CN102687184A - 代理计算系统、方法、委托装置、程序及其记录介质 - Google Patents

代理计算系统、方法、委托装置、程序及其记录介质 Download PDF

Info

Publication number
CN102687184A
CN102687184A CN2011800054203A CN201180005420A CN102687184A CN 102687184 A CN102687184 A CN 102687184A CN 2011800054203 A CN2011800054203 A CN 2011800054203A CN 201180005420 A CN201180005420 A CN 201180005420A CN 102687184 A CN102687184 A CN 102687184A
Authority
CN
China
Prior art keywords
random number
calculating part
input information
calculates
calculation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2011800054203A
Other languages
English (en)
Other versions
CN102687184B (zh
Inventor
山本刚
小林铁太郎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of CN102687184A publication Critical patent/CN102687184A/zh
Application granted granted Critical
Publication of CN102687184B publication Critical patent/CN102687184B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/008Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • H04L9/0656Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/46Secure multiparty computation, e.g. millionaire problem
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/76Proxy, i.e. using intermediary entity to perform cryptographic operations

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Complex Calculations (AREA)

Abstract

本发明利用进行正确的计算的概率低的计算装置进行函数f(x)的计算。设G、H为循环群,设f为将群H的元x映射到群G的函数,设X1、X2为在群G中具有数值的随机变量,设随机变量X1的表现值为x1,设随机变量X2的表现值为x2,整数计算部利用互素的两个自然数a、b,计算满足a′a+b′b=1的关系的整数a′、b′。第一可随机数化抽样器,可计算f(x)bx1,将其计算结果设为u。第一幂计算部计算u′=ua。第二可随机数化抽样器可计算f(x)ax2,将其计算结果设为v。第二幂计算部计算v′=vb。判定部判定是否为u′=v′。最终计算部在判定为u′=v′的情况下,计算ub′va′。

