JP2008176192A - 暗号変換方法および装置、並びにプログラム - Google Patents
暗号変換方法および装置、並びにプログラム Download PDFInfo
- Publication number
- JP2008176192A JP2008176192A JP2007011353A JP2007011353A JP2008176192A JP 2008176192 A JP2008176192 A JP 2008176192A JP 2007011353 A JP2007011353 A JP 2007011353A JP 2007011353 A JP2007011353 A JP 2007011353A JP 2008176192 A JP2008176192 A JP 2008176192A
- Authority
- JP
- Japan
- Prior art keywords
- encrypted
- random number
- ciphertext
- conversion method
- bit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/008—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
Abstract
【課題】秘匿関数計算の処理高速化。
【解決手段】公開演算装置、暗号化乱数生成装置、復号装置を用い、数値a=Σi=0 m-12iai(ai∈{0,1})につきaiを明かさず、準同型暗号Eにより暗号化した暗号文E(a)から、別の準同型暗号E’により、暗号文E’(a0)求める。暗号化乱数生成装置は、乱数ビットr0の暗号文E(r0),E’(r0)、及び、0以上2m+k未満の乱数sの暗号文E(s)を生成する。公開演算装置は、E(a),E(r0),E(s)を入力とし、E(y)=E(a+r0+2s)を計算する。復号装置は、E(y)を入力し、y=a+r0+2s=Σi=0 m+k2iyiを復号する。公開演算装置は、E’(r0)及びyの最下位ビットy0を入力として、数1
を計算する。
【選択図】図2
【解決手段】公開演算装置、暗号化乱数生成装置、復号装置を用い、数値a=Σi=0 m-12iai(ai∈{0,1})につきaiを明かさず、準同型暗号Eにより暗号化した暗号文E(a)から、別の準同型暗号E’により、暗号文E’(a0)求める。暗号化乱数生成装置は、乱数ビットr0の暗号文E(r0),E’(r0)、及び、0以上2m+k未満の乱数sの暗号文E(s)を生成する。公開演算装置は、E(a),E(r0),E(s)を入力とし、E(y)=E(a+r0+2s)を計算する。復号装置は、E(y)を入力し、y=a+r0+2s=Σi=0 m+k2iyiを復号する。公開演算装置は、E’(r0)及びyの最下位ビットy0を入力として、数1
を計算する。
【選択図】図2
Description
本発明は暗号応用技術に関するものであり、特に暗号文を入力として平文を明かすことなく別の暗号化関数を用いた暗号文に変換する技術に関する。
従来技術として、ある暗号化関数(準同型暗号)Eによって暗号化された数値に対して、当該数値を明かすことなく、当該数値をビット毎に同じ暗号化関数Eを用いて暗号化する方法(以下、方法1)が提案されている(非特許文献1)。
一方、数値をビット毎に暗号化することで、任意の論理演算についてデータを明かすことなく実行可能とする方法(秘匿回路計算)が多数報告されている(例えば、非特許文献2、3)。従って、方法1を用いれば、数値の暗号文を入力として秘匿回路計算が実行できるようになる。これにより、秘匿回路計算の入力を提供する装置(入力提供装置)は、ビット毎の暗号文を計算、保存する必要はなく、数値の暗号文のみ計算、保存すれば良くなるため、入力提供装置が計算資源やメモリ資源に乏しい場合の秘匿回路計算に有効となる。
B.Schoenmakers and P.Tuyls.Effcient binary conversion for Paillier encrypted values,Advances in Cryptology-EUROCRYPT 2006,Lecture Notes in Computer Science 4004,pp.522-537,Springer-Verlag,2006.
R.Cramer,I.Damgard,and J.B.Nielsen,Multiparty computation from threshold homomorphic encryption,Advances in Cryptology—EUROCRYPT 2001,Lecture Notes in Computer Science 2045,pp.280-300,Springer-Verlag,2001.
G.Yamamoto,K.Chida,A.Nasciment,K.Suzuki,and S.Uchiyama,Effcient non-optimistic secure circuit evaluation based on the ElGamal encryption,WISA 2005,Lecture Notes in Computer Science,pp.328-343,Springer-Verlag,2005.
