CN110199339B - 秘密计算系统、秘密计算装置、秘密计算方法、记录介质 - Google Patents

Abstract

本发明提供以更少的计算时间计算2的取幂的秘密计算技术。包括：小数分解单元(120)，使用隐匿文[[r]]，由隐匿文[[x]]计算值x和随机数r的差x‑r的隐匿文[[x]]‑[[r]]，由隐匿文[[x]]‑[[r]]生成差x‑r的整数部分e和小数部分f(0≦f<1)的隐匿文[[e]],[[f]]；复原单元(130)，由隐匿文[[f]]，复原小数部分f；左偏移单元(140)，由小数部分f和隐匿文[[e]]，生成将小数部分f的2的取幂2^f左偏移了e比特的值即左偏移值y的隐匿文[[y]]；取幂计算单元(150)，使用隐匿文[[2^r]]，由隐匿文[[y]]计算将2的取幂2^r和左偏移值y相乘后的值2^r×y的隐匿文[[2^r]]×[[y]]作为隐匿文[[2^x]]。

Description

秘密计算系统、秘密计算装置、秘密计算方法、记录介质

技术领域

本发明涉及秘密计算技术，特别涉及在将输入值设为秘密的情况下计算2的取幂的秘密计算技术。

背景技术

作为不将被加密的数值复原而得到指定的运算的运算结果的方法，有称为秘密计算的方法(例如参照非专利文献1)。在非专利文献1的方法中，进行将可复原数值的多个信息(数值的片段)分散在三个秘密计算装置中的所谓加密，不复原数值，而将加减运算、常数和、乘法运算、常数倍、逻辑运算(“非”、逻辑“与”、逻辑“或”、“异或”)、数据形式变换(整数、二进制数)的结果在分散在三个秘密计算装置的状态，即仍被加密的情况下被保持。一般来说，分散数不限于3而可以设为W(W是2以上的规定的常数)，通过W个秘密计算装置的协同计算实现秘密计算的协议称为多方协议。

而且，关于分散数为2的情况下的秘密计算方法，例如，在非专利文献2中被公开。

作为通过秘密计算实现指数函数的计算的方法，有非专利文献3的方法。在非专利文献3的方法中，首先将要求出2的取幂的值分解为整数部分e和小数部分f(0≦f<1)，分别计算2的取幂2^e和2^f，通过求2^e和2^f的积，实现指数函数的计算。

现有技术文献

非专利文献

非专利文献1：千田浩司,濱田浩気,五十嵐大,高橋克巳,“軽量検証可能3パーティ秘匿関数計算の再考”,情報処理学会シンポジウム論文集,Vol.2010,No.9,pp.555-560，2010.

非专利文献2：Ivan Damgard,Valerio Pastro,Nigel Smart,Sarah Zakarias,“Multiparty Computation from Somewhat Homomorphic Encryption”,CRYPTO 2012,LNCS7417,pp.643-662,2012.

非专利文献3：LiinaKamm,Jan Willemson,“Secure floating point arithmeticand private satellite collision analysis”,International Journal ofInformation Security,Vol.14,No.6,pp.531-548,2015.

发明内容

发明要解决的课题

但是，在非专利文献3的方法中，在计算小数部分f的2的取幂2^f时，需要计算f的4次多项式，所以存在计算时间变大的问题。

因此，本发明的目的是提供以更少的计算时间计算2的取幂的秘密计算技术。

用于解决课题的手段

本发明的一个方式是秘密计算系统，将r设为满足0≦r<1的随机数，将[[r]]设为所述随机数r的隐匿文，将[[2^r]]设为所述随机数r的2的取幂2^r的隐匿文，所述秘密计算系统由2个以上的秘密计算装置构成，由计算2的取幂的值x的隐匿文[[x]]，计算所述值x的2的取幂2^x的隐匿文[[2^x]]，所述秘密计算系统包括：小数分解单元，使用所述隐匿文[[r]]，由所述隐匿文[[x]]计算所述值x和所述随机数r的差x-r的隐匿文[[x]]-[[r]]，由所述隐匿文[[x]]-[[r]]生成所述差x-r的整数部分e和小数部分f(0≦f<1)的隐匿文[[e]],[[f]]；复原单元，由所述隐匿文[[f]]，复原所述小数部分f；左偏移单元，由所述小数部分f和所述隐匿文[[e]]，生成将所述小数部分f的2的取幂2^f左偏移了e比特的值即左偏移值y的隐匿文[[y]]；以及取幂计算单元，使用所述隐匿文[[2^r]]，由所述隐匿文[[y]]计算将所述2的取幂2^r和所述左偏移值y相乘后的值2^r×y的隐匿文[[2^r]]×[[y]]作为所述隐匿文[[2^x]]。

发明效果

按照本发明，因为可以不计算多项式而计算2的取幂，所以能够削减2的取幂的秘密计算所需要的计算时间。

附图说明

图1是表示第一实施方式的秘密计算算法的处理步骤的图。

图2是表示秘密计算系统10的结构的方框图。

图3是表示秘密计算装置100_i的结构的方框图。

图4是表示秘密计算系统10的操作的流程图。

具体实施方式

以下，详细地说明本发明的实施方式。而且，对具有相同的功能的结构部件附加相同的标号，省略重复说明。

如后所述的2的取幂的秘密计算算法由已知的秘密计算上的运算的组合来构建。该秘密计算算法所需要的运算是：隐匿化和复原、加法运算、减法运算、乘法运算、小数分解、以及左偏移。首先，说明各运算的定义、记法等。

＜定义，记法等＞

[隐匿化和复原]

将通过加密或秘密分散等隐匿化了某个值a所得的值称为a的隐匿文，表示为[[a]]。在a的隐匿文[[a]]是通过秘密分散而生成的情况下，通过[[a]]参照各秘密计算装置持有的秘密分散的片段的集合。

而且，将复原a的隐匿文[[a]]，得到a的处理表示为a←Open([[a]])。

作为隐匿化和复原的方法，具体地说，有参考非专利文献1和参考非专利文献2的方法。

(参考非专利文献1)Octavian Catrina,Amitabh Saxena,“Secure Computationwith Fixed-Point Numbers”,Financial Cryptography 2010,LNCS6052,pp.35-50,2010.

(参考非专利文献2)MehrdadAliasgari,Marina Blanton,Yihua Zhang,AaronSteele,“Secure Computation on Floating Point Numbers”,NDSS 2013,2013.

在参考非专利文献1中，公开了定点或整数中的运算。而且，在参考非专利文献2中，公开了浮点中的运算。

[加法运算、减法运算、乘法运算]

加法运算、减法运算、乘法运算的各运算，将两个值a、b的隐匿文[[a]]、[[b]]作为输入，分别计算作为a+b、a-b、ab的计算结果的和c₁、差c₂、积c₃的隐匿文[[c₁]]、[[c₂]]、[[c₃]]。将得到[[c₁]]、[[c₂]]、[[c₃]]的处理分别表示为[[c₁]]←Add([[a]],[[b]])、[[c₂]]←Sub([[a]],[[b]])、[[c₃]]←Mul([[a]],[[b]])。在不担心带来误解的情况下，将Add([[a]],[[b]])、Sub([[a]],[[b]])、Mul([[a]],[[b]])分别略记为[[a]]+[[b]]、[[a]]-[[b]]、[[a]]×[[b]]。

作为加法运算、减法运算、乘法运算的方法，具体地说，有参考非专利文献1或参考非专利文献2的方法。在参考非专利文献1中，公开了定点或整数中的运算。而且，在参考非专利文献2中，公开了浮点中的运算。

[小数分解]

对于a的隐匿文[[a]]，将计算a的整数部分e和小数部分f(0≦f<1)的隐匿文[[e]]、[[f]]的处理表示为[[e]],[[f]]←Split([[a]])。

作为小数分解的方法，具体地说，有非专利文献3的方法。在非专利文献3中，公开了浮点中的运算。而且，关于定点或整数中的运算，只要将参考非专利文献1的定点数(整数)和浮点数的相互变换与非专利文献3的浮点数的小数分解组合即可。

[左偏移]

将根据a的隐匿文[[a]]和b的隐匿文[[b]]，计算将a左偏移了b比特的值(即，将a进行2^b倍后的值)即左偏移值c(＝a×2^b)的隐匿文[[c]]的处理表示为[[c]]←[[a]]<<[[b]]。

关于浮点中的运算，只要对指数部加上偏移量(x<<y的y)即可。而且，关于定点或整数中的运算，只要将参考非专利文献1的定点数(整数)和浮点数的相互变换与上述的浮点数的左偏移组合即可。

＜第一实施方式＞

以下说明第一实施方式的秘密计算算法的输入和输出、处理步骤和实现第一实施方式的秘密计算算法的秘密计算系统。

[输入和输出]

说明图1所示的第一实施方式的秘密计算算法的输入和输出。

计算2的取幂的值x的隐匿文[[x]]成为输入。而且，还输入满足0≦r<1的随机数r和r的2的取幂2^r的隐匿文[[r]]、[[2^r]]。

x的2的取幂2^x的隐匿文[[2^x]]成为输出。

[处理步骤]

说明图1所示的第一实施方式的秘密计算算法的处理步骤。那时，使用图1的左端的数字表现为步骤1、步骤2等。

在步骤1中，由输入的隐匿文[[x]]和[[r]]，计算从x减去了随机数r的结果即差x-r的隐匿文[[x]]-[[r]]。接着，由隐匿文[[x]]-[[r]]，生成差x-r的整数部分e和小数部分f(0≦f<1)的隐匿文[[e]]、[[f]]。这里，x-r＝e+f成立。

在步骤2中，由步骤1中生成的隐匿文[[f]]，复原差x-r的小数部分f。

在步骤3中，由步骤2中复原的小数部分f和步骤1中生成的隐匿文[[e]]，生成将f的2的取幂2^f左偏移了e比特的值即左偏移值y的隐匿文[[y]]。这里，y＝2^f<<e＝2^f+e＝2^x-r成立。

在步骤4中，由输入的隐匿文[[2^r]]和步骤3中生成的隐匿文[[y]]，计算2^r和y相乘的结果即积2^r×y的隐匿文[[2^r]]×[[y]]。这里，2^r×y＝2^r×2^x-r＝2^x成立。

[秘密计算系统]

以下，参照图2～图4说明第一实施方式的秘密计算系统10。图2是表示秘密计算系统10的结构的方框图。秘密计算系统10包含W个(W是2以上的规定的整数)秘密计算装置100₁，…，100_W。秘密计算装置100₁，…，100_W连接到网络800，能够相互通信。网络800例如可以是因特网等通信网或者广播通信路径等。图3是表示秘密计算装置100_i(1≦i≦W)的结构的方框图。图4是表示秘密计算系统10的操作的流程图。

图3所示秘密计算装置100_i包括：随机数生成单元110_i、小数分解单元120_i、复原单元130_i、左偏移单元140_i、取幂计算单元150_i、记录单元190_i。除了记录单元190_i的秘密计算装置100_i的各构成单元构成为，可执行在秘密计算算法中需要的运算，即，可执行至少在隐匿化、复原、加法运算、减法运算、乘法运算、小数分解、左偏移中、在实现各构成单元的功能上需要的运算。本发明中用于实现各个运算的具体的功能结构，用可执行例如作为现有技术文献公开的非专利文献或＜定义，记法等＞中公开的参考非专利文献等中具有的算法的结构就足够，由于这些是以往的结构，所以省略详细的说明。而且，记录单元190_i是记录秘密计算装置100_i的处理所需要的信息的构成单元。

通过W个秘密计算装置100_i的协同计算，秘密计算系统10实现作为多方协议的秘密计算算法。由此，秘密计算系统10的随机数生成单元110(未图示)由随机数生成单元110₁，…，110_W构成，小数分解单元120(未图示)由小数分解单元120₁，…，120_W构成，复原单元130(未图示)由复原单元130₁，…，130_W构成，左偏移单元140(未图示)由左偏移单元140₁，…，140_W构成，取幂计算单元150(未图示)由取幂计算单元150₁，…，150_W构成。

秘密计算系统10使用事先生成的随机数r(0≦r<1)和其2的取幂2^r的隐匿文[[r]],[[2^r]]，由计算2的取幂的值(即，指数)x的隐匿文[[x]]，计算x的2的取幂2^x的隐匿文[[2^x]]。以下，按照图4说明秘密计算系统10的操作。

随机数生成单元110生成满足0≦r<1的随机数r，生成隐匿文[[r]]、[[2^r]](S110)。对应于图1的秘密计算算法的输入值的事先设置。隐匿文[[r]]、[[2^r]]被记录在记录单元190₁，…，190_W中。

小数分解单元120使用在输入隐匿文[[x]]之前生成的隐匿文[[r]]，由x的隐匿文[[x]]计算x和随机数r的差x-r的隐匿文[[x]]-[[r]]，由隐匿文[[x]]-[[r]]，生成差x-r的整数部分e和小数部分f(0≦f<1)的隐匿文[[e]],[[f]](S120)。对应于图1的秘密计算算法的步骤1。

复原单元130由S120中生成的隐匿文[[f]]，复原小数部分f(S130)。对应于图1的秘密计算算法的步骤2。

左偏移单元140由S130中复原的小数部分f和S120中生成的隐匿文[[e]]，生成将小数部分f的2的取幂2^f左偏移了e比特的值即左偏移值y的隐匿文[[y]]＝2^f<<[[e]](S140)。对应于图1的秘密计算算法的步骤3。

取幂计算单元150使用在输入隐匿文[[x]]之前生成的隐匿文[[2^r]]，由S140中生成的隐匿文[[y]]，计算将2的取幂2^r和左偏移值y相乘的结果即积2^r×y的隐匿文[[2^r]]×[[y]](S150)。对应于图1的秘密计算算法的步骤4。

按照本实施方式的发明，因为可以通过分别执行1次减法、小数分解、复原、左偏移、乘法运算来实现2^x的计算，所以计算成本被削减。而且，以提供[[2^r]]为前提，利用2^x＝2^x-r×2^r，将从输入值[[x]]计算输出值[[2^x]]的处理还原为[[2^x-r]]的计算。通常，若复原2^x-r的指数x-r的小数部分f则信息泄露，但是通过调整，使得指数x-r的小数部分为0以上不足1的均匀随机的值(即，在计算x-r后抽出小数部分而仅公开小数部分)，能够安全地执行2^x的计算。

＜补充说明＞

本发明的装置，例如作为单一的硬件实体，包括：能够连接键盘等的输入单元、能够连接液晶显示器等的输出单元、能够和可与硬件实体的外部通信的通信装置(例如通信电缆)连接的通信单元、CPU(Central Processing Unit，也可以具有高速缓存存储器或寄存器等)、作为存储器的RAM或ROM、作为硬盘的外部存储装置、以及连接这些输入单元、输出单元、通信单元、CPU、RAM、和ROM以便可进行外部存储装置之间的数据的存取的总线。而且也可以根据需要，在硬件实体中设置可读写CD－ROM等记录介质的装置(驱动器)等。作为具有这样的硬件资源的物理的实体，有通用计算机等。

在硬件实体的外部存储装置中，存储为了实现上述功能所需要的程序以及该程序的处理中所需要的数据等(不限于外部存储装置，例如也可以使其存储在作为读出程序专用存储装置的ROM中)。而且，通过这些程序的处理得到的数据等，适当存储在RAM或外部存储装置等中。

在硬件实体中，外部存储装置(或者ROM等)中存储的各程序和该各程序的处理所需要的数据根据需要读入存储器中，适当地在CPU中被解释执行、处理。其结果，CPU实现规定的功能(表示为上述，…部件，…单元等的各结构要件)。

本发明不限定于上述的实施方式，在不脱离本发明的宗旨的范围内能够适当变更。而且，上述实施方式中说明的处理不仅按照记载的顺序时间序列地执行，也可以根据执行处理的装置的处理能力或者根据需要并行地或者单独地执行。

如已经叙述的那样，在通过计算机实现上述实施方式中说明的硬件实体(本发明的装置)中的处理功能的情况下，通过程序记述硬件实体应有的功能的处理内容。然后，通过由计算机执行该程序，在计算机上实现上述硬件实体中的处理功能。

记述了该处理内容的程序，可以记录在计算机可读取的记录介质中。作为计算机可读取的记录介质，例如可以是磁记录装置、光盘、光磁记录介质、半导体存储器等任何介质。具体地说，例如，作为磁记录装置，可以使用硬盘装置、软盘、磁带等，作为光盘，可以使用DVD(Digital Versatile Disc)、DVD－RAM(Random Access Memory)、CD－ROM(CompactDisc Read Only Memory)、CD－R(Recordable)/RW(ReWritable)等，作为光磁记录介质，可以使用MO(Magneto-Optical disc)等，作为半导体存储器可以使用EEP－ROM(Electronically Erasable and Programmable-Read Only Memory)等。

而且，该程序的流通例如通过销售、转让、租借等记录了该程序的DVD，CD－ROM等可拆装型记录介质来进行。进而，也可以将该程序存储在服务器计算机的存储装置中，通过经由网络，将该程序从服务器计算机转发到其它计算机，使该程序流通。

执行这样的程序的计算机，例如首先将可拆装型记录介质中记录的程序或者从服务器计算机转发的程序暂时存储在自己的存储装置中。然后，在执行处理时，该计算机读取自己的存储装置中存储的程序，按照读取的程序执行处理。而且，作为该程序其它执行方式，也可以计算机从可拆装型记录介质直接读取程序，执行按照该程序的处理，进而，也可以每当从服务器计算机将程序转发到该计算机时，逐次执行按照接受到的程序的处理。而且，也可以通过从服务器计算机不进行至该计算机的程序的转发，而仅通过其执行指令和结果取得来实现处理功能的、所谓ASP(Application Service Provider，应用提供商)型的服务，执行上述的处理。而且，本方式的程序中，包含作为供电子计算机的处理使用的信息即基于程序的信息(虽然不是对于计算机的直接的指令，但是具有规定计算机的处理的性质的数据等)。

而且，在该方式中，所谓通过在计算机上执行规定的程序来构成硬件实体，但是也可以硬件性地实现这些处理内容的至少一部分。

上述的本发明的实施方式的记载是以例证和记载的目的而提示的记载。即不是包罗的意思，也不是将发明限定于公开的严密的形式的意思。由上述的教导能够进行变形或变化。实施方式是，为了提供本发明的原理的最好的例证，而且，为了本领域的本领域技术人员为适用于深思熟虑的实际的使用而以各种实施方式、以及附加了各种变形而可利用本发明，而选择并表现的方式。所有这样的变形或变化，在通过按照公正、合法、公平地提供的宽度来解释的添加的权利要求而决定的本发明的范围内。

Claims (4)

1.一种秘密计算系统，

将r设为满足0≦r<1的随机数，将[[r]]设为所述随机数r的隐匿文，将[[2^r]]设为所述随机数r的2的取幂2^r的隐匿文，

所述秘密计算系统由2个以上的秘密计算装置构成，由计算2的取幂的值x的隐匿文[[x]]，计算所述值x的2的取幂2^x的隐匿文[[2^x]]，

所述秘密计算系统包括：

小数分解单元，使用所述隐匿文[[r]]，由所述隐匿文[[x]]计算所述值x与所述随机数r之差x-r的隐匿文[[x]]-[[r]]，由所述隐匿文[[x]]-[[r]]生成所述差x-r的整数部分e和小数部分f的隐匿文[[e]],[[f]]，其中0≦f<1；

复原单元，由所述隐匿文[[f]]，复原所述小数部分f；

左偏移单元，由所述小数部分f和所述隐匿文[[e]]，生成将所述小数部分f的2的取幂2^f左偏移了e比特的值即左偏移值y的隐匿文[[y]]；以及

取幂计算单元，使用所述隐匿文[[2^r]]，由所述隐匿文[[y]]计算将所述2的取幂2^r和所述左偏移值y相乘后的值2^r×y的隐匿文[[2^r]]×[[y]]，作为所述隐匿文[[2^x]]。

2.一种秘密计算装置，

将r设为满足0≦r<1的随机数，将[[r]]设为所述随机数r的隐匿文，将[[2^r]]设为所述随机数r的2的取幂2^r的隐匿文，

所述秘密计算装置是由计算2的取幂的值x的隐匿文[[x]]，计算所述值x的2的取幂2^x的隐匿文[[2^x]]的由2个以上的秘密计算装置构成的秘密计算系统中的秘密计算装置，

所述秘密计算装置包括：

小数分解单元，使用所述隐匿文[[r]]，由所述隐匿文[[x]]计算所述值x与所述随机数r之差x-r的隐匿文[[x]]-[[r]]，由所述隐匿文[[x]]-[[r]]生成所述差x-r的整数部分e和小数部分f的隐匿文[[e]],[[f]]，其中0≦f<1；

复原单元，由所述隐匿文[[f]]，复原所述小数部分f；

左偏移单元，由所述小数部分f和所述隐匿文[[e]]，生成将所述小数部分f的2的取幂2^f左偏移了e比特的值即左偏移值y的隐匿文[[y]]；以及

取幂计算单元，使用所述隐匿文[[2^r]]，由所述隐匿文[[y]]计算将所述2的取幂2^r和所述左偏移值y相乘后的值2^r×y的隐匿文[[2^r]]×[[y]]，作为所述隐匿文[[2^x]]。

3.一种秘密计算方法，

将r设为满足0≦r<1的随机数，将[[r]]设为所述随机数r的隐匿文，将[[2^r]]设为所述随机数r的2的取幂2^r的隐匿文，

所述秘密计算方法使用由2个以上的秘密计算装置构成的秘密计算系统，由计算2的取幂的值x的隐匿文[[x]]，计算所述值x的2的取幂2^x的隐匿文[[2^x]]，

所述秘密计算方法包括：

小数分解步骤，所述秘密计算系统使用所述隐匿文[[r]]，由所述隐匿文[[x]]计算所述值x与所述随机数r之差x-r的隐匿文[[x]]-[[r]]，由所述隐匿文[[x]]-[[r]]生成所述差x-r的整数部分e和小数部分f(0≦f<1)的隐匿文[[e]],[[f]]；

复原步骤，所述秘密计算系统由所述隐匿文[[f]]，复原所述小数部分f；

左偏移步骤，所述秘密计算系统由所述小数部分f和所述隐匿文[[e]]，生成将所述小数部分f的2的取幂2^f左偏移了e比特的值即左偏移值y的隐匿文[[y]]；以及

取幂计算步骤，所述秘密计算系统使用所述隐匿文[[2^r]]，由所述隐匿文[[y]]计算将所述2的取幂2^r和所述左偏移值y相乘后的值2^r×y的隐匿文[[2^r]]×[[y]]，作为所述隐匿文[[2^x]]。

4.一种计算机可读取的记录介质，存储了用于使计算机具有作为构成权利要求1中记载的秘密计算系统的秘密计算装置的功能的程序。

Images