碰撞函数Hs中的至少一部分是随机函数。
10.如权利要求9所述的解密装置,其中, 所述要素 V1 (λ),...,νη(λ)(λ)、所述要素¥1 (λ),...,¥η(λ)(λ)、所述函数值 Hs(r,,C2,)(S=I, · · ·,Smax)及 υ ” ,O1" (O) ( ι = 2, ... ,1), V1" (λ) ( ι =η ( λ )+1,···,η(λ) + ζ (λ))是有限域匕的元素, 所述循环群G1及G2的位数分别与所述有限域Fq的位数q (q 3 I)相等。
11.如权利要求8所述的解密装置,其中, 所述要素 V1 (λ),...,νη(λ)(λ)、所述要素¥1 (λ),...,¥η(λ)(λ)、所述函数值 Hs(r,,C2,)(S=I, · · ·,Smax)及 υ ” ,O1" (O) ( ι = 2, ... ,1), V1" (λ) ( ι =η ( λ )+1,···,η(λ) + ζ (λ))是有限域匕的元素, 所述循环群G1及G2的位数分别与所述有限域Fq的位数q (q 3 I)相等。
12.如权利要求8 11中的任一项所述的解密装置,其中, ζ (λ)=3.η (λ), 1=5, Sfflax=3+XA=1wn (λ), υ2" (O), υ," (O), υη(λ)+1"(λ ),· · ·,U 3.η ⑴"(λ )是零元,K,=g/ . τ’. υ’ " e GT,U " ' = U 3,,(O), U " U 3,,(0),U5" (0),U3.n(;0+1" ( λ ),· · ·,u4.nU) " ( λ )分别是 H1 (r,,C2’),...,HSniax(r,,C2’)中的任一个,所述第一密钥信息是 D* (0) = - SE · (0)+b3* (O)+Coef4(O) · b4* (0),相对于成为LAB ( λ )=ν ( λ )—的λ的所述第二密钥信息是D* ( λ )=(share ( λ ) +coef (λ)· V1 (λ))· Id1* ( λ ) + Σ , =2η (λ) coef (A)^vl (A)^bl* (λ)+ Σ l=2.nU)+13.nU)coef\ (λ Vbl* ( λ ),相对于成为 LAB (λ)=”ν (λ)—的 λ 的所述第二密钥信息是 D* ( λ ) =share ( λ ) · Σ ι=1η⑴V1 ( λ ) .bt* ( λ )+Σ t = 2 ·η (λ )+13 ·η U)coeft (A)^bl* (λ)。
13.如权利要求12所述的解密装置,其中, 所述解密值r’相应的二进制序列是在所述解密值r’上作用有随机函数的函数值。
14.如权利要求8 11中的任一项所述的解密装置,其中, 还具有第二解密部,所述第二解密部,在所述密文C’(O)及C’(入)和密文(〃 (0) =u" * bi (0)+Σ ^21U t " (O) · bt (O)及 C" (λ) = υ〃 ·Σι=1η(λν (λ) ^bl (λ)+ Σ ι=η(λ)+1η(λ)+ζ(λ) υ t " Uhbl (λ)—致的情况下,生成所述解密值r’相应的二进制序列和已输入的二进制序列的密文C2’的异或即解密值M’。
15.如权利要求14所述的解密装置,其中, ζ (λ)=3.η (λ), 1=5, Sfflax=3+XA=1wn (λ), ν 2" (O), ν," (O), υη(λ)+1"(λ ),· · ·,υ 3.η ⑴"(λ )是零元,K,=g/ ■ τ> ■ υ" 1 e Gt, υ " ' = υ 3,,(O), υ " υ 3,,(O), υ;' (0),υ3.η(;0+1" ( λ ),· · ·,u4.nU) " ( λ )分别是 H1 (r,,C2’),...,HSniax(r,,C2’)中的任一个,所述第一密钥信息是 D* (O) = - SE · (0)+b3* (O)+Coef4(O) · b4* (0),相对于成为LAB ( λ )=ν ( λ )—的λ的所述第二密钥信息是D* ( λ )=(share ( λ )+coef (A)^v1 ( λ )) · Id1* ( λ ) + Σ , =2η(λ) coef (A)^vl (A)^bl* (λ)+ Σ l=2.nU)+13.nU)coef\ (λ Vbl* ( λ ),相对于成为 LAB (λ)=”ν (λ)—的 λ 的所述第二密钥信息是 D* ( λ ) =share ( λ ) · Σ ι=1η(λ)ν( ( λ ) · bt* ( λ )+Σ 丨=2 ·η (λ )+13 ·η U)coeft (A)^bl* (λ)。
16.如权利要求15所述的解密装置,其中, 所述解密值r’相应的二进制序列是在所述解密值r’上作用有随机函数的函数值。
17.一种加密方法,其包括 随机数生成部生成随机数r的步骤; 第一加密部生成所述随机数r相应的二进制序列和二进制序列的明文M的异或值即密文C2的步骤; 函数运算部生成将所述随机数r和所述密文C2的组分别输入到无碰撞函数Hs(S=I,Smax)而得到的 Smax (Smax ^ I)个函数值 Hs ( r,C2) (S=I,Smax)的步骤; 公钥生成部生成循环群Gt的元素即公钥K的步骤; 第二加密部利用所述公钥K,通过公钥密码方式,对所述随机数r进行加密,生成密文C (Ψ+1)的步骤;以及第三加密部生成包含 C (O) = U ^b1 (0)+Σ t =2J υ t (0) *bt (0)、C ( λ ) = υ · Σ 丨=1nU)wt (A).bt (λ)+Σι,(λ)+1η(λ) + ζ(λ)υι (A).bt (λ)及所述密文 C (Ψ+l)在内的密文C1的步骤, Ψ是I以上的整数,Ψ是O以上Ψ以下的整数,η ( Ψ )是I以上的整数,ζ ( Ψ )是O以上的整数,λ是I以上Ψ以下的整数,I是2以上η (O) + ζ (O)以下的常数,θψ分别是将循环群G1的η ( Ψ ) + ζ ( Ψ)个元素γ β (β=1,...,η (ψ) + ζ ( Ψ 和循环群G2的η ( Ψ ) + ζ ( Ψ)个元素Y ( β =1,· · ·,η ( Ψ ) + ζ ( Ψ 设为输入并将所述循环群Gt的一个元素输出的非退化的双线性映射,i是I以上η(Ψ) + ζ ( Ψ)以下的整数,匕(Ψ)是以所述循环群匕的!!