準同型暗号を用いた、論理演算における秘匿関数計算は、Paillier暗号に基づく方式と加法準同型ElGamal暗号に基づく方式が知られている。また、加法準同型ElGamal暗号はPaillier暗号に比べ高速であることが知られている。しかし、加法準同型ElGamal暗号に基づく秘匿関数計算は、一般的な算術演算には適していないことも知られている。
方法1は暗号化関数EをPaillier暗号とした方法である。非特許文献2では、Paillier暗号を用いて、数値を明かすことなく算術演算を実行する方法が示されている。また、非特許文献3では、加法準同型ElGamal暗号を用いて、データを明かすことなくPaillier暗号を用いた場合よりも効率良く論理演算を実行する方法が示されている。
このように、数値等のデータを明かすことなく算術演算と論理演算を効率良く計算するためには、方法1のようにデータ形式を変換するだけでなく、利用している暗号化関数も変換できることが望ましい場合がある。
本発明が解決しようとする課題は、数値等のデータを明かすことなく、データ形式だけでなくや暗号化関数も変換可能とすることである。
ある準同型暗号Eで暗号化された数値に対し、別の準同型暗号E’で暗号化されたビット毎の値を計算する。即ち、数値をa=Σi=0 m-12iai(ai∈{0,1})としたとき、E(a)を入力として(E’(am-1),・・・,E’(a0))を計算する。例えば、EをPaillier暗号、E’を加法準同型ElGamal暗号としたとき、非特許文献1の方法でE(a)からA=(E(am-1),・・・,E(a0))を計算し(ステップ1)、乱数ビットrm-1,・・・,r0を用いてAからB=(E(am-1+rm-1),・・・,E(a0+r0))を計算し(ステップ2)、Bを復号してC=(am-1+rm-1,・・・,a0+r0)を求め(ステップ3)、CをE’で暗号化してD=(E’(am-1+rm-1),・・・,E’(a0+r0))を求め(ステップ4)、Dから乱数ビットを除去し(E’(am-1),・・・,E’(a0))を得る。なお、ここで「+」は排他的論理和を意味する。
これは本発明の一例にすぎず、様々な変形、拡張が考えられる。それらについては実施の形態で説明する。
これは本発明の一例にすぎず、様々な変形、拡張が考えられる。それらについては実施の形態で説明する。
本発明によれば、方法1を用いた場合と比べ、データを明かすことなく算術演算や論理演算の組合せからなる処理を高速に実行することが可能になる。
以下、本発明の様々な実施の形態を説明する。
本実施例では、ある準同型暗号E(例えば、Paillier暗号)を用いて数値a=Σi=0 m-12iai(ai∈{0,1})を暗号化した暗号文E(a)から、別の準同型暗号E’(例えば、加法準同型ElGamal暗号)を用いて数値aの最下位ビットa0を暗号化した暗号文E’(a0)を計算する簡単な例について説明する。
図1は本実施例の構成図であり、暗号変換装置100は公開演算装置110、暗号化乱数生成装置120、復号装置130からなる。各装置110、120、130はネットワークを介して接続されることでもよい。公開演算装置110は秘密鍵や乱数を一切必要せずに与えられた処理を実行する。そのため他の装置が同一処理を再現し、公開演算装置110の処理正当性を検証できる。暗号化乱数生成装置120は、指定された領域の乱数を生成して暗号化して出力する。装置から不正に乱数を取り出す攻撃に対して耐性を高めるために、非特許文献1で述べられた方法により、複数の装置が協力して単一の暗号化乱数を生成しても良い。これにより一部の装置の乱数を取り出しても数値aに関する情報を得にくくできる。復号装置130は内部に復号鍵を保持し、暗号文を入力として復号結果を出力する。これも装置から不正に復号鍵を取り出す攻撃に対して耐性を高めるために、複数の装置の鍵を用いて処理した場合に限り復号できるようにしても良い。
図2は本実施例の処理フロー図である。以下、図1、図2により本実施例の処理手続きを説明する。
1.公開演算装置110は、ある準同型暗号Eを用いて数値a=Σi=0 m-12iai(ai∈{0,1})を暗号化した暗号文E(a)を入力する(ステップ1001)。
2.暗号化乱数生成装置120は、乱数ビットr0を生成し、準同型暗号E,E’により、該乱数ビットr0の暗号文E(r0),E’(r0)を生成する(ステップ1002)。また、暗号化乱数生成装置120は、0以上2m+k未満の乱数sを生成し、準同型暗号Eにより、該乱数sの暗号文E(s)を生成する(ステップ1003)。ここで、kは適当な自然数で、セキュリティパラメータを示す。暗号化乱数生成装置120は、生成したE(r0),E’(r0),E(s)を公開演算装置110に送る。
3.公開演算装置110は、E(a),E(r0),E(s)を入力として、Eの準同型性を利用してE(y)=E(a+r0+2s)を計算し、復号装置130に送る(ステップ1004)。
4.復号装置130は、E(y)を復号し、復号結果y=a+r0+2s=Σi=0 m+k2iyi(yi∈{0,1})を公開演算装置110に送る(ステップ1005)。なお、復号装置130は、復号結果yの最下位ビットy0のみを公開演算装置110へ送ることでもよい。
5.公開演算装置110は、E’(r0)及び復号結果yの最下位ビットy0を入力として、
1.公開演算装置110は、ある準同型暗号Eを用いて数値a=Σi=0 m-12iai(ai∈{0,1})を暗号化した暗号文E(a)を入力する(ステップ1001)。
2.暗号化乱数生成装置120は、乱数ビットr0を生成し、準同型暗号E,E’により、該乱数ビットr0の暗号文E(r0),E’(r0)を生成する(ステップ1002)。また、暗号化乱数生成装置120は、0以上2m+k未満の乱数sを生成し、準同型暗号Eにより、該乱数sの暗号文E(s)を生成する(ステップ1003)。ここで、kは適当な自然数で、セキュリティパラメータを示す。暗号化乱数生成装置120は、生成したE(r0),E’(r0),E(s)を公開演算装置110に送る。
3.公開演算装置110は、E(a),E(r0),E(s)を入力として、Eの準同型性を利用してE(y)=E(a+r0+2s)を計算し、復号装置130に送る(ステップ1004)。
4.復号装置130は、E(y)を復号し、復号結果y=a+r0+2s=Σi=0 m+k2iyi(yi∈{0,1})を公開演算装置110に送る(ステップ1005)。なお、復号装置130は、復号結果yの最下位ビットy0のみを公開演算装置110へ送ることでもよい。
5.公開演算装置110は、E’(r0)及び復号結果yの最下位ビットy0を入力として、
結果の正当性については、
本実施例では、実施例1を発展させて、ある準同型暗号E(例えば、Paillier暗号)を用いて数値a=Σi=0 m-12iai(ai∈{0,1})を暗号化した暗号文E(a)から、別の準同型暗号E’(例えば、加法準同型ElGamal暗号)を用いて数値aをビット毎に暗号化した暗号文(E’(am-1),・・・,E’(a0))を計算する例について説明する。
図3は本実施例の構成図であり、暗号変換装置200は公開演算装置210、暗号化乱数生成装置220、復号装置230及び秘匿論理演算装置240からなる。公開演算装置210、暗号化乱数生成装置220、復号装置230の機能は実施例1と基本的に同様である。秘匿論理演算装置240は、複数のビットの暗号文を入力として論理演算結果の暗号文を出力する。装置から不正に乱数や復号鍵といった秘密情報を取り出す攻撃に対して耐性を高めるために、例えば非特許文献2や3で述べられた方法により,複数の装置が協力して、閾値未満の装置の秘密情報を取り出しても数値aに関する情報を得にくくするように論理演算を計算するようにしても良い。
図4は本実施例の処理フロー図である。以下、図3、図4により本実施例の処理手続きを説明する。
1.公開演算装置210は、ある準同型暗号Eを用いて数値a=Σi=0 m-12iai(ai∈{0,1})を暗号化した暗号文E(a)を入力する(ステップ2001)。
2.暗号化乱数生成装置220は、乱数ビット(rm-1,・・・,r0)を生成し、準同型暗号E,E’により、該乱数ビットの暗号文B=(E(rm-1),・・・,E(r0)),C=(E’(rm-1),・・・,E’(r0))を生成する(ステップ2002)。また、暗号化乱数生成装置220は、0以上2m+k未満の乱数sを生成し、準同型暗号Eにより、該乱数sの暗号文E(s)を生成する(ステップ2003)。ここで、kはセキュリティパラメータを示す。暗号化乱数生成装置220は、B,E(s)及びCのE’(r0)を公開演算装置210に送り、E’(r0)以外のCを秘匿論理演算装置240に送る。
3.公開演算装置210は、E(a),B,E(s)を入力として、Eの準同型性を利用して、E(y)=E(a−Σi=0 m-12iri−2ms)を計算し、復号装置230に送る(ステップ2004)。
4.復号装置230は、E(y)を復号し、復号結果y=a−Σi=0 m-12iri−2ms=(−1)cΣi=0 m+k2iyi(c,yi∈{0,1})を得る(ステップ2005)。復号装置230は、復号結果yの最下位ビットy0を公開演算装置210に送り、残りのビットは秘匿論理演算装置240に送る。
5.公開演算装置210は、E’(r0)及びy0を入力として、E’の準同型性を利用して、
1.公開演算装置210は、ある準同型暗号Eを用いて数値a=Σi=0 m-12iai(ai∈{0,1})を暗号化した暗号文E(a)を入力する(ステップ2001)。
2.暗号化乱数生成装置220は、乱数ビット(rm-1,・・・,r0)を生成し、準同型暗号E,E’により、該乱数ビットの暗号文B=(E(rm-1),・・・,E(r0)),C=(E’(rm-1),・・・,E’(r0))を生成する(ステップ2002)。また、暗号化乱数生成装置220は、0以上2m+k未満の乱数sを生成し、準同型暗号Eにより、該乱数sの暗号文E(s)を生成する(ステップ2003)。ここで、kはセキュリティパラメータを示す。暗号化乱数生成装置220は、B,E(s)及びCのE’(r0)を公開演算装置210に送り、E’(r0)以外のCを秘匿論理演算装置240に送る。
3.公開演算装置210は、E(a),B,E(s)を入力として、Eの準同型性を利用して、E(y)=E(a−Σi=0 m-12iri−2ms)を計算し、復号装置230に送る(ステップ2004)。
4.復号装置230は、E(y)を復号し、復号結果y=a−Σi=0 m-12iri−2ms=(−1)cΣi=0 m+k2iyi(c,yi∈{0,1})を得る(ステップ2005)。復号装置230は、復号結果yの最下位ビットy0を公開演算装置210に送り、残りのビットは秘匿論理演算装置240に送る。
5.公開演算装置210は、E’(r0)及びy0を入力として、E’の準同型性を利用して、
公開演算装置210は、E’(a0)はそのまま出力し(ステップ2008)、E’(c1)は秘匿論理演算装置240に送る。
6.i=1,・・・,m−1について、秘匿論理演算装置240は、E’(ri),yi、及びキャリーE’(ci)を入力として、
7.秘匿論理演算装置240は、E’(ai)(i=1,・・・,m−1)を出力する(ステップ2008)。
本実施例の拡張として、暗号化乱数生成装置220はt台とし、0以上2m+k未満の乱数の暗号文E(sj)(j=1,・・・,t)を生成するようにしてもよい。この場合、公開演算装置210はE(a),B,E(sj)からE(y)=E(a−Σi=0 m-12iri−2mΣi=1 tsj)を計算する。復号装置230は、復号結果y=a−Σi=0 m-12iri−2mΣi=1 tsjを得る。
本実施例では、ある準同型暗号E(例えば、Paillier暗号)を用いて数値a=Σi=0 m-12iai(ai∈{0,1})を暗号化した暗号文E(a)に対して、ビットごとに暗号化した暗号文(E(am-1),・・・,E(a0))から、別の準同型暗号E’(例えば、加法準同型ElGamal暗号)を用いて同じくビット毎に暗号化した暗号文(E’(am-1),・・・,E’(a0))を計算する例について説明する。E(a)から(E(am-1),・・・,E(a0))を計算する方法は非特許文献1に述べられている(方法1)。即ち、本実施例では、E(a)から(E(am-1),・・・,E(a0))は秘匿計算装置を用いて計算済みであるとする。
図5は本実施例の構成図であり、暗号変換装置300は公開演算装置310、置換装置320、復号装置330からなる。公開演算装置310、復号装置330の機能は実施例1と基本的に同様である。置換装置320は、ビットの暗号文E(ai)を入力として当該ビットを確率的に反転し、反転情報の暗号文と共に出力する。装置から不正に反転情報を取り出す攻撃に対して耐性を高めるために、複数の装置が多重に処理を行うようにしても良い。
図6は本実施例の処理フロー図である。以下、図5、図6により本実施例の処理手続を説明する。
1.置換装置320は、A=(E(am-1),・・・,E(a0))を入力する(ステップ3001)。
2.置換装置320は、乱数ビット(rm-1,・・・,r0)を生成して、該乱数ビットに基づき、Aの置換結果、
1.置換装置320は、A=(E(am-1),・・・,E(a0))を入力する(ステップ3001)。
2.置換装置320は、乱数ビット(rm-1,・・・,r0)を生成して、該乱数ビットに基づき、Aの置換結果、
3.復号装置330は、Bを復号し、復号結果、
4.公開演算装置310は、C及びRを入力として、E’の準同型性を利用し、
今までの実施例では、公開演算装置以外の装置については不正処理を検出できない場合がある。そのため、不正処理を通じて数値aに関する情報を不当に引き出される恐れがある。そこで本実施例では、不正処理を検出した時点で処理を直ちに中止、中断することで、数値aに関する情報の不当な引き出しを防ぐことを目的として、装置の不正処理を検出する方法について説明する。システム構成は、図1乃至図3の構成に検証装置が追加されるだけであるため省略する。
復号結果については処理正当性をゼロ知識証明する方法が幾つか知られており、非特許文献2や3でも述べられているため、復号装置の不正処理検出方法は説明を省略する。また論理演算結果についても同様に、処理正当性をゼロ知識証明する方法が非特許文献2や3で述べられているため、秘匿論理演算装置の不正処理検出方法も説明を省略する。
以下では、暗号乱数ビットE(ri),E’(ri)など、実施例1〜3で必要となる、異なる暗号化関数E,E’を用いて同一のビットを暗号化したことを、当該ビットを明かすことなく示す方法について説明する。即ち、ビットbに対して、E(b),E’(b)の復号結果が等しいビットである事をゼロ知識証明する。
二通りのアプローチが考えられ、一つは非特許文献4で提案されている“Partial Proof”を用いて、
((E(b)=E(0))∧(E’(b)=E’(0)))∨((E(b)=E(1))∧(E’(b)=E’(1)))
であることをbを明かさずに証明する.
((E(b)=E(0))∧(E’(b)=E’(0)))∨((E(b)=E(1))∧(E’(b)=E’(1)))
であることをbを明かさずに証明する.
R.Cramer,I.Damgard,and B.Schoenmakers,Proofs of partial knowledge and simplified design of witness hiding protocols,Advances in Cryptology−CRYPTO ’94,Lecture Notes in Computer Science 839,pp.171−181,Springer−Verlag,1994.
もう一つは、ビットコミットメントと呼ばれる技術を用いてbのコミットメントComm(b)を生成し、bがビットである事をゼロ知識証明すると同時に、コミットメントしているbがE(b),E’(b)の復号結果と等しい事をbを明かさずに証明する。
何れも既存技術の組合せで実現可能であるが、本実施例では前者のアプローチについて、EをPaillier暗号、E’を加法準同型ElGamal暗号とした場合の具体的な手続きを示す。
[記号の意味]
何れも既存技術の組合せで実現可能であるが、本実施例では前者のアプローチについて、EをPaillier暗号、E’を加法準同型ElGamal暗号とした場合の具体的な手続きを示す。
[記号の意味]
また、実施例1、3で必要となる、データsが一定の範囲の値である事を証明する方法は、非特許文献1で述べられているため説明を省略する。
以上により、暗号化乱数生成装置及び置換装置が不正処理を行った場合にそれを検出できるようになる。
以上により、暗号化乱数生成装置及び置換装置が不正処理を行った場合にそれを検出できるようになる。
本実施例では、前に述べた実施例の方法を用いて、データを明かすことなく算術演算と論理演算が混在する計算を行う例について説明する。このような例として統計処理が挙げられる。
ここでは、ある設問にd個の選択肢があるとし,選択肢毎にYes→1,No→0とする。そしてYesを選択した回答者が最も多かった選択肢を求める事を考える。
回答者(回答者装置)Riはd個の暗号文(E(bi,1),・・・,E(bi,d))(bi,j∈{0,1})を回答として集計者(集計者装置)に送信する。
集計者は、Eの準同型性を利用して
(E(A1),・・・,E(Ad)=(E(Σibi,1),・・・,E(Σibi,d))
を計算する。
次に、E(Aj)(j=1,・・・,d)について、実施例2や3等で示した方法を用いて
Xj=(E’(aj,m-1),・・・,E’(aj,0))
を得る。但し、Aj=Σi=0 m-12iaj,i(aj,i∈{0,1})。
最終的に,Xj(j=1,・・・,d)を入力とした、大小比較回路の秘匿回路計算を実行し、Xjが最大となるjを得る。
ここで、例えば選択肢を選挙立候補者とすれば、最多票を獲得した立候補者のみ知る事のできる投票システムが実現される。
回答者(回答者装置)Riはd個の暗号文(E(bi,1),・・・,E(bi,d))(bi,j∈{0,1})を回答として集計者(集計者装置)に送信する。
集計者は、Eの準同型性を利用して
(E(A1),・・・,E(Ad)=(E(Σibi,1),・・・,E(Σibi,d))
を計算する。
次に、E(Aj)(j=1,・・・,d)について、実施例2や3等で示した方法を用いて
Xj=(E’(aj,m-1),・・・,E’(aj,0))
を得る。但し、Aj=Σi=0 m-12iaj,i(aj,i∈{0,1})。
最終的に,Xj(j=1,・・・,d)を入力とした、大小比較回路の秘匿回路計算を実行し、Xjが最大となるjを得る。
ここで、例えば選択肢を選挙立候補者とすれば、最多票を獲得した立候補者のみ知る事のできる投票システムが実現される。
次に、X2の検定について説明する。
観測度数fiの期待値をeiで表すとき、暗号化された観測度数E(fi)とeiを用いて、データを明かすことなく算術演算を行い、
観測度数fiの期待値をeiで表すとき、暗号化された観測度数E(fi)とeiを用いて、データを明かすことなく算術演算を行い、
次に、E(A)について、実施例2や3等で示した方法を用いて
X=(E(am-1,・・・,E(a0))
を得る。但し、A=Σi=0 m-12iai(aj∈{0,1})。
X=(E(am-1,・・・,E(a0))
を得る。但し、A=Σi=0 m-12iai(aj∈{0,1})。
最終的に、E(A),Πi=0 lei、及び棄却限界値Lを入力とした、大小比較回路の秘匿回路計算を実行し、X2が棄却域にあるかどうか判定する。
なお、図1、図3、図5等で示した装置における各部の一部もしくは全部の処理機能をコンピュータのプログラムで構成し、そのプログラムをコンピュータを用いて実行して本発明を実現することができること、あるいは、図2、図4、図6等で示した処理手順をコンピュータのプログラムで構成し、そのプログラムをコンピュータに実行させることができることは言うまでもない。また、コンピュータでその処理機能を実現するためのプログラム、あるいは、コンピュータにその処理手順を実行させるためのプログラムを、そのコンピュータが読み取り可能な記録媒体、例えば、FD、MO、ROM、メモリカード、CD、DVD、リムーバブルディスクなどに記録して、保存したり、提供したりすることができるとともに、インターネット等のネットワークを通してそのプログラムを配布したりすることが可能である。
110、210、310 公開演算装置
120、220 暗号化乱数生成装置
130、230、330 復号装置
240 秘匿論理演算装置
320 置換装置
120、220 暗号化乱数生成装置
130、230、330 復号装置
240 秘匿論理演算装置
320 置換装置
Claims (8)
- 公開演算装置、暗号化乱数生成装置及び復号装置を用いて、数値a=Σi=0 m-12iai(ai∈{0,1})についてaiを明かすことなく、ある準同型暗号Eにより暗号化した暗号文E(a)から、別の準同型暗号E’により暗号化した暗号文E’(a0)求める暗号変換方法であって、
暗号化乱数生成装置は、乱数ビットr0の暗号文E(r0),E’(r0)、及び、0以上2m+k未満(kは適当な自然数)の乱数sの暗号文E(s)を生成し、
公開演算装置は、E(a),E(r0),E(s)を入力として、E(y)=E(a+r0+2s)を計算し、
復号装置は、E(y)を入力して、y=a+r0+2s=Σi=0 m+k2iyi(yi∈{0,1})を復号し、
公開演算装置は、E’(r0)及びyの最下位ビットy0を入力として、
ことを特徴とする暗号変換方法。 - 公開演算装置、暗号化乱数生成装置、復号装置及び秘匿論理演算装置を用いて、数値a=Σi=0 m-12iai(ai∈{0,1})についてaiを明かすことなく、ある準同型暗号Eにより暗号化した暗号文E(a)から、別の準同型暗号E’によりビットごとに暗号化した暗号文(E’(am-1),・・・,E’(a0))を求める暗号変換方法であって、
暗号化乱数生成装置は、乱数ビット(rm-1,・・・,r0)の暗号文B=(E(rm-1),・・・,E(r0)),C=(E’(rm-1),・・・,E’(r0))、及び0以上2m+k未満の乱数sの暗号文E(s)を生成し、
公開演算装置は、E(a),B,E(s)を入力として、E(y)=E(a−Σi=0 m-12iri−2ms)を計算し、
復号装置は、E(y)を入力して、y=a−Σi=0 m-12iri−2ms=(−1)cΣi=0 m+k2iyi(c,yi∈{0,1})を復号し、
公開演算装置は、C中のE’(r0)及びyの最下位ビットy0を入力として、
秘匿論理演算装置は、i=1,・・・,m−1について、E’(ri),yi、及びキャリーE’(ci)を入力として、
ことを特徴とする暗号変換方法。 - 公開演算装置、暗号化乱数生成装置及び復号装置を用いて、数値a=Σi=0 m-12iai(ai∈{0,1})についてaiを明かすことなく、ある準同型暗号Eによりビットごとに暗号化した暗号文A=(E(am-1),・・・,(a0))から、別の準同型暗号E’によりビットごとに暗号化した暗号文D=(E’(am-1),・・・,E’(a0))を求める暗号変換方法であって、
置換装置は、Aを入力して、乱数ビット(rm-1,・・・,r0)に基づき、
復号装置は、Bを入力して、復号処理を行い、
公開演算装置は、C及びRを入力として、
ことを特徴とする暗号変換方法。 - 請求項3記載の暗号変換方法において、秘匿計算装置により、数値a=Σi=0 m-12iai(ai∈{0,1})について、準同型暗号Eで暗号化した暗号文E(a)に対して、ビットごとに暗号化した暗号文A=(E(am-1),・・・,(a0))を生成することを特徴とする暗号変換方法。
- 実施例1乃至4の何れか1項に記載の暗号変換方法において、
検証装置により、準同型暗号E,E’で同一のビットbを暗号化したE(b),E’(b)の復号結果が等しいビットであることをゼロ知識証明することを特徴とする暗号変換方法。 - 実施例1乃至5の何れか1項に記載の暗号変換方法において、
準同型暗号EはPaillier暗号、準同型暗号E’は加法準同型ElGamal暗号であることとを特徴とする暗号変換方法。 - 実施例1乃至6のいずれか1項に記載の暗号変換方法を適用してなる暗号変換装置。
- 実施例1乃至6のいずれか1項に記載の暗号変換方法を実行するためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007011353A JP5578754B2 (ja) | 2007-01-22 | 2007-01-22 | 暗号変換方法および装置、並びにプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007011353A JP5578754B2 (ja) | 2007-01-22 | 2007-01-22 | 暗号変換方法および装置、並びにプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008176192A true JP2008176192A (ja) | 2008-07-31 |
| JP5578754B2 JP5578754B2 (ja) | 2014-08-27 |
Family
ID=39703243
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007011353A Expired - Fee Related JP5578754B2 (ja) | 2007-01-22 | 2007-01-22 | 暗号変換方法および装置、並びにプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5578754B2 (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010164897A (ja) * | 2009-01-19 | 2010-07-29 | Nippon Telegr & Teleph Corp <Ntt> | 暗号化数値二進変換システム、暗号化数値二進変換方法、暗号化数値二進変換プログラム |
| JP2011199821A (ja) * | 2010-02-24 | 2011-10-06 | Nippon Telegr & Teleph Corp <Ntt> | 秘密計算システム、秘密計算方法、計算装置 |
| JP2012058852A (ja) * | 2010-09-06 | 2012-03-22 | Toshiba Corp | データ管理装置、電力使用量計算システム及びプログラム |
| JP2012070380A (ja) * | 2010-09-24 | 2012-04-05 | Mitsubishi Electric Research Laboratories Inc | 第1のベクトルおよび第2のベクトルに関数を適用した結果を求めるための方法、および第3のプロセッサを用いて第1のベクトルおよび第2のベクトルに関数を適用した結果を求めるためのシステム |
| JP2012078446A (ja) * | 2010-09-30 | 2012-04-19 | Nippon Telegr & Teleph Corp <Ntt> | 不正検知方法、秘密計算システム、計算装置、計算プログラム |
| JP2016208107A (ja) * | 2015-04-16 | 2016-12-08 | 日本電信電話株式会社 | 証明システム、検証装置、証明装置、証明方法、およびプログラム |
| KR20200054128A (ko) * | 2018-11-07 | 2020-05-19 | 알리바바 그룹 홀딩 리미티드 | 준동형 암호화를 사용하는 블록체인 데이터 보호 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009519490A (ja) * | 2005-12-13 | 2009-05-14 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 安全な閾値復号プロトコル計算 |
-
2007
- 2007-01-22 JP JP2007011353A patent/JP5578754B2/ja not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009519490A (ja) * | 2005-12-13 | 2009-05-14 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 安全な閾値復号プロトコル計算 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010164897A (ja) * | 2009-01-19 | 2010-07-29 | Nippon Telegr & Teleph Corp <Ntt> | 暗号化数値二進変換システム、暗号化数値二進変換方法、暗号化数値二進変換プログラム |
| JP2011199821A (ja) * | 2010-02-24 | 2011-10-06 | Nippon Telegr & Teleph Corp <Ntt> | 秘密計算システム、秘密計算方法、計算装置 |
| JP2012058852A (ja) * | 2010-09-06 | 2012-03-22 | Toshiba Corp | データ管理装置、電力使用量計算システム及びプログラム |
| JP2012070380A (ja) * | 2010-09-24 | 2012-04-05 | Mitsubishi Electric Research Laboratories Inc | 第1のベクトルおよび第2のベクトルに関数を適用した結果を求めるための方法、および第3のプロセッサを用いて第1のベクトルおよび第2のベクトルに関数を適用した結果を求めるためのシステム |
| JP2012078446A (ja) * | 2010-09-30 | 2012-04-19 | Nippon Telegr & Teleph Corp <Ntt> | 不正検知方法、秘密計算システム、計算装置、計算プログラム |
| JP2016208107A (ja) * | 2015-04-16 | 2016-12-08 | 日本電信電話株式会社 | 証明システム、検証装置、証明装置、証明方法、およびプログラム |
| KR20200054128A (ko) * | 2018-11-07 | 2020-05-19 | 알리바바 그룹 홀딩 리미티드 | 준동형 암호화를 사용하는 블록체인 데이터 보호 |
| KR102215245B1 (ko) | 2018-11-07 | 2021-02-16 | 어드밴스드 뉴 테크놀로지스 씨오., 엘티디. | 준동형 암호화를 사용하는 블록체인 데이터 보호 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5578754B2 (ja) | 2014-08-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4979068B2 (ja) | 秘匿関数計算方法及び装置、並びにプログラム | |
| Abusukhon et al. | A hybrid network security algorithm based on Diffie Hellman and Text-to-Image Encryption algorithm | |
| JP6349841B2 (ja) | 暗号文処理装置、暗号文処理方法、暗号文処理プログラムおよび情報処理装置 | |
| JP5578754B2 (ja) | 暗号変換方法および装置、並びにプログラム | |
| JP2011130120A (ja) | 量子公開鍵暗号システム、鍵生成装置、暗号化装置、復号装置、鍵生成方法、暗号化方法、及び復号方法 | |
| JP6738062B2 (ja) | 暗号文照合システム、方法、および記録媒体 | |
| JP6738061B2 (ja) | 暗号文照合システム、方法、および記録媒体 | |
| JP2012150399A (ja) | プロキシ再暗号化システム、委譲情報生成装置、被委譲情報生成装置、変換鍵生成装置、暗号文変換装置、プロキシ再暗号化方法、及びそれらのプログラム | |
| Prajapat et al. | Time variant approach towards symmetric key | |
| JP2007114494A (ja) | 秘匿計算方法及び装置 | |
| Ahmad et al. | A secure network communication protocol based on text to barcode encryption algorithm | |
| Mandal et al. | Analysis of avalanche effect in plaintext of des using binary codes | |
| Ahmad Abusukhon et al. | A novel network security algorithm based on encrypting text into a white-page image | |
| JP5434925B2 (ja) | 多者分散乗算装置、多者分散乗算システム及び方法 | |
| JP2004228916A (ja) | 署名暗号方法、その装置およびそのプログラム | |
| Obaida et al. | A Robust Approach for Mixed Technique of Data Encryption Between DES and RC4 Algorithm | |
| JP6189788B2 (ja) | 鍵生成装置、再暗号化装置、およびプログラム | |
| CN101321059B (zh) | 一种用于编码和译码数字消息的方法和系统 | |
| Bucerzan et al. | Stream ciphers analysis methods | |
| JP5103407B2 (ja) | 暗号化数値二進変換システム、暗号化数値二進変換方法、暗号化数値二進変換プログラム | |
| Chander | The state-of-the-art cryptography techniques for secure data transmission | |
| JP6649288B2 (ja) | 暗号システム、セットアップ装置、鍵生成装置、暗号化装置、復号装置、およびプログラム | |
| JP5297918B2 (ja) | 暗号化数値二進変換システム及び方法とプログラム | |
| Ali | Randomly encryption using genetic algorithm | |
| Pan et al. | Witness encryption with (weak) unique decryption and message indistinguishability: constructions and applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090106 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110720 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20111005 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20130329 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20130425 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140530 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140708 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5578754 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |