JP2012154990A - 秘密ソートシステム、秘密ソート装置、秘密ソート方法、秘密ソートプログラム - Google Patents

秘密ソートシステム、秘密ソート装置、秘密ソート方法、秘密ソートプログラム Download PDF

Info

Publication number
JP2012154990A
JP2012154990A JP2011011753A JP2011011753A JP2012154990A JP 2012154990 A JP2012154990 A JP 2012154990A JP 2011011753 A JP2011011753 A JP 2011011753A JP 2011011753 A JP2011011753 A JP 2011011753A JP 2012154990 A JP2012154990 A JP 2012154990A
Authority
JP
Japan
Prior art keywords
matrix
secret
information
calculation
sort
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011011753A
Other languages
English (en)
Other versions
JP5480828B2 (ja
Inventor
Hiroki Hamada
浩気 濱田
Koji Senda
浩司 千田
Masaru Igarashi
大 五十嵐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2011011753A priority Critical patent/JP5480828B2/ja
Publication of JP2012154990A publication Critical patent/JP2012154990A/ja
Application granted granted Critical
Publication of JP5480828B2 publication Critical patent/JP5480828B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】比較に基づかないソーティングアルゴリズムを秘密計算上で実現する。
【解決手段】本発明の秘密ソートシステムは、3個以上の秘密ソート装置で構成され、M個のレコードからなる表Xの各要素が秘密分散された表[X]から、表Xのレコードを並び替えた表に対応する秘密分散された表を求める。本発明の秘密ソートシステムは、少なくともランダム置換手段、復号手段、ソート手段を備える。ランダム置換手段は、情報[c]と表[X]が入力され、情報[c]のM個の要素と表[X]のM個のレコードとの対応を維持したまま秘密計算でレコード間をランダム置換し、ランダム置換された情報[c]と表[X]を求める。復号手段は、情報[c]を復号し、情報cを求める。ソート手段は、情報cが示す順番に表[X]の各レコードを並べなおし、表[X]を求める。
【選択図】図1