Description

代理计算系统、方法、委托装置、程序及其记录介质
技术领域
本发明涉及计算机的计算技术。特别涉及利用使其他计算机进行的计算结果进行计算的技术。
背景技术
委托装置利用委托于不一定进行正确的计算的计算装置的计算结果进行函数f的计算,该技术在非专利文献1中有所记载。非专利文献1记载的自订正器通过多次委托于计算装置进行计算,且采用其计算结果的多数决定,进行函数f的计算(例如,参照非专利文献1)。
现有技术文献
非专利文献
非专利文献1:M.Blum,M.Luby,and R.Rubinfeld,“Self-Testing/Correcting with Applications to Numerical Problems”,STOC 1990,pp.73-83.
发明内容
发明要解决的课题
但是,存在如下课题,即,为了非专利文献1的自订正器正常地动作,计算装置需要以一定以上的概率进行正确的计算,利用进行正确的计算的概率低的计算装置进行函数f的计算的技术不得而知。
用于解决课题的手段
本发明第一方式的代理计算系统设G、H为循环群,设f为将群H的元x映射到群G的函数,设X1、X2为在群G中具有数值的随机变量,设随机变量X1的表现值为x1,设随机变量X2的表现值为x2,包含:整数计算部,利用互素的两个自然数a、b,计算满足a′a+b′b=1的关系的整数a′、b′;第一可随机数化抽样器,能够计算f(x)bx1,将其计算结果设为u;第一幂计算部,计算u′=ua;第二可随机数化抽样器,能够计算f(x)ax2,将其计算结果设为v;第二幂计算部,计算v′=vb;判定部,判定是否为u′=v′;最终计算部,在判定为u′=v′的情况下,计算ub′va′。
本发明第二方式的代理计算系统设G、H及F为循环群,设映射θ:G×H→F为双同态同态映射,设g为群G的元,设h为群H的元,设KG为群G的位数,设KH为群H的位数,设μg为群G的生成元,设μh为群H的生成元,设ν=θ(μg,μg),设k为自然数的安全参数,设K=2k,委托装置包含:第一随机数生成部,生成0以上不足KG的整数的随机数r1;第二随机数生成部,生成0以上不足KH的整数的随机数r2;第一输入信息计算部,计算第一输入信息g1=μg r1g;第二输入信息计算部,计算第二输入信息h1=μh r2;第一列表信息计算部,利用从计算装置接收到的z1∈F,计算z1ν-r1r2;第一列表存储部,对由随机数r2和计算出的z1ν-r1r2构成的信息组(r2,z1ν-r1r2)进行存储;第三随机数生成部,生成0以上不足K的整数的均匀随机数即d1;第四随机数生成部,生成0以上不足KG的整数的均匀随机数即r4;第五随机数生成部,生成0以上不足KH的整数的均匀随机数即r5;第三输入信息计算部,计算第三输入信息g2=μg r4gd1;第四输入信息计算部,计算第四输入信息h2=μh r5;第二列表信息计算部,利用从计算装置接收到的z2∈F,计算z2ν-r4r5;第二列表存储部,对由d1、r5和计算出的z2ν-r4r5构成的信息组(d1,r5,z2ν-r4r5)进行存储;第一判定部,设从第一列表存储部读入的信息组的第一成分为s1,设第二成分为w1,且设从第二列表存储部读入的信息组的第一成分为t2,设第二成分为s2,设第三成分为w2,判定这些信息组是否满足(w1)^(t2s2s1 -1)=w2的关系,在满足其关系的情况下,将s1代入σ,将w1代入ν′;第六随机数生成部,生成0以上不足KG的整数的均匀随机数即r6;第七随机数生成部,生成0以上不足KH的整数的均匀随机数即r7;第五输入信息计算部,计算第五输入信息g3=gr6;第六输入信息计算部,计算第六输入信息h3=μh r7σh;第三列表信息计算部,利用从计算装置接收到的z3∈F,计算z3ν′-r6r7;第三列表存储部,对由r6和计算出的z3ν′-r6r7构成的信息组(r6,z3ν′-r6r7)进行存储;第八随机数生成部,生成0以上不足K的整数的均匀随机数即d2;第九随机数生成部,生成0以上不足KG的整数的均匀随机数即r9;第十随机数生成部,生成0以上不足KH的整数的均匀随机数即r10;第七输入信息计算部,计算第七输入信息g4=μg r9;第八输入信息计算部,计算第八输入信息h4=μh r10σhd2;第四列表信息计算部,利用从计算装置接收到的z4∈F,计算z4ν′-r9r10;第四列表存储部,对由d2、r9和计算出的z4ν′-r9r10构成的信息组(d2,r9,z4ν′-r9r10)进行存储;第二判定部,设从第三列表存储部读入的信息组的第一成分为s3,设第二成分为w3,且设从第四列表存储部读入的信息组的第一成分为t4,设第二成分为s4,设第三成分为w4,判定这些信息组是否满足(w3)^(t4s4s3 -1)=w4的关系,在满足其关系的情况下,将(w3)^(s3 1)输出。计算装置包含:第一输出信息计算部,可利用从委托装置接收到的g1及h1,计算θ(g1,h1),将其计算结果设为z1而输出;第二输出信息计算部,可利用从委托装置接收到的g2及h2,计算θ(g2,h2),将其计算结果设为z2而输出;第三输出信息计算部,可利用从委托装置接收到的g3及h3,计算θ(g3,h3),将其计算结果设为z3而输出;以及第四输出信息计算部,可利用从委托装置接收到的g4及h4,计算θ(g4,h4),将其计算结果设为z4而输出。
发明的效果
能够利用进行正确的计算的概率低的计算装置进行函数f的计算。
附图说明
图1是第一实施方式~第三实施方式的代理计算系统的例子的功能方框图。
图2是第一实施方式~第三实施方式的委托装置及计算装置的例子的功能方框图。
图3是第一实施方式~第三实施方式的抽样器的例子的功能方框图。
图4是第一实施方式~第三实施方式的第一可随机数化抽样器及第二可随机数化抽样器的例子的功能方框图。
图5是第一实施方式~第三实施方式的第一可随机数化抽样器及第二可随机数化抽样器的另一例的功能方框图。
图6是第一实施方式~第三实施方式的代理计算方法的例子的流程图。
图7是表示步骤S3的例子的流程图。
图8是表示步骤S6的例子的流程图。
图9是表示步骤S3的另一例的流程图。
图10是表示步骤S6的另一例的流程图。
图11是第四实施方式~第十实施方式的代理计算系统的例子的功能方框图。
图12是第四实施方式~第十实施方式的委托装置的例子的功能方框图。
图13是第四实施方式~第十实施方式的委托装置的例子的功能方框图。
图14是第四实施方式~第十实施方式的计算装置的例子的功能方框图。
图15是第四实施方式~第十实施方式的代理计算方法的例子的流程图。
图16是第四实施方式~第十实施方式的代理计算方法的例子的流程图。
图17是代理计算系统的变形例的功能方框图。
具体实施方式
下面,对本发明的代理计算系统、代理计算方法的实施方式进行详细说明。
第一实施方式~第二实施方式是利用委托装置1委托于计算装置2的计算结果来计算f(x)的实施方式。
[第一实施方式]
如图1所示,第一实施方式的代理计算系统包含委托装置1及计算装置2,利用委托装置1委托于计算装置2的计算结果,来计算f(x)。
如图2所示,委托装置1例如包含自然数存储部11、整数计算部12、第一幂计算部13、第一列表存储部14、判定部15、第二幂计算部16、第二列表存储部17、控制部18及最终计算部19。计算装置2例如包含第一可随机数化抽样器21及第二可随机数化抽样器22。在第一实施方式中,第一可随机数化抽样器21及第二可随机数化抽样器22对应于计算装置2。
设G、H为循环群,设函数f:H→G为将群H的元x映射到群G的函数,设群G、H的生成元分别为μg、μh,设X1、X2为在群G中具有数值的随机变量,设随机变量X1的表现值为x1,设随机变量X2的表现值为x2
在自然数存储部11存储有多个互素的两个自然数a、b的组(a,b)。当设I为不足群G的位数的两个自然数的组且互素的自然数的集合时,可认为在自然数存储部11存储有与I的子集S对应的自然数a、b的组(a,b)。
整数计算部12从存储于自然数存储部11的多个自然数的组(a,b)中随机地读入一个自然数的组(a,b),利用其读入的自然数的组(a,b),计算满足a′a+b′b=1的关系的整数a′、b′(步骤S1)。由于自然数a、b互素,因此必定存在满足a′a+b′b=1的关系的整数a′、b′。自然数的组(a,b)的信息发送到第一幂计算部13、第二幂计算部16、第一可随机数化抽样器21及第二可随机数化抽样器22。自然数的组(a′,b′)的信息发送到最终计算部19。
控制部18设为t=1(步骤S2)。
第一可随机数化抽样器21可计算f(x)bx1,利用x及b进行计算,将其计算结果设为u(步骤S3)。计算结果u发送到第一幂计算部13。
在该申请中,可计算的意思是可按不能忽略的概率以上的概率进行计算。不能忽略的概率是在将安全参数k的广义单调函数即多项式设为多项式F(k)时1/F(k)以上的概率。
在此,计算f(x)bx1是对定义为f(x)bx1的式的值进行计算。如果能够最终地计算式f(x)bx1的值,则不论计算过程中的计算方法。这关于该申请中出现的其他式的计算也同样。
第一幂计算部13计算u′=ua(步骤S4)。计算结果u和基于其计算结果计算出的u′的组(u,u′)存储于第一列表存储部14。
判定部15判定是否在存储于第一列表存储部14的组(u,u′)及存储于第二列表存储部17的组(v,v′)中存在成为u′=v′的组(步骤S5)。假如在第二列表存储部17中未存储有组(v,v′),则不进行该步骤S5的处理,而是进行下一步骤S6的处理。在存在成为u′=v′的组的情况下,进入步骤12。在不存在成为u′=v′的组的情况下,进入步骤S6。
第二可随机数化抽样器22可计算f(x)ax2,利用x及a进行计算,将其计算结果设为v(步骤S6)。计算结果v发送到第二幂计算部16。
第二幂计算部16计算v′=vb(步骤S7)。计算结果v和基于其计算结果计算出的v′的组(v,v′)存储于第二列表存储部17。
判定部15判定是否在存储于第一列表存储部14的组(u,u′)及存储于第二列表存储部17的组(v,v′)中存在成为u′=v′的组(步骤S8)。在存在成为u′=v′的组的情况下,进入步骤12。在不存在成为u′=v′的组情况下,进入步骤S9。
控制部18判定是否为t=T(步骤S9)。T为预定的自然数。如果t=T,则将表示不能进行计算的信息例如符号“⊥”输出(步骤S11),然后结束处理。在不是t=T的情况下,控制部18仅将t加1,即设为t=t+1(步骤S10),然后返回到步骤S3。
表示不能进行计算的信息(在该例子中,符号“⊥”)的意思是指计算装置2正确地进行计算的可靠性低于用T规定的基准。换言之,意思是指不能通过T次的重复来进行正确的运算。
最终计算部19在判定为u′=v′的情况下,利用与其u′及v′对应的u及v,计算ub′va′,且将其输出(步骤S12)。成为计算出的ub′va′=f(x)。关于成为ub′va′=f(x)的理由,后面进行描述。
《关于成为ub′va′=f(x)的理由》
设X为在群G中具有数值的随机变量。关于w∈G,每当某计算装置接收请求时都根据随机变量R抽取样本x′并回复wx′的抽样器称为关于w具有误差X的抽样器(sampler)。
关于w∈G,将每当某计算装置接收自然数a的输入时都根据随机变量X抽取样本x′并回复wax′的抽样器称为关于w具有误差X的可随机数化抽样器(randomizable sampler)。可随机数化抽样器如果用作a=1,则作为抽样器发挥功能。
上述实施方式的代理计算系统在构成输入x而输出f(x)的代理计算系统时,使用关于f(x)具有误差X1的第一可随机数化抽样器21、关于f(x)具有误差X2的第二可随机数化抽样器22。
发明者发现,u′=v′成立即ua=vb成立的理由是第一可随机数化抽样器21正确地计算出u=f(x)bx1,且第二可随机数化抽样器22正确地计算出v=f(x)ax2,进而x1及x2为群G的单位元eg的可能性非常高。在此,省略其证明。
在第一可随机数化抽样器21正确地计算出u=f(x)bx1、第二可随机数化抽样器22正确地计算出v=f(x)ax2,且x1及x2为群G的单位元eg时,成为ub′va′=(f(x)bx1b′(f(x)ax2a′=(f(x)begb′(f(x)aega′=f(x)bb′eg b′f(x)aa′eg a′=f(x)(bb′+aa′)=f(x)。
关于(q1,q2)∈I,关于i=1、2,分别用πi(q1,q2)=qi来定义函数πi。另外,设为L=min(#π1(S),#π2(S))。#·为集合·的位数。在群G为循环群及不易进行位数的计算的群时,上述代理计算系统输出“⊥”以外时的输出不是f(x)的概率在可忽略的程度的误差范围内最高可期待T2L/#S程度。如果L/#S为可忽略的量且T为多项式级程度的量,则上述代理计算系统就以压倒性的概率输出f(x)。
在L/#S达到可忽略的量那样的S的例子中,存在例如S={(1,d)|d∈[2,|G|-1]}。
另外,如图2中的虚线所示,也可以在计算装置2上设置抽样器23。抽样器23设X3为在群G中具有数值的随机变量、设随机变量X3的表现值为x3,从而可计算f(x)x3,如果a=1,则代替第二可随机数化抽样器22,将其计算结果设为上述v,如果b=1,则代替第一可随机数化抽样器21,将其计算结果设为上述u。
通常,抽样器的计算量比可随机数化抽样器小。在a=1、b=1时,通过抽样器23代替第一可随机数化抽样器21、第二可随机数化抽样器22进行计算,能够减小计算装置2的计算量。
[第二实施方式]
第二实施方式的代理计算系统是将第一可随机数化抽样器21及第二可随机数化抽样器22的一个例子具体化而成的系统,换言之,是将步骤S3及步骤S6的一个例子具体化而成的系统。下面,以与第一实施方式不同的部分为中心进行说明,关于共同的部分,省略重复说明。
如图3所示,第二实施方式的第一可随机数化抽样器21例如包含第一随机数生成部110、第一输入信息计算部111、第一输出信息计算部24及第一计算部112。另外,如图3所示,第二实施方式的第二可随机数化抽样器22例如包含第二随机数生成部113、第二输入信息计算部114、第二输出信息计算部25及第二计算部115。
在第二实施方式中,第一随机数生成部110、第一输入信息计算部111、第一计算部112、第二随机数生成部113、第二输入信息计算部114及第二计算部115包含在委托装置1中。另外,第一输出信息计算部24及第二输出信息计算部25包含在计算装置2中。在第二实施方式中,第一输出信息计算部24及第二输出信息计算部25与计算装置2对应。
第二实施方式的函数f设为同态映射(準同型写像)。另外,设群H的生成元为μh,设群H的位数为KH,设ν=f(μh)。
步骤S3由图7例示的步骤S31~步骤S34构成。
第一随机数生成部110生成0以上不足KH的整数的均匀随机数r1(步骤S31)。生成的随机数r1发送到第一输入信息计算部111。
第一输入信息计算部111计算第一输入信息μh r1xb(步骤S32)。计算出的第一输入信息μh r1xb发送到第一输出信息计算部24。
第一输出信息计算部24利用第一输入信息μh r1xb进行计算,将其计算结果设为第一输出信息z1(步骤S33)。计算出的第一输出信息z1发送到第一计算部112。
第一输出信息计算部24可计算f(μh r1xb)。第一输出信息计算部24的计算结果有时是f(μh r1xb),有时不是f(μh r1xb)。
在此,μh的右上角的r1是r1的意思。这样,在该申请中,在设α为第一字符、β为第二字符、γ为数字并表述为αβγ的情况下,该βγ的意思是βγ,即,β的下标γ。
第一计算部112计算z1ν-r1,将其计算结果设为u(步骤S34)。计算结果u发送到第一幂计算部13。在此,u=z1ν-r1=f(x)bx1。即,z1ν-r1成为关于f(x)具有误差X1的可随机数化抽样器。关于其理由,后面进行描述。
步骤S6由图8例示的步骤S61~步骤S64构成。
第二随机数生成部113生成0以上不足KH的整数的均匀随机数r2(步骤S61)。生成的随机数r2发送到第二输入信息计算部114。
第二输入信息计算部114计算第二输入信息μh r2xa(步骤S62)。计算出的第二输入信息μh r2xa发送到第二输出信息计算部25。
第二输出信息计算部25利用第二输入信息μh r2xa进行计算,将其计算结果设为第二输出信息z2(步骤S63)。计算出的第二输出信息z2发送到第二计算部115。
第二输出信息计算部25可计算f(μh r2xa)。第二输出信息计算部25的计算结果有时是f(μh r2xa),有时不是f(μh r2xa)。
第二计算部115计算z2ν-r2,将其计算结果设为v(步骤S64)。计算结果v发送到第二幂计算部16。在此,成为v=z2ν-r2=f(x)ax2。即,z2ν-r2成为关于f(x)具有误差X2的可随机数化抽样器。关于其理由,后面进行描述。
在第二实施方式中,也可以在a=1、b=1时,通过抽样器23代替第一可随机数化抽样器21或第二可随机数化抽样器22而计算u或v的值,来消减计算量。
如图4所示,第二实施方式的抽样器23例如包含第三随机数生成部116、第三输入信息计算部117、第三输出信息计算部26、第三计算部118。第三随机数生成部116、第三输入信息计算部117及第三计算部118包含在委托装置1中。第三输出信息计算部26包含在计算装置2中。
如果a=1、b=1,则抽样器23的各部代替第一可随机数化抽样器21、第二可随机数化抽样器22,进行下面的处理。
第三随机数生成部116生成0以上不足KH的整数的随机数r3。生成的随机数r3发送到第三输入信息计算部117。
第三输入信息计算部117计算第三输入信息xr3。计算出的第三输入信息xr3发送到第三输出信息计算部26。
第三输出信息计算部26利用第三输入信息xr3进行计算,将其计算结果设为第三输出信息z3。计算出的第三输出信息z3发送到第三计算部118。
第三输出信息计算部26可计算f(xr3)。第三输出信息计算部26的计算结果有时是f(xr3),有时不是f(xr3)。
第三计算部118计算z3 1/r3,如果是a=1,则将其计算结果设为v,如果是b=1,则将其计算结果设为u。计算结果v发送到第二幂计算部16。计算结果u发送到第一幂计算部13。在此,成为u=v=z3 1/r3=f(x)x3。即,z3 1 /r3成为关于f(x)具有误差X3的抽样器。z3 1/r3成为关于f(x)具有误差X3的抽样器。其理由,后面进行描述。
在难以进行z3 1/r3的计算即z3的方根的计算的情况下,也可以如下那样计算u及/或v。第三计算部118将随机数r3和基于其随机数r3计算出的z3的组依次设为(α1,β1),(α2,β2),…,(αm,βm),…,且将其存储于未图示的存储部。m为自然数。第三计算部118如果α1,α2,…,αm的最小公倍数达到1,则也可以将γ1,γ2,…,γm设为整数,计算成为γ1α1+γ2α2+…+γmαm=1的γ1,γ2,…,γm,利用该γ1,γ2,…,γm,计算Πi=1 mβi γi=β1 γ1β2 γ2…βm γm,将其计算结果设为u及/或v。
这样,通过将利用随机数r1、r2、r3干扰x的信息发送到计算装置2,能够将成为函数f的值的计算对象的x∈H相对于对委托装置1和计算装置2之间的通信进行拦截的第三者及计算装置2保密。
《关于z1ν-r1、z2ν-r2成为关于f(x)分别具有误差X1、X2的可随机数化抽样器的理由》
设c为自然数、R及R′为随机数,将计算装置2利用μh Rxc进行计算的计算结果设为B(μh Rxc)(即,当将计算装置2返送到委托装置1的计算结果设为z时,z=B(μh Rxc)),将在群G中具有数值的随机变量X定义为X=B(μh R′)f(μh R′)-1
这时,成为zν-R=B(μh Rxc)f(μh-R=Xf(μh Rxc)f(μh-R=Xf(μhRf(x)cf(μh-R=f(x)cX。即,zν-R成为关于f(x)具有误差X的可随机数化抽样器。
在上述展开式中,利用X=B(μh R′)f(μh R′)-1=B(μh Rxc)f(μh Rxc-1,且B(μh Rxc)=Xf(μh Rxc)这种性质。该性质基于函数f为同态映射、R及R′为随机数。
因此,当考虑a、b为自然数、r1、r2为随机数时,同样,z1ν-r1、z2ν-r2成为关于f(x)分别具有误差X1、X2的可随机数化抽样器。
《关于z3 1/r3成为关于f(x)具有误差X3的抽样器的理由》
设R及R′为随机数,将计算装置2利用xR进行计算的计算结果设为B(xR)(即,当将计算装置2返送到委托装置1的计算结果设为z时,z=B(xR)),将在群G中具有数值的随机变量X定义为X=B(xR1/Rf(x)-1
这时,成为z1/R=B(xR1/R=Xf(x)=f(x)X。即,z1/R成为关于f(x)具有误差X的抽样器。
在上述展开式中,利用X=B(xR1/Rf(xR-1、B(xR1/R=Xf(xR)这种性质。该性质基于R及R′为随机数。
因此,当考虑r3为随机数时,z1/R成为关于f(x)具有误差X3的可随机数化抽样器。
[第三实施方式]
第三实施方式的代理计算系统是将第一可随机数化抽样器21及第二可随机数化抽样器22的另一例具体化而成的系统,换言之,是将步骤S3及步骤S6的另一例具体化而成的系统。具体而言,是将H=G×G且函数f相对于EIGamal密码的解码函数即密钥s及密文(c1,c2)为f(c1,c2)=c1c2 -s时的第一可随机数化抽样器21及第二可随机数化抽样器22的例子具体化而成的系统。下面,以与第一实施方式不同的部分为中心进行说明,关于共同的部分,省略重复说明。
如图5所示,第三实施方式的第一可随机数化抽样器21例如包含第四随机数生成部119、第五随机数生成部120、第四输入信息计算部121、第五输入信息计算部122、第四输出信息计算部27及第四计算部123。如图5所示,第二可随机数化抽样器22例如包含第六随机数生成部124、第七随机数生成部125、第六输入信息计算部126、第七输入信息计算部127、第五输出信息计算部28及第五计算部128。
第四随机数生成部119、第五随机数生成部120、第四输入信息计算部121、第五输入信息计算部122、第四计算部123、第六随机数生成部124、第七随机数生成部125、第六输入信息计算部126、第七输入信息计算部127、第五输出信息计算部28及第五计算部128包含在委托装置1中。第四输出信息计算部27及第五输出信息计算部28包含在计算装置2中。在第三实施方式中,第四输出信息计算部27及第五输出信息计算部28与计算装置2对应。
在第三实施方式中,x=(c1,c2),f(c1,c2)为从直积群G×G向G的同态映射,设群G的生成元为μg,设群G的位数为KG,委托装置1和计算装置2事前得知的是相对于相同的密钥s的密文(V,W)∈H和将其密文解码后的解码文f(V,W)=Y∈G。
第三实施方式的步骤S3由图9例示的步骤S31′~步骤S36′构成。
第四随机数生成部119生成0以上不足KG的整数的均匀随机数r4(步骤S31′)。生成的随机数r4发送到第四输入信息计算部121、第五输入信息计算部122及第四计算部123。
第五随机数生成部120生成0以上不足KG的整数的均匀随机数r5(步骤S32′)。生成的随机数r5发送到第四输入信息计算部121及第四计算部123。
第四输入信息计算部121计算第四输入信息c1 bVr4μg r5(步骤S33′)。计算出的第四输入信息c1 bVr4μg r5发送到第四输出信息计算部27。
第五输入信息计算部122计算第五输入信息c2 bWr4(步骤S34′)。计算出的第五输入信息c2 bWr4发送到第四输出信息计算部27。
第四输出信息计算部27利用第四输入信息c1 bVr4μg r5及第五输入信息c2 bWr4进行计算。将其计算结果设为第四输出信息z4(步骤S35′)。
第四输出信息计算部27可计算f(c1 bVr4μg r5,c2 bWr4)。第四输出信息计算部27的计算结果有时是f(c1 bVr4μg r5,c2 bWr4),有时不是f(c1 bVr4μg r5,c2 bWr4)。
第四计算部123计算z4 Y-r4μg -r5,将其计算结果设为u(步骤S36′)。计算结果u发送到第一幂计算部13。在此,成为u=z4 Y-r4μg -r5=f(c1,c2bx1。即,z4 Y-r4μg -r5成为关于f(c1,c2)具有误差X1的可随机数化抽样器。关于其理由,后面进行描述。
第三实施方式的步骤S6由图10例示的步骤S61′~步骤S66′构成。
第六随机数生成部124生成0以上不足KG的整数的均匀随机数r6(步骤S61′)。生成的随机数r6发送到第六输入信息计算部126、第七输入信息计算部127及第五计算部128。
第七随机数生成部125生成0以上不足KG的整数的均匀随机数r7(步骤S62′)。生成的随机数r7发送到第六输入信息计算部126及第五计算部128。
第六输入信息计算部126计算第六输入信息c1 aVr6μg r7(步骤S63′)。计算出的第六输入信息c1 aVr6μg r7发送到第五输出信息计算部28。
第七输入信息计算部127计算第七输入信息c2 aWr6(步骤S64′)。计算出的第七输入信息c2 aWr6发送到第五输出信息计算部28。
第五输出信息计算部28利用上述第六输入信息c1 aVr6μg r7及上述第七输入信息c2 aWr6进行计算,将其计算结果设为第五输出信息z5(步骤S65′)。计算出的第五输出信息z5发送到第五计算部128。
第五输出信息计算部28可计算f(c1 aVr6μg r7,c2 aWr6)。第五输出信息计算部28的计算结果有时是f(c1 aVr6μg r7,c2 aWr6),有时不是f(c1 aVr6μg r7,c2 aWr6)。
第五计算部128计算z5 Y-r6μg -r7,将其计算结果设为v(步骤S66′)。计算结果v发送到第二幂计算部16。在此,成为v=z5 Y-r6μg -r7=f(c1,c2)ax2。即,z5 Y-r6μg -r7成为关于f(c1,c2)具有误差X2的可随机数化抽样器。关于其理由,后面进行描述。
《关于z4 Y-r4μg -r5、z5 Y-r6μg -r7成为关于f(c1,c2)分别具有误差X1、X2的可随机数化抽样器的理由》
设为c为自然数、R1、R2、R1′及R2′为随机数,将计算装置2利用c1 cVR1μg R2及c2 cWR1进行计算的计算结果设为B(c1 cVR1μg R2,c2 cWR1)(即,当将计算装置2返送到委托装置1的计算结果为z时,为z=B(c1 cVR1μg R2,c2 cWR1)),将在群G中具有数值的随机变量X定义为X=B(VR1′μg R2′,WR1′)f(VR1′μg R2′,WR1′)-1
这时,zY-R1μg-R2=B(c1 cVR1μg R2,c2 cWR1)Y-R1μg -R2=Xf(c1 cVR1μg R2,c2 cWR1)Y-R1μg -R2=Xf(c1,c2cf(V,W)R1f(μg,egR2Y-R1μg -R2=Xf(c1,c2cYR1μg R2Y-R1μg -R2=f(c1,c2cX。即,zY-R1μg -R2成为关于f(x)具有误差X的可随机数化抽样器。另外,eg设为群G的单位元。
在上述展开式中,利用X=B(VR1′μg R2′,WR1′)f(VR1′μg R2′,WR1′)-1=B(c1 cVR1μg R2,c2 cWR1)f(c1 cVR1μg R2,c2 cWR1),且B(c1 cVR1μg R2,c2 cWR1)=Xf(c1 cVR1μg R2,c2 cWR1)这种性质。该性质基于R1、R2、R1′及R2′为随机数。
因此,当考虑a、b为自然数、r4、r5、r6及r7为随机数时,同样,z4Y r4μg -r5、z5Y-r6μg -r7成为关于f(c1,c2)分别具有误差X1、X2的可随机数化抽样器。
[第一实施方式~第三实施方式的变形例等]
随机变量X1、X2及X3既可以相同,也可以不同。
通过第一随机数生成部110、第二随机数生成部113、第三随机数生成部116、第四随机数生成部119、第五随机数生成部120、第六随机数生成部124及第七随机数生成部125分别生成均匀随机数,代理计算系统的安全性最高。但是,在要求的安全性的水平没有那么高的情况下,第一随机数生成部110、第二随机数生成部113、第三随机数生成部116、第四随机数生成部119、第五随机数生成部120、第六随机数生成部124及第七随机数生成部125也可以分别生成不是均匀随机数的随机数。
在上述的例子中,各调用一次第一可随机数化抽样器21、第二可随机数化抽样器22,但为了减少委托装置1和计算装置2之间的通信次数,也可以对同一a、b多次调用第一可随机数化抽样器21、第二可随机数化抽样器22,委托装置1通过一次通信就能够取得多个u、v。
第一可随机数化抽样器21、第二可随机数化抽样器22及抽样器23的各部既可以配置于委托装置1,也可以配置于计算装置2。即,既可以如第一实施方式那样将各部全部配置于计算装置2,也可以如第二实施方式及第三实施方式那样分开配置于委托装置1及计算装置2。
委托装置1的各部间的数据交换既可以直接进行,也可以经由未图示的存储部来进行。同样,计算装置2的各部间的数据交换既可以直接进行,也可以经由未图示的存储部来进行。
委托装置1及计算装置2可分别由计算机来实现。在这种情况下,该装置应有的各功能的处理内容通过程序来记述。而且,通过由计算机执行该程序,这些装置的各处理功能在计算机上实现。
记述有该处理内容的程序能够记录于计算机可读取的记录介质。另外,在该方式中,通过在计算机上执行规定的程序,构成这些装置,但也可以硬件地实现这些处理内容的至少一部分。
[第四实施方式]
第四实施方式~第十实施方式是利用委托装置1′委托于计算装置2′的计算结果来计算θ(g,h)的实施方式。
如图11所示,第四实施方式的代理计算系统包含委托装置1′及计算装置2′,利用委托装置1′委托于计算装置2′的计算结果,计算双同态映射θ(g,h)。
在此,设G、H及F为循环群,设映射θ:G×H→F为双同态映射,设g为群G的元,设h为群H的元,设KG为群G的位数,设KH为群H的位数,设μg为群G的生成元,设μh为群H的生成元,设ν=θ(μg,μg),设k为1以上的整数的安全参数,设K=2k
双同态映射的意思是相对于两个输入都为同态的映射。在该例子中,映射θ(g,h)相对于群G的元g为同态,且相对于群H的元h为同态。
在委托装置1′和计算装置2′之间确立有通信路径,委托装置1′及计算装置2′可双向地通信。该通信路径也可以不必秘密地保持,第三者可拦截在该通信路径流通的信息。
委托装置1′向不可靠的计算装置2′发送由随机数干扰后的信息,计算装置2′利用该干扰后的信息,按照一定的算法进行计算,然后将其计算结果回复到委托装置1′。通过重复向该计算装置2′的信息的收发,委托装置1′最终地计算θ(g,h)。
委托装置1′首先通过步骤S 11′~步骤S 125′(图15)的处理,计算与θ(g,μh)同等的信息(σ,ν′),利用与其θ(g,μh)同等的信息(σ,ν′),通过步骤S21′~步骤S225′的处理,计算θ(g,μ)。
委托装置1′例如包含图12及图13例示的第一随机数生成部11′、第二随机数生成部12′、第一输入信息计算部13′、第二输入信息计算部14′、第一列表信息计算部15′、第一列表存储部16′、接收部17′、发送部18′、第四随机数生成部21′、第五随机数生成部22′、第三输入信息计算部23′、第四输入信息计算部24’、第二列表信息计算部25′、第二列表存储部26′、第三随机数生成部27′、第一判定部28′、第六随机数生成部31′、第七随机数生成部32′、第五输入信息计算部33′、第六输入信息计算部34′、第三列表信息计算部35′、第三列表存储部36′、第九随机数生成部41′、第十随机数生成部42′、第七输入信息计算部43′、第八输入信息计算部44′、第四列表信息计算部45′、第四列表计算部46′、第八随机数生成部47′及第二判定部48′。
如图14所示,计算装置2′例如包含接收部51′、发送部52′、第一输出信息计算部53′、第二输出信息计算部54′、第三输出信息计算部55′及第四输出信息计算部56′。
<步骤S11′(图15)>
第一随机数生成部11′生成0以上不足KG的整数的均匀随机数r1(步骤S11′)。生成的随机数r1发送到第一输入信息计算部13′及第一列表信息计算部15′。
<步骤S12′>
第二随机数生成部12′生成0以上不足KH的整数的均匀随机数r2(步骤S12′)。生成的随机数r2发送到第二输入信息计算部14′、第一列表信息计算部15′及第一列表存储部16′。
<步骤S13′>
第一输入信息计算部13′计算第一输入信息g1=μg r1g(步骤S13′)。计算出的g1发送到发送部18′。
在此,μg的右上角的r1是r1的意思。这样,在该申请中,在设α为第一字符、β为第二字符、γ为数字而表述为αβγ的情况下,该βγ的意思是βγ,即,β的下标γ。
另外,计算g1=μg r1g是计算用μg r1g这种式定义的g1的值。如果能够最终地计算式μg r1g的值,则不论计算过程中的计算方法。这关于该申请中出现的其他式的计算也同样。
<步骤S14′>
第二输入信息计算部14′计算第二输入信息h1=μh r2(步骤S14′)。计算出的h1发送到发送部18′。
<步骤S15′>
发送部18′将第一输入信息g1及第二输入信息h1发送到计算装置2′(步骤S15′)。
<步骤S16′>
计算装置2′的接收部51′(图14)接收第一输入信息g1及第二输入信息h1(步骤S16′)。
<步骤S17′>
第一输出信息计算部53′利用第一输入信息g1及第二输入信息h1进行计算,将其计算结果设为第一输出信息z1(步骤S17′)。z1发送到发送部52′。
第一输出信息计算部53′可计算θ(g1,h1)。第一输出信息计算部53′的计算结果有时是θ(g1,h1),有时不是θ(g1,h1)。
在该申请中,可计算的意思是可按不能忽略的概率进行计算。不能忽略的概率是在设安全参数k的广义单调增加函数的多项式为多项式f(k)时的1/f(k)以上的概率。
<步骤S18′>
发送部52′将第一输出信息z1发送到委托装置1′(步骤S18′)。
<步骤S19′>
委托装置1′的接收部17′(图12)接收第一输出信息z1(步骤S19′)。接收到的第一输出信息z1发送到第一列表信息计算部15′。在此,第一输出信息z1设为群F的元。
<步骤S110′>
第一列表信息计算部15′利用随机数r1、随机数r2及第一输出信息z1,计算z1ν-r1r2(步骤S110′)。计算出的z1ν-r1r2发送到第一列表存储部16′。
<步骤S111′>
由随机数r2和z1ν-r1r2构成的信息组(r2,z1ν-r1r2)追加于列表L1。在该例子中,在第一列表存储部16′存储信息组(r2,z1ν-r1r2)(步骤S111′)。
<步骤S112′>
第三随机数生成部27′生成0以上不足K的整数的均匀随机数即d1(步骤S112′)。生成的随机数d1发送到第三输入信息计算部23′及第二列表存储部26′。
<步骤S113′>
第四随机数生成部21′生成0以上不足KG的整数的均匀随机数即r4(步骤S113′)。生成的随机数r4发送到第三输入信息计算部23′及第二列表信息计算部25′。
<步骤S114′>
第五随机数生成部22′生成0以上不足KH的整数的均匀随机数即r5(步骤S114′)。生成的随机数r5发送到第四输入信息计算部24′、第二列表信息计算部25′及第二列表存储部26′。
<步骤S115′>
第三输入信息计算部23′计算第三输入信息g2=μg r4gd1(步骤S115′)。计算出的第三输入信息g2发送到发送部18′。
<步骤S116′>
第四输入信息计算部24′计算第四输入信息h2=μh r5(步骤S116′)。计算出的第四输入信息h2发送到发送部18′。
<步骤S117′>
发送部18′将第三输入信息g2及第四输入信息h2发送到计算装置2′(步骤S117′)。
<步骤S118′>
计算装置2′的接收部51′(图14)接收第三输入信息g2及第四输入信息h2(步骤S118′)。
<步骤S119′>
第二输出信息计算部54′利用第三输入信息g2及第四输入信息h2进行计算,将其计算结果设为第二输出信息z2(步骤S119′)。z2发送到发送部52′。
第二输出信息计算部54′可计算θ(g2,h2)。第二输出信息计算部54′的计算结果有时是θ(g2,h2),有时不是θ(g2,h2)。
<步骤S120′>
发送部52′将第二输出信息z2发送到委托装置1′(步骤S120′)。
<步骤S121′>
委托装置1′的接收部17′(图12)接收第二输出信息z2(步骤S121′)。接收到的第二输出信息z2发送到第二列表信息计算部25′。在此,第二输出信息z2设为群F的元。
<步骤S122′>
第二列表信息计算部25′利用随机数r4、随机数r5及第二输出信息z2,计算z2ν-r4r5(步骤S122′)。计算出的z2ν-r4r5发送到第二列表存储部26′。
<步骤S123′>
由随机数d1、随机数r5和z2ν-r4r5构成的信息组(d1,r5,z2ν-r4r5)追加于列表L2。在该例子中,在第二列表存储部26′存储信息组(d1,r5,z2ν-r4r5)(步骤S123′)。
<步骤S124′>
