WO2017170780A1

WO2017170780A1 - Cryptogram collation system, node device, cryptogram collation method, and program

Info

Publication number: WO2017170780A1
Application number: PCT/JP2017/013085
Authority: WO
Inventors: 春菜肥後; 寿幸一色; 健吾森
Original assignee: NEC Corp
Current assignee: NEC Corp
Priority date: 2016-03-31
Filing date: 2017-03-29
Publication date: 2017-10-05
Anticipated expiration: 2018-09-30
Also published as: JPWO2017170780A1; JP6927199B2

Abstract

The present invention makes it possible to speed up an arithmetic operation and enables a safer collation process. According to the present invention, a registration request device encrypts a polynomial generated from registration information that is a numerical vector by using an encryption key, a collation auxiliary device generates a challenge derived by encrypting a polynomial in which the coefficient of one term is a random number and the coefficients of other terms are 0, and an authentication request device generates, as a response, a cryptogram of the product of the challenge and a polynomial generated from authentication information. The collation auxiliary device generates a cryptogram of the distance between the registration information and the authentication information on the basis of a cryptogram of the polynomial generated from the registration information and a cryptogram of the product of a challenge auxiliary comprising the one coefficient and an order and a polynomial generated from the authentication information, and transmits the cryptogram of the distance between the registration information and the authentication information to a verification device. The verification device decrypts the cryptogram of the distance between the registration information and the authentication information using a decryption key, and calculates the distance.

Description

Ciphertext verification system, node device, ciphertext verification method, and program

　（関連出願についての記載）
　本発明は、日本国特許出願：特願２０１６－０７２７７０号（２０１６年３月３１日出願）の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
　本発明は暗号化技術に関し、特に、暗号文照合システム、ノード装置、暗号文照合方法、およびプログラムに関する。 (Description of related applications)
The present invention is based on the priority claim of Japanese Patent Application No. 2016-072770 (filed on Mar. 31, 2016), the entire contents of which are incorporated herein by reference. Shall.
The present invention relates to encryption technology, and in particular, to a ciphertext verification system, a node device, a ciphertext verification method, and a program.

　クラウドコンピューティング（クラウド）が普及するにつれ、クライアントが通信ネットワークに通信接続しているクラウド側の計算機資源を用いて当該クライアントのデータを管理するクラウドサービスが広く普及している。該サービスは、例えばクライアントの機密性の高いデータを管理することから、クラウド側では、該サービスにおいて扱われるデータが安全であることを保証する必要がある。 As cloud computing (cloud) becomes widespread, cloud services that manage client data using cloud-side computer resources that are connected to a communication network by clients are becoming widespread. For example, since the service manages highly confidential data of the client, it is necessary to ensure that the data handled in the service is secure on the cloud side.

　利用者が通信ネットワークに自由に通信接続可能（オープン）なネットワーク環境において、データを暗号化されたままの状態で管理し、データを復号することなく、検索や、統計処理等を行う技術の研究開発が行われている。 Research on technology that manages data in an encrypted state in a network environment where users can freely connect to a communication network (open), and performs searches, statistical processing, etc. without decrypting the data Development is underway.

　近時、パスワード、または、磁気カードを用いた個人認証における脆弱性を利用した犯罪が頻発している。この結果、指紋、または、静脈等の生体が有する特徴に基づいた情報（生体情報）を用いて、より安全性の高い認証を実現する生体認証技術が注目を集めている。 Recently, crimes using vulnerabilities in personal authentication using passwords or magnetic cards have frequently occurred. As a result, biometric authentication technology that realizes authentication with higher safety using information (biometric information) based on characteristics of a biometric feature such as fingerprints or veins has attracted attention.

　良く知られた生体認証技術の典型例の一つにおいては、登録対象である生体から抽出した生体情報に基づきクライアントがテンプレートを作成し、作成されたテンプレートがサーバに送信され、サーバで保管される。生体認証技術において、サーバは、認証対象である生体からクライアントが抽出した生体情報と、サーバに保管されているテンプレート（クライアントが作成しサーバに送信したテンプレート）とを用いて照合処理を行う。 In one typical example of well-known biometric authentication technology, a client creates a template based on biometric information extracted from a biometric subject to registration, and the created template is transmitted to the server and stored in the server. . In the biometric authentication technology, the server performs matching processing using biometric information extracted by the client from the biometric subject to authentication and a template stored in the server (a template created by the client and transmitted to the server).

　同一の生体から抽出された複数の生体情報は完全に一致するとは限らないが、ある距離関数を用いて距離を測定すると、同一の生体から抽出された複数の生体情報間の距離は、異なる生体からそれぞれ抽出された複数の生体情報間の距離と比べて、短いことが知られている。 A plurality of pieces of biological information extracted from the same living body do not always match completely. However, when a distance is measured using a certain distance function, the distance between the plurality of pieces of biological information extracted from the same living body is different. It is known that the distance is shorter than the distance between a plurality of pieces of biometric information extracted from each.

　生体認証技術は、上記の性質を利用することによって、登録対象に基づいて生成されたテンプレートと、認証対象に基づいて作成された生体情報との照合を行う。すなわち、生体認証技術においては、
・登録対象である生体から抽出された生体情報と、認証対象である生体から抽出された生体情報が類似（または、一致）している場合に、認証対象を受理する。
・登録対象である生体から抽出された生体情報と、認証対象である生体から抽出された生体情報が類似（または、一致）していない場合に、認証対象を受理しない。 The biometric authentication technology uses the above-described properties to collate a template generated based on a registration target with biometric information created based on the authentication target. That is, in biometric authentication technology,
The authentication target is accepted when the biological information extracted from the biometric target that is the registration target and the biometric information extracted from the biometric target that is the authentication target are similar (or coincident).
The authentication target is not accepted when the biometric information extracted from the biometric target to be registered and the biometric information extracted from the biometric target to be authenticated are not similar (or matched).

　一般的に、生体情報の類似は、上記したように、距離によって判定される。すなわち、
・登録対象である生体から抽出された生体情報と、認証対象である生体から抽出された生体情報との間の距離が、事前に定められた閾値以下であれば受理される。
・登録対象である生体から抽出された生体情報と、認証対象である生体から抽出された生体情報との間の距離が、事前に定められた閾値より大きければ、受理されない。 Generally, the similarity of biometric information is determined by distance as described above. That is,
-It will be accepted if the distance between the biological information extracted from the living body to be registered and the biological information extracted from the living body to be authenticated is equal to or less than a predetermined threshold.
-If the distance between the biometric information extracted from the biometric target to be registered and the biometric information extracted from the biometric target to be authenticated is larger than a predetermined threshold value, it is not accepted.

　例えば、指紋、静脈等の生体が有する特徴は、生涯不変のデータとされている。生体情報が照合システムの外部に漏洩された場合の被害が甚大であるので、生体情報は、機密性が要求される情報の一つである。したがって、たとえ、登録対象である生体から抽出した生体情報に基づき生成したテンプレートと認証対象に基づいて作成された生体情報との照合を行う照合システムから、外部に、該テンプレートが漏洩したとしても、生体情報が外部に漏洩しない性質を満たすことが望ましい。 For example, the characteristics of living bodies such as fingerprints and veins are data that does not change throughout life. Since the damage caused when the biometric information is leaked outside the verification system is enormous, the biometric information is one of information that requires confidentiality. Therefore, even if the template leaks to the outside from a collation system that collates a template generated based on biometric information extracted from a biometric subject to registration and biometric information created based on an authentication target, It is desirable to satisfy the property that biological information does not leak outside.

　また、生体認証技術では、他の認証技術と同様に、生体情報を登録した生体と異なる生体が登録対象の生体になりすますこと（すなわち、「なりすまし」）を防ぐ必要がある。例えば、特定の値を照合システムに送信することによって、認証に成功してしまうような認証技術は、なりすましへの耐性が十分でないといえる。 Also, in the biometric authentication technology, as with other authentication technologies, it is necessary to prevent a biometric body different from the biometric registered biometric information from impersonating the biometric subject of registration (ie, “spoofing”). For example, it can be said that an authentication technique that succeeds in authentication by transmitting a specific value to the verification system is not sufficiently resistant to impersonation.

　さらに、認証技術においては、テンプレートが漏洩してしまうリスクだけでなく、認証時の通信内容が盗聴（傍受）されるリスクもある。認証技術においては、通信内容が盗聴されたとしても、上記したなりすましを防ぐ必要がある。例えば、認証対象が受理された場合に、照合システムへ送信されたデータを、再送することにより、再度受理される方式は、なりすましへの耐性が十分でない。 Furthermore, in the authentication technology, there is a risk that the communication content at the time of authentication is wiretapped (intercepted) as well as the risk of the template leaking. In the authentication technology, it is necessary to prevent the above-mentioned impersonation even if the communication content is wiretapped. For example, when an authentication target is accepted, a method in which data transmitted to the verification system is re-accepted by resending the data is not sufficiently resistant to impersonation.

　例えば、非特許文献２には、登録対象である生体から抽出された生体情報や、認証対象である生体から抽出された生体情報を秘匿したまま、認証を行うことを可能とした生体認証方式が開示されている。また、非特許文献１には、加法及び乗法に関する準同型性を持つ準同型暗号方式が開示されている。 For example, Non-Patent Document 2 discloses a biometric authentication method that enables authentication while keeping biometric information extracted from a biometric subject to be registered and biometric information extracted from a biometric subject being authenticated. It is disclosed. Non-Patent Document 1 discloses a homomorphic encryption method having homomorphism regarding addition and multiplication.

　準同型暗号方式について概説する。準同型暗号方式は、準同型あるいは準同型性（homomorphism）と呼ばれる特殊な性質を持つ公開鍵暗号方式である。 Outline of homomorphic encryption method. The homomorphic cryptosystem is a public key cryptosystem having a special property called homomorphism or homomorphism.

　公開鍵暗号方式は、
・公開鍵（「暗号化鍵」という）、及び、秘密鍵（「復号鍵」という）を生成するアルゴリズム（鍵生成アルゴリズム）、
・生成した暗号化鍵を用いてメッセージを暗号化するアルゴリズム（暗号化アルゴリズム）、及び、
・生成した復号鍵を用いて暗号文を復号するアルゴリズム（復号アルゴリズム）
を含む。 Public key cryptography is
An algorithm (key generation algorithm) for generating a public key (referred to as “encryption key”) and a secret key (referred to as “decryption key”);
-An algorithm that encrypts the message using the generated encryption key (encryption algorithm), and
-An algorithm for decrypting ciphertext using the generated decryption key (decryption algorithm)
including.

　鍵生成アルゴリズム（「Ｇｅｎ」と表記する）は、セキュリティパラメータλに基づき、暗号化鍵ｐｋと、復号鍵ｓｋとを算出するアルゴリズムであり、
Ｇｅｎ（λ）→（ｐｋ，ｓｋ）　　・・・(式１)
と表される。セキュリティパラメータλは、暗号の安全性を表す尺度であり、暗号化鍵や復号鍵の長さを決定するパラメータである。 The key generation algorithm (denoted as “Gen”) is an algorithm for calculating the encryption key pk and the decryption key sk based on the security parameter λ.
Gen (λ) → (pk, sk) (Formula 1)
It is expressed. The security parameter λ is a measure representing the security of encryption, and is a parameter that determines the length of the encryption key and the decryption key.

　暗号化アルゴリズム（「Ｅｎｃ」と表記する）は、暗号化鍵ｐｋと、メッセージｘとに基づき、暗号化鍵ｐｋを用いてメッセージｘが暗号化された暗号文ｃを算出するアルゴリズムであり、
Ｅｎｃ（ｐｋ，Ｍ）→ｃ　　　　　・・・(式２)
と表される。 The encryption algorithm (denoted as “Enc”) is an algorithm for calculating a ciphertext c in which the message x is encrypted using the encryption key pk based on the encryption key pk and the message x.
Enc (pk, M) → c (Formula 2)
It is expressed.

　復号アルゴリズム（「Ｄｅｃ」と表記する）は、復号鍵ｓｋと暗号文ｃとに基づき、復号鍵ｓｋを用いて暗号文ｃが復号された復号結果Ｘを算出するアルゴリズムであり、
Ｄｅｃ（ｓｋ，ｃ）→Ｘ　　　　・・・(式３)
と表される。 The decryption algorithm (denoted as “Dec”) is an algorithm for calculating a decryption result X obtained by decrypting the ciphertext c using the decryption key sk based on the decryption key sk and the ciphertext c.
Dec (sk, c) → X (Expression 3)
It is expressed.

　ただし、
Ａ（Ｂ）→Ｃ　　　　　　　　・・・(式４)
は、アルゴリズムＡにＢを入力すると、Ｃが出力される、ことを意味する。 However,
A (B) → C (Formula 4)
Means that if B is input to algorithm A, C is output.

　公開鍵暗号方式は、次の式５に示す条件を満たす場合に、準同型性を持つ。 The public key cryptosystem has homomorphism when the condition shown in the following formula 5 is satisfied.

　Ｅｎｃ（ｐｋ，ｘ１＃ｘ２）＝Ｅｎｃ（ｐｋ，ｘ１）＠Ｅｎｃ（ｐｋ，ｘ２）　・・・（式５） Enc (pk, x1 # x2) = Enc (pk, x1) @Enc (pk, x2) (Formula 5)

　ただし、＃、及び、＠は、それぞれ２項演算子を表す。また、ｘ１、及び、ｘ２は、それぞれ、メッセージを表す。 However, # and @ each represent a binary operator. X1 and x2 each represent a message.

　特に、＃が加算である場合、式５に示す条件を満たす公開鍵暗号方式は、加算について準同型性を持つという。この場合のＥｎｃ（ｐｋ，ｘ１）＠Ｅｎｃ（ｐｋ，ｘ２）の計算を、「暗号文の加算」と呼ぶ。 Especially, when # is addition, a public key cryptosystem that satisfies the condition shown in Equation 5 is said to have homomorphism for addition. The calculation of Enc (pk, x1) @Enc (pk, x2) in this case is called “addition of ciphertext”.

　また、＃が乗算である場合に、式５に示す条件を満たす公開鍵暗号方式は、乗算について準同型性を持つという。この場合のＥｎｃ（ｐｋ，ｘ１）＠Ｅｎｃ（ｐｋ，ｘ２）の計算を、「暗号文の乗算」と呼ぶ。 Also, when # is multiplication, a public key cryptosystem that satisfies the condition shown in Expression 5 is said to have homomorphism for multiplication. The calculation of Enc (pk, x1) @Enc (pk, x2) in this case is called “ciphertext multiplication”.

　さらに、暗号文の加算や暗号文の乗算を応用することにより、次の式６に示す条件を満たす準同型暗号も存在する。 Furthermore, by applying ciphertext addition and ciphertext multiplication, there are homomorphic ciphers that satisfy the condition shown in Equation 6 below.

　Ｅｎｃ（ｐｋ，ｎ＃ｘ）＝Ｅｎｃ（ｐｋ，ｘ）＠ｎ　・・・（式６） Enc (pk, n # x) = Enc (pk, x) @n (Expression 6)

　ただし、＃、及び、＠は、それぞれ２項演算子を表す。また、ｘ、及び、ｎは、それぞれ、メッセージを表す。 However, # and @ each represent a binary operator. X and n each represent a message.

　特に、＃が加算である場合、式６に示す条件を満たす公開鍵暗号方式は、スカラー倍について準同型性を持つという。この場合のＥｎｃ（ｐｋ，ｘ）＠ｎの計算を、「暗号文のスカラー倍」と呼ぶ。 Especially, when # is addition, a public key cryptosystem that satisfies the condition shown in Equation 6 is said to have homomorphism with respect to scalar multiplication. The calculation of Enc (pk, x) @n in this case is called “scalar multiplication of ciphertext”.

　非特許文献１に記載された、加法及び乗法について準同型性を持つ準同型暗号方式について説明する。この方式は、メッセージとして多項式を扱う、ｒｉｎｇ－ＬＷＥ問題の困難性に基づく暗号である。ｒｉｎｇ－ＬＷＥ問題の困難性に基づく暗号の特徴として、演算が高速に行えることが挙げられる。 A homomorphic encryption method having homomorphism for addition and multiplication described in Non-Patent Document 1 will be described. This scheme is a cipher based on the difficulty of the ring-LWE problem that treats polynomials as messages. A feature of cryptography based on the difficulty of the ring-LWE problem is that the computation can be performed at high speed.

　鍵生成アルゴリズムは入力として、主に４つのパラメータＮ、ｑ、ｔ、σを受け取る。 The key generation algorithm mainly receives four parameters N, q, t, and σ as inputs.

　Ｎは２冪の整数で、多項式ｘ^Ｎ＋１による剰余環である多項式環Ｒ＝Ｚ［ｘ］／＜ｘ^Ｎ＋１＞を定める。 N is an integer of 2 冪 and defines a polynomial ring R = Z [x] / <x ^N +1> that is a remainder ring by the polynomial x ^N +1.

　ｑは２Ｎを法として１と合同（ｑ≡１　ｍｏｄ　２Ｎ）な素数であり、暗号文空間を表す多項式環Ｒ_ｑ＝Ｒ／ｑＲ＝Ｚ_ｑ［ｘ］／＜ｘ^Ｎ＋１＞を定める（Ｒｑの元は、各係数が群Ｚｑの元である（Ｎ－１）次多項式）。 q is a prime number congruent with 1 (q≡1 mod 2N) modulo 2N, and defines a polynomial ring R _q = R / qR = Z _q [x] / <x ^N +1> representing the ciphertext space (Rq Is an (N-1) th order polynomial) where each coefficient is an element of the group Zq.

　ｔはｑより小さい正の整数（素数とは限らない）であり、暗号方式における平文空間を表す多項式環Ｒ_ｔ＝Ｒ／ｔＲ＝（Ｚ／ｔＺ）［ｘ］／＜ｘ^Ｎ＋１＞を定める（Ｒ_ｔの元は、各係数が剰余群Ｚ／ｔＺの元である（Ｎ－１）次多項式）。 t is a positive integer smaller than q (not necessarily a prime number), and defines a polynomial ring R _t = R / tR = (Z / tZ) [x] / <x ^N +1> representing a plaintext space in the cryptosystem. (The element of R _t is an (N−1) th order polynomial in which each coefficient is an element of the remainder group Z / tZ).

　σは、Ｎ次元離散ガウス分布χ＝Ｄ（Ｚ^Ｎ，σ）の標準偏差である。Ｎ次元離散ガウス分布によってサンプルされるＮ次元整数ベクトルは、標準偏差がσであるガウス分布（正規分布とも呼ばれる）に従う実数値を丸めた整数値を各成分に持つベクトルである。
標準偏差がσであるＮ次元離散ガウス分布の確率密度関数は、

σ is the standard deviation of the N-dimensional discrete Gaussian distribution χ = D (Z ^N , σ). An N-dimensional integer vector sampled by an N-dimensional discrete Gaussian distribution is a vector having, as components, integer values obtained by rounding real values according to a Gaussian distribution (also called normal distribution) having a standard deviation of σ.
The probability density function of an N-dimensional discrete Gaussian distribution with a standard deviation of σ is

　標準偏差がσであるＮ次元離散ガウス分布χ＝Ｄ（Ｚ^Ｎ，σ）から、多項式ε（ｘ）∈Ｒがサンプルされる。多項式の加算と乗算はｍｏｄｕｌｏ（ｘ^Ｎ＋１，ｑ）で定義される。 A polynomial ε (x) εR is sampled from an N-dimensional discrete Gaussian distribution χ = D (Z ^N , σ) with a standard deviation σ. Polynomial addition and multiplication are defined by modulo (x ^N + 1, q).

　次に、標準偏差がσであるＮ次元離散ガウス分布χからサンプリングされた元（Ｎ－１次多項式）ｓ∈Ｒを一つ固定する。 Next, one element (N−1 order polynomial) s∈R sampled from the N-dimensional discrete Gaussian distribution χ with standard deviation σ is fixed.

　次に、Ｒ_ｑから一様ランダムにサンプルした環の要素（各係数がｑより小さいＮ－１次多項式）ｐ_１∈Ｒ_ｑとする。標準偏差がσであるＮ次元離散ガウス分布χから得られる元ｅ∈Ｒをとる。 Next, it is assumed that ring elements (N-1th order polynomials where each coefficient is smaller than q) p ₁ ∈R _q sampled uniformly and randomly from R _q . An element eεR obtained from an N-dimensional discrete Gaussian distribution χ with a standard deviation of σ is taken.

　次に、
ｐ_０＝－（ｐ_１×ｓ＋ｔ×ｅ）　　　・・・（式８）
を計算する。 next,
p ₀ = − (p ₁ × s + t × e) (Equation 8)
Calculate

　ｐｋ＝（ｐ_０，ｐ_１）　　　　　　・・・（式９）
を公開鍵（暗号化鍵）とし、
ｓｋ＝ｓ　　　　　　　　　　　　　・・・（式１０）
を秘密鍵（復号鍵）とする。 pk = (p ₀ , p ₁ ) (Equation 9)
Is the public key (encryption key)
sk = s (Equation 10)
Is a secret key (decryption key).

　ただし、多項式ｐ_０の計算時のように、多項式の積を計算する場合において、多項式の次数がＮ以上となった場合には、以下のような置き換えが行われる。 However, in the case of calculating the product of the polynomial as in the case of calculating the polynomial p ₀ , when the degree of the polynomial is N or more, the following replacement is performed.

ｘ^Ｎ＝（ｘ^Ｎ＋１）－１＝－１　ｍｏｄ（ｘ^Ｎ＋１）　　・・・（式１１－１）
ｘ^Ｎ＋１＝x（ｘ^Ｎ＋１）－x=－ｘ　ｍｏｄ（ｘ^Ｎ＋１）　・・・（式１１－２） x ^N = (x ^N +1) -1 = −1 mod (x ^N +1) (Formula 11-1)
^{^{x N + 1 = x (x}} N +1) -x = -x mod (x N +1) ··· ( Equation 11-2)

　さらに、多項式の和や積を計算する場合において、各係数がｑ以上となった場合には、その係数をｑで割った余りに置き換えて計算する（ｍｏｄ　ｑ）。これにより、計算される多項式は、常に、各係数がｑより小さい、Ｎ－１次以下の多項式となる。以下の計算においても同様に行う。 Furthermore, when calculating the sum or product of polynomials, if each coefficient is equal to or greater than q, the coefficient is calculated by replacing it with the remainder divided by q (mod q). As a result, the calculated polynomial is always an N-1 or lower order polynomial in which each coefficient is smaller than q. The same applies to the following calculations.

　暗号化アルゴリズムは、入力として、上記の鍵生成アルゴリズムに入力された４つのパラメータの組（Ｎ，ｑ，ｔ，σ）、上記の鍵生成アルゴリズムで生成した暗号化鍵ｐｋ＝（ｐ_０，ｐ_１）およびメッセージｘを受けとる。 The encryption algorithm includes, as inputs, a set of four parameters (N, q, t, σ) input to the above key generation algorithm, and an encryption key pk = (p ₀ , p generated by the above key generation algorithm) ₁ ) and message x are received.

　ただし、メッセージｘ（ｘ∈Ｒ_ｔ）は、各係数がｔより小さい、Ｎ－１次多項式である。 However, the message x (xεR _t ) is an N−1 order polynomial in which each coefficient is smaller than t.

　次に、３つのＮ－１次多項式ｕ、ｇおよびｆを、標準偏差がσであるＮ次元離散ガウス分布χに従って生成する。 Next, three N−1 order polynomials u, g, and f are generated according to an N-dimensional discrete Gaussian distribution χ having a standard deviation of σ.

　次に、Ｎ－１次多項式ｕ、ｇおよびｆ、暗号化鍵（公開鍵）ｐｋ、ｔから、
　ｃ_０＝ｐ_０×ｕ＋ｔ×ｇ＋ｘ　　　　　　　　　　・・・（式１２－１）
　ｃ_１＝ｐ_１×ｕ＋ｔ×ｆ　　　　　　　　　　　　・・・（式１２－２）
を計算する。 Next, from the N−1th order polynomials u, g and f and the encryption key (public key) pk, t,
c ₀ = p ₀ × u + t × g + x (Formula 12-1)
c ₁ = p ₁ × u + t × f (Formula 12-2)
Calculate

　そして、
　ｃ=（ｃ_０，ｃ_１）∈（Ｒ_ｑ）^２　　　　　　　　・・・（式１３）
を暗号文（ｃｉｐｈｅｒｔｅｘｔ）として出力する。 And
c = (c ₀ , c ₁ ) ∈ (R _q ) ² (Equation 13)
Are output as ciphertext.

　復号アルゴリズムは入力として、上記の鍵生成アルゴリズムに入力された４つのパラメータの組（Ｎ，ｑ，ｔ，σ）、上記の復号鍵ｓｋおよび暗号文
ｃ＝（ｃ_０，ｃ_１）∈（Ｒ_ｑ）^２または（ｃ_０，ｃ_１，ｃ_２）∈（Ｒ_ｑ）^３
を受け取る。以下、前者の場合は、ｃ_２＝０であるとみなす。 The decryption algorithm receives as input the four parameter pairs (N, q, t, σ) input to the key generation algorithm, the decryption key sk, and the ciphertext c = (c ₀ , c ₁ ) ∈ (R _q ) ² or (c ₀ , c ₁ , c ₂ ) ε (R _q ) ³
Receive. Hereinafter, in the former case, it is considered that c ₂ = 0.

　次に、
　Ｃ＝ｃ_０＋ｃ_１×ｓｋ＋ｃ_２×ｓｋ^２　　　　　　　　・・・（式１４）
を計算する。 next,
C = c ₀ + c ₁ × sk + c ₂ × sk ² (Expression 14)
Calculate

　暗号文が含む多項式の数をｌ＋１とすると、
ｃ＝（ｃ_０，・・・，ｃ_ｌ）∈（Ｒ_ｑ）^ｌ＋１について、
　Ｃ＝Σ_{ｉ＝０～ｌ}ｃ_ｉｓｋ^ｉ∈Ｒ_ｑ　　　　　　　　　・・・（式１５）
を計算する。 If the number of polynomials included in the ciphertext is l + 1,
For c = (c ₀ ,..., c _l ) ∈ (R _q ) ^{l + 1} ,
C = Σ _{i = 0 to l} c _i sk ⁱ ∈ R _q (Equation 15)
Calculate

　Ｃをｑで割った余りをＤとする。Ｄがｑ／２以上である場合には、ＤをＤ－ｑに変更する。これは、Ｄのｑを法とした［－ｑ／２，ｑ／２）への剰余演算である。 Suppose D is the remainder of dividing C by q. If D is greater than or equal to q / 2, D is changed to Dq. This is a remainder operation to [−q / 2, q / 2) modulo D of q.

　次に、Ｄをｔで割った余り（Ｄ　ｍｏｄ　ｔ）を復号結果Ｘとして出力する。 Next, the remainder (D mod t) obtained by dividing D by t is output as a decryption result X.

　この公開鍵暗号方式は，加法及び情報について準同型性を持つ。 This public key cryptosystem has homomorphism in addition and information.

　２つのメッセージｘおよびｙについて、その暗号文をそれぞれ
Ｅｎｃ（ｐｋ，ｘ）→（ｃ_０，ｃ_１）　　　　　　　　・・・（式１６－１）
Ｅｎｃ（ｐｋ，ｙ）→（ｄ_０，ｄ_１）　　　　　　　　・・・（式１６－２）
とする。 For the two messages x and y, the ciphertexts are respectively Enc (pk, x) → (c ₀ , c ₁ ) (Equation 16-1)
Enc (pk, y) → (d ₀ , d ₁ ) (Equation 16-2)
And

　このとき、暗号文の加算は、
Ｅｎｃ（ｐｋ，ｘ）＋Ｅｎｃ（ｐｋ，ｙ）＝（ｃ_０＋ｄ_０，ｃ_１＋ｄ_１）　　　　・・・（式１７）
によって計算できる。 At this time, the addition of the ciphertext is
Enc (pk, x) + Enc (pk, y) = (c ₀ + d ₀ , c ₁ + d ₁ ) (Expression 17)
Can be calculated by

　暗号文の加算において、ｘ＝ｙである場合を応用すると、ｔより小さい任意の整数ｎについて、暗号文のスカラー倍を計算できる。すなわち、暗号文のスカラー倍は、
ｎ×Ｅｎｃ（ｐｋ，ｘ）＝（ｎ×ｃ_０，ｎ×ｃ_１）　　　　　・・・（式１８）
によって計算できる。 Applying the case of x = y in the addition of ciphertext, a scalar multiple of the ciphertext can be calculated for any integer n smaller than t. That is, the scalar multiple of the ciphertext is
n × Enc (pk, x) = (n × c ₀ , n × c ₁ ) (Equation 18)
Can be calculated by

　暗号文の乗算は、
Ｅｎｃ（ｐｋ，ｘ）＠Ｅｎｃ（ｐｋ，ｙ）＝（ｃ_０×ｄ_０，ｃ_０×ｄ_１＋ｃ_１×ｄ_０，ｃ_１×ｄ_１）　　・・・（式１９）
によって計算できる。 Ciphertext multiplication is
Enc (pk, x) @Enc (pk, y) = (c ₀ × d ₀ , c ₀ × d ₁ + c ₁ × d ₀ , c ₁ × d ₁ ) (Equation 19)
Can be calculated by

　この公開鍵暗号方式はメッセージとして多項式を扱う。ベクトルは、その各成分を、多項式の各係数とみなすことにより、多項式とみなすことができる。したがって、この公開鍵暗号方式を用いてベクトルを暗号化することができる。 This public key cryptosystem handles polynomials as messages. A vector can be regarded as a polynomial by regarding each component as a coefficient of the polynomial. Therefore, the vector can be encrypted using this public key cryptosystem.

　ベクトルを多項式にする方法を工夫し、さらに加法準同型性および乗法準同型性を利用することにより、２つのベクトルを暗号化したまま、その内積の暗号文を計算する方法について説明する。 Described below is a method of calculating a ciphertext of an inner product while encrypting two vectors by devising a method of converting vectors into polynomials and further using additive homomorphism and multiplicative homomorphism.

　各成分がｔより小さい、２つのＬ（Ｌ＜Ｎ）次のベクトルを、
Ａ＝（ａ_０，…，ａ_Ｌ－１）、
Ｂ＝（ｂ_０，…，ｂ_Ｌ－１）
とする。 Two L (L <N) order vectors, each component being smaller than t,
A = (a ₀ ,..., A _L−1 ),
B = (b ₀ ,..., B _L−1 )
And

　ベクトルＡの各成分は昇順に、ベクトルＢの各成分は降順にそれぞれ係数として用いることにより、多項式ｆ_Ａおよびｆ_Ｂを、それぞれ式２０、式２１にしたがって得る。 Using the components of the vector A as the coefficients in the ascending order and the components of the vector B as the coefficients in the descending order, the polynomials f _A and f _B are obtained according to the equations 20 and 21, respectively.

ｆ_Ａ（ｘ）＝Σ_{ｉ＝０～Ｌ－１}ａ_ｉ×ｘ^ｉ　　　　・・・（式２０） f _A (x) = Σ _{i = 0 to L−1} a _i × x ⁱ (Equation 20)

ｆ_Ｂ（ｘ）＝－Σ_{ｉ＝０～Ｌ－１}ｂ_ｉ×ｘ^Ｎ－ｉ　・・・（式２１） f _B (x) = − Σ _{i = 0 to L−1} b _i × x ^N−i (Expression 21)

　ベクトルを多項式に変換するための式２０および式２１の計算方法をそれぞれ、「昇順多項式化」および「降順多項式化」と呼ぶ。二つの多項式ｆ_Ａおよびｆ_Ｂの積は次の通り計算される。 The calculation methods of Equation 20 and Equation 21 for converting a vector into a polynomial are called “ascending polynomialization” and “descending polynomialization”, respectively. The product of the two polynomials f _A and f _B is calculated as follows:

ｆ_Ａ（ｘ）×ｆ_Ｂ（ｘ）＝－Σ_{ｉ＝Ｎ－Ｌ＋１～Ｎ－１}（Σ_{ｊ＝０～ｉ}（ａ_ｊ×ｂ_{Ｎ－ｉ＋ｊ}））ｘ^ｉ＋Σ_{ｉ＝０～Ｌ－１}Σ_{ｊ＝ｉ～Ｌ－１}（ａ_ｊ×ｂ_ｊ－ｉ）ｘ^ｉ　　　・・・（式２２） f _A (x) × f _B (x) = − Σ _{i = NL + 1 to N−1} (Σ _{j = 0 to i} (a _j × b _{N−i + j} )) x ⁱ + Σ _{i = 0 to L−1} Σ _{j = i to L−1} (a _j × b _j−i ) x ⁱ (Equation 22)

　式２２の多項式の定数項は、Σ_ｊ（ａ_ｊ×ｂ_ｊ）、すなわちベクトルＡ、Ｂの内積
＜Ａ，Ｂ＞＝Σ_{ｉ＝０～ｎ－１}ａ_ｉ×ｂ_ｉ　　　・・・（式２３）
と等しい。 The constant term of the polynomial in Equation 22 is Σ _j (a _j × b _j ), that is, the inner product of vectors A and B <A, B> = Σ _{i = 0 to n−1} a _i × b _i. 23)
Is equal to

　各成分が０または１である２つのベクトル
Ａ＝（ａ_０，…，ａ_Ｌ－１）、
Ｂ＝（ｂ_０，…，ｂ_Ｌ－１）
について、対応する成分のうち異なるものの個数をハミング距離ｄ_Ｈ（Ａ，Ｂ）という。 Two vectors A = (a ₀ ,..., A _L−1 ), each component being 0 or 1;
B = (b ₀ ,..., B _L−1 )
, The number of different components among the corresponding components is referred to as a Hamming distance d _H (A, B).

　すなわち、各ｉ（ｉ＝０，…，Ｌ－１）に対し、ａ_ｉ≠ｂ_ｉを満たすｉの数がハミング距離である。２つのベクトルのハミング距離は内積を用いて計算できる。 That is, for each i (i = 0,..., L−1), the number of _i satisfying a _i ≠ b _i is the Hamming distance. The Hamming distance of two vectors can be calculated using the inner product.

　Ｎ次元ベクトルＣを、全成分が１であるベクトル、すなわちＣ＝（１，…，１）とする。このとき、ハミング距離について、次の式２４が成り立つ。 Suppose that the N-dimensional vector C is a vector in which all components are 1, that is, C = (1,..., 1). At this time, the following equation 24 holds for the Hamming distance.

ｄ_Ｈ（Ａ，Ｂ）＝＜Ａ，Ｃ＞＋＜Ｃ，Ｂ＞－２＜Ａ，Ｂ＞　・・・（式２４） d _H (A, B) = <A, C> + <C, B> −2 <A, B> (Equation 24)

　また、２つのベクトル
Ａ＝（ａ_０，…，ａ_Ｌ－１）、
Ｂ＝（ｂ_０，…，ｂ_Ｌ－１）
について、Ａ、Ｂ間のユークリッド距離は、
ｄ_Ｅ（Ａ，Ｂ）＝Σ_{ｉ＝０～ｎ－１}（ａ_ｉ－ｂ_ｉ）^２　　　・・・（式２５）
で定義される。 Two vectors A = (a ₀ ,..., A _L−1 ),
B = (b ₀ ,..., B _L−1 )
For Euclidean distance between A and B,
d _E (A, B) = Σ _{i = 0 to n−1} (a _i −b _i ) ² (Equation 25)
Defined by

　２つのベクトルのユークリッド距離は、次の式２６の通り、内積を用いて計算できる。 The Euclidean distance between the two vectors can be calculated using the inner product as shown in Equation 26 below.

　ｄ_Ｅ（Ａ，Ｂ）＝（Σ_{ｉ＝０～ｎ－１}ａ_ｉ ^２）＋（Σ_{ｉ＝０～ｎ－１}ｂ_ｉ ^２）－２＜Ａ，Ｂ＞　・・・（式２６） d _E (A, B) = (Σ _{i = 0 to n−1} a _i ² ) + (Σ _{i = 0 to n−1} b _i ² ) −2 <A, B> (Equation 26)

　非特許文献２に記載された生体認証方式は、上記の非特許文献１に記載された、加法及び乗法について、準同型性を持つ準同型暗号方式（Ｇｅｎ，Ｅｎｃ，Ｄｅｃ）を用いて構成される。 The biometric authentication method described in Non-Patent Document 2 is configured using homomorphic encryption methods (Gen, Enc, Dec) having homomorphism for addition and multiplication described in Non-Patent Document 1 above. The

　この方式では、生体からＮ次未満のベクトルが抽出でき、同一の生体から抽出したベクトルのハミング距離は短く、異なる生体から抽出したベクトルのハミング距離は長いことを仮定する。ハミング距離の計算には、上記の式２４を用いる。 In this method, it is assumed that vectors less than Nth order can be extracted from a living body, the hamming distance of vectors extracted from the same living body is short, and the hamming distance of vectors extracted from different living bodies is long. The above formula 24 is used for calculation of the Hamming distance.