Description

本発明は、暗号応用技術に関するものであり、特に入力データを明かすことなく関数計算を行う秘密ソートシステム、秘密ソート装置、秘密ソート方法、秘密ソートプログラムに関する。
暗号化された数値を復元すること無く特定の演算結果を得る方法として、例えば非特許文献1の秘密計算と呼ばれる方法がある。非特許文献1の方法では、3つの秘密計算装置に数値の断片を分散させるという暗号化を行い、数値を復元すること無く、加減算、定数和、乗算、定数倍、論理演算(否定,論理積,論理和,排他的論理和)、データ形式変換(整数,二進数)の結果を3つの秘密計算装置に分散された状態、すなわち暗号化されたまま保持させることができる。非特許文献2では、ソートの前後の値の対応を誰にも知られないように計算することを特徴とし、暗号化された複数のデータに対し、平文から計算される値でソートを行った結果の暗号文を計算する秘密ソート方法が提案されている。非特許文献2では、クイックソートなどの任意の比較ソートを、比較回数を増やすことなく秘密計算上で実現している。
千田浩司, 濱田浩気, 五十嵐大, 高橋克巳, "軽量検証可能3パーティ秘匿関数計算の再考", In CSS, 2010. 濱田浩気, 五十嵐大, 千田浩司, 高橋克巳, "3パーティ秘匿関数計算上のランダム置換プロトコル", In CSS, 2010.
しかしながら、従来技術は暗号化されたままデータ同士の比較を行った結果に応じて振る舞いが決まるアルゴリズムであり、比較に基づくソーティングアルゴリズムにしか適用できない。このため、入力データの個数をnとすると、計算時間をO(n log n)よりもよくすることはできないという課題がある。本発明は、比較に基づかないソーティングアルゴリズムを秘密計算上で実現することを目的とする。
本発明の秘密ソートシステムは、3個以上の秘密ソート装置で構成され、M個のレコードからなる表Xの各要素が秘密分散された表[X]から、表Xのレコードを並び替えた表に対応する秘密分散された表を求める。ここで、Mは2以上の整数、[]はカッコ内の情報が要素ごとに秘密分散された情報を示す記号、cは異なるM個の値を並べたものでレコード間をランダム置換してもソート後に何番目になるかを一意に決定できる情報とする。例えば、cは1からMの異なる値がソート後の順番にしたがって並んだM個の要素を有する情報としてもよい。
本発明の秘密ソートシステムは、少なくともランダム置換手段、復号手段、ソート手段を備える。ランダム置換手段は、情報[c]と表[X]が入力され、情報[c]のM個の要素と表[X]のM個のレコードとの対応を維持したまま秘密計算でレコード間をランダム置換し、ランダム置換された情報[c]と表[X]を求める。復号手段は、情報[c]を復号し、情報cを求める。ソート手段は、情報cが示す順番に表[X]の各レコードを並べなおし、表[X]を求める。
本発明の秘密ソートシステムによれば、並び替え後の位置の値は正しいままレコード間のランダム置換を行うことができる。その一方で、先にレコード間のランダム置換を行うことでランダム置換前後の対応がわからなくなるため、ランダム置換によってレコードの追跡ができなくなる。したがって、情報を漏らすことなく、並び替え後の位置を復号することができる。よって、その後は復号したソート後の順番に各レコードを移動させるだけでよい。つまり、比較に基づかないソーティングアルゴリズムを秘密計算上で実現できる。
本発明の秘密ソートシステムの機能構成例を示す図。 本発明の秘密ソートシステムの処理フローを示す図。 変形例1の秘密ソートシステムの処理フローを示す図。 変形例2と変形例3の秘密ソートシステムの処理フローを示す図。 本発明の秘密ソートシステムに利用できる秘密分散装置100の機能構成例を示す図。 ランダム置換の1つ目の処理フロー例を示す図。 ランダム置換の2つ目の処理フロー例を示す図。
以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
図1に実施例1の秘密ソートシステムの機能構成例を示す。図2に実施例1の秘密ソートシステムの処理フローを示す。実施例1の秘密ソートシステムは、少なくともネットワーク1000で接続されたN個の秘密ソート装置10,…,10で構成され、M個のレコードからなる表Xの各要素が秘密分散された表[X]から、表Xのレコードを並び替えた表に対応する秘密分散された表を求める。なお、Mは2以上の整数、Nは3以上の整数、mは1以上M以下の整数、nは1以上N以下の整数、[]はカッコ内の情報が要素ごとに秘密分散された情報を示す記号、上付きのTは転置を示す記号、cは異なるM個の値を並べたもので、レコード間をランダム置換してもソート後に何番目になるかを一意に決定できる情報とする。例えば、cは1からMの異なる値がソート後の順番にしたがって並んだM個の要素を有する情報としてもよい。
秘密ソート装置10は、ソート制御部300、秘密分散装置100、記録部190を備える。秘密分散装置100は、ソート制御部300の指示にしたがって実施例1の処理に必要な個々の秘密計算を行う。本発明の処理に必要な個々の秘密計算としては、秘密分散、復号、限定シャッフルなどがある。ただし、本発明は、これらの秘密計算を利用して効率よくソートを行うものであり、秘密計算自体に特徴がある発明ではない。そこで、秘密計算については、例を後述することとし、本発明のポイントを理解しやすくするためにここでの説明は省略する。なお、後述する秘密計算の方法は、1つの例であり、実施例1が利用できる秘密計算を限定するものではない。記録部190は、秘密ソート装置10の処理に必要な情報を記録する構成部である。図1に示した選択手段105は後述する秘密計算では利用するが、利用する秘密計算によっては備えなくてもよい。
実施例1では、ソート後の順番が秘密分散された状態で与えられた後の処理を説明する。つまり、上述の情報cが秘密分散された状態(情報[c])で与えられ、情報[c]に示された順番にレコードを並び替える。例えば、c=(4,2,5,1,3)の場合、1番目のレコードは4番目に移動し、2番目のレコードは2番目のまま、3番目のレコードは5番目に移動し、4番目のレコードは1番目に移動し、5番目のレコードは3番目に移動することを示している。
各秘密ソート装置10のソート制御部300は、ランダム置換部310、復号部320、ソート部330を備える。そして、秘密ソートシステムのランダム置換手段310(図示していない)はランダム置換部310,…,310で構成され、復号手段320(図示していない)は復号部320,…,320で構成され、ソート手段330(図示していない)はソート部330,…,330で構成される。
ランダム置換手段310は、情報[c]のM個の要素と表[X]のM個のレコードとの対応を維持したまま秘密計算でレコード間をランダム置換し、ランダム置換された情報[c]と表[X]を求める(S310)。具体的には、ランダム置換部310,…,310(ランダム置換手段310)が、秘密分散された情報[c]と秘密分散された表[X]に対して同一の全単射によるランダム置換を秘密分散装置100,…,100に実行させる。
復号手段320は、情報[c]を復号し、情報cを求める(S320)。より具体的には、復号部320,…,320(復号手段320)が、秘密分散された情報[c]の復号を秘密分散装置100,…,100に実行させ、情報cを得る。
ソート手段330は、情報cが示す順番に表[X]の各レコードを並べなおし、表[X]を求める。より具体的には、ソート部330,…,330(ソート手段330)が、情報cが示す順番に表[X]の各レコードを並べなおし、表[X]を求める。
実施例1の秘密ソートシステムによれば、並び替え後の位置の値は正しいまま、並び替えの前にレコード間をランダム置換する。また、先にレコード間のランダム置換を行うことでランダム置換前後の対応がわからなくなるので、レコードの追跡ができなくなる。したがって、情報を漏らすことなく、並び替え後の位置を復号することができる。つまり、計算の途中では、cのみが復号されるが、cは異なるM個の値を並べたもので、レコード間をランダム置換してもソート後に何番目になるかを一意に決定できるだけの情報(例えば、1からMの整数をランダムに並べ替えた値)であるため、復号される値からは有意な情報は得られない。よって、その後は復号したソート後の順番に各レコードを移動させるだけでよい。つまり、比較に基づかないソーティングアルゴリズムを秘密計算上で実現できる。
[変形例1]
変形例1では、実施例1の定義の他に、k、Dは整数、dは1以上D以下の整数、mは1以上M以下の整数、x,…,xは表Xのレコード、y,…,yはソートしたい順序y<…<yが定義されたD種類の値、x(k)はレコードxのk番目のデータでありy,…,yのいずれかの値、aはx(k)の値とする。そして、表[X]をレコードxのk番目のデータの値に基づいて昇順となるようにソートするための情報[c]を求める処理を含めて説明する。
本変形例の秘密ソートシステムの構成も図1に示す。本変形例の秘密ソートシステムの処理フローは図3に示す。本変形例では、各秘密ソート装置10のソート制御部300は、ランダム置換部310、復号部320、ソート部330、行列生成部340、列ベクトル変換部350、列ベクトル計算部360、行列変換部370、行列計算部380、ソート情報計算部390を備える。そして、秘密ソートシステムの行列生成手段340(図示していない)は行列生成部340,…,340で構成され、列ベクトル変換手段350(図示していない)は列ベクトル変換部350,…,350で構成され、列ベクトル計算手段360(図示していない)は列ベクトル計算部360,…,360で構成され、行列変換手段370(図示していない)は行列変換部370,…,370で構成され、行列計算手段380(図示していない)は行列計算部380,…,380で構成され、ソート情報計算手段390(図示していない)はソート情報計算部390,…,390で構成される。
行列生成手段340は、a=yかを秘密計算で確認し、a=yならばHmd=1、a≠yならばHmd=0であるHmdをm行d列の要素とするM行D列の行列[H]を生成する(S340)。より具体的には、行列生成部340,…,340(行列生成手段340)が、秘密分散装置100,…,100にa=yかを秘密計算で確認させ、a=yならばHmd=1、a≠yならばHmd=0であるHmdをm行d列の要素とするM行D列の行列[H]を生成させる。例えば、M=5、D=3、y=0,y=1,y=2であり、x(k)=2,x(k)=1,x(k)=2,x(k)=0,x(k)=1の場合、a=y,a=y,a=y,a=y,a=yなので、
Figure 2012154990
となる。この例の場合、行列生成手段340は、式(1)の行列Hの各要素を秘密分散した行列[H]を求める。
また、D=2,y=0,y=1の場合であれば、[a]=0かどうかは[a]の否定で得られ、[a]=1かどうかは[a]の値そのままで得られる。したがって、ステップS340では、a=yかを秘密計算で確認する必要はなく、[Hm1]=[1−a]、[Hm2]=[a]とすればよい。このように、Dやy,…,yの値の選び方によっては、a=yかを秘密計算で確認する必要がない場合もある。
なお、a=yかを秘密計算で確認する場合には、従来技術として蓄積された論理回路の技術を用いれば、実現できる。例えば、2ビット展開した各ビットの排他的論理和の論理和の否定によって次のように確認してもよい。
C=1−{(amB[∨]ydB)∨・・・∨(am1[∨]yd1)} (1)
ただし、[∨]は排他的論理和(XOR)を示す記号、∨は論理和(OR)を示す記号、ambは2ビット展開したときのaの下からbビット目の値、ydbは2ビット展開したときのyの下からbビット目の値、Bは2ビット展開したときのaとyの桁数とする。式(1)では、C=1ならばa=y(真)、C=0ならばa≠y(偽)である。また、式(1)の個々の演算は後述の秘密計算の例に示されているので、式(1)の演算は秘密計算で実行でき、秘密分散された[C]が求められる。したがって、確認後の分岐も秘密にするのであれば、[C]を用いた秘密計算をさらに組合せればよい。なお、後述する秘密計算は、数値の秘密分散、秘密分散された断片の復号、秘密分散された数値の四則計算、秘密分散されたビットごとの論理演算の基本的な計算方法を網羅して示している。したがって、従来技術として蓄積された論理回路の技術を用いれば、上述の等しいことを確認する方法のように、所望の演算を後述する秘密計算の方法の組合せで実行できる。
列ベクトル変換手段350は、行列[H]の各列を左の列から順に上から下に縦につなげて要素数MDの列ベクトル[h]を求める(S350)。より具体的には、列ベクトル変換部350,…,350(列ベクトル変換手段350)が、秘密分散された状態を維持したまま行列[H]を列ベクトル[h]に変換する。例えば、式(1)の行列Hの場合であれば、
h=(0,0,0,1,0,0,1,0,0,1,1,0,1,0,0) (2)
となる。この例の場合、列ベクトル変換手段350は、式(2)の列ベクトルhの各要素を秘密分散した列ベクトル[h]を求める。
列ベクトル計算手段360は、i番目の要素が、列ベクトル[h]の1番目の要素からi番目の要素までの和である列ベクトル[u]を、秘密計算で求める(S360)。より具体的には、列ベクトル計算部360,…,360(列ベクトル計算手段360)が、秘密分散装置100,…,100に、i番目の要素が、列ベクトル[h]の1番目の要素からi番目の要素までの和である列ベクトル[u]を秘密計算で求めさせる。例えば、式(2)の列ベクトルhの場合であれば、
u=(0,0,0,1,1,1,2,2,2,3,4,4,5,5,5) (3)
となる。この例の場合、列ベクトル計算手段360は、式(3)の列ベクトルuの各要素を秘密分散した列ベクトル[u]を求める。
行列変換手段370は、列ベクトル[u]をM要素ごとに分割してD個の列ベクトルを左から順に並べたM行D列の行列[G]を生成する(S370)。より具体的には、行列変換部370,…,370(行列変換手段370)が、秘密分散された状態を維持したまま列ベクトル[u]を行列[G]に変換する。例えば、式(3)の列ベクトルuの場合であれば、
Figure 2012154990
となる。この例の場合、行列変換手段370は、式(4)の行列Gの各要素を秘密分散した行列[G]を求める。
行列計算手段380は、行列[G]と行列[H]の要素ごとの積を要素とするM行D列の行列[E]を、秘密計算で求める(S380)。より具体的には、行列計算部380,…,380が、秘密分散装置100,…,100に、行列[G]と行列[H]の要素ごとの積を要素とするM行D列の行列[E]を、秘密計算で求めさせる。例えば、式(4)の行列Gと式(1)の行列Hの場合であれば、
Figure 2012154990
となる。この例の場合、行列計算手段380は、式(5)の行列Eの各要素を秘密分散した行列[E]を求める。
ソート情報計算手段390は、行列[E]の行ごとの要素の総和を秘密計算で求め、それぞれの総和を要素として行の順番に並べた情報を情報[c]とする。より具体的には、ソート情報計算部390,…,390(ソート情報計算手段390)が、秘密分散装置100,…,100に、行列[E]の行ごとの要素の総和を秘密計算で求めさせ、それぞれの総和を要素として行の順番に並べた情報を情報[c]を求めさせる。このようにして求めた情報[c]が実施例1の与えられた情報[c]に相当する。例えば、式(5)の行列Eの場合であれば、
c=(4,2,5,1,3) (6)
となる。この例の場合、ソート情報計算手段390は、式(6)の情報cの各要素を秘密分散した情報[c]を求める。
ランダム置換手段310、復号手段320、ソート手段330は実施例1と同じであり、ステップS310,S320,S330も実施例1と同じである。つまり、本変形例の秘密ソートシステムも、ソートに関しては実施例1と同様の効果が得られる。
次にソートに要する計算時間を評価する。各[a]の計算をMによらない時間で、Hの計算をO(M)時間で、M個のランダム置換をO(M)時間で、乗算と加算をMによらない時間でできれば、全体の計算時間はO(M)である。例えば、非特許文献1の秘匿関数計算で非特許文献2のランダム置換を用い、D=2とすれば、[a]=0かどうかは[a]の否定で得られ、[a]=1かどうかは[a]の値そのままで得られる。したがって、[H]は[a]とその否定で計算でき、ランダム置換も線形時間O(M)であるので、全体も線形時間O(M)で実現できる。つまり、実施例1の秘密ソートシステムが、比較に基づかないソーティングアルゴリズムを秘密計算上で実現できるので、本変形例のように情報[c]を求めれば、O(n)の計算時間でソーティングを行う秘密計算上のアルゴリズムを提供できる。
[変形例2]
変形例2では、実施例1の定義の他に、k、B、Dは整数、bは1以上B以下の整数、dは1以上D以下の整数、mは1以上M以下の整数、x,…,xは表Xのレコード、x(k)はレコードxのk番目のデータでありB桁のD進数の値、abmはx(k)の下位からb桁目の値とする。そして、表[X]をレコードxのk番目のデータの値に基づいて昇順となるようにソートするための情報[c]を求める処理を含めて説明する。なお、秘密計算によるD進数への分解は、参考文献1(Chao Ning, Qiuliang Xu, “Multiparty Computation for Modulo Reduction without Bit-Decomposition and a Generalization to Bit-Decomposition”, ASIACRYPT 2010, pp483-500.)などに示されている方法を用いればよい。
本変形例の秘密ソートシステムの構成も図1に示す。本変形例の秘密ソートシステムの処理フローは図4に示す。本変形例では、各秘密ソート装置10のソート制御部300は、ランダム置換部310、復号部320、ソート部330、行列生成部340、列ベクトル変換部350、列ベクトル計算部360、行列変換部370、行列計算部380、ソート情報計算部390を備える。そして、秘密ソートシステムの行列生成手段340(図示していない)は行列生成部340,…,340で構成され、列ベクトル変換手段350(図示していない)は列ベクトル変換部350,…,350で構成され、列ベクトル計算手段360(図示していない)は列ベクトル計算部360,…,360で構成され、行列変換手段370(図示していない)は行列変換部370,…,370で構成され、行列計算手段380(図示していない)は行列計算部380,…,380で構成され、ソート情報計算手段390(図示していない)はソート情報計算部390,…,390で構成される。
まず、ソート制御部300,…,300は、b=1に初期設定する(S301)。
行列生成手段340は、abm=d−1かを秘密計算で確認し、abm=d−1ならばHmd=1、abm≠d−1ならばHmd=0であるHmdをm行d列の要素とするM行D列の行列[H]を生成する(S340)。より具体的には、行列生成部340,…,340(行列生成手段340)が、秘密分散装置100,…,100にabm=d−1かを秘密計算で確認させ、abm=d−1ならばHmd=1、abm≠d−1ならばHmd=0であるHmdをm行d列の要素とするM行D列の行列[H]を生成させる。本変形例は、変形例1のy
=d−1
と設定した場合に相当する。
また、特にD=2であれば、[abm]=0かどうかは[abm]の否定で得られ、[abm]=1かどうかは[abm]の値そのままで得られる。したがって、ステップS340では、a=d−1かを秘密計算で確認する必要はなく、[Hm1]=[1−a]、[Hm2]=[a]とすればよい。このように、Dの値によっては、a=d−1かを秘密計算で確認する必要がない場合もある。
列ベクトル変換手段350は、行列[H]の各列を左の列から順に上から下に縦につなげて要素数MDの列ベクトル[h]を求める(S350)。より具体的には、列ベクトル変換部350,…,350(列ベクトル変換手段350)が、秘密分散された状態を維持したまま行列[H]を列ベクトル[h]に変換する。
列ベクトル計算手段360は、i番目の要素が、列ベクトル[h]の1番目の要素からi番目の要素までの和である列ベクトル[u]を、秘密計算で求める(S360)。より具体的には、列ベクトル計算部360,…,360(列ベクトル計算手段360)が、秘密分散装置100,…,100に、i番目の要素が、列ベクトル[h]の1番目の要素からi番目の要素までの和である列ベクトル[u]を秘密計算で求めさせる。
行列変換手段370は、列ベクトル[u]をM要素ごとに分割してD個の列ベクトルを左から順に並べたM行D列の行列[G]を生成する(S370)。より具体的には、行列変換部370,…,370(行列変換手段370)が、秘密分散された状態を維持したまま列ベクトル[u]を行列[G]に変換する。
行列計算手段380は、行列[G]と行列[H]の要素ごとの積を要素とするM行D列の行列[E]を、秘密計算で求める(S380)。より具体的には、行列計算部380,…,380が、秘密分散装置100,…,100に、行列[G]と行列[H]の要素ごとの積を要素とするM行D列の行列[E]を、秘密計算で求めさせる。
ソート情報計算手段390は、行列[E]の行ごとの要素の総和を秘密計算で求め、それぞれの総和を要素として行の順番に並べた情報を情報[c]とする。より具体的には、ソート情報計算部390,…,390(ソート情報計算手段390)が、秘密分散装置100,…,100に、行列[E]の行ごとの要素の総和を秘密計算で求めさせ、それぞれの総和を要素として行の順番に並べた情報を情報[c]を求めさせる。このようにして求めた情報[c]が実施例1の与えられた情報[c]に相当する。
ランダム置換手段310、復号手段320、ソート手段330は実施例1と同じであり、ステップS310,S320,S330も実施例1と同じである。
次にソート制御部300,…,300は、繰返しの条件を満たすかを確認する(S302)。具体的には、b=Bかを確認する。ステップS302がYesの場合は、処理を終了する。また、ステップS302がNoの場合は、bにb+1を代入し(S302)、ソート手段330が求めた表[X]を次のソートの対象の表[X]として、ステップS340に戻る。このようにして、下位の桁から上位の桁にソートの対象を変更しながらB桁分のソートを繰り返せば、B桁のD進数の値を対象としたソートを行うことができる。
このような方法でソートが実行されるので、本変形例の秘密ソートシステムによれば、変形例1と同じ効果が得られる。
[変形例3]
変形例3では、実施例1の定義の他に、Bは整数、k,…,kとD,…,Dは整数、bは1以上B以下の整数、dは1以上D以下の整数、mは1以上M以下の整数、x,…,xは表Xのレコード、y(1),…,y(D)はソートしたい順序y(1)<…<y(D)が定義されたD種類の値、x(k)はレコードxのk番目のデータでありy(1),…,y(D)のいずれかの値、abmはx(k)の値とする。そして、表[X]をレコードxのk番目からk番目のデータの値に基づいて、かつBが大きい方を優先して昇順となるようにソートするための情報[c]を求める処理を含めて説明する。
本変形例の秘密ソートシステムの構成も図1に示す。本変形例の秘密ソートシステムの処理フローは図4に示す。本変形例では、各秘密ソート装置10のソート制御部300は、ランダム置換部310、復号部320、ソート部330、行列生成部340、列ベクトル変換部350、列ベクトル計算部360、行列変換部370、行列計算部380、ソート情報計算部390を備える。そして、秘密ソートシステムの行列生成手段340(図示していない)は行列生成部340,…,340で構成され、列ベクトル変換手段350(図示していない)は列ベクトル変換部350,…,350で構成され、列ベクトル計算手段360(図示していない)は列ベクトル計算部360,…,360で構成され、行列変換手段370(図示していない)は行列変換部370,…,370で構成され、行列計算手段380(図示していない)は行列計算部380,…,380で構成され、ソート情報計算手段390(図示していない)はソート情報計算部390,…,390で構成される。
まず、ソート制御部300,…,300は、b=1に初期設定する(S301)。
行列生成手段340は、abm=y(d)かを秘密計算で確認し、abm=y(d)ならばHmd=1、abm≠y(d)ならばHmd=0であるHmdをm行d列の要素とするM行D列の行列[H]を生成する(S340)。より具体的には、行列生成部340,…,340(行列生成手段340)が、秘密分散装置100,…,100にabm=y(d)かを秘密計算で確認させ、abm=y(d)ならばHmd=1、abm≠y(d)ならばHmd=0であるHmdをm行d列の要素とするM行D列の行列[H]を生成させる。
また、D=2,y(1)=0,y(2)=1の場合であれば、[abm]=0かどうかは[abm]の否定で得られ、[abm]=1かどうかは[abm]の値そのままで得られる。したがって、ステップS340では、abm=y(d)かを秘密計算で確認する必要はなく、[Hm1]=[1−a]、[Hm2]=[a]とすればよい。このように、Dやy(1),…,y(D)の値の選び方によっては、abm=y(d)かを秘密計算で確認する必要がない場合もある。
列ベクトル変換手段350は、行列[H]の各列を左の列から順に上から下に縦につなげて要素数MDの列ベクトル[h]を求める(S350)。より具体的には、列ベクトル変換部350,…,350(列ベクトル変換手段350)が、秘密分散された状態を維持したまま行列[H]を列ベクトル[h]に変換する。
列ベクトル計算手段360は、i番目の要素が、列ベクトル[h]の1番目の要素からi番目の要素までの和である列ベクトル[u]を、秘密計算で求める(S360)。より具体的には、列ベクトル計算部360,…,360(列ベクトル計算手段360)が、秘密分散装置100,…,100に、i番目の要素が、列ベクトル[h]の1番目の要素からi番目の要素までの和である列ベクトル[u]を秘密計算で求めさせる。
行列変換手段370は、列ベクトル[u]をM要素ごとに分割してD個の列ベクトルを左から順に並べたM行D列の行列[G]を生成する(S370)。より具体的には、行列変換部370,…,370(行列変換手段370)が、秘密分散された状態を維持したまま列ベクトル[u]を行列[G]に変換する。
行列計算手段380は、行列[G]と行列[H]の要素ごとの積を要素とするM行D列の行列[E]を、秘密計算で求める(S380)。より具体的には、行列計算部380,…,380が、秘密分散装置100,…,100に、行列[G]と行列[H]の要素ごとの積を要素とするM行D列の行列[E]を、秘密計算で求めさせる。
ソート情報計算手段390は、行列[E]の行ごとの要素の総和を秘密計算で求め、それぞれの総和を要素として行の順番に並べた情報を情報[c]とする。より具体的には、ソート情報計算部390,…,390(ソート情報計算手段390)が、秘密分散装置100,…,100に、行列[E]の行ごとの要素の総和を秘密計算で求めさせ、それぞれの総和を要素として行の順番に並べた情報を情報[c]を求めさせる。このようにして求めた情報[c]が実施例1の与えられた情報[c]に相当する。
ランダム置換手段310、復号手段320、ソート手段330は実施例1と同じであり、ステップS310,S320,S330も実施例1と同じである。
次にソート制御部300,…,300は、繰返しの条件を満たすかを確認する(S302)。具体的には、b=Bかを確認する。ステップS302がYesの場合は、処理を終了する。また、ステップS302がNoの場合は、bにb+1を代入し(S302)、ソート手段330が求めた表[X]を次のソートの対象の表[X]として、ステップS340に戻る。このようにして、優先順位の低いk番目のデータから優先順位の高いk番目のデータにソートの対象を変更しながらソートを繰り返せば、k番目からk番目のデータの値に基づいて、かつBが大きい方を優先してソートを行うことができる。
このような方法でソートが実行されるので、本変形例の秘密ソートシステムによれば、変形例2と同じ効果が得られる。
[秘密計算]
上述の説明では、秘密計算については1つの方法に限定しないことを前提としており、具体例は示さなかった。以下の説明では、秘密ソート装置10,…,10が実行するランダム置換とその他の秘密計算について説明する。なお、以下の秘密計算に関する説明は、1つの例でありこれに限定されるものではない。本発明の秘密ソートシステムでは他の秘密計算を用いてもよい。
ランダム置換1
図5に本発明に利用できる秘密分散装置100の機能構成例を詳しく示した秘密ソートシステムを示す。図6にランダム置換の1つ目の処理フロー例を示す。この例では、秘密ソートシステムは選択手段105も備える。ここで、A,…,Aを各秘密ソート装置10が断片を分散して記録するK個の数値(Kは2以上の整数)、数値Aをk番目の数値(kは1以上K以下の整数)、aknを秘密ソート装置10が記録するk番目の断片とする。なお、数値A,…,Aが、秘匿化したい数値群であって、例えば、ソートの対象となる数値群である。ソートの対象となる数値群としては、例えば、数値Aが各々の人の年収を示すような数値群が考えられる。選択手段105は、いずれかの秘密ソート装置の内部に配置されてもよいし、単独の装置であってもよい。
秘密ソートシステムは、選択手段と断片置換手段と再分散手段を備える。また、秘密分散装置100は、少なくとも断片置換部110と再分散部120と記録部190を備える。記録部190は断片a1n,…,aKnなどを記録する。また、記録部190は、自身が記録している断片aknが数値Aの何番目の断片なのかに関する情報も記録する。
選択手段105は、N未満の数の秘密ソート装置10を選択する(S105)。例えば、N個の断片のうちN’個を集めれば数値を復元できる秘密分散であれば、断片置換手段がN’個以上N未満の秘密ソート装置を選べばよい。
断片置換手段は、少なくとも断片置換部110,…,110を含んで構成される。そして、選択手段105に選択された秘密ソート装置10(ただし、iは選択された秘密ソート装置を示す番号)の断片置換部110間で{1,…,K}→{1,…,K}の全単射πを作成し、選択された秘密ソート装置10の記録部190が記録する断片aπ(k)iをk番目の断片にする(S110)。全単射πは、1〜Kを単にランダムに並べ替えたものであってもよい。なお、全単射πは、望ましくは一様にランダムに並び替えられたものであり、例えばFisher-Yates shuffle(参考文献1:Richard Durstenfeld, “Algorithm 235: Random permutation”, Communications of the ACM archive, Volume 7, Issue 7, 1964.)などを用いて作成すればよい。また、全単射πは選択された秘密ソート装置10間で生成してもよいし、選択された秘密ソート装置10のうちの1つの秘密ソート装置が生成して、選択された秘密ソート装置10間で共有してもよい。
再分散手段は、少なくとも再分散部120,…,120を含んで構成される。再分散手段は、断片置換手段によって置換された数値Aπ(k)に対応する断片aπ(k)i(k番目に置換されている)を用いて再分散化して新しい断片bk1,…,bkNを求め、数値Bの断片とする(S120)。つまり、Aπ(k)=Bの関係が成り立つが、選ばれなかった秘密ソート装置は全単射πを知らないので、Aπ(k)=Bであることを知らない。なお、各秘密ソート装置10の記録部190は、断片bknを記録するだけでなく、自身が記録しているk番目の断片である断片bknが数値Bの断片であるという情報も記録する。また、数値B,…,Bを新しい数値A,…,Aとし、選択手段で選択する秘密ソート装置の組み合わせを変更すれば、この処理を繰り返すことができる(S111,S112)。
本発明の秘密ソートシステムによれば、限定された秘密ソート装置間で断片をシャッフルする。したがって、選ばれなかった秘密ソート装置は、全単射πを知らないので、数値A,…,Aと数値B,…,Bとの対応が分からない。つまり、特定の秘密ソート装置からは数値A,…,Aと数値B,…,Bとの対応が分からない状態にしたいのであれば、その秘密ソート装置を選択手段105で選ばないように、選択する秘密ソート装置をあらかじめ定めればよい。また、選択手段105が選ぶ秘密ソート装置を変更しながらこの処理を繰り返し、全ての秘密ソート装置が選ばれなかったことがある状態にすれば、全ての秘密ソート装置が数値A,…,Aと対応つけることができない数値B,…,Bを得ることができる。
ランダム置換2
次のランダム置換のための秘密ソートシステムの秘密分散装置100を詳細に示した機能構成例も図5に示す。図7にランダム置換の2つ目の処理フロー例を示す。この例でも、秘密ソートシステムは選択手段105も備える。ここで、A,…,Aを各秘密ソート装置10が断片を分散して記録するK個の数値(Kは2以上の整数)、数値Aをk番目の数値(kは1以上K以下の整数)、aknを秘密ソート装置10が記録する数値Aの断片とする。
本発明の秘密ソートシステムは、選択手段105、初期情報分散手段、初期乗算手段、断片置換手段、再分散手段、確認分散手段、確認乗算手段、改ざん検出手段を備える。また、秘密分散装置100は、初期情報分散部130、初期乗算部140、断片置換部110、再分散部120、確認分散部150、確認乗算部160、改ざん検出部170を備える。記録部190は断片a1n,…,aKnなどを記録する。また、記録部190は、自身が記録している断片aknが数値Aの何番目の断片なのかに関する情報も記録する。
選択手段105はランダム置換1と同じである。初期情報分散手段は、初期情報分散部130,…,130で構成される。そして、選択手段105に選択された秘密ソート装置10の初期情報分散部130は、秘密ソート装置10,…,10のどれも知らないK個の数値P,…,Pそれぞれの断片p1n,…,pKnを秘密計算によって求め、記録部190に記録する(S130)。具体的には、選択手段105に選択された秘密ソート装置から、2つ以上の秘密ソート装置を選定する。そして、選定された秘密ソート装置が作った値に基づいて、どの装置も知らない値の断片を作ればよい。例えば、2つの秘密ソート装置10,10を選定し(ただし、i≠j)、秘密ソート装置10が生成した数値の断片と、秘密ソート装置10が生成した数値の断片を分散して記録する。そして、その2つの数値の和を秘密計算によって求め、結果が分からないように断片を分散して記録すれば、全ての秘密ソート装置が知らない数値の断片を分散して記録できる。この例では、選定した秘密計算装置を2つとしたが、2つ以上でもかまわない。
初期乗算手段は、初期乗算部140,…,140で構成される。初期乗算部140,…,140は、S=P×Aである数値Sの断片sk1,…,skNを秘密計算によって求め、記録部190,…,190に分散して記録する(S140)。
断片置換手段と再分散手段は、ランダム置換1と同じである。確認分散手段は、確認分散部150,…,150で構成される。確認分散部150,…,150は、k=1〜Kについて、Q=Pπ(k)である数値Qの断片qk1,…,qkNを秘密計算によって生成し、記録部190,…,190に分散して記録する(S150)。具体的には、ステップS130で選定された秘密ソート装置が作った値に基づいて、どの装置も知らない値の別の断片を作ればよい。例えば、ステップS130で選定された秘密ソート装置10が数値Pπ(k)用に生成した数値の別の断片(新しい断片)と、ステップS130で選定された秘密ソート装置10が数値Pπ(k)用に生成した数値の別の断片(新しい断片)を分散して記録する。そして、その2つの数値の和を秘密計算によって求め、結果が分からないように断片を分散して記録すれば、Q=Pπ(k)であり、かつ、全ての秘密ソート装置が知らない数値の断片を分散して記録できる。この例では、選定した秘密ソート装置を2つとしたが、ステップS130と同じように2つ以上でもかまわない。
確認乗算手段は、確認乗算部160,…,160で構成される。確認乗算部160,…,160は、T=Q×Bである数値Tの断片tk1,…,tkNを秘密計算によって求め、記録部190,…,190に分散して記録する(S160)。
改ざん検出手段は、改ざん検出部170,…,170で構成される。改ざん検出部170,…,170は、k=1〜Kについて、T=Sπ(k)であることを確認する(S170)。tkn≠sπ(k)nの場合には、改ざんがあったとして異常終了する。また、数値B,…,Bを新しい数値A,…,Aとし、選択手段で選択する秘密ソート装置の組み合わせを変更すれば、この処理を繰り返すことができる(S111,S112)。
[その他の秘密計算]
ここでは、秘密ソートシステムが3個の秘密ソート装置で構成された場合の秘密計算の例を示す。また、秘密ソート装置10,10,10の番号を固定する必要はないので、秘密ソート装置10α,10β,10γと表現することにする。つまり、(α,β,γ)は、(1,2,3)、(2,3,1)、(3,1,2)のいずれかである。
以下の秘密計算では、秘密ソート装置10α,10β,10γが分散して記録する数値Aの断片を(aγα,aαβ)、(aαβ,aβγ)、(aβγ,aγα)、数値Bの断片を(bγα,bαβ)、(bαβ,bβγ)、(bβγ,bγα)、数値Cの断片を(cγα,cαβ)、(cαβ,cβγ)、(cβγ,cγα)とする。なお、以下の説明では、Wを2以上のあらかじめ定めた整数とし、計算結果はWで除した余りである。言い換えると、以下の説明の計算式では“mod W”を省略している。
数値Aの秘密分散
(1)乱数aαβ,aβγを生成する。
(2)aγα=A−aαβ−aβγを計算し、断片を(aγα,aαβ)、(aαβ,aβγ)、(aβγ,aγα)とし、秘密ソート装置10α,10β,10γに分散して記録する。
数値Aの復元
(1)秘密ソート装置10αは秘密ソート装置10βにaγαを送信し、秘密ソート装置10γにaαβを送信する。秘密ソート装置10βは秘密ソート装置10γにaαβを送信し、秘密ソート装置10αにaβγを送信する。秘密ソート装置10γは秘密ソート装置10αにaβγを送信し、秘密ソート装置10βにaγαを送信する。
(2)秘密ソート装置10αは秘密ソート装置10βから受信したaβγと秘密ソート装置10γから受信したaβγとが一致していれば、aαβ+aβγ+aγαを計算して数値Aを復元する。秘密ソート装置10βは秘密ソート装置10γから受信したaγαと秘密ソート装置10αから受信したaγαとが一致していれば、aαβ+aβγ+aγαを計算して数値Aを復元する。秘密ソート装置10γは秘密ソート装置10αから受信したaαβと秘密ソート装置10βから受信したaαβとが一致していれば、aαβ+aβγ+aγαを計算して数値Aを復元する。
C=A+Bの秘密計算
(1)秘密ソート装置10αは(cγα,cαβ)=(aγα+bγα,aαβ+bαβ)を計算して記録し、秘密ソート装置10βは(cαβ,cβγ)=(aαβ+bαβ,aβγ+bβγ)を計算して記録し、秘密ソート装置10γは(cβγ,cγα)=(aβγ+bβγ,aγα+bγα)を計算して記録する。
C=A−Bの秘密計算
(1)秘密ソート装置10αは(cγα,cαβ)=(aγα−bγα,aαβ−bαβ)を計算して記録し、秘密ソート装置10βは(cαβ,cβγ)=(aαβ−bαβ,aβγ−bβγ)を計算して記録し、秘密ソート装置10γは(cβγ,cγα)=(aβγ−bβγ,aγα−bγα)を計算して記録する。
C=A+Sの秘密計算(ただし、Sは既知の定数)
(1)秘密ソート装置10αは(cγα,cαβ)=(aγα+S,aαβ)を計算して記録し、秘密ソート装置10γは(cβγ,cγα)=(aβγ,aγα+S)を計算して記録する。秘密ソート装置10βの処理はない。
C=ASの秘密計算(ただし、Sは既知の定数)
(1)秘密ソート装置10αは(cγα,cαβ)=(aγαS,aαβS)を計算して記録し、秘密ソート装置10βは(cαβ,cβγ)=(aαβS,aβγS)を計算して記録し、秘密ソート装置10γは(cβγ,cγα)=(aβγS,aγαS)を計算して記録する。
C=ABの秘密計算
(1)秘密ソート装置10αは、乱数r,r,cγαを生成し、cαβ=(aγα+aαβ)(bγα+bαβ)−r−r−cγαを計算する。そして、秘密ソート装置10αは、秘密ソート装置10βに(r,cαβ)を、秘密ソート装置10γに(r,cγα)を送信する。
(2)秘密ソート装置10βは、y=aαββγ+aβγαβ+rを計算し、秘密ソート装置10γに送信する。
(3)秘密ソート装置10γは、z=aβγγα+aγαβγ+rを計算し、秘密ソート装置10αに送信する。
(4)秘密ソート装置10βと秘密ソート装置10γは、それぞれcβγ=y+z+aβγβγを計算する。
(5)秘密ソート装置10αは(cγα,cαβ)を記録し、秘密ソート装置10βは(cαβ,cβγ)を記録し、秘密ソート装置10γは(cβγ,cγα)を記録する。
ビットAの否定(C=1−A)の秘密計算
秘密ソート装置10α
(cγα,cαβ)=(1−aγα,−aαβ mod W)
を計算して記録し、秘密ソート装置10β
(cαβ,cβγ)=(−aαβ mod W,−aβγ mod W)
を計算して記録し、秘密ソート装置10γ
(cβγ,cγα)=(−aβγ mod W,1−aγα
を計算して記録する。
ビットの論理積(C=A∧B=AB)の秘密計算
秘密ソート装置10α,10β,10γは、整数の乗算(C=AB mod W)の秘密計算と同じ処理を行う。
ビットの論理和(C=A∨B=A+B−AB)の秘密計算
(1)秘密ソート装置10α,10β,10γは、整数の加算(C=A+B mod W)の秘密計算と同じ処理を行い、C’=A+Bの結果として、秘密ソート装置10αが断片(cγα’,cαβ’)を、秘密ソート装置10βが断片(cαβ’,cβγ’)を、秘密ソート装置10γが断片(cβγ’,cγα’)を記録する。また、秘密ソート装置10α,10β,10γは、整数の乗算(C=AB mod W)の秘密計算と同じ処理を行い、C”=ABの結果として、秘密ソート装置10αが断片(cγα”,cαβ”)を、秘密ソート装置10βが断片(cαβ”,cβγ”)を、秘密ソート装置10γが断片(cβγ”,cγα”)を記録する。
(2)秘密ソート装置10α,10β,10γは、S=−1として整数の乗算(C=AS mod W)の秘密計算(ただし、Sは既知の定数)と同じ処理を行い、C’’’=−C”の結果として、秘密ソート装置10αが断片(cγα’’’,cαβ’’’)を、秘密ソート装置10βが断片(cαβ’’’,cβγ’’’)を、秘密ソート装置10γが断片(cβγ’’’,cγα’’’)を記録する。
(3)秘密ソート装置10α,10β,10γは、整数の加算(C=A+B mod W)の秘密計算と同じ処理を行い、C=C’+C’’’の結果として、秘密ソート装置10αが断片(cγα,cαβ)を、秘密ソート装置10βが断片(cαβ,cβγ)を、秘密ソート装置10γが断片(cβγ,cγα)を記録する。
ビットの排他的論理和(C=A[∨]B=A+B−2AB)の秘密計算
(1)秘密ソート装置10α,10β,10γは、整数の加算(C=A+B mod W)の秘密計算と同じ処理を行い、C’=A+Bの結果として、秘密ソート装置10αが断片(cγα’,cαβ’)を、秘密ソート装置10βが断片(cαβ’,cβγ’)を、秘密ソート装置10γが断片(cβγ’,cγα’)を記録する。また、秘密ソート装置10α,10β,10γは、整数の乗算(C=AB mod W)の秘密計算と同じ処理を行い、C”=ABの結果として、秘密ソート装置10αが断片(cγα”,cαβ”)を、秘密ソート装置10βが断片(cαβ”,cβγ”)を、秘密ソート装置10γが断片(cβγ”,cγα”)を記録する。
(2)秘密ソート装置10α,10β,10γは、S=−2として整数の乗算(C=AS mod W)の秘密計算(ただし、Sは既知の定数)の秘密計算と同じ処理を行い、C’’’=−2C”の結果として、秘密ソート装置10αが断片(cγα’’’,cαβ’’’)を、秘密ソート装置10βが断片(cαβ’’’,cβγ’’’)を、秘密ソート装置10γが断片(cβγ’’’,cγα’’’)を記録する。
(3)秘密ソート装置10α,10β,10γは、整数の加算(C=A+B mod W)の秘密計算と同じ処理を行い、C=C’+C’’’の結果として、秘密ソート装置10αが断片(cγα,cαβ)を、秘密ソート装置10βが断片(cαβ,cβγ)を、秘密ソート装置10γが断片(cβγ,cγα)を記録する。
ビットA(n),n=0,…,N−1の整数変換の秘密計算
ビットA(n)の整数変換とは、
Figure 2012154990
を求めることである。また、秘密ソート装置10α,10β,10γが分散して記録するビットA(n)の断片を(a(n)γα,a(n)αβ)、(a(n)αβ,a(n)βγ)、(a(n)βγ,a(n)γα)とする。秘密ソート装置10αは、
Figure 2012154990
を計算して記録し、秘密ソート装置10β
Figure 2012154990
を計算して記録し、秘密ソート装置10γ
Figure 2012154990
を計算して記録する。
Nビットの整数Aの二進数変換の秘密計算
x(n)は、xの下位n+1番目のビットを示すものとする。
(1)n=0からN−1について、秘密ソート装置10βが(aαβ+aβγ mod W)(n)を秘密分散し、秘密ソート装置10α,10β,10γが(aαβ+aβγ mod W)(n)の断片(b(n)γα,b(n)αβ)、(b(n)αβ,b(n)βγ)、(b(n)βγ,b(n)γα)を分散して記録する。n=0からN−1について、秘密ソート装置10γが(aγα)(n)を秘密分散し、秘密ソート装置10α,10β,10γが(aγα)(n)の断片((aγα)(n)γα,(aγα)(n)αβ)、((aγα)(n)αβ,(aγα)(n)βγ)、((aγα)(n)βγ,(aγα)(n)γα)を分散して記録する。
(2)cγα=0とし、n=0からN−1について(2−1)から(2−3)の処理を繰返し実行する。
(2−1)d=b(n)+(aγα)(n)−2b(n)(aγα)(n)
の秘密計算を実行し、dの断片を分散して記録する。
(2−2)a(n)=d+c−2d
の秘密計算を実行し、a(n)の断片を分散して記録する。
(2−3)n<N−1であれば、
n+1=b(n)(aγα)(n)+d−b(n)(aγα)(n)d
の秘密計算を実行し、cn+1の断片を分散して記録する。
[プログラム、記録媒体]
上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
10,…,10 秘密ソート装置 100,…,100 秘密分散装置
105 選択手段 110,…,110 断片置換部
120,…,120 再分散部 130,…,130 初期情報分散部
140,…,140 初期乗算部 150,…,150 確認分散部
160,…,160 確認乗算部 170,…,170 改ざん検出部
190,…,190 記録部 300,…,300 ソート制御部
310 ランダム置換手段 310,…,310 ランダム置換部
320 復号手段 320,…,320 復号部
330 ソート手段 330,…,330 ソート部
340 行列生成手段 340,…,340 行列生成部
350 列ベクトル変換手段 350,…,350 列ベクトル変換部
360 列ベクトル計算手段 360,…,360 列ベクトル計算部
370 行列変換手段 370,…,370 行列変換部
380 行列計算手段 380,…,380 行列計算部
390 ソート情報計算手段 390,…,390 ソート情報計算部
1000 ネットワーク

Claims (10)

  1. 3個以上の秘密ソート装置で構成され、M個のレコードからなる表Xの各要素が秘密分散された表[X]から、表Xのレコードを並び替えた表に対応する秘密分散された表を求める秘密ソートシステムであって、
    Mは2以上の整数、[]はカッコ内の情報が要素ごとに秘密分散された情報を示す記号、cは異なるM個の値を並べたものでレコード間をランダム置換してもソート後に何番目になるかを一意に決定できる情報とし、
    情報[c]のM個の要素と表[X]のM個のレコードとの対応を維持したまま秘密計算でレコード間をランダム置換し、ランダム置換された情報[c]と表[X]を求めるランダム置換手段と、
    情報[c]を復号し、情報cを求める復号手段と、
    情報cが示す順番に表[X]の各レコードを並べなおし、表[X]を求めるソート手段と
    を備える秘密ソートシステム。
  2. 請求項1記載の秘密ソートシステムであって、
    k、Dは整数、dは1以上D以下の整数、mは1以上M以下の整数、x,…,xは表Xのレコード、y,…,yはソートしたい順序y<…<yが定義されたD種類の値、x(k)はレコードxのk番目のデータでありy,…,yのいずれかの値、aはx(k)の値、表[X]はレコードxのk番目のデータの値に基づいて昇順となるようにソートされるとし、
    さらに、
    =yならばHmd=1、a≠yならばHmd=0であるHmdをm行d列の要素とするM行D列の行列[H]を生成する行列生成手段と、
    行列[H]の各列を左の列から順に上から下に縦につなげて要素数MDの列ベクトル[h]を求める列ベクトル変換手段と、
    i番目の要素が、列ベクトル[h]の1番目の要素からi番目の要素までの和である列ベクトル[u]を、秘密計算で求める列ベクトル計算手段と、
    列ベクトル[u]をM要素ごとに分割してD個の列ベクトルを左から順に並べたM行D列の行列[G]を生成する行列変換手段と、
    行列[G]と行列[H]の要素ごとの積を要素とするM行D列の行列[E]を、秘密計算で求める行列計算手段と、
    行列[E]の行ごとの要素の総和を秘密計算で求め、前記総和を要素として行の順番に並べた情報を前記情報[c]とするソート情報計算手段と、
    を備える秘密ソートシステム。
  3. 請求項1記載の秘密ソートシステムであって、
    k、B、Dは整数、bは1以上B以下の整数、dは1以上D以下の整数、mは1以上M以下の整数、x,…,xは表Xのレコード、x(k)はレコードxのk番目のデータでありB桁のD進数の値、abmはx(k)の下位からb桁目の値、表[X]はレコードxのk番目のデータの値に基づいて昇順となるようにソートされるとし、
    さらに、
    bm=d−1ならばHmd=1、abm≠d−1ならばHmd=0であるHmdをm行d列の要素とするM行D列の行列[H]を生成する行列生成手段と、
    行列[H]の各列を左の列から順に上から下に縦につなげて要素数MDの列ベクトル[h]を求める列ベクトル変換手段と、
    i番目の要素が、列ベクトル[h]の1番目の要素からi番目の要素までの和である列ベクトル[u]を、秘密計算で求める列ベクトル計算手段と、
    列ベクトル[u]をM要素ごとに分割してD個の列ベクトルを左から順に並べたM行D列の行列[G]を生成する行列変換手段と、
    行列[G]と行列[H]の要素ごとの積を要素とするM行D列の行列[E]を、秘密計算で求める行列計算手段と、
    行列[E]の行ごとの要素の総和を秘密計算で求め、前記総和を要素として行の順番に並べた情報を前記情報[c]とするソート情報計算手段と、
    を備え、
    前記行列生成手段、前記列ベクトル変換手段、前記列ベクトル計算手段、前記行列変換手段、前記行列計算手段、前記ソート情報計算手段、前記ランダム置換手段、前記復号手段、前記ソート手段の処理を、前記ソート手段が求めた表[X]を次のソートの対象の表[X]としながら、b=1からb=Bまで繰り返す
    ことを特徴とする秘密ソートシステム。
  4. 請求項1記載の秘密ソートシステムであって、
    Bは整数、k,…,kとD,…,Dは整数、bは1以上B以下の整数、dは1以上D以下の整数、mは1以上M以下の整数、x,…,xは表Xのレコード、y(1),…,y(D)はソートしたい順序y(1)<…<y(D)が定義されたD種類の値、x(k)はレコードxのk番目のデータでありy(1),…,y(D)のいずれかの値、abmはx(k)の値、表[X]はBが大きい方を優先してレコードxのk番目からk番目のデータの値に基づいて昇順となるようにソートされるとし、
    さらに、
    bm=y(d)ならばm行d列の要素を1、abm≠y(d)ならばm行d列の要素を0とするM行D列の行列[H]を生成する行列生成手段と、
    行列[H]の各列を左の列から順に上から下に縦につなげて要素数MDの列ベクトル[h]を求める列ベクトル変換手段と、
    i番目の要素が、列ベクトル[h]の1番目の要素からi番目の要素までの和である列ベクトル[u]を、秘密計算で求める列ベクトル計算手段と、
    列ベクトル[u]をM要素ごとに分割してD個の列ベクトルを左から順に並べたM行D列の行列[G]を生成する行列変換手段と、
    行列[G]と行列[H]の要素ごとの積を要素とするM行D列の行列[E]を、秘密計算で求める行列計算手段と、
    行列[E]の行ごとの要素の総和を秘密計算で求め、前記総和を要素として行の順番に並べた情報を前記情報[c]とするソート情報計算手段と、
    を備え、
    前記行列生成手段、前記列ベクトル変換手段、前記列ベクトル計算手段、前記行列変換手段、前記行列計算手段、前記ソート情報計算手段、前記ランダム置換手段、前記復号手段、前記ソート手段の処理を、前記ソート手段が求めた表[X]を次のソートの対象の表[X]としながら、b=1からb=Bまで繰り返す
    ことを特徴とする秘密ソートシステム。
  5. M個のレコードからなる表Xの各要素が秘密分散された表[X]から、表Xのレコードを並び替えた表に対応する秘密分散された表を求める3個以上の秘密ソート装置で構成される秘密ソートシステムの中の秘密ソート装置であって、
    Mは2以上の整数、[]はカッコ内の情報が要素ごとに秘密分散された情報を示す記号、cは異なるM個の値を並べたものでレコード間をランダム置換してもソート後に何番目になるかを一意に決定できる情報とし、
    情報[c]のM個の要素と表[X]のM個のレコードとの対応を維持したまま秘密計算でレコード間をランダム置換し、ランダム置換された情報[c]と表[X]を求めるためのランダム置換部と、
    情報[c]を復号し、情報cを求めるための復号部と、
    情報cが示す順番に表[X]の各レコードを並べなおし、表[X]を求めるためのソート部と
    を備える秘密ソート装置。
  6. 3個以上の秘密ソート装置を用いて、M個のレコードからなる表Xの各要素が秘密分散された表[X]から、表Xのレコードを並び替えた表に対応する秘密分散された表を求める秘密ソート方法であって、
    Mは2以上の整数、[]はカッコ内の情報が要素ごとに秘密分散された情報を示す記号、cは異なるM個の値を並べたものでレコード間をランダム置換してもソート後に何番目になるかを一意に決定できる情報とし、
    情報[c]のM個の要素と表[X]のM個のレコードとの対応を維持したまま秘密計算でレコード間のランダム置換し、ランダム置換された情報[c]と表[X]を求めるランダム置換ステップと、
    情報[c]を復号し、情報cを求める復号ステップと、
    情報cが示す順番に表[X]の各レコードを並べなおし、表[X]を求めるソートステップと
    を有する秘密ソート方法。
  7. 請求項6記載の秘密ソート方法であって、
    k、Dは整数、dは1以上D以下の整数、mは1以上M以下の整数、x,…,xは表Xのレコード、y,…,yはソートしたい順序y<…<yが定義されたD種類の値、x(k)はレコードxのk番目のデータでありy,…,yのいずれかの値、aはx(k)の値、表[X]はレコードxのk番目のデータの値に基づいて昇順となるようにソートされるとし、
    さらに、
    =yならばHmd=1、a≠yならばHmd=0であるHmdをm行d列の要素とするM行D列の行列[H]を生成する行列生成手段と、
    行列[H]の各列を左の列から順に上から下に縦につなげて要素数MDの列ベクトル[h]を求める列ベクトル変換ステップと、
    i番目の要素が、列ベクトル[h]の1番目の要素からi番目の要素までの和である列ベクトル[u]を、秘密計算で求める列ベクトル計算ステップと、
    列ベクトル[u]をM要素ごとに分割してD個の列ベクトルを左から順に並べたM行D列の行列[G]を生成する行列変換ステップと、
    行列[G]と行列[H]の要素ごとの積を要素とするM行D列の行列[E]を、秘密計算で求める行列計算ステップと、
    行列[E]の行ごとの要素の総和を秘密計算で求め、前記総和を要素として行の順番に並べた情報を前記情報[c]とするソート情報計算ステップと、
    を有する秘密ソート方法。
  8. 請求項6記載の秘密ソート方法であって、
    k、B、Dは整数、bは1以上B以下の整数、dは1以上D以下の整数、mは1以上M以下の整数、x,…,xは表Xのレコード、x(k)はレコードxのk番目のデータでありB桁のD進数の値、abmはx(k)の下位からb桁目の値、表[X]はレコードxのk番目のデータの値に基づいて昇順となるようにソートされるとし、
    さらに、
    bm=d−1ならばHmd=1、abm≠d−1ならばHmd=0であるHmdをm行d列の要素とするM行D列の行列[H]を生成する行列生成ステップと、
    行列[H]の各列を左の列から順に上から下に縦につなげて要素数MDの列ベクトル[h]を求める列ベクトル変換ステップと、
    i番目の要素が、列ベクトル[h]の1番目の要素からi番目の要素までの和である列ベクトル[u]を、秘密計算で求める列ベクトル計算ステップと、
    列ベクトル[u]をM要素ごとに分割してD個の列ベクトルを左から順に並べたM行D列の行列[G]を生成する行列変換ステップと、
    行列[G]と行列[H]の要素ごとの積を要素とするM行D列の行列[E]を、秘密計算で求める行列計算ステップと、
    行列[E]の行ごとの要素の総和を秘密計算で求め、前記総和を要素として行の順番に並べた情報を前記情報[c]とするソート情報計算ステップと、
    を有し、
    前記行列生成ステップ、前記列ベクトル変換ステップ、前記列ベクトル計算ステップ、前記行列変換ステップ、前記行列計算ステップ、前記ソート情報計算ステップ、前記ランダム置換ステップ、前記復号ステップ、前記ソートステップを、前記ソートステップが求めた表[X]を次のソートの対象の表[X]としながら、b=1からb=Bまで繰り返す
    ことを特徴とする秘密ソート方法。
  9. 請求項6記載の秘密ソート方法であって、
    Bは整数、k,…,kとD,…,Dは整数、bは1以上B以下の整数、dは1以上D以下の整数、mは1以上M以下の整数、x,…,xは表Xのレコード、y(1),…,y(D)はソートしたい順序y(1)<…<y(D)が定義されたD種類の値、x(k)はレコードxのk番目のデータでありy(1),…,y(D)のいずれかの値、abmはx(k)の値、表[X]はBが大きい方を優先してレコードxのk番目からk番目のデータの値に基づいて昇順となるようにソートされるとし、
    さらに、
    bm=y(d)ならばm行d列の要素を1、abm≠y(d)ならばm行d列の要素を0とするM行D列の行列[H]を生成する行列生成ステップと、
    行列[H]の各列を左の列から順に上から下に縦につなげて要素数MDの列ベクトル[h]を求める列ベクトル変換ステップと、
    i番目の要素が、列ベクトル[h]の1番目の要素からi番目の要素までの和である列ベクトル[u]を、秘密計算で求める列ベクトル計算ステップと、
    列ベクトル[u]をM要素ごとに分割してD個の列ベクトルを左から順に並べたM行D列の行列[G]を生成する行列変換ステップと、
    行列[G]と行列[H]の要素ごとの積を要素とするM行D列の行列[E]を、秘密計算で求める行列計算ステップと、
    行列[E]の行ごとの要素の総和を秘密計算で求め、前記総和を要素として行の順番に並べた情報を前記情報[c]とするソート情報計算ステップと、
    を有し、
    前記行列生成ステップ、前記列ベクトル変換ステップ、前記列ベクトル計算ステップ、前記行列変換ステップ、前記行列計算ステップ、前記ソート情報計算ステップ、前記ランダム置換ステップ、前記復号ステップ、前記ソートステップを、前記ソートステップが求めた表[X]を次のソートの対象の表[X]としながら、b=1からb=Bまで繰り返す
    ことを特徴とする秘密ソート方法。
  10. 請求項1から4のいずれかに記載の秘密ソートシステムの各秘密ソート装置としてコンピュータを機能させるための秘密ソートプログラム。
JP2011011753A 2011-01-24 2011-01-24 秘密ソートシステム、秘密ソート装置、秘密ソート方法、秘密ソートプログラム Active JP5480828B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011011753A JP5480828B2 (ja) 2011-01-24 2011-01-24 秘密ソートシステム、秘密ソート装置、秘密ソート方法、秘密ソートプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011011753A JP5480828B2 (ja) 2011-01-24 2011-01-24 秘密ソートシステム、秘密ソート装置、秘密ソート方法、秘密ソートプログラム

Publications (2)

Publication Number Publication Date
JP2012154990A true JP2012154990A (ja) 2012-08-16
JP5480828B2 JP5480828B2 (ja) 2014-04-23

Family

ID=46836806

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011011753A Active JP5480828B2 (ja) 2011-01-24 2011-01-24 秘密ソートシステム、秘密ソート装置、秘密ソート方法、秘密ソートプログラム

Country Status (1)

Country Link
JP (1) JP5480828B2 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014164144A (ja) * 2013-02-26 2014-09-08 Nippon Telegr & Teleph Corp <Ntt> 秘密表除算装置及び方法
WO2015107951A1 (ja) * 2014-01-17 2015-07-23 日本電信電話株式会社 秘密計算方法、秘密計算システム、ソート装置及びプログラム
CN107735830A (zh) * 2015-06-24 2018-02-23 日本电信电话株式会社 秘密计算装置、秘密计算方法和程序
CN112005287A (zh) * 2018-04-20 2020-11-27 日本电信电话株式会社 秘密聚合排名系统、秘密计算装置、秘密聚合排名方法、以及程序
CN112567443A (zh) * 2018-08-13 2021-03-26 日本电信电话株式会社 秘密联接信息生成系统、秘密联接系统、它们的方法、秘密计算装置以及程序
US12143420B2 (en) 2019-11-28 2024-11-12 Nec Corporation Shuffling shares among nodes to detect incorrectness or frauds

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1835657A1 (en) * 2006-03-16 2007-09-19 Sap Ag Methods and systems for multi-party sorting of private values

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1835657A1 (en) * 2006-03-16 2007-09-19 Sap Ag Methods and systems for multi-party sorting of private values

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CSNG201001087017; 濱田浩気他: '3パーティ秘匿関数計算上のランダム置換プロトコル' コンピュータセキュリティシンポジウム2010論文集 第二分冊, 20101012, p.561-566 *
JPN6013059514; 濱田浩気他: '3パーティ秘匿関数計算上のランダム置換プロトコル' コンピュータセキュリティシンポジウム2010論文集 第二分冊, 20101012, p.561-566 *

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014164144A (ja) * 2013-02-26 2014-09-08 Nippon Telegr & Teleph Corp <Ntt> 秘密表除算装置及び方法
WO2015107951A1 (ja) * 2014-01-17 2015-07-23 日本電信電話株式会社 秘密計算方法、秘密計算システム、ソート装置及びプログラム
CN105900164A (zh) * 2014-01-17 2016-08-24 日本电信电话株式会社 秘密计算方法、秘密计算系统、拣选装置以及程序
JP6009697B2 (ja) * 2014-01-17 2016-10-19 日本電信電話株式会社 秘密計算方法、秘密計算システム、ソート装置及びプログラム
CN105900164B (zh) * 2014-01-17 2019-03-08 日本电信电话株式会社 秘密计算方法、秘密计算系统、拣选装置以及记录介质
CN107735830A (zh) * 2015-06-24 2018-02-23 日本电信电话株式会社 秘密计算装置、秘密计算方法和程序
CN112005287A (zh) * 2018-04-20 2020-11-27 日本电信电话株式会社 秘密聚合排名系统、秘密计算装置、秘密聚合排名方法、以及程序
CN112005287B (zh) * 2018-04-20 2023-08-18 日本电信电话株式会社 秘密聚合排名系统、秘密计算装置、秘密聚合排名方法、以及记录介质
CN112567443A (zh) * 2018-08-13 2021-03-26 日本电信电话株式会社 秘密联接信息生成系统、秘密联接系统、它们的方法、秘密计算装置以及程序
CN112567443B (zh) * 2018-08-13 2024-05-14 日本电信电话株式会社 秘密联接信息生成系统及方法、秘密联接系统及方法、秘密计算装置、记录介质
US12143420B2 (en) 2019-11-28 2024-11-12 Nec Corporation Shuffling shares among nodes to detect incorrectness or frauds

Also Published As

Publication number Publication date
JP5480828B2 (ja) 2014-04-23

Similar Documents

Publication Publication Date Title
JP6009697B2 (ja) 秘密計算方法、秘密計算システム、ソート装置及びプログラム
JP5486520B2 (ja) セキュア集合関数システム、秘密集合関数装置、セキュア集合関数処理方法、セキュア集合関数プログラム
JP5957120B1 (ja) 秘密分散方法、秘密分散システム、分散装置、およびプログラム
Hanis et al. Double image compression and encryption scheme using logistic mapped convolution and cellular automata
US8306217B2 (en) Cryptographic processing apparatus and cryptographic processing method, and computer program
CN103444124B (zh) 加密处理装置、加密处理方法
JP2020074039A (ja) データを暗号化する方法およびシステム
JP7031682B2 (ja) 秘密計算装置、システム、方法、プログラム
JP5480828B2 (ja) 秘密ソートシステム、秘密ソート装置、秘密ソート方法、秘密ソートプログラム
CN110784307B (zh) 轻量级密码算法scenery实现方法、装置及存储介质
US20240022395A1 (en) Encryption processing device and encryption processing method
US8812866B2 (en) Method and apparatus for storing data
US11599681B2 (en) Bit decomposition secure computation apparatus, bit combining secure computation apparatus, method and program
CN112287333B (zh) 一种轻量级可调分组密码实现方法、系统、电子设备以及可读存储介质
JP5498406B2 (ja) マッチングシステム、マッチングシステムの方法
Deryabin et al. Secure verifiable secret short sharing scheme for multi-cloud storage
JP5689845B2 (ja) 秘密計算装置、秘密計算方法、およびプログラム
JP5391212B2 (ja) セキュア検索システム、秘密検索装置、セキュア検索方法、セキュア検索プログラム
JP5506705B2 (ja) 秘密マッチングシステム、秘密マッチング装置、秘密マッチング方法、秘密マッチングプログラム
US9246681B2 (en) Use of 32-bit random numbers to produce cipher key stream for 8-bit data stream
Jeon One-way hash function based on cellular automata
CN111052206B (zh) 秘密计算装置、秘密计算方法以及记录介质
WO2023281693A1 (ja) 秘密計算システム、装置、方法及びプログラム
WO2023281694A1 (ja) 秘密計算システム、装置、方法及びプログラム
Berlin et al. An Approach to Achieve Modern Cryptographic Encryption System for Preserving Secrets using Number System Generator

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20121225

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131120

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131203

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140115

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140204

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140214

R150 Certificate of patent or registration of utility model

Ref document number: 5480828

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150