CN111052205B - 份额生成装置、复原装置、秘密计算系统、份额生成方法、复原方法、以及记录介质 - Google Patents

份额生成装置、复原装置、秘密计算系统、份额生成方法、复原方法、以及记录介质 Download PDF

Info

Publication number
CN111052205B
CN111052205B CN201880054042.XA CN201880054042A CN111052205B CN 111052205 B CN111052205 B CN 111052205B CN 201880054042 A CN201880054042 A CN 201880054042A CN 111052205 B CN111052205 B CN 111052205B
Authority
CN
China
Prior art keywords
share
value
unit
checksum
secret
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201880054042.XA
Other languages
English (en)
Other versions
CN111052205A (zh
Inventor
五十岚大
菊池亮
千田浩司
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of CN111052205A publication Critical patent/CN111052205A/zh
Application granted granted Critical
Publication of CN111052205B publication Critical patent/CN111052205B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • G09C1/04Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system with sign carriers or indicators moved relative to one another to positions determined by a permutation code, or key, so as to indicate the appropriate corresponding clear or ciphered text
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/008Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/46Secure multiparty computation, e.g. millionaire problem

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Complex Calculations (AREA)
  • Storage Device Security (AREA)
  • Compression, Expansion, Code Conversion, And Decoders (AREA)
  • Detection And Correction Of Errors (AREA)

Abstract

依照沙米尔秘密分散法的明文x的份额[x]i被N个份额[x0]i,…,[xN-1]i表现,各份额生成装置Ai得到种子si的函数值ri=Pm(i(-))(si),使用拉格朗日系数λ(i,i(-))、份额[xi(-)]i、以及函数值ri得到第1计算值ζi=λ(i,i(-))[xi(-)]i+ri,将第1计算值ζi输出到份额生成装置Ai(-)。各份额生成装置Ai接受第2计算值ζi(+),使用拉格朗日系数λ(i,i(+))、份额[xi]i、以及第2计算值ζi(+)得到第3计算值zi=λ(i,i(+))[xi]ii(+),得到并输出含有种子si以及第3计算值zi的信息,作为秘密分散中的明文x的份额SSi