(Ψ) + ζ (Ψ)个元素为要素的η (Ψ) + ζ (Ψ)维的基向量,bj ( Ψ)是以所述循环群G2的11 ( Ψ)+ζ ( Ψ)个元素为要素的η ( Ψ)+ζ (Ψ)维的基向量,S (i,j)是克罗内克三角函数,相对于所述循环群Gt的生成元&及常数τ,τ’,满足 ev Cbi ( Ψ ),bj* ( Ψ )) =gTτ ' τ ' δ (1, J), w ( λ ) — = Cw1 ( λ ),· · ·,wn u) ( λ ))是以 W1 ( λ ),· · ·,Wn ( λ )为要素的 η ( λ )维向量,υ,υ t (O) ( ι = 2, . . . , I) , U1(λ ) ( ι =η ( λ )+1,...,η ( λ )+ζ ( λ ))中的至少一部分的值与所述函数值Hs ( r,C2)(S=I,..., Smax)中的任一个对应。
18.如权利要求17所述的加密方法,其中, 所述随机数r相应的二进制序列是在所述随机数r上作用有随机函数的函数值。
19.如权利要求17所述的加密方法,其中, 所述无碰撞函数HS中的至少一部分是随机函数。
20.如权利要求18所述的加密方法,其中, 所述无碰撞函数HS中的至少一部分是随机函数。
21.如权利要求17 20中的任一项所述的加密方法,其中,所述常数τ,τ’、所述要素¥1 (λ),···,¥η(λ)(λ)、所述函数值Hs (r,C2)(S=l,. . . , Smax)及(O) ( I =2,. . . , I) , U1 ( λ ) ( I =η ( λ ) +1,. . . , η ( λ ) + ζ(λ))是有限域Fq的元素, 所述循环群G1及G2的位数分别与所述有限域Fq的位数q (q 3 I)相等。
22.如权利要求17 20中的任一项所述的加密方法,其中, ζ ( λ )=3 ·η ( λ ), I=5,Smax=3+X λ=1ψη ( λ ), υ2 (O), υ4 (O), υη(λ)+1 ( λ ),· · ·,υ 3.η(Λ)( λ )是零元,K=g/ ·τ’·υ’£ GT,U ’ = U3(0),U,U3(O), U5 (0),u3.nU)+1 ( λ , U4.n(Λ) ( λ )分别是 H1 (r ,C2),..., Hsmax ( r,C2)中的任一个。
23.如权利要求22所述的加密方法,其中, 所述常数τ,τ’、所述要素¥1 (λ),···,¥η(λ)(λ)、所述函数值Hs (r,C2)(S=l,. . . , Smax)及 U, U1 (O) ( I =2,. . . , I) , U1 ( λ ) ( I =η ( λ ) +1,. . . , η ( λ ) + ζ(λ))是有限域Fq的元素, 所述循环群G1及G2的位数分别与所述有限域Fq的位数q (q 3 I)相等。
24.一种解密方法,其包括 在存在满足 SE=S μ eSETconst ( μ ) · share ( μ ) ( μ e SET)的系数 const ( μ )的情况下,公钥生成部利用第一密钥信息D* (O)、第二密钥信息D* ( λ)及已输入的密文C’(0)、C’( λ ),生成如下的公钥K’的步骤 数学式22
25.如权利要求24所述的解密方法,其中, 所述无碰撞函数Hs中的至少一部分是随机函数。
26.如权利要求25所述的解密方法,其中, 所述要素 V1 (λ),...,νη(λ)(λ)、所述要素¥1 (λ),...,¥η(λ)(λ)、所述函数值 Hs(r,,C2,)(S=I, · · ·,Smax)及 υ ” ,O1" (O) ( ι = 2, ... ,1), V1" (λ) ( ι =η ( λ )+1,···,η(λ) + ζ (λ))是有限域匕的元素, 所述循环群G1及G2的位数分别与所述有限域Fq的位数q (q 3 I)相等。
27.如权利要求24所述的解密方法,其中, 所述要素 V1 (λ),...,νη(λ)(λ)、所述要素¥1 (λ),...,¥η(λ)(λ)、所述函数值 Hs(r,,C2,)(S=I, · · ·,Smax)及 υ ” ,O1" (O) ( ι = 2, ... ,1), V1" (λ) ( ι =η ( λ )+1,···,η(λ) + ζ (λ))是有限域匕的元素, 所述循环群G1及G2的位数分别与所述有限域Fq的位数q (q 3 I)相等。
28.如权利要求24 27中的任一项所述的解密方法,其中,ζ ( λ ) =3 . η ( λ ), 1=5, Sfflax=3+X λ=1ψη ( λ ), υ2" (O), υ4 " (O), υη(λ)+1 "(λ ),···,u3.nU),’( λ )是零元,K,=g/. τ’. υ" e Gt, υ ;/ ' =υ 3,,(O), υ" ,U3"(0),υ5" (0),υ3.η(;0+1" ( λ ),· · ·,u4.nU) " ( λ )分别是 H1 (r,,C2’),...,HSniax(r,,C2’)中的任一个,所述第一密钥信息是 D* (0) = - SE · (0)+b3* (O)+Coef4(O) · b4* (0),相对于成为LAB ( λ )=ν ( λ )—的λ的所述第二密钥信息是D* ( λ )=(share ( λ ) +coef (λ)· V1 (λ))· Id1* ( λ ) + Σ , =2η (λ) coef (A)^vl (A)^bl* (λ)+ Σ l=2.nU)+13‘nU)COef\ UVbl* ( λ ),相对于成为 LAB (λ)=”ν (λ)—的 λ 的所述第二密钥信息是 D* ( λ ) =share ( λ ) · Σ ι=1η(λ)ν( ( λ ) · bt* ( λ )+Σ 丨=2 ·η (λ )+13 ·η U)coef t ( λ ) · h ^ (λ)0
