JP7380843B2 - 秘密計算システム、秘密計算サーバ装置、秘密計算方法および秘密計算プログラム - Google Patents

秘密計算システム、秘密計算サーバ装置、秘密計算方法および秘密計算プログラム Download PDF

Info

Publication number
JP7380843B2
JP7380843B2 JP2022509808A JP2022509808A JP7380843B2 JP 7380843 B2 JP7380843 B2 JP 7380843B2 JP 2022509808 A JP2022509808 A JP 2022509808A JP 2022509808 A JP2022509808 A JP 2022509808A JP 7380843 B2 JP7380843 B2 JP 7380843B2
Authority
JP
Japan
Prior art keywords
bit
secure computation
equality
secure
rounds
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022509808A
Other languages
English (en)
Other versions
JPWO2021192006A1 (ja
Inventor
光 土田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2021192006A1 publication Critical patent/JPWO2021192006A1/ja
Application granted granted Critical
Publication of JP7380843B2 publication Critical patent/JP7380843B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/46Secure multiparty computation, e.g. millionaire problem

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Complex Calculations (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Description

本発明は、秘密計算システム、秘密計算サーバ装置、秘密計算方法および秘密計算プログラムに関するものである。
近年、秘密計算と呼ばれる技術の研究開発が盛んに行われている。秘密計算は、第三者に対して入力と計算過程の値を秘匿しつつ所定の処理を実行する技術の一つである。秘密計算における代表的な技術の一つとして、マルチパーティ計算技術が挙げられる。マルチパーティ計算技術では、秘匿するデータを複数のサーバ(秘密計算サーバ)に分散配置し、秘匿したまま当該データの任意の演算を実行する。以降、特に断りがない限り、本書で「秘密計算」という語を用いた場合は、マルチパーティ計算技術を意味するものとする。
秘密計算の処理の一つとして、配列参照が存在する。配列参照とは、配列して格納された要素を参照するための処理であり、秘密計算における配列参照では、どこを参照するかのインデックスまでも秘匿することが要請されることがある。そして、このようなインデックスを秘匿する配列参照に用いるサブプロトコルとして、Demux(demultiplexer)プロトコルがある(例えば、非特許文献1参照)。秘密計算におけるDemuxプロトコルでは、秘匿されたインデックスを入力として、入力されたインデックスに対応した配列の要素のみが1であり、その他の要素は0であるような出力を秘匿したまま計算する処理である。
J. Launchbury et al. Efficient Lookup-Table Protocol in Secure Multiparty Computation. In ICFP 2012. Catrina, Octavian. Round-efficient protocols for secure multiparty fixed-point arithmetic. 2018 International Conference on Communications (COMM). IEEE, 2018.
なお、上記先行技術文献の各開示を、本書に引用をもって繰り込むものとする。以下の分析は、本発明者らによってなされたものである。
ところで、マルチパーティ計算技術を用いる秘密計算では、秘匿するデータを複数のサーバに分散配置した状態で処理を行うので、処理の効率化という観点では、通信コストの低減が課題となる。そして、この通信コストは、通信の対象となるデータ量を表す通信量と、最大限の並列化を行った場合の通信の回数を表す通信ラウンド数に分解できる。
また、この通信量とラウンド数との間には、トレードオフの関係が成り立つことが多々ある一方、環境によっては通信量と通信ラウンド数のどちらを優先すべきかが異なることもある。例えば、WAN(Wide Area Network)環境などの通信遅延が大きい環境では、通信回数が小さい方が有利であるので、通信ラウンド数が小さい秘密計算の方が好ましい。例えば、非特許文献1に開示されているDemuxプロトコルでは、通信ラウンド数がO(log2k)であるので、通信ラウンド数が定数であるDemuxプロトコルを実現すると、通信遅延が大きい環境などでの通信コストを低減することができる。
本発明の目的は、上述した課題を鑑み、通信ラウンド数を低減することに寄与する秘密計算システム、秘密計算サーバ装置、秘密計算方法および秘密計算プログラムを提供する。
