CN103221988A - 代理计算系统、计算装置、能力提供装置、代理计算方法、能力提供方法、程序和记录介质 - Google Patents

代理计算系统、计算装置、能力提供装置、代理计算方法、能力提供方法、程序和记录介质 Download PDF

Info

Publication number
CN103221988A
CN103221988A CN2011800508719A CN201180050871A CN103221988A CN 103221988 A CN103221988 A CN 103221988A CN 2011800508719 A CN2011800508719 A CN 2011800508719A CN 201180050871 A CN201180050871 A CN 201180050871A CN 103221988 A CN103221988 A CN 103221988A
Authority
CN
China
Prior art keywords
input information
output information
group
calculation
probability
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2011800508719A
Other languages
English (en)
Other versions
CN103221988B (zh
Inventor
山本刚
小林铁太郎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of CN103221988A publication Critical patent/CN103221988A/zh
Application granted granted Critical
Publication of CN103221988B publication Critical patent/CN103221988B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/008Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/3013Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the discrete logarithm problem, e.g. ElGamal or Diffie-Hellman systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/08Randomization, e.g. dummy operations or using noise
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/76Proxy, i.e. using intermediary entity to perform cryptographic operations

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Algebra (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Storage Device Security (AREA)
  • Complex Calculations (AREA)

Abstract

将G、H设为群,将f(x)设为对于x∈H得到群G的元的函数,将X1、X2设为在群G中取值的概率变量,将x1设为概率变量X1的实现值,将x2设为概率变量X2的实现值,计算装置输出与密码文x对应的τ1和τ2,能力提供装置使用τ1以大于某一概率的概率准确地计算f(τ1),将计算结果设为z1,使用τ2以大于某一概率的概率准确地计算f(τ2),将计算结果设为z2,计算装置根据z1生成计算结果u=f(x)b1,并根据z2生成计算结果v=f(x)a2,在计算结果u和v满足特定的关系的情况下输出ub’va’。

Description

代理计算系统、计算装置、能力提供装置、代理计算方法、能力提供方法、程序和记录介质
技术领域
本发明涉及使用在其他的装置中进行的计算结果来进行计算的技术。
背景技术
为了对通过公开密钥密码方式和共同密钥密码方式等密码方式加密的密码文进行解码,需要特定的解码密钥(例如,参照非专利文献1)。用于由没有保持解码密钥的第一装置获得密码文的解码结果的以往方法的一种是如下方法:由保持解码密钥的第二装置对第一装置提供解码密钥,第一装置使用该解码密钥来进行密码文的解码。用于由第一装置获得密码文的解码结果的其他的以往方法是如下方法:第一装置对第二装置提供密码文,第二装置对密码文进行解码并将该解码结果提供给第一装置。
现有技术文献
非专利文献
非专利文献1:Taher Elgamal, A Public-Key Cryptosystem and a SignatureScheme Based on Discrete Logarithms, IEEE Transactions on Information Theory,v. IT-31, n. 4, 1985, pp. 469-472 or CRYPTO 84, pp. 10-18, Springer-Verlag.
发明内容
发明要解决的课题
但是,在第二装置对第一装置提供解码密钥的方法中,需要将解码密钥取出到第二装置的外部,存在安全上的问题。另一方面,在第一装置对第二装置提供密码文,第二装置解码密码文的方法中,第一装置无法验证第二装置的解码处理的正当性。这样的课题在解码处理之外能够一般化。即,没有存在如下的技术:第二装置不泄露秘密信息地仅将计算能力提供给第一装置,第一装置使用该计算能力来准确地进行计算。
用于解决课题的手段
在本发明中,将G、H设为群,将f(x)设为用于将作为群H的元的密码文x通过特定解码密钥解码而得到群G的元的解码函数,将X1、X2设为在群G中取值的概率变量,将x1设为概率变量X1的实现值,将x2设为概率变量X2的实现值,将a、b设为互质的自然数,计算装置输出与密码文x对应的作为群H的元的第一输入信息τ1和第二输入信息τ2,能力提供装置使用第一输入信息τ1以大于某一概率的概率准确计算f(τ1),将计算结果设为第一输出信息z1,使用第二输入信息τ2以大于某一概率的概率准确计算f(τ2),将计算结果设为第二输出信息z2,计算装置根据第一输出信息z1生成计算结果u=f(x)b1,根据第二输出信息z2生成v=f(x)a2,在计算结果u和v满足ua=vb的情况下,输出关于满足a’a+b’b=1的整数a’、b’的ub’va’。
发明的效果
在本发明中,能力提供装置不泄露秘密信息地仅将计算能力提供给计算装置,计算装置使用该计算能力来准确地进行计算。
附图说明
图1是用于说明实施方式的代理计算系统的结构的方框图。
图2是用于说明实施方式的计算装置的结构的方框图。
图3是用于说明实施方式的能力提供装置的结构的方框图。
图4是用于说明实施方式的输入信息提供部的结构的方框图。
图5是用于说明实施方式的输入信息提供部的结构的方框图。
图6是用于说明实施方式的计算装置的处理的流程图。
图7是用于说明实施方式的能力提供装置的处理的流程图。
图8是用于说明步骤S2103(S3103)的处理的流程图。
图9是用于说明步骤S4103的处理的流程图。
图10是用于说明实施方式的计算装置的结构的方框图。
图11是用于说明实施方式的计算装置的处理的流程图。
图12是用于说明实施方式的计算装置的结构的方框图。
图13是用于说明实施方式的能力提供装置的结构的方框图。
图14是用于说明实施方式的输入信息提供部的结构的方框图。
图15是用于说明实施方式的计算装置的处理的流程图。
图16是用于例示步骤S6103的处理的流程图。
图17是用于说明实施方式的能力提供装置的处理的流程图。
图18是用于说明实施方式的代理计算系统的结构的方框图。
图19是用于说明实施方式的计算装置的结构的方框图。
图20是用于说明实施方式的能力提供装置的结构的方框图。
图21是用于说明实施方式的解码控制装置的结构的方框图。
图22是用于说明实施方式的输入信息提供部的结构的方框图。
图23是用于说明实施方式的输入信息提供部的结构的方框图。
图24是用于说明实施方式的加密处理的流程图。
图25是用于说明实施方式的解码处理的流程图。
图26是用于说明实施方式的解码能力提供处理的流程图。
图27是用于说明步骤S12103(S13103)的处理的流程图。
图28是用于说明步骤S14103的处理的流程图。
图29是用于说明实施方式的计算装置的结构的方框图。
图30是用于说明实施方式的解码处理的流程图。
图31是用于说明实施方式的代理计算系统的结构的方框图。
图32是用于说明实施方式的计算装置的结构的方框图。
图33是用于说明实施方式的能力提供装置的结构的方框图。
图34是用于说明实施方式的输入信息提供部的结构的方框图。
图35是用于说明实施方式的输入信息提供部的结构的方框图。
图36是用于说明实施方式的输入信息提供部的结构的方框图。
图37是用于说明实施方式的计算装置的处理的流程图。
图38是用于说明实施方式的能力提供装置的处理的流程图。
图39是用于说明步骤S22103(S23103)的处理的流程图。
图40是用于说明步骤S24103的处理的流程图。
图41是用于说明步骤S25103的处理的流程图。
图42是用于说明实施方式的输入信息提供部的结构的方框图。
图43是用于说明步骤S27103的处理的流程图。
图44是用于说明实施方式的计算装置的结构的方框图。
图45是用于说明实施方式的计算装置的处理的流程图。
具体实施方式
以下,参照附图来说明本发明的实施方式。
【第一实施方式】
说明本发明的第一实施方式。
<结构>
如图1所例示,第一实施方式的代理计算系统1例如具有没有保持解码密钥的计算装置11和保持解码密钥的能力提供装置12,计算装置11对能力提供装置12委托密码文的解码能力的提供,使用从能力提供装置12提供的解码能力来对密码文进行解码。计算装置11与能力提供装置12构成为能够进行信息的交换。例如,计算装置11与能力提供装置能够进行经由了传输线或网络或可移动型记录介质等的信息的交换。
如图2所例示,第一实施方式的计算装置11例如具有:自然数存储部1101、自然数选择部1102、整数计算部1103、输入信息提供部1104、第一计算部1105、第一幂乘计算部1106、第一列表存储部1107、第二计算部1108、第二幂乘计算部1109、第二列表存储部1110、判定部1111、最终输出部1112和控制部1113。计算装置11的例子是,卡读写装置、移动电话等的具备计算功能和存储功能的设备、读入了特别的程序的具备CPU(中央处理单元)和RAM(随机存取存储器)的公知或专用的计算机等。
如图3所例示,第一实施方式的能力提供装置12例如具有第一输出信息计算部1201、第二输出信息计算部1202、密钥存储部1204和控制部1205。能力提供装置12的例子是,IC卡或IC芯片等耐篡改性模块、移动电话等的具备计算功能和存储功能的设备、读入了特别的程序的具备CPU和RAM的公知或专用的计算机等。
<处理>
下面,说明本方式的处理。作为处理的前提,将G、H设为群(例如为可交换群),将f(x)设为用于将作为群H的元的密码文x通过特定的解码密钥s解码而得到群G的元的解码函数,将群G、H的生成元分别设为μg、μh,将X1、X2设为在群G中取值的概率变量,将概率变量X1的实现值设为x1,将概率变量X2的实现值设为x2。计算装置11的自然数存储部1101中存储有多个种类的互质的2个自然数a、b的组(a、b)。“自然数”意味着0以上的整数。如果将I设为在群G的位数未满的2个自然数的组中互质的组的集合,则能够认为在自然数存储部1101中存储有与I的部分集合对应的自然数a、b的组(a、b)。在能力提供装置12的密钥存储部2104中安全地存储有特定的解码密钥s。计算装置11的各处理在控制部1113的控制下执行,能力提供装置12的各处理在控制部1205的控制下执行。
如图6所例示,首先,计算装置11(图2)的自然数选择部1102随机地从在自然数存储部1101中存储的多个自然数的组(a、b)读入1个自然数的组(a、b)。所读入的自然数的组(a、b)的至少一部分信息被发送到整数计算部1103、输入信息提供部1104、第一幂乘计算部1106和第二幂乘计算部1109(步骤S1100)。
整数计算部1103使用所发送的自然数的组(a、b),计算满足a’a+b’b=1的关系的整数a’、b’。由于自然数a、b互质,因此必然存在满足a’a+b’b=1的关系的整数a’、b’。自然数的组(a’、b’)的信息被发送到最终输出部1112(步骤S1101)。
控制部1113设为t=1(步骤S1102)。
输入信息提供部1104生成并输出与所输入的密码文x分别对应的作为群H的元的第一输入信息τ1和第二输入信息τ2。优选为,第一输入信息τ1和第二输入信息τ2为分别将与密码文x的关系搅乱的信息。由此,计算装置11能够对能力提供装置12隐蔽密码文x。优选为,本方式的第一输入信息τ1进而对应于在自然数选择部1102中选择的自然数b,第二输入信息τ2进而对应于在自然数选择部1102中选择的自然数a。由此,计算装置11能够以高精度评价从能力提供装置12提供的解码能力(步骤S1103)。
如图7所例示,第一输入信息τ1输入到能力提供装置12(图3)的第一输出信息计算部1201,第二输入信息τ2输入到第二输出信息计算部1202(步骤S1200)。
第一输出信息计算部1201使用第一输入信息τ1和在密钥存储部1204中存储的解码密钥s,以大于某一概率的概率准确地计算f(τ1),将得到的计算结果设为第一输出信息z1(步骤S1201)。第二输出信息计算部1202使用第二输入信息τ2和在密钥存储部1204中存储的解码密钥s,以大于某一概率的概率准确地计算f(τ2),将得到的计算结果设为第二输出信息z2(步骤S1202)。另外,“某一概率”是小于100%的概率。“某一概率”的例子是无法忽略的概率,“无法忽略的概率”的例子是,将作为安全参数k的广义单调增加函数的多项式设为多项式ψ(k)时的1/ψ(k)以上的概率。即,第一输出信息计算部1201和第二输出信息计算部1202输出包含有意的或无意的误差的计算结果。换言之,第一输出信息计算部1201的计算结果既有是f(τ1)的情况也有不是f(τ1)的情况,第二输出信息计算部1202的计算结果既有是f(τ2)的情况也有不是f(τ2)的情况。
第一输出信息计算部1201输出第一输出信息z1,第二输出信息计算部1202输出第二输出信息z2(步骤S1203)。
返回到图6,第一输出信息z1输入到计算装置11(图2)的第一计算部1105,第二输出信息z2输入到第二计算部1108。这些第一输出信息z1和第二输出信息z2相当于从能力提供装置12对计算装置11提供的解码能力(步骤S1104)。
第一计算部1105根据第一输出信息z1生成计算结果u=f(x)b1。这里,生成(计算)f(x)b1的处理是计算定义为f(x)b1的式的值的处理。如果最终能够计算式f(x)b1的值,则与中间的计算方法无关。这对于在本申请中出现的其他式的计算也是相同的。在第一实施方式中,将在群中定义的运算以乘法表现。即,对于α∈G的「αb」意味着对α作用b次在群G中定义的运算,对于α1、α2∈G的「α1α2」意味着将α1和α2作为被运算子进行在群G中定义的运算(后述的第二至第五实施方式也同样)。计算结果u发送到第一幂乘计算部1106(步骤S1105)。
第一幂乘计算部1106计算u’=ua。计算结果u和基于该计算结果计算出的u’的组(u,u’)被存储到第一列表存储部1107(步骤S1106)。
判定部1111在存储于第一列表存储部1107的组(u,u’)和存储于第二列表存储部1110的组(v,v’)中,判定是否有成为u’=v’的组(步骤S1107)。如果在第二列表存储部1110中没有存储组(v,v’)的情况下,不进行该步骤S1107的处理,进行下一个步骤S1108的处理。在有成为u’=v’的组的情况下,进至步骤S1114。在没有成为u’=v’的组的情况下,进至步骤S1108。
在步骤S1108中,第二计算部1108根据第二输出信息z2生成计算结果v=f(x)a2。计算结果v发送到第二幂乘计算部1109(步骤S1108)。
第二幂乘计算部1109计算v’=vb。计算结果v和基于该计算结果计算出的v’的组(v,v’)被存储到第二列表存储部1110(步骤S1109)。
判定部1111在存储于第一列表存储部1107的组(u,u’)和存储于第二列表存储部1110的组(v,v’)中,判定是否有成为u’=v’的组(步骤S1110)。在有成为u’=v’的组的情况下,进至步骤S1114。在没有成为u’=v’的组的情况下,进至步骤S1111。
在步骤S1111中,控制部1113判定是否为t=Tmax(步骤S1111)。Tmax是预先决定的自然数。如果是t=Tmax,则控制部1113输出无法进行计算的意旨的信息例如为符号“⊥”(步骤S1113),并结束处理。如果不是t=Tmax,则控制部1113将t增加1,即设为t=t+1(步骤S1112),返回到步骤S1103。
无法进行计算的意旨的信息(在该例子中为符号“⊥”)意味着能力提供装置12准确地进行计算的可靠度小于由Tmax决定的基准。换言之,意味着在Tmax次的重复中无法进行准确的运算。
在步骤S1114中,最终输出部1112使用与判定为u’=v’的u’和v’对应的u和v来计算ub’va’,并进行输出(步骤S1114)。如此计算出的ub’va’以高的概率成为通过特定的解码密钥s对密码文x进行了解码后的解码结果f(x)(在后面叙述以高的概率成为ub’va’=f(x)的理由)。因此,将上述的处理重复多次,将在步骤S1114中得到的值中频度最高的值设为解码结果即可。如后所述,根据设定,以绝对的概率成为ub’va’=f(x)。在该情况下,可以将在步骤S1114中得到的值直接设为解码结果。
《关于以高的概率成为ub’va’=f(x)的理由》
将X设为在群G中取值的概率变量。将关于w∈G在每次接受请求时返回与按照概率变量X的样本x’对应的wx’的装置,称为关于w具有误差X的样本器(sampler)。
将关于w∈G在每次提供自然数a时返回与按照概率变量X的样本x’对应的wax’的装置,称为关于w具有误差X的可随机化样本器(randomizablesampler)。可随机化样本器如果设为a=1而使用,则作为样本器发挥作用。
本实施方式的输入信息提供部1104和第一输出信息计算部1201和第一计算部1105的组合是关于f(x)具有误差X1的可随机化样本器(称为“第一可随机化样本器”),输入信息提供部1104和第二输出信息计算部1202和第二计算部1108的组合是关于f(x)具有误差X2的可随机化样本器(称为“第二可随机化样本器”)。
发明人发现了如下情况:如果成立u’=v’即成立ua=vb,则第一可随机化样本器准确地计算了u=f(x)b并且第二可随机化样本器准确地计算了v=f(x)a(x1和x2是群G的单位元eg)的可能性高。从简化说明的观点出发,通过五个实施方式进行该证明。
在第一可随机化样本器准确地计算了u=f(x)b并且第二可随机化样本器准确地计算了v=f(x)a时(x1和x2为群G的单位元eg时),成为ub’va’=(f(x)b1b’(f(x)a2a’=(f(x)bgb’(f(x)aga’=f(x)bb’eg b’f(x)aa’eg a’=f(x)(bb+aa)=f(x)。
关于(q1,q2)∈I,将对于i=1、2的各个的函数πi定义为πi(q1,q2)=qi。设为L=min(#π1(S),#π2(S))。#·是集合·的位数。在群G为巡回群或者难以计算位数的群时,计算装置11输出“⊥”以外时的输出不是f(x)的概率能够期待为在能够忽略的程度的误差的范围内至多Tmax 2L/#S左右。如果L/#S为能够忽略的量且Tmax为多项式量级程度的量,则计算装置11以绝对的概率输出准确的f(x)。在L/#S成为能够忽略的量的S的例子中,例如有S={(1,d)|d∈[2,|G|-1]}。
【第二实施方式】
第二实施方式的代理计算系统是将上述的第一可随机化样本器和第二可随机化样本器具体化的例子。以下,以与第一实施方式不同的部分为中心进行说明,对于共同的部分省略重复说明。在以下的说明中,设为附加了相同的参考标号的部分具有相同的功能,附加了相同的参考标号的步骤表示相同的处理。
<结构>
如图1所例示,在第二实施方式的代理计算系统2中,计算装置11被置换为计算装置21,能力提供装置12被置换为能力提供装置22。
如图2所例示,第二实施方式的计算装置21例如具有:自然数存储部1101、自然数选择部1102、整数计算部1103、输入信息提供部2104、第一计算部2105、第一幂乘计算部1106、第一列表存储部1107、第二计算部2108、第二幂乘计算部1109、第二列表存储部1110、判定部1111、最终输出部1112和控制部1113。如图4所例示,本方式的输入信息提供部2104例如具有第一随机数生成部2104a、第一输入信息计算部2104b、第二随机数生成部2104c和第二输入信息计算部2104d。
如图3所例示,第二实施方式的能力提供装置22例如具有第一输出信息计算部2201、第二输出信息计算部2202、密钥存储部1204和控制部1205。
<处理>
下面,说明本方式的处理。在第二实施方式中,将解码函数f(x)设为准同型函数,将群H设为巡回群,将群H的生成元设为μh,将群H的位数设为KH并且设为ν=f(μh)。其他的前提,除了计算装置11被置换为计算装置21、能力提供装置12被置换为能力提供装置22以外,与第一实施方式相同。
如图6和图7所例示,在第二实施方式的处理中,第一实施方式的步骤S1103~S1105、S1108、S1200~S1203分别被置换为步骤S2103~S2105、S2108、S2200~S2203。在以下,仅说明步骤S2103~S2105,S2108,S2200~S2203的处理。
《步骤S2103的处理》
计算装置21(图2)的输入信息提供部2104生成并输出与所输入的密码文x分别对应的作为群H的元的第一输入信息τ1和第二输入信息τ2(图6/步骤S2103)。以下,使用图8来说明本方式的步骤S2103的处理。
第一随机数生成部2104a(图4)生成0以上且小于KH的自然数的普通随机数r1。所生成的随机数r1被发送到第一输入信息计算部2104b和第一计算部2105(步骤S2103a)。第一输入信息计算部2104b使用所输入的随机数r1和密码文x和自然数b,计算第一输入信息τ1=μh r1b(步骤S2103b)。这里,μh的上标的r1表示r1。如此,在本申请中,将α设为第一字符,将β设为第二字符,将γ设为数字,在表述为αβγ的情况下,该βγ意味着βγ即β的下标γ。
第二随机数生成部2104c生成0以上且小于KH的自然数的普通随机数r2。所生成的随机数r2被发送到第二输入信息计算部2104d和第二计算部2108(步骤S2103c)。第二输入信息计算部2104d使用所输入的随机数r2和密码文x和自然数a,计算第二输入信息τ2=μh r2a(步骤S2103d)。
第一输入信息计算部2104b和第二输入信息计算部2104d输出如上所述生成的第一输入信息τ1和第二输入信息τ2(步骤S2103e)。另外,本方式的第一输入信息τ1和第二输入信息τ2为分别通过随机数r1、r2将与密码文x的关系搅乱的信息。由此,计算装置22能够对能力提供装置22隐蔽密码文x。本方式的第一输入信息τ1进而对应于在自然数选择部1102中选择的自然数b,第二输入信息τ2进而对应于在自然数选择部1102中选择的自然数a。由此,计算装置21能够以高精度评价从能力提供装置22提供的解码能力。
《步骤S2200~S2203的处理》
如图7所例示,首先,第一输入信息τ1=μh r1b输入到能力提供装置22(图3)的第一输出信息计算部2201,第二输入信息τ2h r2a输入到第二输出信息计算部2202(步骤S2200)。
第一输出信息计算部2201使用第一输入信息τ1h r1b和在密钥存储部1204中存储的解码密钥s,以大于某一概率的概率准确地计算f(μh r1b),将得到的计算结果设为第一输出信息z1。该计算结果既存在准确的情况也存在不准确的情况。即,第一输出信息计算部2201中的计算结果既存在成为f(μh r1b)的情况,也存在没有成为f(μh r1b)的情况(步骤S2201)。
第二输出信息计算部2202使用第二输入信息τ2h r2a和在密钥存储部1204中存储的解码密钥s,以大于某一概率的概率准确地计算f(μh r2a),将得到的计算结果设为第一输出信息z2。该计算结果既存在准确的情况也存在不准确的情况。即,第二输出信息计算部2202中的计算结果既存在成为f(μh r2a)的情况,也存在没有成为f(μh r2a)的情况(步骤S2202)。第一输出信息计算部2201输出第一输出信息z1,第二输出信息计算部2202输出第二输出信息z2(步骤S2203)。
《步骤S2104和S2105的处理》
返回到图6,第一输出信息z1输入到计算装置21(图2)的第一计算部2105,第二输出信息z2输入到第二计算部2108。这些第一输出信息z1和第二输出信息z2相当于从能力提供装置22对计算装置21提供的解码能力(步骤S2104)。
第一计算部2105使用所输入的随机数r1和第一输出信息z1,计算z1ν-r1并将该计算结果设为u。计算结果u发送到第一幂乘计算部1106。这里,成为u=z1ν-r1=f(x)b1。即,z1ν-r1成为关于f(x)具有误差X1的可随机化样本器的输出。在后面叙述其理由(步骤S2105)。
《步骤S2108的处理》
第二计算部2108使用所输入的随机数r2和第二输出信息z2,计算z2ν-r2并将该计算结果设为v。计算结果v发送到第二幂乘计算部1109。这里,成为v=z2ν-r2=f(x)a2。即,z2ν-r2成为关于f(x)具有误差X2的可随机化样本器的输出。在后面叙述其理由(步骤S2108)。
《z1ν-r1、z2ν-r2成为关于f(x)分别具有误差X1、X2的可随机化样本器的输出的理由》
将c设为自然数,将R和R’设为随机数,将能力提供装置22使用μh Rc进行的计算的计算结果设为B(μh Rc)。即,将第一输出信息计算部2201和第二输出信息计算部2202返回给计算装置21的计算结果设为z=B(μh Rc)。进而,将在群G中取值的概率变量X定义为X=B(μh R’)f(μh R’)-1
这时,成为zν-R=B(μh Rc)f(μh-R=Xf(μh Rc)f(μh-R=Xf(μhRf(x)cf(μh-R=f(x)cX。即,zν-R成为关于f(x)具有误差X的可随机化样本器的输出。
在上述式展开中,使用X=B(μh R’)f(μh R’)-1=B(μh Rc)f(μh Rc-1、B(μh Rc)=Xf(μh Rc)的性质。该性质基于函数f(x)为准同型函数,R和R'为随机数。
因此,如果考虑a、b为自然数,r1、r2为随机数,则同样地,z1ν-r1、z2ν-r2成为关于f(x)分别具有误差X1、X2的可随机化样本器的输出。
【第三实施方式】
第三实施方式是第二实施方式的变形例,在a=1或b=1时,通过上述的样本器计算u或v的值。一般,样本器的计算量比可随机化样本器小。在a=1或b=1时,代替可随机化样本器而由样本器进行计算,从而能够减小代理计算系统的计算量。以下,以与第一实施方式和第二实施方式不同的部分为中心进行说明,对于共同的部分省略重复说明。
<结构>
如图1所例示,在第三实施方式的代理计算系统3中,计算装置21被置换为计算装置31,能力提供装置22被置换为能力提供装置32。
如图2所例示,第三实施方式的计算装置31例如具有:自然数存储部1101、自然数选择部1102、整数计算部1103、输入信息提供部2104、第一计算部2105、第一幂乘计算部1106、第一列表存储部1107、第二计算部2108、第二幂乘计算部1109、第二列表存储部1110、判定部1111、最终输出部1112、控制部1113和第三计算部3109。
如图3所例示,第三实施方式的能力提供装置32例如具有第一输出信息计算部2201、第二输出信息计算部2202、密钥存储部1204、控制部1205和第三输出信息计算部3203。
<处理>
下面,说明本方式的处理。说明与第二实施方式的不同点。
如图6和图7所例示,在第三实施方式的处理中,第二实施方式的步骤S2103~S2105、S2108、S2200~S2203分别被置换为步骤S3103~S3105、S3108、S2200~S2203和S3205~S3209。在以下,以步骤S3103~S3105,S3108,S2200~S2203和S3205~S3209的处理为中心进行说明。
《步骤S3103的处理》
计算装置31(图2)的输入信息提供部3104生成并输出与所输入的密码文x分别对应的作为群H的元的第一输入信息τ1和第二输入信息τ2(图6/步骤S3103)。
以下,使用图8来说明本方式的步骤S3103的处理。
控制部1113(图2)根据在自然数选择部1102中选择的自然数(a、b)来控制输入信息提供部3104。
在控制部1113中判定b是否为1(步骤S3103a),在判定为b≠1的情况下,执行上述的步骤S2103a和S2103b的处理,进至步骤S3103g。
另一方面,在步骤S3103a中判定为b=1的情况下,第三随机数生成部3104e生成0以上且小于KH的自然数的随机数r3。所生成的随机数r3被发送到第三输入信息计算部3104f和第三计算部3109(步骤S3103b)。第三输入信息计算部3104f使用所输入的随机数r3和密码文x来计算xr3,将其设为第一输入信息τ1(步骤S3103c)。之后,进至步骤S3103g。
在步骤S3103g中,在控制部1113中判定a是否为1(步骤S3103g),在判定为a≠1的情况下,执行上述的步骤S2103c和步骤S2103d的处理。
另一方面,在步骤S3103g中判定为a=1的情况下,第三随机数生成部3104e生成0以上且小于KH的自然数的随机数r3。所生成的随机数r3被发送到第三输入信息计算部3104f(步骤S3103h)。第三输入信息计算部3104f使用所输入的随机数r3和密码文x来计算xr3,将其设为第二输入信息τ2(步骤S3103i)。
第一输入信息计算部2104b、第二输入信息计算部2104d和第三输入信息计算部3104f将如上所述生成的第一输入信息τ1和第二输入信息τ2与所对应的自然数(a、b)的信息一起输出(步骤S3103e)。另外,本方式的第一输入信息τ1和第二输入信息τ2为分别通过随机数r1、r2、r3将与密码文x的关系搅乱的信息。由此,计算装置31能够对能力提供装置32隐蔽密码文x。
《S2200~S2203和S3205~S3209的处理》
以下,使用图7来说明本方式的S2200~S2203和S3205~S3209的处理。
控制部1205(图3)根据所输入的自然数(a、b),控制第一输出信息计算部2201、第二输出信息计算部2202、和第三输出信息计算部3203。
基于控制部1205的控制,b≠1时的第一输入信息τ1=μh r1b被输入到能力提供装置32(图3)的第一输出信息计算部2201,a≠1时的第二输入信息τ2=μh r2a被输入到第二输出信息计算部2202。b=1时的第一输入信息τ1=xr3或a=1时的第二输入信息τ2=xr3被输入到第三输出信息计算部3203(步骤S3200)。
在控制部1113中判定b是否为1(步骤S3205),在判定为b≠1的情况下,执行上述的步骤S2201的处理。之后,在控制部1113中判定a是否为1(步骤S3208),在判定为a≠1的情况下,执行上述的步骤S2202的处理,进至步骤S3203。
另一方面,在步骤S3208中判定为a=1的情况下,第三输出信息计算部3203使用第二输入信息τ2=xr3,以大于某一概率的概率准确计算f(xr3),将得到的计算结果设为第三输出信息z3。该计算结果既存在准确的情况也存在不准确的情况。即,第三输出信息计算部3203中的计算结果既存在成为f(xr3)的情况,也存在没有成为f(xr3)的情况(步骤S3209)。之后,进至步骤S3203。
在步骤S3205中判定为b=1的情况下,第三输出信息计算部3203使用第二输入信息τ1=xr3,以大于某一概率的概率准确计算f(xr3),将得到的计算结果设为第三输出信息z3。该计算结果既存在准确的情况也存在不准确的情况。即,第三输出信息计算部3203中的计算结果既存在成为f(xr3)的情况,也存在没有成为f(xr3)的情况(步骤S3206)。
之后,在控制部1113中判定a是否为1(步骤S3207),在判定为a=1的情况下进至步骤S3203,在判定为a≠1的情况下进至步骤S2202。
在步骤S3203中,生成了第一输出信息z1的第一输出信息计算部2201输出第一输出信息z1,生成了第二输出信息z2的第二输出信息计算部2202输出第二输出信息z2,生成了第三输出信息z3的第三输出信息计算部3202输出第三输出信息z3(步骤S3203)。
《步骤S3104和S3105的处理》
返回到图6,在控制部1113的控制下,第一输出信息z1输入到计算装置31(图2)的第一计算部2105,第二输出信息z2输入到第二计算部2108,第三输出信息z3输入到第三计算部3109(步骤S3104)。
如果b≠1,则第一计算部2105通过上述的步骤S2105的处理生成u,如果b=1,则第三计算部3109计算z3 1/r3,并将其计算结果设为u。计算结果u发送到第一幂乘计算部1106。这里,在b=1的情况下,成为u=z3 1/r3=f(x)x3。即,z3 1/r3成为关于f(x)具有误差X3的样本器。在后面叙述其理由(步骤S3105)。
《步骤S3108的处理》
如果a≠1,则第二计算部2108通过上述的步骤S2108的处理生成v,如果a=1,则第三计算部3109计算z3 1/r3,并将其计算结果设为v。计算结果v发送到第二幂乘计算部1109。这里,在a=1的情况下,成为v=z3 1/r3=f(x)x3。即,z3 1/r3成为关于f(x)具有误差X3的样本器。在后面叙述其理由(步骤S3108)。
另外,在z3 1/r3的计算即z3的幂乘根的计算困难的情况下,也可以如下计算u和/或v。第三计算部3109将随机数r3和基于该随机数r3计算出的z3的组依次设为(α1,β1),(α2,β2),…,(α,β),…并存储到未图示的存储部。m是自然数。第三计算部3109也可以是,如果α1,α2,…,αm的最小公倍数为1,则将γ1,γ2,…,γm设为整数并计算成为γ1α1+γ2α2+…+γmαm=1的γ1,γ2,…,γm,并使用该γ1,γ2,…,γm来计算Πi=1 mβi γi=β1 γ1β2 γ2…βm γm,将该计算结果设为u和/或v。
《z3 1/r3成为关于f(x)具有误差X3的样本器的理由》
将R设为随机数,将能力提供装置32使用xR进行的计算的计算结果设为B(xR)。即,将第一输出信息计算部2201、第二输出信息计算部2202和第三输出信息计算部3203返回给计算装置31的计算结果设为z=B(xR)。进而,将在群G中取值的概率变量X定义为X=B(xR1/Rf(x)-1
这时,成为z1/R=B(xR1/R=Xf(x)=f(x)X。即,z1/R成为关于f(x)具有误差X的样本器。
在上述式展开中,使用X=B(xR1/Rf(xR-1、B(xR1/R=Xf(xR)的性质。该性质基于R为随机数。
因此,如果考虑r3为随机数,则同样地z1/R成为关于f(x)具有误差X3的样本器。
【第四实施方式】
第四实施方式的代理计算系统是将上述的第一可随机化样本器和第二可随机化样本器具体化的其他例子。具体地,对如下的例子进行了具体化:H=G×G、解码函数f(x)为ElGamal密码的解码函数,即对于解码密钥s和密码文x=(c1,c2)为f(c1,c2)=c12 -s时的第一可随机化样本器和第二可随机化样本器的例子。以下,以与第一实施方式不同的部分为中心进行说明,对于共同的部分省略重复说明。
如图1所例示,在第四实施方式的代理计算系统4中,计算装置11被置换为计算装置41,能力提供装置12被置换为能力提供装置42。
如图2所例示,第四实施方式的计算装置41例如具有:自然数存储部1101、自然数选择部1102、整数计算部1103、输入信息提供部4104、第一计算部4105、第一幂乘计算部1106、第一列表存储部1107、第二计算部4108、第二幂乘计算部1109、第二列表存储部1110、判定部1111、最终输出部1112和控制部1113。如图5所例示,本方式的输入信息提供部4104例如具有第四随机数生成部4104a、第五随机数生成部4104b、第一输入信息计算部4104c、第六随机数生成部4104d、第七随机数生成部4104e和第二输入信息计算部4104f。第一输入信息计算部4104c例如具有第四输入信息计算部4104ca和第五输入信息计算部4104cb,第二输入信息计算部4104f具有第六输入信息计算部4104fa和第七输入信息计算部4104fb。
如图3所例示,第四实施方式的能力提供装置42例如具有第一输出信息计算部4201、第二输出信息计算部4202、密钥存储部1204和控制部1205。
<处理>
下面,说明本方式的处理。在第四实施方式中,群H为群G的直积群G×G,群G为巡回群,密码文x=(c1,c2)∈H,f(c1,c2)为准同型函数,将群G的生成元设为μg,将群G的位数设为KG,事先对计算装置41和能力提供装置42设定对于相同的解码密钥s的密码文(V,W)∈H和对该密码文解码后的解码文f(V,W)=Y∈G的组,计算装置41和能力提供装置41能够利用该组。
如图6和图7所例示,在第四实施方式的处理中,第一实施方式的步骤S1103~S1105、S1108、S1200~S1203分别被置换为步骤S4103~S4105、S4108、S4200~S4203。在以下,仅说明步骤S4103~S4105,S4108,S4200~S4203的处理。
《步骤S4103的处理》
计算装置41(图2)的输入信息提供部4104生成并输出与所输入的密码文x=(c1,c2)对应的作为群H的元的第一输入信息τ1和与密码文x=(c1,c2)对应的作为群H的元的第二输入信息τ2(图6/步骤S4103)。以下,使用图9来说明本方式的步骤S4103的处理。
第四随机数生成部4104a(图5)生成0以上且小于KG的自然数的普通随机数r4。所生成的随机数r4被发送到第四输入信息计算部4104ca、第五输入信息计算部4104cb和第一计算部4105(步骤S4103a)。第五随机数生成部4104b生成0以上且小于KG的自然数的普通随机数r5。所生成的随机数r5被发送到第五输入信息计算部4104cb和第一计算部4105(步骤S4103b)。
第四输入信息计算部4104ca使用在自然数选择部1102中选择的自然数b、密码文x所包含的c2和随机数r4,计算第四输入信息c2 br4(步骤S4103c)。第五输入信息计算部4104cb使用在自然数选择部1102中选择的自然数b、密码文x所包含的c1和随机数r4、r5,计算第五输入信息c1 br4μg r5(步骤S4103d)。
第六随机数生成部4104d生成0以上且小于KG的自然数的普通随机数r6。所生成的随机数r6被发送到第六输入信息计算部4104fa、第七输入信息计算部4104fb和第二计算部4108(步骤S4103e)。第七随机数生成部125生成0以上且小于KG的自然数的普通随机数r7。所生成的随机数r7被发送到第六输入信息计算部4104fa和第二计算部4108(步骤S4103f)。
第六输入信息计算部4104fa使用在自然数选择部1102中选择的自然数a、密码文x所包含的c2和随机数r6,计算第六输入信息c2 ar6(步骤S4103g)。第七输入信息计算部4104fb使用在自然数选择部1102中选择的自然数a、密码文x所包含的c1和随机数r7,计算第七输入信息c1 ar6μg r7(步骤S4103h)。
第一输入信息计算部4104c将如上所述生成的第四输入信息c2 br4和第五输入信息c1 br4μg r5作为第一输入信息τ1=(c2 br4,c1 br4μg r5)而输出。第二输入信息计算部4104f将如上所述生成的第六输入信息c2 ar6和第七输入信息c1 ar6μg r7作为第二输入信息τ2=(c2 ar6,c1 ar6μg r7)而输出(步骤S4103i)。
《步骤S4200~S4203的处理》
如图7所例示,首先,第一输入信息τ1=(c2 r4,c1 br4μg r5)输入到能力提供装置42(图3)的第一输出信息计算部4201,第二输入信息τ2=(c2 r6,c1 ar6μg r7)输入到第二输出信息计算部4202(步骤S4200)。
第一输出信息计算部4201使用第一输入信息τ1=(c2 br4,c1 br4μg r5)和在密钥存储部1204中存储的解码密钥s,以大于某一概率的概率准确地计算f(c1 br4μg r5,c2 br4),将计算结果设为第一输出信息z1。该计算结果既存在准确的情况也存在不准确的情况。即,第一输出信息计算部4201的计算结果既有成为f(c1 br4μg r5,c2 br4)的情况,也有不成为f(c1 br4μg r5,c2 br4)的情况(步骤S4201)。
第二输出信息计算部4202能够使用第二输入信息τ2=(c2 ar6,c1 ar6μg r7)和在密钥存储部1204中存储的解码密钥s,以大于某一概率的概率准确地计算f(c1 ar6μg r7,c2 ar6),将获得的计算结果设为第二输出信息z2。该计算结果既存在准确的情况也存在不准确的情况。即,第一输出信息计算部4202的计算结果既有成为f(c1 ar6μg r7,c2 ar6)的情况,也有不成为f(c1 ar6μg r7,c2 ar6)的情况(步骤S4202)。第一输出信息计算部4201输出第一输出信息z1,第二输出信息计算部4202输出第二输出信息z2(步骤S4203)。
《步骤S4104和S4105的处理》
返回到图6,第一输出信息z1输入到计算装置41(图2)的第一计算部4105,第二输出信息z2输入到第二计算部4108(步骤S4104)。
第一计算部4105使用所输入的第一输出信息z1和随机数r4、r5,计算z1-r4μg -r5并将该计算结果设为u(步骤S4105)。计算结果u发送到第一幂乘计算部1106。这里,成为u=z1-r4μg -r5=f(c1,c2b1。即,z1Y-r4μg -r5成为关于f(c1,c2)具有误差X1的可随机化样本器的输出。在后面叙述其理由。
《步骤S4108的处理》
第二计算部4108使用所输入的第二输出信息z2和随机数r6、r7,计算z2-r6μg -r7并将该计算结果设为v。计算结果v发送到第二幂乘计算部1109。这里,成为v=z2-r6μg -r7=f(c1,c2a2。即,z2Y-r6μg -r7成为关于f(c1,c2)具有误差X2的可随机化样本器的输出。在后面叙述其理由。
《z1-r4μg -r5、z2-r6μg -r7分别成为关于f(c1,c2)具有误差X1、X2的可随机化样本器的输出的理由》
将c设为自然数,将R1、R2、R1’和R2’设为随机数,将能力提供装置42使用c1 cR1μg R2和c2 cR1进行的计算的计算结果设为B(c1 cR1μg R2,c2 cR1)。即,将第一输出信息计算部4201和第二输出信息计算部4202返回给计算装置41的计算结果设为z=B(c1 cR1μg R2,c2cR1)。进而,将在群G中取值的概率变量X定义为X=B(VR1’μg R2’,WR1’)f(VR1’μg R2’,WR1’)-1
这时,成为zY-R1μg -R2=B(c1 cR1μg R2,c2 cR1)Y-R1μg -R2=Xf(c1 cR1μg R2,c2 cR1)Y-R1μg -R2=Xf(c1,c2cf(V,W)R1f(μg,egR2-R1μg -R2=Xf(c1,c2R1μg R2-R1μg -R2=f(c1,c2cX。即,zY-R1μg -R2成为关于f(x)具有误差X的可随机化样本器的输出。其中,eg是群G的单位元。
在上述式展开中,使用X=B(VR1’μg R2’,WR1’)f(VR1’μg R2’,WR1’)-1=B(c1 cR1μg R2,c2 cR1)f(c1 cR1μg R2,c2 cR1)、B(c1 cR1μg R2,c2 cR1)=Xf(c1 cR1μg R2,c2 cR1)的性质。该性质基于R1、R2、R1’和R2’是随机数。
因此,如果考虑a、b为自然数,r4、r5、r6和r7为随机数,则同样地,z1-r4μg -r5、z2-r6μg -r7成为关于f(c1,c2)分别具有误差X1、X2的可随机化样本器的输出。
【第五实施方式】
在上述的各实施方式中,在计算装置的自然数存储部1101中存储多种互质的2个自然数a,b的组(a,b),使用这些组(a,b)来执行各处理。但是,a、b的一方也可以是常数。例如,可以将a固定为1,也可以将b固定为1。换而言之,第一可随机化样本器或第二可随机化样本器的一方可以置换为样本器。在a、b的一方为常数的情况下,不需要进行对设为常数的a或b进行选择的处理,各处理部无需被输入设为常数的a或b,能够将其作为常数进行计算。设为常数的a或b为1的情况下,无需使用a’和b’,能够作为f(x)=v或f(x)=u得到f(x)=u’v’。
第五实施方式是这样的变形的一例,是将b固定为1、第二可随机化样本器被置换为样本器的方式。以下,以与第一实施方式的不同点为中心进行说明。第一可随机化样本器和样本器的具体例与在第二实施方式至第四实施方式中说明的相同,因此省略说明。
<结构>
如图1所例示,在第五实施方式的代理计算系统5中,第一实施方式的计算装置11被置换为计算装置51,能力提供装置12被置换为能力提供装置52。
如图10所例示,第五实施方式的计算装置51例如具有:自然数存储部5101、自然数选择部5102、输入信息提供部5104、第一计算部5105、第一幂乘计算部1106、第一列表存储部1107、第二计算部5108、第二列表存储部5110、判定部5111、最终输出部1112和控制部1113。
如图3所例示,第五实施方式的能力提供装置52例如具有第一输出信息计算部5201、第二输出信息计算部5202、密钥存储部1204和控制部1205。
<处理>
下面,说明本方式的处理。作为处理的前提,将G、H设为群(例如为可交换群),将f(x)设为用于将作为群H的元的密码文x通过特定的解码密钥s解码而得到群G的元的解码函数,将群G、H的生成元分别设为μg、μh,将X1、X2设为在群G中取值的概率变量,将概率变量X1的实现值设为x1,将概率变量X2的实现值设为x2。计算装置51的自然数存储部5101中存储有多个种类的自然数a。
如图11所例示,首先,计算装置51(图10)的自然数选择部5102随机地从在自然数存储部5101中存储的多个自然数a读入1个自然数a。所读入的自然数a的信息被发送到输入信息提供部5104和第一幂乘计算部1106(步骤S5100)。
控制部1113设为t=1(步骤S1102)。
输入信息提供部5104生成并输出与所输入的密码文x分别对应的作为群H的元的第一输入信息τ1和第二输入信息τ2。优选为,第一输入信息τ1和第二输入信息τ2为分别将与密码文x的关系搅乱的信息。由此,计算装置51能够对能力提供装置52隐蔽密码文x。优选为,本方式的第二输入信息τ2进而对应于由自然数选择部5102选择的自然数a。由此,计算装置51能够以高精度评价从能力提供装置52提供的解码能力(步骤S5103)。第一输入信息τ1和第二输入信息τ2的组合的具体例子是,第二实施方式至第四实施方式的任何一个的设为b=1的第一输入信息τ1和第二输入信息τ2的组合。
如图7所例示,第一输入信息τ1输入到能力提供装置52(图3)的第一输出信息计算部5201,第二输入信息τ2输入到第二输出信息计算部5202(步骤S5200)。
第一输出信息计算部5201使用第一输入信息τ1和在密钥存储部1204中存储的解码密钥s,以大于某一概率的概率准确地计算f(τ1),将得到的计算结果设为第一输出信息z1(步骤S5201)。第二输出信息计算部5202使用第二输入信息τ2和在密钥存储部1204中存储的解码密钥s,以大于某一概率的概率准确地计算f(τ2),将得到的计算结果设为第二输出信息z2(步骤S5202)。即,第一输出信息计算部5201和第二输出信息计算部5202输出包含有意的或无意的误差的计算结果。换言之,第一输出信息计算部5201的计算结果既有是f(τ1)的情况也有不是f(τ1)的情况,第二输出信息计算部5202的计算结果既有是f(τ2)的情况也有不是f(τ2)的情况。第一输出信息z1和第二输出信息z2的组的具体例子是,第二实施方式至第四实施方式的任何一个的设为b=1的第一输出信息z1和第二输出信息z2的组。
第一输出信息计算部5201输出第一输出信息z1,第二输出信息计算部5202输出第二输出信息z2(步骤S5203)。
返回到图11,第一输出信息z1输入到计算装置51(图10)的第一计算部5105,第二输出信息z2输入到第二计算部5108。这些第一输出信息z1和第二输出信息z2相当于从能力提供装置52对计算装置51提供的解码能力(步骤S5104)。
第一计算部5105根据第一输出信息z1生成计算结果u=f(x)x1。计算结果u的具体例是,第二实施方式至第四实施方式的任何一个的设为b=1的计算结果u。计算结果u发送到第一幂乘计算部1106(步骤S5105)。
第一幂乘计算部1106计算u’=ua。计算结果u和基于该计算结果计算出的u’的组(u,u’)被存储到第一列表存储部1107(步骤S1106)。
第二计算部5108根据第二输出信息z2生成计算结果u=f(x)a2。计算结果v的具体例是,第二实施方式至第四实施方式的任何一个的计算结果v。计算结果v被存储到第二列表存储部5110(步骤S5108)。
判定部5111在存储于第一列表存储部1107的组(u,u’)和存储于第二列表存储部5110的v中,判定是否有成为u’=v的组(步骤S5110)。在有成为u’=v的组的情况下,进至步骤S5114。在没有成为u’=v的组的情况下,进至步骤S1111。
在步骤S5111中,控制部1113判定是否为t=Tmax(步骤S1111)。Tmax是预先决定的自然数。如果是t=Tmax,则控制部1113输出无法进行计算的意旨的信息例如为符号“⊥”(步骤S1113),并结束处理。如果不是t=Tmax,则控制部1113将t增加1,即设为t=t+1(步骤S1112),返回到步骤S5103。
在步骤S1114中,最终输出部1112输出与判定为u’=v的u’对应的u(步骤S5114)。如此得到的u相当于在第一实施方式至第四实施方式中设为b=1时的ub’va’。即,如此得到的u成为以高的概率对密码文x通过特定的解码密钥s进行了解码后的解码结果f(x)。因此,将上述的处理重复多次,将在步骤S5114中得到的值中频度最高的值设为解码结果即可。如后所述,根据设定,以绝对的概率成为u=f(x)。在该情况下,可以将在步骤S5114中得到的值直接设为解码结果。
《关于得到解码结果f(x)的理由》
下面,说明在本方式的计算装置51中得到解码结果f(x)的理由。首先,定义在说明中所需的事项。
黑盒子(black-box):
f(τ)的黑盒子F(τ)意味着,将τ∈H作为输入而输出z∈G的处理部。在本方式中,第一输出信息计算部5201和第二输出信息计算部5202分别相当于解码函数f(τ)的黑盒子F(τ)。将对于从群H中任意选择的元τ∈UH和z=F(τ)满足z=f(τ)的概率大于δ(0<δ≦1)时、即满足Pr[z=f(τ)|τ∈UH,z=F(τ)]>δ…(1)
的f(τ)的黑盒子F(τ)称为,可靠度δ(δ-reliable)的f(τ)的黑盒子F(τ)。其中,δ是正的值,相当于上述的“某一概率”。
自身改正器(self-corrector):
自身改正器CF(x)意味着,将x∈H设为输入,使用f(τ)的黑盒子F(τ)进行计算而输出j∈G∪⊥的处理部。在本方式中,计算装置51相当于自身改正器CF(x)。
殆自身改正器(almost self-corrector):
假定自身改正器CF(x)将x∈H作为输入使用可靠度δ的f(τ)的黑盒子F(τ)来输出准确的值j=f(x)的概率充分大于输出错误的值j≠f(x)的概率的情况。即,假定满足式(2)的情况。
Pr[j=f(x)|j=CF(x),j≠⊥]
>Pr[j≠f(x)|j=CF(x),j≠⊥]+Δ…(2)
另外,Δ是某一正的值(0<Δ<1)。在如此的情况下,自身改正器CF(x)称为殆自身改正器。例如,对于某一正的值Δ’(0<Δ’<1),满足
Pr[j=f(x)|j=CF(x)]>(1/3)+Δ’
Pr[j=⊥|j=CF(x)]<1/3
Pr[j≠f(x)且j≠⊥|j=CF(x)]<1/3
的情况下,自身改正器CF(x)是殆自身改正器。Δ’的例子是Δ’=1/12或1/3。
强自身改正器(robust self-corrector):
假定自身改正器CF(x)将x∈H作为输入使用可靠度δ的f(τ)的黑盒子F(τ)来输出准确的值j=f(x)或j=⊥的概率为绝对的情况。即,对于能够忽略的误差ξ(0≦ξ<1),满足
Pr[j=f(x)或者j=⊥|j=CF(x)]>1-ξ…(3)
的情况。在如此的情况下,自身改正器CF(x)称为强自身改正器。另外,能够忽略的误差ξ的例子是,安全参数k的函数值ξ(k)。函数值ξ(k)的例子是,对于任意的多项式p(k)关于充分大的k,{ξ(k)p(k)}收敛于0的函数值。函数值ξ(k)的具体例是,ξ(k)=2-k或ξ(k)=2-√k等。
能够从殆自身改正器构成强自身改正器。即,对于相同的x执行多次殆自身改正器,将除了⊥之外频度最高的输出值设为j,从而能够构成强自身改正器。例如,对于相同的x执行O(log(1/ξ))次殆自身改正器,将频度最高的输出值设为j,从而能够构成强自身改正器。另外,O(·)表示O记法。
伪自由(pseudo-free)的作用:
关于群G、自然数的集合Ω={0,...,M}(M为1以上的自然数)、在群G中取值的概率变量X1、X2的各实现值α∈X1(α≠eg),β∈X2和a∈Ω,对于成为αa=β的概率
Pr[αa=β且α≠eg|a∈UΩ,α∈X1,β∈X2]…(4)
将对于所有可能的X1,X2的上限值称为组(G,Ω)的伪自由指标,将其表示为P(G,Ω)。在存在某一能够忽略的函数ζ(k),且
P(G,Ω)<ζ(k)…(5)
的情况下,通过组(G,Ω)定义的运算是伪自由的作用。另外,以乘法表现在第五实施方式中在群中定义的运算。即,对于α∈G的「αa」意味着,对α作用a次在群G中定义的运算。能够忽略的函数ξ(k)的例子是,对于任意的多项式p(k)关于充分大的k,{ξ(k)p(k)}收敛于0的函数。函数ξ(k)的具体例是,ξ(k)=2-k或ξ(k)=2-√k等。例如,对于安全参数k,式(4)的概率小于O(2-k)的情况下,通过组(G,Ω)定义的运算是伪自由的作用。例如,关于任意的α∈G且α≠eg,集合Ω·α={a(α)|a∈Ω}的元素数|Ω·α|超过2的情况下,通过组(G,Ω)定义的运算能够称为伪自由的作用。这样的具体例存在很多。例如,群G为将质数p作为法的剩余群Z/pZ,质数p为2k的量级,集合Ω={0,...,p-2},a(α)为αa∈Z/pZ且α≠eg的情况下,成为Ω·α={αa|a=0,...,p-2}={eg,α1,...,αp-2},并且是|Ω·α|=p-1。由于质数p是2k的量级,因此存在某一常数C,如果k充分大则满足|Ω·α|>C2k。这里,式(4)的概率小于C-12-k,通过这样的组(G,Ω)定义的运算是伪自由的作用。
可靠度δγ(δγ-reliable)的可随机化样本器:
是在每次提供自然数a时使用可靠度δ的f(τ)的黑盒子F(τ),对于w∈G返回与按照概率变量X的样本x’对应的wax’的可随机化样本器,将wax’=wa的概率大于δγ(γ为正常数)即满足
Pr[wax’=wa]>δγ…(6)
的可随机化样本器称为可靠度δγ的可随机化样本器。本方式的输入信息提供部5104和第二输出信息计算部5202和第二计算部5108的组是关于w=f(x)可靠度为δγ的可随机化样本器。
下面,使用这些定义,说明在本方式的计算装置51中得到解码结果f(x)的理由。
在本方式的步骤S5110中,判定是否为u’=v即ua=v。由于本方式的输入信息提供部5104和第二输出信息计算部5202和第二计算部5108的组是可靠度δγ的可随机化样本器(式(6)),如果将Tmax设为大于根据k、δ、γ决定的固定值的值,则产生渐进地以大的概率成立ua=v(在步骤S5110中成为“是”)的情况。例如,如果设为Tmax≧4/δγ,则根据Markov的不等式可知,成立ua=v(在步骤S5110中成为“是”)的概率大于1/2。
在本方式中,u=f(x)x1且v=f(x)a2,因此在成立ua=v时成立x1 a=x2。在成立x1 a=x2的情况下,存在是x1=x2=eg的情况和是x1≠eg的情况。在x1=x2=eg的情况下,成为u=f(x),因此在步骤S5114中输出的u成为准确的解码结果f(x)。另一方面,在x1≠eg的情况下,成为u≠f(x),因此在步骤S5114中输出的u不是准确的解码结果f(x)。
通过群G和自然数a所属的集合Ω的组(G,Ω)定义的运算为伪自由的作用、或者关于伪自由指标P(G,Ω),Tmax 2P(G,Ω)渐近小的情况下,在ua=v时x1≠eg的概率(式(4))渐近小。因此,在ua=v时x1=eg的概率渐近大。因此,通过组(G,Ω)定义的运算为伪自由的作用、或者Tmax 2P(G,Ω)渐近小的情况下,在ua=v时输出错误的解码结果f(x)的概率比ua=v时输出准确的解码结果f(x)的概率充分小。这时的计算装置51也可以称为殆自身改正器(参考式(2))。因此,如上所述,从计算装置51能够构成强自身改正器,能够以绝对的概率得到准确的解码结果f(x)。在(G,Ω)中定义的运算是伪自由的作用的情况下,也能够忽略在ua=v时输出错误的解码结果f(x)的概率。这时的计算装置51以绝对的概率输出准确的解码结果f(x)或者⊥。
另外,对任意的常数ρ决定k0,对该k0关于满足k0<k’的任意的k’的函数值η(k’)小于ρ的情况下,称为「η(k’)渐近小」。k'的例子是安全参数k。
对任意的常数ρ决定k0,对该k0关于满足k0<k’的任意的k’的函数值1-η(k’)小于ρ的情况下,称为「η(k’)渐近大」。
《关于可靠度δγ的可随机化样本器和安全性》
假定如下的攻击。
·黑盒子F(τ)或者该部分有意地输出不准确的z,或者从黑盒子F(τ)输出的值被改变为不准确的z。
·从可随机化样本器输出与不准确的z对应的wax'。
·与在自身改正器CF(x)中成立ua=v(在步骤S5110中“是”)无关地,与不准确的z对应的wax’使自身改正器CF(x)输出错误的值的概率增加。
在对于所提供的自然数a从可随机化样本器输出的wax’的误差的概率分布Da=wax’w-a依赖于自然数a的情况下,这样的攻击成为可能。例如,在进行了从第二计算部5108输出的v成为f(x)a1 a的不准确的情况下,与x1的值无关地,必然成立ua=v。因此,在可随机化样本器中,期望在对于所提供的自然数a从可随机化样本器输出的wax’的误差的概率分布Da=wax’w-a不依赖于该自然数a。
或者,期望是如下的可随机化样本器:对于集合Ω的任何元,存在无法与wax’的误差的概率分布Da=wax’w-a区分的在群G中取值的概率分布D(概率分布Da与概率分布D统计近似(statistically-close))。其中,概率分布D不依赖于自然数a。无法区分概率分布Da与概率分布D意味着,无法通过多项式时间算法来区分概率分布Da与概率分布D,例如对于可忽视的ζ(0≦ζ<1)满足
Σg∈G|Pr[g∈D]-Pr[g∈Da]|<ζ…(7)
,则无法通过多项式时间算法来区分概率分布Da与概率分布D。能够忽略的ζ的例子是,安全参数k的函数值ζ(k)。函数值ζ(k)的例子是,对于任意的多项式p(k)关于充分大的k,{ζ(k)p(k)}收敛于0的函数值。函数值ζ(k)的具体例是,ζ(k)=2-k或ζ(k)=2-√k等。这些点对于使用自然数a和b的第一实施方式至第四实施方式也相同。
【第六实施方式】
在本方式中,将本发明应用到格子密码的一种即GHV加密方式(参照参考文献1「C. Genrty, S. Halevi and V. Vaikuntanathan, “A Simple BGNTypeCryptosystem from LWE,”Advances in Cryptology - EUROCRYPT 2010, LNCS6110, pp.506-522, Springer-Verlag, 2010.」等)的解码处理。以下,以与上述的各实施方式的不同点为中心进行说明。
<结构>
如图1所例示,在第六实施方式的代理计算系统6中,第一实施方式的计算装置11被置换为计算装置61,能力提供装置12被置换为能力提供装置62。
如图12所例示,第六实施方式的计算装置61例如具有:矩阵存储部6101、矩阵选择部6102、输入信息提供部6104、第一计算部6105、矩阵积计算部6106、第一列表存储部6107、第二计算部6108、第二列表存储部6110、判定部6111、最终输出部6112和控制部1113。
如图14所例示,本方式的输入信息提供部6104例如具有第一随机矩阵选择部6104a、第二随机矩阵选择部6104b、第一加密部6104c、第二加密部6104d、第一输入信息计算部6104e、第三随机矩阵选择部6104f、第四随机矩阵选择部6104g、第三加密部6104h、第四加密部6104i、第二输入信息计算部6104j。
如图13所例示,第六实施方式的能力提供装置62例如具有第一输出信息计算部6201、第二输出信息计算部6202、密钥存储部6204和控制部1205。
<处理>
下面,说明本方式的处理。在本方式中,将GM设为ι×ι矩阵的集合,将HM设为ι×ι矩阵的集合,将M1M2设为在集合GM中取值的概率变量,将M1设为概率变量M1的实现值,将M2设为概率变量M2的实现值,将aM设为集合HM的元。在本方式中,将PK设为作为加密密钥(公开密钥)的ι×κ矩阵,将SK设为作为满足PK·SK=0的ι×ι矩阵的解码密钥(秘密密钥),将CM设为κ×ι矩阵,将NM设为ι×ι矩阵,将UM设为ι×ι单位矩阵,将PT设为作为集合GM的元的平文PT∈GM,将xM设为作为集合H的元的密码文xM∈HM,将ENC设为用于将作为集合GM的元的平文PT进行加密而得到密码文xM∈HM的加密函数,将fM(xM)设为用于将密码文xM∈HM通过特定的解码密钥SK进行解码而得到作为集合GM的元的平文PT的解码函数。解码函数fM(xM)是准同型函数。例如,将GM设为ι×ι矩阵(Z/2Z)ι×ι的集合,将HM设为ι×ι矩阵(Z/qZ)ι×ι的集合,将加密密钥PK设为ι×κ矩阵(Z/qZ)ι×κ,将解码密钥SK设为ι×ι矩阵(Z/qZ)ι×ι,将CM设为随机选择的κ×ι矩阵(Z/qZ)κ×ι,将NM设为按照高斯分布的ι×ι矩阵(Z/qZ)ι×ι,将UM设为ι×ι单位矩阵(Z/2Z)ι×ι,将加密函数ENCM(PT)设为PK·CM+2·NM+PT(mod q),将解码函数fM(xM)设为SK-1{SK·xM·SKT(mod q)}(SKT-1(mod 2)。其中,κ、ι、q是正整数,κ、ι、q是正整数,·T是·的转置矩阵,(Z/qZ)κ×ι是以将q作为法的剩余环Z/qZ作为元素的κ行ι列矩阵。在第六实施方式中,将矩阵α1、α2之间的积表示为α1·α2,将和表现为α1+α2。将对矩阵α的各元素进行了自然数β倍后的矩阵表示为β·α。
作为本方式的处理的前提,假设在计算装置61(图12)的矩阵存储部6101中存储有多个种类的矩阵aM∈HM。在能力提供装置62(图13)的密钥存储部6204中安全地存储有解码密钥SK。如图15所例示,首先,计算装置61(图12)的矩阵选择部6102同样随机地从在矩阵存储部6101中存储的多个矩阵中选择并读入1个矩阵aM。所读入的矩阵aM的信息被发送到输入信息提供部6104和矩阵积计算部6106(步骤S6100)。
控制部1113设为t=1(步骤S1102)。
输入信息提供部6104生成并输出与所输入的密码文xM分别对应的作为所对应的集合HM的元的第一输入信息Mτ1和第二输入信息Mτ2。优选为,第一输入信息Mτ1和第二输入信息Mτ2为分别将与密码文xM的关系搅乱的信息。由此,计算装置61能够对能力提供装置62隐蔽密码文xM。第二输入信息Mτ2进而对应于元aM。由此,计算装置61能够以高精度评价从能力提供装置62提供的解码能力(步骤S6103)。以下,使用图16来说明步骤S6103的具体例。
【步骤S6103的具体例】
输入信息提供部6104(图14)的第一随机矩阵选择部6104a同样随机地选择集合GM的元MR1(步骤S6103a)。所选择的MR1被发送到第一加密部6104c和第一计算部6105(步骤S6103a)。第二随机矩阵选择部6104b选择κ×ι的同样随机的矩阵CM11和CM12∈(Z/qZ)κ×ι。所选择的CM11和CM12被发送到第一输入信息计算部6104e(步骤S6103b)。第一加密部6104c使用公开密钥PK,生成作为MR1的密码文ENCM(MR1)的第一密码文CR1=PK·CM+2·NM+MR1(mod q)。第一密码文CR1被发送到第一输入信息计算部6104e(步骤S6103c)。第二加密部6104d使用公开密钥PK,生成作为单位矩阵UM的密码文NCM(UM)的第二密码文CUM=PK·CM+2·NM+UM(mod q)。第二密码文CUM被发送到第一输入信息计算部6104e(步骤S6103d)。对第一输入信息计算部6104e进而输入密码文xM。第一输入信息计算部6104e作为第一输入信息Mτ1,得到并输出(xM·CUM+CR1)+PK·CM11+2·NM+CM12 T·PKT。另外,在矩阵的积的顺序中没有特别的必然性。即,第一输入信息计算部6104e可以计算设为C=xM·CUM+CR1的Re(C)=CX+PK·CM11+2·NM+CM12 T·PKT而生成第一输入信息Mτ1,也可以计算设为CX=CUM·xM+CR1的Re(C)而生成第一输入信息Mτ1(步骤S6103e)。
第三随机矩阵选择部6104f同样随机地选择集合GM的元MR2。所选择的MR2被发送到第三加密部6104h和第二计算部6108(步骤S6103f)。第四随机矩阵选择部6104g选择κ×ι的随机的矩阵CM21和CM22∈(Z/qZ)κ×ι。所选择的CM21和CM22被发送到第二输入信息计算部6104j(步骤S6103g)。第三加密部6104h使用公开密钥PK,生成作为MR2的密码文ENCM(MR2)的第三密码文CR2=PK·CM+2·NM+MR2(mod q)。第三密码文CR2被发送到第二输入信息计算部6104j(步骤S6103h)。对第四加密部6104i输入矩阵aM。第四加密部6104i使用公开密钥PK,生成作为矩阵aM的密码文ENCM(aM)的第四密码文Ca=PK·CM+2·NM+aM(mod q)。第四密码文Ca被发送到第二输入信息计算部6104j(步骤S6103i)。对第二输入信息计算部6104j进而输入密码文xM。第二输入信息计算部6104j作为第二输入信息Mτ2,得到并输出(xM·Ca+CR2)+PK·CM21+2·NM+CM22 T·PKT。第二输入信息计算部6104j可以计算设为CX=xM·Ca+CR2的Re(CX)而生成第二输入信息Mτ2,也可以计算设为CX=xM·C+CR2的Re(CX)而生成第二输入信息Mτ2((步骤S6103j)/[步骤S6103的具体例]的说明结束)。
如图17所例示,第一输入信息Mτ1输入到能力提供装置62(图13)的第一输出信息计算部6201,第二输入信息Mτ2输入到第二输出信息计算部6202(步骤S6200)。
第一输出信息计算部6201使用第一输入信息Mτ1和在密钥存储部6204中存储的解码密钥SK,以大于某一概率的概率准确计算fMMτ1)=SK-1{SK·Mτ1·SKT(mod q)}(SKT-1(mod 2),将得到的计算结果设为第一输出信息M1(步骤S6201)。第二输出信息计算部6202使用第二输入信息Mτ2和在密钥存储部6204中存储的解码密钥SK,以大于某一概率的概率准确计算fMMτ2)=SK-1{SK·Mτ2·SKT(mod q)}(SKT-1(mod 2),将得到的计算结果设为第二输出信息M2(步骤S6202)。即,第一输出信息计算部6201和第二输出信息计算部6202输出包含有意的或无意的误差的计算结果。换言之,第一输出信息计算部6201的计算结果既有是fMMτ1)的情况也有不是fMMτ1)的情况,第二输出信息计算部6202的计算结果既有是fMMτ2)的情况也有不是fMMτ2)的情况。
第一输出信息计算部6201输出第一输出信息Mz1,第二输出信息计算部6202输出第二输出信息Mz2(步骤S6203)。
返回到图15,第一输出信息Mz1输入到计算装置61(图12)的第一计算部6105,第二输出信息Mz2输入到第二计算部6108。这些第一输出信息M1和第二输出信息M2相当于从能力提供装置62对计算装置61提供的解码能力(步骤S6104)。
第一计算部5105使用第一输出信息M1计算M1-MR1,并将该计算结果设为uM。计算结果uM发送到矩阵积计算部6106。这里,成为uMM1-MR1=fM(xM)+M1。即,uM成为关于fM(xM)具有误差M1的样本器。在后面叙述其理由(步骤S6105)。
矩阵积计算部6106得到uM’=uM·aM。其中,矩阵积计算部6106可以通过uM·aM的计算得到uM’,也可以通过aM·uM的计算得到uM’。计算结果uM和基于该计算结果计算出的uM’的组(uM,uM’)被存储到第一列表存储部6107(步骤S6106)。
第二计算部6108使用第二输出信息M2计算M2-MR2,并将该计算结果设为vM。计算结果vM被存储到第二列表存储部6110。这里,成为vMM2-MR2=fM(xM)·aMM2。即,vM成为关于fM(xM)具有误差M2的可随机化样本器的输出。在后面叙述其理由(步骤S6108)。
判定部6111在存储于第一列表存储部6107的组(uM,uM’)和存储于第二列表存储部6110的组vM中,判定是否有成为uM’=vM的组(步骤S6110)。在有成为uM’=vM的组的情况下,进至步骤S6114。在没有成为uM’=vM的组的情况下,进至步骤S1111。
在步骤S1111中,控制部1113判定是否为t=Tmax(步骤S1111)。Tmax是预先决定的自然数。如果是t=Tmax,则控制部1113输出无法进行计算的意旨的信息例如为符号“⊥”(步骤S1113),并结束处理。如果不是t=Tmax,则控制部1113将t增加1,即设为t=t+1(步骤S1112),返回到步骤S6103。
在步骤S6114中,最终输出部6112输出与判定为uM’=vM的uM’对应的uM(步骤S6114)。如此得到的uM以高的概率成为将密码文xM通过解码密钥SK解码后的解码结果f(xM)(在后面叙述其理由)。因此,将上述的处理重复多次,将在步骤S6114中得到的值中频度最高的值设为解码结果即可。根据设定以绝对的概率成为uM=fM(xM)。在该情况下,可以将在步骤S6114中得到的值直接设为解码结果。
M1-MR1M2-MR2成为关于fM(xM)分别具有误差M1M2的样本器、可随机化样本器的输出的理由》
根据fM(xM)的准同型性,满足fM(xM·C+CR2)=fM(xM)·fM(C)+fM(CR2)=fM(x)·aM+MR2,且满足fM(x)·aM=fM(xM·C+CR2)-MR2=fMMτ2)-MR2,满足MR2=fMMτ2)-fM(xM)·aM。因此,如果设为M2=FMMτ2),则满足M2-MR2=FMMτ2)-fMMτ2)+fM(xM)·aM=fM(xM)·aM+{FMMτ2)-fMMτ2)}。根据与Mτ2对应的CM21、CM22、MR2的同样随机性,M2-MR2统计近似于fM(xM)·aMM2。其中,M2是概率变量M2=FM(ENCMM2))-M2M2在GM上同样随机地分布)的实现值。因此,M2-MR2成为关于fM(xM)分别具有误差M2的可随机化样本器的输出。
同样地,满足fM(xM·CUM+CR1)=fM(xM)·fM(CUM)+fM(CR1)=fM(xM)·UM+MR1,满足fM(xM)=fM(xM·CUM+CR1)-MR1=fMMτ1)-MR1,且满足MR1=fMMτ1)-fM(xM)。因此,如果设为M1=FMMτ1),则满足M1-MR1=FMMτ1)-fMMτ1)+fM(xM)=fM(xM)+{FMMτ1)-fMMτ1)}。根据与Mτ1对应的CM11、CM12、MR1的同样随机性,M1-MR1统计近似于fM(xM)+M1。其中,M1是概率变量M1=FM(ENCMM1))-M1M1在GM上同样随机地分布)的实现值。因此,输出M1-MR1的上述的结构成为关于fM(xM)分别具有误差M1的样本器。
《关于能够得到解码结果fM(xM)的理由》
根据与在第五实施方式的《关于能够得到解码结果f(x)的理由》中说明的理由相同的理由,在本方式中,也能够得到准确的解码结果fM(xM)。但是,由于在本方式中对矩阵进行处理的关系,第五实施方式的《关于能够得到解码结果f(x)的理由》的G、H被置换为GM、HM,f(x)被置换为fM(xM),τ被置换为Mτ,F(τ)被置换为FMMτ),z被置换为Mz,x被置换为xM,X1、X2被置换为M1M2,x1、x2被置换为M1M2,e被置换为ι×ι的单位矩阵Mg,乘法的表现被置换为加法的表现(例如,αβγ被置换为α·β+γ)。进而,在本方式中,如下定义“伪自由(pseudo-free)的作用”。
伪自由(pseudo-free)的作用:
关于GM、矩阵的集合ΩM={0M,...,MM}、GM上的概率变量M1M2的各实现值αMM1(αMM),βMM2、和aM∈ΩM,对于成为αM·aM=βM的概率
Pr[αM·aM且αMM|aMUΩM,αMM1,βMM2
,将关于所有可能的M1M2的上限值称为组(GM,ΩM)的伪自由指标,将其表示为P(GM,ΩM)。在存在某一能够忽略的函数ζ(k),且
P(GM,ΩM)<ζ(k)
的情况下,通过组(GM,ΩM)定义的运算是伪自由的作用。
【第一实施方式至第六实施方式的变形例】
如上所述,在上述的各实施方式中,能力提供装置无需提供解码密钥,对计算装置提供第一输出信息z1和第二输出信息z2,计算装置输出ub’va’。ub’va’以高的概率成为密码文x的解码值。如此,能力提供装置能够对计算装置提供解码能力,而无需提供解码密钥。
另外,本发明不限定于上述的实施方式。例如,概率变量X1、X2和X3可以相同也可以不同。同样,概率变量M1M2可以相同也可以不同。
通过第一随机数生成部、第二随机数生成部、第三随机数生成部、第四随机数生成部、第五随机数生成部、第六随机数生成部和第七随机数生成部分别生成同样随机数,从而代理计算系统的安全性变得最高。但是,在所要求的安全性的等级没有那么高的情况下,第一随机数生成部、第二随机数生成部、第三随机数生成部、第四随机数生成部、第五随机数生成部、第六随机数生成部和第七随机数生成部的至少一个部也可以生成不是同样随机数的随机数。同样地,也可以在第六实施方式中,代替同样随机地选择矩阵,选择不是同样的随机的矩阵。从运算效率的观点出发,期望如上述的各实施方式那样选择作为0以上且小于KH的自然数的随机数或作为0以上且小于KG的自然数的随机数,但也可以取而代之选择KH以上或KG以上的自然数的随机数。
在计算装置对能力提供装置每次提供与相同的a、b对应的作为群H的元的第一输入信息τ1和第二输入信息τ2时,能力提供装置的处理也可以执行多次。由此,在计算装置对能力提供装置每提供一次第一输入信息τ1和第二输入信息τ2时,计算装置能够得到多个第一输出信息z1和第二输出信息z2和第三输出信息z3。由此,能够减少计算装置与能力提供装置之间的交换次数和通信量。对于第六实施方式的第一输入信息Mτ1和第二输入信息Mτ2也是相同的。
也可以是,计算装置对能力提供装置汇总提供多种第一输入信息τ1和第二输入信息τ2,汇总得到多个所对应的第一输出信息z1和第二输出信息z2和第三输出信息z3。由此,能够减少计算装置与能力提供装置之间的交换次数。对于第六实施方式的第一输入信息Mτ1和第二输入信息Mτ2也是相同的。
也可以是,确认在第一实施方式至第五实施方式的第一计算部和第二计算部中得到的u和v是否为群G的元,在是群G的元的情况下,继续执行上述的处理,在u或v不是群G的元的情况下,输出无法进行计算的意旨的信息例如为符号“⊥”。同样地,也可以是,确认在第六实施方式的第一计算部和第二计算部中得到的uM和vM是否为群GM的元,在是群GM的元的情况下,继续执行上述的处理,在uM或vM不是群GM的元的情况下,输出无法进行计算的意旨的信息例如为符号“⊥”。
计算装置的各部之间的数据的交换可以直接进行,也可以经由未图示的存储部进行。同样地,能力提供装置的各部之间的数据的交换可以直接进行,也可以经由未图示的存储部进行。
此外,例如,上述的各种处理不仅可以按照记载以时间序列执行,也可以根据执行处理的装置的处理能力或者根据需要并行地或单独地执行。此外,在不脱离本发明的宗旨的范围内能够进行适当变更是不言而喻的。
【第七实施方式】
说明本发明的第七实施方式。
<结构>
如图18所例示,第七实施方式的代理计算系统101例如具有:没有保持解码密钥的计算装置111、分别保持解码密钥s1,···,sΓ的能力提供装置112-1,···,112-Γ(Γ是2以上的整数)、控制计算装置111的解码能力的解码控制装置113。解码控制装置113控制从能力提供装置112-1,···,112-Γ提供给计算装置111的解码能力,计算装置111使用从能力提供装置112-1,···,112-Γ提供的解码能力对密码文进行解码。计算装置111和能力提供装置112-1,···,112-Γ和解码控制装置113构成为能够进行信息的交换。例如,计算装置111和能力提供装置112-1,···,112-Γ和解码控制装置113能够进行经由了传输线或网络或可移动型记录介质等的信息的交换。
如图19所例示,第七实施方式的计算装置111例如具有:自然数存储部11101、自然数选择部11102、整数计算部11103、输入信息提供部11104、第一计算部11105、第一幂乘计算部11106、第一列表存储部11107、第二计算部11108、第二幂乘计算部11109、第二列表存储部11110、判定部11111、最终输出部11112、复元部11100和控制部11113。计算装置111的例子是,卡读写装置、移动电话等的具备计算功能和存储功能的设备、读入了特别的程序的具备CPU(中央处理单元)和RAM(随机存取存储器)的公知或专用的计算机等。
如图20所例示,第七实施方式的能力提供装置112-ι(ι=1,···,ω、ω是2以上Γ以下的整数)例如具有第一输出信息计算部11201-ι、第二输出信息计算部11202-ι、密钥存储部11204-ι和控制部11205-ι。能力提供装置112-ι的例子是,IC卡或IC芯片等耐篡改性模块、移动电话等的具备计算功能和存储功能的设备、读入了特别的程序的具备CPU和RAM的公知或专用的计算机等。如后所述,从能力提供装置112-1,···,112-Γ选择能力提供装置112-1,···,112-ω。在存在能力提供装置112-(ι+1),···,112-Γ的情况下,这些结构与能力提供装置112-ι相同。
如图21所例示,第七实施方式的解码控制装置113例如具有密码文存储部11301、控制命令部11302、输出部11303、控制部11304、密钥存储部11305、加密部11306。解码控制装置113的例子是,移动电话等的具备计算功能和存储功能的设备、读入了特别的程序的具备CPU和RAM的公知或专用的计算机等。
<处理>
下面,说明本方式的处理。作为处理的前提,将Gι、Hι设为群(例如为可交换群),将ω设为2以上的整数,设为ι=1,···,ω,将fι(λι)设为用于通过特定的解码密钥sι对作为群Hι的元的密码文λι进行解码而得到群Gι的元的解码函数,将群Gι、Hι的生成元分别设为μι,g、μι,h,将Xι,1、Xι,2设为在群Gι中取值的概率变量,将概率变量Xι,1的实现值设为xι,1,将概率变量Xι,2的实现值设为xι,2。其中,本方式的ω是常数。计算装置111的自然数存储部11101中存储有多个种类的互质的2个自然数a(ι)、b(ι)的组(a(ι)、b(ι))。“自然数”意味着0以上的整数。如果将Iι设为在群Gι的位数未满的2个自然数的组中互质的组的集合,则能够认为在自然数存储部11101中存储有与Iι的部分集合Sι对应的自然数a(ι)、b(ι)的组(a(ι),b(ι))。在能力提供装置112-ι的密钥存储部12104中分别安全地存储有特定的解码密钥sι。在解码控制装置113的密钥存储部11305中存储有分别与解码密钥s1,···,sΓ对应的密码密钥pk1,···,pkΓ。解码密钥sι和密码密钥pkι的一例是公开密钥密码方式的秘密密钥和公开密钥。另外,在控制部11113的控制下执行计算装置111的各处理,在控制部11205-ι的控制下执行能力提供装置112-ι的各处理,在控制部11304的控制下执行解码控制装置113的各处理。
<加密处理>
如图24所例示,首先,对解码控制装置113(图21)的加密部11306输入消息mes。加密部11306从密码密钥pk1,···,pkΓ中随机地选择ω个密码密钥pk1,···,pkω(步骤S11301)。加密部11306根据消息mes生成ω个分散信息sha1,···,shaω(步骤S11302)。以下,例示分散信息sha1,···,shaω的生成方法。
《分散信息的例1》
以ω个分散信息sha1,···,shaω的比特结合值sha1|···|shaω成为消息mes的方式,生成分散信息sha1,···,shaω
《分散信息的例2》
以ω个分散信息sha1,···,shaω的逻辑异或值成为消息mes的方式,生成分散信息sha1,···,shaω
《分散信息的例3》
通过如Shamir的秘密分散的秘密分散方式对消息mes进行秘密分散,从而生成分散信息sha1,···,shaω(分散信息的生成方法的例示结束)。
接着,加密部11306关于各ι=1,···,ω,使用密码密钥pkι对分散信息shaι进行加密而生成密码文λι。所生成的密码文λ1,···,λω被存储到密码文存储部11301(步骤S11303)。
之后,在密码文存储部11301中存储的密码文λ1,···,λω从输出部11301输出,并输入到计算装置111(图19)(步骤S11304)。密码文λ1,···,λω可以同时发送,也可以不同时发送。
<解码处理>
使用图25来说明本方式的密码文λι的解码处理。对各ι=1,···,ω,分别执行以下说明的处理。
首先,计算装置111(图19)的自然数选择部11102随机地从在自然数存储部11101中存储的多个自然数的组(a(ι)、b(ι))读入1个自然数的组(a(ι)、b(ι))。所读入的自然数的组(a(ι)、b(ι))的至少一部分信息被发送到整数计算部11103、输入信息提供部11104、第一幂乘计算部11106和第二幂乘计算部11109(步骤S11100)。
整数计算部11103使用所发送的自然数的组(a(ι)、b(ι)),计算满足a’(ι)a(ι)+b’(ι)b(ι)=1的关系的整数a’(ι)、b’(ι)。自然数a(ι)、b(ι)互质,因此必然存在满足a’(ι)a(ι)+b’(ι)b(ι)=1的关系的整数a’(ι)、b’(ι),其计算方法也已知。例如,通过扩展互除法等已知的算法计算整数a’、b’,自然数的组(a’(ι),b’(ι))的信息被发送到最终输出部11112(步骤S11101)。
控制部11113设为tι=1(步骤S11102)。
计算装置111的输入信息提供部11104生成并输出与所输入的密码文λι分别对应的作为群Hι的元的第一输入信息τι,1和第二输入信息τι,2。优选为,第一输入信息τι,1和第二输入信息τι,2为分别将与密码文λι的关系搅乱的信息。由此,计算装置111能够对能力提供装置112-ι隐蔽密码文λι。优选为,本方式的第一输入信息τι,1进而对应于在自然数选择部11102中选择的自然数b(ι),第二输入信息τι,2进而对应于在自然数选择部11102中选择的自然数a(ι)。由此,计算装置111能够以高精度评价从能力提供装置112-ι提供的解码能力(步骤S11103)。
如图26所例示,第一输入信息τι,1输入到能力提供装置112-ι(图20)的第一输出信息计算部11201-ι,第二输入信息τι,2输入到第二输出信息计算部11202-ι(步骤S11200)。
第一输出信息计算部11201使用第一输入信息τι,1和在密钥存储部11204中存储的解码密钥sι,以大于某一概率的概率准确地计算fι(τι,1),将得到的计算结果设为第一输出信息zι,1(步骤S11201)。第二输出信息计算部11202-ι使用第二输入信息τι,2和在密钥存储部11204-ι中存储的解码密钥sι,以大于某一概率的概率准确地计算fι(τι,2),将得到的运算结果设为第二输出信息zι,2(步骤S11202)。另外,“某一概率”是小于100%的概率。“某一概率”的例子是无法忽略的概率,“无法忽略的概率”的例子是,将作为安全参数k的广义单调增加函数的多项式设为多项式ψ(k)时的1/ψ(k)以上的概率。即,第一输出信息计算部11201-ι和第二输出信息计算部11202-ι可能输出包含有意的或无意的误差的计算结果。换言之,第一输出信息计算部11201-ι的计算结果既有是fι(τι,1)的情况也有不是fι(τι,1)的情况,第二输出信息计算部11202-ι的计算结果既有是fι(τι,2)的情况也有不是fι(τι,2)的情况。第一输出信息计算部11201-ι输出第一输出信息zι,1,第二输出信息计算部11202-ι输出第二输出信息zι,2(步骤S11203)。
返回到图25,第一输出信息zι,1输入到计算装置111(图19)的第一计算部11105,第二输出信息zι,2输入到第二计算部11108。这些第一输出信息zι,1和第二输出信息zι,2相当于从能力提供装置112-ι对计算装置111提供的解码能力(步骤S11104)。
第一计算部11105根据第一输出信息zι,1生成计算结果uι=fι(λιb(ι)ι,1。这里,生成(计算)fι(λιb(ι)ι,1的处理是,计算定义为fι(λιb(ι)ι,1的式的值的处理。如果最终能够计算式fι(λιb(ι)ι,1的值,则与中间的计算方法无关。这对于在本申请中出现的其他式的计算也是相同的。运算结果uι发送到第一幂乘计算部11106(步骤S11105)。
第一幂乘计算部11106计算uι’=uι a(ι)。计算结果uι和基于该计算结果计算出的uι’的组(uι,uι’)被存储到第一列表存储部11107(步骤S11106)。
判定部11111在存储于第一列表存储部11107的组(uι,uι’)和存储于第二列表存储部11110的组(vι,vι’)中,判定是否有成为uι’=vι’的组(步骤S11107)。如果在第二列表存储部11110中没有存储(vι,vι’)的情况下,不进行该步骤S11107的处理,进行下一个步骤S11108的处理。在有成为uι’=vι’的组的情况下,进至步骤S11114。在没有成为uι’=vι’的组的情况下,进至步骤S11108。
在步骤S11108中,第二计算部11108根据第二输出信息zι,2生成计算结果vι=fι(λιa(ι)ι,2。运算结果vι发送到第二幂乘计算部11109(步骤S11108)。
第二幂乘计算部11109计算vι’=vι b(ι)。计算结果vι和基于该计算结果计算出的vι’的组(vι,vι’)被存储到第二列表存储部11110(步骤S11109)。
判定部11111在存储于第一列表存储部11107的组(uι,uι’)和存储于第二列表存储部11110的组(vι,vι’)中,判定是否有成为uι’=vι’的组(步骤S11110)。在有成为uι’=vι’的组的情况下,进至步骤S11114。在没有成为uι’=vι’的组的情况下,进至步骤S11111。
在步骤S11111中,控制部11113判定是否为tι=Tι(步骤S11111)。Tι是预先决定的自然数。如果是tι=Tι,则最终输出部11112输出无法进行计算的意旨的信息例如为符号“⊥”(步骤S11113),并结束处理。如果不是tι=Tι,则控制部11113将tι增加1,即设为tι=tι+1(将tι+1设为新的tι)(步骤S11112),返回到步骤S11103。
无法进行计算的意旨的信息(在该例子中为符号“⊥”)意味着能力提供装置112-ι准确地进行计算的可靠度小于由Tι决定的基准。换言之,意味着在Tι次的重复中无法进行准确的运算。
在步骤S11114中,最终输出部11112使用与判定为uι’=vι’的uι’和vι’对应的uι和vι,计算uι b(ι)ι a(ι)并进行输出(步骤S11114)。如此计算出的uι b(ι)ι a(ι)以高的概率成为通过特定的解码密钥sι对密码文λι进行了解码后的解码结果fι(λι)(在后面叙述以高的概率成为uι b(ι)ι a(ι)=fι(λι)的理由)。因此,将上述的处理重复多次,将在步骤S11114中得到的值中频度最高的值设为解码结果fι(λι)即可。如后所述,根据设定以绝对的概率成为uι b(ι)ι a(ι)=fι(λι)。在该情况下,可以将在步骤S11114中得到的值直接设为解码结果fι(λι)。
通过对各ι=1,···,ω分别执行以上的处理从而得到的各解码结果fι(λι)被输入到复元部11100。复元部11100使用关于各ι=1,···,ω的fι(λι)=uι b(ι)ι a(ι),进行仅在全部得到通过解码密钥sι对关于各ι=1,···,ω的密码文λι进行解码而得到的解码值的情况下可复元的复元值的复元处理。例如,如果通过上述的《分散信息的例1》生成了分散信息,则复元部11100作为复元值mes’生成比特结合值f1(λ1)|···|fω(λω)。例如,如果通过上述的《分散信息的例2》生成了分散信息,则复元部11100作为复元值mes’生成各解码结果f1(λ1),···,fω(λω)的逻辑异或值。例如,如果通过上述的《分散信息的例3》生成了分散信息,则复元部11100使用与秘密分散方式对应的复元方法,根据各解码结果f1(λ1),···,fω(λω)生成复元值mes’。
在解码结果f1(λ1),···,fω(λω)全部准确的情况下,在复元部11100中得到的复元值mes’与消息mes相等。另一方面,在解码结果f1(λ1),···,fω(λω)全部错误的情况下,在复元部11100中得到的复元值mes’与消息mes相等的概率小到能够忽略。
《以高的概率成为uι b(ι)ι a(ι)=fι(λι)的理由》
在这里,为了表述的简略,省略ι而进行说明。
将X设为在群G中取值的概率变量。将关于w∈G在每次接受请求时返回与按照概率变量X的样本x’对应的wx’的装置,称为关于w具有误差X的样本器(sampler)。
将关于w∈G在每次提供自然数a时返回与按照概率变量X的样本x’对应的wax’的装置,称为关于w具有误差X的可随机化样本器(randomizablesampler)。可随机化样本器如果设为a=1而使用,则作为样本器发挥作用。
本实施方式的输入信息提供部11104和第一输出信息计算部11201和第一计算部11105的组合是关于f(λ)具有误差X1的可随机化样本器(称为“第一可随机化样本器”),输入信息提供部11104和第二输出信息计算部11202和第二计算部11108的组合是关于f(λ)具有误差X2的可随机化样本器(称为“第二可随机化样本器”)。
发明人发现了如下情况:如果成立u’=v’即成立ua=vb,则第一可随机化样本器准确地计算了u=f(λ)b并且第二可随机化样本器准确地计算了v=f(λ)a(x1和x2是群G的单位元eg)的可能性高。从简化说明的观点出发,通过第十一实施方式进行该证明。
在第一可随机化样本器准确地计算了u=f(λ)b并且第二可随机化样本器准确地计算了v=f(λ)a时(x1和x2为群G的单位元eg时),成为ub’va’=(f(λ)b1b’(f(λ)a2a’=(f(λ)bgb’(f(λ)aga’=f(λ)bb’eg b’f(λ)aa’eg a’=f(λ)(bb+aa)=f(λ)。
关于(q1,q2)∈I,将对于i=1、2的各个的函数πi定义为πi(q1,q2)=qi。进而,设为L=min(#π1(S),#π2(S))。#·是集合·的位数。在群G为巡回群或者难以计算位数的群时,计算装置111输出“⊥”以外时的输出不是f(λ)的概率能够期待为在能够忽略的程度的误差的范围内至多T2L/#S左右。如果L/#S为能够忽略的量且T为多项式量级程度的量,则计算装置111以绝对的概率输出准确的fι(λ)。L/#S成为能够忽略的量的S的例子中,例如具有S={(1,d)|d∈[2,|G|-1]}。
<解码控制处理>
下面,说明本方式的解码控制处理。
在解码控制装置113控制计算装置111的解码处理的情况下,解码控制装置113对所有的能力提供装置112-ι输出用于控制计算装置111的解码处理的解码控制命令。输入了解码控制命令的能力提供装置112-ι按照所输入的解码控制命令,控制第一输出信息zι,1和第二输出信息zι,2的两方的输出的有无。如果没有提供第一输出信息zι,1和第二输出信息zι,2,则计算装置111无法对密码文λι进行解码。因此,通过控制第一输出信息zι,1和第二输出信息zι,2的两方的输出的有无,从而能够控制计算装置111的解码能力。以下,例示解码处理的控制方法。
《解码处理的控制方法的例1》
在解码处理的控制方法的例1中,解码控制命令包括用于限制计算装置111的解码能力的解码限制命令com1-ι。在解码限制命令com1-ι被输入到能力提供装置112-ι的控制部11205-ι的情况下,控制部11205-ι禁止第一输出信息zι,1和第二输出信息zι,2的两方的输出。
在限制计算装置111的解码能力的情况下,解码控制装置113(图21)的控制命令部11302关于所有的ι输出解码限制命令com1-ι。解码限制命令com1-ι从输出部11303输出到能力提供装置112-ι。
能力提供装置112-ι(图20)的控制部11205-ι判断是否输入了解码限制命令com1-ι,在解码限制命令com1-ι没有输入到控制部11205-ι的情况下,不进行解码控制处理。另一方面,在解码限制命令com1-ι被输入到控制部11205-ι的情况下,控制部11205-ι进行禁止第一输出信息zι,1和第二输出信息zι,2的两方的输出的控制(解码限制模式)。
在解码限制模式中,控制部11205-ι禁止第一输出信息计算部11201-ι的第一输出信息zι,1的输出和第二输出信息计算部11201-ι的第二输出信息zι,2的输出的两方。用于禁止第一输出信息zι,1和/或第二输出信息zι,2的输出的控制的一例是,虽然不禁止第一输出信息zι,1和/或第二输出信息zι,2的生成但禁止这些的输出的控制。用于禁止第一输出信息zι,1和/或第二输出信息zι,2的输出的控制的其他的例子是,代替第一输出信息zι,1和/或第二输出信息zι,2而输出模型(dummy)信息的控制。其中,模型信息的例子是,随机数即不依赖于其他的密码文λι的信息。用于禁止第一输出信息zι,1和/或第二输出信息zι,2的输出的控制的其他的例子是,禁止第一输出信息zι,1和/或第二输出信息zι,2的生成本身的控制。在进行禁止第一输出信息zι,1和/或第二输出信息zι,2的生成本身的控制的情况下,可以对第一输出信息zι,1和/或第二输出信息zι,2的生成所需的信息进行无效或者删除,也可以不进行。例如,可以对在密钥存储部11204-ι中存储的解码密钥sι进行无效或删除,也可以不进行。
在禁止第一输出信息zι,1和第二输出信息zι,2的两方的输出的情况下,能力提供装置112-ι在步骤S11203中不输出第一输出信息zι,1和第二输出信息zι,2的两方。因此,计算装置111无法在步骤S11104中取得第一输出信息zι,1和第二输出信息zι,2的两方,无法计算运算结果uι和vι,因此无法得到准确的解码结果fι(λ)。在关于所有的ι没有得到准确的解码结果fι(λ)的情况下,在复元部11100中得到的复元值mes’与消息mes相等的概率小到能够忽略。由此,能够限制计算装置111的解码能力。
《解码处理的控制方法的例2》
在解码处理的控制方法的例2中,解码控制命令包括用于开放计算装置111的解码能力的限制的解码开放命令com2-ι,在解码开放命令com2-ι输入到能力提供装置112-ι的控制部11205-ι的情况下,控制部11205-ι许可第一输出信息zι,1和第二输出信息zι,2的至少一方的输出。例如,在通过解码处理的控制方法的例1禁止了第一输出信息zι,1和第二输出信息zι,2的两方的输出之后,再次许可第一输出信息zι,1和第二输出信息zι,2的输出的情况下,进行解码处理的控制方法的例2。这时,在无效或删除了第一输出信息zι,1和/或第二输出信息zι,2的生成所需的信息的情况下,也可以在解码开放命令com2-ι中包含该信息,将该信息重新设定到能力提供装置112-ι。此外,例如也可以在在初始状态下禁止了第一输出信息zι,1和第二输出信息zι,2的两方的情况下,许可第一输出信息zι,1和第二输出信息zι,2的输出时,进行解码处理的控制方法的例2。
在开放计算装置111的解码能力的限制的情况下,解码控制装置113(图21)的控制命令部11302关于所有的ι输出解码开放命令com2-ι。解码限制命令com2-ι从输出部11303输出到能力提供装置112-ι。
能力提供装置112-ι(图20)的控制部11205-ι判断是否输入了解码开放命令com2-ι,在解码开放命令com2-ι没有输入到控制部11205-ι的情况下,不进行解码控制处理。另一方面,在解码开放命令com2-ι被输入到控制部11205-ι的情况下,控制部11205-ι进行许可第一输出信息zι,1和第二输出信息zι,2的两方的输出的控制(解码许可模式)。
在许可第一输出信息zι,1和第二输出信息zι,2的两方的输出的情况下,能力提供装置112-ι在步骤S11203中输出第一输出信息zι,1或第二输出信息zι,2的两方。因此,计算装置111能够在步骤S11104中取得第一输出信息zι,1或第二输出信息zι,2的两方,能够计算运算结果uι或vι,因此能够以高的概率得到解码结果。由此,能够开放计算装置111的解码能力的限制。
《解码处理的控制方法的例3》
在解码处理的控制方法的例1,2中,各解码控制命令对应于其中一个ι(对应于解码函数fι),能力提供装置112-ι的控制部11205-ι控制与解码控制命令对应的(对应于与解码控制命令对应的解码函数fι)第一输出信息zι,1和第二输出信息zι,2的全部的输出的有无。但是,也可以是,解码控制命令对应于多个ι,能力提供装置112-ι的控制部11205-ι控制与解码控制命令对应的第一输出信息zι,1和第二输出信息zι,2的输出的有无。
【第八实施方式】
第八实施方式的代理计算系统是将上述的第一可随机化样本器和第二可随机化样本器具体化的例子。以下,以与第七实施方式不同的部分为中心进行说明,对于解码控制处理等共同的部分省略重复说明。在以下的说明中,设为附加了相同的参考标号的部分具有相同的功能,附加了相同的参考标号的步骤表示相同的处理。
<结构>
如图18所例示,在第八实施方式的代理计算系统102中,计算装置111被置换为计算装置121,能力提供装置112-1,···,112-Γ被置换为能力提供装置122-1,···,122-Γ。
如图19所例示,第八实施方式的计算装置121例如具有:自然数存储部11101、自然数选择部11102、整数计算部11103、输入信息提供部12104、第一计算部12105、第一幂乘计算部11106、第一列表存储部11107、第二计算部12108、第二幂乘计算部11109、第二列表存储部11110、判定部11111、最终输出部11112和控制部11113。如图22所例示,本方式的输入信息提供部12104例如具有第一随机数生成部12104a、第一输入信息计算部12104b、第二随机数生成部12104c和第二输入信息计算部12104d。
如图20所例示,第八实施方式的能力提供装置122-ι(ι=1,···,ω、ω是2以上Γ以下的整数)例如具有第一输出信息计算部12201-ι、第二输出信息计算部12202-ι、密钥存储部11204-ι和控制部11205-ι。在存在能力提供装置122-(ι+1),···,122-Γ的情况下,这些结构与能力提供装置122-ι相同。
<解码处理>
下面,说明本方式的解码处理。在第八实施方式中,将解码函数fι设为准同型函数,将群H设为巡回群,将群H的生成元设为μι,h,将群H的位数设为Kι,H,并且设为νι=fι(μι,h)。解码函数fι为准同型函数的例子是RSA密码等。其他的前提,除了计算装置111被置换为计算装置121、能力提供装置112-1,···,112-Γ被置换为能力提供装置122-1,···,122-Γ以外,与第七实施方式相同。
如图25和图26所例示,在第八实施方式的处理中,第七实施方式的步骤S11103~S11105、S11108、S11200~S11203分别被置换为步骤S12103~S12105、S12108、S12200~S12203。在以下,仅说明步骤S12103~S12105,S12108,S12200~S12203的处理。
《步骤S12103的处理》
计算装置121(图19)的输入信息提供部12104生成并输出与所输入的密码文λι分别对应的第一输入信息τι,1和第二输入信息τι,2(图25/步骤S12103)。以下,使用图27来说明本方式的步骤S12103的处理。
第一随机数生成部12104a(图22)生成0以上且小于Kι,H的自然数的普通随机数r(ι,1)。所生成的随机数r(ι,1)被发送到第一输入信息计算部12104b和第一计算部12105(步骤S12103a)。第一输入信息计算部12104b使用所输入的随机数r(ι,1)和密码文λι和自然数b(ι),计算第一输入信息τι,1=μι,h r(ι,1)λι b(ι)(步骤S12103b)。
第二随机数生成部12104c生成0以上且小于KH的自然数的普通随机数r(ι,2)。所生成的随机数r(ι,2)被发送到第二输入信息计算部12104d和第二计算部12108(步骤S12103c)。第二输入信息计算部12104d使用所输入的随机数r(ι,2)和密码文λι和自然数a(ι),计算第二输入信息τι,2=μι,h r(ι,2)λι a(ι)(步骤S12103d)。
第一输入信息计算部12104b和第二输入信息计算部12104d输出如上所述生成的第一输入信息τι,1和第二输入信息τι,2(步骤S12103e)。另外,本方式的第一输入信息τι,1和第二输入信息τι,2为分别通过随机数r(ι,1),r(ι,2)将与密码文λι的关系搅乱的信息。由此,计算装置122-ι能够对能力提供装置122-ι隐蔽密码文λι。本方式的第一输入信息τι,1进而对应于在自然数选择部11102中选择的自然数b(ι),第二输入信息τι,2进而对应于在自然数选择部11102中选择的自然数a(ι)。由此,计算装置121能够以高精度评价从能力提供装置122-ι提供的解码能力。
《步骤S12200~S12203的处理》
如图26所例示,首先,第一输入信息τι,1=μι,h r(ι,1)λι b(ι)输入到能力提供装置122-ι(图20)的第一输出信息计算部12201-ι,第二输入信息τι,2=μι,h r(ι,2)λι a(ι)输入到第二输出信息计算部12202-ι(步骤S12200)。
第一输出信息计算部12201-ι使用第一输入信息τι,1=μι,h r(ι,1)λι b(ι)和在密钥存储部11204-ι中存储的解码密钥sι,以大于某一概率的概率准确计算fι(μι,h r(ι,1)λι b(ι)),将得到的计算结果设为第一输出信息zι,1。该计算结果既存在准确的情况也存在不准确的情况。即,第一输出信息计算部12201-ι中的计算结果既存在成为fι(μι,h r(ι,1)λι b(ι))的情况,也存在没有成为fι(μι,h r(ι,1)λι b(ι))的情况(步骤S12201)。
第二输出信息计算部12202-ι使用第二输入信息τι,2=μι,h r(ι,2)λι a(ι)和在密钥存储部11204-ι中存储的解码密钥sι,以大于某一概率的概率准确计算fι(μι,h r(ι,2)λι a(ι)),将得到的计算结果设为第二输出信息zι,2。该计算结果既存在准确的情况也存在不准确的情况。即,第二输出信息计算部12202-ι中的计算结果既存在成为fι(μι,h r(ι,2)λι a(ι))的情况,也存在没有成为fι(μι,h r(ι,2)λι a(ι))的情况(步骤S12202)。
第一输出信息计算部12201-ι输出第一输出信息zι,1,第二输出信息计算部12202-ι输出第二输出信息zι,2(步骤S12203)。
《步骤S12104和S12105的处理》
返回到图25,第一输出信息zι,1输入到计算装置121(图19)的第一计算部12105,第二输出信息zι,2输入到第二计算部12108。这些第一输出信息zι,1和第二输出信息zι,2相当于从能力提供装置122-ι对计算装置121提供的解码能力(步骤S12104)。
第一计算部12105使用所输入的随机数r(ι,1)和第一输出信息zι,1来计算zι,1νι -r(ι,1),并且将该计算结果设为uι。计算结果uι发送到第一幂乘计算部11106。这里,成为uι=zι,1νι -r(ι,1)=fι(λιb(ι)ι,1。即,zι,1νι -r(ι,1)成为关于fι(λι)具有误差Xι,1的可随机化样本器的输出。在后面叙述其理由(步骤S12105)。
《步骤S12108的处理》
第二计算部12108使用所输入的随机数r(ι,2)和第二输出信息zι,2,计算zι,2νι -r(ι,2)并将该计算结果设为vι。计算结果vι发送到第二幂乘计算部11109。这里,成为vι=zι,2νι -r(ι,2)=fι(λιa(ι)ι,2。即,zι,2νι -r(ι,2)成为关于fι(λι)具有误差Xι,2的可随机化样本器的输出。在后面叙述其理由(步骤S12108)。
《zι,1νι -r(ι,1)、zι,2νι -r(ι,2)成为关于fι(λι)分别具有误差Xι,1、Xι,2的可随机化样本器的输出的理由》
将c设为自然数,将R设为随机数,将能力提供装置122使用μh Rλc进行的计算的计算结果设为B(μh Rλc)。即,将第一输出信息计算部12201-ι和第二输出信息计算部12202-ι返回给计算装置121的计算结果设为z=B(μh Rλc)。进而,将在群G中取值的概率变量X定义为X=B(μh R’)f(μh R’)-1
这时,成为zν-R=B(μh Rλc)f(μh-R=Xf(μh Rλc)f(μh-R=Xf(μhRf(λ)cf(μh-R=f(λ)cX。即,zν-R成为关于f(λ)具有误差X的可随机化样本器的输出。
在上述式展开中,使用X=B(μh R’)f(μh R’)-1=B(μh Rλc)f(μh Rλc-1,B(μh Rλc)=Xf(μh Rλc)的性质。该性质基于函数fι为准同型函数,R为随机数。
因此,如果考虑a(ι)、b(ι)为自然数,r(ι,1)、r(ι,2)为随机数,则同样地,zι,1νι -r(ι,1)、zι,2νι -r(ι,2)成为关于fι(λι)分别具有误差Xι,1、Xι,2的可随机化样本器的输出。
【第九实施方式】
第九实施方式是第八实施方式的变形例,在a(ι)=1或b(ι)=1时,通过上述的样本器计算uι或vι的值。一般,样本器的计算量比可随机化样本器小。在a(ι)=1或b(ι)=1时,代替可随机化样本器而由样本器进行计算,从而能够减小代理计算系统的计算量。以下,以与第七实施方式和第八实施方式不同的部分为中心进行说明,对于解码控制处理等共同的部分省略重复说明。
<结构>
如图18所例示,在第九实施方式的代理计算系统103中,计算装置121被置换为计算装置131,能力提供装置122-1,···,122-Γ被置换为能力提供装置132-1,···,132-Γ。
如图19所例示,第九实施方式的计算装置131例如具有:自然数存储部11101、自然数选择部11102、整数计算部11103、输入信息提供部12104、第一计算部12105、第一幂乘计算部11106、第一列表存储部11107、第二计算部12108、第二幂乘计算部11109、第二列表存储部11110、判定部11111、最终输出部11112、控制部11113和第三计算部13109。
如图20所例示,第九实施方式的能力提供装置132-ι例如具有第一输出信息计算部12201-ι、第二输出信息计算部12202-ι、密钥存储部11204-ι、控制部11205-ι和第三输出信息计算部13203-ι。
<解码处理>
下面,说明本方式的解码处理。说明与第八实施方式的不同点。
如图25和图26所例示,在第九实施方式的处理中,第八实施方式的步骤S12103~S12105、S12108、S12200~S12203分别被置换为步骤S13103~S13105、S13108、S12200~S12203和S13205~S13209。在以下,以步骤S13103~S13105,S13108,S12200~S12203和S13205~S13209的处理为中心进行说明。
《步骤S13103的处理》
计算装置131(图19)的输入信息提供部13104生成并输出与所输入的密码文λι分别对应的第一输入信息τι,1和第二输入信息τι,2(图25/步骤S13103)。
以下,使用图27来说明本方式的步骤S13103的处理。
控制部11113(图19)根据在自然数选择部11102中选择的自然数(a(ι),b(ι))来控制输入信息提供部13104。
在控制部11113中判定b是否为1(步骤S13103a),在判定为b≠1的情况下,执行上述的步骤S12103a和S12103b的处理,进至步骤S13103g。
另一方面,在步骤S13103a中判定为b(ι)=1的情况下,第三随机数生成部13104e生成0以上且小于Kι,H的自然数的随机数r(ι,3)。所生成的随机数r(ι,3)被发送到第三输入信息计算部13104f和第三计算部13109(步骤S13103b)。第三输入信息计算部13104f使用所输入的随机数r(ι,3)和密码文λι来计算λι (ι,3),将其设为第一输入信息τι,1(步骤S13103c)。之后,进至步骤S13103g。
在步骤S13103g中,在控制部11113中判定a(ι)是否为1(步骤S13103g),在判定为a(ι)≠1的情况下,执行上述的步骤S12103c和S12103d的处理。
另一方面,在步骤S13103g中判定为a(ι)=1的情况下,第三随机数生成部13104e生成0以上且小于Kι,H的自然数的随机数r(ι,3)。所生成的随机数r(ι,3)被发送到第三输入信息计算部13104f(步骤S13103h)。第三输入信息计算部13104f使用所输入的随机数r(ι,3)和密码文λι来计算λι ,3),将其设为第二输入信息τι,2(步骤S13103i)。
第一输入信息计算部12104b、第二输入信息计算部12104d和第三输入信息计算部13104f将如上所述生成的第一输入信息τι,1和第二输入信息τι,2与所对应的自然数(a(ι)、b(ι))的信息一起输出(步骤S13103e)。另外,本方式的第一输入信息τι,1和第二输入信息τι,2为分别通过随机数r(ι,1)、r(ι,2)、r(ι,3)将与密码文λι的关系搅乱的信息。由此,计算装置131能够对能力提供装置132-ι隐蔽密码文λι
《S12200~S12203和S13205~S13209的处理》
以下,使用图26来说明本方式的S12200~S12203和S13205~S13209的处理。
控制部11205-ι(图20)根据所输入的自然数(a(ι),b(ι)),控制第一输出信息计算部12201-ι、第二输出信息计算部12202-ι、和第三输出信息计算部13203-ι。
基于控制部11205-ι的控制,b(ι)≠1时的第一输入信息τι,1=μι,h r(ι,1)λι b(ι)输入到能力提供装置132-ι(图20)的第一输出信息计算部12201-ι,a(ι)≠1时的第二输入信息τι,2=μι,h r(ι,2)λι a(ι)输入到第二输出信息计算部12202-ι。在b(ι)=1时的第一输入信息τι,1=λι r(ι,3)或a(ι)=1时的第二输入信息τι,2=λι r(ι,3)被输入到第三输出信息计算部13203-ι(步骤S13200)。
在控制部11113中判定b(ι)是否为1(步骤S13205),在判定为b(ι)≠1的情况下,执行上述的步骤S12201的处理。之后,在控制部11113中判定a是否为1(步骤S13208),在判定为a≠1的情况下,执行上述的步骤S12202的处理,进至步骤S13203。
另一方面,在步骤S13208中判定为a(ι)=1的情况下,第三输出信息计算部13203-ι使用第二输入信息τι,2=λι r(ι,3),以大于某一概率的概率准确地计算fι(λι r(ι,3)),将得到的计算结果设为第三输出信息zι,3。该计算结果既存在准确的情况也存在不准确的情况。即,第三输出信息计算部13203-ι中的计算结果既存在成为fι(λι r(ι,3))的情况,也存在没有成为fι(λι r(ι,3))的情况(步骤S13209)。之后,进至步骤S13203。
在步骤S13205中判定为b(ι)=1的情况下,第三输出信息计算部13203-ι使用第二输入信息τι,1=λι r(ι,3),以大于某一概率的概率准确地计算fι(λι r(ι,3)),将得到的计算结果设为第三输出信息zι,3。该计算结果既存在准确的情况也存在不准确的情况。即,第三输出信息计算部13203-ι中的计算结果既存在成为fι(λι r(ι,3))的情况,也存在没有成为fι(λι r(ι,3))的情况(步骤S13206)。
之后,在控制部11113中判定a(ι)是否为1(步骤S13207),在判定为a(ι)=1的情况下进至步骤S13203,在判定为a(ι)≠1的情况下进至步骤S12202。
在步骤S13203中,生成了第一输出信息zι,1的第一输出信息计算部12201-ι输出第一输出信息zι,1,生成了第二输出信息zι,2的第二输出信息计算部12202-ι输出第二输出信息zι,2,生成了第三输出信息zι,3的第三输出信息计算部12202-ι输出第三输出信息zι,3(步骤S13203)。
《步骤S13104和S13105的处理》
返回到图25,在控制部11113的控制下,第一输出信息zι,1输入到计算装置131(图19)的第一计算部12105,第二输出信息zι,2输入到第二计算部12108,第三输出信息zι,3输入到第三计算部13109(步骤S13104)。
如果b(ι)≠1,则第一计算部12105通过上述的步骤S12105的处理生成uι,如果b(ι)=1,则第三计算部13109计算zι,31 /r(ι,3)并将其计算结果设为uι。计算结果uι发送到第一幂乘计算部11106。这里,在b(ι)=1的情况下,成为uι=zι,31 /r(ι,3)=fι(λι)xι,3。即,zι,31 /r(ι,3)成为关于fι(λι)具有误差Xι,3的样本器。在后面叙述其理由(步骤S13105)。
《步骤S13108的处理》
如果a(ι)≠1,则第二计算部12108通过上述的步骤S12108的处理生成vι,如果a(ι)=1,则第三计算部13109计算zι,31 /r(ι,3)并将其计算结果设为vι。计算结果vι发送到第二幂乘计算部11109。这里,在a(ι)=1的情况下,成为vι=zι,31 /r(ι,3)=fι(λι)xι,3。即,zι,31 /r(ι,3)成为关于fι(λι)具有误差Xι,3的样本器。在后面叙述其理由(步骤S13108)。
另外,在zι,31 /r(ι,3)的计算即zι,3的幂乘根的计算困难的情况下,也可以如下计算uι和/或vι。第三计算部13109将随机数r(ι,3)和基于该随机数r(ι,3)计算出的zι,3的组依次设为(α1,β1),(α2,β2),…,(αm(ι),βm(ι)),…并存储到未图示的存储部。m(ι)是1以上的自然数。第三计算部13109也可以是,如果α1,α2,…,αm(ι)的最小公倍数为1,则将γ1,γ2,…,γm(ι)设为整数并计算成为γ1α1+γ2α2+…+γm(ι)αm(ι)=1的γ1,γ2,…,γm(ι),并使用该γ1,γ2,…,γm(ι)来计算Πi=1 m(ι)βi γi=β1 γ1β2 γ2…βm(ι) γm(ι),将该计算结果设为uι和/或vι。其中,在本申请中,将α设为第一字符,将β设为第二字符,将γ设为数字,在表述为αβγ的情况下,该βγ意味着βγ即β的下标γ。
《zι,31 /r(ι,3)成为关于fι(λι)具有误差Xι,3的样本器的理由》
将R和R’设为随机数,将能力提供装置132-ι使用λR进行的计算的计算结果设为B(λR)。即,将第一输出信息计算部12201-ι、第二输出信息计算部12202-ι和第三输出信息计算部13203-ι返回给计算装置131的计算结果设为z=B(λR)。进而,将在群G中取值的概率变量X定义为X=B(λR1/Rf(λ)-1
这时,成为z1/R=B(λR1/R=Xf(λ)=f(λ)X。即,z1/R成为关于f(λ)具有误差X的样本器。
在上述式展开中,使用X=B(λR1/Rf(λR-1、B(λR1/R=Xf(λR)的性质。该性质基于R和R’是随机数。
因此,如果考虑r(ι,3)为随机数,则同样地,zι,31 /r(ι,3)成为关于fι(λι)具备误差Xι,3的样本器。
【第十实施方式】
第十实施方式的代理计算系统是将上述的第一可随机化样本器和第二可随机化样本器具体化的其他例子。具体地,对如下的例子进行了具体化:Hι=Gι×Gι、解码函数fι为ElGamal密码的解码函数,即对于解码密钥sι和密码文λι=(cι,1,cι,2)为fι(cι,1,cι,2)=cι,1.cι,2 -sι时的第一可随机化样本器和第二可随机化样本器的例子。以下,以与第七实施方式不同的部分为中心进行说明,对于解码控制处理等共同的部分省略重复说明。
如图18所例示,在第十实施方式的代理计算系统104中,计算装置111被置换为计算装置141,能力提供装置112-1,···,112-Γ被置换为能力提供装置142-1,···,142-Γ。
如图19所例示,第十实施方式的计算装置141例如具有:自然数存储部11101、自然数选择部11102、整数计算部11103、输入信息提供部14104、第一计算部14105、第一幂乘计算部11106、第一列表存储部11107、第二计算部14108、第二幂乘计算部11109、第二列表存储部11110、判定部11111、最终输出部11112和控制部11113。如图23所例示,本方式的输入信息提供部14104例如具有第四随机数生成部14104a、第五随机数生成部14104b、第一输入信息计算部14104c、第六随机数生成部14104d、第七随机数生成部14104e和第二输入信息计算部14104f。第一输入信息计算部14104c例如具有第四输入信息计算部14104ca和第五输入信息计算部14104cb,第二输入信息计算部14104f具有第六输入信息计算部14104fa和第七输入信息计算部14104fb。
如图20所例示,第十实施方式的能力提供装置142-ι例如具有第一输出信息计算部14201-ι、第二输出信息计算部14202-ι、密钥存储部11204-ι和控制部11205-ι。在存在能力提供装置142-(ι+1),···,42-Γ的情况下,这些结构与能力提供装置142-ι相同。
<解码处理>
下面,说明本方式的解码处理。在第十实施方式中,群Hι为群Gι的直积群Gι×Gι,群Gι为巡回群,密码文λι=(cι,1,cι,2)∈Hι,fι(cι,1,cι,2)为准同型函数,将群Gι的生成元设为μι,g,将群Gι的位数设为Kι,G,对计算装置141和能力提供装置142-ι事先设定对于相同的解码密钥sι的密码文(Vι,Wι)∈Hι和对该密码文进行了解码后的解码文fι(Vι,Wι)=Yι∈Gι的组,计算装置141和能力提供装置142-ι能够利用该组。。
如图25和图26所例示,在第十实施方式的处理中,第七实施方式的步骤S11103~S11105、S11108、S11200~S11203分别被置换为步骤S14103~S14105、S14108、S14200~S14203。在以下,仅说明步骤S14103~S14105,S14108,S14200~S14203的处理。
《步骤S14103的处理》
计算装置141(图19)的输入信息提供部14104生成并输出与所输入的密码文λι=(cι,1,cι,2)对应的第一输入信息τι,1和与密码文λι=(cι,1,cι,2)对应的第二输入信息(图25/步骤S14103)。以下,使用图28来说明本方式的步骤S14103的处理。
第四随机数生成部14104a(图23)生成0以上且小于Kι,G的自然数的普通随机数r(ι,4)。所生成的随机数r(ι,4)被发送到第四输入信息计算部14104ca、第五输入信息计算部14104cb和第一计算部14105(步骤S14103a)。第五随机数生成部14104b生成0以上且小于Kι,G的自然数的普通随机数r(ι,5)。所生成的随机数r(ι,5)被发送到第五输入信息计算部14104cb和第一计算部14105(步骤S14103b)。
第四输入信息计算部14104ca使用在自然数选择部11102中选择的自然数b(ι)、密码文λι所包含的cι,2、和随机数r(ι,4),计算第四输入信息cι,2 b(ι)ι r(ι,4)(步骤S14103c)。第五输入信息计算部14104cb使用在自然数选择部11102中选择的自然数b(ι)、密码文λι所包含的cι,1、和随机数r(ι,4)、r(ι,5),计算第五输入信息cι,1 b(ι)ι r(ι,4)μι,g r(ι,5)(步骤S14103d)。
第六随机数生成部14104d生成0以上且小于Kι,G的自然数的普通随机数r(ι,6)。所生成的随机数r(ι,6)被发送到第六输入信息计算部14104fa、第七输入信息计算部14104fb和第二计算部14108(步骤S14103e)。第七随机数生成部14104e生成0以上且小于KG的自然数的普通随机数r(ι,7)。所生成的随机数r(ι,7)被发送到第七输入信息计算部14104fb和第二计算部14108(步骤S14103f)。
第六输入信息计算部14104fa使用在自然数选择部11102中选择的自然数a(ι)、密码文λι所包含的cι,2、和随机数r(ι,6),计算第六输入信息cι,2 a(ι)ι r(ι,6)(步骤S14103g)。第七输入信息计算部14104fb使用在自然数选择部11102中选择的自然数a(ι)、密码文λι所包含的cι,1、和随机数r(ι,6)、r(ι,7),计算第七输入信息cι,1 a(ι)ι r(ι,6)μι,g r(ι,7)(步骤S14103h)。
第一输入信息计算部14104c将如上生成的第四输入信息cι,2 b(ι)ι r(ι,4)和第五输入信息cι,1 b(ι)ι r(ι,4)μι,g r(ι,5),作为第一输入信息τι,1=(cι,2 b(ι)ι r(ι,4),cι,1 b(ι)ι r(ι,4)μι,g r(ι,5))而进行输出。第二输入信息计算部14104f将如上生成的第六输入信息cι,2 a(ι)ι r(ι,6)和第七输入信息cι,1 a(ι)ι r(ι,6)μι,g r(ι,7)作为第二输入信息τι,2=(cι,2 a(ι)ι r(ι,6),cι,1 a(ι)ι r(ι,6)μι,g r(ι,7))进行输出(步骤S14103i)。
《步骤S14200~S14203的处理》
如图26所例示,首先,第一输入信息τι,1=(cι,2 b(ι)ι r(ι,4),cι,1 b(ι)ι r(ι,4)μι,g r(ι,5))输入到能力提供装置142-ι(图20)的第一输出信息计算部14201-ι,第二输入信息τι,2=(cι,2 a(ι)ι r(ι,6),cι,1 a(ι)ι r(ι,6)μι,g r(ι,7))输入到第二输出信息计算部14202-ι(步骤S14200)。
第一输出信息计算部14201-ι使用第一输入信息τι,1=(cι,2 b(ι)ι r(ι,4),cι,1 b(ι)ι r(ι,4)μι,g r(ι,5))和在密钥存储部11204-ι中存储的解码密钥sι,以大于某一概率的概率准确地计算fι(cι,1 b(ι)ι r(ι,4)μι,g r(ι,5),cι,2 b(ι)ι r(ι,4)),并将计算结果设为第一输出信息zι,1。该计算结果既存在准确的情况也存在不准确的情况。即,在第一输出信息计算部14201-ι中的计算结果既存在成为fι(cι,1 b(ι)ι r(ι,4)μι,g r(ι,5),cι,2 b(ι)ι r(ι,4))的情况,也存在没有成为fι(cι,1 b(ι)ι r(ι,4)μι,g r(ι,5),cι,2 b(ι)ι r(ι,4))的情况(步骤S14201)。
第二输出信息计算部14202-ι使用第二输入信息τι,2=(cι,2 a(ι)ι r(ι,6),cι,1 a(ι)ι r(ι,6)μι,g r(ι,7))和在密钥存储部11204中存储的解码密钥sι,以大于某一概率的概率准确地计算fι(cι,1 a(ι)ι r(ι,6)μι,g r(ι,7),cι,2 a(ι)ι r(ι,6)),并将得到的计算结果设为第二输出信息zι,2。该计算结果既存在准确的情况也存在不准确的情况。即,在第二输出信息计算部14202-ι中的计算结果既存在成为fι(cι,1 a(ι)ι r(ι,6)μι,g r(ι,7),cι,2 a(ι)ι r(ι,6))的情况,也存在没有成为fι(cι,1 a(ι)ι r(ι,6)μι,g r(ι,7),cι,2 a(ι)Wι r(ι,6))的情况(步骤S14202)。
第一输出信息计算部14201-ι输出第一输出信息zι,1,第二输出信息计算部14202-ι输出第二输出信息zι,2(步骤S14203)。
《步骤S14104和S14105的处理》
返回到图25,第一输出信息zι,1输入到计算装置141(图19)的第一计算部14105,第二输出信息zι,2输入到第二计算部14108(步骤S14104)。
第一计算部14105使用所输入的第一输出信息zι,1和随机数r(ι,4)、r(ι,5),计算zι,1ι -r(ι,4)μι,g -r(ι,5)并将该计算结果设为uι(步骤S14105)。计算结果uι发送到第一幂乘计算部11106。这里,成为uι=zι,1ι -r(ι,4)μι,g -r(ι,5)=fι(cι,1,cι,2b(ι)ι,1。即,zι,1ι -r(ι,4)μι,g -r(ι,5)成为关于fι(cι,1,cι,2)具有误差Xι,1的可随机化样本器的输出。在后面叙述其理由。
《步骤S14108的处理》
第二计算部14108使用所输入的第二输出信息zι,2和随机数r(ι,6)、r(ι,7),计算zι,2ι -r(ι,6)μι,g -r(ι,7)并将该计算结果设为vι。计算结果vι发送到第二幂乘计算部11109。这里,成为vι=zι,2ι -r(ι,6)μι,g -r(ι,7)=fι(cι,1,cι,2a(ι)ι,2。即,zι,2ι -r(ι,6)μι,g -r(ι,7)成为关于fι(cι,1,cι,2)具有误差Xι,2的可随机化样本器的输出。在后面叙述其理由。
《zι,1ι -r(ι,4)μι,g -r(ι,5)、zι,2ι -r(ι,6)μι,g -r(ι,7)成为关于fι(cι,1,cι,2)分别具有误差Xι,1、Xι,2的可随机化样本器的输出的理由》
将c设为自然数,将R1、R2、R1’和R2’设为随机数,将能力提供装置142-ι使用c1 cR1μg R2和c2 cR1进行的计算的计算结果设为B(c1 cR1μg R2,c2 cR1)。即,将第一输出信息计算部14201-ι和第二输出信息计算部14202-ι返回给计算装置141的计算结果设为z=B(c1 cR1μg R2,c2cR1)。进而,将在群G中取值的概率变量X定义为X=B(VR1’μg R2’,WR1’)f(VR1’μg R2’,WR1’)-1
这时,成为zY-R1μg -R2=B(c1 cR1μg R2,c2 cR1)Y-R1μg -R2=Xf(c1 cR1μg R2,c2 cR1)Y-R1μg -R2=Xf(c1,c2cf(V,W)R1f(μg,egR2-R1μg -R2=Xf(c1,c2cR1μg R2-R1μg -R2=f(c1,c2cX。即,zY-R1μg -R2成为关于f(x)具有误差X的可随机化样本器的输出。其中,eg是群G的单位元。
在上述式展开中,使用X=B(VR1’μg R2’,WR1’)f(VR1’μg R2’,WR1’)-1=B(c1 cR1μg R2,c2 cR1)f(c1 cR1μg R2,c2 cR1)、B(c1 cR1μg R2,c2 cR1)=Xf(c1 cR1μg R2,c2 cR1)的性质。该性质基于R1、R2、R1’和R2’是随机数。
因此,如果考虑a(ι)、b(ι)为自然数,r(ι,4)、r(ι,5)、r(ι,6)和r(ι,7)为随机数,则同样地,zι,1ι -r(ι,4)μι,g -r(ι,5),zι,2ι -r(ι,6)μι,g -r(ι,7)成为关于fι(cι,1,cι,2)分别具有误差Xι,1,Xι,2的可随机化样本器的输出。
【第十一实施方式】
在上述的第七至第十实施方式中,在计算装置的自然数存储部11101中存储多种互质的2个自然数a(ι)、b(ι)的组(a(ι),b(ι)),使用这些组(a(ι),b(ι))来执行各处理。但是,a(ι)、b(ι)的一方也可以是常数。例如,可以将a(ι)固定为1,也可以将b(ι)固定为1。也可以是,按每个ι,自然数a(ι)、b(ι)的不同的一方为常数。换而言之,第一可随机化样本器或第二可随机化样本器的一方可以置换为样本器。在a(ι)、b(ι)的一方为常数的情况下,不需要进行对设为常数的a(ι)或b(ι)进行选择的处理,各处理部无需被输入设为常数的a(ι)或b(ι),能够将其作为常数进行计算。在设为常数的a(ι)或b(ι)为1的情况下,不使用a’(ι)或b’(ι),能够将fι(λι)=uι b(ι)ι a(ι)作为fι(λι)=vι或fι(λι)=uι而得到。
第十一实施方式是这样的变形的一例,是将b(ι)固定为1、第二可随机化样本器被置换为样本器的方式。以下,以与第七实施方式不同的部分为中心进行说明,对于解码控制处理等与第七实施方式共同的事项省略说明。第一可随机化样本器和样本器的具体例也与在第八实施方式至第十实施方式中说明的相同,因此省略说明。
<结构>
如图18所例示,在第十一实施方式的代理计算系统105中,第七实施方式的计算装置111被置换为计算装置151,能力提供装置112-1,···,112-Γ被置换为能力提供装置152-1,···,152-Γ。
如图29所例示,第十一实施方式的计算装置151例如具有:自然数存储部15101、自然数选择部15102、输入信息提供部15104、第一计算部15105、第一幂乘计算部11106、第一列表存储部11107、第二计算部15108、第二列表存储部15110、判定部15111、最终输出部15112和控制部11113。
如图20所例示,第十一实施方式的能力提供装置152-ι例如具有第一输出信息计算部15201-ι、第二输出信息计算部15202-ι、密钥存储部11204-ι和控制部11205-ι。在存在能力提供装置152-(ι+1),···,52-Γ的情况下,这些结构与能力提供装置152-ι相同。
<解码处理>
下面,说明本方式的解码处理。作为解码处理的前提,将Gι、Hι设为群(例如为可交换群),将fι(λι)设为用于通过特定的解码密钥sι对作为群Hι的元的密码文λι进行解码而得到群Gι的元的解码函数,将群Gι、Hι的生成元分别设为μι,g、μι,h,将Xι,1、Xι,2设为在群Gι中取值的概率变量,将概率变量Xι,1的实现值设为xι,1,将概率变量Xι,2的实现值设为xι,2。计算装置151的自然数存储部15101中存储有多个种类的自然数a(ι)。
如图30所例示,首先,计算装置151(图29)的自然数选择部15102随机地从在自然数存储部15101中存储的多个自然数a(ι)读入1个自然数a(ι)。所读入的自然数a(ι)的信息被发送到输入信息提供部15104和第一幂乘计算部11106(步骤S15100)。
控制部11113设为tι=1(步骤S11102)。
输入信息提供部15104生成并输出与所输入的密码文λι分别对应的第一输入信息τι,1和第二输入信息τι,2。优选为,第一输入信息τι,1和第二输入信息τι,2为分别将与密码文λι的关系搅乱的信息。由此,计算装置151能够对能力提供装置152-ι隐蔽密码文λι。优选为,本方式的第二输入信息τι,2进而对应于由自然数选择部15102选择的自然数a(ι)。由此,计算装置151能够以高精度评价从能力提供装置152-ι提供的解码能力(步骤S15103)。第一输入信息τι,1和第二输入信息τι,2的组合的具体例子是,第八实施方式至第十实施方式的任何一个的设为b(ι)=1的第一输入信息τι,1和第二输入信息τι,2的组合。
如图26所例示,第一输入信息τι,1输入到能力提供装置152-ι(图20)的第一输出信息计算部15201-ι,第二输入信息τι,2输入到第二输出信息计算部15202-ι(步骤S15200)。
第一输出信息计算部15201-ι使用第一输入信息τι,1和在密钥存储部11204-ι中存储的解码密钥sι,以大于某一概率的概率准确地计算fι(τι,1),将得到的计算结果设为第一输出信息zι,1(步骤S15201)。第二输出信息计算部15202-ι使用第二输入信息τι,2和在密钥存储部11204-ι中存储的解码密钥sι,以大于某一概率的概率准确地计算fι(τι,2),将得到的运算结果设为第二输出信息zι,2(步骤S15202)。即,第一输出信息计算部15201-ι和第二输出信息计算部15202-ι输出包含有意的或无意的误差的计算结果。换言之,第一输出信息计算部15201-ι的计算结果既有是fι(τι,1)的情况也有不是fι(τι,1)的情况,第二输出信息计算部15202-ι的计算结果既有是fι(τι,2)的情况也有不是fι(τι,2)的情况。第一输出信息zι,1和第二输出信息zι,2的组的具体例子是,第八实施方式至第十实施方式的任何一个的设为b(ι)=1的第一输出信息zι,1和第二输出信息zι,2的组。
第一输出信息计算部15201-ι输出第一输出信息zι,1,第二输出信息计算部15202-ι输出第二输出信息zι,2(步骤S15203)。
返回到图30,第一输出信息zι,1输入到计算装置151(图29)的第一计算部15105,第二输出信息zι,2输入到第二计算部15108。这些第一输出信息zι,1和第二输出信息zι,2相当于从能力提供装置152-ι对计算装置151提供的解码能力(步骤S15104)。
第一计算部15105根据第一输出信息zι,1生成运算结果uι=fι(λι)xι,1。运算结果uι的具体例是,第八实施方式至第十实施方式的任何一个的设为bι=1的运算结果uι。运算结果uι发送到第一幂乘计算部11106(步骤S15105)。
第一幂乘计算部11106计算uι’=uι a(ι)。计算结果uι和基于该计算结果计算出的uι’的组(uι,uι’)被存储到第一列表存储部11107(步骤S11106)。
第二计算部15108根据第二输出信息zι,2生成运算结果vι=fι(λιa(ι)ι,2。运算结果vι的具体例是,第八实施方式至第十实施方式的任何一个的运算结果vι。运算结果vι被存储到第二列表存储部15110(步骤S15108)。
判定部15111在存储于第一列表存储部11107的组(uι,uι’)和存储于第二列表存储部15110的组vι中,判定是否有成为uι’=vι的组(步骤S15110)。在有成为uι’=vι的组的情况下,进至步骤S15114。在没有成为uι’=vι的组的情况下,进至步骤S11111。
在步骤S11111中,控制部11113判定是否为tι=Tι(步骤S11111)。Tι是预先决定的自然数。如果是tι=Tι,则最终输出部15112输出无法进行计算的意旨的信息例如为符号“⊥”(步骤S11113),并结束处理。如果不是tι=Tι,则控制部11113将tι增加1,即设为tι=tι+1(步骤S11112),返回到步骤S15103。
在步骤S15114中,最终输出部15112输出与判定为uι’=vι的uι’对应的uι(步骤S15114)。如此得到的uι相当于在第七实施方式至第十实施方式中设为b(ι)=1时的uι b(ι)ι a(ι)。即,如此得到的uι成为以高的概率对密码文λι通过特定的解码密钥sι进行了解码后的解码结果fι(λι)。因此,将上述的处理重复多次,将在步骤S15114中得到的值中频度最高的值设为解码结果fι(λι)即可。如后所述,根据设定以绝对的概率成为uι=fι(λι)。在该情况下,可以将在步骤S15114中得到的值直接设为解码结果fι(λι)。之后的处理,如在第七实施方式中说明的那样。
《关于得到解码结果fι(λι)的理由》
下面,说明在本方式的计算装置151中得到解码结果fι(λι)的理由。这里,为了表述的简略,省略ι而进行说明。首先,定义在说明中所需的事项。
黑盒子(black-box):
f(τ)的黑盒子F(τ)意味着,将τ∈H作为输入而输出z∈G的处理部。在本方式中,第一输出信息计算部15201和第二输出信息计算部15202分别相当于解码函数f(τ)的黑盒子F(τ)。将对于从群H中任意选择的元τ∈UH和z=F(τ)满足z=f(τ)的概率大于δ(0<δ≦1)时、即满足Pr[z=f(τ)|τ∈UH,z=F(τ)]>δ…(8)的f(τ)的黑盒子F(τ)称为,可靠度δ(δ-reliable)的f(τ)的黑盒子F(τ)。其中,δ是正的值,相当于上述的“某一概率”。
自身改正器(self-corrector):
自身改正器CF(λ)意味着,将λ∈H设为输入,使用f(τ)的黑盒子F(τ)进行计算而输出j∈G∪⊥的处理部。在本方式中,计算装置151相当于自身改正器CF(λ)。
殆自身改正器(almost self-corrector):
假定自身改正器CF(λ)将λ∈H作为输入且使用可靠度δ的f(τ)的黑盒子F(τ)来输出准确的值j=f(λ)的概率充分大于输出错误的j≠f(λ)的概率的情况。即,假定满足式(9)的情况。
Pr[j=f(λ)|j=CF(λ),j≠⊥]
>Pr[j≠f(λ)|j=CF(λ),j≠⊥]+Δ…(2)另外,Δ是某一正的值(0<Δ<1)。在如此的情况下,自身改正器CF(λ)称为殆自身改正器。例如,对于某一正的值Δ’(0<Δ’<1),满足
Pr[j=f(λ)|j=CF(λ)]>(1/3)+Δ’
Pr[j=⊥|j=CF(λ)]<1/3
Pr[j≠f(λ)且j≠⊥|j=CF(λ)]<1/3
的情况下,自身改正器CF(λ)是殆自身改正器。Δ’的例子是Δ’=1/12或1/3。
强自身改正器(robust self-corrector):
假定自身改正器CF(λ)将λ∈H作为输入且使用可靠度δ的f(τ)的黑盒子F(τ)来输出准确的值j=f(λ)或j=⊥的概率为绝对的情况。即,对于能够忽略的误差ξ(0≦ξ<1),满足
Pr[j=f(λ)或者j=⊥|j=CF(λ)]>1-ξ…(10)
的情况。在如此的情况下,自身改正器CF(λ)称为强自身改正器。另外,能够忽略的误差ξ的例子是,安全参数k的函数值ξ(k)。函数值ξ(k)的例子是,对于任意的多项式p(k)关于充分大的k,{ξ(k)p(k)}收敛于0的函数值。函数值ξ(k)的具体例是,ξ(k)=2-k或ξ(k)=2-√k等。
能够从殆自身改正器构成强自身改正器。即,对于相同的λ执行多次殆自身改正器,将除了⊥之外频度最高的输出值设为j,从而能够构成强自身改正器。即,对于相同的λ执行O(log(1/ξ))次殆自身改正器,将频度最高的输出值设为j,从而能够构成强自身改正器。另外,O(·)表示O记法。
伪自由的(pseudo-free)的作用:
关于群G、自然数的集合Ω={0,...,M}(M为1以上的自然数)、在群G中取值的概率变量X1、X2的各实现值α∈X1(α≠eg),β∈X2和a∈Ω,对于成为αa=β的概率
Pr[αa=β且α≠eg|a∈UΩ,α∈X1,β∈X2]…(11)
将对于所有可能的X1、X2的上限值称为组(G,Ω)的伪自由指标,将其表示为P(G,Ω)。在存在某一能够忽略的函数ζ(k),且
P(G,Ω)<ζ(k)…(12)
的情况下,通过组(G,Ω)定义的运算是伪自由的作用。其中,「αa」意味着,对α作用a次在群G中定义的运算。能够忽略的函数ξ(k)的例子是,对于任意的多项式p(k)关于充分大的k,{ξ(k)p(k)}收敛于0的函数。函数ξ(k)的具体例是,ξ(k)=2-k或ξ(k)=2-√k等。例如,对于安全参数k,式(11)的概率小于O(2-k)的情况下,通过组(G,Ω)定义的运算是伪自由的作用。例如,关于任意的
Figure BDA00003082469000571
且α≠eg,集合Ω·α={a(α)|a∈Ω}的元素数|Ω·α|超过2的情况下,通过组(G,Ω)定义的运算能够称为伪自由的作用。其中,a(α)表示对a和α作用规定的运算的结果。这样的具体例存在很多。例如,群G为将质数p作为法的剩余群Z/pZ,质数p为2k的量级,集合Ω={0,...,p-2},a(α)为αa∈Z/pZ且α≠eg的情况下,成为Ω·α={α|a=0,...,p-2}={eg,α1,...,αp-2},并且是|Ω·α|=p-1。由于质数p是2k的量级,因此存在某一常数C,如果k充分大则满足|Ω·α|>C2k。这里,式(11)的概率小于C-12-k,通过这样的组(G,Ω)定义的运算是伪自由的作用。
可靠度δγ(δγ-reliable)的可随机化样本器:
是在每次提供自然数a时使用可靠度δ的f(τ)的黑盒子F(τ),对于w∈G返回与按照概率变量X的样本x’对应的wax’的可随机化样本器,将wax’=wa的概率大于δγ(γ为正常数)即满足
Pr[wax’=wa]>δγ…(13)
的可随机化样本器称为可靠度δγ的可随机化样本器。本方式的输入信息提供部15104和第二输出信息计算部15202和第二计算部15108的组是关于w=f(λ)可靠度为δγ的可随机化样本器。
下面,使用这些定义,说明在本方式的计算装置151中得到解码结果f(λ)的理由。
在本方式的步骤S15110中,判定是否为u’=v即ua=v。本方式的输入信息提供部15104和第二输出信息计算部15202和第二计算部15108的组是可靠度δγ的可随机化样本器(式(13)),如果将T设为大于根据k、δ、γ决定的固定值的值,则产生渐进地以大的概率成立ua=v(在步骤S15110中成为“是”)的情况。例如,如果设为T≧4/δγ,则根据Markov的不等式可知,成立ua=v(在步骤S15110中成为“是”)的概率大于1/2。
在本方式中,u=f(λ)x1且v=f(λ)a2,因此在成立ua=v时成立x1 a=x2。在成立x1 a=x2的情况下,存在是x1=x2=eg的情况和是x1≠eg的情况。在x1=x2=eg的情况下,成为u=f(λ),因此在步骤S15114中输出的u成为准确的解码结果f(λ)。另一方面,在x1≠eg的情况下,成为u≠f(λ),因此在步骤S15114中输出的u不是准确的解码结果f(λ)。
通过群G和自然数a所属的集合Ω的组(G,Ω)定义的运算为伪自由的作用、或者关于伪自由指标P(G,Ω),T2P(G,Ω)渐近小的情况下,在ua=v时x1≠eg的概率(式(11))渐近小。因此,在ua=v时x1=eg的概率渐近大。因此,通过组(G,Ω)定义的运算为伪自由的作用、或者T2P(G,Ω)渐近小的情况下,在ua=v时输出错误的解码结果f(λ)的概率比ua=v时输出准确的解码结果f(λ)的概率充分小。这时的计算装置151也可以称为殆自身改正器(参考式(9))。因此,如上所述,从计算装置151能够构成强自身改正器,能够以绝对的概率得到准确的解码结果f(λ)。在(G,Ω)中定义的运算是伪自由的作用的情况下,能够忽略在ua=v时输出错误的解码结果f(λ)的概率。这时的计算装置151以绝对的概率输出准确的解码结果f(λ)或者⊥。
另外,对任意的常数ρ决定k0,对该k0关于满足k0<k’的任意的k’的函数值η(k’)小于ρ的情况下,称为「η(k’)渐近小」。k'的例子是安全参数k。
对任意的常数ρ决定0,对该k0关于满足k0<k’的任意的k’的函数值1-η(k’)小于ρ的情况下,称为「η(k’)渐近大」。
其中,若将a置换为a/b则可知,上述的证明也成为在第七实施方式中叙述的「u’=v’成立,则第一可随机化样本器准确地计算u=f(λ)b,且第二可随机化样本器准确地计算v=f(λ)a(x1和x2为群G的单位元eg)的可能性高」的证明。
《关于可靠度δγ的可随机化样本器和安全性》
假定如下的攻击。
·黑盒子F(τ)或者该部分有意地输出不准确的z,或者从黑盒子F(τ)输出的值被改变为不准确的z。
·从可随机化样本器输出与不准确的z对应的wax'。
·与在自身改正器CF(λ)中成立ua=v(在步骤S15110中“是”)无关地,与不准确的z对应的wax’使自身改正器CF(λ)输出错误的值的概率增加。
在对于所提供的自然数a从可随机化样本器输出的wax’的误差的概率分布Da=wax’w-a依赖于自然数a的情况下,这样的攻击成为可能。例如,在进行了从第二计算部15108输出的v成为f(λ)a1 a的不准确的情况下,与x1的值无关地,必然成立ua=v。因此,期望在对于所提供的自然数a从可随机化样本器输出的wax’的误差的概率分布Da=wax’w-a不依赖于该自然数a。
或者,期望是如下的可随机化样本器:对于集合Ω的任何元
Figure BDA00003082469000601
,存在无法与wax’的误差的概率分布Da=wax’w-a区分的在群G中取值的概率分布D(概率分布Da与概率分布D统计近似(statistically-close))。其中,概率分布D不依赖于自然数a。无法区分概率分布Da与概率分布D意味着,无法通过多项式时间算法来区分概率分布Da与概率分布D,例如对于可忽视的ζ(0≦ζ<1)满足
Σg∈G|Pr[g∈D]-Pr[g∈Da]|<ζ…(14)
,则无法通过多项式时间算法来区分概率分布Da与概率分布D。能够忽略的误差ζ的例子是,安全参数k的函数值ζ(k)。函数值ζ(k)的例子是,对于任意的多项式p(k)关于充分大的k,{ζ(k)p(k)}收敛于0的函数值。函数值ζ(k)的具体例是,ζ(k)=2-k或ζ(k)=2-√k等。这些点对于使用自然数a和b的第七实施方式至第十实施方式也相同。
【第七实施方式至第十一实施方式的变形例】
在第七实施方式至第十一实施方式中,对计算装置提供第一输出信息zι,1和第二输出信息zι,2的情况下,计算装置能够以某一概率输出uι b(ι)ι a(ι)。uι b(ι)ι a(ι)以高的概率成为密码文λι的解码值。另一方面,在没有对解码装置提供第一输出信息zι,1和第二输出信息zι,2的两方的情况下,计算装置无法得到密码文λι的解码值。
在第七实施方式至第十一实施方式中,通过控制由能力提供装置的第一输出信息zι,1和第二输出信息zι,2的双方的输出的有无,从而能够控制计算装置的密码文的解码能力,而不对计算装置提供解码密钥。
本发明不限定于上述的实施方式。例如,在上述的各实施方式中,设为ω是2以上的整数,但是ω也可以是1。即,也可以是仅存在一个能力提供装置的结构。这时的计算装置也可以不包括复元部,可以直接输出来自最终输出部的输出值。例如,也可以是,上述的第一实施方式至第五实施方式的任何一个的系统还具有解码控制装置,解码控制装置对能力提供装置输出用于控制计算装置的解码处理的解码控制命令,能力提供装置按照解码控制命令,控制是否从第一输出信息计算部和所述第二输出信息计算部输出第一输出信息z1和第二输出信息z2的两方。例如,也可以是,上述的第六实施方式的系统还具有解码控制装置,解码控制装置对能力提供装置输出用于控制计算装置的解码处理的解码控制命令,能力提供装置按照解码控制命令,控制是否从第一输出信息计算部和第二输出信息计算部输出第一输出信息Mz1和第二输出信息Mz2的两方。
概率变量Xι,1、Xι,2和Xι,3可以相同也可以不同。
通过第一随机数生成部、第二随机数生成部、第三随机数生成部、第四随机数生成部、第五随机数生成部、第六随机数生成部和第七随机数生成部分别生成同样随机数,从而能够提高代理计算系统的安全性。但是,在所要求的安全性的等级没有那么高的情况下,第一随机数生成部、第二随机数生成部、第三随机数生成部、第四随机数生成部、第五随机数生成部、第六随机数生成部和第七随机数生成部的至少一个部也可以生成不是同样随机数的随机数。从运算效率的观点出发,期望如上述的各实施方式那样选择作为0以上且小于KH的自然数的随机数或作为0以上且小于Kι,G的自然数的随机数,但也可以取而代之选择Kι,H以上或Kι,G以上的自然数的随机数。
在计算装置对能力提供装置每次提供与相同的a(ι)、b(ι)对应的第一输入信息τι,1和第二输入信息τι,2时,能力提供装置的处理也可以执行多次。由此,在计算装置对能力提供装置每提供一次第一输入信息τι,1和第二输入信息τι,2时,计算装置能够得到多个第一输出信息zι,1和第二输出信息zι,2和第三输出信息zι,3。由此,能够减少计算装置与能力提供装置之间的交换次数和通信量。
也可以是,计算装置对能力提供装置汇总提供多种第一输入信息τι,1和第二输入信息τι,2,汇总得到多个所对应的第一输出信息zι,1和第二输出信息zι,2和第三输出信息zι,3。由此,能够减少计算装置与能力提供装置之间的交换次数。
在各实施方式中,设为ω是常数,但是如果能够在代理计算系统中共享ω的值,则ω也可以是变量。
计算装置的各部之间的数据的交换可以直接进行,也可以经由未图示的存储部进行。同样地,能力提供装置的各部之间的数据的交换可以直接进行,也可以经由未图示的存储部进行。
确认在各实施方式的第一计算部和第二计算部中得到的uι和vι是否为群Gι的元,在是群Gι的元的情况下,继续执行上述的处理,在uι或vι不是群Gι的元的情况下,输出无法进行计算的意旨的信息例如为符号“⊥”。
此外,例如,上述的各种处理不仅可以按照记载以时间序列执行,也可以根据执行处理的装置的处理能力或者根据需要并行地或单独地执行。也可以在一个装置内构成多个能力提供装置。此外,在不脱离本发明的宗旨的范围内能够进行适当变更是不言而喻的。
【第十二实施方式】
说明本发明的第十二实施方式。在本方式中,说明如下的例子:Φ个(Φ为2以上的整数)计算装置共享一个能力提供装置而进行计算,能力提供装置从计算装置接受其代价。但是,这并非用于限定本发明,也可以由Φ个计算装置共享多个能力提供装置而进行计算。
<结构>
如图31所例示,第十二实施方式的代理计算系统201例如具有Φ个计算装置和一个能力提供装置212。各装置构成为能够进行信息的交换。例如,各装置能够进行经由了传输线或网络或可移动型记录介质等的信息的交换。
在本方式中,能力提供装置212对各计算装置
Figure BDA00003082469000622
提供计算将群
Figure BDA00003082469000623
的元映射到群的元的函数的能力(计算能力)。各计算装置
Figure BDA00003082469000626
将对应于该能力的代价支付给能力提供装置212。各计算装置
Figure BDA00003082469000627
使用所提供的能力,计算对于群
Figure BDA00003082469000628
的元
Figure BDA00003082469000629
的群
Figure BDA000030824690006210
的元
Figure BDA000030824690006211
如图32所例示,第十二实施方式的计算装置
Figure BDA000030824690006212
例如具有:自然数存储部
Figure BDA000030824690006213
自然数选择部
Figure BDA000030824690006214
整数计算部
Figure BDA000030824690006215
输入信息提供部
Figure BDA000030824690006216
第一计算部
Figure BDA000030824690006217
第一幂乘计算部
Figure BDA000030824690006227
第一列表存储部
Figure BDA000030824690006218
第二计算部
Figure BDA000030824690006219
第二幂乘计算部第二列表存储部判定部
Figure BDA000030824690006222
最终输出部
Figure BDA000030824690006228
和控制部
Figure BDA000030824690006223
计算装置
Figure BDA000030824690006224
在控制部
Figure BDA000030824690006225
的控制下执行各种处理。计算装置
Figure BDA000030824690006226
的例子是,读入了特别的程序的具备CPU(中央处理单元)和RAM(随机存取存储器)的公知或专用的计算机、服务器装置或网关装置或卡读写装置或移动电话等的具备了计算功能和存储功能的设备等。
如图33所例示,第十二实施方式的能力提供装置212例如分别具有第一输出信息计算部21201、第二输出信息计算部21202和控制部21205。能力提供装置212在控制部21205的控制下执行各种处理。能力提供装置212的例子是,读入了特别的程序的具备CPU和RAM的公知或专用的计算机、移动电话等的具备了计算功能和存储功能的设备、IC卡或IC芯片等耐篡改性模块等。
<处理的前提>
设为
Figure BDA000030824690006371
是群(例如为可交换群),
Figure BDA000030824690006372
是在群
Figure BDA00003082469000635
中取值的概率变量,
Figure BDA00003082469000636
是概率变量
Figure BDA00003082469000637
的实现值,
Figure BDA00003082469000638
是概率变量
Figure BDA00003082469000639
的实现值,
Figure BDA000030824690006310
是将群
Figure BDA000030824690006311
的元映射到群
Figure BDA000030824690006312
的元的函数,
Figure BDA000030824690006313
是互质的自然数。
Figure BDA000030824690006314
的具体例是,加密函数、解码函数、再加密函数、图像处理用的函数、语音处理用的函数等。既可以是
Figure BDA000030824690006315
也可以是
Figure BDA000030824690006316
所有的群
Figure BDA000030824690006318
可以互相相同,也可以是,对于至少一部分
Figure BDA000030824690006319
的群
Figure BDA000030824690006320
与其他的群
Figure BDA000030824690006321
不同。所有的群
Figure BDA000030824690006322
可以互相相同,也可以是,对于至少一部分
Figure BDA000030824690006323
的群
Figure BDA000030824690006324
与其他的群
Figure BDA000030824690006370
不同。以下,以乘法表现群
Figure BDA000030824690006326
Figure BDA000030824690006327
上的运算。是互质的自然数,“自然数”表示0以上的整数。以对于群
Figure BDA000030824690006329
的元
Figure BDA000030824690006330
的群
Figure BDA000030824690006331
的元
Figure BDA000030824690006332
作为元素的集合,被称为「对于元
Figure BDA000030824690006333
的类
Figure BDA000030824690006334
这里,
Figure BDA000030824690006336
是互相不同的类。在函数
Figure BDA000030824690006337
为对于元的单映射函数的情况下,关于
Figure BDA000030824690006339
的组,对于相同的元
Figure BDA000030824690006340
的类
Figure BDA000030824690006341
仅包括一个元素。在每个
Figure BDA000030824690006342
的组中,对于相同的元的类
Figure BDA000030824690006344
Figure BDA000030824690006345
仅包括一个元素的情况下,两个值属于对于相同的元
Figure BDA000030824690006346
的类
Figure BDA000030824690006347
Figure BDA000030824690006348
与该两个值相等是等价的。即,在函数
Figure BDA000030824690006349
为对于元
Figure BDA000030824690006350
的单映射函数的情况下,能够通过判定两个值是否相等,从而进行两个值是否属于对于相同的元
Figure BDA000030824690006351
的类
Figure BDA000030824690006352
的判定。另一方面,在函数
Figure BDA000030824690006353
不是对于元
Figure BDA000030824690006354
的单映射函数的情况下(例如,函数
Figure BDA000030824690006355
为如ElGamal密码方式的概率密码方式的加密函数的情况),对于平文和加密密钥的组对应有多个密码文,因此关于的组,对于相同的元
Figure BDA000030824690006357
的类
Figure BDA000030824690006358
包括多个元素。
在各计算装置
Figure BDA000030824690006359
(图32)的自然数存储部
Figure BDA000030824690006360
中存储有多个种类的互质的2个自然数
Figure BDA000030824690006361
的组如果将
Figure BDA000030824690006363
设为在群的位数未满的2个自然数的组中互质的组的集合,则能够认为在自然数存储部
Figure BDA000030824690006365
中存储有与
Figure BDA000030824690006366
的部分集合
Figure BDA000030824690006367
对应的自然数a
Figure BDA000030824690006368
的组
Figure BDA000030824690006369
<处理>
说明计算装置
Figure BDA00003082469000641
利用能力提供装置212进行的处理。这些处理,可以由进行处理的任何一个计算装置在占有能力提供装置212某一时间的状态下执行,也可以由进行处理的多个计算装置接入到能力提供装置212而并行执行。
Figure BDA00003082469000644
的元输入到计算装置
Figure BDA00003082469000646
(图32)的输入信息提供部
Figure BDA000030824690006453
Figure BDA00003082469000647
。在元已经输入到输入信息提供部
Figure BDA00003082469000649
的情况下,也可以省略该处理。
如图37所例示,元
Figure BDA000030824690006452
输入到输入信息提供部的计算装置
Figure BDA000030824690006411
的自然数选择部
Figure BDA000030824690006412
随机地从在自然数存储部
Figure BDA000030824690006413
中存储的多个自然数的组读取一个自然数的组
Figure BDA000030824690006415
所读入的自然数的组的至少一部分信息被发送到整数计算部
Figure BDA000030824690006417
、输入信息提供部
Figure BDA000030824690006418
、第一幂乘计算部和第二幂乘计算部
Figure BDA000030824690006420
(步骤S21100)。
整数计算部
Figure BDA000030824690006421
使用所发送的自然数的组,计算满足
Figure BDA000030824690006423
的关系的整数
Figure BDA000030824690006424
Figure BDA000030824690006425
自然数
Figure BDA000030824690006426
互质,因此必然存在满足
Figure BDA000030824690006427
Figure BDA000030824690006428
的关系的整数
Figure BDA000030824690006429
,其计算方法也已知。例如,通过扩展互除法等已知的算法计算整数a’、b’,自然数的组
Figure BDA000030824690006430
的信息被发送到最终输出部
Figure BDA000030824690006432
(步骤S21101)。
控制部
Figure BDA000030824690006433
设为t=1(步骤S21102)。
输入信息提供部
Figure BDA000030824690006434
生成并输出与所输入的元分别对应的第一输入信息
Figure BDA000030824690006436
和第二输入信息
Figure BDA000030824690006437
。优选为,第一输入信息
Figure BDA000030824690006438
和第二输入信息为分别将与元的关系搅乱的信息。由此,计算装置
Figure BDA000030824690006441
能够对能力提供装置212隐蔽元
Figure BDA000030824690006442
。优选为,本方式的第一输入信息进而对应于在自然数选择部
Figure BDA000030824690006444
中选择的自然数
Figure BDA000030824690006445
,第二输入信息
Figure BDA000030824690006446
进而对应于在自然数选择部中选择的自然数
Figure BDA000030824690006448
。由此,计算装置
Figure BDA000030824690006455
能够以高精度评价从能力提供装置212提供的计算能力(步骤S21103)。
如图38所例示,第一输入信息输入到能力提供装置212(图33)的第一输出信息计算部21201,第二输入信息
Figure BDA000030824690006450
输入到第二输出信息计算部21202(步骤S21200)。
第一输出信息计算部21201使用第一输入信息,以大于某一概率的概率准确地计算
Figure BDA00003082469000651
,将得到的计算结果设为第一输出信息
Figure BDA00003082469000652
(步骤S21201)。第二输出信息计算部21202使用第二输入信息
Figure BDA00003082469000653
,以大于某一概率的概率准确地计算,将得到的计算结果设为第二输出信息(步骤S21202)。另外,“某一概率”是小于100%的概率。“某一概率”的例子是无法忽略的概率,“无法忽略的概率”的例子是,将作为安全参数k的广义单调增加函数的多项式设为多项式ψ(k)时的1/ψ(k)以上的概率。即,第一输出信息计算部21201和第二输出信息计算部21202能够输出包含有意的或无意的误差的计算结果。换言之,第一输出信息计算部21201的计算结果既有是
Figure BDA00003082469000656
的情况也有不是
Figure BDA00003082469000657
的情况,第二输出信息计算部
Figure BDA00003082469000658
的计算结果既有是
Figure BDA00003082469000659
的情况也有不是的情况。第一输出信息计算部21201输出第一输出信息
Figure BDA000030824690006511
,第二输出信息计算部21202输出第二输出信息
Figure BDA000030824690006512
(步骤S21203)。
返回到图37,第一输出信息
Figure BDA000030824690006513
输入到计算装置(图32)的第一计算部,第二输出信息
Figure BDA000030824690006516
输入到第二计算部
Figure BDA000030824690006517
。这些第一输出信息
Figure BDA000030824690006518
和第二输出信息
Figure BDA000030824690006519
相当于从能力提供装置212对计算装置提供的计算能力(步骤S21104)。被提供计算能力的计算装置
Figure BDA000030824690006521
的利用者对能力提供装置212支付其代价。代价的支付方法例如通过公知的电子结算处理等进行即可。
第一计算部
Figure BDA000030824690006522
根据第一输出信息
Figure BDA000030824690006523
生成运算结果
Figure BDA000030824690006524
Figure BDA000030824690006525
。这里,生成(计算)
Figure BDA000030824690006526
的处理是,计算定义为f
Figure BDA000030824690006527
的式的值的处理。如果最终能够计算式
Figure BDA000030824690006528
的值,则与中间的计算方法无关。这对于在本申请中出现的其他式的计算也是相同的。运算结果
Figure BDA000030824690006529
发送到第一幂乘计算部
Figure BDA000030824690006530
(步骤S21105)。
第一幂乘计算部
Figure BDA000030824690006531
计算
Figure BDA000030824690006532
。计算结果
Figure BDA000030824690006533
和基于该计算结果计算出的
Figure BDA000030824690006534
的组
Figure BDA000030824690006535
被存储到第一列表存储部
Figure BDA000030824690006536
(步骤S21106)。
判定部
Figure BDA000030824690006537
在第一列表存储部
Figure BDA000030824690006538
中存储的组
Figure BDA000030824690006539
和在第二列表存储部中存储的组
Figure BDA000030824690006541
中,判定是否存在
Figure BDA000030824690006552
属于对于互相相同的元
Figure BDA000030824690006543
的类
Figure BDA000030824690006544
的组。也可以无法判定至是的情况(以下相同)。换而言之,判定部判定是否存在属于对于相同的元
Figure BDA000030824690006547
的类
Figure BDA000030824690006549
的组。例如,在函数
Figure BDA000030824690006551
Figure BDA00003082469000661
为对于元的单映射函数的情况下,判定部判定是否为
Figure BDA000030824690006660
Figure BDA000030824690006658
(步骤S21107)。如果在第二列表存储部
Figure BDA00003082469000663
中没有存储组
Figure BDA00003082469000664
Figure BDA00003082469000665
的情况下,不进行该步骤S21107的处理,进行下一个步骤S21108的处理。在存在属于对于相同的元
Figure BDA00003082469000666
的类
Figure BDA00003082469000667
Figure BDA00003082469000668
Figure BDA00003082469000669
的组的情况下,进至步骤S21114。在不存在属于对于相同的元
Figure BDA000030824690006610
的类
Figure BDA000030824690006661
Figure BDA000030824690006612
Figure BDA000030824690006613
的组的情况下,进至步骤S21108。
在步骤S21108中,第二计算部
Figure BDA000030824690006614
根据第二输出信息
Figure BDA000030824690006615
生成运算结果。运算结果
Figure BDA000030824690006617
发送到第二幂乘计算部
Figure BDA000030824690006618
(步骤S21108)。
第二幂乘计算部
Figure BDA000030824690006619
计算
Figure BDA000030824690006620
。计算结果
Figure BDA000030824690006621
和基于该计算结果计算出的
Figure BDA000030824690006622
的组
Figure BDA000030824690006623
被存储到第二列表存储部
Figure BDA000030824690006624
(步骤S21109)。
判定部在第一列表存储部中存储的组
Figure BDA000030824690006627
和在第二列表存储部中存储的组
Figure BDA000030824690006629
中,判定是否存在
Figure BDA000030824690006662
Figure BDA000030824690006630
属于对于互相相同的元
Figure BDA000030824690006631
的类
Figure BDA000030824690006632
的组。例如,在函数
Figure BDA000030824690006633
Figure BDA000030824690006634
为对于元
Figure BDA000030824690006635
的单映射函数的情况下,判定部判定是否为
Figure BDA000030824690006663
Figure BDA000030824690006637
(步骤S21110)。在存在属于对于相同的元
Figure BDA000030824690006638
的类
Figure BDA000030824690006639
Figure BDA000030824690006640
的组的情况下,进至步骤S21114。在不存在属于对于相同的元的类
Figure BDA000030824690006642
Figure BDA000030824690006643
Figure BDA000030824690006644
的组的情况下,进至步骤S21111。
在步骤S21111中,控制部
Figure BDA000030824690006645
判定是否为t=T(步骤S21111)。T是预先决定的自然数。T可以是对于所有的相同的值,也可以存在对于
Figure BDA000030824690006647
的自身改正处理中的T的值与对于
Figure BDA000030824690006648
的自身改正处理中的T的值不同的情况。如果是t=T,则最终输出部输出无法进行计算的意旨的信息例如为符号“⊥”(步骤S21113),并结束处理。如果不是t=T,则控制部将t增加1,即设为t=t+1(将t+1设为新的t)(步骤S21112),返回到步骤S21103。
无法进行计算的意旨的信息(在该例子中为符号“⊥”)意味着能力提供装置212准确地进行计算的可靠度小于由T决定的基准。换言之,意味着在T次的重复中无法进行准确的运算。
在步骤S21114中,最终输出部
Figure BDA000030824690006651
使用与判定为属于对于相同的元
Figure BDA000030824690006652
的类
Figure BDA000030824690006653
Figure BDA000030824690006654
的组对应的来计算
Figure BDA000030824690006657
并进行输出而结束处理(步骤S21114)。
如以上那样计算出的
Figure BDA00003082469000671
以高的概率成为
Figure BDA00003082469000672
(在后面叙述以高的概率成为的理由)。因此,至少重复多次关于
Figure BDA00003082469000674
的上述处理,并选择在步骤S21114中得到的值中频度最高的
Figure BDA00003082469000675
Figure BDA00003082469000676
,则
Figure BDA00003082469000677
的可靠度(概率等)成为规定值以上。如后所述,根据设定以绝对的概率成为
Figure BDA00003082469000678
。在不限定于能力提供装置212必然进行准确的返回的情况下,上述情况也成立,因此计算装置
Figure BDA00003082469000679
无需进行用于确认能力提供装置212的正当性的认证处理。即使其他的计算装置和能力提供装置212的处理内容对计算装置
Figure BDA000030824690006711
和能力提供装置212之间的处理内容产生了影响,只要能力提供装置212以大于某一概率的概率进行准确的返回,则计算装置
Figure BDA000030824690006712
能够得到准确的计算结果
Figure BDA000030824690006713
《关于以高的概率成为
Figure BDA000030824690006714
的理由》
Figure BDA000030824690006715
设为在群
Figure BDA000030824690006716
中取值的概率变量。将关于
Figure BDA000030824690006717
Figure BDA000030824690006718
每次接受请求时返回与按照概率变量
Figure BDA000030824690006719
的样本
Figure BDA000030824690006720
对应的
Figure BDA000030824690006721
的装置,称为关于
Figure BDA000030824690006722
具有误差
Figure BDA000030824690006723
的样本器(sampler)。
将关于在每次被提供自然数
Figure BDA000030824690006725
时返回与按照概率变量的样本
Figure BDA000030824690006727
对应的
Figure BDA000030824690006728
的装置,称为关于
Figure BDA000030824690006729
具有误差
Figure BDA000030824690006730
的可随机化样本器(randomizable sampler)。可随机化样本器如果设为而使用,则作为样本器发挥作用。
本实施方式的输入能力提供部和第一输出信息计算部21201和第一计算部
Figure BDA000030824690006733
的组合是关于具有误差
Figure BDA000030824690006735
的可随机化样本器(称为“第一可随机化样本器”),输入能力提供部和第二输出信息计算部21202和第二计算部
Figure BDA000030824690006737
的组合是关于
Figure BDA000030824690006738
具有误差
Figure BDA000030824690006739
的可随机化样本器(称为“第二可随机化样本器”)。
发明人发现了如下情况:如果
Figure BDA000030824690006740
Figure BDA000030824690006741
属于对于互相相同的元
Figure BDA000030824690006742
的类
Figure BDA000030824690006743
,则第一可随机化样本器准确地计算
Figure BDA000030824690006744
,且第二可随机化样本器准确地计算
Figure BDA000030824690006745
Figure BDA000030824690006746
是群
Figure BDA000030824690006747
的单位元
Figure BDA000030824690006748
的可能性高。从简化说明的观点出发,通过第十八实施方式进行该证明。
在第一可随机化样本器准确地计算
Figure BDA000030824690006749
,且第二可随机化样本器准确地计算
Figure BDA00003082469000681
Figure BDA00003082469000682
Figure BDA00003082469000683
为群
Figure BDA00003082469000684
的单位元时),成为
Figure BDA00003082469000686
Figure BDA00003082469000687
,并且成为
Figure BDA00003082469000688
Figure BDA00003082469000689
因此,在函数
Figure BDA000030824690006810
为对于元的单映射函数的情况下,成为
Figure BDA000030824690006812
。另一方面,如果函数
Figure BDA000030824690006813
不是对于元
Figure BDA000030824690006814
的单映射函数而是准同型函数,则成为
Figure BDA000030824690006815
Figure BDA000030824690006816
关于(q1,q2)∈I,将对于i=1、2的各个的函数πi定义为πi(q1,q2)=qi。进而,设为L=min(#π1(S),#π2(S))。#·是集合·的位数。在群
Figure BDA000030824690006817
为巡回群或者难以计算位数的群时,计算装置
Figure BDA000030824690006818
输出“⊥”以外时的输出不是
Figure BDA000030824690006819
的概率能够期待为在能够忽略的程度的误差的范围内至多T2L/#S左右。如果L/#S为能够忽略的量且T为多项式量级程度的量,则计算装置
Figure BDA000030824690006820
以绝对的概率输出准确的
Figure BDA000030824690006821
L/#S成为能够忽略的量的S的例子中,例如具有
Figure BDA000030824690006822
Figure BDA000030824690006842
【第十三实施方式】
第十三实施方式的代理计算系统是将上述的第一可随机化样本器和第二可随机化样本器具体化的例子。以下,以与第十二实施方式不同的部分为中心进行说明,对于共同的部分省略重复说明。在以下的说明中,设为附加了相同的参考标号的部分具有相同的功能,附加了相同的参考标号的步骤表示相同的处理。
<结构>
如图31所例示,在第十三实施方式的代理计算系统202中,计算装置
Figure BDA000030824690006823
被置换为计算装置
Figure BDA000030824690006824
,能力提供装置212被置换为能力提供装置222。
如图32所例示,第十三实施方式的计算装置
Figure BDA000030824690006825
例如具有:自然数存储部
Figure BDA000030824690006826
、自然数选择部、整数计算部
Figure BDA000030824690006828
、输入信息提供部、第一计算部
Figure BDA000030824690006830
、第一幂乘计算部
Figure BDA000030824690006831
、第一列表存储部
Figure BDA000030824690006832
、第二计算部
Figure BDA000030824690006833
、第二幂乘计算部
Figure BDA000030824690006834
、第二列表存储部
Figure BDA000030824690006835
、判定部
Figure BDA000030824690006836
、最终输出部
Figure BDA000030824690006837
、最终输出部
Figure BDA000030824690006838
和控制部
Figure BDA000030824690006839
。如图34所例示,本方式的输入信息提供部
Figure BDA000030824690006840
例如具有第一随机数生成部
Figure BDA000030824690006841
、第一输入信息计算部
Figure BDA00003082469000691
、第二随机数生成部
Figure BDA00003082469000692
和第二输入信息计算部
Figure BDA00003082469000693
如图33所例示,第十三实施方式的能力提供装置222例如分别具有第一输出信息计算部22201、第二输出信息计算部22202和控制部21205。
<处理的前提>
在第十三实施方式中,将函数
Figure BDA00003082469000694
设为准同型函数,将群设为巡回群,将群
Figure BDA00003082469000696
的生成元设为
Figure BDA00003082469000697
,将群的位数设为
Figure BDA00003082469000699
,设为
Figure BDA000030824690006910
其他的前提,除了计算装置
Figure BDA000030824690006911
被置换为计算装置
Figure BDA000030824690006912
能力提供装置212被置换为能力提供装置222以外,与第十二实施方式相同。
<处理>
如图37和图38所例示,在第十三实施方式的处理中,第十二实施方式的步骤S21103~S21105、S21108、S21200~S21203分别被置换为步骤S22103~S22105、S22108、S22200~S22203。在以下,仅说明步骤S22103~S22105,S22108,S22200~S22203的处理。
《步骤S22103的处理》
计算装置
Figure BDA000030824690006913
(图32)的输入信息提供部生成并输出与所输入的元分别对应的第一输入信息
Figure BDA000030824690006916
和第二输入信息(图37/步骤S22103)。以下,使用图39来说明本方式的步骤S22103的处理。
第一随机数生成部
Figure BDA000030824690006918
(图34)生成0以上且小于
Figure BDA000030824690006949
的自然数的普通随机数
Figure BDA000030824690006919
。所生成的随机数
Figure BDA000030824690006920
被发送到第一输入信息计算部
Figure BDA000030824690006921
和第一计算部
Figure BDA000030824690006922
(步骤S22103a)。第一输入信息计算部使用所输入的随机数和元
Figure BDA000030824690006925
和自然数
Figure BDA000030824690006926
,计算第一输入信息
Figure BDA000030824690006927
(步骤S22103b)。
第二随机数生成部
Figure BDA000030824690006928
生成0以上且小于
Figure BDA000030824690006929
的自然数的普通随机数
Figure BDA000030824690006930
。所生成的随机数
Figure BDA000030824690006931
被发送到第二输入信息计算部
Figure BDA000030824690006932
和第二计算部
Figure BDA000030824690006933
(步骤S22103c)。第二输入信息计算部
Figure BDA000030824690006934
使用所输入的随机数
Figure BDA000030824690006935
和元
Figure BDA000030824690006936
和自然数计算第二输入信息
Figure BDA000030824690006939
(步骤S22103d)。
第一输入信息计算部
Figure BDA000030824690006940
和第二输入信息计算部
Figure BDA000030824690006941
输出如上所述生成的第一输入信息
Figure BDA000030824690006942
和第二输入信息
Figure BDA000030824690006943
(步骤S22103e)。另外,本方式的第一输入信息
Figure BDA000030824690006944
和第二输入信息
Figure BDA000030824690006945
为分别通过随机数
Figure BDA000030824690006946
Figure BDA000030824690006947
将与元
Figure BDA000030824690006948
的关系搅乱的信息。由此,计算装置222能够对能力提供装置222隐蔽元
Figure BDA00003082469000701
本方式的第一输入信息
Figure BDA00003082469000702
进而对应于在自然数选择部
Figure BDA00003082469000703
中选择的自然数
Figure BDA00003082469000704
,第二输入信息进而对应于在自然数选择部
Figure BDA000030824690007040
中选择的自然数
Figure BDA00003082469000706
。由此,计算装置
Figure BDA00003082469000707
能够以高精度评价从能力提供装置222提供的计算能力。
《步骤S22200~S22203的处理》
如图38所例示,首先,第一输入信息
Figure BDA00003082469000708
输入到能力提供装置222(图33)的第一输出信息计算部22201,第二输入信息
Figure BDA00003082469000709
输入到第二输出信息计算部22202(步骤S22200)。
第一输出信息计算部22201使用第一输入信息
Figure BDA000030824690007010
,以大于某一概率的概率准确地计算
Figure BDA000030824690007011
,将得到的计算结果设为第一输出信息
Figure BDA000030824690007012
。该计算结果即存在准确的情况也存在不准确的情况。即,第一输出信息计算部22201中的计算结果既存在成为
Figure BDA000030824690007013
的情况,也存在没有成为
Figure BDA000030824690007014
的情况(步骤S22201)。
第二输出信息计算部22202使用第二输入信息
Figure BDA000030824690007015
,以大于某一概率的概率准确地计算
Figure BDA000030824690007016
,将得到的计算结果设为第二输出信息。该计算结果即存在准确的情况也存在不准确的情况。即,第二输出信息计算部22202中的计算结果既存在成为
Figure BDA000030824690007018
的情况,也存在没有成为
Figure BDA000030824690007019
的情况(步骤S22202)。
第一输出信息计算部22201输出第一输出信息
Figure BDA000030824690007020
,第二输出信息计算部22202输出第二输出信息
Figure BDA000030824690007021
(步骤S22203)。
《步骤S22104和S22105的处理》
返回到图37,第一输出信息
Figure BDA000030824690007022
输入到计算装置
Figure BDA000030824690007023
(图32)的第一计算部
Figure BDA000030824690007024
,第二输出信息输入到第二计算部。这些第一输出信息
Figure BDA000030824690007027
和第二输出信息
Figure BDA000030824690007028
相当于从能力提供装置222对计算装置
Figure BDA000030824690007029
提供的计算能力(步骤S22104)。
第一计算部使用所输入的随机数
Figure BDA000030824690007030
和第一输出信息
Figure BDA000030824690007042
Figure BDA000030824690007031
来计算
Figure BDA000030824690007032
,并将该计算结果设为
Figure BDA000030824690007033
。计算结果发送到第一幂乘计算部
Figure BDA000030824690007035
。这里,成为
Figure BDA000030824690007036
。即,
Figure BDA000030824690007037
成为关于具有误差
Figure BDA000030824690007039
的可随机化样本器的输出。在后面叙述其理由(步骤S22105)。
《步骤S22108的处理》
第二计算部
Figure BDA00003082469000711
使用所输入的随机数
Figure BDA00003082469000712
和第二输出信息
Figure BDA00003082469000713
计算
Figure BDA00003082469000714
并将该计算结果设为
Figure BDA00003082469000715
。计算结果
Figure BDA00003082469000716
发送到第二幂乘计算部
Figure BDA00003082469000717
。这里,成为
Figure BDA00003082469000718
。即,
Figure BDA00003082469000719
成为关于
Figure BDA000030824690007110
具有误差
Figure BDA000030824690007111
的可随机化样本器的输出。在后面叙述其理由(步骤S22108)。
Figure BDA000030824690007112
成为关于分别具有误差
Figure BDA000030824690007114
的可随机化样本器的输出的理由》
将c设为自然数,将R和R’设为随机数,将能力提供装置222使用
Figure BDA000030824690007115
Figure BDA000030824690007116
进行的计算的计算结果设为
Figure BDA000030824690007117
。即,将第一输出信息计算部22201和第二输出信息计算部22202返回给计算装置
Figure BDA000030824690007118
的计算结果设为
Figure BDA000030824690007119
Figure BDA000030824690007120
。进而,将在群
Figure BDA000030824690007121
中取值的概率变量
Figure BDA000030824690007122
定义为
Figure BDA000030824690007123
这时,成为
Figure BDA000030824690007125
Figure BDA000030824690007126
即,
Figure BDA000030824690007146
Figure BDA000030824690007127
成为关于
Figure BDA000030824690007128
具有误差
Figure BDA000030824690007129
的可随机化样本器的输出。
在上述式展开中,使用
Figure BDA000030824690007130
Figure BDA000030824690007131
,并且
Figure BDA000030824690007132
的性质。该性质基于函数
Figure BDA000030824690007133
为准同型函数,R和R'为随机数。
因此,如果考虑
Figure BDA000030824690007134
为自然数,
Figure BDA000030824690007135
为随机数,则同样地,成为关于
Figure BDA000030824690007137
分别具有误差
Figure BDA000030824690007138
的可随机化样本器的输出。
【第十四实施方式】
第十四实施方式是第十三实施方式的变形例,在时,通过上述的样本器计算
Figure BDA000030824690007141
的值。一般,样本器的计算量比可随机化样本器小。在
Figure BDA000030824690007142
Figure BDA000030824690007143
时,代替可随机化样本器而由样本器进行计算,从而能够减小代理计算系统的计算量。以下,以与第十二实施方式和第十三实施方式不同的部分为中心进行说明,对于共同的部分省略重复说明。
<结构>
如图31所例示,在第十四实施方式的代理计算系统203中,计算装置
Figure BDA000030824690007144
被置换为计算装置
Figure BDA000030824690007145
,能力提供装置222被置换为能力提供装置232。
如图32所例示,第十四实施方式的计算装置
Figure BDA00003082469000721
例如具有:自然数存储部
Figure BDA00003082469000722
、自然数选择部
Figure BDA00003082469000723
、整数计算部
Figure BDA00003082469000724
、输入信息提供部
Figure BDA00003082469000725
、第一计算部
Figure BDA00003082469000726
、第一幂乘计算部
Figure BDA00003082469000727
、第一列表存储部、第二计算部
Figure BDA00003082469000729
、第二幂乘计算部
Figure BDA000030824690007210
第二列表存储部
Figure BDA000030824690007211
、判定部
Figure BDA000030824690007212
、最终输出部
Figure BDA000030824690007213
、控制部
Figure BDA000030824690007214
和第三计算部
如图33所例示,第十四实施方式的能力提供装置232例如具有第一输出信息计算部22201、第二输出信息计算部2202、控制部21205和第三输出信息计算部23203。
<处理>
下面,说明本方式的处理。说明与第十三实施方式的不同点。
如图37和图38所例示,在第十四实施方式的处理中,第十三实施方式的步骤S22103~S22105、S22108、S22200~S22203分别被置换为步骤S23103~S23105、S23108、S22200~S22203和S23205~S23209。在以下,以步骤S23103~S23105、S23108、S22200~S22203和S23205~S23209的处理为中心进行说明。
《步骤S23103的处理》
计算装置
Figure BDA000030824690007216
(图32)的输入信息提供部
Figure BDA000030824690007217
生成并输出与所输入的元
Figure BDA000030824690007218
分别对应的第一输入信息
Figure BDA000030824690007219
和第二输入信息
Figure BDA000030824690007220
(图37/步骤S23103)。
以下,使用图39来说明本方式的步骤S23103的处理。
控制部
Figure BDA000030824690007239
(图32)根据在自然数选择部
Figure BDA000030824690007221
中选择的自然数
Figure BDA000030824690007242
Figure BDA000030824690007222
来控制输入信息提供部
在控制部
Figure BDA000030824690007224
中判定
Figure BDA000030824690007225
是否为1(步骤S23103a),在判定为
Figure BDA000030824690007241
Figure BDA000030824690007226
的情况下,执行上述的步骤S22103a和S22103b的处理,进至步骤S23103g。
另一方面,在步骤S23103a中判定为
Figure BDA000030824690007227
的情况下,第三随机数生成部
Figure BDA000030824690007228
生成0以上且小于
Figure BDA000030824690007229
的自然数的随机数
Figure BDA000030824690007230
。所生成的随机数
Figure BDA000030824690007231
被发送到第三输入信息计算部
Figure BDA000030824690007232
和第三计算部
Figure BDA000030824690007233
(步骤S23103b)。第三输入信息计算部
Figure BDA000030824690007234
使用所输入的随机数
Figure BDA000030824690007235
Figure BDA000030824690007240
和元
Figure BDA000030824690007236
来计算
Figure BDA000030824690007237
,将其设为第一输入信息
Figure BDA000030824690007238
(步骤S23103c)。之后,进至步骤S23103g。
在步骤S23103g中,在控制部
Figure BDA00003082469000731
中判定
Figure BDA00003082469000732
是否为1(步骤S23103g),在判定为
Figure BDA00003082469000733
的情况下,执行上述的步骤S22103c和步骤S22103d的处理。
另一方面,在步骤S23103g中判定为
Figure BDA00003082469000734
的情况下,第三随机数生成部
Figure BDA00003082469000735
生成0以上且小于
Figure BDA00003082469000736
的自然数的随机数。所生成的随机数
Figure BDA00003082469000738
被发送到第三输入信息计算部(步骤S23103h)。第三输入信息计算部使用所输入的随机数
Figure BDA000030824690007311
和元
Figure BDA000030824690007312
来计算,将其设为第二输入信息
Figure BDA000030824690007314
(步骤S23103i)。
第一输入信息计算部
Figure BDA000030824690007315
、第二输入信息计算部
Figure BDA000030824690007316
和第三输入信息计算部
Figure BDA000030824690007317
将如上所述生成的第一输入信息
Figure BDA000030824690007318
和第二输入信息
Figure BDA000030824690007319
与所对应的自然数
Figure BDA000030824690007320
的信息一起输出(步骤S23103e)。另外,本方式的第一输入信息和第二输入信息
Figure BDA000030824690007322
为分别通过随机数
Figure BDA000030824690007323
将与元
Figure BDA000030824690007325
的关系搅乱的信息。由此,计算装置
Figure BDA000030824690007326
能够对能力提供装置232隐蔽元
Figure BDA000030824690007327
《S22200~S22203和S23205~S23209的处理》
以下,使用图38来说明本方式的S22200~S22203和S23205~S23209的处理。
控制部21205(图33)根据所输入的自然数
Figure BDA000030824690007328
,控制第一输出信息计算部22201、第二输出信息计算部22202、和第三输出信息计算部23203。
基于控制部21205的控制,
Figure BDA000030824690007329
时的第一输入信息
Figure BDA000030824690007330
输入到能力提供装置232(图33)的第一输出信息计算部22201,并且
Figure BDA000030824690007332
时的第二输入信息
Figure BDA000030824690007333
输入到第二输出信息计算部22202。
Figure BDA000030824690007334
时的第一输入信息时的第二输入信息输入到第三输出信息计算部23203(步骤S23200)。
在控制部
Figure BDA000030824690007338
中判定
Figure BDA000030824690007339
是否为1(步骤S23205),在判定为
Figure BDA000030824690007346
Figure BDA000030824690007340
的情况下,执行上述的步骤S22201的处理。之后,在控制部
Figure BDA000030824690007341
中判定
Figure BDA000030824690007342
是否为1(步骤S23208),在判定为的情况下,执行上述的步骤S22202的处理,进至步骤S23203。
另一方面,在步骤S23208判定为的情况下,第三输出信息计算部23203使用第二输入信息
Figure BDA00003082469000741
,以大于某一概率的概率准确地计算,将得到的计算结果设为第三输出信息
Figure BDA00003082469000743
。该计算结果即存在准确的情况也存在不准确的情况。即,第三输出信息计算部23203中的计算结果既存在成为
Figure BDA00003082469000744
的情况,也存在没有成为
Figure BDA00003082469000745
的情况(步骤S23209)。之后,进至步骤S23203。
在步骤S23205判定为
Figure BDA00003082469000746
的情况下,第三输出信息计算部23203使用第二输入信息
Figure BDA00003082469000747
,以大于某一概率的概率准确地计算
Figure BDA00003082469000748
Figure BDA00003082469000749
,将得到的计算结果设为第三输出信息
Figure BDA000030824690007410
。该计算结果即存在准确的情况也存在不准确的情况。即,第三输出信息计算部23203中的计算结果既存在成为的情况,也存在没有成为
Figure BDA000030824690007412
的情况(步骤S23206)。
之后,在控制部中判定
Figure BDA000030824690007414
是否为1(步骤S23207),在判定为
Figure BDA000030824690007415
的情况下进至步骤S23203,在判定为
Figure BDA000030824690007416
的情况下进至步骤S22202。
在步骤S23203中,生成了第一输出信息
Figure BDA000030824690007417
的第一输出信息计算部22201输出第一输出信息,生成了第二输出信息
Figure BDA000030824690007419
的第二输出信息计算部22202输出第二输出信息
Figure BDA000030824690007420
,生成了第三输出信息
Figure BDA000030824690007421
的第三输出信息计算部23202输出第三输出信息
Figure BDA000030824690007422
(步骤S23203)。
《步骤S23104和S23105的处理》
返回到图37,在控制部
Figure BDA000030824690007423
的控制下,第一输出信息
Figure BDA000030824690007424
输入到计算装置
Figure BDA000030824690007425
(图32)的第一计算部
Figure BDA000030824690007426
,第二输出信息输入到第二计算部,第三输出信息
Figure BDA000030824690007429
输入到第三计算部
Figure BDA000030824690007430
(步骤S23104)。
如果
Figure BDA000030824690007431
,则第一计算部
Figure BDA000030824690007432
通过上述的步骤S22105的处理生成
Figure BDA000030824690007454
,如果
Figure BDA000030824690007433
,则第三计算部
Figure BDA000030824690007434
计算
Figure BDA000030824690007435
并将其计算结果设为
Figure BDA000030824690007436
。计算结果
Figure BDA000030824690007437
发送到第一幂乘计算部
Figure BDA000030824690007438
。这里,在
Figure BDA000030824690007439
Figure BDA000030824690007455
时成为
Figure BDA000030824690007440
即,
Figure BDA000030824690007441
成为关于
Figure BDA000030824690007442
具有误差
Figure BDA000030824690007443
的样本器。在后面叙述其理由(步骤S23105)。
《步骤S23108的处理》
如果,则第二计算部
Figure BDA000030824690007445
通过上述的步骤S22108的处理生成
Figure BDA000030824690007446
,如果
Figure BDA000030824690007447
,则第三计算部
Figure BDA000030824690007448
计算
Figure BDA000030824690007449
并将其计算结果设为
Figure BDA000030824690007450
。计算结果发送到第二幂乘计算部
Figure BDA000030824690007452
。这里,在
Figure BDA000030824690007453
1的情况下,成为
Figure BDA00003082469000751
即,
Figure BDA00003082469000752
成为关于
Figure BDA00003082469000753
具有误差
Figure BDA00003082469000754
的样本器。在后面叙述其理由(步骤S23108)。
另外,在的计算即
Figure BDA00003082469000756
的幂乘根的计算困难的情况下,也可以如下计算
Figure BDA00003082469000757
和/或
Figure BDA00003082469000758
。第三计算部
Figure BDA00003082469000759
将随机数和基于该随机数计算出的
Figure BDA000030824690007512
的组依次设为(α1,β1),(α2,β2),…,(α,β),…并存储到未图示的存储部。m是自然数。第三计算部也可以是,如果α1,α2,…,αm的最小公倍数为1,则将γ1,γ2,…,γm设为整数并计算成为γ1α1+γ2α2+…+γmαm=1的γ1,γ2,…,γm,并使用该γ1,γ2,…,γm来计算Πi=1 mβi γi=β1 γ1β2 γ2…βm γm,将该计算结果设为和/或
Figure BDA000030824690007515
Figure BDA000030824690007516
成为关于
Figure BDA000030824690007517
具备误差的样本器的理由》
将R设为随机数,将能力提供装置232使用进行的计算的计算结果设为
Figure BDA000030824690007520
。即,将第一输出信息计算部22201、第二输出信息计算部22202和第三输出信息计算部23203返回给计算装置
Figure BDA000030824690007521
的计算结果设为
Figure BDA000030824690007522
进而,将在群
Figure BDA000030824690007524
中取值的概率变量
Figure BDA000030824690007525
定义为
Figure BDA000030824690007526
Figure BDA000030824690007527
这时,成为
Figure BDA000030824690007528
即,成为关于
Figure BDA000030824690007530
具有误差的样本器。
在上述式展开中,使用
Figure BDA000030824690007532
,并且
Figure BDA000030824690007533
Figure BDA000030824690007534
的性质。该性质基于R为随机数。
因此,如果考虑
Figure BDA000030824690007535
为随机数,则同样地,成为关于
Figure BDA000030824690007537
Figure BDA000030824690007538
具有误差
Figure BDA000030824690007539
的样本器。
【第十五实施方式】
第十五实施方式的代理计算系统是将上述的第一可随机化样本器和第二可随机化样本器具体化的其他例子。具体地,在本方式中,将
Figure BDA000030824690007540
设为用于将作为第一密码文的群
Figure BDA000030824690007541
的元
Figure BDA000030824690007542
变换为作为群
Figure BDA000030824690007543
的元的第二密码文
Figure BDA000030824690007544
的函数。其中,第一密码文
Figure BDA000030824690007545
是按照第一加密方式
Figure BDA000030824690007546
通过第一加密密钥
Figure BDA000030824690007547
对平文
Figure BDA000030824690007548
进行加密后的密码文,第二密码文
Figure BDA000030824690007549
Figure BDA000030824690007550
是按照第二加密方式
Figure BDA000030824690007551
通过第二加密密钥
Figure BDA000030824690007552
Figure BDA000030824690007558
对平文
Figure BDA000030824690007553
进行加密后的密码文。第二加密方式
Figure BDA000030824690007554
是ElGamal密码方式,函数
Figure BDA000030824690007555
是准同型函数。另外,对第一加密方式
Figure BDA000030824690007556
没有特别限定,第一加密方式
Figure BDA00003082469000761
可以是如ElGamal密码方式的概率密码方式,也可以是如RSA密码方式的确定密码方式。
以下,以与第十二实施方式不同的部分为中心进行说明,对于共同的部分省略重复说明。
如图31所例示,在第十五实施方式的代理计算系统204中,计算装置
Figure BDA00003082469000762
被置换为计算装置
Figure BDA00003082469000763
,能力提供装置212被置换为能力提供装置242。
如图32所例示,第十五实施方式的计算装置
Figure BDA00003082469000764
例如具有:自然数存储部、自然数选择部
Figure BDA00003082469000766
、整数计算部、输入信息提供部
Figure BDA00003082469000768
、第一计算部
Figure BDA00003082469000769
、第一幂乘计算部
Figure BDA000030824690007610
、第一列表存储部
Figure BDA000030824690007611
、第二计算部
Figure BDA000030824690007612
、第二幂乘计算部
Figure BDA000030824690007613
第二列表存储部
Figure BDA000030824690007614
、判定部
Figure BDA000030824690007615
、最终输出部
Figure BDA000030824690007616
和控制部
Figure BDA000030824690007617
。如图35所例示,本方式的输入信息提供部
Figure BDA000030824690007618
例如具有第一随机数生成部、第一输入信息计算部
Figure BDA000030824690007620
、第二随机数生成部
Figure BDA000030824690007621
和第二输入信息计算部
Figure BDA000030824690007622
如图33所例示,第十五实施方式的能力提供装置242例如具有第一输出信息计算部24201、第二输出信息计算部24202和控制部21205。
<处理的前提>
在第十五实施方式中,群
Figure BDA000030824690007623
是巡回群
Figure BDA000030824690007624
的直积群
Figure BDA000030824690007625
是群的生成元,
Figure BDA000030824690007627
是群的生成元,第二加密密钥
Figure BDA000030824690007629
Figure BDA000030824690007630
Figure BDA000030824690007631
Figure BDA000030824690007632
为整数的随机数,值
Figure BDA000030824690007633
Figure BDA000030824690007634
Figure BDA000030824690007635
既可以是也可以是
Figure BDA000030824690007637
如上所述,对第一加密方式
Figure BDA000030824690007638
没有限定,例如在第一加密方式
Figure BDA000030824690007639
为ElGamal密码方式的情况下,群
Figure BDA000030824690007640
成为巡回群
Figure BDA000030824690007641
的直积群
Figure BDA000030824690007642
成为整数的随机数,
Figure BDA000030824690007643
成为群
Figure BDA000030824690007644
的生成元,
Figure BDA000030824690007645
成为群
Figure BDA000030824690007646
的生成元,第一加密密钥
Figure BDA000030824690007647
成为
Figure BDA000030824690007648
第一密码文
Figure BDA000030824690007649
Figure BDA000030824690007650
成为
Figure BDA000030824690007651
既可以是也可以是
Figure BDA000030824690007653
另外,在
Figure BDA000030824690007654
并且ε为自然数的情况下,Αε表示(α1 ε,α2 ε),Α表示(α1 ,α2 ),ΑΒ表示(α1β1,α2β2)。同样地,在ε为自然数、
Figure BDA00003082469000771
Figure BDA00003082469000772
的情况下,Αε表示(α1 ε,α2 ε),Α表示(α1 ,α2 ),ΑΒ表示(α1β1,α2β2)。将
Figure BDA00003082469000773
设为对
Figure BDA00003082469000774
赋予巡回群
Figure BDA00003082469000775
的元的双线型映像。双线型映像的例子是,用于进行Weil配对、Tate配对等的配对运算的函数或算法(参照参考文献2:Alfred. J. Menezes,"ELLIPTICCURVE PUBLIC KEY CRYPTOSYSTEMS," KLUWER ACADEMICPUBLISHERS, ISBN0-7923-9368-6,pp. 61-81、参考文献3:RFC 5091,"Identity-Based Cryptography Standard (IBCS) #1," Supersingular CurveImplementations of the BF and BB1 Cryptosystems等)。
<处理>
如图37和图38所例示,在第十五实施方式的处理中,第十二实施方式的步骤S21103~S21105、S21107、S21108、S21110、S21200~S21203分别被置换为步骤S24103~S24105、S24107、S24108、S24110、S24200~S24203。在以下,仅说明步骤S24103~S24105,S24107,S24108,S24110,S24200~S24203的处理。
《步骤S24103的处理》
计算装置
Figure BDA00003082469000776
(图32)的输入信息提供部
Figure BDA00003082469000777
生成并输出与所输入的元
Figure BDA00003082469000778
对应的第一输入信息和第二输入信息(图37/步骤S24103)。以下,使用图40来说明本方式的步骤S24103的处理。
第一随机数生成部
Figure BDA000030824690007711
(图35)生成群
Figure BDA000030824690007712
的任意的元
Figure BDA000030824690007713
Figure BDA000030824690007714
在本方式中,从群
Figure BDA000030824690007715
随机且普通地选择元 (普通随机数)。所生成的元
Figure BDA000030824690007717
被发送到第一输入信息计算部
Figure BDA000030824690007718
和第一计算部(步骤S24103a)。
第一输入信息计算部
Figure BDA000030824690007720
使用在自然数选择部
Figure BDA000030824690007721
中选择的自然数
Figure BDA000030824690007722
、元
Figure BDA000030824690007723
、元
Figure BDA000030824690007724
、和第一加密密钥
Figure BDA000030824690007725
,作为第一输入信息
Figure BDA000030824690007726
而计算(步骤S24103b)。
第二随机数生成部
Figure BDA000030824690007728
生成群
Figure BDA000030824690007729
的任意的元
Figure BDA000030824690007730
在本方式中,从群
Figure BDA000030824690007731
随机且普通地选择元
Figure BDA000030824690007732
(普通随机数)。所生成的元h
Figure BDA000030824690007733
被发送到第二输入信息计算部
Figure BDA000030824690007734
和第二计算部
Figure BDA000030824690007735
(步骤S24103c)。
第二输入信息计算部
Figure BDA00003082469000781
使用在自然数选择部
Figure BDA00003082469000782
中选择的自然数
Figure BDA00003082469000783
、元、元
Figure BDA00003082469000785
、和第一加密密钥
Figure BDA00003082469000786
,作为第二输入信息
Figure BDA00003082469000787
而计算
Figure BDA00003082469000788
(步骤S24103d)。
第一输入信息计算部
Figure BDA00003082469000789
输出如上生成的第一输入信息
Figure BDA000030824690007810
Figure BDA000030824690007811
第二输入信息计算部
Figure BDA000030824690007812
输出如上生成的第二输入信息
Figure BDA000030824690007813
(步骤S24103e)。
《步骤S24200~S24203的处理》
如图38所例示,首先,第一输入信息
Figure BDA000030824690007814
Figure BDA000030824690007815
输入到能力提供装置242(图33)的第一输出信息计算部24201,第二输入信息
Figure BDA000030824690007816
输入到第二输出信息计算部24202(步骤S24200)。
第一输出信息计算部24201使用第一输入信息
Figure BDA000030824690007817
Figure BDA000030824690007818
和与第一加密密钥
Figure BDA000030824690007819
对应的第一解码密钥
Figure BDA000030824690007820
和第二加密密钥
Figure BDA000030824690007821
,以大于某一概率的概率准确地计算
Figure BDA000030824690007822
Figure BDA000030824690007823
,将计算结果设为第一输出信息
Figure BDA000030824690007824
。该计算结果即存在准确的情况也存在不准确的情况。即,第一输出信息计算部24201中的计算结果既存在成为
Figure BDA000030824690007825
的情况,也存在没有成为的情况(步骤S24201)。
其中,本方式的函数是,用于将按照第一加密方式通过第一解码密钥
Figure BDA000030824690007829
对密码文进行解码而得到的值,按照ElGamal密码方式通过第二加密密钥
Figure BDA000030824690007830
进行加密的准同型函数。例如,在第一加密方式
Figure BDA000030824690007831
和第二加密方式
Figure BDA000030824690007832
都是ElGamal密码方式的情况下,函数
Figure BDA000030824690007833
是,用于将按照ElGamal密码方式通过第一解码密钥
Figure BDA000030824690007834
对密码文进行解码而得到的值,按照ElGamal密码方式通过第二加密密钥
Figure BDA000030824690007835
进行加密的准同型函数。
第二输出信息计算部24202能够使用第二输入信息
Figure BDA000030824690007836
Figure BDA000030824690007837
和第一解码密钥
Figure BDA000030824690007838
和第二加密密钥
Figure BDA000030824690007839
以大于某一概率的概率准确计算
Figure BDA000030824690007844
,将得到的计算结果设为。该计算结果即存在准确的情况也存在不准确的情况。即,第二输出信息计算部24202中的计算结果既存在成为
Figure BDA000030824690007841
Figure BDA000030824690007842
的情况,也存在没有成为
Figure BDA000030824690007843
Figure BDA00003082469000791
的情况(步骤S24202)。
第一输出信息计算部24201输出第一输出信息
Figure BDA00003082469000792
,第二输出信息计算部24202输出第二输出信息
Figure BDA00003082469000793
(步骤S24203)。
《步骤S24104和S24105的处理》
返回到图37,第一输出信息
Figure BDA00003082469000794
输入到计算装置
Figure BDA00003082469000795
(图32)的第一计算部
Figure BDA00003082469000796
,第二输出信息
Figure BDA00003082469000797
输入到第二计算部
Figure BDA00003082469000798
(步骤S24104)。
第一计算部
Figure BDA00003082469000799
使用所输入的第一输出信息
Figure BDA000030824690007910
、元 、和第二加密密钥
Figure BDA000030824690007912
,计算并将该计算结果设为(步骤S24105)。计算结果发送到第一幂乘计算部
Figure BDA000030824690007916
这里,成为
Figure BDA000030824690007917
。即,
Figure BDA000030824690007918
成为关于
Figure BDA000030824690007919
具有误差
Figure BDA000030824690007920
的可随机化样本器的输出。在后面叙述其理由。
《步骤S24108的处理》
第二计算部
Figure BDA000030824690007921
使用所输入的第二输出信息
Figure BDA000030824690007922
、元h
Figure BDA000030824690007923
、和第二加密密钥
Figure BDA000030824690007924
,计算并将该计算结果设为
Figure BDA000030824690007926
。计算结果
Figure BDA000030824690007927
发送到第二幂乘计算部
Figure BDA000030824690007928
。这里,成为 即,
Figure BDA000030824690007932
成为关于
Figure BDA000030824690007933
具有误差
Figure BDA000030824690007934
的可随机化样本器的输出。在后面叙述其理由。
《步骤S24107的处理》
判定部在第一列表存储部
Figure BDA000030824690007936
中存储的组
Figure BDA000030824690007937
和在第二列表存储部
Figure BDA000030824690007938
中存储的组
Figure BDA000030824690007939
中,判定是否存在
Figure BDA000030824690007962
Figure BDA000030824690007940
Figure BDA000030824690007941
属于对于互相相同的元
Figure BDA000030824690007942
的类
Figure BDA000030824690007943
的组。本方式的判定部
Figure BDA000030824690007944
关于
Figure BDA000030824690007945
Figure BDA000030824690007946
,判定是否存在满足关系
Figure BDA000030824690007948
的组(步骤S24107)。通过判定
Figure BDA000030824690007949
Figure BDA000030824690007950
是否满足该关系,从而能够判定
Figure BDA000030824690007951
Figure BDA000030824690007952
是否属于对于互相相同的元
Figure BDA000030824690007953
的类
Figure BDA000030824690007954
Figure BDA000030824690007955
,对于其理由在后面叙述。
如果在第二列表存储部
Figure BDA000030824690007956
中没有存储组的情况下,不进行该步骤S24107的处理,进行下一个步骤S21108的处理。在存在属于对于相同的元
Figure BDA000030824690007958
的类
Figure BDA000030824690007959
Figure BDA000030824690007960
Figure BDA000030824690007961
的组的情况下(存在满足上述的关系
Figure BDA00003082469000801
Figure BDA00003082469000802
的组的情况),进至步骤S21114。在不存在属于对于相同的元
Figure BDA00003082469000803
的类
Figure BDA00003082469000804
Figure BDA00003082469000805
的组的情况下,进至步骤S24108。
《步骤S24110的处理》
判定部
Figure BDA00003082469000807
在第一列表存储部
Figure BDA00003082469000808
中存储的组
Figure BDA00003082469000809
和在第二列表存储部
Figure BDA000030824690008010
中存储的组
Figure BDA000030824690008011
中,判定是否存在
Figure BDA000030824690008045
Figure BDA000030824690008012
属于对于互相相同的元
Figure BDA000030824690008014
的类
Figure BDA000030824690008015
的组。本方式的判定部关于
Figure BDA000030824690008017
Figure BDA000030824690008018
判定是否存在满足关系
Figure BDA000030824690008020
的组(步骤S24110)。在存在属于对于相同的元
Figure BDA000030824690008044
的类
Figure BDA000030824690008021
Figure BDA000030824690008022
Figure BDA000030824690008023
的组的情况下,进至步骤S21114。在不存在属于对于相同的元
Figure BDA000030824690008024
的类
Figure BDA000030824690008025
Figure BDA000030824690008026
Figure BDA000030824690008027
的组的情况下,进至步骤S21111。
另外,在使用特殊的群
Figure BDA000030824690008028
或双线型映像
Figure BDA000030824690008029
的情况下,能够限制使计算装置
Figure BDA000030824690008030
执行步骤S24107和S24110的处理。在后面叙述其细节。
Figure BDA000030824690008031
成为关于
Figure BDA000030824690008032
分别具有误差
Figure BDA000030824690008033
的可随机化样本器的输出的理由》
如果考虑固定任意的元
Figure BDA000030824690008034
则关于将元
Figure BDA000030824690008035
Figure BDA000030824690008036
中的随机数
Figure BDA000030824690008037
作为概率空间的概率分布成立以下的关系。其中,在以下的关系中,[Ψ1]=[Ψ2]意味着,Ψ1和Ψ2作为将随机数r设为概率空间的概率分布而相等。
Figure BDA000030824690008038
表示用于按照第一加密方式
Figure BDA000030824690008039
通过第一解码密钥
Figure BDA000030824690008040
对元
Figure BDA000030824690008041
进行解码的函数。设为
Figure BDA000030824690008042
Figure BDA000030824690008043
Figure BDA00003082469000811
因此,如果考虑将随机数
Figure BDA00003082469000812
和群上的普通且随机的元
Figure BDA00003082469000814
的两方作为概率空间,在群
Figure BDA00003082469000815
中取值的概率变量为
Figure BDA00003082469000817
则关于
Figure BDA00003082469000818
成立以下的关系。
Figure BDA00003082469000819
Figure BDA000030824690008110
Figure BDA000030824690008112
同样,关于
Figure BDA000030824690008113
,成立
Figure BDA000030824690008114
Figure BDA000030824690008115
的关系。因此,
Figure BDA000030824690008116
Figure BDA000030824690008117
成为关于
Figure BDA000030824690008118
分别具有误差的可随机化样本器的输出。
《通过判定是否满足关系
Figure BDA000030824690008120
Figure BDA000030824690008121
从而能够判定
Figure BDA000030824690008123
属于对于互相相同的元
Figure BDA000030824690008124
的类
Figure BDA000030824690008125
的理由》
假设
Figure BDA000030824690008126
Figure BDA000030824690008127
属于对于互相相同的元
Figure BDA000030824690008128
的类。在该情况下,第一可随机化样本器准确地计算
Figure BDA000030824690008130
,并且第二可随机化样本器准确地计算(
Figure BDA000030824690008152
为群
Figure BDA000030824690008153
的单位元
Figure BDA000030824690008154
)的可能性高。因此,并且
Figure BDA000030824690008135
Figure BDA000030824690008136
的可能性高。其中,
Figure BDA000030824690008137
是根据ElGamal密码方式的随机数成分和在自然数选择部
Figure BDA000030824690008138
中选择的自然数的组决定的值。在该情况下,根据双线型映像
Figure BDA000030824690008139
的性质,对于
Figure BDA000030824690008140
Figure BDA000030824690008141
,满足如下的关系的可能性高。
Figure BDA000030824690008142
Figure BDA000030824690008143
Figure BDA000030824690008144
Figure BDA000030824690008145
Figure BDA000030824690008146
对于
Figure BDA000030824690008147
,满足以下的关系的可能性高。
Figure BDA000030824690008149
Figure BDA00003082469000821
Figure BDA00003082469000822
Figure BDA00003082469000823
因此,在
Figure BDA00003082469000824
属于对于互相相同的元
Figure BDA00003082469000826
的类
Figure BDA00003082469000827
的情况下,满足关系
Figure BDA00003082469000828
Figure BDA00003082469000829
的可能性高。
下面,假设
Figure BDA000030824690008210
Figure BDA000030824690008211
属于对于互相不同的元的类。即,假设属于对于元
Figure BDA000030824690008213
的类属于对于元的类C
Figure BDA000030824690008216
则成为
Figure BDA000030824690008217
并且成为
Figure BDA000030824690008218
。因此,对于
Figure BDA000030824690008220
满足
Figure BDA000030824690008221
Figure BDA000030824690008222
,对于满足
Figure BDA000030824690008225
。因此,在属于对于互相不同的元的类的情况下,成为关系
Figure BDA000030824690008228
Figure BDA000030824690008229
的可能性高。
《特殊的群和双线型映像
在如下限定群
Figure BDA000030824690008232
和双线型映像
Figure BDA000030824690008233
的结构的情况下,能够限制使计算装置
Figure BDA000030824690008234
进行步骤S24107和S24110的处理。以下,叙述其细节。
在该特殊的例子中,
Figure BDA000030824690008235
为质数与质数
Figure BDA000030824690008236
的合成数,群
Figure BDA000030824690008237
分别为由在以合成数
Figure BDA000030824690008238
作为法的剩余环
Figure BDA000030824690008239
上定义的第一椭圆曲线
Figure BDA000030824690008240
上的点构成的部分群,
Figure BDA000030824690008241
为由在以质数
Figure BDA000030824690008242
作为法的剩余体
Figure BDA000030824690008243
Figure BDA000030824690008268
上定义的第二椭圆曲线
Figure BDA000030824690008244
上的点构成的部分群,
Figure BDA000030824690008245
为由在以质数
Figure BDA000030824690008246
作为法的剩余体
Figure BDA000030824690008247
上定义的第三椭圆曲线
Figure BDA000030824690008248
上的点构成的部分群,
Figure BDA000030824690008249
为对
Figure BDA000030824690008250
赋予巡回群
Figure BDA000030824690008251
的元的双线型映像,
Figure BDA000030824690008252
为对
Figure BDA000030824690008253
赋予巡回群
Figure BDA000030824690008254
的元的第二双线型映像,
Figure BDA000030824690008255
为对
Figure BDA000030824690008256
赋予巡回群
Figure BDA000030824690008257
的元的第三双线型映像,为将第一椭圆曲线上的点映射到第二椭圆曲线
Figure BDA000030824690008260
上的点和第三椭圆曲线
Figure BDA000030824690008261
上的点的同型映像,
Figure BDA000030824690008262
为同型映像
Figure BDA000030824690008263
的逆像。
在该例子的情况下,双线型映射
Figure BDA000030824690008264
定义于在剩余环
Figure BDA000030824690008265
上定义的第一椭圆曲线
Figure BDA000030824690008266
上。但是,以多项式时间计算在剩余环上定义的椭圆曲线上定义的双线型映像
Figure BDA00003082469000831
的方法不是已知的,能够以多项式时间计算的在剩余环上定义的椭圆曲线上定义的双线型映像
Figure BDA00003082469000832
的构成方法也没有已知(参考文献4:Alexander W. Dent and Steven D. Galbraith,"Hidden Pairings and Trapdoor DDH Groups," ANTS 2006, LNCS 4076, pp.436-451, 2006.)。在如此的设定的情况下,判定部24111无法在剩余环
Figure BDA000030824690008331
Figure BDA00003082469000833
上直接计算双线型映像
Figure BDA00003082469000834
而判定是否满足关系
Figure BDA00003082469000835
Figure BDA00003082469000836
另一方面,作为在剩余体
Figure BDA00003082469000837
上定义的椭圆曲线上定义的
Figure BDA00003082469000838
Figure BDA00003082469000839
,存在能够以多项式时间计算的Weil配对和Tate配对等(参照参考文献2,3等)。作为如此的以多项式时间进行
Figure BDA000030824690008310
Figure BDA000030824690008332
Figure BDA000030824690008311
的算法,已知Miller算法(参考文献5:V. S. Miller, “ShortPrograms for functions on Curves,”1986,因特网<http://crypto.stanford.edu/miller/miller.pdf>」等。进而,也已知用于有效地进行如此的
Figure BDA000030824690008312
的椭圆曲线和巡回群的构成方法(例如,参照参考文献3、参考文献6:A. Miyaji, M. Nakabayashi, S.Takano, "Newexplicit conditions of elliptic curve Traces for FR-Reduction," IEICE Trans.Fundamentals, vol. E84-A, no05, pp. 1234-1243, May 2001」、参考文献7:P.S.L.M. Barreto, B. Lynn, M. Scott, "Constructing elliptic curves with prescribedembedding degrees," Proc. SCN '2002, LNCS 2576, pp.257-267, Springer-Verlag.2003」、参考文献8:R. Dupont, A. Enge, F. Morain, "Building curves witharbitrary small MOV degree over finite prime fields,"http://eprint.iacr.org/2002/094/等)。
基于中国人的剩余定理(Chinese remainder theorem),已知存在从以合成数
Figure BDA000030824690008314
作为法的剩余环
Figure BDA000030824690008315
映射到剩余体
Figure BDA000030824690008316
和剩余体
Figure BDA000030824690008317
的直积的同型映像,并且存在从剩余体和剩余体
Figure BDA000030824690008319
Figure BDA000030824690008333
的直积映射到剩余环的同型映像(参考文献9:ヨハネス ブーフマン,”暗号理論入門”,シュプリンガー·フェアラーク東京 (2001/07),ISBN-10: 4431708669 ISBN-13,pp. 52-56)。即,存在将第一椭圆曲线
Figure BDA000030824690008321
上的点映射到第二椭圆曲线上的点和第三椭圆曲线
Figure BDA000030824690008323
上的点的同型映像、及其逆像
Figure BDA000030824690008325
。若举一例,能够将把剩余环
Figure BDA000030824690008326
的元
Figure BDA000030824690008335
Figure BDA000030824690008334
映射到剩余体
Figure BDA000030824690008328
的元
Figure BDA000030824690008329
和剩余体
Figure BDA000030824690008330
的元
Figure BDA00003082469000841
的同型映像设为
Figure BDA00003082469000842
将把剩余体
Figure BDA00003082469000843
的元
Figure BDA00003082469000844
和剩余体的元
Figure BDA00003082469000846
映射到剩余环
Figure BDA00003082469000847
的元
Figure BDA00003082469000849
的映像设为
Figure BDA000030824690008410
。其中,
Figure BDA000030824690008411
Figure BDA000030824690008412
是满足
Figure BDA000030824690008413
的自然数。使用扩展欧几里得的互除法,能够容易地生成如此的
Figure BDA000030824690008414
。根据
Figure BDA000030824690008415
Figure BDA000030824690008416
的关系,将作用到
Figure BDA000030824690008418
,则成为
Figure BDA000030824690008419
Figure BDA000030824690008421
Figure BDA000030824690008422
,可知在该一例中的映像处于
Figure BDA000030824690008423
Figure BDA000030824690008424
的关系。
因此,若赋予将合成数
Figure BDA000030824690008425
质因素分解后的值即质数
Figure BDA000030824690008426
和质数
Figure BDA000030824690008427
的值,则判定部24111通过以下的步骤A~D的处理,能够计算在剩余环
Figure BDA000030824690008428
上定义的第一椭圆曲线
Figure BDA000030824690008429
上的双线型映像
Figure BDA000030824690008430
(步骤A)判定部24111使用同型映像,将在剩余环
Figure BDA000030824690008432
上定义的第一椭圆曲线上的点
Figure BDA000030824690008434
映射到在剩余体上定义的第二椭圆曲线
Figure BDA000030824690008436
上的点
Figure BDA000030824690008437
和在剩余体
Figure BDA000030824690008438
上定义的第三椭圆曲线
Figure BDA000030824690008439
上的点
Figure BDA000030824690008440
(步骤B)判定部24111使用同型映像
Figure BDA000030824690008441
,将在剩余环
Figure BDA000030824690008442
上定义的第一椭圆曲线上的点
Figure BDA000030824690008444
映射到在剩余体
Figure BDA000030824690008445
上定义的第二椭圆曲线
Figure BDA000030824690008446
上的点
Figure BDA000030824690008447
和在剩余体上定义的第三椭圆曲线
Figure BDA000030824690008449
上的点
Figure BDA000030824690008450
(步骤C)判定部24111求在第二椭圆曲线
Figure BDA000030824690008451
和第三椭圆曲线
Figure BDA000030824690008452
中的
Figure BDA000030824690008453
Figure BDA000030824690008454
(步骤D)判定部24111将对所得到的运算结果
Figure BDA000030824690008455
Figure BDA000030824690008456
作用了逆像
Figure BDA000030824690008457
后的值设为
Figure BDA000030824690008458
因此,如果赋予了质数和质数的值,则判定部24111能够按照步骤A~D来计算
Figure BDA000030824690008461
Figure BDA000030824690008462
判定是否满足关系
Figure BDA000030824690008463
Figure BDA000030824690008464
另一方面,以多项式时间进行大的合成数的质因数分解的方法不是已知的。因此,在该设定的情况下,在没有赋予质数
Figure BDA000030824690008466
和质数
Figure BDA000030824690008467
的至少一方的判定部24111无法判定是否满足关系
Figure BDA00003082469000851
Figure BDA00003082469000852
在使用了如上的特殊的群
Figure BDA00003082469000853
和双线型映像
Figure BDA00003082469000854
的情况下,能够将使计算装置
Figure BDA00003082469000855
执行步骤S24107和S24110的处理者限制于知道质数
Figure BDA00003082469000856
和质数
Figure BDA00003082469000857
的至少一方者。
【第十六实施方式】
第十六实施方式的代理计算系统是将上述的第一可随机化样本器和第二可随机化样本器具体化的其他例子。具体地,对
Figure BDA00003082469000858
为群
Figure BDA00003082469000859
的直积群
Figure BDA000030824690008510
Figure BDA000030824690008511
为巡回群、函数
Figure BDA000030824690008512
为ElGamal密码的解码函数即对于作为密码文的元
Figure BDA000030824690008513
和解码密钥
Figure BDA000030824690008514
Figure BDA000030824690008515
Figure BDA000030824690008516
的情况下的第一可随机化样本器和第二可随机化样本器的例子进行了具体化。以下,以与第十二实施方式不同的部分为中心进行说明,对于共同的部分省略重复说明。
如图31所例示,在第十六实施方式的代理计算系统205中,计算装置被置换为计算装置能力提供装置212被置换为能力提供装置252。
如图32所例示,第十六实施方式的计算装置例如具有:自然数存储部
Figure BDA000030824690008520
自然数选择部
Figure BDA000030824690008521
整数计算部
Figure BDA000030824690008522
输入信息提供部第一计算部
Figure BDA000030824690008524
第一幂乘计算部第一列表存储部
Figure BDA000030824690008545
第二计算部
Figure BDA000030824690008526
第二幂乘计算部
Figure BDA000030824690008527
第二列表存储部
Figure BDA000030824690008528
判定部
Figure BDA000030824690008529
最终输出部
Figure BDA000030824690008530
和控制部如图36所例示,本方式的输入信息提供部
Figure BDA000030824690008532
例如具有第四随机数生成部
Figure BDA000030824690008533
第五随机数生成部
Figure BDA000030824690008534
第一输入信息计算部
Figure BDA000030824690008535
第六随机数生成部
Figure BDA000030824690008536
第七随机数生成部
Figure BDA000030824690008546
Figure BDA000030824690008537
和第二输入信息计算部
Figure BDA000030824690008538
第一输入信息计算部
Figure BDA000030824690008539
例如具有第四输入信息计算部
Figure BDA000030824690008540
和第五输入信息计算部
Figure BDA000030824690008541
第二输入信息计算部
Figure BDA000030824690008542
具有第六输入信息计算部
Figure BDA000030824690008543
和第七输入信息计算部
如图33所例示,第十六实施方式的能力提供装置252例如具有第一输出信息计算部25201、第二输出信息计算部25202和控制部21205。
<处理>
下面,说明本方式的处理。在第十六实施方式中,群
Figure BDA00003082469000861
Figure BDA000030824690008655
Figure BDA00003082469000862
为准同型函数,将群
Figure BDA00003082469000863
的生成元设为
Figure BDA00003082469000864
将群
Figure BDA00003082469000865
的位数设为
Figure BDA00003082469000866
对计算装置
Figure BDA00003082469000867
和能力提供装置252事先设定对于相同的解码密钥
Figure BDA00003082469000868
的密码文
Figure BDA00003082469000869
和对该密码文进行了解码后的解码文
Figure BDA000030824690008610
的组,计算装置
Figure BDA000030824690008656
Figure BDA000030824690008611
和能力提供装置252能够利用该组。
如图37和38所例示,在第十六实施方式的处理中,第十二实施方式的步骤S21103~S21105、S21108、S21200~S21203分别被置换为步骤S25103~S25105、S25108、S25200~S25203。在以下,仅说明步骤S25103~S25105,S25108,S25200~S25203的处理。
《步骤S25103的处理》
计算装置
Figure BDA000030824690008612
(图32)的输入信息提供部
Figure BDA000030824690008613
生成并输出与所输入的元
Figure BDA000030824690008614
对应的第一输入信息
Figure BDA000030824690008615
和与元
Figure BDA000030824690008616
Figure BDA000030824690008617
对应的第二输入信息
Figure BDA000030824690008618
(图37/步骤S25103)。以下,使用图41来说明本方式的步骤S25103的处理。
第四随机数生成部
Figure BDA000030824690008619
(图36)生成0以上且小于
Figure BDA000030824690008620
的自然数的普通随机数
Figure BDA000030824690008621
所生成的随机数被发送到第四输入信息计算部
Figure BDA000030824690008623
第五输入信息计算部和第一计算部
Figure BDA000030824690008625
(步骤S25103a)。第五随机数生成部
Figure BDA000030824690008657
生成0以上且小于
Figure BDA000030824690008626
的自然数的普通随机数
Figure BDA000030824690008627
所生成的随机数被发送到第五输入信息计算部
Figure BDA000030824690008629
和第一计算部
Figure BDA000030824690008630
(步骤S25103b)。
第四输入信息计算部
Figure BDA000030824690008631
使用在自然数选择部中选择的自然数
Figure BDA000030824690008633
所包含的
Figure BDA000030824690008635
和随机数
Figure BDA000030824690008636
计算第五输入信息
Figure BDA000030824690008637
(步骤S25103c)。第五输入信息计算部
Figure BDA000030824690008638
使用在自然数选择部
Figure BDA000030824690008639
中选择的自然数
Figure BDA000030824690008640
Figure BDA000030824690008641
所包含的和随机数
Figure BDA000030824690008643
计算第五输入信息
Figure BDA000030824690008644
(步骤S25103d)。
第六随机数生成部生成0以上且小于的自然数的普通随机数
Figure BDA000030824690008647
。所生成的随机数
Figure BDA000030824690008648
被发送到第六输入信息计算部
Figure BDA000030824690008649
第七输入信息计算部
Figure BDA000030824690008650
和第二计算部
Figure BDA000030824690008651
(步骤S25103e)。第七随机数生成部
Figure BDA000030824690008652
生成0以上且小于
Figure BDA000030824690008653
的自然数的普通随机数
Figure BDA000030824690008654
Figure BDA000030824690008744
。所生成的随机数
Figure BDA00003082469000871
被发送到第七输入信息计算部
Figure BDA00003082469000872
和第二计算部(步骤S25103f)。
第六输入信息计算部
Figure BDA00003082469000874
使用在自然数选择部中选择的自然数
Figure BDA00003082469000876
Figure BDA00003082469000877
所包含的
Figure BDA00003082469000878
和随机数
Figure BDA00003082469000879
计算第六输入信息
Figure BDA000030824690008710
(步骤S25103g)。第七输入信息计算部
Figure BDA000030824690008711
使用在自然数选择部
Figure BDA000030824690008712
中选择的自然数
Figure BDA000030824690008713
Figure BDA000030824690008714
所包含的
Figure BDA000030824690008715
和随机数计算第七输入信息
Figure BDA000030824690008717
(步骤S25103h)。
第一输入信息计算部
Figure BDA000030824690008718
将如上生成的第五输入信息
Figure BDA000030824690008719
Figure BDA000030824690008720
和第五输入信息作为第一输入信息
Figure BDA000030824690008722
而进行输出。第二输入信息计算部
Figure BDA000030824690008724
将如上生成的第六输入信息
Figure BDA000030824690008725
和第七输入信息
Figure BDA000030824690008726
作为第二输入信息而进行输出(步骤S25103i)。
《步骤S25200~S25203的处理》
如图38所例示,首先,第一输入信息
Figure BDA000030824690008728
Figure BDA000030824690008729
输入到能力提供装置252(图33)的第一输出信息计算部25201,第二输入信息
Figure BDA000030824690008730
输入到第二输出信息计算部25202(步骤S25200)。
第一输出信息计算部25201使用第一输入信息
Figure BDA000030824690008731
Figure BDA000030824690008732
和解码密钥
Figure BDA000030824690008733
以大于某一概率的概率准确地计算
Figure BDA000030824690008734
并将计算结果设为第一输出信息
Figure BDA000030824690008735
该计算结果即存在准确的情况也存在不准确的情况。即,在第一输出信息计算部25201中的计算结果既存在成为
Figure BDA000030824690008736
Figure BDA000030824690008737
的情况,也存在没有成为的情况(步骤S25201)。
第二输出信息计算部25202使用第二输入信息
Figure BDA000030824690008739
Figure BDA000030824690008745
和解码密钥
Figure BDA000030824690008740
以大于某一概率的概率准确地计算
Figure BDA000030824690008741
并将得到的计算结果设为第二输出信息
Figure BDA000030824690008742
该计算结果即存在准确的情况也存在不准确的情况。即,在第二输出信息计算部25202中的计算结果既存在成为
Figure BDA000030824690008743
的情况,也存在没有成为
Figure BDA00003082469000882
Figure BDA00003082469000883
的情况(步骤S25202)。
第一输出信息计算部25201输出第一输出信息
Figure BDA00003082469000884
第二输出信息计算部25202输出第二输出信息(步骤S25203)。
《步骤S25104和S25105的处理》
返回到图37,第一输出信息
Figure BDA00003082469000886
输入到计算装置
Figure BDA00003082469000887
(图32)的第一计算部
Figure BDA00003082469000888
第二输出信息
Figure BDA00003082469000889
输入到第二计算部(步骤S25104)。
第一计算部使用所输入的第一输出信息
Figure BDA000030824690008812
和随机数 计算
Figure BDA000030824690008815
并将该计算结果设为
Figure BDA000030824690008816
(步骤S25105)。计算结果
Figure BDA000030824690008817
发送到第一幂乘计算部
Figure BDA000030824690008818
。这里,成为
Figure BDA000030824690008819
即,
Figure BDA000030824690008821
成为关于
Figure BDA000030824690008859
Figure BDA000030824690008822
具有误差
Figure BDA000030824690008823
的可随机化样本器的输出。在后面叙述其理由。
《步骤S25108的处理》
第二计算部
Figure BDA000030824690008858
使用所输入的第二输出信息
Figure BDA000030824690008824
和随机数
Figure BDA000030824690008826
计算
Figure BDA000030824690008827
并将该计算结果设为
Figure BDA000030824690008828
计算结果
Figure BDA000030824690008829
发送到第二幂乘计算部
Figure BDA000030824690008830
这里,成为
Figure BDA000030824690008831
Figure BDA000030824690008832
即,成为关于
Figure BDA000030824690008834
具有误差
Figure BDA000030824690008835
的可随机化样本器的输出。在后面叙述其理由。
Figure BDA000030824690008836
成为关于
Figure BDA000030824690008837
分别具有误差
Figure BDA000030824690008838
的可随机化样本器的输出的理由》
将c设为自然数,将R1、R2、R1’和R2’设为随机数,将能力提供装置252使用
Figure BDA000030824690008839
Figure BDA000030824690008840
进行的计算的计算结果设为
Figure BDA000030824690008841
Figure BDA000030824690008842
即,将第一输出信息计算部25201和第二输出信息计算部25202返回给计算装置
Figure BDA000030824690008843
的计算结果设为
Figure BDA000030824690008844
Figure BDA000030824690008845
进而,将在群
Figure BDA000030824690008846
中取值的概率变量
Figure BDA000030824690008847
定义为
Figure BDA000030824690008848
Figure BDA000030824690008849
这时,成为
Figure BDA000030824690008851
Figure BDA000030824690008852
Figure BDA000030824690008853
成为关于
Figure BDA000030824690008854
具有误差
Figure BDA000030824690008855
的可随机化样本器的输出。其中,
Figure BDA000030824690008856
是群
Figure BDA000030824690008857
的单位元。
在上述式展开中,使用
Figure BDA00003082469000891
Figure BDA00003082469000892
并且的性质。该性质基于R1、R2、R1’和R2’是随机数。
因此,如果考虑为自然数,
Figure BDA00003082469000895
Figure BDA00003082469000896
Figure BDA00003082469000897
为随机数,则同样地,
Figure BDA00003082469000899
成为关于
Figure BDA000030824690008910
分别具有误差
Figure BDA000030824690008911
的可随机化样本器的输出。
【第十七实施方式】
第十七实施方式的代理计算系统是将上述的第一可随机化样本器和第二可随机化样本器具体化的其他例子。具体地,对在群
Figure BDA000030824690008912
为巡回群的直积群
Figure BDA000030824690008914
巡回群
Figure BDA000030824690008915
的生成元为
Figure BDA000030824690008916
巡回群
Figure BDA000030824690008917
的生成元为
Figure BDA000030824690008918
Figure BDA000030824690008919
为将巡回群
Figure BDA000030824690008920
的元和巡回群的元的组映射到巡回群
Figure BDA000030824690008921
的元的双准同型映象(homomorphism)、巡回群
Figure BDA000030824690008922
的元
Figure BDA000030824690008923
为巡回群
Figure BDA000030824690008924
的元和巡回群
Figure BDA000030824690008926
的元
Figure BDA000030824690008927
的组、并且
Figure BDA000030824690008928
的情况下的第一可随机化样本器和第二可随机化样本器的例子进行了具体化。双准同型映象的例子,存在用于进行Weil配对和tate配对等的配对运算的函数和算法。以下,以与第十二实施方式不同的部分为中心进行说明,对于共同的部分省略重复说明。
如图31所例示,在第十七实施方式的代理计算系统207中,计算装置被置换为计算装置
Figure BDA000030824690008931
能力提供装置212被置换为能力提供装置272。
如图32所例示,第十七实施方式的计算装置
Figure BDA000030824690008932
例如具有:自然数存储部
Figure BDA000030824690008933
自然数选择部
Figure BDA000030824690008934
整数计算部
Figure BDA000030824690008935
输入信息提供部第一计算部
Figure BDA000030824690008937
第一幂乘计算部第一列表存储部
Figure BDA000030824690008939
第二计算部
Figure BDA000030824690008940
第二幂乘计算部
Figure BDA000030824690008941
第二列表存储部判定部
Figure BDA000030824690008943
最终输出部
Figure BDA000030824690008944
和控制部
Figure BDA000030824690008945
如图42所例示,本方式的输入信息提供部例如具有第一随机数生成部第二随机数生成部
Figure BDA000030824690008948
第一输入信息计算部
Figure BDA000030824690008949
和第二输入信息计算部
Figure BDA000030824690008950
如图33所例示,第十七实施方式的能力提供装置272例如具有第一输出信息计算部27201、第二输出信息计算部27202和控制部21205。
<处理>
下面,说明本方式的处理。在第十七实施方式中,群
Figure BDA00003082469000901
为巡回群
Figure BDA00003082469000902
Figure BDA00003082469000903
的直积群
Figure BDA00003082469000904
巡回群
Figure BDA00003082469000905
的生成元为
Figure BDA00003082469000906
巡回群
Figure BDA00003082469000907
的生成元为为将巡回群
Figure BDA00003082469000909
的元和巡回群
Figure BDA000030824690009010
的元的组映射到巡回群
Figure BDA000030824690009011
的元的双准同型映象、群
Figure BDA000030824690009012
的元
Figure BDA000030824690009013
为巡回群
Figure BDA000030824690009014
的元
Figure BDA000030824690009015
和巡回群
Figure BDA000030824690009016
的元
Figure BDA000030824690009017
的组,且例如,事先计算
Figure BDA000030824690009019
如图37和38所例示,在第十七实施方式的处理中,第十二实施方式的步骤S21103~S21105、S21107、S21108、S21110、S21200~S21203分别被置换为步骤S27103~S27105、S27107、S27108、S27110、S27200~S27203。在以下,仅说明步骤S27103~S27105、S27107、S27108、S27110、S27200~S27203的处理。
《步骤S27103的处理》
计算装置
Figure BDA000030824690009020
(图32)的输入信息提供部生成并输出与所输入的巡回群
Figure BDA000030824690009022
的元
Figure BDA000030824690009023
和巡回群
Figure BDA000030824690009024
的元
Figure BDA000030824690009025
的组
Figure BDA000030824690009026
对应的第一输入信息
Figure BDA000030824690009027
和与
Figure BDA000030824690009028
对应的第二输入信息(图37/步骤S27103)。以下,使用图43来说明本方式的步骤S27103的处理。
第一随机数生成部
Figure BDA000030824690009030
(图42)生成0以上2μ(k)+k以下的自然数的普通随机数
Figure BDA000030824690009031
其中,μ(k)表示安全参数k的函数值。所生成的随机数
Figure BDA000030824690009050
被发送到第一输入信息计算部
Figure BDA000030824690009034
和第一计算部
Figure BDA000030824690009035
(步骤S27103a)。
第一输入信息计算部
Figure BDA000030824690009036
使用在自然数选择部
Figure BDA000030824690009037
中选择的自然数
Figure BDA000030824690009038
所输入的值
Figure BDA000030824690009039
生成元
Figure BDA000030824690009040
和随机数
Figure BDA000030824690009041
Figure BDA000030824690009051
,作为第一输入信息
Figure BDA000030824690009042
而计算
Figure BDA000030824690009043
Figure BDA000030824690009044
Figure BDA000030824690009045
(步骤S27103b~S27103d)。
第二随机数生成部
Figure BDA000030824690009046
(图42)生成0以上2μ(k)+k以下的自然数的普通随机数
Figure BDA000030824690009047
Figure BDA000030824690009048
所生成的随机数
Figure BDA000030824690009049
Figure BDA00003082469000911
被发送到第二输入信息计算部
Figure BDA000030824690009151
Figure BDA00003082469000912
和第二计算部(步骤S27103e)。
第二输入信息计算部使用在自然数选择部
Figure BDA00003082469000915
中选择的自然数所输入的值
Figure BDA00003082469000917
生成元
Figure BDA00003082469000918
和随机数
Figure BDA000030824690009152
,作为第二输入信息
Figure BDA000030824690009110
而计算
Figure BDA000030824690009112
Figure BDA000030824690009113
(步骤S27103f~S27103h)。
第一输入信息计算部
Figure BDA000030824690009114
作为第一输入信息
Figure BDA000030824690009115
输出
Figure BDA000030824690009117
Figure BDA000030824690009118
Figure BDA000030824690009119
第二输入信息计算部
Figure BDA000030824690009120
作为第二输入信息
Figure BDA000030824690009121
输出
Figure BDA000030824690009122
Figure BDA000030824690009123
(步骤SS27103i)。
《步骤S27200~S27203的处理》
如图38所例示,对能力提供装置272(图33)的第一输出信息计算部27201输入作为第一输入信息
Figure BDA000030824690009125
Figure BDA000030824690009126
Figure BDA000030824690009127
对第二输出信息计算部27202输入作为第二输入信息
Figure BDA000030824690009129
Figure BDA000030824690009130
Figure BDA000030824690009132
(步骤S27200)。
第一输出信息计算部27201使用第一输入信息
Figure BDA000030824690009133
以大于某一概率的概率准确地计算
Figure BDA000030824690009134
Figure BDA000030824690009135
Figure BDA000030824690009136
将得到的运算结果
Figure BDA000030824690009137
Figure BDA000030824690009138
Figure BDA000030824690009139
设为第一输出信息
Figure BDA000030824690009140
这些计算结果既存在准确的情况也存在不准确的情况(步骤S27201)。
第二输出信息计算部27202使用第二输入信息
Figure BDA000030824690009141
以大于某一概率的概率准确地计算
Figure BDA000030824690009142
Figure BDA000030824690009143
Figure BDA000030824690009144
将得到的运算结果
Figure BDA000030824690009147
设为第二输出信息
Figure BDA000030824690009148
这些计算结果既存在准确的情况也存在不准确的情况(步骤S27202)。第一输出信息计算部27201输出第一输出信息
Figure BDA000030824690009149
第二输出信息计算部27202输出第二输出信息
Figure BDA000030824690009150
(步骤S27203)。
《步骤S27104和S27105的处理》
返回到图37,第一输出信息
Figure BDA00003082469000921
输入到计算装置
Figure BDA00003082469000922
(图32)的第一计算部第二输出信息
Figure BDA00003082469000924
输入到第二计算部(步骤S27104)。
第一计算部使用所输入的第一输出信息
Figure BDA00003082469000927
Figure BDA00003082469000928
和随机数
Figure BDA00003082469000929
Figure BDA000030824690009210
计算
Figure BDA000030824690009211
Figure BDA000030824690009212
而得到运算结果
Figure BDA000030824690009213
(步骤S27105)。计算结果
Figure BDA000030824690009214
发送到第一幂乘计算部
Figure BDA000030824690009215
这里,成为即,
Figure BDA000030824690009218
成为关于
Figure BDA000030824690009219
具有误差
Figure BDA000030824690009220
的可随机化样本器的输出。在后面叙述其理由。
《步骤S27108的处理》
第二计算部
Figure BDA000030824690009221
使用所输入的第二输出信息
Figure BDA000030824690009222
Figure BDA000030824690009223
和随机数
Figure BDA000030824690009224
Figure BDA000030824690009225
计算
Figure BDA000030824690009226
Figure BDA000030824690009227
而得到运算结果
Figure BDA000030824690009228
计算结果
Figure BDA000030824690009229
发送到第二幂乘计算部
Figure BDA000030824690009230
这里,成为即,
Figure BDA000030824690009232
Figure BDA000030824690009233
成为关于
Figure BDA000030824690009234
具有误差
Figure BDA000030824690009235
的可随机化样本器的输出。在后面叙述其理由。
《步骤S27107、S27110的处理》
在步骤S27107、S27110中,判定部
Figure BDA000030824690009236
判定是否为
Figure BDA000030824690009237
如果在步骤S27107中判定为是
Figure BDA000030824690009238
则进至步骤S21114,否则进至步骤S27108。如果在步骤S27110中判定为是
Figure BDA000030824690009239
则进至步骤S21114,否则进至步骤S21111。
Figure BDA000030824690009240
Figure BDA000030824690009241
成为关于
Figure BDA000030824690009242
分别具有误差
Figure BDA000030824690009243
的可随机化样本器的输出的理由》
根据
Figure BDA000030824690009244
的双线型性,关于
Figure BDA000030824690009245
成立以下的关系。
Figure BDA000030824690009247
Figure BDA000030824690009248
Figure BDA000030824690009249
其中,满足
Figure BDA00003082469000932
Figure BDA00003082469000934
Figure BDA00003082469000935
Figure BDA00003082469000936
都统计性地接近不依赖于
Figure BDA00003082469000937
的概率分布。因此,形成的概率分布统计性地接近于不依赖于的概率分布
Figure BDA000030824690009310
因此,成为关于
Figure BDA000030824690009312
具有误差
Figure BDA000030824690009313
的可随机化样本器的输出。同样,
Figure BDA000030824690009314
成为关于
Figure BDA000030824690009315
具有误差
Figure BDA000030824690009316
的可随机化样本器的输出。
【第十八实施方式】
在上述的各实施方式中,在计算装置的自然数存储部
Figure BDA000030824690009317
中存储多种互质的2个自然数
Figure BDA000030824690009318
的组
Figure BDA000030824690009319
使用这些组
Figure BDA000030824690009320
来执行各处理。但是,的一方也可以是常数。例如,可以将
Figure BDA000030824690009322
固定为1,也可以将
Figure BDA000030824690009323
固定为1。换而言之,第一可随机化样本器或第二可随机化样本器的一方可以置换为样本器。在
Figure BDA000030824690009324
的一方为常数的情况下,不需要进行对设为常数的
Figure BDA000030824690009325
进行选择的处理,各处理部无需被输入设为常数的
Figure BDA000030824690009327
Figure BDA000030824690009328
能够将其作为常数进行计算。在设为常数的
Figure BDA000030824690009329
Figure BDA000030824690009330
为1的情况下,能够不使用
Figure BDA000030824690009331
Figure BDA000030824690009332
作为
Figure BDA000030824690009333
而得到
Figure BDA000030824690009335
第十八实施方式是这样的变形的一例,是将
Figure BDA000030824690009336
固定为1、第二可随机化样本器被置换为样本器的方式。以下,以与第十二实施方式的不同点为中心进行说明。第一可随机化样本器和样本器的具体例与在第十三实施方式至第十七实施方式中说明的相同,因此省略说明。
<结构>
如图31所例示,在第十八实施方式的代理计算系统206中,第十二实施方式的计算装置
Figure BDA00003082469000941
被置换为计算装置
Figure BDA00003082469000942
能力提供装置212被置换为能力提供装置262。
如图44所例示,第十八实施方式的计算装置
Figure BDA00003082469000943
例如具有:自然数存储部
Figure BDA00003082469000944
自然数选择部
Figure BDA00003082469000945
输入信息提供部第一计算部
Figure BDA00003082469000947
第一幂乘计算部
Figure BDA00003082469000948
第一列表存储部
Figure BDA00003082469000949
第二计算部
Figure BDA000030824690009410
第二列表存储部
Figure BDA000030824690009411
判定部
Figure BDA000030824690009412
最终输出部和控制部
Figure BDA000030824690009414
如图33所例示,第十八实施方式的能力提供装置262例如具有第一输出信息计算部26201、第二输出信息计算部26202和控制部21205。
<处理的前提>
在计算装置
Figure BDA000030824690009415
的自然数存储部没有存储自然数
Figure BDA000030824690009417
仅存储多种类的自然数
Figure BDA000030824690009418
其他的前提与上述的第十二实施方式至第十七实施方式的任何一个相同。
<处理>
如图45所例示,首先,计算装置
Figure BDA000030824690009419
(图44)的自然数选择部
Figure BDA000030824690009420
随机地从在自然数存储部中存储的多个自然数
Figure BDA000030824690009422
读入1个自然数
Figure BDA000030824690009423
所读入的自然数的信息被发送到输入信息提供部和第一幂乘计算部
Figure BDA000030824690009426
(步骤S26100)。
控制部
Figure BDA000030824690009427
设为t=1(步骤S21102)。
输入信息提供部
Figure BDA000030824690009428
生成并输出与所输入的元
Figure BDA000030824690009429
分别对应的第一输入信息
Figure BDA000030824690009430
和第二输入信息
Figure BDA000030824690009446
。优选为,第一输入信息和第二输入信息
Figure BDA000030824690009432
为分别将与元
Figure BDA000030824690009433
的关系搅乱的信息。由此,计算装置
Figure BDA000030824690009434
能够对能力提供装置262隐蔽元
Figure BDA000030824690009435
优选为,本方式的第二输入信息
Figure BDA000030824690009436
进而对应于由自然数选择部
Figure BDA000030824690009437
选择的自然数
Figure BDA000030824690009438
由此,计算装置能够以高精度评价从能力提供装置262提供的计算能力(步骤S26103)。第一输入信息
Figure BDA000030824690009440
和第二输入信息
Figure BDA000030824690009441
的组合的具体例子是,第十三实施方式至第十七实施方式的任何一个的设为
Figure BDA000030824690009442
的第一输入信息
Figure BDA000030824690009443
和第二输入信息
Figure BDA000030824690009444
的组合。
如图38所例示,第一输入信息
Figure BDA000030824690009445
输入到能力提供装置262(图33)的第一输出信息计算部26201,第二输入信息输入到第二输出信息计算部26202(步骤S26200)。
第一输出信息计算部26201使用第一输入信息以大于某一概率的概率准确地计算
Figure BDA00003082469000953
将得到的计算结果设为第一输出信息(步骤S26201)。第二输出信息计算部26202使用第二输入信息
Figure BDA00003082469000955
以大于某一概率的概率准确地计算
Figure BDA00003082469000956
将得到的计算结果设为第二输出信息
Figure BDA00003082469000957
(步骤S26202)。即,第一输出信息计算部26201和第二输出信息计算部26202能够输出包含有意的或无意的误差的计算结果。换言之,第一输出信息计算部26201的计算结果既有是的情况也有不是
Figure BDA00003082469000959
的情况,第二输出信息计算部26202的计算结果既有是
Figure BDA000030824690009510
的情况也有不是
Figure BDA000030824690009511
的情况。第一输出信息
Figure BDA000030824690009512
和第二输出信息
Figure BDA000030824690009513
的组的具体例子是,第十三实施方式至第十七实施方式的任何一个的设为
Figure BDA000030824690009514
的第一输出信息
Figure BDA000030824690009515
和第二输出信息的组。
第一输出信息计算部26201输出第一输出信息
Figure BDA000030824690009517
第二输出信息计算部26202输出第二输出信息
Figure BDA000030824690009518
(步骤S26203)。
返回到图45,第一输出信息
Figure BDA000030824690009519
输入到计算装置
Figure BDA000030824690009520
(图44)的第一计算部
Figure BDA000030824690009521
第二输出信息输入到第二计算部这些第一输出信息
Figure BDA000030824690009524
和第二输出信息
Figure BDA000030824690009525
相当于从能力提供装置262对计算装置
Figure BDA000030824690009526
提供的计算能力(步骤S26104)。
第一计算部
Figure BDA000030824690009527
根据第一输出信息
Figure BDA000030824690009528
生成运算结果
Figure BDA000030824690009529
Figure BDA000030824690009530
运算结果
Figure BDA000030824690009531
的具体例是,第十三实施方式至第十七实施方式的任何一个的设为
Figure BDA000030824690009532
的运算结果
Figure BDA000030824690009533
运算结果
Figure BDA000030824690009534
发送到第一幂乘计算部
Figure BDA000030824690009535
(步骤S26105)。
第一幂乘计算部
Figure BDA000030824690009536
计算计算结果
Figure BDA000030824690009538
和基于该计算结果计算出的
Figure BDA000030824690009539
的组
Figure BDA000030824690009540
被存储到第一列表存储部(步骤S21106)。
第二计算部
Figure BDA000030824690009542
根据第二输出信息
Figure BDA000030824690009543
生成运算结果
Figure BDA000030824690009544
Figure BDA000030824690009545
运算结果
Figure BDA000030824690009546
的具体例是,第十三实施方式至第十七实施方式的任何一个的运算结果
Figure BDA000030824690009547
运算结果
Figure BDA000030824690009548
被存储到第二列表存储部
Figure BDA000030824690009549
(步骤S26108)。
与第十二实施方式至第十七实施方式的任何一个相同地,判定部
Figure BDA000030824690009550
Figure BDA00003082469000961
在第一列表存储部
Figure BDA00003082469000962
中存储的组
Figure BDA00003082469000963
和在第二列表存储部
Figure BDA00003082469000964
中存储的
Figure BDA00003082469000965
中,判定是否存在
Figure BDA00003082469000967
属于对于互相相同的元
Figure BDA00003082469000968
的类
Figure BDA00003082469000969
的组(步骤S26110)。在存在属于对于相同的元
Figure BDA000030824690009610
的类
Figure BDA000030824690009612
Figure BDA000030824690009613
的组的情况下,进至步骤S26114。在不存在属于对于相同的元
Figure BDA000030824690009614
的类
Figure BDA000030824690009615
Figure BDA000030824690009616
的组的情况下,进至步骤S21111。
在步骤S21111中,控制部
Figure BDA000030824690009618
判定是否为t=T(步骤S21111)。T是预先决定的自然数。如果是t=T,则控制部
Figure BDA000030824690009619
输出无法进行计算的意旨的信息例如为符号“⊥”(步骤S21113),并结束处理。如果不是t=T,则控制部将t增加1,即设为t=t+1(步骤S21112),返回到步骤S26103。
在步骤S26114中,最终输出部
Figure BDA000030824690009621
输出与判定为属于对于相同的元
Figure BDA000030824690009622
的类
Figure BDA000030824690009623
Figure BDA000030824690009624
的组所包含的
Figure BDA000030824690009626
对应的
Figure BDA000030824690009627
(步骤S26114)。如此得到的
Figure BDA000030824690009628
相当于在第十二实施方式至第十七实施方式中设为
Figure BDA000030824690009629
时的
Figure BDA000030824690009630
即,如此得到的
Figure BDA000030824690009631
以高的概率成为
Figure BDA000030824690009632
因此,至少重复多次上述的处理,并选择在步骤S26114中得到的值中频度最高的值
Figure BDA000030824690009659
则所选择的
Figure BDA000030824690009635
的可靠度成为规定值以上。如后所述,根据设定以绝对的概率成为
《关于得到
Figure BDA000030824690009637
的理由》
下面,说明在本方式的计算装置
Figure BDA000030824690009638
中得到解码结果
Figure BDA000030824690009639
的理由。首先,定义在说明中所需的事项。
黑盒子(black-box):
的黑盒子意味着,将
Figure BDA000030824690009642
作为输入而输出
Figure BDA000030824690009643
Figure BDA000030824690009644
的处理部。在本方式中,第一输出信息计算部26201和第二输出信息计算部26202分别相当于函数
Figure BDA000030824690009645
的黑盒子
Figure BDA000030824690009646
在对于从群
Figure BDA000030824690009647
任意选择的元
Figure BDA000030824690009648
Figure BDA000030824690009649
满足
Figure BDA000030824690009650
的概率大于δ(0<δ≦1)的情况下的,即满足
Figure BDA000030824690009651
Figure BDA000030824690009652
的黑盒子
Figure BDA000030824690009653
,被成为可靠度δ(δ-reliable)的
Figure BDA000030824690009654
的黑盒子
Figure BDA000030824690009655
其中,δ是正的值,相当于上述的“某一概率”。
自身改正器(self-corrector):
自身改正器
Figure BDA000030824690009656
意味着,将
Figure BDA000030824690009657
设为输入,使用
Figure BDA000030824690009658
的黑盒子
Figure BDA00003082469000971
进行计算而输出j∈G∪⊥的处理部。在本方式中,计算装置相当于自身改正器
殆自身改正器(almost self-corrector):
假定自身改正器
Figure BDA000030824690009723
Figure BDA00003082469000974
作为输入使用可靠度δ的
Figure BDA00003082469000975
的黑盒子
Figure BDA00003082469000976
来输出准确的值
Figure BDA00003082469000977
的概率充分大于输出错误的值
Figure BDA00003082469000978
的概率的情况。即,假定满足式(16)的情况。
Figure BDA00003082469000979
Figure BDA000030824690009710
其中,Δ是某一正的值(0<Δ<1)。在如此的情况下,自身改正器称为殆自身改正器。例如,对于某一正的值Δ’(0<Δ’<1),满足
Figure BDA000030824690009712
Figure BDA000030824690009713
Figure BDA000030824690009714
的情况下,自身改正器
Figure BDA000030824690009715
是殆自身改正器。Δ’的例子是Δ’=1/12或1/3。
强自身改正器(robust self-corrector):
假定自身改正器
Figure BDA000030824690009717
作为输入使用可靠度δ的
Figure BDA000030824690009718
的黑盒子
Figure BDA000030824690009719
来输出准确的值
Figure BDA000030824690009720
或j=⊥的概率为绝对的情况。即,对于能够忽略的误差ξ(0≦ξ<1),满足
Figure BDA000030824690009721
的情况。在如此的情况下,自身改正器
Figure BDA000030824690009722
称为强自身改正器。另外,能够忽略的误差ξ的例子是,安全参数k的函数值ξ(k)。函数值ξ(k)的例子是,对于任意的多项式p(k)关于充分大的k,{ξ(k)p(k)}收敛于0的函数值。函数值ξ(k)的具体例是,ξ(k)=2-k或ξ(k)=2-√k等。
能够从殆自身改正器构成强自身改正器。即,对于相同的x执行多次殆自身改正器,将除了⊥之外频度最高的输出值设为j,从而能够构成强自身改正器。即,对于相同的x执行O(log(1/ξ))次殆自身改正器,将频度最高的输出值设为j,从而能够构成强自身改正器。另外,O(·)表示O记法。
伪自由的(pseudo-free)的作用:
关于群
Figure BDA00003082469000981
自然数的集合
Figure BDA00003082469000982
Figure BDA00003082469000983
是1以上的自然数)、在群
Figure BDA00003082469000984
中取值的概率变量
Figure BDA00003082469000985
的各实现值
Figure BDA00003082469000988
对于成为的概率
Figure BDA000030824690009810
,将关于所有可能的
Figure BDA000030824690009811
的上限值称为组
Figure BDA000030824690009812
的伪自由指标,将其表示为
Figure BDA000030824690009813
在存在某一能够忽略的函数ζ(k),且
的情况下,通过组
Figure BDA000030824690009815
定义的运算是伪自由的作用。其中,
Figure BDA000030824690009816
意味着,对
Figure BDA000030824690009817
作用
Figure BDA000030824690009818
次在群
Figure BDA000030824690009819
中定义的运算。能够忽略的函数ξ(k)的例子是,对于任意的多项式p(k)关于充分大的k,{ξ(k)p(k)}收敛于0的函数。函数ξ(k)的具体例是,ξ(k)=2-k或ξ(k)=2-√k等。例如,对于安全参数k,式(18)的概率小于O(2-k)的情况下,通过组
Figure BDA000030824690009851
Figure BDA000030824690009820
定义的运算是伪自由的作用。例如,关于任意的
Figure BDA000030824690009821
集合
Figure BDA000030824690009822
的元素数超过2的情况下,通过组
Figure BDA000030824690009824
定义的运算能够称为伪自由的作用。其中,
Figure BDA000030824690009852
表示对
Figure BDA000030824690009826
作用规定的运算的结果。这样的具体例存在很多。例如,在群
Figure BDA000030824690009828
为以质数p作为法的剩余群Z/pZ,质数p为2k的量级,集合
Figure BDA000030824690009829
Figure BDA000030824690009830
并且的情况下,成为
Figure BDA000030824690009833
并且
Figure BDA000030824690009834
由于质数p是2k的量级,因此存在某一常数C,如果k充分大则满足
Figure BDA000030824690009835
这里,式(18)的概率小于C-12-k,通过这样的组
Figure BDA000030824690009836
定义的运算是伪自由的作用。
可靠度δγ(δγ-reliable)的可随机化样本器:
是在每次提供自然数
Figure BDA000030824690009837
时使用可靠度δ的
Figure BDA000030824690009838
的黑盒子
Figure BDA000030824690009839
对于
Figure BDA000030824690009840
返回与按照概率变量
Figure BDA000030824690009841
的样本
Figure BDA000030824690009842
对应的的可随机化样本器,将
Figure BDA000030824690009844
的概率大于δγ(γ为正常数)即满足
的可随机化样本器成为可靠度δγ的可随机化样本器。本方式的输入信息提供部
Figure BDA000030824690009846
和第二输出信息计算部26202和第二计算部
Figure BDA000030824690009847
的组是关于可靠度为δγ的可随机化样本器。
下面,使用这些定义,说明在本方式的计算装置
Figure BDA000030824690009849
中得到
Figure BDA000030824690009850
的理由。
在本方式的步骤S26110中,判定是否存在属于对于相同的元的类的
Figure BDA00003082469000991
Figure BDA00003082469000992
的组,即判定是否存在属于对于相同的元的类的
Figure BDA00003082469000993
Figure BDA00003082469000994
的组。本方式的输入信息提供部
Figure BDA00003082469000995
和第二输出信息计算部26202和第二计算部
Figure BDA00003082469000996
的组是可靠度δγ的可随机化样本器(式(20)),如果将T设为大于根据k、δ、γ决定的固定值的值,则产生渐进地以大的概率
Figure BDA00003082469000997
Figure BDA00003082469000998
属于对于相同的元
Figure BDA00003082469000999
的类(在步骤S26110中成为“是”)的情况。例如,如果设为T≧4/δγ,则根据Markov不等式可知,
Figure BDA000030824690009911
Figure BDA000030824690009912
属于对于相同的元的类(在步骤S26110中成为“是”)的概率大于1/2。
在本方式中,
Figure BDA000030824690009913
Figure BDA000030824690009914
因此如果函数
Figure BDA000030824690009915
是对于元
Figure BDA000030824690009916
的单映射函数,则在步骤S26110中判定为“是”的情况下满足
Figure BDA000030824690009917
成立
Figure BDA000030824690009918
即使函数
Figure BDA000030824690009919
不是对于元
Figure BDA000030824690009920
的单映射函数,如果
Figure BDA000030824690009921
是准同型函数,则在步骤S26110中判定为“是”的情况下成立
Figure BDA000030824690009922
Figure BDA000030824690009923
成立时,存在
Figure BDA000030824690009924
的情况和
Figure BDA000030824690009925
的情况。在
Figure BDA000030824690009926
的情况下,成为
Figure BDA000030824690009927
因此在步骤S26114中输出的
Figure BDA000030824690009928
成为准确的
Figure BDA000030824690009929
另一方面,在的情况下,成为
Figure BDA000030824690009931
因此在步骤S26114中输出的
Figure BDA000030824690009932
不是准确的
Figure BDA000030824690009933
通过群
Figure BDA000030824690009934
和自然数
Figure BDA000030824690009935
所属的集合的组
Figure BDA000030824690009937
定义的运算为伪自由的作用、或者关于伪自由指标
Figure BDA000030824690009938
而T2
Figure BDA000030824690009939
渐近小的情况下,在
Figure BDA000030824690009940
Figure BDA000030824690009941
的概率(式(18))渐近小。因此,在
Figure BDA000030824690009942
的概率渐近大。因此,通过组
Figure BDA000030824690009943
定义的运算为伪自由的作用、或者T2渐近小的情况下,在
Figure BDA000030824690009945
属于对于相同的元
Figure BDA000030824690009946
的类
Figure BDA000030824690009947
时输出错误的的概率充分小于在
Figure BDA000030824690009949
Figure BDA000030824690009950
属于对于相同的元
Figure BDA000030824690009951
的类
Figure BDA000030824690009952
时输出准确的
Figure BDA000030824690009953
的概率。这时的计算装置
Figure BDA000030824690009954
也可以称为殆自身改正器(参考式(16))。因此,如上所述,从计算装置
Figure BDA000030824690009955
能够构成强自身改正器,能够以绝对的概率得到准确的
Figure BDA000030824690009956
Figure BDA000030824690009957
中定义的运算为伪自由的作用的情况下,也能够忽略在
Figure BDA000030824690009958
Figure BDA000030824690009959
属于对于相同的元
Figure BDA000030824690009960
的类时输出错误的的概率。这时的计算装置
Figure BDA000030824690009965
以绝对的概率输出准确的
Figure BDA000030824690009963
或者⊥。
另外,对任意的常数ρ决定k0,对该k0关于满足k0<k’的任意的k’的函数值η(k’)小于ρ的情况下,称为「η(k’)渐近小」。k'的例子是安全参数k。对任意的常数ρ决定k0,对该k0关于满足k0<k’的任意的k’的函数值1-η(k’)小于ρ的情况下,称为「η(k’)渐近大」。
如果将
Figure BDA00003082469001001
置换为
Figure BDA00003082469001002
则可知,上述的证明也成为在第十二实施方式中叙述的“如果
Figure BDA00003082469001004
属于对于互相相同的元
Figure BDA00003082469001005
的类
Figure BDA000030824690010053
Figure BDA00003082469001006
则第一可随机化样本器准确地计算且第二可随机化样本器准确地计算
Figure BDA00003082469001008
Figure BDA00003082469001009
是群
Figure BDA000030824690010010
的单位元
Figure BDA000030824690010011
的可能性高”的证明。
《关于可靠度δγ的可随机化样本器和安全性》
假定如下的攻击。
·黑盒子
Figure BDA000030824690010012
或者该部分有意地输出不准确的
Figure BDA000030824690010013
或者从黑盒子
Figure BDA000030824690010054
Figure BDA000030824690010014
输出的值被改变为不准确的
Figure BDA000030824690010015
·从可随机化样本器输出与不准确的
Figure BDA000030824690010016
对应的
Figure BDA000030824690010017
·与不准确的
Figure BDA000030824690010018
对应的
Figure BDA000030824690010019
增加自身改正器输出错误的值的概率,而与在自身改正器
Figure BDA000030824690010021
中判定为
Figure BDA000030824690010022
Figure BDA000030824690010023
属于对于相同的元
Figure BDA000030824690010024
的类
Figure BDA000030824690010025
(在步骤S26110中成为“是”)无关。
在对于所提供的自然数
Figure BDA000030824690010026
从可随机化样本器输出的
Figure BDA000030824690010027
的误差的概率分布
Figure BDA000030824690010028
依赖于自然数的情况下,这样的攻击成为可能。例如,在进行了如从第二计算部
Figure BDA000030824690010030
输出的
Figure BDA000030824690010031
成为
Figure BDA000030824690010032
Figure BDA000030824690010033
的不准确的情况下,与
Figure BDA000030824690010034
的值无关地,必然成立 并判定为
Figure BDA000030824690010037
Figure BDA000030824690010038
属于对于相同的元
Figure BDA000030824690010039
的类
Figure BDA000030824690010040
因此,期望在对于所提供的自然数
Figure BDA000030824690010041
从可随机化样本器输出的
Figure BDA000030824690010042
的误差的概率分布
Figure BDA000030824690010043
不依赖于该自然数
Figure BDA000030824690010044
或者,期望是如下的可随机化样本器:对于集合的任何元
Figure BDA000030824690010046
Figure BDA000030824690010047
存在无法与
Figure BDA000030824690010048
的误差的概率分布
Figure BDA000030824690010049
区分的在群
Figure BDA000030824690010050
中取值的概率分布D(概率分布Da与概率分布D统计近似(statistically-close))。其中,概率分布D不依赖于自然数
Figure BDA000030824690010051
无法区分概率分布
Figure BDA000030824690010052
与概率分布D意味着,无法通过多项式时间算法来区分概率分布Da与概率分布D,例如对于可忽视的ζ(0≦ζ<1)满足
Σg∈G|Pr[g∈D]-Pr[g∈Da]|<ζ…(21)
,则无法通过多项式时间算法来区分概率分布Da与概率分布D。能够忽略的ζ的例子是,安全参数k的函数值ζ(k)。函数值ζ(k)的例子是,对于任意的多项式p(k)关于充分大的k,{ζ(k)p(k)}收敛于0的函数值。函数值ζ(k)的具体例是,ζ(k)=2-k或ζ(k)=2-√k等。这些点对于使用自然数
Figure BDA00003082469001011
Figure BDA00003082469001012
的第十二实施方式至第十七实施方式也相同。
【第十二实施方式至第十八实施方式的变形例】
在第十二实施方式至第十八实施方式的变形例中,虽然没有保障能力提供装置总是进行正当的计算,但是如果能力提供装置以大于某一概率的概率准确地计算
Figure BDA00003082469001013
Figure BDA00003082469001014
则在各个计算装置中得到的值
Figure BDA00003082469001016
Figure BDA00003082469001017
以高的概率成为
Figure BDA00003082469001018
因此,各个计算装置
Figure BDA00003082469001019
能够不执行认证处理而使能力提供装置执行计算,使用该计算结果来得到正当的计算结果(例如为密码文的解码结果)。
本发明不限定于上述的实施方式。例如,概率变量
Figure BDA000030824690010112
可以相同也可以不同。
各个随机数生成部生成普通随机数,从而代理计算系统的安全性变得最高。但是,所要求的安全性的等级没有那么高的情况下,随机数生成部的至少一部分也可以生成不是普通随机数的随机数。从运算效率的观点出发,期望如上述的各实施方式那样所选择的自然数的随机数为0以上小于
Figure BDA000030824690010113
的自然数或者0以上2μ(k)+k以下的自然数,但也可以取而代之选择
Figure BDA000030824690010114
以上的自然数或大于2μ(k)+k的自然数的随机数。在这里,μ是k的函数。例如,能够将μ设为作为群
Figure BDA000030824690010115
的元的比特列的长度。
在计算装置对能力提供装置每次提供与相同的
Figure BDA000030824690010116
对应的第一输入信息
Figure BDA000030824690010117
和第二输入信息
Figure BDA000030824690010118
时,能力提供装置的处理也可以执行多次。由此,在计算装置对能力提供装置每提供一次第一输入信息
Figure BDA000030824690010119
和第二输入信息
Figure BDA000030824690010120
时,计算装置能够得到多个第一输出信息
Figure BDA000030824690010121
和第二输出信息
Figure BDA000030824690010122
和第三输出信息
Figure BDA000030824690010123
由此,能够减少计算装置与能力提供装置之间的交换次数和通信量。
也可以是,计算装置对能力提供装置汇总提供多种第一输入信息
Figure BDA000030824690010124
和第二输入信息汇总得到多个所对应的第一输出信息
Figure BDA000030824690010126
和第二输出信息
Figure BDA000030824690010129
Figure BDA000030824690010127
和第三输出信息
Figure BDA000030824690010128
由此,能够减少计算装置与能力提供装置之间的交换次数。
计算装置的各部之间的数据的交换可以直接进行,也可以经由未图示的存储部进行。同样地,能力提供装置的各部之间的数据的交换可以直接进行,也可以经由未图示的存储部进行。
也可以是,确认在各实施方式的第一计算部和第二计算部中得到的
Figure BDA00003082469001021
Figure BDA00003082469001022
是否为群的元,在是群
Figure BDA00003082469001024
的元的情况下,继续执行上述的处理,在
Figure BDA00003082469001025
Figure BDA00003082469001026
不是群
Figure BDA00003082469001027
的元的情况下,输出无法进行计算的意旨的信息例如为符号“⊥”。
此外,例如,上述的各种处理不仅可以按照记载以时间序列执行,也可以根据执行处理的装置的处理能力或者根据需要并行地或单独地执行。此外,在不脱离本发明的宗旨的范围内能够进行适当变更是不言而喻的。
在通过计算机实现上述的结构的情况下,通过程序来记述各装置应具有的功能的处理内容。然后,通过由计算机执行该程序,从而在计算机上实现上述处理功能。记述了该处理内容的程序能够存储到计算机可读取的存储介质。计算机可读取的存储介质的例子是,非临时的(non-transitory)的存储介质。这样的存储介质的例子是,磁存储装置、光盘、光磁存储介质、半导体存储器等。
该程序的流通例如通过对存储了该程序的DVD、CD-ROM等可移动性存储介质进行销售、转让、出借等来进行。进而,也可以将该程序存储到服务器计算机的存储装置,经由网络从服务器计算机将该程序转发到其他的计算机,从而使该程序流通。
执行如此的程序的计算机例如,首先将存储在可移动型存储介质的程序或者从服务器计算机转发的程序临时存储到自身的存储装置。然后,在执行处理时,该计算机读取在自身的存储装置中存储的程序,执行按照所读取的程序的处理。作为该程序的其他的执行方式,也可以由计算机直接从可移动型存储介质读取程序,执行按照该程序的处理,进而也可以每次从服务器计算机在对该计算机转发程序时,依次执行按照所接受的程序的处理。也可以是,不从服务器计算机对该计算机转发程序,根据通过仅获得该执行指示和结果取得而执行处理功能的所谓的ASP(Application Service Provider)型的服务,执行上述的处理。另外,在本方式的程序中,用于电子计算机的处理的信息且遵循程序的数据(虽然不是对于计算机的直接的指令但是具有规定计算机的处理的性质的数据等)。
在上述的实施方式中,通过在计算机上执行规定的程序从而构成了本装置,但也可以以硬件实现这些处理内容的至少一部分。
本申请要求基于日本专利申请号2010-239342,2011-5899,2011-88002,2011-77779的优先权,将所有的内容通过参考编入到这里(This application isbased upon and claims priority of Japanese Patent Application No. 2010-239342,2011-5899,2011-88002,2011-77779, the entire contents of which areincorporated by reference herein.)
【产业上的可利用性】
如上所述,各实施方式的计算装置即使处于能力提供装置不一定执行准确的处理的情况,也能够使用从能力提供装置提供的计算能力来得到准确的计算结果。因此,计算装置无需执行用于确认能力提供装置的正当性的认证处理。此外,在多个计算装置共用能力提供装置的情况下,计算装置也能够得到准确的计算结果。
如此的代理计算系统例如能够利用于基于自愿的分散计算、基于P2P的计算服务、将对于广告的报酬作为代价的计算服务、作为网络服务或公共基础提供的计算服务、以程序库的方式提供许可的计算包向网络服务的置换等。
【标号说明】
1~5,101~105,201~207 代理计算系统
11~61,111~151,211~271 计算装置
12~62,112~152,212~272 能力提供装置

Claims (118)

1.一种代理计算系统,具有计算装置和能力提供装置,其中,
G、H为群,f(x)为用于将作为所述群H的元的密码文x通过特定的解码密钥进行解码而得到所述群G的元的解码函数,X1、X2为在所述群G中取值的概率变量,x1为概率变量X1的实现值,x2为概率变量X2的实现值,a、b为互质的自然数,
所述计算装置包括:
输入信息提供部,输出与所述密码文x对应的作为所述群H的元的第一输入信息τ1和第二输入信息τ2
所述能力提供装置包括:
第一输出信息计算部,使用所述第一输入信息τ1,以大于某一概率的概率准确地计算f(τ1),将得到的计算结果设为第一输出信息z1;以及
第二输出信息计算部,使用所述第二输入信息τ2,以大于某一概率的概率准确地计算f(τ2),将得到的计算结果设为第二输出信息z2
所述计算装置还包括:
第一计算部,根据所述第一输出信息z1来生成计算结果u=f(x)b1
第二计算部,根据所述第二输出信息z2来生成计算结果v=f(x)a2;以及
最终输出部,在所述计算结果u和v满足ua=v的情况下,输出关于满足a’a+b’b=1的整数a’、b’的ub’va’。
2.如权利要求1所述的代理计算系统,其中,
所述计算装置包括用于选择所述自然数a、b的至少一方的自然数选择部,
所述第一输入信息τ1进而对应于所述自然数b,所述第二输入信息τ2进而对应于所述自然数a。
3.如权利要求2所述的代理计算系统,其中,
所述输入信息提供部将搅乱了与所述密码文x的关系的信息设为所述第一输入信息τ1和所述第二输入信息τ2
4.如权利要求1所述的代理计算系统,其中,
所述输入信息提供部将搅乱了与所述密码文x的关系的信息设为所述第一输入信息τ1和所述第二输入信息τ2
5.如权利要求1至4的任一项所述的代理计算系统,
所述解码函数f(x)为准同型函数,所述群H为巡回群,所述巡回群H的生成元为μ,所述巡回群H的位数为KH,且ν=f(μh),
所述输入信息提供部包括:
第一随机数生成部,生成0以上的自然数的随机数r1
第一输入信息计算部,作为所述第一输入信息τ1计算μh r1b
第二随机数生成部,生成0以上的自然数的随机数r2;以及
第二输入信息计算部,作为所述第二输入信息τ2计算μh r2a
所述第一输出信息计算部使用所述第一输入信息μh r1b,以大于某一概率的概率准确地计算f(μh r1b),将得到的计算结果设为所述第一输出信息z1
所述第二输出信息计算部使用所述第二输入信息μh r2a,以大于某一概率的概率准确地计算f(μh r2a),将得到的计算结果设为第二输出信息z2
所述第一计算部计算z1ν-r1而得到所述计算结果u,
所述第二计算部计算z2ν-r2而得到所述计算结果v。
6.如权利要求5所述的代理计算系统,其中,
所述第一随机数生成部在b≠1时生成所述随机数r1
所述第一输入信息计算部在b≠1时作为所述第一输入信息τ1计算所述μh r1b
所述第一输出信息计算部将在b≠1时使用所述第一输入信息μh r1b而得到的所述计算结果设为所述第一输出信息z1
所述第一计算部在b≠1时计算z1ν-r1而得到所述计算结果u,
所述第二随机数生成部在a≠1时生成所述随机数r2
所述第二输入信息计算部在a≠1时作为所述第二输入信息τ2计算μh r2a
所述第二输出信息计算部将在a≠1时使用所述第二输入信息μh r2a而得到的所述计算结果设为第二输出信息z2
所述第二计算部在a≠1时计算z2ν-r2而得到所述计算结果v,
所述输入信息提供部包括:
第三随机数生成部,生成0以上的自然数的随机数r3
第三输入信息计算部,在b=1时将xr3设为所述第一输入信息τ1,在a=1时将xr3设为所述第二输入信息τ2
所述能力提供装置包括:
第三输出信息计算部,使用所述xr3,以大于某一概率的概率准确地计算f(xr3),并将得到的计算结果设为第三输出信息z3
所述能力提供装置包括:
第三计算部,在b=1时将z3 1/r3设为所述计算结果u,在a=1时将z3 1/r3设为所述计算结果v。
7.如权利要求1至4的任一项所述的代理计算系统,其中,
所述群H为所述群G的直积群G×G,所述解码函数f(x)为准同型函数,所述群G为巡回群,所述巡回群G的生成元为μg,所述巡回群G的位数为KG,x=(c1,c2),(V,W)为所述群H的元,且f(V,W)=Y,
所述输入信息提供部包括:
第四随机数生成部,生成0以上的自然数的随机数r4
第五随机数生成部,生成0以上的自然数的随机数r5
第一输入信息计算部,作为所述第一输入信息τ1,计算c2 br4和c1 br4μg r5
第六随机数生成部,生成0以上的自然数的随机数r6
第七随机数生成部,生成0以上的自然数的随机数r7;以及
第二输入信息计算部,作为所述第二输入信息τ2计算c2 ar6和c1 ar6μg r7,
所述第一输出信息计算部使用所述第一输入信息c1 br4μg r5和c2 br4,以大于某一概率的概率准确地计算f(c1 br4μg r5,c2 br4),将得到的计算结果设为所述第一输出信息z1
所述第二输出信息计算部使用所述第二输入信息c1 ar6μg r7和c2 ar6,以大于某一概率的概率准确地计算f(c1 ar6μg r7,c2 ar6),将得到的计算结果设为所述第二输出信息z2
所述第一计算部计算z1-r4μg -r5而得到所述计算结果u,
所述第二计算部计算z2-r6μg -r7而得到所述计算结果v。
8.如权利要求1至4的任一项所述的代理计算系统,其中,
所述计算结果u对于f(x)b的误差的概率分布不依赖于所述自然数b和/或所述计算结果v对于f(x)a的误差的概率分布不依赖于所述自然数a,或者,存在无法与所述计算结果u对于f(x)b的误差的概率分布区分的不依赖于所述自然数b的概率分布和/或存在无法与所述计算结果v对于f(x)a的误差的概率分布区分的不依赖于所述自然数a的概率分布。
9.如权利要求5所述的代理计算系统,其中,
所述计算结果u对于f(x)b的误差的概率分布不依赖于所述自然数b和/或所述计算结果v对于f(x)a的误差的概率分布不依赖于所述自然数a,或者,存在无法与所述计算结果u对于f(x)b的误差的概率分布区分的不依赖于所述自然数b的概率分布和/或存在无法与所述计算结果v对于f(x)a的误差的概率分布区分的不依赖于所述自然数a的概率分布。
10.如权利要求7所述的代理计算系统,其中,
所述计算结果u对于f(x)b的误差的概率分布不依赖于所述自然数b和/或所述计算结果v对于f(x)a的误差的概率分布不依赖于所述自然数a,或者,存在无法与所述计算结果u对于f(x)b的误差的概率分布区分的不依赖于所述自然数b的概率分布和/或存在无法与所述计算结果v对于f(x)a的误差的概率分布区分的不依赖于所述自然数a的概率分布。
11.如权利要求1至4的任一项所述的代理计算系统,其中,
所述自然数a或所述自然数b是常数。
12.如权利要求5所述的代理计算系统,其中,
所述自然数a或所述自然数b是常数。
13.如权利要求7所述的代理计算系统,其中,
所述自然数a或所述自然数b是常数。
14.如权利要求1至4的任一项所述的代理计算系统,还具有:
解码控制装置,
所述解码控制装置包括输出部,该输出部对所述能力提供装置输出用于控制所述计算装置的解码处理的解码控制命令,
所述能力提供装置包括控制部,该控制部按照所述解码控制命令,控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息z1和所述第二输出信息z2的两方。
15.如权利要求5所述的代理计算系统,还具有:
解码控制装置,
所述解码控制装置包括输出部,该输出部对所述能力提供装置输出用于控制所述计算装置的解码处理的解码控制命令,
所述能力提供装置包括控制部,该控制部按照所述解码控制命令,控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息z1和所述第二输出信息z2的两方。
16.如权利要求7所述的代理计算系统,还具有:
解码控制装置,
所述解码控制装置包括输出部,该输出部对所述能力提供装置输出用于控制所述计算装置的解码处理的解码控制命令,
所述能力提供装置包括控制部,该控制部按照所述解码控制命令,控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息z1和所述第二输出信息z2的两方。
17.如权利要求1所述的代理计算系统,还具有:
解码控制装置,
ι、Hι为群,ω为2以上的整数,ι=1,···,ω,fι(λι)为用于将作为所述群Hι的元的密码文λι通过特定的解码密钥sι进行解码而得到所述群Gι的元的解码函数,Xι,1、Xι,2为在所述群Gι中取值的概率变量,xι,1为概率变量Xι,1的实现值,xι,2为概率变量Xι,2的实现值,a(ι)、b(ι)为互质的自然数,所述群G为群G1,所述群H为群H1,所述密码文x为密码文λ1,所述解码函数f(x)为解码函数f1(λ1),所述概率变量X1为概率变量X1,1,所述概率变量X2为概率变量X1,2,所述实现值x1为实现值x1,1,所述实现值x2为实现值x1,2,所述自然数a为自然数a(1),所述自然数b为自然数b(1),
所述计算装置包括:
输入信息提供部,输出与所述密码文λι对应的作为所述群Hι的元的第一输入信息τι,1和第二输入信息τι,2
所述能力提供装置包括:
第一输出信息计算部,使用所述第一输入信息τι,1,以大于某一概率的概率准确地计算fι(τι,1),将得到的计算结果作为第一输出信息zι,1而输出;以及
第二输出信息计算部,使用所述第二输入信息τι,2,以大于某一概率的概率准确地计算fι(τι,2),将得到的计算结果作为第二输出信息zι,2而输出,
所述第一计算部根据所述第一输出信息zι,1来生成运算结果uι=fι(λιb(ι)ι,1
所述第二计算部根据所述第二输出信息zι,2来生成运算结果vι=fι(λιa(ι)ι,2
所述最终输出部在所述运算结果uι和vι满足uι a(ι)=vι b(ι)的情况下,输出关于满足a’(ι)a(ι)+b’(ι)b(ι)=1的整数a’(ι)、b’(ι)的uι b(ι)ι a(ι)
所述解码控制装置包括输出部,该输出部对所述能力提供装置输出用于控制所述计算装置的解码处理的解码控制命令,
所述能力提供装置还包括控制部,该控制部按照所述解码控制命令,控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息zι,1和所述第二输出信息zι,2的两方。
18.如权利要求17所述的代理计算系统,其中,
所述解码控制命令对应于其中一个所述解码函数fι
所述控制部控制与对应于所述解码控制命令的所述解码函数fι对应的所述第一输出信息zι,1和所述第二输出信息zι,2的两方的输出的有无。
19.如权利要求17所述的代理计算系统,其中,
所述计算装置还包括:
复元部,使用从所述最终输出部输出的关于各ι=1,···,ω的uι b(ι)ι a(ι),进行用于生成仅在全部得到将关于各ι=1,···,ω的所述密码文λι通过所述解码密钥sι进行解码而得到的解码值的情况下能够复元的复元值。
20.如权利要求18所述的代理计算系统,其中,
所述计算装置还包括:
复元部,使用从所述最终输出部输出的关于各ι=1,···,ω的uι b(ι)ι a(ι),进行用于生成仅在全部得到将关于各ι=1,···,ω的所述密码文λι通过所述解码密钥sι进行解码而得到的解码值的情况下能够复元的复元值。
21.如权利要求17至20的任一项所述的代理计算系统,其中,
所述计算装置包括用于选择所述自然数a(ι)、b(ι)的至少一部分的自然数选择部,
所述第一输入信息τι,1进而对应于所述自然数b(ι),所述第二输入信息τι,2进而对应于所述自然数a(ι)。
22.如权利要求21所述的代理计算系统,其中,
所述输入信息提供部将搅乱了与所述密码文λι的关系的信息设为所述第一输入信息τι,1和所述第二输入信息τι,2
23.如权利要求17至20的任一项所述的代理计算系统,其中,
所述输入信息提供部将搅乱了与所述密码文λι的关系的信息设为所述第一输入信息τι,1和所述第二输入信息τι,2
24.如权利要求17至20的任一项所述的代理计算系统,其中,
所述解码函数fι为准同型函数,所述群Hι为巡回群,所述巡回群Hι的生成元为μι,h,所述巡回群Hι的位数为Kι,H,且νι=fι(μι,h),
所述输入信息提供部包括:
第一随机数生成部,生成0以上的自然数的随机数r(ι,1);
第一输入信息计算部,作为所述第一输入信息τι,1计算μι,h r(ι,1)λι b(ι)
第二随机数生成部,生成0以上的自然数的随机数r(ι,2);以及
第二输入信息计算部,作为所述第二输入信息τι,2计算μι,h r(ι,2)λι a(ι)
所述第一输出信息计算部使用所述第一输入信息μι,h r(ι,1)λι b(ι),以大于某一概率的概率准确地计算fι(μι,h (ι,1)λι b(ι)),将得到的计算结果设为所述第一输出信息zι,1
所述第二输出信息计算部使用所述第二输入信息μι,h r(ι,2)λι a(ι),以大于某一概率的概率准确地计算fι(μι,h r(ι,2)λι a(ι)),将得到的计算结果设为第二输出信息zι,2
所述第一计算部计算zι,1νι -r(ι,1)而得到所述计算结果uι
所述第二计算部计算zι,2νι -r(ι,2)而得到所述计算结果vι
25.如权利要求24所述的代理计算系统,其中,
所述第一随机数生成部在b(ι)≠1时生成所述随机数r(ι,1),
所述第一输入信息计算部在b(ι)≠1时作为所述第一输入信息τι,1计算所述μι,h r(ι,1)λι b(ι)
所述第一输出信息计算部将在b(ι)≠1时使用所述第一输入信息μι,h r(ι,1)λι b(ι)而得到的所述计算结果设为所述第一输出信息zι,1
所述第一计算部在b(ι)≠1时计算zι,1νι -r(ι,1)而得到所述计算结果uι
所述第二随机数生成部在a(ι)≠1时生成所述随机数r(ι,2),
所述第二输入信息计算部在a(ι)≠1时作为所述第二输入信息τι,2计算所述μι,h r(ι,2)λι a(ι)
所述第二输出信息计算部将在a(ι)≠1时使用所述第二输入信息μι,h r(ι,2)λι a(ι)而得到的所述计算结果设为所述第二输出信息zι,2
所述第二计算部在a(ι)≠1时计算zι,2νι -r(ι,2)而得到所述计算结果vι
所述输入信息提供部包括:
第三随机数生成部,生成0以上的自然数的随机数r(ι,3);
第三输入信息计算部,在b(ι)=1时将λι r(ι,3)设为所述第一输入信息τι,1,在a(ι)=1时将λι r(ι,3)设为所述第二输入信息τι,2
所述能力提供装置包括第三输出信息计算部,该第三输出信息计算部使用所述xr(ι,3),以大于某一概率的概率准确地计算fι(λι r(ι,3)),将得到的计算结果设为第三输出信息zι,3
所述计算装置包括第三计算部,该第三计算部在
b(ι)=1时将zι,31 /r(ι,3)设为所述计算结果uι,在a(ι)=1时将zι,31 /r(ι,3)设为所述计算结果vι
26.如权利要求21所述的代理计算系统,其中,
所述解码函数fι为准同型函数,所述群Hι为巡回群,所述巡回群Hι的生成元为μι,h,所述巡回群Hι的位数为Kι,H,且νι=fι(μι,h),
所述输入信息提供部包括:
第一随机数生成部,生成0以上的自然数的随机数r(ι,1);
第一输入信息计算部,作为所述第一输入信息τι,1计算μι,h r(ι,1)λι b(ι)
第二随机数生成部,生成0以上的自然数的随机数r(ι,2);以及
第二输入信息计算部,作为所述第二输入信息τι,2计算μι,h r(ι,2)λι a(ι)
所述第一输出信息计算部使用所述第一输入信息μι,h r(ι,1)λι b(ι),以大于某一概率的概率准确地计算fι(μι,h (ι,1)λι b(ι)),将得到的计算结果设为所述第一输出信息zι,1
所述第二输出信息计算部使用所述第二输入信息μι,h r(ι,2)λι a(ι),以大于某一概率的概率准确地计算fι(μι,h r(ι,2)λι a(ι)),将得到的计算结果设为第二输出信息zι,2
所述第一计算部计算zι,1νι -r(ι,1)而得到所述计算结果uι
所述第二计算部计算zι,2νι -r(ι,2)而得到所述计算结果vι
27.如权利要求26所述的代理计算系统,其中,
所述第一随机数生成部在b(ι)≠1时生成所述随机数r(ι,1),
所述第一输入信息计算部在b(ι)≠1时作为所述第一输入信息τι,1计算所述μι,h r(ι,1)λι b(ι)
所述第一输出信息计算部将在b(ι)≠1时使用所述第一输入信息μι,h r(ι,1)λι b(ι)而得到的所述计算结果设为所述第一输出信息zι,1
所述第一计算部在b(ι)≠1时计算zι,1νι -r(ι,1)而得到所述计算结果uι
所述第二随机数生成部在a(ι)≠1时生成所述随机数r(ι,2),
所述第二输入信息计算部在a(ι)≠1时作为所述第二输入信息τι,2计算μι,h r(ι,2)λι a(ι)
所述第二输出信息计算部将在a(ι)≠1时使用所述第二输入信息μι,h r(ι,2)λι a(ι)而得到的所述计算结果设为第二输出信息zι,2
所述第二计算部在a(ι)≠1时计算zι,2νι -r(ι,2)而得到所述计算结果vι
所述输入信息提供部包括:
第三随机数生成部,生成0以上的自然数的随机数r(ι,3);
第三输入信息计算部,在b(ι)=1时将λι r(ι,3)设为所述第一输入信息τι,1,在a(ι)=1时将λι r(ι,3)设为所述第二输入信息τι,2
所述能力提供装置包括第三输出信息计算部,该第三输出信息计算部使用所述xr(ι,3),以大于某一概率的概率准确地计算fι(λι r(ι,3)),将得到的计算结果设为第三输出信息zι,3
所述计算装置包括第三计算部,该第三计算部在
b(ι)=1时将zι,31 /r(ι,3)设为所述计算结果uι,在a(ι)=1时将zι,31 /r(ι,3)设为所述计算结果vι
28.如权利要求17至20的任一项所述的代理计算系统,其中,
所述群Hι为直积群Gι×Gι,所述解码函数fι为准同型函数,所述群Gι为巡回群,所述巡回群Gι的生成元为μι,g,所述巡回群Gι的位数为Kι,G,λι=(cι,1,cι,2),(Vι,Wι)为所述群Hι的元,且fι(Vι,Wι)=Yι
所述输入信息提供部包括:
第四随机数生成部,生成0以上的自然数的随机数r(ι,4);
第五随机数生成部,生成0以上的自然数的随机数r(ι,5);
第一输入信息计算部,作为所述第一输入信息τι,1,计算cι,2 b(ι)ι r(ι,4)和cι,1 b(ι)ι r(ι,4)μι,g r(ι,5)
第六随机数生成部,生成0以上的自然数的随机数r(ι,6);
第七随机数生成部,生成0以上的自然数的随机数r(ι,7);以及
第二输入信息计算部,作为所述第二输入信息τι,2计算cι,2 a(ι)ι r(ι,6)和cι,1 a(ι)ι r(ι,6)μι,g r(ι,7)
所述第一输出信息计算部使用所述第一输入信息cι,1 b(ι)ι r(ι,4)μι,g r(ι,5)和cι,2 b(ι)ι r(ι,4),以大于某一概率的概率准确地计算fι(cι,1 b(ι)ι r(ι,4)μι,g r(ι,5),cι,2 b(ι)ι r4),将得到的计算结果设为所述第一输出信息zι,1
所述第二输出信息计算部使用所述第二输入信息cι,1 a(ι)ι r(ι,6)μι,g r(ι,7)和cι,2 a(ι)ι r(ι,6),以大于某一概率的概率准确地计算fι(cι,1 a(ι)ι r(ι,6)μι,g r(ι,7),cι,2 a(ι)ι r(ι,6)),将得到的计算结果设为所述第二输出信息zι,2
所述第一计算部计算zι,1ι -r(ι,4)μι,g -r(ι,5)而得到所述计算结果uι
所述第二计算部计算zι,2ι -r(ι,6)μι,g -r(ι,7)而得到所述计算结果vι
29.如权利要求21所述的代理计算系统,其中,
所述群Hι为直积群Gι×Gι,所述解码函数fι为准同型函数,所述群Gι为巡回群,所述巡回群Gι的生成元为μι,g,所述巡回群Gι的位数为Kι,G,λι=(cι,1,cι,2),(Vι,Wι)为所述群Hι的元,且fι(Vι,Wι)=Yι
所述输入信息提供部包括:
第四随机数生成部,生成0以上的自然数的随机数r(ι,4);
第五随机数生成部,生成0以上的自然数的随机数r(ι,5);
第一输入信息计算部,作为所述第一输入信息τι,1,计算cι,2 b(ι)ι r(ι,4)和cι,1 b(ι)ι r(ι,4)μι,g r(ι,5)
第六随机数生成部,生成0以上的自然数的随机数r(ι,6);
第七随机数生成部,生成0以上的自然数的随机数r(ι,7);以及
第二输入信息计算部,作为所述第二输入信息τι,2计算cι,2 a(ι)ι r(ι,6)和cι,1 a(ι)ι r(ι,6)μι,g r(ι,7)
所述第一输出信息计算部使用所述第一输入信息cι,1 b(ι)ι r(ι,4)μι,g r(ι,5)和cι,2 b(ι)ι r(ι,4),以大于某一概率的概率准确地计算fι(cι,1 b(ι)ι r(ι,4)μι,g r(ι,5),cι,2 b(ι)ι r4),将得到的计算结果设为所述第一输出信息zι,1
所述第二输出信息计算部使用所述第二输入信息cι,1 a(ι)ι r(ι,6)μι,g r(ι,7)和cι,2 a(ι)ι r(ι,6),以大于某一概率的概率准确地计算fι(cι,1 a(ι)ι r(ι,6)μι,g r(ι,7),cι,2 a(ι)ι r(ι,6)),将得到的计算结果设为所述第二输出信息zι,2
所述第一计算部计算zι,1ι -r(ι,4)μι,g -r(ι,5)而得到所述计算结果uι
所述第二计算部计算zι,2ι -r(ι,6)μι,g -r(ι,7)而得到所述计算结果vι
30.如权利要求17至20的任一项所述的代理计算系统,其中,
所述运算结果uι对于fι(λιb(ι)的误差的概率分布不依赖于所述自然数b(ι)和/或所述运算结果vι对于fι(λιa(ι)的误差的概率分布不依赖于所述自然数a(ι),或者,存在无法与所述运算结果uι对于fι(λιb(ι)的误差的概率分布区分的不依赖于所述自然数b的概率分布和/或存在无法与所述运算结果vι对于fι(λιa(ι)的误差的概率分布区分的不依赖于所述自然数a的概率分布。
31.如权利要求24所述的代理计算系统,其中,
所述运算结果uι对于fι(λιb(ι)的误差的概率分布不依赖于所述自然数b(ι)和/或所述运算结果vι对于fι(λιa(ι)的误差的概率分布不依赖于所述自然数a(ι),或者,存在无法与所述运算结果uι对于fι(λιb(ι)的误差的概率分布区分的不依赖于所述自然数b的概率分布和/或存在无法与所述运算结果vι对于fι(λιa(ι)的误差的概率分布区分的不依赖于所述自然数a的概率分布。
32.如权利要求26所述的代理计算系统,其中,
所述运算结果uι对于fι(λιb(ι)的误差的概率分布不依赖于所述自然数b(ι)和/或所述运算结果vι对于fι(λιa(ι)的误差的概率分布不依赖于所述自然数a(ι),或者,存在无法与所述运算结果uι对于fι(λιb(ι)的误差的概率分布区分的不依赖于所述自然数b的概率分布和/或存在无法与所述运算结果vι对于fι(λιa(ι)的误差的概率分布区分的不依赖于所述自然数a的概率分布。
33.如权利要求28所述的代理计算系统,其中,
所述运算结果uι对于fι(λιb(ι)的误差的概率分布不依赖于所述自然数b(ι)和/或所述运算结果vι对于fι(λιa(ι)的误差的概率分布不依赖于所述自然数a(ι),或者,存在无法与所述运算结果uι对于fι(λιb(ι)的误差的概率分布区分的不依赖于所述自然数b的概率分布和/或存在无法与所述运算结果vι对于fι(λιa(ι)的误差的概率分布区分的不依赖于所述自然数a的概率分布。
34.如权利要求29所述的代理计算系统,其中,
所述运算结果uι对于fι(λιb(ι)的误差的概率分布不依赖于所述自然数b(ι)和/或所述运算结果vι对于fι(λιa(ι)的误差的概率分布不依赖于所述自然数a(ι),或者,存在无法与所述运算结果uι对于fι(λιb(ι)的误差的概率分布区分的不依赖于所述自然数b的概率分布和/或存在无法与所述运算结果vι对于fι(λιa(ι)的误差的概率分布区分的不依赖于所述自然数a的概率分布。
35.如权利要求17至20的任一项所述的代理计算系统,其中,
所述自然数a(ι)或所述自然数b(ι)是常数。
36.如权利要求24所述的代理计算系统,其中,
所述自然数a(ι)或所述自然数b(ι)是常数。
37.如权利要求26所述的代理计算系统,其中,
所述自然数a(ι)或所述自然数b(ι)是常数。
38.如权利要求28所述的代理计算系统,其中,
所述自然数a(ι)或所述自然数b(ι)是常数。
39.如权利要求29所述的代理计算系统,其中,
所述自然数a(ι)或所述自然数b(ι)是常数。
40.一种代理计算系统,具有计算装置和能力提供装置,其中,
M、HM为矩阵的集合,fM(xM)为用于将作为集合HM的元的密码文xM通过特定的解码密钥进行解码而得到集合GM的元的解码函数,M1M2为在集合GM中取值的概率变量,M1为概率变量M1的实现值,M2为概率变量M2的实现值,aM为集合HM的元,
所述计算装置包括:
输入信息提供部,输出与所述密码文xM对应的作为集合HM的元的第一输入信息Mτ1和第二输入信息Mτ2
所述能力提供装置包括:
第一输出信息计算部,使用所述第一输入信息Mτ1,以大于某一概率的概率准确地计算fMMτ1),将得到的计算结果设为第一输出信息M1;以及
第二输出信息计算部,使用所述第二输入信息Mτ2,以大于某一概率的概率准确地计算fMMτ2),将得到的计算结果设为第二输出信息M2
所述计算装置还包括:
第一计算部,根据所述第一输出信息M1来生成计算结果uM=fM(xM)+M1
第二计算部,根据所述第二输出信息M2来生成计算结果vM=fM(xM)aMM2;以及
最终输出部,在所述计算结果uM和vM满足uM·aM=vM的情况下输出uM
41.如权利要求40所述的代理计算系统,其中,
所述计算装置包括用于选择所述集合HM的元aM的矩阵选择部,
所述第二输入信息Mτ2进而对应于所述元aM
42.如权利要求41所述的代理计算系统,其中,
所述输入信息提供部将搅乱了与所述密码文xM的关系的信息设为所述第一输入信息Mτ1和所述第二输入信息Mτ2
43.如权利要求40所述的代理计算系统,其中,
所述输入信息提供部将搅乱了与所述密码文xM的关系的信息设为所述第一输入信息Mτ1和所述第二输入信息Mτ2
44.如权利要求40至43的任一项所述的代理计算系统,其中,
κ、ι、q为正整数,·T为·的转置矩阵,GM为ι×ι矩阵的集合,HM为ι×ι矩阵的集合,PK为作为加密密钥的ι×κ矩阵,SK为作为满足PK·SK=0的ι×ι矩阵的所述解码密钥,CM为κ×ι矩阵,NM为ι×ι矩阵,UM为ι×ι单位矩阵,所述解码函数fM为SK-1{SK·xM·SKT(mod q)}(SKT-1(mod2),
所述输入信息提供部包括:
第一随机矩阵选择部,随机地选择所述集合GM的元MR1
第二随机矩阵选择部,选择κ×ι的随机的矩阵CM11和CM12
第一加密部,生成第一密码文CR1=PK·CM+2·NM+MR1(mod q);
第二加密部,生成第二密码文CUM=PK·CM+2·NM+UM(mod q);
第一输入信息计算部,作为所述第一输入信息Mτ1得到(xM·CUM+CR1)+PK·CM11+2·NM+CM12 T·PKT
第三随机矩阵选择部,随机地选择所述集合GM的元MR2
第四随机矩阵选择部,选择κ×ι的随机的矩阵CM21和CM22
第三加密部,生成第三密码文CR2=PK·CM+2·NM+MR2(mod q);
第四加密部,生成第四密码文Ca=PK·CM+2·NM+aM(modq);以及
第二输入信息计算部,作为所述第二输入信息Mτ2得到(xM·Ca+CR2)+PK·CM21+2·NM+CM22 T·PKT
所述第一计算部作为所述计算结果uM生成M1-MR1
所述第二计算部作为所述计算结果vM生成M2-MR2
45.如权利要求40至43的任一项所述的代理计算系统,还具有:
解码控制装置,
所述解码控制装置包括输出部,该输出部对所述能力提供装置输出用于控制所述计算装置的解码处理的解码控制命令,
所述能力提供装置包括控制部,该控制部按照所述解码控制命令,控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息M1和所述第二输出信息M2的两方。
46.如权利要求44所述的代理计算系统,还具有:
解码控制装置,
所述解码控制装置包括输出部,该输出部对所述能力提供装置输出用于控制所述计算装置的解码处理的解码控制命令,
所述能力提供装置包括控制部,该控制部按照所述解码控制命令,控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息M1和所述第二输出信息M2的两方。
47.一种计算装置,具有第一计算部、第二计算部和最终输出部,其中,
G、H为群,f(x)为用于将作为所述群H的元的密码文x通过特定的解码密钥进行解码而得到所述群G的元的解码函数,X1、X2为在所述群G中取值的概率变量,x1为概率变量X1的实现值,x2为概率变量X2的实现值,a、b为互质的自然数,
所述第一计算部生成计算结果u=f(x)b1
所述第二计算部生成计算结果v=f(x)a2
所述最终输出部在所述计算结果u和v满足ua=vb的情况下,输出关于满足a’a+b’b=1的整数a’,b’的ub’va’。
48.如权利要求47所述的计算装置,还具有:
输入信息提供部,输出与所述密码文x对应的作为所述群H的元的第一输入信息τ1和第二输入信息τ2
所述第一计算部根据以大于某一概率的概率准确地计算f(τ1)而得到的计算结果即第一输出信息z1,生成所述计算结果u=f(x)b1
所述第二计算部根据以大于某一概率的概率准确地计算f(τ2)而得到的计算结果即第二输出信息z2,生成所述计算结果v=f(x)a2
49.如权利要求48所述的计算装置,还具有
自然数选择部,选择所述自然数a、b的至少一方,
所述第一输入信息τ1进而对应于所述自然数b,所述第二输入信息τ2进而对应于所述自然数a。
50.如权利要求49所述的计算装置,其中,
所述输入信息提供部将搅乱了与所述密码文x的关系的信息设为所述第一输入信息τ1和所述第二输入信息τ2
51.如权利要求48所述的计算装置,其中,
所述输入信息提供部将搅乱了与所述密码文x的关系的信息设为所述第一输入信息τ1和所述第二输入信息τ2
52.如权利要求48至51的任一项所述的计算装置,其中,
所述解码函数f(x)为准同型函数,所述群H为巡回群,所述巡回群H的生成元为μ,所述巡回群H的位数为KH,且ν=f(μh),
所述输入信息提供部包括:
第一随机数生成部,生成0以上的自然数的随机数r1
第一输入信息计算部,作为所述第一输入信息τ1计算μh r1b
第二随机数生成部,生成0以上的自然数的随机数r2;以及
第二输入信息计算部,作为所述第二输入信息τ2计算μh r2a
所述第一输出信息z1是以大于某一概率的概率准确地计算f(μh r1b)而得到的计算结果,
所述第二输出信息z2是以大于某一概率的概率准确地计算f(μh r2a)而得到的计算结果,
所述计算结果u是z1ν-r1
所述计算结果v是z2ν-r2
53.如权利要求48至51的任一项所述的计算装置,其中,
所述群H为直积群G×G,所述解码函数f(x)为准同型函数,所述群G为巡回群,所述巡回群G的生成元为μg,所述巡回群G的位数为KG,x=(c1,c2),(V,W)为所述群H的元,且f(V,W)=Y,
所述输入信息提供部包括:
第四随机数生成部,生成0以上的自然数的随机数r4
第五随机数生成部,生成0以上的自然数的随机数r5
第一输入信息计算部,作为所述第一输入信息τ1,计算c2 br4和c1 br4μg r5
第六随机数生成部,生成0以上的自然数的随机数r6
第七随机数生成部,生成0以上的自然数的随机数r7;以及
第二输入信息计算部,作为所述第二输入信息τ2计算c2 ar6和c1 ar6μg r7
所述第一输出信息z1是以大于某一概率的概率准确地计算f(c1 br4μg r5,c2 br4)而得到的计算结果,
所述第二输出信息z2是以大于某一概率的概率准确地计算f(c1 ar6μg r7,c2 ar6)而得到的计算结果,
所述计算结果u是z1-r4μg -r5
所述计算结果v是z2-r6μg -r7
54.如权利要求48至51的任一项所述的计算装置,其中,
所述计算结果u对于f(x)b的误差的概率分布不依赖于所述自然数b和/或所述计算结果v对于f(x)a的误差的概率分布不依赖于所述自然数a,或者,存在无法与所述计算结果u对于f(x)b的误差的概率分布区分的不依赖于所述自然数b的概率分布和/或存在无法与所述计算结果v对于f(x)a的误差的概率分布区分的不依赖于所述自然数a的概率分布。
55.如权利要求52所述的计算装置,其中,
所述计算结果u对于f(x)b的误差的概率分布不依赖于所述自然数b和/或所述计算结果v对于f(x)a的误差的概率分布不依赖于所述自然数a,或者,存在无法与所述计算结果u对于f(x)b的误差的概率分布区分的不依赖于所述自然数b的概率分布和/或存在无法与所述计算结果v对于f(x)a的误差的概率分布区分的不依赖于所述自然数a的概率分布。
56.如权利要求53所述的计算装置,其中,
所述计算结果u对于f(x)b的误差的概率分布不依赖于所述自然数b和/或所述计算结果v对于f(x)a的误差的概率分布不依赖于所述自然数a,或者,存在无法与所述计算结果u对于f(x)b的误差的概率分布区分的不依赖于所述自然数b的概率分布和/或存在无法与所述计算结果v对于f(x)a的误差的概率分布区分的不依赖于所述自然数a的概率分布。
57.如权利要求48至51的任一项所述的计算装置,其中,
所述自然数a或所述自然数b是常数。
58.如权利要求52所述的计算装置,其中,
所述自然数a或所述自然数b是常数。
59.如权利要求53所述的计算装置,其中,
所述自然数a或所述自然数b是常数。
60.一种计算装置,具有第一计算部、第二计算部和最终输出部,其中,
M、HM为矩阵的集合,fM(xM)为用于将作为集合HM的元的密码文xM通过特定的解码密钥进行解码而得到集合GM的元的解码函数,M1M2为在集合GM中取值的概率变量,M1为概率变量M1的实现值,M2为概率变量M2的实现值,aM为集合HM的元,
所述第一计算部生成计算结果uM=fM(xM)+M1
所述第二计算部生成计算结果vM=fM(xM)aMM2
所述最终输出部在所述计算结果uM和vM满足uM·aM=vM时输出uM
61.如权利要求60所述的计算装置,还包括:
输入信息提供部,输出与所述密码文xM对应的作为集合HM的元的第一输入信息Mτ1和第二输入信息Mτ2
所述第一计算部根据以大于某一概率的概率准确地计算fMMτ1)而得到的计算结果即第一输出信息M1,生成所述计算结果uM=fM(xM)+M1
所述第二计算部根据以大于某一概率的概率准确地计算fMMτ2)而得到的计算结果即第二输出信息M2,生成所述计算结果vM=fM(xM)aMM2
62.如权利要求61所述的计算装置,还具有,
矩阵选择部,选择所述集合HM的元aM
所述第二输入信息Mτ2进而对应于所述元aM
63.如权利要求62所述的计算装置,其中,
所述输入信息提供部将搅乱了与所述密码文xM的关系的信息设为所述第一输入信息Mτ1和所述第二输入信息Mτ2
64.如权利要求61所述的计算装置,其中,
所述输入信息提供部将搅乱了与所述密码文xM的关系的信息设为所述第一输入信息Mτ1和所述第二输入信息Mτ2
65.如权利要求61至64的任一项所述的计算装置,其中,
κ、ι、q为正整数,·T为·的转置矩阵,GM为ι×ι矩阵的集合,HM为ι×ι矩阵的集合,PK为作为加密密钥的ι×κ矩阵,SK为作为满足PK·SK=0的ι×ι矩阵的所述解码密钥,CM为κ×ι矩阵,NM为ι×ι矩阵,UM为ι×ι单位矩阵,所述解码函数fM为SK-1{SK·xM·SKT(mod q)}(SKT-1(mod2),
所述输入信息提供部包括:
第一随机矩阵选择部,随机地选择所述集合GM的元MR1
第二随机矩阵选择部,选择κ×ι的随机的矩阵CM11和CM12
第一加密部,生成第一密码文CR1=PK·CM+2·NM+MR1(mod q);
第二加密部,生成第二密码文CUM=PK·CM+2·NM+UM(mod q);
第一输入信息计算部,作为所述第一输入信息Mτ1得到(xM·CUM+CR1)+PK·CM11+2·NM+CM12 T·PKT
第三随机矩阵选择部,随机地选择所述集合GM的元MR2
第四随机矩阵选择部,选择κ×ι的随机的矩阵CM21和CM22
第三加密部,生成第三密码文CR2=PK·CM+2·NM+MR2(mod q);
第四加密部,生成第四密码文Ca=PK·CM+2·NM+aM(modq);以及
第二输入信息计算部,作为所述第二输入信息Mτ2得到(xM·Ca+CR2)+PK·CM21+2·NM+CM22 T·PKT
所述第一计算部作为所述计算结果uM生成M1-MR1
所述第二计算部作为所述计算结果vM生成M2-MR2
66.一种能力提供装置,具有第一输出信息计算部和第二输出信息计算部,其中,
G、H为群,f(x)为用于将作为所述群H的元的密码文x通过特定的解码密钥进行解码而得到所述群G的元的解码函数,X1、X2为在所述群G中取值的概率变量,x1为概率变量X1的实现值,x2为概率变量X2的实现值,a、b为互质的自然数,
所述第一输出信息计算部使用与所述密码文x对应的作为所述群H的元的第一输入信息τ1,以大于某一概率的概率准确地计算f(τ1),将得到的计算结果设为第一输出信息z1,
所述第二输出信息计算部使用与所述密码文x对应的作为所述群H的元的第二输入信息τ2,以大于某一概率的概率准确地计算f(τ2),将得到的计算结果设为第二输出信息z2
67.如权利要求66所述的能力提供装置,其中,
所述解码函数f(x)为准同型函数,所述群H为巡回群,所述巡回群H的生成元为μ,所述巡回群H的位数为KH,且ν=f(μh),r1和r2为0以上的自然数的随机数,
所述第一输出信息计算部使用所述第一输入信息μh r1b,以大于某一概率的概率准确地计算f(μh r1b),将得到的计算结果设为所述第一输出信息z1
所述第二输出信息计算部使用所述第二输入信息μh r2a,以大于某一概率的概率准确地计算f(μh r2a),将得到的计算结果设为第二输出信息z2
68.如权利要求66所述的能力提供装置,其中,
所述群H为直积群G×G,所述解码函数f(x)为准同型函数,所述群G为巡回群,所述巡回群G的生成元为μg,所述巡回群G的位数为KG,x=(c1,c2),(V,W)为所述群H的元,且f(V,W)=Y,r4、r5、r6和r7为0以上的自然数的随机数,
所述第一输出信息计算部使用所述第一输入信息c1 br4μg r5和c2 br4,以大于某一概率的概率准确地计算f(c1 br4μg r5,c2 br4),将得到的计算结果设为所述第一输出信息z1
所述第二输出信息计算部使用所述第二输入信息c1 ar6μg r7和c2 ar6,以大于某一概率的概率准确地计算f(c1 ar6μg r7,c2 ar6),将得到的计算结果设为所述第二输出信息z2
69.如权利要求66至68的任一项所述的能力提供装置,还具有:
控制部,按照所输入的解码控制命令,控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息z1和所述第二输出信息z2的两方。
70.如权利要求66所述的能力提供装置,其中,
ι、Hι为群,ω为2以上的整数,ι=1,···,ω,fι(λι)为用于将作为所述群Hι的元的密码文λι通过特定的解码密钥sι进行解码而得到所述群Gι的元的解码函数,Xι,1、Xι,2为在所述群Gι中取值的概率变量,xι,1为概率变量Xι,1的实现值,xι,2为概率变量Xι,2的实现值,a(ι)、b(ι)为互质的自然数,所述群G为群G1,所述群H为群H1,所述密码文x为密码文λ1,所述解码函数f(x)为解码函数f1(λ1),所述概率变量X1为概率变量X1,1,所述概率变量X2为概率变量X1,2,所述实现值x1为实现值x1,1,所述实现值x2为实现值x1,2,所述自然数a为自然数a(1),所述自然数b为自然数b(1),
所述第一输出信息计算部使用所述第一输入信息τι,1,以大于某一概率的概率准确地计算fι(τι,1),将得到的计算结果作为第一输出信息zι,1而输出,
所述第二输出信息计算部使用所述第二输入信息τι,2,以大于某一概率的概率准确地计算fι(τι,2),将得到的计算结果作为第二输出信息zι,2而输出,
该能力提供装置还具有控制部,该控制部按照所输入的解码控制命令,控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息zι,1和所述第二输出信息zι,2的两方。
71.如权利要求70所述的能力提供装置,其中,
所述解码控制命令对应于其中一个所述解码函数fι
所述控制部控制是否输出与对应于所述解码控制命令的所述解码函数fι对应的所述第一输出信息zι,1和所述第二输出信息zι,2的两方。
72.一种能力提供装置,具有第一输出信息计算部和第二输出信息计算部,其中,
M、HM为矩阵的集合,fM(xM)为用于将作为集合HM的元的密码文xM通过特定的解码密钥进行解码而得到集合GM的元的解码函数,M1M2为在集合GM中取值的概率变量,M1为概率变量M1的实现值,M2为概率变量M2的实现值,aM为集合HM的元,
所述第一输出信息计算部使用与所述密码文xM对应的第一输入信息Mτ1,以大于某一概率的概率准确地计算fMMτ1),将得到的计算结果设为第一输出信息M1,
所述第二输出信息计算部使用与所述密码文xM对应的第二输入信息Mτ2,以大于某一概率的概率准确地计算fMMτ2),将得到的计算结果设为第二输出信息M2
73.如权利要求72所述的能力提供装置,其中,
κ、ι、q为正整数,·T为·的转置矩阵,GM为ι×ι矩阵的集合,HM为ι×ι矩阵的集合,PK为作为加密密钥的ι×κ矩阵,SK为作为满足PK·SK=0的ι×ι矩阵的所述解码密钥,CM为κ×ι矩阵,NM为ι×ι矩阵,UM为ι×ι单位矩阵,所述解码函数fM为SK-1{SK·xM·SKT(mod q)}(SKT-1(mod2)。
74.如权利要求72或73所述的能力提供装置,包括:
控制部,按照所输入的解码控制命令,控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息M1和所述第二输出信息M2的两方。
75.一种代理计算方法,具有:
在计算装置中,输出与密码文x对应的作为所述群H的元的第一输入信息τ1和第二输入信息τ2的步骤;
在能力提供装置中,使用所述第一输入信息τ1,以大于某一概率的概率准确地计算f(τ1),将得到的计算结果设为第一输出信息z1的步骤;
在所述能力提供装置中,使用所述第二输入信息τ2,以大于某一概率的概率准确地计算f(τ2),将得到的计算结果设为第二输出信息z2的步骤;
在所述计算装置中,根据所述第一输出信息z1来生成计算结果u=f(x)b1的步骤;
在所述计算装置中,根据所述第二输出信息z2来生成计算结果v=f(x)a2的步骤;以及
在所述计算装置中,在所述计算结果u和v满足ua=v的情况下,输出关于满足a’a+b’b=1的整数a’,b’的ub’va’的步骤,
其中,G为群,f(x)为用于将作为所述群H的元的密码文x通过特定的解码密钥进行解码而得到所述群G的元的解码函数,X1、X2为在所述群G中取值的概率变量,x1为概率变量X1的实现值,x2为概率变量X2的实现值,a、b为互质的自然数。
76.如权利要求75所述的代理计算方法,还具有:
解码控制装置对所述能力提供装置输出用于控制所述计算装置的解码处理的解码控制命令的步骤;以及
所述能力提供装置按照所述解码控制命令,控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息z1和所述第二输出信息z2的两方的步骤。
77.如权利要求75所述的代理计算方法,其中,
ι、Hι为群,ω为2以上的整数,ι=1,···,ω,fι(λι)为用于将作为所述群Hι的元的密码文λι通过特定的解码密钥sι进行解码而得到所述群Gι的元的解码函数,Xι,1、Xι,2为在所述群Gι中取值的概率变量,xι,1为概率变量Xι,1的实现值,xι,2为概率变量Xι,2的实现值,a(ι)、b(ι)为互质的自然数,所述群G为群G1,所述群H为群H1,所述密码文x为密码文λ1,所述解码函数f(x)为解码函数f1(λ1),所述概率变量X1为概率变量X1,1,所述概率变量X2为概率变量X1,2,所述实现值x1为实现值x1,1,所述实现值x2为实现值x1,2,所述自然数a为自然数a(1),所述自然数b为自然数b(1),
该代理计算方法具有:
(A)在所述计算装置中,输出与所述密码文λι对应的作为所述群Hι的元的第一输入信息τι,1和第二输入信息τι,2的步骤;
(B)在所述能力提供装置中,使用所述第一输入信息τι,1,以大于某一概率的概率准确地计算fι(τι,1),将得到的运算结果作为第一输出信息zι,1而输出的步骤;
(C)在所述能力提供装置中,使用所述第二输入信息τι,2,以大于某一概率的概率准确地计算fι(τι,2),将得到的计算结果作为第二输出信息zι,2而输出的步骤;
(D)在所述计算装置中,根据所述第一输出信息zι,1来生成运算结果uι=fι(λιb(ι)ι,1的步骤;
(E)在所述计算装置中,根据所述第二输出信息zι,2来生成运算结果vι=fι(λιa(ι)ι,2的步骤;以及
(F)在所述计算装置中,在所述运算结果uι和vι满足uι a(ι)=vι b(ι)的情况下,输出关于满足a’(ι)a(ι)+b’(ι)b(ι)=1的整数a’(ι)、b’(ι)的uι b(ι)ι a(ι)的步骤,
所述步骤(B)和所述步骤(C)是,
按照从解码控制装置输出的用于控制所述计算装置的解码处理的解码控制命令,控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息zι,1和所述第二输出信息zι,2的两方的步骤。
78.一种代理计算方法,具有:
在计算装置中,输出与密码文xM对应的作为集合HM的元的第一输入信息Mτ1和第二输入信息Mτ2的步骤;
在能力提供装置中,使用所述第一输入信息Mτ1,以大于某一概率的概率准确地计算fMMτ1),将得到的计算结果设为第一输出信息M1的步骤;
在所述能力提供装置中,使用所述第二输入信息Mτ2,以大于某一概率的概率准确地计算fMMτ2),将得到的计算结果设为第二输出信息M2的步骤;
在所述计算装置中,根据所述第一输出信息M1来生成计算结果uM=fM(xM)+M1的步骤;
在所述计算装置中,根据所述第二输出信息M2来生成计算结果vM=fM(xM)aMM2的步骤;以及
在所述计算装置中,在所述计算结果uM和vM满足uM·aM=vM的情况下输出uM的步骤,
其中,GM、HM为矩阵的集合,fM(xM)为用于将作为集合HM的元的密码文xM通过特定的解码密钥进行解码而得到集合GM的元的解码函数,M1M2为在集合GM中取值的概率变量,M1为概率变量M1的实现值,M2为概率变量M2的实现值,aM为集合HM的元。
79.如权利要求78所述的代理计算方法,还具有:
解码控制装置对所述能力提供装置输出用于控制所述计算装置的解码处理的解码控制命令的步骤;以及
所述能力提供装置按照所述解码控制命令,控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息M1和所述第二输出信息M2的两方的步骤。
80.一种计算方法,具有:
在第一计算部中生成计算结果u=f(x)b1的步骤;
在第二计算部中生成计算结果v=f(x)a2的步骤;以及
在最终输出部中,在所述计算结果u和v满足ua=vb的情况下,输出关于满足a’a+b’b=1的整数a’、b’的ub’va’的步骤,
其中,G、H为群,f(x)为用于将作为所述群H的元的密码文x通过特定的解码密钥进行解码而得到所述群G的元的解码函数,X1、X2为在所述群G中取值的概率变量,x1为概率变量X1的实现值,x2为概率变量X2的实现值,a、b为互质的自然数。
81.一种计算方法,具有:
在第一计算部中生成计算结果uM=fM(xM)+M1的步骤;
在第二计算部中生成计算结果vM=fM(xM)aMM2的步骤;以及
在最终输出部中,在所述计算结果uM和vM满足uM·aM=vM时输出uM的步骤,
其中,GM、HM为矩阵的集合,fM(xM)为用于将作为集合HM的元的密码文xM通过特定的解码密钥进行解码而得到集合GM的元的解码函数,M1M2为在集合GM中取值的概率变量,M1为概率变量M1的实现值,M2为概率变量M2的实现值,aM为集合HM的元。
82.一种能力提供方法,具有:
在第一输出信息计算部中,使用与密码文x对应的作为群H的元的第一输入信息τ1,以大于某一概率的概率准确地计算f(τ1),将得到的计算结果设为第一输出信息z1的步骤;以及
在第二输出信息计算部中,使用与所述密码文x对应的作为所述群H的元的第二输入信息τ2,以大于某一概率的概率准确地计算f(τ2),将得到的计算结果设为第二输出信息z2的步骤,
其中,G为群,f(x)为用于将作为所述群H的元的密码文x通过特定的解码密钥进行解码而得到所述群G的元的解码函数,X1、X2为在所述群G中取值的概率变量,x1为概率变量X1的实现值,x2为概率变量X2的实现值,a、b为互质的自然数。
83.如权利要求82所述的能力提供方法,包括:
按照所输入的解码控制命令,控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息z1和所述第二输出信息z2的两方的步骤。
84.如权利要求82所述的能力提供方法,其中,
ι、Hι为群,ω为2以上的整数,ι=1,···,ω,fι(λι)为用于将作为所述群Hι的元的密码文λι通过特定的解码密钥sι进行解码而得到所述群Gι的元的解码函数,Xι,1、Xι,2为在所述群Gι中取值的概率变量,xι,1为概率变量Xι,1的实现值,xι,2为概率变量Xι,2的实现值,a(ι)、b(ι)为互质的自然数,所述群G为群G1,所述群H为群H1,所述密码文x为密码文λ1,所述解码函数f(x)为解码函数f1(λ1),所述概率变量X1为概率变量X1,1,所述概率变量X2为概率变量X1,2,所述实现值x1为实现值x1,1,所述实现值x2为实现值x1,2,所述自然数a为自然数a(1),所述自然数b为自然数b(1),
该能力提供方法具有:
(A)在第一输出信息计算部中,使用与所述密码文λι对应的第一输入信息τι,1,以大于某一概率的概率准确地计算fι(τι,1),将得到的运算结果设为第一输出信息zι,1的步骤;以及
(B)在第二输出信息计算部中,使用与所述密码文λι对应的第二输入信息τι,2,以大于某一概率的概率准确地计算fι(τι,2),将得到的计算结果设为第二输出信息zι,2的步骤,
所述步骤(A)和所述步骤(B)包括:
按照所输入的解码控制命令,控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息zι,1和所述第二输出信息zι,2的两方的步骤。
85.一种能力提供方法,具有:
在第一输出信息计算部中,使用与密码文xM对应的第一输入信息Mτ1,以大于某一概率的概率准确地计算fMMτ1),将得到的计算结果设为第一输出信息M1的步骤;以及
在第二输出信息计算部中,使用与所述密码文xM对应的第二输入信息Mτ2,以大于某一概率的概率准确地计算fMMτ2),将得到的计算结果设为第二输出信息M2的步骤,
其中,GM、HM为矩阵的集合,fM(xM)为用于将作为集合HM的元的密码文xM通过特定的解码密钥进行解码而得到集合GM的元的解码函数,M1M2为在集合GM中取值的概率变量,M1为概率变量M1的实现值,M2为概率变量M2的实现值,aM为集合HM的元。
86.如权利要求85所述的能力提供方法,包括:
按照所输入的解码控制命令,控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息M1和所述第二输出信息M2的两方的步骤。
87.一种代理计算系统,具有能力提供装置和Φ个计算装置,其中,
Figure FDA00003082468900262
为2以上的整数,
Figure FDA00003082468900263
为群,
Figure FDA00003082468900264
为将所述群
Figure FDA00003082468900265
的元映射到所述群
Figure FDA00003082468900266
的元的函数,
Figure FDA00003082468900267
为互质的自然数,对于所述群
Figure FDA00003082468900268
的元
Figure FDA00003082468900269
的类
Figure FDA000030824689002610
为以所述群
Figure FDA000030824689002611
的元
Figure FDA000030824689002612
作为元素的集合,
Figure FDA000030824689002613
为在所述群
Figure FDA000030824689002614
中取值的概率变量,
Figure FDA000030824689002615
为概率变量
Figure FDA000030824689002616
的实现值,
Figure FDA000030824689002617
为概率变量
Figure FDA000030824689002618
的实现值,
所述计算装置
Figure FDA000030824689002619
的各个包括输入信息提供部,该输入信息提供部输出与所述群
Figure FDA000030824689002620
的元
Figure FDA000030824689002621
对应的作为所述群
Figure FDA000030824689002622
的元的第一输入信息
Figure FDA000030824689002623
和第二输入信息
Figure FDA000030824689002624
所述能力提供装置包括:
第一输出信息计算部,使用所述第一输入信息
Figure FDA000030824689002625
,以大于某一概率的概率准确地计算,将得到的运算结果设为第一输出信息;以及
第二输出信息计算部,使用所述第二输入信息
Figure FDA000030824689002628
,以大于某一概率的概率准确地计算
Figure FDA000030824689002629
,将得到的计算结果设为第二输出信息
Figure FDA000030824689002630
所述计算装置
Figure FDA000030824689002631
的各个还包括:
第一计算部,根据所述第一输出信息来生成运算结果
第二计算部,根据所述第二输出信息
Figure FDA000030824689002635
来生成运算结果
Figure FDA000030824689002636
Figure FDA000030824689002637
;以及
最终输出部,输出关于对于所述运算结果
Figure FDA000030824689002638
的值
Figure FDA000030824689002639
和对于所述运算结果
Figure FDA000030824689002640
的值
Figure FDA000030824689002641
属于对于互相相同的元
Figure FDA000030824689002642
的类
Figure FDA000030824689002643
的情况下的所述运算结果
Figure FDA00003082468900271
和所述运算结果
Figure FDA00003082468900272
、和满足
Figure FDA000030824689002738
的整数
Figure FDA00003082468900274
的值
Figure FDA00003082468900275
88.如权利要求87所述的代理计算系统,其中,
所有的所述群相同,所有的所述群
Figure FDA00003082468900277
Figure FDA000030824689002737
相同,所有的所述函数相同,
所述第一输出信息计算部对每个
Figure FDA00003082468900279
独立地,以大于某一概率的概率准确地计算
所述第二输出信息计算部对每个
Figure FDA000030824689002711
独立地,以大于某一概率的概率准确地计算
Figure FDA000030824689002712
89.如权利要求88所述的代理计算系统,其中,
所述计算装置
Figure FDA000030824689002713
的各个包括用于选择所述自然数
Figure FDA000030824689002714
的至少一方的自然数选择部,
所述第一输入信息进而对应于所述自然数
Figure FDA000030824689002716
,所述第二输入信息
Figure FDA000030824689002717
进而对应于所述自然数
Figure FDA000030824689002718
90.如权利要求87所述的代理计算系统,其中,
所述计算装置
Figure FDA000030824689002719
的各个包括用于选择所述自然数
Figure FDA000030824689002720
的至少一方的自然数选择部,
所述第一输入信息
Figure FDA000030824689002721
进而对应于所述自然数
Figure FDA000030824689002722
,所述第二输入信息
Figure FDA000030824689002723
进而对应于所述自然数
Figure FDA000030824689002724
91.如权利要求87所述的代理计算系统,其中,
所述输入信息提供部将搅乱了与所述元
Figure FDA000030824689002725
的关系的信息设为所述第一输入信息
Figure FDA000030824689002726
和所述第二输入信息
Figure FDA000030824689002727
92.如权利要求88所述的代理计算系统,其中,
所述输入信息提供部将搅乱了与所述元
Figure FDA000030824689002728
的关系的信息设为所述第一输入信息
Figure FDA000030824689002729
和所述第二输入信息
Figure FDA000030824689002730
93.如权利要求89所述的代理计算系统,其中,
所述输入信息提供部将搅乱了与所述元的关系的信息设为所述第一输入信息和所述第二输入信息
Figure FDA000030824689002733
94.如权利要求90所述的代理计算系统,其中,
所述输入信息提供部将搅乱了与所述元的关系的信息设为所述第一输入信息
Figure FDA000030824689002735
和所述第二输入信息
95.如权利要求87至94的任一项所述的代理计算系统,其中,
所述函数
Figure FDA00003082468900281
是准同型函数。
96.如权利要求95所述的代理计算系统,其中,
所述函数
Figure FDA00003082468900282
为准同型函数,所述群
Figure FDA00003082468900283
为巡回群,
Figure FDA00003082468900284
为所述巡回群
Figure FDA00003082468900285
的生成元,为所述巡回群
Figure FDA00003082468900287
的位数,且
Figure FDA00003082468900288
所述输入信息提供部包括:
第一随机数生成部,生成0以上的自然数的随机数
Figure FDA00003082468900289
第一输入信息计算部,作为所述第一输入信息
Figure FDA000030824689002810
计算
Figure FDA000030824689002811
第二随机数生成部,生成0以上的自然数的随机数
Figure FDA000030824689002812
以及
第二输入信息计算部,作为所述第二输入信息
Figure FDA000030824689002813
计算
所述第一输出信息计算部使用所述第一输入信息
Figure FDA000030824689002815
以大于某一概率的概率准确地计算
Figure FDA000030824689002816
将得到的计算结果设为所述第一输出信息
Figure FDA000030824689002817
所述第二输出信息计算部使用所述第二输入信息
Figure FDA000030824689002818
以大于某一概率的概率准确地计算
Figure FDA000030824689002819
将得到的计算结果设为第二输出信息
Figure FDA000030824689002820
所述第一计算部计算
Figure FDA000030824689002821
而得到所述运算结果
Figure FDA000030824689002822
所述第二计算部计算而得到所述运算结果
Figure FDA000030824689002824
97.如权利要求96所述的代理计算系统,其中,
所述第一随机数生成部在时生成所述随机数
所述第一输入信息计算部在时作为所述第一输入信息
Figure FDA000030824689002828
计算所述
Figure FDA000030824689002829
所述第一输出信息计算部将在
Figure FDA000030824689002830
时使用所述第一输入信息
Figure FDA000030824689002831
而得到的所述计算结果设为所述第一输出信息
Figure FDA000030824689002833
所述第一计算部在
Figure FDA000030824689002834
时计算
Figure FDA000030824689002835
而得到所述运算结果
Figure FDA000030824689002836
所述第二随机数生成部在
Figure FDA000030824689002837
时生成所述随机数
Figure FDA000030824689002838
所述第二输入信息计算部在
Figure FDA000030824689002839
时作为所述第二输入信息
Figure FDA000030824689002840
计算
Figure FDA000030824689002841
所述第二输出信息计算部将在
Figure FDA000030824689002842
时使用所述第二输入信息
Figure FDA000030824689002844
而得到的所述计算结果设为所述第二输出信息
Figure FDA000030824689002845
所述第二计算部在
Figure FDA000030824689002846
时计算
Figure FDA000030824689002847
而得到所述运算结果
Figure FDA000030824689002848
所述输入信息提供部包括:
第三随机数生成部,生成0以上的自然数的随机数
Figure FDA00003082468900291
第三输入信息计算部,在
Figure FDA00003082468900292
时将
Figure FDA00003082468900293
设为所述第一输入信息
Figure FDA00003082468900294
Figure FDA00003082468900295
时将
Figure FDA00003082468900296
设为所述第二输入信息
Figure FDA00003082468900297
所述能力提供装置包括第三输出信息计算部,该第三输出信息计算部使用所述
Figure FDA00003082468900298
以大于某一概率的概率准确地计算
Figure FDA00003082468900299
将得到的计算结果设为
Figure FDA000030824689002910
所述计算装置
Figure FDA000030824689002911
的各个包括第三计算部,该第三计算部在
Figure FDA000030824689002912
时将
Figure FDA000030824689002913
设为所述运算结果
Figure FDA000030824689002914
时将
Figure FDA000030824689002915
设为所述运算结果
Figure FDA000030824689002916
98.如权利要求87至94的任一项所述的代理计算系统,其中,
所述群
Figure FDA000030824689002917
为直积群
Figure FDA000030824689002918
所述函数
Figure FDA000030824689002919
为准同型函数,所述群
Figure FDA000030824689002920
为巡回群,所述巡回群
Figure FDA000030824689002921
的生成元为
Figure FDA000030824689002922
所述巡回群的位数为
Figure FDA000030824689002925
为所述群
Figure FDA000030824689002926
的元,且
Figure FDA000030824689002927
所述输入信息提供部包括:
第四随机数生成部,生成0以上的自然数的随机数
Figure FDA000030824689002928
第五随机数生成部,生成0以上的自然数的随机数
Figure FDA000030824689002929
第一输入信息计算部,作为所述第一输入信息
Figure FDA000030824689002930
计算
Figure FDA000030824689002949
及び
第六随机数生成部,生成0以上的自然数的随机数
第七随机数生成部,生成0以上的自然数的随机数
Figure FDA000030824689002933
以及
第二输入信息计算部,作为所述第二输入信息
Figure FDA000030824689002934
计算
Figure FDA000030824689002935
及び
Figure FDA000030824689002936
所述第一输出信息计算部使用所述第一输入信息
Figure FDA000030824689002937
Figure FDA000030824689002938
以大于某一概率的概率准确地计算
Figure FDA000030824689002939
Figure FDA000030824689002940
将得到的计算结果设为所述第一输出信息
Figure FDA000030824689002941
所述第二输出信息计算部使用所述第二输入信息
Figure FDA000030824689002942
Figure FDA000030824689002943
以大于某一概率的概率准确地计算
Figure FDA000030824689002944
Figure FDA000030824689002945
将得到的计算结果设为所述第二输出信息
Figure FDA000030824689002946
所述第一计算部计算
Figure FDA000030824689002947
而得到所述运算结果u,
所述第二计算部计算而得到所述运算结果v。
99.如权利要求87至94的任一项所述的代理计算系统,其中,
所述函数
Figure FDA00003082468900301
为用于将作为所述群的元的所述元
Figure FDA00003082468900303
Figure FDA00003082468900304
变换为所述群
Figure FDA00003082468900305
的元
Figure FDA00003082468900306
的准同型函数,
Figure FDA00003082468900307
为按照第一加密方式
Figure FDA00003082468900308
将平文通过第一加密密钥
Figure FDA000030824689003010
加密后的密码文,
Figure FDA000030824689003011
Figure FDA000030824689003012
为按照第二加密方式
Figure FDA000030824689003013
将所述平文
Figure FDA000030824689003014
通过第二加密密钥加密后的密码文,
所述输入信息提供部:
第一随机数生成部,生成所述群
Figure FDA000030824689003016
的任意的元
Figure FDA000030824689003017
第一输入信息计算部,作为所述第一输入信息
Figure FDA000030824689003018
计算
Figure FDA000030824689003019
Figure FDA000030824689003020
第二随机数生成部,生成所述群的任意的元h
Figure FDA000030824689003022
以及
第二输入信息计算部,作为所述第二输入信息
Figure FDA000030824689003023
计算
Figure FDA000030824689003025
所述第一输出信息计算部使用所述第一输入信息
Figure FDA000030824689003026
Figure FDA000030824689003027
以大于某一概率的概率准确地计算
Figure FDA000030824689003028
Figure FDA000030824689003029
将得到的计算结果设为所述第一输出信息
Figure FDA000030824689003030
所述第二输出信息计算部使用所述第二输入信息
Figure FDA000030824689003031
Figure FDA000030824689003032
以大于某一概率的概率准确地计算
Figure FDA000030824689003033
Figure FDA000030824689003034
将得到的计算结果设为第二输出信息
Figure FDA000030824689003035
所述第一计算部计算
Figure FDA000030824689003036
而得到所述运算结果
Figure FDA000030824689003037
所述第二计算部计算而得到所述运算结果
100.如权利要求99所述的代理计算系统,其中,
所述群
Figure FDA000030824689003040
为巡回群
Figure FDA000030824689003041
的直积群
Figure FDA000030824689003042
为所述巡回群
Figure FDA000030824689003059
Figure FDA000030824689003043
的生成元,
Figure FDA000030824689003044
为所述巡回群
Figure FDA000030824689003045
的生成元,为与所述第二加密密钥
Figure FDA000030824689003047
对应的解码密钥,所述第二加密密钥
Figure FDA000030824689003048
Figure FDA000030824689003049
Figure FDA000030824689003050
为整数的随机数,所述元
Figure FDA000030824689003051
Figure FDA000030824689003052
所述值
Figure FDA000030824689003054
Figure FDA000030824689003055
所述值
Figure FDA000030824689003057
为对
Figure FDA000030824689003058
提供巡回群
Figure FDA00003082468900311
的元的双线型映像,
所述最终输出部输出在满足关系
Figure FDA00003082468900313
时的所述值
Figure FDA00003082468900314
101.如权利要求100所述的代理计算系统,其中,
为质数
Figure FDA00003082468900316
与质数
Figure FDA00003082468900317
的合成数,所述巡回群分别为由在以所述合成数
Figure FDA00003082468900319
作为法的剩余环上定义的第一椭圆曲线
Figure FDA000030824689003110
上的点构成的部分群,
Figure FDA000030824689003111
为由在以所述质数
Figure FDA000030824689003112
作为法的剩余体上定义的第二椭圆曲线
Figure FDA000030824689003113
上的点构成的部分群,
Figure FDA000030824689003114
为由在以所述质数
Figure FDA000030824689003115
作为法的剩余体上定义的第三椭圆曲线
Figure FDA000030824689003116
上的点构成的部分群,
Figure FDA000030824689003117
为对
Figure FDA000030824689003118
提供巡回群的元的第二双线型映像,
Figure FDA000030824689003120
Figure FDA000030824689003168
为对
Figure FDA000030824689003121
提供巡回群
Figure FDA000030824689003122
的元的第三双线型映像,
Figure FDA000030824689003165
Figure FDA000030824689003123
为将所述第一椭圆曲线
Figure FDA000030824689003124
上的点映射到所述第二椭圆曲线
Figure FDA000030824689003125
上的点和所述第三椭圆曲线
Figure FDA000030824689003126
上的点的同型映像,
Figure FDA000030824689003127
为所述同型映像
Figure FDA000030824689003128
的逆像,
所述计算装置
Figure FDA000030824689003129
的各个还包括:
判定部,使用所述同型映像将所述第一椭圆曲线
Figure FDA000030824689003131
上的点α映射到所述第二椭圆曲线上的点
Figure FDA000030824689003133
和所述第三椭圆曲线
Figure FDA000030824689003134
上的点θι(α),使用所述同型映像
Figure FDA000030824689003135
将所述第一椭圆曲线
Figure FDA000030824689003136
上的点β映射到所述第二椭圆曲线
Figure FDA000030824689003137
上的点θω(β)和所述第三椭圆曲线上的点θι(β),并求出
Figure FDA000030824689003139
Figure FDA000030824689003140
并作为
Figure FDA000030824689003141
而求出对于
Figure FDA000030824689003142
Figure FDA000030824689003143
的所述逆像
Figure FDA000030824689003166
Figure FDA000030824689003144
并判定是否满足上述关系。
102.如权利要求87至94的任一项所述的代理计算系统,其中,
所述群
Figure FDA000030824689003145
为巡回群
Figure FDA000030824689003146
的直积群所述巡回群
Figure FDA000030824689003148
的生成元为
Figure FDA000030824689003149
所述巡回群的生成元为
Figure FDA000030824689003151
为将所述巡回群
Figure FDA000030824689003152
的元和所述巡回群
Figure FDA000030824689003153
的元的组映射到所述群
Figure FDA000030824689003154
的元的双准同型映象,所述群
Figure FDA000030824689003167
Figure FDA000030824689003155
的元
Figure FDA000030824689003156
为所述巡回群
Figure FDA000030824689003157
的元
Figure FDA000030824689003158
和所述巡回群
Figure FDA000030824689003159
的元
Figure FDA000030824689003160
的组,且
Figure FDA000030824689003161
Figure FDA000030824689003162
所述输入信息提供部包括:
第一随机数生成部,生成0以上的自然数的随机数
第一输入信息计算部,作为所述第一输入信息
Figure FDA00003082468900321
计算
Figure FDA00003082468900322
Figure FDA00003082468900323
Figure FDA00003082468900324
Figure FDA00003082468900325
第二随机数生成部,生成0以上的自然数的随机数
Figure FDA00003082468900326
Figure FDA00003082468900327
以及
第二输入信息计算部,作为所述第二输入信息计算
Figure FDA00003082468900329
Figure FDA000030824689003210
Figure FDA000030824689003211
Figure FDA000030824689003212
所述第一输出信息计算部使用所述第一输入信息
Figure FDA000030824689003213
以大于某一概率的概率准确地计算
Figure FDA000030824689003214
Figure FDA000030824689003215
Figure FDA000030824689003216
将得到的运算结果
Figure FDA000030824689003250
Figure FDA000030824689003217
设为所述第一输出信息
Figure FDA000030824689003219
所述第二输出信息计算部使用所述第二输入信息
Figure FDA000030824689003220
以大于某一概率的概率准确地计算
Figure FDA000030824689003221
Figure FDA000030824689003222
Figure FDA000030824689003223
将得到的运算结果
Figure FDA000030824689003224
Figure FDA000030824689003226
设为所述第二输出信息
Figure FDA000030824689003227
所述第一计算部计算
Figure FDA000030824689003228
Figure FDA000030824689003229
而得到所述运算结果
Figure FDA000030824689003230
所述第二计算部计算
Figure FDA000030824689003231
Figure FDA000030824689003232
而得到所述运算结果
Figure FDA000030824689003251
所述最终输出部在所述运算结果
Figure FDA000030824689003233
满足
Figure FDA000030824689003234
的情况下,输出关于满足
Figure FDA000030824689003235
的整数
Figure FDA000030824689003236
的值
Figure FDA000030824689003237
103.如权利要求87至94的任一项所述的代理计算系统,其中,
所述运算结果
Figure FDA000030824689003238
对于
Figure FDA000030824689003239
的误差的概率分布不依赖于所述自然数
Figure FDA000030824689003240
和/或所述运算结果
Figure FDA000030824689003241
对于
Figure FDA000030824689003242
的误差的概率分布不依赖于所述自然数
Figure FDA000030824689003243
或者,存在无法与所述运算结果
Figure FDA000030824689003244
对于
Figure FDA000030824689003249
的误差的概率分布区分的不依赖于所述自然数的概率分布和/或存在无法与所述运算结果
Figure FDA000030824689003246
对于
Figure FDA000030824689003247
的误差的概率分布区分的不依赖于所述自然数
Figure FDA000030824689003248
的概率分布。
104.如权利要求87至94的任一项所述的代理计算系统,其中,
所述自然数
Figure FDA00003082468900331
或所述自然数
Figure FDA00003082468900332
是常数。
105.一种能力提供装置,具有第一输出信息计算部和第二输出信息计算部,其中,
Figure FDA00003082468900333
为2以上的整数,为群,
Figure FDA00003082468900335
为将所述群的元映射到所述群
Figure FDA00003082468900337
的元的函数,
Figure FDA000030824689003350
为互质的自然数,对于所述群
Figure FDA00003082468900338
的元的类
Figure FDA000030824689003310
为以所述群
Figure FDA000030824689003311
的元作为元素的集合,为在所述群
Figure FDA000030824689003314
中取值的概率变量,
Figure FDA000030824689003315
为概率变量
Figure FDA000030824689003316
的实现值,
Figure FDA000030824689003317
为概率变量
Figure FDA000030824689003318
的实现值,
所述第一输出信息计算部使用与所述巡回群的元对应的作为所述群
Figure FDA000030824689003321
的元的第一输入信息
Figure FDA000030824689003322
以大于某一概率的概率准确地计算
Figure FDA000030824689003323
将得到的运算结果设为第一输出信息
所述第二输出信息计算部使用与所述群
Figure FDA000030824689003325
的元
Figure FDA000030824689003326
对应的作为所述群
Figure FDA000030824689003351
的元的第二输入信息
Figure FDA000030824689003327
以大于某一概率的概率准确地计算将得到的运算结果设为第二输出信息
106.如权利要求105所述的能力提供装置,其中,
所有的所述群相同,所有的所述群 同,所有的所述函数
Figure FDA000030824689003332
相同,
所述第一输出信息计算部对每个
Figure FDA000030824689003333
独立地,以大于某一概率的概率准确地计算
Figure FDA000030824689003334
所述第二输出信息计算部对每个独立地,以大于某一概率的概率准确地计算
Figure FDA000030824689003336
107.如权利要求105或106所述的能力提供装置,其中,
所述函数
Figure FDA000030824689003337
为准同型函数,所述群
Figure FDA000030824689003338
为巡回群,
Figure FDA000030824689003339
为所述巡回群
Figure FDA000030824689003340
的生成元,
Figure FDA000030824689003341
为所述巡回群
Figure FDA000030824689003342
的位数,且
Figure FDA000030824689003343
所述第一输出信息计算部使用所述第一输入信息以大于某一概率的概率准确地计算
Figure FDA000030824689003345
将得到的计算结果设为所述第一输出信息
Figure FDA000030824689003346
所述第二输出信息计算部使用所述第二输入信息
Figure FDA000030824689003347
以大于某一概率的概率准确地计算
Figure FDA000030824689003348
将得到的计算结果设为第二输出信息
Figure FDA000030824689003349
108.如权利要求105或106所述的能力提供装置,其中,
所述群为直积群
Figure FDA00003082468900342
所述函数
Figure FDA00003082468900343
为准同型函数,所述群为巡回群,所述巡回群
Figure FDA00003082468900345
的生成元为
Figure FDA00003082468900346
所述巡回群
Figure FDA00003082468900347
的位数为
Figure FDA00003082468900349
为所述群
Figure FDA000030824689003410
的元,且
Figure FDA000030824689003411
Figure FDA000030824689003412
Figure FDA000030824689003413
为0以上的自然数的随机数,
所述第一输出信息计算部使用所述第一输入信息
Figure FDA000030824689003414
Figure FDA000030824689003415
以大于某一概率的概率准确地计算
Figure FDA000030824689003416
Figure FDA000030824689003417
将得到的计算结果设为所述第一输出信息
所述第二输出信息计算部使用所述第二输入信息
Figure FDA000030824689003419
Figure FDA000030824689003420
以大于某一概率的概率准确地计算
Figure FDA000030824689003421
将得到的计算结果设为所述第二输出信息
109.如权利要求105或106所述的能力提供装置,其中,
所述函数
Figure FDA000030824689003424
为用于将作为所述群
Figure FDA000030824689003425
的元的所述元
Figure FDA000030824689003426
Figure FDA000030824689003427
变换为所述群
Figure FDA000030824689003428
的元的准同型函数,
Figure FDA000030824689003430
为按照第一加密方式
Figure FDA000030824689003431
将平文
Figure FDA000030824689003432
通过第一加密密钥
Figure FDA000030824689003433
加密后的密码文,
Figure FDA000030824689003434
Figure FDA000030824689003435
为按照第二加密方式将所述平文
Figure FDA000030824689003437
通过第二加密密钥
Figure FDA000030824689003438
加密后的密码文,
Figure FDA000030824689003439
Figure FDA000030824689003440
为所述群的任意的元,
所述第一输出信息计算部使用所述第一输入信息
Figure FDA000030824689003442
Figure FDA000030824689003443
以大于某一概率的概率准确地计算
Figure FDA000030824689003444
Figure FDA000030824689003445
将得到的计算结果设为所述第一输出信息
所述第二输出信息计算部使用所述第二输入信息
Figure FDA000030824689003447
Figure FDA000030824689003471
,以大于某一概率的概率准确地计算
Figure FDA000030824689003448
Figure FDA000030824689003449
将得到的计算结果设为第二输出信息
Figure FDA000030824689003450
110.如权利要求105或106所述的能力提供装置,其中,
所述群
Figure FDA000030824689003451
为巡回群
Figure FDA000030824689003452
的直积群
Figure FDA000030824689003453
所述巡回群
Figure FDA000030824689003454
的生成元为
Figure FDA000030824689003455
所述巡回群
Figure FDA000030824689003456
的生成元为
Figure FDA000030824689003457
Figure FDA000030824689003458
为将所述巡回群
Figure FDA000030824689003459
的元和所述巡回群
Figure FDA000030824689003460
的元的组映射到所述群
Figure FDA000030824689003461
的元的双准同型映象,所述群
Figure FDA000030824689003472
Figure FDA000030824689003462
的元
Figure FDA000030824689003463
为所述巡回群
Figure FDA000030824689003464
的元
Figure FDA000030824689003465
和所述巡回群
Figure FDA000030824689003466
的元的组,且
Figure FDA000030824689003468
Figure FDA000030824689003469
Figure FDA000030824689003470
为0以上的自然数的随机数,所述第一输入信息
Figure FDA00003082468900352
Figure FDA00003082468900353
Figure FDA00003082468900354
Figure FDA00003082468900355
所述第二输入信息
Figure FDA00003082468900356
Figure FDA00003082468900357
所述第一输出信息计算部使用所述第一输入信息以大于某一概率的概率准确地计算
Figure FDA000030824689003510
Figure FDA000030824689003511
Figure FDA000030824689003512
将得到的运算结果
Figure FDA000030824689003514
Figure FDA000030824689003515
设为所述第一输出信息
Figure FDA000030824689003516
所述第二输出信息计算部使用所述第二输入信息
Figure FDA000030824689003517
以大于某一概率的概率准确地计算
Figure FDA000030824689003519
将得到的运算结果
Figure FDA000030824689003521
Figure FDA000030824689003522
设为所述第二输出信息
Figure FDA000030824689003523
111.一种代理计算方法,具有:
输入信息提供步骤,在Φ个计算装置
Figure FDA000030824689003524
的各个中,输出与群
Figure FDA000030824689003525
的元
Figure FDA000030824689003526
对应的作为所述群
Figure FDA000030824689003527
的元的第一输入信息
Figure FDA000030824689003528
和第二输入信息
Figure FDA000030824689003529
第一输出信息生成步骤,在能力提供装置中,使用所述第一输入信息
Figure FDA000030824689003530
以大于某一概率的概率准确地计算将得到的运算结果设为第一输出信息
Figure FDA000030824689003554
第二输出信息生成步骤,在所述能力提供装置中,使用所述第二输入信息以大于某一概率的概率准确地计算
Figure FDA000030824689003533
将得到的计算结果设为第二输出信息
Figure FDA000030824689003534
第一计算步骤,在所述计算装置的各个中,根据所述第一输出信息来生成运算结果
Figure FDA000030824689003537
第二计算步骤,在所述计算装置
Figure FDA000030824689003538
的各个中,根据所述第二输出信息
Figure FDA000030824689003539
来生成运算结果
Figure FDA000030824689003540
以及
最终输出步骤,在所述计算装置
Figure FDA000030824689003541
的各个中,输出关于对于所述运算结果
Figure FDA000030824689003542
的值
Figure FDA000030824689003543
和对于所述运算结果
Figure FDA000030824689003544
的值
Figure FDA000030824689003545
属于对于互相相同的元
Figure FDA000030824689003555
Figure FDA000030824689003546
的类
Figure FDA000030824689003547
的情况下的所述运算结果
Figure FDA000030824689003548
和所述运算结果
Figure FDA000030824689003549
和满足
Figure FDA000030824689003550
的整数
Figure FDA000030824689003551
的值
Figure FDA000030824689003552
Figure FDA000030824689003553
其中,
Figure FDA00003082468900361
为2以上的整数,
Figure FDA00003082468900362
为群,为将所述群的元映射到所述群
Figure FDA00003082468900364
的元的函数,为互质的自然数,对于所述群的元
Figure FDA00003082468900367
的类为以所述群
Figure FDA00003082468900369
的元
Figure FDA000030824689003610
作为元素的集合,
Figure FDA000030824689003611
为在所述群
Figure FDA000030824689003612
中取值的概率变量,
Figure FDA000030824689003657
为概率变量
Figure FDA000030824689003613
的实现值,为概率变量
Figure FDA000030824689003615
的实现值。
112.如权利要求111所述的代理计算方法,其中,
所有的所述群
Figure FDA000030824689003616
相同,所有的所述群
Figure FDA000030824689003617
Figure FDA000030824689003661
相同,所有的所述函数
Figure FDA000030824689003618
相同,
所述第一输出信息计算部对每个
Figure FDA000030824689003619
独立地,以大于某一概率的概率准确地计算
Figure FDA000030824689003620
所述第二输出信息计算部对每个
Figure FDA000030824689003621
独立地,以大于某一概率的概率准确地计算
Figure FDA000030824689003622
113.一种能力提供方法,具有:
第一输出信息计算部使用与群的元
Figure FDA000030824689003624
对应的作为所述群
Figure FDA000030824689003625
的元的第一输入信息以大于某一概率的概率准确地计算
Figure FDA000030824689003627
将得到的运算结果设为第一输出信息
Figure FDA000030824689003628
的步骤;以及
第二输出信息计算部使用与所述群
Figure FDA000030824689003629
的元对应的作为群的元的第二输入信息以大于某一概率的概率准确地计算
Figure FDA000030824689003633
将得到的运算结果设为第二输出信息
Figure FDA000030824689003634
的步骤,
其中,
Figure FDA000030824689003658
为2以上的整数,
Figure FDA000030824689003635
为群,
Figure FDA000030824689003636
为将所述群
Figure FDA000030824689003637
的元映射到所述群的元的函数,
Figure FDA000030824689003659
为互质的自然数,对于所述群的元
Figure FDA000030824689003640
的类
Figure FDA000030824689003641
为以所述群
Figure FDA000030824689003642
的元
Figure FDA000030824689003643
作为元素的集合,
Figure FDA000030824689003644
为在所述群
Figure FDA000030824689003645
中取值的概率变量,
Figure FDA000030824689003646
为概率变量
Figure FDA000030824689003647
的实现值,
Figure FDA000030824689003648
为概率变量
Figure FDA000030824689003649
的实现值。
114.如权利要求113所述的能力提供方法,其中,
所有的所述群
Figure FDA000030824689003650
相同,所有的所述群
Figure FDA000030824689003662
相同,所有的所述函数
Figure FDA000030824689003652
相同,
所述第一输出信息计算部对每个
Figure FDA000030824689003653
独立地,以大于某一概率的概率准确地计算
Figure FDA000030824689003654
所述第二输出信息计算部对每个
Figure FDA000030824689003655
独立地,以大于某一概率的概率准确地计算
115.一种程序,用于使计算机作为权利要求47或60的计算装置发挥作用。
116.一种程序,用于使计算机作为权利要求66、72和105中的任意一个能力提供装置发挥作用。
117.一种存储介质,计算机可读取地存储有用于使计算机作为权利要求47或60的计算装置发挥作用的程序。
118.一种存储介质,计算机可读取地存储有用于使计算机作为权利要求66、72和105中的任意一个能力提供装置发挥作用的程序。
CN201180050871.9A 2010-10-26 2011-10-25 代理计算系统、计算装置、能力提供装置、代理计算方法、能力提供方法 Expired - Fee Related CN103221988B (zh)

Applications Claiming Priority (9)

Application Number Priority Date Filing Date Title
JP2010-239342 2010-10-26
JP2010239342 2010-10-26
JP2011005899 2011-01-14
JP2011-005899 2011-01-14
JP2011077779 2011-03-31
JP2011-077779 2011-03-31
JP2011088002 2011-04-12
JP2011-088002 2011-04-12
PCT/JP2011/074546 WO2012057134A1 (ja) 2010-10-26 2011-10-25 代理計算システム、計算装置、能力提供装置、代理計算方法、能力提供方法、プログラム、及び記録媒体

Publications (2)

Publication Number Publication Date
CN103221988A true CN103221988A (zh) 2013-07-24
CN103221988B CN103221988B (zh) 2016-08-03

Family

ID=45993841

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201180050871.9A Expired - Fee Related CN103221988B (zh) 2010-10-26 2011-10-25 代理计算系统、计算装置、能力提供装置、代理计算方法、能力提供方法

Country Status (5)

Country Link
US (5) US9607158B2 (zh)
EP (1) EP2634760A4 (zh)
JP (1) JP5491638B2 (zh)
CN (1) CN103221988B (zh)
WO (1) WO2012057134A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105264539A (zh) * 2013-07-18 2016-01-20 日本电信电话株式会社 目录服务装置、客户机装置、密钥云系统、其方法、以及程序
CN107113168A (zh) * 2015-01-16 2017-08-29 日本电信电话株式会社 密钥交换方法、密钥交换系统、密钥装置、终端装置和程序
CN107430829A (zh) * 2015-03-18 2017-12-01 日本电信电话株式会社 份额恢复系统、份额恢复装置、份额恢复方法以及程序

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2634760A4 (en) * 2010-10-26 2017-01-11 Nippon Telegraph And Telephone Corporation Substitution calculation system, calculation apparatus, capability providing apparatus, substitution calculation method, capability providing method, program, and recording medium
EP2667371B8 (en) * 2011-03-04 2018-03-07 Nippon Telegraph And Telephone Corporation Proxy calculation system, method, request device, and program
US8898478B2 (en) * 2012-06-15 2014-11-25 Mitsubishi Electric Research Laboratories, Inc. Method for querying data in privacy preserving manner using attributes
US8750508B2 (en) * 2012-06-15 2014-06-10 Mitsubishi Electric Research Laboratories, Inc. Method for outsourcing data for secure processing by untrusted third parties
EP2947813B1 (en) 2013-01-16 2020-06-24 Nippon Telegraph and Telephone Corporation Decryption service providing device, processing device, safety evaluation device, program, and recording medium
JP5964759B2 (ja) * 2013-01-18 2016-08-03 日本電信電話株式会社 計算システム
US9842086B2 (en) 2013-07-18 2017-12-12 Nippon Telegraph And Telephone Corporation Calculation device, calculation method, and program
US10163370B2 (en) 2013-07-18 2018-12-25 Nippon Telegraph And Telephone Corporation Decoding apparatus, decoding capability providing apparatus, method thereof and program
US10686604B2 (en) 2013-10-16 2020-06-16 Nippon Telegraph And Telephone Corporation Key device, key cloud system, decryption method, and program
US10275960B2 (en) 2014-05-13 2019-04-30 Nippon Telegraph And Telephone Corporation Security system, management apparatus, permission apparatus, terminal apparatus, security method and program
US9842115B2 (en) * 2014-05-30 2017-12-12 Apple Inc. Media asset proxies
JP6267658B2 (ja) * 2015-01-09 2018-01-24 日本電信電話株式会社 署名生成装置、署名システム、署名生成方法、およびプログラム
DE102017117899A1 (de) * 2017-08-07 2019-02-07 Infineon Technologies Ag Durchführen einer kryptografischen Operation
US20190318118A1 (en) * 2018-04-16 2019-10-17 International Business Machines Corporation Secure encrypted document retrieval
US11764940B2 (en) 2019-01-10 2023-09-19 Duality Technologies, Inc. Secure search of secret data in a semi-trusted environment using homomorphic encryption
US12099997B1 (en) 2020-01-31 2024-09-24 Steven Mark Hoffberg Tokenized fungible liabilities

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1232588A (zh) * 1996-08-19 1999-10-20 Ntru密码系统公司 公用密钥密码系统方法及设备
JP2000083020A (ja) * 1998-09-04 2000-03-21 Nippon Telegr & Teleph Corp <Ntt> カオス力学系の同期を用いた暗号装置、復号装置、暗号システム、暗号方法、復号方法、暗号プログラムを記録した記録媒体、および復号プログラムを記録した記録媒体
US6678666B1 (en) * 2000-06-05 2004-01-13 Van W. Boulware Method of conducting anti-fraud electronic bank security transactions having price-date-time variables and calculating apparatus thereof
JP2005084568A (ja) * 2003-09-11 2005-03-31 Nippon Telegr & Teleph Corp <Ntt> セキュリティ方法、セキュリティ装置及びセキュリティプログラム
CN1959770A (zh) * 2005-10-31 2007-05-09 富士通株式会社 加密方法、密文解码方法、加密器、密文解码器和通信系统
JP2009199068A (ja) * 2008-01-21 2009-09-03 Nippon Telegr & Teleph Corp <Ntt> 秘密計算システム、秘密計算方法、秘密計算装置、検証装置、およびプログラム

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6509728B1 (en) * 1998-05-28 2003-01-21 Anritsu Corporation Spectrum analyzer having function of displaying amplitude probability distribution effectively
US6157955A (en) * 1998-06-15 2000-12-05 Intel Corporation Packet processing system including a policy engine having a classification unit
US7707420B1 (en) * 1999-06-23 2010-04-27 Research In Motion Limited Public key encryption with digital signature scheme
WO2006117806A2 (en) 2005-05-04 2006-11-09 Abdul Rahman Syed Ibrahim Abdu Bilaterally generated encryption key system
FR2877453A1 (fr) * 2004-11-04 2006-05-05 France Telecom Procede de delegation securisee de calcul d'une application bilineaire
JP5182100B2 (ja) * 2007-02-15 2013-04-10 日本電気株式会社 鍵交換装置、鍵交換処理システム、鍵交換方法およびプログラム
FR2913154A1 (fr) * 2007-02-28 2008-08-29 France Telecom Chiffrement broadcast base sur identite
US20090080658A1 (en) * 2007-07-13 2009-03-26 Brent Waters Method and apparatus for encrypting data for fine-grained access control
US8356181B2 (en) * 2007-11-15 2013-01-15 Intel Corporation Apparatus and method for a direct anonymous attestation scheme from short-group signatures
CN101911582B (zh) * 2008-01-18 2012-09-05 三菱电机株式会社 密码参数设定装置、密钥生成装置、密码系统、密码参数设定方法和密钥生成方法
US8949614B1 (en) * 2008-04-18 2015-02-03 Netapp, Inc. Highly efficient guarantee of data consistency
US8145897B2 (en) * 2008-09-29 2012-03-27 Intel Corporation Direct anonymous attestation scheme with outsourcing capability
CN102177677A (zh) * 2008-10-22 2011-09-07 索尼公司 密钥共享系统
US8341427B2 (en) 2009-02-16 2012-12-25 Microsoft Corporation Trusted cloud computing and services framework
JP2010239342A (ja) 2009-03-31 2010-10-21 Kyocera Kinseki Corp 圧電デバイス
JP5138638B2 (ja) 2009-06-24 2013-02-06 日立オートモティブシステムズ株式会社 ブレーキ制御装置
JP5413100B2 (ja) 2009-09-30 2014-02-12 株式会社村田製作所 フェライト・磁石素子の磁力調整方法
US9037623B2 (en) * 2010-01-12 2015-05-19 Nippon Telegraph And Telephone Corporation Proxy calculation system, proxy calculation method, proxy calculation requesting apparatus, and proxy calculation program and recording medium therefor
US8331558B2 (en) * 2010-02-18 2012-12-11 King Fahd University Of Petroleum And Minerals Method of cipher block chaining using elliptic curve cryptography
EP2634760A4 (en) * 2010-10-26 2017-01-11 Nippon Telegraph And Telephone Corporation Substitution calculation system, calculation apparatus, capability providing apparatus, substitution calculation method, capability providing method, program, and recording medium
JP4740401B2 (ja) 2011-02-09 2011-08-03 株式会社藤商事 弾球遊技機
EP2947813B1 (en) * 2013-01-16 2020-06-24 Nippon Telegraph and Telephone Corporation Decryption service providing device, processing device, safety evaluation device, program, and recording medium

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1232588A (zh) * 1996-08-19 1999-10-20 Ntru密码系统公司 公用密钥密码系统方法及设备
JP2000083020A (ja) * 1998-09-04 2000-03-21 Nippon Telegr & Teleph Corp <Ntt> カオス力学系の同期を用いた暗号装置、復号装置、暗号システム、暗号方法、復号方法、暗号プログラムを記録した記録媒体、および復号プログラムを記録した記録媒体
US6678666B1 (en) * 2000-06-05 2004-01-13 Van W. Boulware Method of conducting anti-fraud electronic bank security transactions having price-date-time variables and calculating apparatus thereof
JP2005084568A (ja) * 2003-09-11 2005-03-31 Nippon Telegr & Teleph Corp <Ntt> セキュリティ方法、セキュリティ装置及びセキュリティプログラム
CN1959770A (zh) * 2005-10-31 2007-05-09 富士通株式会社 加密方法、密文解码方法、加密器、密文解码器和通信系统
JP2009199068A (ja) * 2008-01-21 2009-09-03 Nippon Telegr & Teleph Corp <Ntt> 秘密計算システム、秘密計算方法、秘密計算装置、検証装置、およびプログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
TAHER ELGAMAL: "《A Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms》", 《IEEE TRANSACTIONS ONINFORMATION THEORY》 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105264539A (zh) * 2013-07-18 2016-01-20 日本电信电话株式会社 目录服务装置、客户机装置、密钥云系统、其方法、以及程序
US10033711B2 (en) 2013-07-18 2018-07-24 Nippon Telegraph And Telephone Corporation Directory service device, client device, key cloud system, method thereof, and program
CN107113168A (zh) * 2015-01-16 2017-08-29 日本电信电话株式会社 密钥交换方法、密钥交换系统、密钥装置、终端装置和程序
CN107113168B (zh) * 2015-01-16 2020-09-08 日本电信电话株式会社 密钥交换方法、密钥交换系统、密钥装置、终端装置和记录介质
CN107430829A (zh) * 2015-03-18 2017-12-01 日本电信电话株式会社 份额恢复系统、份额恢复装置、份额恢复方法以及程序
CN107430829B (zh) * 2015-03-18 2020-12-01 日本电信电话株式会社 份额恢复系统、装置、方法以及存储介质

Also Published As

Publication number Publication date
US20170353296A1 (en) 2017-12-07
US9960906B2 (en) 2018-05-01
US9607158B2 (en) 2017-03-28
US10361841B2 (en) 2019-07-23
CN103221988B (zh) 2016-08-03
WO2012057134A1 (ja) 2012-05-03
US20130318360A1 (en) 2013-11-28
JP5491638B2 (ja) 2014-05-14
US9794060B2 (en) 2017-10-17
US20170104582A1 (en) 2017-04-13
JPWO2012057134A1 (ja) 2014-05-12
EP2634760A1 (en) 2013-09-04
US20170104583A1 (en) 2017-04-13
US20170111165A1 (en) 2017-04-20
EP2634760A4 (en) 2017-01-11

Similar Documents

Publication Publication Date Title
CN103221988B (zh) 代理计算系统、计算装置、能力提供装置、代理计算方法、能力提供方法
US11784801B2 (en) Key management method and related device
KR101936033B1 (ko) 시계열 데이터의 프라이버시-보존 집계
KR100960578B1 (ko) 식별자 기반 키 생성 방법 및 장치
JP5562284B2 (ja) 再暗号化システム、再暗号化装置、能力提供装置、再暗号化方法、能力提供方法、及びプログラム
CN115102688B (zh) 数据处理方法、多项式计算方法及电子设备
JP5944841B2 (ja) 秘密分散システム、データ分散装置、分散データ保有装置、秘密分散方法、およびプログラム
Hu et al. Optimal coding and allocation for perfect secrecy in multiple clouds
KR101553986B1 (ko) 분산 데이터 저장, 복원 시스템 및 방법
US20050060545A1 (en) Secure provision of image data
JP5596616B2 (ja) 情報提供システム、仲介装置、仲介方法、情報提供方法、及びプログラム
CN112398646B (zh) 理想格上具有短公共参数的身份基加密方法及系统
ES2296862T3 (es) Dispositivo de salida de matriz numerica, procedimiento de salida de matriz numerica, dispositivo de encriptacion y dispositivo de desencriptacion.
JP2010160235A (ja) 検索システム、端末装置、データベース装置、検索方法及びプログラム
Hong et al. A Digital Signature Scheme Based on MST3 Cryptosystems
KR101133988B1 (ko) 해쉬 트리 기반의 스트림 암호화 및 복호화 방법과 암호 파일 시스템
JP5596612B2 (ja) 復号制御システム、および復号制御方法
EP3675088B1 (en) Share generating device, share converting device, secure computation system, share generation method, share conversion method, program, and recording medium
CN113343258A (zh) 一种适用于体测成绩云共享的格基密文策略的属性基代理重加密方法
Al-Attab et al. Lightweight effective encryption algorithm for securing data in cloud computing
Beyene et al. Performance Analysis of Homomorphic Cryptosystem on Data Security in Cloud Computing
RU2734324C1 (ru) Способ формирования общего секретного ключа двух удаленных абонентов телекоммуникационной системы
Khamitkar A survey on fully homomorphic encryption
JP2001509608A (ja) デジタル・データのlビットの入力ブロックをlビットの出力ブロックに暗号変換するための方法
Singh et al. Security of Data with 3DES & Watermarking Algorithm

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20160803

Termination date: 20211025

CF01 Termination of patent right due to non-payment of annual fee