CN107210006A - 不一致检测方法、不一致检测系统、不一致检测装置以及程序 - Google Patents

Abstract

用较少的通信量检测份额的不一致。n台不一致检测装置生成随机数s_i，并公开。n台不一致检测装置生成随机数s₀、…、s_n‑1的总和即共享随机数s。n台不一致检测装置计算份额[c]_i。n台不一致检测装置生成如若复原则成为随机数r的份额[r]_i。n台不一致检测装置计算如若复原则成为判定值d的份额[d]_i。1台不一致检测装置从n‑1台不一致检测装置接收份额[d]₁、…、[d]_n‑1。1台不一致检测装置根据k个份额[d]₀、…、[d]_k‑1恢复n‑k个份额[d]'_k、…、[d]'_n‑1。1台不一致检测装置对j＝k、…、n‑1判定份额[d]_j和份额[d]'_j是否一致。

Description

不一致检测方法、不一致检测系统、不一致检测装置以及程序

技术领域

本发明涉及秘密分散技术，尤其涉及检测被进行了秘密分散的份额(share)的不一致的技术。

背景技术

所谓秘密分散，是指将数据变换为分割成多个的分散值，若使用一定个数以上的份额则能够复原原来的数据，根据不足一定个数的份额一概不能复原原来的数据的技术。再者，将进行了秘密分散的多个值的组称为分散值，将分散值中的1个片段称为份额。

在各计算主体(以下也称为方(party)。)所持有的份额存在不一致的情况下，发生复原结果基于复原时的份额的选择方式而不同这一问题。因此，在根据分散值复原原来的数据时，需要确认在份额中是否无不一致。在非专利文献1中记载有不将份额转交给其他计算主体、而对份额的不一致进行检测的技术。

现有技术文献

非专利文献

非专利文献1：M.Fitzi,J.A.Garay,S.Gollakota,C.P.Rangan,and K.Srinathan,“Round-optimal and efficient verifiable secret sharing”,TCC 2006,Vol.3876ofLecture Notes in Computer Science,pp.329-342,2006.

发明内容

发明要解决的课题

非专利文献1中记载的现有技术主要侧重于通信级数的高效化。但是，在处理大规模数据的情况下，与通信级数相比，降低通信量是有效的。

本发明的目的在于，鉴于这一点，在能够对份额的不一致进行检测的秘密分散技术中降低通信量。

用于解决课题的方案

为了解决上述的课题，本发明的不一致检测方法设n、k是满足n≥2k-1的整数，设m是1以上的整数，设i是0以上且小于n的各整数，n台不一致检测装置p_i存储通过(k,n)-秘密分散对m个值a₀、…、a_m-1进行了分割的份额[a₀]_i、…、[a_m-1]_i，不一致检测方法包含：公开随机数生成步骤，n台不一致检测装置p_i生成随机数s_i，将随机数s_i公开；共享随机数计算步骤，n台不一致检测装置p_i生成随机数s₀、…、s_n-1的总和即共享随机数s；校验和计算步骤，n台不一致检测装置p_i使用共享随机数s和份额[a₀]_i、…、[a_m-1]_i，计算份额[c]_i＝Σ_j<m-1s^j+1[a_j]_i+s_m+1[a_m-1]_i；随机数分散值生成步骤，n台不一致检测装置p_i生成如若复原则成为随机数r的份额[r]_i；判定值计算步骤，n台不一致检测装置p_i计算如若复原则成为判定值d的份额[d]_i＝[c-r]_i；判定值通信步骤，1台不一致检测装置p₀从n-1台不一致检测装置p₁、…、p_n-1接收n-1个份额[d]₁、…、[d]_n-1；判定值恢复步骤，不一致检测装置p₀利用k个份额[d]₀、…、[d]_k-1恢复n-k个份额[d]'_k、…、[d]'_n-1；以及不一致判定步骤，不一致检测装置p₀对j＝k、…、n-1判定份额[d]_j和份额[d]'_j是否一致。