本発明の第1の視点では、相互にネットワークで接続した少なくとも3台以上の秘密計算サーバ装置を備える秘密計算システムであって、前記秘密計算サーバ装置のそれぞれが、秘密分散されたシェア値を定数ラウンド数でビット分解を行うビット分解演算部と、各ビットにおいて等号が成立するか否かを判定する判定式を行方向に配列し、前記判定式の組み合わせを列方向に配列したテーブルを用いて、前記ビット分解の各ビットにおける等号の成否を判定するテーブル演算部と、前記ビット分解の各ビットにおける等号の成否を集積した値に対して定数ラウンド数で等号判定をすることで、前記シェア値に対応する配列参照を判定する等号判定部と、を有する、秘密計算システムが提供される。
本発明の第2の視点では、相互にネットワークで接続した少なくとも3台以上の秘密計算サーバ装置の一つであって、秘密分散されたシェア値を定数ラウンド数でビット分解を行うビット分解演算部と、各ビットにおいて等号が成立するか否かを判定する判定式を行方向に配列し、前記判定式の組み合わせを列方向に配列したテーブルを用いて、前記ビット分解の各ビットにおける等号の成否を判定するテーブル演算部と、前記ビット分解の各ビットにおける等号の成否を集積した値に対して定数ラウンド数で等号判定をすることで、前記シェア値に対応する配列参照を判定する等号判定部と、を備える、秘密計算サーバ装置が提供される。
本発明の第3の視点では、相互にネットワークで接続した少なくとも3台以上の秘密計算サーバ装置を用いる秘密計算方法であって、秘密分散されたシェア値を定数ラウンド数でビット分解を行い、各ビットにおいて等号が成立するか否かを判定する判定式を行方向に配列し、前記判定式の組み合わせを列方向に配列したテーブルを用いて、前記ビット分解の各ビットにおける等号の成否を判定し、前記ビット分解の各ビットにおける等号の成否を集積した値に対して定数ラウンド数で等号判定をすることで、前記シェア値に対応する配列参照を判定する、秘密計算方法が提供される。
本発明の第4の視点では、相互にネットワークで接続した少なくとも3台以上の秘密計算サーバ装置に実行させる秘密計算プログラムであって、秘密分散されたシェア値を定数ラウンド数でビット分解を行い、各ビットにおいて等号が成立するか否かを判定する判定式を行方向に配列し、前記判定式の組み合わせを列方向に配列したテーブルを用いて、前記ビット分解の各ビットにおける等号の成否を判定し、前記ビット分解の各ビットにおける等号の成否を集積した値に対して定数ラウンド数で等号判定をすることで、前記シェア値に対応する配列参照を判定する、秘密計算プログラムが提供される。
なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント(non-transient)なものとすることができる。本発明は、コンピュータプログラム製品として具現することも可能である。
本発明の各視点によれば、ラウンド数を低減することに寄与する秘密計算システム、秘密計算サーバ装置、秘密計算方法および秘密計算プログラムを提供することができる。
図1は、秘密計算システムの機能構成例を示すブロック図である。 図2は、秘密計算サーバ装置の機能構成例を示すブロック図である。 図3は、Demuxプロトコルに関する動作例を示すフローチャートである。 図4は、秘密計算サーバ装置のハードウェア構成例を示す図である。 図5は、決定木を例示する図である。 図6は、秘密計算システムの機能構成例を示すブロック図である。 図7は、秘密計算サーバ装置の機能構成例を示すブロック図である。 図8は、節点要素参照部の機能構成例を示すブロック図である。 図9は、節点要素の配列参照を例示する図である。 図10は、経路計算部の機能構成例を示すブロック図である。 図11は、決定木の経路計算とテーブルの関係を例示する図である。
以下、図面を参照しながら、本発明の実施形態について説明する。ただし、以下に説明する実施形態により本発明が限定されるものではない。さらに、図面は模式的なものであり、各要素の寸法の関係、各要素の比率などは、現実のものとは異なる場合があることに留意する必要がある。図面の相互間においても、互いの寸法の関係や比率が異なる部分が含まれている場合がある。
[準備]
以下、実施形態の説明にあたり、記法の定義および処理要素の説明を行う。以下で説明する記法および演算要素は、各実施形態の説明の中で共通して用いられる。
体上で線形秘密分散されたxのシェアを[x]と表す。秘密分散されたシェア[x]とは、後述する秘密計算システムにおける各秘密計算サーバ装置が分散して保持する分散データ[x]iのことであり、これら全ての分散データ[x]iが揃って初めて秘匿された値xが復号できるものである。
秘密計算とは、秘密分散されたシェアを入力として、秘匿された情報を秘匿されたまま処理を行う計算のことをいう。Demuxプロトコルでは、[x] s.t. 0≦x<2kという入力に対して、下式のように、xに対応した配列の要素のみが1であり、その他の要素は0であるような出力を秘匿したまま計算する処理である。
Figure 0007380843000001
また、以下で説明する実施形態では、ビルディングブロック(処理要素)として以下に示すプロトコルを用いる。
〔等号判定〕
等号判定として、特に0との等号の成否を判定するプロトコルを用いる。容易に解るように、0ではない値との等号の成否も引き算と組み合わせることによって判定することが可能である。この等号判定を以下のように表す。
Figure 0007380843000002
なお、等号判定の具体的処理は、例えば非特許文献2に記載の方法を用いることができる。非特許文献2に記載の等号判定は、通信ラウンド数が定数で抑えられる。しかしながら、通信ラウンド数が定数であれば、その他の適切な等号判定の処理を用いても本発明の効果に影響を及ぼすことはない。
〔ビット分解〕
ビット分解とは、下式のように、[x] s.t. 0≦x<2kという入力に対して、これをビット表記した際の各桁を出力する処理である。
Figure 0007380843000003
なお、ビット分解の具体的処理は、例えば非特許文献2に記載の方法を用いることができる。非特許文献2に記載の等号判定は、通信ラウンド数が定数で抑えられる。しかしながら、通信ラウンド数が定数であれば、その他の適切なビット分解の処理を用いても本発明の効果に影響を及ぼすことはない。
[第1の実施形態]
以下、図1、図2を参照して、本発明の第1の実施形態に係る秘密計算システムおよび秘密計算サーバ装置について説明する。
図1は、第1の実施形態における秘密計算システムの機能構成例を示すブロック図である。図1に示すように、本発明の第1の実施形態による秘密計算システム100は、第1の秘密計算サーバ装置100_1と第2の秘密計算サーバ装置100_2と第3の秘密計算サーバ装置100_3とを備えている。第1の秘密計算サーバ装置100_1、第2の秘密計算サーバ装置100_2、および第3の秘密計算サーバ装置100_3は、それぞれが互いにネットワーク経由で通信可能に接続されている。
図2は、秘密計算サーバ装置の機能構成例を示すブロック図である。図2に示される秘密計算サーバ装置100_i(i=1,2,3)は、第1の秘密計算サーバ装置100_1、第2の秘密計算サーバ装置100_2、および第3の秘密計算サーバ装置100_3を代表して例示した機能構成例である。
図2に示すように、秘密計算サーバ装置100_iは、算術演算部101_iとシェア値記憶部102_iとを備えている。また、算術演算部101_iは、さらに、ビット分解演算部103_iとテーブル演算部104_iと等号判定部105_iとを含んでいる。これら算術演算部101_i、シェア値記憶部102_i、ビット分解演算部103_i、テーブル演算部104_i、および等号判定部105_iは、後に例示するハードウェア構成によって、メモリに記憶されたプログラムをプロセッサが実行することによって実現することが可能である。
上記構成の第1~第3の秘密計算サーバ装置100_i(i=1,2,3)を備える秘密計算システム100においては、第1~第3の秘密計算サーバ装置100_i(i=1、2、3)の内のいずれかの秘密計算サーバ装置100_iが入力した値に対し、その入力や計算過程の値を知られることなく目的のシェアを計算し、これを第1~第3の秘密計算サーバ装置100_i(i=1,2,3)における各シェア値記憶部102_iに記憶することができる。
また、上記構成の第1~第3の秘密計算サーバ装置100_i(i=1,2,3)を備える秘密計算システム100においては、第1~第3の秘密計算サーバ装置100_i(i=1,2,3)における各シェア値記憶部102_iに記憶されたシェアに対し、その計算過程の値を知られることなく目的のシェアを計算し、これを第1~第3の秘密計算サーバ装置100_i(i=1,2,3)における各シェア値記憶部102_iに記憶することができる。
なお、上記計算結果のシェアは、第1~第3の秘密計算サーバ装置100_1~100_3とシェアを送受信することで、復元してもよい。あるいは、第1~第3の秘密計算サーバ装置100_1~100_3ではない外部にシェアを送信することで、復号してもよい。
ビット分解演算部103_iは、秘密分散されたシェア値を定数ラウンド数でビット分解を行う。テーブル演算部104_iは、各ビットにおいて等号が成立するか否かを判定する判定式を行方向に配列し、前記判定式の組み合わせを列方向に配列したテーブルを用いて、ビット分解演算部103_iの結果の各ビットにおける等号の成否を判定する。各ビットにおける等号の成否は、算術XORと算術NOTで行うことができるので、通信ラウンド数は定数で抑えられる。そして、等号判定部105_iは、ビット分解の各ビットにおける等号の成否を集積した値に対して定数ラウンド数で等号判定をすることで、入力したシェア値に対応する配列参照を判定する。
ここで算術XORとは、シェア[x],[y]に対し、[x xor y]を計算するという処理である。なお、x,yはでビットあることから、その値は0か1であり、([x]-[y])2 = [x xor y]が成り立つ。つまり、算術XORは、差の二乗を計算する処理に相当する。一方、算術NOTとは、シェア[x]に対し、[x xor 1]を計算するという処理であり、([x]-1)2 = [x xor 1]が成り立つ。つまり、算術NOTとは、入力から1を引いた値の二乗を計算する処理に相当する。
これらの性質を用いると、1ビットの等号判定は、次のように実行できる。シェア[x],[y]に対し、[x ?= y]を計算するという処理では、(([x]-[y])2 - 1)2を計算すればよい。つまり、[x]と[y]について,算術XORを行い,その結果に対し,算術NOTを行う。例えば、x=yの場合、算術XORの結果は[0]となり、その後の算術NOTによって[1]が出力される。一方、x≠yの場合、算術XORの結果は[1]となり、その後の算術NOTによって[0]が出力される。
上記のように、ビット分解演算部103_i、テーブル演算部104_i、および等号判定部105_iは、通信ラウンド数が定数で抑えられる処理を行っているので、Demuxプロトコルの処理全体としても、通信ラウンド数が定数で抑えられる。すなわち、上記構成の秘密計算システム100および秘密計算サーバ装置100_i(i=1,2,3)は、Demuxプロトコルにおいて通信ラウンド数を低減することに寄与することができ、通信遅延が大きい環境などでの通信コストを低減することができる。
次に、本発明の第1の実施形態における秘密計算方法について詳細に説明を行う。すなわち、上記説明した第1~第3の秘密計算サーバ装置100_i(i=1,2,3)を備える秘密計算システム100の動作について説明する。図3は、Demuxプロトコルに関する動作例を示すフローチャートである。以下、各ステップを説明する。
(ステップA1)
秘密計算システム100における第1~第3の秘密計算サーバ装置100_i(i=1,2,3)は、秘密分散されたシェア値を定数ラウンド数でビット分解を行う。ここで、秘密分散されたシェア値は、秘密計算システム100の外部から入力された情報から計算されたシェア値であってもよく、また、第1~第3の秘密計算サーバ装置100_i(i=1,2,3)におけるシェア値記憶部102_iに既に秘密分散されて記憶しているシェア値であってもよい。
具体的なビット分解の処理は、通信ラウンド数が定数で抑えられるものであれば適切に選択することが可能であるが、例えば先述したビルディングブロックのビット分解を用いることができる。
(ステップA2)
秘密計算システム100における第1~第3の秘密計算サーバ装置100_i(i=1,2,3)は、各ビットにおいて等号が成立するか否かを判定する判定式を行方向に配列し、前記判定式の組み合わせを列方向に配列したテーブルを用意する。ここで用意するテーブルは、各第1~第3の秘密計算サーバ装置100_i(i=1,2,3)の記憶装置に既に記憶しておくことが可能な場合もあれば、ステップA1での入力に対応させて作成するとしてもよい。
本ステップA2で用いるテーブルの具体的な形は以下のように例示することができる。なお、下記表の各要素における「?=」は等号が成立しているか否かを判定することを意味している。判定結果としては、等号が成立している場合に1を出力し、等号が成立していない場合に0を出力する。なお、既に指摘したように、各ビットにおける等号の成否は、算術XORと算術NOTで行うことができる。
Figure 0007380843000004
上記テーブルは、先述の式(3)のビット分解の結果における各ビットにおいて等号が成立するか否かを判定する判定式を行方向に配列している。例えば、0番目の行は、式(3)のビット分解の結果におけるすべてのビットが0である場合にすべての判定式の出力が1となる。ビット分解の入力は、[x] s.t. 0≦x<2kであることから、判定式の組み合わせは2k通りであり、入力が[x]である場合、x番目の行のみがすべての判定式の出力が1となる。
(ステップA3)
テーブル演算部104_iは、このようなテーブルを用いて、ビット分解演算部103_iの結果の各ビットにおける等号の成否を判定する。各ビットにおける等号の成否を判定は、行方向の配列(つまりベクトル)として出力される。このベクトルをrowj (0≦j<2k)と表記する。
(ステップA4)
秘密計算システム100における第1~第3の秘密計算サーバ装置100_i(i=1,2,3)は、ビット分解の各ビットにおける等号の成否を集積する。具体的には、ステップA2の結果であるrowj (0≦j<2k)と(1,...,1)の内積を計算することで集積する。ベクトル(1,...,1)との内積を計算することで、rowjに含まれている1の数を集積することが可能である。これを0≦j<2kとなるjについて行い、結果を[resj]とする。なお、この内積の計算も通信ラウンド数が定数で抑えられる。
Figure 0007380843000005
(ステップA5)
秘密計算システム100における第1~第3の秘密計算サーバ装置100_i(i=1,2,3)は、上記のように集積した値に対して定数ラウンド数で等号判定をすることで、入力されたシェア値に対応する配列参照を判定する。具体的な等号判定の処理は、通信ラウンド数が定数で抑えられるものであれば適切に選択することが可能であるが、例えば先述したビルディングブロックの等号判定を用いることができる。すなわち、下式のような等号判定を行えば、x番目のビットのみ1となり、それ以外が0となる配列bjが得られる。
Figure 0007380843000006
上記秘密計算方法では、すべてのステップで通信ラウンド数が定数で抑えられる処理を行っているので、Demuxプロトコルの処理全体としても、通信ラウンド数が定数で抑えられる。すなわち、上記秘密計算方法は、Demuxプロトコルにおいて通信ラウンド数を低減することに寄与することができ、通信遅延が大きい環境などでの通信コストを低減することができる。
[ハードウェア構成例]
図4は、秘密計算サーバ装置のハードウェア構成例を示す図である。すなわち、図4に示すハードウェア構成例は、秘密計算サーバ装置100_i,200_i,300_i(i=1,2,3)のハードウェア構成例である。図4に示すハードウェア構成を採用した情報処理装置(コンピュータ)は、上記説明した秘密計算方法をプログラムとして実行することで、秘密計算サーバ装置100_i,200_i,300_iの各機能を実現することを可能にする。
ただし、図4に示すハードウェア構成例は、秘密計算サーバ装置100_i,200_i,300_i(i=1,2,3)の各機能を実現するハードウェア構成の一例であり、秘密計算サーバ装置100_i,200_i,300_i(i=1,2,3)のハードウェア構成を限定する趣旨ではない。秘密計算サーバ装置100_i,200_i,300_i(i=1,2,3)は、図4に示さないハードウェアを含むことができる。
図4に示すように、秘密計算サーバ装置100_i,200_i,300_i(i=1,2,3)が採用し得るハードウェア構成10は、例えば内部バスにより相互に接続される、CPU(Central Processing Unit)11、主記憶装置12、補助記憶装置13、およびIF(Interface)部14を備える。
CPU11は、秘密計算サーバ装置100_i,200_i,300_i(i=1,2,3)が実行する秘密計算プログラムに含まれる各指令を実行する。主記憶装置12は、例えばRAM(Random Access Memory)であり、秘密計算サーバ装置100_i,200_i,300_i(i=1,2,3)が実行する秘密計算プログラムなどの各種プログラムなどをCPU11が処理するために一時記憶する。
補助記憶装置13は、例えば、HDD(Hard Disk Drive)であり、秘密計算サーバ装置100_i,200_i,300_i(i=1,2,3)が実行する秘密計算プログラムなどの各種プログラムなどを中長期的に記憶しておくことが可能である。秘密計算プログラムなどの各種プログラムは、非一時的なコンピュータ可読記録媒体(non-transitory computer-readable storage medium)に記録されたプログラム製品として提供することができる。補助記憶装置13は、非一時的なコンピュータ可読記録媒体に記録された秘密計算プログラムなどの各種プログラムを中長期的に記憶することに利用することが可能である。
IF部14は、秘密計算サーバ装置100_i,200_i,300_i(i=1,2,3)間の入出力に関するインターフェイスを提供する。IF部14は、WAN(Wide Area Network)などの通信遅延が大きいネットワークに接続されることもある。
上記のようなハードウェア構成10を採用した情報処理装置は、先述した秘密計算方法をプログラムとして実行することで、秘密計算サーバ装置100_i,200_i,300_i(i=1,2,3)の各機能を実現できる。
[第2の実施形態]
以下、図5から図11を参照して、本発明の第2の実施形態に係る秘密計算システムおよび秘密計算サーバ装置について説明する。本発明の第2の実施形態に係る秘密計算システムおよび秘密計算サーバ装置は、図5に例示するような決定木の計算に対して本発明の実施を適用した実施形態である。
図5に例示するように、決定木は節点と枝から構成されている。決定木を用いた計算では、節点での判定に用いる要素を参照する処理と、各節点において分岐を判定する処理と、各分岐をどのように辿ったかの経路を計算する処理とを含む。秘密計算を用いた決定木の計算では、これらすべての計算を秘匿された状態で行う。
図6は、第2の実施形態における秘密計算システムの機能構成例を示すブロック図である。図6に示すように、本発明の第2の実施形態による秘密計算システム200は、第1の秘密計算サーバ装置200_1と第2の秘密計算サーバ装置200_2と第3の秘密計算サーバ装置200_3とを備えている。第1の秘密計算サーバ装置200_1、第2の秘密計算サーバ装置200_2、および第3の秘密計算サーバ装置200_3は、それぞれが互いにネットワーク経由で通信可能に接続されている。
図7は、秘密計算サーバ装置の機能構成例を示すブロック図である。図7に示される秘密計算サーバ装置200_i(i=1,2,3)は、第1の秘密計算サーバ装置200_1、第2の秘密計算サーバ装置200_2、および第3の秘密計算サーバ装置200_3を代表して例示した機能構成例である。
図7に示すように、秘密計算サーバ装置200_iは、算術演算部201_iとシェア値記憶部202_iとを備えている。また、算術演算部201_iは、さらに、節点要素参照部210_iと節点判定部220_iと経路計算部230_iとを含んでいる。これら算術演算部201_i、シェア値記憶部202_i、節点要素参照部210_i、節点判定部220_i、および経路計算部230_iは、先述のハードウェア構成によって、メモリに記憶されたプログラムをプロセッサが実行することによって実現することが可能である。
図8は、節点要素参照部の機能構成例を示すブロック図である。図8に示すように、節点要素参照部210_iは、ビット分解演算部203_iとテーブル演算部204_iと等号判定部205_iとを含んでいる。これらビット分解演算部203_i、テーブル演算部204_i、および等号判定部205_iも、先述のハードウェア構成によって、メモリに記憶されたプログラムをプロセッサが実行することによって実現することが可能である。
図5に示したように、決定木を用いた計算では、各節点における判定に要素a1,...,a2 {k-1}を用いる。これら要素a1,...,a2 {k-1}は、図9に示すように、シェア値記憶部202_iに配列されて記憶されている。そこで、決定木を用いた計算では、要素a1,...,a2 {k-1}を配列参照する必要があるが、この配列参照に対して第1の実施形態で説明したDemuxプロトコルを用いることができる。
つまり、ビット分解演算部203_iは、要素axのインデックスxを定数ラウンド数でビット分解を行う。テーブル演算部204_iは、各ビットにおいて等号が成立するか否かを判定する判定式を行方向に配列し、前記判定式の組み合わせを列方向に配列したテーブルを用いて、ビット分解演算部203_iの結果の各ビットにおける等号の成否を判定する。そして、等号判定部205_iは、ビット分解の各ビットにおける等号の成否を集積した値に対して定数ラウンド数で等号判定をすることで、要素axのインデックスxに対応する配列参照を判定する。
なお、節点要素参照部210_iによって得られた要素axは、節点判定部220_iによってどちらの分岐に進むかが判定されるが、この処理は、例えば非特許文献2に記載の処理など、公知の処理を用いることにより通信ラウンド数が定数で抑えられる処理で行うことができる。
図10は、経路計算部の機能構成例を示すブロック図である。図10に示すように、経路計算部230_iは、テーブル演算部206_iと等号判定部207_iとを含んでいる。これらテーブル演算部206_iおよび等号判定部207_iも、先述のハードウェア構成によって、メモリに記憶されたプログラムをプロセッサが実行することによって実現することが可能である。
経路計算部230_iは、図11に示すようにテーブルを用いて経路計算を行う。図11は、決定木の経路計算とテーブルの関係を例示する図である。図11に示すように、決定木の各節点で分岐された経路は、分岐判定をビットで表記し、決定木の深さをビット分解の桁であると考えると、第1の実施形態で説明したテーブルと同じものが作成できる。すなわち、経路計算部230_iが経路計算を行うために用いるテーブルは、各ビットにおいて等号が成立するか否かを判定する判定式を行方向に配列し、前記判定式の組み合わせを列方向に配列したテーブルである。
したがって、テーブル演算部206_iおよび等号判定部207_iは、第1の実施形態と同様に当該テーブルを用いて経路計算を行うことができる。経路計算部230_iの出力は、決定木を用いた計算の結果であり、決定木を用いて行われた判断ないし分析の結果を指し示す配列参照になる。
上記のように、節点要素参照部210_i、節点判定部220_i、および経路計算部230_iは、通信ラウンド数が定数で抑えられる処理を行っているので、決定木を用いた処理全体としても、通信ラウンド数が定数で抑えられる。すなわち、上記構成の秘密計算システム100および秘密計算サーバ装置100_i(i=1,2,3)は、決定木を用いた処理全体において通信ラウンド数を低減することに寄与することができ、通信遅延が大きい環境などでの通信コストを低減することができる。
上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
[付記1]
相互にネットワークで接続した少なくとも3台以上の秘密計算サーバ装置を備える秘密計算システムであって、
前記秘密計算サーバ装置のそれぞれが、
秘密分散されたシェア値を定数ラウンド数でビット分解を行うビット分解演算部と、
各ビットにおいて等号が成立するか否かを判定する判定式を行方向に配列し、前記判定式の組み合わせを列方向に配列したテーブルを用いて、前記ビット分解の各ビットにおける等号の成否を判定するテーブル演算部と、
前記ビット分解の各ビットにおける等号の成否を集積した値に対して定数ラウンド数で等号判定をすることで、前記シェア値に対応する配列参照を判定する等号判定部と、
を有する、秘密計算システム。
[付記2]
前記ビット分解の各ビットにおける等号の成否を集積した値は、前記ビット分解の各ビットにおける等号の成否の結果と(1,...,1)との内積を計算することで得られる、付記1に記載の秘密計算システム。
[付記3]
前記等号判定部は、前記配列参照の候補に関して前記等号判定を繰り返すことで前記配列参照を判定する、付記1または付記2に記載の秘密計算システム。
[付記4]
前記テーブルにおける前記判定式は、前記秘密分散されたシェア値が[x]である場合、x番目の行のみがすべての判定式の出力が1となる、付記1から付記3のいずれか1つに記載の秘密計算システム。
[付記5]
前記テーブルは、Demuxプロトコルにおける入力のビット分解に対する判定式に関するものである、付記1から付記4のいずれか1つに記載の秘密計算システム。
[付記6]
前記テーブルは、決定木の節点における判定に用いる要素のインデックスのビット分解に対する判定式に関するものである、付記1から付記4のいずれか1つに記載の秘密計算システム。
[付記7]
前記テーブルは、決定木の分岐に対する判定式に関するものである、付記1から付記4のいずれか1つに記載の秘密計算システム。
[付記8]
相互にネットワークで接続した少なくとも3台以上の秘密計算サーバ装置の一つであって、
秘密分散されたシェア値を定数ラウンド数でビット分解を行うビット分解演算部と、
各ビットにおいて等号が成立するか否かを判定する判定式を行方向に配列し、前記判定式の組み合わせを列方向に配列したテーブルを用いて、前記ビット分解の各ビットにおける等号の成否を判定するテーブル演算部と、
前記ビット分解の各ビットにおける等号の成否を集積した値に対して定数ラウンド数で等号判定をすることで、前記シェア値に対応する配列参照を判定する等号判定部と、
を備える、秘密計算サーバ装置。
[付記9]
相互にネットワークで接続した少なくとも3台以上の秘密計算サーバ装置を用いる秘密計算方法であって、
秘密分散されたシェア値を定数ラウンド数でビット分解を行い、
各ビットにおいて等号が成立するか否かを判定する判定式を行方向に配列し、前記判定式の組み合わせを列方向に配列したテーブルを用いて、前記ビット分解の各ビットにおける等号の成否を判定し、
前記ビット分解の各ビットにおける等号の成否を集積した値に対して定数ラウンド数で等号判定をすることで、前記シェア値に対応する配列参照を判定する、秘密計算方法。
[付記10]
相互にネットワークで接続した少なくとも3台以上の秘密計算サーバ装置に実行させる秘密計算プログラムであって、
秘密分散されたシェア値を定数ラウンド数でビット分解を行い、
各ビットにおいて等号が成立するか否かを判定する判定式を行方向に配列し、前記判定式の組み合わせを列方向に配列したテーブルを用いて、前記ビット分解の各ビットにおける等号の成否を判定し、
前記ビット分解の各ビットにおける等号の成否を集積した値に対して定数ラウンド数で等号判定をすることで、前記シェア値に対応する配列参照を判定する、秘密計算プログラム。
なお、引用した上記の非特許文献等の各開示は、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の全開示の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし、選択(部分的削除を含む)が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。さらに、上記引用した文献の各開示事項は、必要に応じ、本発明の趣旨に則り、本発明の開示の一部として、その一部又は全部を、本書の記載事項と組み合わせて用いることも、本願の開示事項に含まれるものと、みなされる。
100,200 秘密計算システム
100_i,200_i 秘密計算サーバ装置
101_i,201_i 算術演算部
102_i,202_i シェア値記憶部
103_i,203_i ビット分解演算部
104_i,204_i,206_i テーブル演算部
105_i,205_i,207_i 等号判定部

Claims (10)

  1. 相互にネットワークで接続した少なくとも3台以上の秘密計算サーバ装置を備える秘密計算システムであって、
    前記秘密計算サーバ装置のそれぞれが、
    秘密分散されたシェア値を定数ラウンド数でビット分解を行うビット分解演算部と、
    各ビットにおいて等号が成立するか否かを判定する判定式を行方向に配列し、前記判定式の組み合わせを列方向に配列したテーブルを用いて、前記ビット分解の各ビットにおける等号の成否を判定するテーブル演算部と、
    前記ビット分解の各ビットにおける等号の成否を集積した値に対して定数ラウンド数で等号判定をすることで、前記シェア値に対応する配列参照を判定する等号判定部と、
    を有する、秘密計算システム。
  2. 前記ビット分解の各ビットにおける等号の成否を集積した値は、前記ビット分解の各ビットにおける等号の成否の結果と(1,...,1)との内積を計算することで得られる、請求項1に記載の秘密計算システム。
  3. 前記等号判定部は、前記配列参照の候補に関して前記等号判定を繰り返すことで前記配列参照を判定する、請求項1または請求項2に記載の秘密計算システム。
  4. 前記テーブルにおける前記判定式は、前記秘密分散されたシェア値が[x]である場合、x番目の行のみがすべての判定式の出力が1となる、請求項1から請求項3のいずれか1つに記載の秘密計算システム。
  5. 前記テーブルは、Demuxプロトコルにおける入力のビット分解に対する判定式に関するものである、請求項1から請求項4のいずれか1つに記載の秘密計算システム。
  6. 前記テーブルは、決定木の節点における判定に用いる要素のインデックスのビット分解に対する判定式に関するものである、請求項1から請求項4のいずれか1つに記載の秘密計算システム。
  7. 前記テーブルは、決定木の分岐に対する判定式に関するものである、請求項1から請求項4のいずれか1つに記載の秘密計算システム。
  8. 相互にネットワークで接続した少なくとも3台以上の秘密計算サーバ装置の一つであって、
    秘密分散されたシェア値を定数ラウンド数でビット分解を行うビット分解演算部と、
    各ビットにおいて等号が成立するか否かを判定する判定式を行方向に配列し、前記判定式の組み合わせを列方向に配列したテーブルを用いて、前記ビット分解の各ビットにおける等号の成否を判定するテーブル演算部と、
    前記ビット分解の各ビットにおける等号の成否を集積した値に対して定数ラウンド数で等号判定をすることで、前記シェア値に対応する配列参照を判定する等号判定部と、
    を備える、秘密計算サーバ装置。
  9. 相互にネットワークで接続した少なくとも3台以上の秘密計算サーバ装置を用いる秘密計算方法であって、
    秘密分散されたシェア値を定数ラウンド数でビット分解を行い、
    各ビットにおいて等号が成立するか否かを判定する判定式を行方向に配列し、前記判定式の組み合わせを列方向に配列したテーブルを用いて、前記ビット分解の各ビットにおける等号の成否を判定し、
    前記ビット分解の各ビットにおける等号の成否を集積した値に対して定数ラウンド数で等号判定をすることで、前記シェア値に対応する配列参照を判定する、秘密計算方法。
  10. 相互にネットワークで接続した少なくとも3台以上の秘密計算サーバ装置に実行させる秘密計算プログラムであって、
    秘密分散されたシェア値を定数ラウンド数でビット分解を行い、
    各ビットにおいて等号が成立するか否かを判定する判定式を行方向に配列し、前記判定式の組み合わせを列方向に配列したテーブルを用いて、前記ビット分解の各ビットにおける等号の成否を判定し、
    前記ビット分解の各ビットにおける等号の成否を集積した値に対して定数ラウンド数で等号判定をすることで、前記シェア値に対応する配列参照を判定する、秘密計算プログラム。
JP2022509808A 2020-03-24 2020-03-24 秘密計算システム、秘密計算サーバ装置、秘密計算方法および秘密計算プログラム Active JP7380843B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/012906 WO2021192006A1 (ja) 2020-03-24 2020-03-24 秘密計算システム、秘密計算サーバ装置、秘密計算方法および秘密計算プログラム

Publications (2)

Publication Number Publication Date
JPWO2021192006A1 JPWO2021192006A1 (ja) 2021-09-30
JP7380843B2 true JP7380843B2 (ja) 2023-11-15

Family

ID=77891619

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022509808A Active JP7380843B2 (ja) 2020-03-24 2020-03-24 秘密計算システム、秘密計算サーバ装置、秘密計算方法および秘密計算プログラム

Country Status (3)

Country Link
US (1) US20230130624A1 (ja)
JP (1) JP7380843B2 (ja)
WO (1) WO2021192006A1 (ja)

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
KELLER, Marcel et al.,Efficient, Oblivious Data Structures for MPC,Cryptology ePrint Archive [online],International Association for Cryptologic Research,2014年08月,Report 2014/137, Ver. 20140815:182750,pp. 1-31,[retrieved on 2020.09.03], Retrieved from the Internet: <URL: https://eprint.iacr.org/2014/137/20140815:182750>
KELLER, Marcel et al.,Faster Secure Multi-Party Computation of AES and DES Using Lookup Tables,Cryptology ePrint Archive [online],International Association for Cryptologic Research,2017年05月,Report 2017/378, Ver. 20170501:134527,pp. 1-26,[retrieved on 2020.09.03], Retrieved from the Internet: <URL: https://eprint.iacr.org/2017/378/20170501:134527>
LAUNCHBURY, John et al.,Application-Scale Secure Multiparty Computation,Lecture Notes in Computer Science,Springer-Verlag,2014年,vol. 8410,pp. 8-26

Also Published As

Publication number Publication date
WO2021192006A1 (ja) 2021-09-30
US20230130624A1 (en) 2023-04-27
JPWO2021192006A1 (ja) 2021-09-30

Similar Documents

Publication Publication Date Title
CN114175568B (zh) 安全的多方到达率和频率估算
Kakar et al. On the capacity and straggler-robustness of distributed secure matrix multiplication
US10003460B2 (en) Secret quotient transfer device, secret bit decomposition device, secret modulus conversion device, secret quotient transfer method, secret bit decomposition method, secret modulus conversion method, and programs therefor
Semenov et al. Algorithm for finding partitionings of hard variants of boolean satisfiability problem with application to inversion of some cryptographic functions
JP5872085B1 (ja) 分散値変換システム、分散値変換装置、分散値変換方法、およびプログラム
JP6732959B2 (ja) 秘密計算方法、秘密計算システム、秘密計算装置、およびプログラム
WO2018127446A1 (en) Distributed privacy-preserving verifiable computation
Wang et al. New bounds of permutation codes under Hamming metric and Kendall’s τ-metric
JP5864004B1 (ja) 分散値変換システム、分散値変換装置、分散値変換方法、およびプログラム
JP7031682B2 (ja) 秘密計算装置、システム、方法、プログラム
EP4016506B1 (en) Softmax function secret calculation system, softmax function secret calculation device, softmax function secret calculation method, neural network secret calculation system, neural network secret learning system, and program
WO2016148281A1 (ja) 秘匿文字列計算システム及び方法と装置並びにプログラム
Shiryaev et al. Performance impact of error correction codes in RNS with returning methods and base extension
Pedersen et al. Network coding over the 2 32− 5 prime field
Zajac Upper bounds on the complexity of algebraic cryptanalysis of ciphers with a low multiplicative complexity
JP7380843B2 (ja) 秘密計算システム、秘密計算サーバ装置、秘密計算方法および秘密計算プログラム
Behera Privacy preserving C4. 5 using Gini index
US11888977B2 (en) Share generating device, share converting device, secure computation system, share generation method, share conversion method, program, and recording medium
JP7334798B2 (ja) シャッフルシステム、シャッフル方法及びプログラム
EP3246900B1 (en) Matrix and key generation device, matrix and key generation system, matrix coupling device, matrix and key generation method, and program
JPWO2020165931A1 (ja) 情報処理装置、秘密計算方法及びプログラム
Zeng et al. Detecting affine equivalence of Boolean functions and circuit transformation
WO2022107323A1 (ja) 秘密計算システム、秘密計算サーバ装置、秘密計算方法および秘密計算プログラム
JPWO2019111318A1 (ja) サーバ装置、秘密等号判定システム、秘密等号判定方法および秘密等号判定プログラム
JP5858938B2 (ja) 計算装置、計算システム、計算方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220922

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231003

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231016

R151 Written notification of patent or utility model registration

Ref document number: 7380843

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151