CN107111965A - 秘密篡改检测系统、秘密计算装置、秘密篡改检测方法、以及程序 - Google Patents

Abstract

对使用多个秘密分散的秘密计算中的篡改进行检测。秘密计算装置(1)将分散值[a₀],…,[a_M‑1]作为输入，将基于函数F的函数值[F([a₀],…,[a_M‑1])]作为输出，对秘密计算中的篡改进行检测，其中，函数F是进行使用J种秘密分散的秘密计算的函数。随机数生成部(12)求出分散值[r₀],…,[r_J‑1]。随机化部(13)计算将分散值[a_m]和分散值[r_j]乘法运算后的分散值[a_mr_j]，生成随机化分散值<a_m>:＝<[a_m],[a_mr_j]>。秘密计算部(14)将计算对象和计算结果的随机化分散值包含到校验和C_j中，并且，求出函数值[F([a₀],…,[a_M‑1])]。同步部(15)进行待机直到使用全部的秘密分散的秘密计算结束为止。正当性证明部(16)检验分散值与分散值[ψ_j]是否相等，其中，分散值是对校验和C_j中包含的分散值[f₀],…,[f_μj‑1]的总和乘以分散值[r_j]后的分散值，分散值[ψ_j]是作为校验和C_j中包含的分散值[f₀r_j],…,[f_μj‑1r_j]的总和的分散值[ψ_j]。

Description

秘密篡改检测系统、秘密计算装置、秘密篡改检测方法、以及 程序

技术领域

本发明涉及秘密计算技术，尤其是涉及检测秘密计算中的篡改的技术。

背景技术

作为检测秘密计算中的篡改的现有技术，存在非专利文献1所记载的方法。在非专利文献1所记载的秘密篡改检测方法中，将环R上的加法/常数倍/乘法/积和/随机置换构成的m输入μ输出的函数F，在具有保密性以及正当性的恶意(malicious)模型上进行计算。另外，恶意(malicious)模型是指攻击者进行任意的不正当的动作的模型。相对应地，半诚实(semi-honest)模型是指攻击者进行的处理是正确的，且在该范畴中想要偷看数据的模型。

在非专利文献1中，通过3个阶段来进行秘密计算中的篡改检测。在随机化阶段中，将分散值变换为可检验正当性的随机化分散值。在计算阶段中，使用通过半诚实(semi-honest)的运算而构成的随机化分散值用的运算，执行期望的秘密计算。此时，收集在后续的正当性证明阶段成为必要的校验和，并且进行计算。在正当性证明阶段中，对在计算阶段收集到的校验和，一并进行正当性证明。若为正当则输出计算阶段的计算结果，若不正当则不输出计算结果而是仅输出表示不正当的旨意。

现有技术文献

非专利文献

非专利文献1：五十岚大、千田浩司、滨田浩气、菊池亮、“非常に高効率なn≧2k－1maliciousモデル上秘密分散ベースマルチパーティ計算の構成法”、SCIS2013、2013年

发明内容

发明要解决的课题

在非专利文献1所记载的秘密篡改检测技术中，以使用1个秘密分散的秘密计算为前提，在使用多个秘密分散的秘密计算中无法适用。

本发明的目的是，鉴于该点，对使用多个秘密分散的秘密计算中的篡改进行检测。

用于解决课题的手段

为了解决上述的课题，本发明的秘密篡改检测方法是，N台秘密计算装置将对M个值a₀,…,a_M-1进行秘密分散后的分散值[a₀],…,[a_M-1]作为输入，将由进行使用J种秘密分散的秘密计算的函数F得到的函数值[F([a₀],…,[a_M-1])]作为输出，对秘密计算中的篡改进行检测的秘密篡改检测方法，将N设为3以上的整数，将M设为1以上的整数，将μ设为1以上的整数，将J设为2以上的整数，将m设为0以上且小于M的整数，将j设为0以上且小于J的整数，上述秘密篡改检测方法包含：随机数生成步骤，秘密计算装置的随机数生成部求出对J个随机数r₀,…,r_J-1进行秘密分散后的分散值[r₀],…,[r_J-1]；随机化步骤，秘密计算装置的随机化部设为第m的分散值[a_m]为第j的秘密分散的分散值，计算将分散值[a_m]和分散值[r_j]乘法运算后的分散值[a_mr_j]，生成将分散值[a_m]和分散值[a_mr_j]设为组的随机化分散值<a_m>:＝<[a_m],[a_mr_j]>；秘密计算步骤，秘密计算装置的秘密计算部在进行使用第j的秘密分散的秘密计算时，将计算对象的随机化分散值和计算结果的随机化分散值包含到校验和C_j，并且，求出函数值[F([a₀],…,[a_M-1])]；同步步骤，秘密计算装置的同步部进行待机直到使用全部的秘密分散的秘密计算结束为止；以及正当性证明步骤，秘密计算装置的正当性证明部针对j＝0,…,J-1，将μ_j设为第j的校验和C_j中包含的随机化分散值的总数，将<f₀>,…,<f_μj-1>设为第j的校验和C_j中包含的随机化分散值，检验对在校验和C_j:＝(<f₀>,…,<f_μj-1>)中包含的分散值[f₀],…,[f_μj-1]的总和乘以分散值[r_j]得到的分散值与作为在校验和C_j:＝(<f₀>,…,<f_μj-1>)中包含的分散值[f₀r_j],…,[f_μj-1r_j]的总和的分散值[ψ_j]是否相等。

发明效果

根据本发明的秘密篡改检测技术，能够检测使用多个秘密分散的秘密计算中的篡改。

附图说明

图1是对秘密篡改检测系统的功能结构进行例示的图。

图2是对秘密计算装置的功能结构进行例示的图。

图3是对秘密篡改检测方法的处理流程进行例示的图。

具体实施方式

在说明实施方式之前，说明本说明书中的表记方法以及本发明的基本的想法。

[表记方法]

在本发明中处理的值只要没有特别限定，则设为环R上的值。A是环R上的结合代数。结合代数是指结合的环，并且具备与其兼容的、某种体上的线性空间的结构。可以说结合代数在向量空间中处理的值是环更好，而不是体。

向量X的第i要素通过X_i(下标)而参照。

[x]是值x∈R的秘匿文。秘匿文是将值通过加密或秘密分散等的手段进行秘匿化后的值。在X为集合的情况下，[X]是将集合X的各要素进行秘匿化后的集合。

|X|是集合X的要素数。

<x>是值x∈R的随机化分散值。随机化分散值是指，值x∈R的分散值[x]、与值x和随机数r∈A的乘法运算值xr的分散值[xr]的组。因此，随机化分散值能够定义为式(1)。

【数1】

<x>:＝([x],[xr])∈[R]×[A] (1)

随机化分散值的第0分量(式(1)中的[x])也称为R分量，第1分量(式(1)中的[xr])也称为A分量。

将以随机数r∈A为参数的随机化分散值的空间设为<Rr>。

[安全性]

在密码理论的技术领域中，为了证明协议的安全性，将利用者/参加者或攻击者模型化。作为这样的模型，使用恶意(malicious)模型或半诚实(semi-honest)模型。在恶意(malicious)模型中，攻击者进行任意的不正当的动作。在半诚实(semi-honest)模型中，攻击者进行的处理是正确的，且在该范畴中想要偷看数据。因此，能够评价为在恶意(malicious)模型中安全性被证明的协议的一方安全性更高。

[发明的要点]

在以往的秘密篡改检测技术中，只能对应使用1个秘密分散的秘密计算，在使用多个秘密分散的秘密计算中无法进行篡改检测。在使用多个秘密分散的情况下，也可以认为按每个秘密分散使用以往的秘密篡改检测技术来单独进行检验即可，但是，在这样的实际安装中存在安全性的问题。在本发明中，在使用多个秘密分散的秘密计算中为了确保适当的安全性，满足以下的条件而构成。

1.在相同的环上的秘密分散中生成随机化分散值时的随机数的值一致。

2.在进行正当性检验之前在全部的秘密分散中秘密计算已完成。

此外，与单独地检验各秘密分散相比，尽可能汇总地进行检验的一方由于公开的值变少所以保密性提高。因此，在相同的环上的秘密分散中，构成为将校验和的秘密分散形式进行统一，汇总地进行检验。

[实施方式]

以下，详细说明本发明的实施方式。另外，在附图中对具有相同功能的结构部赋予相同的号，省略重复说明。

参照图1，说明实施方式的秘密篡改检测系统的结构例。秘密篡改检测系统包含N(≥3)台的秘密计算装置1₁,…,1_N。在本方式中，秘密计算装置1₁,…,1_N分别连接至通信网2。通信网2是以连接的各装置能够相互进行通信的方式构成的线路交换方式或者分组交换方式的通信网，例如，能够使用因特网或LAN(局域网(Local Area Network))、WAN(广域网(Wide Area Network))等。另外，各装置不一定需要经由通信网2而能够以在线(on-line)方式进行通信。例如，也可以构成为将向秘密计算装置1₁,…,1_N输入的信息存储在磁带或USB存储器等的便携式记录介质中，从该便携式记录介质向秘密计算装置1₁,…,1_N以离线(off-line)方式进行输入。

参照图2，说明在秘密篡改检测系统中包含的秘密计算装置1_n(n＝1,…,N)的结构例。秘密计算装置1_n包含：例如，控制部101、存储部102、输入部11、随机数生成部12、随机化部13、秘密计算部14、同步部15、正当性证明部16、以及输出部17。

秘密计算装置1_n是，在具有例如中央运算处理装置(CPU：中央处理单元(CentralProcessing Unit))、主存储装置(RAM：随机接入存储器(Random Access Memory))等的公知或者专用的计算机中读入特别的程序而构成的特别的装置。秘密计算装置1_n例如在控制部101的控制下执行各处理。被输入到秘密计算装置1_n的数据或在各处理中得到的数据被保存在例如存储部102中，存储部102中保存的数据根据需要被读出至控制部101，被利用于其他的处理。秘密计算装置1_n的各处理部也可以至少一部分由集成电路等的硬件而构成。

参照图3，说明实施方式的秘密篡改检测方法的处理手续。

在步骤S11中，向秘密计算装置1_n的输入部11输入M(≥1)个分散值[a₀],…,[a_M-1]。所输入的分散值[a₀],…,[a_M-1]被输入至随机化部13。分散值[a_m](m＝0,…,M-1)是将值a_m进行秘密分散后的分散值。输入的分散值[a₀],…,[a_M-1]的个数M根据在秘密计算部14中进行的秘密计算的内容而适当地决定。

关于秘密分散的方法，只要是在秘密计算上能够进行期望的运算的秘密分散方式则可以是任意的秘密分散方式。本方式的分散值[a₀],…,[a_M-1]以J(≥2)种类的秘密分散的分散值混合存在作为前提。此外，多个秘密分散可以是在相同的环上的秘密分散，也可以是在不同的环上的秘密分散。此外，相同的环上的多个秘密分散与不同的环上的秘密分散也可以混合存在。另外，即使是分散值[a₀],…,[a_M-1]在输入时只是1种秘密分散的分散值，通过在秘密计算中进行形式变换等，从整体上利用了多个秘密分散的情况下，本发明的篡改检测技术也能够适用。关于可适用的秘密分散方法的细节请参照下述参考文献1等。

〔参考文献1〕千田浩司、滨田浩气、五十岚大、高桥克己、“軽量検証可能3パーティ秘匿関数計算の再考”、CSS2010、2010年

在步骤S12中，随机数生成部12生成从结合代数A中选择出的J个随机数r₀,…,r_J-1∈A的分散值[r₀],…,[r_J-1]。所生成的分散值[r₀],…,[r_J-1]输出到随机化部13。关于分散值[r₀],…,[r_J-1]的生成，不论从哪个秘密计算装置1₁,…,1_N都必需以随机数r₀,…,r_J-1被秘匿的状态来进行。

例如，构成秘密篡改检测系统的秘密计算装置1₁,…,1_N能够协调地生成随机数r_j的分散值[r_j]。具体地，首先，秘密计算装置1_n分别生成随机数r_n。接着，通过上述的参考文献1所记载的秘匿方法来生成随机数r_n的分散值[r_n]。然后，秘密计算装置1_n分别计算[r_j]＝Σ_n<N[r_n]，得到随机数r_j的分散值[r_j]。如这样构成，则任一个秘密计算装置1₁,…,1_N都不知道随机数r_j就能够得到随机数r_j的分散值[r_j]。此外，若能够允许事前的随机数共享或伪随机数的利用，则能够利用复制型秘密分散(replicated secret sharing)来生成随机数r_j的分散值[r_j]。若利用复制型秘密分散，则没有在秘密计算装置1₁,…,1_N之间的通信就能够生成随机数r_j的分散值[r_j]。关于复制型秘密分散的细节请参照下述参考文献2。

〔参考文献2〕R.Cramer，I.Damgard，and Y.Ishai，“Share conversion，pseudorandom secret-sharing and applications to secure computation”，TCC，Vol.3378of Lecture Notes in Computer Science，pp.342-362，Springer，2005.

在J个秘密分散之中存在相同的环上的秘密分散的情况下，通过将用于一方的秘密分散的分散值变换为用于另一方的秘密分散的分散值，从而进行生成使得随机数的值成为相同。在该形式变换中，也必需能够进行篡改检测、或者不能进行篡改。例如，在第j(j＝0,…,J-1)的秘密分散和第j'(j'＝0,…,J-1、j≠j')的秘密分散为相同的环上的秘密分散的情况下，生成将用于第j的秘密分散的随机数r_j进行了秘密分散的分散值[r_j]，通过能够进行篡改检测或者不能进行篡改的方法而将该分散值[r_j]形式变换为基于第j'的秘密分散的分散值[r_j']。例如，从复制型秘密分散变换到线性秘密分散(linear secret sharing)的不能篡改的方法在上述参考文献2中记载。

在步骤S13中，随机化部13使用分散值[a₀],…,[a_M-1]和分散值[r₀],…,[r_J-1]，生成随机化分散值<a₀>,…,<a_M-1>。具体地，随机化部13针对m＝0,…,M-1，设为第m的分散值[a_m]是基于第j的秘密分散的分散值，使用分散值[a_m]和分散值[r_j]，通过上述参考文献1所记载的秘密计算方法而求出[a_mr_j]＝[a_m]×[r_j]，将分散值[a_m]和分散值[a_mr_j]设为组，生成随机化分散值<a_m>＝([a_m],[a_mr_j])。所生成的随机化分散值<a₀>,…,<a_M-1>被输出到秘密计算部14。

在步骤S14中，秘密计算部14对随机化分散值<a₀>,…,<a_M-1>，计算用于执行使用J种秘密分散的秘密计算的函数F，求出被秘匿后的函数值[F([a₀],…,[a_M-1])]。此时，将计算对象的随机化分散值和计算结果的随机化分散值包含到与使用的秘密分散的种类对应的J个校验和，并计算函数F。例如，若为使用第j(j＝0,…,J-1)的秘密分散的运算，则将计算对象的随机化分散值和计算结果的随机化分散值追加到第j的校验和C_j:＝<f₀>,…,<f_μj-1>。在此，<f₀>,…,<f_μj-1>是计算对象或者计算结果的各随机化分散值，下标的“μj-1”表示μ_j-1，μ_j是校验和C_j中包含的随机化分散值的数目。关于μ_j的值，将初始值设为0，在每次将随机化分散值新包含到校验和C_j中时被相加。要包含到校验和中的对象的随机化分散值或应在校验和中取得随机化分散值的定时根据秘密计算的运算的种类(例如，加法/常数倍、乘法、积和、随机置换等)而不同。这些的细节与非专利文献1中记载的秘密篡改检测方法是同样的。

在步骤S15中，同步部15在进行正当性证明之前，执行针对全部的秘密分散直到全部的秘密计算结束为止进行待机的同步处理(SYNC)。同步部15若检测到针对全部的秘密分散全部的秘密计算已结束，则将由秘密计算部14求出的函数值[F([a₀],…,[a_M-1])]、和J个校验和C₀,…,C_J-1输出到正当性证明部16。

在步骤S16中，正当性证明部16使用分散值[r₀],…,[r_J-1]而对校验和C₀,…,C_J-1进行检验，从而证明函数值[F([a₀],…,[a_M-1])]的正当性。对J个校验和C₀,…,C_J-1全部进行检验的结果，在判定为没有篡改的情况下将函数值[F([a₀],…,[a_M-1])]输出到输出部17。在判断为存在篡改的情况下将表示该旨意的信息(例如，“⊥”等)输出到输出部17。

在步骤S16中，在判定为没有篡改，并且残留有对期望的函数进行计算的后续处理的情况下，也可以再次返回步骤S14，从秘密计算至正当性证明为止重复执行处理。此时，也可以每次正当性证明完成时，将校验和C₀,…,C_J-1中包含的随机化分散值进行丢弃。在将被保证没有被篡改的值公开，且使用该值进行后续处理这样的情况下，这样的秘密计算和正当性证明的重复成为必需。因为公开已被篡改的值有时会成为损害保密性的原因。

在步骤S17中，输出部17输出从正当性证明部16接受到的函数值[F([a₀],…,[a_M-1])]或者表示存在篡改的旨意的信息。

第j的校验和C_j的检验基于分散值和分散值[ψ_j]而进行，其中，分散值是对校验和C_j中包含的随机化分散值的R分量[f₀],…,[f_μj-1]的总和乘以分散值[r_j]后的分散值分散值[ψ_j]是校验和C_j中包含的随机化分散值的A分量[f₀r_j],…,[f_μj-1r_j]的总和的分散值[ψ_j]。具体地，正当性证明部16例如如以下那样对校验和C_j进行检验。首先，生成结合代数A上的μ_j个随机数ρ₀,…,ρ_μj-1的分散值[ρ₀],…,[ρ_μj-1]。关于分散值[ρ₀],…,[ρ_μj-1]的生成，不论从哪个秘密计算装置1_n都必需以随机数ρ₀,…,ρ_μj-1被秘匿的状态来进行。分散值[ρ₀],…,[ρ_μj-1]的生成通过与随机数生成部12同样的方法来进行即可。接着，使用校验和C_j中包含的随机化分散值的R分量[f₀],…,[f_μj-1]、和随机数ρ₀,…,ρ_μj-1的分散值[ρ₀],…,[ρ_μj-1]、和随机数r_j的分散值[r_j]，通过以下的式(2)而求出分散值

【数2】

此外，使用校验和C_j中包含的随机化分散值的A分量[f₀r_j],…,[f_μj-1r_j]、和随机数ρ₀,…,ρ_μj-1的分散值[ρ₀],…,[ρ_μj-1]，通过以下的式(3)而求出分散值[ψ_j]。

【数3】

然后，复原对分散值和分散值[ψ_j]进行减法后的分散值复原的方法通过与各分散值对应的秘密分散方式的复原操作来进行即可，但是，此时，通过恶意(malicious)模型来保证正当性。具体地，全部的秘密计算装置1_n(n＝0,…,N-1)相互将分散值[δ_j]发送到其他的秘密计算装置1_n'(n'＝0,…,N-1、n≠n')，通过确认分散值的一贯性从而保证完全的正当性。在该情况下，将秘密计算装置1_n的总数设为N，总通信量为N(N-1)。若在分散值的数据量大时，使用概率性的方法，则能够将复原所需的秘密计算装置1_n的数目设为K，将总通信量设为N(K-1)。另外，在秘密计算中还存在包含不保证正当性的复原的半诚实(semi-honest)运算，但是，即使作为秘密计算的结构要素而包含不保证正当性的复原，也不影响秘密计算整体的安全性。

若在全部的秘密计算装置1₁,…,1_N中复原后的值δ₀,…,δ_J-1为0，则判定为在秘密计算整体中不存在篡改。若在其中一个秘密计算装置1_j中复原后的值δ_j为0以外，则判定为在秘密计算中存在篡改。

在J种秘密分散之中存在相同的环上的秘密分散的情况下，若尽可能汇总而进行正当性证明，则公开的值的数目变少，所以能够进一步提高保密性。例如，在第j(j＝0,…,J-1)的秘密分散和第j'(j'＝0,…,J-1、j≠j')的秘密分散为相同的环上的秘密分散的情况下，如以下那样进行正当性证明。首先，将根据校验和C_j如上述那样计算出的分散值和根据校验和C_j如上述那样计算出的分散值[ψ_j]，分别变换到第j'的秘密分散。然后，检验分散值和分散值[ψ_j+ψ_j']是否相等，其中，分散值是将变换后的分散值与根据校验和C_j'计算出的分散值合计后的分散值分散值[ψ_j+ψ_j']是将变换后的分散值[ψ_j]与根据第j'的校验和C_j'计算出的分散值[ψ_j']合计后的分散值[ψ_j+ψ_j']。即，针对全部的相同的环上的秘密分散的组合，计算若复原值δ为0，则判定为使用第j的秘密分散和第j'的秘密分散的秘密计算在整体上都不存在篡改。计算若复原值δ为0以外，则判定为在使用第j的秘密分散和第j'的秘密分散的秘密计算的其中一个的运算中存在篡改。照这样，对全部的相同的环上的秘密分散的组合进行检验，检验在秘密计算整体中不存在篡改的情况。在本方式中，说明了2个秘密分散为相同的环上的秘密分散的例，即使在3个以上的秘密分散为相同的环上的秘密分散的情况下，也能够通过同样的方法进行正当性证明。

对正当性证明的基本的想法进行说明。校验和的检验是指，若分别着眼于随机化分散值<f_i>，则检验是否[f_i][r_j]-[f_ir_j]＝0。在此，若考虑分散值[f_i]和分散值[f_ir_j]都被篡改，被设为[f_i+x]和[f_ir_j+y]的情况，则通过检验所得的值成为式(4)。

【数4】

[f_i+x][r_j]-[f_ir_j+y]＝[xr_j-y] (4)

攻击者必需相匹配地对[f_i]和[f_ir_j]进行操作，使得该xr_j-y的值成为0，但是，攻击者由于不知道随机数r_j∈A，能够满足其的概率成为1/|A|。其中，在本方式中，由于乘以了随机数ρ₀,…,ρ_μj-1，因此，整体的篡改成功概率最高成为2/|A|。

如此，本方式的秘密篡改检测系统即使在使用多个秘密分散的秘密计算中也能够进行篡改检测。

本发明不限定于上述的实施方式，在不脱离本发明的宗旨的范围内能够进行适当的变更是不言而喻的。在上述实施方式中所说明的各种处理不仅按照记载的顺序时间序列地执行，也可以根据执行处理的装置的处理能力或者需要而并行地或者单独地执行。

[程序、记录介质]

在上述实施方式中所说明的各装置中的各种处理功能通过计算机来实现的情况下，各装置应具有的功能的处理内容由程序来记述。然后，通过将该程序在计算机中执行，从而上述各装置中的各种处理功能在计算机上被实现。

记述了该处理内容的程序能够预先记录在计算机可读取的记录介质上。作为计算机可读取的记录介质，例如，可以是磁记录装置、光盘、光磁记录介质、半导体存储器等任意的记录介质。

此外，该程序的流通例如通过将记录了该程序的DVD、CD-ROM、USB存储器等的便携式记录介质进行贩卖、转让、租赁等来进行。进而，也可以构成为将该程序预先保存在服务器计算机的存储装置中，经由网络，从服务器计算机将该程序转发至其他的计算机，从而使该程序流通。

执行这样的程序的计算机例如首先将便携式记录介质所记录的程序或者从服务器计算机所转发的程序，暂时保存到自己的存储装置中。然后，在执行处理时，该计算机读取在自己的记录介质中保存的程序，执行依照读取到的程序的处理。此外，作为该程序的其他的执行方式，也可以设为计算机从便携式记录介质中直接读取程序，执行依照该程序的处理，进而，也可以每次从服务器计算机对该计算机转发程序时，依次执行依据接受到的程序的处理。此外，也可以构成为不进行从服务器计算机向该计算机的程序的转发，而是通过仅根据其执行指示或结果取得来实现处理功能的、所谓的ASP(应用服务提供商(Application Service Provider))型的服务，执行上述的处理。另外，设为在本方式中的程序中，包含用于电子计算机的处理的信息并且相当于程序的数据(并非对于计算机的直接的指令但具有规定计算机的处理的性质的数据等)。