29.如权利要求28所述的解密方法,其中,所述解密值r’相应的二进制序列是在所述解密值r’上作用有随机函数的函数值。
30.如权利要求24 27中的任一项所述的解密方法,其中, 还具有第二解密部,所述第二解密部,在所述密文C’(O)及C’(入)和密文(〃 (0) =u" * bi (0)+Σ ^21U t " (O) · bt (O)及 C" (λ) = υ〃 ·Σι=1η(λν (λ) ^bl (λ)+ Σ ι=η(λ)+1η(λ) + ζ U) υ ," (A).bt (λ)—致的情况下,生成所述解密值r’相应的二进制序列和已输入的二进制序列的密文C2’的异或即解密值Μ’。
31.如权利要求30所述的解密方法,其中,ζ ( λ ) =3 . η ( λ ), 1=5, Sfflax=3+X λ=1ψη ( λ ), ν2" (O), υ4 " (O), υη(λ)+1 "(λ ),···,υ 3.η ⑴,,(λ )是零元,K,=g/. τ’. u" e GT, U ;/ ' =U3" (O), υ ” U 3,,(O), υ5" (0),υ3.η(;0+1" ( λ ),· · ·,u4.nU) " ( λ )分别是 H1 (r,,C2’),...,HSniax(r,,C2’)中的任一个,所述第一密钥信息是 D* (0) = - SE · (0)+b3* (O)+Coef4(O) · b4* (0),相对于成为LAB ( λ )=ν ( λ )—的λ的所述第二密钥信息是D* ( λ )=(share ( λ ) +coef (λ)· V1 (λ))· Id1* ( λ ) + Σ , =2η (λ) coef (A)^vl (A)^bl* (λ)+ Σ l=2.nU)+13.nU)coef\ (λ Vbl* ( λ ),相对于成为 LAB (λ)=”ν (λ)—的 λ 的所述第二密钥信息是 D* ( λ ) =share ( λ ) · Σ ι=1η(λ)ν( ( λ ) · bt* ( λ )+Σ 丨=2 ·η (λ )+13 ·η U)coef t ( λ ) · h ^ (λ)0
32.如权利要求31所述的解密方法,其中, 所述解密值r’相应的二进制序列是在所述解密值r’上作用有随机函数的函数值。
33.一种程序,其用于使计算机作为权利要求1所述的加密装置发挥功能。
34.一种计算机可读取的记录介质,其存储有用于使计算机作为权利要求1所述的加密装置发挥功能的程序。
35.一种程序,其用于使计算机作为权利要求8所述的解密装置发挥功能。
36.一种计算机可读取的记录介质,其存储有用于使计算机作为权利要求8所述的解密装置发挥功能的程序。
全文摘要
在加密时,生成随机数r,且生成密文C2=M(+)R(r)、函数值HS(r,C2)、公钥K、公钥K的随机数r的密文C(Ψ+1)、与函数值HS(r,C2)对应的公钥K的密文C'(0),C'(λ)。在解密时,从已输入的密文C'(0),C'(λ),对公钥K'进行解密,利用公钥K',对已输入的密文C'(Ψ+1)进行解密,生成解密值r',且生成函数值HS(r',C2'),在已输入的密文C'(0),C'(λ)和与函数值HS(r',C2')对应的公钥K'的密文C″(0),C″(λ)不一致的情况下,拒绝解密,在一致的情况下,对已输入的密文C2'进行解密。
文档编号G09C1/00GK103004129SQ20118003497
公开日2013年3月27日 申请日期2011年7月22日 优先权日2010年7月23日
发明者藤崎英一郎 申请人:日本电信电话株式会社
技术领域:
本发明涉及安全技术,特别涉及密码技术。
背景技术:
在密码研究领域的一个领域,具有相对于选择密文攻击安全的(CCA - Secure Chosen Ciphertext Attacks — Secure)密码方式(CCA安全密码方式)。特别是,近年来, 要基于通常仅具有对选择明文攻击(CPA: Chosen PlaiIitext Attack)的安全性的基于ID的密码(IBE:1dentity 一 based Encrypt ion)方式(例如,参照非专利文献I)来构成CCA安全密码方式的研究正在盛行。例如,在非专利文献2中,提案有CHK变换方式。在CHK变换方式中,为了基于CPA安全的任意的基于ID的密码方式来构筑CCA安全密码方式,使用One — Time署名。例如,在非专利文献3中,提案有BK变换方式。在BK变换方式中,为了基于CPA 安全的任意的基于ID的密码方式来构筑CCA安全密码方式,使用消息认证码(MAC:Message Authentication Code)和位承诺(bit commitment)方式。
现有技术文献
非专利文献
非专利文献1:D. Boneh, M. Franklin, "Identity based encryption from· the Weil Pairing, //Crypto2001, Lecture Notes in Computer Science, Vol. 2139, Springer — Verlag, pp. 213 — 229, 2001.
非专利文献2 R. Canetti, S. Halevi, J. Katz, “Chosen — Ciphertext Security from Identity — Based Encryption, ^Proc. of EUR0CRYPT’ 04,LNCS3027, pp. 207 — 222,2004.
非专利文献3 D. Boneh, J. Katz, “Improved Efficiency for CCA — Secure Cryptosystems Built Using Identity — Based Encryption, ^Proc.of CT — RSA’ 05,LNCS3376, pp. 87 — 103,2005.发明内容
发明要解决的课题
基于上述的CHK变换方式而生成的密文包含加密后的明文、该加密后的明文的 One - Time署名、用于验证该One — Time署名的署名密钥。因此,基于CHK变换方式而生成的密文的密文空间不仅包含用于加密后的明文的空间,而且还包含用于One - Time署名及署名密钥的空间。基于上述的BK变换方式而生成的密文包含加密后的明文、消息认证码、位承诺列。因此,基于BK变换方式而生成的密文的密文空间不仅包含用于加密后的明文的空间,而且还包含用于消息认证码及位承诺列的空间。即,基于CHK变换方式及BK变换方式而生成的密文空间包含仅分配给用于使CCA安全性提高的二维空间。但是,密文空间的尺寸越大,运算量及数据量越大,因此密文空间的尺寸优选尽可能地小。
另外,在基于ID的密码方式中,进行加密的人在进行加密以前必须取得进行解密的人的ID。与此相对,如果进行加密的人不确定进行解密的人就能够生成密文,且与所期望的条件一致的人能够构成可将该密文解密的方式,则是很便利的。
本发明是鉴于这种情况而开发的,其目的在于,提供一种密码方式,其便利性高, 没有用于提高CCA安全性的附加的密文空间,能够提高CCA安全性。
用于解决课题的手段
在本发明的加密中,生成随机数r,且生成随机数r相应的二进制序列和二进制序列的明文M的异或值即密文C2。将随机数r和密文C2的组分别输入到无碰撞函数Hs (S=l,...,Smax),生成 Smax (Smax 兰 I)个函数值 Hs ( r ,C2) (S=l,...,Smax)。生成循环群 Gt 的元素即公钥K,利用公钥K,通过公钥密码方式,对随机数r进行加密,生成密文C( Ψ+1)。 生成包含 C (0) = u ^b1 (0)+Σ 1=2、t (0)*bt (0),C ( λ ) = υ · Σ l=1nUV ( λ ).bt (λ )+Σ ι=η(λ)+1η(λ) + ζ(λ) υ ( ( λ ) . bt ( λ )及密文 C (Ψ+1)在内的密文 C115
在此,Ψ是I以上的整数,Ψ是O以上Ψ以下的整数,η ( Ψ)是I以上的整数, ζ ( Ψ)是O以上的整数,λ是I以上Ψ以下的整数,I是2以上η (0) + ζ (O)以下的常数,%分别是将循环群G1Wn (Ψ) + ζ (Ψ)个元素Y0 (β=1,···,η (Ψ) + ζ (Ψ)) 和循环群G2的η ( Ψ ) + ζ ( Ψ)个元素Y ( β =1,· · ·,η ( Ψ ) + ζ (Ψ))设为输入并将循环群Gt的一个元素输出的非退化的双线性映射,i是I以上η(Ψ) + ζ (Ψ)以下的整数,匕(Ψ)是以循环群匕的!!(Ψ) + ζ (Ψ)个元素为要素的η (Ψ) + ζ (Ψ)维的基向量,( Ψ)是以循环群G2的11 ( Ψ) + ζ ( Ψ)个元素为要素的η ( Ψ) + ζ (Ψ)维的基向量,δ (i, j)是克罗内克三角函数,相对于循环群Gt的生成元gT及常数τ, τ,,满足 ev Cbi ( Ψ ),bj* ( Ψ )) =g/ . τ ’ . S (l,j), w ( λ ) —= (W1 ( λ ),· · ·,wn (λ) ( λ ))是以 W1 (λ ),. . . , wn(A) ( λ )为要素的 η ( λ )维向量。u,u t (O) ( ι =2,. . . , I), U1 ( λ ) ( ι =η (λ)+1,···,η ( λ ) + ζ ( λ ))中的至少一部分的值与函数值 Hs ( r ,C2) (S=I,..., Smax) 的任一个对应。
在本发明的解密中,在存在满足SE=S μ eSETconst ( μ ) share ( μ ) ( μ e SET) 的系数const ( μ )的情况下,利用第一密钥信息D* (O)、第二密钥信息D* ( λ )及已输入的密文C’(0)、C’( λ ),如下生成公钥K’。
数学式I
权利要求
1.一种加密装置,其具有 随机数生成部,生成随机数r ; 第一加密部,生成所述随机数r相应的二进制序列和二进制序列的明文M的异或值即密文C2 ; 函数运算部,生成将所述随机数r和所述密文C2的组分别输入到无碰撞函数Hs(S=l,...,Smax)而得到的 Smax (Sfflax ^ I)个函数值 Hs (r ,C2) (S=I,Sfflax); 公钥生成部,生成循环群Gt的元素即公钥K ; 第二加密部,利用所述公钥K,通过公钥密码方式,对所述随机数r进行加密,生成密文C (Ψ+1);以及 第三加密部,生成包含 C (O) = U A1 (O)+Σ P21 U t (OVbl (0)、C ( λ ) = υ · Σ l=1nU)wt (A).bt (λ)+Σι,(λ)+1η(λ) + ζ(λ)υι (A).bt (λ)及所述密文 C (Ψ+1)在内的密文C1, Ψ是I以上的整数,Ψ是O以上Ψ以下的整数,η ( Ψ )是I以上的整数,ζ ( Ψ )是O以上的整数,λ是I以上Ψ以下的整数,I是2以上η (O) + ζ (O)以下的常数,θψ分别是将循环群G1的η ( Ψ ) + ζ ( Ψ)个元素γ β (β=1,...,η (ψ) + ζ ( Ψ 和循环群G2的η ( Ψ ) + ζ ( Ψ)个元素Y ( β =1,· · ·,η ( Ψ ) + ζ ( Ψ 设为输入并将所述循环群Gt的一个元素输出的非退化的双线性映射,i是I以上η(Ψ) + ζ ( Ψ)以下的整数,匕(Ψ )是以所述循环群G1的η ( Ψ )+ ζ (Ψ )个元素为要素的η ( Ψ )+ ζ (Ψ )维的基向量, ( Ψ)是以所述循环群G2的η ( Ψ ) + ζ ( Ψ)个元素为要素的η ( Ψ ) + ζ ( ψ)维的基向量,S (i,j)是克罗内克三角函数,相对于所述循环群Gt的生成元&及常数τ,τ’,满足 ev Cbi ( Ψ ) , bj* ( Ψ )) =gT τ ' τ ' δ (1。), w (λ)—= (W1 ( λ ),···,Wn (λ) (λ))是以W1 ( λ ),···,wn u) ( λ )为要素的 η (λ)维向量,u, U1 (O) (ι = 2, . . . , I), U1 (λ)(ι = η(λ)+1,···,η(λ) + ζ (λ))中的至少一部分的值与所述函数值Hs ( r , C2)(S=I,..., Smax)中的任一个对应。
2.如权利要求1所述的加密装置,其中, 所述随机数r相应的二进制序列是在所述随机数r上作用有随机函数的函数值。
3.如权利要求1所述的加密装置,其中, 所述无碰撞函数Hs中的至少一部分是随机函数。
4.如权利要求2所述的加密装置,其中, 所述无碰撞函数Hs中的至少一部分是随机函数。
5.如权利要求1 4中的任一项所述的加密装置,其中, 所述常数τ,τ’、所述要素¥1 (λ),···,¥η(λ)(λ)、所述函数值Hs (r,C2)(S=l, · · ·,Smax)及 U, U1 (O) ( I =2,... , I), U1 (λ) (I = η(λ)+1,···,η(λ)+ζ(λ))是有限域Fq的元素, 所述循环群G1及G2的位数分别与所述有限域Fq的位数q (q 3 I)相等。
6.如权利要求1 4中的任一项所述的加密装置,其中,ζ ( λ ) =3 · η ( λ ), 1=5, Smax=3+ Σ λ=1Ψη (λ), υ 2 (O) , υ 4 (O) , υ η (λ)+1(λ ),· · ·,υ3.η(λ) ( λ )是零元,K=g/ ·τ’·υ’ e GT,υ' = υ3 (O), υ , υ3 (O), υ5 (O), υ3.η(Λ)+ι ( λ ),· · ·,υ4.η(λ) ( λ )分别是 H1 ( r,C2),· · . , Hsmax ( r , C2)中的任一个。
7.如权利要求6所述的加密装置,其中, 所述常数τ,τ’、所述要素¥1 (λ),···,¥η(λ)(λ)、所述函数值Hs (r,C2)(S=l,. . . , Smax)及 U, U1 (O) ( I =2,... , I), U1 (λ) (I = η(λ)+1,···,η(λ)+ζ(λ))是有限域Fq的元素, 所述循环群G1及G2的位数分别与所述有限域Fq的位数q (q 3 I)相等。
8.一种解密装置,其具有 公钥生成部,在存在满足SE=Iy S1:丨const ( μ )■ share ( μ ) ( SET )的系数const (μ )的情况下,利用第一密钥信息D* (O)、第二密钥信息D* (λ)及已输入的密文C’(0)、C’(λ ),生成如下公钥K’ 数学式21
9.如权利要求8所述的解密装置,其中, 所述无碰撞函数Hs中的至少一部分是随机函数。
10.如权利要求9所述的解密装置,其中, 所述要素 V1 (λ),...,νη(λ)(λ)、所述要素¥1 (λ),...,¥η(λ)(λ)、所述函数值 Hs(r,,C2,)(S=I, · · ·,Smax)及 υ ” ,O1" (O) ( ι = 2, ... ,1), V1" (λ) ( ι =η ( λ )+1,···,η(λ) + ζ (λ))是有限域匕的元素, 所述循环群G1及G2的位数分别与所述有限域Fq的位数q (q 3 I)相等。
11.如权利要求8所述的解密装置,其中, 所述要素 V1 (λ),...,νη(λ)(λ)、所述要素¥1 (λ),...,¥η(λ)(λ)、所述函数值 Hs(r,,C2,)(S=I, · · ·,Smax)及 υ ” ,O1" (O) ( ι = 2, ... ,1), V1" (λ) ( ι =η ( λ )+1,···,η(λ) + ζ (λ))是有限域匕的元素, 所述循环群G1及G2的位数分别与所述有限域Fq的位数q (q 3 I)相等。
12.如权利要求8 11中的任一项所述的解密装置,其中, ζ (λ)=3.η (λ), 1=5, Sfflax=3+XA=1wn (λ), υ2" (O), υ," (O), υη(λ)+1"(λ ),· · ·,U 3.η ⑴"(λ )是零元,K,=g/ . τ’. υ’ " e GT,U " ' = U 3,,(O), U " U 3,,(0),U5" (0),U3.n(;0+1" ( λ ),· · ·,u4.nU) " ( λ )分别是 H1 (r,,C2’),...,HSniax(r,,C2’)中的任一个,所述第一密钥信息是 D* (0) = - SE · (0)+b3* (O)+Coef4(O) · b4* (0),相对于成为LAB ( λ )=ν ( λ )—的λ的所述第二密钥信息是D* ( λ )=(share ( λ ) +coef (λ)· V1 (λ))· Id1* ( λ ) + Σ , =2η (λ) coef (A)^vl (A)^bl* (λ)+ Σ l=2.nU)+13.nU)coef\ (λ Vbl* ( λ ),相对于成为 LAB (λ)=”ν (λ)—的 λ 的所述第二密钥信息是 D* ( λ ) =share ( λ ) · Σ ι=1η⑴V1 ( λ ) .bt* ( λ )+Σ t = 2 ·η (λ )+13 ·η U)coeft (A)^bl* (λ)。
13.如权利要求12所述的解密装置,其中, 所述解密值r’相应的二进制序列是在所述解密值r’上作用有随机函数的函数值。
14.如权利要求8 11中的任一项所述的解密装置,其中, 还具有第二解密部,所述第二解密部,在所述密文C’(O)及C’(入)和密文(〃 (0) =u" * bi (0)+Σ ^21U t " (O) · bt (O)及 C" (λ) = υ〃 ·Σι=1η(λν (λ) ^bl (λ)+ Σ ι=η(λ)+1η(λ)+ζ(λ) υ t " Uhbl (λ)—致的情况下,生成所述解密值r’相应的二进制序列和已输入的二进制序列的密文C2’的异或即解密值M’。
15.如权利要求14所述的解密装置,其中, ζ (λ)=3.η (λ), 1=5, Sfflax=3+XA=1wn (λ), ν 2" (O), ν," (O), υη(λ)+1"(λ ),· · ·,υ 3.η ⑴"(λ )是零元,K,=g/ ■ τ> ■ υ" 1 e Gt, υ " ' = υ 3,,(O), υ " υ 3,,(O), υ;' (0),υ3.η(;0+1" ( λ ),· · ·,u4.nU) " ( λ )分别是 H1 (r,,C2’),...,HSniax(r,,C2’)中的任一个,所述第一密钥信息是 D* (O) = - SE · (0)+b3* (O)+Coef4(O) · b4* (0),相对于成为LAB ( λ )=ν ( λ )—的λ的所述第二密钥信息是D* ( λ )=(share ( λ )+coef (A)^v1 ( λ )) · Id1* ( λ ) + Σ , =2η(λ) coef (A)^vl (A)^bl* (λ)+ Σ l=2.nU)+13.nU)coef\ (λ Vbl* ( λ ),相对于成为 LAB (λ)=”ν (λ)—的 λ 的所述第二密钥信息是 D* ( λ ) =share ( λ ) · Σ ι=1η(λ)ν( ( λ ) · bt* ( λ )+Σ 丨=2 ·η (λ )+13 ·η U)coeft (A)^bl* (λ)。
16.如权利要求15所述的解密装置,其中, 所述解密值r’相应的二进制序列是在所述解密值r’上作用有随机函数的函数值。
17.一种加密方法,其包括 随机数生成部生成随机数r的步骤; 第一加密部生成所述随机数r相应的二进制序列和二进制序列的明文M的异或值即密文C2的步骤; 函数运算部生成将所述随机数r和所述密文C2的组分别输入到无碰撞函数Hs(S=I,Smax)而得到的 Smax (Smax ^ I)个函数值 Hs ( r,C2) (S=I,Smax)的步骤; 公钥生成部生成循环群Gt的元素即公钥K的步骤; 第二加密部利用所述公钥K,通过公钥密码方式,对所述随机数r进行加密,生成密文C (Ψ+1)的步骤;以及第三加密部生成包含 C (O) = U ^b1 (0)+Σ t =2J υ t (0) *bt (0)、C ( λ ) = υ · Σ 丨=1nU)wt (A).bt (λ)+Σι,(λ)+1η(λ) + ζ(λ)υι (A).bt (λ)及所述密文 C (Ψ+l)在内的密文C1的步骤, Ψ是I以上的整数,Ψ是O以上Ψ以下的整数,η ( Ψ )是I以上的整数,ζ ( Ψ )是O以上的整数,λ是I以上Ψ以下的整数,I是2以上η (O) + ζ (O)以下的常数,θψ分别是将循环群G1的η ( Ψ ) + ζ ( Ψ)个元素γ β (β=1,...,η (ψ) + ζ ( Ψ 和循环群G2的η ( Ψ ) + ζ ( Ψ)个元素Y ( β =1,· · ·,η ( Ψ ) + ζ ( Ψ 设为输入并将所述循环群Gt的一个元素输出的非退化的双线性映射,i是I以上η(Ψ) + ζ ( Ψ)以下的整数,匕(Ψ)是以所述循环群匕的!!(Ψ) + ζ (Ψ)个元素为要素的η (Ψ) + ζ (Ψ)维的基向量,bj ( Ψ)是以所述循环群G2的11 ( Ψ)+ζ ( Ψ)个元素为要素的η ( Ψ)+ζ (Ψ)维的基向量,S (i,j)是克罗内克三角函数,相对于所述循环群Gt的生成元&及常数τ,τ’,满足 ev Cbi ( Ψ ),bj* ( Ψ )) =gTτ ' τ ' δ (1, J), w ( λ ) — = Cw1 ( λ ),· · ·,wn u) ( λ ))是以 W1 ( λ ),· · ·,Wn ( λ )为要素的 η ( λ )维向量,υ,υ t (O) ( ι = 2, . . . , I) , U1(λ ) ( ι =η ( λ )+1,...,η ( λ )+ζ ( λ ))中的至少一部分的值与所述函数值Hs ( r,C2)(S=I,..., Smax)中的任一个对应。
18.如权利要求17所述的加密方法,其中, 所述随机数r相应的二进制序列是在所述随机数r上作用有随机函数的函数值。
19.如权利要求17所述的加密方法,其中, 所述无碰撞函数HS中的至少一部分是随机函数。
20.如权利要求18所述的加密方法,其中, 所述无碰撞函数HS中的至少一部分是随机函数。
21.如权利要求17 20中的任一项所述的加密方法,其中,所述常数τ,τ’、所述要素¥1 (λ),···,¥η(λ)(λ)、所述函数值Hs (r,C2)(S=l,. . . , Smax)及(O) ( I =2,. . . , I) , U1 ( λ ) ( I =η ( λ ) +1,. . . , η ( λ ) + ζ(λ))是有限域Fq的元素, 所述循环群G1及G2的位数分别与所述有限域Fq的位数q (q 3 I)相等。
22.如权利要求17 20中的任一项所述的加密方法,其中, ζ ( λ )=3 ·η ( λ ), I=5,Smax=3+X λ=1ψη ( λ ), υ2 (O), υ4 (O), υη(λ)+1 ( λ ),· · ·,υ 3.η(Λ)( λ )是零元,K=g/ ·τ’·υ’£ GT,U ’ = U3(0),U,U3(O), U5 (0),u3.nU)+1 ( λ , U4.n(Λ) ( λ )分别是 H1 (r ,C2),..., Hsmax ( r,C2)中的任一个。
23.如权利要求22所述的加密方法,其中, 所述常数τ,τ’、所述要素¥1 (λ),···,¥η(λ)(λ)、所述函数值Hs (r,C2)(S=l,. . . , Smax)及 U, U1 (O) ( I =2,. . . , I) , U1 ( λ ) ( I =η ( λ ) +1,. . . , η ( λ ) + ζ(λ))是有限域Fq的元素, 所述循环群G1及G2的位数分别与所述有限域Fq的位数q (q 3 I)相等。
24.一种解密方法,其包括 在存在满足 SE=S μ eSETconst ( μ ) · share ( μ ) ( μ e SET)的系数 const ( μ )的情况下,公钥生成部利用第一密钥信息D* (O)、第二密钥信息D* ( λ)及已输入的密文C’(0)、C’( λ ),生成如下的公钥K’的步骤 数学式22
25.如权利要求24所述的解密方法,其中, 所述无碰撞函数Hs中的至少一部分是随机函数。
26.如权利要求25所述的解密方法,其中, 所述要素 V1 (λ),...,νη(λ)(λ)、所述要素¥1 (λ),...,¥η(λ)(λ)、所述函数值 Hs(r,,C2,)(S=I, · · ·,Smax)及 υ ” ,O1" (O) ( ι = 2, ... ,1), V1" (λ) ( ι =η ( λ )+1,···,η(λ) + ζ (λ))是有限域匕的元素, 所述循环群G1及G2的位数分别与所述有限域Fq的位数q (q 3 I)相等。
27.如权利要求24所述的解密方法,其中, 所述要素 V1 (λ),...,νη(λ)(λ)、所述要素¥1 (λ),...,¥η(λ)(λ)、所述函数值 Hs(r,,C2,)(S=I, · · ·,Smax)及 υ ” ,O1" (O) ( ι = 2, ... ,1), V1" (λ) ( ι =η ( λ )+1,···,η(λ) + ζ (λ))是有限域匕的元素, 所述循环群G1及G2的位数分别与所述有限域Fq的位数q (q 3 I)相等。
28.如权利要求24 27中的任一项所述的解密方法,其中,ζ ( λ ) =3 . η ( λ ), 1=5, Sfflax=3+X λ=1ψη ( λ ), υ2" (O), υ4 " (O), υη(λ)+1 "(λ ),···,u3.nU),’( λ )是零元,K,=g/. τ’. υ" e Gt, υ ;/ ' =υ 3,,(O), υ" ,U3"(0),υ5" (0),υ3.η(;0+1" ( λ ),· · ·,u4.nU) " ( λ )分别是 H1 (r,,C2’),...,HSniax(r,,C2’)中的任一个,所述第一密钥信息是 D* (0) = - SE · (0)+b3* (O)+Coef4(O) · b4* (0),相对于成为LAB ( λ )=ν ( λ )—的λ的所述第二密钥信息是D* ( λ )=(share ( λ ) +coef (λ)· V1 (λ))· Id1* ( λ ) + Σ , =2η (λ) coef (A)^vl (A)^bl* (λ)+ Σ l=2.nU)+13‘nU)COef\ UVbl* ( λ ),相对于成为 LAB (λ)=”ν (λ)—的 λ 的所述第二密钥信息是 D* ( λ ) =share ( λ ) · Σ ι=1η(λ)ν( ( λ ) · bt* ( λ )+Σ 丨=2 ·η (λ )+13 ·η U)coef t ( λ ) · h ^ (λ)0
29.如权利要求28所述的解密方法,其中,所述解密值r’相应的二进制序列是在所述解密值r’上作用有随机函数的函数值。
30.如权利要求24 27中的任一项所述的解密方法,其中, 还具有第二解密部,所述第二解密部,在所述密文C’(O)及C’(入)和密文(〃 (0) =u" * bi (0)+Σ ^21U t " (O) · bt (O)及 C" (λ) = υ〃 ·Σι=1η(λν (λ) ^bl (λ)+ Σ ι=η(λ)+1η(λ) + ζ U) υ ," (A).bt (λ)—致的情况下,生成所述解密值r’相应的二进制序列和已输入的二进制序列的密文C2’的异或即解密值Μ’。
31.如权利要求30所述的解密方法,其中,ζ ( λ ) =3 . η ( λ ), 1=5, Sfflax=3+X λ=1ψη ( λ ), ν2" (O), υ4 " (O), υη(λ)+1 "(λ ),···,υ 3.η ⑴,,(λ )是零元,K,=g/. τ’. u" e GT, U ;/ ' =U3" (O), υ ” U 3,,(O), υ5" (0),υ3.η(;0+1" ( λ ),· · ·,u4.nU) " ( λ )分别是 H1 (r,,C2’),...,HSniax(r,,C2’)中的任一个,所述第一密钥信息是 D* (0) = - SE · (0)+b3* (O)+Coef4(O) · b4* (0),相对于成为LAB ( λ )=ν ( λ )—的λ的所述第二密钥信息是D* ( λ )=(share ( λ ) +coef (λ)· V1 (λ))· Id1* ( λ ) + Σ , =2η (λ) coef (A)^vl (A)^bl* (λ)+ Σ l=2.nU)+13.nU)coef\ (λ Vbl* ( λ ),相对于成为 LAB (λ)=”ν (λ)—的 λ 的所述第二密钥信息是 D* ( λ ) =share ( λ ) · Σ ι=1η(λ)ν( ( λ ) · bt* ( λ )+Σ 丨=2 ·η (λ )+13 ·η U)coef t ( λ ) · h ^ (λ)0
32.如权利要求31所述的解密方法,其中, 所述解密值r’相应的二进制序列是在所述解密值r’上作用有随机函数的函数值。
33.一种程序,其用于使计算机作为权利要求1所述的加密装置发挥功能。
34.一种计算机可读取的记录介质,其存储有用于使计算机作为权利要求1所述的加密装置发挥功能的程序。
35.一种程序,其用于使计算机作为权利要求8所述的解密装置发挥功能。
36.一种计算机可读取的记录介质,其存储有用于使计算机作为权利要求8所述的解密装置发挥功能的程序。
全文摘要
在加密时,生成随机数r,且生成密文C2=M(+)R(r)、函数值HS(r,C2)、公钥K、公钥K的随机数r的密文C(Ψ+1)、与函数值HS(r,C2)对应的公钥K的密文C'(0),C'(λ)。在解密时,从已输入的密文C'(0),C'(λ),对公钥K'进行解密,利用公钥K',对已输入的密文C'(Ψ+1)进行解密,生成解密值r',且生成函数值HS(r',C2'),在已输入的密文C'(0),C'(λ)和与函数值HS(r',C2')对应的公钥K'的密文C″(0),C″(λ)不一致的情况下,拒绝解密,在一致的情况下,对已输入的密文C2'进行解密。
文档编号G09C1/00GK103004129SQ20118003497
公开日2013年3月27日 申请日期2011年7月22日 优先权日2010年7月23日
发明者藤崎英一郎 申请人:日本电信电话株式会社
最新回复(0)