第一判定部28′在设从第一列表存储部16′读入的信息组的第一成分为s1、第二成分为w1,且设从第二列表存储部26′读入的信息组的第一成分为t2、第二成分为s2、第三成分为w2时,判定这些信息组是否满足(w1)^(t2s2s1 -1)=w2的关系(步骤S124′)。
第一判定部28′在第一列表存储部16′及第二列表存储部26′存储有多个信息组的情况下,判定由存储于第一列表存储部16′的信息组(r2,z1ν-r1r2)和存储于第二列表存储部26′的信息组(d1,r5,z2ν-r4r5)构成的所有的信息对是否满足上述关系。当然,关于已判定了是否满足上述关系的信息对,也可以省略其判定处理。
<步骤S125′>
第一判定部28′在满足上述关系的情况下,将s1代入σ,将w1代入ν′(步骤S125′)。在此,成为ν′1/σ=w1 1/σ=θ(g,μh)。关于成为ν′1/σ=θ(g,μh)的理由,后面进行描述。
在不满足上述关系的情况下,返回到步骤S11′。
<步骤S21′(图16)>
第六随机数生成部31′生成0以上不足KG的整数的均匀随机数即r6(步骤S21′)。生成的随机数r6发送到第五输入信息计算部33′、第三列表信息计算部35′及第三列表存储部36′。
<步骤S22′>
第七随机数生成部32′生成0以上不足KH的整数的均匀随机数即r7(步骤S22′)。生成的随机数r7发送到第六输入信息计算部34′及第三列表信息计算部35′。
<步骤S23′>
第五输入信息计算部33′计算第五输入信息g3=μg r6(步骤S23′)。计算出的g3发送到发送部18′。
<步骤S24′>
第六输入信息计算部34′计算第六输入信息h3=μh r7σh(步骤S24′)。计算出的h3发送到发送部18′。
<步骤S25′>
发送部18′将第五输入信息g3及第六输入信息h3发送到计算装置2′(步骤S25′)。
<步骤S26′>
计算装置2′的接收部51′(图14)接收第五输入信息g3及第六输入信息h3(步骤S26′)。
<步骤S27′>
第三输出信息计算部55′利用第五输入信息g3及第六输入信息h3进行计算,将其计算结果设为第三输出信息z3(步骤S27′)。z3发送到发送部52′。
第三输出信息计算部55′可计算θ(g3,h3)。第三输出信息计算部55′的计算结果有时是θ(g3,h3),有时不是θ(g3,h3)。
<步骤S28′>
发送部52′将第三输出信息z3发送到委托装置1′(步骤S28′)。
<步骤S29′>
委托装置1′的接收部17′(图13)接收第三输出信息z3(步骤S29′)。接收到的第三输出信息z3发送到第三列表信息计算部35′。在此,第三输出信息z3设为群F的元。
<步骤S210′>
第三列表信息计算部35′利用随机数r6、随机数r7及第三输出信息z3,计算z3ν′-r6r7(步骤S210′)。计算出的z3ν-r6r7发送到第三列表存储部36′。
<步骤S211′>
由随机数r6和z3ν′-r6r7构成的信息组(r6,z3ν′-r6r7)追加于列表L3。在该例子中,在第三列表存储部36′存储信息组(r6,z3ν′-r6r7)(步骤S211′)。
<步骤S212′>
第八随机数生成部47′生成0以上不足K的整数的均匀随机数即d2(步骤S212′)。生成的随机数d2发送到第八输入信息计算部44及第四列表存储部46′。
<步骤S213′>
第九随机数生成部41′生成0以上不足KG的整数的均匀随机数即r9(步骤S213′)。生成的随机数r9发送到第七输入信息计算部43′、第四列表信息计算部45′及第四列表存储部46′。
<步骤S214′>
第十随机数生成部42′生成0以上不足KH的整数的均匀随机数即r10(步骤S214′)。生成的随机数r10发送到第八输入信息计算部44′、第四列表信息计算部45′及第四列表存储部46′。
<步骤S215′>
第七输入信息计算部43′计算第七输入信息g4=gr9(步骤S215′)。计算出的第七输入信息g4发送到发送部18′。
<步骤S216′>
第八输入信息计算部44′计算第八输入信息h4=μh r10σhd2(步骤S216′)。计算出的第八输入信息h4发送到发送部18′。
<步骤S217′>
发送部18′将第七输入信息g4及第八输入信息h4发送到计算装置2′(步骤S217′)。
<步骤S218′>
计算装置2′的接收部51′(图14)接收第七输入信息g4及第八输入信息h4(步骤S218′)。
<步骤S219′>
第四输出信息计算部56′利用第七输入信息g4及第八输入信息h4进行计算,将其计算结果设为第四输出信息z4(步骤S219′)。z4发送到发送部52′。
第四输出信息计算部56′可计算θ(g4,h4)。第四输出信息计算部56′的计算结果有时是θ(g4,h4),有时不是θ(g4,h4)。
<步骤S220′>
发送部52′将第四输出信息z4发送到委托装置1′(步骤S220′)。
<步骤S221′>
委托装置1′的接收部17′(图12)接收第四输出信息z4(步骤S221)。接收到的第四输出信息z4发送到第四列表信息计算部45′。在此,第四输出信息z4设为群F的元。
<步骤S222′>
第四列表信息计算部45′利用随机数r9、随机数r10及第四输出信息z4,计算z4ν′-r9r10(步骤S222′)。计算出的z4ν′-r9r10发送到第四列表存储部46′。
<步骤S223′>
由随机数d2、随机数r9和z4ν′-r9r10构成的信息组(d2,r9,z4ν′-r9r10)追加于列表L4。在该例子中,在第四列表存储部46′存储信息组(d2,r9,z4ν-r9r10)(步骤S223′)。
<步骤S224′>
第二判定部48′在设从第三列表存储部36′读入的信息组的第一成分为s3、第二成分为w3,且设从第四列表存储部46′读入的信息组的第一成分为t4、第二成分为s4、第三成分为w4时,判定这些信息组是否满足(w3)^(t4s4s3 -1)=w4的关系(步骤S224′)。
第二判定部48′在第三列表存储部36′及第四列表存储部46′存储有多个信息组的情况下,判定由存储于第三列表存储部36′的信息组(r6,z3ν′-r6r7)和存储于第四列表存储部46′的信息组(d2,r9,z4ν′-r9r10)构成的所有的信息对是否满足上述关系。当然,关于已判定了是否满足上述关系的信息对,也可以省略其判定处理。
<步骤S225′>
第二判定部48′在满足上述关系的情况下,将(w3)^(s3 -1)输出(步骤S225′)。在此,成为(w3)^(s3 -1)=θ(g,h)。关于成为(w3)^(s3 -1)=θ(g,h)的理由,后面进行描述。
在不满足上述关系的情况下,返回到步骤S21′。
在难以进行(w3)^(s3 -1)的计算即w3的方根的计算的情况下,可如下那样容易地计算θ(g,h)。第二判定部48′重复进行步骤S21′~步骤S224′的处理,将满足(w3)^(t4s4s3 -1)=w4的关系的w3和s3的组(w3,s3)依次设为(α1,S1),(α2,S2),…,(αm,Sm),…,并将其存储于存储部410′。m为自然数。第二判定部48′如果发现与S1成为互素的Sm,则设L1和L2为整数,计算成为L1S1+L2Sm=1的L1及L2,利用该L1及L2,计算α1 L1αm L2。成为α1 L1αm L2=θ(g,h)(L1S1+L2S2)=θ(g,h)。另外,第二判定部48′如果S1,S2,…,Sm的最小公倍数为1,则也可以设L1,L2,…,Lm为整数,计算成为L1S1+L2S2+…+LmSm=1的L1,L2,…,Lm,利用该L1,L2,…,Lm,计算α1 L1α2 L2…αm Lm。成为α1 L1α2 L2…αm Lm=θ(g,h)(L1S1+L2S2+...+LmSm)=θ(g,h)。
假设有能够拦截委托装置1′和计算装置2′之间的通信的攻击者M,也可通过用仅委托装置1′得知的随机数(例如,r1、r2)对在委托装置1′及计算装置2′之间进行通信的信息进行干扰来对攻击者M保密。
另外,在委托装置1′及计算装置2′之间进行通信的信息由仅委托装置1′得知的r1、r2等随机数进行干扰,因此计算装置2′当然不能得知委托装置1′将要最终计算的θ(g,h),连其输入即g及h也不能得知。
因此,计算装置2′不需要为可靠的计算机,就能够缓和用于计算双同态映射的系统的构成必要条件。另外,可靠的计算机通常价格高,在运用上需要费用,但由于不需要计算装置2′为可靠的计算机,因此能够消减用于计算双同态映射的系统的构筑及运用的成本。
《关于成为ν′1/σ=θ(g,μh)的理由》
首先,对叫做可随机化抽样器(randomizable sampler)的随机变量SX(d)进行说明。与w∈F有关的误差X的可随机化抽样器即随机变量SX(d)为SX(d)=wdX。d为自然数。
在此,当设R1、R2、R1′及R2′为随机数、设计算装置利用gdμg R1及μh R2进行计算的计算结果为B(gdμg R1,μh R2)(当将计算装置返送到委托装置的计算结果设为z时,为z=B(gdμg R1,μh R2)),且将在群F中具有数值的随机变量X定义为X=B(μg R′1,μh R′21/R′2θ(μg R′1,μh-1时,SX(d)=z(1/R2)ν-R1成为与θ(g,μh)有关的误差X的可随机化抽样器。
原因是,SX(d)=z(1/R2)ν-R1=B(gdμg R1,μh R21/R2θ(μg,μh-R1=Xθ(gdμg R1,μh)θ(μg R1,μh-1=Xθ(gd,μh)θ(μg R1,μh)θ(μg R1,μh-1=θ(g,μhdX。
在上述展开式中,利用X=B(μg R′1,μh R′21/R′2θ(μg R′1,μh-1=B(gdμgR1,μh R21/R2θ(gdμg R1,μh-1,且B(gdμg R1,μh R21/R2=Xθ(gdμg R1,μh)这种性质。该性质基于R1、R2、R1′及R2′为随机数。
在此,发明者发现,将SX(1)的表现值表述为θ(g,μh1x1,且将SX(d)的表现值表述为θ(g,μhdx2,成为SX(1)的表现值的d次方=SX(d)的表现值即(θ(g,μh1x1d=θ(g,μhdx2的理由在x1及x2为群F的单位元ef时的可能性非常高。在此,省略其证明。在x1为群F的单位元ef时,成为SX(1)的表现值=θ(g,μh1x1=θ(g,μh)。
上述实施方式的代理计算系统利用该可随机化抽样器的性质。
步骤S11′~步骤S111′的处理与SX(1)的表现值θ(g,μh1x1的计算对应。实际上,不计算SX(1)的表现值自身,但当利用通过同处理而得到的(r2,z1ν-r1r2)将z1ν-r1r2进行1/r2次方时,成为(z1ν-r1r21/r2=z1 1/r2ν-r1,且成为SX(1)的表现值θ(g,μh1x1。同样,步骤S112′~步骤S123′的处理与SX(d1)的表现值θ(g,μhd1x2的计算对应。
另外,步骤S124′的处理与是否为SX(1)的表现值的d1次方=SX(d1)即(θ(g,μh1x1d1=θ(g,μhd1x2的判定对应。理由是,步骤S124使用的判定条件
Figure BDA00001852991800231
Figure BDA00001852991800232
(1)的表现值的d1次方=SX(d1)的表现值。在此,由定义可知,s1=r2、w1=z1ν-r1r2、t2=d1、s2=r5、w2=z2ν-r4r5
另外,步骤S125′的σ及ν′与θ(g,μh)对应。理由是,如上所述,在SX(1)的表现值的d1次方=SX(d1)的表现值时,为ν′1/σ=w1 1/s1=z1 1/r2ν-r1=θ(g,μh1x1=θ(g,μh)。
《关于成为(w3)^(s3 -1)=θ(g,h)的理由》
当设R1,R2,R1′及R2′为随机数、设计算装置利用gR1及hdμh R2进行计算的计算结果为B(gR1,hdμh R2)(当将计算装置返送到委托装置的计算结果设为z时,为z=B(gR1,hdμh R2)),且将在群F中具有数值的随机变量X定义为X=B(gR′1,μh R′21/R′1θ(g,μh R′2-1时,SX(d)=z(1/R1)ν′ R2成为与θ(g,h)有关的误差X的可随机化抽样器。
理由是,SX(d)=z(1/R1)ν′-R2=B(gR1,hdμh R21/R1θ(g,μh-R2=Xθ(g、hdμh R2)θ(g,μh R2-1=Xθ(g、hd)θ(g,μh R2)θ(g,μh R2-1=θ(g,h)dX。