发明效果

根据本发明的不一致检测技术，能够用较少的通信量对份额的不一致进行检测。

附图说明

图1是例示不一致检测系统的功能结构的图。

图2是例示不一致检测装置的功能结构的图。

图3是例示不一致检测方法的处理流程的图。

具体实施方式

在说明实施方式之前，对在以下的说明中要使用的标记方法及术语进行说明。

[标记方法]

p_i表示第i个持有份额的方。

P＝(p₀、…、p_n-1)表示持有份额的n方的整体的集合。

[x](方括号)表示明文x的(k,n)-秘密分散值。(k,n)-秘密分散值是汇集了用(k,n)-秘密分散对明文x进行了分散的全部值的组。(k,n)-秘密分散值[x]通常被分散到n方集合P而被持有，所以不是在一处持有全部，而是虚拟的。

[x]_i表示(k,n)-秘密分散值[x]中的、方p_i∈P所持有的份额。

q是质数。

F是对q取模的数的集合。

|F|是表示F的元素所需的比特数。

[秘密分散]

在本发明中，设为不一致检测的对象的秘密分散值是通过任意的(k,n)-秘密分散得到的分散值。作为秘密分散的一种的(k,n)-秘密分散是将被输入的明文分割为n个分散值而分散到n方予以保持，只要备齐任意的k个份额则能够复原明文，利用不足k个份额得不到与明文有关的一切信息的秘密分散。此时，n、k是1以上的整数，且n≥2k-1。作为(k,n)-秘密分散的例子，可以举出下述参考文献1中记载的Shamir秘密分散(Shamir's SecretSharing)、或下述参考文献2中记载的复制型秘密分散(Replicated Secret Sharing)。

〔参考文献1〕A.Shamir,“How to share a secret”,Communications of theACM,vol.22(11),pp.612-613,1979.

〔参考文献2〕R.Cramer,I.Damgard,and Y.Ishai,“Share conversion,pseudorandom secret-sharing and applications to secure computation”,TCC 2005,Vol.3378of Lecture Notes in Computer Science,pp.342-362,2005.

在Shamir秘密分散中，对第i方p_i分配坐标x_i，使用随机数r_i通过下式将明文a分散。

【算式1】

就复制型秘密分散而言，例如在n＝3、k＝2的情况下，将明文a变形为a:＝a₀+a₁+a₂，分散到[a₀,a₁]₀、[a₁,a₂]₁、[a₂,a₀]₂这3个份额。将构成份额的各元素a₀、a₁、a₂称为子份额。

[恢复]

所谓恢复，是指在由于保有份额的计算主体变得不能利用等而丢失了一部分份额时，以至少k个份额可利用为条件，根据可利用的k个份额不损失保密性地重构变得不能利用的一部分份额的方法。

Shamir秘密分散能够通过公知的拉格朗日插补根据可利用的k个份额恢复其他n-k个份额。

复制型秘密分散能够通过将可利用的k个份额所包含的子份额组合而恢复其他n-k个份额。例如，在上述的复制型秘密分散的例子中，在方p₂(即份额[a₂,a₀]₂)变得不能利用的情况下，通过将方p₀所保持的子份额a₀和方p₁所保持的子份额a₂进行组合，能够恢复丢失了的份额[a₂,a₀]₂。

[复原]

所谓复原，是指从n个份额中收集k个份额，并根据k个份额得到原来的明文的方法。在Shamir秘密分散中，能够通过公知的拉格朗日插补，根据k个份额复原原来的明文。在复制型秘密分散中，能够通过将k个份额所包含的不同的子份额全部相加而复原原来的明文。

以下，详细说明本发明的实施方式。再者，在附图中对具有相同的功能的结构单元附加相同的标号，并省略重复说明。

[第一实施方式]

第一实施方式的不一致检测系统及方法对多个被秘密分散的份额同时检测不一致。在本方式中能够检测有无不一致，但是不能检测在哪个份额中存在不一致。若假定用于定期的不一致检测中的场面，则可以认为平常时几乎都是没有不一致的情况，所以只要能够作为整体检测有无不一致就充分有效。

参照图1，说明实施方式的不一致检测系统的结构例。不一致检测系统包含n(≥3)台不一致检测装置1₁、…、1_n。在本方式中，不一致检测装置1₁、…、1_n分别被连接于通信网络2。通信网络2是被构成为所连接的各装置彼此能够通信的线路交换方式或者分组交换方式的通信网络，能够使用例如互联网、LAN(局域网)、WAN(广域网)等。再者，各装置不需要一定能够经由通信网络2在线通信。也可以构成为，例如，将向不一致检测装置1₁、…、1_n输入的信息存储到诸如磁带、USB存储器这样的移动式记录介质，从该移动式记录介质向不一致检测装置1₁、…、1_n离线输入。

参照图2，说明不一致检测系统中包含的不一致检测装置1_i(i＝1、…、n)的结构例。不一致检测装置1_i例如包含存储单元10、公开随机数生成单元11、共享随机数计算单元12、校验和计算单元13、随机数分散值生成单元14、判定值计算单元15、判定值通信单元16、判定值恢复单元17、以及不一致判定单元18。

不一致检测装置1_i例如是使具有中央运算处理装置(CPU:Central ProcessingUnit)、主存储装置(RAM:Random Access Memory(随机存取存储器))等的公知或者专用的计算机读入特殊的程序而构成的特殊的装置。不一致检测装置1_i例如在中央运算处理装置的控制下执行各处理。被输入到不一致检测装置1_i的数据、或在各处理中得到的数据例如被保存到存储器中，保存在存储器中的数据根据需要被读出到中央运算处理装置而用于其他处理。不一致检测装置1_i的各处理单元也可以至少一部分由集成电路等的硬件构成。

参照图3，说明实施方式的不一致检测方法的处理过程。

以下，设p₀、…、p_n-1是分散地保有n个份额的n台不一致检测装置，设p₀是输出表示在n个份额中是否存在不一致的检测结果的不一致检测装置。p₀、…、p_n-1是指逻辑地表示不一致检测装置的作用的标号，至于哪个不一致检测装置1₁、…、1_n与哪个不一致检测装置p₀、…、p_n-1对应，是在执行时任意地决定的。在以后的说明中，说明1台不一致检测装置p₀进行不一致的检测的处理手续，但是也能够构成为，n台不一致检测装置p₀、…、p_n-1调换各自的作用，同时并行地进行同样的处理，且任意的多台不一致检测装置分别输出检测结果。

在n台不一致检测装置p_i(i＝0、…、n-1)的存储单元10中存储有份额[a₀]_i、…、[a_m-1]_i。份额[a₀]_i、…、[a_m-1]_i是通过(k,n)-秘密分散将m(≥1)个值a₀、…、a_m-1分散的份额。就本方式的(k,n)-秘密分散而言，只要是能够根据k个份额通过线性结合恢复及复原的种类的秘密分散，则能够利用任意的(k,n)-秘密分散。

在步骤S11中，n台不一致检测装置p_i的公开随机数生成单元11生成随机数s_i。生成的随机数s_i公开，使得能够由其他n-1台不一致检测装置p_i'(i'＝0、…、n-1、i≠i')参照。

在步骤S12中，n台不一致检测装置p_i的共享随机数计算单元12使用将自身生成的随机数s_i和其他n-1台不一致检测装置p_i'公开的随机数s_i'合并的n个随机数s₀、…、s_n-1，通过下式来计算共享随机数s。

【算式2】

s：＝∑_i＜ns_i

在步骤S13中，n台不一致检测装置p_i的校验和计算单元13使用共享随机数计算单元12计算出的共享随机数s、和存储在存储单元10中的份额[a₀]_i…、[a_m-1]_i，通过下式来计算校验和[c]_i。

【算式3】

[c]_i：＝∑_j＜m-1s^j+1[a_j]_i+s^m+1[a_m-1]_i

在步骤S14中，n台不一致检测装置p_i的随机数分散值生成单元14生成如若复原则成为随机数r的份额[r]_i。就份额[r]_i的生成而言，必须在不论从哪个不一致检测装置1₁、…、1_n看随机数r均被保密的状态下进行。例如，能够像以下那样生成分散值[r]。首先，不一致检测装置1_i分别生成随机数r_i。接着，不一致检测装置1_i分别通过(k,n)-秘密分散生成随机数r_i的分散值[r_i]。然后，不一致检测装置1_i分别计算[r]＝Σ_i<n[r_i]，得到随机数r的分散值[r]。若此般构成，则任意的不一致检测装置1₁、…、1_n均能够得到随机数r的分散值[r]，而无需知道随机数r。此外，若能够允许事先的随机数共享、伪随机数的利用，则能够利用复制型秘密分散生成随机数r的分散值[r]。若利用复制型秘密分散，则能够生成随机数r的分散值[r]，而无需不一致检测装置1₁、…、1_n间的通信。

在步骤S15中，n台不一致检测装置p_i的判定值计算单元15计算如若复原则成为判定值d的份额[d]_i＝[c-r]_i。能够进行份额彼此的减法运算，而无需不一致检测装置1₁、…、1_n间的通信。

在步骤S16a中，n-1台不一致检测装置p₁、…、p_n-1的判定值通信单元16将份额[d]_i向不一致检测装置p₀发送。在步骤S16b中，不一致检测装置p₀的判定值通信单元16从n-1台不一致检测装置p₁、…、p_n-1接收n-1个份额[d]₁、…、[d]_n-1。

在步骤S17中，n台不一致检测装置p_i的判定值恢复单元17根据k个份额[d]₀、…、[d]_k-1恢复n-k个份额[d]'_k、…、[d]'_n-1。在Shamir秘密分散的情况下，能够通过拉格朗日插补，根据k个份额恢复其他n-k个份额。在复制型秘密分散中，通过将k个份额所包含的子份额进行组合，能够恢复其他n-k个份额。

在步骤S18中，n台不一致检测装置p_i的不一致判定单元18针对j＝k、…、n-1判定从不一致检测装置p_j接收到的份额[d]_j和恢复了的份额[d]'_j是否一致。针对全部j＝k、…、n-1，若[d]_j＝[d]'_j成立则判定为没有不一致，若对任一个j为[d]_j≠[d]'_j，则判定为存在不一致。在判定为没有不一致的情况下，输出表示该主旨的信息(例如根据k个份额[d]₀、…、[d]_k-1复原了的判定值d等)。在判定为存在不一致的情况下，输出表示该主旨的信息(例如「⊥」等)。

在本方式中，在步骤S13中，在以随机数为变量的多项式的系数中填入输入的份额。在秘密分散在域上进行的情况下，对被篡改了的片段非法地相加的值x₀、…、x_m-1(在秘密分散中所使用的代数构造是群(group)，能够通过加法运算来表示全部的值)与随机数相乘，成为像sⁱ⁺¹x_i这样的随机数。通过最后的复原，该随机数的和为0(即漏检)的概率至多为m/|F|左右，在|F|大时能够忽略。

本方式的不一致检测系统及方法与片段数无关，通信量为O(1)，通信级数为O(1)数量级，是非常高效的。

[第二实施方式]

在第一实施方式的不一致检测系统及方法中，对多个份额只能检测作为整体的不一致的有无。但是，通过反复进行第一实施方式的方法，能够确定出存在不一致的份额。尤其在存在不一致的份额的数量少的情况下是有效的。

在本方式的不一致检测方法中，将份额[a₀]、…、[a_m-1]分割为2个组(例如[a₀]、…、[a_m/2-1]和[a_m/2]、…、[a_m-1]等。)，对各组通过第一实施方式的方法检测有无不一致。对存在不一致的组(例如假设在[a₀]、…、[a_m/2-1]中存在不一致。)，进一步分割为2个组(例如[a₀]、…、[a_m/4-1]和[a_m/4]、…、[a_m/2-1]等。)，并通过第一实施方式的方法来检测有无不一致。重复进行上述操作，若组中包含的份额变为一个，则能够确定出存在不一致的份额。

就本方式的不一致检测系统及方法而言，重复次数最大为log m，所以通信量为O(log m)数量级、通信级数为O(log m)。特别地，在存在不一致的片段数小时，重复次数较少即完成，所以是高效的。

[第三实施方式]

在第二实施方式的方法中也不能检测进行了秘密分散的n个份额中哪个份额是不正当的。但是，在将n设为份额的总数、将k设为复原所需的份额的数、n＝2k-1的情况下能够执行上述的实施方式的方法。因此，在n>2k-1时，从n台不一致检测装置中选择2k-1台不一致检测装置，通过上述的实施方式的方法重复进行不一致检测。这样，在检测出不一致的情况下，能够检测出共通地进行了处理的不一致检测装置所保持的份额是不正当的份额。

不言而喻，本发明不限定于上述的实施方式，在不脱离本发明的宗旨的范围内可适当变更。在上述实施方式中说明的各种处理不仅可以按照记载的顺序以时序予以执行，也可以与执行处理的装置的处理能力相应地或者根据需要并行地或者单独地予以执行。

[程序、记录介质]

在通过计算机实现上述实施方式中说明的各装置中的各种处理功能的情况下，各装置所应具有的功能的处理内容由程序记述。然后，通过在计算机执行该程序，在计算机上实现上述各装置中的各种处理功能。

记述了该处理内容的程序能够预先记录于计算机可读取的记录介质。作为计算机可读取的记录介质，例如可以是磁记录装置、光盘、光磁记录介质、半导体存储器等的任意的记录介质。

此外，该程序的流通例如是通过销售、转让、借贷等记录了该程序的DVD、CD-ROM等的移动式记录介质而进行的。进一步，也可以设为下述结构，即，将该程序预先保持到服务器计算机的存储装置中，经由网络从服务器计算机将该程序转发到其他计算机，从而使该程序流通。

执行这样的程序的计算机例如首先将记录在移动式记录介质中的程序或者从服务器计算机转发的程序暂时保存到自身的存储装置中。然后，在执行处理时，该计算机读取保存在自身的记录介质中的程序，执行依照所读取的程序的处理。此外，作为该程序的其他执行方式，可以是计算机从移动式记录介质直接读取程序，执行依据该程序的处理，进一步，也可以是每当从服务器计算机向该计算机转发程序时，依次执行依据接收到的程序的处理。此外，也可以设为通过从服务器计算机不进行向该计算机的程序的转发、仅通过其执行指示和结果获取而实现处理功能的、所谓ASP(应用服务提供商(Application ServiceProvider))型的服务而执行上述的处理的结构。再者，假设本方式中的程序中包含有助于电子计算机所进行的处理之用的信息且与程序适应的信息(不是对计算机的直接的指令，但是是具有对计算机的处理进行规定的性质的数据等)。

此外，在本方式中，在计算机上执行规定的程序，从而构成本装置，但是也可以以硬件方式实现这些处理内容的至少一部分。

Claims (6)

1.一种不一致检测方法，

设n、k是满足n≥2k-1的整数，设m是1以上的整数，设i是0以上且小于n的各整数，

n台不一致检测装置p_i存储通过(k,n)-秘密分散对m个值a₀、…、a_m-1进行了分割的份额[a₀]_i、…、[a_m-1]_i，

所述不一致检测方法包含：

公开随机数生成步骤，所述n台不一致检测装置p_i生成随机数s_i，将所述随机数s_i公开；

共享随机数计算步骤，所述n台不一致检测装置p_i生成所述随机数s₀、…、s_n-1的总和即共享随机数s；

校验和计算步骤，所述n台不一致检测装置p_i使用所述共享随机数s和所述份额[a₀]_i、…、[a_m-1]_i，计算份额[c]_i＝Σ_j<m-1s^j+1[a_j]_i+s^m+1[a_m-1]_i；

随机数分散值生成步骤，所述n台不一致检测装置p_i生成如若复原则成为随机数r的份额[r]_i；

判定值计算步骤，所述n台不一致检测装置p_i计算如若复原则成为判定值d的份额[d]_i＝[c-r]_i；

判定值通信步骤，1台不一致检测装置p₀从n-1台不一致检测装置p₁、…、p_n-1接收n-1个份额[d]₁、…、[d]_n-1；

判定值恢复步骤，所述不一致检测装置p₀根据k个份额[d]₀、…、[d]_k-1恢复n-k个份额[d]'_k、…、[d]'_n-1；以及

不一致判定步骤，所述不一致检测装置p₀针对j＝k、…、n-1判定所述份额[d]_j和所述份额[d]'_j是否一致。

2.如权利要求1所述的不一致检测方法，

m是2以上的整数，设j是0以上且小于m的整数，

将所述份额[a₀]_i、…、[a_m-1]_i分割为多个组，通过权利要求1所述的不一致检测方法对各组检测有无不一致，将被判定为存在不一致的组进一步分割为多个组，直至组中所包含的份额变为1个为止重复进行，从而确定出存在不一致的份额[a_j]i。

3.如权利要求1或2所述的不一致检测方法，

设n、n'、k是满足n>n'＝2k-1的整数，

通过权利要求1或2所述的不一致检测方法对从n台不一致检测装置中选择出的n’台不一致检测装置的全部组合检测有无不一致，确定出在判定为存在不一致的所述组合中被共同含有的所述不一致检测装置所存储的所述份额[a₀]_i、…、[a_m-1]_i中存在不一致。

4.一种不一致检测系统，包含n台不一致检测装置p₀、…、p_n-1，

设n、k是满足n≥2k-1的整数，设m是1以上的整数，设i是0以上且小于n的各整数，设i'是i≠i'且0以上且小于n的各整数，

所述不一致检测装置p_i包含：

存储单元，存储通过(k,n)-秘密分散对m个值a₀、…、a_m-1进行了分割的份额[a₀]_i、…、[a_m-1]_i；

公开随机数生成单元，生成随机数s_i，将所述随机数s_i公开；

共享随机数计算单元，生成所述随机数s₀、…、s_n-1的总和即共享随机数s；

校验和计算单元，使用所述共享随机数s和所述份额[a₀]_i、…、[a_m-1]_i，计算份额[c]_i＝Σ_j<m-1s^j+1[a_j]_i+s^m+1[a_m-1]_i；

随机数分散值生成单元，生成如若复原则成为随机数r的份额[r]_i；

判定值计算单元，计算如若复原则成为判定值d的份额[d]_i＝[c-r]_i；

判定值通信单元，从其他n-1台不一致检测装置p_i'接收n-1个份额[d]_i'；

判定值恢复单元，根据k个份额[d]₀、…、[d]_k-1恢复n-k个份额[d]'_k、…、[d]'_n-1；以及

不一致判定单元，对j＝k、…、n-1，判定所述份额[d]_j和所述份额[d]'_j是否一致。

5.一种不一致检测装置，

设n、k是满足n≥2k-1的整数，设m是1以上的整数，设i是0以上且小于n的整数，设i'是i≠i'且0以上且小于n的各整数，

所述不一致检测装置包含：

存储单元，存储通过(k,n)-秘密分散对m个值a₀、…、a_m-1进行了分割的份额[a₀]_i、…、[a_m-1]_i；

公开随机数生成单元，生成随机数s_i，将所述随机数s_i公开；

共享随机数计算单元，生成所述随机数s₀、…、s_n-1的总和即共享随机数s；

校验和计算单元，使用所述共享随机数s和所述份额[a₀]_i、…、[a_m-1]_i，计算份额[c]_i＝Σ_j<m-1s^j+1[a_j]_i+s^m+1[a_m-1]_i；

随机数分散值生成单元，生成如若复原则成为随机数r的份额[r]_i；

判定值计算单元，计算如若复原则成为判定值d的份额[d]_i＝[c-r]_i；

判定值通信单元，从其他的n-1台不一致检测装置p_i'接收n-1个份额[d]_i'；

判定值恢复单元，根据k个份额[d]₀、…、[d]_k-1恢复n-k个份额[d]'_k、…、[d]'_n-1；以及

不一致判定单元，对j＝k、…、n-1，判定所述份额[d]_j和所述份额[d]'_j是否一致。

6.一种程序，用于使计算机作为权利要求5所述的不一致检测装置发挥功能。