JP2005130404A5 - - Google Patents

Download PDF

Info

Publication number
JP2005130404A5
JP2005130404A5 JP2003366538A JP2003366538A JP2005130404A5 JP 2005130404 A5 JP2005130404 A5 JP 2005130404A5 JP 2003366538 A JP2003366538 A JP 2003366538A JP 2003366538 A JP2003366538 A JP 2003366538A JP 2005130404 A5 JP2005130404 A5 JP 2005130404A5
Authority
JP
Japan
Prior art keywords
information
restoration
secret
shared
combination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003366538A
Other languages
Japanese (ja)
Other versions
JP4623623B2 (en
JP2005130404A (en
Filing date
Publication date
Application filed filed Critical
Priority to JP2003366538A priority Critical patent/JP4623623B2/en
Priority claimed from JP2003366538A external-priority patent/JP4623623B2/en
Publication of JP2005130404A publication Critical patent/JP2005130404A/en
Publication of JP2005130404A5 publication Critical patent/JP2005130404A5/ja
Application granted granted Critical
Publication of JP4623623B2 publication Critical patent/JP4623623B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Description

復元制御型秘密情報分散方法、復元制御型秘密情報分散装置、復元制御型秘密情報分散プログラム及びその記録媒体Restoration control type secret information distribution method, restoration control type secret information distribution device, restoration control type secret information distribution program, and recording medium thereof

本発明は、パスワードや個人情報などの秘密情報を複数の個所に分散共有し、これらの内幾つか以上の分散された情報により元の秘密情報を復元可能とする秘密分散法を用いたセキュリティ技術に関する。   The present invention is a security technique using a secret sharing method in which secret information such as passwords and personal information is distributed and shared at a plurality of locations, and the original secret information can be restored using some or more of these pieces of information. About.

ネットワーク上でパスワードや個人情報、暗号鍵情報といった各種情報のセキュリテイ(安全性)を保つために、暗号技術が用いられる。この際、ユーザ(利用者)の認証に用いられるパスワードや個人情報、共通鍵暗号に用いる共通鍵や公開鍵暗号に用いる秘密鍵といった秘密情報の保管に関して、秘密情報の紛失や破壊、漏洩や盗難といった恐れがあり、特に単一の個所に保管する場合などは秘密情報の紛失や破壊、複数の個所に保管する場合などは秘密情報の漏洩や盗難の可能性が高くなってしまうという問題がある。これらの問題を解決し、各種秘密情報を安全に保管する方法の一つとして、秘密分散法がある。秘密分散法は、元の秘密情報を複数の情報に分散して複数の個所に保管し、この分散された情報(以下、分散情報)を全て、あるいは幾つか合わせる事により、元の秘密情報を復元可能とする方法である。   Cryptographic techniques are used to maintain security (security) of various information such as passwords, personal information, and encryption key information on the network. At this time, regarding the storage of confidential information such as passwords and personal information used for user (user) authentication, common keys used for common key encryption, and private keys used for public key encryption, loss, destruction, leakage or theft of confidential information There is a problem that confidential information is lost or destroyed especially when it is stored in a single location, and there is a high possibility of leakage or theft of confidential information when stored in multiple locations. . There is a secret sharing method as a method for solving these problems and storing various secret information safely. In the secret sharing method, the original secret information is distributed to a plurality of pieces of information and stored in a plurality of locations, and all or some of the distributed information (hereinafter referred to as distributed information) is combined to change the original secret information. This is a method for enabling restoration.

従来、秘密分散法の実現方法の一つとして、(k,n)閾値秘密分散法がある(例えば、非特許文献1参照)。これは、分散情報を配布する数である2以上の整数の分散数nと、秘密情報Sの復元に必要な分散情報の最低数である2以上n以下の整数の閾値kから、秘密情報Sを定数項とする(k−1)次の多項式f(x)を、
f(x)=S+rx+…rk−1k−1 mod p(r,…,rk−1:乱数、p:素数)
として作成し、元の秘密情報Sを所有あるいは預託により分配する秘密情報分配者は、分散情報を保管する各分散情報保持者i(i=1,2,…,n)に対して、分散情報W=f(i)を分配するものである。 Conventionally, there is a (k, n) threshold secret sharing method as one of methods for realizing the secret sharing method (see, for example, Non-Patent Document 1). This is because the secret information S is derived from an integer distribution number n of 2 or more which is the number of distributed information distributions and an integer threshold value k of 2 or more and n or less which is the minimum number of distributed information necessary for restoring the secret information S. (K-1) degree polynomial f (x) where
f (x) = S + r 1 x + ... r k-1 x k-1 mod p (r 1 , ..., r k-1 : random number, p: prime number)
The secret information distributor who creates the original secret information S and distributes the original secret information S by deposit is distributed to each shared information holder i (i = 1, 2,..., N) storing the shared information. W i = f (i) is distributed.

この(k,n)閾値秘密分散法は、n個の分散情報の内、任意のk個の分散情報がそろえば、f(x)に関する連立方程式を解く事により元の秘密情報Sを復元できるが、任意の(k−1)個までの分散情報がそろってもf(x)に関する連立方程式を解く事はできないため、元の秘密情報Sは復元できないという特徴がある。したがって、(n−k)個までの分散情報が紛失や破壊により損なわれても元の秘密情報Sが復元可能であり、(k−1)個までの分散情報が漏洩や盗難により得られても元の秘密情報Sは復元できないという、秘密情報を安全に保管する方法が実現できる。   This (k, n) threshold secret sharing method can restore the original secret information S by solving simultaneous equations relating to f (x) if any k pieces of distributed information are gathered among n pieces of shared information. However, there is a feature that the original secret information S cannot be restored because the simultaneous equations relating to f (x) cannot be solved even if up to (k−1) pieces of distributed information are collected. Therefore, even if up to (n−k) pieces of shared information are lost or destroyed, the original secret information S can be restored, and up to (k−1) pieces of shared information can be obtained by leakage or theft. However, it is possible to realize a method for safely storing the secret information in which the original secret information S cannot be restored.

さらに、(k,n)閾値秘密分散法の拡張として、(d,k,n)閾値秘密分散法がある(例えば、非特許文献2参照)。これは、分散情報を配布する数である2以上の整数の分散数nと、秘密情報Sの完全な復元に必要な分散情報の最低数である2以上n以下の整数の閾値kと、閾値kに対して秘密情報Sの部分的な復元を許容する分散情報の不足数を決定する2以上k以下の整数の分割数dから、秘密情報SをS,S,…,Sd−1に分割し、これらの分割した秘密情報(以下、分割情報)を定数項とする(k−1)次の多項式f(x)を、
f(x)=S+Sx+…+Sd−1d−1+r+…+rk−dk−1 mod p
(r,…,rk−d:乱数、p:素数)
として作成し、元の秘密情報Sを所有あるいは預託により分配する秘密情報分配者は、分散情報を保管する各分散情報保持者i(1=1,2,…,n)に対して、分散情報W=f(i)を分配するものである。 Further, as an extension of the (k, n) threshold secret sharing method, there is a (d, k, n) threshold secret sharing method (for example, see Non-Patent Document 2). This is an integer distribution number n of 2 or more which is the number of distributed information distribution, an integer threshold value k of 2 or more and n or less which is the minimum number of distributed information necessary for complete restoration of the secret information S, and a threshold value The secret information S is converted to S 0 , S 1 ,..., S d− from an integer division number d of 2 or more and k or less that determines the number of shared information deficiencies that allow partial restoration of the secret information S with respect to k. (K-1) degree polynomial f (x) is divided into 1 and the divided secret information (hereinafter, divided information) is a constant term.
f (x) = S 0 + S 1 x +... + S d−1 x d−1 + r 1 x d +... + r k−d x k−1 mod p
(R 1, ..., r k -d: random number, p: prime number)
The secret information distributor who creates the original secret information S and distributes the original secret information S by deposit is distributed to each shared information holder i (1 = 1, 2,..., N) storing the shared information. W i = f (i) is distributed.

この(d,k,n)閾値秘密分散法は、先の(k,n)閾値秘密分散法と同様に、n個の分散情報の内、任意のk個の分散情報がそろえば、f(x)に関する連立方程式を解く事により元の秘密情報Sを復元できるが、任意の(k−d)個までの分散情報がそろってもf(x)に関する連立方程式を解く事はできないため、元の秘密情報Sは復元できないという特徴がある。ただし、任意の(k−d+1)個から(k−1)個までの分散情報がそろった場合には、f(x)に関する連立方程式から分割情報S,S,…,Sd−1に関する関係式が求められるため、分割情報S,S,…,Sd−1として可能な値を得る事ができ、元の秘密情報Sを部分的に復元する事ができる。 This (d, k, n) threshold secret sharing method is similar to the previous (k, n) threshold secret sharing method. If any k pieces of distributed information are gathered among n pieces of shared information, f ( The original secret information S can be restored by solving the simultaneous equations relating to x), but the simultaneous equations relating to f (x) cannot be solved even if any (k−d) pieces of distributed information are collected. The secret information S cannot be restored. However, when any (k−d + 1) to (k−1) pieces of distributed information are collected, the division information S 0 , S 1 ,..., S d−1 is obtained from simultaneous equations relating to f (x). Since the relational expression is obtained, possible values can be obtained as the pieces of divided information S 0 , S 1 ,..., S d−1 , and the original secret information S can be partially restored.

A.Shamir,“How to Share a Secret”,Commun.of ACM,Vol.22,No.11,pp.612−613,1979A. Shamir, “How to Share a Secret”, Commun. of ACM, Vol. 22, No.11, pp. 612-613, 1979 G.R.Blakley,C.Meadows,“Security of ramp schemes”,Proc.of Crypto ’84,Lecure Notes on Comput.Sci.,196,pp.242−268,1984G. R. Blakley, C.I. Meadows, “Security of ramp schemes”, Proc. of Crypto '84, Lecure Notes on Computer. Sci. 196, pp. 242-268, 1984

従来の(k,n)閾値秘密分散法は、k個以上の分散情報を集めて初めて完全な秘密情報Sを復元可能であり、(k−1)個以上の分散情報を集めても秘密情報Sは復元不可能であるため、秘密情報Sに対して部分的に情報を復元するような構成は実現できない。   The conventional (k, n) threshold secret sharing method can restore the complete secret information S only after collecting k or more pieces of shared information. Even if (k-1) or more pieces of shared information are collected, the secret information is recovered. Since S cannot be restored, a configuration in which information is partially restored with respect to the secret information S cannot be realized.

一方、従来の(d,k,n)閾値秘密分散法は、任意の(k−d+1)個から(k−1)個までの分散情報がそろった場合には分割情報S,S,…,Sd−1に関する方程式が求められるため、分割情報S,S,…,として可能な値を得る事ができ、元の秘密情報Sを部分的に復元する事ができる。しかし、秘密情報Sに対して全ての分割情報S(0≦t≦d−1)を復元可能とするような構成は実現できない。 On the other hand, in the conventional (d, k, n) threshold secret sharing method, when any (k−d + 1) to (k−1) pieces of distributed information are collected, the divided information S 0 , S 1 , .., S d−1 is obtained, so that possible values can be obtained as the division information S 0 , S 1 ,..., And the original secret information S can be partially restored . However, it is not possible to realize a configuration that can restore all pieces of divided information S t (0 ≦ t ≦ d−1) with respect to the secret information S.

本発明は、従来の(d,k,n)閾値秘密分散法の上述のような問題に鑑みなされたもので、その目的は、幾つかの特定の分散情報がそろった場合に、特定の分割情報S(0≦t≦d−1)のみ復元可能であり、他の分割情報S(0≦u≦d−1,u≠t)は復元不可能であるような、秘密情報Sの部分的な復元を制御可能な秘密情報分散方法、その装置、プログラム、及びプログラムを記録した記録媒体を提供することにある。 The present invention has been made in view of the above-described problems of the conventional (d, k, n) threshold secret sharing scheme, and its purpose is to perform a specific division when several specific pieces of distributed information are collected. Only the information S t (0 ≦ t ≦ d−1) can be restored, and the other pieces of divided information S u (0 ≦ u ≦ d−1, u ≠ t) cannot be restored. It is an object to provide a secret information distribution method capable of controlling partial restoration, an apparatus thereof, a program, and a recording medium on which the program is recorded.

分散情報からの秘密情報Sの復元は、分散情報の番号iと分散情報の値Wとを分散関数f(x)にあてはめた連立方程式を解く事により行われる。 The secret information S is restored from the shared information by solving simultaneous equations in which the number i of each shared information and the value W i of the shared information are applied to the distributed function f (x).

従来の(d,k,n)閾値秘密分散法では、例えばk=3、d=2とした場合に分散関数f(x)は、
f(x)=S+S・x+r・x mod p
で表現され、任意の2個の分散情報WとWx+b (x,b,x+b≠0)についての連立方程式は以下のような行列式で表わされる。

Figure 2005130404
In the conventional (d, k, n) threshold secret sharing method, for example, when k = 3 and d = 2, the distribution function f (x) is
f (x) = S 0 + S 1 × x + r × x 2 mod p
The simultaneous equations for any two pieces of distributed information W x and W x + b (x, b, x + b ≠ 0) are expressed by the following determinants.
Figure 2005130404

行列式の左項を掃き出し法により変形すると、

Figure 2005130404
となり、x,x+b≠0より−x(x+b)≠0であって、連立方程式からはS とr、S とS の関係式しか求める事ができず、したがって分割情報S を部分的に復元する事は原理的にできない。一方、2x+b≡0となるx,bの組み合わせにおいては、S とrの関係式及びS が求められるが、非常に大きな素数pの下ではb≡p−xてある必要があり、そのようなx,bの組み合わせは現実的ではない。 When the left term of the determinant is transformed by the sweep method,
Figure 2005130404
 Next, x, a -x (x + b) ≠ 0 than x + b ≠ 0, from simultaneous equations can not be determined only in relation S 0 and r, S 0 and S 1, thus partial division information S 0 In principle, it cannot be restored. On the other hand, in the combination of x and b where 2x + b≡0, the relational expression of S 0 and r and S 1 are obtained, but under a very large prime number p, b≡p−x must be obtained Such a combination of x and b is not realistic.

図1に、本発明の復元制御型秘密情報分散方法の網羅的な処理フロー図を示す。以下、図1にもとづいて本発明の原理を説明する。
本発明の第1の方法は、秘密情報Sについて、秘密情報Sの完全な復元に必要な分散情報の最低数である2以上の整数の閾値k、閾値kに対して秘密情報Sの部分的な復元を許容する分散情報の不足数を決定する2以上k以下の整数の分割数dと、秘密情報Sのd個の分割情報S,S,…,Sd−1などの秘密情報Sを分散するための条件を入力し(ステップ1)、
最大の分割情報S(0≦t≦d−1)よりも大きな素数pと、素数pよりも小さく0でない(k−d個)の乱数r(1≦1≦k−d)と、(k(k−1)/2)個の乱数a(1≦j≦k(k−1)/2)を生成して、
f(x)=S+S(x−a)+…+Sd−1(x−a(d一1)(d−2)/2+1)(x−a(d−1)(d−2)/2+2)…(x−a(d−1)(d−2)/2+d−1)+r(x−ad(d−1)/2+1)(x−ad(d−1)/2+2)…(x−ad(d−1)/2+d)+…+rk−d(x−a(k−1)(k−2)/2+1)(x−a(k−1)(k−2)/2+2)…(x−a(k−1)(k−2)/2+k−1) mod p
の式で表現される秘密情報Sの分散関数f(x)を生成する(ステップ2)、
ことを特徴とする。
また、この式を展開すれば、次のような式でも表現できる。

Figure 2005130404
FIG. 1 shows a comprehensive process flow diagram of the restoration control type secret information distribution method of the present invention. The principle of the present invention will be described below with reference to FIG.
According to the first method of the present invention, the secret information S is a partial number of the secret information S with respect to the threshold value k, which is an integer of 2 or more, which is the minimum number of distributed information necessary for complete restoration of the secret information S. a division number d of more than k an integer that determines the number of lack of shared information that allows Do restoration, d pieces of divided information S 0 of the secret information S, S 1, ..., secret information, such as S d-1 Enter the conditions for distributing S (Step 1)
A prime number p larger than the maximum division information S t (0 ≦ t ≦ d−1), and a random number r i (1 ≦ 1 ≦ k−d) smaller than the prime number p and not 0 (k−d), (K (k−1) / 2) random numbers a j (1 ≦ j ≦ k (k−1) / 2) are generated,
f (x) = S 0 + S 1 (x−a 1 ) +... + S d−1 (x−a (d 1) (d−2) / 2 + 1 ) (x−a (d−1) (d− 2) / 2 + 2) ... (x-a (d-1) (d-2) / 2 + d-1) + r 1 (x-a d (d-1) / 2 + 1) (x-a d (d-1) / 2 + 2) ... (x- ad (d-1) / 2 + d ) + ... + rk -d (x-a (k-1) (k-2) / 2 + 1 ) (x-a (k-1) ( k-2) / 2 + 2 ) (x-a (k-1) (k-2) / 2 + k-1 ) mod p
A distribution function f (x) of the secret information S expressed by the following formula (Step 2):
It is characterized by that.
If this formula is expanded, it can also be expressed by the following formula.
Figure 2005130404

本発明の第1の方法によれば、例えばk=3、d=2とした場合に生成される分散関数f(x)は、
f(x)=S+S(x−a)+r(x−a)(x−amod p
で表現され、任意の2個の分散情報WとW+bについての連立方程式は以下のような行列式で表現できる。

Figure 2005130404
According to the first method of the present invention, for example, the dispersion function f (x) generated when k = 3 and d = 2 is
f (x) = S 0 + S 1 (x−a 1 ) + r (x−a 2 ) (x−a 3 ) mod p
The simultaneous equations for any two pieces of distributed information W x and W x + b can be expressed by the following determinant.
Figure 2005130404

行列式の左項を掃き出し法により変形すると、

Figure 2005130404
となり、a,a,aの値によっては−x +(2a −b)x+a b−a −a +a ≡0,2x+b−a −a ≡0を満たすxとbがある場合に、連立方程式から分割情報のSのみ、もしくはSのみを求める事ができる。 When the left term of the determinant is transformed by the sweep method,
Figure 2005130404
 Depending on the values of a 1 , a 2 , and a 3 , −x 2 + (2a 1 −b) x + a 1 b−a 1 a 2 −a 1 a 3 + a 2 a 3 ≡0, 2x + b−a 2 −a When there are x and b satisfying 3≡0 , only the division information S 0 or only S 1 can be obtained from the simultaneous equations.

したがって、本発明の第1の方法により生成される分散関数f(x)による秘密情報Sの分散情報は、幾つかの特定の分散情報がそろった場合に特定の分割情報S(0≦t≦d−1)を復元可能とする事ができる。 Therefore, the shared information of the secret information S by the distributed function f (x) generated by the first method of the present invention is the specific divided information S t (0 ≦ t) when some specific shared information is collected. ≦ d−1) can be restored.

本発明の第1の方法により、k個の任意の分散情報を集めると元の秘密情報Sが復元可能であって、k個に足りなくても(k−d+1)個以上の特定の分散情報の組み合わせからは秘密情報Sの特定の部分情報Sが復元可能であるように、秘密情報の復元を制御した分散情報を生成するための分散関数f(x)を得る事ができる。 According to the first method of the present invention, if k pieces of arbitrary shared information are collected, the original secret information S can be restored, and even if there are not enough k pieces, (k−d + 1) pieces of specific pieces of shared information are obtained. the combination of such specific partial information S t of the secret information S can be restored, it is possible to obtain a dispersion function f (x) for generating shared information with a controlled restoration of the secret information.

本発明の第2の方法は、先の本発明の第1の方法において、生成した分散関数f(x)から、特定の個数のxについての組み合わせの連立方程式を表現する行列式を生成し、この行列式を掃き出し法により変形して得られる、特定の個数の分散情報から特定の分割情報Sを復元可能とするような特定のxの組み合わせを求めるための制約式を解いて、特定の個数の分散情報から特定の分割情報Sを復元可能とする特定のxの組み合わせである復元制御情報を導出する(ステップ3)ことを特徴とする。 The second method of the present invention generates a determinant expressing a combination of simultaneous equations for a specific number of x from the generated dispersion function f (x) in the first method of the present invention. obtained by modifying the determinant by sweeping-out method, by solving the constraint equation for obtaining a particular combination of x, such as to allow restore specific division information S t from the distributed information for a specific number, specific deriving a combination in which the restoration control information for a particular x that from the number shared information and restorable specific division information S t (step 3), characterized in.

任意の閾値k、分割数dから決定される分散関数f(x)の一般形から、(k−d+1)個から(k−1)個の任意のx(1≦m≦k−d+1〜k−1)についてx=x+bm−1 (b =0,b ≠b ≠…≠b m−1 ≠0)とおいて、f(x)に関する連立方程式を表現する以下のような行列式を作成する事ができる。

Figure 2005130404
From the general form of the dispersion function f (x) determined from the arbitrary threshold k and the division number d, (k−d + 1) to (k−1) arbitrary x m (1 ≦ m ≦ k−d + 1 to 1). With respect to k−1), x m = x + b m−1 (b 0 = 0, b 1 ≠ b 2 ≠ ... ≠ b m−1 ≠ 0), and the following simultaneous equations for f (x) are expressed: Determinants can be created.
Figure 2005130404

行列式の左項を掃き出し法により変形すると、

Figure 2005130404
の形に変形でき、 m,1 ≡0,L m,2 ≡0,…,L m,k−d ≡0の場合に連立方程式からSm−1を求める事ができるようになる。 When the left term of the determinant is transformed by the sweep method,
Figure 2005130404
 S m−1 can be obtained from the simultaneous equations when L m, 1 ≡0, L m, 2 ≡0,..., L m, kd ≡0 .

このように、本発明の第2の方法は、秘密情報Sの分散情報を生成するための分散関数f(x)から、特定の個数のxについての組み合わせの連立方程式を表現する行列式を生成し、この行列式を掃き出し法により変形して、xとbとaからなる関係式であるLu,v(1≦u≦m,1≦v≦k−d)について、 t−1,v ≡0(1≦v≦k−d)を解く事により、これを満たすxおよびbの組み合わせを分割情報Sを復元可能な分散情報の組み合わせとして算出するものである。 As described above, the second method of the present invention generates a determinant expressing a combination of simultaneous equations for a specific number of x from the distribution function f (x) for generating the shared information of the secret information S. Then, this determinant is transformed by the sweep-out method, and for L u, v (1 ≦ u ≦ m, 1 ≦ v ≦ k−d) which is a relational expression consisting of x, b m and a j , L t− 1, v ≡0 more (1 ≦ v ≦ k-d ) that solving, and calculates a combination of x and b m satisfy this division information S t as a combination of recoverable shared information.

本発明の第2の方法により、幾つかの特定の分散情報がそろった場合に復元可能となる特定の分割情報S(0≦t≦d−1)について、復元を可能とする特定のxの組み合わせを求める事が可能となる。 According to the second method of the present invention, the specific division information S t (0 ≦ t ≦ d−1) that can be restored when several pieces of specific shared information are gathered can be restored. It becomes possible to ask for a combination of

本発明の第3の方法は、閾値kと、閾値kに対して秘密情報Sの部分的な復元を許容する分散情報の不足数を決定する分割数dを入力し(ステップ1)、
さらに、分散したい秘密情報Sを構成するd個の分割情報S,S,…,Sd−1について、個々の分割情報に対して部分的な復元の許可または禁止を指定し、復元を許可あるいは禁止する特定のxの組み合わせないしは組み合わせの個数を入力すると(同ステップ1)、
最大の分割情報S(0≦t≦d−1)よりも大きな素数pと、素数pよりも小さく0でない(k−d個)の乱数ri(1≦1≦k−d)を生成し、(k(k−1)/2)個の変数a(1≦j≦k(k−1)/2)とxによる
f(x)=S+S(x−a)+…+Sd−1(x−a(d一1)(d−2)/2+1)(x−a(d−1)(d−2)/2+2)…(x−a(d−1)(d−2)/2+d−1)+r(x−ad(d−1)/2+1)(x−ad(d−1)/2+2)…(x−ad(d−1)/2+d)+…+rk−d(x−a(k−1)(k−2)/2+1)(x−a(k−1)(k−2)/2+2)…(x−a(k−1)(k−2)/2+k−1) mod p
の式で表現される分散関数f(x)を仮生成して(ステップ2)、
仮生成した分散関数f(x)から、特定の個数のxについての組み合わせの連立方程式を表現する行列式を生成し、この行列式を掃き出し法により変形して、特定の個数の分散情報から特定の分割情報Sを復元可能とするような特定のxの組み合わせを求めるためのxと変数aからなる制約式を導出し(ステップ3)、
部分的な復元を許可する特定の分割情報Sの復元を可能とするxの組み合わせないしは組み合わせの個数である復元許可条件と、部分的な復元を禁止する特定の分割情報Sの復元を可能とするxの組み合わせないしは組み合わせの個数である復元禁止条件に基づいて、特定のxの組み合わせから特定の分割情報Sを復元可能とするための制約式を解いて変数aを求め、分散関数f(x)を決定する(ステップ4)、
ことを特徴とする。 The third method of the present invention inputs a threshold value k and a division number d for determining the number of shared information deficiencies that allow partial restoration of the secret information S with respect to the threshold value k (step 1).
Further, with respect to the d pieces of divided information S 0 , S 1 ,..., S d−1 constituting the secret information S to be distributed, partial restoration permission or prohibition is designated for each piece of divided information, and restoration is performed. When a specific x combination or the number of combinations to be permitted or prohibited is input (step 1),
A prime number p larger than the maximum division information S t (0 ≦ t ≦ d−1) and a non-zero (k−d) random number ri (1 ≦ 1 ≦ k−d) smaller than the prime number p are generated. , (K (k−1) / 2) variables a j (1 ≦ j ≦ k (k−1) / 2) and x, f (x) = S 0 + S 1 (x−a 1 ) +. + S d-1 (xa (d 1) (d-2) / 2 + 1 ) (xa (d-1) (d-2) / 2 + 2 ) ... (xa (d-1) (d -2) / 2 + d-1 ) + r 1 (x-a d (d-1) / 2 + 1) (x-a d (d-1) / 2 + 2) ... (x-a d (d-1) / 2 + d) + ... + r k-d (x-a (k-1) (k-2) / 2 + 1 ) (x-a (k-1) (k-2) / 2 + 2 ) ... (x-a (k-1) (K-2) / 2 + k-1 ) mod p
The dispersion function f (x) expressed by the following equation is provisionally generated (step 2),
A determinant that expresses a combination of simultaneous equations for a specific number of x is generated from the temporarily generated dispersion function f (x), and this determinant is transformed by a sweeping method to be specified from a specific number of pieces of dispersion information. the division information S t to the derived restorable particular combination of x such that to consist of x and variables a j for determining the constraint equation (step 3),
Possible and restore permission condition is a combination or combination number of x that enables restoration of a particular division information S t to permit partial restoration, the restoration of a particular division information S t to prohibit partial restore a combination or combination number of x to restore on the basis of the prohibition condition, obtains the variable a j by solving the constraint equation for enabling restore specific division information S t from combination of the specified x, dispersion function determine f (x) (step 4);
It is characterized by that.

また、本発明の方法は、先の第1乃至第3の方法において、分散条件を入力するステップ1にて、分散情報を生成する個数である分散数nを入力すると、ステップ2またはステップ4にて決定された分散関数f(x)から、所定の条件に従ったn個の分散情報を生成する(ステップ5)、ことを特徴とする。
また、本発明の方法は、先のステップ2またはステップ4にて決定された分散関数f(x)、ステップ3にて求められた特定のxの組み合わせから特定の分割情報Sを復元可能とするための特定のxの組み合わせである復元制御情報、ステップ5において生成された分散情報を出力する(ステップ6)、ことを特徴とする。 Further, in the method of the present invention, in the first to third methods, when the distribution number n which is the number for generating the distribution information is input in Step 1 of inputting the distribution condition, Step 2 or Step 4 is performed. From the variance function f (x) determined in this manner, n pieces of variance information according to a predetermined condition are generated (step 5).
The method of the present invention, the foregoing step 2 or step 4 is determined by the dispersion function f (x), and can restore a specific division information S t from combination of the specified x obtained at Step 3 The restoration control information, which is a combination of specific x for the purpose, and the distribution information generated in step 5 are output (step 6).

また、本発明の方法は、分散関数f(x)を構成する要素の内、秘密情報Sのd個の分割情報S,S,…,Sd−1、最大の分割情報S(0≦t≦d−1)よりも大きな素数p、素数pよりも小さく0でない(k−d個)の乱数ri(1≦1≦k−d)の入力ないしは生成は、分散関数f(x)を出力する直前、あるいは分散情報を生成する直前で良いことを特徴とする。 In addition, the method of the present invention includes d pieces of division information S 0 , S 1 ,..., S d−1 of the secret information S among the elements constituting the distribution function f (x), and the maximum division information S t ( An input or generation of a prime number p larger than 0 ≦ t ≦ d−1) and a random number ri (1 ≦ 1 ≦ kd) smaller than the prime number p and smaller than 0 (k−d) is expressed by the distribution function f (x ), Or just before generating distributed information.

本発明による第1の復元制御型秘密情報分散装置は、
分散したい秘密情報Sについて、秘密情報Sの復元に必要な分散情報の個数の最低数である閾値kと、閾値kに対して秘密情報Sの部分的な復元を許容する分散情報の不足数を決定する分割数dと、秘密情報Sのd個の分割情報S,S,…,Sd−1の入力を受け付ける分散条件入力部と、
閾値kと分割数dに基づいて、最大の分割情報S(0≦t≦d−1)よりも大きな素数pと、素数pよりも小さく0でない(k−d個)の乱数r(1≦i≦k−d)と、(k(k−1)/2)個の乱数a(1≦j≦k(k−1)/2)を生成して、
f(x)=S+S(x−a)+…+Sd−1(x−a(d一1)(d−2)/2+1)(x−a(d−1)(d−2)/2+2)…(x−a(d−1)(d−2)/2+d−1)+r(x−ad(d−1)/2+1)(x−ad(d−1)/2+2)…(x−ad(d−1)/2+d)+…+rk−d(x−a(k−1)(k−2)/2+1)(x−a(k−1)(k−2)/2+2)…(x−a(k−1)(k−2)/2+k−1) mod p
の式で表現される秘密情報Sの分散関数f(x)を生成する分散関数生成部と、
分散関数f(x)から特定の個数のxについての組み合わせの連立方程式を表現する行列式を生成し、この行列式を変形して特定のxの組み合わせから特定の分割情報Sを復元可能とするための制約式を導出する復元条件導出部と、
上記生成された分散関数f(x)と、特定の分割情報Sを復元可能な特定のxの組み合わせを復元制御情報として出力する分散関数出力部と
上記入力された分散条件、生成した分散関数、導出した復元条件を記憶する演算過程記憶部とを有する事を特徴とする。 A first restoration control type secret information distribution apparatus according to the present invention includes:
For the secret information S that is desired to be distributed, a threshold value k that is the minimum number of pieces of shared information necessary for restoring the secret information S and a shortage number of shared information that allows partial restoration of the secret information S with respect to the threshold value k. A distribution condition input unit that receives input of the number of divisions d to be determined and d pieces of division information S 0 , S 1 ,..., S d−1 of the secret information S;
Based on the threshold k and the division number d, a prime number p larger than the maximum division information S t (0 ≦ t ≦ d−1) and a random number r i (k−d) smaller than the prime number p and not 0 (k−d). 1 ≦ i ≦ k−d) and (k (k−1) / 2) random numbers a j (1 ≦ j ≦ k (k−1) / 2),
f (x) = S 0 + S 1 (x−a 1 ) +... + S d−1 (x−a (d 1) (d−2) / 2 + 1 ) (x−a (d−1) (d− 2) / 2 + 2) ... (x-a (d-1) (d-2) / 2 + d-1) + r 1 (x-a d (d-1) / 2 + 1) (x-a d (d-1) / 2 + 2) ... (x- ad (d-1) / 2 + d ) + ... + rk -d (x-a (k-1) (k-2) / 2 + 1 ) (x-a (k-1) ( k-2) / 2 + 2 ) (x-a (k-1) (k-2) / 2 + k-1 ) mod p
A distribution function generation unit that generates a distribution function f (x) of the secret information S expressed by the formula:
It generates a matrix equation representing the simultaneous equations of the combination for x in a particular number from a distributed function f (x), and can restore a specific division information S t from combination of the specified x by deforming the matrix equation A restoration condition deriving unit for deriving a constraint expression for
A dispersion function output unit that outputs, as restoration control information, a combination of the generated dispersion function f (x) and a specific x that can restore the specific division information St , and the input dispersion condition and the generated dispersion function And an arithmetic process storage unit for storing the derived restoration condition.

本発明装置により、所定の数の任意の分散情報を集めると元の秘密情報Sが復元可能であって、所定の数に足りなくても特定の分散情報の組み合わせからは秘密情報Sの特定の部分情報が復元可能であるように、秘密情報の復元を制御した分散情報を生成する分散関数と、その復元制御情報を導出する復元制御型秘密情報分散装置を実現することができる。   By collecting a predetermined number of pieces of arbitrary shared information by the apparatus of the present invention, the original secret information S can be restored, and even if the predetermined number is not enough, a specific combination of shared information S It is possible to realize a distributed function for generating shared information in which the recovery of secret information is controlled and a recovery control type secret information distribution apparatus for deriving the recovery control information so that partial information can be recovered.

本発明による第2の復元制御型秘密情報分散装置は、
分散したい秘密情報Sについて、秘密情報Sの復元に必要な分散情報の個数の最低数である閾値kと、閾値kに対して秘密情報Sの部分的な復元を許容する分散情報の不足数を決定する分割数dと、分散したい秘密情報Sを構成するd個の分割情報S,S,…,Sd−1について、個々の分割情報に対して部分的な復元の許可または禁止を指定し、復元を許可あるいは禁止するxの組み合わせないしは組み合わせの個数の入力を受け付ける分散条件入力部と、
閾値kと分割数dに基づいて、最大の分割情報S(0≦t≦d−1)よりも大きな素数pと、素数pよりも小さく0でない(k−d個)の乱数r(1≦i≦k−d)と、(k(k−1)/2)個の変数a(1≦j≦k(k−1)/2)による、
f(x)=S+S(x−a)+…+Sd−1(x−a(d一1)(d−2)/2+1)(x−a(d−1)(d−2)/2+2)…(x−a(d−1)(d−2)/2+d−1)+r(x−ad(d−1)/2+1)(x−ad(d−1)/2+2)…(x−ad(d−1)/2+d)+…+rk−d(x−a(k−1)(k−2)/2+1)(x−a(k−1)(k−2)/2+2)…(x−a(k−1)(k−2)/2+k−1) mod p
の式で表現される秘密情報Sの分散関数f(x)の一般形を生成する分散関数生成部と、
分散関数f(x)の一般形から、特定の個数のxについての組み合わせの連立方程式を表現する行列式を生成し、この行列式を変形して特定のxの組み合わせから特定の分割情報Sを復元可能とするための制約式を導出する復元条件導出部と、
部分的な復元を許可あるいは禁止する特定の分割情報Sの復元を可能とするxの組み合わせないし組み合わせの個数に基づいて、特定の分割情報Sを復元可能とする特定のxの組み合わせを表わす制約式を解いて、分散関数f(x)の一般系における定数項を決定して分散関数f(x)を決定する分散関数決定部と、
上記決定された分散関数f(x)と、特定の分割情報Sを復元可能な特定のxの組み合わせを復元制御情報として出力する分散関数出力部と、
上記入力された分散条件、生成した分散関数、導出した復元条件を記憶する演算過程記憶部とを有する事を特徴とする。 The second restoration control type secret information distribution apparatus according to the present invention is:
For the secret information S that is desired to be distributed, a threshold value k that is the minimum number of pieces of shared information necessary for restoring the secret information S and a shortage number of shared information that allows partial restoration of the secret information S with respect to the threshold value k. a division number d of determining, d pieces of divided information S 0 that constitutes the secret information S to be dispersed, S 1, ..., the S d-1, enabling or disabling of partial restore for each division information A distributed condition input unit that accepts input of the number of combinations or the number of combinations that are designated and allow or prohibit restoration, and
Based on the threshold k and the division number d, a prime number p larger than the maximum division information S t (0 ≦ t ≦ d−1) and a random number r i (k−d) smaller than the prime number p and not 0 (k−d). 1 ≦ i ≦ k−d) and (k (k−1) / 2) variables a j (1 ≦ j ≦ k (k−1) / 2),
f (x) = S 0 + S 1 (x−a 1 ) +... + S d−1 (x−a (d 1) (d−2) / 2 + 1 ) (x−a (d−1) (d− 2) / 2 + 2) ... (x-a (d-1) (d-2) / 2 + d-1) + r 1 (x-a d (d-1) / 2 + 1) (x-a d (d-1) / 2 + 2) ... (x- ad (d-1) / 2 + d ) + ... + rk -d (x-a (k-1) (k-2) / 2 + 1 ) (x-a (k-1) ( k-2) / 2 + 2 ) (x-a (k-1) (k-2) / 2 + k-1 ) mod p
A distribution function generation unit that generates a general form of the distribution function f (x) of the secret information S expressed by the formula:
A determinant expressing a combination of simultaneous equations for a specific number of x is generated from the general form of the dispersion function f (x), and the determinant is modified to generate specific division information S t from the specific combination of x. A restoration condition deriving unit for deriving a constraint expression for making
Based on the combination or the combination number of x that enables restoration of a particular division information S t to permit or prohibit the partial restore represents a particular combination of x to restorable specific division information S t A dispersion function determining unit that solves the constraint equation and determines a constant term in the general system of the dispersion function f (x) to determine the dispersion function f (x);
And the determined variance function f (x), and the dispersion function output unit for outputting a combination of specific division information S t a restorable a specific x as the restoration control information,
And an arithmetic process storage unit for storing the input dispersion condition, the generated dispersion function, and the derived restoration condition.

本発明装置により、所定の数の任意の分散情報を集めると元の秘密情報Sが復元可能であって、所定の数に足りなくても特定の分散情報の組み合わせからは秘密情報Sの特定の部分情報が復元可能であるように、特定の分割情報Sを復元可能な特定のxの組み合わせを指定して、秘密情報の復元を制御した分散情報を生成する分散関数と、その復元制御情報を導出する復元制御型秘密情報分散装置を実現することができる。 By collecting a predetermined number of pieces of arbitrary shared information by the apparatus of the present invention, the original secret information S can be restored, and even if the predetermined number is not enough, a specific combination of shared information S as part information can be restored, by specifying a combination of a specific division information S t a restorable a specific x, and variance function for generating shared information with a controlled restoration of the secret information, the restoration control information Can be realized.

本発明による第3の復元制御型秘密情報分散装置は、
分散したい秘密情報Sについて、分散関数f(x)を入力する分散関数入力部と、
入力された分散関数f(x)から、特定の個数のxについての組み合わせの連立方程式を表現する行列式を生成し、この行列式を変形して特定のxの組み合わせから特定の分割情報Sを復元可能とするための制約式を導出する復元条件導出部と、
上記入力された分散関数f(x)に対して特定の分割情報Sを復元可能な特定のxの組み合わせを復元制御情報として出力する復元制御情報出力部と、
上記入力された分散関数、導出した復元条件を記憶する演算過程記憶部とを有する事を特徴とする。 The third restoration control type secret information distribution apparatus according to the present invention is:
A distribution function input unit for inputting a distribution function f (x) for secret information S to be distributed;
A determinant that expresses a combination of simultaneous equations for a specific number of x is generated from the input dispersion function f (x), and the determinant is modified to generate specific partition information S t from a specific combination of x. A restoration condition deriving unit for deriving a constraint expression for making
A restoration control information output unit that outputs a combination of specific division information S t a restorable a specific x with respect to the input variance function f (x) as the restoration control information,
And an arithmetic process storage unit for storing the inputted dispersion function and the derived restoration condition.

本発明装置により、所定の数の任意の分散情報を集めると元の秘密情報Sが復元可能であって、所定の数に足りなくても特定の分散情報の組み合わせからは秘密情報Sの特定の部分情報が復元可能であるように、秘密情報の復元を制御した分散情報を生成する既知の分散関数について、特定の分割情報Sを復元可能な特定のxの組み合わせである復元制御情報を導出する復元制御型秘密情報分散装置を実現することができる。 By collecting a predetermined number of pieces of arbitrary shared information by the apparatus of the present invention, the original secret information S can be restored, and even if the predetermined number is not enough, a specific combination of shared information S as part information can be restored, and known variance function for generating shared information with a controlled restoration of the secret information, deriving the restoration control information is a combination of specific division information S t a restorable a specific x It is possible to realize a restoration control type secret information distribution apparatus.

また、本発明による復元制御型秘密情報分散装置は、先の第1乃至第3の復元制御型秘密情報分散装置において、
閾値kと分割数dに対応する、分散関数f(x)の一般形と一般形から導出される制約式を記録した復元条件記憶部と、
入力された分散条件ないしは分散関数f(x)に従って、条件に合致する分散関数f(x)および制約式を検索する復元条件検索部とを有する事を特徴とする。 Further, the restoration control type secret information distribution apparatus according to the present invention is the above first to third restoration control type secret information distribution apparatus,
A general condition of the dispersion function f (x) corresponding to the threshold k and the number of divisions d, and a restoration condition storage unit that records a constraint expression derived from the general form;
According to the inputted dispersion condition or dispersion function f (x), a dispersion function f (x) that matches the condition and a restoration condition retrieval unit that retrieves a constraint expression are provided.

本発明装置により、既知の分散条件の下での分散関数および既知の分散関数の一般形については、繁雑な計算を行う事なく分散関数および制約式および復元制御情報を得る復元制御型秘密情報分散装置を実現することができる。   With the apparatus of the present invention, the distribution function under the known distribution condition and the general form of the known distribution function can be obtained without using complicated calculation. An apparatus can be realized.

また、本発明による復元制御型秘密情報分散装置は、
秘密情報Sについて、分散情報を生成する個数である分散数nに従って、分散関数f(x)と復元制御情報に基づいてn個の分散情報を生成する分散情報生成部と、
生成したn個の分散情報を、分散情報を計算したxの値とともに出力する分散情報出力部とを有する事を特徴とする。 Further, the restoration control type secret information distribution apparatus according to the present invention includes:
A shared information generating unit that generates n pieces of shared information based on the distributed function f (x) and the restoration control information according to the distributed number n that is the number of shared information to be generated for the secret information S;
The distributed information output unit outputs the generated n pieces of shared information together with the value of x for which the shared information is calculated.

本発明装置により、所定の数の任意の分散情報を集めると元の秘密情報Sが復元可能であって、所定の数に足りなくても特定の分散情報の組み合わせからは秘密情報Sの特定の部分情報が復元可能であるように、分散情報を生成する復元制御型秘密情報分散装置を実現することができる。   By collecting a predetermined number of pieces of arbitrary shared information by the apparatus of the present invention, the original secret information S can be restored, and even if the predetermined number is not enough, a specific combination of shared information S It is possible to realize a restoration control type secret information sharing apparatus that generates shared information so that partial information can be restored.

本発明では、秘密情報Sについて、所定の数の任意の分散情報を集めると元の秘密情報Sが復元可能であって、所定の数に足りなくても特定の分散情報の組み合わせからは秘密情報Sの特定の部分情報が復元可能であるように、秘密情報の復元を制御した秘密情報分散を実現する事ができる。   In the present invention, when a predetermined number of arbitrary shared information is collected for the secret information S, the original secret information S can be restored, and the secret information can be recovered from a combination of specific shared information even if the predetermined number is not sufficient. Secret information distribution in which restoration of secret information is controlled can be realized so that specific partial information of S can be restored.

以下、本発明の実施の形態を具体的実施例により説明する。   Hereinafter, embodiments of the present invention will be described with reference to specific examples.

図2に本発明の実施例1における復元制御型秘密情報分散装置100の機能構成例を示す。本装置は、分散条件入力部110、分散関数生成部120、復元条件導出部130、分散関数決定部140、分散関数出力部150、演算過程記憶部160、復元条件記憶部170、復元条件検索部180、分散情報生成部190、分散情報出力部200から構成される。なお、これら各部の動作を制御する制御部も具備するが、図2では省略してある。   FIG. 2 shows a functional configuration example of the restoration control secret information distribution apparatus 100 according to the first embodiment of the present invention. The apparatus includes a dispersion condition input unit 110, a dispersion function generation unit 120, a restoration condition derivation unit 130, a dispersion function determination unit 140, a dispersion function output unit 150, an operation process storage unit 160, a restoration condition storage unit 170, and a restoration condition search unit. 180, a shared information generation unit 190, and a shared information output unit 200. In addition, although the control part which controls operation | movement of each of these parts is also provided, it is abbreviate | omitted in FIG.

本実施例では、部分的な分割情報SとSから構成される秘密情報Sを6個の分散情報に分散するものとして、6個の内任意の3個の分散情報を持ち寄れば秘密情報Sを完全に復元でき、1番目と2番目の分散情報を持ち寄ると分割情報Sを、1番目と6番目の分散情報を持ち寄ると分割情報Sを復元でき、これ以外の任意の2個の分散情報からは秘密情報Sを完全には復元できないように、秘密情報Sの分散情報を生成するとする。分散の対象とする秘密情報Sを4桁の16進文字列、S=3CABとし、分割情報はS=3C、S=ABとする。 In the present embodiment, it is assumed that the secret information S composed of the partial division information S 0 and S 1 is dispersed into six pieces of shared information, and if any three of the six pieces of shared information are brought together, the secret information S The information S can be completely restored, and the divided information S 0 can be restored by bringing the first and second shared information, and the divided information S 1 can be restored by bringing the first and sixth shared information. It is assumed that the shared information of the secret information S is generated so that the secret information S cannot be completely restored from the pieces of shared information. The secret information S to be distributed is a 4-digit hexadecimal character string, S = 3CAB, and the division information is S 0 = 3C and S 1 = AB.

まず、分散条件入力部110において、ユーザによる分散条件の入力を受け付ける。本実施例における分散条件は、3個の分散情報で完全な復元を許す事から閾値k=3、2個の分散情報でも部分的な復元を許す事から分割数d=2、および分割情報S=3C、S=ABとする。また、分散情報の生成と復元に関する条件として、分散数n=6と、分割情報Sを復元可能とする組み合わせ(1,2)、分割情報Sを復元可能とする組み合わせ(1,6)が入力されたものとする。分散条件入力部110は演算過程記憶部160に入力された分散条件を記憶する。 First, the distribution condition input unit 110 receives an input of a distribution condition by a user. The distribution condition in this embodiment is that the threshold k = 3 because partial restoration is allowed with three pieces of shared information, and the division number d = 2 and partial information S because partial restoration is allowed even with two pieces of shared information. Assume that 0 = 3C and S 1 = AB. Further, as conditions regarding generation and restoration of the shared information, the number of distributions n = 6, a combination that allows the division information S 0 to be restored (1, 2), and a combination that enables the division information S 1 to be restored (1, 6) Is entered. The distribution condition input unit 110 stores the distribution condition input to the calculation process storage unit 160.

なお、本実施例では、分散条件入力部110において入力される分散条件を、閾値kと分散数d、秘密情報Sの分割情報S,S,…,Sd−1の三項目としているが、閾値kと分割情報S,S,…,Sd−1の二項目を入力する事で分割数dを求めるようにしたり、逆に閾値kと分割数d、秘密情報Sの三項目の入力を受け付け、入力された秘密情報Sから自動的に分割情報S,S,…,Sd−1を生成するようにしても構わない。また、本実施例では秘密情報Sに対する分割情報を秘密情報Sの上位2桁と下位2桁で分割しているが、本発明は秘密情報Sの分割方法を規定するものではなく、例えば奇数ビットと偶数ビットのようにビット単位で分割しても構わないし、分割情報SとSの積などの演算結果が秘密情報Sとなるように分割しても構わない。さらに、本実施例は分散の対象とする秘密情報Sを16進文字列に限定するものではなく、また単なる文字列に限定するものでもない。数値情報、文字列など分散関数による演算が可能であればどのような情報でも良く、また文書や画像データなどのマルチメディアなどを対象としても良い。 In the present embodiment, the distribution condition input in the distribution condition input unit 110 includes three items: a threshold value k, a distribution number d, and division information S 0 , S 1 ,..., S d−1 of the secret information S. However, the division number d can be obtained by inputting two items of the threshold k and the division information S 0 , S 1 ,..., S d−1 , or conversely, the threshold k, the division number d, and the secret information S The input of the item may be accepted, and the divided information S 0 , S 1 ,..., S d−1 may be automatically generated from the input secret information S. Further, in this embodiment, the division information for the secret information S is divided into the upper two digits and the lower two digits of the secret information S. However, the present invention does not prescribe the division method of the secret information S. It may be divided in bit units such as even bits, or may be divided so that the operation result such as the product of the division information S 0 and S 1 becomes the secret information S. Further, in this embodiment, the secret information S to be distributed is not limited to a hexadecimal character string, and is not limited to a simple character string. Any information such as numerical information and character strings can be used as long as the calculation can be performed using a dispersion function, and multimedia such as documents and image data may be targeted.

また、秘密情報Sの分割情報SとS、および分散情報の生成と復元に関する条件の入力の受け付けについて、説明の都合上、一括して入力されるように記述しているが、これらの値の入力は後の処理で必要となった時に初めて分散条件入力部110で入力されるようにしても良い。本実施例は、これら実際の分散情報を生成するための条件の入力を受け付けるタイミングを規定するものではない。また、本実施例は分散条件および分散情報の生成と復元に関する条件の入力の方法および形式を規定するものではない。キーボード入力やファイル入力の他に、インターネットなどの接続回線を介して他の装置から入力するようにしても構わない。 In addition, regarding the division information S 0 and S 1 of the secret information S and the acceptance of the conditions regarding the generation and restoration of the shared information, it is described as being input in a lump for convenience of explanation. The value may be input by the distribution condition input unit 110 for the first time when it becomes necessary in a later process. The present embodiment does not define the timing for accepting the input of conditions for generating these actual shared information. Further, the present embodiment does not define a method and a format for inputting the conditions regarding the generation and restoration of the distribution conditions and the distribution information. In addition to keyboard input and file input, input may be made from another device via a connection line such as the Internet.

次に、分散関数生成部120において、閾値kと分散数dおよび分割情報SとSに基づいて、SおよびSよりも大きな素数p、素数pよりも小さく0でない乱数r、および3個の変数a、a、aによる下記の式で表現される分散関数f(x)の一般形を生成し、これを演算過程記憶部160に記憶する。
f(x)=S+S(x−a)+r(x−a)(x−a) mod p Next, the dispersion function generator 120, based on the dispersion number d and the divided information with the threshold value k S 0 and S 1, the random number is not 0 less than large prime p, a prime number p than S 0 and S 1 r, and A general form of a dispersion function f (x) expressed by the following expression using three variables a 1 , a 2 , and a 3 is generated and stored in the calculation process storage unit 160.
f (x) = S 0 + S 1 (x−a 1 ) + r (x−a 2 ) (x−a 3 ) mod p

さらに分散関数生成部120は、上記の式で表現される分散関数f(x)の一般形における素数p、乱数r、変数a、a、aの値を乱数発生器や素数算出器などを使って生成する。ここでは、素数p=FB、乱数r=1Fとal=0,a2=2,a3=5を生成したものとする。分散関数生成部120は処理の結果として、生成した各値、および一般形の分散関数f(x)に生成した各値を埋めた式を演算過程記憶部160に記憶する。 Further, the dispersion function generation unit 120 converts the values of the prime number p, the random number r, and the variables a 1 , a 2 , and a 3 in the general form of the dispersion function f (x) expressed by the above formula into a random number generator or a prime number calculator. And so on. Here, it is assumed that prime numbers p = FB, random numbers r = 1F, and al = 0, a2 = 2, a3 = 5 are generated. As a result of the processing, the dispersion function generation unit 120 stores, in the operation process storage unit 160, each value generated and an expression in which each value generated in the general form of the dispersion function f (x) is filled.

なお、本実施例では分散関数生成部120において素数pや乱数r、aなどを生成しているが、乱数および素数の生成方法を特に規定するものではない。また、これらの各値について分散条件入力部110において入力を受け付けるようにしても良い。 In this embodiment, the distribution function generation unit 120 generates prime numbers p, random numbers r i , a j , and the like, but does not particularly define a method for generating random numbers and prime numbers. Further, the distribution condition input unit 110 may accept inputs for these values.

次に、復元条件導出部130において、分散関数生成部120が生成した分散関数f(x)について、特定の個数のxについての組み合わせの連立方程式を表現する行列式を生成し、この行列式を掃き出し方により変形して特定のxの組み合わせから特定の分割情報Sを復元可能とするための制約式を導出する。 Next, in the restoration condition deriving unit 130, a determinant expressing a combination of simultaneous equations for a specific number of x is generated for the dispersion function f (x) generated by the dispersion function generating unit 120. deformed to derive the constraints for enabling restore specific division information S t from combination of the specified x by way sweep.

本実施例においては、特定の2個の分散情報で秘密情報Sの部分的な復元を許す事から、分散関数f(x)から生成される任意の2個の分散情報について、f(x)、f(x+b)とおいて、分散情報を生成する式の連立方程式を表現する行列式を、

Figure 2005130404
のように生成し、演算過程記憶部160に記憶する。本実施例は、演算過程記憶部160に記憶する行列式の表現を規定するものではないが、例えば配列表現により記憶するものとして、1行1列目が1、1行2列目がx−a、…のように記憶したものとする。 In this embodiment, since partial restoration of the secret information S is permitted with specific two pieces of shared information, any two pieces of shared information generated from the distributed function f (x) are represented by f (x) , F (x + b), a determinant expressing the simultaneous equations of the expression for generating the dispersion information is
Figure 2005130404
 And is stored in the calculation process storage unit 160. In the present embodiment, the expression of the determinant stored in the calculation process storage unit 160 is not defined. For example, the first row and the first column are 1 and the first row and the second column are x- It is assumed that they are stored as a l,.

さらに復元条件導出部130は、演算過程記憶部160に記憶した行列式を掃き出し法により変形を行う。1行1列目の値および2行1列目の値が1であるから、2行目の各列の値から1行目の対応する列の値を引いて、

Figure 2005130404
Further, the restoration condition derivation unit 130 transforms the determinant stored in the calculation process storage unit 160 by the sweeping method. Since the value of the first row and the first column and the value of the second row and the first column are 1, the value of the corresponding column of the first row is subtracted from the value of each column of the second row,
Figure 2005130404

2行2列目の値がbであるから、2行目の各列値をbで割って、

Figure 2005130404
1行2列目の値がx−aであるから、1行目の各列の値から2行目の対応する列の値にx−aをかけた値を引いて、
Figure 2005130404
 を得る。1行1列目および2行2列目の値が1、1行2列目および2行1列目の値が0になった事を判断して、掃き出し法の実行を終了する。 Since the value in the second row and second column is b, each column value in the second row is divided by b,
Figure 2005130404
 Since the value of the first row and the second column is x-a 1 , the value obtained by multiplying the value of the corresponding column of the second row by the value of each column of the first row is multiplied by x-a 1 .
Figure 2005130404
 Get. It is determined that the values of the first row, first column and second row, second column are 1, and the values of first row, second column and second row, first column are 0, and the execution of the sweep-out method is terminated.

上記の掃き出し法による演算過程について、掃き出し法による行列式の演算は既知の処理である事から、本実施例は特に規定するものではない。また、本実施例では復元条件導出部130は演算過程記憶部160に記憶した値を操作して掃き出し法を実行しているが、内部メモリなどを用いて予め演算を行った後に演算過程記憶部160に記憶するようにしても良い。   With respect to the calculation process by the above sweeping method, the determinant calculation by the sweeping method is a known process, and thus this embodiment is not particularly specified. In the present embodiment, the restoration condition deriving unit 130 operates the value stored in the calculation process storage unit 160 to execute the sweeping method. However, the calculation process storage unit performs the calculation in advance using an internal memory or the like. 160 may be stored.

上記掃き出し法の実行により演算過程記憶部160に記憶された行列式は、任意の2個の分散情報から得られる分割情報S,Sと乱数値rの関係式を表わすものである。したがって、復元条件導出部130は、部分的にSを復元可能な特定の分散情報f(x)およびf(x+b)を求めるための制約式として、1行3列目の値から、−x +2a x−bx+a b−a −a +a ≡0を得る。同様に、部分的にSを復元可能な特定の分散情報f(x)およびf(x+b)を求めるための制約式として、2行3列目の値から、2x−a −a +b≡0を得る。これらの式は、閾値k=3、分割数d=2の場合の分散関数f(x)の一般形において、特定の分割情報Sを復元可能な特定のxの組み合わせを算出するための制約式である。 The determinant stored in the calculation process storage unit 160 by the execution of the sweep-out method represents a relational expression between the divided information S 0 and S 1 obtained from arbitrary two pieces of shared information and the random value r. Therefore, restoring condition deriving part 130, a constraint equation for determining the partial S 0 a restorable a particular distributed information f (x) and f (x + b), from the value of 1 row and third column, -x 2 + 2a 1 x−bx + a 1 b−a 1 a 2 −a 1 a 3 + a 2 a 3 ≡0 . Similarly, as a constraint equation for obtaining specific shared information f (x) and f (x + b) that can partially restore S 1 , 2x−a 2 −a 3 + b Get ≡0 . These equations, the threshold value k = 3, the general form of dispersion function f (x) in the case of the division number d = 2, constraints to calculate the combination of specific division information S t a restorable a specific x It is a formula.

復元条件導出部130は、復元可能とする特定の分割情報SおよびSと関連付けて、これらの制約式を演算過程記憶部160に記憶する。 The restoration condition deriving unit 130 stores these constraint equations in the calculation process storage unit 160 in association with specific division information S 0 and S 1 that can be restored.

なお、これらの制約式は分散関数f(x)の一般形が同じであれば常に同じであるため、復元条件導出部130で制約式を導出する代わりに、復元条件記憶部170において既知の制約式を記憶しておくようにしても良い。即ち、復元条件記憶部170は、閾値kと分割数dにより定まる分散関数f(x)の一般形とその制約式を関連付けて記憶し、復元条件検索部180は、入力された分散条件にしたがって、復元条件記憶部170に記憶された該当する分散関数f(x)の一般形とその制約式を取得する。これにより、閾値kと分割数dにより定まる分散関数f(x)の一般形とその制約式を簡易に得る事ができるようになる。復元条件記憶部170に該当するものがない場合には、復元条件導出部130で制約式を求めておいて復元条件記憶部170に記憶し、以後の処理において、復元条件検索部180にて検索できるようにしても良い。   Since these constraint equations are always the same as long as the general form of the dispersion function f (x) is the same, instead of deriving the constraint equation by the restoration condition deriving unit 130, the known constraint is stored in the restoration condition storage unit 170. You may make it memorize | store a formula. That is, the restoration condition storage unit 170 stores the general form of the dispersion function f (x) determined by the threshold value k and the number of divisions d in association with the constraint expression, and the restoration condition search unit 180 stores the condition according to the inputted dispersion condition. The general form of the corresponding dispersion function f (x) stored in the restoration condition storage unit 170 and its constraint expression are acquired. As a result, the general form of the dispersion function f (x) determined by the threshold value k and the division number d and its constraint equation can be easily obtained. If there is no corresponding condition in the restoration condition storage unit 170, the restoration condition derivation unit 130 obtains a constraint expression and stores it in the restoration condition storage unit 170. In the subsequent processing, the restoration condition search unit 180 retrieves it. You may be able to do it.

分散関数決定部140は、復元条件導出部130で導出した制約式を解いて、最終的な分散関数f(x)を決定する。まず、分散関数決定部140は、Sに関する制約式−x +2a x−bx+a b−a −a +a ≡0に対し、3個の変数a=0,a=2,a=5を代入して、−x −bx+10≡0を得る。さらに、Sを復元可能なx,bの組み合わせとして、制約式を解いて(x,b)=(1,9),(2,3),・・・,(p−1,p−9)を得る。次に、Sに関する制約式2x−a −a +b≡0に対し、3個の変数a=0,a=2,a=5を代入して、2x+b−7≡0を得る。さらに、Sを復元可能なx,bの組み合わせとして、制約式を解いて(x,b)=(1,5),(2,3),(3,1),・・・,(p−1,9)を得る。すなわちSを復元可能な分散情報の組み合わせは例えばf(1)とf(10),f(2)とf(5)であり、Sを復元可能な分散情報の組み合わせは例えばf(1)とf(6),f(2)とf(5),f(3)とf(4)である。これらの組み合わせは、生成した分散関数f(x)により生成される分散情報について、特定の分割情報Stを復元可能な特定のxの組み合わせを表わす復元制御情報である。 The dispersion function determination unit 140 solves the constraint equation derived by the restoration condition derivation unit 130 and determines the final dispersion function f (x). First, the dispersion function determination unit 140 sets three variables a l == for the constraint equation −x 2 + 2a 1 x−bx + a 1 b−a 1 a 2 −a 1 a 3 + a 2 a 3 ≡0 related to S 0. Substituting 0, a 2 = 2 and a 3 = 5, we obtain −x 2 −bx + 10≡0 . Further, as a combination of x and b capable of restoring S 0 , the constraint equation is solved and (x, b) = (1, 9), (2 , 3) ,..., (P−1, p−9) ) Next, substituting three variables a l = 0, a 2 = 2, and a 3 = 5 for the constraint equation 2x−a 2 −a 3 + b≡0 related to S 0 , 2x + b−7≡0 obtain. Furthermore, recoverable x the S 1, as a combination of b, by solving the constraint equation (x, b) = (1,5 ), (2,3), (3,1), ···, (p -1,9) . That is, the combination of shared information that can restore S 0 is, for example, f (1) and f (10), and f (2) and f (5). The combination of shared information that can restore S 1 is, for example, f (1 ) And f (6), f (2) and f (5), f (3) and f (4). These combinations are restoration control information representing specific combinations of x that can restore specific division information St for the distribution information generated by the generated distribution function f (x).

分散関数決定部140は、Sを復元可能な分散情報の組み合わせとしてf(1)とf(10),f(2)とf(5)を演算過程記憶部160に記憶し、Sを復元可能な分散情報の組み合わせとしてf(1)とf(6),f(2)とf(5),f(3)とf(4)を同じく演算過程記憶部160に記憶する。なお、分散情報の組み合わせではなくx,bの組み合わせをそのまま記憶するようにしても良い。また、全ての組み合わせを求め、記録するのではなく、本実施例のように一定の範囲内での組み合わせを求め、記録してもかまわない。 Distributed function determining unit 140 stores the f (1) to S 0 as a combination of recoverable distributed information f (10), and f (2) f (5) in the operation process storage section 160, the S 1 Similarly, f (1) and f (6), f (2) and f (5), and f (3) and f (4) are stored in the calculation process storage unit 160 as a combination of reconstructable shared information. In addition, you may make it memorize | store the combination of x and b as it is instead of the combination of distributed information. In addition, instead of obtaining and recording all combinations, combinations within a certain range may be obtained and recorded as in the present embodiment.

また、分散関数決定部140は、演算過程記憶部160に記憶した分散条件および分散関数f(x)の一般形から最終的な分散関数f(x)を決定する。本実施例においては、分割情報S=3C、S=AB、素数p=FB、乱数r=1Fであり、変数a、a、aの値はa=0,a=2,a=5であるから、分散関数f(x)は、f(x)=3C+ABx+1F(x一2)(x−5)(mod FB)と定まる。分散関数決定部140は、この最終的な分散関数f(x)を演算過程記憶部160に記憶する。 Further, the dispersion function determining unit 140 determines the final dispersion function f (x) from the dispersion condition stored in the operation process storage unit 160 and the general form of the dispersion function f (x). In this embodiment, the division information S 0 = 3C, S 1 = AB, the prime number p = FB, and the random number r = 1F, and the values of the variables a 1 , a 2 , and a 3 are a 1 = 0, a 2 = Since 2, a 3 = 5, the dispersion function f (x) is determined as f (x) = 3C + ABx + 1F (x−12) (x−5) (mod FB). The dispersion function determination unit 140 stores the final dispersion function f (x) in the calculation process storage unit 160.

なお、本実施例では分割情報S、Sをはじめとする各種の変数を予め分散条件として入力を受け付け、あるいは決定していたため最終的な分散関数f(x)が定まるが、分割情報S、S、素数p、乱数rなどを予め入力あるいは決定する事なく、分散関数f(x)の一般形あるいは一部の変数を許した式を最終的な分散関数f(x)と定めるようにしても良い。 In the present embodiment, since various variables including division information S 0 and S 1 are received or determined in advance as distribution conditions, the final distribution function f (x) is determined. The final dispersion function f (x) is defined as an expression that allows the general form of the dispersion function f (x) or some variables without inputting or determining 0 , S 1 , prime number p, random number r, or the like in advance. You may do it.

分散関数出力部150は、分散関数決定部140において決定した分散関数f(x)およびその復元制御情報を出力する。本実施例においては、分散関数f(x)として、f(x)=3C+ABx+1F(x−2)(x−5)(mod FB)、その復元制御情報として、Sを復元可能な分散情報の組み合わせf(1)とf(10),f(2)とf(5)、Sを復元可能な分散情報の組み合わせf(1)とf(6),f(2)とf(5),f(3)とf(4)を出力する。 The dispersion function output unit 150 outputs the dispersion function f (x) determined by the dispersion function determination unit 140 and its restoration control information. In the present embodiment, f (x) = 3C + ABx + 1F (x−2) (x−5) (mod FB) as the dispersion function f (x), and the dispersion control information that can restore S 0 as the restoration control information. combinations f (1) and f (10), f (2 ) and f (5), a combination of recoverable distributed information S 1 f (1) and f (6), f (2 ) and f (5) , F (3) and f (4) are output.

なお、本実施例では最終的な分散関数f(x)と各分割情報S、Sを復元可能な分散情報の組み合わせを出力しているが、本発明は出力する情報の種類を規定するものではない。他に分散関数の一般形や各変数を独立して出力するようにしても良い。求めた全ての組み合わせを出力しても良いし、その一部だけでもかまわない。また、本実施例は分散関数f(x)およびその復元制御情報の出力の方法および形式を規定するものではない。画面出力やファイル出力の他に、インターネットなどの接続回線を介して他の装置に出力するようにしても良いし、また必要がなければ出力をしないようにしても良い。 In the present embodiment, the final dispersion function f (x) and the combination of the dispersion information that can restore the respective pieces of division information S 0 and S 1 are output. However, the present invention defines the type of information to be output. It is not a thing. In addition, the general form of the dispersion function and each variable may be output independently. All the obtained combinations may be output, or only a part of them may be output. Further, the present embodiment does not define the method and format for outputting the dispersion function f (x) and its restoration control information. In addition to screen output and file output, the data may be output to another device via a connection line such as the Internet, or may not be output if unnecessary.

分散情報生成部190は、分散関数決定部140において決定した分散関数f(x)により、所定の条件に従って分散情報を生成する。本実施例における復元許可条件は、1番目と2番目の分散情報を持ち寄ると分割情報Sを、1番目と6番目の分散情報を持ち寄ると分割情報Sを復元できる組み合わせであり、そのような復元が可能な分散情報の組み合わせは、演算過程記憶部160に記憶された分散情報の組み合わせからSに関してf(1)とf(10)、Sに関してf(1)とf(6)のみであり、分散情報生成部190は1番目の分散情報としてf(1)、2番目の分散情報としてf(10)、6番目の分散情報としてf(6)を決定する。また、生成する分散情報の数はn=6である事から、残りの分散情報について、特定の分割情報を復元可能な組み合わせを避けて選択し、3番目、4番目、5番目の分散情報としてf(7),f(8),f(9)と決定する。分散情報生成部190は分散情報の順番をf(1),f(10),f(7),f(8),f(9),f(6)として、演算過程記憶部160に記憶する。 The disperse information generation unit 190 generates disperse information according to a predetermined condition using the disperse function f (x) determined by the disperse function determination unit 140. Restore permission condition in the present embodiment is a combination of the division information S 0 and bring together the first and second shared information, can be restored and bring together the first and sixth of the shared information division information S 1, such The combination of shared information that can be restored is f (1) and f (10) with respect to S 0 and f (1) and f (6) with respect to S 1 from the combination of shared information stored in the calculation process storage unit 160. The shared information generation unit 190 determines f (1) as the first shared information, f (10) as the second shared information, and f (6) as the sixth shared information. Further, since the number of pieces of shared information to be generated is n = 6, the remaining pieces of shared information are selected avoiding combinations that can restore specific division information, and the third, fourth, and fifth shared information are selected. f (7), f (8), and f (9) are determined. The shared information generation unit 190 stores the order of the shared information as f (1), f (10), f (7), f (8), f (9), f (6) in the calculation process storage unit 160. .

さらに分散情報生成部190は、分散関数決定部140において決定した分散関数f(x)にしたがって、実際の分散情報の値を算出する。本実施例においては、f(1)=68,f(10)=F9,f(7)=3D,f(8)=E5,f(9)=DO,f(6)=CEとなり、分散情報生成部190は分散情報の順番に対応付けて分散情報の値を演算過程記憶部160に記憶する。   Further, the distributed information generation unit 190 calculates the actual value of the distributed information according to the distribution function f (x) determined by the distribution function determination unit 140. In this embodiment, f (1) = 68, f (10) = F9, f (7) = 3D, f (8) = E5, f (9) = DO, f (6) = CE, and dispersion The information generation unit 190 stores the value of the shared information in the calculation process storage unit 160 in association with the order of the shared information.

なお、本実施例において、分散関数f(x)から分散情報を算出する際のxの値を10進数の数字により記述しているが、可能なxの値を10進数の数字に規定するものではない。分散関数f(x)に則って分散情報を算出できれば良く、例えば16進数であったり文字列であったりしても構わない。本実施例においては、秘密情報Sおよびその分割情報S、Sが16進文字列である事から、算出される分散情報の値も16進文字列となっている。 In this embodiment, the value of x when calculating the dispersion information from the dispersion function f (x) is described by a decimal number, but the possible value of x is specified by a decimal number. is not. What is necessary is just to be able to calculate the dispersion information according to the dispersion function f (x), and for example, it may be a hexadecimal number or a character string. In the present embodiment, since the secret information S and its divided information S 0 and S 1 are hexadecimal character strings, the value of the calculated shared information is also a hexadecimal character string.

分散情報出力部200は、分散情報生成部190において生成した分散情報を、分散情報を算出したxの値と組にして出力する。本実施例における出力は、(1,68),(10,F9),(7,3D〉,(8,E5),(9,DO),(6,CE)となる。本実施例における分散情報の出力の例を図3に示す。   The disperse information output unit 200 outputs the disperse information generated by the disperse information generation unit 190 in combination with the value of x for which the disperse information is calculated. The outputs in this embodiment are (1, 68), (10, F9), (7, 3D>, (8, E5), (9, DO), (6, CE). An example of information output is shown in FIG.

なお、本実施例は分散情報出力部200における分散情報の出力の方法および形式を規定するものではない。画面出力やファイル出力の他に、インターネットなどの接続回線を介して他の装置に出力するようにしても良い。ただし、出力した分散情報を複数組み合わせると元の秘密情報Sないしはその部分的な情報S,Sが算出可能な事から、個々の分散情報を別個に出力する事が望ましい。また分散情報は直接各分散情報保持者または名分散情報保持装置に出力するようにし、出力の際に個々の保持者ないしは装置に合わせて暗号化するなどの手段も考える事もできる。 Note that this embodiment does not prescribe the method and format for outputting shared information in the shared information output unit 200. In addition to screen output and file output, the data may be output to another device via a connection line such as the Internet. However, since the original secret information S or partial information S 0 and S 1 thereof can be calculated by combining a plurality of output shared information, it is desirable to output each shared information separately. It is also possible to consider means for outputting the shared information directly to each shared information holder or name shared information holding device, and encrypting it according to the individual holder or device at the time of output.

以下では、本実施例により生成した分散情報から、分割情報SおよびS、さらに秘密情報Sを復元する方法について説明する。 Hereinafter, a method of restoring the division information S 0 and S 1 and the secret information S from the shared information generated according to the present embodiment will be described.

任意の2個の分散情報からの秘密情報の復元については、不明な分割情報S、S、乱数rとおいた分散関数f(x)の式に、実際のxの値および分散情報の値をあてはめた連立方程式を解く事により求められる。 Regarding the restoration of the secret information from any two pieces of shared information, the actual value of x and the value of the shared information are added to the expression of the distribution function f (x) with the unknown division information S 0 , S 1 and the random number r. It is obtained by solving simultaneous equations fitted with.

例えば、1番目と2番目の分散情報からは、f(1)=68,f(10)=F9より
f(1)=S +S ・1+r・(1−2)(1−5)=S +S +4r≡68(mod FB)
f(10)=S +S ・10+r・(10−2)(10−5)=S +10S +40r≡F9(mod FB)
の連立方程式を得る事ができる。これを解くと、 ≡3C、S +4r≡2Cが求められ、秘密情報Sの分割情報Sが得られる。 For example, from the first and second shared information, f (1) = 68, f (10) = F9
f (1) = S 0 + S 1 · 1 + r · (1-2) (1-5) = S 0 + S 1 + 4r≡68 (mod FB)
f (10) = S 0 + S 1 · 10 + r · (10−2) (10−5) = S 0 + 10S 1 + 40r≡F9 (mod FB)
The simultaneous equations can be obtained. When this is solved, S 0 ≡3C and S 1 + 4r≡2C are obtained, and the division information S 0 of the secret information S is obtained.

一方、1番目と6番目の分散情報からは、f(1)=68,f(6)=CEより
f(1)=S +S ・1+r・(1−2)(1−5)=S +S +4r≡68(mod FB)
f(6)=S +S ・6+r・(6−2)(6−5)=S +6S +4r≡CE(mod FB)
の連立方程式が得られる。これを解くと、 ≡AB、S +4r≡B8が求められ、秘密情報Sの分割情報Sが得られる。 On the other hand, from the first and sixth shared information, f (1) = 68, f (6) = CE
f (1) = S 0 + S 1 · 1 + r · (1-2) (1-5) = S 0 + S 1 + 4r≡68 (mod FB)
f (6) = S 0 + S 1 · 6 + r · (6-2) (6-5) = S 0 + 6S 1 + 4r≡CE (mod FB)
The simultaneous equations are obtained. When this is solved, S 1 ≡AB and S 0 + 4r≡B8 are obtained, and the division information S 1 of the secret information S is obtained.

ただし、これ以外の任意の分散情報の組からは、例えばf(10)=F9,f(6)=CEより
f(10)=S +S ・10+r・(10−2)(10−5)=S +10S +40r≡F9(mod FB)
f(6)=S +S ・6+r・(6−2)(6−5)=S +6S +4r≡CE(mod FB)
の連立方程式が得られるが、これを解いても、9S +50S ≡36(mod FB)という分割情報SとSの関係式が得られるのみで、秘密情報Sを完全には復元できない。本実施例における分散情報の組み合わせにより得られる分割情報の関係式を図4に示す。 However, from any other set of shared information, for example, f (10) = F9, f (6) = CE
f (10) = S 0 + S 1 · 10 + r · (10−2) (10−5) = S 0 + 10S 1 + 40r≡F9 (mod FB)
f (6) = S 0 + S 1 · 6 + r · (6-2) (6-5) = S 0 + 6S 1 + 4r≡CE (mod FB)
However, even if this is solved, only the relational expression of the divided information S 0 and S 1 of 9S 0 + 50S 1 ≡36 (mod FB) is obtained, and the secret information S cannot be completely restored. . FIG. 4 shows a relational expression of the division information obtained by the combination of the shared information in this embodiment.

なお、任意の3個の分散情報からは、例えばf(7)=3D,f(8)=E5,f(9)=D0より
f(7)=S +S ・7+r・(7−2)(7−5)=S +7S +10r≡3D
f(8)=S +S ・8+r・(8−2)(8−5)=S +8S +18r≡E5
f(9)=S +S ・9+r・(9−2)(9−5)=S +9S +28r≡DO
のような連立方程式が得られ、これを解くと、 ≡3C,S ≡AB,r≡1Fが求められ、秘密情報Sが完全に復元される。 From arbitrary three pieces of shared information, for example, f (7) = 3D, f (8) = E5, f (9) = D0
f (7) = S 0 + S 1 · 7 + r · (7-2) (7-5) = S 0 + 7S 1 + 10r≡3D
f (8) = S 0 + S 1 · 8 + r · (8-2) (8-5) = S 0 + 8S 1 + 18r≡E5
f (9) = S 0 + S 1 · 9 + r · (9−2) (9−5) = S 0 + 9S 1 + 28r≡DO
The following simultaneous equations are obtained, and when this is solved, S 0 ≡3C, S 1 ≡AB, r≡1F is obtained, and the secret information S is completely restored.

以上のように、本実施例により生成した秘密情報Sの分散情報は、6個の内任意の3個の分散情報を持ち寄れば秘密情報Sを完全に復元でき、1番目と2番目の分散情報を持ち寄ると分割情報Sを、1番目と6番目の分散情報を持ち寄ると分割情報Sを復元でき、これ以外の任意の2個の分散情報からは秘密情報Sを完全には復元できないように生成されている。 As described above, the shared information of the secret information S generated by the present embodiment can be completely restored by bringing any three of the six pieces of shared information, and the first and second shared information can be restored. If the information is brought in, the divided information S 0 can be restored, and if the first and sixth shared information are brought in, the divided information S 1 can be restored, and the secret information S cannot be completely restored from any other two pieces of shared information. Has been generated.

図5は、本発明の実施例2における復元制御型秘密情報分散装置300の機能構成例を示す。本復元制御型秘密情報装置300は、分散関数入力部310、復元条件導出部320、復元制御情報出力部330、演算過程記憶部340から構成される。図5でも、各部の動作を制御するための制御部は省略する。   FIG. 5 shows a functional configuration example of the restoration control secret information distribution apparatus 300 according to the second embodiment of the present invention. The restoration control type secret information device 300 includes a distribution function input unit 310, a restoration condition derivation unit 320, a restoration control information output unit 330, and a calculation process storage unit 340. Also in FIG. 5, the control part for controlling the operation | movement of each part is abbreviate | omitted.

本実施例は、秘密情報Sを分散するための既知の分散関数f(x)を入力として、秘密情報Sの分割情報S,S,…,Sd−1について部分的な復元の可否および部分的な復元が可能な組み合わせである復元制御情報を算出するものである。 In the present embodiment, whether or not the partial information S 0 , S 1 ,..., S d−1 of the secret information S can be partially restored by using a known distribution function f (x) for distributing the secret information S as an input. Also, restoration control information that is a combination capable of partial restoration is calculated.

分散関数入力部210において、復元制御情報を求める分散関数f(x)の入力を受け付ける。本実施例では、分散関数f(x)として、
f(x)=S+S(x一6)+r(x−3)(x−4)mod p
が入力されたものとする。分散関数入力部210は、入力された分散関数f(x)を演算過程記憶部340に入力された式を記憶する。 The dispersion function input unit 210 receives an input of a dispersion function f (x) for obtaining restoration control information. In this embodiment, as the dispersion function f (x),
f (x) = S 0 + S 1 (x 16) + r (x−3) (x−4) mod p
Is entered. The dispersion function input unit 210 stores an expression in which the input dispersion function f (x) is input to the calculation process storage unit 340.

なお、本実施例は、分散関数入力部310における分散関数f(x)の入力の方法および形式を規定するものではない。キーボード入力やファイル入力の他に、インターネットなどの接続回線を介して他の装置から入力するようにしても構わない。また、具体的な値を一切含む事なく、分散関数f(x)の一般形を入力として受け付けるようにしても良い。また、本実施例では入力された分散関数f(x)の式について、分割情報S、Sや乱数r、素数pの値の入力はなかったものとしたが、予め入力を受け付けるようにしても良い。また分散関数入力部210が演算過程記憶部340に記憶する形式は、分散関数f(x)の式だけでなく、各変数や項の値を記録するようにしても良い。 Note that this embodiment does not prescribe the method and format for inputting the dispersion function f (x) in the dispersion function input unit 310. In addition to keyboard input and file input, input may be made from another device via a connection line such as the Internet. Further, the general form of the dispersion function f (x) may be accepted as an input without including any specific value. In the present embodiment, it is assumed that the values of the division information S 0 , S 1 , the random number r, and the prime number p are not input for the expression of the input dispersion function f (x). May be. In addition, the format stored in the calculation process storage unit 340 by the distribution function input unit 210 may record not only the expression of the distribution function f (x) but also the value of each variable or term.

復元条件導出部320は、入力された分散関数f(x)から特定の個数のxについての組み合わせの連立方程式を表現する行列式を生成し、この行列式を変形して特定のxの組み合わせから特定の分割情報Sを復元可能とするための制約式を導出する。 The restoration condition deriving unit 320 generates a determinant expressing a combination of simultaneous equations for a specific number of x from the input dispersion function f (x), and transforms the determinant from a specific combination of x. deriving the constraint expression for enabling restore specific division information S t.

本実施例においては、分散関数f(x)が分割情報S、Sとrの式で表現される事から、

Figure 2005130404
のように生成し、この左項を掃き出し法により変形して、
Figure 2005130404
 を得る。したがって、部分的にSを復元可能な特定の分散情報f(x)およびf(x+b)に関する制約式は−x +2a x−bx+a b−a −a +a ≡0、部分的にSを復元可能な特定の分散情報f(x)およびf(x+b)に関する制約式は2x−a −a +b≡0である。 In this embodiment, since the dispersion function f (x) is expressed by the expressions of the division information S 0 , S 1 and r,
Figure 2005130404
 And the left term is transformed by the sweep method,
Figure 2005130404
 Get. Therefore, the constraint equation regarding the specific shared information f (x) and f (x + b) that can partially restore S 0 is −x 2 + 2a 1 x−bx + a 1 b−a 1 a 2 −a 1 a 3 + a 2. a 3 ≡0, constraints related to partially S 1 restorable particular distributed information f (x) and f (x + b) is 2x-a 2 -a 3 + b≡0 .

次に、復元条件導出部320は、演算過程記憶部340に記憶した分散関数f(x)の式から変数a、a、aの値を得て、制約式に代入してxとbの組み合わせを算出する。本実施例ではa=6,a=3,a=4であるから、Sを復元可能なxとbの組み合わせの制約式は−x +12x−bx+6b−30≡0となり、制約式を解くと、bがうまく割り切れない場合を除いて(x,b)=(3,1),(7,5),(8,1)を得る。一方、Sを復元可能なxとbの組み合わせの制約式は2x+b−7≡0となり、同様に制約式を解くと、(x,b)=(1,5),(2,3),(3,1),(4,p−1),・・・,(p−1,9)を得る。復元制御情報は、Sを復元可能な分散情報の組み合わせとして例えばf(3)とf(4),f(7)とf(12),f(8)とf(9)、Sを復元可能な分散情報の組み合わせとして例えばf(1)とf(6),f(2)とf(5),f(3)とf(4)となる。復元条件導出部320は、これらの組み合わせを演算過程記憶部340に記憶する。 Next, the restoration condition derivation unit 320 obtains the values of the variables a 1 , a 2 , and a 3 from the expression of the dispersion function f (x) stored in the calculation process storage unit 340, and substitutes them into the constraint expression to obtain x and The combination of b is calculated. In the present embodiment, a l = 6, a 2 = 3, and a 3 = 4. Therefore, the constraint expression of the combination of x and b that can restore S 0 is −x 2 + 12x−bx + 6b−30≡0, and the constraint Solving the equation gives (x, b) = (3, 1), (7, 5), (8, 1) except when b is not divisible . On the other hand, the constraint equation of the combination of x and b that can restore S 0 is 2x + b− 7≡0. Similarly, when the constraint equation is solved, (x, b) = (1,5), (2,3), (3, 1), (4, p-1), ..., (p-1, 9) are obtained. Restoration control information, for example the f S 0 as a combination of recoverable distributed information (3) and f (4), f (7) and f (12), f (8) and f (9), the S 1 For example, f (1) and f (6), f (2) and f (5), and f (3) and f (4) are combinations of the shared information that can be restored. The restoration condition deriving unit 320 stores these combinations in the calculation process storage unit 340.

復元条件導出部320は、得られた制約式に対して可能な全ての組み合わせを求め、記録するようにしても良いし、本実施例のように一定の範囲内での組み合わせのみを求め、記録するようにしてもかまわない。The restoration condition deriving unit 320 may obtain and record all possible combinations for the obtained constraint expression, or obtain and record only combinations within a certain range as in this embodiment. It doesn't matter if you do.

復元制御情報出力部330は、復元条件導出部320において得られた復元制御情報を出力する。本実施例では、Sを復元可能な分散情報の組み合わせとしてf(3)とf(4),f(7)とf(12),f(8)とf(9)、Sを復元可能な分散情報の組み合わせとしてf(1)とf(6),f(2)とf(5),f(3)とf(4)を出力する。 The restoration control information output unit 330 outputs the restoration control information obtained by the restoration condition derivation unit 320. In this embodiment, f and f (3) the S 0 as a combination of recoverable distributed information (4), f (7) and f (12), f (8 ) and f (9), restores the S 1 As possible combinations of shared information, f (1) and f (6), f (2) and f (5), and f (3) and f (4) are output.

なお、本実施例は分散関数f(x)およびその復元制御情報の出力の方法および形式を規定するものではなく、画面出力やファイル出力の他に、インターネットなどの接続回線を介して他の装置に出力するようにしても良いし、また必要がなければ出力をしないようにしても良い。また、分散関数入力部310において分割情報S、Sや乱数r、素数pの値が入力されていた場合には、各分散情報の値も算出して出力するようにしても良い。 Note that this embodiment does not prescribe the method and format for outputting the distribution function f (x) and its restoration control information. In addition to screen output and file output, other devices may be connected via a connection line such as the Internet. It is possible to output the signal to the output, and if not necessary, the output may not be performed. Further, when the values of the division information S 0 , S 1 , the random number r, and the prime number p are input in the distribution function input unit 310, the value of each distribution information may be calculated and output.

以上のように、本実施例における復元制御型秘密情報分散装置300は,分散関数f(x)を入力として、分散関数f(x)により生成される秘密情報Sの分散情報について、特定の分割情報Sを復元可能とする特定のxの組み合わせを求める事ができる。 As described above, the restoration control-type secret information distribution apparatus 300 according to the present embodiment uses the distribution function f (x) as an input, and performs specific division on the distribution information of the secret information S generated by the distribution function f (x). it can be obtained a particular combination of x which enables restoring the information S t.

なお、図2や図5で示した復元制御型秘密情報分散装置における各部の一部もしくは全部の処理機能をコンピュータのプログラムで構成し、そのプログラムをコンピュータを用いて実行して本発明装置を実現することができること、あるいは、図1で示したような処理手順をコンピュータのプログラムで構成し、そのプログラムをコンピュータに実行させることができることは言うまでもなく、コンピュータでその処理機能を実現するためのプログラム、あるいは、コンピュータにその処理手順を実行させるためのプログラムを、そのコンピュータが読み取り可能な記録媒体、例えば、FD、MO、ROM、メモリカード、CD、DVD、リムーバブルディスクなどに記録して、保存したり、提供したりすることができるとともに、インターネット等のネットワークを通してそのプログラムを配布したりすることが可能である。   In addition, a part or all of the processing functions of each part in the restoration control type secret information distribution apparatus shown in FIG. 2 and FIG. 5 are configured by a computer program, and the program is executed using the computer to realize the apparatus of the present invention. It is needless to say that the processing procedure shown in FIG. 1 can be configured by a computer program and the program can be executed by the computer, and a program for realizing the processing function by the computer, Alternatively, a program for causing the computer to execute the processing procedure is recorded on a recording medium readable by the computer, for example, FD, MO, ROM, memory card, CD, DVD, removable disk, and stored. And can provide It is possible to or distribute the program through a network of Tsu bets like.

本発明の復元制御型秘密情報分散方法の処理フロー図である。It is a processing flow figure of the restoration control type secret information distribution method of the present invention. 本発明の復元制御型秘密情報分散装置の実施例1の機能構成図である。It is a functional block diagram of Example 1 of the restoration control type secret information distribution apparatus of the present invention. 実施例1における生成した分散情報の例である。It is an example of the distributed information produced | generated in Example 1. FIG. 実施例1における分散情報の組み合わせと復元情報の例である。It is an example of the combination of the shared information and the restoration information in the first embodiment. 本発明の復元制御型秘密情報分散装置の実施例2の機能構成図である。It is a function block diagram of Example 2 of the decompression | restoration control type secret information distribution apparatus of this invention.

符号の説明Explanation of symbols

100 復元制御型秘密情報分散装置
110 分散条件入力部
120 分散関数生成部
130 復元条件導出部
140 分散関数決定部
150 分散関数出力部
160 演算過程記憶部
170 復元条件記憶部
180 復元条件検索部
190 分散情報生成部
200 分散情報出力部
300 復元制御型秘密情報分散装置
310 分散関数入力部
320 復元条件導出部
330 復元制御情報出力部
340 演算過程記憶部
DESCRIPTION OF SYMBOLS 100 Restoration control type | formula secret information distribution apparatus 110 Distribution condition input part 120 Distribution function generation part 130 Restoration condition derivation part 140 Distribution function determination part 150 Distribution function output part 160 Operation process memory | storage part 170 Restoration condition memory | storage part 180 Restoration condition search part 190 Distribution Information generation unit 200 Distributed information output unit 300 Restoration control type secret information distribution device 310 Distribution function input unit 320 Restoration condition derivation unit 330 Restoration control information output unit 340 Calculation process storage unit

JP2003366538A 2003-10-27 2003-10-27 Restoration control type secret information distribution device Expired - Fee Related JP4623623B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003366538A JP4623623B2 (en) 2003-10-27 2003-10-27 Restoration control type secret information distribution device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003366538A JP4623623B2 (en) 2003-10-27 2003-10-27 Restoration control type secret information distribution device

Publications (3)

Publication Number Publication Date
JP2005130404A JP2005130404A (en) 2005-05-19
JP2005130404A5 true JP2005130404A5 (en) 2006-05-25
JP4623623B2 JP4623623B2 (en) 2011-02-02

Family

ID=34644856

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003366538A Expired - Fee Related JP4623623B2 (en) 2003-10-27 2003-10-27 Restoration control type secret information distribution device

Country Status (1)

Country Link
JP (1) JP4623623B2 (en)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4245523B2 (en) * 2004-07-02 2009-03-25 日本電信電話株式会社 Electronic right assignment processing method, electronic right assignment management system and apparatus, and program
JP4587452B2 (en) * 2004-09-10 2010-11-24 日本電信電話株式会社 Multiple key encryption apparatus, multiple key decryption apparatus, multiple key encryption system and program.
JP4693041B2 (en) * 2005-06-29 2011-06-01 Kddi株式会社 Image dispersion information generation apparatus and composition apparatus thereof
JP4748571B2 (en) * 2005-06-29 2011-08-17 Kddi株式会社 Image dispersion information generation apparatus and composition apparatus thereof
JP4693040B2 (en) * 2005-06-29 2011-06-01 Kddi株式会社 Image dispersion information generation apparatus and composition apparatus thereof
JP4693042B2 (en) * 2005-06-29 2011-06-01 Kddi株式会社 Image dispersion information generation apparatus and composition apparatus thereof
JP2007124610A (en) * 2005-09-20 2007-05-17 Nippon Telegr & Teleph Corp <Ntt> Confidential information distribution apparatus, confidential information restoration apparatus, method and program
JP5316411B2 (en) * 2007-08-06 2013-10-16 日本電気株式会社 Transmitter and receiver
JP2021019277A (en) * 2019-07-19 2021-02-15 ヤフー株式会社 Provision device, provision method, and provision program
CN112399027B (en) * 2019-08-14 2023-12-05 北京京东振世信息技术有限公司 Picture encryption and decryption method and device, storage medium and electronic equipment

Similar Documents

Publication Publication Date Title
EP1714423B1 (en) Secret information management scheme based on secret sharing scheme
CN111913981B (en) Online and offline attribute-based boolean keyword searchable encryption method and system
JP5846577B2 (en) System for detecting whether the client state matches a predetermined state
CN102224704A (en) Content decoding apparatus, content decoding method and integrated circuit
CN111143471A (en) Ciphertext retrieval method based on block chain
JP4539952B2 (en) Information distributed storage system, apparatus, program and recording medium
CN1846396B (en) Key information processing method, device thereof
SE531764C2 (en) Device-independent processing of encrypted information
CN107005408A (en) Public key encryption system
JP4623623B2 (en) Restoration control type secret information distribution device
CN107168998A (en) A kind of database transparent encryption method based on reservation form
JP5198539B2 (en) Storage device, access device and program
JP2007124032A (en) Secrecy distribution apparatus, method, and program
CN1918844B (en) Secret information management scheme based on secret sharing scheme
JP2005130404A5 (en)
JPWO2018061800A1 (en) Secret system etc., secret system etc., secret system etc., program
JP2013150026A (en) Data processing system, concealing device, secret key generation device, concealing method, secret key generation method, and program
JP2021534443A (en) Methods and systems for securing data
KR102132685B1 (en) Apparatus and method for order-revealing encryption
CN113904823B (en) Attribute-based searchable encryption method and system for constant-level authorization computation complexity
JP4194481B2 (en) Secret information storage processing method, secret information storage device, secret information restoration processing method, and secret information restoration device
WO2000072504A1 (en) Private key recovery
CN110098926B (en) Attribute revocation method
JP4850351B2 (en) Encrypted data generation device and encrypted data generation method
JP2005167794A5 (en)