CN107735830A - 秘密计算装置、秘密计算方法和程序 - Google Patents

Abstract

用“第1对象比特串”表示的值的秘密分散值，得到将“第1对象比特串”的最高位比特的值设为比最高位比特低位的“第1检查比特”的值的“第1检查比特串”表示的值的秘密分散值。其中，“第1对象比特串”在最高位比特为“1”的情况下对应于空值，最高位比特为“0”的情况下对应于实数值。接着，用“第1检查比特串”表示的值的秘密分散值，得到从“第1检查比特串”的最低位比特至“第1检查比特”为止的比特值的秘密分散值。

Description

秘密计算装置、秘密计算方法和程序

技术领域

本发明涉及秘密计算技术，特别涉及以秘密计算进行空值检查的技术。

背景技术

已知用秘密计算处理带符号数的技术(例如，参照“非专利文献1”等)。

现有技术文献

非专利文献

非专利文献1：D.Bogdanov，M.Niitsoo，T.Toft，and J.Willemson，“High-performance secure multi-party computation for data mining applications，”Int.J.Inf.Sec.，11(6):403-418，2012.

发明内容

发明要解决的问题

上述的现有技术中，有通信量和通信级数较大的课题。此外，并未言及通过秘密计算进行空值检查。

本发明的课题是，高效进行基于秘密计算的空值检查。

解决问题的方案

用“第1对象比特串”表示的值的秘密分散值，得到将“第1对象比特串”的最高位比特的值设为比最高位比特低位的“第1检查比特”的值的“第1检查比特串”表示的值的秘密分散值。其中，“第1对象比特串”在最高位比特为“1”的情况下对应于空值，在最高位比特为“0”的情况下对应于实数值。接着，用“第1检查比特串”表示的值的秘密分散值，得到从“第1检查比特串”的最低位比特至“第1检查比特”为止的比特值的秘密分散值。

发明的效果

由以上，能够高效进行基于秘密计算的空值检查。

附图说明

图1是例示实施方式的秘密计算系统的结构的框图。

图2是例示实施方式的秘密计算装置的结构的框图。

图3是用于例示第1实施方式的处理的流程图。

图4是用于例示实施方式的处理的概念图。

图5A是用于例示实施方式的对象比特串的结构的概念图。图5B和图5C是用于例示实施方式的检查比特串的结构的概念图。

图6是用于例示第2实施方式的处理的流程图。

图7A和图7B是用于例示实施方式的大小比较比特串的结构的概念图。

图8是用于例示第2实施方式的变形例1的处理的流程图。

图9是用于例示第3实施方式的处理的流程图。

图10是用于例示第3实施方式的变形例1的处理的流程图。

具体实施方式

以下，说明本发明的实施方式。

[概要]

首先，说明概要。各实施方式的秘密计算装置，用“第1对象比特串”表示的值的秘密分散值，得到将“第1对象比特串”的最高位比特的值设为比最高位比特低位的“第1检查比特”的值的“第1检查比特串”表示的值的秘密分散值。其中，“第1对象比特串”在最高位比特为“1”的情况下对应于空值，在最高位比特为“0”的情况下对应于实数值。再者，“第1检查比特串”，例如通过“第1对象比特串”的旋转(rotation)得到。旋转能够通过剩余环上的乘法实现。对秘密计算中的剩余环上的乘法方法没有限定，可以通过公知的方法实现(例如，参照参考文献1“千田浩司,濱田浩気，五十嵐大，高橋克巳，“軽量検証可能3パーティ秘匿関数計算の再考”，CSS2010，2010年”等)。不过，这是一例，只要“第1对象比特串”的最高位比特的值能够为“第1检查比特”的值，则也可以使用其他方法。接着，秘密计算装置用“第1检查比特串”表示的值的秘密分散值，得到从“第1检查比特串”的最低位比特至“第1检查比特”为止的比特值的秘密分散值。这里，在“第1对象比特串”对应于空值的情况下“第1检查比特”的值为“1”，在“第1对象比特串”对应于实数值的情况下“第1检查比特”的值为“0”。因此，“第1检查比特”的值的秘密分散值为表示空值检查结果的值的秘密分散值。此外，只要求从“第1检查比特串”的最低位比特至“第1检查比特”为止的比特值的秘密分散值即可，所以与求全部比特的秘密分散值而得到表示空值检查结果的值的秘密分散值的情况相比，能够削减通信量和/或通信级数。此外，“第1检查比特”越接近最低位比特，能够使作为秘密计算对象的比特数越小，能够进一步削减通信量和/或通信级数。因此，更期望“第1检查比特”为最低位比特。再者，作为用于得到从“第1检查比特串”的最低位比特至“第1检查比特”为止的比特值的秘密分散值的公知的方法，有例如参考文献2“五十嵐大，濱田浩気，菊池亮，千田浩司，“少パーティの秘密分散ベース秘密計算のためのO(l)ビット通信ビット分解およびO(p’)ビット通信modulus変換法”，CSS2013，2013年”的“使用商转移的比特分解”。该方法能够高效地得到从最低位比特至期望的比特为止的各比特值的秘密分散值。再者，已知高效地得到从最低位比特至期望的比特为止的各比特值的秘密分散值的方法，但是高效地得到从最高位比特至期望的比特为止的各比特值的秘密分散值的方法、高效地得到位于最高位比特和最低位比特之间的比特值的秘密分散值的方法未知。本实施方式着眼于这种情况而提高秘密计算中的空值检查的效率。

上述结构能够在对梅森数(Mersenne number)P＝2^N－1取模的剩余环上实现。例如，假设输入值W的秘密分散值[W]被输入到各秘密计算装置。其中，N为2以上的整数，P为梅森数P＝2^N－1，根据N的值而为梅森素数。对应于空值的值W是W＝(P+1)/2mod P，对应于0以上的整数X的值W是W＝X mod P，对应于负整数X的值W是W＝(P+X)mod P。L是0≤L≤N－u’的整数，X是－2^L≤X≤2^N-1－2^L－1的整数。其中，u’是与秘密分散方式相应的2以上N以下的正整数。例如，在三取二(2-out-of-3)的沙米尔(Shamir)的秘密分散方式的情况下，u’＝2。在该情况下，0以上的整数X对应于小的输入值W，负整数X对应于大的输入值W，“X是空值”对应于它们之间的输入值W。各秘密计算装置用输入值W的秘密分散值[W]，得到Y＝(W+2^L)mod P的秘密分散值[Y]。这种运算是秘密计算中的剩余环上的加法。对秘密计算中的剩余环上的加法方法没有限定，能够通过公知的方法实现(参照例如“参考文献1”等)。Y对于空值为Y＝{2^L+(P+1)/2}mod P，对于0以上的整数X为Y＝(2^L+X)mod P，对于负整数X为Y＝(P+2^L+X)modP。这里，根据梅森数P＝2^N－1的性质，表示对应于空值的Y的N比特的比特串的最高位比特为“1”，表示对应于实数值X(0以上的整数X或负整数X)的Y的N比特的比特串的最高位比特为“0”。只要满足－2^L≤X≤2^N-1－2^L－1的条件，就不会有不同的实数值X对应于相同的Y的情况。能够将表示这样的Y的N比特的比特串设为“第1对象比特串”。在该情况下，能够将“第1对象比特串”表示的值设为V＝2^T×Y mod P，将低位起第T比特的比特设为“第1检查比特”。其中，T是1≤T＜N的整数。优选T＝1，在该情况下“第1检查比特”为最低位比特(“第1对象比特串”和“第1检查比特串”的格式的具体例子)。

除了上述的秘密计算中的空值检查之外，也可以通过秘密计算进行大小比较。在该情况下，各秘密计算装置得到“比较结果值”的秘密分散值，从表示“比较结果值”的比特串的低位得到第K比特的值的秘密分散值。其中，“比较结果值”表示将2^K-1与从“第1对象比特串”表示的值减去“第2对象比特串”表示的值所得值相加的值。“第2对象比特串”是，在最高位比特为“1”的情况下对应于空值、在最高位比特为“0”的情况下对应于实数值的比特串。此外，K为2以上的整数，最高位比特为“0”的第1对象比特串表示的值和最高位比特为“0”的第2对象比特串表示的值的大小是0以上低于2^K-1。再者，秘密计算中的加减运算和比特值的提取能够通过公知的方法实现(参照例如“参考文献1，2”等)。这里，在“第1对象比特串”表示的值为“第2对象比特串”表示的值以上的情况下，从表示“比较结果值”的比特串的低位起第K比特的值为“1”。另一方面，在“第1对象比特串”表示的值低于“第2对象比特串”表示的值的情况下，从表示“比较结果值”的比特串的低位起第K比特的值为“0”。即，从表示“比较结果值”的低位起第K比特的值，表示“第1对象比特串”表示的值和“第2对象比特串”表示的值的大小比较结果。

也可以对“第2对象比特串”进行秘密计算中的空值检查。即，各秘密计算装置也可以用“第2对象比特串”表示的值的秘密分散值，得到将“第2对象比特串”的最高位比特的值设为比最高位比特低位的“第2检查比特”的值的“第2对象比特串”表示的值的秘密分散值，用“第2对象比特串”表示的值的秘密分散值，得到“第2检查比特”的值的秘密分散值。“第2对象比特串”和“第2检查比特串”的格式的具体例子，与前述的“第1对象比特串”和“第1检查比特串”的格式的具体例子相同。

除了上述的秘密计算中的空值检查之外，也可以进行秘密计算中的排序(sort)。在该情况下，各秘密计算装置用“对象比特串A(d)”表示的值的秘密分散值，得到将“对象比特串A(d)”的最高位比特的值设为比最高位比特低位的“检查比特”的值r(d)的“检查比特串C(d)”表示的值的秘密分散值。其中，d＝0，…，D－1，D为2以上的整数。“对象比特串A(d)”在最高位比特为“1”的情况下对应于空值，在最高位比特为“0”的情况下对应实数值。各秘密计算装置用“检查比特串C(d)”表示的值的秘密分散值，得到从“检查比特串C(d)”的最低位比特至“对象比特串A(d)”为止的比特值的秘密分散值。而且，各秘密计算装置得到与“对象比特串A(d)”表示的值的大小相应的排序结果的秘密分散值。其中，就最高位比特为“0”的“对象比特串A(d)”表示的值而言，“对象比特串A(d)”表示的值越大，对应越大的实数值。各秘密计算装置也可以得到与“检查比特串C(d)”表示的值的大小相应的排序结果的秘密分散值。其中，就与最高位比特为“0”的“对象比特串A(d)”相对应的“检查比特串C(d)”表示的值而言，“检查比特串C(d)”表示的值越大，对应越大的实数值。而且，也可以用该秘密计算中的排序结果得到最大值、最小值、和中央值的至少其中一个的秘密分散值。再者，对秘密计算中的排序方法没有限定，也可以用公知的方法(例如，参照参考文献3“五十嵐大，濱田浩気，菊池亮，千田浩司，“インターネット環境レスポンス1秒の統計処理を目指した，秘密計算基数ソートの改良”，SCIS2014，2014年”、参考文献4“濱田浩気，五十嵐大，千田浩司，高橋克巳，“秘匿関数計算上の線形時間ソート”，CSS2011，2011年”等)。

[第1实施方式]

以后，参照附图，说明各实施方式。

＜结构＞

如图1例示的那样，第1实施方式的秘密计算系统1具有分散装置11和M个秘密计算装置12₀－12_M－1，它们构成为经由因特网等网络可进行通信。其中，M为2以上的整数。为便于说明，设为秘密计算系统1仅有1个分散装置11，但也可以存在多个分散装置11。或者，也可以存在其他的秘密计算装置。

如图2例示的那样，本实施方式的秘密计算装置12_m(其中，m＝0，…，M－1)具有通信单元121_m、存储单元122_m、控制单元123_m、输入运算单元124_m、检查比特串获取单元125_m、以及空值检查单元126_m。秘密计算装置12_m在控制单元123_m的控制之下执行各处理。各单元中得到的数据存储在临时存储器(未图示)中，根据需要而被读出并使用。

各装置例如通过包括CPU(central processing unit；中央处理器)等处理器(硬件处理器)和RAM(random-access memory；随机存取存储器)、ROM(read-only memory；只读存储器)等储存器等的通用或专用的计算机执行规定的程序而构成。该计算机可以具备1个处理器和储存器，也可以具备多个处理器和储存器。该程序可以被安装在计算机上，也可以预先记录在ROM等中。此外，也可以不是如CPU那样通过读入程序而实现功能结构的电子电路(circuitry)，而用不使用程序实现处理功能的电子电路构成一部分或全部的处理单元。此外，构成1个装置的电子电路也可以包含多个CPU。

＜处理＞

接着，参照图3说明本实施方式的处理。分散装置11生成输入值W的秘密分散值[W]_m并发送到秘密计算装置12_m(其中，m＝0，…，M－1)。本实施方式的输入值W的格式如以下那样(参照图4)。

(1)与空值对应的值是W＝(P+1)/2mod P。

(2)与0以上的整数X对应的值是W＝X mod P。

(3)与负整数X对应的值是W＝(P+X)mod P。

其中，N为2以上的整数，P是梅森数P＝2^N－1(P是以十进制数表示的整数)，L是0≤L≤N－u’的整数，X是－2^L≤X≤2^N-1－2^L－1的整数(X是以十进制数表示的整数)。P可以是素数(梅森素数)，也可以不是素数。u’是与秘密分散方式相应的2以上N以下的正整数。将输入值W以N位二进制数表示的比特串称为输入比特串。在N＝7、u’＝2、以及L＝5的情况下，输入比特串如以下那样。

【表1】

再者，对秘密分散方式没有限定，也可以是沙米尔(Shamir)的秘密分散方式等线性秘密分散方式、复制秘密分散方式、其他任何方式(例如，参照“参考文献2”等)。秘密分散值[W]_m由秘密计算装置12_m(图2)的通信单元121_m接收，传送到输入运算单元124_m(步骤S11_m)。

输入运算单元124_m通过秘密计算，用输入值W的秘密分散值[W]_m，得到Y＝(W+2^L)mod P的秘密分散值[Y]_m，并输出。对应于空值的Y是{2^L+(P+1)/2}mod P，对应于0以上的整数X的Y是(2^L+X)mod P，对应于负整数X的Y是(P+2^L+X)mod P(图4)。将Y以N位二进制数表示的比特串称为对象比特串。在Y与空值对应的情况下，对象比特串1100的最高位比特1101为a_N-1＝1(图5A)。在Y与实数值X(－2^L≤X≤2^N-1－2^L－1的整数)对应的情况下，对象比特串1100的最高位比特1101为a_N－1＝0。该特征基于P是梅森数。例如，N＝7和L＝5的情况下，对象比特串1100如以下那样(步骤S12_m)。

【表2】

检查比特串获取单元125_m将Y的秘密分散值[Y]_m作为输入，通过秘密计算，得到V＝2^T×Y mod P的秘密分散值[V]_m，并输出。其中，T是1≤T＜N的整数。将V以N位二进制数表示的比特串称为检查比特串。检查比特串是将对象比特串1100进行T比特左旋转的比特串。对象比特串1100的最高位比特1101的值a_N－1为比检查比特串的最高位比特低位的比特(检查比特)的值。图5B是T＝1的例子，检查比特串1200的最低位比特(从最低位起第1比特)为检查比特1201。图5C是T＝2的例子，从检查比特串1200的最低位起第2比特为检查比特1211。例如，N＝7和L＝5的情况下，检查比特如以下那样。

【表3】

这样，从检查比特串1200的最低位起第T比特的值表示“X是否为空值”。“从最低位起第T比特”意味着从最低位起数的第T比特。例如，“从最低位起第1比特”意味着最低位比特，“从最低位起第2比特”意味着比最低位比特位数高一位的比特(步骤S13_m)。

空值检查单元126_m将V的秘密分散值[V]_m作为输入，得到从检查比特串1200的最低位比特至检查比特为止的各比特值的秘密分散值[r]_m，并输出。例如，T＝1的情况下，空值检查单元126_m得到最低位比特即检查比特的值的秘密分散值[r]_m，并输出(步骤S14_m和S15_m)。

《使用参考文献2的比特分解的例子》

示出使用参考文献2的比特分解的例子。在该例子中，使用遵循了复制秘密分散方式的秘密分散值[V]_m。然而，可将遵循了任意的线性秘密分散方式的秘密分散值转换为复制秘密分散方式的秘密分散值(例如，参照参考文献5“R.Cramer，I.Damg_ard，andY.Ishai，“Share conversion，pseudorandom secret-sharing and applications tosecure computation，”In J.Kilian ed.，TCC，Vol.3378of Lecture Notes in ComputerScience，pp.342-362.Springer，2005.”等)。因此，对复制秘密分散方式的限定不是利用上的限制。

在该例子中，将V的线性秘密分散值标记为[V]，将V的复制秘密分散值标记为{V}。将V的子份额的个数设为ν，将为自然数的边界值μ设为logν以上的最小整数。ν是满足ν≤2^μ的整数。假设V对2^μ取模时与0合并，V对P取模时与子份额x₀，…，x_ν-1的和x₀+…+X_ν-1合并。本例的P是梅森素数，但P也可以是其他的梅森数。在本例中设为2^μV＜P。将i设为满足i＝0，1，…，ν－1的整数，将j设为满足j＝0，1，…，ν－1的整数。对于任意的命题PRO，〔PRO〕是将PRO的真伪转换为整数的运算符。

本例的空值检查单元126_m的公开值加倍秘密计算单元获取复制秘密分散值{V}^ZP，通过公开值加倍的秘密计算，计算变形秘密分散值{V’}^ZP＝2^u×_ZP{V}^ZP。其中，{·}^ZP表示作为Z_P的根的复制秘密分散值，“×_ZP”表示Z_P上的乘法。空值检查单元126_m的低位比特分散单元对于满足i＜ν的所有i，将从变形秘密分散值{V’}^ZP的第j子份额{V’}^ZP〈j〉的最低位比特起u比特(从最低位比特起至从最低位起数到第u比特为止的u比特)每个比特地分散而获取低位比特分散值

其中，[·]^α表示作为α的根的线性秘密分散值。空值检查单元126_m的高位比特分散单元对于满足i＜ν的所有i，将从变形秘密分散值的第j子份额{V’}^ZP〈j〉的第u比特起T比特每个比特地分散而获取高位比特分散值

空值检查单元126_m的低位比特加法单元通过加法电路的秘密计算，计算低位比特加法值

将该低位比特加法值之中低位u比特表示为

将高位u比特表示为

空值检查单元126_m的零判定单元获取低位比特加法值的低位u比特，通过零判定电路的秘密计算，计算零判定值[〔η_u≠0〕]^Z2。空值检查单元126_m的高位比特加法单元对于满足i＜ν的所有i，获取高位比特加法值、低位比特加法值的高位u比特和零判定值，通过加法电路的秘密计算，计算比特的秘密分散序列

其中，

表示Z₂ ^T上的总和，

表示Z₂ ^T上的加法。通过式(1)的运算，得到将V以N位二进制数表示的情况下的从最低位比特至第T比特(即，检查比特)为止的各比特值的秘密分散值[r]_m。仅对于从最低位比特至第T比特为止执行式(1)的运算，其通信量和运算量不依赖于全体的比特数N。T＝1的情况下，仅对最低位比特进行式(1)的运算即可，效率非常高。特别地，在3方的秘密计算中，以数比特的通信量和2个回合(round)即能够进行处理(步骤S14_m)。

秘密计算装置12_m输出秘密分散值[r]_m(步骤S15_m)。

[第1实施方式的变形例1]

第1实施方式中，秘密计算装置12_m输出了秘密分散值[r]_m。可是，即使是T≥2的情况，也可以仅输出检查比特串C的各检查比特的值的秘密分散值来取代秘密分散值[r]_m。

[第1实施方式的变形例2]

第1实施方式中输入值W的秘密分散值[W]_m被输入到各秘密计算装置12_m，各秘密计算装置12_m得到Y＝(W+2^L)mod P的秘密分散值[Y]_m。可是，也可以对各秘密计算装置12_m输入秘密分散值[Y]_m，执行步骤S13_m到S15_m的处理。

[第2实施方式]

第2实施方式中，除了秘密计算中的空值检查之外，还进行秘密计算中的大小比较。以下，以与至此说明的事项的不同点为中心进行说明，对已经说明的事项，沿用至此使用的参照编号而简化说明。

＜结构＞

如图1例示的那样，第2实施方式的秘密计算系统2具有分散装置11和M个秘密计算装置22₀－22_M-1，它们构成为经由因特网等网络可进行通信。如图2例示的那样，本实施方式的秘密计算装置22_m(其中，m＝0，…，M－1)具有通信单元121_m、存储单元122_m、控制单元123_m、输入运算单元224_m、检查比特串获取单元225_m、空值检查单元226_m、大小比较比特串获取单元227_m、以及大小比较单元228_m。秘密计算装置22_m在控制单元123_m的控制之下执行各处理。

＜处理＞

接着，参照图6说明本实施方式的处理。

分散装置11生成输入值W(0)的秘密分散值[W(0)]_m和输入值W(1)的秘密分散值[W(1)]_m并发送到秘密计算装置22_m(其中，m＝0，…，M－1)。输入值W(0)对应于空值或实数值X(0)，输入值W(1)对应于空值或实数值X(1)。输入值W(0)、W(1)的格式与前述的输入值W的格式相同。秘密分散值[W(0)]_m、[W(1)]_m被秘密计算装置22_m(图2)的通信单元121_m接收，传送到输入运算单元124_m(步骤S21_m)。

输入运算单元224_m通过秘密计算，用输入值W(0)的秘密分散值[W(0)]_m得到Y(0)＝(W(0)+2^L)mod P的秘密分散值[Y(0)]_m，并输出。此外，输入运算单元224_m通过秘密计算，用输入值W(1)的秘密分散值[W(1)]_m得到Y(1)＝(W(1)+2^L)mod P的秘密分散值[Y(1)]_m，并输出。Y(0)相当于“对象比特串A(0)表示的值”，Y(1)相当于“对象比特串A(1)表示的值”。对象比特串A(0)和A(1)是，在最高位比特为“1”的情况下对应于空值、在最高位比特为“0”的情况下对应于实数值的比特串(步骤S22_m)。

检查比特串获取单元225_m将秘密分散值[Y(0)]_m和[Y(1)]_m作为输入，通过秘密计算，得到V(0)＝2^T×Y(0)mod P的秘密分散值[V(0)]_m和V(1)＝2^T×Y(1)mod P的秘密分散值[V(1)]_m，并输出。V(0)相当于“检查比特串C(0)表示的值”，V(1)相当于“检查比特串C(1)表示的值”(步骤S23_m)。

空值检查单元226_m将秘密分散值[V(0)]_m作为输入，得到从检查比特串C(0)的最低位比特至检查比特为止的各比特值的秘密分散值[r(0)]_m，并输出。此外，空值检查单元226_m将秘密分散值[V(1)]_m作为输入，得到从检查比特串C(1)的最低位比特至检查比特为止的各比特值的秘密分散值[r(1)]_m，并输出。例如，T＝1的情况下，空值检查单元226_m得到最低位比特即检查比特的值的秘密分散值[r(0)]_m和[r(1)]_m，并输出(步骤S24_m)。

大小比较比特串获取单元227_m将秘密分散值[Y(0)]_m和[Y(1)]_m作为输入，通过秘密计算，得到比较结果值(Y(0)－Y(1)+2^K-1)mod P(将2^K-1与从对象比特串A(0)表示的值减去对象比特串A(1)表示的值所得的值相加的值)的秘密分散值[(Y(0)－Y(1)+2^K-1)mod P]_m，并输出。其中，K为2以上的整数，最高位比特为“0”的对象比特串A(0)表示的值Y(0)和最高位比特为“0”的对象比特串A(1)表示的值Y(1)的大小为0以上且低于2^K-1。这里，将比较结果值(Y(0)－Y(1)+2^K-1)mod P的N位二进制数表示即比特串称为大小比较比特串。图7A是例示N＝K的情况的大小比较比特串2210的概念图，最高位比特为检查比特2211。图7B是例示N＞K的情况的大小比较比特串2220的概念图，比最高位比特低位的比特为检查比特2221。

从2^K-1mod P的N位二进制数表示值的低位起第K比特的值为“1”。这里Y(0)－Y(1)的大小是0以上且低于2^K-1，所以在X(0)≥X(1)的情况下，(Y(0)－Y(1)+2^K-1)mod P的N位二进制数表示值为2^K-1mod P的N位二进制数表示值以上，低位起第K比特的值一定为“1”。另一方面，X(0)＜X(1)的情况下，(Y(0)－Y(1)+2^K-1)mod P的N位二进制数表示值为低于2^K-1modP的N位二进制数表示值，低位起第K比特的值一定为“0”。因此，X(0)≥X(1)的情况下，大小比较比特串的低位起第K比特的值为“1”，X(0)＜X(1)的情况下，大小比较比特串的低位起第K比特的值为“0”。示出N＝K＝7和L＝5的情况的具体例子。例如，X(0)＝0，X(1)＝－1的情况下，Y(0)＝32，Y(1)＝31，大小比较比特串为“1000001”，低位起第7比特的值为“1”。例如，X(0)＝－10，X(1)＝－5的情况下，Y(0)＝22，Y(1)＝27，大小比较比特串为“0111011”，从低位起第7比特的值为“0”(步骤S25_m)。

大小比较单元228_m将秘密分散值[(Y(0)－Y(1)+2^K-1)mod P]_m作为输入，通过秘密计算，得到从表示比较结果值(Y(0)－Y(1)+2^K-1)mod P的大小比较比特串的低位起第K比特的值q的秘密分散值[q]_m，并输出。该处理可以用例如参考文献2的比特分解来执行。然而，也可以使用其他的比特分解方法(例如，参照参考文献6“I.Damgard，M.Fitzi，E.Kiltz，J.B.Nielsen，and T.Toft，“Unconditionally secure constant-rounds multi-partycomputation for equality，comparison，bits and exponentiation，”In S.Halevi andT.Rabin eds.，TCC，Vol.3876of Lecture Notes in Computer Science，pp.285-304.Springer，2006.”等)(步骤S26_m)。

秘密计算装置22_m输出秘密分散值[r(0)]_m、[r(1)]_m、[q]_m(步骤S27_m)。

[第2实施方式的变形例1]

第2实施方式中，将(Y(0)－Y(1)+2^K-1)mod P设为比较结果值(将2^K-1与从对象比特串A(0)表示的值减去对象比特串A(1)表示的值所得的值相加的值)。可是，Y(0)＝(W(0)+2^L)mod P和Y(1)＝(W(1)+2^L)mod P，(Y(0)－Y(1)+2^K-1)mod P＝(W(0)－W(1)+2^K-1)mod P。因此，也可以将(W(0)－W(1)+2^K-1)mod P设为比较结果值(将2^K-1与从对象比特串A(0)表示的值减去对象比特串A(1)表示的值所得的值相加的值)。在该情况下，如图8例示的那样，在执行第2实施方式的步骤S21_m－S24_m后，大小比较比特串获取单元227_m将秘密分散值[W(0)]_m和[W(1)]_m作为输入，通过秘密计算，得到比较结果值(W(0)－W(1)+2^K-1)mod P的秘密分散值[(W(0)－W(1)+2^K-1)mod P]_m，并输出(步骤S25’_m)。之后，用秘密分散值[(W(0)－W(1)+2^{K -1})mod P]_m取代秘密分散值[(Y(0)－Y(1)+2^K-1)mod P]_m，执行第2实施方式的步骤S26_m－S27_m。

[第2实施方式的变形例2]

第2实施方式和其变形例1中，秘密计算装置22_m输出了秘密分散值[r(0)]_m、[r(1)]_m、秘密分散值[q]_m。可是，即使在T≥2的情况下，也可以取代[r(0)]_m、[r(1)]_m而仅输出检查比特串C(0)，C(1)的各检查比特的值的秘密分散值。此外，秘密计算装置22_m也可以在各检查比特的值全部为“0”的情况下生成秘密分散值[q]_m并输出，在任何一个检查比特的值为“1”的情况下生成表示错误的秘密分散值的值并输出。

[第2实施方式的变形例3]

也可以对各秘密计算装置22_m输入秘密分散值[Y(0)]_m和[Y(1)]_m，执行步骤S23_m至S27_m的处理。

[第3实施方式]

第3实施方式中，除了秘密计算中的空值检查之外，还进行秘密计算中的排序(sort)。

＜结构＞

如图1例示的那样，第3实施方式的秘密计算系统3具有分散装置11和M个秘密计算装置32₀－32_M－1，它们构成为经由因特网等网络可进行通信。如图2例示的那样，本实施方式的秘密计算装置32_m(其中，m＝0，…，M－1)具有通信单元121_m、存储单元122_m、控制单元123_m、输入运算单元224_m、检查比特串获取单元225_m、空值检查单元226_m、排序单元327_m、以及排序结果利用运算单元328_m。秘密计算装置32_m在控制单元123_m的控制之下执行各处理。

＜处理＞

接着，参照图9说明本实施方式的处理。

分散装置11生成输入值W(d)的秘密分散值[W(d)]_m并发送到秘密计算装置22_m(其中，m＝0，…，M－1，d＝0，…，D－1，D为2以上的整数)。输入值W(d)对应于空值或实数值X(d)。输入值W(d)的格式与前述的输入值W的格式相同。秘密分散值[W(d)]_mm被秘密计算装置32_m(图2)的通信单元121_m接收，传送到输入运算单元124_m(步骤S31_m)。

输入运算单元324_m通过秘密计算，用输入值W(d)的秘密分散值[W(d)]_m得到Y(d)＝(W(d)+2^L)mod P的秘密分散值[Y(d)]_m，并输出。Y(d)相当于“对象比特串A(d)表示的值”。对象比特串A(d)在最高位比特为“1”的情况下对应于空值，在最高位比特为“0”的情况下对应于实数值的比特串(步骤S32_m)。

检查比特串获取单元325_m将秘密分散值[Y(d)]_m作为输入，通过秘密计算，得到V(d)＝2^T×Y(d)mod P的秘密分散值[V(d)]_m，并输出。V(d)相当于“检查比特串C(d)表示的值”(步骤S33_m)。

空值检查单元326_m将秘密分散值[V(d)]_m作为输入，得到从检查比特串C(d)的最低位比特至检查比特为止的各比特值的秘密分散值[r(d)]_m，并输出。例如，T＝1的情况下，空值检查单元326_m得到最低位比特即检查比特的值的秘密分散值[r(d)]_m，并输出(步骤S34_m)。

排序单元327_m将对象比特串A(d)(其中，d＝0，…，D－1)表示的Y(d)的秘密分散值[Y(d)]作为输入，通过秘密计算，进行与Y(d)的大小相应的排序，得到该排序结果的秘密分散值[θ]_m，并输出。Y(d)越大，Y(d)对应于越大的实数值X(d)。再者，对基于秘密计算的排序方法没有限定，通过公知的方法执行即可。例如，排序单元327_m通过参考文献2的比特分解，得到由对象比特串A(d)的各比特值的秘密分散值构成的向量[BitA(d)]的列，将向量[BitA(d)]的列用参考文献3、4等的方法排序，输出其结果的秘密分散值[θ]_m。秘密分散值[θ]_m是例如排序了的[BitA(d)]的列(步骤S35_m)。

排序结果利用运算单元328_m得到排序结果的秘密分散值[θ]_m，得到最大值、最小值、中央值的至少其中一个的秘密分散值[Φ]_m，并输出。在得到最大值的秘密分散值的情况下，排序结果利用运算单元328_m选择例如排序了的[BitA(d)]的列之中最后的元素，并输出。在得到最小值的秘密分散值的情况下，排序结果利用运算单元328_m选择例如排序了的[BitA(d)]的列之中最前的元素，并输出。在得到中央值的秘密分散值的情况下，进行例如下面那样的处理。D为奇数时，排序结果利用运算单元328_m输出将排序了的[BitA(d)]的列的中央的列的各元素的2倍值作为元素的列的秘密分散值。D为偶数时，排序结果利用运算单元328_m输出将最接近排序了的[BitA(d)]的列的中央的2列相加所得的列的秘密分散值(步骤S36_m)。

秘密计算装置32_m输出秘密分散值[r(d)]_m(其中，d＝0，…，D－1)和[Φ]_m(步骤S37_m)。

[第3实施方式的变形例1]

第3实施方式中，排序单元327_m将对象比特串A(d)(其中，d＝0，…，D－1)表示的Y(d)的秘密分散值[Y(d)]作为输入，通过秘密计算，进行与Y(d)的大小相应的排序，得到该排序结果的秘密分散值[θ]_m，并输出(步骤S35_m)。也可以取代它，如图10所示，排序单元327_m将秘密分散值[V(d)]_m作为输入，通过秘密计算，进行与检查比特串C(d)表示的值V(d)的大小相应的排序，得到该排序结果的秘密分散值[θ]_m，并输出(步骤S35’_m)。

[第3实施方式的变形例2]

第3实施方式及其变形例1中，秘密计算装置32_m输出了秘密分散值[r(d)]_m(其中，d＝0，…，D－1)和[Φ]_m。可是，即使在T≥2的情况下，也可以取代[r(d)]_m(其中，d＝0，…，D－1)而仅输出检查比特串C(d)的各检查比特的值的秘密分散值。也可以输出[θ]_m取代[Φ]_m。此外，秘密计算装置32_m也可以在各检查比特的值全部为“0”的情况下生成秘密分散值[Φ]_m或[θ]_m并输出，在任何一个检查比特的值为“1”的情况下生成表示错误的秘密分散值的值并输出。

[第3实施方式的变形例3]

也可以对各秘密计算装置32_m输入秘密分散值[Y(d)]_m，执行步骤S33_m至S37_m的处理。

[第4实施方式]

可以是将第1实施方式至第3实施方式组合的实施方式，也可以是将它们的至少一部分置换为前述的变形例的实施方式。如图1例示的那样，该实施方式的计算系统4具有分散装置11和M个秘密计算装置42₀－42_M－1，它们构成为经由因特网等网络可进行通信。秘密计算装置42_m(其中，m＝0，…，M－1)具有：通信单元121_m、存储单元122_m、控制单元123_m、输入运算单元124_m、检查比特串获取单元125_m、空值检查单元126_m、大小比较比特串获取单元227_m、大小比较单元228_m、排序单元327_m、以及排序结果利用运算单元328_m。秘密计算装置42_m在控制单元123_m的控制之下执行各处理。各单元的处理如在第1实施方式至第3实施方式和它们的变形例中说明的那样。

[其他变形例等]

本发明不限定于上述实施方式。例如，秘密分散值[W]_m也可以是其他秘密计算装置中的秘密计算结果。此外，各装置也可以不是通过网络交换信息，而是至少一部分的组的装置经由便携式记录介质来交换信息。或者，也可以是至少一部分的组的装置经由非便携式的记录介质来交换信息。由这些装置的一部分构成的组合也可以是同一装置。

上述的各种处理不仅可以按照记载而时序地执行，也可以根据执行处理的装置的处理能力或者需要而并行或单独地执行。另外，不言而喻，在不脱离本发明的宗旨的范围内可适当变更。

在通过计算机实现上述结构的情况下，各装置应具有的功能性的处理内容由程序记述。通过由计算机执行该程序，在计算机上实现上述处理功能。记述了该处理内容的程序，能够预先记录在计算机可读取的记录介质中。计算机可读取的记录介质的例子是，非临时性的(non-transitory)记录介质。这样的记录介质的例子是，磁记录装置、光盘、光磁记录介质、半导体存储器等。

例如通过贩卖、转让、出租记录了该程序的DVD、CD－ROM等可移动型记录介质等来进行该程序的流通。而且，也可以将该程序预先存储在服务器计算机的存储装置中，经由网络，将该程序从服务器计算机转发到其它计算机，从而使该程序流通。

执行这样的程序的计算机，例如，首先将移动式记录介质中记录的程序或由服务器计算机转发的程序暂时存储在自身的存储装置中。在执行处理时，该计算机读取自身的记录介质中存储的程序，执行遵循读取出的程序的处理。作为该程序的另一执行方式，也可以是计算机从移动式记录介质中直接读取程序，执行遵循读取出的程序的处理，而且，也可以是每当从服务器计算机对该计算机转发程序时，逐次执行遵循接受的程序的处理。也可以是不从服务器计算机进行对该计算机的程序的转发，而仅通过其执行指示和结果取得来实现处理功能的、所谓ASP(Application Service Provider；应用服务提供商)式的服务，执行上述处理的结构。

上述实施方式中，通过在计算机上执行规定的程序，实现了本装置的处理功能，但这些处理功能的至少一部分也可以由硬件实现。

上述实施方式的技术能够用于基于秘密计算的数值计算和统计处理等。例如，上述实施方式的技术能够适用于匿名进行的调查问卷结果的统计和投票结果的统计等。

标号说明

1－4 秘密计算系统

11 分散装置

12_m－42_m 秘密计算装置

Claims (9)

1.一种秘密计算装置，包括：

第1检查比特串获取单元，用最高位比特为“1”的情况下对应于空值、最高位比特为“0”的情况下对应于实数值的第1对象比特串表示的值的秘密分散值，得到将所述第1对象比特串的最高位比特的值设为比最高位比特低位的第1检查比特的值的第1检查比特串表示的值的秘密分散值；以及

第1空值检查单元，用所述第1检查比特串表示的值的秘密分散值，得到从所述第1检查比特串的最低位比特至所述第1检查比特为止的比特值的秘密分散值。

2.如权利要求1所述的秘密计算装置，

N为2以上的整数，P＝2^N－1，L是0≦L≦N－u’的整数，u’是2以上N以下的正整数，X是－2^L≦X≦2^N-1－2^L－1的整数，

所述第1对象比特串是由N个比特构成的列，

对应于空值的所述第1对象比特串表示的值是Y＝{2^L+(P+1)/2}mod P，

对应于0以上的整数X的所述第1对象比特串表示的值是Y＝(2^L+X)mod P，

对应于负整数X的所述第1对象比特串表示的值是Y＝(P+2^L+X)mod P。

3.如权利要求2所述的秘密计算装置，具有：

输入运算单元，用对应于空值的值是W＝(P+1)/2mod P、对应于0以上的整数X的值是W＝X mod P、对应于负整数X的值是W＝(P+X)mod P的输入值W的秘密分散值，得到所述第1对象比特串表示的值Y＝(W+2^L)mod P的秘密分散值。

4.如权利要求1至3的任意一项所述的秘密计算装置，其中，

第2对象比特串是最高位比特为“1”的情况下对应于空值、最高位比特为“0”的情况下对应于实数值的比特串，

所述秘密计算装置具有：

大小比较比特串获取单元，得到表示将2^K-1与从所述第1对象比特串表示的值减去所述第2对象比特串表示的值所得的值相加的值的比较结果值的秘密分散值；以及

大小比较单元，得到从表示所述比较结果值的比特串的低位起第K比特的值的秘密分散值，

K为2以上的整数，最高位比特为“0”的所述第1对象比特串表示的值和最高位比特为“0”的所述第2对象比特串表示的值的大小为0以上且低于2^K-1。

5.如权利要求4所述的秘密计算装置，具有：

第2检查比特串获取单元，用所述第2对象比特串表示的值的隐匿值，得到将所述第2对象比特串的最高位比特的值设为比最高位比特低位的第2检查比特的值的第2检查比特串表示的值的秘密分散值；以及

第2空值检查单元，用所述第2检查比特串表示的值的秘密分散值，得到从所述第1检查比特串的最低位比特至所述第2检查比特为止的比特值的秘密分散值。

6.一种秘密计算装置，具有：

检查比特串获取单元，d＝0，…，D－1，D为2以上的整数，用最高位比特为“1”的情况下对应于空值、最高位比特为“0”的情况下对应于实数值的对象比特串A(d)表示的值的秘密分散值，得到将所述对象比特串A(d)的最高位比特的值设为比最高位比特低位的检查比特的值r(d)的检查比特串C(d)表示的值的秘密分散值；

空值检查单元，用所述检查比特串C(d)表示的值的秘密分散值，得到从所述第1检查比特串C(d)的最低位比特至所述检查比特为止的比特值的秘密分散值；以及

排序单元，得到与所述对象比特串A(d)表示的值的大小相应的排序结果的秘密分散值、或与检查比特串C(d)表示的值的大小相应的排序结果的秘密分散值，

在由所述排序单元得到与所述对象比特串A(d)表示的值的大小相应的排序结果的秘密分散值的情况下，所述对象比特串A(d)表示的值越大，最高位比特为“0”的所述对象比特串A(d)表示的值对应于越大的实数值，

在由所述排序单元得到与检查比特串C(d)表示的值的大小相应的排序结果的秘密分散值的情况下，所述检查比特串C(d)表示的值越大，与最高位比特为“0”的所述对象比特串A(d)对应的所述检查比特串C(d)表示的值对应于越大的实数值。

7.一种秘密计算方法，包括：

第1检查比特取得步骤，用最高位比特为“1”的情况下对应于空值、最高位比特为“0”的情况下对应于实数值的第1对象比特串表示的值的秘密分散值，得到将所述第1对象比特串的最高位比特的值设为比最高位比特低位的第1检查比特的值的第1检查比特串表示的值的秘密分散值；以及

第1空值检查步骤，用所述第1检查比特串表示的值的秘密分散值，得到从所述第1检查比特串的最低位比特至所述第1检查比特为止的比特值的秘密分散值。

8.一种秘密计算方法，包括：

检查比特串取得步骤，d＝0，…，D－1，D为2以上的整数，用最高位比特为“1”的情况下对应于空值、最高位比特为“0”的情况下对应于实数值的对象比特串A(d)表示的值的秘密分散值，得到将所述对象比特串A(d)的最高位比特的值设为比最高位比特低位的检查比特的值r(d)的检查比特串C(d)表示的值的秘密分散值；

空值检查步骤，用所述检查比特串C(d)表示的值的秘密分散值，得到从所述第1检查比特串C(d)的最低位比特至所述检查比特为止的比特值的秘密分散值；以及

排序步骤，得到与所述对象比特串A(d)表示的值的大小相应的排序结果的秘密分散值、或与检查比特串C(d)表示的值的大小相应的排序结果的秘密分散值，

在由所述排序步骤得到与所述对象比特串A(d)表示的值的大小相应的排序结果的秘密分散值的情况下，所述对象比特串A(d)表示的值越大，最高位比特为“0”的所述对象比特串A(d)表示的值对应于越大的实数值，

在由所述排序步骤得到与检查比特串C(d)表示的值的大小相应的排序结果的秘密分散值的情况下，所述检查比特串C(d)表示的值越大，与最高位比特为“0”的所述对象比特串A(d)对应的所述检查比特串C(d)表示的值对应于越大的实数值。

9.用于使计算机具有作为权利要求1至6的任意一项的秘密计算装置的功能的程序。