此外，在本方式中，设为通过使在计算机上执行规定的程序，从而构成本装置，但是，也可以将这些处理内容的至少一部分以硬件的方式来实现。

Claims (7)

1.一种秘密篡改检测方法，N台秘密计算装置将对M个值a₀,…,a_M-1进行秘密分散后的分散值[a₀],…,[a_M-1]作为输入，将基于函数F的函数值[F([a₀],…,[a_M-1])]作为输出，对秘密计算中的篡改进行检测，其中，函数F是用于进行使用J种秘密分散的秘密计算的函数F，

将N设为3以上的整数，将M设为1以上的整数，将μ设为1以上的整数，将J设为2以上的整数，将m设为0以上且小于M的整数，将j设为0以上且小于J的整数，

上述秘密篡改检测方法包含：

随机数生成步骤，上述秘密计算装置的随机数生成部求出对J个随机数r₀,…,r_J-1进行秘密分散后的分散值[r₀],…,[r_J-1]；

随机化步骤，上述秘密计算装置的随机化部设为第m的分散值[a_m]为第j的秘密分散的分散值，计算将上述分散值[a_m]和上述分散值[r_j]乘法运算后的分散值[a_mr_j]，生成将上述分散值[a_m]和上述分散值[a_mr_j]设为组的随机化分散值<a_m>:＝<[a_m],[a_mr_j]>；

秘密计算步骤，上述秘密计算装置的秘密计算部在进行使用第j的秘密分散的秘密计算时，将计算对象的随机化分散值和计算结果的随机化分散值包含到校验和C_j，并且，求出上述函数值[F([a₀],…,[a_M-1])]；

同步步骤，上述秘密计算装置的同步部进行待机直到使用全部的秘密分散的秘密计算结束为止；以及

正当性证明步骤，上述秘密计算装置的正当性证明部针对j＝0,…,J-1，将μ_j设为第j的校验和C_j中包含的随机化分散值的总数，将<f₀>,…,<f_μj-1>设为第j的校验和C_j中包含的随机化分散值，检验分散值和分散值[ψ_j]是否相等，其中，分散值是对上述校验和C_j:＝(<f₀>,…,<f_μj-1>)中包含的分散值[f₀],…,[f_μj-1]的总和乘以上述分散值[r_j]后的分散值分散值[ψ_j]是作为上述校验和C_j:＝(<f₀>,…,<f_μj-1>)中包含的分散值[f₀r_j],…,[f_μj-1r_j]的总和的分散值[ψ_j]。

2.如权利要求1所述的秘密篡改检测方法，

将j'设为0以上且小于J的整数，且设为j≠j'，设为第j的秘密分散和第j'的秘密分散为相同的环上的秘密分散，设为从第j的秘密分散能够通过能够进行篡改检测或者无法进行篡改的方式而变换到第j'的秘密分散，

上述随机数生成步骤生成将随机数r_j通过第j的秘密分散进行秘密分散后的分散值[r_j]，将上述分散值[r_j]变换到第j'的秘密分散而生成分散值[r_j']。

3.如权利要求2所述的秘密篡改检测方法，

在上述正当性证明步骤中，将根据第j的校验和C_j计算出的上述分散值和根据上述校验和C_j计算出的上述分散值[ψ_j]分别变换到第j'的秘密分散，检验分散值与分散值[ψ_j+ψ_j']是否相等，其中，分散值是将上述分散值与根据第j'的校验和C_j'计算出的上述分散值合计后的分散值分散值[ψ_j+ψ_j']是将上述分散值[ψ_j]与根据第j'的校验和C_j'计算出的上述分散值[ψ_j']合计后的分散值[ψ_j+ψ_j']。

4.如权利要求1～3的任一项所述的秘密篡改检测方法，

将上述秘密计算步骤和上述同步步骤和上述正当性证明步骤重复执行多次。

5.一种秘密篡改检测系统，

N台秘密计算装置将对M个值a₀,…,a_M-1进行秘密分散后的分散值[a₀],…,[a_M-1]作为输入，将基于函数F的函数值[F([a₀],…,[a_M-1])]作为输出，检测秘密计算中的篡改，其中，函数F是用于进行使用J种秘密分散的秘密计算的函数F，

将N设为3以上的整数，将M设为1以上的整数，将μ设为1以上的整数，将J设为2以上的整数，将m设为0以上且小于M的整数，将j设为0以上小于J的整数，

上述秘密计算装置包括：

随机数生成部，求出对J个随机数r₀,…,r_J-1进行秘密分散后的分散值[r₀],…,[r_J-1]；

随机化部，设为第m的分散值[a_m]为第j的秘密分散的分散值，计算将上述分散值[a_m]与上述分散值[r_j]乘法运算后的分散值[a_mr_j]，生成以上述分散值[a_m]和上述分散值[a_mr_j]作为组的随机化分散值<a_m>:＝<[a_m],[a_mr_j]>；

秘密计算部，在进行使用第j的秘密分散的秘密计算时，将计算对象的随机化分散值和计算结果的随机化分散值包含到校验和C_j，并且，求出上述函数值[F([a₀],…,[a_M-1])]；以及

同步部，进行待机直到使用全部的秘密分散的秘密计算结束为止；以及

正当性证明部，针对j＝0,…,J-1，将μ_j设为第j的校验和C_j中包含的随机化分散值的总数，将<f₀>,…,<f_μj-1>设为第j的校验和C_j中包含的随机化分散值，检验分散值与分散值[ψ_j]是否相等，其中，分散值是对上述校验和C_j:＝(<f₀>,…,<f_μj-1>)中包含的分散值[f₀],…,[f_μj-1]的总和乘以上述分散值[r_j]后的分散值分散值[ψ_j]是作为上述校验和C_j:＝(<f₀>,…,<f_μj-1>)中包含的分散值[f₀r_j],…,[f_μj-1r_j]的总和的分散值[ψ_j]。

6.一种秘密计算装置，将对M个值a₀,…,a_M-1进行秘密分散后的分散值[a₀],…,[a_M-1]作为输入，将基于函数F的函数值[F([a₀],…,[a_M-1])]作为输出，检测秘密计算中的篡改，其中，函数F是用于进行使用J种秘密分散的秘密计算的函数F，

将N设为3以上的整数，将M设为1以上的整数，将μ设为1以上的整数，将J设为2以上的整数，将m设为0以上且小于M的整数，将j设为0以上且小于J的整数，

上述秘密计算装置包括：

随机数生成部，求出对J个随机数r₀,…,r_J-1进行秘密分散后的分散值[r₀],…,[r_J-1]；

随机化部，设为第m的分散值[a_m]为第j的秘密分散的分散值，计算将上述分散值[a_m]与上述分散值[r_j]乘法运算后的分散值[a_mr_j]，生成以上述分散值[a_m]和上述分散值[a_mr_j]作为组的随机化分散值<a_m>:＝<[a_m],[a_mr_j]>；

秘密计算部，在进行使用第j的秘密分散的秘密计算时，将计算对象的随机化分散值和计算结果的随机化分散值包含到校验和C_j，并且，求出上述函数值[F([a₀],…,[a_M-1])]；

同步部，进行待机直到使用全部的秘密分散的秘密计算结束为止；以及

正当性证明部，针对j＝0,…,J-1，将μ_j设为第j的校验和C_j中包含的随机化分散值的总数，将<f₀>,…,<f_μj-1>设为第j的校验和C_j中包含的随机化分散值，检验分散值与分散值[ψ_j]是否相等，其中，分散值是对上述校验和C_j:＝(<f₀>,…,<f_μj-1>)中包含的分散值[f₀],…,[f_μj-1]的总和乘以上述分散值[r_j]后的分散值分散值[ψ_j]是作为上述校验和C_j:＝(<f₀>,…,<f_μj-1>)中包含的分散值[f₀r_j],…,[f_μj-1r_j]的总和的分散值[ψ_j]。

7.一种程序，用于使计算机作为权利要求6所述的秘密计算装置发挥作用。