JP2011055041A - 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム - Google Patents

分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム Download PDF

Info

Publication number
JP2011055041A
JP2011055041A JP2009199359A JP2009199359A JP2011055041A JP 2011055041 A JP2011055041 A JP 2011055041A JP 2009199359 A JP2009199359 A JP 2009199359A JP 2009199359 A JP2009199359 A JP 2009199359A JP 2011055041 A JP2011055041 A JP 2011055041A
Authority
JP
Japan
Prior art keywords
information
secret information
partial
pieces
secret
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009199359A
Other languages
English (en)
Inventor
Atsushi Kurihara
淳 栗原
Shinsaku Kiyomoto
晋作 清本
Toshiaki Tanaka
俊昭 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2009199359A priority Critical patent/JP2011055041A/ja
Publication of JP2011055041A publication Critical patent/JP2011055041A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】素体や拡大体上ではなく、多項式環上での(k、n)閾値法を実行し、軽量な演算のみで処理を行う。
【解決手段】秘密情報を(p−1)個の部分秘密情報(pはn以上の素数)に分割し、(p−1)(k−1)個(kは、n以下の正の整数)の位数qの有限体GF(q)上の乱数を生成する。そして、GF(q)上において、部分秘密情報と乱数とを多項式環の性質を利用して組み合わせて演算し、n(p−1)個の部分分散情報を出力し、その出力された部分分散情報を連結して分散情報を生成して、各管理者へその生成した分散情報を送付する。
【選択図】図1

Description

本発明は、多項式環の小規模な基礎体(base field)上で秘密情報の分散あるいは復元を実行する分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラムに関する。
近年、情報セキュリティの重要性が高まるにつれ、情報の盗難対策と紛失対策が重要な課題となっている。このようなことから、非特許文献1に示されるような(k,n)閾値秘密分散法は、情報の秘匿と紛失によるリスクの回避を同時に実現する手法として、注目を浴びている。ここで、(k,n)閾値秘密分散は、機密情報をn個の分散情報に分散し、そのうち任意のk個の分散情報が集まれば、復元できることを意味する。
ここで、広く用いられている従来手法として、1979年に提案されたShamirの(k,n)閾値法(例えば、非特許文献1参照。)がある。この方式は、秘密情報を素体GF(p)上の要素として演算することにより実現される。なお、このとき、pは素数である。
また、非特許文献2において、Karninらは、非特許文献1に示すShamirの秘密分散法を、有限体GF(q)のm次拡大体GF(q)上での秘密分散法へと一般化している。このとき、q=pであり、pは素数、lは正の整数である。この手法においては、秘密情報はGF(q)上の要素として演算される。
つまり、非特許文献1および2の手法は、それぞれ、GF(p)、GF(q)上で動作する。また、最大管理者数はそれぞれp−1、q−1となる。このため、分散する数が大きいほど、あるいは秘密情報の大きさが大きいほど、より大きな素体・拡大体上での演算が必要となるが、一般的に、巨大な素体上・拡大体上での演算はコンピュータ上で低速であるという問題がある。
一方、2007年に提案された、排他的論理和(Exclusive−OR、XOR)を用いて、高速に分散情報の生成・秘密情報の復元を可能とする(k、n)閾値法がある (例えば、非特許文献3あるいは4を参照。)。これらの高速(k、n)閾値法は、単純に高速動作するだけではなく、非特許文献1および2と同様に、情報理論的安全性が保証され、分散情報のデータ長が秘密情報のデータ長と等しいという特長を持つ。
A.Shamir,‘‘How to share a secret,’’ Communication of the ACM, vol.22,no.11,pp.612−613,1979. E.D.Karnin,J.W. Greene, M. E. Hellman, ``On Secret Sharing Systems,’’ IEEE Transaction on Information Theory,vol.29,no.1,pp.35−49 J.Kurihara,S.Kiyomoto,K.Fukushima,T.Tanaka,``A new (k,n)−threshold secret sharing scheme and its extension,’’ Proceeding of ISC‘08,Lecture Note in Computer Science,vol.5222,pp.455−470,2008,Springer−Verlag. 藤井吉弘, 栃窪孝也, 保坂範和, 多田美奈子, 加藤岳久, ``排他的論理和を用いた(k、n)しきい値法の構成法,’’ 電子情報通信学会技術研究報告, vol.107,no.44, 情報セキュリティ、ISSN0913−5685、ISEC2007−5. P.Feldman,‘‘A practical scheme for non−interactive verifiable secret sharing,’‘ Proceeding of IEEE FOCS, pp.427−437,1987. T.P.Pedersen,‘‘Non−interactive and information−theoretic secure verifiable secret sharing,’‘ Proceeding of CRYPTO ’91, Lecture Note in Computer Science, vol.576, pp.129−140,1991.Springer−Verlag.
しかしながら、非特許文献3あるいは4の手法は、位数2の素体GF(2)上で実行されるため、非特許文献1あるいは2をベースとした閾値暗号などの「加算と離散対数の準同型性」を利用するアプリケーションに適用することが難しいという問題があった(例えば、非特許文献5または6参照。)。
本発明は、上述の課題に鑑みてなされたものであり、素体や拡大体上ではなく、多項式環上での(k、n)閾値法を実行し、軽量な演算のみで処理を行う分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラムを提供することを目的とする。
本発明は、上記の課題を解決するために以下の事項を提案している。
(1)本発明は、位数qの有限体GF(q)[x]の特定の構成を有するp−1次多項式M(x)(pはn以上の素数)を用いて、多項式環GF(q)[x]/(M(x))上の秘密情報を複数の秘密情報に分割し、有限体GF(q)上のみの演算を行い、分散情報を生成することを特徴とする分散情報生成装置を提案している。
この発明によれば、位数qの有限体GF(q)[x]の特定の構成を有するp−1次多項式M(x)(pはn以上の素数)を用いて、多項式環GF(q)[x]/(M(x))上の秘密情報を複数の秘密情報に分割し、有限体GF(q)上のみの演算を行い、分散情報を生成する。したがって、多項式環の小規模な基礎体上で分散処理を実行できるため、演算処理の負荷を軽減することができる。なお、ここで、環とは抽象代数学において、体とは異なる特定の演算規則を満たす集合のことを示す。
(2)本発明は、(1)の分散情報生成装置について、出力されるそれぞれの分散情報のサイズが、入力される秘密情報と等しいサイズであることを特徴とする分散情報生成装置を提案している。
この発明によれば、出力されるそれぞれの分散情報のサイズが、入力される秘密情報と等しいサイズである。さらに、情報理論的安全性が保証される。
(3)本発明は、秘密情報を(p−1)個の部分秘密情報(pはn以上の素数)に分割する分割手段と、(p−1)(k−1)個(kは、n以下の正の整数)の位数qの有限体GF(q)上の乱数を生成する乱数生成手段と、前記GF(q)上において、前記部分秘密情報と前記乱数とを多項式環の性質を利用して組み合わせて演算し、n(p−1)個の部分分散情報を出力するGF(q)演算手段と、該出力された部分分散情報を連結して分散情報を生成する連結手段と、各管理者へ該生成した分散情報を送付する送信手段と、を備えたことを特徴とする分散情報生成装置を提案している。
この発明によれば、分割手段は、秘密情報を(p−1)個の部分秘密情報(pはn以上の素数)に分割する。乱数生成手段は、(p−1)(k−1)個(kは、n以下の正の整数)の位数qの有限体GF(q)上の乱数を生成する。GF(q)演算手段は、GF(q)上において、部分秘密情報と乱数とを多項式環の性質を利用して組み合わせて演算し、n(p−1)個の部分分散情報を出力する。連結手段は、その出力された部分分散情報を連結して分散情報を生成する。送信手段は、各管理者へその生成した分散情報を送付する。したがって、秘密情報からGF(q)上の演算のみを用いて、個々の分散情報が生成される。また、秘密情報を多項式環GF(q)[x]/(Mp(x))上の要素とした場合、個々の分散情報は多項式環上で定義される演算を用いて生成される多項式環上の要素に等しくなる。なお、このとき、Mp(x)はある特定の形で構成されるp−1次の多項式である。つまり、多項式環上の演算を、小規模な基礎体であるGF(q)上の演算のみで実現しているため、高速かつ分散処理の負荷を軽減した処理が可能となる。
(4)本発明は、位数qの有限体GF(q)[x]の特定の構成を有するp−1次多項式M(x)(pはn以上の素数)を用いて、多項式環GF(q)[x]/(M(x))上の分散情報を分割し、有限体GF(q)上のみの演算を行い、秘密情報を復元することを特徴とする秘密情報復元装置を提案している。
この発明によれば、位数qの有限体GF(q)[x]の特定の構成を有するp−1次多項式M(x)(pはn以上の素数)を用いて、多項式環GF(q)[x]/(M(x))上の分散情報を分割し、有限体GF(q)上のみの演算を行い、秘密情報を復元する。したがって、多項式環の小規模な基礎体上で復元処理を実行できるため、演算処理の負荷を軽減することができる。
(5)本発明は、k個(kは、n以下の正の整数)の分散情報を受信する受信手段と、k個の分散情報を分割してk(p−1)個の部分分散情報(pはn以上の素数)を出力する分割手段と、k個の分散情報のインデックス番号に基づいて、多項式環の性質を利用して組み合わせて演算し、GF(q)上の生成行列を生成する生成行列生成手段と、生成行列の逆行列を導出する行列演算手段と、該導出した逆行列の構成に応じて、部分分散情報をGF(q)上にて演算し、(p−1)個の部分秘密情報を出力するGF(q)演算手段と、部分秘密情報を連結して秘密情報を出力する連結手段と、を備えることを特徴とする秘密情報復元装置を提案している。
この発明によれば、受信手段は、k個(kは、n以下の正の整数)の分散情報を受信する。分割手段は、k個の分散情報を分割してk(p−1)個の部分分散情報(pはn以上の素数)を出力する。生成行列生成手段は、k個の分散情報のインデックス番号に基づいて、多項式環の性質を利用して組み合わせて演算し、GF(q)上の生成行列を生成する。行列演算手段は、生成行列の逆行列を導出する。GF(q)演算手段は、その導出した逆行列の構成に応じて、部分分散情報をGF(q)上にて演算し、(p−1)個の部分秘密情報を出力する。連結手段は、部分秘密情報を連結して秘密情報を出力する。したがって、秘密情報はGF(q)上の演算のみを用いて復元される。なお、分散処理と同様に、復元処理においても実際は多項式環上の演算を、小規模な基礎体であるGF(q)上の演算のみで実現しているため、高速かつ復元処理の負荷を軽減した処理が可能となる。
(6)本発明は、秘密情報から管理者がそれぞれ管理する分散情報を生成する分散情報生成方法であって、位数qの有限体GF(q)[x]の特定の構成を有するp−1次多項式M(x)(pはn以上の素数)を用いて、多項式環GF(q)[x]/(M(x))上の秘密情報を複数の秘密情報に分割し、有限体GF(q)上のみの演算を行い、分散情報を生成することを特徴とする分散情報生成方法を提案している。
この発明によれば、位数qの有限体GF(q)[x]の特定の構成を有するp−1次多項式M(x)(pはn以上の素数)を用いて、多項式環GF(q)[x]/(M(x))上の秘密情報を複数の秘密情報に分割し、有限体GF(q)上のみの演算を行い、分散情報を生成する。したがって、多項式環の小規模な基礎体上で分散処理を実行できるため、演算処理の負荷を軽減することができる。
(7)本発明は、秘密情報から管理者がそれぞれ管理する分散情報を生成する分散情報生成方法であって、秘密情報を(p−1)個の部分秘密情報(pはn以上の素数)に分割する第1のステップと、(p−1)(k−1)個(kは、n以下の正の整数)の位数qの有限体GF(q)上の乱数を生成する第2のステップと、前記GF(q)上において、前記部分秘密情報と前記乱数とを多項式環の性質を利用して組み合わせて演算し、n(p−1)個の部分分散情報を出力する第3のステップと、該出力された部分分散情報を連結して分散情報を生成する第4のステップと、各管理者へ該生成した分散情報を送付する第5のステップと、を備えたことを特徴とする分散情報生成方法を提案している。
この発明によれば、秘密情報を(p−1)個の部分秘密情報(pはn以上の素数)に分割し、(p−1)(k−1)個(kは、n以下の正の整数)の位数qの有限体GF(q)上の乱数を生成する。そして、GF(q)上において、部分秘密情報と乱数とを多項式環の性質を利用して組み合わせて演算し、n(p−1)個の部分分散情報を出力し、その出力された部分分散情報を連結して分散情報を生成して、各管理者へその生成した分散情報を送付する。したがって、秘密情報からGF(q)上の演算のみを用いて、個々の分散情報が生成される。また、秘密情報を多項式環GF(q)[x]/(Mp(x))上の要素とした場合、個々の分散情報は多項式環上で定義される演算を用いて生成される多項式環上の要素に等しくなる。なお、このとき、Mp(x)はある特定の形で構成されるp−1次の多項式である。つまり、多項式環上の演算を、小規模な基礎体であるGF(q)上の演算のみで実現しているため、高速かつ分散処理の負荷を軽減した処理が可能となる。
(8)本発明は、それぞれの管理者が管理する分散情報を所定数集めて、秘密情報を復元する秘密情報復元方法であって、位数qの有限体GF(q)[x]の特定の構成を有するp−1次多項式M(x)(pはn以上の素数)を用いて、多項式環GF(q)[x]/(M(x))上の分散情報を分割し、有限体GF(q)上のみの演算を行い、秘密情報を復元することを特徴とする秘密情報復元方法を提案している。
この発明によれば、位数qの有限体GF(q)[x]の特定の構成を有するp−1次多項式M(x)(pはn以上の素数)を用いて、多項式環GF(q)[x]/(M(x))上の分散情報を分割し、有限体GF(q)上のみの演算を行い、秘密情報を復元する。したがって、多項式環の小規模な基礎体上で復元処理を実行できるため、演算処理の負荷を軽減することができる。
(9)本発明は、それぞれの管理者が管理する分散情報を所定数集めて、秘密情報を復元する秘密情報復元方法であって、k個(kは、n以下の正の整数)の分散情報を受信する第1のステップと、k個の分散情報を分割してk(p−1)個の部分分散情報(pはn以上の素数)を出力する第2のステップと、k個の分散情報のインデックス番号に基づいて、多項式環の性質を利用して組み合わせて演算し、GF(q)上の生成行列を生成する第3のステップと、生成行列の逆行列を導出する第4のステップと、該導出した逆行列の構成に応じて、部分分散情報をGF(q)上にて演算し、(p−1)個の部分秘密情報を出力する第5のステップと、部分秘密情報を連結して秘密情報を出力する第6のステップと、を備えることを特徴とする秘密情報復元方法を提案している。
この発明によれば、k個(kは、n以下の正の整数)の分散情報を受信し、k個の分散情報を分割してk(p−1)個の部分分散情報(pはn以上の素数)を出力する。そして、k個の分散情報のインデックス番号に基づいて、多項式環の性質を利用して組み合わせて演算し、GF(q)上の生成行列を生成し、生成行列の逆行列を導出するとともに、その導出した逆行列の構成に応じて、部分分散情報をGF(q)上にて演算し、(p−1)個の部分秘密情報を出力して、部分秘密情報を連結して秘密情報を出力する。したがって、秘密情報はGF(q)上の演算のみを用いて復元される。なお、分散処理と同様に、復元処理においても実際は多項式環上の演算を、小規模な基礎体であるGF(q)上の演算のみで実現しているため、高速かつ復元処理の負荷を軽減した処理が可能となる。
(10)本発明は、秘密情報から管理者がそれぞれ管理する分散情報を生成する分散情報生成方法をコンピュータに実行させるためのプログラムであって、位数qの有限体GF(q)[x]の特定の構成を有するp−1次多項式M(x)(pはn以上の素数)を用いて、多項式環GF(q)[x]/(M(x))上の秘密情報を複数の秘密情報に分割し、有限体GF(q)上のみの演算を行い、分散情報を生成することを特徴とするプログラムを提案している。
この発明によれば、位数qの有限体GF(q)[x]の特定の構成を有するp−1次多項式M(x)(pはn以上の素数)を用いて、多項式環GF(q)[x]/(M(x))上の秘密情報を複数の秘密情報に分割し、有限体GF(q)上のみの演算を行い、分散情報を生成する。したがって、多項式環の小規模な基礎体上で分散処理を実行できるため、演算処理の負荷を軽減することができる。
(11)本発明は、秘密情報から管理者がそれぞれ管理する分散情報を生成する分散情報生成方法をコンピュータに実行させるためのプログラムであって、秘密情報を(p−1)個の部分秘密情報(pはn以上の素数)に分割する第1のステップと、(p−1)(k−1)個(kは、n以下の正の整数)の位数qの有限体GF(q)上の乱数を生成する第2のステップと、前記GF(q)上において、前記部分秘密情報と前記乱数とを多項式環の性質を利用して組み合わせて演算し、n(p−1)個の部分分散情報を出力する第3のステップと、該出力された部分分散情報を連結して分散情報を生成する第4のステップと、各管理者へ該生成した分散情報を送付する第5のステップと、を実行するためのプログラムを提案している。
この発明によれば、秘密情報を(p−1)個の部分秘密情報(pはn以上の素数)に分割し、(p−1)(k−1)個(kは、n以下の正の整数)の位数qの有限体GF(q)上の乱数を生成する。そして、GF(q)上において、部分秘密情報と乱数とを多項式環の性質を利用して組み合わせて演算し、n(p−1)個の部分分散情報を出力し、その出力された部分分散情報を連結して分散情報を生成して、各管理者へその生成した分散情報を送付する。したがって、秘密情報からGF(q)上の演算のみを用いて、個々の分散情報が生成される。また、秘密情報を多項式環GF(q)[x]/(Mp(x))上の要素とした場合、個々の分散情報は多項式環上で定義される演算を用いて生成される多項式環上の要素に等しくなる。なお、このとき、Mp(x)はある特定の形で構成されるp−1次の多項式である。つまり、多項式環上の演算を、小規模な基礎体であるGF(q)上の演算のみで実現しているため、高速かつ分散処理の負荷を軽減した処理が可能となる。
(12)本発明は、それぞれの管理者が管理する分散情報を所定数集めて、秘密情報を復元する秘密情報復元方法をコンピュータに実行させるためのプログラムであって、位数qの有限体GF(q)[x]の特定の構成を有するp−1次多項式M(x)(pはn以上の素数)を用いて、多項式環GF(q)[x]/(M(x))上の分散情報を分割し、有限体GF(q)上のみの演算を行い、秘密情報を復元することを特徴とするプログラムを提案している。
この発明によれば、位数qの有限体GF(q)[x]の特定の構成を有するp−1次多項式M(x)(pはn以上の素数)を用いて、多項式環GF(q)[x]/(M(x))上の分散情報を分割し、有限体GF(q)上のみの演算を行い、秘密情報を復元する。したがって、多項式環の小規模な基礎体上で復元処理を実行できるため、演算処理の負荷を軽減することができる。
(13)本発明は、それぞれの管理者が管理する分散情報を所定数集めて、秘密情報を復元する秘密情報復元方法をコンピュータに実行させるためのプログラムであって、秘密情報を(p−1)個の部分秘密情報(pはn以上の素数)に分割する第1のステップと、(p−1)(k−1)個(kは、n以下の正の整数)の位数qの有限体GF(q)上の乱数を生成する第2のステップと、前記GF(q)上において、前記部分秘密情報と前記乱数とを多項式環の性質を利用して組み合わせて演算し、n(p−1)個の部分分散情報を出力する第4のステップと、該出力された部分分散情報を連結して分散情報を生成する第5のステップと、各管理者へ該生成した分散情報を送付する第6のステップと、を実行するためのプログラムを提案している。
この発明によれば、k個(kは、n以下の正の整数)の分散情報を受信し、k個の分散情報を分割してk(p−1)個の部分分散情報(pはn以上の素数)を出力する。そして、k個の分散情報のインデックス番号に基づいて、多項式環の性質を利用して組み合わせて演算し、GF(q)上の生成行列を生成し、生成行列の逆行列を導出するとともに、その導出した逆行列の構成に応じて、部分分散情報をGF(q)上にて演算し、(p−1)個の部分秘密情報を出力して、部分秘密情報を連結して秘密情報を出力する。したがって、秘密情報はGF(q)上の演算のみを用いて復元される。なお、分散処理と同様に、復元処理においても実際は多項式環上の演算を、小規模な基礎体であるGF(q)上の演算のみで実現しているため、高速かつ復元処理の負荷を軽減した処理が可能となる。
本発明によれば、素体や拡大体上ではなく、多項式環上での(k、n)閾値法を実行し、秘密情報の分散あるいは復元を行う。つまり、多項式環上の演算を、小規模な基礎体であるGF(q)上の演算のみで実現しているため、高速かつ分散/復元処理の負荷を軽減した処理が可能となるという効果がある。また、GF(2) (すなわちXOR演算)に限らない有限体GF(q)上で動作することが可能であるため、加算と離散対数の準同型性を利用したアプリケーションへ容易に適用することが可能となるという効果がある。
本発明の実施形態に係る分散情報生成装置の構成を示す図である。 本発明の実施形態に係る分散情報生成装置の処理フローを示す図である。 本発明の実施形態に係る秘密情報復元装置の構成を示す図である。 本発明の実施形態に係る秘密情報復元装置の処理フローを示す図である。
以下、本発明の実施形態について、図面を用いて、詳細に説明する。
なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組合せを含む様々なバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。
<分散情報生成装置の構成>
図1を用いて、本実施形態に係る分散情報生成装置の構成について説明する。
本実施形態に係る分散情報生成装置は、図1に示すように、分割器1と、乱数生成器2と、GF(q)演算器3と、連結器4a〜4nと、送信器5とから構成されている。
分割器1は、秘密情報を(p−1)個の部分秘密情報(pはn以上の素数)に分割し、分割した部分秘密情報をGF(q)演算器3に出力する。乱数生成器2は、(p−1)(k−1)個(kは、n以下の正の整数)の位数qの有限体GF(q)上の乱数を生成すし、生成した乱数をGF(q)演算器3に出力する。
GF(q)演算器3は、GF(q)上において、部分秘密情報と乱数とを多項式環の性質を利用して組み合わせて演算し、n(p−1)個の部分分散情報をn個の連結器4a〜4nに出力する。
連結器4a〜4nは、それぞれ、GF(q)演算器3から入力されたn(p−1)個の部分分散情報を連結して分散情報を生成し、送信器5に出力する。送信器5は、入力した分散情報を分散情報の各管理者に送信して、配布する。
<分散情報生成装置の処理>
図2を用いて、本実施形態に係る分散情報生成装置の処理について説明する。
なお、説明にあたって用いる記号を数1のように、定義する。
Figure 2011055041
まず、Rp(q)上の秘密情報s∈Rp(q)は通常GF(q)上のp−1次元のベクトルとしてあらわされるため、まず、分割器1において、sをs、s、・・・・、sp−2∈GF(q)のp−1個の部分秘密情報に分割する(ステップS101)。
次に、乱数生成器2を用いて、(k−1)(p−1)個の乱数r 、・・・・、r m−1、・・・・、rk−2 、・・・・、rk−2 m−1∈GF(q)を生成する(ステップS102)。
GF(q)演算器4において、部分分散情報を、以下の数2を用いて生成する(ステップS103)。
Figure 2011055041
ここで、iは、0≦i≦n−1である。また、数2において、すべての演算は、有限体GF(q)上で実行される。また、数2では、式を簡単に表現するために、以下、数3に示すようなダミーの部分分散情報および乱数を便宜的に使用している。
Figure 2011055041
次に、それぞれの連結器4a〜4nにおいて、wの要素(部分分散情報)を数4のように連結して分散情報wを生成し(ステップS104)、送信器6がセキュアな伝送路を介して、管理者Pに分散情報wを送信する(ステップS105)。
Figure 2011055041
したがって、本実施形態に係る分散情報生成装置によれば、秘密情報からGF(q)上の演算のみを用いて、個々の分散情報が生成される。また、秘密情報を多項式環GF(q)[x]/(Mp(x))上の要素とした場合、個々の分散情報は多項式環上で定義される演算を用いて生成される多項式環上の要素に等しくなる。なお、このとき、Mp(x)はある特定の形で構成されるp−1次の多項式である。つまり、多項式環上の演算を、小規模な基礎体であるGF(q)上の演算のみで実現しているため、高速かつ分散処理の負荷を軽減した処理が可能となる。大規模な拡大体上の秘密情報を任意の有限体上に分割して、演算を行うため、加算と離散対数の準同型性を利用したアプリケーションにも容易に適用することができる。
<秘密情報復元装置の構成>
図3を用いて、本実施形態に係る秘密情報復元装置の構成について説明する。
本実施形態に係る秘密情報復元装置は、図3に示すように、受信器11と、行列生成器12と、分割器13a〜13nと、行列演算器14と、GF(q)演算器15と、連結器16とから構成されている。
受信器11は、k人の管理人からk個の分散情報を受信し、受信したk個の分散情報をそれぞれの分割器13a〜13nに出力する。それぞれの分割器13a〜13nは、入力したk個の分散情報を分割して、k(p−1)個の部分分散情報(pはn以上の素数)をGF(q)演算器15に出力する。
行列生成器12は、k個の分散情報のインデックス番号に基づいて、多項式環の性質を利用して組み合わせて演算し、GF(q)上の生成行列を生成し、行列演算器14に出力する。
行列演算器14は、入力した生成行列の逆行列を導出し、GF(q)演算器15に出力する。GF(q)演算器15は、入力された逆行列の構成に基づいて定まる組み合わせに応じて、部分分散情報を有限体GF(q)上において演算し、(p−1)個の部分秘密情報を連結器16に出力する。連結器16は、入力された部分秘密情報を連結して秘密情報を出力する。
<秘密情報復元装置の処理>
図4を用いて、本実施形態に係る秘密情報復元装置の処理について説明する。
なお、説明にあたって用いる記号を分散情報生成装置での説明と同様に定義する。
まず、受信器11は、wt0、wt1、・・・・、wtk−1のk個の分散情報を管理者Pから受信し、分割器13a〜13nに出力する(ステップS201)。次に、それぞれの分割器13a〜13nにおいて、入力したRp(q)上の分散情報wを(p−1)個の部分分散情報w(i、0)、・・・・、w(i、p−2)∈GF(q)へと分割し、(p−1)個の部分分散情報をGF(q)演算器15に出力する(ステップS202)。なお、i=t、・・・・、tk−1である。
次に、数5に示すk(p−1)×2k(p−1)行列(G|Ik(p−1))を分散情報のインデックスから導出する(ステップS203)。
Figure 2011055041
数5において、Iは、a行a列の単位行列を示し、Kiは、以下、数6に示す(p−1)×(p−1)行列(i=0、・・・・、p−1)である。ただし、K=Ip−1であり、Gを生成行列と呼ぶ。ここで、ガウスの消去法を(G|Ik(p−1))上において実行することにより、数7に示す行列を得る(ステップS204)。
Figure 2011055041
Figure 2011055041
数7において、Gauss()は、有限体GF(q)上のガウスの消去法を実行する関数とする。この際、Mは、Gに対する逆行列となる。なお、ステップS203およびステップS204においては、上記のように、ガウスの消去法を利用する例について説明したが、LU分解などの他のアルゴリズムを用いることもできる。
次に、Mを用いて、以下、数8に示す演算を有限体GF(q)上において実行し、すべての部分秘密情報、乱数を復元する(ステップS205)。ここで、uおよびvはそれぞれ乱数、部分秘密情報のベクトルおよび部分分散情報のベクトルであり、以下、数9のように定義される。
Figure 2011055041
Figure 2011055041
そして、出力された部分秘密情報を連結して、数10に示すような秘密情報sを出力する(ステップS206)。
Figure 2011055041
したがって、本実施形態に係る秘密情報復元装置によれば、秘密情報はGF(q)上の演算のみを用いて復元される。なお、分散処理と同様に、復元処理においても実際は多項式環上の演算を、小規模な基礎体であるGF(q)上の演算のみで実現しているため、高速かつ復元処理の負荷を軽減した処理が可能となる。
なお、分散情報生成装置および秘密情報復元装置の処理をコンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムを分散情報生成装置および秘密情報復元装置に読み込ませ、実行することによって本発明の分散情報生成装置および秘密情報復元装置を実現することができる。ここでいうコンピュータシステムとは、OSや周辺装置等のハードウェアを含む。
また、「コンピュータシステム」は、WWW(World Wide Web)システムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されても良い。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。更に、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
1・・・分割器
2・・・乱数生成器
3・・・GF(q)演算器
4a〜4n・・・連結器
5・・・送信器
11・・・受信器
12・・・行列生成器
13a〜13n・・・分割器
14・・・行列演算器
15・・・GF(q)演算器
16・・・連結器

Claims (13)

  1. 位数qの有限体GF(q)[x]の特定の構成を有するp−1次多項式M(x)(pはn以上の素数)を用いて、多項式環GF(q)[x]/(M(x))上の秘密情報を複数の秘密情報に分割し、有限体GF(q)上のみの演算を行い、分散情報を生成することを特徴とする分散情報生成装置。
  2. 出力されるそれぞれの分散情報のサイズが、入力される秘密情報と等しいサイズであることを特徴とする請求項1に記載の分散情報生成装置。
  3. 秘密情報を(p−1)個の部分秘密情報(pはn以上の素数)に分割する分割手段と、
    (p−1)(k−1)個(kは、n以下の正の整数)の位数qの有限体GF(q)上の乱数を生成する乱数生成手段と、
    前記GF(q)上において、前記部分秘密情報と前記乱数とを多項式環の性質を利用して組み合わせて演算し、n(p−1)個の部分分散情報を出力するGF(q)演算手段と、
    該出力された部分分散情報を連結して分散情報を生成する連結手段と、
    各管理者へ該生成した分散情報を送付する送信手段と、
    を備えたことを特徴とする分散情報生成装置。
  4. 位数qの有限体GF(q)[x]の特定の構成を有するp−1次多項式M(x)(pはn以上の素数)を用いて、多項式環GF(q)[x]/(M(x))上の分散情報を分割し、有限体GF(q)上のみの演算を行い、秘密情報を復元することを特徴とする秘密情報復元装置。
  5. k個(kは、n以下の正の整数)の分散情報を受信する受信手段と、
    k個の分散情報を分割してk(p−1)個の部分分散情報(pはn以上の素数)を出力する分割手段と、
    k個の分散情報のインデックス番号に基づいて、多項式環の性質を利用して組み合わせて演算し、GF(q)上の生成行列を生成する生成行列生成手段と、
    生成行列の逆行列を導出する行列演算手段と、
    該導出した逆行列の構成に応じて、部分分散情報をGF(q)上にて演算し、(p−1)個の部分秘密情報を出力するGF(q)演算手段と、
    部分秘密情報を連結して秘密情報を出力する連結手段と、
    を備えることを特徴とする秘密情報復元装置。
  6. 秘密情報から管理者がそれぞれ管理する分散情報を生成する分散情報生成方法であって、
    位数qの有限体GF(q)[x]の特定の構成を有するp−1次多項式M(x)(pはn以上の素数)を用いて、多項式環GF(q)[x]/(M(x))上の秘密情報を複数の秘密情報に分割し、有限体GF(q)上のみの演算を行い、分散情報を生成することを特徴とする分散情報生成方法。
  7. 秘密情報から管理者がそれぞれ管理する分散情報を生成する分散情報生成方法であって、
    秘密情報を(p−1)個の部分秘密情報(pはn以上の素数)に分割する第1のステップと、
    (p−1)(k−1)個(kは、n以下の正の整数)の位数qの有限体GF(q)上の乱数を生成する第2のステップと、
    前記GF(q)上において、前記部分秘密情報と前記乱数とを多項式環の性質を利用して組み合わせて演算し、n(p−1)個の部分分散情報を出力する第3のステップと、
    該出力された部分分散情報を連結して分散情報を生成する第4のステップと、
    各管理者へ該生成した分散情報を送付する第5のステップと、
    を備えたことを特徴とする分散情報生成方法。
  8. それぞれの管理者が管理する分散情報を所定数集めて、秘密情報を復元する秘密情報復元方法であって、位数qの有限体GF(q)[x]の特定の構成を有するp−1次多項式M(x)(pはn以上の素数)を用いて、多項式環GF(q)[x]/(M(x))上の分散情報を分割し、有限体GF(q)上のみの演算を行い、秘密情報を復元することを特徴とする秘密情報復元方法。
  9. それぞれの管理者が管理する分散情報を所定数集めて、秘密情報を復元する秘密情報復元方法であって、
    k個(kは、n以下の正の整数)の分散情報を受信する第1のステップと、
    k個の分散情報を分割してk(p−1)個の部分分散情報(pはn以上の素数)を出力する第2のステップと、
    k個の分散情報のインデックス番号に基づいて、多項式環の性質を利用して組み合わせて演算し、GF(q)上の生成行列を生成する第3のステップと、
    生成行列の逆行列を導出する第4のステップと、
    該導出した逆行列の構成に応じて、部分分散情報をGF(q)上にて演算し、(p−1)個の部分秘密情報を出力する第5のステップと、
    部分秘密情報を連結して秘密情報を出力する第6のステップと、
    を備えることを特徴とする秘密情報復元方法。
  10. 秘密情報から管理者がそれぞれ管理する分散情報を生成する分散情報生成方法をコンピュータに実行させるためのプログラムであって、
    位数qの有限体GF(q)[x]の特定の構成を有するp−1次多項式M(x)(pはn以上の素数)を用いて、多項式環GF(q)[x]/(M(x))上の秘密情報を複数の秘密情報に分割し、有限体GF(q)上のみの演算を行い、分散情報を生成することを特徴とするプログラム。
  11. 秘密情報から管理者がそれぞれ管理する分散情報を生成する分散情報生成方法をコンピュータに実行させるためのプログラムであって、
    秘密情報を(p−1)個の部分秘密情報(pはn以上の素数)に分割する第1のステップと、
    (p−1)(k−1)個(kは、n以下の正の整数)の位数qの有限体GF(q)上の乱数を生成する第2のステップと、
    前記GF(q)上において、前記部分秘密情報と前記乱数とを多項式環の性質を利用して組み合わせて演算し、n(p−1)個の部分分散情報を出力する第3のステップと、
    該出力された部分分散情報を連結して分散情報を生成する第4のステップと、
    各管理者へ該生成した分散情報を送付する第5のステップと、
    を実行するためのプログラム。
  12. それぞれの管理者が管理する分散情報を所定数集めて、秘密情報を復元する秘密情報復元方法をコンピュータに実行させるためのプログラムであって、位数qの有限体GF(q)[x]の特定の構成を有するp−1次多項式M(x)(pはn以上の素数)を用いて、多項式環GF(q)[x]/(M(x))上の分散情報を分割し、有限体GF(q)上のみの演算を行い、秘密情報を復元することを特徴とするプログラム。
  13. それぞれの管理者が管理する分散情報を所定数集めて、秘密情報を復元する秘密情報復元方法をコンピュータに実行させるためのプログラムであって、
    秘密情報を(p−1)個の部分秘密情報(pはn以上の素数)に分割する第1のステップと、
    (p−1)(k−1)個(kは、n以下の正の整数)の位数qの有限体GF(q)上の乱数を生成する第2のステップと、
    前記GF(q)上において、前記部分秘密情報と前記乱数とを多項式環の性質を利用して組み合わせて演算し、n(p−1)個の部分分散情報を出力する第4のステップと、
    該出力された部分分散情報を連結して分散情報を生成する第5のステップと、
    各管理者へ該生成した分散情報を送付する第6のステップと、
    を実行するためのプログラム。
JP2009199359A 2009-08-31 2009-08-31 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム Pending JP2011055041A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009199359A JP2011055041A (ja) 2009-08-31 2009-08-31 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009199359A JP2011055041A (ja) 2009-08-31 2009-08-31 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム

Publications (1)

Publication Number Publication Date
JP2011055041A true JP2011055041A (ja) 2011-03-17

Family

ID=43943652

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009199359A Pending JP2011055041A (ja) 2009-08-31 2009-08-31 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム

Country Status (1)

Country Link
JP (1) JP2011055041A (ja)

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JPN6013033135; 保坂範和 他: '2値行列に基づく(2,n)しきい値秘密分散法' 2007年暗号と情報セキュリティシンポジウム講演論文集 , 20070123 *
JPN6013033136; KARNIN, E. D. et al.: 'On Secret Sharing Systems' IEEE Transactions on Information Theory Vol.IT-29 No.1, 198301, p.35-41 *

Similar Documents

Publication Publication Date Title
JP2008203720A (ja) 閾値秘密分散装置、閾値秘密分散方法、秘密情報復元方法およびプログラム
Kaur et al. Analysis of security algorithms in cloud computing
EP3528233B1 (en) Secret bit decomposition device, secret bit decomposition method, and program therefor
Al Etaiwi Encryption algorithm using graph theory
Chauhan et al. Homomorphic encryption for data security in cloud computing
US8958547B2 (en) Generation of relative prime numbers for use in cryptography
JPWO2016159357A1 (ja) 秘密計算システム、サーバ装置、秘密計算方法、および、プログラム
Fu et al. A key-recovery attack on 855-round Trivium
JP5134303B2 (ja) 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム
Ben-Zvi et al. A practical cryptanalysis of the Algebraic Eraser
JP6607257B2 (ja) 秘密計算システム、秘密計算装置、および、秘密計算方法
JP4999533B2 (ja) 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム
JP5134281B2 (ja) 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム
JP5388716B2 (ja) 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム
JP5388684B2 (ja) 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム
JP5433297B2 (ja) 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム
JP5191751B2 (ja) 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム
JP5513444B2 (ja) ベクトル構成システム、方法、装置及びプログラム並びに暗号システム
JP2010186232A (ja) 管理者追加処理システム、管理者追加処理方法およびプログラム
Bang et al. Design and evaluation of a novel White-box encryption scheme for resource-constrained IoT devices
JP2011055041A (ja) 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム
JP6693503B2 (ja) 秘匿検索システム、サーバ装置、秘匿検索方法、検索方法、およびプログラム
JP5241325B2 (ja) 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム
JP4933241B2 (ja) 閾値秘密分散装置、閾値秘密分散方法、およびプログラム
Pal et al. FPGA implementation of stream cipher using Toeplitz Hash function

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120309

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130709

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130906

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20131001