Description

份额生成装置、复原装置、秘密计算系统、份额生成方法、复原 方法、以及记录介质
技术领域
本发明涉及加密技术,特别涉及秘密计算技术。
背景技术
作为秘密分散方式之一,有沙米尔(Shamir)秘密分散法(例如,参照非专利文献1等)。
现有技术文献
非专利文献
非专利文献1:
A.Shamir,“How to Sharea Secret”,Communications of the ACM,November1979,Volume22,Number11,pp.612-613.
发明内容
发明要解决的课题
秘密计算装置可以直接使用依据沙米尔秘密分散法得到的份额进行秘密计算。但是,在份额被秘密分散在N个秘密计算装置中进行秘密计算的情况下,表示秘密计算结果的份额的总数据量会为明文的数据量的N倍。因此,由于直接发送这些份额,所以总通信数据量也会为明文的数据量的N倍。
本发明的目的在于,提供由依照沙米尔秘密分散法的份额,生成总通信数据量小的份额的技术。
用于解决课题的方案
被包含在N个份额生成装置A0,…,AN-1中的各份额生成装置Ai执行以下内容。其中,N为2以上的整数,m为1以上的整数,m(i)为0以上、低于m的整数,i=0,…,N-1,j=0,…,N-1,i(+)=i+1 mod N,i(-)=i-1 mod N,Pm(i)为函数,函数Pm(i)的值域属于以m(i)个域F的元的列为元素的集合Fm(i)。将依照沙米尔秘密分散法的份额[α]i乘以拉格朗日系数λ(i,i(-))所得的值和将依照沙米尔秘密分散法的份额[α]i(-)乘以拉格朗日系数λ(i(-),i)所得的值之和为复原值α。将份额[α]i乘以拉格朗日系数λ(i,i(+))所得的值和将依照沙米尔秘密分散法的份额[α]i(+)乘以拉格朗日系数λ(i(+),i)所得的值之和也为该复原值α。
依照沙米尔秘密分散法的明文x的份额[x]i∈Fm由通过秘密计算满足m=m(0)+…+m(N-1)和[xj]i∈Fm(j)的N个份额[x0]i,…,[xN-1]i表现。各份额生成装置Ai得到种子si的函数值ri=Pm(i(-))(si)∈Fm(i(-)),使用拉格朗日系数λ(i,i(-))、份额[xi(-)]i、以及函数值ri得到第1计算值ζi=λ(i,i(-))[xi(-)]i+ri∈Fm(i(-)),将第1计算值ζi输出到份额生成装置Ai(-)。各份额生成装置Ai接受第2计算值ζi(+)∈Fm(i),使用拉格朗日系数λ(i,i(+))、份额[xi]i、以及第2计算值ζi(+)得到第3计算值zi=λ(i,i(+))[xi]ii(+)∈Fm(i),得到并输出含有种子si以及第3计算值zi的信息,作为秘密分散中的明文x的份额SSi
发明效果
在本发明中,可以由依照沙米尔秘密分散法的份额,生成总通信数据量小的份额。
附图说明
图1是例示了实施方式的秘密计算系统的结构的框图。
图2是例示了实施方式的份额生成装置的功能结构的框图。
图3是例示了实施方式的复原装置的功能结构的框图。
图4是用于说明实施方式的份额生成方法的流程图。
图5是用于说明实施方式的复原方法的流程图。
具体实施方式
以下,参照附图说明本发明的实施方式。
[第1实施方式]
首先,说明第1实施方式。
<结构>
如图1中例示的,本实施方式的秘密计算系统1具有N个份额生成装置11-A0,…,11-AN-1和复原装置12,这些装置通过互联网等网络可彼此通信。其中,N为2以上的整数。例如,N为3以上的整数。N的一例子是N=3。再者,图1中图示了1个复原装置12,但秘密计算系统1也可以具有多个复原装置。
如图2中例示的,本实施方式的各份额生成装置11-Ai(其中,i=0,…,N-1)具有分割单元111-Ai、种子获取单元112-Ai、函数运算单元113-Ai、秘密计算单元114-Ai、115-Ai、份额生成单元116-Ai、存储单元117-Ai、通信单元118-Ai、以及控制单元119-Ai,根据控制单元119-Ai的控制而执行各处理。从份额生成装置11-Ai的各处理单元(进行处理的部位)输出的信息被存储在存储单元117-Ai中,根据需要被读出并被输入到其他的处理单元。
如图3中例示的,本实施方式的复原装置12具有通信单元121、运算单元122、连接单元123、存储单元127、以及控制单元128,根据控制单元128的控制而执行各处理。从复原装置12的各处理单元输出的信息存储在存储单元127中,根据需要被读出并被输入到其他的处理单元。
<份额生成方法>
使用图4,说明本实施方式的各份额生成装置11-Ai(其中,i=0,…,N-1)(图2)进行的份额生成方法(份额变换方法)。作为前提,在各份额生成装置11-Ai的存储单元117-Ai中,存储着依照沙米尔秘密分散法的明文x∈Fm的份额[x]i∈Fm。“份额”意味着秘密分散中的片断。实施方式的沙米尔秘密分散法是2-out-of-N阈值秘密分散方式,只要提供任意的不相同的2个份额,就可以将复原值(明文)复原,但即使提供任意的1个份额信息,也完全不能得到复原值的信息。将依照该沙米尔秘密分散法的份额[α]i乘以拉格朗日系数λ(i,i(-))所得的值、与将该依照沙米尔秘密分散法的份额[α]i(-)乘以拉格朗日系数λ(i(-),i)所得的值之和为复原值α,将份额[α]i乘以拉格朗日系数λ(i,i(+))所得的值、与将该依照沙米尔秘密分散法的份额[α]i(+)乘以拉格朗日系数λ(i(+),i)所得的值之和也为复原值α。即,满足
α=λ(i,i(-))[α]i+λ(i(-),i)[α]i(-)
α=λ(i,i(+))[α]i+λ(i(+),i)[α]i(+)
。即,λ(i,i(-))是将复原值α从份额[α]i和份额[α]i(-)进行复原时份额[α]i被乘以的系数,λ(i(-),i)是此时份额[α]i(-)被乘以的系数。λ(i,i(+))是将复原值α从份额[α]i和份额[α]i(+)进行复原时份额[α]i被乘以的系数,λ(i(+),i)是此时份额[α]i(+)被乘以的系数。其中,i(+)=i+1 modN,i(-)=i-1 modN。这样的拉格朗日系数λ(i,i(-)),λ(i(-),i),λ(i,i(+)),λ(i(+),i)可以通过众所周知的拉格朗日的插补公式而容易地求。Fm意味着将m个域F的元的列设为元素的集合。集合Fm的一例子是将m个域F的元设为元素的m维向量。α∈β意味着α是β的元素。m为1以上的整数。例如,m为2以上的整数或3以上的整数。域F的例子是由将质数p设为模的余数(对任意的α的αmod p)组成的集合,这种情况下的域F中的运算结果得到将质数p设为模的余数。p≧3,例如p=261-1。此外,份额[x]i可以是从其他装置发送的份额,也可以是从其他装置发送的份额中进行秘密计算而得到的份额。
分割单元111-Ai(第1分割单元)从存储单元117-Ai读入依照前述的沙米尔秘密分散法的明文x的份额[x]i∈Fm。分割单元111-Ai通过秘密计算,将份额[x]i分割为N个份额[x0]i,…,[xN-1]i并输出。其中,m(i)是0以上、低于m的整数(例如,m(i)是1以上的整数),满足m=m(0)+…+m(N-1),对于i=0,…,N-1和j=0,…,N-1满足[xj]i∈Fm(j)。在m为N的倍数的情况下也可以设为m(0)=…=m(N-1)=m/N。但是,无论m是否为N的倍数,m(0),…,m(N-1)都可以不同。例如,m(0),…,m(N-1)的至少一部分也可以是0。其中γ∈F0表示空值。m(i)=0的情况下,[xj]i∈Fm(i)为空值。[xj]i是依照前述的沙米尔秘密分散法的明文xj的份额。明文x通过N个x0∈Fm(0),…,xN-1∈Fm(N-1)来表现。例如,明文x以排列了N个x0∈Fm (0),…,xN-1∈Fm(N-1)的列x0|…|xN-1来表现。在通过秘密计算将份额[x]i分割为N个份额[x0]i,…,[xN-1]i中,例如,将份额[x]i原样划分为N个份额[x0]i∈Fm(0),…,[xN-1]i∈Fm(N-1)并进行分割即可。其中,在m=1的情况下,m(0),…,m(N-1)中仅其中1个为1,其他全部为0。这样的情况下,分割单元111-Ai不必将份额[x]i分割,将份额[x0]i,…,[xN-1]i的其中1个份额设为[x]i,将剩余的份额全部设为空值并输出即可。如上述,份额[x]i由N个份额[x0]i,…,[xN-1]i来表现。例如,份额[x]i由排列了N个份额[x0]i,…,[xN-1]i的列[x0]i|…|[xN-1]i来表现(步骤S111-Ai)。
种子获取单元112-Ai得到并输出种子si。在种子si的数据形式上没有限定,也可以将任何的值设为种子si。种子si的一例子是将w(i)个域F的元的列设为元素的集合Fw(i)的元即(si∈Fw(i))。其中,w(i)为1以上、低于m的整数。种子si(其中,i=0,…,N-1)可以是任意值,也可以是在其他处理中得到的输出值。“任意值”可以是随机数(伪随机数或真随机数),可以是从预先设定的多个值中选择出的值,也可以是在其他处理中得到的值。再者,与空值即份额[xj]i对应的种子si也可以被设定为空值(步骤S112-Ai)。
函数运算单元113-Ai将种子si作为输入,得到并输出函数值ri=Pm(i(-))(si)∈Fm(i (-))(例如,伪随机数)。其中,Pm(i(-))(si)是使函数Pm(i(-))作用于种子si得到的函数值。Pm(i):Fw(i(+))→Fm(i)是函数,函数Pm(i)的值域属于m(i)个域F的元的列为元素的集合Fm(i)。集合Fm(i)的一例子是将m(i)个域F的元设为元素的m(i)维向量的集合。函数Pm(i)的定义域也可以是任何的定义域。例如,函数Pm(i)的定义域属于将w(i(+))个域F的元的列设为元素的集合Fw(i (+))。优选满足w(i(+))<m(i)(种子si的数据量小于函数值ri的数据量)。Pm(i)的例子是伪随机数生成函数。即,Pm(i(-))是函数,函数Pm(i(-))的值域属于将m(i(-))个域F的元的列设为元素的集合Fm(i(-))。例如,函数Pm(i(-))的定义域属于将w(i)个域F的元的列设为元素的集合Fw(i)。优选满足w(i)<m(i(-))。再者,与空值即份额[xj]i对应的函数值ri也可以被设定为空值(步骤S113-Ai)。
秘密计算单元114-Ai(第1秘密计算单元)将份额[xi(-)]i和函数值ri作为输入,使用拉格朗日系数λ(i,i(-))、份额[xi(-)]i、和函数值ri得到并输出计算值(第1计算值)ζi=λ(i,i(-))[xi(-)]i+ri∈Fm(i(-))。其中,与空值即份额[xi(-)]i对应的ζi=λ(i,i(-))[xi(-)]i+ri被设定为空值(步骤S114-Ai)。
计算值ζi被输入到通信单元118-Ai。通信单元118-Ai(输出单元)将计算值ζi输出到份额生成装置11-Ai(-)。输出的计算值ζi通过网络被发送到份额生成装置11-Ai(-)(步骤S1181-Ai)。
同样地从份额生成装置11-Ai(+)输出的计算值(第2计算值)ζi(+)=λ(i(+),i)[xi]i(+)+ri(+)∈Fm(i)(其中,ri(+)=Pm(i)(si(+)))通过网络被发送到份额生成装置11-Ai。其中,与空值的份额[xi]i(+)对应的ζi(+)=λ(i(+),i)[xi]i(+)+ri(+)被设定为空值。计算值ζi(+)被通信单元118-Ai(输入单元)接收(接受)、并被输出(步骤S1182-Ai)。
秘密计算单元115-Ai(第2秘密计算单元)将份额[xi]i和计算值ζi(+)作为输入,使用拉格朗日系数λ(i,i(+))、份额[xi]i、和计算值ζi(+)得到并输出计算值(第3计算值)zi=λ(i,i(+))[xi]ii(+)∈Fm(i)。再者,由于ζi(+)=λ(i(+),i)[xi]i(+)+ri(+),所以zi=λ(i,i(+))[xi]i+λ(i(+),i)[xi]i(+)+ri(+)。此外,由于xi=λ(i,i(+))[xi]i+λ(i(+),i)[xi]i(+),所以zi=xi+ri(+)。其中,与空值即份额[xi]i对应的zi被设定为空值(步骤S115-Ai)。
从种子获取单元112-Ai输出的种子si和从秘密计算单元115-Ai输出的计算值zi被输入到份额生成单元116-Ai。份额生成单元116-Ai得到并输出含有种子si和计算值zi的信息,作为秘密分散中的明文x的份额SSi。与空值即种子si和计算值zi对应的份额SSi是种子si和计算值zi被设定为空值的信息(步骤S116-Ai)。
从份额生成单元116-Ai输出的份额SSi被输入到通信单元118-Ai。通信单元118-Ai将份额SSi输出到复原装置12。输出的份额SSi通过网络被发送到复原装置12。种子si的大小和N不依赖于m。与明文x的数据大小m有关的总份额大小(被发送的总份额大小)的阶(order)在(2,N)-沙米尔秘密分散中为O(Nm),但在本方式中为O(m)即可。各个份额的大小为O(m/N)。例如,从各份额生成装置11-Ai(其中,i=0,…,N-1)发送的份额SSi的总数据量为低于明文x的数据量的N倍。例如,各份额SSi的数据量低于明文x的数据量(步骤S118-Ai)。
<复原方法>
使用图5,说明本实施方式的复原装置12(图3)进行的复原方法。
从份额生成装置11-A0,…,11-AN-1输出的N个份额SS0,…,SSN-1被复原装置12的通信单元121(输入单元)接收(接受)、并被输出(步骤S121)。
对各i=0,…,N-1,份额SSi中包含的计算值zi和份额SSi(+)中包含的种子si(+)被输入到运算单元122。运算单元122使用计算值zi和种子si(+),得到并输出元素xi=zi-Pm(i)(si(+))∈Fm(i)。其中,Pm(i)(si(+))是使函数Pm(i)作用于种子si(+)得到的函数值。函数Pm(i)与在步骤S113-Ai中定义的函数相同。如步骤S115-Ai中所示,zi=xi+ri(+)。此外,如步骤S1182-Ai中所示,ri(+)=Pm(i)(si(+))。因此,通过对zi-Pm(i)(si(+))运算而得到元素xi。再者,与空值即计算值zi和种子si(+)对应的元素xi被设定为空值(步骤S122)。
运算单元122中得到的元素x0,…,xN-1被输入到连接单元123。连接单元123得到将元素x0,…,xN-1连接(结合)的复原值x并输出。例如,排列了x0∈Fm(0),…,xN-1∈Fm(N-1)的列x0|…|xN-1为x(步骤S123)。
<本实施方式的特征>
各份额生成装置11-Ai(其中,i=0,…,N-1)从依照沙米尔秘密分散法的份额[x]i得到包含种子si和计算值zi∈Fm(i)的份额SSi并输出。这里,种子si的大小和N不依赖于m。与明文x的数据大小m有关的总份额大小(被发送的总份额大小)的阶在(2,N)-沙米尔秘密分散中为O(Nm),在本实施方式中为O(m)即可。各个份额的大小为O(m/N)。例如,通过设为m(i)<m并且w(i)<m,可以使份额SS0,…,SSN-1的总数据量低于明文x∈Fm的数据量的N倍。由此,可以使总通信数据量比依照沙米尔秘密分散法的份额小。各份额生成装置11-Ai可以不得到任何明文x的信息而从依照沙米尔秘密分散法的份额[x]i得到数据量小的份额SSi。复原装置12使用N个份额SS0,…,SSN-1,可以将明文x复原。
[第2实施方式]
第2实施方式是第1实施方式的变形例子。在本实施方式中,在份额生成时生成与份额对应的校验和,在明文的复原时使用校验和验证份额。以下,对在第1实施方式中已经说明的事项,有使用与第1实施方式相同的参考号,简化说明的情况。
<结构>
如图1中例示的,本实施方式的秘密计算系统2具有N个份额生成装置21-A0、…、21-AN-1和复原装置22,这些装置可通过互联网等网络彼此通信。其中,本实施方式的N为3以上的整数。N的一例子是N=3。再者,在图1中图示了1个复原装置22,但秘密计算系统2也可以具有多个复原装置。
如图2中例示的,本实施方式的各份额生成装置21-Ai(其中,i=0,…,N-1)具有分割单元111-Ai、种子获取单元112-Ai、函数运算单元113-Ai、秘密计算单元114-Ai、115-Ai、共享单元215-Ai、份额生成单元216-Ai、分割单元217-Ai、校验和生成单元218-Ai、219-Ai、存储单元117-Ai、通信单元118-Ai、以及控制单元119-Ai,在控制单元119-Ai的控制下执行各处理。从份额生成装置21-Ai的各处理单元(进行处理的部位)输出的信息被存储在存储单元117-Ai中,根据需要被读出并被输入到其他处理单元。
如图3中例示的,本实施方式的复原装置22具有通信单元121、运算单元122、连接单元123、复原单元224、验证值生成单元225、判定单元226、分割单元229、存储单元127、以及控制单元128,在控制单元128的控制下执行各处理。从复原装置22的各处理单元输出的信息被存储在存储单元127中,根据需要被读出并被输入到其他处理单元。
<份额生成方法>
使用图4,说明份额生成装置21-Ai(图2)进行的份额生成方法。首先,取代份额生成装置11-Ai,份额生成装置21-Ai执行在第1实施方式中说明的步骤S111-Ai至S115-Ai的处理。其中,在本实施方式中N和m为3以上的整数。
接着,各份额生成装置21-Ai的共享单元215-Ai与份额生成装置21-Ai(--)的共享单元215-Ai(--)之间共享任意值ti(--)∈Fv,与份额生成装置21-Ai(++)的共享单元215-Ai(++)之间共享任意值ti∈Fv,与份额生成装置21-Ai(+)的共享单元215-Ai(+)之间共享任意值ui(--)∈Fv,与份额生成装置21-Ai(-)的共享单元215-Ai(-)之间共享任意值ui(-)∈Fv。即,共享单元215-Ai和共享单元215-Ai(--)得到相同的任意值ti(--),共享单元215-Ai和共享单元215-Ai(++)得到相同的任意值ti,共享单元215-Ai和共享单元215-Ai(+)得到相同的任意值ui(--),共享单元215-Ai和共享单元215-Ai(-)得到相同的任意值ui(-)。其中,v是1以上的整数,例如v=1。v为m以下(例如,v小于m)时,数据量的削减效果较大。i(+)=i+1mod N,i(-)=i-1 mod N,i(++)=i+2 mod N,i(--)=i-2 mod N。在共享单元β1和共享单元β2之间的任意值γ的共享,可以通过将任意值γ或确定任意值γ的信息从共享单元β1发送到共享单元β2来进行,可以通过将任意值γ或确定任意值γ的信息从共享单元β2发送到共享单元β1来进行,也可以将共享种子值由共享单元β1和共享单元β2共享,通过两者执行使用了该共享种子值的相同的处理而共享任意值γ。任意值ti(--),ti,ui(--),ui(-)可以是随机数(伪随机数或真随机数),可以是其他处理中得到的值,也可以是从预先确定的多个值中选择出的值。任意值ti(--),ti,ui(--),ui(-)的共享,可以将步骤S111-Ai至S115-Ai的其中任一处理被执行作为契机来进行,可以将来自其他共享单元215-Ai(--),215-Ai(++),215-Ai(+),215-Ai(-)的请求作为契机来进行,可以以其他的契机进行,也可以预先进行。共享单元215-Ai输出得到的任意值ti(--),ti,ui(--),ui(-)(步骤S215-Ai)。
分割单元217-Ai将从分割单元111-Ai输出的份额[xj]i(其中,j=0,…,N-1)作为输入,将该份额[xj]i通过秘密计算而分割为m(j)个份额[(xj)0]i,…,[(xj)m(j)-1]i∈F并输出。在通过秘密计算将份额[xj]i分割为m(j)个份额[(xj)0]i,…,[(xj)m(j)-1]i∈F中,例如,将份额[xj]i原样划分并分割为m(j)个份额[(xj)0]i,…,[(xj)m(j)-1]i∈F即可。其中,在[xj]i∈Fm(i)为空值的情况下,[(xj)0]i,…,[(xj)m(j)-1]i也为空值(步骤S217-Ai)。
任意值ti(--),ui(--)、以及份额[(xj)0]i,…,[(xj)m(j)-1]i(其中,j=0,…,N-1)被输入到校验和生成单元218-Ai。校验和生成单元218-Ai(第1校验和生成单元)使用任意值ti(--),ui(--)、以及份额[(xj)0]i,…,[(xj)m(j)-1]i,如下那样得到并输出校验和ci(--),i及di(--),i
ci(--),i=Σ0≦j<m’(i(--)){ti(--) j+1[(x’i(--))j]i}+ti(--) m’(i(--))+1[(x’i(--))m’(i(--))-1]i∈Fv
di(--),i=Σ0≦j<m’(i(--)){ui(--) j+1[(x’i(--))j]i}+ui(--) m’(i(--))+1[(x’i(--))m’(i(--))-1]i∈Fv
其中,δ=0,…,N-1,ceil为天花板函数,m’(i)为ceil(m(i)/v)。[(x’δ)j]i为属于集合Fv的([(xδ)vj]i,[(xδ)vj+1]i,…,[(xδ)v(j+1)-1]i)∈Fv。此外,对于j=m’(i)-1,在[(xδ)vj]i,[(xδ)vj+1]i,…,[(xδ)v(j+1)-1]i不满足v个的情况下,假设[(x’δ)(m’(i)-1)]i=([(xδ)v(m’(i)-1)]i,[(xδ)v(m’(i)-1)+1]i,…,[(xδ)m(i)-1]i,0,…,0)∈Fv。也可以在将F设为基础域的v次扩展域上计算校验和ci(--)i及di(--),i。Σ0≦j<m’(i(--))j}表示β0+…+βm’(i(--)),βi(--) γ表示(βi(--))γ(步骤S2181-Ai,S2182-Ai)。
任意值ti,ui(-)、以及份额[(xj)0]i,…,[(xj)m(j)-1]i(其中,j=0,…,N-1)被输入到校验和生成单元219-Ai。校验和生成单元219-Ai(第2校验和生成单元)使用任意值ti,ui(-)、以及份额[(xj)0]i,…,[(xj)m(j)-1]i,如下那样得到并输出校验和ci,i及di(-),i
Figure GDA0004012497880000101
Figure GDA0004012497880000102
其中,βi γ表示(βi)γ,βi(-) γ表示(βi(-))γ。也可以在以F为基础域的v次扩展域上计算校验和ci,i和di(-),i(步骤S2191-Ai,S2192-Ai)。
从种子获取单元112-Ai输出的种子si、从秘密计算单元115-Ai输出的计算值zi、从共享单元215-Ai输出的任意值ti(--),ti,ui(--),ui(-)、校验和从生成单元218-Ai输出的校验和ci(--),i,di(--),i、以及从校验和生成单元219-Ai输出的校验和ci,i,di(-),i被输入到份额生成单元216-Ai。份额生成单元216-Ai得到并输出含有种子si、计算值zi、任意值ti(--),ti,ui(--),ui(-)、以及校验和ci(--),i、di(--),i、ci,i、di(-),i的信息,作为秘密分散中的明文x的份额SSi(步骤S216-Ai)。
从份额生成单元216-Ai输出的份额SSi被输入到通信单元118-Ai。通信单元118-Ai对复原装置22输出份额SSi。输出的份额SSi通过网络被发送到复原装置22。种子si的大小和N、v不依赖于m。有关明文x的数据大小m的总份额大小(被发送的总份额大小)的阶在(2,N)-沙米尔秘密分散中为O(Nm),而在本实施方式中为O(m)即可。各个份额的大小为O(m/N)。例如,从各份额生成装置21-Ai(其中,i=0,…,N-1)发送的份额SSi的总数据量低于明文x的数据量的N倍。例如,各份额SSi的数据量低于明文x的数据量(步骤S218-Ai)。
<复原方法>
使用图5,说明本实施方式的复原装置22(图3)进行的复原方法。
从份额生成装置21-A0,…,21-AN-1输出的N个份额SS0,…,SSN-1由复原装置22的通信单元221(输入单元)接收(接受),并输出(步骤S221)。
接着,如在第1实施方式中说明的,运算单元122使用在份额SSi中包含的计算值zi和在份额SSi(+)中包含的种子si(+),得到并输出元素xi=zi-Pm(i)(si(+))∈Fm(i)(步骤S122)。
各份额SSi(其中,i=0,…,N-1)中包含的校验和ci(--),i,di(--)i、ci,i,di(-),i被输入到复原单元224。复原单元224将份额SSi中包含的校验和ci,i以及份额SSi(++)中包含的校验和ci,i(++)作为依照前述的沙米尔秘密分散法(2-out-of-N阈值秘密分散方式)的份额而将校验和ci=Σ0≦j<m’(i){ti j+1(x’i)j}+ti m’(i)+1(x’i)m’(i)-1复原并输出。同样,复原单元224将份额SSi(+)中包含的校验和di,i(+)以及份额SSi(++)中包含的校验和di,i(++)作为依照前述的依照沙米尔秘密分散法的份额而将校验和
Figure GDA0004012497880000111
Figure GDA0004012497880000112
复原并输出。其中,份额SSi(++)中包含的/>
Figure GDA0004012497880000113
Figure GDA0004012497880000114
和份额SSi中包含的/>
Figure GDA0004012497880000115
Figure GDA0004012497880000116
为依照前述的沙米尔秘密分散法的校验和/>
Figure GDA0004012497880000117
Figure GDA0004012497880000118
的份额。因此,复原单元224从ci,i(++)和ci,i及拉格朗日系数,可以将校验和ci复原。此外,份额SSi(+)中包含的/>
Figure GDA0004012497880000119
和份额SSi(++)中包含的/>
Figure GDA00040124978800001110
Figure GDA00040124978800001111
为依照前述的沙米尔秘密分散法的校验和/>
Figure GDA00040124978800001112
/>
Figure GDA00040124978800001113
的份额。因此,复原单元224从di,i(+)和di,i(++)及拉格朗日系数,可以将校验和di复原(步骤S2241,S2242)。
从运算单元122输出的元素xi被输入到分割单元229。分割单元229将元素xi∈Fm(i)分割为m(i)个子元素(xi)0,…,(xi)m(i)-1∈F并输出。例如,元素xi以排列了m(i)个子元素(xi)0,…,(xi)m(i)-1的列(xi)0|…|(xi)m(i)-1表现,分割单元229将xi=(xi)0|…|(xi)m(i)-1分割为子元素(xi)0,…,(xi)m(i)-1(步骤S229)。
份额SSi或SSi(++)中包含的任意值ti、份额SSi(+)或SSi(++)中包含的任意值ui、以及从分割单元229输出的子元素(xi)0,…,(xi)m(i)-1被输入到验证值生成单元225。验证值生成单元225使用任意值ti,ui和子元素(xi)0,…,(xi)m(i)-1,如下那样得到并输出验证值vci,vdi
Figure GDA00040124978800001114
Figure GDA00040124978800001115
其中,m’(i)是ceil(m(i)/v),(x’i)j是属于集合Fv的((xi)vj,(xi)vj+1,…,(xi)v(j+1)-1)∈Fv,βi γ表示(βi)γ(步骤S2251,S2252)。
从复原单元224输出的校验和ci,di、以及从验证值生成单元225输出的验证值vci,vdi被输入到判定单元226。判定单元226判定对于所有的i=0,…,N-1是否满足ci=vci(步骤S2261)。在判定为任何一个i中ci≠vci的情况下,控制单元128使处理以错误结束(步骤S2263)。另一方面,在判定为对于所有的i=0,…,N-1满足ci=vci的情况下,判定单元226判定对于所有的i=0,…,N-1是否满足di=vdi(步骤S2262)。在判定为任何一个i中di≠vdi的情况下,控制单元128使处理以错误结束(步骤S2263)。另一方面,在判定为对于所有的i=0,…,N-1满足di=vdi的情况下,连接单元123中被输入在运算单元122中得到的元素x0,…,xN-1。这种情况下,如在第1实施方式中说明的,连接单元123得到并输出将元素x0,…,xN-1连接的复原值x(步骤S123)。
<本实施方式的特征>
在本实施方式中,相比依照沙米尔秘密分散法的份额,也可以减小总通信数据量。各份额生成装置21-Ai可以不全部得到明文x的信息,而从依照沙米尔秘密分散法的份额[x]i得到数据量小的份额SSi。复原装置22使用N个份额SS0,…,SSN-1,可以将明文x复原。
而且,在本实施方式中份额SSi包含校验和,在复原装置22中进行校验和的验证。因此,复原装置22可以检测在任何的份额生成装置21-Ai中进行的不正当的处理。此外,复原装置22对于各i=0,…,N-1验证了2种校验和ci,di,所以也可以检测在任何的份额生成装置21-Ai中生成了不正当的校验和的情况。
[第2实施方式的变形例子1]
在第2实施方式中,在步骤S2261中判定为满足ci=vci的情况下,在步骤S2262中判定是否满足di=vdi。然而,在对于所有的i=0,…,N-1满足ci=vci且di=vdi的情况下执行步骤S123的处理,如果在除此以外的情况下执行步骤S2263,则也可以进行其他的判定处理。
[第2实施方式的变形例子2]
在第2实施方式中设为复原装置22验证了2种校验和ci,di。然而,复原装置22也可以是仅验证校验和ci,di的其中一个的结构。这种情况下的处理如下那样。
<份额生成方法>
在执行了步骤S111-Ai至S115-Ai的处理后,取代步骤S215-Ai的处理,(处理I)各份额生成装置21-Ai的共享单元215-Ai与份额生成装置21-Ai(--)的共享单元215-Ai(--)之间共享任意值ti(--)∈F,并且与份额生成装置21-Ai(++)的共享单元215-Ai(++)之间共享任意值ti∈F,或(处理II)各份额生成装置21-Ai的共享单元215-Ai与份额生成装置21-Ai(+)的共享单元215-Ai(+)之间共享任意值ui(--)∈F,并且与份额生成装置21-Ai(-)的共享单元215-Ai(-)之间共享任意值ui(-)∈F。对所有的i=0,…,N-1仅执行处理I,或对所有的i=0,…,N-1仅执行处理II。
接着,分割单元217-Ai执行步骤S217-Ai的处理。
之后,根据处理I还是处理II,执行以下的处理。在由共享单元215-Ai共享任意值ti(--)的情况下(处理I),校验和生成单元218-Ai进行前述的步骤S2181-Ai,得到并输出校验和ci(--),i=Σ0≦j<m’(i(--)){ti(--) j+1[(x’i(--))j]i}+ti(--) m’(i(--))+1[(x’i (--))m’(i(--))-1]i∈Fv。这种情况下,不执行前述的步骤S2182-Ai的处理。
另一方面,在由共享单元215-Ai共享任意值ui(--)的情况下(处理II),校验和生成单元218-Ai进行前述的步骤S2182-Ai,得到并输出校验和di(--),i=Σ0≦j<m’(i(--)){ui(--) j+1[(x’i(--))j]i}+ui(--) m’(i(--))+1[(x’i(--))m’(i(--))-1]i∈Fv。这种情况下,不执行前述的步骤S2181-Ai的处理。
接着,在共享单元215-Ai中共享任意值ti的情况下(处理I),校验和生成单元219-Ai进行前述的步骤S2191-Ai,得到并输出校验和
Figure GDA0004012497880000131
Figure GDA0004012497880000132
这种情况下,不执行前述的步骤S2192-Ai的处理。
另一方面,在共享单元215-Ai中共享任意值ui(-)的情况下(处理II),校验和生成单元219-Ai进行前述的步骤S2192-Ai,得到并输出校验和di(-),i=Σ0≦j<m’(i(-)){ui(-) j+1[(x’i(-))j]i}+ui(-) m’(i(-))+1[(x’i(-))m’(i(-))-1]i∈Fv。这种情况下,不执行前述的步骤S2191-Ai的处理。
之后,取代步骤S216-Ai的处理,根据处理I或处理II执行以下的处理。在共享单元215-Ai中共享任意值ti(--)和任意值ti的情况下(处理I),份额生成单元216-Ai将包含种子si、计算值zi、任意值ti(--)、任意值ti、校验和ci(--),i、以及校验和ci,i的信息作为份额SSi得到并输出。另一方面,在共享单元215-Ai中共享任意值ui(--)和任意值ui(-)的情况下(处理II),份额生成单元216-Ai将包含种子si、计算值zi、任意值ui(--)、任意值ui(-)、校验和di(--),i、以及校验和di(-),i的信息作为份额SSi得到并输出。之后,执行步骤S218-Ai的处理。
<复原方法>
在执行了步骤S221和S122的处理后,复原单元224进行以下的处理。在份额SSi包含校验和ci,i,并且份额SSi(++)包含校验和ci,i(++)的情况下(处理I),复原单元224执行步骤S2241,将校验和ci,i以及校验和ci,i(++)作为依照沙米尔秘密分散法的份额而将校验和ci复原并输出。这种情况下,不执行前述的步骤S2242的处理。
另一方面,在份额SSi(+)包含校验和di,i(+),并且份额SSi(++)包含校验和di,i(++)的情况下(处理II),复原单元224执行步骤S2242,将校验和di,i(+)以及校验和di,i(++)作为依照沙米尔秘密分散法的份额而将校验和di复原并输出。这种情况下,不执行前述的步骤S2241的处理。
接着,分割单元229执行步骤S229的处理。
之后,根据处理I或处理II执行以下的处理。在校验和ci被复原的情况下(处理I),验证值生成单元225执行步骤S2251的处理,得到并输出验证值vci=Σ0≦j<m’(i){ti j+1(x’i)j}+ti m’(i)+1(x’i)m’(i)-1∈Fv。这种情况下,不执行前述的步骤S2252的处理。另一方面,校验和di被复原的情况下(处理II),验证值生成单元225执行步骤S2252的处理,得到并输出验证值vdi=Σ0≦j<m’(i){ui j+1(x’i)j}+ui m’(i)+1(x’i)m’(i)-1∈Fv。这种情况下,不执行前述的步骤S2251的处理。
之后,根据处理I或处理II执行以下的处理。在校验和ci被复原的情况下(处理I),在步骤S2261中,判定单元226判定对于所有的i=0,…,N-1是否满足ci=vci。这种情况下不执行步骤S2262的处理。在判定为在任何的i中为ci≠vci的情况下,控制单元128使处理以错误结束(步骤S2263)。另一方面,在判定为对于所有的i=0,…,N-1满足ci=vci的情况下,进至步骤S123。另一方面,在校验和di被复原的情况下(处理II),在步骤S2262中,判定单元226判定对于所有的i=0,…,N-1是否满足di=vdi。这种情况下不执行步骤S2261的处理。在判定为在任何的i中为di≠vdi的情况下,控制单元128使处理以错误结束(步骤S2263)。另一方面,在判定为对于所有的i=0,…,N-1满足di=vdi的情况下,进至步骤S123。
[其他的变形例子等]
再者,本发明没有被限定于上述的实施方式。例如,上述的各种处理不仅根据记载时序地执行,也可以根据执行处理的装置的处理能力或者需要而并行或者单独地执行。另外,不言而喻,在不脱离本发明的宗旨的范围内可进行适当变更。
上述各装置,例如,通过包括CPU(central processing unit)等处理器(硬件和处理器)和RAM(random-access memory)、ROM(read-only memory)等存储器等的通用或专用的计算机执行规定的程序而构成。该计算机可以包括1个处理器和存储器,也可以包括多个处理器和存储器。该程序可以被安装在计算机中,也可以预先记录在ROM等中。此外,不是像CPU那样通过读入程序而实现功能结构的电子电路(circuitry),也可以不使用程序而使用实现处理功能的电子电路来构成一部分或全部的处理单元。构成1个装置的电子电路也可以包含多个CPU。
在通过计算机实现上述结构的情况下,各装置应有的功能性的处理内容由程序记述。通过由计算机执行该程序,在计算机上实现上述处理功能。记述了该处理内容的程序,可以记录在计算机可读取的记录介质中。计算机可读取的记录介质的例子是,非临时性的(non-transitory)记录介质。这样的记录介质的例子是,磁记录装置、光盘、光磁记录介质、半导体储存器等。
例如通过贩卖、转让、出租记录了该程序的DVD、CD-ROM等可移动型记录介质等来进行该程序的流通。而且,也可以将该程序预先存储在服务器计算机的存储装置中,经由网络,将该程序通过从服务器计算机转发到其它计算机,使该程序流通。
执行这样的程序的计算机,例如,首先将移动式记录介质中记录的程序或由服务器计算机转发的程序暂时存储在自身的存储装置中。在处理的执行时,该计算机读取自身的记录介质中存储的程序,执行根据读取出的程序的处理。作为该程序的另一执行方式,也可以计算机从移动式记录介质中直接读取程序,执行根据读取出的程序的处理,而且,每次从服务器计算机对该计算机转发程序,逐次执行根据接受的程序的处理。也可以是不从服务器计算机进行对该计算机的程序的转发,而仅通过其执行指示和结果取得来实现处理功能的、所谓ASP(Application Service Provider;应用服务提供商)式的服务,执行上述处理的结构。
不是通过在计算机上执行规定的程序而实现本装置的处理功能,但这些处理功能的至少一部分也可以由硬件实现。
标号说明
1秘密计算系统
11-Ai,21-Ai份额生成装置
12,22复原装置

Claims (14)

1.一种份额生成装置,其为被包含在N个份额生成装置A0,…,AN-1中的份额生成装置Ai
N为2以上的整数,m为1以上的整数,m(i)为0以上、低于m的整数,i=0,…,N-1,j=0,…,N-1,i(+)=i+1 mod N,i(-)=i-1 mod N,Pm(i)为函数,所述函数Pm(i)的值域属于以m(i)个域F的元的列为元素的集合Fm(i)
将依照沙米尔秘密分散法的份额[α]i乘以拉格朗日系数λ(i,i(-))所得的值与将依照所述沙米尔秘密分散法的份额[α]i(-)乘以拉格朗日系数λ(i(-),i)所得的值之和为复原值α,将所述份额[α]i乘以拉格朗日系数λ(i,i(+))所得的值与将依照所述沙米尔秘密分散法的份额[α]i(+)乘以拉格朗日系数λ(i(+),i)所得的值之和为所述复原值α,
依照所述沙米尔秘密分散法的明文x的份额[x]i∈Fm由满足m=m(0)+…+m(N-1)和[xj]i∈Fm(j)的N个份额[x0]i,…,[xN-1]i表现,
所述份额生成装置包括:
函数运算单元,得到被输入的种子si的函数值ri=Pm(i(-))(si)∈Fm(i(-))
第1秘密计算单元,使用所述拉格朗日系数λ(i,i(-))、份额[xi(-)]i、以及所述函数值ri得到第1计算值ζi=λ(i,i(-))[xi(-)]i+ri∈Fm(i(-))
输出单元,将所述第1计算值ζi输出到所述份额生成装置Ai(-)
输入单元,接受第2计算值ζi(+)∈Fm(i)
第2秘密计算单元,使用所述拉格朗日系数λ(i,i(+))、所述份额[xi]i、以及所述第2计算值ζi(+)得到第3计算值zi=λ(i,i(+))[xi]ii(+)∈Fm(i);以及
份额生成单元,得到并输出含有所述种子si和所述第3计算值zi的信息,作为秘密分散中的所述明文x的份额SSi
2.如权利要求1所述的份额生成装置,
N为3以上的整数,i(++)=i+2 mod N,i(--)=i-2 mod N,δ=0,…,N-1,v为1以上的整数,ceil为天花板函数,所述份额[xj]i可以分割为m(j)个份额[(xj)0]i,…,[(xj)m(j)-1]i∈F,m’(i)为ceil(m(i)/v),[(x’δ)j]i是属于集合Fv的([(xδ)vj]i,[(xδ)vj+1]i,…,[(xδ)v(j+1)-1]i)∈Fv
所述份额生成装置包括:
共享单元,与份额生成装置Ai(--)之间共享任意值ti(--)∈Fv且与份额生成装置Ai(++)之间共享任意值ti∈Fv,和/或与份额生成装置Ai(+)之间共享任意值ui(--)∈Fv且与份额生成装置Ai(-)之间共享任意值ui(-)∈Fv
第1校验和生成单元,在由所述共享单元共享所述任意值ti(--)的情况下得到校验和ci(--),i=Σ0≦j<m’(i(--)){ti(--) j+1[(x’i(--))j]i}+ti(--) m’(i(--))+1[(x’i(--))m’(i(--))-1]i∈Fv,在由所述共享单元共享所述任意值ui(--)的情况下得到校验和di(--),i=Σ0≦j<m’(i(--)){ui(--) j+1[(x’i(--))j]i}+ui(--) m’(i(--))+1[(x’i(--))m’(i(--))-1]i∈Fv;以及
第2校验和生成单元,在由所述共享单元共享所述任意值ti的情况下得到校验和ci,i=Σ0≦j<m’(i){ti j+1[(x’i)j]i}+ti m’(i)+1[(x’i)m’(i)-1]i∈Fv,在由所述共享单元共享所述任意值ui(-)的情况下得到校验和di(-),i=Σ0≦j<m’(i(-)){ui(-) j+1[(x’i(-))j]i}+ui(-) m’(i(-))+1[(x’i(-))m’(i(-))-1]i∈Fv
在由所述共享单元共享所述任意值ti(--)和所述任意值ti的情况下,所述份额生成单元生成的所述份额SSi还包含所述任意值ti(--)、所述任意值ti、所述校验和ci(--),i、以及所述校验和ci,i
在由所述共享单元共享所述任意值ui(--)和所述任意值ui(-)的情况下,所述份额生成单元生成的所述份额SSi还包含所述任意值ui(--)、所述任意值ui(-)、所述校验和di(--),i、以及所述校验和di(-),i
3.如权利要求1所述的份额生成装置,
N为3以上的整数,i(++)=i+2 mod N,i(--)=i-2 mod N,δ=0,…,N-1,v为1以上的整数,ceil为天花板函数,所述份额[xj]i可以分割为m(j)个份额[(xj)0]i,…,[(xj)m(j)-1]i∈F,m’(i)为ceil(m(i)/v),[(x’δ)j]i是属于集合Fv的([(xδ)vj]i,[(xδ)vj+1]i,…,[(xδ)v(j+1)-1]i)∈Fv
所述份额生成装置包括:
共享单元,与份额生成装置Ai(--)之间共享任意值ti(--)∈Fv,与份额生成装置Ai(++)之间共享任意值ti∈Fv,与份额生成装置Ai(+)之间共享任意值ui(--)∈Fv,与份额生成装置Ai(-)之间共享任意值ui(-)∈Fv
第1校验和生成单元,得到校验和ci(--),i=Σ0≦j<m’(i(--)){ti(--) j+1[(x’i(--))j]i}+ti(--) m’(i(--))+1[(x’i(--))m’(i(--))-1]i∈Fv,得到校验和di(--),i=Σ0≦j<m’(i(--)){ui(--) j+1[(x’i(--))j]i}+ui(--) m’(i(--))+1[(x’i(--))m’(i(--))-1]i∈Fv;以及
第2校验和生成单元,得到校验和ci,i=Σ0≦j<m’(i){ti j+1[(x’i)j]i}+ti m’(i)+1[(x’i)m’(i)-1]i∈Fv,得到校验和di(-),i=Σ0≦j<m’(i(-)){ui(-) j+1[(x’i(-))j]i}+ui(-) m’(i(-))+1[(x’i(-))m’(i(-))-1]i∈Fv
所述份额生成单元生成的所述份额SSi还包含所述任意值ti(--)、所述任意值ti、所述任意值ui(--)、所述任意值ui(-)、所述校验和ci(--),i、所述校验和ci,i、所述校验和di(--),i、以及校验和di(-),i
4.如权利要求1至3任意一项所述的份额生成装置,
所述种子si的数据量小于所述函数值ri的数据量。
5.如权利要求1至3任意一项所述的份额生成装置,
所述份额SS0,…,SSN-1的总数据量低于所述明文x的数据量的N倍。
6.一种复原装置,
N为2以上的整数,m为1以上的整数,m(i)为0以上、低于m的整数,i=0,…,N-1,i(+)=i+1 mod N,Pm(i)为函数,所述函数Pm(i)的值域属于以m(i)个域F的元的列为元素的集合Fm (i)
将依照沙米尔秘密分散法的份额[α]i乘以拉格朗日系数λ(i,i(-))所得的值与将依照所述沙米尔秘密分散法的份额[α]i(-)乘以拉格朗日系数λ(i(-),i)所得的值之和为复原值α,将所述份额[α]i乘以拉格朗日系数λ(i,i(+))所得的值与将依照所述沙米尔秘密分散法的份额[α]i(+)乘以拉格朗日系数λ(i(+),i)所得的值之和为所述复原值α,
依照所述沙米尔秘密分散法的明文x的份额[x]i∈Fm由满足m=m(0)+…+m(N-1)和[xj]i∈Fm(j)的N个份额[x0]i,…,[xN-1]i表现,
ri=Pm(i(-))(si)∈Fm(i(-))
ζi=λ(i,i(-))[xi(-)]i+ri∈Fm(i(-))
ζi(+)∈Fm(i)
所述复原装置包括:
输入单元,接受N个份额SS0,…,SSN-1
运算单元,使用在份额SSi中包含的第3计算值zi=λ(i,i(+))[xi]ii(+)∈Fm(i)和在份额SSi(+)中包含的种子si(+)得到元素xi=zi-Pm(i)(si(+))∈Fm(i);以及
连接单元,得到由所述运算单元得到的元素x0,…,xN-1表现的复原值x∈Fm
7.如权利要求6所述的复原装置,
N为3以上的整数,v为1以上的整数,ceil为天花板函数,所述元素xi∈Fm(i)可以分割为m(i)个子元素(xi)0,…,(xi)m(i)-1∈F,m’(i)为ceil(m(i)/v),(x’i)j为属于集合Fv的((xi)vj,(xi)vj+1,…,(xi)v(j+1)-1)∈Fv,所述份额SSi还包含任意值ti(--)、任意值ti、校验和ci(--),i、以及校验和ci,i、和/或任意值ui(--)、任意值ui(-)、校验和di(--)i、以及校验和di(-),i
所述复原装置包括:
复原单元,在所述份额SSi包含所述校验和ci,i且份额SSi(++)包含校验和ci,i(++)的情况下,将所述校验和ci,i和所述校验和ci,i(++)作为依照沙米尔秘密分散法的份额而将校验和ci复原,在份额SSi(+)包含校验和di,i(+)且所述份额SSi(++)包含校验和di,i(++)的情况下,将所述校验和di,i(+)和所述校验和di,i(++)作为依照所述沙米尔秘密分散法的份额而将校验和di复原;
验证值生成单元,在所述校验和ci被复原的情况下,得到验证值vci=Σ0≦j<m’(i){ti j+1(x’i)j}+ti m’(i)+1(x’i)m’(i)-1∈Fv,在所述校验和di被复原的情况下,得到验证值vdi=Σ0≦j<m’(i){ui j+1(x’i)j}+ui m’(i)+1(x’i)m’(i)-1∈Fv;以及
判定单元,在所述校验和ci被复原的情况下判定是否满足ci=vci,在所述校验和di被复原的情况下判定是否满足di=vdi
8.如权利要求6所述的复原装置,
N为3以上的整数,v为1以上的整数,ceil为天花板函数,所述元素xi∈Fm(i)可以分割为m(i)个子元素(xi)0,…,(xi)m(i)-1∈F,m’(i)为ceil(m(i)/v),(x’i)j为属于集合Fv的((xi)vj,(xi)vj+1,…,(xi)v(j+1)-1)∈Fv,所述份额SSi还包含任意值ti(--)、任意值ti、校验和ci(--)i、校验和ci,i、任意值ui(--)、任意值ui(-)、校验和di(--),i、以及校验和di(-),i
所述复原装置包括:
复原单元,将所述校验和ci,i和所述校验和ci,i(++)作为依照沙米尔秘密分散法的份额而将校验和ci复原,将所述校验和di,i(+)和所述校验和di,i(++)作为依照所述沙米尔秘密分散法的份额而将校验和di复原;
验证值生成单元,得到验证值vci=Σ0≦j<m’(i){ti j+1(x’i)j}+ti m’(i)+1(x’i)m’(i)-1∈Fv,得到验证值vdi=Σ0≦j<m’(i){ui j+1(x’i)j}+ui m’(i)+1(x’i)m’(i)-1∈Fv;以及
判定单元,判定是否满足ci=vci,并判定是否满足di=vdi
9.如权利要求6至8任意一项所述的复原装置,
所述种子si(+)的数据量小于所述Pm(i)(si(+))的数据量。
10.如权利要求6至8任意一项所述的复原装置,
所述份额SS0,…,SSN-1的总数据量低于所述明文x的数据量的N倍。
11.一种秘密计算系统,具有复原装置和N个份额生成装置A0,…,AN-1
N为2以上的整数,m为1以上的整数,m(i)为0以上、低于m的整数,i=0,…,N-1,j=0,…,N-1,i(+)=i+1 mod N,i(-)=i-1 mod N,Pm(i)为函数,所述函数Pm(i)的值域属于以m(i)个域F的元的列为元素的集合Fm(i)
将依照沙米尔秘密分散法的份额[α]i乘以拉格朗日系数λ(i,i(-))所得的值与将依照所述沙米尔秘密分散法的份额[α]i(-)乘以拉格朗日系数λ(i(-),i)所得的值之和为复原值α,将所述份额[α]i乘以拉格朗日系数λ(i,i(+))所得的值与将依照所述沙米尔秘密分散法的份额[α]i(+)乘以拉格朗日系数λ(i(+),i)所得的值之和为所述复原值α,
依照所述沙米尔秘密分散法的明文x的份额[x]i∈Fm由满足m=m(0)+…+m(N-1)和[xj]i∈Fm(j)的N个份额[x0]i,…,[xN-1]i表现,
包含在所述N个份额生成装置A0,…,AN-1中的份额生成装置Ai包括:
函数运算单元,得到被输入的种子si的函数值ri=Pm(i(-))(si)∈Fm(i(-))
第1秘密计算单元,使用所述拉格朗日系数λ(i,i(-))、份额[xi(-)]i、以及所述函数值ri得到第1计算值ζi=λ(i,i(-))[xi(-)]i+ri∈Fm(i(-))
输出单元,将所述第1计算值ζi输出到所述份额生成装置Ai(-)
第1输入单元,接受第2计算值ζi(+)∈Fm(i)
第2秘密计算单元,使用所述拉格朗日系数λ(i,i(+))、所述份额[xi]i、以及所述第2计算值ζi(+)得到第3计算值zi=λ(i,i(+))[xi]ii(+)∈Fm(i);以及
份额生成单元,得到并输出含有所述种子si和所述第3计算值zi的信息,作为秘密分散中的所述明文x的份额SSi
所述复原装置包括:
第2输入单元,接受N个份额SS0,…,SSN-1
运算单元,使用在份额SSi中包含的第3计算值zi∈Fm(i)和在份额SSi(+)中包含的种子si(+)得到元素xi=zi-Pm(i)(si(+))∈Fm(i);以及
连接单元,得到由所述运算单元得到的元素x0,…,xN-1表现的复原值x∈Fm
12.一种份额生成方法,其为包含在N个份额生成装置A0,…,AN-1中的份额生成装置Ai的份额生成方法,
N为2以上的整数,m为1以上的整数,m(i)为0以上、低于m的整数,i=0,…,N-1,j=0,…,N-1,i(+)=i+1 mod N,i(-)=i-1 mod N,Pm(i)为函数,所述函数Pm(i)的值域属于以m(i)个域F的元的列为元素的集合Fm(i)
将依照沙米尔秘密分散法的份额[α]i乘以拉格朗日系数λ(i,i(-))所得的值与将依照所述沙米尔秘密分散法的份额[α]i(-)乘以拉格朗日系数λ(i(-),i)所得的值之和为复原值α,将所述份额[α]i乘以拉格朗日系数λ(i,i(+))所得的值与将依照所述沙米尔秘密分散法的份额[α]i(+)乘以拉格朗日系数λ(i(+),i)所得的值之和为所述复原值α,
依照所述沙米尔秘密分散法的明文x的份额[x]i∈Fm由满足m=m(0)+…+m(N-1)和[xj]i∈Fm(j)的N个份额[x0]i,…,[xN-1]i表现,
所述份额生成方法包括:
函数运算步骤,函数运算单元得到被输入的种子si的函数值ri=Pm(i(-))(si)∈Fm(i(-))
第1秘密计算步骤,第1秘密计算单元使用所述拉格朗日系数λ(i,i(-))、份额[xi(-)]i、以及所述函数值ri得到第1计算值ζi=λ(i,i(-))[xi(-)]i+ri∈Fm(i(-))
输出步骤,输出单元将所述第1计算值ζi输出到所述份额生成装置Ai(-)
输入步骤,输入单元接受第2计算值ζi(+)∈Fm(i)
第2秘密计算步骤,第2秘密计算单元使用所述拉格朗日系数λ(i,i(+))、所述份额[xi]i、以及所述第2计算值ζi(+)得到第3计算值zi=λ(i,i(+))[xi]ii(+)∈Fm(i);以及
份额生成步骤,份额生成单元得到并输出含有所述种子si和所述第3计算值zi的信息,作为秘密分散中的所述明文x的份额SSi
13.一种复原方法,
N为2以上的整数,m为1以上的整数,m(i)为0以上、低于m的整数,i=0,…,N-1,i(+)=i+1 mod N,Pm(i)为函数,所述函数Pm(i)的值域属于以m(i)个域F的元的列为元素的集合Fm (i)
将依照沙米尔秘密分散法的份额[α]i乘以拉格朗日系数λ(i,i(-))所得的值与将依照所述沙米尔秘密分散法的份额[α]i(-)乘以拉格朗日系数λ(i(-),i)所得的值之和为复原值α,将所述份额[α]i乘以拉格朗日系数λ(i,i(+))所得的值与将依照所述沙米尔秘密分散法的份额[α]i(+)乘以拉格朗日系数λ(i(+),i)所得的值之和为所述复原值α,
依照所述沙米尔秘密分散法的明文x的份额[x]i∈Fm由满足m=m(0)+…+m(N-1)和[xj]i∈Fm(j)的N个份额[x0]i,…,[xN-1]i表现,
ri=Pm(i(-))(si)∈Fm(i(-))
ζi=λ(i,i(-))[xi(-)]i+ri∈Fm(i(-))
ζi(+)∈Fm(i)
所述复原方法包括:
输入步骤,输入单元接受N个份额SS0,…,SSN-1
运算步骤,运算单元使用在份额SSi中包含的第3计算值zi=λ(i,i(+))[xi]ii(+)∈Fm (i)和在份额SSi(+)中包含的种子si(+)得到元素xi=zi-Pm(i)(si(+))∈Fm(i);以及
连接步骤,连接单元得到由所述运算步骤得到的元素x0,…,xN-1表现的复原值x∈Fm
14.一种计算机可读取的记录介质,存储了使计算机具有作为权利要求1至5的任意一项的份额生成装置、或作为权利要求6至10的任意一项的复原装置的功能的程序。
CN201880054042.XA 2017-08-22 2018-08-16 份额生成装置、复原装置、秘密计算系统、份额生成方法、复原方法、以及记录介质 Active CN111052205B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2017-159346 2017-08-22
JP2017159346 2017-08-22
PCT/JP2018/030442 WO2019039383A1 (ja) 2017-08-22 2018-08-16 シェア生成装置、復元装置、秘密計算システム、シェア生成方法、復元方法、プログラム、および記録媒体

Publications (2)

Publication Number Publication Date
CN111052205A CN111052205A (zh) 2020-04-21
CN111052205B true CN111052205B (zh) 2023-03-28

Family

ID=65439872

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880054042.XA Active CN111052205B (zh) 2017-08-22 2018-08-16 份额生成装置、复原装置、秘密计算系统、份额生成方法、复原方法、以及记录介质

Country Status (6)

Country Link
US (1) US11818254B2 (zh)
EP (1) EP3675090B1 (zh)
JP (1) JP6825111B2 (zh)
CN (1) CN111052205B (zh)
AU (1) AU2018321008B2 (zh)
WO (1) WO2019039383A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220271933A1 (en) * 2021-02-19 2022-08-25 Samsung Electronics Co., Ltd. System and method for device to device secret backup and recovery
WO2023233622A1 (ja) * 2022-06-02 2023-12-07 日本電信電話株式会社 秘密計算装置、秘密計算方法、プログラム

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004336702A (ja) * 2003-04-15 2004-11-25 Ntt Communications Kk データ原本性確保方法およびシステム、ならびにデータ原本性確保用プログラム
CN102396012A (zh) * 2009-04-24 2012-03-28 日本电信电话株式会社 秘密分散系统、分散装置、分散管理装置、取得装置、其处理方法、秘密分散方法、程序以及记录介质
JP2014137516A (ja) * 2013-01-18 2014-07-28 Nippon Telegr & Teleph Corp <Ntt> 分散管理装置、復元装置、パーティ装置、およびプログラム
CN104429019A (zh) * 2012-07-05 2015-03-18 日本电信电话株式会社 秘密分散系统、数据分散装置、分散数据变换装置、秘密分散方法以及程序
JP2015135380A (ja) * 2014-01-16 2015-07-27 日本電信電話株式会社 シェア変換システム、シェア変換方法、プログラム
JP5860557B1 (ja) * 2015-02-06 2016-02-16 日本電信電話株式会社 秘密公開方法、秘密公開システム、秘密公開装置、およびプログラム
JP5872085B1 (ja) * 2015-03-18 2016-03-01 日本電信電話株式会社 分散値変換システム、分散値変換装置、分散値変換方法、およびプログラム
CN105593919A (zh) * 2013-10-10 2016-05-18 日本电信电话株式会社 秘密商转移装置、秘密比特分解装置、秘密模数转换装置、秘密商转移方法、秘密比特分解方法、秘密模数转换方法、程序
CN105593918A (zh) * 2013-10-10 2016-05-18 日本电信电话株式会社 秘密并行处理装置、秘密并行处理方法、程序
WO2016147718A1 (ja) * 2015-03-18 2016-09-22 日本電信電話株式会社 シェア復旧システム、シェア復旧装置、シェア復旧方法、およびプログラム
JP2016178550A (ja) * 2015-03-20 2016-10-06 日本電気株式会社 秘密情報分散システム、情報処理装置および情報処理プログラム

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6011848A (en) * 1994-03-07 2000-01-04 Nippon Telegraph And Telephone Corporation Method and system for message delivery utilizing zero knowledge interactive proof protocol
EP1225530B1 (en) * 2001-01-18 2005-10-26 Nippon Telegraph and Telephone Corporation Method, apparatus and program for quantitative competition and recording medium having recorded thereon the program
WO2006124289A2 (en) * 2005-05-13 2006-11-23 Temple University - Of The Commonwealth System Of Higher Education Secret sharing technique with low overhead information content
US8050410B2 (en) * 2006-12-08 2011-11-01 Uti Limited Partnership Distributed encryption methods and systems
US8345861B2 (en) * 2008-08-22 2013-01-01 Red Hat, Inc. Sharing a secret using polynomial division over GF(Q)
US7995765B2 (en) 2008-08-28 2011-08-09 Red Hat, Inc. Sharing a secret using hyperplanes over GF(q)
JP5285778B2 (ja) * 2009-08-03 2013-09-11 日本電信電話株式会社 関数暗号応用システム及び方法
US9922063B2 (en) * 2009-12-29 2018-03-20 International Business Machines Corporation Secure storage of secret data in a dispersed storage network
CN104412539B (zh) * 2012-07-05 2017-05-24 日本电信电话株式会社 秘密分散系统、数据分散装置、分散数据变换装置、以及秘密分散方法

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004336702A (ja) * 2003-04-15 2004-11-25 Ntt Communications Kk データ原本性確保方法およびシステム、ならびにデータ原本性確保用プログラム
CN102396012A (zh) * 2009-04-24 2012-03-28 日本电信电话株式会社 秘密分散系统、分散装置、分散管理装置、取得装置、其处理方法、秘密分散方法、程序以及记录介质
CN104429019A (zh) * 2012-07-05 2015-03-18 日本电信电话株式会社 秘密分散系统、数据分散装置、分散数据变换装置、秘密分散方法以及程序
JP2014137516A (ja) * 2013-01-18 2014-07-28 Nippon Telegr & Teleph Corp <Ntt> 分散管理装置、復元装置、パーティ装置、およびプログラム
CN105593919A (zh) * 2013-10-10 2016-05-18 日本电信电话株式会社 秘密商转移装置、秘密比特分解装置、秘密模数转换装置、秘密商转移方法、秘密比特分解方法、秘密模数转换方法、程序
CN105593918A (zh) * 2013-10-10 2016-05-18 日本电信电话株式会社 秘密并行处理装置、秘密并行处理方法、程序
JP2015135380A (ja) * 2014-01-16 2015-07-27 日本電信電話株式会社 シェア変換システム、シェア変換方法、プログラム
JP5860557B1 (ja) * 2015-02-06 2016-02-16 日本電信電話株式会社 秘密公開方法、秘密公開システム、秘密公開装置、およびプログラム
JP5872085B1 (ja) * 2015-03-18 2016-03-01 日本電信電話株式会社 分散値変換システム、分散値変換装置、分散値変換方法、およびプログラム
WO2016147718A1 (ja) * 2015-03-18 2016-09-22 日本電信電話株式会社 シェア復旧システム、シェア復旧装置、シェア復旧方法、およびプログラム
JP2016178550A (ja) * 2015-03-20 2016-10-06 日本電気株式会社 秘密情報分散システム、情報処理装置および情報処理プログラム

Also Published As

Publication number Publication date
JPWO2019039383A1 (ja) 2020-09-03
WO2019039383A1 (ja) 2019-02-28
AU2018321008A1 (en) 2020-02-27
US20200366466A1 (en) 2020-11-19
EP3675090B1 (en) 2023-04-26
US11818254B2 (en) 2023-11-14
EP3675090A4 (en) 2021-05-05
AU2018321008B2 (en) 2021-05-20
EP3675090A1 (en) 2020-07-01
CN111052205A (zh) 2020-04-21
JP6825111B2 (ja) 2021-02-03

Similar Documents

Publication Publication Date Title
CN107210006B (zh) 不一致检测方法、检测系统、检测装置以及记录介质
EP3096309B1 (en) Secret calculation method, secret calculation system, sorting device, and program
Moldovyan et al. Post-quantum signature algorithms based on the hidden discrete logarithm problem
CN110199338B (zh) 秘密计算系统、秘密计算装置、秘密计算方法、记录介质
CN107430829B (zh) 份额恢复系统、装置、方法以及存储介质
Banegas et al. DAGS: Key encapsulation using dyadic GS codes
CN107454975B (zh) 加密系统和密钥生成装置
CN108140335B (zh) 秘密随机数合成装置、秘密随机数合成方法以及记录介质
CN111052205B (zh) 份额生成装置、复原装置、秘密计算系统、份额生成方法、复原方法、以及记录介质
CN110622232B (zh) 秘密篡改探测系统、秘密篡改探测装置、秘密篡改探测方法以及程序
CN111758127B (zh) 秘密计算装置及其方法、秘密计算认证系统以及记录介质
WO2020188906A1 (ja) 署名装置、検証装置、署名方法、検証方法、署名プログラム及び検証プログラム
US11888977B2 (en) Share generating device, share converting device, secure computation system, share generation method, share conversion method, program, and recording medium
CN106796765B (zh) 非减序列判定装置、非减序列判定方法以及记录介质
US11514192B2 (en) Secure reading apparatus, secure writing apparatus, method thereof, and program for reading and writing data in a sequence without revealing an access position
JP2013195453A (ja) 演算装置
CN118041509A (zh) 两方安全计算方法、装置、电子设备、存储介质及产品
CN111052206A (zh) 秘密计算装置、秘密计算方法、程序以及记录介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant