JP2008500598A - 通信効率の良い秘匿情報検索及び紛失通信のための方法及び装置 - Google Patents
通信効率の良い秘匿情報検索及び紛失通信のための方法及び装置 Download PDFInfo
- Publication number
- JP2008500598A JP2008500598A JP2007527450A JP2007527450A JP2008500598A JP 2008500598 A JP2008500598 A JP 2008500598A JP 2007527450 A JP2007527450 A JP 2007527450A JP 2007527450 A JP2007527450 A JP 2007527450A JP 2008500598 A JP2008500598 A JP 2008500598A
- Authority
- JP
- Japan
- Prior art keywords
- database
- index
- modulus
- prime
- arithmetic function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/3013—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the discrete logarithm problem, e.g. ElGamal or Diffie-Hellman systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/16—Obfuscation or hiding, e.g. involving white box
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/50—Oblivious transfer
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99931—Database or file accessing
- Y10S707/99932—Access augmentation or optimizing
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99931—Database or file accessing
- Y10S707/99933—Query processing, i.e. searching
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99931—Database or file accessing
- Y10S707/99937—Sorting
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99931—Database or file accessing
- Y10S707/99938—Concurrency, e.g. lock management in shared database
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99931—Database or file accessing
- Y10S707/99939—Privileged access
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99941—Database schema or data structure
- Y10S707/99942—Manipulating data structure, e.g. compression, compaction, compilation
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99941—Database schema or data structure
- Y10S707/99943—Generating database or data structure, e.g. via user interface
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99941—Database schema or data structure
- Y10S707/99944—Object-oriented database structure
Abstract
【課題】データベースから非公開で情報を検索する方法、工業製品、及び装置を開示する。
【解決手段】一実施形態において、該方法は、データベースから検索する情報に対応するインデックスを取得するステップと、データベースに対して検索を明らかにしないクエリを生成するステップを含む。クエリは、インデックスの算術関数と秘密値であり、この算術関数には、素数の冪がランダム値の位数であるように、位数が素数の冪で割り切れるランダム値のモジュラスによって特定される乗法群を含む。秘密値は、モジュラスの素数への因数分解を含むインデックスの算術関数である。また、該方法は、データベースの全体に対して算術関数を実行するためにクエリをデータベースに通信するプロセスを更に含む。
【選択図】図1
【解決手段】一実施形態において、該方法は、データベースから検索する情報に対応するインデックスを取得するステップと、データベースに対して検索を明らかにしないクエリを生成するステップを含む。クエリは、インデックスの算術関数と秘密値であり、この算術関数には、素数の冪がランダム値の位数であるように、位数が素数の冪で割り切れるランダム値のモジュラスによって特定される乗法群を含む。秘密値は、モジュラスの素数への因数分解を含むインデックスの算術関数である。また、該方法は、データベースの全体に対して算術関数を実行するためにクエリをデータベースに通信するプロセスを更に含む。
【選択図】図1
Description
本特許出願は、2004年5月20日に出願された「Method And Apparatus For Communication Efficient Private Information Retrieval And Oblivious Transfer」と題した仮出願第60573573号に対して優先権を主張する。
本発明は、一般的な暗号論に関し、特に秘匿情報検索及び紛失通信の問題点に関する。
2人の架空の人物AliceとBobの次のようなシナリオを考えてみる。人物Bobは、m個の要素からなるデータベースDを所有している。ユーザであるAliceは、このデータベースにアクセスしたいと思っており、そのデータベースにアクセスできるようにBobと契約を結んでいる。しかしながら、プライバシーの理由から、Aliceは、自分がデータベース内のどの項目を探索しているのかをBobに知られたくないと思っている。当然、データベースのプライバシーが望まれる多くのシナリオを想定することができる。
当技術分野では、上記の問題に対処する課題分野が公知であり、本明細書では、その課題分野を「秘匿情報検索(PIR:Private Information Retrieval)」と称す。(例えば、ユーザが知るべき情報以上の情報を知ることのないようにすることによる)データベースのプライバシー保持については、当技術分野において、その課題分野について時々言及されており、この明細書においては、「対称型秘匿情報検索(SPIR:Symmetric Private Information Retrieval)」又は「紛失通信(Oblivious Transfer)」として言及する。
プライバシーの目的を実現するための単純なスキームとしては、データベースの所有者(この場合は、Bob)が、データベースの全てをAliceに送ることである。データベースに、m個のビットが含まれていれば、総通信計算量は、O(m)である。ここで、目的のためのこの表記は、am+bを意味する。なお、aとbは、数字である。Aliceは、いかなるクエリをも実行することができ、Bobは、単純に、Aliceのクエリについての情報を全く持たない。もちろん、この解決法は、中位の大きさのデータベースに対してさえ、全くもって非実用的である。また、このタイプのスキームは、データベースのプライバシー保持に対する要求も満たさない。
あるスキームは、データベースの大きさにおいて超対数的である、つまり、O((log2m)d)である総通信量を要求する。ここで、mは、データベース内の項目数であり、dは、1より大きい。このようなシナリオでの総通信量の理論的下限で、最もよく知られているものが、O(log2m)である。
「Private Information Retrieval」(ACMジャーナル(Journal of the ACM)、45巻、1998年(旧バーションは、FOCG95に掲載))において、Chor、Kushilevitz、Goldreich及びSudanは、セキュリティ分析に計算処理による仮定を必要としない情報理論的事例を検討している。
この場合、彼らは、単一データベースを使いさえすれば、mビットが通信されるはずであるということを示している。
一方、同一のデータベースの複製を数個使えば(これらのデータベースは互いに通信しないという制限のもと)、mビットの送信を必要としないスキームを実現することができる。
データベースが互いに通信しないという制限の下、通信計算量がO(m1/3)である2つのデータベース用の秘匿情報検索スキームが存在し、任意の定数k≧2に対して、データベースが互いに通信しないという制限の下、通信計算量がO(m1/k)であるk個のデータベース用の秘匿情報検索スキームが存在することについて究明している。
「Upper Bound on the communication complexity of privete information retrieval」(第24回ICALP予稿集、1997年)において、Ambainisは、データベースが互いに通信しないという制限の下、任意の定数k≧2に対して、通信計算量が
であるk個のデータベース用の秘匿情報検索スキームが存在し、同じく、データベースが互いに通信しないという制限の下、任意のk=θ(logm)に対して、通信計算量がO(log2m−loglogm)であるθ(logm)個のデータベース用の秘匿情報検索スキームが存在することを示している。
「Computationally Private Information Retrieval」(第29回STOC予稿集、pp.304−313、1997年)において、Chor及びN.Gilboaは、任意の∈>0に対して、通信計算量がO(m∈)である2つのデータベース用の秘匿情報検索スキームが存在していることを示している。
彼らのスキームでは、疑似ランダムジェネレータの存在が必要となっている。一方向の関数が存在すれば、そのようなジェネレータが構成されることは、当技術分野では公知である。
「Replication is not needed:single database、computationally privete information retrieval」(1997年FOC予稿集、pp.364−373)において、Kshilevitz及びR.Ostricskyは、計算処理による処理が難しい仮定を用いて、通信計算量がmより小さい単一(すなわち、k=1である)データベース用の秘匿情報検索スキームを実現している。
公知の2次余剰仮定(Quadratic Residuocity assumption)に基づいて、彼らは、任意の∈>0に対して、通信計算量がO(m∈)である単一データベース用の秘匿情報検索スキームが存在することを実証している。
そのようなスキームを構成するために、第1に、彼らは、通信計算量がO((2√m+1)−k)(但し、kは、セキュリティのパラメータ)である基本的なスキームを実証した。
を実現している。
次に、Kshilevitz及びR.Ostricskyは、このスキームのステップの1つ自体が単一データベース用の秘匿情報検索プロトコルで置換できるとすると、結果として得られる通信計算量が、少なくなるであろうということを実証している。
である帰納的スキームを提案している。
を設定すると、通信計算量は、nO(√c)である。
その後、Cachin、Micali、Stadlerが、「Computational Private Information Retrieval with Polylogarithmic Communication」(Eurocryp1999年予稿集、LNCS、pp.402−414、Springer−Verlag社)において、データベースの大きさにおいて、通信計算量が、多項式対数関数的である、すなわち、O(logdm)である単一データベース用の計算処理による秘匿情報検索スキームの構成の仕方を示した。ここで、dは、1よりも大きい定数である。
彼らのスキームにおいて推奨されるパラメータは、d=6であり、これにより、実際の総通信計算量は、O(log6m)となる。
Cachin―Micali―Stadlerスキームは、2つの計算処理による処理が難しい仮定に基づいている。
第1の仮定は、「Φ-hiding仮定(Φ-hiding assumption)」であり、これは、大雑把にいうと、合成数n及び小さい素数pが与えられると、pが、1/2よりも無視できない程良い確率で、Φ(n)を割り切れるかどうかについて決めることは難しいというものである。
第1の仮定は、「Φ-hiding仮定(Φ-hiding assumption)」であり、これは、大雑把にいうと、合成数n及び小さい素数pが与えられると、pが、1/2よりも無視できない程良い確率で、Φ(n)を割り切れるかどうかについて決めることは難しいというものである。
第2の仮定は、「Φ-samplimg仮定(Φ-samplimg assumption)」であり、これは、大雑把にいうと、pが、Φ(n)を割り切れるように、ランダムな合成数nを効率的に見つけることができるというものである。
ユーザは、mビットのデータベースのi番目のビットを得るためには、iの符号化したものを少なくとも送信しなければならない。よって、いかなるスキームにおいても、O(logm)ビットを通信しなければならない。
しかしながら、(計算量がO(log6m)である)「Cachin―Micali―Stadlerスキーム」と、O(logm)という理論的下限との間には、まだ隔たりがある。
Changは、「Single−Database Private Information Retrieval with Logarithmic Communication」(9th Australasian Conference on Information Security and Privacy)(ACISP 2004)予稿集、シドニー、オーストラリア、コンピュータサイエンスにおける講義録、Springer−Verlag社)において、サーバ側の通信計算量がO(logm)である最初の単一データベースの計算処理による秘匿情報検索スキームを実証している。
このスキームは、ビルディングブロックとして、Paillierの暗号システムを利用しており、そのため、その暗号システである限り、安全である。
言い換えると、Paillierの暗号システムは、(上述したKushilevitz−Ostrovskyスキームで使われるものと同じ仮定である)2次余剰仮定の拡張である合成剰余仮定を仮定し、安全であることを示すことができる。
中のランダムな要素がn2を法とするn乗根を有するかどうかを決定することが、計算処理によっては難しいということである。
Julian Stemが、単一データベース用の秘匿情報検索の組みたて方法を、Paillierの暗号システムがその一例となっている意味的に安全な加法同形暗号スキームのほぼ全てから実証しているため、Changのスキームは、特別なケースのスキームである。
しかしながら、Changのスキームのユーザ側の通信計算量は、O(m∈・logm)であり、これは、総通信計算量がO(m∈・logm)であることを意味している。
よって、全体の通信計算量の観点から、Cachin―Micali―Stadlerスキームが、より優れているが、それでもなお、このスキームのO(log6m)の計算量と、理論上の下限であるO(logm)との間には、著しい隔たりがあった。
一実施形態において、当該方法は、データベースから検索する情報に対応するインデックスを取得するステップと、データベースに対してインデックスを明らかにしないクエリを生成するステップを含む。
クエリは、インデックス及び秘密値の算術関数である。ここで、この算術関数には、素数の冪がランダム値の位数であるように、位数が素数の冪で割り切れるランダム値の法(モジュラス)によって特定される乗法群を含む。秘密値は、法の素数への因数分解を含むインデックスの算術関数である。
また、当該方法は、データベースの全体に対して算術関数を実行するためにクエリをデータベースに通信するステップを更に含む。
データベースから非公開で情報を検索する方法、工業製品、及び装置が開示されている。
本発明は、後述する詳細な説明及び本発明の様々な実施形態の添付図によって、より深く理解できるであろう。なお、これらの図は、本発明を特定の実施形態に制限するために用いたものではなく、単に、説明と理解のためのものである。
以下、秘匿情報検索技術を説明する。これらの技術には、安全な秘匿情報検索技術が含まれる。
本発明の実施形態は、クエリを行う側及びデータベースの所有者の計算処理上の要件、及び、これらの当事者が通信を行うチャンネルの帯域幅の要件に関して、効率的である安全な秘匿情報検索のためのスキームを含む。
一実施形態において、ユーザは、自分がどのクエリを要求したかのかをデータベースの所有者に知られることなく、クエリに対する正しい応答を取得できるように、データベースに対してクエリを実行することができる。
別の実施形態においては、データベースの所有者は、自分が知らせてもよいと思うデータベース以上の情報をユーザが知り得ることがないようにすることができる。
これらの実施形態には、通信が、全体としてデータベースの大きさにおいて対数的であるスキームが含まれる。
すなわち、通信計算量が、O(log2m)であり、この通信計算量は、これらのスキームの全体の通信計算量と、典型的に実現しようとする理論上の下限であるO(logm)との範囲に収まる。
換言すると、かかるインタラクションの間に要求される全体の通信量は、O(logm)である。
一実施形態において、クライアントとサーバとの間で通信が発生する。ここでは、クライアントが、O(logm)ビットをサーバに送信し、サーバが、O(logm)ビットをクライアントに送信するものとする。
しかしながら、当業者であれば、本発明は、このような具体的な詳細がなくても実行できることが明らかであろう。別の例においては、本発明を曖昧にすることを防ぐために、公知の構成及び装置を、詳細ではなく、概略図の形式で示している。
以下に続く詳細な説明の幾つかの箇所は、コンピュータメモリ内のデータビットに関する演算のアルゴリズムとシンボリック表現によって表されている。
これらのアルゴリズム的説明及び表現は、データ処理技術における当業者が、自分達の仕事の実体を効率的に当該分野の他の技術者に伝達するために利用する手段である。
ここでのアルゴリズムは、一般的に、所望する結果へ導くステップの自己無撞着シーケンスであると考えられている。これらのステップは、物理量の物理的処理を必要としているものである。
通常、必ずそうであるというわけではないが、これらの量は、記録し、転送し、組み合わせ、比較し、もしくは処理することが可能な電気又は磁気信号の形式をとっている。これらの信号を、ビット、値、要素、シンボル、特徴、用語、数等として参照することが、時によっては、共有して使用するという主な理由のために、都合がよいと証明されることもあった。
しかしながら、これら全ての用語及び同様な用語は、適当な物理量と関連付けられ、これらの物理量に適用された都合のよいラベルにすぎないということに留意されたい。
以下の説明から明らかなように、特に言及していない場合は、本明細書を通して、「処理(processing)」、「計算処理(computing)」、「計算(calculating)」、「決定(determining)」、「表示(displaying)」等の用語を用いて行う説明では、コンピュータシステム又は同様な電気演算器のアクションやプロセスに言及している。
ここに言うコンピュータシステム又は同様な電気演算器とは、コンピュータシステムのレジスタやメモリ内の物理(電気)量として表されるデータを処理して、コンピュータシステムのメモリやレジスタ、その他の情報記録装置、送信装置、表示装置の内部の物理量として表される他のデータへ変換するものである。
また、本発明は、本明細書の演算を実行する装置にも関する。
この装置は、要求される目的のために特別に構成されてもよく、又は、コンピュータに記憶されているコンピュータプログラムによって選択的に起動又は再構成される汎用型のコンピュータから構成されていてもよい。
このようなコンピュータプログラムは、それに限定されるものではないが、フロッピディスク、光ディスク、CD−ROM、磁気光ディスク、読み取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、EPROM、EEPROM、磁気カード又は光カード等のあらゆるタイプのディスク、或いは、電気命令を記憶するのに適しており、それぞれがコンピュータシステムのバスに接続されているあらゆるタイプの媒体等のコンピュータで読み取り可能な記憶媒体に記憶されていてもよい。
本明細書に提示したアルゴリズム及び表示は、特定のコンピュータ及び他の装置に本質的に関するものではない。様々な汎用型システムを、本明細書の教示に従ってプログラムと共に利用してもいいし、又は、必要な方法のステップを実行するためにより特化した装置を構成する方が便利かもしれない。
これらの様々なシステムに必要な構成は、以下の説明から明らかになるであろう。また、本発明は、いかなる特定のプログラム言語をも参照せずに、説明している。ここに説明する本発明の教示するものを実装するために、様々なプラグラム言語を使用することができるということが分かるであろう。
機械的に読み取り可能な媒体には、機械(例えば、コンピュータ)によって読み取り可能な形式で情報を記憶又は送信するためのあらゆるメカニズムが含まれる。
例えば、機械的に読み取り可能な媒体には、読み取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、磁気ディスク記憶媒体、光記憶媒体、フラッシュメモリ装置、電気、光、音響、又は、他形式の伝播信号(例えば、搬送波、赤外線信号、デジタル信号等)等が含まれる。
<用語の定義>
以下の説明を通して、mは、データベース中の要素の数を表し、nは、効率的に因数分解することが難しいとされる合成モジュラスを表す。
以下の説明を通して、mは、データベース中の要素の数を表し、nは、効率的に因数分解することが難しいとされる合成モジュラスを表す。
話を簡単にするために、データベースの各要素は、単一のビット(0か1)と仮定する。当該技術分野において通常の熟練を有する者が、以下の定義を読めば、本明細書に記載した方法、構成要素、システムが、任意のビット数を取り扱うように(例えば、単純な反復によって)修正することができることがわかるであろう。
また、本明細書の目的のために、いかなる多項式関数q(n)においても、全てのn>n0に対して、f(n)<1/q(n)となるような値n0が存在するならば、関数f(n)は無視することができる。このように無視できる関数の一例が、f(n)=1/2nである。
aとbが、a≦bとなる2つの整数である場合に、[a,b]は、a以上b以下の整数の集合を表すものとする。すなわち、[a,b]={c∈Z|a≦c≦b}である。
で表す。
多くの暗号化に関する発明の安全性は、特定の計算処理が困難であると仮定されていることに依拠している。
例えば、特定の数を素因数に効率的に分解することが難しい限りにおいて、暗号化が安全であると証明しようとした。
「計算処理上の(computational)」という用語が、このクラスの暗号システム(すなわち、特定の数を素因数に効率的に分解することが難しい限りにおいて安全である暗号システム)を識別するために使用されることがよくある。
したがって、単一データベースの計算処理による秘匿情報検索スキームは、そのスキームの安全性を確立するために、ある種の計算処理上の仮定が必要とされていることを意味している。
当技術分野においては、「情報理論的(information theoretic)」又は「無条件に(unconditional)」という用語を、いかなるタイプの仮定をも行わずに、特定の意味のある安全性の定義に数学的に見合っていると考えられるスキームに関連して使用することが多い。
仮定に関しては、1つの仮説が別のものを示唆する場合が多々ある。
典型的には、当技術分野において、このことは、第2の仮定に反するためのメカニズムを、第1の仮定に反するためのメカニズムに変換(当技術分野においては簡約として知られている変換)することによって示されている。
そのような場合において、第1の仮説は、「より強い」と呼ばれ、一方の第2の仮定は、「より弱い」と呼ばれる。一般に、より弱い仮定のほうが好ましい。
<計算処理による秘匿情報検索(CPIR)>
本明細書の目的のために、多項式対数関数的単一データベースの計算処理による秘匿情報検索スキームは、以下の定義に従う。
本明細書の目的のために、多項式対数関数的単一データベースの計算処理による秘匿情報検索スキームは、以下の定義に従う。
(定義1:多項式対数関数的PIR)
D(・,・,・)、Q(・,・,・)、R(・,・,・)を効率的なアルゴリズムであるとする。
D(・,・,・)、Q(・,・,・)、R(・,・,・)を効率的なアルゴリズムであるとする。
かかる定義によれば、以下のような定数a,b,c,d>0が存在するならば、(D,Q,R)は、完全に多項式対数関数的CPIRスキームである。
ただし、a、b、c及びdは、CPIRの基礎の定数を使う。Bは、(サーバのコンポーネントに記憶してもよい)データベースの内容を構成し、個別のビットから成る。
Dは、データベースからの応答を生成する方法である。ペア(Q,R)は、それぞれ、クエリ生成方法及び再構築方法を構成する。sは、(クエリqに関連付けられており、クエリqからのデータベースの応答を「再構築」するために使用される)秘密である。
rは、応答であり、kは、安全性のパラメータである。一実施形態において、安全性のパラメータkは、個人個人が希望する安全性のレベルに従って設定され、残りのパラメータは、データベースの特徴(例えば、その大きさ)に基づいて設定される。
多項式対数関数的スキームが、純粋に対数的総通信計算量を持つことを保証するために、b=1であり、|q|及び|r|は、O(k)である。
<Φ-hiding仮定及びその変形>
定義される実施形態の安全性を提供することに関連して、多くの仮定がある。これらの仮定は、可変サンプリング分布Dに関して定義されている。その後、Dの候補である特定のサンプリング方法が与えられる。
定義される実施形態の安全性を提供することに関連して、多くの仮定がある。これらの仮定は、可変サンプリング分布Dに関して定義されている。その後、Dの候補である特定のサンプリング方法が与えられる。
(オリジナルのΦ-hiding仮定)
(定義2: Φ-hiding仮定)
次の2つの条件を満たすようなe,f,g,h>0が存在する。
(定義2: Φ-hiding仮定)
次の2つの条件を満たすようなe,f,g,h>0が存在する。
を出力するようなサンプリング・アルゴリズムS(・)が存在する。
であるようなサンプリングアルゴリズムS(・)が存在する。
なお、オリジナルの仮定では、k>hに対するkビットの素数の集合を使用している。一般化するために、Pで表される許容集合の1つの集合について考えてみる。
例えば、許容集合の1つである当該集合が、ある範囲内の奇素数の冪であるとする。次に、オリジナルのΦ-hiding仮定において、サンプリングアルゴリズムは、一様にランダムである。
これは、問題を難しくする、ある効率的に計算可能な分布を要求するだけで一般化することができる。そのため、オリジナルの形式は、より強い仮定である。
である効率的に計算処理可能な分布Dが存在するような定数fが存在する。
上記の仮定は、2通りに修正することができる。
まず、p0がランダムに選択されていないとしても真であるという仮定である。
そして、安全性を保持するために、モジュラスにおいて必要とされるビットの数がより少ないという仮定である。
一実施形態では、同じ素数が、それぞれの新たなクエリに対して使用されるので、固定したp0に対する安全性が仮定される。一方、Cachin―Micali―Stadlerスキームでは、各クエリに対する各データベースのビットに対して異なった素数を生成する。
以下に、定義の形式表現を示す。
である効率的に計算処理可能な分布Dが存在するような定数fが存在する。
である効率的に計算処理可能な分布Dが存在するような定数fが存在する。
なお、Φ(n)の大きい除数を明らかにすることは、nの因数分解を露呈することになりかねない。つまり、p>n1/4が、Φ(n)の除数であれば、(n;p)が与えられたnを容易に因数分解できることは、従来技術において公知である。従って、fは少なくとも4である。しかし、pがこれより小さければ、同様のことは知られていない。
<サンプリング分布>
集合Pが与えられると、分布Dは、様々なΦ-hiding仮定を持つ傾向が強いと定義される。
集合Pが与えられると、分布Dは、様々なΦ-hiding仮定を持つ傾向が強いと定義される。
一実施形態において、nが2つの素数の積であり、Dが一様な分布である場合には、Φ-hiding仮定は、p=3に対して適用されない。
例えば、素数Q1とQ2に対するn=Q1Q2≡2(mod 3)を仮定してみる。そうすると、Q1とQ2の一方が、3を法とする1と合同であることが分かる。したがって、3が、Φ(n)=(Q1−1)(Q2−1)を割ることが明らかである。
3よりも大きな素数に対して同様な議論が可能である。
から一様に引き出すと仮定してみる。
そうすると、pを法とするDの出力を考慮するだけで、Dが、どの集合を引き出したかを識別することができる。
原則的に、一方の素数は、pを法とする1の値に合同であり、他方の素数は、pを法とする任意の値(0を除く)に合同になることができるので、第1の集合から引き出された数は、pを法とする一様なものとなる。
しかしながら、第2の集合から引き出される数は、pを法とする一様なものではない。この場合、両方の素数は、pを法とする[2,p−1]における、ある数と合同である。
となる。pが、合成数であれば、同じような状況が起こる。
からサンプリングする場合に、上述した一様でない分布に一致するpを法とする分布でサンプリングするように、分布Dを調整することである。これは、先ず一様な分布でサンプリングし、次に或る確率で出力を拒否することで達成することができる。
<データベースクエリ、応答、再構築>
図1は、データベースから非公開で情報を検索するプロセスの一実施形態の流れ図である。
図1は、データベースから非公開で情報を検索するプロセスの一実施形態の流れ図である。
このプロセスは、(例えば、回路、専用ロジック等の)ハードウェアや、(汎用型コンピュータシステム、又は、専用装置などで作動する)ソフトウェアや、又は、その両者の組み合わせから構成されている処理ロジックによって実行される。処理ロジックは、ファームウェアから構成されてもよい。一実施形態において、処理ロジックは、(例えば、コンピュータシステム、移動装置(例えば、携帯電話等)の)クライアント装置の一部である。
図1を参照すると、データベースから検索される情報に対応するインデックスを取得する処理ロジックによってプロセスが始まる(処理ブロック101)。インデックスは、データベース内の特定の場所を特定するアドレスを表している。
このインデックスを使うことにより、処理ロジックは、インデックスの算術関数であるクエリ及びインデックスの算術関数である秘密値を生成する(処理ブロック102)。
かかる算術関数は、モジュラス及びランダム値を含み、データベースにインデックスを明らかにしないために、インデックスの暗号化を表している。
秘密値は、モジュラスの素数への因数分解を含む。一実施形態においては、クエリは、O(logm)ビットを含み、mは、データベースに記憶されている要素の数と等しい。
クエリを生成すると、処理ロジックは、データベースの全体に対して算術関数を実行するために、クエリをデータベースに通信する(処理ブロック103)。
その後、処理ロジックは、データベースによる算術関数の実行結果を受け取り(処理ブロック104)、その結果を復号する(処理ブロック105)。一実施形態においては、データベースとの間で交換する情報の総量は、データベースに記憶されている情報の総量よりも少ない。
、素数であるp’jによって与えられる素数の冪の集合へ写像することを表すものとする。ここで、pjは、Pにおけるj番目の素数の冪である。
本明細書の目的のために、P及びσの写像は、クエリア及びデータベースの両方に知られているものと仮定する。
図2は、クエリを生成するプロセスの一実施形態の流れ図である。
このプロセスは、(例えば、回路、専用ロジック等の)ハードウェアや、(汎用型コンピュータシステム、又は、専用装置等で作動する)ソフトウェアや、又は、その両方の組み合わせから構成されてもよい処理ロジックによって実行される。処理ロジックは、ファームウェアによって構成されていてもよい。
一実施形態において、プロセスは、入力値として、多くの値(m,I,k0,P,D,σ)を有する。
ここで、mは、データベース内のビット数であり、i∈[1,m]は、クエリアが興味を持っている事項を表すデータベースのインデックスであり、k0は、より高いセキュリティを提供するために大きくすることができるセキュリティのパラメータであり、Pは、素数の冪の集合であり、Dは、
に対する分布であり、σは、上述した[1,m]からPへの写像である。
図2を参照すると、素数の冪を求めるために、写像をインデックスに論理的に適用する処理ロジックによって、かかるプロセスが開始する(処理ブロック201)。一実施形態において、素数の冪は、σ(i)=Pi’を計算することにより求められる。
素数の冪を使って、処理ロジックは、素数の冪に対して「Φ-hide」処理を行う値の集合から、十分に大きいモジュラスを、分布関数により、サンプリングする(処理ブロック202)。
つまり、モジュラスの因数分解を困難にするために、モジュラスは十分に大きい。例えば、一実施形態においては、1024ビットは、十分に大きいと考えられるが、それよりも大きいモジュラスを使用してもよい。
を生成することにより起こる。
モジュラスをサンプリングした後、処理ロジックは、モジュラスを法としてとる乗法群において、位数が素数の冪であるランダム値を生成する(処理ブロック203)。
一実施形態においては、ランダム値は、pi’で割り切れる位数を有するランダムなx∈(Z/nZ)*を生成することによって生成される。
ランダム値を生成した後に、処理ロジックは、クエリを出力する(処理ブロック204)。一実施形態において、クエリq=(n;x)及び秘密sは、nの因数分解を表している。
(応答生成プロセスの例)
データベースは、クエリアからクエリを受け取り、それに応答して、クエリアに送信される応答を生成する。図3は、応答を生成するプロセスの一実施形態の流れ図である。
データベースは、クエリアからクエリを受け取り、それに応答して、クエリアに送信される応答を生成する。図3は、応答を生成するプロセスの一実施形態の流れ図である。
このプロセスは、(例えば、回路、専用ロジック等の)ハードウェアや、(汎用型コンピュータシステム又は専用装置等で作動する)ソフトウェアや、又は、それらの組み合わせから構成されている処理ロジックによって実行される。処理ロジックは、ファームウェアによって構成されていてもよい。処理ロジックは、データベースの一部であってよい。
一実施形態において、かかるプロセスは、入力値として多くの値(B,n,x,P,σ)を有する。
ここで、Bは、mビット文字列として閲覧されたデータベースの内容を示し、nは、合成モジュラスであり、xは、(Z/nZ)*からの要素であり、Pは、素数の冪の集合であり、σは、上述した[1,m]からPへの写像である。
図3を参照すると、データベースを複数の群に分割することによって、プロセスが始まる(処理ブロック301)。
である。
データベースを群に分割した後で、処理ロジックは、データベースの複数の群のそれぞれを整数として表す(処理ブロック302)。
一実施形態において、このことは、各Ciを、数C’ i∈[0,2l−1]として表現することで起こる。つまり、[0,2l−1]内の数を、底2で表記したものとしてCiを見る場合に、そのときの数をC’ iと呼ぶ。
次に、処理ロジックは、上述した各群のインデックスに関連付けられた素数の冪を法とする群のそれぞれの整数表記と合同である整数値を計算処理する(処理ブロック303)。
一実施形態においては、全てのiに対して、e≡C’ i(mod pi’)となるような最小の正の整数となるように、eを設定することにより、整数値の計算が行われる。
かかる整数値を使うことにより、処理ロジックは、応答を生成する(処理ブロック304)。
一実施形態において、処理ロジックは、かかる整数値と等しい指数を持つ底の入力値を冪乗し、モジュラス値で算術モジュロ演算を実行することによって、応答を生成する。一実施形態において、応答生成には、応答r=xe(mod n)の出力が含まれる。
この技術の最初の3つの演算は、クエリから独立していることに留意されたい。そのため、本発明の他の実施形態では、これらの3つの演算は、予め計算処理することができる。
(再構築プロセスの例)
データベースが、クエリへの応答をクエリアに提供した後、クエリアは、応答を検索するために、結果に基づいて再構築を行う。図4は、応答の検索を実行するプロセスの流れ図である。
データベースが、クエリへの応答をクエリアに提供した後、クエリアは、応答を検索するために、結果に基づいて再構築を行う。図4は、応答の検索を実行するプロセスの流れ図である。
このプロセスは、(例えば、回路、専用ロジック等の)ハードウェアや、(汎用型コンピュータシステム又は専用装置等で作動する)ソフトウェアや、又は、それらの組み合わせから構成されている処理ロジックによって実行される。処理ロジックは、ファームウェアによって構成されていてもよい。処理ロジックは、データベースの一部であってもよい。
一実施形態において、かかるプロセスは、入力値として多くの値(m,i,n,x,r)を有する。
ここで、mは、データベース内のビット数であり、i∈[1,m]は、クエリアが興味を持っている事項を表すデータベースのインデックスであり、nは、合成モジュラスであり、xは、(Z/nZ)*からの要素であり、rは、(Z/nZ)*における値である。
図4を参照すると、特定のインデックスに関連付けられた素数の冪によって分割されるモジュラスに適用されるオイラーのファイ関数(Euler totient function)と等しい冪まで、第1の入力底を冪乗し、第1の入力底を冪乗した結果に基づくモジュラスを使用するモジュロ演算を実行することによって第1の値を決定するという処理ロジックにより、プロセスが開始される(処理ブロック401)。
を演算処理することにより生成される。
第1の値を決定した後で、処理ロジックは、素数の冪まで第2の入力底を冪乗し、第1の入力底を冪乗した結果に基づくモジュラスを用いるモジュロ演算を実行することによって、第2の値を決定する(処理ブロック402)。
を演算処理することにより生成される。
第2の値を決定した後で、処理ロジックは、第1の値と等しい底に対する第2の値の離散対数に基づき、第3の値を算術的に決定する(処理ブロック403)。
一実施形態において、第3の値は、底yに対するzの離散対数(モジュロn)であるC’ iを演算処理することにより生成される。
一度、第3の値が生成されると、処理ロジックは、この第3の値から、クエリに関連付けられた少なくとも1ビットを生成する(処理ブロック404)。
一実施形態において、少なくとも1ビットを生成することには、C’ iの(i mod l)ビットであるBiの出力を含む。
<単一データベースの計算処理的秘匿情報検索のためのクライアント、サーバ及びシステムの実施形態>
クライアントコンポーネントは、処理ロジックを実行することができる(例えば、回路、専用ロジック等の)ハードウェア装置や、(汎用型のコンピュータシステム、又は、専用装置等で作動するような)ソフトウェア装置や、又は、その両方の組み合わせであってよい。
クライアントコンポーネントは、処理ロジックを実行することができる(例えば、回路、専用ロジック等の)ハードウェア装置や、(汎用型のコンピュータシステム、又は、専用装置等で作動するような)ソフトウェア装置や、又は、その両方の組み合わせであってよい。
図5は、クライアントの一実施形態の流れ図である。
図5を参照すると、クライアントは、クエリを生成して応答を送信する方法を実行することによってデータベースの項目を要求することができる外部ネットワークインターフェイス501と、外部ネットワークインターフェイス501及びメモリ503に連結されたプロセッサ502とを備える。
一実施形態において、プロセッサ502は、データベースに対する応答を受け取り、再構築のための方法を適用することができるので、興味のあるデータベースに含まれる項目を取得することができる。
サーバコンポーネントは、処理ロジックを実行することができる(回路、専用ロジック等の)ハードウェア装置や、(汎用型のコンピュータシステム、又は、専用装置上で作動するような)ソフトウェア装置や、又は、その両方の組み合わせであってよい。
図6は、クライアントの一実施形態の流れ図である。
図6を参照すると、サーバは、データベースの項目に対する要求を受け取ることのできる外部ネットワークインターフェイス601と、外部ネットワークインターフェイス及びメモリに接続されたプロセッサ602とを備える。
かかるプロセッサは、データベースの応答を生成するための方法によって与えられた出力をネットワークに送信する。ここで、第2、第3の入力が、かかる要求から取られる。
単一データベースの計算処理による秘匿情報検索を提供するクライアントとサーバとの間のデータを通信するシステムについて考えてみる。
このようなシステムは、データベースクエリを生成し、そのようなクエリを通信ネットワークを通じてサーバに送信し、サーバから通信ネットワークを介して応答を受け取り、興味のあるデータベースの項目を再構成することができるクライアントコンポーネントを備え、サーバコンポーネントは、データベースの応答を生成し、そのような応答を、通信ネットワークを通じてクライアントに送信することができる。
<対数的紛失通信>
紛失通信において、クエリアが情報の単一ビットの検索だけを許可されているという意味で、サーバのプライバシーも保持されている。秘匿情報検索スキームのための本明細書に記載の技術は、紛失通信を提供するために修正することができる。
紛失通信において、クエリアが情報の単一ビットの検索だけを許可されているという意味で、サーバのプライバシーも保持されている。秘匿情報検索スキームのための本明細書に記載の技術は、紛失通信を提供するために修正することができる。
一実施形態において、幾分不十分な紛失通信スキームを構成するための一般的な合成パラダイムが、効率的な秘匿情報検索スキームで定義され、効率的な紛失通信スキームが実現する。
次に、どのようにして上述した既存の秘匿情報検索スキームを、そのような幾分不十分な紛失通信スキームに変換することができるかについて具体的に述べる。
非効率な紛失通信のコンポーネントは、小さい入力の演算のみを行い、一方で、より効率的な秘匿情報検索コンポーネントは、大きいサイズの入力の演算を行うので、合成パラダイムが機能する。合成パラダイムを適用することにより、対数的総通信を実現する紛失通信スキームが得られる。
上述した秘匿情報検索の技術によって、クエリアが、(少なくとも)logmビットを回復することができる。ここで、mは、データベースのサイズである。
このスキームを修正するために、このスキームにより、クエリアは、所与のlビット(l=logm)ブロックCiから単一ビットを回復させることだけができるが、同時に、クエリアが、1つ以上のブロックからビットを回復することも防いでいる。
という制限を条件として、さまざまな紛失通信スキームを使うことができる。
一実施形態において、この制限は、紛失通信スキームの通信計算量がO(logm)であるように使われている。この紛失通信スキームを使うことで、上述した秘匿情報検索スキームの技術を、クエリアが任意のブロックの単一ビットを越えて回復することができないことを保証するように修正してもよい。
(紛失通信クエリ生成プロセスの例)
図8は、紛失通信クエリ生成方法の一実施形態の流れ図である。
図8は、紛失通信クエリ生成方法の一実施形態の流れ図である。
このプロセスは、(例えば、回路、専用ロジック等の)ハードウェアや、(汎用型コンピュータシステム、又は、専用装置等で作動するような)ソフトウェアや、又は、その両者の組み合わせによって構成されてもよい処理ロジックによって実行される。処理ロジックは、ファームウェアによって構成されていてもよい。一実施形態において、流れ図中の演算は、クエリアによって実行される。
図8を参照すると、このプロセスは、データベースB中のデータベースビットを素数の冪に写像する処理ロジックによって開始される(処理ブロック801)。このことは、上述したものと同様に起こる。但し、例外は、(底の素数は同じであっても)素数の冪がオリジナルのものより小さい、又は、大きい可能性があるということである。
一実施形態において、各素数の冪は(各素数の冪が2lより大きくなくてはならないことにもともと反して)2max{ri}より大きいので、データベースの応答は、劣化なしに暗号化することができる。
次に、クエリアにおける処理ロジックは、適当な素数の冪pi及びジェネレータxに対して「Φ-hide」処理を行うモジュラスnを生成する(処理ブロック802)。
これにより、データベースのビットCiのj番目のビット、ブロックCにおけるj∈[1,l]に、クエリアが興味を持っていることを推測することができる。
を生成する(処理ブロック803)。
(紛失通信応答生成プロセスの例)
図9は、紛失通信クエリ生成プロセスの一実施形態の流れ図である。
図9は、紛失通信クエリ生成プロセスの一実施形態の流れ図である。
このプロセスは、(例えば、回路、専用ロジック等の)ハードウェアや、(汎用型コンピュータシステム、又は、専用装置等で作動するような)ソフトウェアや、又は、その両者の組み合わせから構成されてもよい処理ロジックによって実行される。処理ロジックは、ファームウェアによって構成されていてもよい。 一実施形態において、流れ図中の演算は、データベースによって実行される。
図9を参照すると、このプロセッサは、全てのiに対して、e≡rij(mod pi)であるようなeを計算処理する処理ロジックによって開始される(処理ブロック901)。
次に、処理ロジックは、値xe(mod n)を計算し(処理ブロック902)、そして、この値をクエリアに送信する(処理ブロック903)。
(紛失通信再構築プロセスの例)
図10は、紛失通信応答検索のプロセスの一実施形態の流れ図である。
図10は、紛失通信応答検索のプロセスの一実施形態の流れ図である。
このプロセスは、(例えば、回路、専用ロジック等の)ハードウェアや、(汎用型コンピュータシステム、又は、専用装置等で作動するような)ソフトウェアや、又は、その両方の組み合わせから構成されてもよい処理ロジックによって実行される。処理ロジックは、ファームウェアによって構成されていてもよい。一実施形態において、図10に記載されている演算は、クエリアによって実行される。
プロセッサは、図10を参照すると、rijを回復する処理ロジックによって開始される(処理ブロック1001)。
一実施形態において、処理ロジックは、秘匿情報検索の再構築プロセスにおいてCiを回復するのと同様の方法で回復を実行する。
rijを回復した後に、処理ロジックは、ビットCijを紛失通信応答rijから回復する(処理ブロック1002)。
(紛失通信プロセスの分析)
上記のやり方によって、クエリアが、任意の単一ブロックCiから1ビットを越えて回復することはできないことを保証されるが、クエリアが、1つ以上のブロックから1ビットを回復することができないことを保証するものではない。
上記のやり方によって、クエリアが、任意の単一ブロックCiから1ビットを越えて回復することはできないことを保証されるが、クエリアが、1つ以上のブロックから1ビットを回復することができないことを保証するものではない。
例えば、クエリアは、2つの素数の冪pi1及びpi2に対して「Φ-hide」処理を行うように、nを選択することができ、この場合、上述したデータベースの紛失通信の補足された応答によって、2つのデータベースビット、つまり、Ci1jとCi2jが、クエリアに与えられる。
この問題に対処するため、一実施形態において、データベースは、クエリアが、nにおいて、2以上の素数の冪に対して「Φ-hide」処理を行うことから恩恵を受けることができないことを保証するために、この技術を使う。
議論のために、Φ(n)が、1つの素数の冪piだけによって割り切れ、残りに対して互いに素であることを確認することができるデータベースを想定してみる。
また、e’が、piを法とするrijと合同である最も小さい整数であり、(上記スキームで設定したように)e=e’と設定する代わりに、データベースが、適当に大きい範囲(例えば、[1,n2])から乱数zを選び、
を設定し、xe(mod n)をクエリアに送信する場合を考えてみる(この方法で選択された場合、eは、必要なモジュール方式の等式をまだ満たしていることに注意されたい)。
このシナリオにおいて、pi2が、Φ(n)に対して互いに素であれば、クエリアは、値Ci2jについて何らかの情報を取得することができるかどうかの問いに関して、たとえ境界のない計算処理上の素数を有し、データベースの他の全てのビットを知っていたとしても、クエリアは、せいぜい無視できる程の情報を得られ程度であるというのが答えである。
なぜならば、クエリアが、Ci2jに関して取得可能な唯一の情報は、eに埋め込まれているためである。特に、クエリアが、eについて引き出せる唯一の情報は、以下の通りである。
である。ここで、Cij=0ならば、e’=e’0であり、Cij=1ならば、e’=e’1である(これは、データベースが、eを計算処理する方法なので、クエリアは、このことを知っている)。
の2つの確率のうち、どちらが真であるかを見分けることができるかどうかである。答えは、(無視できる程度の利点を除き、)できない、である。
なぜならば、2つの事象の条件付き確率(クエリアのeについての情報に関する条件)は、無視できるためである。
の可能値のどちらか一方が存在する。
の第2の集合に対して同じである。
であり、これは、無視できるものであることを検証することができる。
一実施形態において、ユーザは、Φ(n)が、素数の冪piのうち、1つだけによって割り切れ、残りに対して互いに素であるように、nを選択する。
乗根を持つことになることに留意されたい。
しかしながら、ユーザが、不正を行った場合(根が存在するならば)、その根は、固有ではなくなる。
乗根から生成される疑似ランダム系列で、データベースが、ブロックCiのビットをマスクする(そして、オリジナルのCiではなく、このマスクされた文字列からrijを生成する)
一実施形態において、全体的に改良した紛失通信スキームの方法について以下に説明する。
一実施形態において、全体的に改良した紛失通信スキームの方法について以下に説明する。
(紛失通信のためのクエリ生成プロセスの他の実施形態)
一実施形態において、紛失通信クエリ生成のためのクエリ生成プロセスは、上述したプロセスと同じである。
一実施形態において、紛失通信クエリ生成のためのクエリ生成プロセスは、上述したプロセスと同じである。
(応答生成プロセスの他の実施形態)
図11は、応答生成プロセスの他の実施形態の流れ図である。
図11は、応答生成プロセスの他の実施形態の流れ図である。
このプロセスは、(例えば、回路、専用ロジック等の)ハードウェアや、(汎用型コンピュータシステム、又は、専用装置等で作動するような)ソフトウェアや、又は、その両方の組み合わせから構成されてもよい処理ロジックによって実行される。処理ロジックは、ファームウェアによって構成されていてもよい。一実施形態において、図11に記載される演算は、データベースよって実行される。
を設定する(処理ブロック1101)。
を設定し、そして、rij=OTl(C’i;qOT,l)を設定する(処理ブロック1102)。
そして、処理ブロックは、乱数z∈[1,n2](又は、他の適当な範囲において)を生成する(処理ブロック1103)。
を設定し(処理ブロック1104)、そして、r=xe(mod n)とする応答(Y,y)を送信する(処理ブロック1105)。
図12は、紛失通信応答検索の他の実施形態の流れ図である。
このプロセスは、(例えば、回路、専用ロジック等の)ハードウェアや、(汎用型コンピュータシステム、又は、専用装置等で作動するような)ソフトウェアや、又は、その両方の組み合わせから構成されている処理ロジックによって実行される。処理ロジックは、ファームウェアによって構成されていてもよい。一実施形態において、図12に記載する演算は、クエリアによって実行される。
図12を参照すると、このプロセスは、上述した標準的なメカニズム、すなわち、Φ(n)/piによって冪乗し、関連する離散対数を計算するメカニズムを使って、rijを回復する処理ブロックによって開始される(処理ブロック1201)。
rijを使って、処理ロジックは、C’iのj番目のビットを回復する(処理ブロック1202)。
乗根として、yiを回復する(処理ブロック1203)。
最後に、処理ロジックは、Ci’jとH(yi)から、Cijを計算する(処理ブロック1204)。
結果として得られるビットが予測不可能であるということが、関数Hから必要とされる唯一の安全性のプロパティである。この目的を実現するための数多くの方法が、当業者には公知である。このような方法には、ハードコアビットや、SHA-1等の安全な暗号化ハッシュ関数、強秘匿暗号化スキーム当を使用することが含まれるが、これらに限定されるものではない。
(紛失通信クライアントの例)
紛失通信クライアントのコンポーネントは、処理ロジックを実行可能な、(例えば、回路、専用ロジック等の)ハードウェア装置や、(汎用型コンピュータシステム、又は、専用装置等で作動するような)ソフトウェア装置、又は、その両方の組み合わせであってよい。
紛失通信クライアントのコンポーネントは、処理ロジックを実行可能な、(例えば、回路、専用ロジック等の)ハードウェア装置や、(汎用型コンピュータシステム、又は、専用装置等で作動するような)ソフトウェア装置、又は、その両方の組み合わせであってよい。
一実施形態において、このコンポーネントは、図5のクライアントコンポーネントと同様なコンポーネントを有する。例えば、コンポーネントは、データベースの項目に対する要求がなされる外部ネットワークインターフェイスから構成されている。
しかしながら、紛失通信クライアントは、紛失通信クエリを生成して応答を送信する方法を実行することによってそれを行う。
コンポーネントは、外部ネットワークインターフェイス及びメモリに接続されたプロセッサを更に備える。
プロセッサは、紛失通信データベースに対する応答を受け取り、データベースに含まれる興味のある項目を取得するために、再構築プロセスを適用することができる。
紛失通信サーバのコンポーネントは、上述した処理を実行可能な、(例えば、回路、専用ロジック等の)ハードウェア装置や、(汎用型コンピュータシステム、又は、専用装置等で作動するような)ソフトウェア装置や、又は、その両方の組み合わせであってよい。
一実施形態において、コンポーネントは、図6のクライアントコンポーネントと同様なコンポーネントを有する。
例えば、サーバコンポーネントは、データベースの項目に対する要求を受け取る外部ネットワークインターフェイスを備える。
また、コンポーネントは、外部ネットワークインターフェイス及びメモリに接続されたプロセッサを更に備える。
プロセッサは、紛失通信データベースの応答を生成するプロセスによって与えられる出力をネットワークへ送信する。ここで、第2及び第3の入力は、かかる要求から取得される。
<単一データベースの計算処理による秘匿情報検索のためのシステム>
システムの一実施形態では、単一データベースの紛失通信を提供するために、クライアントとサーバとの間で、データを通信する。
システムの一実施形態では、単一データベースの紛失通信を提供するために、クライアントとサーバとの間で、データを通信する。
一実施形態において、システムは、紛失通信データベースクエリが可能で、そのようなクエリを通信ネットワーク上でサーバに送信することができ、サーバから通信ネットワークを介して紛失通信応答が可能であり、データベースの興味がある項目を再構築することができる紛失通信応答クライアントコンポーネントを含む。
一実施形態において、サーバコンポーネントは、データベース応答を生成し、そのような応答を通信ネットワーク上でクライアントに送信する。
<紛失通信を実現するための入れ子秘匿情報検索方法>
上述の秘匿情報検索スキームを使うことで、非効率的な紛失通信スキームが構築されることがある。
上述の秘匿情報検索スキームを使うことで、非効率的な紛失通信スキームが構築されることがある。
この非効率的なスキームが、本明細書に記載されている秘匿情報検索からなる場合、その結果として得られるスキームは、効率的な秘匿情報検索スキームである。
「非効率な」紛失通信スキームは、小さい入力値を演算するだけであり、一方、効率的な秘匿情報検索スキームは、大きい入力値を演算するので、その構成は効率的である。
スキームは、秘匿情報検索スキームの修正であり、mと等しくなるように値lが選択されている。
この場合、結果として得られるデータベースは、それぞれ1ビットを構成するmブロックに分割される。
乗根から生成される疑似ランダム系列を使って各値がマスクされる。
上述の紛失通信スキームは、クエリアが、モジュラー根を計算するので、クエリアに対して、(秘匿情報検索スキームのように、O(√m)の計算ではなく)、O(m)の計算を持つ。
しかしながら、入れ子秘匿情報検索スキームという当技術分野において公知の技術を使うことで、因数fc−1(但し、fは、(logn)/|Pの最小許容値を表す定数)により、スキームの通信計算量を増加させるという犠牲を払って、ユーザによる計算O(m1/c)を得ることができる。
本明細書に記載されているプロセスは、紛失ファイル通信を実現するために拡張することもできる。
クエリアが、データベースからのファイルを欲しており、データベースが、ユーザにクエリ毎に1ファイルまでと制限したいというシナリオを例とする。
各ファイルを、(各lビット列ではなく)素数の冪に関連付けることより、ビット単位の解決策よりも効率的な解決策を構成することが可能である。長いファイルは、定数因数の暗号文展開だけで紛失通信することができる。
(コンピュータシステムの一実施形態)
図13は、本明細書に説明する1つ以上の演算を実行するコンピュータシステムの一例のブロック図である。
図13は、本明細書に説明する1つ以上の演算を実行するコンピュータシステムの一例のブロック図である。
図13を参照すると、コンピュータシステムは、クライアント又はサーバのコンピュータシステムを備えていてもよい。
コンピュータシステムは、通信メカニズム、又は、情報を通信するためのバス、及び、情報を処理するためのバスに連結されたプロセッサを備えている。
プロセッサには、マイクロプロセッサに限定しないが、例えば、Pentium、PowerPC、Alphaなどのマイクロプロセッサを含んでいる。
システムは、情報や、プロセッサによって実行される命令を格納するバスに連結されるランダムアクセスメモリ(RAM)、又は、他の動的記憶装置(メインメモリと称す)を更に備える。
また、メインメモリも、プロセッサによる命令を実行している間に、暫定変数、又は、他の中間情報のために使うことができる。
また、コンピュータシステムも、静的情報やプロセッサに対する命令を記憶するためにバスに接続されている読み取り専用メモリ(ROM)、及び/又は、他の静的記憶装置、磁気ディスク、又は、光学ディスク等のデータ記憶装置、及び、それに対応するディスクドライブを備えている。
データ記憶装置は、情報及び命令を記憶するために、バスに接続されている。
コンピュータシステムは、ブラウン管ディスプレイ装置(CRT)、又は、液晶表示装置(LCD)等のコンピュータユーザに情報を表示するためにバスに接続されている表示装置に更に接続されてもよい。
英数字キー及び他のキーを含む英数字入力装置も、情報及びプロセッサに対するコマンドを選択を通信するために、バスに接続されている。
他のユーザ入力装置は、マウス、トラックボール、トラックパッド、スタイラス、又は、カーソル指示キー等の、指示情報やコマンドの選択をプロセッサに通信し、表示装置上でのカーソルの動きを制御するために、バスに接続されているカーソル制御である。
バスに連結することができる他の装置は、紙、フィルム、又は、同様のタイプの媒体に、指示、データ、又は、他の情報をプリントとするために使うことのできるハードコピー装置である。
また、スピーカー、及び/又は、マイク等の音声録音再生装置も、コンピュータシステムと音声でインターフェイスするために、オプションとしてバスに接続してもよい。
バスに接続してもよい他の装置は、電話、又は、手のひらサイズの携帯装置と通信する有線/無線の通信機能である。
なお、システムの任意の、又は、全てのコンポーネント、及び、関連するハードウェアを本発明に使用してもよいことに留意されたい。
しかしながら、コンピュータシステムの他の構成には、上記の装置の中のいくつかの装置又は全ての装置を含んでも良いということを理解することができる。
上述の説明を読めば、本発明の変更や修正が、当該技術分野において通常の熟練を有する者には明らかとなるであろうが、図を使って表し説明した、いかなる特定の実施形態も、本発明を制限するものと考えられるようには意図されていないことを理解すべきである。
よって、様々な実施形態の詳細を参照することは、本発明にとって必要不可欠であると見なされる特徴だけを詳述する請求項の範囲を制限するように意図するものではない。
501、601…ネットワークインターフェイス
502、602…プロセッサ
503、603…メモリ(暗号鍵)
502、602…プロセッサ
503、603…メモリ(暗号鍵)
Claims (19)
- 非公開で、データベースから情報を検索する方法であって、
前記データベースから検索される情報に対応するインデックスを取得する工程と、
前記インデックスを前記データベースに対して明らかにしないクエリであり、前記インデックスの算術関数で、かつ、前記インデックスの算術関数である秘密値であるクエリを生成する工程と、
前記データベースの全体に対して前記算術関数を実行するために前記クエリを前記データベースに通信する工程とを有し、
前記算術関数は、素数の冪がランダム値の位数であるように、位数が前記素数の冪によって割り切れるランダム値のモジュラスによって特定される乗法群を含み、
前記秘密値は、前記モジュラスの素数への因数分解を含むことを特徴とする方法。 - 前記素数の冪を求めるために、前記データベースに対する写像を適用する工程を更に有することを特徴とする請求項1に記載の方法。
- 前記素数の冪に対して「Φ-hide」処理を行う値の集合から、分布関数に従って、前記モジュラスをサンプリングする工程と、
前記モジュラスを法としてとる前記乗法群において、位数が前記素数の冪である前記ランダム値を生成する工程とを有することを特徴とする請求項1に記載の方法。 - 素数の冪を求めるために、写像を前記インデックスに適用する工程と、
前記素数の冪に対して「Φ-hide」処理を行う値の集合から、分布関数に従って、十分に大きいモジュラスをサンプリングする工程と、
前記モジュラスを法としてとる前記乗法群において、位数が前記素数の冪であるランダム値を生成する工程とを有することを特徴とする請求項1に記載の方法。 - 前記算術関数を実行した結果を受け取る工程と、
前記結果を復号する工程を有し、
前記データベースと交換された情報の総量は、前記データベースに記憶されている情報の総量より少ないことを特徴とする請求項1に記載の方法。 - システムによって実行される時に、前記システムに対して方法を実行させる命令を記憶する1つ以上の記録可能な媒体を有する工業製品であって、
前記方法は、
前記データベースから検索される情報に対応するインデックスを取得する工程と、
前記インデックスを前記データベースに対して明らかにしないクエリであり、前記インデックスの算術関数で、かつ、前記インデックスの算術関数である秘密値であるクエリを生成する工程と、
前記データベースの全体に対して前記算術関数を実行するために前記クエリを前記データベースに通信する工程とを有し、
前記算術関数は、素数の冪がランダム値の位数であるように、位数が前記素数の冪によって割り切れるランダム値のモジュラスによって特定される乗法群を含み、
前記秘密値は、前記モジュラスの素数への因数分解を含むことを特徴とする工業製品。 - 前記方法は、前記素数の冪を求めるために、前記データベースに対する写像を適用する工程を更に有することを特徴とする請求項6に記載の工業製品。
- 前記方法は、
前記素数の冪に対して「Φ-hide」処理を行う値の集合から、分布関数に従って、前記モジュラスをサンプリングする工程と、
前記モジュラスを法としてとる前記乗法群において、位数が前記素数の冪である前記ランダム値を生成する工程とを有することを特徴とする請求項6に記載の工業製品。 - 前記方法は、
素数の冪を求めるために、写像を前記インデックスに適用する工程と、
前記素数の冪に対して「Φ-hide」処理を行う値の集合から、分布関数に従って、十分に大きいモジュラスをサンプリングする工程と、
前記モジュラスを法としてとる前記乗法群において、位数が前記素数の冪であるランダム値を生成する工程とを有することを特徴とする請求項6に記載の工業製品。 - 前記算術関数を実行した結果を受け取る工程と、
前記結果を復号する工程を有し、
前記データベースと交換された情報の総量は、前記データベースに記憶されている情報の総量より少ないことを特徴とする請求項6に記載の工業製品。 - 情報に対する要求が行われる外部ネットワークインターフェイスと、メモリと、前記外部ネットワークインターフェイス及び前記メモリに接続されているプロセッサとを具備する装置であって、
前記プロセッサは、
前記データベースから検索される情報に対応するインデックスを取得し、
前記インデックスを前記データベースに対して明らかにしないクエリであり、前記インデックスの算術関数で、かつ、前記インデックスの算術関数である秘密値であるクエリを生成し、
前記データベースの全体に対して前記算術関数を実行するために前記クエリを前記データベースに通信するように構成されており、
前記算術関数は、素数の冪がランダム値の位数であるように、位数が前記素数の冪によって割り切れるランダム値のモジュラスによって特定される乗法群を含み、
前記秘密値は、前記モジュラスの素数への因数分解を含むことを特徴とする方法。 - 前記プロセッサは、
素数の冪を求めるために、写像を前記インデックスに適用し、
前記素数の冪に対して「Φ-hide」処理を行う値の集合から、分布関数に従って、十分に大きいモジュラスをサンプリングし、
前記モジュラスを法としてとる前記乗法群において、位数が前記素数の冪であるランダム値を生成するように構成されていることを特徴とする請求項11に記載の装置。 - 多項式対数関数的な単一データベースの計算処理による秘匿情報検索プロセスであって、
インデックスを前記データベースに対して明らかにしないように、前記インデックスを算術関数に暗号化するクエリを生成する工程と、
前記データベースの全体に対して前記算術関数を実行するために、前記クエリを前記データベースに通信する工程と、
前記データベースから前記算術関数を実行した結果を受け取る工程とを有し、
前記データベースと交換された情報の総量が、前記データベースのサイズの対数の定数因数内であることを特徴とするプロセス。 - システムによって実行される時に、前記システムに対して多項式対数関数的な単一データベースの計算処理による秘匿情報検索プロセスを実行させる命令を記憶する1つ以上の記録可能な媒体を有する工業製品であって、
前記プロセスは、
インデックスを前記データベースに対して明らかにしないように、前記インデックスを算術関数に暗号化するクエリを生成する工程と、
前記データベースの全体に対して前記算術関数を実行するために、前記クエリを前記データベースに通信する工程と、
前記データベースから前記算術関数を実行した結果を受け取る工程とを有し、
前記データベースと交換された情報の総量が、前記データベースのサイズの対数の定数因数内であることを特徴とする工業製品。 - 情報に対する要求が行われる外部ネットワークインターフェイスと、メモリと、前記外部ネットワークインターフェイス及び前記メモリに接続されているプロセッサとを具備する装置であって、
前記プロセッサは、
インデックスを前記データベースに対して明らかにしないように、前記インデックスを算術関数に暗号化するクエリを生成し、
前記データベースの全体に対して前記算術関数を実行するために、前記クエリを前記データベースに通信し、
前記データベースから前記算術関数を実行した結果を受け取るように構成されており、
前記データベースと交換された情報の総量が、前記データベースのサイズの対数の定数因数内であることを特徴とする装置。 - データベースの複数の群の各々を整数として表す工程と、
前記各群のインデックスに関連付けられた素数の冪を法とする前記群の各々の各整数表記と合同である整数値を計算する工程と、
モジュラス値を法とする前記整数値の演算に等しい指数がを与えられた底入力値を冪乗することより応答を生成する工程とを有することを特徴とする方法。 - システムによって実行される時に、前記システムに対して方法を実行させる命令を記憶する1つ以上の記録可能な媒体を有する工業製品であって、
前記方法は、
データベースの複数の群の各々を整数として表す工程と、
前記各群のインデックスに関連付けられた素数の冪を法とする前記群の各々の各整数表記と合同である整数値を計算する工程と、
モジュラス値を法とする前記整数値の演算に等しい指数がを与えられた底入力値を冪乗することより応答を生成する工程とを有することを特徴とする工業製品。 - 情報に対する要求が行われる外部ネットワークインターフェイスと、メモリと、前記外部ネットワークインターフェイス及び前記メモリに接続されているプロセッサとを具備する装置であって、
前記プロセッサは、
データベースの複数の群の各々を整数として表し、
前記各群のインデックスに関連付けられた素数の冪を法とする前記群の各々の各整数表記と合同である整数値を計算し、
モジュラス値を法とする前記整数値の演算に等しい指数が与えられた底入力値を冪乗することより応答を生成するように構成されていることを特徴とする装置。 - 入力に対して紛失通信関数を適用して、出力を生成する工程と、
前記紛失通信の前記出力を用いた秘匿検索プロセスを適用する工程とを有することを特徴とする方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US57357304P | 2004-05-20 | 2004-05-20 | |
US11/133,836 US7620625B2 (en) | 2004-05-20 | 2005-05-19 | Method and apparatus for communication efficient private information retrieval and oblivious transfer |
PCT/US2005/017618 WO2005114481A1 (en) | 2004-05-20 | 2005-05-20 | Method and apparatus for communication efficient private information retrieval and oblivious transfer |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008500598A true JP2008500598A (ja) | 2008-01-10 |
Family
ID=35375179
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007527450A Pending JP2008500598A (ja) | 2004-05-20 | 2005-05-20 | 通信効率の良い秘匿情報検索及び紛失通信のための方法及び装置 |
Country Status (3)
Country | Link |
---|---|
US (2) | US7620625B2 (ja) |
JP (1) | JP2008500598A (ja) |
WO (1) | WO2005114481A1 (ja) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009093618A (ja) * | 2007-08-27 | 2009-04-30 | Mitsubishi Electric Research Laboratories Inc | オーディオレコーディングのマッチング方法及びシステム |
US8131738B2 (en) | 2008-12-30 | 2012-03-06 | International Business Machines Corporation | Search engine service utilizing hash algorithms |
US8615668B2 (en) | 2010-01-15 | 2013-12-24 | Mitsubishi Electric Corporation | Confidential search system and cryptographic processing system |
US9276746B2 (en) | 2011-01-18 | 2016-03-01 | Mitsubishi Electric Corporation | Encryption system, encryption processing method of encryption system, encryption device, decryption device, setup device, key generation device, and key delegation device using a user identifier for a user who belongs to a k-th hierarchy in an organization |
US9418238B2 (en) | 2011-02-22 | 2016-08-16 | Mitsubishi Electric Corporation | Search system, search method of search system, and information processing device |
JP2019510261A (ja) * | 2016-03-22 | 2019-04-11 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | プライバシーが強化された中央データ・ストレージのためのコンピュータ実装方法、サーバ、ユーザ・デバイス、およびコンピュータ・プログラム製品 |
JP2021521490A (ja) * | 2018-05-07 | 2021-08-26 | グーグル エルエルシーGoogle LLC | 劣線形公開鍵演算による非公開情報検索 |
JP2022534364A (ja) * | 2019-05-14 | 2022-07-29 | グーグル エルエルシー | プライベートグループにおけるべき乗演算のアウトソーシング |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8903090B2 (en) * | 2008-04-29 | 2014-12-02 | International Business Machines Corporation | Securely classifying data |
US20110191584A1 (en) * | 2009-08-07 | 2011-08-04 | Trostle Jonathan T | System and Method for Computationally Private Information Retrieval |
CN102713996A (zh) * | 2010-01-13 | 2012-10-03 | 三菱电机株式会社 | 隐匿检索系统以及公开参数生成装置以及加密装置以及用户秘密密钥生成装置以及查询发布装置以及检索装置以及计算机程序以及隐匿检索方法以及公开参数生成方法以及加密方法以及用户秘密密钥生成方法以及查询发布方法以及检索方法 |
US9363288B2 (en) | 2012-10-25 | 2016-06-07 | Verisign, Inc. | Privacy preserving registry browsing |
US10565394B2 (en) | 2012-10-25 | 2020-02-18 | Verisign, Inc. | Privacy—preserving data querying with authenticated denial of existence |
US9202079B2 (en) | 2012-10-25 | 2015-12-01 | Verisign, Inc. | Privacy preserving data querying |
US9306738B2 (en) * | 2012-12-21 | 2016-04-05 | Microsoft Technology Licensing, Llc | Managed secure computations on encrypted data |
US9268952B2 (en) | 2013-02-15 | 2016-02-23 | International Business Machines Corporation | Scalable precomputation system for host-opaque processing of encrypted databases |
US9141824B2 (en) * | 2013-04-30 | 2015-09-22 | Pitney Bowes Inc. | Dynamic database update in multi-server private information retrieval scheme |
US10382194B1 (en) | 2014-01-10 | 2019-08-13 | Rockwell Collins, Inc. | Homomorphic encryption based high integrity computing system |
US10333696B2 (en) | 2015-01-12 | 2019-06-25 | X-Prime, Inc. | Systems and methods for implementing an efficient, scalable homomorphic transformation of encrypted data with minimal data expansion and improved processing efficiency |
JP6400743B2 (ja) * | 2015-02-10 | 2018-10-03 | 株式会社RNAi | 端末装置、データベースサーバおよび計算システム |
US10296709B2 (en) | 2016-06-10 | 2019-05-21 | Microsoft Technology Licensing, Llc | Privacy-preserving genomic prediction |
US10721057B2 (en) | 2017-01-20 | 2020-07-21 | Enveil, Inc. | Dynamic channels in secure queries and analytics |
US11777729B2 (en) | 2017-01-20 | 2023-10-03 | Enveil, Inc. | Secure analytics using term generation and homomorphic encryption |
US11196540B2 (en) | 2017-01-20 | 2021-12-07 | Enveil, Inc. | End-to-end secure operations from a natural language expression |
US11507683B2 (en) | 2017-01-20 | 2022-11-22 | Enveil, Inc. | Query processing with adaptive risk decisioning |
US10880275B2 (en) | 2017-01-20 | 2020-12-29 | Enveil, Inc. | Secure analytics using homomorphic and injective format-preserving encryption |
US11196541B2 (en) | 2017-01-20 | 2021-12-07 | Enveil, Inc. | Secure machine learning analytics using homomorphic encryption |
US10902133B2 (en) | 2018-10-25 | 2021-01-26 | Enveil, Inc. | Computational operations in enclave computing environments |
US10817262B2 (en) | 2018-11-08 | 2020-10-27 | Enveil, Inc. | Reduced and pipelined hardware architecture for Montgomery Modular Multiplication |
US11190496B2 (en) * | 2019-02-12 | 2021-11-30 | Visa International Service Association | Fast oblivious transfers |
CN111062052B (zh) * | 2019-12-09 | 2023-04-18 | 支付宝(杭州)信息技术有限公司 | 一种数据查询的方法和系统 |
US11601258B2 (en) | 2020-10-08 | 2023-03-07 | Enveil, Inc. | Selector derived encryption systems and methods |
CN114417084A (zh) * | 2021-05-21 | 2022-04-29 | 深圳市智尊宝数据开发有限公司 | 信息检索方法及相关装置和介质和程序产品 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004021654A (ja) * | 2002-06-17 | 2004-01-22 | Internatl Business Mach Corp <Ibm> | データベース検索システム、データ共有システム及びそのデータ検索方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6216128B1 (en) * | 1997-10-09 | 2001-04-10 | Telcordia Technologies, Inc. | System and method for private information retrieval from a single electronic storage device using commodities |
US6886098B1 (en) * | 1999-08-13 | 2005-04-26 | Microsoft Corporation | Systems and methods for compression of key sets having multiple keys |
-
2005
- 2005-05-19 US US11/133,836 patent/US7620625B2/en active Active
- 2005-05-20 JP JP2007527450A patent/JP2008500598A/ja active Pending
- 2005-05-20 WO PCT/US2005/017618 patent/WO2005114481A1/en active Application Filing
-
2009
- 2009-02-04 US US12/365,833 patent/US7941422B2/en not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004021654A (ja) * | 2002-06-17 | 2004-01-22 | Internatl Business Mach Corp <Ibm> | データベース検索システム、データ共有システム及びそのデータ検索方法 |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009093618A (ja) * | 2007-08-27 | 2009-04-30 | Mitsubishi Electric Research Laboratories Inc | オーディオレコーディングのマッチング方法及びシステム |
US8131738B2 (en) | 2008-12-30 | 2012-03-06 | International Business Machines Corporation | Search engine service utilizing hash algorithms |
JP2012514244A (ja) * | 2008-12-30 | 2012-06-21 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ハッシュ・アルゴリズムを活用した検索エンジン・サービス |
US8615668B2 (en) | 2010-01-15 | 2013-12-24 | Mitsubishi Electric Corporation | Confidential search system and cryptographic processing system |
US9276746B2 (en) | 2011-01-18 | 2016-03-01 | Mitsubishi Electric Corporation | Encryption system, encryption processing method of encryption system, encryption device, decryption device, setup device, key generation device, and key delegation device using a user identifier for a user who belongs to a k-th hierarchy in an organization |
US9418238B2 (en) | 2011-02-22 | 2016-08-16 | Mitsubishi Electric Corporation | Search system, search method of search system, and information processing device |
JP2019510261A (ja) * | 2016-03-22 | 2019-04-11 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | プライバシーが強化された中央データ・ストレージのためのコンピュータ実装方法、サーバ、ユーザ・デバイス、およびコンピュータ・プログラム製品 |
JP2021521490A (ja) * | 2018-05-07 | 2021-08-26 | グーグル エルエルシーGoogle LLC | 劣線形公開鍵演算による非公開情報検索 |
JP7000601B2 (ja) | 2018-05-07 | 2022-01-19 | グーグル エルエルシー | 劣線形公開鍵演算による非公開情報検索 |
JP2022534364A (ja) * | 2019-05-14 | 2022-07-29 | グーグル エルエルシー | プライベートグループにおけるべき乗演算のアウトソーシング |
JP7133728B2 (ja) | 2019-05-14 | 2022-09-08 | グーグル エルエルシー | プライベートグループにおけるべき乗演算のアウトソーシング |
Also Published As
Publication number | Publication date |
---|---|
US7941422B2 (en) | 2011-05-10 |
US20050259817A1 (en) | 2005-11-24 |
WO2005114481A1 (en) | 2005-12-01 |
US7620625B2 (en) | 2009-11-17 |
US20090190751A1 (en) | 2009-07-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2008500598A (ja) | 通信効率の良い秘匿情報検索及び紛失通信のための方法及び装置 | |
US8065332B2 (en) | Method and apparatus for communication efficient private information retrieval and oblivious transfer | |
Raman et al. | Distributed storage meets secret sharing on the blockchain | |
González-Serrano et al. | Training support vector machines with privacy-protected data | |
CN112822005B (zh) | 基于同态加密的安全迁移学习系统 | |
Bellare et al. | A new paradigm for collision-free hashing: Incrementality at reduced cost | |
US8559631B1 (en) | Systems and methods for efficient decryption of attribute-based encryption | |
US20020164033A1 (en) | Efficient techniques for sharing a secret | |
Liu et al. | An efficient privacy-preserving outsourced computation over public data | |
Jayapandian et al. | Secure and efficient online data storage and sharing over cloud environment using probabilistic with homomorphic encryption | |
JP2011164607A (ja) | シンボルシーケンスの編集距離のプライバシーを保護した計算の方法およびシステム | |
Ali et al. | Attribute-based fine-grained access control for outscored private set intersection computation | |
Raman et al. | Dynamic distributed storage for scaling blockchains | |
Abadi et al. | Feather: Lightweight multi-party updatable delegated private set intersection | |
US11722322B2 (en) | Method for providing information to be stored and method for providing a proof of retrievability | |
Corena et al. | Secure and fast aggregation of financial data in cloud-based expense tracking applications | |
Wang et al. | Functional broadcast encryption with applications to data sharing for cloud storage | |
Hu et al. | Efficient parallel secure outsourcing of modular exponentiation to cloud for IoT applications | |
Youn et al. | Design of additive homomorphic encryption with multiple message spaces for secure and practical storage services over encrypted data | |
KR20100003093A (ko) | 암호문 크기를 줄이기 위한 공개키 기반의 검색가능암호문생성 방법과, 그에 따른 공개키 기반의 데이터 검색 방법 | |
Chitrapu et al. | A survey on homomorphic encryption for biometrics template security based on machine learning models | |
Chung et al. | Encoding of rational numbers and their homomorphic computations for FHE-based applications | |
Martin et al. | Efran (O):" Efficient Scalar Homomorphic Scheme on MapReduce for Data Privacy Preserving" | |
CN115918028A (zh) | 对同态密文执行统计操作的装置及其方法 | |
Sammeta et al. | Medical data analytics for secure multi-party-primarily based cloud computing utilizing homomorphic encryption |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080306 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110405 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110803 |