CN108140336A - 秘密认证码附加装置、秘密认证码附加方法以及程序 - Google Patents

Abstract

本发明高效地创建带认证码的隐匿文。密钥生成单元(12)生成满足xα＝β的值x、α、β的隐匿文([x]，[α]，[β])。隐匿文生成单元(13)对于i＝1，...，N，生成随机的值a_i的隐匿文[a_i]。认证码生成单元(14)对于i＝1，...，N，向隐匿文[a_i]乘以隐匿文[α]，生成认证码[γ(a_i)]。验证值生成单元(15)使用隐匿文([x]，[α]，[β])、隐匿文[a_i]和认证码[γ(a_i)]，生成验证值w的隐匿文[w]。验证值判定单元(16)判定验证值w是否等于0。

Description

秘密认证码附加装置、秘密认证码附加方法以及程序

技术领域

本发明涉及加密应用技术，特别涉及不透露输入数据而附加认证码的技术。

背景技术

作为不将被加密的数值复原而得到确定的运算结果的方法，有被称为秘密计算的方法(例如，参照非专利文献1)。在非专利文献1的方法中，进行所谓使数值的片断分散在三个秘密计算装置中的加密，通过三个秘密计算装置进行协调计算，可以不复原数值，而使加减运算、常数加法、乘法、常数倍、逻辑运算(“否”、“与”、“或”，“异或”)、数据形式变换(整数、二进制数)的结果以被分散在三个秘密计算装置的状态、即在仍被加密的情况下保持。

作为在进行秘密计算的情况下，通过附加认证码而具有抗篡改性的方法，有非专利文献2的方法。

现有技术文献

非专利文献

非专利文献1：千田浩司、濱田浩気、五十嵐大、高橋克巳、“軽量検証可能3パ一ティ秘匿関数計算の再考”、CSS、2010年

非专利文献2：Ivan Damgard，Marcel Keller，Enrique Larraia，Valerio Pastro，Peter Scholl，and Nigel P.Smart，“Practical covertly secure MPC for dishonestmajority-or：Breaking the SPDZ limits”，Computer Security-ESORICS 2013，vol.8134of Lecture Notes in Computer Science，pp.1-18，2013.

发明内容

发明要解决的课题

但是，在非专利文献2中记载的现有技术中，为了创建随机的带认证码的隐匿文而使用计算成本非常大的somewhat同态加密，效率变差。

鉴于这样的问题点，本发明的目的是，提供高效地创建随机的带认证码的隐匿文的技术。

用于解决课题的手段

为了解决上述课题，本发明的秘密认证码附加装置包括：密钥生成单元，生成满足xα＝β的值x、α、β的隐匿文([x]，[α]，[β])；隐匿文生成单元，对于i＝1，...，N，生成随机的值a_i的隐匿文[a_i]；认证码生成单元，对于i＝1，...，N，向隐匿文[a_i]乘以隐匿文[α]，生成认证码[γ(a_i)]；验证值生成单元，计算下式，生成验证值w的隐匿文[w]，

Mul((∑_i[a_i])+[x]，[α])-((∑_i[γ(a_i)])+[β])；以及

验证值判定单元，判定验证值w是否等于0，其中设N为1以上的整数。

发明的效果

按照本发明的秘密认证码附加技术，可以高效地创建随机的带认证码的隐匿文。

附图说明

图1是例示秘密认证码附加系统的功能结构的图。

图2是例示第一实施方式的秘密认证码附加装置的功能结构的图。

图3是例示第一实施方式的秘密认证码附加方法的处理流程的图。

图4是例示第二实施方式的秘密认证码附加装置的功能结构的图。

图5是例示第二实施方式的秘密认证码附加方法的处理流程的图。

具体实施方式

在说明实施方式之前，说明本说明书中的标记方法以及用语的定义。

<标记方法>

将某个值a因加密或秘密分散等而隐匿化了的值称为a的隐匿文，标记为[a]。而且，将a称为[a]的明文。隐匿化为秘密分散的情况下，通过[a]参照各方面(party)具有的秘密分散的片断的集合。以[a]_i参照隐匿文[a]中的第i方面P_i具有的份额。而且，所谓份额是被秘密分散后的片断，所谓方面是协调进行秘密计算的各参加者。

<复原>

将从隐匿文[a]计算明文a的处理称为复原，如下式那样记述。

a←Reveal([a])

<加法、减法、乘法、常数倍>

对于隐匿文的加法、减法、乘法的各运算以两个值a，b的隐匿文[a]，[b]作为输入，分别计算a+b，a-b，ab的计算结果d₁，d₂，d₃的隐匿文[d₁]，[d₂]，[d₃]。对于隐匿文的常数倍的运算以值a的隐匿文[a]和明文c作为输入，计算ca的计算结果d₄的隐匿文[d₄]。执行运算的执行分别如下式那样记述。

[d₁]←Add([a]，[b])，

[d₂]←Sub([a]，[b])，

[d₃]←Mul([a]，[b])，

[d₄]←CMul(c，[a])

而且，在没有顾虑带来误解的情况下，将Add([a]，[b])、Sub([a]，[b])、Mul([a]，[b])、CMul(c，[a])分别略记为[a]+[b]、[a]-[b]、[a][b]、c[a]。

<随机的隐匿文的生成>

将生成谁也不知道的随机的值r的隐匿文[r]的处理如下式那样记述。

[r]←Rand()

<承诺(commitment)>

承诺由保证(commit)和开放(open)两个处理构成。保证是作为发送者的方面将某值向其他方面秘密地提出的处理。开放是将保证的值向全部方面澄清的处理。发送者以外的方面在值被开放之前无法得知保证的值。而且，包括发送者，谁都不能篡改发送者保证的值。

某方面Pi保证某值v的处理如下式那样记述。

τ_v←Commit(v)

τ_v是与保证的值v相关联的标签，被发送到全部的方面。

将方面Pi开放与标签τ_v相关联的保证的值v的处理如下式那样记述。

v←Open(τ_v)

通过该处理，全部的方面得到与标签τ_v相关联的保证的值v。

以下，详细地说明本发明的实施方式。而且，对附图中具有相同的功能的结构部分附加相同的标号，省略重复说明。

[第一实施方式]

如图1中例示的那样，第一实施方式的秘密认证码附加系统包含n(≥2)台秘密认证码附加装置1₁，...，1_n。在本实施方式中，秘密认证码附加装置1₁，...，1_n分别连接到通信网2。通信网2是以能够分别与秘密认证码附加装置1₁，...，1_n进行通信的方式构成的线路交换方式或者分组交换方式的通信网，例如可以使用因特网或LAN(Local Area Network，局域网)，WAN(Wide Area Network，广域网)等。而且，各装置未必需要可通过通信网2以在线方式进行通信。例如，也可以将输入至秘密认证码附加装置1_i(i∈{1，...，n})的信息存储在磁带或USB存储器等可移动型记录介质中，从该可移动型记录介质以在线方式输入那样构成。

如图2所示，秘密认证码附加装置1例如包括：输入单元11；密钥生成单元12；隐匿文生成单元13；认证码生成单元14；验证值生成单元15；验证值判定单元16；以及输出单元17。验证值判定单元16例如包含复原单元161以及判定单元162。该秘密认证码附加装置1通过进行图3中例示的各步骤的处理，实现第一实施方式的秘密认证码附加方法。

秘密认证码附加装置1例如是在具有中央运算处理装置(CPU：Central ProcessingUnit)、主存储装置(RAM：Random Access Memory)等的公知或者专用的计算机中读入特别的程序而构成的特别的装置。秘密认证码附加装置1例如在中央运算处理装置的控制下执行各处理。输入到秘密认证码附加装置1的数据或在各处理中得到的数据，例如被存储在主存储装置中，主存储装置中存储的数据根据需要，读出至中央运算处理装置，被用于其它的处理。秘密认证码附加装置1的各处理单元的至少一部分也可以由集成电路等硬件构成。

参照图3，说明第一实施方式的秘密认证码附加方法的处理过程。

在步骤S11中，值N被输入至输入单元11。N是1以上的整数，是指定要生成的带认证码隐匿文的数的参数。

在步骤S12中，密钥生成单元12生成作为满足xα＝β的值x、α、β的隐匿文的认证码密钥([x]，[α]，[β])。生成满足这样的关系的隐匿文的组的方法例如记载在非专利文献2中。或者，也可以生成随机的值x，α的隐匿文[x]，[α]，例如通过非专利文献1中记载的秘密计算方法，计算[β]←Mul([x]，[α])，生成([x]，[α]，[β])的组。认证码密钥([x]，[α]，[β])被送至认证码生成单元14。

在步骤S13中，隐匿文生成单元13对于i＝1，...，N，计算式(1)，生成随机的值a_i的隐匿文[a_i]。N个隐匿文[a₁]，...，[a_N]被送至认证码生成单元14。

[a_i]←Rand()…(1)

在步骤S14中，认证码生成单元14对于i＝1，...，N，计算式(2)，生成对隐匿文[a_i]乘以了隐匿文[α]的认证码[γ(a_i)]。N个认证码[γ(a₁)]，...，[γ(a_N)]被送至验证值生成单元15。

[γ(a_i)]←Mul([a_i]，[α])…(2)

在步骤S15中，验证值生成单元15使用隐匿文[a₁]，...，[a_N]、认证码[γ(a₁)]，...，[γ(a_N)]、认证码密钥[α]，[β]，计算式(3)、(4)，生成验证值w的隐匿文[w]。隐匿文[w]被送至验证值判定单元16。隐匿文[a₁]，...，[a_N]、认证码[γ(a₁)]，...，[γ(a_N)]被送至输出单元17。

[z]←Mu1((∑_i[a_i])+[x]，[α])-((∑_i[γ(a_i)])+[β])，…(3)

[w]←Mul([z]，Rand())…(4)

在步骤S161～162中，验证值判定单元16判定验证值w是否等于0。以下，具体地说明验证值判定单元16的处理。

在步骤S161中，复原单元161从其它的n-1台秘密认证码附加装置接收隐匿文[w]的份额，计算式(5)而复原隐匿文[w]，生成验证值w。

w←Reveal([w])…(5)

在步骤S162中，判定单元162判定验证值w是否等于0。如果验证值w不为0则结束处理。如果验证值w为0，则处理进至步骤S17。

在步骤S17中，输出单元17输出N个带认证码的隐匿文([a₁]，[γ(a₁)])，...，([a_N]，[γ(a_N)])。

在本实施方式中，验证值生成单元15中，生成通过式(4)乘以了随机的值的隐匿文的隐匿文[w]作为验证值，但是也可以生成通过式(3)得到的隐匿文[z]作为验证值。其中，在将隐匿文[z]设为了验证值的情况下，在隐匿文[z]为0以外的值的情况下，有时可能通过该值推测隐匿文[a_i]和认证码密钥([x]，[α]，[β])。因此，在本实施方式中，通过在式(4)中乘以随机的值的隐匿文，进一步提高安全性。

[第二实施方式]

第二实施方式的秘密认证码附加方法利用承诺进行认证码的验证。由此，可以防止验证值的篡改，可以更可靠地确认认证码的正当性。在本实施方式中，各隐匿文通过n方面的秘密分散而被隐匿化。作为那样的秘密分散，例如有非专利文献1中记载的阈值秘密分散和非专利文献2中记载的加法的秘密分散。

如图4所示，第二实施方式的验证值判定单元18除了复原单元161以及判定单元162，例如还包含保证单元163以及开放单元164。包含该验证值判定单元18的秘密认证码附加装置通过进行图5中例示的各步骤的处理，实现第二实施方式的秘密认证码附加方法。

参照图5，说明第二实施方式的秘密认证码附加方法的处理过程。以下，以与上述第一实施方式的不同点为中心进行说明。以下，以第i(∈{1，...，n})秘密认证码附加装置1_i的处理为中心进行说明。

在步骤S163中，秘密认证码附加装置1_i的保证单元163计算式(6)，在验证值w的隐匿文[w]中保证自身保具有的份额[w]_i，生成标签τ_i。由此，分别向其它n-1台秘密认证码附加装置1_j(j＝1，...，n，j≠i)发送标签τ_i。

τ_i←Commit([w]_i)…(6)

同时，其它秘密认证码附加装置1_j(j＝1，...，n，j≠i)的每个装置保证验证值[w]的份额[w]_j，生成标签τ_j。由此，全部的秘密认证码附加装置1₁，...，1_n与自身保证的标签一起，具有与验证值[w]的全部份额[w]₁，...，[w]_n相关联的标签τ₁，...，τ_n。

在步骤S164中，秘密认证码附加装置1_i的开放单元164计算式(7)，开放标签τ_i。由此，所有其它n-1台的秘密认证码附加装置1_i(j＝1，...，n，j≠i)得到验证值[w]的份额[w]_i。

[w]_i←Open(τ_i)…(7)

同时，其它秘密认证码附加装置1_j(j＝1，...，n，j≠i)的每个装置开放标签τ_j。由此，全部的秘密认证码附加装置1₁，...，1_n可以与自身持有的份额一起，得到验证值[w]的全部的份额[w]₁，...，[W]_n。

在步骤S161中，秘密认证码附加装置1_i的复原单元161计算式(8)，复原份额[w]₁，...，[w]_n，生成验证值w。

w←Reveal([w]₁，…，[w]_n)…(8)

在步骤S162中，秘密认证码附加装置1_i的判定单元162判定验证值w是否等于0。如果验证值w不等于0则结束处理。如果验证值w等于0则处理进至步骤S17。

在第二实施方式中，因为在判定验证值时使用承诺进行份额的发送接收，所以可以防止验证值的份额泄露或者被篡改，可以提高安全性。

通过上述那样构成，按照本发明的秘密认证码附加技术，可以生成认证码密钥([x]，[α]，[β])和N个带认证码隐匿文([a_i]，[γ(a_i)])。如果使用生成的带认证码隐匿文，例如可以生成非专利文献2中记载的多方面计算中所需要的三组附加了认证码的随机数。

在本发明中，对于随机的隐匿文使用可进行篡改的乘法来进行认证码的附加。在多数不设想篡改的乘法方式中，可能有对乘法的输入加上任意的值的篡改。本发明的秘密认证码附加技术，对于在乘法中对各输入的明文加上任意的值的篡改具有抗性。因此，通过对使用不设想很多篡改的乘法的多方面计算方式适用本发明，可以增加抗篡改性。

本发明不限于上述的实施方式，不用说，在不脱离本发明的宗旨的范围内可以进行适当变更。上述实施方式中说明的各种处理，不仅可以按照记载的顺序按时间序列来执行，还可以根据执行处理的装置的处理能力或者需要并行地或者单独地执行。

[程序，记录介质]

在通过计算机实现上述实施方式中说明的各装置中的各种处理功能的情况下，通过程序记述各装置应具有的功能的处理内容。然后，通过计算机执行该程序，在计算机上实现上述各装置中的各种处理功能。

记述了该处理内容的程序可以记录在计算机可读取的记录介质中。作为计算机可读取的记录介质，例如可以是磁记录装置、光盘、光磁记录介质、半导体存储器等什么样的介质都可以。

而且，该程序的流通例如通过销售、转让、出租等记录了该程序的DVD、CD-ROM等可移动型记录介质来进行。进而，也可以是将该程序存储在服务器计算机的存储装置中，通过经由网络，从服务器计算机向其它计算机转发该程序，使该程序流通的结构。

执行这样的程序的计算机，例如，首先，将可移动型记录介质中记录的程序或者从服务器计算机转发的程序暂时存储在自己的存储装置中。然后，在执行处理时，该计算机读取自己的记录介质中存储的程序，执行按照读取的程序的处理。而且，作为该程序的其它执行方式，既可以计算机从可移动型记录介质直接读取程序，执行按照该程序的处理，进而也可以每当从服务器计算机向计算机转发程序，逐次执行按照接受的程序的处理。而且，也可以是通过不进行从服务器计算机至该计算机的程序的转发，仅通过其执行指示和结果取得来实现处理功能的所谓ASP(Application Service Provider，应用服务提供商)型的服务，执行上述的处理的结构。而且，在本方式中的程序中，设为包含作为供电子计算机处理用的信息的、按照程序看待的数据(虽然不是对于计算机的直接的指令，但是具有规定计算机的处理的性质的数据等)。

而且，在该方式中，通过在计算机上执行规定的程序，构成了本装置，但是也可以硬件地实现这些处理内容的至少一部分。

Claims (6)

1.一种秘密认证码附加装置，包括：

密钥生成单元，生成满足xα＝β的值x、α、β的隐匿文([x]，[α]，[β])；

隐匿文生成单元，对于i＝1，...，N，生成随机的值a_i的隐匿文[a_i]；

认证码生成单元，对于i＝1，...，N，向所述隐匿文[a_i]乘以所述隐匿文[α]，生成认证码[γ(a_i)]；

验证值生成单元，计算下式，生成验证值w的隐匿文[w]，

Mul((∑_i[a_i])+[x]，[α])-((∑_i[γ(a_i)])+[β])；以及

验证值判定单元，判定所述验证值w是否等于0，

其中，将N设为1以上的整数。

2.如权利要求1所述的秘密认证码附加装置，

所述验证值生成单元通过对所述隐匿文[w]乘以了随机值的隐匿文，更新所述隐匿文[w]。

3.如权利要求1或2所述的秘密认证码附加装置，

所述验证值判定单元通过将所述隐匿文[w]复原而得到所述验证值w，判定所述验证值w是否等于0。

4.如权利要求3所述的秘密认证码附加装置，

n是2以上的整数，隐匿文[x]、[α]、[β]、[a_i]是n方面的秘密分散的隐匿文，i是1以上n以下的任意的整数，

所述验证值判定单元包括：

保证单元，生成保证了所述隐匿文[w]的份额[w]_i的标签τ_i；

开放单元，开放所述标签τ_i；

复原单元，得到由其它的秘密认证码附加装置开放的份额[w]_j，复原份额[w]₁，...，[w]_n而得到所述验证值w，其中j＝1，...，n，i≠j；以及

判定单元，判定所述验证值w是否等于0。

5.一种秘密认证码附加方法，包括：

密钥生成步骤，密钥生成单元生产满足xα＝β的值x、α、β的隐匿文([x]，[α]，[β])；

隐匿文生成步骤，隐匿文生成单元对于i＝1，...，N，生成随机的值a_i的隐匿文[a_i]；

认证码生成步骤，认证码生成单元对于i＝1，...，N，向所述隐匿文[a_i]乘以所述隐匿文[α]，生成认证码[γ(a_i)]；

验证值生成步骤，验证值生成单元计算下式，生成验证值w的隐匿文[w]，

Mul((∑_i[a_i])+[x]，[α])-((∑_i[γ(a_i)])+[β])；以及

验证值判定步骤，验证值判定单元判定所述验证值w是否等于0，

其中，将N设为1以上的整数。

6.一种程序，用于使计算机具有作为权利要求1至4的任意一项所述的秘密认证码附加装置的各单元的功能。