CN111133495A

CN111133495A - 秘密读取装置、秘密写入装置、它们的方法以及程序

Info

Publication number: CN111133495A
Application number: CN201880060802.8A
Authority: CN
Inventors: 滨田浩气
Original assignee: Nippon Telegraph and Telephone Corp
Current assignee: Nippon Telegraph and Telephone Corp
Priority date: 2017-09-21
Filing date: 2018-09-11
Publication date: 2020-05-08
Anticipated expiration: 2038-09-11
Also published as: EP3686870A1; EP3686870B1; EP3686870A4; CN111133495B; JP6825119B2; US20200218833A1; AU2018338249B2; JPWO2019059042A1; US11514192B2; WO2019059042A1; AU2018338249A1

Abstract

不公开读取位置而高效地进行从数组的数据读取。秘密读取装置(1)将隐匿文的数组和读取位置的隐匿文作为输入，输出隐匿文的数组的读取位置的元素。向量创建单元(12)创建表现读取位置的向量。压缩计算单元(13)反复生成将基于隐匿文的数组的向量和表现读取位置的向量的内积设为元素的新的隐匿文的数组。读取单元(14)将元素数为1的新的隐匿文的数组作为隐匿文的数组的读取位置的元素输出。

Description

秘密读取装置、秘密写入装置、它们的方法以及程序

技术领域

本发明涉及加密应用技术，特别涉及不公开访问的位置而进行对数组的数据的读取或写入的技术。

背景技术

作为不将加密后的数值复原而得到确定的运算结果的方法，有称为秘密计算的方法(例如，参照非专利文献1)。在非专利文献1中所记载的方法中，通过进行将数值的片段分散到三个秘密计算装置这样的加密，三个秘密计算装置通过进行协调计算，能够不复原数值，而将加减运算、常数加法运算、乘法运算、常数倍、逻辑运算(“非”、“与”、“或”、“异或”)、数据形式变换(整数、二进制)的结果在被分散到三个秘密计算装置的状态、即保持加密的情况下被保持。

在不公开读取位置i，而从数组读取第i数据的情况下，对于所有的元素判定其位置和读取位置i是否一致，在不一致的情况下，常常进行通过将该位置的值置换为0，将所有的元素的值相加，得到第i数据(例如，参照非专利文献2)。

在不公开写入位置i，而对数组的第i数据写入值d的情况下，常常进行准备与数组的尺寸n相同的大小的新的数组，仅对第i元素设定d，对其它的元素设定0，将新的数组相加到写入目的地的数组(例如，参照非专利文献2)。

现有技术文献

非专利文献

非专利文献1：千田浩司、濱田浩気、五十嵐大、高橋克巳、“軽量検証可能3パーティ秘匿関数計算の再考”、CSS、2010年

非专利文献2：Marcel Keller and Peter Scholl,"Efficient,oblivious datastructures for MPC",Advances in Cryptology-ASIACRYPT 2014,Vol.8874 of LectureNotes in Computer Science,pp.506-525,2014.

发明内容

发明要解决的课题

但是，在非专利文献2中记载的现有技术，在通过常数级的乘法运算进行从大小为n的数组的数据读取的情况下，需要进行与n成比例的次数的乘法运算。另外，非专利文献2中记载的现有技术，为了在常数级的通信中将m个值写入大小为n的数组，需要通信量Ω(nm)。

本发明的目的在于，鉴于上述方面，通过常数级的乘法运算，能够以比以往小的次数不公开读取位置地高效地进行从数组的数据读取。而且，在常数级的通信中，能够以比以往少的通信量不公开写入位置高效地进行对数组的数据写入。

用于解决课题的手段

为了解决上述课题，本发明的第一方式的秘密读取装置，是将隐匿文的数组和读取位置的隐匿文作为输入，输出该隐匿文的数组的该读取位置的元素的秘密读取装置，反复生成将表现读取位置的向量和基于隐匿文的数组的向量的内积设为元素的新的隐匿文的数组，直至新的隐匿文的数组的元素数成为1为止，将元素数为1的新的隐匿文的数组作为读取位置的元素输出。

为了解决上述课题，本发明的第二方式的秘密写入装置，是将隐匿文的数组、写入地址的隐匿文和写入的值的隐匿文设为输入，对该隐匿文的数组的该写入地址的元素相加该值的秘密写入装置，

将表现写入地址的向量和表现写入的值的向量的内积相加到隐匿文的数组。

发明的效果

根据本发明的第一方式的秘密读取技术，能够在常数级的乘法运算中以比以往小的次数，不公开读取位置而高效地进行从数组的数据读取。根据本发明的第二方式的秘密写入技术，能够在常数级的通信中以比以往更少的通信量不公开写入位置而高效地进行对数组的数据写入。

附图说明

图1是例示秘密读取装置的功能结构的图。

图2是例示秘密读取方法的处理过程的图。

图3是例示秘密写入装置的功能结构的图。

图4是例示秘密写入方法的处理过程的图。

具体实施方式

在实施方式的说明之前，说明该说明书中的记述方法以及用语的定义。

＜记述方法＞

将某一值a通过加密或秘密分散等隐匿化后得到的值称为a的隐匿文，记述为[a]。而且，将a称为[a]的明文。在隐匿化为秘密分散的情况下，通过[a]参照各秘密计算装置具有的秘密分散的片段的集合。通过a[i]参照向量a＝(a₀,a₁,…)的第i元素。将向量a的元素数记述为|a|。

为地板函数，表示实数x以下的最大的整数。

为天花板函数，表示实数x以上的最小的整数。

＜加法运算、减法运算、乘法运算＞

对隐匿文的加法运算、减法运算、乘法运算的各运算，将两个值a、b的隐匿文[a]、[b]作为输入，分别计算a+b,a-b,ab的计算结果c₁,c₂,c₃的隐匿文[c₁],[c₂],[c₃]。将这些的运算的执行分别如下式这样记述。

[c₁]←Add([a],[b]),

[c₂]←Sub([a],[b]),

[c₃]←Mul([a],[b])

在不担心导致误解的情况下，将Add([a],[b])、Sub([a],[b])、Mul([a],[b])分别简记为[a]+[b],[a]-[b],[a][b]。

＜等号判定＞

将两个值a,b的隐匿文[a],[b]作为输入，将计算如果a＝b，则c＝1，如果a≠b，则c＝0的隐匿文[c]的处理如下式这样记述。

以下，详细地说明本发明的实施方式。而且，对于附图中具有相同的功能的结构部分附加相同的号码，省略重复说明。

＜第一实施方式＞

第一实施方式的秘密读取装置，其特征在于，将隐匿文的数组和读取位置的隐匿文作为输入，输出该隐匿文的数组的该读取位置的元素。这时，反复生成将表现读取位置的向量和基于隐匿文的数组的向量的内积设为元素的新的隐匿文的数组，直至新的隐匿文的数组的元素数成为1为止，将元素数为1的新的隐匿文的数组作为读取位置的元素并输出。

如图1例示那样，第一实施方式的秘密读取装置1包含：输入单元11、向量创建单元12、压缩计算单元13、以及读取单元14。该秘密读取装置1通过进行图2例示的各步骤的处理，实现第一实施方式的秘密读取方法。

秘密读取装置1例如是在具有中央运算处理装置(CPU:Central ProcessingUnit)、主存储装置(RAM:Random Access Memory)等的公知或者专用的计算机中读入特别的程序而构成的特别的装置。秘密读取装置1例如在中央运算处理装置的控制之下执行各处理。在秘密读取装置1中输入的数据或在各处理得到的数据例如被存储在主存储装置中，在主存储装置中存储的数据根据需要被读出到中央运算处理装置，利用于其它的处理。秘密读取装置1的各处理单元，也可以其至少一部分由集成电路等硬件构成。

以下，参照图2，说明第一实施方式的秘密读取装置1执行的秘密读取方法。

在步骤S11中，输入单元11将大小为n的隐匿文的数组[a₀]＝([a₀[0]],[a₀[1]],…,[a₀[n-1]])、和读取位置x的隐匿文[x]接受作为输入。输入单元11将隐匿文的数组[a₀]和隐匿文[x]输出到向量创建单元12。

在步骤S12中，向量创建单元12从输入单元11接受隐匿文的数组[a₀]和隐匿文[x]，创建k个隐匿文的向量[v_j]。其中，k为2以上的整数，j为1以上k以下的各整数。具体地说，将m₁,m₂,…,m_k设为满足n≦m₁×m₂×…×m_k的自然数，对于各整数j，将x_j设为由式(1)定义的整数，创建第(x_jmod m_j)的元素为1、其它的元素为0的、大小为m_j的隐匿文的向量[v_j]。

特别地，如果所输入的各隐匿文是基于(t,s)Shamir秘密分散的份额，则能够将k,m_i(i＝1,2,…,k)设为式(2)。而且，所谓(t,s)Shamir秘密分散，是如下这样的秘密分散：将所输入的明文分割为s个得到的分散值分散保持在s个秘密计算装置中，如果任意的t个份额聚齐，则能够复原明文，从不足t个的份额中得不到与明文有关的任何的信息。这时，t为1以上的整数，s≧2t-1。

在步骤S13－1中，压缩计算单元13将j初始化为1。

在步骤S13－2中，压缩计算单元13使用隐匿文的数组[a_j-1]，创建n_j个隐匿文的向量[b_j,i]。创建的隐匿文的向量[b_j,i]的数n_j根据j的值而不同。具体地说，将n_j设为以式(3)定义的整数，将i设为0以上不足n_j的各整数，作为[b_j,i]＝([a_j-1[m_ji+0]],[a_j-1[m_ji+1]],…,[a_j-1[m_ji+m_j-1]])(其中，在λ≧|a_j-1|时，[a_j-1[λ]]＝0)，计算隐匿文的向量[b_j,j]。

在步骤S13－3中，压缩计算单元13计算将隐匿文的向量[b_j,j]和隐匿文的向量[v_j]的内积设为第i元素的隐匿文的数组[a_j]。

在步骤S13－4中，压缩计算单元13判定j+1是否为k以下(j+1≦k)，如果j+1为k以下，则将j增加(j←j+1)，将处理返回至步骤S13－2，如果j+1大于k(j+1>k)，则输出隐匿文的数组[a_k]。而且，这时，隐匿文的数组[a_k]成为元素数为1的数组。

在步骤S14中，读取单元14将元素数为1的隐匿文的数组[a_k]作为隐匿文的数组[a₀]的第x的元素即隐匿文[a₀[x]]输出。

第一实施方式的要点在于，在(t,s)Shamir秘密分散中，利用能够将至k-1级为止的乘法运算(内积)以一次乘法运算量的通信来进行，将第i元素的读取以基于大小为Θ(n¹ ^/k)的向量的k级的内积表现。通过将各向量的大小设为O(n^1/k)，第k-1级的计算在O(n^1/k)次完毕，能够将整体的通信量抑制为O(n^1/k)。

＜第二实施方式＞

第二实施方式的秘密写入装置，将隐匿文的数组、写入地址的隐匿文和写入的值的隐匿文作为输入，对该隐匿文的数组的该写入地址的元素相加该值。这时，特征在于，将表现写入地址的向量和表现写入的值的向量的内积相加到隐匿文的数组。

如图3所例示，第二实施方式的秘密写入装置2包含：输入单元21、地址分解单元22、向量创建单元23、以及写入单元24。该秘密写入装置2通过进行图4例示的各步骤的处理，实现第二实施方式的秘密写入方法。

秘密写入装置2例如是在具有中央运算处理装置(CPU:Central ProcessingUnit)、主存储装置(RAM:Random Access Memory)等的公知或者专用的计算机中读入特别的程序构成的特别的装置。秘密写入装置2例如在中央运算处理装置的控制之下执行各处理。在秘密写入装置2输入的数据或在各处理中得到的数据例如存储在主存储装置中，在主存储装置中存储的数据根据需要被读出到中央运算处理装置，利用于其它的处理。秘密写入装置2的各处理单元，也可以其至少一部分通过集成电路等的硬件构成。

以下，参照图4，说明第二实施方式的秘密写入装置2执行的秘密写入方法。

在步骤S21中，输入单元21将大小为n的隐匿文的数组[a]＝([a[0]],[a[1]],…,[a[n-1]])、m个写入目的地地址的隐匿文[x_i]、m个写入的值的隐匿文[y_i]接受作为输入。其中，m为2以上的整数，i为0以上小于m的各整数。输入单元21将写入目的地地址的隐匿文[x_i]和写入的值的隐匿文[y_i]输出到地址分解单元22。

在步骤S22中，地址分解单元22从输入单元21接受写入目的地地址的隐匿文[x_i]和写入的值的隐匿文[y_i]，创建表现将各值y_i写入到写入目的地地址x_i的隐匿文的向量[w_i]。具体地说，将n₁,n₂设为满足n₁n₂≧n的自然数，创建p_i[λ₁]q_i[λ₂]在n₂λ₁+λ₂＝x_i时为[y_i]，在为其它时，成为0的隐匿文的向量[p_i],[q_i]，将该隐匿文的向量[p_i],[q_i]结合，生成隐匿文的向量[w_i]＝[p_i]||[q_i]。这时，也可以隐匿文的向量[p_i]，设为

的元素为1、其它的元素为0的大小为n₁的隐匿文的向量，隐匿文的向量[q_i]，设为

[q_i[x_imod n₂]]

的元素为[y_i]，其它的元素为0的大小为n₂的隐匿文的向量。

特别地，如果所输入的各隐匿文是基于(t,s)Shamir秘密分散的份额，则n₁,n₂能够设为式(4)。而且，所谓(t,s)Shamir秘密分散是如下这样的秘密分散：将所输入的明文分割为s个得到的分散值分散在s个秘密计算装置中保持，如果任意的t个份额聚齐，则能够复原明文，从小于t个的份额中不能得到与明文有关的任何的信息。这时，t为1以上的整数，s≥2t-1。

在步骤S23中，向量创建单元23生成将j设为0以上小于n的各整数，从隐匿文的向量[w_i]选择元素生成隐匿文的向量[u_j],[v_j]。具体地说，将i设为0以上小于m的各整数，将j设为0以上小于n的各整数，将λ₁,λ₂设为式(5)，

如式(6)这样生成隐匿文的向量[u_j],[v_j]。

在步骤S24中，写入单元24将j设为0以上小于n的各整数，将隐匿文的向量[u_j]和隐匿文的向量[v_j]的内积相加到隐匿文的数组[a]的第j元素即隐匿文[a[j]]。

第二实施方式的要点在于，通过将写入的值分别以2个向量的内积来表现，能够将相加到写入目的地的各地址的值通过大小为m的向量之间的内积来计算。由于内积能够以1次乘法运算量的通信来计算，因此整体的通信量能够抑制为O(n+m√n)。

以上，说明了本发明的实施方式，但是具体的构成不限于这些实施方式，当然不用说，在不脱离本发明的宗旨的范围内即使是适当设计的变更等，也包含在本发明中。实施方式中说明的各种的处理不仅按照记载的顺序时间序列地执行，根据执行处理的装置的处理能力或者需要，也可以并行或者单独地执行。

[程序、记录介质]

在通过计算机实现在上述实施方式中说明的各装置中的各种的处理功能的情况下，各装置应具有的功能的处理内容通过程序记述。然后，通过将该程序在计算机中执行，上述各装置中的各种的处理功能在计算机上被实现。

记述该处理内容的程序能够预先记录在计算机可读取的记录介质中。作为计算机可读取的记录介质，例如可以是磁记录装置、光盘、光磁记录介质、半导体存储器等任何介质。

而且，该程序的流通例如通过销售、转让、租借等记录了该程序的DVD、CD-ROM等便携式记录介质来进行。进而，也可以设为将该程序存储在服务器计算机的存储装置中，经由网络，通过将该程序从服务器计算机转发到其它计算机，使该程序流通的结构。

执行这样的程序的计算机例如首先将便携式记录介质中记录的程序或者从服务器计算机转发的程序暂时存储在自己的存储装置中。然后，在执行处理时，该计算机读取自己的存储装置中存储的程序，执行按照读取的程序的处理。而且，作为该程序其它执行方式，计算机也可以从便携式记录介质直接读取程序，执行按照该程序的处理，进而，也可以在每次从服务器计算机对该计算机转发程序时，逐次执行按照接受的程序的处理。而且，也可以设为通过不进行从服务器计算机向该计算机的程序的转发，仅通过该执行指令和结果取得来实现处理功能的、所谓ASP(Application Service Provider，应用服务提供商)型的服务，执行上述的处理的结构。而且，本方式中的程序中，包含供电子计算机的处理用的信息即基于程序的信息(虽然不是对于计算机的直接的指令，但是具有规定计算机的处理的性质的数据等)。

而且，在该方式中，通过在计算机上执行规定的程序，构成本装置，但是也可以将这些处理内容的至少一部分以硬件方式实现。

Claims

1.一种秘密读取装置，是将隐匿文的数组和读取位置的隐匿文作为输入，输出该隐匿文的数组的该读取位置的元素的秘密读取装置，

该秘密读取装置反复生成将基于表现所述读取位置的向量和基于所述隐匿文的数组的向量的内积设为元素的新的隐匿文的数组，直至所述新的隐匿文的数组的元素数为1为止，将元素数为1的所述新的隐匿文的数组作为所述读取位置的元素输出。

2.如权利要求1所述的秘密读取装置，

将n,k设为2以上的整数，将j设为1以上k以下的各整数，

所述秘密读取装置是，将大小为n的隐匿文的数组[a₀]＝([a₀[0]],[a₀[1]],…,[a₀[n-1]])和读取位置x的隐匿文[x]设为输入，输出隐匿文的数组[a₀]的第x元素即隐匿文[a₀[x]]的装置，包括：

向量创建单元，对于各整数j，使用隐匿文[x]创建隐匿文的向量[v_j]；

压缩计算单元，对于各整数j，使用隐匿文的数组[a_j-1]和隐匿文的向量[v_j]，创建隐匿文的数组[a_j]；以及

读取单元，将元素数为1的隐匿文的数组[a_k]作为隐匿文的数组[a₀]的第x个元素即隐匿文[a₀[x]]输出。

3.如权利要求2所述的秘密读取装置，

将m₁,m₂,…,m_k设为满足n≦m₁×m₂×…×m_k的自然数，

将n_j设为以下式定义的整数，将i设为0以上小于n_j的各整数

，

所述压缩计算单元是，对于各整数i，创建将使用隐匿文的数组[a_j-1]创建的隐匿文的向量[b_j,i]、和所述隐匿文的向量[v_j]的内积作为第i元素的所述隐匿文的数组[a_j]的单元。

4.如权利要求3所述的秘密读取装置，

所述向量创建单元是，对于各整数j，将x_j设为以下式定义的整数

，创建第x_j mod m_j个元素为1、其它的元素为0的大小为m_j的所述隐匿文的向量[v_j]的单元，

所述压缩计算单元是，对于各整数i，创建[b_j,i]＝([a_j-1[m_ji+0]],[a_j-1[m_ji+1]],…,[a_j-1[m_ji+m_j-1]])、并且λ≧|a_j-1|时[a_j-1[λ]]＝0的所述隐匿文的向量[b_j,i]的单元。

5.如权利要求4所述的秘密读取装置，

所述隐匿文的数组[a₀]以及所述隐匿文[x]是，通过秘密分散而隐匿的值，在该秘密分散中，将t设为1以上的整数，s≧2t-1，在将明文分割为s个得到的份额中，如果任意的t个份额聚齐，则能够复原明文，从小于t个的份额中不能得到与明文有关的任何的信息，

k,m_i(i＝1,2,…,k)，是以下式

定义的值。

6.一种秘密读取方法，是秘密读取装置执行的秘密读取方法，该秘密读取装置将隐匿文的数组和读取位置的隐匿文设为输入，输出该隐匿文的数组的该读取位置的元素，在该方法中，

所述秘密读取装置反复生成将表现所述读取位置的向量和基于所述隐匿文的数组的向量的内积设为元素的新的隐匿文的数组，直到所述新的隐匿文的数组的元素数为1为止，将元素数为1的所述新的隐匿文的数组作为所述读取位置的元素输出。

7.一种秘密写入装置，是将隐匿文的数组、写入地址的隐匿文和写入的值的隐匿文设为输入，对该隐匿文的数组的该写入地址的元素相加该值的秘密写入装置，

将表现所述写入地址的向量和表现所述写入的值的向量的内积相加到所述隐匿文的数组中。

8.如权利要求7所述的秘密写入装置，

将n,m设为2以上的整数，将i设为0以上小于m的各整数，将j设为0以上小于n的各整数，

所述秘密写入装置是，将大小为n的隐匿文的数组[a]＝([a[0]],[a[1]],…,[a[n-1]])、写入地址x_i的隐匿文[x_i]和写入的值y_i的隐匿文[y_i]作为输入，对于各整数i，对隐匿文的数组[a]的第x_i个元素即隐匿文[a[x_i]]上相加值y_i的装置，包括：

地址分解单元，对于各整数i，创建表现为值y_i的写入目的地地址x_i的隐匿文的向量[w_i]；

向量创建单元，对于各整数j，从隐匿文的向量[w_i]选择元素，创建隐匿文的向量[u_j],[v_j]；以及

写入单元，对于各整数j，将隐匿文的向量[u_j]和隐匿文的向量[v_j]的内积相加到隐匿文的数组[a]的第j个的元素即隐匿文[a[j]]中。

9.如权利要求8所述的秘密写入装置，

所述地址分解单元是，将n₁,n₂设为满足n₁n₂≧n的自然数，将在p_i[λ₁]q_i[λ₂]为n₂λ₁+λ₂＝x_i时成为[y_i]、在其它时成为0的隐匿文的向量[p_i],[q_i]结合而创建所述隐匿文的向量[w_i]的单元，

所述向量创建单元是，将i设为0以上小于m的各整数，将j设为0以上小于n的各整数，将λ₁,λ₂设为下式

λ₂＝j mod n₂，如下式这样，

[u_j[i]]＝[p_i[λ₁]],

[v_j[i]]＝[q_i[λ₂]]，创建所述隐匿文的向量[u_j],[v_j]的单元。

10.如权利要求9所述的秘密写入装置，

所述隐匿文的向量[p_i]是

的元素为1、其它的元素为0的大小为n₁的隐匿文的向量，

所述隐匿文的向量[q_i]是

[q_i[x_i mod n₂]]的元素为[y_i]、其它的元素为0的大小为n₂的隐匿文的向量。

11.如权利要求9或者10所述的秘密写入装置，

所谓所述隐匿文的数组[a]、所述隐匿文[x_i]和所述隐匿文[y_i]是通过秘密分散而隐匿的值，在该秘密分散中，将t设为1以上的整数，设为s≧2t-1，在将明文分割为s个得到的份额中，如果任意的t个份额聚齐，则能够复原明文，从小于t个的份额中得不到与明文有关的任何的信息，

n₁,n₂，是以下式

定义的值。

12.一种秘密写入方法，是秘密写入装置执行的秘密写入方法，该秘密写入装置将隐匿文的数组、写入地址的隐匿文和写入的值的隐匿文作为输入，对该隐匿文的数组的该写入地址的元素相加该值，在该方法中，

所述秘密写入装置将表现所述写入地址的向量和表现所述写入的值的向量的内积相加到所述隐匿文的数组中。

13.一种程序，用于使计算机具有权利要求1至5的任一项所述的秘密读取装置或者权利要求7至11的任一项所述的秘密写入装置的功能。