　非特許文献１に記載された生体認証方式は次のように実行される。各成分が０または１であるベクトルの形で表される生体情報
Ａ＝（ａ_０，…，ａ_Ｌ－１）
を登録する際に、クライアントは、ベクトルＡを、上記の式２０に従って昇順多項式化してｆ_Ａとし、暗号化鍵ｐｋを用いて暗号化した暗号文Ｅｎｃ（ｐｋ，ｆ_Ａ）をテンプレートとして、サーバに記憶させる。 The biometric authentication method described in Non-Patent Document 1 is executed as follows. Biometric information A = (a ₀ ,..., A _L−1 ) represented in the form of a vector in which each component is 0 or 1
, The client converts the vector A into an ascending polynomial according to the above equation 20 to be f _A, and the ciphertext Enc (pk, f _A ) encrypted using the encryption key pk as a template Remember me.

　各成分が０または１であるベクトルの形で表される生体情報
Ｂ＝（ｂ_０，…，ｂ_Ｌ－１）
について、認証を行う際に、クライアントは、ベクトルＢを、上記の式２１に従って降順多項式化してｆ_Ｂとし、暗号化鍵ｐｋを用いて暗号化した暗号文Ｅｎｃ（ｐｋ，ｆ_Ｂ）をサーバに送付する。 Biological information B = (b ₀ ,..., B _L−1 ) represented in the form of a vector in which each component is 0 or 1
For, when performing the authentication, the client, the vector B, and f _B and descending polynomial in accordance with Equation 21 above, the ciphertext Enc (pk, f _B) encrypted using the encryption key pk to the server Send.

　サーバは、全ての係数が１である多項式
ｆ_Ｃ＝Σ_{ｉ＝０～ｎ－１}ｘ^ｉ　　　　・・・（式２７）
を暗号化鍵ｐｋを用いて暗号化したＥｎｃ（ｐｋ、ｆ_Ｃ）を計算し、上記式２４に従って、
Ｅｎｃ（ｐｋ，ｆ_Ａ）＠Ｅｎｃ（ｐｋ，ｆ_Ｃ）＋Ｅｎｃ（ｐｋ，ｆ_Ｃ）＠Ｅｎｃ（ｐｋ，ｆ_Ｂ）－２Ｅｎｃ（ｐｋ，ｆ_Ａ）＠Ｅｎｃ（ｐｋ，ｆ_Ｂ）　　　・・・（式２８）
を計算する。 The server uses a polynomial f _C = Σ _{i = 0 to n−1} x ⁱ (equation 27) in which all coefficients are 1.
Is calculated using the encryption key pk, and Enc (pk, f _C ) is calculated.
_{_{_{Enc (pk, f A) @Enc}}} (pk, f C) + Enc (pk, f C) @Enc (pk, f B) -2Enc (pk, f A) @Enc (pk, f B) ··· ( Equation 28)
Calculate

　これを、当該サーバおよび当該クライアントとは異なる復号鍵を持つエンティティに送ることにより、該エンティティが、暗号文を復号する。 This is sent to an entity having a decryption key different from that of the server and the client, so that the entity decrypts the ciphertext.

　該エンティティで復号して得られたメッセージである多項式の定数項が、２つのベクトルＡおよびＢのハミング距離ｄ_Ｈ（Ａ、Ｂ）である。 A constant term of a polynomial, which is a message obtained by decoding with the entity, is a Hamming distance d _H (A, B) between two vectors A and B.

　得られたハミング距離が、事前に定められた閾値と比べて長いか短いかによって、認証結果を決められる。 The authentication result can be determined depending on whether the obtained Hamming distance is longer or shorter than a predetermined threshold.

　また、非特許文献３には、非特許文献２の方法と、上記式２６（２つのベクトルの距離）を用いることにより、ユークリッド距離の長短による認証を行うこともできることが指摘されている。 Further, it is pointed out that non-patent document 3 can also perform authentication based on the length of the Euclidean distance by using the method of non-patent document 2 and the above equation 26 (distance between two vectors).

　また、非特許文献２の方式は、なりすまし攻撃への耐性を持たない。例えば、通信内容が盗聴された場合であって、これが受理された場合に、照合システムへ送信されたデータを再送することにより、再度、受理される。 Also, the method of Non-Patent Document 2 does not have resistance to spoofing attacks. For example, when the communication content is wiretapped and accepted, it is accepted again by retransmitting the data transmitted to the verification system.

　具体的には、クライアントが、生体情報Ｂ＝（ｂ_０、…、ｂ_Ｌ－１）について認証を行う際に、該クライアントは、ベクトルＢを、上記式２１に従って、降順多項式化してｆ_Ｂとし、暗号文Ｅｎｃ（ｐｋ、ｆ_Ｂ）をサーバに送付し、受理されたとする。 Specifically, when the client authenticates the biometric information B = (b ₀ ,..., B _L−1 ), the client converts the vector B into a descending order polynomial according to the above equation 21 to f _B. , The ciphertext Enc (pk, f _B ) is sent to the server and accepted.

　このＥｎｃ（ｐｋ、ｆ_Ｂ）を盗聴した攻撃者がＥｎｃ（ｐｋ、ｆ_Ｂ）をそのまま再送すると、攻撃者が受理されることになる。 The Enc (pk, _{f B)} eavesdropping the attacker Enc (pk, _{f B)} and the the resending it, so that the attacker is accepted.

　非特許文献２および非特許文献３の方式では、復号鍵を持つエンティティが、生体情報間の距離を算出する。非特許文献４では、生体情報間の距離を得られるエンティティが能動的な攻撃を行うことができる状況下において、該エンティティによる登録された生体情報の復元を防ぐことができないことが指摘されている。さらに非特許文献４には、復号鍵を持つ該エンティティを含むすべてのエンティティに対して、生体情報間の距離を秘匿したまま、認証結果を計算する方法が記載されている。 In the methods of Non-Patent Document 2 and Non-Patent Document 3, an entity having a decryption key calculates a distance between biological information. In Non-Patent Document 4, it is pointed out that restoration of registered biometric information by the entity cannot be prevented in a situation where an entity that can obtain the distance between the biometric information can perform an active attack. . Furthermore, Non-Patent Document 4 describes a method of calculating an authentication result for all entities including the entity having a decryption key while keeping the distance between biometric information secret.

Brakerski, Z.; Vaikuntanathan, V., "Fully homomorphic encryption from ring-LWE and security for key dependent messages", CRYPTO 2011Brakerski, Z .; Vaikuntanathan, V., "Fully homomorphic encryption from ring-LWE and security for key dependent messages", CRYPTO 2011 Yasuda, M.; Shimoyama, T.; Kogure, J.; Yokoyama, K.; Koshiba, T., "Secure Pattern Matching Using Somewhat Homomorphic Encryption", CCSW 2013.Yasuda, M .; Shimoyama, T .; Kogure, J .; Yokoyama, K .; Koshiba, T., "Secure Pattern Matching Using Somewhat Homomorphic Encryption", CCSW 2013. Yasuda, M.; Shimoyama, T.; Kogure, J.; Yokoyama, K.; Koshiba, T., "Practical Packing Method in Somewhat Homomorphic Encryption", DPM2013.Yasuda, M .; Shimoyama, T .; Kogure, J .; Yokoyama, K .; Koshiba, T., "Practical Packing Method in Somewhat Homomorphic Encryption", DPM2013. 肥後春菜; 一色寿幸; 森健吾; 尾花賢, "生体情報間の距離を秘匿する秘匿生体認証方式", 2016年暗号と情報セキュリティシンポジウム (SCIS2016).Haruna Higo; Toshiyuki Isshiki; Kengo Kashimori; Kengo Kashio, “Secret biometric authentication method to conceal the distance between biometric information”, 2016 Cryptography and Information Security Symposium (SCIS2016).

　関連技術の分析を以下に与える。 Related technology analysis is given below.

　非特許文献２に記載された生体認証方式は、ｒｉｎｇ－ＬＷＥ問題の困難性に基づく暗号を用いて構成されているため、認証時の演算が軽い。 Since the biometric authentication method described in Non-Patent Document 2 is configured using encryption based on the difficulty of the ring-LWE problem, the computation at the time of authentication is light.

　しかし、上記で述べたとおり、非特許文献２に記載された生体認証方式は、なりすましへの耐性が十分でない。 However, as described above, the biometric authentication method described in Non-Patent Document 2 is not sufficiently resistant to impersonation.

　そこで、演算を高速に行うことができ、かつ、生体情報の漏洩やなりすまし攻撃を防ぐことができる生体認証方式が要望される。 Therefore, there is a demand for a biometric authentication method capable of performing calculations at high speed and preventing leakage of biometric information and spoofing attacks.

　本発明の目的は、上述した課題に鑑みて創案されたものであって、その目的の一つは、演算の高速化、及び生体情報の漏洩やなりすまし攻撃を防ぐことを可能とする暗号文照合システム、ノード、方法、およびそのためのプログラムを提供することにある。 The object of the present invention was devised in view of the above-mentioned problems, and one of the objects is to perform ciphertext verification that makes it possible to increase the speed of computation and to prevent leakage of biometric information and spoofing attacks. A system, a node, a method, and a program therefor are provided.

　本発明の一様態に係る暗号文照合システムは、登録要求装置と、照合補助装置と、認証要求装置と、検証装置とを含む。前記検証装置は、多項式演算が可能な準同型暗号方式の暗号化鍵と復号鍵のペアを算出し、前記暗号化鍵を公開する。前記登録要求装置は、数値ベクトルである登録情報を多項式化し、多項式化した前記登録情報を、前記暗号化鍵を用いて暗号化する。前記照合補助装置は、前記認証要求装置から認証要求を受けると、一つの係数とその次数をランダムに選択し、前記次数の係数以外の係数を０とした多項式を生成し、前記多項式を、前記暗号化鍵を用いて暗号化した暗号文からなるチャレンジを前記認証要求装置に送付する。前記認証要求装置は、数値ベクトルである認証情報を多項式化し、多項式化した前記認証情報と、前記照合補助装置からの前記チャレンジと、に基づき、前記暗号化鍵を用いて、多項式化した前記認証情報と前記チャレンジの生成に用いられた前記多項式との積の暗号文を算出し、多項式化した前記認証情報と前記チャレンジの生成に用いられた前記多項式との積の前記暗号文を、前記レスポンスとして、前記照合補助装置に送付する。前記照合補助装置は、前記認証要求装置からレスポンスを受け取ると、前記レスポンスと、前記一つの係数とその次数からなるチャレンジ補助と、前記登録要求装置で暗号化された前記登録情報とに基づき、前記暗号化鍵を用いて、前記登録情報と前記認証情報の距離の暗号文を算出し、前記登録情報と前記認証情報の距離の前記暗号文を前記検証装置に送付する。前記検証装置は、前記照合補助装置から受け取った、前記登録情報と前記認証情報の距離の暗号文を、前記復号鍵を用いて復号して前記距離を算出し、算出した前記距離又は、前記距離と予め定められた閾値との比較結果を、照合結果として出力する。 The ciphertext matching system according to one aspect of the present invention includes a registration requesting device, a verification assisting device, an authentication requesting device, and a verification device. The verification device calculates a pair of encryption keys and decryption keys of a homomorphic encryption method capable of performing a polynomial operation, and discloses the encryption key. The registration requesting apparatus polynomializes registration information that is a numerical vector, and encrypts the registration information that has been polynomialized using the encryption key. When receiving the authentication request from the authentication requesting device, the verification assisting device randomly selects one coefficient and its order, generates a polynomial in which coefficients other than the order coefficient are 0, and the polynomial is A challenge consisting of a ciphertext encrypted using an encryption key is sent to the authentication requesting device. The authentication requesting device polynomializes authentication information that is a numerical vector, and based on the authentication information that is polynomialized and the challenge from the verification auxiliary device, the authentication that is polynomialized using the encryption key A ciphertext of a product of information and the polynomial used to generate the challenge is calculated, and the ciphertext of the product of the authentication information polynomialized and the polynomial used to generate the challenge is the response As shown in FIG. The verification assisting device, upon receiving a response from the authentication requesting device, based on the response, a challenge assist consisting of the one coefficient and its order, and the registration information encrypted by the registration requesting device, A ciphertext of the distance between the registration information and the authentication information is calculated using an encryption key, and the ciphertext of the distance between the registration information and the authentication information is sent to the verification device. The verification device decrypts the encrypted text of the distance between the registration information and the authentication information received from the verification assisting device using the decryption key to calculate the distance, and the calculated distance or the distance And a comparison result with a predetermined threshold value are output as a comparison result.

　本発明の一様態に係る装置は、多項式演算が可能な準同型暗号方式の暗号化鍵と復号鍵のペアを算出する検証装置が公開した前記暗号化鍵を取得する照合補助装置であって、認証要求装置から認証要求を受けると、一つの係数とその次数をランダムに選択し、前記次数の係数以外の係数を０とした多項式を生成し、前記多項式を、前記暗号化鍵を用いて暗号化した暗号文からなるチャレンジを前記認証要求装置に送付するチャレンジ生成部と、数値ベクトルである認証情報を多項式化し、前記チャレンジに基づき、前記暗号化鍵を用いて、多項式化した前記認証情報と前記チャレンジの生成に用いられた多項式との積の暗号文を算出し、多項式化した前記認証情報と前記チャレンジの生成に用いられた前記多項式との積の前記暗号文を、レスポンスとして出力する前記認証要求装置からレスポンスを受け、前記レスポンスと、前記一つの係数とその次数からなるチャレンジ補助と、登録要求装置で暗号化され記憶装置に記憶されている、多項式化した登録情報と、に基づき、前記暗号化鍵を用いて、前記登録情報と認証情報の距離の暗号文を算出し、前記登録情報と前記認証情報の距離の前記暗号文を検証装置に送付するクエリ生成部と、を備える。前記検証装置では、前記登録情報と前記認証情報の距離の暗号文を、前記復号鍵を用いて復号して前記距離を算出し、算出した前記距離又は、前記距離と予め定められた閾値との比較結果を照合結果として出力する。 An apparatus according to an aspect of the present invention is a verification assisting apparatus that acquires the encryption key published by a verification apparatus that calculates a pair of encryption key and decryption key of a homomorphic encryption method capable of polynomial operation, When an authentication request is received from the authentication requesting device, one coefficient and its order are selected at random, a polynomial with coefficients other than the order coefficient set to 0 is generated, and the polynomial is encrypted using the encryption key. A challenge generator configured to send a challenge composed of encrypted ciphertext to the authentication requesting device, and polynomialize authentication information that is a numerical vector, and based on the challenge, using the encryption key, the authentication information that is polynomialized and A ciphertext of a product of the polynomial used to generate the challenge is calculated, and the ciphertext of the product of the polynomialized authentication information and the polynomial used to generate the challenge is Registration information that is received as a response from the authentication requesting device, received as a response, challenge assistance consisting of the one coefficient and its order, and stored in a storage device encrypted by the registration requesting device A ciphertext of the distance between the registration information and the authentication information is calculated using the encryption key, and the ciphertext of the distance between the registration information and the authentication information is sent to a verification device. And comprising. In the verification device, the distance between the registration information and the authentication information is decrypted using the decryption key to calculate the distance, and the calculated distance or the distance and a predetermined threshold value are calculated. The comparison result is output as a matching result.

　本発明の一様態に係る装置は、多項式演算が可能な準同型暗号方式の暗号化鍵と復号鍵のペアを算出し前記暗号化鍵を公開する検証装置から前記暗号化鍵を取得する認証要求装置であって、数値ベクトルである認証情報を多項式化する認証情報抽出部と、照合補助装置に送信する認証要求を生成する認証要求生成部と、を備えている。さらに、前記認証要求を受けると、一つの係数とその次数をランダムに選択し、前記次数の係数以外の係数を０とした多項式を生成し、前記多項式を、前記暗号化鍵を用いて暗号化した暗号文からなるチャレンジを前記認証要求装置に送付する前記照合補助装置から前記チャレンジを受け取り、前記認証要求生成部で多項式化した前記認証情報と、前記チャレンジとに基づき、前記暗号化鍵を用いて、多項式化した前記認証情報と、前記チャレンジの生成に用いられた多項式との積の暗号文を算出し、多項式化した前記認証情報と前記チャレンジの生成に用いられた前記多項式との積の前記暗号文を、レスポンスとして、前記照合補助装置に送付するレスポンス生成部をさらに備えている。前記照合補助装置では、前記レスポンスと、前記一つの係数とその次数からなるチャレンジ補助と、登録要求装置で暗号化された多項式化した登録情報と、に基づき、前記暗号化鍵を用いて、前記登録情報と認証情報の距離の暗号文を算出し、前記登録情報と前記認証情報の距離の前記暗号文を、検証装置に送付する。 An apparatus according to an aspect of the present invention is an authentication request for obtaining a pair of encryption keys and decryption keys of a homomorphic encryption method capable of polynomial operations and obtaining the encryption key from a verification device that discloses the encryption key An authentication information extraction unit that polynomializes authentication information that is a numerical vector, and an authentication request generation unit that generates an authentication request to be transmitted to the verification auxiliary device. Further, upon receiving the authentication request, one coefficient and its order are selected at random, a polynomial in which coefficients other than the order coefficient are set to 0 is generated, and the polynomial is encrypted using the encryption key. The challenge received from the verification assistant device that sends a challenge composed of ciphertext to the authentication request device, and based on the authentication information polynomialized by the authentication request generator and the challenge, using the encryption key To calculate a ciphertext of the product of the authentication information polynomialized and the polynomial used to generate the challenge, and the product of the polynomialized authentication information and the polynomial used to generate the challenge The apparatus further includes a response generation unit that sends the ciphertext as a response to the verification assisting device. The verification assisting device uses the encryption key based on the response, challenge assistance consisting of the one coefficient and its order, and polynomialized registration information encrypted by the registration requesting device. The ciphertext of the distance between the registration information and the authentication information is calculated, and the ciphertext of the distance between the registration information and the authentication information is sent to the verification device.

　本発明の一様態に係る装置は、認証要求装置から認証要求を受けると、一つの係数とその次数をランダムに選択し、前記次数の係数以外の係数を０とした多項式を生成し、前記多項式を、暗号化鍵を用いて暗号化した暗号文からなるチャレンジを前記認証要求装置に送付し、前記認証要求装置からレスポンスを受け取ると、前記レスポンスと、前記一つの係数とその次数からなるチャレンジ補助と、登録要求装置で暗号化され記憶装置に記憶されている、多項式化した登録情報と、に基づき、前記暗号化鍵を用いて、前記登録情報と認証情報の距離の暗号文を算出する照合補助装置に接続される検証装置であって、多項式演算が可能な準同型暗号方式の前記暗号化鍵と復号鍵のペアを算出し前記暗号化鍵を公開する鍵生成部と、前記照合補助装置から前記登録情報と前記認証情報の距離の前記暗号文を受け取ると、前記登録情報と前記認証情報の距離の暗号文を、前記復号鍵を用いて復号して前記距離を算出するクエリ検証部と、算出した前記距離又は、前記距離と予め定められた閾値との比較結果を、照合結果として出力する照合結果生成部と、を備えている。 When receiving an authentication request from an authentication requesting device, an apparatus according to an aspect of the present invention randomly selects one coefficient and its order, generates a polynomial in which coefficients other than the order coefficient are 0, and the polynomial Is sent to the authentication requesting device and a response is received from the authentication requesting device. And a ciphertext of the distance between the registration information and the authentication information using the encryption key based on the registration information encrypted by the registration request device and stored in the storage device. A verification device connected to an auxiliary device, wherein the key generation unit calculates a pair of the encryption key and the decryption key of a homomorphic encryption method capable of performing a polynomial operation, and discloses the encryption key; When the ciphertext of the distance between the registration information and the authentication information is received from a device, the ciphertext of the distance between the registration information and the authentication information is decrypted using the decryption key to calculate the distance And a collation result generation unit that outputs the calculated distance or a comparison result between the distance and a predetermined threshold value as a collation result.

　本発明の一様態における方法は、少なくとも一つのコンピュータによる暗号文処理方法であって、
（Ａ）多項式演算が可能な準同型暗号方式の暗号化鍵と復号鍵のペアを算出し、前記暗号化鍵を公開し、
（Ｂ）登録情報の登録にあたり、
　数値ベクトルである登録情報を多項式化し、
　多項式化した前記登録情報を、前記暗号化鍵を用いて暗号化し、
（Ｃ）照合補助処理では、
　認証要求を受けると、一つの係数とその次数をランダムに選択し、
　前記次数の係数以外の係数を０とした多項式を生成し、
　前記多項式を、前記暗号化鍵を用いて暗号化した暗号文からなるチャレンジを前記認証要求の要求元に送付し、
（Ｄ）前記認証要求元では、
　数値ベクトルである認証情報を多項式化し、
　多項式化した前記認証情報と、前記照合補助処理からの前記チャレンジとに基づき、前記暗号化鍵を用いて、多項式化した前記認証情報と前記チャレンジの生成に用いられた前記多項式との積の暗号文を算出し、
　多項式化した前記認証情報と前記チャレンジの生成に用いられた前記多項式との積の前記暗号文を、前記レスポンスとして、前記照合補助処理に送付し、
（Ｅ）前記照合補助処理では、
　前記認証要求元からレスポンスを受け取ると、前記レスポンスと、前記一つの係数とその次数からなるチャレンジ補助と、暗号化された前記登録情報とに基づき、前記暗号化鍵を用いて、前記登録情報と認証情報の距離の暗号文を算出し、
　前記登録情報と前記認証情報の距離の前記暗号文を、検証先に送付し、
（Ｆ）前記検証先では、
　前記照合補助処理から受け取った、前記登録情報と前記認証情報の距離の暗号文を、前記復号鍵を用いて復号して前記距離を算出し、
　算出した前記距離又は、前記距離と予め定められた閾値との比較結果を、照合結果として出力する。 The method according to one aspect of the present invention is a ciphertext processing method by at least one computer,
(A) calculating a pair of encryption key and decryption key of a homomorphic encryption method capable of polynomial operation, and publishing the encryption key;
(B) When registering registration information,
Registration information that is a numeric vector is polynomialized,
The registration information that has been polynomialized is encrypted using the encryption key,
(C) In the verification assistance process,
When receiving an authentication request, one coefficient and its order are selected at random,
Generating a polynomial in which the coefficients other than the coefficient of the order are 0;
Sending a challenge consisting of ciphertext encrypted using the encryption key to the request source of the authentication request, the polynomial,
(D) In the authentication request source,
The authentication information, which is a numeric vector, is polynomialized,
Based on the authentication information that has been polynomialized and the challenge from the verification auxiliary process, the encryption of the product of the authentication information that has been polynomialized and the polynomial that was used to generate the challenge, using the encryption key Calculate the sentence,
The ciphertext of the product of the polynomial authentication information and the polynomial used to generate the challenge is sent as the response to the verification assisting process,
(E) In the verification assistance process,
When receiving a response from the authentication request source, based on the response, challenge assistance consisting of the one coefficient and its order, and the encrypted registration information, the registration information is Calculate ciphertext of authentication information distance,
Send the ciphertext of the distance between the registration information and the authentication information to the verification destination,
(F) In the verification destination,
The encrypted text of the distance between the registration information and the authentication information received from the verification assisting process is decrypted using the decryption key to calculate the distance,
The calculated distance or a comparison result between the distance and a predetermined threshold is output as a matching result.

　本発明の一様態に係るプログラムは、多項式演算が可能な準同型暗号方式の暗号化鍵と復号鍵のペアを算出し前記暗号化鍵を公開する検証装置に接続され、認証要求装置に接続された照合補助装置を構成するコンピュータに、
　前記認証要求装置から認証要求を受けると、一つの係数とその次数をランダムに選択し、
　前記次数の係数以外の係数を０とした多項式を生成し、
　前記多項式を、前記暗号化鍵を用いて暗号化した暗号文からなるチャレンジを前記認証要求装置に送付する処理と、
　数値ベクトルである認証情報を多項式化し、前記チャレンジに基づき、前記暗号化鍵を用いて、多項式化した前記認証情報と前記チャレンジの生成に用いられた多項式との積の暗号文を算出し、多項式化した前記認証情報と前記チャレンジの生成に用いられた前記多項式との積の前記暗号文を、レスポンスとして出力する前記認証要求装置からレスポンスを受ける処理と、
　前記認証要求装置からレスポンスを受け取ると、前記レスポンスと、前記一つの係数とその次数からなるチャレンジ補助と、登録要求装置で暗号化され記憶装置に記憶されている、多項式化した登録情報と、に基づき、前記暗号化鍵を用いて、前記登録情報と認証情報の距離の暗号文を算出し、前記登録情報と前記認証情報の距離の前記暗号文を前記検証装置に送付する処理と、を実行させるプログラムからなる。 A program according to an aspect of the present invention is connected to a verification device that calculates a pair of encryption keys and decryption keys of a homomorphic encryption method capable of polynomial operations and discloses the encryption key, and is connected to an authentication request device. In the computer that constitutes the verification assisting device,
Upon receiving an authentication request from the authentication requesting device, one coefficient and its order are randomly selected,
Generating a polynomial in which the coefficients other than the coefficient of the order are 0;
A process of sending a challenge consisting of a ciphertext obtained by encrypting the polynomial using the encryption key to the authentication requesting device;
The authentication information, which is a numerical vector, is polynomialized, and based on the challenge, a ciphertext of a product of the authentication information polynomialized and the polynomial used to generate the challenge is calculated using the encryption key, and the polynomial Processing to receive a response from the authentication requesting device that outputs the ciphertext of the product of the authentication information and the polynomial used to generate the challenge as a response;
Upon receiving a response from the authentication requesting device, the response, challenge assistance consisting of the one coefficient and its order, and polynomial registration information encrypted by the registration requesting device and stored in the storage device, Based on the encryption key, a ciphertext of the distance between the registration information and the authentication information is calculated, and the ciphertext of the distance between the registration information and the authentication information is sent to the verification device. It consists of a program to let you.

　本発明の一様態に係るプログラムは、多項式演算が可能な準同型暗号方式の暗号化鍵と復号鍵のペアを算出する検証装置が公開した暗号化鍵を取得し、
　認証要求を受けると、一つの係数とその次数をランダムに選択し、前記次数の係数以外の係数を０とした多項式を生成し、前記多項式を、前記暗号化鍵を用いて暗号化した暗号文からなるチャレンジを認証要求装置に送付し、前記認証要求装置から受け取ったレスポンスと、前記一つの係数とその次数からなるチャレンジ補助と、登録要求装置で暗号化された多項式化した登録情報と、に基づき、前記暗号化鍵を用いて、前記登録情報と認証情報の距離の暗号文を算出し、前記登録情報と前記認証情報の距離の前記暗号文を前記検証装置に送付する照合補助装置に接続された前記認証要求装置を構成するコンピュータに、
　前記認証要求を生成して前記照合補助装置に送信する処理と、
　前記照合補助装置からチャレンジを受け取る処理と、
　数値ベクトルである認証情報を多項式化し、多項式化した前記認証情報と、前記照合補助装置から受け取ったチャレンジとに基づき、前記暗号化鍵を用いて、多項式化した前記認証情報と、前記チャレンジの生成に用いられた多項式との積の暗号文を算出し、
　多項式化した前記認証情報と前記チャレンジの生成に用いられた前記多項式との積の前記暗号文を、前記レスポンスとして、前記照合補助装置に送付する処理と、を実行させるプログラムからなる。 The program according to one aspect of the present invention obtains an encryption key published by a verification device that calculates a pair of an encryption key and a decryption key of a homomorphic encryption method capable of a polynomial operation,
Upon receipt of the authentication request, one coefficient and its order are selected at random, a polynomial in which a coefficient other than the coefficient of the order is 0 is generated, and the polynomial is encrypted using the encryption key. To the authentication requesting device, the response received from the authentication requesting device, challenge assistance consisting of the one coefficient and its order, and the polynomialized registration information encrypted by the registration requesting device. Based on the encryption key, the ciphertext of the distance between the registration information and the authentication information is calculated, and the ciphertext of the distance between the registration information and the authentication information is connected to a verification auxiliary device that sends the ciphertext to the verification device A computer constituting the authentication requesting device,
Processing to generate the authentication request and send it to the verification assistant device;
Receiving a challenge from the verification assisting device;
The authentication information that is a numerical vector is polynomialized, and the authentication information that is polynomialized using the encryption key based on the authentication information that is polynomialized and the challenge received from the verification auxiliary device, and generation of the challenge Calculate the ciphertext of the product with the polynomial used in
A program for executing the process of sending the ciphertext of the product of the authentication information polynomialized and the polynomial used for generating the challenge as the response to the verification assisting device.

　本発明の一様態に係るプログラムは、認証要求装置から認証要求を受けると、一つの係数とその次数をランダムに選択し、前記次数の係数以外の係数を０とした多項式を生成し、前記多項式を、暗号化鍵を用いて暗号化した暗号文からなるチャレンジを前記認証要求装置に送付し、前記認証要求装置からレスポンスを受け取ると、前記レスポンスと、前記一つの係数とその次数からなるチャレンジ補助と、登録要求装置で暗号化され記憶装置に記憶されている、多項式化した登録情報と、に基づき、前記暗号化鍵を用いて、前記登録情報と認証情報の距離の暗号文を算出する照合補助装置に接続される検証装置を構成するコンピュータに、
　多項式演算が可能な準同型暗号方式の前記暗号化鍵と復号鍵のペアを算出し前記暗号化鍵を公開する鍵生成処理と、
　前記照合補助装置から前記登録情報と前記認証情報の距離の前記暗号文を受け取ると、前記登録情報と前記認証情報の距離の暗号文を、前記復号鍵を用いて復号前記距離を算出するクエリ検証処理と、
　算出した前記距離又は、前記距離と予め定められた閾値との比較結果を、照合結果として出力する照合結果生成処理と、を実行させるプログラムからなる。本発明の一態様によれば、上記プログラムを記録したコンピュータ読み出し可能な記憶媒体（半導体メモリ、磁気ディスク媒体／光ディスク媒体等：non-transitory computer-readable recording medium）が提供される。 When receiving the authentication request from the authentication requesting device, the program according to an aspect of the present invention randomly selects one coefficient and its order, generates a polynomial in which coefficients other than the order coefficient are 0, and the polynomial Is sent to the authentication requesting device, and when a response is received from the authentication requesting device, the challenge is made up of the response, the one coefficient, and its order. And a ciphertext of the distance between the registration information and the authentication information using the encryption key based on the registration information encrypted by the registration request device and stored in the storage device. In the computer constituting the verification device connected to the auxiliary device,
A key generation process for calculating a pair of the encryption key and the decryption key of the homomorphic encryption method capable of performing a polynomial operation and publishing the encryption key;
When the ciphertext of the distance between the registration information and the authentication information is received from the verification assisting device, the ciphertext of the distance between the registration information and the authentication information is decrypted using the decryption key, and query verification is performed to calculate the distance Processing,
It comprises a program for executing the calculated distance or a comparison result generating process for outputting a comparison result between the distance and a predetermined threshold value as a comparison result. According to one aspect of the present invention, there is provided a computer-readable storage medium (semiconductor memory, magnetic disk medium / optical disk medium, etc .: non-transitory computer-readable recording medium) in which the program is recorded.

　本発明によれば、照合処理を高速に行い、平文データの漏洩やなりすまし攻撃を防ぐことを可能としている。 According to the present invention, it is possible to perform collation processing at high speed and prevent leakage of plain text data and spoofing attacks.

本発明の第１、第３の例示的な実施形態の構成を例示する図である。It is a figure which illustrates the structure of the 1st, 3rd exemplary embodiment of this invention. 本発明の第１、第３の例示的な実施形態の準備フェーズの処理の一例を説明する図である。It is a figure explaining an example of the process of the preparation phase of the 1st, 3rd exemplary embodiment of this invention. 本発明の第１、第３の例示的な実施形態の登録フェーズの処理の一例を説明する図である。It is a figure explaining an example of the process of the registration phase of the 1st, 3rd exemplary embodiment of this invention. 本発明の第１、第３の例示的な実施形態の認証フェーズの処理の一例を説明する図である。It is a figure explaining an example of the process of the authentication phase of the 1st, 3rd exemplary embodiment of this invention. 本発明の第２、第４の例示的な実施形態の構成を例示する図である。It is a figure which illustrates the structure of the 2nd, 4th exemplary embodiment of this invention. 本発明の第２、第４の例示的な実施形態の準備フェーズの処理の一例を説明する図である。It is a figure explaining an example of the process of the preparation phase of the 2nd, 4th exemplary embodiment of this invention. 本発明の第２、第４の例示的な実施形態の登録フェーズの処理の一例を説明する図である。It is a figure explaining an example of the process of the registration phase of the 2nd, 4th exemplary embodiment of this invention. 本発明の第２、第４の例示的な実施形態の認証フェーズの処理の一例を説明する図である。It is a figure explaining an example of the process of the authentication phase of the 2nd, 4th exemplary embodiment of this invention.

　はじめに本発明の基本概念を説明する。本発明の一態様に係るシステム（暗号文照合システム）において、検証装置（手段）は、多項式演算が可能な準同型暗号方式の暗号化鍵ｐｋと復号鍵ｓｋのペアを算出し、前記暗号化鍵ｐｋを公開する。 First, the basic concept of the present invention will be described. In the system (ciphertext collation system) according to one aspect of the present invention, the verification device (means) calculates a pair of an encryption key pk and a decryption key sk of a homomorphic encryption method capable of a polynomial operation, and the encryption Publish the key pk.

　登録要求装置（手段）（例えば図１の１１０）は、数値ベクトルである登録情報（Ａ＝（ａ_０，…，ａ_Ｌ－１））を多項式化し（例えばｆ_Ａ）、多項式化した前記登録情報を、前記暗号化鍵（ｐｋ）を用いて暗号化する（例えばＥｎｃ（ｐｋ，ｆ_Ａ）、多項式の各係数（数値ベクトルの各成分）の２乗和Ｅｎｃ（ｐｋ，Σ_{ｉ＝０～ｎ－１}ａ_ｉ ^２））を含んでもよい）。 The registration requesting device (means) (for example, 110 in FIG. 1) polynomializes the registration information (A = (a ₀ ,..., A _L−1 )) that is a numerical vector (for example, f _A ), and performs the above polynomial registration The information is encrypted using the encryption key (pk) (for example, Enc (pk, f _A )), and the square sum Enc (pk, Σ _{i = 0 to 0} ) of each coefficient of the polynomial (each component of the numerical vector) _n-1 a _i ² ))).

　照合補助装置（手段）（例えば図１の１４０）は、認証要求装置（手段）（例えば図１の１３０）から認証要求を受けると、一つの係数（ｒ）とその次数（ｈ）をランダムに選択し、前記次数（ｈ）の係数以外の係数を０とした多項式（ｒ×ｘ^ｈ）を生成し、前記多項式（ｒ×ｘ^ｈ）を、前記暗号化鍵ｐｋを用いて暗号化した暗号文（Ｅｎｃ（ｐｋ，ｒ×ｘ^ｈ））からなるチャレンジを前記認証要求装置（手段）に送付する。 When the verification assisting device (means) (for example, 140 in FIG. 1) receives an authentication request from the authentication requesting device (means) (for example, 130 in FIG. 1), it randomly selects one coefficient (r) and its degree (h). And generating a polynomial (r × x ^h ) in which a coefficient other than the coefficient of the order (h) is 0, and encrypting the polynomial (r × x ^h ) using the encryption key pk A challenge consisting of a sentence (Enc (pk, r × x ^h )) is sent to the authentication requesting device (means).

　前記照合補助装置（手段）は、前記認証要求装置（手段）からレスポンス（Ｅｎｃ（ｐｋ、（ｒ×ｘ^ｈ）×（ｆ_Ｂ））を受け取ると、前記レスポンスと、前記一つの係数（ｒ）とその次数（ｈ）からなるチャレンジ補助（ｒ，ｈ）と、登録要求装置（手段）（例えば図１の１１０）で暗号化された前記登録情報（Ｅｎｃ（ｐｋ，ｆ_Ａ））とに基づき、前記暗号化鍵（ｐｋ）を用いて、前記登録情報Ｅｎｃ（ｐｋ，ｆ_Ａ）と認証情報の暗号化内積（Ｅｎｃ（ｐｋ，ｆ_Ａ×ｆ_Ｂ））を生成する。前記照合補助装置（手段）は、暗号化鍵（ｐｋ）と暗号化内積（Ｅｎｃ（ｐｋ，ｆ_Ａ×ｆ_Ｂ））と、暗号化された登録情報（Ｅｎｃ（ｐｋ，Σ_{ｉ＝０～ｎ－１}ａ_ｉ ^２））と、前記レスポンスに含まれるＥｎｃ（ｐｋ，Σ_{ｉ＝０～ｎ－１}ｂ_ｉ ^２）に基づき、距離（ｄ_Ｅ（Ａ，Ｂ））の暗号文（Ｅｎｃ（ｐｋ，ｄ_Ｅ（Ａ，Ｂ）））を算出する。 When the verification assisting device (means) receives a response (Enc (pk, (r × x ^h ) × (f _B )) from the authentication requesting device (means), the response and the one coefficient (r) And the challenge assistance (r, h) consisting of the order (h) and the registration information (Enc (pk, f _A )) encrypted by the registration requesting device (means) (eg, 110 in FIG. 1). Then, by using the encryption key (pk), an encrypted inner product (Enc (pk, f _A × f _B )) of the registration information Enc (pk, f _A ) and authentication information is generated. Means) includes an encryption key (pk), an inner product (Enc (pk, f _A × f _B )), and encrypted registration information (Enc (pk, Σ _{i = 0 to n−1} a _i ^2). )) And Enc (pk, Σ _{i = 0 to n−1} b _i included in the response) Based on ^2), the distance ciphertext _{(d E (A, B)} ) (Enc (pk, d E (A, B))) is calculated.

　前記照合補助装置（手段）は、暗号化された前記登録情報と前記認証情報の距離の前記暗号文を検証装置（例えば図１の１５０）に送付する。 The verification assisting device (means) sends the encrypted text at a distance between the encrypted registration information and the authentication information to a verification device (for example, 150 in FIG. 1).

　前記認証要求装置（手段）は、数値ベクトルである認証情報（ｂ_０，…，ｂ_Ｌ－１）を多項式化し、多項式化した前記認証情報と、前記照合補助装置（手段）から送信された前記チャレンジ（Ｅｎｃ（ｐｋ，ｒ×ｘ^ｈ）とに基づき、前記暗号化鍵（ｐｋ）を用いて、多項式化した前記認証情報（ｆ_Ｂ）と前記チャレンジの生成に用いられた前記多項式（ｒ×ｘ^ｈ）との積の暗号文（Ｅｎｃ（ｐｋ，（ｒ×ｘ^ｈ）×（ｆ_Ｂ）））、および、多項式の各係数（数値ベクトルの各成分）の２乗和の暗号文（Ｅｎｃ（ｐｋ，Σ_{ｉ＝０～ｎ－１}ｂ_ｉ ^２））を算出する。 The authentication requesting device (means) polynomializes authentication information (b ₀ ,..., B _L-1 ) that is a numerical vector, and the authentication information that is polynomialized and the authentication information transmitted from the verification assisting device (means) Based on the challenge (Enc (pk, r × x ^h )), the authentication information (f _B ) polynomialized using the encryption key (pk) and the polynomial (r × used for generating the challenge) x ^h ) product ciphertext (Enc (pk, (r × x ^h ) × (f _B ))) and polynomial sum of squares (each component of a numerical vector) ciphertext (Enc (Pk, Σ _{i = 0 to n−1} b _i ² )) is calculated.

　前記認証要求装置（手段）は、多項式化した前記認証情報（ｆ_Ｂ）と、前記チャレンジの生成に用いられた前記多項式（ｒ×ｘ^ｈ）との積の前記暗号文（Ｅｎｃ（ｐｋ，ｒ×ｘ^ｈ）×（ｆ_Ｂ））、および、多項式の各係数（数値ベクトルの各成分）の２乗和の暗号文（Ｅｎｃ（ｐｋ，Σ_{ｉ＝０～ｎ－１}ｂ_ｉ ^２））を、前記レスポンスとして、前記照合補助装置（手段）に送付する。 The authentication requesting device (means) is configured to use the ciphertext (Enc (pk, r) of the product of the authentication information (f _B ) converted into a polynomial and the polynomial (r × x ^h ) used for generating the challenge. × x ^h ) × (f _B )) and the ciphertext of the sum of squares of each coefficient (each component of the numerical vector) of the polynomial (Enc (pk, Σ _{i = 0 to n−1} b _i ² )) The response is sent to the verification assisting device (means).

　前記検証装置（手段）は、前記照合補助装置（手段）から受け取った、前記登録情報と前記認証情報の距離の暗号文（Ｅｎｃ（ｐｋ，ｄ_Ｅ（Ａ，Ｂ）））を、前記復号鍵（ｓｋ）を用いて復号し、前記登録情報と前記認証情報の距離を算出し、算出した前記距離又は、前記距離と予め定められた閾値との比較結果を、照合結果として出力する。 The verification device (means) receives the ciphertext (Enc (pk, d _E (A, B))) between the registration information and the authentication information received from the verification assisting device (means) as the decryption key. Decoding using (sk), calculating the distance between the registration information and the authentication information, and outputting the calculated distance or a comparison result between the distance and a predetermined threshold as a comparison result.

　本発明の一形態によれば、記憶装置（例えば図１の１２０）をさらに備えている。該記憶装置は、
　登録データ記憶部（例えば図１の１２３）と、
　前記登録要求装置（手段）から受け取った、暗号化された前記登録情報に対して識別子を付与する識別子付与部（手段）（例えば図１の１２１）と、
　暗号化された前記登録情報と前記識別子との組からなる登録データを生成し前記登録データ記憶部に格納する登録データ生成部（手段）（例えば図１の１２２）と、
　前記照合補助装置（手段）からの登録データ要求を受け、前記登録データ記憶部に記憶されている前記登録データの中から、前記登録データ要求に含まれる識別子と組とされている、暗号化された登録情報を、前記照合補助装置（手段）に送付する登録データ検索部（手段）（例えば図１の１２４）と、を備えた構成としてもよい。 According to one aspect of the invention, a storage device (eg, 120 in FIG. 1) is further provided. The storage device
A registered data storage unit (for example, 123 in FIG. 1);
An identifier giving unit (means) (for example, 121 in FIG. 1) for giving an identifier to the encrypted registration information received from the registration requesting device (means);
A registration data generation unit (means) (for example, 122 in FIG. 1) that generates registration data including a pair of the encrypted registration information and the identifier and stores the registration data in the registration data storage unit;
Upon receiving a registration data request from the verification assisting device (means), the encrypted data that is paired with an identifier included in the registration data request from the registration data stored in the registration data storage unit The registration information search unit (means) (for example, 124 in FIG. 1) for sending the registered information to the verification assisting device (means) may be provided.

　この場合、前記照合補助装置（手段）は、前記認証要求装置（手段）から受け取った認証要求に含まれ、前記認証情報に対応する認証識別子を含む登録データ要求を前記記憶装置（手段）に送付する構成としてもよい。前記照合補助装置（手段）は、前記記憶装置（手段）から、前記認証識別子に対応する暗号化された前記登録情報を受け取り、前記認証要求装置（手段）から受け取った前記レスポンスと、前記チャレンジ補助と、前記記憶装置（手段）から受け取った暗号化された前記登録情報とに基づき、前記登録情報と前記認証情報の距離の暗号文を算出する構成としてもよい。 In this case, the verification assisting device (means) sends a registration data request included in the authentication request received from the authentication requesting device (means) and including an authentication identifier corresponding to the authentication information to the storage device (means). It is good also as composition to do. The verification assisting device (means) receives the encrypted registration information corresponding to the authentication identifier from the storage device (means), receives the response received from the authentication requesting device (means), and the challenge assisting And a ciphertext of the distance between the registration information and the authentication information may be calculated based on the encrypted registration information received from the storage device (means).

　本発明の一形態によれば、記憶装置（例えば図５の２２０）をさらに備えている。該記憶装置は、
　登録データ記憶部（例えば図５の２２３）と、
　前記登録要求装置（手段）から受け取った、暗号化された前記登録情報に対して識別子を付与する識別子付与部（手段）（例えば図５の２２１）と、
　暗号化された前記登録情報と前記識別子との組からなる登録データを生成し前記登録データ記憶部に格納する登録データ生成部（手段）（例えば図５の２２２）と、
　を備えた構成としてもよい。 According to an embodiment of the present invention, the apparatus further includes a storage device (for example, 220 in FIG. 5). The storage device
A registered data storage unit (for example, 223 in FIG. 5);
An identifier giving unit (means) (for example, 221 in FIG. 5) for giving an identifier to the encrypted registration information received from the registration requesting device (means);
A registration data generation unit (means) (for example, 222 in FIG. 5) that generates registration data including a pair of the encrypted registration information and the identifier and stores the registration data in the registration data storage unit;
It is good also as a structure provided with.

　この場合、前記照合補助装置（手段）（例えば図５の２４０）からの登録データ要求を受け、前記登録データ記憶部（図５の２２３）に格納されている一つ又は複数の登録データのうち、一部又はすべての登録データを、前記照合補助装置（手段）（図５の２４０）に送信する構成としてもよい。前記照合補助装置（手段）（図５の２４０）は、前記記憶装置（手段）から、一つ又は複数の登録データを受け取り、前記記憶装置（手段）から受け取った各登録データについて、前記認証要求装置（手段）（例えば図５の２３０）から受け取った前記レスポンスと、前記チャレンジ補助と、前記登録データに含まれる暗号化された登録情報とに基づき、暗号化された前記登録情報と前記認証情報の距離の暗号文を算出し、前記登録データについて、算出した前記登録情報と前記認証情報の距離の暗号文と、前記登録データに含まれる識別子との組を検証データとし、生成した一つ又は複数の前記検証データを前記検証装置（手段）（例えば図５の２５０）に送付する構成としてもよい。 In this case, a registration data request is received from the verification assisting device (means) (for example, 240 in FIG. 5), and one or a plurality of registration data stored in the registration data storage unit (223 in FIG. 5). A part or all of the registration data may be transmitted to the verification assisting device (means) (240 in FIG. 5). The verification assisting device (means) (240 in FIG. 5) receives one or a plurality of registration data from the storage device (means), and the authentication request for each registration data received from the storage device (means). The registration information and the authentication information encrypted based on the response received from the device (means) (for example, 230 in FIG. 5), the challenge assistance, and the encrypted registration information included in the registration data. A distance between the registration information and the authentication information distance, and a pair of identifiers included in the registration data as verification data, A plurality of verification data may be sent to the verification device (means) (for example, 250 in FIG. 5).

　前記検証装置（手段）（図５の２５０）は、前記照合補助装置（手段）（図５の２４０）から、一つ又は複数の前記検証データを受け取り、各検証データについて、当該検証データに含まれる距離の暗号文を、前記復号鍵を用いて復号して距離を算出し、算出した前記距離と予め定められた閾値との比較結果、又は、算出した前記距離と前記検証データに含まれる識別子との組を、照合結果とし、該照合結果を出力する構成としてもよい。 The verification device (means) (250 in FIG. 5) receives one or a plurality of the verification data from the verification auxiliary device (means) (240 in FIG. 5), and each verification data is included in the verification data. The encrypted distance is decrypted using the decryption key, the distance is calculated, the comparison result between the calculated distance and a predetermined threshold, or the calculated distance and the identifier included in the verification data It is good also as a structure which makes a set and a collation result and outputs this collation result.

　上記したように、本発明の一態様によれば、数値ベクトルである登録情報に基づき生成された多項式を暗号化鍵を用いて暗号化し、一つの項の係数が乱数でその他の項の係数が０である多項式を暗号化したチャレンジと、数値ベクトルである認証情報に基づき生成された多項式との積の暗号文を生成し、登録情報に基づき生成された多項式の暗号文と、前記チャレンジと、チャレンジと認証情報に基づき生成された多項式との積の暗号文と、から、登録情報と認証情報との距離の暗号文を生成する。そして、前記暗号文（前記登録情報と前記認証情報との距離の暗号文）を復号鍵を用いて復号し前記距離を算出する。 As described above, according to one aspect of the present invention, a polynomial generated based on registration information that is a numerical vector is encrypted using an encryption key, and the coefficient of one term is a random number and the coefficient of the other term is Generating a ciphertext of a product of a challenge that is a polynomial that is 0 and a polynomial that is generated based on authentication information that is a numerical vector, a ciphertext of a polynomial that is generated based on registration information, and the challenge, A ciphertext of the distance between the registration information and the authentication information is generated from the ciphertext of the product of the challenge and the polynomial generated based on the authentication information. Then, the ciphertext (ciphertext of the distance between the registration information and the authentication information) is decrypted using a decryption key to calculate the distance.

　上記態様では、前記登録要求装置は、登録情報（登録ベクトル）の第ｉ成分（ただしｉはＬ－１以下の非負整数、Ｌは２以上の正整数）をｉ次の項の係数とするＬ－１次多項式（ｆＡ）を生成し、前記認証要求装置は認証情報（認証ベクトル）の第ｉ成分（ただしｉはＬ－１以下の非負整数）の逆元を、Ｎ－ｉ次（ＮはＬより大の正整数）の項の係数とするＮ次多項式を生成するが、前記登録要求装置が登録情報（登録ベクトル）の第ｉ成分（ただしｉはＬ－１以下の非負整数）の逆元を、Ｎ－ｉ次（ＮはＬより大の正整数）の項の係数とするＮ次多項式を生成し、認証要求装置が認証情報（認証ベクトル）の第ｉ成分（ただしｉはＬ－１以下の非負整数、Ｌは２以上の正整数）を、ｉ次の項の係数とするＬ－１次多項式ｆＡを生成してもよい。 In the above aspect, the registration requesting device uses an i-th component of registration information (registration vector) (where i is a non-negative integer equal to or less than L−1 and L is a positive integer equal to or greater than 2) as a coefficient of an i-th term. A first-order polynomial (fA) is generated, and the authentication requesting device calculates the inverse element of the i-th component (where i is a non-negative integer equal to or less than L-1) of the authentication information (authentication vector), the N-th order (N is N-th order polynomial is generated as a coefficient of a term of a positive integer greater than L), but the registration request device reverses the i-th component of registration information (registration vector) (where i is a non-negative integer less than or equal to L-1). An N-th order polynomial is generated with the element as a coefficient of a term of N-th order (N is a positive integer greater than L), and the authentication requesting device generates the i-th component of authentication information (authentication vector) (where i is L- A non-negative integer of 1 or less, L is a positive integer of 2 or more) is used to generate an L−1th order polynomial fA having an i-th order coefficient. There.

　本発明の例示的な実施形態について図面を参照して詳細に説明する。 DETAILED DESCRIPTION Exemplary embodiments of the present invention will be described in detail with reference to the drawings.

　以下の各例示的な実施形態では、本発明を生体認証として用いた場合について説明する。各実施形態の暗号文照合システムは、生体認証の用途に限定されない。 In each of the following exemplary embodiments, the case where the present invention is used as biometric authentication will be described. The ciphertext matching system of each embodiment is not limited to the use of biometric authentication.

（第１の実施形態）
　図１は、第１の例示的な実施形態に係る暗号文照合システム１００の構成を例示する図である。暗号文照合システム１００は、コンピュータシステム等による情報処理システムから構成される。第１の例示的な実施形態に係る暗号文照合システム１００は、大別して、登録要求装置１１０と、記憶装置１２０と、認証要求装置１３０と、照合補助装置１４０と、検証装置１５０とを有する。 (First embodiment)
FIG. 1 is a diagram illustrating a configuration of a ciphertext matching system 100 according to the first exemplary embodiment. The ciphertext verification system 100 is configured by an information processing system such as a computer system. The ciphertext matching system 100 according to the first exemplary embodiment roughly includes a registration requesting device 110, a storage device 120, an authentication requesting device 130, a verification assisting device 140, and a verification device 150.

　登録要求装置１１０は、登録情報抽出部１１１と、第一テンプレート生成部１１２と、第二テンプレート生成部１１３と、テンプレート生成部１１４とを有する。 The registration request device 110 includes a registration information extraction unit 111, a first template generation unit 112, a second template generation unit 113, and a template generation unit 114.

　記憶装置１２０は、識別子付与部１２１と、登録データ生成部１２２と、登録データ記憶部１２３と、登録データ検索部１２４とを有する。 The storage device 120 includes an identifier assigning unit 121, a registration data generation unit 122, a registration data storage unit 123, and a registration data search unit 124.

　認証要求装置１３０は、認証要求生成部１３１と、認証情報抽出部１３２と、第一レスポンス生成部１３３と、第二レスポンス生成部１３４と、レスポンス生成部１３５とを有する。 The authentication request device 130 includes an authentication request generation unit 131, an authentication information extraction unit 132, a first response generation unit 133, a second response generation unit 134, and a response generation unit 135.

　照合補助装置１４０は、チャレンジ補助生成部１４１と、チャレンジ生成部１４２と、登録データ要求生成部１４３と、暗号化内積計算部１４４と、クエリ生成部１４５とを有する。 The collation assisting device 140 includes a challenge assist generating unit 141, a challenge generating unit 142, a registration data request generating unit 143, an encrypted inner product calculating unit 144, and a query generating unit 145.

　検証装置１５０は、鍵生成部１５１と、復号鍵記憶部１５２と、クエリ検証部１５３と、照合結果生成部１５４とを有する。 The verification device 150 includes a key generation unit 151, a decryption key storage unit 152, a query verification unit 153, and a matching result generation unit 154.

　登録要求装置１１０と記憶装置１２０、記憶装置１２０と照合補助装置１４０、認証要求装置１３０と照合要求装置１４０、照合補助装置１４０と検証装置１５０は、例えば、通信ネットワークを介して、相互に通信することが可能であるものとする。あるいは、登録要求装置１１０、記憶装置１２０、照合補助装置１４０、認証要求装置１３０、検証装置１５０はＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）、あるいは、ＷＡＮ（Ｗｉｄｅ　Ａｒｅａ　Ｎｅｔｗｒｏｋ）等のネットワークを介して接続する分散構成としてもよい。なお、登録要求装置１１０、記憶装置１２０、照合補助装置１４０、認証要求装置１３０、検証装置１５０のうち、複数の装置を一つのユニットに実装してもよいことは勿論である。登録要求装置１１０、記憶装置１２０、照合補助装置１４０、認証要求装置１３０は、検証装置１５０が公開した公開鍵（検証装置１５０が作成した、多項式演算が可能な準同型暗号方式の暗号化鍵と復号鍵のペアのうちの前記暗号化鍵）を取得可能に構成されている。登録要求装置１１０、記憶装置１２０、照合補助装置１４０、認証要求装置１３０、検証装置１５０の少なくとも一つの装置、又は全部の装置において、各部の少なくとも一部又は全部の処理は、コンピュータ（ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、プロセッサ）で実行されるプログラムによって実現するようにしてもよい。この場合、当該プログラムを記録したコンピュータ読み出し可能な半導体メモリ、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）、ＣＤ（Ｃｏｍｐａｃｔ　Ｄｉｓｋ）、ＤＶＤ（Ｄｉｇｉｔａｌ　Ｖｅｒｓａｔｉｌｅ　Ｄｉｓｋ）等からプログラムをコンピュータの主メモリ等に読み出して実行することで各部の処理が実現される。 The registration request device 110 and the storage device 120, the storage device 120 and the verification auxiliary device 140, the authentication request device 130 and the verification request device 140, and the verification auxiliary device 140 and the verification device 150 communicate with each other via, for example, a communication network. It shall be possible. Alternatively, the registration request device 110, the storage device 120, the verification auxiliary device 140, the authentication request device 130, and the verification device 150 are connected via a network such as a LAN (Local Area Network) or a WAN (Wide Area Network). It is good. Of course, a plurality of devices among the registration request device 110, the storage device 120, the verification auxiliary device 140, the authentication request device 130, and the verification device 150 may be mounted in one unit. The registration requesting device 110, the storage device 120, the verification assisting device 140, and the authentication requesting device 130 are the public key released by the verification device 150 (the encryption key of the homomorphic encryption method created by the verification device 150 and capable of polynomial operation). The encryption key of the decryption key pair) can be acquired. In at least one or all of the registration requesting device 110, the storage device 120, the verification assisting device 140, the authentication requesting device 130, and the verification device 150, at least a part or all of the processing of each unit is performed by a computer (CPU (Central (Processing Unit) or a program executed by a processor). In this case, by reading the program from the computer-readable semiconductor memory, HDD (Hard Disk Drive), CD (Compact Disk), DVD (Digital Versatile Disk), etc. in which the program is recorded, the program is read into the main memory of the computer and executed Processing of each part is realized.

　なお、暗号文照合システム１００においては、登録要求装置１１０と、認証要求装置１３０とをまとめて、「第１ノード」と表してもよい。暗号文照合システム１００においては、記憶装置１２０と、照合補助装置１４０とをまとめて、「第２ノード」と表してもよい。また、暗号文照合システム１００においては、検証装置１５０を、「第３ノード」と表してもよい。すなわち、暗号文照合システム１００は、図１に例示した様態に限定されない。 In the ciphertext verification system 100, the registration requesting device 110 and the authentication requesting device 130 may be collectively represented as “first node”. In the ciphertext verification system 100, the storage device 120 and the verification auxiliary device 140 may be collectively represented as a “second node”. Further, in the ciphertext matching system 100, the verification device 150 may be represented as a “third node”. That is, the ciphertext matching system 100 is not limited to the mode illustrated in FIG.

［動作の説明］
　次に、図面を参照して、本実施形態に係る暗号文照合システム１００の動作について説明する。本発明の第１の例示的な実施形態に係る暗号文照合システム１００における処理について説明する。 [Description of operation]
Next, the operation of the ciphertext matching system 100 according to the present embodiment will be described with reference to the drawings. Processing in the ciphertext matching system 100 according to the first exemplary embodiment of the present invention will be described.

　暗号文照合システム１００における処理は、大別して、
・準備フェーズ、
・登録フェーズ、及び、
・照合フェーズを含む。 The processing in the ciphertext verification system 100 is roughly classified as follows:
・ Preparation phase,
・ Registration phase, and
-Includes a verification phase.

　まず、各フェーズにおける処理の概要について説明する。本発明の第１の例示的な実施形態に係る暗号文照合システム１００では、加法及び乗法について準同型性を持つ準同型暗号方式を用いる。説明の便宜上、用いる暗号方式はメッセージとして、各係数がｔよりも小さい非負整数である、Ｎ－１次多項式を扱うものとする（係数∈Ｚ_ｔ＝｛０，１，２，・・・，ｔ－１｝）。 First, an overview of processing in each phase will be described. In the ciphertext matching system 100 according to the first exemplary embodiment of the present invention, a homomorphic encryption method having homomorphism is used for addition and multiplication. For convenience of explanation, it is assumed that the encryption method used handles, as a message, an N−1 degree polynomial in which each coefficient is a non-negative integer smaller than _t (coefficient ∈ Z _t = {0, 1, 2,..., t-1}).

　準備フェーズにおいては、主として、受信したセキュリティパラメータを用いて、暗号化鍵、及び、復号鍵が生成される。 In the preparation phase, an encryption key and a decryption key are mainly generated using the received security parameters.

　登録フェーズにおいては、主として、準備フェーズで生成された暗号化鍵を用いて、抽出された登録ベクトルが暗号化されたテンプレートが作成され、保存される。 In the registration phase, a template in which the extracted registration vector is encrypted is created and stored mainly using the encryption key generated in the preparation phase.

　照合フェーズにおいては、主として、準備フェーズで生成された復号鍵を用いて、新たに抽出された認証ベクトルと一つの登録ベクトルとの間の距離が算出される。 In the verification phase, the distance between the newly extracted authentication vector and one registered vector is mainly calculated using the decryption key generated in the preparation phase.

　次に、暗号文照合システム１００が、上述した各フェーズにて実行する処理について詳細に説明する。 Next, the process executed by the ciphertext verification system 100 in each phase described above will be described in detail.

　図２は、準備フェーズにおいて、第１の例示的な実施形態に係る暗号文照合システム１００が実行する処理の一例を示すフローチャートである。図２を参照しながら、本実施形態に係る暗号文照合システム１００が、準備フェーズにて実行する処理について説明する。 FIG. 2 is a flowchart showing an example of processing executed by the ciphertext matching system 100 according to the first exemplary embodiment in the preparation phase. A process executed by the ciphertext matching system 100 according to the present embodiment in the preparation phase will be described with reference to FIG.

　検証装置１５０における鍵生成部１５１は、セキュリティパラメータを受信し、受信したセキュリティパラメータを用いて、例えば、上述した鍵生成アルゴリズム（非特許文献１）に従い、暗号化鍵(公開鍵)ｐｋ、及び、復号鍵（秘密鍵）ｓｋを生成する（ステップＡ１）。なお、生成される暗号化鍵、及び、復号鍵は、加法及び乗法に関して準同型性を有する公開鍵暗号方式に準拠する。 The key generation unit 151 in the verification device 150 receives the security parameter, and uses the received security parameter, for example, according to the key generation algorithm (Non-Patent Document 1) described above, the encryption key (public key) pk, and A decryption key (secret key) sk is generated (step A1). The generated encryption key and decryption key conform to a public key cryptosystem having homomorphism with respect to addition and multiplication.

　鍵生成部１５１は、生成した暗号化鍵ｐｋを、暗号文照合システム１００において公開する（ステップＡ２）。 The key generation unit 151 discloses the generated encryption key pk in the ciphertext verification system 100 (step A2).

　鍵生成部１５１は、生成した復号鍵ｓｋを、復号鍵記憶部１５２に格納する（ステップＡ３）。 The key generation unit 151 stores the generated decryption key sk in the decryption key storage unit 152 (step A3).

　なお、本実施形態に係る暗号文照合システム１００が準備フェーズにて実行する処理は、図２に例示された様態に限定されない。 Note that the processing executed by the ciphertext matching system 100 according to the present embodiment in the preparation phase is not limited to the mode illustrated in FIG.

　図３は、登録フェーズにおいて、第１の例示的な実施形態に係る暗号文照合システム１００が実行する処理の一例を示すフローチャートである。図３を参照しながら、本実施形態に係る照合システム１００が、登録フェーズにて実行する処理について説明する。 FIG. 3 is a flowchart illustrating an example of processing executed by the ciphertext matching system 100 according to the first exemplary embodiment in the registration phase. With reference to FIG. 3, processing executed by the matching system 100 according to the present embodiment in the registration phase will be described.

　登録要求装置１１０における登録情報抽出部１１１は、登録対象の生体から生体情報（「登録ベクトル」と呼ぶ）
Ａ＝（ａ_０，…，ａ_Ｌ－１）　　　　・・・（式２９）
を抽出する（ステップＢ１）。 The registration information extraction unit 111 in the registration requesting device 110 receives biometric information (referred to as “registration vector”) from a biometric subject to registration.
A = (a ₀ ,..., A _L−1 ) (Expression 29)
Is extracted (step B1).

　次に、登録要求装置１１０における第一テンプレート生成部１１２は、暗号化鍵ｐｋを用いて、次の式３０に従って生成される、登録ベクトルＡの各ｉ番目（ｉ＝０，…，Ｌ－１）の成分ａ_ｉをｉ次の項の係数に持つＬ－１次多項式
ｆ_Ａ（ｘ）＝Σ_{ｉ＝０～Ｌ－１}ａ_ｉ×ｘ^ｉ　　　　・・・（式３０）
の暗号文
Ｅｎｃ（ｐｋ，ｆ_Ａ）
を計算する（ステップＢ２）。 Next, the first template generation unit 112 in the registration request device 110 uses the encryption key pk to generate each i-th (i = 0,..., L−1) of the registration vector A generated according to the following equation 30. ) Component a _i as the coefficient of the i-th term, L-1 order polynomial f _A (x) = Σ _{i = 0 to L−1} a _i × x ⁱ (Equation 30)
Ciphertext Enc (pk, f _A )
Is calculated (step B2).

　ステップＢ２で計算した暗号文Ｅｎｃ（ｐｋ，ｆ_Ａ）を「第一テンプレート」と呼ぶことにする。 The ciphertext Enc (pk, f _A ) calculated in step B2 will be referred to as a “first template”.

　次に、登録要求装置１１０における第二テンプレート生成部１１３は、暗号化鍵ｐｋを用いて、登録ベクトルＡの各成分の二乗和
Σ_{ｉ＝０～Ｌ－１}ａ_ｉ ^２　　　　　　　　　・・・（式３１）
の暗号文
Ｅｎｃ（ｐｋ，Σ_{ｉ＝０～Ｌ－１}ａ_ｉ ^２）
を計算する（ステップＢ３）。 Next, the second template generation unit 113 in the registration requesting apparatus 110 uses the encryption key pk to calculate the sum of squares Σ _{i = 0 to L−1} a _i ^{2 of the} components of the registration vector A (Equation 31). )
Ciphertext Enc (pk, Σ _{i = 0 to L−1} a _i ² )
Is calculated (step B3).

　ステップＢ３で計算した登録ベクトルＡの各成分の二乗和暗号文Ｅｎｃ（ｐｋ，Σ_{ｉ＝０～Ｌ－１}ａ_ｉ ^２）を「第二テンプレート」と呼ぶことにする。 The square sum cipher text Enc (pk, Σ _{i = 0 to L−1} a _i ² ) of each component of the registration vector A calculated in step B3 will be referred to as a “second template”.

　次に、登録要求装置１１０におけるテンプレート生成部１１４は、第一テンプレートと第二テンプレートをまとめ、テンプレート
（Ｅｎｃ（ｐｋ，ｆ_Ａ），Ｅｎｃ（ｐｋ，Σ_{ｉ＝０～ｎ－１}ａ_ｉ ^２））　　　　　　　・・・（式３２）
とする（ステップＢ４）。 Next, the template generation unit 114 in the registration requesting device 110 collects the first template and the second template, and the templates (Enc (pk, f _A ), Enc (pk, Σ _{i = 0 to n−1} a _i ² )). (Equation 32)
(Step B4).

　登録要求装置１１０は、テンプレート（Ｅｎｃ（ｐｋ，ｆ_Ａ）、Ｅｎｃ（ｐｋ，Σ_{ｉ＝０～ｎ－１}ａ_ｉ ^２））を記憶装置１２０に送付する（ステップＢ５）。 The registration requesting device 110 sends the template (Enc (pk, f _A ), Enc (pk, Σ _{i = 0 to n−1} a _i ² )) to the storage device 120 (step B5).

　次に、記憶装置１２０は、登録要求装置１１０から、テンプレート（Ｅｎｃ（ｐｋ，ｆ_Ａ），Ｅｎｃ（ｐｋ，Σ_{ｉ＝０～ｎ－１}ａ_ｉ ^２））を受け取る（ステップＢ６）。 Next, the storage device 120 receives a template (Enc (pk, f _A ), Enc (pk, Σ _{i = 0 to n−1} a _i ² )) from the registration requesting device 110 (step B6).

　記憶装置１２０における識別子付与部１２１は、登録要求装置１１０から受け取ったテンプレート（Ｅｎｃ（ｐｋ，ｆ_Ａ），Ｅｎｃ（ｐｋ，Σ_{ｉ＝０～ｎ－１}ａ_ｉ ^２））に固有の識別子である登録識別子ｉｄを決定する（ステップＢ７）。 The identifier assigning unit 121 in the storage device 120 is an identifier unique to the template (Enc (pk, f _A ), Enc (pk, Σ _{i = 0 to n−1} a _i ² )) received from the registration requesting device 110. The registration identifier id is determined (step B7).

　記憶装置１２０は、登録識別子ｉｄを登録要求装置１１０に送付する（ステップＢ８）。 The storage device 120 sends the registration identifier id to the registration request device 110 (step B8).

　次に、登録要求装置１１０は、記憶装置１２０から登録識別子ｉｄを受け取る（ステップＢ９）。 Next, the registration request device 110 receives the registration identifier id from the storage device 120 (step B9).

　登録要求装置１１０は、受信した登録識別子ｉｄを、ディスプレイ等のユーザインターフェース（ＵＩ）に表示する（ステップＢ１０）。あるいは、登録要求装置１１０は、社員証や、識別子カード等の、ＩＣ（ｉｎｔｅｇｒａｔｅｄ＿ｃｉｒｃｕｉｔ）カードに、受信した登録識別子ｉｄを格納してもよい。 The registration request device 110 displays the received registration identifier id on a user interface (UI) such as a display (step B10). Alternatively, the registration request device 110 may store the received registration identifier id in an IC (integrated_circuit) card such as an employee ID card or an identifier card.

　次に、記憶装置１２０における登録データ生成部１２２は、テンプレートと登録識別子ｉｄをまとめ、登録データ
（（Ｅｎｃ（ｐｋ，ｆ_Ａ），Ｅｎｃ（ｐｋ，Σ_{ｉ＝０～ｎ－１}ａ_ｉ ^２）），ｉｄ）　　　　　　　・・・（式３３）
とする（ステップＢ１１）。 Next, the registration data generation unit 122 in the storage device 120 collects the template and the registration identifier id, and registers the registration data ((Enc (pk, f _A ), Enc (pk, Σ _{i = 0 to n−1} a _i ² )). ), Id) (Expression 33)
(Step B11).

　記憶装置１２０における登録データ記憶部１２３に、上記登録データ（式３３）を格納する（ステップＢ１２）。 The registration data (formula 33) is stored in the registration data storage unit 123 in the storage device 120 (step B12).

　なお、本実施形態に係る暗号文照合システム１００が登録フェーズにて実行する処理は、図３に例示された様態に限定されない。例えば、ステップＢ８に先だってステップＢ１１とステップＢ１２とが実行されてもよい。 Note that the process executed by the ciphertext matching system 100 according to the present embodiment in the registration phase is not limited to the mode illustrated in FIG. For example, step B11 and step B12 may be executed prior to step B8.

　図４は、認証フェーズにおいて、第１の例示的な実施形態に係る暗号文照合システム１００が実行する処理の一例を示すフローチャートである。図４を参照しながら、本実施形態に係る照合システム１００が、認証フェーズにて実行する処理について説明する。 FIG. 4 is a flowchart showing an example of processing executed by the ciphertext matching system 100 according to the first exemplary embodiment in the authentication phase. With reference to FIG. 4, processing executed by the verification system 100 according to the present embodiment in the authentication phase will be described.

　認証要求装置１３０は、認証対象の持つ識別子（「認証識別子」と呼ぶ）を受け取る（ステップＣ１）。 The authentication requesting device 130 receives an identifier (referred to as “authentication identifier”) possessed by the authentication target (step C1).

　次に、認証要求装置１３０における認証要求生成部１３１は、受け取った認証識別子を含む認証要求を生成する（ステップＣ２）。 Next, the authentication request generator 131 in the authentication request device 130 generates an authentication request including the received authentication identifier (step C2).

　認証要求装置１３０は、認証要求を照合補助装置１４０に送付する（ステップＣ３）。 The authentication requesting device 130 sends an authentication request to the verification assisting device 140 (step C3).

　照合補助装置１４０は、認証要求装置１３０から認証要求を受け取る（ステップＣ４）。 The collation assisting device 140 receives an authentication request from the authentication requesting device 130 (step C4).

　次に、照合補助装置１４０におけるチャレンジ補助生成部１４１は、整数ｔより小さい整数ｒと、Ｎ－１より小さい整数ｈとをランダムに選択する。チャレンジ補助生成部１４１は、選択した値ｒ、ｈをまとめ、チャレンジ補助（ｒ，ｈ）とする（ステップＣ５）。 Next, the challenge auxiliary generation unit 141 in the verification auxiliary device 140 randomly selects an integer r smaller than the integer t and an integer h smaller than N-1. The challenge auxiliary generation unit 141 collects the selected values r and h and sets them as challenge auxiliary (r, h) (step C5).

　次に、照合補助装置１４０におけるチャレンジ生成部１４２は、暗号化鍵ｐｋを用いて、チャレンジ補助（ｒ，ｈ）から算出される多項式
ｒ×ｘ^ｈ　　　　　　　　　　　　　　　・・・（式３４）
の暗号文Ｅｎｃ（ｐｋ，ｒ×ｘ^ｈ）を計算する（ステップＣ６）。ステップＣ６で計算した暗号文Ｅｎｃ（ｐｋ，ｒ×ｘ^ｈ）を「チャレンジ」と呼ぶ。 Next, the challenge generation unit 142 in the verification assisting device 140 uses the encryption key pk to calculate the polynomial r × x ^h (equation 34) calculated from the challenge assist (r, h).
Cipher text Enc (pk, r × x ^h ) is calculated (step C6). The ciphertext Enc (pk, r × x ^h ) calculated in step C6 is called a “challenge”.

　照合補助装置１４０は、チャレンジＥｎｃ（ｐｋ，ｒ×ｘ^ｈ）を認証要求装置１３０に送付する（ステップＣ７）。 The verification assisting device 140 sends the challenge Enc (pk, r × x ^h ) to the authentication requesting device 130 (step C7).

　次に、照合補助装置１４０における登録データ要求生成部１４３は、認証要求装置１３０から受け取った認証要求に含まれる認証識別子を含む登録データ要求を生成する（ステップＣ８）。 Next, the registration data request generation unit 143 in the verification auxiliary device 140 generates a registration data request including the authentication identifier included in the authentication request received from the authentication requesting device 130 (step C8).

　照合補助装置１４０は、登録データ要求を記憶装置１２０に送付する（ステップＣ９）。 The collation assisting device 140 sends a registration data request to the storage device 120 (step C9).

　次に、記憶装置１２０は、照合補助装置１４０から登録データ要求を受け取る（ステップＣ１０）。 Next, the storage device 120 receives a registration data request from the verification auxiliary device 140 (step C10).

　記憶装置１２０における登録データ検索部１２４は、登録データ記憶部１２３に格納されている、一つまたは複数の登録データのうち、登録データ要求に含まれる認証識別子を含む登録データを特定する（ステップＣ１１）。特定された登録データに含まれるテンプレートを「照合対象テンプレート」と呼ぶ。 The registration data search unit 124 in the storage device 120 specifies registration data including the authentication identifier included in the registration data request from one or a plurality of registration data stored in the registration data storage unit 123 (step C11). ). A template included in the specified registered data is referred to as a “matching target template”.

　記憶装置１２０は、照合対象テンプレートを照合補助装置１４０に送付する（ステップＣ１２）。 Storage device 120 sends the verification target template to verification auxiliary device 140 (step C12).

　照合補助装置１４０は、記憶装置１２０から照合対象テンプレートを受け取る（ステップＣ１３）。 The collation auxiliary device 140 receives the collation target template from the storage device 120 (step C13).

　認証要求装置１３０は、照合補助装置１４０がステップＣ７で送信したチャレンジを受け取る（ステップＣ１４）。 The authentication requesting device 130 receives the challenge transmitted by the verification assisting device 140 in step C7 (step C14).

　次に、認証要求装置１３０における認証情報抽出部１３２は、認証対象の生体から生体情報（「認証ベクトル」という）
Ｂ＝（ｂ_０，…，ｂ_Ｌ－１）　　　　　　　　・・・（式３５）
を抽出する（ステップＣ１５）。 Next, the authentication information extraction unit 132 in the authentication requesting device 130 obtains biometric information (referred to as “authentication vector”) from the biometric subject to authentication.
B = (b ₀ ,..., B _L−1 ) (Expression 35)
Is extracted (step C15).

　次に、認証要求装置１３０における第一レスポンス生成部１３３は、上記式２１に従って、認証ベクトルＢの各ｉ番目（ｉ＝０，…，Ｌ－１）の成分ｂ_ｉの加法に関する逆元－ｂ_ｉを、Ｎ－ｉ次の項の係数に持つＮ次多項式
ｆ_Ｂ（ｘ）＝－Σ_{ｉ＝０～ｎ－１}ｂ_ｉ×ｘ^Ｎ－ｉ　　　　　・・・（式３６）
を算出する。さらに、
・暗号化鍵ｐｋと、
・生成した多項式ｆ_Ｂと、
・照合補助装置１４０から受け取ったチャレンジＥｎｃ（ｐｋ，ｒ×ｘ^ｈ）と、
に基づき、
　例えば暗号方式の、暗号文のスカラー倍を計算できる性質（式６）を利用して、第一レスポンス
Ｅｎｃ（ｐｋ，（ｒ×ｘ^ｈ）×（ｆ_Ｂ））　　　　　　　・・・（式３７）
を生成する（ステップＣ１６）。 Next, the first response generation unit 133 in the authentication requesting device 130 performs the inverse element −b related to the addition of each i-th (i = 0,..., L−1) component b _i of the authentication vector B according to the above equation 21. _i a, n-i Next n order polynomial _f B having the coefficient of the term _{(x) = - Σ i =} 0 ~ n-1 b i × x n-i ··· ( formula 36)
Is calculated. further,
An encryption key pk;
The generated polynomial f _B and
A challenge Enc (pk, r × x ^h ) received from the verification auxiliary device 140;
Based on
For example, the first response Enc (pk, (r × x ^h ) × (f _B )) (Equation 37) is used by utilizing the property (Equation 6) of the encryption method that can calculate the scalar multiplication of the ciphertext.
Is generated (step C16).

　次に、認証要求装置１３０における第二レスポンス生成部１３４は、暗号化鍵ｐｋを用いて、認証ベクトルＢの各成分の二乗和
Σ_{ｉ＝０～Ｌ－１}ｂ_ｉ ^２　　　　・・・（式３８）
の暗号文
Ｅｎｃ（ｐｋ，Σ_{ｉ＝０～Ｌ－１}ｂ_ｉ ^２）
を計算する（ステップＣ１７）。ステップＣ１７で計算した認証ベクトルＢの各成分の二乗和の暗号文を「第二レスポンス」と呼ぶ。 Next, the second response generation unit 134 in the authentication requesting apparatus 130 uses the encryption key pk to calculate the sum of squares Σ _{i = 0 to L−1} b _i ^{2 of the} components of the authentication vector B (Expression 38). )
Ciphertext Enc (pk, Σ _{i = 0 to L−1} b _i ² )
Is calculated (step C17). The ciphertext of the sum of squares of each component of the authentication vector B calculated in step C17 is referred to as “second response”.

　次に、認証要求装置１３０におけるレスポンス生成部１３５は、
・第一レスポンスＥｎｃ（ｐｋ，（ｒ×ｘ^ｈ）×（ｆ_Ｂ））と、
・第二レスポンスＥｎｃ（ｐｋ，Σ_{ｉ＝０～Ｌ－１}ｂ_ｉ ^２）と
をまとめ、レスポンス
（Ｅｎｃ（ｐｋ，（ｒ×ｘ^ｈ）×（ｆ_Ｂ）），Ｅｎｃ（ｐｋ，Σ_{ｉ＝０～Ｌ－１}ｂ_ｉ ^２））　　　　　　　　・・・（式３９）
とする（ステップＣ１８）。 Next, the response generation unit 135 in the authentication requesting apparatus 130
First response Enc (pk, (r × x ^h ) × (f _B )),
The second response Enc (pk, Σ _{i = 0 to L−1} b _i ² ) is collected, and the response (Enc (pk, (r × x ^h ) × (f _B )), Enc (pk, Σ _{i = 0 to L-1} b _i ² )) (Equation 39)
(Step C18).

　認証要求装置１３０は、ステップＣ１８で生成した上記レスポンス（式３９）を照合補助装置１４０に送付する（ステップＣ１９）。 The authentication requesting device 130 sends the response (formula 39) generated in step C18 to the verification assisting device 140 (step C19).

　次に、照合補助装置１４０は、認証要求装置１３０から、上記レスポンス（式３９）を受け取る（ステップＣ２０）。 Next, the verification assistant device 140 receives the response (formula 39) from the authentication requesting device 130 (step C20).

　次に、照合補助装置１４０における暗号化内積計算部１４４は、
・暗号化鍵ｐｋと、
・ステップＣ５で生成したチャレンジ補助（ｒ，ｈ）から生成される多項式－ｒ^－１×ｘ^Ｎ－ｈと、
・ステップＣ２０で受け取ったレスポンス（Ｅｎｃ（ｐｋ，（ｒ×ｘ^ｈ）×（ｆ_Ｂ）），Ｅｎｃ（ｐｋ，Σ_{ｉ＝０～Ｌ－１}ｂ_ｉ ^２））に含まれる第一レスポンスＥｎｃ（ｐｋ，（ｒ×ｘ^ｈ）×（ｆ_Ｂ））と、
に基づき、
　例えば暗号方式の、暗号文のスカラー倍を計算できる性質（式５）を用いて、
Ｅｎｃ（ｐｋ，ｆ_Ｂ）＝（－ｒ^－１×ｘ^Ｎ－ｈ）×Ｅｎｃ（ｐｋ，（ｒ×ｘ^ｈ）×（ｆ_Ｂ））　　　　・・・（式４０）
を計算する。 Next, the encryption inner product calculation unit 144 in the verification auxiliary device 140
An encryption key pk;
· Generated challenge auxiliary in step C5 (r, h) a polynomial ^{-r -1} × ^{x N-h} generated from,
The first response Enc (included in the response (Enc (pk, (r × x ^h ) × (f _B )), Enc (pk, Σ _{i = 0 to L−1} b _i ² )) received in step C20) pk, (r × x ^h ) × (f _B )),
Based on
For example, using the property (formula 5) that can calculate the scalar multiplication of the ciphertext of the encryption method,
Enc (pk, f _B ) = (− r ⁻¹ × x ^N−h ) × Enc (pk, (r × x ^h ) × (f _B )) (Equation 40)
Calculate

　さらに、暗号化内積計算部１４４は、
・暗号化鍵ｐｋと、
・ステップＣ１３で受け取った照合対象テンプレートに含まれる第一テンプレートＥｎｃ（ｐｋ，ｆ_Ａ）と、
・計算した暗号文Ｅｎｃ（ｐｋ，ｆ_Ｂ）と、
に基づき、
　暗号方式の乗法準同型性を利用して、暗号化内積
Ｅｎｃ（ｐｋ，ｆ_Ａ×ｆ_Ｂ）
を生成する（ステップＣ２１）。 Furthermore, the encryption inner product calculation unit 144
An encryption key pk;
_A first template Enc (pk, f _A ) included in the verification target template received in step C13;
The calculated ciphertext Enc (pk, f _B ),
Based on
Encrypted inner product Enc (pk, f _A × f _B ) using the multiplicative homomorphism of the encryption method
Is generated (step C21).

　なお、前述の通り（式２２、式２３）、ｆ_Ａ×ｆ_Ｂの定数項は、登録ベクトルＡと認証ベクトルＢとの内積
＜Ａ，Ｂ＞＝Σ_{ｉ＝０～ｎ－１}ａ_ｉ×ｂ_ｉ
と等しい。 Incidentally, as described above (Equation 22, Equation 23), the constant term of _{f A} × _{f B} is the inner product of the registration vectors A and authentication vector B <A, B> = Σ i = 0 ~ n-1 a i × b _i
Is equal to

　次に、照合補助装置１４０におけるクエリ生成部１４５は、
・暗号化鍵ｐｋと、
・ステップＣ２１で生成した暗号化内積Ｅｎｃ（ｐｋ，ｆ_Ａ×ｆ_Ｂ）
と、
・ステップＣ１３で受け取った照合対象テンプレートに含まれる第二テンプレートＥｎｃ（ｐｋ，Σ_{ｉ＝０～ｎ－１}ａ_ｉ ^２）と、
・ステップＣ２０で受け取ったレスポンスに含まれる第二レスポンスＥｎｃ（ｐｋ，Σ_{ｉ＝０～Ｌ－１}ｂ_ｉ ^２）と、
から、暗号方式の加法準同型性を利用して、クエリ
Ｅｎｃ（ｐｋ，ｆ）
を生成する（ステップＣ２２）。 Next, the query generation unit 145 in the verification assisting device 140
An encryption key pk;
Encrypted inner product Enc (pk, f _A × f _B ) generated in step C21
When,
A second template Enc (pk, Σ _{i = 0 to n−1} a _i ² ) included in the collation target template received in step C13;
A second response Enc (pk, Σ _{i = 0 to L−1} b _i ² ) included in the response received in step C20;
From the query Enc (pk, f) using the additive homomorphism of the encryption method.
Is generated (step C22).

　ただし、クエリＥｎｃ（ｐｋ，ｆ）において、ｆの定数項は、上記式２６に従う、登録ベクトルＡと認証ベクトルＢとのユークリッド距離
ｄ_Ｅ（Ａ，Ｂ）＝（Σ_{ｉ＝０～ｎ－１}ａ_ｉ ^２）＋（Σ_{ｉ＝０～ｎ－１}ｂ_ｉ ^２）－２＜Ａ，Ｂ＞
とする。 However, in the query Enc (pk, f), the constant term of f is the Euclidean distance d _E (A, B) = (Σ _{i = 0 to n−1} ) between the registration vector A and the authentication vector B according to the above equation 26. a _i ² ) + (Σ _{i = 0 to n−1} b _i ² ) −2 <A, B>
And

　照合補助装置１４０は、上記クエリＥｎｃ（ｐｋ，ｆ）を検証装置１５０に送付する（ステップＣ２３）。 The collation assisting device 140 sends the query Enc (pk, f) to the verification device 150 (step C23).

　次に、検証装置１５０は、照合補助装置１４０から、上記クエリＥｎｃ（ｐｋ，ｆ）を受け取る（ステップＣ２４）。 Next, the verification device 150 receives the query Enc (pk, f) from the verification auxiliary device 140 (step C24).

　次に、検証装置１５０におけるクエリ検証部１５３は、復号鍵ｓｋを用いてクエリＥｎｃ（ｐｋ，ｆ）を復号する。 Next, the query verification unit 153 in the verification device 150 decrypts the query Enc (pk, f) using the decryption key sk.

　復号結果Ｄｅｃ(ｓｋ，Ｅｎｃ（ｐｋ，ｆ）)として得られる多項式の定数項を、検証結果とする（ステップＣ２５）。 The constant term of the polynomial obtained as the decoding result Dec (sk, Enc (pk, f)) is set as the verification result (step C25).

　前述の通り、検証結果は、登録ベクトルＡと認証ベクトルＢとのユークリッド距離ｄ_Ｅ（Ａ，Ｂ）である。 As described above, the verification result is the Euclidean distance d _E (A, B) between the registration vector A and the authentication vector B.

　次に、検証装置１５０における照合結果生成部１５４は、検証結果を照合結果とする。あるいは、照合結果生成部１５４は、検証結果とあらかじめ定められた閾値との大小を比較した結果を照合結果としてもよい（ステップＣ２６）。 Next, the verification result generation unit 154 in the verification device 150 uses the verification result as the verification result. Or the collation result production | generation part 154 is good also considering the result of having compared the magnitude of a verification result and a predetermined threshold value as a collation result (step C26).

　検証装置１５０は、算出した照合結果を出力する（ステップＣ２７）。 The verification device 150 outputs the calculated collation result (step C27).

　なお、本実施形態に係る暗号文照合システム１００が認証フェーズにて実行する処理は、図４に例示された様態に限定されない。例えば、ステップＣ５に先だってステップＣ９からステップＣ１３が実行されてもよい。 The process executed by the ciphertext matching system 100 according to the present embodiment in the authentication phase is not limited to the mode illustrated in FIG. For example, steps C9 to C13 may be executed prior to step C5.

　本実施形態に係る暗号文照合システム１００の上記の説明において、
・登録要求装置１１０における第一テンプレート生成部１１２が図３のステップＢ２において生成する多項式ｆ_Ａは、登録ベクトルＡから式１９に従って生成される多項式であるとし、
・認証要求装置１３０における第一レスポンス生成部１３３が図４のステップＣ１６において生成する多項式ｆ_Ｂは、認証ベクトルから式２１に従って生成される多項式であるとした。しかし、本実施形態における二つの多項式の生成方法は、上記の方法にのみ限定されるものでないことは明らかである。例えば、
・登録要求装置１１０における第一テンプレート生成部１１２がステップＢ２において生成する多項式ｆ_Ａを、登録ベクトルＡに基づき、式２１に従って生成される多項式とし、
・認証要求装置１３０における第一レスポンス生成部１３３がステップＣ１６において生成する多項式ｆ_Ｂを、認証ベクトルに基づき、式２０に従って生成される多項式としてもよい。 In the above description of the ciphertext matching system 100 according to the present embodiment,
The polynomial f _A generated by the first template generation unit 112 in the registration request apparatus 110 in step B2 of FIG. 3 is a polynomial generated from the registration vector A according to Equation 19,
The polynomial f _B generated by the first response generation unit 133 in the authentication requesting apparatus 130 in step C16 in FIG. 4 is a polynomial generated from the authentication vector according to the equation 21. However, it is obvious that the method of generating two polynomials in this embodiment is not limited to the above method. For example,
The polynomial f _A generated by the first template generation unit 112 in the registration request apparatus 110 in step B2 is a polynomial generated according to the expression 21 based on the registration vector A,
- an authentication request apparatus polynomial f _B to generate first response generator 133 in step C16 in 130, based on the authentication vector may be a polynomial generated according to Equation 20.

［効果の説明］
　次に、第１の例示的な実施形態に係る暗号文照合システム１００に関する効果について説明する。 [Description of effects]
Next, effects related to the ciphertext matching system 100 according to the first exemplary embodiment will be described.

　第１の例示的な実施形態に係る照合システム１００によれば、認証を要求するユーザが、自身の生体と識別子を提示して認証を行う、１：１認証を、安全に実現することが可能である。すなわち、次の２つの効果を有する。 According to the collation system 100 according to the first exemplary embodiment, it is possible to safely realize 1: 1 authentication in which a user requesting authentication performs authentication by presenting his / her own living body and an identifier. It is. That is, it has the following two effects.

　第１の例示的な実施形態に係る暗号文照合システム１００によれば、登録要求装置１１０が抽出した登録ベクトルは、登録要求装置１１０上で暗号化され、記憶装置１２０に送られる。また、認証要求装置１３０が抽出した認証ベクトルは、認証要求装置１３０上で暗号化され、照合補助装置１４０に送られる。 According to the ciphertext matching system 100 according to the first exemplary embodiment, the registration vector extracted by the registration requesting device 110 is encrypted on the registration requesting device 110 and sent to the storage device 120. The authentication vector extracted by the authentication requesting device 130 is encrypted on the authentication requesting device 130 and sent to the verification assisting device 140.

　これらの暗号文を復号できるのは、復号鍵を持つ検証装置１５０であるが、検証装置１５０が受け取るデータは、登録ベクトルと認証ベクトルの間のユークリッド距離の暗号文であり、登録ベクトルや認証ベクトルの値は開示されない。したがって、第１の例示的な実施形態に係る暗号文照合システム１００によれば、それぞれのベクトルを抽出する装置以外の装置には、登録ベクトルと認証ベクトルの距離以外の値は漏洩せず、検証装置において、登録ベクトルと認証ベクトルの間の距離を算出することが可能である。 The ciphertext can be decrypted by the verification device 150 having a decryption key, but the data received by the verification device 150 is a ciphertext of the Euclidean distance between the registration vector and the authentication vector. The value of is not disclosed. Therefore, according to the ciphertext matching system 100 according to the first exemplary embodiment, a value other than the distance between the registered vector and the authentication vector is not leaked to a device other than the device that extracts each vector, and verification is performed. In the device, it is possible to calculate the distance between the registration vector and the authentication vector.

　また、第１の例示的な実施形態に係る暗号文照合システム１００によれば、同じ登録ベクトルとの認証を行う際であっても、図４のステップＣ５で選ばれた乱数を用いた処理が行われる。したがって、照合処理の通信内容が漏洩したとしても、
・漏洩した内容を再送したり、
・漏洩した内容を利用して作成したデータを送付したりしても、
漏洩した照合時の距離と等しい距離を算出したり、小さい値を算出したりすることはできない。特に、第１の例示的な実施形態に係る暗号文照合システム１００を、登録ベクトルと認証ベクトルの間の距離が閾値より小さいときに「受理」とする認証に利用する場合、登録ベクトルを知らない攻撃者が「受理」とされない性質、すなわち、なりすまし攻撃への耐性を有する。 Further, according to the ciphertext matching system 100 according to the first exemplary embodiment, even when performing authentication with the same registration vector, the process using the random number selected in step C5 in FIG. 4 is performed. Done. Therefore, even if the communication content of the verification process is leaked,
-Resend leaked content,
-Even if you send the data created using the leaked content,
It is impossible to calculate a distance equal to the leaked distance at the time of collation or to calculate a small value. In particular, when the ciphertext matching system 100 according to the first exemplary embodiment is used for authentication for accepting when the distance between the registration vector and the authentication vector is smaller than the threshold, the registration vector is not known. It has the property that an attacker is not "accepted", that is, it is resistant to spoofing attacks.

　さらに、第１の例示的な実施形態に係る暗号文照合システム１００では、復号鍵を持つ検証装置１５０に対して、登録ベクトルと認証ベクトルの間のユークリッド距離を開示しないように変形可能である。例えば、非特許文献４に記載された方式と同じ方法を適用することにより、復号鍵を持つ検証装置１５０が、登録ベクトルと認証ベクトルの間のユークリッド距離を算出できない方式に変形できる。復号鍵を持つ検証装置１５０に対して、登録ベクトルと認証ベクトルの間のユークリッド距離を開示しない方式は、特別な状況下においても復号鍵を持つ検証装置１５０が登録ベクトルの値を算出することを防ぐことができるため、より高い安全性を達成できる。 Furthermore, in the ciphertext matching system 100 according to the first exemplary embodiment, the verification device 150 having the decryption key can be modified so as not to disclose the Euclidean distance between the registration vector and the authentication vector. For example, by applying the same method as the method described in Non-Patent Document 4, the verification device 150 having a decryption key can be transformed into a method that cannot calculate the Euclidean distance between the registration vector and the authentication vector. A method that does not disclose the Euclidean distance between the registration vector and the authentication vector for the verification device 150 having the decryption key means that the verification device 150 having the decryption key calculates the value of the registration vector even under special circumstances. Since it can be prevented, higher safety can be achieved.

［第２の実施形態］
［構成の説明］
　図５は、第２の例示的な実施形態に係る暗号文照合システム（「情報処理システム」ともいう）２００の構成を模式的に例示する図である。第２の例示的な実施形態に係る暗号文照合システム２００は、大別して、登録要求装置２１０と、記憶装置２２０と、認証要求装置２３０と、照合補助装置２４０と、検証装置２５０とを有する。 [Second Embodiment]
[Description of configuration]
FIG. 5 is a diagram schematically illustrating a configuration of a ciphertext matching system (also referred to as an “information processing system”) 200 according to the second exemplary embodiment. The ciphertext matching system 200 according to the second exemplary embodiment roughly includes a registration requesting device 210, a storage device 220, an authentication requesting device 230, a verification assisting device 240, and a verification device 250.

　登録要求装置２１０は、登録情報抽出部２１１と、第一テンプレート生成部２１２と、第二テンプレート生成部２１３と、テンプレート生成部２１４とを有する。 The registration requesting apparatus 210 includes a registration information extraction unit 211, a first template generation unit 212, a second template generation unit 213, and a template generation unit 214.

　記憶装置２２０は、識別子付与部２２１と、登録データ生成部２２２と、登録データ記憶部２２３とを有する。 The storage device 220 includes an identifier assigning unit 221, a registration data generation unit 222, and a registration data storage unit 223.

　認証要求装置２３０は、認証要求生成部２３１と、認証情報抽出部２３２と、第一レスポンス生成部２３３と、第二レスポンス生成部２３４と、レスポンス生成部２３５とを有する。 The authentication request device 230 includes an authentication request generation unit 231, an authentication information extraction unit 232, a first response generation unit 233, a second response generation unit 234, and a response generation unit 235.

　照合補助装置２４０は、チャレンジ補助生成部２４１と、チャレンジ生成部２４２と、登録データ要求生成部２４３と、暗号化内積計算部２４４と、クエリ生成部２４５と、検証データ生成部２４６と、を有する。 The verification auxiliary device 240 includes a challenge auxiliary generation unit 241, a challenge generation unit 242, a registration data request generation unit 243, an encrypted inner product calculation unit 244, a query generation unit 245, and a verification data generation unit 246. .

　検証装置２５０は、鍵生成部２５１と、復号鍵記憶部２５２と、クエリ検証部２５３と、照合結果生成部２５４と、を有する。 The verification device 250 includes a key generation unit 251, a decryption key storage unit 252, a query verification unit 253, and a matching result generation unit 254.

　登録要求装置２１０と記憶装置２２０、記憶装置２２０と照合補助装置２４０、認証要求装置２３０と照合要求装置２４０、照合補助装置２４０と検証装置２５０は、例えば、通信ネットワークを介して、相互に通信することが可能であるとする。 The registration request device 210 and the storage device 220, the storage device 220 and the verification auxiliary device 240, the authentication request device 230 and the verification request device 240, and the verification auxiliary device 240 and the verification device 250 communicate with each other via a communication network, for example. Suppose that it is possible.

　なお、暗号文照合システム２００においては、登録要求装置２１０と、認証要求装置２３０とをまとめて、「第１ノード」と表してもよい。暗号文照合システム２００においては、記憶装置２２０と、照合補助装置２４０とをまとめて、「第２ノード」と表してもよい。また、暗号文照合システム２００においては、検証装置２５０を、「第３ノード」と表してもよい。すなわち、暗号文照合システム２００は、図５に例示した様態に限定されない。 In the ciphertext matching system 200, the registration requesting device 210 and the authentication requesting device 230 may be collectively represented as “first node”. In the ciphertext verification system 200, the storage device 220 and the verification auxiliary device 240 may be collectively represented as a “second node”. Further, in the ciphertext matching system 200, the verification device 250 may be represented as a “third node”. That is, the ciphertext matching system 200 is not limited to the mode illustrated in FIG.

［動作の説明］
　次に、第２の例示的な実施形態に係る暗号文照合システム２００の動作について説明する。 [Description of operation]
Next, the operation of the ciphertext matching system 200 according to the second exemplary embodiment will be described.

　本発明の第２の例示的な実施形態に係る暗号文照合システム２００における動作について説明する。暗号文照合システム２００における処理は、大別して、準備フェーズ、登録フェーズ、及び、照合フェーズを含む。まず、各フェーズにおける処理の概要について説明する。 The operation in the ciphertext matching system 200 according to the second exemplary embodiment of the present invention will be described. The processing in the ciphertext verification system 200 is roughly divided into a preparation phase, a registration phase, and a verification phase. First, an overview of processing in each phase will be described.

　本発明の第２の例示的な実施形態に係る暗号文照合システムでは、加法及び乗法について準同型性を持つ準同型暗号方式を用いる。説明の便宜上、用いる暗号方式はメッセージとして、各係数がｔより小さい非負整数である、Ｎ－１次多項式を扱うものとする。 In the ciphertext matching system according to the second exemplary embodiment of the present invention, a homomorphic cryptosystem having homomorphism is used for addition and multiplication. For convenience of explanation, it is assumed that the encryption method used is an N−1 degree polynomial whose coefficients are non-negative integers smaller than t as messages.

　照合フェーズにおいては、主として、準備フェーズで生成された復号鍵を用いて、新たに抽出された認証ベクトルと一つないし複数の登録ベクトルとの間の距離が算出される。 In the verification phase, the distance between the newly extracted authentication vector and one or more registered vectors is mainly calculated using the decryption key generated in the preparation phase.

　次に、暗号文照合システム２００が、上述した各フェーズにて実行する処理について詳細に説明する。 Next, the process executed by the ciphertext matching system 200 in each phase described above will be described in detail.

　図６は、準備フェーズにおいて、第２の例示的な実施形態に係る暗号文照合システム２００が実行する処理の一例を示すフローチャートである。図６を参照しながら、第２の例示的な実施形態に係る暗号文照合システム２００が、準備フェーズにて実行する処理について説明する。 FIG. 6 is a flowchart showing an example of processing executed by the ciphertext matching system 200 according to the second exemplary embodiment in the preparation phase. A process executed by the ciphertext matching system 200 according to the second exemplary embodiment in the preparation phase will be described with reference to FIG.

　検証装置２５０における鍵生成部２５１は、セキュリティパラメータを受信し、受信したセキュリティパラメータを用いて、例えば、上述した鍵生成アルゴリズムに従い、暗号化鍵ｐｋ、及び、復号鍵ｓｋを生成する（ステップＤ１）。なお、生成される暗号化鍵、及び、復号鍵は、加法及び乗法に関して準同型性を有する公開鍵暗号方式に準拠する。 The key generation unit 251 in the verification device 250 receives the security parameter, and generates the encryption key pk and the decryption key sk using the received security parameter, for example, according to the above-described key generation algorithm (step D1). . The generated encryption key and decryption key conform to a public key cryptosystem having homomorphism with respect to addition and multiplication.

　鍵生成部２５１は、暗号化鍵ｐｋを、暗号文照合システム２００において公開する（ステップＤ２）。 The key generation unit 251 discloses the encryption key pk in the ciphertext verification system 200 (step D2).

　鍵生成部２５１は、復号鍵ｓｋを、復号鍵記憶部２５２に格納する（ステップＤ３）。 The key generation unit 251 stores the decryption key sk in the decryption key storage unit 252 (step D3).

　なお、本実施形態に係る暗号文照合システム２００が準備フェーズにて実行する処理は、図６に例示された様態に限定されない。 Note that the processing executed by the ciphertext matching system 200 according to the present embodiment in the preparation phase is not limited to the mode illustrated in FIG.

　図７は、登録フェーズにおいて、第２の例示的な実施形態に係る暗号文照合システム２００が実行する処理の一例を示すフローチャートである。図７を参照しながら、本実施形態に係る照合システム２００が、登録フェーズにて実行する処理について説明する。 FIG. 7 is a flowchart illustrating an example of processing executed by the ciphertext matching system 200 according to the second exemplary embodiment in the registration phase. With reference to FIG. 7, a description will be given of processing executed by the verification system 200 according to the present embodiment in the registration phase.

　登録要求装置２１０における登録情報抽出部２１１は、登録対象の生体から生体情報（「登録ベクトル」と呼ぶ）
Ａ＝（ａ_０、…、ａ_Ｌ－１）　　　　　　・・・（式４１）
を抽出する（ステップＥ１）。 The registration information extraction unit 211 in the registration request apparatus 210 receives biometric information (referred to as a “registration vector”) from a biometric subject to registration.
A = (a ₀ ,..., A _L−1 ) (Formula 41)
Is extracted (step E1).

　次に、登録要求装置２１０における第一テンプレート生成部２１２は、暗号化鍵ｐｋを用いて、次の式４２に従って生成される、登録ベクトルＡの各ｉ番目（ｉ＝０，…，Ｌ－１）の成分ａ_ｉをｉ次の項の係数に持つＬ－１次多項式
ｆ_Ａ（ｘ）＝Σ_{ｉ＝０～Ｌ－１}ａ_ｉ×ｘ^ｉ　　　・・・（式４２）

の暗号文
Ｅｎｃ（ｐｋ，ｆ_Ａ）を計算する（ステップＥ２）。 Next, the first template generation unit 212 in the registration request apparatus 210 uses the encryption key pk to generate each i-th (i = 0,..., L−1) of the registration vector A generated according to the following equation 42. ) Component a _i as the coefficient of the i-th term, L−1 order polynomial f _A (x) = Σ _{i = 0 to L−1} a _i × x ⁱ (Equation 42)

The ciphertext Enc (pk, f _A ) is calculated (step E2).

　ステップＥ２で計算した暗号文Ｅｎｃ（ｐｋ，ｆ_Ａ）を「第一テンプレート」と呼ぶ。 The ciphertext Enc (pk, f _A ) calculated in step E2 is referred to as “first template”.

　次に、登録要求装置２１０における第二テンプレート生成部２１３は、暗号化鍵ｐｋを用いて、登録ベクトルＡの各成分の二乗和
Σ_{ｉ＝０～Ｌ－１}ａ_ｉ ^２　　　　　　・・・（式４３）
の暗号文
Ｅｎｃ（ｐｋ，Σ_{ｉ＝０～Ｌ－１}ａ_ｉ ^２）を計算する（ステップＥ３）。ステップＥ３で計算した登録ベクトルＡの各成分の二乗和暗号文Ｅｎｃ（ｐｋ，Σ_{ｉ＝０～Ｌ－１}ａ_ｉ ^２）を「第二テンプレート」と呼ぶ。 Next, the second template generation unit 213 in the registration request apparatus 210 uses the encryption key pk to calculate the sum of squares Σ _{i = 0 to L−1} a _i ^{2 of the} components of the registration vector A (Formula 43) )
Ciphertext Enc (pk, Σ _{i = 0 to L−1} a _i ² ) is calculated (step E3). The square sum ciphertext Enc (pk, Σ _{i = 0 to L−1} a _i ² ) of each component of the registration vector A calculated in step E3 is referred to as a “second template”.

　次に、登録要求装置２１０におけるテンプレート生成部２１４は、第一テンプレートと第二テンプレートをまとめ、テンプレート
（Ｅｎｃ（ｐｋ，ｆ_Ａ），Ｅｎｃ（ｐｋ，Σ_{ｉ＝０～ｎ－１}ａ_ｉ ^２））　　　　　・・・（式４４）
とする（ステップＥ４）。 Next, the template generation unit 214 in the registration requesting apparatus 210 combines the first template and the second template, and the templates (Enc (pk, f _A ), Enc (pk, Σ _{i = 0 to n−1} a _i ² )). (Equation 44)
(Step E4).

　登録要求装置２１０は、上記テンプレート（Ｅｎｃ（ｐｋ，ｆ_Ａ），Ｅｎｃ（ｐｋ，Σ_{ｉ＝０～ｎ－１}ａ_ｉ ^２））を記憶装置２２０に送付する（ステップＥ５）。 The registration requesting device 210 sends the template (Enc (pk, f _A ), Enc (pk, Σ _{i = 0 to n−1} a _i ² )) to the storage device 220 (step E5).

　次に、記憶装置２２０は、登録要求装置２１０から上記テンプレート（Ｅｎｃ（ｐｋ，ｆ_Ａ），Ｅｎｃ（ｐｋ，Σ_{ｉ＝０～ｎ－１}ａ_ｉ ^２））を受け取る（ステップＥ６）。 Next, the storage device 220 receives the template (Enc (pk, f _A ), Enc (pk, Σ _{i = 0 to n−1} a _i ² )) from the registration requesting device 210 (step E6).

　記憶装置２２０における識別子付与部２２１は、受け取ったテンプレートに固有の識別子である登録識別子ｉｄを決定する（ステップＥ７）。 The identifier assigning unit 221 in the storage device 220 determines a registered identifier id that is an identifier unique to the received template (step E7).

　記憶装置２２０は、登録識別子ｉｄを登録要求装置２１０に送付する（ステップＥ８）。 Storage device 220 sends registration identifier id to registration request device 210 (step E8).

　次に、登録要求装置２１０は、記憶装置２２０から登録識別子ｉｄを受け取る（ステップＥ９）。登録要求装置２１０は、例えば、受信した登録識別子ｉｄを、ディスプレイ等のユーザインターフェース（ＵＩ）に表示するようにしてもよい（ステップＥ１０）。あるいは、登録要求装置２１０は、社員証や、識別子カード等の、ＩＣ（ｉｎｔｅｇｒａｔｅｄ＿ｃｉｒｃｕｉｔ）カードに、受信した登録識別子を格納してもよい。 Next, the registration request device 210 receives a registration identifier id from the storage device 220 (step E9). For example, the registration requesting device 210 may display the received registration identifier id on a user interface (UI) such as a display (step E10). Alternatively, the registration request apparatus 210 may store the received registration identifier in an IC (integrated_circuit) card such as an employee ID card or an identifier card.

　次に、記憶装置２２０における登録データ生成部２２２は、テンプレートと登録識別子をまとめ、登録データ
（（Ｅｎｃ（ｐｋ，ｆ_Ａ），Ｅｎｃ（ｐｋ，Σ_{ｉ＝０～ｎ－１}ａ_ｉ ^２）），ｉｄ）　　　　　・・・（式４５）
とする（ステップＥ１１）。 Next, the registration data generation unit 222 in the storage device 220 summarizes the template and the registration identifier, and registers the registration data ((Enc (pk, f _A ), Enc (pk, Σ _{i = 0 to n−1} a _i ² )). , Id) (Formula 45)
(Step E11).

　記憶装置２２０における登録データ生成部２２２は、登録データ記憶部２２３に、上記登録データを格納する（ステップＥ１２）。 The registration data generation unit 222 in the storage device 220 stores the registration data in the registration data storage unit 223 (step E12).

　なお、第２の例示的な実施形態に係る暗号文照合システム２００が登録フェーズで実行する処理は、図７に例示された様態に限定されない。例えば、ステップＥ８に先だってステップＥ１１とステップＥ１２とが実行されてもよい。 Note that the processing executed by the ciphertext matching system 200 according to the second exemplary embodiment in the registration phase is not limited to the mode illustrated in FIG. For example, step E11 and step E12 may be executed prior to step E8.

　図８は、認証フェーズにおいて、第２の例示的な実施形態に係る暗号文照合システム２００が実行する処理の一例を示すフローチャートである。図８を参照しながら、本実施形態に係る照合システム２００が、認証フェーズにて実行する処理について説明する。 FIG. 8 is a flowchart showing an example of processing executed by the ciphertext matching system 200 according to the second exemplary embodiment in the authentication phase. With reference to FIG. 8, processing executed by the verification system 200 according to the present embodiment in the authentication phase will be described.

　認証要求装置２３０における認証要求生成部２３１は、認証要求を生成する（ステップＦ１）。 The authentication request generation unit 231 in the authentication request device 230 generates an authentication request (step F1).

　認証要求装置２３０は、認証要求を照合補助装置２４０に送付する（ステップＦ２）。 The authentication requesting device 230 sends an authentication request to the verification assisting device 240 (step F2).

　照合補助装置２４０は、認証要求装置２３０から認証要求を受け取る（ステップＦ３）。 The verification auxiliary device 240 receives the authentication request from the authentication requesting device 230 (step F3).

　次に、照合補助装置２４０におけるチャレンジ補助生成部２４１は、ｔより小さい整数をｒと、Ｎ－１よりも小さい整数ｈと、をランダムに選択する。選択した値をまとめ、チャレンジ補助（ｒ，ｈ）とする（ステップＦ４）。 Next, the challenge auxiliary generation unit 241 in the verification auxiliary device 240 randomly selects an integer smaller than t and an integer h smaller than N−1. The selected values are collected and used as challenge assistance (r, h) (step F4).

　次に、照合補助装置２４０におけるチャレンジ生成部２４２は、暗号化鍵ｐｋを用いて、チャレンジ補助（ｒ，ｈ）から算出される多項式
ｒ×ｘ^ｈ　　　　　　　　・・・（式４６）
の暗号文Ｅｎｃ（ｐｋ，ｒ×ｘ^ｈ）を計算する（ステップＦ５）。 Next, the challenge generation unit 242 in the verification assisting device 240 uses the encryption key pk to calculate the polynomial r × x ^h (equation 46) calculated from the challenge assist (r, h).
The ciphertext Enc (pk, r × x ^h ) is calculated (step F5).

　ステップＦ５で計算した暗号文Ｅｎｃ（ｐｋ，ｒ×ｘ^ｈ）を「チャレンジ」と呼ぶ。 The ciphertext Enc (pk, r × x ^h ) calculated in step F5 is called a “challenge”.

　照合補助装置２４０は、上記チャレンジを認証要求装置２３０に送付する（ステップＦ６）。 The collation assisting device 240 sends the challenge to the authentication requesting device 230 (step F6).

　次に、照合補助装置２４０における登録データ要求生成部２４３は、登録データ要求を生成する（ステップＦ７）。 Next, the registration data request generation unit 243 in the verification auxiliary device 240 generates a registration data request (step F7).

　照合補助装置２４０は、登録データ要求を記憶装置２２０に送付する（ステップＦ８）。 The collation assisting device 240 sends a registration data request to the storage device 220 (step F8).

　次に、記憶装置２２０は、照合補助装置２４０から登録データ要求を受け取る（ステップＦ９）。 Next, the storage device 220 receives a registration data request from the verification auxiliary device 240 (step F9).

　記憶装置２２０は、登録データ記憶部２２３に格納されている一つまたは複数の登録データのうち、一部またはすべて（Ｍ個とする）の登録データを、照合補助装置２４０に送付する（ステップＦ１０）。ただし、各登録データは、テンプレートと登録識別子の組である。 The storage device 220 sends a part or all (M) of registration data of one or a plurality of registration data stored in the registration data storage unit 223 to the verification assisting device 240 (step F10). ). However, each registration data is a set of a template and a registration identifier.

　照合補助装置２４０は、記憶装置２２０からＭ個の登録データを受け取る（ステップＦ１１）。 The collation assisting device 240 receives M pieces of registered data from the storage device 220 (step F11).

　以下では、各ｊ番目（ｊ＝１，…，Ｍ）の登録データに含まれるテンプレートは、登録ベクトルＡ_ｊから生成されたものとする。 In the following, it is assumed that a template included in each j-th (j = 1,..., M) registration data is generated from the registration vector A _j .

　また、各ｊ番目（ｊ＝１、…、Ｍ）の登録データに含まれる第一テンプレートは、登録ベクトルＡ_ｊから生成された多項式ｆ_Ａ，ｊの暗号文Ｅｎｃ（ｐｋ，ｆ_Ａ，ｊ）であるものとする。 The first template included in each j-th (j = 1,..., M) registration data is a ciphertext Enc (pk, f _{A, j} ) of the polynomial f _{A, j} generated from the registration vector A _j. Suppose that

　また、各ｊ番目（ｊ＝１，…，Ｍ）の登録データに含まれる第二テンプレートは、登録ベクトルＡ_ｊの各成分の二乗和
Σ_{ｉ＝０～ｎ－１}ａ_ｊ，ｉ ^２　　　　　・・・（式４７）
の暗号文Ｅｎｃ（ｐｋ，Σ_{ｉ＝０～ｎ－１}ａ_ｊ，ｉ ^２）
であるものとする。 Each j-th (j = 1, ..., M ) second templates included in the registration data of the registration vector _A square sum of the components of _{_{_{j Σ i = 0 ~ n-}}} 1 a j, i 2 ·· (Formula 47)
Ciphertext Enc (pk, Σ _{i = 0 to n−1} a _{j, i} ² )
Suppose that

　認証要求装置２３０は、照合補助装置２４０から、上記チャレンジＥｎｃ（ｐｋ，ｒ×ｘ^ｈ）を受け取る（ステップＦ１２）。 The authentication requesting device 230 receives the challenge Enc (pk, r × x ^h ) from the verification assisting device 240 (step F12).

　次に、認証要求装置２３０における認証情報抽出部２３２は、認証対象の生体から生体情報（「認証ベクトル」と呼ぶ）
Ｂ＝（ｂ_０，…，ｂ_Ｌ－１）　　　　　・・・（式４８）
を抽出する（ステップＦ１３）。 Next, the authentication information extraction unit 232 in the authentication requesting device 230 obtains biometric information (referred to as “authentication vector”) from the biometric subject to authentication.
B = (b ₀ ,..., B _L−1 ) (Formula 48)
Is extracted (step F13).

　次に、認証要求装置２３０における第一レスポンス生成部２３３は、上記式２１に従って、認証ベクトルＢの各ｉ番目（ｉ＝０，…，Ｌ－１）の成分ｂ_ｉの加法に関する逆元－ｂ_ｉを、Ｎ－ｉ次の項の係数に持つＮ次多項式
ｆ_Ｂ（ｘ）＝－Σ_{ｉ＝０～ｎ－１}ｂ_ｉ×ｘ^Ｎ－ｉ　　・・・（式４９）
を算出する。さらに、
・暗号化鍵ｐｋと、
・生成した多項式ｆ_Ｂと、
・受け取ったチャレンジＥｎｃ（ｐｋ，ｒ×ｘ^ｈ）と、
から、
例えば、暗号方式の、暗号文のスカラー倍を計算できる性質（式６）を利用して、
第一レスポンス
Ｅｎｃ（ｐｋ，（ｒ×ｘ^ｈ）×（ｆ_Ｂ））　　　　・・・（式５０）
を生成する（ステップＦ１４）。 Next, the first response generation unit 233 in the authentication requesting device 230 performs the inverse element −b related to the addition of each i-th (i = 0,..., L−1) component b _i of the authentication vector B according to the above equation 21. _i a, n-i Next n order polynomial _f B having the coefficient of the term _{(x) = - Σ i =} 0 ~ n-1 b i × x n-i ··· ( formula 49)
Is calculated. further,
An encryption key pk;
The generated polynomial f _B and
・ The received challenge Enc (pk, r × x ^h ),
From
For example, using the property (equation 6) that can calculate the scalar multiplication of the ciphertext of the encryption method,
First response Enc (pk, (r × x ^h ) × (f _B )) (Formula 50)
Is generated (step F14).

　次に、認証要求装置２３０における第二レスポンス生成部２３４は、暗号化鍵ｐｋを用いて、認証ベクトルＢの各成分の二乗和
Σ_{ｉ＝０～Ｌ－１}ｂ_ｉ ^２　　　　　・・・（式５１）
の暗号文Ｅｎｃ（ｐｋ，Σ_{ｉ＝０～Ｌ－１}ｂ_ｉ ^２）を計算する（ステップＦ１５）。ステップＦ１５で計算した認証ベクトルＢの各成分の二乗和の暗号文Ｅｎｃ（ｐｋ，Σ_{ｉ＝０～Ｌ－１}ｂ_ｉ ^２）を「第二レスポンス」と呼ぶ。 Next, the second response generation unit 234 in the authentication requesting device 230 uses the encryption key pk to calculate the sum of squares Σ _{i = 0 to L−1} b _i ^{2 of the} components of the authentication vector B (Formula 51). )
Cipher text Enc (pk, Σ _{i = 0 to L−1} b _i ² ) is calculated (step F15). The ciphertext Enc (pk, Σ _{i = 0 to L−1} b _i ² ) of the sum of squares of each component of the authentication vector B calculated in step F15 is referred to as “second response”.

　次に、認証要求装置２３０におけるレスポンス生成部２３５は、第一レスポンスと第二レスポンスをまとめ、レスポンス
（Ｅｎｃ（ｐｋ，（ｒ×ｘ^ｈ）×（ｆ_Ｂ）），Ｅｎｃ（ｐｋ，Σ_{ｉ＝０～Ｌ－１}ｂ_ｉ ^２））　　　　・・・（式５２）
とする（ステップＦ１６）。 Next, the response generation unit 235 in the authentication requesting device 230 collects the first response and the second response, and the response (Enc (pk, (r × x ^h ) × (f _B )), Enc (pk, Σ _{i = 0 to L-1} b _i ² )) (Formula 52)
(Step F16).

　認証要求装置２３０は、第一レスポンスと第二レスポンスをまとめた上記レスポンスを照合補助装置２４０に送付する（ステップＦ１７）。 The authentication requesting device 230 sends the response, which is a summary of the first response and the second response, to the verification assisting device 240 (step F17).

　次に、照合補助装置２４０は、認証要求装置２３０から、上記レスポンスを受け取る（ステップＦ１８）。 Next, the verification auxiliary device 240 receives the response from the authentication requesting device 230 (step F18).

　次に、照合補助装置２４０における暗号化内積計算部２４４は、
・暗号化鍵ｐｋと、
・ステップＦ４で生成したチャレンジ補助（ｒ，ｈ）から生成される項式－ｒ^－１×ｘ^Ｎ－ｈと、
・ステップＦ１８で受け取ったレスポンスに含まれる第一レスポンスＥｎｃ（ｐｋ，（ｒ×ｘ^ｈ）×（ｆ_Ｂ））と、
に基づき、
　例えば暗号方式の、暗号文のスカラー倍を計算できる性質（式６）を用いて、
Ｅｎｃ（ｐｋ，ｆ_Ｂ）＝（－ｒ^－１×ｘ^Ｎ－ｈ）×Ｅｎｃ（ｐｋ，（ｒ×ｘ^ｈ）×（ｆ_Ｂ））　　　・・・（式５３）
を計算する。
さらに、照合補助装置２４０における暗号化内積計算部２４４は、各ｊ（ｊ＝１，…，Ｍ）について、
・暗号化鍵ｐｋと、
・ステップＦ１１で受け取ったＭ個の登録データのうちｊ番目の登録データに含まれる第一テンプレートＥｎｃ（ｐｋ，ｆ_Ａ，ｊ）と、
・計算した暗号文Ｅｎｃ（ｐｋ，ｆ_Ｂ）と、
に基づき、暗号方式の乗法準同型性を利用して、暗号化内積
Ｅｎｃ（ｐｋ，ｆ_Ａ，ｊ×ｆ_Ｂ）　　　・・・（式５４）
を生成する（ステップＦ１９）。 Next, the encrypted inner product calculation unit 244 in the verification auxiliary device 240
An encryption key pk;
A term formula ^{-r -1} × ^{x N-h} generated from-generated challenge auxiliary in step F4 (r, h),
A first response Enc (pk, (r × x ^h ) × (f _B )) included in the response received in step F18;
Based on
For example, using the property (equation 6) that can calculate the scalar multiplication of the ciphertext of the encryption method,
Enc (pk, f _B ) = (− r ⁻¹ × x ^N−h ) × Enc (pk, (r × x ^h ) × (f _B )) (Formula 53)
Calculate
Further, the encrypted inner product calculation unit 244 in the verification assisting device 240 performs the following for each j (j = 1,..., M).
An encryption key pk;
_A first template Enc (pk, f _{A, j} ) included in the j-th registration data among the M registration data received in step F11;
The calculated ciphertext Enc (pk, f _B ),
Based on the above, by using the multiplicative homomorphism of the encryption method, the encrypted inner product Enc (pk, f _{A, j} × f _B ) (Formula 54)
Is generated (step F19).

　なお、前述の通り、各ｊ（ｊ＝１，…，Ｍ）について、ｆ_Ａ，ｊ×ｆ_Ｂの定数項は、登録ベクトルＡ_ｊと認証ベクトルＢとの内積
＜Ａ_ｊ，Ｂ＞＝Σ_{ｉ＝０～ｎ－１}ａ_ｊ，ｉ×ｂ_ｉ　
と等しい。 Incidentally, as described above, each of j (j = 1, ..., M) _{for, f A,} the constant term of the _j × _{f B} is the inner product of the registration vector _{A j} and an authentication vector B _<A j ,B> = Σ _{i = 0 to n−1} a _{j, i} × b _i
Is equal to

　次に、照合補助装置２４０におけるクエリ生成部２４５は、各ｊ（ｊ＝１，…，Ｍ）について、
・暗号化鍵ｐｋと、
・ステップＦ１９で生成した暗号化内積Ｅｎｃ（ｐｋ，ｆ_Ａ，ｊ×ｆ_Ｂ）
と、
・ステップＦ１１で受け取ったＭ個の登録データのうちｊ番目の登録データに含まれる第二テンプレートＥｎｃ（ｐｋ，Σ_{ｉ＝０～ｎ－１}ａ_ｊ，ｉ ^２）と、
・ステップＦ１８で受け取ったレスポンスに含まれる第二レスポンスＥｎｃ（ｐｋ，Σ_{ｉ＝０～Ｌ－１}ｂ_ｉ ^２）と、
に基づき、暗号方式の加法準同型性を利用して、
クエリ
Ｅｎｃ（ｐｋ，ｆ_ｊ）
を生成する（ステップＦ２０）。 Next, the query generation unit 245 in the verification assisting device 240 for each j (j = 1,..., M)
An encryption key pk;
Encrypted inner product Enc (pk, f _{A, j} × f _B ) generated in step F19
When,
A second template Enc (pk, Σ _{i = 0 to n−1} a _{j, i} ² ) included in the j-th registration data among the M pieces of registration data received in step F11;
A second response Enc (pk, Σ _{i = 0 to L−1} b _i ² ) included in the response received in step F18;
Based on the additive homomorphism of cryptography,
Query Enc (pk, f _j )
Is generated (step F20).

　ただし、各ｊ（ｊ＝１，…，Ｍ）について、ｆ_ｊの定数項は、上記式２６に従う、登録ベクトルＡ_ｊと認証ベクトルＢとのユークリッド距離
ｄ_Ｅ（Ａ_ｊ，Ｂ）＝（Σ_{ｉ＝０～ｎ－１}ａ_ｊ，ｉ ^２）＋（Σ_{ｉ＝０～ｎ－１}ｂ_ｉ ^２）－２＜Ａ_ｊ，Ｂ＞
とする。 However, each of j (j = 1, ..., M) for the constant term of _{f j} is according to the equation 26, the Euclidean distance _d E of the registered vectors _{A j} and an authentication vector _{B (A j, B) =} (Σ _{i = 0 to n−1} a _{j, i} ² ) + (Σ _{i = 0 to n−1} b _i ² ) −2 <A _j ,B>
And

　次に、照合補助装置２４０における検証データ生成部２４６は、各ｊ（ｊ＝１，…，Ｍ）について、Ｍ個の登録データのうちｊ番目の登録データに含まれる第二テンプレートからステップＦ２０で生成したクエリと、Ｍ個の登録データのうちｊ番目の登録データに含まれる登録識別子とを、ｊ番目の検証データとする（ステップＦ２１）。 Next, in step F20, the verification data generation unit 246 in the verification assisting apparatus 240 starts from the second template included in the jth registered data among the M registered data for each j (j = 1,..., M). The generated query and the registration identifier included in the jth registration data among the M pieces of registration data are set as the jth verification data (step F21).

　次に、照合補助装置２４０は、Ｍ個の検証データを検証装置２５０に送付する（ステップＦ２２）。 Next, the verification assisting device 240 sends M pieces of verification data to the verification device 250 (step F22).

　次に、検証装置２５０は、照合補助装置２４０からＭ個の検証データを受け取る（ステップＦ２３）。 Next, the verification device 250 receives M pieces of verification data from the verification auxiliary device 240 (step F23).

　検証装置２５０におけるクエリ検証部２５３は、各ｊ（ｊ＝１，…，Ｍ）について、復号鍵ｐｋを用いて、Ｍ個の検証データのうち、ｊ番目の検証データに含まれるクエリを復号し、復号結果として得られる多項式の定数項を、検証結果とする（ステップＦ２４）。 The query verification unit 253 in the verification device 250 uses the decryption key pk for each j (j = 1,..., M) to decrypt the query included in the jth verification data among the M verification data. The constant term of the polynomial obtained as the decoding result is set as the verification result (step F24).

　前述の通り、各ｊ（ｊ＝１，…，Ｍ）について、Ｍ個の検証データのうちｊ番目の検証データから生成された復号結果として得られる多項式の定数項は、登録ベクトルＡ_ｊと認証ベクトルＢとのユークリッド距離ｄ_Ｅ（Ａ_ｊ，Ｂ）である。 As described above, for each j (j = 1,..., M), the constant term of the polynomial obtained as a decoding result generated from the j-th verification data among the M verification data is the registered vector A _j and the authentication The Euclidean distance d _E (A _j , B) with the vector B.

　次に、検証装置２５０における照合結果生成部２５４は、各ｊ（ｊ＝１，…，Ｍ）について、Ｍ個の検証データのうち、ｊ番目の検証データに含まれるクエリからステップＦ２４で生成した検証結果と、ｊ番目の検証データに含まれる登録識別子と、をまとめ、ｊ番目の照合結果とする。 Next, the verification result generation unit 254 in the verification device 250 generates each j (j = 1,..., M) from the query included in the jth verification data among the M verification data in step F24. The verification result and the registration identifier included in the jth verification data are collected and used as the jth verification result.

　あるいは、各ｊ（ｊ＝１，…，Ｍ）について、検証装置２５０における照合結果生成部２５４は、Ｍ個の検証データのうち、ｊ番目の検証データに含まれるクエリからステップＦ２４で生成したｊ番目の検証結果と、あらかじめ定められた閾値との大小を比較した結果と、ｊ番目の検証データに含まれる登録識別子と、をまとめ、ｊ番目の照合結果としてもよい（ステップＦ２５）。 Alternatively, for each j (j = 1,..., M), the verification result generation unit 254 in the verification device 250 generates j generated in step F24 from the query included in the jth verification data among the M verification data. The result of comparing the size of the th-th verification result with a predetermined threshold value and the registration identifier included in the j-th verification data may be collected and used as the j-th collation result (step F25).

　検証装置２５０は、算出したＭ個の照合結果を出力する（ステップＦ２６）。 The verification device 250 outputs the calculated M verification results (step F26).

　なお、第２の例示的な実施形態に係る暗号文照合システム２００が認証フェーズにて実行する処理は、図８に例示された様態に限定されない。例えば、ステップＦ７に先だってステップＦ１２からステップＦ１７が実行されてもよい。 Note that the processing executed by the ciphertext matching system 200 according to the second exemplary embodiment in the authentication phase is not limited to the mode illustrated in FIG. For example, steps F12 to F17 may be executed prior to step F7.

　第２の例示的な実施形態に係る暗号文照合システム２００の上記の説明において、登録要求装置２１０における第一テンプレート生成部２１２が図７のステップＥ２において生成する多項式ｆ_Ａは、登録ベクトルＡに基づき上記式２０に従って生成される多項式であるとした。また、認証要求装置２３０における第一レスポンス生成部２３３が図８のステップＦ１６において生成する多項式ｆ_Ｂは、認証ベクトルに基づき上記式２１に従って生成される多項式であるとした。 In the above description of the ciphertext matching system 200 according to the second exemplary embodiment, the polynomial f _A generated by the first template generating unit 212 in the registration requesting device 210 in step E2 of FIG. Based on the above equation 20, the polynomial is generated. Further, the polynomial f _B generated by the first response generation unit 233 in the authentication requesting device 230 in step F16 of FIG. 8 is a polynomial generated according to the above equation 21 based on the authentication vector.

　第２の例示的な実施形態における二つの多項式の生成方法は、上記の方法に限らない。例えば、登録要求装置２１０における第一テンプレート生成部２１２がステップＥ２において生成する多項式ｆ_Ａを、登録ベクトルＡに基づき上記式２１に従って生成される多項式とし、認証要求装置２３０における第一レスポンス生成部２３３が図８のステップＦ１６において生成する多項式ｆ_Ｂを、認証ベクトルに基づき上記式２０に従って生成される多項式としてもよい。 The method of generating the two polynomials in the second exemplary embodiment is not limited to the above method. For example, the polynomial f _A generated by the first template generation unit 212 in the registration request device 210 in step E2 is a polynomial generated based on the registration vector A according to the above equation 21, and the first response generation unit 233 in the authentication request device 230 is used. There polynomial f _B to generate at step F16 in FIG. 8, may be a polynomial generated according to the formula 20 based on the authentication vector.

［効果の説明］
　次に、第２の例示的な実施形態に係る暗号文照合システム２００に関する効果について説明する。第２の実施形態に係る照合システム２００によれば、認証を要求するユーザが、自身の識別子を提示せず、登録された全ての情報と、認証に用いられる情報の照合を行う、１：Ｎ認証を安全に実現することが可能である。すなわち、次の２つの効果を有する。 [Description of effects]
Next, effects related to the ciphertext matching system 200 according to the second exemplary embodiment will be described. According to the collation system 200 according to the second embodiment, the user who requests the authentication collates all the registered information and the information used for the authentication without presenting its own identifier. 1: N Authentication can be realized safely. That is, it has the following two effects.

　第２の例示的な実施形態に係る暗号文照合システム２００によれば、登録要求装置２１０が抽出した登録ベクトルは、登録要求装置２１０上で暗号化され、記憶装置２２０に送られる。 According to the ciphertext matching system 200 according to the second exemplary embodiment, the registration vector extracted by the registration requesting device 210 is encrypted on the registration requesting device 210 and sent to the storage device 220.

　また、認証要求装置２３０が抽出した認証ベクトルは、認証要求装置２３０上で暗号化され、照合補助装置２４０に送られる。これらの暗号文を復号できるのは、復号鍵を持つ検証装置２５０であるが、検証装置２５０の受け取るデータは登録ベクトルと認証ベクトルの間のユークリッド距離の暗号文であり、登録ベクトルや認証ベクトルの値を開示しない。 Also, the authentication vector extracted by the authentication requesting device 230 is encrypted on the authentication requesting device 230 and sent to the verification assisting device 240. The ciphertext can be decrypted by the verification device 250 having a decryption key, but the data received by the verification device 250 is a ciphertext of the Euclidean distance between the registration vector and the authentication vector. The value is not disclosed.

　したがって、第２の例示的な実施形態に係る暗号文照合システム２００によれば、それぞれのベクトルを抽出する装置以外の装置に登録ベクトルと認証ベクトルの距離以外の値を漏洩せず、登録ベクトルと認証ベクトルの間の距離を算出することが可能である。 Therefore, according to the ciphertext matching system 200 according to the second exemplary embodiment, a value other than the distance between the registration vector and the authentication vector is not leaked to a device other than the device that extracts each vector, It is possible to calculate the distance between the authentication vectors.

　また、第２の例示的な実施形態に係る暗号文照合システム２００によれば、同じ登録ベクトルとの認証を行う際であっても、図８のステップＦ５で選ばれた乱数を用いた処理が行われる。 Further, according to the ciphertext matching system 200 according to the second exemplary embodiment, even when performing authentication with the same registration vector, the process using the random number selected in step F5 in FIG. 8 is performed. Done.

　したがって、照合処理の通信内容が漏洩したとしても、漏洩した内容を再送したり、漏洩した内容を利用して作成したデータを送付したりすることによって、漏洩した照合時の距離と等しい距離を算出させたり、小さい値を算出させたりすることができない。 Therefore, even if the communication content of the verification process is leaked, the distance equal to the distance at the time of the leaked verification is calculated by resending the leaked content or sending data created using the leaked content Or a small value cannot be calculated.

　特に、第２の例示的な実施形態に係る暗号文照合システム２００を、距離が閾値より小さいときに「受理」とする認証に利用する場合、登録ベクトルを知らない攻撃者が「受理」とされない性質、すなわちなりすまし攻撃への耐性を有する。 In particular, when the ciphertext matching system 200 according to the second exemplary embodiment is used for authentication that accepts when the distance is smaller than the threshold, an attacker who does not know the registered vector is not accepted. The property, ie, resistance to spoofing attacks.

　さらに、第２の例示的な実施形態に係る暗号文照合システム２００では、復号鍵を持つ検証装置２５０に対して、登録ベクトルと認証ベクトルの間のユークリッド距離を開示しないように変形することも可能である。例えば、非特許文献４に記載された方式と同じ方法を適用することにより、復号鍵を持つ検証装置２５０が、登録ベクトルと認証ベクトルの間のユークリッド距離を算出できない方式に変形できる。復号鍵を持つ検証装置２５０に対して、登録ベクトルと認証ベクトルの間のユークリッド距離を開示しない方式は、特別な状況下においても、復号鍵を持つ検証装置２５０が登録ベクトルの値を算出することを防ぐことができる。このため、より高い安全性を達成できる。 Further, in the ciphertext matching system 200 according to the second exemplary embodiment, the verification device 250 having the decryption key can be modified so as not to disclose the Euclidean distance between the registration vector and the authentication vector. It is. For example, by applying the same method as the method described in Non-Patent Document 4, the verification device 250 having a decryption key can be transformed into a method that cannot calculate the Euclidean distance between the registration vector and the authentication vector. The method that does not disclose the Euclidean distance between the registration vector and the authentication vector for the verification device 250 having the decryption key allows the verification device 250 having the decryption key to calculate the value of the registration vector even under special circumstances. Can be prevented. For this reason, higher safety can be achieved.

［第３の実施形態］
　次に、第３の例示的な実施形態について説明する。第３の例示的な実施形態は、前記第１の例示的な実施形態の説明で参照した図１に示す暗号文照合システム１００において、非特許文献１に示された暗号方式を用いる場合である。以下では、第３の例示的な実施形態に係る特徴的な部分を中心に説明し、前記第１の例示的な実施形態と同じ部分については説明を適宜省略する。 [Third Embodiment]
Next, a third exemplary embodiment will be described. The third exemplary embodiment is a case where the encryption scheme shown in Non-Patent Document 1 is used in the ciphertext matching system 100 shown in FIG. 1 referred to in the description of the first exemplary embodiment. . In the following, characteristic portions according to the third exemplary embodiment will be mainly described, and description of the same portions as those of the first exemplary embodiment will be omitted as appropriate.

　第３の例示的な実施形態は、前述の、非特許文献１に記載された、加法及び情報に関して準同型性を持つ暗号方式を用いて構成される。本実施形態の構成には、非特許文献１の暗号方式の持つ次の特徴を利用する。 The third exemplary embodiment is configured by using an encryption method having homomorphism regarding addition and information described in Non-Patent Document 1 described above. The configuration of this embodiment uses the following characteristics of the encryption method of Non-Patent Document 1.

　非特許文献１の暗号方式の鍵生成アルゴリズムの受け取るパラメータは、整数Ｎおよび素数ｔを含む。非特許文献１の暗号方式の暗号化アルゴリズムは、各係数がｔより小さい、Ｎ－１次多項式をメッセージとして受け取る。 The parameters received by the encryption method key generation algorithm of Non-Patent Document 1 include an integer N and a prime number t. The encryption algorithm of the encryption method of Non-Patent Document 1 receives, as a message, an N−1 order polynomial whose coefficients are smaller than t.

　各係数がｔより小さいＮ－１次多項式ｆに対し、ｆ×ｆ^－１＝１を満たすｆ^－１は必ずしも存在しない。すなわち、非特許文献１の暗号方式が暗号化するメッセージには、乗法に関する逆元は必ずしも存在しない。 For an N−1th order polynomial f with each coefficient smaller than t, there is not necessarily f ⁻¹ satisfying f × f ⁻¹ = 1. That is, an inverse element related to multiplication is not necessarily present in a message encrypted by the encryption method of Non-Patent Document 1.

　一方、ｔは素数であるため、任意の１以上ｔ未満の整数ｒに対し、ｔを法としてｒ×ｒ^－１＝１を満たす、１以上ｔ未満の整数ｒ^－１が存在する。 On the other hand, since t is a prime number, there exists an integer r ⁻¹ of 1 or more and less than t that satisfies r × r ⁻¹ = 1 by modulo t for any integer r of 1 or more and less than t.

　さらに、ｈを０以上Ｎ－１以下の整数とする。
ｘ^ｈ×（－ｘ^N－ｈ）＝－ｘ^N＝１　　　・・・（式５５）
が成り立つ。 Further, h is an integer of 0 to N-1.
x ^h × (−x ^N−h ) = − x ^N = 1 (Expression 55)
Holds.

　ｒおよびｈについて、
（ｒ×ｘ^ｈ）×（ｒ^－１×（－ｘ^N－ｈ））＝１　　・・・（式５６）
が成り立つ。 For r and h
(R × x ^h ) × (r ⁻¹ × (−x ^N−h )) = 1 (Formula 56)
Holds.

　したがって、任意の１以上ｔ未満の整数ｒおよび０以上Ｎ－１以下の整数ｈについて、ｒ×ｘ^ｈは非特許文献１の暗号方式を用いて暗号化できるメッセージであり、かつ逆元－ｒ^－１×ｘ^N－ｈを持つ。 Therefore, for any integer r greater than or equal to 1 and less than t and integer h greater than or equal to 0 and less than or equal to N−1, r × x ^h is a message that can be encrypted using the encryption scheme of Non-Patent Document 1, and the inverse element −r ⁻¹ × x ^N−h .

［構成の説明］
　第３の例示的な実施形態の構成は、図１に示した前記第１の実施形態に係る暗号文照合システム１００の構成と同様であるため、説明は省略する。 [Description of configuration]
The configuration of the third exemplary embodiment is the same as the configuration of the ciphertext matching system 100 according to the first embodiment shown in FIG.

［動作の説明］
　次に、第３の例示的な実施形態に係る暗号文照合システム１００の動作について説明する。本実施形態に係る照合システム１００における動作は、前記第１の例示的な実施形態と同様に、大別して、準備フェーズ、登録フェーズ、及び、照合フェーズを含む。まず、各フェーズにおける処理の概要について説明する。 [Description of operation]
Next, the operation of the ciphertext matching system 100 according to the third exemplary embodiment will be described. Similar to the first exemplary embodiment, the operation of the verification system 100 according to the present embodiment is roughly divided into a preparation phase, a registration phase, and a verification phase. First, an overview of processing in each phase will be described.

　照合フェーズにおいては、主として、準備フェーズで生成された復号鍵を用いて、新たに　抽出された認証ベクトルと一つの登録ベクトルとの間の距離が算出される。 In the verification phase, mainly the distance between the newly extracted authentication vector and one registered vector is calculated using the decryption key generated in the preparation phase.

　第３の例示的な実施形態の準備フェーズは、前記第１の例示的な実施形態の図２のフローチャートに従う。図２を参照しながら、第３の実施形態に係る暗号文照合システム１００が、準備フェーズにて実行する処理について説明する。 The preparation phase of the third exemplary embodiment follows the flowchart of FIG. 2 of the first exemplary embodiment. Processing executed by the ciphertext matching system 100 according to the third embodiment in the preparation phase will be described with reference to FIG.

　検証装置１５０における鍵生成部１５１は、４つのパラメータの組
λ＝（Ｎ，ｑ，ｔ，σ）　　・・・（式５７）
を受け取る。ただし、前述したように、Ｎは２冪の整数、ｑは２Ｎを法として１と合同な素数、ｔはｑより小さい正の素数、σはＮ次元離散ガウス分布の標準偏差である。 The key generation unit 151 in the verification device 150 includes a set of four parameters λ = (N, q, t, σ) (Expression 57)
Receive. However, as described above, N is an integer of 2 冪, q is a prime number congruent with 1 modulo 2N, t is a positive prime number smaller than q, and σ is a standard deviation of an N-dimensional discrete Gaussian distribution.

　次に、２つのＮ－１次多項式ｓおよびｅを標準偏差がσであるＮ次元離散ガウス分布に従って生成する。すなわち、離散ガウス分布に従って生成されたＮ個の値を係数とする多項式を生成する。ｓは秘密鍵となる。 Next, two N−1 order polynomials s and e are generated according to an N-dimensional discrete Gaussian distribution with a standard deviation of σ. That is, a polynomial having N values generated according to the discrete Gaussian distribution as coefficients is generated. s is a secret key.

　次に、各係数がｔより小さいＮ－１次多項式ｐ_１をランダムに生成する。 Next, an N−1 order polynomial p _{1 in} which each coefficient is smaller than t is randomly generated.

　次に、
ｐ_０＝－（ｐ_１×ｓ＋ｔ×ｅ）　　・・・（式５８）
を計算する（ステップＡ１）。
（λ，ｐ_０，ｐ_１）を暗号化鍵ｐｋ、
（λ，ｐ_０，ｐ_１，ｓ）を復号鍵ｓｋとする。 next,
p ₀ = − (p ₁ × s + t × e) (Formula 58)
Is calculated (step A1).
(Λ, p ₀ , p ₁ ) as an encryption key pk,
Let (λ, p ₀ , p ₁ , s) be the decryption key sk.

　鍵生成部１５１は、暗号化鍵ｐｋを、暗号文照合システム１００において公開する（ステップＡ２）。鍵生成部１５１は、復号鍵ｓｋを、復号鍵記憶部１５２に格納する（ステップＡ３）。 The key generation unit 151 discloses the encryption key pk in the ciphertext verification system 100 (step A2). The key generation unit 151 stores the decryption key sk in the decryption key storage unit 152 (step A3).

　なお、第３の実施形態に係る暗号文照合システム１００が準備フェーズにて実行する処理は、図２に例示された様態に限定されない。 The process executed by the ciphertext matching system 100 according to the third embodiment in the preparation phase is not limited to the mode illustrated in FIG.

　第３の例示的な実施形態の登録フェーズは、第１の例示的な実施形態の図３のフローチャートに従う。図３を参照しながら、第３の実施形態に係る暗号文照合システム１００が、登録フェーズにて実行する処理について説明する。 The registration phase of the third exemplary embodiment follows the flowchart of FIG. 3 of the first exemplary embodiment. A process executed by the ciphertext matching system 100 according to the third embodiment in the registration phase will be described with reference to FIG.

　登録要求装置１１０における登録情報抽出部１１１は、登録対象の生体から生体情報（「登録ベクトル」と呼ぶ）
Ａ＝（ａ_０，…，ａ_Ｌ－１）　　・・・（式５９）
を抽出する（ステップＢ１）。 The registration information extraction unit 111 in the registration requesting device 110 receives biometric information (referred to as “registration vector”) from a biometric subject to registration.
A = (a ₀ ,..., A _L−1 ) (Formula 59)
Is extracted (step B1).

　次に、登録要求装置１１０における第一テンプレート生成部１１２は、登録ベクトルＡ＝（ａ_０，…，ａ_Ｌ－１）から、次の式６０（上記式２０）に従って生成される、登録ベクトルＡの各ｉ番目（ｉ＝０，…，Ｌ－１）の成分ａ_ｉを、ｉ次の項の係数に持つＬ－１次多項式
ｆ_Ａ＝Σ_{ｉ＝０～Ｌ－１}ａ_ｉ×ｘ^ｉ　　・・・（式６０）
を生成する。 Next, the first template generation unit 112 in the registration request apparatus 110 generates a registration vector A generated from the registration vector A = (a ₀ ,..., A _L−1 ) according to the following expression 60 (the above expression 20). L−1 order polynomial f _A = Σ _{i = 0 to L−1} a _i × x ⁱ having each i th (i = 0,..., L−1) component a _i as a coefficient of the i th order term. ... (Formula 60)
Is generated.

　次に、準備フェーズのステップＡ２において検証装置１５０が公開した暗号化鍵ｐｋ＝（λ，ｐ_０，ｐ_１）に含まれるパラメータσを用い、標準偏差がσであるＮ次元離散ガウス分布に従って３つのＮ－１次多項式ｕ_１とｇ_１とｆ_１とを生成する。 Next, the parameter σ included in the encryption key pk = (λ, p ₀ , p ₁ ) disclosed by the verification apparatus 150 in step A2 of the preparation phase is used, and 3 according to an N-dimensional discrete Gaussian distribution with a standard deviation of σ. Two N-1th order polynomials u ₁ , g ₁ and f ₁ are generated.

　次に、これらと、暗号化鍵ｐｋに含まれるｔ、ｐ_０、ｐ_１と、生成した多項式ｆ_Ａと、に基づき、以下の二つの多項式、
ｃ_１，０＝ｐ_０×ｕ_１＋ｔ×ｇ_１＋ｆ_Ａ　　　・・・（式６１－１）
ｃ_１，１＝ｐ_１×ｕ_１＋ｔ×ｆ_１　　　　　　・・・（式６１－２）
を計算する。（ｃ_１，０，ｃ_１，１）を暗号文Ｃ_１とする（ステップＢ２）。 Next, based on these, t, p ₀ , p ₁ included in the encryption key pk, and the generated polynomial f _A , the following two polynomials:
c _1,0 = p ₀ × u ₁ + t × g ₁ + f _A (Formula 61-1)
c _1,1 = p ₁ × u ₁ + t × f ₁ (Formula 61-2)
Calculate _Let (c _1,0 , c _1,1 ) be the ciphertext C ₁ (step B2).

　すなわち、Ｃ_１は暗号化鍵ｐｋによるｆ_Ａの暗号文である。ステップＢ２で計算した暗号文Ｃ_１＝（ｃ_１，０，ｃ_１，１）を「第一テンプレート」と呼ぶ。 That is, C ₁ is a ciphertext of f _{A with} the encryption key pk. The ciphertext C ₁ = (c _1,0 , c _1,1 ) calculated in step B2 is referred to as a “first template”.

　次に、登録要求装置１１０における第二テンプレート生成部１１３は、登録ベクトルＡの各成分の二乗和
Σ_{ｉ＝０～Ｌ－１}ａ_ｉ ^２　・・・（式６２）
を計算する。 Next, the second template generation unit 113 in the registration request device 110 calculates the sum of squares Σ _{i = 0 to L−1} a _i ^{2 of the} components of the registration vector A (Expression 62).
Calculate

　次に、準備フェーズのステップＡ２において検証装置１５０が公開した暗号化鍵ｐｋ＝（λ，ｐ_０，ｐ_１）に含まれるパラメータσを用い、標準偏差がσであるＮ次元離散ガウス分布に従って３つのＮ－１次多項式ｕ_２とｇ_２とｆ_２とを生成する。 Next, the parameter σ included in the encryption key pk = (λ, p ₀ , p ₁ ) disclosed by the verification apparatus 150 in step A2 of the preparation phase is used, and 3 according to an N-dimensional discrete Gaussian distribution with a standard deviation of σ. Generate two N−1 degree polynomials u ₂ , g ₂ and f ₂ .

　次に、これらと、暗号化鍵の含むｔ、ｐ_０、ｐ_１と、生成した値Σ_{ｉ＝０～Ｌ－１}ａ_ｉ ^２と、に基づき、以下の二つの多項式、
ｃ_２，０＝ｐ_０×ｕ_２＋ｔ×ｇ_２＋（Σ_{ｉ＝０～Ｌ－１}ａ_ｉ ^２）　・・・（式６３－１）
ｃ_２，１＝ｐ_１×ｕ_２＋ｔ×ｆ_２　　　　　　　　　　　　　　・・・（式６３－２）
を計算する。（ｃ_２，０，ｃ_２，１）を暗号文Ｃ_２とする（ステップＢ３）。すなわち、Ｃ_２は暗号化鍵ｐｋによるΣ_{ｉ＝０～Ｌ－１}ａ_ｉ ^２の暗号文である。ステップＢ３で計算した暗号文Ｃ_２＝（ｃ_２，０，ｃ_２，１）を「第二テンプレート」と呼ぶ。 Next, based on these, t, p ₀ , p ₁ included in the encryption key, and the generated values Σ _{i = 0 to L−1} a _i ² , the following two polynomials:
c _2,0 = p ₀ × u ₂ + t × g ₂ + (Σ _{i = 0 to L−1} a _i ² ) (Formula 63-1)
c _2,1 = p ₁ × u ₂ + t × f ₂ (Formula 63-2)
Calculate _Let (c _2,0 , c _2,1 ) be the ciphertext C ₂ (step B3). That is, C ₂ is a ciphertext of Σ _{i = 0 to L−1} a _i ^{2 with} the encryption key pk. The ciphertext C ₂ = (c _2,0 , c _2,1 ) calculated in step B3 is referred to as a “second template”.

　次に、登録要求装置１１０におけるテンプレート生成部１１４は、第一テンプレートＣ_１＝（ｃ_１，０，ｃ_１，１）と第二テンプレートＣ_２＝（ｃ_２，０，ｃ_２，１）をまとめ、テンプレート（Ｃ_１，Ｃ_２）とする（ステップＢ４）。 Next, the template generation unit 114 in the registration requesting apparatus 110 sets the first template C ₁ = (c _1,0 , c _1,1 ) and the second template C ₂ = (c _2,0 , c _2,1 ). In summary, the template (C ₁ , C ₂ ) is used (step B4).

　登録要求装置１１０は、上記テンプレート（Ｃ_１，Ｃ_２）を記憶装置１２０に送付する（ステップＢ５）。 The registration requesting device 110 sends the template (C ₁ , C ₂ ) to the storage device 120 (step B5).

　次に、記憶装置１２０は、登録要求装置１１０からテンプレート（Ｃ_１，Ｃ_２）を受け取る（ステップＢ６）。 Next, the storage device 120 receives the template (C ₁ , C ₂ ) from the registration request device 110 (step B6).

　記憶装置１２０における識別子付与部１２１は、受け取ったテンプレート（Ｃ_１，Ｃ_２）に固有の識別子である登録識別子ｉｄを決定する（ステップＢ７）。 The identifier assigning unit 121 in the storage device 120 determines a registration identifier id that is an identifier unique to the received template (C ₁ , C ₂ ) (step B7).

　次に、登録要求装置１１０は、記憶装置から登録識別子ｉｄを受け取る（ステップＢ９）。 Next, the registration request device 110 receives the registration identifier id from the storage device (step B9).

　登録要求装置１１０は、例えば、受信した登録識別子ｉｄを、ディスプレイ等のユーザインターフェース（ＵＩ）に表示する（ステップＢ１０）。あるいは、登録データ装置１０２は、社員証や、識別子カード等の、ＩＣ（ｉｎｔｅｇｒａｔｅｄ＿ｃｉｒｃｕｉｔ）カードに、受信した登録識別子ｉｄを格納してもよい。　 The registration request device 110 displays the received registration identifier id on a user interface (UI) such as a display (step B10), for example. Alternatively, the registration data device 102 may store the received registration identifier id in an IC (integrated_circuit) card such as an employee ID card or an identifier card. *

　次に、記憶装置１２０における登録データ生成部１２２は、テンプレート（Ｃ_１，Ｃ_２）と登録識別子ｉｄをまとめ、登録データ
（（Ｃ_１，Ｃ_２），ｉｄ）
とする（ステップＢ１１）。 Next, the registration data generation unit 122 in the storage device 120 collects the template (C ₁ , C ₂ ) and the registration identifier id to register the registration data ((C ₁ , C ₂ ), id).
(Step B11).

　記憶装置１２０における登録データ生成部１２２は、登録データ記憶部１２３に、登録データ（（Ｃ_１，Ｃ_２），ｉｄ）を格納する（ステップＢ１２）。 The registration data generation unit 122 in the storage device 120 stores the registration data ((C ₁ , C ₂ ), id) in the registration data storage unit 123 (step B12).

　なお、第３の実施形態に係る暗号文照合システム１００が登録フェーズにて実行する処理は、図３に例示された様態に限定されない。例えば、ステップＢ８に先だってステップＢ１１とステップＢ１２とが実行されてもよい。 Note that the processing executed by the ciphertext matching system 100 according to the third embodiment in the registration phase is not limited to the mode illustrated in FIG. For example, step B11 and step B12 may be executed prior to step B8.

　第３の例示的な実施形態の認証フェーズは、前記第１の例示的な実施形態の図４のフローチャートに従う。図４を参照しながら、第３の実施形態に係る暗号文照合システム１００が、認証フェーズにて実行する処理について説明する。 The authentication phase of the third exemplary embodiment follows the flowchart of FIG. 4 of the first exemplary embodiment. A process executed by the ciphertext matching system 100 according to the third embodiment in the authentication phase will be described with reference to FIG.

　認証要求装置１３０は認証対象の持つ識別子ｉｄ（「認証識別子」と呼ぶ）を受け取る（ステップＣ１）。 The authentication request device 130 receives an identifier id (referred to as “authentication identifier”) possessed by the authentication target (step C1).

　次に、認証要求装置１３０における認証要求生成部１３１は、受け取った認証識別子ｉｄを含む認証要求を生成する（ステップＣ２）。 Next, the authentication request generator 131 in the authentication request device 130 generates an authentication request including the received authentication identifier id (step C2).

　次に、照合補助装置１４０におけるチャレンジ補助生成部１４１は、ｔより小さい整数ｒと、Ｎ－１より小さい整数ｈとをランダムに選択する。選択した値をまとめ、チャレンジ補助（ｒ，ｈ）とする（ステップＣ５）。 Next, the challenge auxiliary generation unit 141 in the verification auxiliary device 140 randomly selects an integer r smaller than t and an integer h smaller than N-1. The selected values are collected and used as challenge assistance (r, h) (step C5).

　次に、照合補助装置１４０におけるチャレンジ生成部１４２は、チャレンジ補助（ｒ，ｈ）から多項式
ｒ×ｘ^ｈ　　　　　　　　　　・・・（式６４）
を算出する。 Next, the challenge generation unit 142 in the verification assisting device 140 calculates the polynomial r × x ^h (Expression 64) from the challenge assist (r, h).
Is calculated.

　次に、準備フェーズのステップＡ２において検証装置１５０が公開した暗号化鍵ｐｋ＝（λ，ｐ_０，ｐ_１）に含まれるパラメータσを用い、標準偏差がσであるＮ次元離散ガウス分布に従って３つのＮ－１次多項式ｕ_３とｇ_３とｆ_３とを生成する。 Next, the parameter σ included in the encryption key pk = (λ, p ₀ , p ₁ ) disclosed by the verification apparatus 150 in step A2 of the preparation phase is used, and 3 according to an N-dimensional discrete Gaussian distribution with a standard deviation of σ. Two N−1 degree polynomials u ₃ , g ₃ and f ₃ are generated.

　次に、Ｎ－１次多項式ｕ_３とｇ_３とｆ_３と、暗号化鍵の含むｔ、ｐ_０、ｐ_１と、多項式ｒ×ｘ^ｈと、に基づき、以下の二つの多項式、
ｃ_３，０＝ｐ_０×ｕ_３＋ｔ×ｇ_３＋（ｒ×ｘ^ｈ）　　　　　　・・・（式６５－１）
ｃ_３，１＝ｐ_１×ｕ_３＋ｔ×ｆ_３　　　　　　　　　　　　　・・・（式６５－２）
を計算する。（ｃ_３，０，ｃ_３，１）を暗号文Ｃ_３とする（ステップＣ６）。すなわち、Ｃ_３は暗号化鍵ｐｋによるｒ×ｘ^ｈの暗号文である。ステップＣ６で計算した暗号文Ｃ_３＝（ｃ_３，０，ｃ_３，１）を「チャレンジ」と呼ぶ。 Next, based on the N−1 order polynomials u ₃ , g _3, and f ₃ , t, p ₀ , p ₁ including the encryption key, and the polynomial r × x ^h , the following two polynomials:
c _3,0 = p ₀ × u ₃ + t × g ₃ + (r × x ^h ) (Formula 65-1)
c _3,1 = p ₁ × u ₃ + t × f ₃ (Formula 65-2)
Calculate _Let (c _3,0 , c _3,1 ) be the ciphertext C ₃ (step C6). That is, C ₃ is an r × x ^h ciphertext with the encryption key pk. The ciphertext C ₃ = (c _3,0 , c _3,1 ) calculated in step C 6 is called a “challenge”.

　照合補助装置１４０は、チャレンジＣ_３を認証要求装置１３０に送付する（ステップＣ７）。 Verification auxiliary apparatus 140, sends the challenge _{C 3} to the authentication request unit 130 (step C7).

　次に、照合補助装置１４０における登録データ要求生成部１４３は、認証要求装置１３０から受け取った認証要求に含まれる認証識別子ｉｄを含む登録データ要求を生成する（ステップＣ８）。 Next, the registration data request generation unit 143 in the verification assistant device 140 generates a registration data request including the authentication identifier id included in the authentication request received from the authentication request device 130 (step C8).

　記憶装置１２０における登録データ検索部１２４は、登録データ記憶部に格納されている一つまたは複数の登録データのうち、登録データ要求に含まれる認証識別子ｉｄを含む登録データ（（Ｃ_１，Ｃ_２），ｉｄ）を特定する（ステップＣ１１）。 The registration data search unit 124 in the storage device 120 includes registration data ((C ₁ , C ₂₎ including an authentication identifier id included in the registration data request among one or a plurality of registration data stored in the registration data storage unit. ), Id) is specified (step C11).

　特定された登録データに含まれるテンプレート（Ｃ_１，Ｃ_２）を「照合対象テンプレート」と呼ぶ。 The templates (C ₁ , C ₂ ) included in the specified registered data are referred to as “collation target templates”.

　記憶装置１２０は、照合対象テンプレート（Ｃ_１，Ｃ_２）を照合補助装置１４０に送付する（ステップＣ１２）。 The storage device 120 sends the verification target template (C ₁ , C ₂ ) to the verification auxiliary device 140 (step C12).

　照合補助装置１４０は、記憶装置１２０から照合対象テンプレート（Ｃ_１，Ｃ_２）を受け取る（ステップＣ１３）。 The verification auxiliary device 140 receives the verification target template (C ₁ , C ₂ ) from the storage device 120 (step C13).

　認証要求装置１３０は、照合補助装置１４０からチャレンジＣ_３＝（ｃ_３，０，ｃ_３，１-）を受け取る（ステップＣ１４）。 The authentication requesting device 130 receives the challenge C ₃ = (c _3,0 , c _{3,1 −} ) from the verification assisting device 140 (step C14).

　次に、認証要求装置１３０における認証情報抽出部１３２は、認証対象の生体から生体情報（認証ベクトルと呼ぶ）
Ｂ＝（ｂ_０，…，ｂ_Ｌ－１）　　　　　　・・・(式６６)
を抽出する（ステップＣ１５）。 Next, the authentication information extraction unit 132 in the authentication requesting device 130 receives biometric information (referred to as an authentication vector) from the biometric subject to authentication.
B = (b ₀ ,..., B _L−1 ) (Expression 66)
Is extracted (step C15).

　次に、認証要求装置１３０における第一レスポンス生成部１３３は、次の式６７に従って生成される、認証ベクトルＢの各ｉ番目（ｉ＝０，…，Ｌ－１）の成分ｂ_ｉの加法に関する逆元－ｂ_ｉをＮ－ｉ次の項の係数に持つ多項式
ｆ_Ｂ＝－Σ_{ｉ＝０～ｎ－１}ｂ_ｉ×ｘ^Ｎ－ｉ　　　　　・・・(式６７)

を生成する。 Next, the first response generation unit 133 in the authentication requesting device 130 relates to the addition of each i-th (i = 0,..., L−1) component b _i of the authentication vector B generated according to the following expression 67. A polynomial f _B = −Σ _{i = 0 to n−1} b _i × x ^{N i} (equation 67) having the inverse element −b _i as the coefficient of the Ni order term

Is generated.

　ただし、多項式の次数がＮ以上となった場合には、前述したように、
ｘ^Ｎ＝－１、
ｘ^Ｎ＋１＝－ｘ、…
と置き換えることにより、多項式をＮ－１次以下にする。以下の計算においても同様に行う。 However, when the degree of the polynomial is N or more, as described above,
x ^N = -1,
x ^{N + 1} = -x, ...
To make the polynomial less than or equal to the (N−1) th order. The same applies to the following calculations.

　次に、ステップＣ１４で受け取ったチャレンジＣ_３＝（ｃ_３，０，ｃ_３，１）と、
生成した多項式ｆ_Ｂとに基づき、
ｃ_４，０＝ｆ_Ｂ×ｃ_３，０　　　　・・・(式６８－１)
ｃ_４，１＝ｆ_Ｂ×ｃ_３，１　　　　・・・(式６８－２)
を計算する。（ｃ_４，０，ｃ_４，１）を暗号文Ｃ_４とする（ステップＣ１６）。すなわち、Ｃ_４は暗号化鍵ｐｋによるｒ×ｘ^ｈ×ｆ_Ｂの暗号文である。Ｃ_４＝（ｃ_４，０，ｃ_４，１）を「第一レスポンス」と呼ぶ。 Next, the challenge C ₃ = (c _3,0 , c _3,1 ) received in step C14,
Based on the generated polynomial f _B,
c _4,0 = f _B × c _3,0 (Formula 68-1)
c _4,1 = f _B × c _3,1 (Formula 68-2)
Calculate _Let (c _4,0 , c _4,1 ) be the ciphertext C ₄ (step C16). That is, C ₄ is an encrypted text of r × x ^h × f _{B with} the encryption key pk. C ₄ = (c _4,0 , c _4,1 ) is called a “first response”.

　次に、認証要求装置１３０における第二レスポンス生成部１３４は、認証ベクトルＢの各成分の二乗和
Σ_{ｉ＝０～Ｌ－１}ｂ_ｉ ^２　　　　・・・(式６９)
を計算する。 Next, the second response generation unit 134 in the authentication requesting apparatus 130 calculates the sum of squares Σ _{i = 0 to L−1} b _i ^{2 of the} components of the authentication vector B (Equation 69).
Calculate

　次に、準備フェーズのステップＡ２において検証装置１５０が公開した暗号化鍵ｐｋ＝（λ，ｐ_０，ｐ_１）に含まれるパラメータσを用い、標準偏差がσであるＮ次元離散ガウス分布に従って３つのＮ－１次多項式ｕ_５とｇ_５とｆ_５とを生成する。 Next, the parameter σ included in the encryption key pk = (λ, p ₀ , p ₁ ) disclosed by the verification apparatus 150 in step A2 of the preparation phase is used, and 3 according to an N-dimensional discrete Gaussian distribution with a standard deviation of σ. Two N−1 degree polynomials u ₅ , g ₅ and f ₅ are generated.

　次に、３つのＮ－１次多項式ｕ_５とｇ_５とｆ_５と、暗号化鍵の含むｔ、ｐ_０、ｐ_１と、生成した値Σ_{ｉ＝０～Ｌ－１}ｂ_ｉ ^２と、に基づき、以下の二つの多項式、
ｃ_５，０＝ｐ_０×ｕ_５＋ｔ×ｇ_５＋（Σ_{ｉ＝０～Ｌ－１}ｂ_ｉ ^２）　　・・・(式７０－１)
ｃ_５，１＝ｐ_１×ｕ_５＋ｔ×ｆ_５　　　　　　　　　　　　　　　・・・(式７０－２)
を計算する。（ｃ_５，０，ｃ_５，１）を暗号文Ｃ_５とする（ステップＣ１７）。 Next, three N−1 degree polynomials u ₅ , g ₅ and f ₅ , t, p ₀ , p ₁ including the encryption key, and generated values Σ _{i = 0 to L−1} b _i ² , Based on the following two polynomials,
c _5,0 = p ₀ × u ₅ + t × g ₅ + (Σ _{i = 0 to L−1} b _i ² ) (Equation 70-1)
c _5,1 = p ₁ × u ₅ + t × f ₅ (Equation 70-2)
Calculate _Let (c _5,0 , c _5,1 ) be the ciphertext C ₅ (step C17).

　すなわち、Ｃ_５は暗号化鍵ｐｋによるΣ_{ｉ＝０～Ｌ－１}ｂ_ｉ ^２の暗号文である。ステップＣ１７で計算した暗号文Ｃ_５＝（ｃ_５，０，ｃ_５，１）を「第二レスポンス」と呼ぶ。 That is, C ₅ is a ciphertext of Σ _{i = 0 to L−1} b _i ^{2 with} the encryption key pk. The ciphertext C ₅ = (c _5,0 , c _5,1 ) calculated in step C 17 is referred to as a “second response”.

　次に、認証要求装置１３０におけるレスポンス生成部１３５は、第一レスポンスＣ_４＝（ｃ_４，０，ｃ_４，１）と第二レスポンスＣ_５＝（ｃ_５，０，ｃ_５，１）をまとめ、レスポンス（Ｃ_４，Ｃ_５）とする（ステップＣ１８）。 Next, the response generation unit 135 in the authentication requesting device 130 obtains the first response C ₄ = (c _4,0 , c _4,1 ) and the second response C ₅ = (c _5,0 , c _5,1 ). In summary, responses (C ₄ , C ₅ ) are set (step C 18).

　認証要求装置１３０は、上記レスポンス（Ｃ_４，Ｃ_５）を照合補助装置１４０に送付する（ステップＣ１９）。 The authentication requesting device 130 sends the response (C ₄ , C ₅ ) to the verification assisting device 140 (step C19).

　次に、照合補助装置１４０は、認証要求装置１３０から上記レスポンス（Ｃ_４，Ｃ_５）を受け取る（ステップＣ２０）。 Next, the verification assisting device 140 receives the response (C ₄ , C ₅ ) from the authentication requesting device 130 (step C20).

　次に、照合補助装置１４０における暗号化内積計算部１４４は、ステップＣ５で生成したチャレンジ補助（ｒ，ｈ）から、
－ｒ^－１×ｘ^Ｎ－ｈ　　　　・・・(式７１)
を計算する。ただし、ｒ^－１はｔを法としてｒ×ｒ^－１＝１を満たす、１以上ｔ未満の整数である。 Next, the encrypted inner product calculation unit 144 in the verification assisting device 140 uses the challenge assist (r, h) generated in Step C5,
^{^{-R -1 × x N-h ···}} ( Formula 71)
Calculate However, r ⁻¹ is an integer of 1 or more and less than t that satisfies r × r ⁻¹ = 1 by modulo t.

　次に、照合補助装置１４０における暗号化内積計算部１４４は、
・ステップ１９で受け取った上記レスポンス（Ｃ_４，Ｃ_５）に含まれる第一レスポンスＣ_４＝（ｃ_４，０，ｃ_４，１）と、
・生成した－ｒ^－１×ｘ^Ｎ－ｈと、に基づき、
ｃ_６，０＝（－ｒ^－１×ｘ^Ｎ－ｈ）×ｃ_４，０　　　・・・(式７２－１)
ｃ_６，１＝（－ｒ^－１×ｘ^Ｎ－ｈ）×ｃ_４，１　　　・・・(式７２－２)
を計算する。
（ｃ_６，０，ｃ_６，１）　　・・・(式７３)
を暗号文Ｃ_６とする。すなわち、Ｃ_６は、暗号化鍵ｐｋによる
（ｒ×ｘ^ｈ×ｆ_Ｂ）×（－ｒ^－１×ｘ^Ｎ－ｈ）＝ｆ_Ｂ　　　・・・(式７４)
の暗号文である。 Next, the encryption inner product calculation unit 144 in the verification auxiliary device 140
The first response C ₄ = (c _4,0 , c _4,1 ) included in the response (C ₄ , C ₅ ) received in step 19;
And ^{-r -1} × ^{x N-h} of generated-, based on,
c _6,0 = (− r ⁻¹ × x ^N−h ) × c _4,0 (Formula 72-1)
c _6,1 = (− r ⁻¹ × x ^N−h ) × c _4,1 (Formula 72-2)
Calculate
(C _6,0 , c _6,1 ) (Expression 73)
It is referred to as ciphertext _{C 6.} That, _{C 6} is due to the encryption key ^{_{pk (r × x h × f}} B) × (-r -1 × x N-h) = f B ··· ( Formula 74)
Is the ciphertext.

　次に、照合補助装置１４０における暗号化内積計算部１４４は、
・ステップＣ１３で受け取った照合対象テンプレート（Ｃ_１，Ｃ_２）に含まれる第一テンプレートＣ_１＝（ｃ_１，０，ｃ_１，１）と、
・生成した暗号文Ｃ_６＝（ｃ_６，０，ｃ_６，１）と、に基づき、
ｃ_７，０＝ｃ_１，０×ｃ_６，０　　　　　　　　　　　・・・(式７５－１)
ｃ_７，１＝ｃ_１，０×ｃ_６，１＋ｃ_１，１×ｃ_６，０　　・・・(式７５－２)
ｃ_７，２＝ｃ_１，１×ｃ_６，１　　　　　　　　　　　・・・(式７５－３)
を計算する。
（ｃ_７，０，ｃ_７，１，ｃ_７，２）　　・・・(式７６)
を暗号文Ｃ_７とする（ステップＣ２１）。すなわち、Ｃ_７は、暗号化鍵ｐｋによるｆ_Ａ×ｆ_Ｂの暗号文である。ステップＣ２１で計算した暗号文Ｃ_７＝（ｃ_７，０，ｃ_７，１，ｃ_７，２）を「暗号化内積」と呼ぶ。なお、前述の通り、ｆ_Ａ×ｆ_Ｂの定数項は登録ベクトルＡと認証ベクトルＢとの内積＜Ａ，Ｂ＞＝Σ_{ｉ＝０～ｎ－１}ａ_ｉ×ｂ_ｉと等しい。 Next, the encryption inner product calculation unit 144 in the verification auxiliary device 140
A first template C ₁ = (c _1,0 , c _1,1 ) included in the collation target template (C ₁ , C ₂ ) received in step C13;
Based on the generated ciphertext C ₆ = (c _6,0 , c _6,1 ),
c _7,0 = c _1,0 × c _6,0 (Formula 75-1)
c _7,1 = c _1,0 × c _6,1 + c _1,1 × c _6,0 (Formula 75-2)
c _7,2 = c _1,1 × c _6,1 (Formula 75-3)
Calculate
_{_{_{(C 7,0, c 7,1, c}}} 7,2) ··· ( Equation 76)
The a ciphertext _{C 7} (step C21). That is, C ₇ is a ciphertext of f _A × f _{B with} the encryption key pk. Step C21 the calculation ciphertext _{_{_{C 7 = (c 7,0, c}}} 7,1, c 7,2) is referred to as "encrypted inner product". As described above, the constant term of f _A × f _B is equal to the inner product <A, B> = Σ _{i = 0 to n−1} a _i × b _i of the registration vector A and the authentication vector B.

　次に、照合補助装置１４０におけるクエリ生成部１４５は、
・ステップＣ１３で受け取った照合対象テンプレート（Ｃ_１，Ｃ_２）に含まれる第二テンプレートＣ_２＝（ｃ_２，０，ｃ_２，１）と、
・ステップＣ２０で受け取ったレスポンス（Ｃ_４，Ｃ_５）に含まれる第二レスポンスＣ_５＝（ｃ_５，０，ｃ_５，１）と、
・ステップＣ２１で生成した暗号化内積Ｃ_７＝（ｃ_７，０，ｃ_７，１，ｃ_７，２）と、に基づき、
ｃ_８，０＝ｃ_２，０＋ｃ_５，０＋－２×ｃ_７，０　　　　・・・(式７７－１)
ｃ_８，１＝ｃ_２，１＋ｃ_５，１－２×ｃ_７，１　　　　・・・(式７７－２)
ｃ_８，２＝－２×ｃ_７，２　　　　　　　　　　　　　　・・・(式７７－３)
を計算する。（ｃ_８，０，ｃ_８，１，ｃ_８，２）を暗号文Ｃ_８とする（ステップＣ２２）。すなわち、Ｃ_８は、暗号化鍵ｐｋによる
（Σ_{ｉ＝０～ｎ－１}ａ_ｉ ^２）＋（Σ_{ｉ＝０～ｎ－１}ｂ_ｉ ^２）－２×ｆ_Ａ×ｆ_Ｂ　　　・・・(式７８)
の暗号文である。計算した暗号文Ｃ_８＝（ｃ_８，０，ｃ_８，１，ｃ_８，２）を「クエリ」と呼ぶ。 Next, the query generation unit 145 in the verification assisting device 140
A second template C ₂ = (c _2,0 , c _2,1 ) included in the collation target template (C ₁ , C ₂ ) received in step C13;
A second response C ₅ = (c _5,0 , c _5,1 ) included in the response (C ₄ , C ₅ ) received in step C20;
· Encryption generated in step C21 the inner product _{_{_{C 7 = (c 7,0, c}}} 7,1, c 7,2) and, based on,
c _8,0 = c _2,0 + c _5,0 + -2 × c _7,0 (Formula 77-1)
c _8,1 = c _2,1 + c _5,1 -2 × c _7,1 (Formula 77-2)
_{_{c 8,2 = -2 × c 7,2 ···}} ( Formula 77-3)
Calculate _Let (c _8,0 , c _8,1 , c _8,2 ) be the ciphertext C ₈ (step C22). That is, C ₈ is (Σ _{i = 0 to n−1} a _i ² ) + (Σ _{i = 0 to n−1} b _i ² ) −2 × f _A × f _B. (Formula 78)
Is the ciphertext. The calculated ciphertext C ₈ = (c _8,0 , c _8,1 , c _8,2 ) is called a “query”.

　なお、前述の通り、ｆ_Ａ×ｆ_Ｂの定数項は、登録ベクトルＡと認証ベクトルＢとの内積＜Ａ、Ｂ＞＝Σ_{ｉ＝０～ｎ－１}ａ_ｉ×ｂ_ｉと等しい。したがって、Ｃ_８は登録ベクトルＡと認証ベクトルＢとのユークリッド距離ｄ_Ｅ（Ａ，Ｂ）を定数項に持つ多項式の暗号文である。 As described above, the constant term of f _A × f _B is equal to the inner product <A, B> = Σ _{i = 0 to n−1} a _i × b _i of the registration vector A and the authentication vector B. Therefore, C ₈ is a polynomial ciphertext having a constant term of Euclidean distance d _E (A, B) between registration vector A and authentication vector B.

　次に、照合補助装置１４０は、上記クエリＣ_８＝（ｃ_８，０，ｃ_８，１，ｃ_８，２）を検証装置１５０に送付する（ステップＣ２３）。 Next, the verification auxiliary device 140 sends the query C ₈ = (c _8,0 , c _8,1 , c _8,2 ) to the verification device 150 (step C23).

　次に、検証装置１５０は、照合補助装置１４０から上記クエリＣ_８を受け取る（ステップＣ２４）。 Next, the verification device 150 receives the query _{C 8} from the verification auxiliary apparatus 140 (step C24).

　検証装置１５０におけるクエリ検証部１５３は、
・クエリＣ_８＝（ｃ_８，０，ｃ_８，１，ｃ_８，２）と、
・秘密鍵ｓｋ＝（λ，ｐ_０，ｐ_１，ｓ）と
に基づき、
Ｄ_１＝ｃ_８，０＋ｃ_８，１×ｓ＋ｃ_８，２×ｓ^２　　　・・・(式７９)
を計算する。 The query verification unit 153 in the verification device 150
Query C ₈ = (c _8,0 , c _8,1 , c _8,2 )
Based on the secret key sk = (λ, p ₀ , p ₁ , s)
D ₁ = c _8,0 + c _8,1 × s + c _8,2 × s ² (Equation 79)
Calculate

　次に、Ｄ_１をｑで割った余りをＤ_２とする。Ｄ_２がｑ／２以上であれば、Ｄ_３＝Ｄ_２－ｑとする。Ｄ_２がｑ／２より小さければ、Ｄ_３＝Ｄ_２とする（Ｄ_２∈Ｚ^（ｑ）＝［－ｑ／２，ｑ／２）∩Ｚ）。 Next, let D ₂ be the remainder of dividing D ₁ by q. If D ₂ is q / 2 or more, D ₃ = D ₂ -q. If D ₂ is smaller than q / 2, D ₃ = D ₂ (D ₂ εZ ^(q) = [−q / 2, q / 2) ∩Z).

　次に、Ｄ_３をｔで割った余りの多項式をＤ_４とする。Ｄ_４の定数項をＤ_５とする（ステップＣ２５）。算出した値Ｄ_５を、「検証結果」と呼ぶ。前述の通り、この定数項Ｄ_５は登録ベクトルＡと認証ベクトルＢとのユークリッド距離ｄ_Ｅ（Ａ，Ｂ）である。 Next, a remainder polynomial obtained by dividing D ₃ by t is D ₄ . The constant term of D ₄ and _{D 5} (step C25). The value D ₅ calculated, referred to as the "verification result". As described above, the constant term D ₅ is the Euclidean distance d _E (A, B) between the registration vector A and the authentication vector B.

　次に、検証装置１５０における照合結果生成部１５４は、検証結果Ｄ_５を照合結果ｄとする。あるいは、検証結果Ｄ_５と、あらかじめ定められた閾値との大小を比較した結果を照合結果ｄとしてもよい（ステップＣ２６）。 Then, the matching result generation unit 154 in the verification device 150, a verification result _{D 5} and collation result d. Alternatively, the verification result and D _5, which may the result of comparing the magnitude of the predetermined threshold value as a verification result d (step C26).

　検証装置１５０は、算出した照合結果ｄを出力する（ステップＣ２７）。 The verification device 150 outputs the calculated verification result d (step C27).

　なお、第３の実施形態に係る暗号文照合システム１００が認証フェーズにて実行する処理は、図４に例示された様態に限定されない。例えば、ステップＣ５に先だってステップＣ９からステップＣ１３が実行されてもよい。 Note that the processing executed by the ciphertext matching system 100 according to the third embodiment in the authentication phase is not limited to the mode illustrated in FIG. For example, steps C9 to C13 may be executed prior to step C5.

　第３の実施形態に係る暗号文照合システム１００の上記の説明において、登録要求装置１１０における第一テンプレート生成部１１２がステップＢ２において生成する多項式ｆ_Ａは、登録ベクトルＡに基づき上記式２０に従って生成される多項式であるとし、認証要求装置１３０における第一レスポンス生成部１３３がステップＣ１６において生成する多項式ｆ_Ｂは、認証ベクトルに基づき上記式２１に従って生成される多項式であるとした。 In the above description of the ciphertext matching system 100 according to the third embodiment, the polynomial f _A generated in step B2 by the first template generation unit 112 in the registration request apparatus 110 is generated according to the above equation 20 based on the registration vector A. The polynomial f _B generated by the first response generation unit 133 in the authentication requesting apparatus 130 in step C16 is a polynomial generated according to the above equation 21 based on the authentication vector.

　第３の実施形態における二つの多項式の生成方法は、上記の方法に限らない。例えば、登録要求装置１１０における第一テンプレート生成部１１２がステップＢ２において生成する多項式ｆ_Ａを、登録ベクトルＡに基づき式２１に従って生成される多項式とし、認証要求装置１３０における第一レスポンス生成部１３３がステップＣ１６において生成する多項式ｆ_Ｂを、認証ベクトルに基づき式２０に従って生成される多項式としてもよい。 The method for generating the two polynomials in the third embodiment is not limited to the above method. For example, the polynomial f _A generated in step B2 by the first template generation unit 112 in the registration request apparatus 110 is a polynomial generated according to the expression 21 based on the registration vector A, and the first response generation unit 133 in the authentication request apparatus 130 the polynomial f _B to generate at step C16, may be a polynomial generated according based formula 20 in the authentication vector.

［効果の説明］
　次に、第３の例示的な実施形態に係る暗号文照合システム１００に関する効果について説明する。 [Description of effects]
Next, effects related to the ciphertext matching system 100 according to the third exemplary embodiment will be described.

　第３の例示的な実施形態に係る暗号文照合システム１００によれば、認証を要求するユーザが、自身の生体と識別子を提示して認証を行う、１：１認証を安全に実現することが可能である。すなわち、次の２つの効果を有する。 According to the ciphertext matching system 100 according to the third exemplary embodiment, a user who requests authentication can safely implement 1: 1 authentication by performing authentication by presenting his / her own living body and identifier. Is possible. That is, it has the following two effects.

　第３の例示的な実施形態に係る暗号文照合システム１００によれば、登録要求装置１１０が抽出した登録ベクトルは、登録要求装置１１０上で暗号化され、記憶装置１２０に送られる。また、認証要求装置１３０が抽出した認証ベクトルは、認証要求装置１３０上で暗号化され、照合補助装置１４０に送られる。 According to the ciphertext matching system 100 according to the third exemplary embodiment, the registration vector extracted by the registration request device 110 is encrypted on the registration request device 110 and sent to the storage device 120. The authentication vector extracted by the authentication requesting device 130 is encrypted on the authentication requesting device 130 and sent to the verification assisting device 140.

　これらの暗号文を復号できるのは、復号鍵を持つ検証装置１５０であるが、検証装置１５０の受け取るデータは登録ベクトルと認証ベクトルの間のユークリッド距離の暗号文であり、登録ベクトルや認証ベクトルの値を開示しない。 The ciphertext can be decrypted by the verification device 150 having a decryption key, but the data received by the verification device 150 is a ciphertext of the Euclidean distance between the registration vector and the authentication vector. The value is not disclosed.

　したがって、第３の例示的な実施形態に係る暗号文照合システム１００によれば、それぞれのベクトルを抽出する装置以外の装置に登録ベクトルと認証ベクトルの距離以外の値を漏洩せず、登録ベクトルと認証ベクトルの間の距離を算出することが可能である。 Therefore, according to the ciphertext matching system 100 according to the third exemplary embodiment, a value other than the distance between the registered vector and the authentication vector is not leaked to a device other than the device that extracts each vector, and the registered vector It is possible to calculate the distance between the authentication vectors.

　また、第３の例示的な実施形態に係る暗号文照合システム１００によれば、同じ登録ベクトルとの認証を行う際であっても、ステップＣ５で選ばれた乱数を用いた処理が行われる。 Further, according to the ciphertext matching system 100 according to the third exemplary embodiment, even when authenticating with the same registration vector, the process using the random number selected in step C5 is performed.

　特に、第３の例示的な実施形態に係る暗号文照合システム１００を、距離が閾値より小さいときに「受理」とする認証に利用する場合、登録ベクトルを知らない攻撃者が「受理」とされない性質、すなわちなりすまし攻撃への耐性を有する。 In particular, when the ciphertext matching system 100 according to the third exemplary embodiment is used for authentication that accepts when the distance is smaller than the threshold, an attacker who does not know the registration vector is not accepted. The property, ie, resistance to spoofing attacks.

　さらに、第３の例示的な実施形態に係る暗号文照合システム１００は、高速な処理が可能な暗号方式である非特許文献１に記載された暗号方式を用いて構成される。そのため、高速な照合処理が可能である。 Furthermore, the ciphertext matching system 100 according to the third exemplary embodiment is configured using an encryption method described in Non-Patent Document 1, which is an encryption method capable of high-speed processing. Therefore, high-speed collation processing is possible.

　さらに、第３の例示的な実施形態に係る暗号文照合システム１００では、復号鍵を持つ検証装置１５０に対して、登録ベクトルと認証ベクトルの間のユークリッド距離を開示しないように変形することが可能である。例えば、非特許文献４に記載された方式と同じ方法を適用することにより、復号鍵を持つ検証装置１５０が、登録ベクトルと認証ベクトルの間のユークリッド距離を算出できない方式に変形できる。復号鍵を持つ検証装置１５０に対して、登録ベクトルと認証ベクトルの間のユークリッド距離を開示しない方式は、特別な状況下においても復号鍵を持つ検証装置１５０が登録ベクトルの値を算出することを防ぐことができる。このため、より高い安全性を達成できる。 Further, in the ciphertext matching system 100 according to the third exemplary embodiment, the verification device 150 having the decryption key can be modified so as not to disclose the Euclidean distance between the registration vector and the authentication vector. It is. For example, by applying the same method as the method described in Non-Patent Document 4, the verification device 150 having a decryption key can be transformed into a method that cannot calculate the Euclidean distance between the registration vector and the authentication vector. A method that does not disclose the Euclidean distance between the registration vector and the authentication vector for the verification device 150 having the decryption key means that the verification device 150 having the decryption key calculates the value of the registration vector even under special circumstances. Can be prevented. For this reason, higher safety can be achieved.

［第４の実施形態］
　次に、第４の例示的な実施形態について説明する。第４の例示的な実施形態は、前記第２の例示的な実施形態の説明で参照した図５に示す暗号文照合システム２００において、非特許文献１に示された暗号方式を用いる場合である。以下では、第４の例示的な実施形態に係る特徴的な部分を中心に説明し、前記第２の例示的な実施形態と同じ部分についての説明は適宜省略する。 [Fourth Embodiment]
Next, a fourth exemplary embodiment will be described. The fourth exemplary embodiment is a case where the encryption scheme shown in Non-Patent Document 1 is used in the ciphertext matching system 200 shown in FIG. 5 referred to in the description of the second exemplary embodiment. . In the following, characteristic parts according to the fourth exemplary embodiment will be mainly described, and description of the same parts as those of the second exemplary embodiment will be omitted as appropriate.

　第４の例示的な実施形態は、非特許文献１に記載された、加法及び情報に関して準同型性を持つ暗号方式を用いて構成される。第４の例示的な実施形態の構成には、非特許文献１の暗号方式の持つ次の特徴を利用する。 The fourth exemplary embodiment is configured using an encryption method described in Non-Patent Document 1 and having homomorphism with respect to addition and information. The configuration of the fourth exemplary embodiment uses the following characteristics of the encryption method of Non-Patent Document 1.

　非特許文献１の暗号方式の鍵生成アルゴリズムの受け取るパラメータは、整数Ｎおよび素数ｔを含む。 The parameters received by the encryption method key generation algorithm of Non-Patent Document 1 include an integer N and a prime number t.

　非特許文献１の暗号方式の暗号化アルゴリズムは、各係数がｔより小さい、Ｎ－１次多項式をメッセージとして受け取る。各係数がｔより小さいＮ－１次多項式ｆに対し、ｆ×ｆ^－１＝１を満たすｆ^－１は必ずしも存在しない。すなわち、非特許文献１の暗号方式が暗号化するメッセージには、必ずしも逆元が存在しない。 The encryption algorithm of the encryption method of Non-Patent Document 1 receives, as a message, an N−1 order polynomial in which each coefficient is smaller than t. For an N−1th order polynomial f with each coefficient smaller than t, there is not necessarily f ⁻¹ satisfying f × f ⁻¹ = 1. That is, the reverse element does not necessarily exist in the message encrypted by the encryption method of Non-Patent Document 1.

　一方、ｔは素数であるため、任意の１以上ｔ未満の整数ｒに対し、ｔを法として
ｒ×ｒ^－１＝１　　　　　　　　　　　　　　・・・(式８０)
を満たす、１以上ｔ未満の整数ｒ^－１が存在する。 On the other hand, since t is a prime number, with respect to an arbitrary integer r greater than or equal to 1 and less than t, modulo t, r × r ⁻¹ = 1 (Equation 80)
There is an integer r ⁻¹ that satisfies 1 and less than t.

　さらに、ｈを０以上Ｎ－１以下の整数とする。ｒおよびｈについて、
（ｒ×ｘ^ｈ）×（ｒ^－１×（－ｘ^N－ｈ））＝１　・・・(式８１)
が成り立つ。 Further, h is an integer of 0 to N-1. For r and h
(R × x ^h ) × (r ⁻¹ × (−x ^N−h )) = 1 (Formula 81)
Holds.

［構成の説明］
　第４の例示的な実施形態の構成は、図５に示した前記第２の例示的な実施形態に係る暗号文照合システム２００の構成と同様であるため、説明は省略する。
［動作の説明］
　次に、第４の例示的な実施形態に係る暗号文照合システム２００の動作について説明する。 [Description of configuration]
The configuration of the fourth exemplary embodiment is the same as the configuration of the ciphertext matching system 200 according to the second exemplary embodiment shown in FIG.
[Description of operation]
Next, the operation of the ciphertext matching system 200 according to the fourth exemplary embodiment will be described.

　次に、第４の例示的な実施形態に係る暗号文照合システム２００における動作は、前記第２の例示的な実施形態と同様に、大別して、準備フェーズ、登録フェーズ、及び、照合フェーズを含む。まず、各フェーズにおける処理の概要について説明する。 Next, the operation in the ciphertext matching system 200 according to the fourth exemplary embodiment is roughly divided into a preparation phase, a registration phase, and a verification phase, as in the second exemplary embodiment. . First, an overview of processing in each phase will be described.

　次に、暗号文照合システム２００が、上述した各フェーズにて実行する処理について詳細に説明する。第４の例示的な実施形態の準備フェーズは、前記第２の例示的な実施形態に係る暗号文照合システム２００が実行する準備フェーズの処理の一例を示した図６のフローチャートに従う。図６を参照しながら、第４の例示的な実施形態に係る照合システム２００が準備フェーズにて実行する処理について説明する。 Next, the process executed by the ciphertext matching system 200 in each phase described above will be described in detail. The preparation phase of the fourth exemplary embodiment follows the flowchart of FIG. 6 showing an example of the processing of the preparation phase executed by the ciphertext matching system 200 according to the second exemplary embodiment. With reference to FIG. 6, a process executed in the preparation phase by the collation system 200 according to the fourth exemplary embodiment will be described.

　検証装置２５０における鍵生成部２５１は、４つのパラメータの組
λ＝（Ｎ，ｑ，ｔ，σ）　　　・・・(式８２)
を受け取る。ただしＮは２冪の整数、ｑは２Ｎを法として１と合同な素数、ｔはｑより小さい正の整数、σはＮ－１次多項式上のある離散ガウス分布の標準偏差である。 The key generation unit 251 in the verification device 250 has a set of four parameters λ = (N, q, t, σ) (Expression 82)
Receive. Where N is an integer of 2 冪, q is a prime number congruent to 1 modulo 2N, t is a positive integer smaller than q, and σ is a standard deviation of a certain discrete Gaussian distribution on an N−1 order polynomial.

　次に、２つのＮ－１次多項式ｓおよびｅを標準偏差がσであるＮ次元離散ガウス分布に従って生成する。次に、各係数がｑより小さいＮ－１次多項式ｐ_１をランダムに生成する。 Next, two N−1 order polynomials s and e are generated according to an N-dimensional discrete Gaussian distribution with a standard deviation of σ. Next, an N−1 order polynomial p _{1 in} which each coefficient is smaller than q is randomly generated.

　次に、ｐ_０＝－（ｐ_１×ｓ＋ｔ×ｅ）　　　・・・(式８３)
を計算する。
（λ，ｐ_０，ｐ_１）を暗号化鍵（公開鍵）ｐｋ、
（λ，ｐ_０，ｐ_１，ｓ）を復号鍵（秘密鍵）ｓｋとする（ステップＤ１）。 Next, p ₀ = − (p ₁ × s + t × e) (Expression 83)
Calculate
(Λ, p ₀ , p ₁ ) as an encryption key (public key) pk,
Let (λ, p ₀ , p ₁ , s) be a decryption key (secret key) sk (step D1).

　鍵生成部２５１は、暗号化鍵ｐｋを、暗号文照合システム２００において公開する（ステップＤ２）。鍵生成部２５１は、復号鍵ｓｋを、復号鍵記憶部２５２に格納する（ステップＤ３）。 The key generation unit 251 discloses the encryption key pk in the ciphertext verification system 200 (step D2). The key generation unit 251 stores the decryption key sk in the decryption key storage unit 252 (step D3).

　なお、第４の例示的な実施形態に係る暗号文照合システム２００が準備フェーズにて実行する処理は、図６に例示された様態に限定されない。 Note that the processing executed in the preparation phase by the ciphertext matching system 200 according to the fourth exemplary embodiment is not limited to the mode illustrated in FIG.

　第４の例示的な実施形態の登録フェーズは、前記第２の例示的な実施形態に係る暗号文照合システム２００が実行する登録フェーズの処理の一例を示した図７のフローチャートに従う。図７を参照しながら、第４の例示的な実施形態に係る照合システム２００が、登録フェーズにて実行する処理について説明する。 The registration phase of the fourth exemplary embodiment follows the flowchart of FIG. 7 showing an example of the registration phase process executed by the ciphertext matching system 200 according to the second exemplary embodiment. With reference to FIG. 7, a description will be given of processing executed in the registration phase by the collation system 200 according to the fourth exemplary embodiment.

　登録要求装置２１０における登録情報抽出部２１１は、登録対象の生体から生体情報（登録ベクトルと呼ぶ）Ａ＝（ａ_０，…，ａ_Ｌ－１）　　　・・・(式８４)
を抽出する（ステップＥ１）。 The registration information extraction unit 211 in the registration requesting apparatus 210 receives biometric information (referred to as a registration vector) A = (a ₀ ,..., A _L−1 ) (formula 84)
Is extracted (step E1).

　次に、登録要求装置２１０における第一テンプレート生成部２１２は、登録ベクトルＡ＝（ａ_０，…，ａ_Ｌ－１）から、次の式８５（上記式２０）に従って生成される、登録ベクトルＡの各ｉ番目（ｉ＝０，…，Ｌ－１）の成分ａ_ｉをｉ次の項の係数に持つＬ－１次多項式
ｆ_Ａ＝Σ_{ｉ＝０～Ｌ－１}ａ_ｉ×ｘ^ｉ　　　・・・(式８５)
を生成する。 Next, the first template generation unit 212 in the registration request apparatus 210 generates a registration vector A generated from the registration vector A = (a ₀ ,..., A _L−1 ) according to the following expression 85 (the above expression 20). each i-th (i = 0, ..., L -1) component _{a i} a i following L-1 degree polynomial _{_{f a = Σ i = 0 ~}} L-1 a i × with the coefficients of the terms ^{x i} · a .. (Formula 85)
Is generated.

　次に、準備フェーズのステップＤ２において検証装置２５０が公開した暗号化鍵ｐｋ＝（λ，ｐ_０，ｐ_１）に含まれるパラメータσを用い、標準偏差がσであるＮ次元離散ガウス分布に従って３つのＮ－１次多項式ｕ_１とｇ_１とｆ_１とを生成する。 Next, the parameter σ included in the encryption key pk = (λ, p ₀ , p ₁ ) disclosed by the verification apparatus 250 in step D2 of the preparation phase is used, and 3 according to an N-dimensional discrete Gaussian distribution with a standard deviation of σ. Two N-1th order polynomials u ₁ , g ₁ and f ₁ are generated.

　次に、Ｎ－１次多項式ｕ_１とｇ_１とｆ_１と、暗号化鍵ｐｋに含まれるｔ、ｐ_０、ｐ_１と、生成した多項式ｆ_Ａと、に基づき、以下の二つの多項式、
ｃ_１，０＝ｐ_０×ｕ_１＋ｔ×ｇ_１＋ｆ_Ａ　　　・・・(式８６－１)
ｃ_１，１＝ｐ_１×ｕ_１＋ｔ×ｆ_１　　　　　　・・・(式８６－２)
を計算する。（ｃ_１，０，ｃ_１，１）を暗号文Ｃ_１とする（ステップＥ２）。すなわち、Ｃ_１は暗号化鍵ｐｋによるｆ_Ａの暗号文である。計算した暗号文Ｃ_１＝（ｃ_１，０，ｃ_１，１）を「第一テンプレート」と呼ぶ。 Next, based on the N−1 order polynomials u ₁ , g ₁ and f ₁ , t, p ₀ , p ₁ included in the encryption key pk, and the generated polynomial f _A , the following two polynomials:
c _1,0 = p ₀ × u ₁ + t × g ₁ + f _A (Expression 86-1)
c _1,1 = p ₁ × u ₁ + t × f ₁ (Expression 86-2)
Calculate _Let (c _1,0 , c _1,1 ) be the ciphertext C ₁ (step E2). That is, C ₁ is a ciphertext of f _{A with} the encryption key pk. The calculated ciphertext C ₁ = (c _1,0 , c _1,1 ) is called a “first template”.

　次に、登録要求装置２１０における第二テンプレート生成部２１３は、登録ベクトルＡの各成分の二乗和
Σ_{ｉ＝０～Ｌ－１}ａ_ｉ ^２　　　・・・(式８７)
を計算する。 Next, the second template generation unit 213 in the registration requesting device 210 calculates the sum of squares Σ _{i = 0 to L−1} a _i ^{2 of the} components of the registration vector A (Expression 87).
Calculate

　次に、準備フェーズのステップＤ２において検証装置２５０が公開した暗号化鍵ｐｋ＝（λ，ｐ_０，ｐ_１）に含まれるパラメータσを用い、標準偏差がσであるＮ次元離散ガウス分布に従って３つのＮ－１次多項式ｕ_２とｇ_２とｆ_２とを生成する。 Next, the parameter σ included in the encryption key pk = (λ, p ₀ , p ₁ ) disclosed by the verification apparatus 250 in step D2 of the preparation phase is used, and 3 according to an N-dimensional discrete Gaussian distribution with a standard deviation of σ. Generate two N−1 degree polynomials u ₂ , g ₂ and f ₂ .

　次に、Ｎ－１次多項式ｕ_２とｇ_２とｆ_２と、暗号化鍵ｐｋに含まれるｔ、ｐ_０、ｐ_１と、生成した値Σ_{ｉ＝０～Ｌ－１}ａ_ｉ ^２と、に基づき、以下の二つの多項式、
ｃ_２，０＝ｐ_０×ｕ_２＋ｔ×ｇ_２＋（Σ_{ｉ＝０～Ｌ－１}ａ_ｉ ^２）　・・・(式８８－１)
ｃ_２，１＝ｐ_１×ｕ_２＋ｔ×ｆ_２　　　　　　　　　　　　　　　・・・(式８８－２)
を計算する。（ｃ_２，０，ｃ_２，１）を暗号文Ｃ_２とする（ステップＥ３）。すなわち、Ｃ_２は暗号化鍵ｐｋによるΣ_{ｉ＝０～Ｌ－１}ａ_ｉ ^２の暗号文である。計算した暗号文Ｃ_２＝（ｃ_２，０，ｃ_２，１）を「第二テンプレート」と呼ぶ。 Next, N−1 degree polynomials u ₂ , g _2, and f ₂ , t, p ₀ , p ₁ included in the encryption key pk, and generated values Σ _{i = 0 to L−1} a _i ² , Based on the following two polynomials,
c _2,0 = p ₀ × u ₂ + t × g ₂ + (Σ _{i = 0 to L−1} a _i ² ) (Equation 88-1)
c _2,1 = p ₁ × u ₂ + t × f ₂ (Formula 88-2)
Calculate _Let (c _2,0 , c _2,1 ) be the ciphertext C ₂ (step E3). That is, C ₂ is a ciphertext of Σ _{i = 0 to L−1} a _i ^{2 with} the encryption key pk. The calculated ciphertext C ₂ = (c _2,0 , c _2,1 ) is called a “second template”.

　次に、登録要求装置２１０におけるテンプレート生成部２１４は、第一テンプレートｃ_１＝（ｃ_１，０，ｃ_１，１）と第二テンプレートＣ_２＝（ｃ_２，０，ｃ_２，１）をまとめ、テンプレート（Ｃ_１，Ｃ_２）とする（ステップＥ４）。 Next, the template generation unit 214 in the registration requesting device 210 obtains the first template c ₁ = (c _1,0 , c _1,1 ) and the second template C ₂ = (c _2,0 , c _2,1 ). In summary, the template (C ₁ , C ₂ ) is used (step E4).

　登録要求装置２１０は、テンプレートを記憶装置２２０に送付する（ステップＥ５）。 The registration requesting device 210 sends the template to the storage device 220 (step E5).

　次に、記憶装置２２０は、登録要求装置２１０からテンプレート（Ｃ_１，Ｃ_２）を受け取る（ステップＥ６）。 Next, the storage device 220 receives the template (C ₁ , C ₂ ) from the registration request device 210 (step E6).

　次に、登録要求装置２１０は、記憶装置から登録識別子ｉｄを受け取る（ステップＥ９）。登録要求装置２１０は、例えば、受信した登録識別子ｉｄを、ディスプレイ等のユーザインターフェース（ＵＩ）に表示する（ステップＥ１０）。あるいは、登録要求装置２１０は、社員証や、識別子カード等の、ＩＣ（ｉｎｔｅｇｒａｔｅｄ＿ｃｉｒｃｕｉｔ）カードに、受信した登録識別子ｉｄを格納してもよい。　 Next, the registration request device 210 receives the registration identifier id from the storage device (step E9). For example, the registration requesting device 210 displays the received registration identifier id on a user interface (UI) such as a display (step E10). Alternatively, the registration requesting device 210 may store the received registration identifier id in an IC (integrated_circuit) card such as an employee ID card or an identifier card. *

　次に、記憶装置２２０における登録データ生成部２２２は、テンプレート（Ｃ_１，Ｃ_２）と登録識別子ｉｄをまとめ、登録データ
（（Ｃ_１，Ｃ_２），ｉｄ）　　　　・・・(式８９)
とする（ステップＥ１１）。 Next, the registration data generation unit 222 in the storage device 220 summarizes the template (C ₁ , C ₂ ) and the registration identifier id, and registers data ((C ₁ , C ₂ ), id) (Equation 89)
(Step E11).

　記憶装置２２０における登録データ生成部２２２は、登録データ記憶部２２３に、登録データ（（Ｃ_１，Ｃ_２），ｉｄ）を格納する（ステップＥ１２）。 The registration data generation unit 222 in the storage device 220 stores the registration data ((C ₁ , C ₂ ), id) in the registration data storage unit 223 (step E12).

　なお、第４の例示的な実施形態に係る暗号文照合システム２００が登録フェーズにて実行する処理は、図７に例示された様態に限定されない。例えば、ステップＥ８に先だってステップＥ１１とステップＥ１２とが実行されてもよい。 Note that the processing executed in the registration phase by the ciphertext matching system 200 according to the fourth exemplary embodiment is not limited to the mode illustrated in FIG. For example, step E11 and step E12 may be executed prior to step E8.

　第４の例示的な実施形態の認証フェーズの処理の一例は、前記第２の例示的な実施形態に係る暗号文照合システム２００が実行する処理の一例を示した図８のフローチャートに従う。図８を参照しながら、第４の例示的な実施形態に係る照合システム２００が、認証フェーズにて実行する処理について説明する。 An example of the process of the authentication phase of the fourth exemplary embodiment follows the flowchart of FIG. 8 showing an example of the process executed by the ciphertext matching system 200 according to the second exemplary embodiment. With reference to FIG. 8, a description will be given of processing executed by the verification system 200 according to the fourth exemplary embodiment in the authentication phase.

　次に、照合補助装置２４０におけるチャレンジ補助生成部２４１は、ｔより小さい整数ｒと、Ｎ－１より小さい整数ｈとをランダムに選択する。選択した値をまとめ、チャレンジ補助（ｒ，ｈ）とする（ステップＦ４）。 Next, the challenge auxiliary generation unit 241 in the verification auxiliary device 240 randomly selects an integer r smaller than t and an integer h smaller than N-1. The selected values are collected and used as challenge assistance (r, h) (step F4).

　次に、照合補助装置２４０におけるチャレンジ生成部２４２は、チャレンジ補助（ｒ，ｈ）から多項式
ｒ×ｘ^ｈ　　　・・・(式９０)
を算出する。 Next, the challenge generation unit 242 in the verification assisting device 240 calculates the polynomial r × x ^h (Expression 90) from the challenge assist (r, h).
Is calculated.

　次に、準備フェーズのステップＤ２において検証装置２５０が公開した暗号化鍵ｐｋ＝（λ，ｐ_０，ｐ_１）に含まれるパラメータσを用い、標準偏差がσであるＮ次元離散ガウス分布に従って、３つのＮ－１次多項式ｕ_３とｇ_３とｆ_３とを生成する。 Next, using the parameter σ included in the encryption key pk = (λ, p ₀ , p ₁ ) disclosed by the verification device 250 in step D2 of the preparation phase, according to an N-dimensional discrete Gaussian distribution with a standard deviation of σ, Three N−1 degree polynomials u ₃ , g ₃ and f ₃ are generated.

　次に、３つのＮ－１次多項式ｕ_３とｇ_３とｆ_３と、暗号化鍵の含むｔ、ｐ_０、ｐ_１-と、多項式ｒ×ｘ^ｈと、に基づき、以下の二つの多項式、
ｃ_３，０＝ｐ_０×ｕ_３＋ｔ×ｇ_３＋（ｒ×ｘ^ｈ）　　　・・・(式９１－１)
ｃ_３，１＝ｐ_１×ｕ_３＋ｔ×ｆ_３　　　　　　　　　　・・・(式９１－２)
を計算する。（ｃ_３，０，ｃ_３，１）を暗号文Ｃ_３とする（ステップＦ５）。すなわち、Ｃ_３は暗号化鍵ｐｋによるｒ×ｘ^ｈの暗号文である。計算した暗号文Ｃ_３＝（ｃ_３，０，ｃ_３，１）を「チャレンジ」と呼ぶ。照合補助装置２４０は、チャレンジＣ_３を認証要求装置２３０に送付する（ステップＦ６）。 Next, based on the three N−1 degree polynomials u ₃ , g _3, and f ₃ , t, p ₀ , p ₁₋ including the encryption key, and the polynomial r × x ^h , the following two polynomials ,
c _3,0 = p ₀ × u ₃ + t × g ₃ + (r × x ^h ) (Formula 91-1)
c _3,1 = p ₁ × u ₃ + t × f ₃ (Formula 91-2)
Calculate _Let (c _3,0 , c _3,1 ) be the ciphertext C ₃ (step F5). That is, C ₃ is an r × x ^h ciphertext with the encryption key pk. The calculated ciphertext C ₃ = (c _3,0 , c _3,1 ) is called a “challenge”. Verification auxiliary apparatus 240, sends the challenge _{C 3} to the authentication request unit 230 (step F6).

　記憶装置２２０は、登録データ記憶部２２３に格納されている一つまたは複数の登録データのうち、一部またはすべて（Ｍ個とする）の登録データを照合補助装置２４０に送付する（ステップＦ１０）。ただし、各登録データはテンプレートと登録識別子の組である。 The storage device 220 sends a part or all (M) of registration data among one or a plurality of registration data stored in the registration data storage unit 223 to the verification assisting device 240 (step F10). . However, each registration data is a set of a template and a registration identifier.

　以下では、各ｊ番目（ｊ＝１，…，Ｍ）の登録データを
（（Ｃ_ｊ，１，Ｃ_ｊ，２），ｉｄ_ｊ）　　　・・・(式９２)
と表す。 In the following, each j-th (j = 1,..., M) registered data is represented as ((C _{j, 1} , C _{j, 2} ), id _j ) (Equation 92)
It expresses.

　また、各ｊ番目（ｊ＝１，…，Ｍ）の登録データ（（Ｃ_ｊ，１，Ｃ_ｊ，２），ｉｄ_ｊ）に含まれるテンプレート（Ｃ_ｊ，１，Ｃ_ｊ，２）は、登録ベクトルＡ_ｊから生成されたものであるものとする。 In addition, templates (C _{j, 1} , C _{j, 2} ) included in each j-th (j = 1,..., M) registration data ((C _{j, 1} , C _{j, 2} ), id _j ) are: It is assumed that it is generated from the registration vector _Aj .

　また、各ｊ番目（ｊ＝１，…，Ｍ）の登録データ（（Ｃ_ｊ，１，Ｃ_ｊ，２），ｉｄ_ｊ）に含まれる第一テンプレートＣ_ｊ，１は、登録ベクトルＡ_ｊから生成された多項式ｆ_Ａ，ｊの暗号文
Ｅｎｃ（ｐｋ、ｆ_Ａ，ｊ）＝（ｃ_{ｊ，１，０}，ｃ_{ｊ，１，１}）　　　・・・(式９３)
であるものとする。 The first template C _{j, 1} included in each j-th (j = 1,..., M) registration data ((C _{j, 1} , C _{j, 2} ), id _j ) is obtained from the registration vector A _j. Cipher text Enc (pk, f _{A, j} ) = (c _{j, 1,0} , c _{j, 1,1} ) of the generated polynomial f _{A, j} (Equation 93)
Suppose that

　また、各ｊ番目（ｊ＝１，…，Ｍ）の登録データ（（Ｃ_ｊ，１，Ｃ_ｊ，２），ｉｄ_ｊ）に含まれる第二テンプレートＣ_ｊ，２は、登録ベクトルＡ_ｊの各成分の二乗和
Σ_{ｉ＝０～ｎ－１}ａ_ｊ，ｉ ^２　　　・・・(式９４)
の暗号文
Ｅｎｃ（ｐｋ，Σ_{ｉ＝０～ｎ－１}ａ_ｊ，ｉ ^２）＝（ｃ_{ｊ，２，０}，ｃ_{ｊ，２，１}）　　　　・・・(式９５)
であるものとする。 Further, the second template C _{j, 2} included in each j-th (j = 1,..., M) registration data ((C _{j, 1} , C _{j, 2} ), id _j ) is stored in the registration vector A _j . Sum of squares of each component Σ _{i = 0 to n−1} a _{j, i} ² (Equation 94)
Ciphertext Enc (pk, Σ _{i = 0 to n−1} a _{j, i} ² ) = (c _{j, 2,0} , c _{j, 2,1} ) (Equation 95)
Suppose that

　認証要求装置２３０は、照合補助装置２４０からチャレンジを受け取る（ステップＦ１２）。 The authentication requesting device 230 receives a challenge from the verification assisting device 240 (step F12).

　次に、認証要求装置２３０における認証情報抽出部２３２は、認証対象の生体から生体情報（「認証ベクトル」と呼ぶ）
Ｂ＝（ｂ_０，…，ｂ_Ｌ－１）　　　・・・(式９６)
を抽出する（ステップＦ１３）。 Next, the authentication information extraction unit 232 in the authentication requesting device 230 obtains biometric information (referred to as “authentication vector”) from the biometric subject to authentication.
B = (b ₀ ,..., B _L−1 ) (Equation 96)
Is extracted (step F13).

　次に、認証要求装置２３０における第一レスポンス生成部２３３は、次の式９７（上記式２０）に従って生成される、認証ベクトルＢの各ｉ番目（ｉ＝０，…，Ｌ－１）の成分ｂ_ｉの加法に関する逆元－ｂ_ｉをＮ－ｉ次の項の係数に持つ多項式
ｆ_Ｂ＝－Σ_{ｉ＝０～ｎ－１}ｂ_ｉ×ｘ^Ｎ－ｉ　・・・(式９７)
を生成する。 Next, the first response generation unit 233 in the authentication requesting device 230 generates each i-th (i = 0,..., L−1) component of the authentication vector B generated according to the following expression 97 (the above expression 20). b _i polynomials with additive regarding the inverse -b _i of the coefficient of n-i following section _{_{f B = -Σ i = 0 ~}} n-1 b i × x n-i ··· ( formula 97)
Is generated.

　ただし、多項式の次数がＮ以上となった場合には、
ｘ^Ｎ＝－１、ｘ^Ｎ＋１＝－ｘ、…
と置き換えることにより、多項式をＮ－１次以下にする。以下の計算においても同様に行う。 However, when the degree of the polynomial is N or more,
x ^N = -1, x ^{N + 1} = -x, ...
To make the polynomial less than or equal to the (N−1) th order. The same applies to the following calculations.

　次に、ステップＦ１２で受け取ったチャレンジＣ_３＝（ｃ_３，０，ｃ_３，１）と、生成した多項式ｆ_Ｂと、に基づき、
ｃ_４，０＝ｆ_Ｂ×ｃ_３，０　・・・(式９８－１)
ｃ_４，１＝ｆ_Ｂ×ｃ_３，１　・・・(式９８－２)
を計算する。（ｃ_４，０，ｃ_４，１）を暗号文Ｃ_４とする（ステップＦ１４）。すなわち、Ｃ_４は暗号化鍵ｐｋによるｒ×ｘ^ｈ×ｆ_Ｂの暗号文である。Ｃ_４＝（ｃ_４，０，ｃ_４，１）を「第一レスポンス」と呼ぶ。 Next, based on the challenge C ₃ = (c _3,0 , c _3,1 ) received in step F12 and the generated polynomial f _B ,
c _4,0 = f _B × c _3,0 (Formula 98-1)
c _4,1 = f _B × c _3,1 (Formula 98-2)
Calculate _Let (c _4,0 , c _4,1 ) be the ciphertext C ₄ (step F14). That is, C ₄ is an encrypted text of r × x ^h × f _{B with} the encryption key pk. C ₄ = (c _4,0 , c _4,1 ) is called a “first response”.

　次に、認証要求装置２３０における第二レスポンス生成部２３４は、認証ベクトルＢの各成分の二乗和
Σ_{ｉ＝０～Ｌ－１}ｂ_ｉ ^２　　　・・・(式９９)
を計算する。 Next, the second response generation unit 234 in the authentication requesting device 230 obtains the sum of squares Σ _{i = 0 to L−1} b _i ^{2 of the} components of the authentication vector B (Equation 99).
Calculate

　次に、準備フェーズのステップＡ２において、検証装置２５０が公開した暗号化鍵ｐｋ＝（λ，ｐ_０，ｐ_１）に含まれるパラメータσを用い、標準偏差がσであるＮ次元離散ガウス分布に従って３つのＮ－１次多項式ｕ_５とｇ_５とｆ_５とを生成する。 Next, in step A2 of the preparation phase, the parameter σ included in the encryption key pk = (λ, p ₀ , p ₁ ) disclosed by the verification device 250 is used, and the standard deviation is σ according to the N-dimensional discrete Gaussian distribution. Three N-1th order polynomials u ₅ , g ₅ and f ₅ are generated.

　次に、３つのＮ－１次多項式ｕ_５とｇ_５とｆ_５と、暗号化鍵ｐｋに含まれるｔ、ｐ_０、ｐ_１と、生成した値Σ_{ｉ＝０～Ｌ－１}ｂ_ｉ ^２と、に基づき、以下の二つの多項式、
ｃ_５，０＝ｐ_０×ｕ_５＋ｔ×ｇ_５＋（Σ_{ｉ＝０～Ｌ－１}ｂ_ｉ ^２）　・・・(式１００－１)
ｃ_５，１＝ｐ_１×ｕ_５＋ｔ×ｆ_５　　　　　　　　　　　　　　・・・(式１００－２)
を計算する。（ｃ_５，０，ｃ_５，１）を暗号文Ｃ_５とする（ステップＦ１５）。すなわち、Ｃ_５は暗号化鍵ｐｋによる、Σ_{ｉ＝０～Ｌ－１}ｂ_ｉ ^２　
の暗号文である。ステップＦ１５で計算した暗号文Ｃ_５＝（ｃ_５，０，ｃ_５，１）を「第二レスポンス」と呼ぶ。 Next, three N−1 degree polynomials u ₅ , g _5, and f ₅ , t, p ₀ , and p ₁ included in the encryption key pk, and generated values Σ _{i = 0 to L−1} b _i ² And the following two polynomials,
c _5,0 = p ₀ × u ₅ + t × g ₅ + (Σ _{i = 0 to L−1} b _i ² ) (Equation 100-1)
c _5,1 = p ₁ × u ₅ + t × f ₅ (Equation 100-2)
Calculate _Let (c _5,0 , c _5,1 ) be the ciphertext C ₅ (step F15). That is, C ₅ is Σ _{i = 0 to L−1} b _i ² depending on the encryption key pk.
Is the ciphertext. The ciphertext C ₅ = (c _5,0 , c _5,1 ) calculated in step F15 is referred to as a “second response”.

　次に、認証要求装置２３０におけるレスポンス生成部２３５は、第一レスポンスＣ_４＝（ｃ_４，０，ｃ_４，１）と第二レスポンスＣ_５＝（ｃ_５，０，ｃ_５，１）をまとめ、レスポンス（Ｃ_４，Ｃ_５）とする（ステップＦ１６）。 Next, the response generation unit 235 in the authentication requesting device 230 obtains the first response C ₄ = (c _4,0 , c _4,1 ) and the second response C ₅ = (c _5,0 , c _5,1 ). In summary, responses (C ₄ , C ₅ ) are set (step F16).

　認証要求装置２３０は、上記レスポンス（Ｃ_４，Ｃ_５）を照合補助装置２４０に送付する（ステップＦ１７）。 The authentication requesting device 230 sends the response (C ₄ , C ₅ ) to the verification assisting device 240 (step F17).

　次に、照合補助装置２４０は、認証要求装置２３０から上記レスポンス（Ｃ_４，Ｃ_５）を受け取る（ステップＦ１８）。 Next, the verification assisting device 240 receives the response (C ₄ , C ₅ ) from the authentication requesting device 230 (step F18).

　次に、照合補助装置２４０における暗号化内積計算部２４４は、ステップＦ４で生成したチャレンジ補助（ｒ，ｈ）から、
－ｒ^－１×ｘ^Ｎ－ｈ　　　・・・(式１０１)
を計算する。ただし、ｒ^－１はｔを法として、
ｒ×ｒ^－１＝１　　　　　・・・(式１０２)
を満たす、１以上ｔ未満の整数である。 Next, the encryption inner product calculation unit 244 in the verification assisting device 240 uses the challenge assist (r, h) generated in Step F4,
−r ⁻¹ × x ^N−h (Formula 101)
Calculate Where r ^-1 modulo t
r × r ⁻¹ = 1 (Formula 102)
1 or more and less than t.

　次に、照合補助装置２４０における暗号化内積計算部２４４は、ステップＦ１８で受け取ったレスポンス（Ｃ_４，Ｃ_５）に含まれる第一レスポンスＣ_４＝（ｃ_４，０，ｃ_４，１）と、生成した－ｒ^－１×ｘ^Ｎ－ｈと、に基づき、
ｃ_６，０＝（－ｒ^－１×ｘ^Ｎ－ｈ）×ｃ_４，０　・・・(式１０３－１)
ｃ_６，１＝（－ｒ^－１×ｘ^Ｎ－ｈ）×ｃ_４，１　・・・(式１０３－２)
を計算する。
（ｃ_６，０，ｃ_６，１）　　・・・(式１０４)
を暗号文Ｃ_６とする。すなわち、Ｃ_６は、暗号化鍵ｐｋによる
（ｒ×ｘ^ｈ×ｆ_Ｂ）×（－ｒ^－１×ｘ^Ｎ－ｈ）＝ｆ_Ｂ　　　・・・(式１０５)
の暗号文である。 Next, the encrypted inner product calculation unit 244 in the verification assisting device 240 obtains the first response C ₄ = (c _4,0 , c _4,1 ) included in the response (C ₄ , C ₅ ) received in step F18. a ^{-r -1} × ^{x N-h} which generated, based on,
_{^{c 6,0 = (- r -1 ×}} x N-h) × c 4,0 ··· ( Formula 103-1)
_{^{c 6,1 = (- r -1 ×}} x N-h) × c 4,1 ··· ( Formula 103-2)
Calculate
(C _6,0 , c _6,1 ) (Formula 104)
A and ciphertext _{C 6.} That, _{C 6} is due to the encryption key ^{_{pk (r × x h × f}} B) × (-r -1 × x N-h) = f B ··· ( Formula 105)
Is the ciphertext.

　次に、照合補助装置２４０における暗号化内積計算部２４４は、各ｊ（ｊ＝１，…，Ｍ）について、ステップＦ１１で受け取ったＭ個の登録データのうち、
ｊ番目の登録データ（（Ｃ_ｊ，１，Ｃ_ｊ，２），ｉｄ_ｊ）に含まれる第一テンプレートＣ_ｊ，１＝（ｃ_{ｊ，１，０}，ｃ_{ｊ，１，１}）と、
　生成した暗号文Ｃ_６＝（ｃ_６，０，ｃ_６，１）と、に基づき、
ｃ_{ｊ，７，０}＝ｃ_{ｊ，１，０}×ｃ_６，０　　　　　　　　　　　　・・・(式１０６－１)
ｃ_{ｊ，７，１}＝ｃ_{ｊ，１，０}×ｃ_６，１＋ｃ_{ｊ，１，１}×ｃ_６，０　・・・(式１０６－２)
ｃ_{ｊ，７，２}＝ｃ_{ｊ，１，１}×ｃ_６，１　　　　　　　　　　　　・・・(式１０６－３)
を計算する。 Next, the encryption inner product calculation unit 244 in the verification assisting device 240, for each j (j = 1,..., M), out of the M registration data received in step F11,
a first template C _{j, 1} = (c _{j, 1,0} , c _{j, 1,1} ) included in the j-th registered data ((C _{j, 1} , C _{j, 2} ), id _j );
Based on the generated ciphertext C ₆ = (c _6,0 , c _6,1 ),
c _{j, 7,0} = c _{j, 1,0} × c _6,0 (Formula 106-1)
c _{j, 7,1} = c _{j, 1,0} × c _6,1 + c _{j, 1,1} × c _6,0 (Equation 106-2)
c _{j, 7,2} = c _{j, 1,1} × c _6,1 (Formula 106-3)
Calculate

　各ｊ（ｊ＝１，…，Ｍ）について、
（ｃ_{ｊ，７，０}，ｃ_{ｊ，７，１}，ｃ_{ｊ，７，２}）　　　・・・(式１０７)
を暗号文Ｃ_ｊ，７とする（ステップＦ１９）。すなわち、各ｊ（ｊ＝１，…，Ｍ）について、Ｃ_ｊ，７は暗号化鍵ｐｋによるｆ_Ａ，ｊ×ｆ_Ｂの暗号文である。 For each j (j = 1, ..., M)
_{_{_{(C j, 7,0, c j}}} , 7,1, c j, 7,2) ··· ( Formula 107)
Is the ciphertext C _{j, 7} (step F19). That is, for each j (j = 1,..., M), C _{j, 7} is a ciphertext of f _{A, j} × f _{B with} the encryption key pk.

　各ｊ（ｊ＝１，…，Ｍ）について、計算した暗号文Ｃ_ｊ，７＝（ｃ_{ｊ，７，０}，ｃ_{ｊ，７，１}，ｃ_{ｊ，７，２}）を「暗号化内積」と呼ぶ。 Each j (j = 1, ..., M) for the calculated ciphertext _{_{_{C j, 7 = (c j}}} , 7,0, c j, 7,1, c j, 7,2) "Encryption inner product" Call it.

　なお、前述の通り、各ｊ（ｊ＝１，…，Ｍ）について、ｆ_Ａ，ｊ×ｆ_Ｂの定数項は登録ベクトルＡ_ｊと認証ベクトルＢとの内積＜Ａ_ｊ，Ｂ＞＝Σ_{ｉ＝０～ｎ－１}ａ_ｊ，ｉ×ｂ_ｉと等しい。 Incidentally, as described above, each of j (j = 1, ..., M) _{for, f A,} inner product of the constant term of the _j × _{f B} is the registered vectors _{A j} and an authentication vector B _<A j ,B> = Σ _{i = 0 to n−1} a _{j, i} × b _i is equal to _i .

　次に、照合補助装置２４０におけるクエリ生成部２４５は、各ｊ（ｊ＝１，…，Ｍ）について、
・ステップＦ１１で受け取ったＭ個の登録データのうち、
ｊ番目の登録データ（（Ｃ_ｊ，１，Ｃ_ｊ，２），ｉｄ_ｊ）に含まれる第二テンプレート
Ｃ_ｊ，２＝（ｃ_{ｊ，２，０}，ｃ_{ｊ，２，１}）と、
・ステップＦ１８で受け取ったレスポンス（Ｃ_４，Ｃ_５）に含まれる第二レスポンスＣ_５＝（ｃ_５，０，ｃ_５，１）と、
・ステップＦ１９で生成したｊ番目の暗号化内積Ｃ_ｊ，７＝（ｃ_{ｊ，７，０}，ｃ_{ｊ，７，１}，ｃ_{ｊ，７，２}）と、に基づき、
ｃ_{ｊ，８，０}＝ｃ_{ｊ，２，０}＋ｃ_５，０＋－２×ｃ_{ｊ，７，０}　　・・・(式１０８－１)
ｃ_{ｊ，８，１}＝ｃ_{ｊ，２，１}＋ｃ_５，１－２×ｃ_{ｊ，７，１}　　　・・・(式１０８－２)
ｃ_{ｊ，８，２}＝－２×ｃ_{ｊ，７，２}　　　　　　　　　　　　　　・・・(式１０８－３)
を計算する。 Next, the query generation unit 245 in the verification assisting device 240 for each j (j = 1,..., M)
Of the M registration data received in step F11,
a second template C _{j, 2} = (c _{j, 2,0} , c _{j, 2,1} ) included in the j-th registered data ((C _{j, 1} , C _{j, 2} ), id _j );
A second response C ₅ = (c _5,0 , c _5,1 ) included in the response (C ₄ , C ₅ ) received in step F18;
Step j-th encrypted inner product generated by the F19 _C _j, 7 ₌ a _{(c j, 7,0, c j} , 7,1, c j, 7,2), based on,
c _{j, 8,0} = c _{j, 2,0} + c _5,0 + -2 × c _{j, 7,0} (Formula 108-1)
c _{j, 8,1} = c _{j, 2,1} + c _5,1 −2 × c _{j, 7,1} (Formula 108-2)
c _{j, 8,2} = −2 × c _{j, 7,2} (Formula 108-3)
Calculate

　各ｊ（ｊ＝１，…，Ｍ）について、（ｃ_{ｊ，８，０}，ｃ_{ｊ，８，１}，ｃ_{ｊ，８，２}）を暗号文Ｃ_ｊ，８とする（ステップＦ２０）。 For each j (j = 1,..., M), (c _{j, 8,0} , c _{j, 8,1} , c _{j, 8,2} ) is set as ciphertext C _{j, 8} (step F20).

　すなわち、各ｊ（ｊ＝１，…，Ｍ）について、Ｃ_ｊ，８は、暗号化鍵ｐｋによる
（Σ_{ｉ＝０～ｎ－１}ａ_ｊ，ｉ ^２）＋（Σ_{ｉ＝０～ｎ－１}ｂ_ｉ ^２）－２×ｆ_Ａ，ｊ×ｆ_Ｂ
　　　・・・(式１０９)
の暗号文である。 That is, for each j (j = 1,..., M), C _{j, 8} is (Σ _{i = 0 to n−1} a _{j, i} ² ) + (Σ _{i = 0 to n−} ) according to the encryption key pk. ₁ b _i ² ) -2 × f _{A, j} × f _B
... (Formula 109)
Is the ciphertext.

　各ｊ（ｊ＝１，…，Ｍ）について、計算した暗号文
Ｃ_ｊ，８＝（ｃ_{ｊ，８，０}，ｃ_{ｊ，８，１}，ｃ_{ｊ，８，２}）　　　・・・(式１１０)
を「クエリ」と呼ぶ。 For each j (j = 1,..., M), the calculated ciphertext C _{j, 8} = (c _{j, 8,0} , c _{j, 8,1} , c _{j, 8,2} ) (Formula 110) )
Is called a “query”.

　したがって、各ｊ（ｊ＝１，…，Ｍ）について、Ｃ_ｊ，８は登録ベクトルＡ_ｊと認証ベクトルＢとのユークリッド距離ｄ_Ｅ（Ａ_ｊ，Ｂ）を定数項に持つ多項式の暗号文である。 Therefore, for each j (j = 1,..., M), C _{j, 8} is a polynomial ciphertext having a constant term of Euclidean distance d _E (A _j , B) between registration vector A _j and authentication vector B. is there.

　次に、照合補助装置２４０における検証データ生成部２４６は、各ｊ（ｊ＝１，…，Ｍ）について、
・ステップＦ１１で受け取ったＭ個の登録データのうち、ｊ番目の登録データに含まれる第二テンプレートを用いて、ステップＦ２０で生成したクエリＣ_ｊ，８＝（ｃ_{ｊ，８，０}，ｃ_{ｊ，８，１}，ｃ_{ｊ，８，２}）と、
・ステップＦ１１で受け取ったＭ個の登録データのうち、ｊ番目の登録データに含まれる登録識別子ｉｄ_ｊと、を、
ｊ番目の検証データ（Ｃ_ｊ，８，ｉｄ_ｊ）とする（ステップＦ２１）。 Next, the verification data generation unit 246 in the verification assisting device 240 performs the following for each j (j = 1,..., M).
The query C _{j, 8} = (c _{j, 8,0} , c _j generated in step F20 using the second template included in the jth registration data among the M pieces of registration data received in step F11 _{, 8,1} , c _{j, 8,2} ),
Of the M pieces of registration data received in step F11, the registration identifier id _j included in the j-th registration data,
The j-th verification data (C _{j, 8} , id _j ) is assumed (step F21).

　検証装置２５０におけるクエリ検証部２５３は、各ｊ（ｊ＝１，…，Ｍ）について、
・ステップＦ２３で受け取ったＭ個の検証データのうち、ｊ番目の検証データ（Ｃ_ｊ，８，ｉｄ_ｊ）に含まれるクエリＣ_ｊ，８＝（ｃ_{ｊ，８，０}，ｃ_{ｊ，８，１}，ｃ_{ｊ，８，２}）と、
・秘密鍵（復号鍵）ｓｋ＝（λ，ｐ_０，ｐ_１，ｓ）と、に基づき、
Ｄ_ｊ，１＝ｃ_{ｊ，８，０}＋ｃ_{ｊ，８，１}×ｓ＋ｃ_{ｊ，８，２}×ｓ^２　　　・・・(式１１１)
を計算する。 The query verification unit 253 in the verification device 250 performs the following for each j (j = 1,..., M).
Of the M pieces of verification data received in step F23, the query C _{j, 8} = (c _{j, 8,0} , c _{j, 8,} included in the _jth verification data (C _{j, 8} , id _j ) ₁ , c _{j, 8,2} ),
Based on the secret key (decryption key) sk = (λ, p ₀ , p ₁ , s),
D _{j, 1} = c _{j, 8,0} + c _{j, 8,1} × s + c _{j, 8,2} × s ² (Equation 111)
Calculate

　次に、各ｊ（ｊ＝１，…，Ｍ）について、Ｄ_ｊ，１をｑで割った余りを、Ｄ_ｊ，２とする。 Next, for each j (j = 1,..., M), the remainder obtained by dividing D _{j, 1} by q is D _{j, 2} .

　次に、各ｊ（ｊ＝１，…，Ｍ）について、Ｄ_ｊ，２がｑ／２以上であればＤ_ｊ，３＝Ｄ_ｊ，２－ｑとする。Ｄ_ｊ，２がｑ／２より小さければＤ_ｊ，３＝Ｄ_ｊ，２とする。これは、Ｄのｑを法とした［－ｑ／２，ｑ／２）への剰余演算である。 Next, for each j (j = 1,..., M), if D _{j, 2} is equal to or greater than q / 2, then D _{j, 3} = D _{j, 2-} q. If D _{j, 2} is smaller than q / 2, then D _{j, 3} = D _{j, 2} . This is a remainder operation to [−q / 2, q / 2) modulo D of q.

　次に、各ｊ（ｊ＝１，…，Ｍ）について、Ｄ_ｊ，３をｔで割った余りの多項式をＤ_ｊ，４とする。Ｄ_ｊ，４の定数項を、Ｄ_ｊ，５とする（ステップＦ２４）。各ｊ（ｊ＝１，…，Ｍ）について、Ｄ_ｊ，５を「検証結果」と呼ぶ。 Next, for each j (j = 1,..., M), a remainder polynomial obtained by dividing D _{j, 3} by t is D _{j, 4} . The constant term of D _{j, 4} is set to D _{j, 5} (step F24). For each j (j = 1,..., M), D _{j, 5} is called a “verification result”.

　前述の通り、各ｊ（ｊ＝１，…，Ｍ）について、Ｍ個の検証データのうちｊ番目の検証データから生成されたＤ_５は、登録ベクトルＡ_ｊと認証ベクトルＢとのユークリッド距離ｄ_Ｅ（Ａ_ｊ，Ｂ）である。 As described above, for each j (j = 1,..., M), D ₅ generated from the j-th verification data among the M verification data is the Euclidean distance d between the registration vector A _j and the authentication vector B. _E (A _j , B).

　次に、検証装置２５０における照合結果生成部２５４は、各ｊ（ｊ＝１，…，Ｍ）について、Ｍ個の検証データのうち、
・ｊ番目の検証データに含まれるクエリに基づき、ステップＦ２４で生成した検証結果Ｄ_ｊ，５と、
・ｊ番目の検証データに含まれる登録識別子ｉｄ_ｊと、をまとめ、ｊ番目の照合結果（Ｄ_ｊ，５，ｉｄ_ｊ）とする。あるいは、検証装置２５０における照合結果生成部２５４は、各ｊ（ｊ＝１，…，Ｍ）について、Ｍ個の検証データのうち、
・ｊ番目の検証データに含まれるクエリからステップＦ２４で生成した検証結果ｉｄ_ｊと、あらかじめ定められた閾値との大小を比較した結果ｄ_ｊと、
・ｊ番目の検証データに含まれる登録識別子ｉｄ_ｊと、をまとめ、ｊ番目の照合結果（ｄ_ｊ，ｉｄ_ｊ）としてもよい（ステップＦ２５）。 Next, the verification result generation unit 254 in the verification device 250, for each j (j = 1,..., M), out of M verification data,
The verification result D _{j, 5} generated in step F24 based on the query included in the jth verification data;
The registration identifier id _j included in the j-th verification data is collected and used as the j-th matching result (D _{j, 5} , id _j ). Or the collation result generation part 254 in the verification apparatus 250 is M among verification data about each j (j = 1, ..., M).
A result d _j that compares the verification result id _j generated in step F24 from the query included in the j-th verification data with a predetermined threshold;
The registration identifier id _j included in the j-th verification data may be collected and used as the j-th collation result (d _j , id _j ) (step F25).

　なお、第４の例示的な実施形態に係る暗号文照合システム２００が認証フェーズにて実行する処理は、図８に例示された様態に限定されない。例えば、ステップＦ５に先だってステップＦ９からステップＦ１３が実行されてもよい。 Note that the processing executed by the ciphertext matching system 200 according to the fourth exemplary embodiment in the authentication phase is not limited to the mode illustrated in FIG. For example, steps F9 to F13 may be executed prior to step F5.

　第４の例示的な実施形態に係る暗号文照合システム２００の上記の説明において、登録要求装置２１０における第一テンプレート生成部２１２がステップＢ２において生成する多項式ｆ_Ａは、登録ベクトルＡに基づき上記式２０に従って生成される多項式であるとし、認証要求装置１３０における第一レスポンス生成部２３３がステップＣ１６において生成する多項式ｆ_Ｂは、認証ベクトルに基づき上記式２１に従って生成される多項式であるとした。 In the above description of the ciphertext matching system 200 according to the fourth exemplary embodiment, the polynomial f _A generated in step B2 by the first template generation unit 212 in the registration request apparatus 210 is based on the registration vector A. It is assumed that the polynomial f _B generated by the first response generation unit 233 in the authentication requesting device 130 in step C16 is a polynomial generated according to the above equation 21 based on the authentication vector.

　第４の例示的な実施形態における二つの多項式の生成方法は、上記の方法に限らない。例えば、登録要求装置２１０における第一テンプレート生成部２１２がステップＢ２において生成する多項式ｆ_Ａを、登録ベクトルＡに基づき上記式２１に従って生成される多項式とし、認証要求装置２３０における第一レスポンス生成部２３３がステップＦ１６において生成する多項式ｆ_Ｂを、認証ベクトルに基づき上記式２０に従って生成される多項式としてもよい。
［効果の説明］ The method of generating the two polynomials in the fourth exemplary embodiment is not limited to the above method. For example, the polynomial f _A generated by the first template generation unit 212 in the registration request device 210 in step B 2 is a polynomial generated according to the above equation 21 based on the registration vector A, and the first response generation unit 233 in the authentication request device 230. There polynomial f _B to generate at step F16, or as a polynomial generated according to the formula 20 based on the authentication vector.
[Description of effects]

　次に、第４の例示的な実施形態に係る暗号文照合システム２００に関する効果について説明する。 Next, effects related to the ciphertext matching system 200 according to the fourth exemplary embodiment will be described.

　第４の例示的な実施形態に係る暗号文照合システム２００によれば、認証を要求するユーザが、自身の識別子を提示せず、登録された全ての情報と、認証に用いられる情報の照合を行う、１：Ｎ認証を安全に実現することが可能である。すなわち、次の２つの効果を有する。 According to the ciphertext verification system 200 according to the fourth exemplary embodiment, a user who requests authentication does not present his / her identifier, and verifies all registered information and information used for authentication. It is possible to safely implement 1: N authentication. That is, it has the following two effects.

　第４の例示的な実施形態に係る暗号文照合システム２００によれば、登録要求装置２１０が抽出した登録ベクトルは、登録要求装置２１０上で暗号化され、記憶装置２２０に送られる。また、認証要求装置２３０が抽出した認証ベクトルは、認証要求装置２３０上で暗号化され、照合補助装置２４０に送られる。これらの暗号文を復号できるのは、復号鍵を持つ検証装置２５０であるが、検証装置２５０の受け取るデータは登録ベクトルと認証ベクトルの間のユークリッド距離の暗号文であり、登録ベクトルや認証ベクトルの値を開示しない。 According to the ciphertext matching system 200 according to the fourth exemplary embodiment, the registration vector extracted by the registration requesting device 210 is encrypted on the registration requesting device 210 and sent to the storage device 220. The authentication vector extracted by the authentication requesting device 230 is encrypted on the authentication requesting device 230 and sent to the verification assisting device 240. The ciphertext can be decrypted by the verification device 250 having a decryption key, but the data received by the verification device 250 is a ciphertext of the Euclidean distance between the registration vector and the authentication vector. The value is not disclosed.

　したがって、第４の例示的な実施形態に係る暗号文照合システム２００によれば、それぞれのベクトルを抽出する装置以外の装置に登録ベクトルと認証ベクトルの距離以外の値を漏洩せず、登録ベクトルと認証ベクトルの間の距離を算出することが可能である。 Therefore, according to the ciphertext matching system 200 according to the fourth exemplary embodiment, a value other than the distance between the registration vector and the authentication vector is not leaked to a device other than the device that extracts each vector, It is possible to calculate the distance between the authentication vectors.

　また、第４の例示的な実施形態に係る暗号文照合システム２００によれば、同じ登録ベクトルとの認証を行う際であっても、ステップＣ５で選ばれた乱数を用いた処理が行われる。したがって、照合処理の通信内容が漏洩したとしても、漏洩した内容を再送したり、漏洩した内容を利用して作成したデータを送付したりすることによって、漏洩した照合時の距離と等しい距離を算出させたり、小さい値を算出させたりすることができない。 Also, according to the ciphertext matching system 200 according to the fourth exemplary embodiment, even when authenticating with the same registration vector, processing using the random number selected in step C5 is performed. Therefore, even if the communication content of the verification process is leaked, the distance equal to the distance at the time of the leaked verification is calculated by resending the leaked content or sending data created using the leaked content Or a small value cannot be calculated.

　特に、第４の例示的な実施形態に係る暗号文照合システム２００を、距離が閾値より小さいときに「受理」とする認証に利用する場合、登録ベクトルを知らない攻撃者が「受理」とされない性質、すなわちなりすまし攻撃への耐性を有する。 In particular, when the ciphertext matching system 200 according to the fourth exemplary embodiment is used for authentication that accepts when the distance is smaller than the threshold, an attacker who does not know the registered vector is not accepted. The property, ie, resistance to spoofing attacks.

　さらに、第４の例示的な実施形態に係る暗号文照合システム２００は、高速な処理が可能な暗号方式である非特許文献１に記載された暗号方式を用いて構成される。そのため、高速な照合処理が可能である。 Furthermore, the ciphertext matching system 200 according to the fourth exemplary embodiment is configured using an encryption method described in Non-Patent Document 1, which is an encryption method capable of high-speed processing. Therefore, high-speed collation processing is possible.

　さらに、第４の例示的な実施形態に係る暗号文照合システム２００では、復号鍵を持つ検証装置２５０に対して、登録ベクトルと認証ベクトルの間のユークリッド距離を開示しないように変形可能である。例えば、非特許文献４に記載された方式と同じ方法を適用することにより、復号鍵を持つ検証装置２５０が、登録ベクトルと認証ベクトルの間のユークリッド距離を算出できない方式に変形できる。復号鍵を持つ検証装置２５０に対して、登録ベクトルと認証ベクトルの間のユークリッド距離を開示しない方式は、特別な状況下においても復号鍵を持つ検証装置２５０が登録ベクトルの値を算出することを防ぐことができる。このため、より高い安全性を達成できる。 Furthermore, in the ciphertext matching system 200 according to the fourth exemplary embodiment, the verification device 250 having the decryption key can be modified so as not to disclose the Euclidean distance between the registration vector and the authentication vector. For example, by applying the same method as the method described in Non-Patent Document 4, the verification device 250 having a decryption key can be transformed into a method that cannot calculate the Euclidean distance between the registration vector and the authentication vector. A method that does not disclose the Euclidean distance between the registration vector and the authentication vector for the verification device 250 having the decryption key means that the verification device 250 having the decryption key calculates the value of the registration vector even under special circumstances. Can be prevented. For this reason, higher safety can be achieved.

　特に制限されるものではないが、本発明の適用例として、例えば、特徴量として多値ベクトルを用いる生体認証が挙げられる。 Although not particularly limited, as an application example of the present invention, for example, biometric authentication using a multi-value vector as a feature amount can be mentioned.

　例えば登録フェーズにおける入力データと、照合フェーズにおける入力データを、指紋や静脈などから取得した生体情報から得られた生体情報（特徴ベクトル）とする。この場合、本発明を適用することで、生体情報を秘匿したまま、記憶装置に格納された暗号化された生体データと、照合要求装置から創出された暗号化された生体データが同一人物から採取されたものであるか否かを、２つの生体情報の間の距離が閾値以下となるかどうかにより判定することが可能となる。 For example, the input data in the registration phase and the input data in the verification phase are biometric information (feature vectors) obtained from biometric information obtained from fingerprints or veins. In this case, by applying the present invention, the encrypted biometric data stored in the storage device and the encrypted biometric data created from the verification requesting device are collected from the same person while the biometric information is kept secret. It can be determined whether the distance between the two pieces of biological information is equal to or less than a threshold value.

　特に、生体情報は、常に安定して同一のデータが取得できるわけではないことが知られており、同じ人物から取得されるデータが類似している（各要素の距離が小さいデータが取得できる）と仮定することができる。このため、本発明は、生体認証等への活用に有用である。 In particular, it is known that biometric information cannot always stably acquire the same data, and the data acquired from the same person is similar (data with a small distance between each element can be acquired). Can be assumed. For this reason, the present invention is useful for biometric authentication and the like.

　なお、上記の非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素（各請求項の各要素、各実施例の各要素、各図面の各要素等を含む）の多様な組み合わせ乃至選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。 In addition, each disclosure of the above non-patent literature shall be incorporated into this book with reference. Within the scope of the entire disclosure (including claims) of the present invention, the embodiments and examples can be changed and adjusted based on the basic technical concept. Various combinations or selections of various disclosed elements (including each element of each claim, each element of each embodiment, each element of each drawing, etc.) are possible within the scope of the claims of the present invention. . That is, the present invention of course includes various variations and modifications that could be made by those skilled in the art according to the entire disclosure including the claims and the technical idea.

１００、２００　暗号文照合システム
１１０、２１０　登録要求装置
１１１、２１１　登録情報抽出部
１１２、２１２　第一テンプレート生成部
１１３、２１３　第二テンプレート生成部
１１４、２１４　テンプレート生成部
１２０、２２０　記憶装置
１２１、２２１　識別子付与部
１２２、２２２　登録データ生成部
１２３、２２３　登録データ記憶部
１２４　登録データ検索部
１３０、２３０　認証要求装置
１３１、２３１　認証要求生成部
１３２、２３２　認証情報抽出部
１３３、２３３　第一レスポンス生成部
１３４、２３４　第二レスポンス生成部
１３５、２３５　レスポンス生成部
１４０、２４０　照合補助装置
１４１、２４１　チャレンジ補助生成部
１４２、２４２　チャレンジ生成部
１４３、２４３　登録データ要求生成部
１４４、２４４　暗号化内積計算部
１４５、２４５　クエリ生成部
１５０、２５０　検証装置
１５１、２５１　鍵生成部
１５２、２５２　復号鍵記憶部
１５３、２５３　クエリ検証部
１５４、２５４　照合結果生成部
２４６　検証データ生成部 100, 200 Ciphertext collation system 110, 210 Registration request device 111, 211 Registration information extraction unit 112, 212 First template generation unit 113, 213 Second template generation unit 114, 214 Template generation unit 120, 220 Storage devices 121, 221 Identifier assignment unit 122, 222 Registration data generation unit 123, 223 Registration data storage unit 124 Registration data search unit 130, 230 Authentication request device 131, 231 Authentication request generation unit 132, 232 Authentication information extraction unit 133, 233 First response generation unit 134, 234 Second response generation unit 135, 235 Response generation unit 140, 240 Verification assistant device 141, 241 Challenge auxiliary generation unit 142, 242 Challenge generation unit 143, 243 Registration data request generation unit 144, 244 Encryption inner product calculation Units 145 and 245 Query generation units 150 and 250 Verification devices 151 and 251 Key generation units 152 and 252 Decryption key storage units 153 and 253 Query verification units 154 and 254 Verification result generation unit 246 Verification data generation unit

Claims

Including a registration requesting device, a verification assisting device, an authentication requesting device, and a verification device;
The verification device calculates an encryption key and decryption key pair of a homomorphic encryption method capable of polynomial operation, and publishes the encryption key,
The registration request device includes:
Registration information that is a numeric vector is polynomialized,
The registration information that has been polynomialized is encrypted using the encryption key,
The verification assisting device is:
Upon receiving an authentication request from the authentication requesting device, one coefficient and its order are selected at random, and a polynomial in which coefficients other than the order coefficient are set to 0 is generated,
Sending a challenge consisting of ciphertext encrypted with the encryption key to the polynomial to the authentication requesting device,
The authentication requesting device includes:
The authentication information, which is a numeric vector, is polynomialized,
Based on the authentication information that has been polynomialized and the challenge from the verification assisting device, using the encryption key, the product of the authentication information that has been polynomialized and the polynomial used to generate the challenge Calculate the ciphertext,
The ciphertext of the product of the authentication information polynomialized and the polynomial used to generate the challenge is sent as the response to the verification assisting device,
The verification assisting device is:
When receiving a response from the authentication requesting device, based on the response, challenge assistance consisting of the one coefficient and its order, and the registration information encrypted by the registration requesting device, the encryption key is used. , Calculating a ciphertext of the distance between the registration information and the authentication information,
Sending the ciphertext of the distance between the registration information and the authentication information to the verification device;
The verification device includes:
The encrypted text of the distance between the registration information and the authentication information received from the verification assisting device is decrypted using the decryption key to calculate the distance,
A ciphertext matching system, wherein the calculated distance or a comparison result between the distance and a predetermined threshold is output as a matching result.

A storage device;
The storage device
A storage unit;
An identifier giving unit that gives an identifier to the encrypted registration information received from the registration requesting device;
A registration data generating unit that stores registration data consisting of a pair of the encrypted registration information and the identifier in the storage unit;
In response to a registration data request from the verification assisting device, out of the registration data stored in the storage unit, encrypted registration information that is paired with an identifier included in the registration data request, A registered data search unit to be sent to the verification assisting device;
With
The verification assisting device is:
A registration data request included in the authentication request received from the authentication requesting device and including an authentication identifier corresponding to the authentication information is sent to the storage device;
Receiving the encrypted registration information corresponding to the authentication identifier from the storage device;
Calculating a ciphertext of a distance between the registration information and the authentication information based on the response received from the authentication requesting device, the challenge assistance, and the encrypted registration information received from the storage device. The ciphertext matching system according to claim 1, wherein:

A storage device;
The storage device
A storage unit;
An identifier giving unit that gives an identifier to the encrypted registration information received from the registration requesting device;
A registration data generating unit for storing in the storage unit registration data consisting of a set of the identifier and the encrypted registration information;
With
In response to a registration data request from the verification assisting device, one or a plurality of registered data stored in the storage unit is transmitted to the verification assisting device, part or all of the registration data,
The verification assisting device is:
Receiving one or more registration data from the storage device;
For each registration data received from the storage device,
Based on the response received from the authentication requesting device, the challenge, and the encrypted registration information included in the registration data, a ciphertext of a distance between the encrypted registration information and the authentication information is calculated. ,
About the registration data, a set of the ciphertext of the calculated distance between the registration information and the authentication information and an identifier included in the registration data is used as verification data,
Sending one or more of the generated verification data to the verification device;
The verification device includes:
Receiving one or more verification data from the verification assistant device;
About the verification data,
Decrypting the ciphertext of the distance between the registration information and the authentication information contained in the verification data using the decryption key to calculate the distance;
A comparison result between the calculated distance and a predetermined threshold value, or a set of the calculated distance and an identifier included in the verification data is set as a verification result, and the verification result is output. The ciphertext matching system according to claim 1.

The registration request device includes:
Generates an L-1 degree polynomial from the registration information, which is a numeric vector, with the i-th component of the registration information (where i is a non-negative integer less than L-1 and L is a positive integer greater than 2) as a coefficient of the i-th term. Then, the authentication requesting device converts the inverse element of the i-th component (where i is a non-negative integer less than or equal to L-1) of the authentication information, which is a numerical vector, into a term of Ni order (N is a positive integer greater than L). Generate an Nth order polynomial with coefficients of, or
The registration requesting device uses the inverse element of the i-th component (where i is a non-negative integer less than or equal to L-1) of the registration information, which is a numeric vector, in terms of the order of Ni order (N is a positive integer greater than L). An N-th order polynomial is generated as a coefficient, and the authentication requesting apparatus generates an i-th component of authentication information that is a numerical vector (where i is a non-negative integer not greater than L-1 and L is a positive integer not less than 2). The ciphertext matching system according to claim 1, wherein an L−1 order polynomial is generated as a coefficient of the term.

A ciphertext verification method by at least one computer,
Calculate a pair of encryption key and decryption key of a homomorphic encryption method capable of polynomial operation, and publish the encryption key,
When registering registration information,
Registration information that is a numeric vector is polynomialized,
The registration information that has been polynomialized is encrypted using the encryption key,
In the auxiliary verification process,
When receiving an authentication request, one coefficient and its order are selected at random,
Generating a polynomial in which the coefficients other than the coefficient of the order are 0;
Sending a challenge consisting of ciphertext encrypted using the encryption key to the request source of the authentication request, the polynomial,
In the authentication request source,
The authentication information, which is a numeric vector, is polynomialized,
Based on the authentication information that has been polynomialized and the challenge from the verification auxiliary process, the encryption of the product of the authentication information that has been polynomialized and the polynomial that was used to generate the challenge, using the encryption key Calculate the sentence,
The ciphertext of the product of the polynomial authentication information and the polynomial used to generate the challenge is sent as the response to the verification assisting process,
In the verification auxiliary process,
When receiving a response from the authentication request source, based on the response, challenge assistance consisting of the one coefficient and its order, and the encrypted registration information, the registration information is Calculate ciphertext of authentication information distance,
Send the ciphertext of the distance between the registration information and the authentication information to the verification destination,
In the verification destination,
The encrypted text of the distance between the registration information and the authentication information received from the verification assisting process is decrypted using the decryption key to calculate the distance,
A ciphertext matching method, characterized by outputting the calculated distance or a comparison result between the distance and a predetermined threshold value as a matching result.

A verification assisting device that acquires the encryption key published by a verification device that calculates a pair of encryption key and decryption key of a homomorphic encryption method capable of polynomial operation,
When an authentication request is received from the authentication requesting device, one coefficient and its order are selected at random, a polynomial with coefficients other than the order coefficient set to 0 is generated, and the polynomial is encrypted using the encryption key. A challenge generation unit that sends a challenge made of encrypted ciphertext to the authentication requesting device;
The authentication information, which is a numerical vector, is polynomialized, and based on the challenge, a ciphertext of a product of the authentication information polynomialized and the polynomial used to generate the challenge is calculated using the encryption key, and the polynomial The ciphertext of the product of the authentication information and the polynomial used to generate the challenge is received as a response from the authentication requesting device,
Based on the response, challenge assistance consisting of the one coefficient and its degree, and registration information encrypted in a registration request device and stored in a storage device, using the encryption key, A query generation unit that calculates a ciphertext of a distance between the registration information and the authentication information, and sends the ciphertext of the distance between the registration information and the authentication information to a verification device;
With
In the verification device, the distance between the registration information and the authentication information is decrypted using the decryption key to calculate the distance, and the calculated distance or the distance and a predetermined threshold value are calculated. A collation auxiliary device that outputs a comparison result as a collation result.

An authentication requesting device that obtains the encryption key from a verification device that calculates a pair of encryption key and decryption key of a homomorphic encryption method capable of polynomial operation and publishes the encryption key,
An authentication information extraction unit that polynomializes authentication information that is a numerical vector;
An authentication request generator for generating an authentication request to be transmitted to the verification auxiliary device;
With
Upon receipt of the authentication request, one coefficient and its order are selected at random, a polynomial with a coefficient other than the order coefficient as 0 is generated, and the polynomial is encrypted using the encryption key. Receiving the challenge from the verification assisting device that sends a challenge consisting of a sentence to the authentication requesting device;
Based on the authentication information polynomialized by the authentication request generation unit and the challenge, encryption of the product of the authentication information polynomialized using the encryption key and the polynomial used to generate the challenge A response generation unit that calculates a sentence and sends the ciphertext of a product of the authentication information that has been polynomialized and the polynomial used to generate the challenge as a response to the verification assistant device;
The verification assisting device uses the encryption key based on the response, challenge assistance consisting of the one coefficient and its order, and polynomialized registration information encrypted by the registration requesting device. An authentication requesting device that calculates a ciphertext of a distance between registration information and authentication information, and sends the ciphertext of a distance between the registration information and the authentication information to a verification device.

When an authentication request is received from the authentication requesting device, one coefficient and its order are selected at random, a polynomial in which coefficients other than the order coefficient are set to 0 is generated, and the polynomial is encrypted using an encryption key When the challenge composed of ciphertext is sent to the authentication requesting device and a response is received from the authentication requesting device, the response, challenge assistance consisting of the one coefficient and its order, and the registration requesting device are encrypted and stored. A verification device connected to a verification assisting device that calculates a ciphertext of the distance between the registration information and the authentication information using the encryption key based on the polynomialized registration information stored in the device. And
A key generation unit that calculates a pair of the encryption key and the decryption key of a homomorphic encryption method capable of polynomial operation and publishes the encryption key;
When the ciphertext of the distance between the registration information and the authentication information is received from the verification assisting device, the ciphertext of the distance between the registration information and the authentication information is decrypted using the decryption key to calculate the distance A query validator;
A collation result generation unit that outputs the calculated distance or a comparison result between the distance and a predetermined threshold as a collation result;
Verification device with

A computer that constitutes a verification assisting device connected to a verification device connected to an authentication requesting device connected to a verification device that calculates a pair of encryption keys and decryption keys of a homomorphic encryption method capable of polynomial operation and discloses the encryption key,
Upon receiving an authentication request from the authentication requesting device, one coefficient and its order are randomly selected,
Generating a polynomial in which the coefficients other than the coefficient of the order are 0;
A process of sending a challenge consisting of a ciphertext obtained by encrypting the polynomial using the encryption key to the authentication requesting device;
The authentication information, which is a numerical vector, is polynomialized, and based on the challenge, a ciphertext of a product of the authentication information polynomialized and the polynomial used to generate the challenge is calculated using the encryption key, and the polynomial Processing to receive a response from the authentication requesting device that outputs the ciphertext of the product of the authentication information and the polynomial used to generate the challenge as a response;
Upon receiving a response from the authentication requesting device, the response, challenge assistance consisting of the one coefficient and its order, and polynomial registration information encrypted by the registration requesting device and stored in the storage device, Based on the encryption key, calculating a ciphertext of the distance between the registration information and the authentication information, and sending the ciphertext of the distance between the registration information and the authentication information to the verification device;
A program that executes

Obtain an encryption key published by a verification device that calculates a pair of encryption key and decryption key of a homomorphic encryption method capable of polynomial operation,
Upon receipt of the authentication request, one coefficient and its order are selected at random, a polynomial in which a coefficient other than the coefficient of the order is 0 is generated, and the polynomial is encrypted using the encryption key. To the authentication requesting device, the response received from the authentication requesting device, challenge assistance consisting of the one coefficient and its order, and the polynomialized registration information encrypted by the registration requesting device. Based on the encryption key, the ciphertext of the distance between the registration information and the authentication information is calculated, and the ciphertext of the distance between the registration information and the authentication information is connected to a verification auxiliary device that sends the ciphertext to the verification device A computer constituting the authentication requesting device,
Processing to generate the authentication request and send it to the verification assistant device;
Receiving a challenge from the verification assisting device;
The authentication information that is a numerical vector is polynomialized, and the authentication information that is polynomialized using the encryption key based on the authentication information that is polynomialized and the challenge received from the verification auxiliary device, and generation of the challenge Calculate the ciphertext of the product with the polynomial used in
A process of sending the ciphertext of the product of the authentication information polynomialized and the polynomial used to generate the challenge as the response to the verification assisting device;
A program that executes