在上述展开式中,利用X=B(gR′1,μh R′21/R′1θ(g,μh R′2-1=B(gR1,μh R21/R1θ(g、hdμh R2-1,且B(gR1,hdμh R21/R1=Xθ(g、hdμh R2)这种性质。该性质基于R1,R2,R1′及R2′为随机数。
在此,发明者发现,将SX(1)的表现值表述为SX(1)=θ(g,h)1x1,将SX(d)的表现值表述为SX(d)=θ(g,h)dx2,成为SX(1)的表现值的d次方=SX(d)即(θ(g,h)1x1d=θ(g,h)dx2的理由在x1及x2为群F的单位元ef时的可能性非常高。在此,省略其证明。在x1为群F的单位元ef时,成为SX(1)的表现值=θ(g,h)1x1=θ(g,h)。
上述实施方式的代理计算系统利用该可随机化抽样器的性质。
步骤S21′~步骤S211′的处理与SX(1)的表现值θ(g,h)1x1的计算对应。实际上,不计算SX(1)的表现值自身,但当利用通过同处理而得到的(r6,z3ν′-r6r7)将z3ν′-r6r7进行1/r6次方时,成为(z3ν′-r6r71/r6=z3 1 /r6ν′-r7,且成为SX(1)的表现值θ(g,h)1x1。同样,步骤S212′~步骤S223′的处理与SX(d2)的表现值θ(g,h)d2x2的计算对应。
另外,步骤S224′的处理与是否为SX(1)的表现值的d2次方=SX(d2)的表现值即(θ(g,h)1x1d2=θ(g,h)d2x2的判定对应。理由是,步骤S224′使用的判定条件
Figure BDA00001852991800241
Figure BDA00001852991800242
Figure BDA00001852991800243
的表现值的d2次方=SX(d2)的表现值。在此,由定义可知,s3=r6、w3=z3ν′-r6r7、t4=d2、s4=r9、w4=z4ν′-r9r10
另外,步骤S225′的(w3)^(s3 -1)与θ(g,h)对应。理由是,如上所述,在SX(1)的表现值的d2次方=SX(d2)的表现值时,为(w3)^(s3 -1)=(z3ν′-r6r7)^(r6 -1)=z3 1/r6ν′-r7=θ(g,h)1x1=θ(g,h)。
[第五实施方式]
第五实施方式的代理计算系统在步骤S13′、步骤S110′及步骤S111′上与第四实施方式的代理计算系统不同,其他部分与第四实施方式的代理计算系统同样。下面,以与第四实施方式不同的部分为中心进行说明。
第一输入信息计算部13′对不是由g1=μg r1g定义而是由g1=gr1定义的第一输入信息进行计算(步骤S13′)。
第一列表信息计算部15′不是利用z1ν-r1r2而是利用随机数r1及随机数r2来计算r1r2,且将其计算结果发送到第一列表存储部16′(步骤S110′)。
在第一列表存储部16′不是存储信息组(r2,z1ν-r1r2),而是存储由计算出的r1r2和从计算装置2′接收到的z1∈F构成的信息组(r1r2,z1)(步骤S111′)。
在第四实施方式的步骤S110′中,需要进行z1ν-r1r2这种群F的幂运算,但在第五实施方式的步骤S110′中,进行的是r1r2的计算,幂运算的次数减少一次。这样,通过减少幂运算的次数,能够增大运算的效率。另外,如果在群G、群H中难以进行非自明方根(非自明べき根,nontrivial root)的计算,则安全性不会比第四实施方式低。
[第六实施方式]
第六实施方式的代理计算系统在步骤S24′、步骤S210′及步骤S211′上与第四实施方式的代理计算系统不同,其他部分与第四实施方式的代理计算系统同样。下面,以与第四实施方式不同的部分为中心进行说明。
第六输入信息计算部34′对不是由h3=μh r7σh定义而是由h3=hr7定义的第六输入信息h3进行计算(步骤S24′)。
第三列表信息计算部35′不是利用z3ν′-r6r7而是利用随机数r6及随机数r7来计算r6r7(步骤S210′)。
在第三列表存储部36′不是存储信息组(r6,z3ν′-r6r7,而是存储由计算出的r6r7和从计算装置2′接收到的z3∈F构成的信息组(r6r7,z3)(步骤S211′)。
在第四实施方式的步骤S210′中,需要进行z3ν′-r6r7这种群F的幂运算,但在第六实施方式的步骤S210′中,进行的是r6r7的计算,幂运算的次数减少一次。这样,通过减少幂运算的次数,能够增大运算的效率。
如果在群G、群H中难以进行非自明方根的计算,则安全性不会比第四实施方式低。
[第七实施方式]
第七实施方式的代理计算系统在步骤S125′及步骤S214′上与第四实施方式的代理计算系统不同,其他部分与第四实施方式的代理计算系统同样。下面,以与第四实施方式不同的部分为中心进行说明。
第一判定部28′在满足上述关系的情况下,将t1s2代入σ,将w2代入ν′(步骤S125′)。
第十随机数生成部42′利用随机数r9,计算-r9-1,并设为r10(步骤S214′)。
这样,通过变更ν′的定义并将σ设为对于计算装置2′来说难以推测的随机数,来增大安全性。另外,通过利用随机数r9计算随机数r10,能够减少生成随机数的次数。也认为第八输入信息h4=μh r10σhd2的杂乱性因由随机数r9规定随机数r10而下降,且安全性受损,但第八输入信息h4=μh r10σhd2不仅由随机数r10干扰,而且进一步由σ干扰,因此安全性不会受损。
另外,在第七实施方式中,也可以如下那样进一步将步骤S22′及步骤S211′变更。
第七随机数生成部32′利用随机数r6计算-r6-1,并设为r7(步骤S22′)。
在第三列表存储部36′存储由1和上述计算出的z3ν′-r6r7构成的信息组(1,z3ν′-r6r7)(步骤S211′)。
这样,通过利用随机数r6计算随机数r7,能够减少生成随机数的次数。
如果在群G、群H中难以进行非自明方根的计算,则安全性不会比第四实施方式低。
[第八实施方式]
第八实施方式的代理计算系统在步骤S113′上与第四实施方式的代理计算系统不同,其他部分与第四实施方式的代理计算系统同样。下面,以与第四实施方式不同的部分为中心进行说明。
首先,在步骤S113′之前,第五随机数生成部22′生成随机数r5(步骤S114′)。
第四随机数生成部21′利用随机数r5计算-r5-1,并设为r4(步骤S113′)。
这样,通过利用随机数r5计算随机数r4,能够减少生成随机数的次数。
关于群H的任意元h,如果难以计算成为g∈G且θ(g,h)=ν的值,则安全性不会比第四实施方式低。
[第九实施方式]
第九实施方式的代理计算系统在委托装置1′进一步包含图12虚线所示的事前计算部29′上,且在步骤S115′上与第四实施方式的代理计算系统不同,其他部分与第四实施方式的代理计算系统同样。下面,以与第四实施方式不同的部分为中心进行说明。
事前计算部29′利用第三随机数生成部27′生成的d1,计算gd1。该处理在步骤S112′之后且在步骤S115′之前进行。
第三输入信息计算部23′利用事前计算出的gd1,进行g2=μg r4gd1的计算(步骤S115′)。
在步骤S114′中不满足判定条件的情况下,重复进行步骤S11′~步骤S123′的处理,但在该重复处理中,再次利用事前计算出的gd1。即,第三随机数生成部27′不生成随机数d1,第三输入信息计算部23′利用事前计算出的gd1,进行g2=μg r4gd1的计算。由此,能够减少生成随机数d1的次数,能够迅速地进行g2=μg r4gd1的计算。
[第十实施方式]
第十实施方式的代理计算系统在委托装置1′进一步包含图13虚线所示的事前计算部49′上且在步骤S216′上与第四实施方式的代理计算系统不同,其他部分与第四实施方式的代理计算系统同样。下面,以与第四实施方式不同的部分为中心进行说明。
事前计算部49′利用第八随机数生成部47′生成的d2,计算hd2。该处理在步骤S212′之后且在步骤S216′之前进行。
第八输入信息计算部44′利用事前计算出的hd2,进行第八输入信息h4=μh r10σhd2的计算(步骤S116′)。
在步骤S214′中不满足判定条件的情况下,重复进行步骤S21′~步骤S223′的处理,但在该重复处理中,再次利用事前计算出的hd2。即,第八随机数生成部47′不生成随机数d2,第八输入信息计算部44′利用事前计算出的hd2,进行h4=μh r10σhd2的计算。由此,能够减少生成随机数d2的次数,能够迅速地进行h4=μh r10σhd2的计算。
[第四实施方式~第十实施方式的变形例等]
通过第一随机数生成部11′、第二随机数生成部12′、第三随机数生成部27′、第四随机数生成部21′、第五随机数生成部22′、第六随机数生成部31′、第七随机数生成部32′、第八随机数生成部47′、第九随机数生成部41′及第十随机数生成部42′分别生成均匀随机数,代理计算系统的安全性最高。但是,在要求的安全性的水平不那么高的情况下,第一随机数生成部11′、第二随机数生成部12′、第三随机数生成部27′、第四随机数生成部21′、第五随机数生成部22′、第六随机数生成部31′、第七随机数生成部32′、第八随机数生成部47′、第九随机数生成部41′及第十随机数生成部42′也可以不分别生成均匀随机数,而是生成随机数。
每当在列表L1、列表L2追加信息组时,都可以进行第一判定部28′的处理。例如,在第二列表存储部26′存储有信息组(d1,r5,z2v-r4r5)的情况下,也可以在步骤S111′之后进行步骤S124′的处理。同样,每当在列表L3、列表L4追加信息组时,都可以进行第二判定部48′的处理。
第四实施方式~第十实施方式可相互组合。
既可以直接进行委托装置1′的各部间的数据交换,也可以经由未图示的存储部来进行。同样,既可以直接进行计算装置2′的各部间的数据交换,也可以经由未图示的存储部来进行。
委托装置1′及计算装置2′分别可由计算机来实现。在这种情况下,该装置应有的各功能的处理内容通过程序来记述。而且,通过由计算机执行该程序,该装置的各处理功能在计算机上实现。
记述有该处理内容的程序可记录于计算机可读取的记录介质。另外,在该方式中,通过在计算机上执行规定的程序,来构成这些装置,但也可以硬件地实现这些处理内容中的至少一部分。
另外,也可以将第一实施方式~第三实施方式和第四实施方式~第十实施方式组合。例如,如图17所示,第一实施方式~第三实施方式的计算装置2具备第四实施方式~第十实施方式的委托装置1′,包含该委托装置1′的计算装置2也可以与第四实施方式~第十实施方式所述的同样地,利用计算装置2′,进行函数f的计算。
具体而言,计算装置2为了计算需要计算的函数f(x),利用计算装置2′计算对应的映射θ(g,h)的值。与函数f(x)对应的映射θ(g,h)是对被赋予的函数f及x输出与函数f(x)的值相同的值的映射θ(g,h)。关于某元h∈H,在存在f(x)=θ(x,h)这种关系的情况下,与f(x)对应的映射θ成为θ(x,h)。
例如,在参考文献1记载的Boneh-Franklin方式的基于ID密码中,将某一定的ID相关的解码函数设为f。在该方式的基于ID密码中,由形成椭圆曲线的点的有限群G、H和对τ:G×H→F构成。将Q设为G的元。将基于ID密码的密钥发行中心的密钥设为s,将公开密钥设为P=sQ。基于ID密码的公共参数为群G、H的记述、对τ的记述、Q及P。
〔参考文献1〕Dan Boneh,Matt Franklin,“Identity-Based Encryption fromthe weil Pairing”,CRYPTO 2001,LNCS 2139,pp.213-229,2001.
密钥的发行如下那样进行。密钥发行中心就对应于ID而规定的H的元QID而言,计算PID=sQID并通知给ID的保持者。PID为ID的保持者的密钥。此时,解码函数f:G→F由f(x)=τ(x,PID)定义。
密文的作成、密文的解码如下那样进行。为了将明文m关于某ID加密,生成随机数r,计算(Qr,m(+)H(τ(Pr,QID))),将此设为密文(C1,C2)。为了解码,通过对密文(C1,C2)计算C2(+)H(f(C1)),得到明文。其中,在此,H为哈希函数,(+)为逻辑异或。
在这种Boneh-Franklin方式的基于ID密码中,与函数f(x)对应的映射θ利用例如对τ来定义。即,f(x)=τ(x,PID)。
计算装置2为IC卡及便携电话,难以进行秘密信息的提取,但在限定计算能力的情况下,这样将委托装置及计算装置多重组合是有有益的。
本发明不局限于上述的实施方式,在不脱离本发明精神的的范围内,可适当变更。

Claims (19)

1.一种代理计算系统,其特征在于,
设G、H为循环群,设f为将群H的元x映射到群G的函数,设X1、X2为在群G中具有数值的随机变量,设随机变量X1的表现值为x1,设随机变量X2的表现值为x2
所述代理计算系统包含:
整数计算部,利用互素的两个自然数a、b,计算满足a′a+b′b=1的关系的整数a′、b′;
第一可随机数化抽样器,能够计算f(x)bx1,并将其计算结果设为u;
第一幂计算部,计算u′=ua
第二可随机数化抽样器,能够计算f(x)ax2,并将其计算结果设为v;
第二幂计算部,计算v′=vb
判定部,判定是否为u′=v′;以及
最终计算部,在判定为u′=v′的情况下,计算ub′va′。
2.如权利要求1所述的代理计算系统,其特征在于,
还包含抽样器,所述抽样器能够计算f(x)x3,如果a=1,则代替所述第二可随机数化抽样器,将其计算结果设为所述v,如果b=1,则代替所述第一可随机数化抽样器,将其计算结果设为所述u,其中设X3为在群G中具有数值的随机变量,设随机变量X3的表现值为x3,。
3.如权利要求1所述的代理计算系统,其特征在于,
设所述f为同态映射,设群H的生成元为μh,设群H的位数为KH,设ν=f(μh),
所述第一可随机数化抽样器包含:生成0以上不足KH的整数的随机数r1的第一随机数生成部、计算第一输入信息μh r1xb的第一输入信息计算部、能够利用所述第一输入信息μh r1xb计算f(μh r1xb)且将其计算结果设为第一输出信息z1的第一输出信息计算部、计算z1ν-r1并将其计算结果设为所述u的第一计算部,
所述第二可随机数化抽样器包含:生成0以上不足KH的整数的随机数r2的第二随机数生成部、计算第二输入信息μh r2xa的第二输入信息计算部、能够利用所述第二输入信息μh r2xa计算f(μh r2xa)且将其计算结果设为第二输出信息z2的第二输出信息计算部、计算z2v-r2并将其计算结果设为所述v的第二计算部。
4.如权利要求3所述的代理计算系统,其特征在于,
还包含抽样器,所述抽样器包含:生成0以上不足KH的整数的随机数r3的第三随机数生成部;计算第三输入信息xr3的第三输入信息计算部;能够利用所述第三输入信息xr3计算f(xr3)且将其计算结果设为第三输出信息z3的第三输出信息计算部;以及第三计算部,所述第三计算部计算z3 1/r3,如果a=1,则代替所述第二可随机数化抽样器,将其计算结果设为所述v,如果b=1,则代替所述第一可随机数化抽样器,将其计算结果设为所述u。
5.如权利要求1所述的代理计算系统,其特征在于,
设群H=G×G,设所述f为同态映射,设群G的生成元为μg,设群G的位数为KG,设x=(c1,c2),设(V,W)为群H的元,设f(V,W)=Y,
所述第一可随机数化抽样器包含:生成0以上不足KG的整数的随机数r4的第四随机数生成部、生成0以上不足KG的整数的随机数r5的第五随机数生成部、计算第四输入信息c1 bVr4μg r5的第四输入信息计算部、计算第五输入信息c2 bWr4的第五输入信息计算部、能够利用所述第四输入信息c1 bVr4μg r5及所述第五输入信息c2 bWr4计算f(c1 bVr4μg r5,c2 bWr4)且将其计算结果设为第四输出信息z4的第四输出信息计算部、计算z4Y-r4μg -r5并将其计算结果设为所述u的第四计算部,
所述第二可随机数化抽样器包含:生成0以上不足KG的整数的随机数r6的第六随机数生成部、生成0以上不足KG的整数的随机数r7的第七随机数生成部、计算第六输入信息c1 aVr6μg r7的第六输入信息计算部、计算第七输入信息c2 aWr6的第七输入信息计算部、能够利用所述第六输入信息c1 aVr6μg r7及所述第七输入信息c2 aWr6计算f(c1 aVr6μg r7,c2 aWr6)且将其计算结果设为第五输出信息z5的第五输出信息计算部、计算z5Y-r6μg -r7并将其计算结果设为所述v的第五计算部。
6.一种代理计算方法,其特征在于,
设G、H为循环群,设f为将群H的元x映射到群G的函数,设X1、X2为在群G中具有数值的随机变量,设随机变量X1的表现值为x1,设随机变量X2的表现值为x2
所述代理计算方法包含:
整数计算步骤,整数计算部利用互素的两个自然数a、b,计算满足a′a+b′b=1的关系的整数a′、b′;
第一可随机数化抽样步骤,第一可随机数化抽样器能够计算f(x)bx1,并将其计算结果设为u;
第一幂计算步骤,第一幂计算部计算u′=ua
第二可随机数化抽样步骤,第二可随机数化抽样器能够计算f(x)ax2,并将其计算结果设为v;
第二幂计算步骤,第二幂计算部计算v′=vb
判定步骤,判定部判定是否为u′=v′;以及
最终计算步骤,最终计算部在判定为u′=v′的情况下,计算ub′va′。
7.一种委托装置,其特征在于,
设G、H为循环群,设f为将群H的元x映射到群G的函数,设X1、X2为在群G中具有数值的随机变量,设随机变量X1的表现值为x1,设随机变量X2的表现值为x2
所述委托装置包含:
整数计算部,利用互素的两个自然数a、b,计算满足a′a+b′b=1的关系的整数a′、b′;
第一幂计算部,利用能够计算f(x)bx1的第一可随机数化抽样器的计算结果u,计算u′=ua
第二幂计算部,利用能够计算f(x)ax2的第二可随机数化抽样器的计算结果v,计算v′=vb
判定部,判定是否为u′=v′;以及
最终计算部,在判定为u′=v′的情况下,计算ub′va′。
8.一种代理计算系统,利用委托装置委托于计算装置的计算结果,计算θ(g,h),其特征在于,
设G、H及F为循环群,设映射θ:G×H→F为双同态映射,设g为群G的元,设h为群H的元,设KG为群G的位数,设KH为群H的位数,设μg为群G的生成元,设μh为群H的生成元,设ν=θ(μg,μg),设k为自然数的安全参数,设K=2k
所述委托装置包含:
第一随机数生成部,生成0以上不足KG的整数的随机数r1
第二随机数生成部,生成0以上不足KH的整数的随机数r2
第一输入信息计算部,计算第一输入信息g1=μg r1g;
第二输入信息计算部,计算第二输入信息h1=μh r2
第一列表信息计算部,利用从所述计算装置接收到的z1∈F,计算z1ν r1r2
第一列表存储部,对由所述随机数r2和所述计算出的z1ν-r1r2构成的信息组(r2,z1ν-r1r2)进行存储;
第三随机数生成部,生成0以上不足K的整数的均匀随机数即d1
第四随机数生成部,生成0以上不足KG的整数的均匀随机数即r4
第五随机数生成部,生成0以上不足KH的整数的均匀随机数即r5
第三输入信息计算部,计算第三输入信息g2=μg r4gd1
第四输入信息计算部,计算第四输入信息h2=μh r5
第二列表信息计算部,利用从所述计算装置接收到的z2∈F,计算z2ν r4r5
第二列表存储部,对由所述d1、所述r5和所述计算出的z2ν-r4r5构成的信息组(d1,r5,z2ν-r4r5)进行存储;
第一判定部,设从所述第一列表存储部读入的信息组的第一成分为s1,设第二成分为w1,且设从所述第二列表存储部读入的信息组的第一成分为t2,设第二成分为s2,设第三成分为w2,判定这些信息组是否满足(w1)^(t2s2s1 -1)=w2的关系,在满足该关系的情况下,将s1代入σ,将w1代入ν′;
第六随机数生成部,生成0以上不足KG的整数的均匀随机数即r6
第七随机数生成部,生成0以上不足KH的整数的均匀随机数即r7
第五输入信息计算部,计算第五输入信息g3=gr6
第六输入信息计算部,计算第六输入信息h3=μh r7σh;
第三列表信息计算部,利用从所述计算装置接收到的z3∈F,计算z3ν′-r6r7
第三列表存储部,对由所述r6和所述计算出的z3ν′-r6r7构成的信息组(r6,z3ν′-r6r7)进行存储;
第八随机数生成部,生成0以上不足K的整数的均匀随机数即d2
第九随机数生成部,生成0以上不足KG的整数的均匀随机数即r9
第十随机数生成部,生成0以上不足KH的整数的均匀随机数即r10
第七输入信息计算部,计算第七输入信息g4=μg r9
第八输入信息计算部,计算第八输入信息h4=μh r10σhd2
第四列表信息计算部,利用从所述计算装置接收到的z4∈F,计算z4ν′-r9r10
第四列表存储部,对由所述d2、所述r9和所述计算出的z4ν′-r9r10构成的信息组(d2,r9,z4ν′-r9r10)进行存储;以及
第二判定部,设从所述第三列表存储部读入的信息组的第一成分为s3,设第二成分为w3,且设从所述第四列表存储部读入的信息组的第一成分为t4,设第二成分为s4,设第三成分为w4,判定这些信息组是否满足(w3)^(t4s4s3 -1)=w4的关系,在满足该关系的情况下,将(w3)^(s3 -1)输出,
所述计算装置包含:
第一输出信息计算部,能够利用从所述委托装置接收到的g1及h1,计算θ(g1,h1),将其计算结果设为所述z1而输出;
第二输出信息计算部,能够利用从所述委托装置接收到的g2及h2,计算θ(g2,h2),将其计算结果设为所述z2而输出;
第三输出信息计算部,能够利用从所述委托装置接收到的g3及h3,计算θ(g3,h3),将其计算结果设为所述z3而输出;以及
第四输出信息计算部,能够利用从所述委托装置接收到的g4及h4,计算θ(g4,h4),将其计算结果设为所述z4而输出。
9.如权利要求8所述的代理计算系统,其特征在于,
所述第一输入信息计算部计算第一输入信息g1=gr1
所述第一列表信息计算部利用所述r1及所述r2,计算r1r2
在所述第一列表存储部存储由所述计算出的r1r2和从所述计算装置接收到的z1∈F构成的信息组(r1r2,z1)。
10.如权利要求8或9所述的代理计算系统,其特征在于,
所述第六输入信息计算部计算第六输入信息h3=hr7
所述第三列表信息计算部利用所述r6及所述r7,计算r6r7
在所述第三列表存储部存储由所述计算出的r6r7和从所述计算装置接收到的z3∈F构成的信息组(r6r7,z3)。
11.如权利要求8~10中的任一项所述的代理计算系统,其特征在于,
所述第一判定部在满足所述关系的情况下,将t1s2代入σ,将w2代入ν′,
所述第十随机数生成部利用所述r9,计算-r9 -1,并设为r10
12.如权利要求11所述的代理计算系统,其特征在于,
所述第七随机数生成部利用所述r6,计算-r6 -1,并设为r7
在所述第三列表存储部存储由1和所述计算出的z3ν′-r6r7构成的信息组(1,z3ν′-r6r7)。
13.如权利要求8~12中的任一项所述的代理计算系统,其特征在于,
所述第四随机数生成部利用所述r5,计算-r5 -1,并设为r4
14.如权利要求8~13中的任一项所述的代理计算系统,其特征在于,
还包含利用所述d1计算gd1的事前计算部,
所述第三输入信息计算部利用所述事前计算出的gd1,进行所述g2的计算。
15.如权利要求8~14中的任一项所述的代理计算系统,其特征在于,
还包含利用所述d2计算hd2的事前计算部,
所述第八输入信息计算部利用所述事前计算出的hd2,进行所述h4的计算。
16.一种代理计算方法,利用委托装置委托于计算装置的计算结果,计算θ(g,h),其特征在于,
设G、H及F为循环群,设映射θ:G×H→F为双同态映射,设g为群G的元,设h为群H的元,设KG为群G的位数,设KH为群H的位数,设μg为群G的生成元,设μh为群H的生成元,设ν=θ(μg,μg),设k为整数的安全参数,设K=2k
所述代理计算方法包含:
第一随机数生成步骤,所述委托装置的第一随机数生成部生成0以上不足KG的整数的随机数r1
第二随机数生成步骤,所述委托装置的第二随机数生成部生成0以上不足KH的整数的随机数r2
第一输入信息计算步骤,所述委托装置的第一输入信息计算部计算第一输入信息g1=μg r1g;
第二输入信息计算步骤,所述委托装置的第二输入信息计算部计算第二输入信息h1=μh r2
第一输出信息计算步骤,所述计算装置的第一输出信息计算部能够利用从所述委托装置接收到的g1及h1,计算θ(g1,h1),将其计算结果设为所述z1而输出;
第一列表信息计算步骤,所述委托装置的第一列表信息计算部利用从所述计算装置接收到的z1∈F,计算z1ν-r1r2
在所述委托装置的第一列表存储部存储由所述随机数r2和所述计算出的z1ν-r1r2构成的信息组(r2,z1ν-r1r2)的步骤;
第三随机数生成步骤,所述委托装置的第三随机数生成部生成0以上不足K的整数的均匀随机数即d1
四随机数生成步骤,所述委托装置的第四随机数生成部生成0以上不足KG的整数的均匀随机数即r4
第五随机数生成步骤,所述委托装置的第五随机数生成部生成0以上不足KH的整数的均匀随机数即r5
第三输入信息计算步骤,所述委托装置的第三输入信息计算部计算第三输入信息g2=μg r4gd1
第四输入信息计算步骤,所述委托装置的第四输入信息计算部计算第四输入信息h2=μh r5
第二输出信息计算步骤,所述计算装置的第二输出信息计算部能够利用从所述委托装置接收到的g2及h2,计算θ(g2,h2),将其计算结果设为所述z2而输出;
第二列表信息计算步骤,所述委托装置的第二列表信息计算部利用从所述计算装置接收到的z2∈F,计算z2ν-r4r5
在所述委托装置的第二列表存储部存储由所述d1、所述r5和所述计算出的z2ν-r4r5构成的信息组(d1,r5,z2v-r4r5)的步骤;
第一判定步骤,所述委托装置的第一判定部设从所述第一列表存储部读入的信息组的第一成分为s1、第二成分为w1,且设从所述第二列表存储部读入的信息组的第一成分为t2、第二成分为s2、第三成分为w2,判定这些信息组是否满足(w1)^(t2s2s1 -1)=w2的关系,在满足该关系的情况下,将s1代入σ,将w1代入ν′;
第六随机数生成步骤,所述委托装置的第六随机数生成部生成0以上不足KG的整数的均匀随机数即r6
第七随机数生成步骤,所述委托装置的第七随机数生成部生成0以上不足KH的整数的均匀随机数即r7
第五输入信息计算步骤,所述委托装置的第五输入信息计算部计算第五输入信息g3=gr6
第六输入信息计算步骤,所述委托装置的第六输入信息计算部计算第六输入信息h3=μh r7σh;
第三输出信息计算步骤,所述计算装置的第三输出信息计算部能够利用从所述委托装置接收到的g3及h3,计算θ(g3,h3),将其计算结果设为所述z3而输出;
第三列表信息计算步骤,所述委托装置的第三列表信息计算部利用从所述计算装置接收到的z3∈F,计算z3ν′-r6r7
在所述委托装置的第三列表存储部存储由所述r6和所述计算出的z3ν′ r6r7构成的信息组(r6,z3ν′-r6r7)的步骤;
第八随机数生成步骤,所述委托装置的第八随机数生成部生成0以上不足K的整数的均匀随机数即d2
第九随机数生成步骤,所述委托装置的第九随机数生成部生成0以上不足KG的整数的均匀随机数即r9
第十随机数生成步骤,所述委托装置的第十随机数生成部生成0以上不足KH的整数的均匀随机数即r10
第七输入信息计算步骤,所述委托装置的第七输入信息计算部计算第七输入信息g4=μg r9
第八输入信息计算步骤,所述委托装置的第八输入信息计算部计算第八输入信息h4=μh r10σhd2
第四输出信息计算步骤,所述计算装置的第四输出信息计算部能够利用从所述委托装置接收到的g4及h4,计算θ(g4,h4),将其计算结果设为所述z4而输出;
第四列表信息计算步骤,所述委托装置的第四列表信息计算部利用从所述计算装置接收到的z4∈F,计算z4ν′-r9r10
在所述委托装置的第四列表存储部存储由所述d2、所述r9和所述计算出的z4ν′-r9r10构成的信息组(d2,r9,z4ν′-r9r10)的步骤;以及
第二判定步骤,所述委托装置的第二判定部设从所述第三列表存储部读入的信息组的第一成分为s3、第二成分为w3,且设从所述第四列表存储部读入的信息组的第一成分为t4、第二成分为s4、第三成分为w4,判定这些信息组是否满足(w3)^(t4s4s3 -1)=w4的关系,在满足其关系的情况下,将(w3)^(s3 -1)输出。
17.一种代理计算系统的委托装置,所述代理计算系统利用委托装置委托于计算装置的计算结果,计算θ(g,h),其特征在于,
设G、H及F为循环群,设映射θ:G×H→F为双同态映射,设g为群G的元,设h为群H的元,设KG为群G的位数,设KH为群H的位数,设μg为群G的生成元,设μh为群H的生成元,设ν=θ(μg,μg),设k为自然数的安全参数,设K=2k
所述委托装置包含:
第一随机数生成部,生成0以上不足KG的整数的随机数r1
第二随机数生成部,生成0以上不足KH的整数的随机数r2
第一输入信息计算部,计算第一输入信息g1=μg r1g;
第二输入信息计算部,计算第二输入信息h1=μh r2
第一列表信息计算部,利用从所述计算装置接收到的z1∈F,计算z1ν- r1r2
第一列表存储部,对由所述随机数r2和所述计算出的z1ν-r1r2构成的信息组(r2,z1ν-r1r2)进行存储;
第三随机数生成部,生成0以上不足K的整数的均匀随机数即d1
第四随机数生成部,生成0以上不足KG的整数的均匀随机数即r4
第五随机数生成部,生成0以上不足KH的整数的均匀随机数即r5
第三输入信息计算部,计算第三输入信息g2=μg r4gd1
第四输入信息计算部,计算第四输入信息h2=μh r5
第二列表信息计算部,利用从所述计算装置接收到的z2∈F,计算z2ν- r4r5
第二列表存储部,对由所述d1、所述r5和所述计算出的z2ν-r4r5构成的信息组(d1,r5,z2ν-r4r5)进行存储;
第一判定部,设从所述第一列表存储部读入的信息组的第一成分为s1,设第二成分为w1,设从所述第二列表存储部读入的信息组的第一成分为t2,设第二成分为s2,设第三成分为w2,判定这些信息组是否满足(w1)^(t2s2s1 -1)=w2的关系,在满足该关系的情况下,将s1代入σ,将w1代入ν′;
第六随机数生成部,生成0以上不足KG的整数的均匀随机数即r6
第七随机数生成部,生成0以上不足KH的整数的均匀随机数即r7
第五输入信息计算部,计算第五输入信息g3=gr6
第六输入信息计算部,计算第六输入信息h3=μh r7σh;
第三列表信息计算部,利用从所述计算装置接收到的z3∈F,计算z3ν′-r6r7
第三列表存储部,对由所述r6和所述计算出的z3ν′-r6r7构成的信息组(r6,z3ν′-r6r7)进行存储;
第八随机数生成部,生成0以上不足K的整数的均匀随机数即d2
第九随机数生成部,生成0以上不足KG的整数的均匀随机数即r9
第十随机数生成部,生成0以上不足KH的整数的均匀随机数即r10
第七输入信息计算部,计算第七输入信息g4=μg r9
第八输入信息计算部,计算第八输入信息h4=μh r10σhd2
第四列表信息计算部,利用从所述计算装置接收到的z4∈F,计算z4ν′-r9r10
第四列表存储部,对由所述d2、所述r9和所述计算出的z4ν′-r9r10构成的信息组(d2,r9,z4ν′-r9r10)进行存储;以及
第二判定部,设从所述第三列表存储部读入的信息组的第一成分为s3,设第二成分为w3,设从所述第四列表存储部读入的信息组的第一成分为t4,设第二成分为s4,设第三成分为w4,判定这些信息组是否满足(w3)^(t4s4s3 -1)=w4的关系,在满足该关系的情况下,将(w3)^(s3 -1)输出。
18.一种程序,用于使计算机作为权利要求7或权利要求17的委托装置的各部发挥功能。
19.一种计算机可读取的记录介质,记录有权利要求18的委托装置程序。
CN201180005420.3A 2010-01-12 2011-01-11 代理计算系统、方法及代理计算委托装置 Active CN102687184B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
JP2010003924 2010-01-12
JP2010-003924 2010-01-12
JP2010-007835 2010-01-18
JP2010007835 2010-01-18
PCT/JP2011/050278 WO2011086992A1 (ja) 2010-01-12 2011-01-11 代理計算システム、方法、依頼装置、プログラム及びその記録媒体

Publications (2)

Publication Number Publication Date
CN102687184A true CN102687184A (zh) 2012-09-19
CN102687184B CN102687184B (zh) 2015-11-25

Family

ID=44304266

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201180005420.3A Active CN102687184B (zh) 2010-01-12 2011-01-11 代理计算系统、方法及代理计算委托装置

Country Status (6)

Country Link
US (1) US9037623B2 (zh)
EP (2) EP2808860A1 (zh)
JP (1) JP5379869B2 (zh)
KR (1) KR101344352B1 (zh)
CN (1) CN102687184B (zh)
WO (1) WO2011086992A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107113168A (zh) * 2015-01-16 2017-08-29 日本电信电话株式会社 密钥交换方法、密钥交换系统、密钥装置、终端装置和程序

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5496756B2 (ja) * 2010-04-16 2014-05-21 日本電信電話株式会社 環準同型を計算可能な公開鍵暗号方法、環準同型を計算可能な公開鍵暗号システム、送信装置、処理装置、受信装置、それらのプログラム及び記録媒体
WO2012057134A1 (ja) 2010-10-26 2012-05-03 日本電信電話株式会社 代理計算システム、計算装置、能力提供装置、代理計算方法、能力提供方法、プログラム、及び記録媒体
WO2012121152A1 (ja) * 2011-03-04 2012-09-13 日本電信電話株式会社 代理計算システム、方法、依頼装置及びプログラム
JP5562284B2 (ja) * 2011-04-12 2014-07-30 日本電信電話株式会社 再暗号化システム、再暗号化装置、能力提供装置、再暗号化方法、能力提供方法、及びプログラム
JP5596616B2 (ja) * 2011-05-12 2014-09-24 日本電信電話株式会社 情報提供システム、仲介装置、仲介方法、情報提供方法、及びプログラム
WO2014088130A1 (en) * 2012-12-05 2014-06-12 Inha-Industry Partnership Institute Proxy signature scheme
JP6006809B2 (ja) 2013-01-16 2016-10-12 日本電信電話株式会社 復号サービス提供装置、処理装置、安全性評価装置、プログラム、および記録媒体
CN105393491B (zh) * 2013-07-18 2019-04-19 日本电信电话株式会社 计算装置、计算方法以及记录介质
EP3001401A4 (en) 2013-07-18 2017-03-22 Nippon Telegraph And Telephone Corporation Decoding device, decoding ability providing device, method thereof, and program
JP6055919B2 (ja) 2013-07-18 2016-12-27 日本電信電話株式会社 鍵クラウドシステムおよび復号方法
US10686604B2 (en) 2013-10-16 2020-06-16 Nippon Telegraph And Telephone Corporation Key device, key cloud system, decryption method, and program
CN106462689B (zh) 2014-05-13 2019-06-14 日本电信电话株式会社 安全系统、管理装置、许可装置、终端装置、安全方法以及记录介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0381523A3 (en) * 1989-02-02 1993-03-03 Kabushiki Kaisha Toshiba Server-aided computation method and distributed information processing unit
US6509728B1 (en) * 1998-05-28 2003-01-21 Anritsu Corporation Spectrum analyzer having function of displaying amplitude probability distribution effectively
JP4706811B2 (ja) * 2000-09-06 2011-06-22 ネッツエスアイ東洋株式会社 依頼計算を用いた演算装置、及び記録媒体
FR2877453A1 (fr) 2004-11-04 2006-05-05 France Telecom Procede de delegation securisee de calcul d'une application bilineaire

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107113168A (zh) * 2015-01-16 2017-08-29 日本电信电话株式会社 密钥交换方法、密钥交换系统、密钥装置、终端装置和程序
CN107113168B (zh) * 2015-01-16 2020-09-08 日本电信电话株式会社 密钥交换方法、密钥交换系统、密钥装置、终端装置和记录介质

Also Published As

Publication number Publication date
US9037623B2 (en) 2015-05-19
EP2525341A4 (en) 2014-01-08
EP2808860A1 (en) 2014-12-03
JPWO2011086992A1 (ja) 2013-05-20
EP2525341B1 (en) 2016-04-06
JP5379869B2 (ja) 2013-12-25
KR20120101506A (ko) 2012-09-13
KR101344352B1 (ko) 2013-12-24
EP2525341A1 (en) 2012-11-21
CN102687184B (zh) 2015-11-25
US20120323981A1 (en) 2012-12-20
WO2011086992A1 (ja) 2011-07-21

Similar Documents

Publication Publication Date Title
CN102687184A (zh) 代理计算系统、方法、委托装置、程序及其记录介质
Zefreh An image encryption scheme based on a hybrid model of DNA computing, chaotic systems and hash functions
Tahir et al. CryptoGA: a cryptosystem based on genetic algorithm for cloud data security
Liu et al. An efficient privacy-preserving outsourced calculation toolkit with multiple keys
Suhail et al. On the role of hash-based signatures in quantum-safe internet of things: Current solutions and future directions
Ding et al. Complete attack on RLWE key exchange with reused keys, without signal leakage
Mandal et al. Symmetric key image encryption using chaotic Rossler system
Jayapandian et al. Secure and efficient online data storage and sharing over cloud environment using probabilistic with homomorphic encryption
Chen [Retracted] Accounting Data Encryption Processing Based on Data Encryption Standard Algorithm
CN113141247B (zh) 一种同态加密方法、装置、系统及可读存储介质
Zhao et al. SOCI: A toolkit for secure outsourced computation on integers
CN116324778A (zh) 可更新私有集合交集
Merkepci et al. On Some Novel Results about Split‐Complex Numbers, the Diagonalization Problem, and Applications to Public Key Asymmetric Cryptography
Pradeep et al. A matrix translation and elliptic curve based cryptosystem for secured data communications in WSNs
US11522669B2 (en) Using cryptographic blinding for efficient use of Montgomery multiplication
Agate et al. BLIND: A privacy preserving truth discovery system for mobile crowdsensing
CN117349685A (zh) 一种通信数据的聚类方法、系统、终端及介质
Pan et al. Secure control using homomorphic encryption and efficiency analysis
Hwang et al. An SKP‐ABE Scheme for Secure and Efficient Data Sharing in Cloud Environments
Bi Aggregation encryption method of social network privacy data based on matrix decomposition algorithm
CN113422681A (zh) 一种基于量子密码的区块链数字签名方法、装置及系统
Kumar et al. Cryptanalytic performance appraisal of improved CCH2 proxy multisignature scheme
Zhao et al. ePMLF: Efficient and Privacy‐Preserving Machine Learning Framework Based on Fog Computing
Lakum et al. A key-ordered decisional learning parity with noise (DLPN) scheme for public key encryption scheme in cloud computing
Ciss et al. Randomness extraction in elliptic curves and secret key derivation at the end of Diffie-Hellman protocol

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant