JP2016512611A - プライバシー保護リッジ回帰 - Google Patents

プライバシー保護リッジ回帰 Download PDF

Info

Publication number
JP2016512611A
JP2016512611A JP2015561325A JP2015561325A JP2016512611A JP 2016512611 A JP2016512611 A JP 2016512611A JP 2015561325 A JP2015561325 A JP 2015561325A JP 2015561325 A JP2015561325 A JP 2015561325A JP 2016512611 A JP2016512611 A JP 2016512611A
Authority
JP
Japan
Prior art keywords
data
circuit
computing device
service provider
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2015561325A
Other languages
English (en)
Other versions
JP2016512611A5 (ja
Inventor
ニコラエンコ バレリア
ニコラエンコ バレリア
ウェインズバーグ ウディ
ウェインズバーグ ウディ
イオアニーディス ストラティス
イオアニーディス ストラティス
ジョイ マルク
ジョイ マルク
タフト ニナ
タフト ニナ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thomson Licensing SAS
Original Assignee
Thomson Licensing SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thomson Licensing SAS filed Critical Thomson Licensing SAS
Publication of JP2016512611A publication Critical patent/JP2016512611A/ja
Publication of JP2016512611A5 publication Critical patent/JP2016512611A5/ja
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/008Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/04Masking or blinding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/24Key scheduling, i.e. generating round keys or sub-keys for block encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/46Secure multiparty computation, e.g. millionaire problem
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/50Oblivious transfer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

準同型暗号およびヤオのガーブル回路の両方を用いたプライバシー保護リッジ回帰に対するハイブリッドなアプローチが提示される。システムにおけるユーザは、線形準同型暗号のもとで暗号化されたそれらのデータを提出する。線形準同型性は、線形動作のみを必要とするアルゴリズムの第1の段階を実行するために用いられる。この段階の出力は、ユーザ数nで独立の形式で、暗号化されたデータを生成する。第2の段階において、最初に準同型暗号を実装し、次いでリッジ回帰の残りを行うヤオのガーブル回路が評価される(示されるように、最適化された実現はガーブル回路における復号を回避し得る)。このステップに関して、ヤオのガーブル回路アプローチは、現在の十分な準同型暗号スキームよりもずっと速い。従って、両世界で最高のものは、大きなデータセットを取り扱うための線形準同型性を用いることにより、及び計算の重い非線形部分に関するガーブル回路を用いることにより取得される。

Description

本発明は、一般にデータマイニングに関し、より具体的にはリッジ回帰を用いたデータマイニング時のプライバシーの保護に関する。
関連出願の相互参照
本出願は、参照によりその全体が本明細書に組み込まれている、2013年3月4日に出願した米国特許仮出願第61/772,404号明細書の利益を主張するものである。
本出願はまた、同時に出願されその全体が参照により本明細書に組み込まれている「PRIVACY−PRESERVING RIDGE REGRESSION USING MASKS」、および「PRIVACY−PRESERVING RIDGE REGRESSION USING PARTIALLY HOMOMORPHIC ENCRYPTION AND MASKS」という名称の出願に関連する。
推薦システムは、種々の項目に対する多くのユーザの好みおよび評点を収集し、データに対して学習アルゴリズムを実行することによって動作する。学習アルゴリズムは、新しいユーザが一定の項目をどのように評点するかを予測するために用いられ得るモデルを生成する。特に、ユーザが一定の項目に対して提供する評価を所与として、モデルはそのユーザが他の項目をどのように評価するかを予測することができる。このような予測モデルを生成するための無数のアルゴリズムが存在し、多くはAmazonおよびNetflixなどの大きなサイトにおいて積極的に用いられる。学習アルゴリズムはまた、大きな医療データベース、財務データ、および多くの他の領域に用いられる。
現在の実装形態では、学習アルゴリズムは、予測モデルを組み立てるために、すべてのユーザデータをクリアテキストで見なければならない。この開示では、クリアテキストでのデータなしに学習アルゴリズムが動作できるかどうかが判断され、それによってユーザが彼等のデータの管理を維持することを可能にする。医療データに対しては、これはユーザプライバシーに影響を与えずにモデルを組み立てられることを可能にする。書籍および映画の好みに対しては、ユーザに彼等のデータの管理を保持させることは、サービスプロバイダにおけるデータ漏洩の場合の、将来の予期しない当惑を生じるリスクを低減する。概略的に言えば、プライベートなユーザデータをデータマイニングするための3つの既存の方法がある。第1のものは、ユーザに、秘密共有を用いて複数のサーバーの間に彼等のデータを分割させる。次いで、これらのサーバーは分散型プロトコルを用いて学習アルゴリズムを実行し、サーバーの大多数が共謀しない限り、プライバシーは保証される。第2のものは完全準同型暗号に基づき、学習アルゴリズムは暗号化されたデータを通して実行され、信頼できるサードパーティに、最終の暗号化モデルを復号することだけを任せる。第3の方法では、暗号化されたデータに対して計算し、ユーザデータについて他に何も学習することなく最終モデルを取得するために、ヤオのガーブル回路構成が用いられ得る。しかしながら、ヤオに基づく方法は、以前にはアルゴリズムの回帰クラスに適用されたことはなかった。
準同型暗号およびヤオガーブル回路の両方を用いる、プライバシー保護リッジ回帰のためのハイブリッド方法が提示される。システムにおけるユーザは、PaillierまたはRegevなどの線形準同型暗号システムのもとで暗号化された彼等のデータを提出する。評価器は、線形準同型性を用いて、線形演算のみを必要とするアルゴリズムの第1の段階を実行する。この段階は、暗号化されたデータを生成する。この第1の段階では、システムは、多数のレコード(システム内のユーザの数nに比例する)を処理するように要求される。この第1の段階での処理は、アルゴリズムの第2の段階がnに無関係になるようにデータを準備する。第2の段階では、評価器は、最初に準同型復号を実装するヤオガーブル回路を評価し、次いで回帰アルゴリズムの残りを行う(図示のように、最適化された具現化は、ガーブル回路における復号を回避することができる)。回帰アルゴリズムのこのステップは、高速線形システムソルバを必要とし、高度に非線形である。このステップに対してヤオガーブル回路方法は、現在の完全準同型暗号方式よりもずっと高速である。したがって、大きなデータセットを取り扱うために線形準同型性を用い、計算の重たい非線形部分のためにガーブル回路を用いることによって、両方の領域の最善のものが得られる。第2の段階はまた、計算が2つの段階に分割される方法のために、nに無関係となる。
一実施形態では、プライバシー保護リッジ回帰のための方法が提供される。本方法は、暗号サービスプロバイダにガーブル回路を要求するステップと、準同型暗号を用いてフォーマットされ暗号化された複数のユーザからのデータを収集するステップと、準同型暗号を用いてフォーマットされ暗号化された上記データを合計するステップと、紛失通信を用いて、上記合計されたデータで、上記暗号サービスプロバイダからの上記ガーブル回路を評価するステップと、を含む。
他の実施形態では、プライバシー保護リッジ回帰のためのコンピューティングデバイスが提供される。コンピューティングデバイスは、記憶装置と、メモリと、プロセッサーとを含む。上記記憶装置は、ユーザデータを記憶するためのものである。上記メモリは、処理のためのデータを記憶するためのものである。上記記憶装置は、ユーザデータを記憶するためのものである。上記メモリは、処理のためのデータを記憶するためのものである。上記プロセッサーは、暗号サービスプロバイダにガーブル回路を要求し、準同型暗号を用いてフォーマットされ暗号化されたデータを複数のユーザから収集し、準同型暗号を用いてフォーマットされ暗号化された上記データを合計し、紛失通信を用いて、上記合計されたデータで、上記暗号サービスプロバイダからの上記ガーブル回路を評価するように構成される。
目的および利点は、特許請求の範囲において具体的に指し示された要素および結合によって実現され達成される。開示された実施形態は、本明細書の新規な教示の多くの有利な使用の例のみであることに留意することが重要である。上記の全体的な説明および以下の詳細な説明は共に、例示および説明目的であって本発明を限定するものではなく、特許請求される通りであることが理解されるべきである。さらに、いくつかの記述は、いくつかの発明性のある特徴に当てはまり得るが、他には当てはまらない場合がある。一般に、特に明記しない限り、一般性を失わずに単数の要素は複数であってもよく、逆も同様である。図面では、いくつかの図を通して同様な番号は同様な部分を指す。
実施形態によるプライバシー保護リッジ回帰システムのブロック概略図である。 実施形態によるコンピューティングデバイスのブロック概略図である。 実施形態による例示的ガーブル回路を示す図である。 実施形態によるプライバシー保護リッジ回帰をもたらすための方法論の高レベルフロー図である。 実施形態によるプライバシー保護リッジ回帰をもたらすための第1のプロトコルの動作を示す図である。 実施形態によるプライバシー保護リッジ回帰をもたらすための第1のプロトコルの動作を示す図である。 実施形態によるコレスキー分解のためのアルゴリズムの例示的実施形態を示す図である。
本開示の焦点は、多くの学習アルゴリズムにおいて用いられる基本的な機構、すなわちリッジ回帰に当てられる。高次元の多数の点を所与として、回帰アルゴリズムは、これらの点を通る最良適合曲線を生成する。目標は、ユーザデータまたはユーザデータについての他の情報を顕在化せずに計算を行うことである。これは、図1に示されるシステムを用いることによって達成される。
図1には、プライバシー保護リッジ回帰を実装するためのシステム100の実施形態のブロック図が示される。システムは、評価器110、1人または複数のユーザ120、および暗号サービスプロバイダ(CSP)130を含み、これらは互いに通信する。評価器110は、サーバーまたはパーソナルコンピュータ(PC)などのコンピューティングデバイス上に実装される。CSP130は、同様にサーバーまたはパーソナルコンピュータなどのコンピューティングデバイス上に実装され、イーサネット(登録商標)またはWi−Fiネットワークなどのネットワークを通して、評価器110と通信する。1人または複数のユーザ120は、パーソナルコンピュータ、タブレット、スマートフォンなどのコンピューティングデバイスを介して、評価器110およびCSP130と通信する。
ユーザ120は、暗号化されたデータを(例えばPCから)、学習アルゴリズムを実行する評価器110(例えばサーバー上の)に送る。一定の時点において評価器は、評価器110と共謀しないように信頼された暗号サービスプロバイダ130(別のサーバー上の)と対話することができる。最終的な成果は、クリアテキスト予測モデルβ140である。
図2は、プライバシー保護リッジ回帰のための様々な方法論およびシステム要素を実装するために用いられ得る、サーバー、PC、タブレット、またはスマートフォンなどの例示的コンピューティングデバイス200を示す。コンピューティングデバイス200は、1つまたは複数のプロセッサー210、メモリ220、記憶装置230、およびネットワークインターフェース240を含む。これらの要素のそれぞれについては、以下でより詳しく述べられる。
プロセッサー210は、電子サーバー200の動作を制御する。プロセッサー200は、サーバーを動作させ、コールドスタート推奨の機能をもたらすソフトウェアを実行する。プロセッサー210は、メモリ220、記憶装置230、およびネットワークインターフェース240に接続され、これらの要素間の情報の転送および処理を取り扱う。プロセッサー210は、汎用プロセッサーまたは特定の機能に専用化されたプロセッサーとすることができる。いくつかの実施形態では、複数のプロセッサーが存在し得る。
メモリ220は、プロセッサーによって実行されるべき命令およびデータが記憶される場所である。メモリ210は、揮発性メモリ(RAM)、不揮発性メモリ(EEPROM)、または他の適切な媒体を含むことができる。
記憶装置230は、本発明のコールドストレージ推奨方法論の実行においてプロセッサーによって用いられ生成されるデータが記憶される場所である。記憶装置は、磁気媒体(ハードドライブ)、光媒体(CD/DVD−Rom)、またはフラッシュベースの記憶装置とすることができる。
ネットワークインターフェース240は、サーバー200のネットワークを通した他のデバイスとの通信を取り扱う。適切なネットワークの例は、イーサネットネットワークである。本開示の恩恵を前提として当業者には、他のタイプの適切なホームネットワークが明らかになるであろう。
図2に記載された要素は、説明に役立つためのものであることが理解されるべきである。サーバー200は任意の数の要素を含むことができ、いくつかの要素は他の要素の機能の一部またはすべてをもたらすことができる。本開示の恩恵を前提として当業者には、他の可能な実装形態が明らかになるであろう。
設定および脅威モデル
A.アーキテクチャおよびエンティティ
戻って図1を参照すると、システム100は、多くのユーザ120が、評価器110と呼ばれる中央サーバーにデータを提供するように設計される。評価器110は、提供されたデータにわたって回帰を行い、後に予測または推奨タスクのために用いられ得るモデルβ140を生成する。より具体的には各ユーザi=1;:::;nは、2つの変数
および
を備えるプライベートなレコードを有し、評価器は、
となるように、モデル
を計算することを望む。目標は、評価器が、回帰アルゴリズムの最終結果であるβ140によって明らかにされるものより以上には、ユーザのレコードについて学習することができないことを確実にすることである。システムを初期化するためにはサードパーティが必要であり、これは本明細書では「暗号サービスプロバイダ」と呼ばれ、その作業の大部分をオフラインで行う。
より正確には、図1に示されるようにシステムにおけるパーティは以下の通りである。
・ユーザ120:各ユーザiは、それが評価器110に暗号化して送るプライベートなデータxi、yiを有する。
・評価器110:暗号化されたデータに対して回帰アルゴリズムを実行し、クリアテキストにおける学習されたモデルβ140を取得する。
・暗号サービスプロバイダ(CSP)130:セットアップパラメータを、ユーザ120および評価器110に与えることによってシステム100を初期化する。
CSP130は、ユーザ120が彼等のデータを評価器110に提供するずっと以前に、その作業の大部分をオフラインで行う。最も効率的な設計では、CSP130はまた、評価器110がモデルβ140を計算するときに、短い一回のオンラインステップのために必要とされる。
B.脅威モデル
目標は、評価器110およびCSP130が、学習アルゴリズムの最終結果によって明らかにされるものより以上には、ユーザ120によって提供されたデータについて何も学習し得ないことを確実にすることである。評価器110がユーザ120の何人かと共謀する場合は、ユーザ120は、学習アルゴリズムの結果によって明らかにされるものより以上には、他のユーザ120によって提供されたデータについて学習するべきではない。
この例では、正しいモデルβ140を生成することが評価器110の最優先であることを前提とする。したがって、この実施形態は、誤った結果を生成することを期待して計算を改悪しようとする悪意のある評価器110には関心がない。しかしながら、評価器110は、不正を行いユーザ120によって提供されたプライベートなデータについての情報を学習するように動機付けされるが、なぜならこのデータは、他のパーティ、例えば広告業者に販売され得る可能性があるからである。したがって、悪意のある評価器110でさえも、学習アルゴリズムの結果によって明らかにされるものより以上に、ユーザデータについて学習ことが不可能であるべきである。本明細書では、公正であるが好奇心の強い評価器に対してのみ安全な、基本的なプロトコルについて述べられる。
非脅威:システムは、以下の攻撃に対して防御するようには設計されない。
・評価器110及びCSP130は、共謀しないことを前提とする。それぞれは上記で述べられたようにシステムを破壊するように試み得るが、それらはこれを独立して行う。より正確には、セキュリティを問題にする場合は、これらの2つのパーティの多くても一方に悪意があることを前提とする(これは固有の要件であり、これなしではセキュリティは達成され得ない)。
・セットアップは正しく働くことを前提とし、すなわちすべてのユーザ120はCSP130から正しい公開鍵を取得する。これは実際には証明機関の適切な使用によって強化され得る。
背景
A.線形モデルの学習
評価器110がβ140を学習するために、システム110において行うアルゴリズムであるリッジ回帰について簡潔に概説する。以下で述べられるすべての結果は古典的であり、ほとんどの統計および機械学習教科書に見出され得る。
線形回帰:n個の入力変数
の組、および出力変数
の組を所与として、
となるように関数
を学習する問題は、回帰として知られている。例えば入力変数は、人の年齢、体重、ボディーマスインデックスなどとすることができ、出力は彼等が病気にかかる可能性の高さとすることができる。
実データからこのような関数を学習することは、データマイニング、統計、および機械学習において回帰を普遍的なものにする多くの興味深い用途を有する。一方では、関数自体は予測、すなわち新しい入力
の出力値yを予測するために用いられ得る。さらに、fの構造は、どのように種々の入力が出力に影響を与えるかを識別し、例えば病気に対しては年齢ではなく体重がより強く相関されることを確立する助けとなる。
線形回帰は、fが線形マップ、すなわち、ある
に対して、
によって良好に近似されるという前提に基づく。線形回帰は、科学における推論および統計分析のために最も広く用いられている方法の1つである。さらに、これは、カーネル法など、統計分析および機械学習におけるいくつかのより進んだ方法のための基本的なビルディングブロックである。例えば次数2の多項式である関数を学習することは、1≦k、k’≦dに対するxikik’にわたる線形回帰に帰着し、同じ原理は基底関数の有限の組によって広げられる範囲の任意の関数を学習することに一般化され得る。
上述のように、予測のための明白な使用の他に、ベクトルβ=(βkk=1,...dは、どのようにyが入力変数に依存するかを明らかにするので興味深い。特に、係数βkの符号は出力に対する正または負の相関を示し、一方、大きさは相対的な重要度を捕える。これらの係数が比較され得る程度であること、しかしまた数値的に安定であることを確実にするために、入力xiは同じ有限のドメイン(例えば[−1;1])に再スケール化される。
係数の計算:ベクトル
を計算するために、後者は
にわたる以下の二次関数を最小化することによってデータに適合される。
(1)を最小化する手順はリッジ回帰と呼ばれ、目標F(β)は倹約型の解を優先する、ペナルティ項
を組み込む。直感的に、λ=0に対しては、(1)を最小化することは簡単な最小二乗問題を解くことに対応する。正のλ>0に対しては、項
は大きなノルムを有する解にペナルティを課し、等しくデータに適合する2つの解の間では、大きな係数がより少ない方が好ましい。βの係数は、どのように入力が出力に影響するかを示すものであることを想起すると、これは「オッカムの剃刀」の形として働き、大きな係数がより少ない、より単純な解が好ましい。実際、現実面では、λ>0は、新しい入力に対して、最小二乗解ベースよりも良い予測をもたらす。
を出力のベクトルとし、
を各行に1つ、入力ベクトルを備えるマトリックスとする。すなわち
および
(1)を最小にするものは線形システム
Aβ=b (2)
を解くことによって計算されることができる。ただし、A=XTX+λI、および、b=XTyである。λ>0に対して、マトリックスAは正定値対称であり、効率的な解は以下に概説されるようにコレスキー分解を用いて見出され得る。
B.ヤオのガーブル回路
その基本のバージョンでは、ヤオのプロトコル(ガーブル回路としても知られる)は、セミオネスト(semi-honest)な相手の存在下において、関数f(x1;x2)の2パーティ評価を可能にする。プロトコルは、入力所有者の間で実行される(aiはユーザiのプライベートな入力を示す)。プロトコルの終わりには、f(a1;a2)の値が得られるが、いずれのパーティもこの出力値から明らかにされるものより以上を学習することはない。
プロトコルは、以下のように進む。ガーブラと呼ばれるファーストパーティは、fを計算する回路の「ガーブルされた」バージョンを組み立てる。次いで、ガーブラは、評価器と呼ばれるセカンドパーティに、ガーブル回路、およびa1に対応するガーブル回路入力値(かつそれらのもののみ)を与える。表記法GI(a1)は、これらの入力値を示すために用いられる。ガーブラはまた、ガーブル回路出力値と実際のビット値との間のマッピングをもたらす。回路を受け取るとすぐに評価器は、ガーブラと二者択一紛失通信プロトコルを行い、選択者の役割を果たし、それによりそのプライベートな入力a2に対応するガーブル回路入力値GI(a2)を紛失的に取得する。したがって、評価器は、GI(a1)およびGI(a2)からf(a1;a2)を計算することができる。
より詳細には、プロトコルは、図3に見られるようにブール回路300を通して関数fを評価する。ガーブラは、回路の各線wi310、320に、それぞれビット値bi=0およびbi=1に対応する2つのランダム暗号鍵
および
を関連付ける。次に、ガーブラは、入力線(wi、wj)310、320、および出力線wk330を有する各2進ゲートg(例えばORゲート)に対して、以下の4つの暗号化テキストを計算する。
これら4つのランダムに順序付けられた暗号化テキストの組は、ガーブルゲートを定義する。
鍵の対による鍵付きである対称暗号化アルゴリズムEncは、選択された平文攻撃のもとで区別できない暗号を有することを必要とする。また、鍵の対
を所与として、対応する復号プロセスは、ガーブルゲートを構成する4つの暗号化テキストから、
の値を曖昧さを残さず回復することを必要とする。
の知識は
の値を生じるだけであり、このゲートに対する他の出力値は回復され得ないことに留意することは価値がある。したがって、評価器は、中間の計算についての追加の情報が漏洩しないように、ガーブル回路全体をゲートごとに評価することができる。
ハイブリッド方法
このセットアップにおいては各入力および出力変数xi、yi、i∈[n]はプライベート(private)であり、異なるユーザによって保持されることを想起されたい。評価器110は、所与のλ>0によってリッジ回帰を通して得られるのに従って、入力と出力変数の間の線形関係を決定するβを学習することを望む。
上記で述べられたように、βを取得するためには、式(2)で定義されるようにマトリックス
およびベクトル
を必要とする。これらの値が取得された後に評価器110は、式(2)の線形システムを解き、βを抽出することができる。この問題にプライバシー保護のやり方で取り組むためのいくつかの方法がある。例えば、秘密共有または完全準同型暗号に依存することができる。現在これらの技法はかなりの(オンライン)通信および計算オーバヘッドに繋がるので、現在の設定には不適切であると思われる。したがって、上記で概説されたようにヤオの方法が検討される。
ヤオの方法を用いる1つの簡単な方法は、マトリックスAおよびbを計算し、その後にシステムAβ=bを解く、i∈[n]に対する入力xi、yi、およびλ>0を有する単一の回路を設計することである。このような方法は、過去において、オークションの勝者など、複数のユーザから来る入力の簡単な関数の計算に用いられている。実装の問題(線形システムを解く回路をどのように設計するかなど)は脇に置いて、このような解決策の重大な欠点は、結果としてのガーブル回路がユーザの数n、ならびにβおよび入力変数に次元dの両方に依存することである。実際の応用では、nは大きいことが一般的であり、数百万程度のユーザとなり得る。これと対照的に、dは比較的小さく、数十程度である。したがって、スケーラブルな解決策を得るようにガーブル回路のnにおける依存性を低減する、さらにはなくすことが好ましい。この目的のために、問題は、以下で述べられるように再公式化された。
A.問題の再公式化
マトリックスAおよびベクトルbは、以下のように反復的なやり方で計算され得ることに留意されたい。各xi、および対応するyiは異なるユーザによって保持されると仮定すると、各ユーザiは、マトリックス
およびベクトルbi=yiiをローカルに計算することができる。次いで、部分的寄与分を合計することで、以下を生じることが容易に検証される。
式(3)が、Aおよびbは一連の加算の結果であることを示すことは重要である。した 式(3)が、Aおよびbは一連の加算の結果であることを示すことは重要である。したがって、評価器の回帰タスクは、次の2つのサブタスクに分離され得る:(a)Aiおよびbiを収集してマトリックスAおよびベクトルbを構築し、(b)これらを用いて線形システム(2)の解を通してβを取得する。
もちろんユーザは、彼等のローカルな分担(Ai;bi)を評価器にクリアテキストで送ることはできない。しかしながら、後者が公開鍵加法準同型暗号方式を用いて暗号化されている場合は、評価器110は(Ai;bi)の暗号から、Aおよびbの暗号を再構築することができる。残る課題は、β以外の追加の情報を(評価器110またはCSP130に)明らかにせずに、CSP130の助けにより式(2)を解くことであり、それをヤオのガーブル回路の使用を通して行う2つの異なる方法が以下で述べられる。
を、入力においてメッセージ空間Mにおける対(Ai;bi)をよりはっきり取り込み、pk、ciのもとで(Ai;bi)の暗号化を返す、公開鍵pkによってインデックス付けされた強秘匿暗号方式とする。次いで、これは、任意のpk、および任意の2つの対(Ai;bi)、(Aj;bj)に対して、
が、ある公開2進演算子に対し成り立たなければならない。このような暗号方式は、Aiおよびbiのエントリを構成要素ごとに暗号化することによって、任意の強秘匿加法準同型暗号方式から構築され得る。例は、Regevの方式およびPaillierの方式を含む。
ここで、プロトコルを示す準備が整った。図4には、高レベルフローチャート400が示される。フローチャート400は、準備段階410、第1の段階(段階1)420、および第2の段階(段階2)430を含む。ユーザ分担を総計する段階は、段階1 420と呼ばれ、それが関係する加算は、線形的にnに依存することに留意されたい。その後の段階は、Aおよびbの暗号化された値から式(2)の解を計算することを意味し、段階2 430と呼ばれる。段階2 430は、nに依存しないことに留意されたい。これらの段階は、特定のプロトコルと共に以下で論じられる。以下では、システムAβ=bを解くことができる回路の存在を仮定していることが留意され、本明細書ではどのようにこのような回路が効率的に実装され得るかについて述べられる。
B.第1のプロトコル
図5に、第1のプロトコルの動作の高レベルの叙述500が見られ得る。第1のプロトコルは、以下のように動作する。上記に述べられたように第1のプロトコルは、3つの段階、準備段階510、段階1 520、段階2 530を備える。明らかになるように、段階2 530のみが実際にオンライン処理を必要とする。
準備段階(510)。評価器110は、入力変数の次元(すなわちパラメータd)およびそれらの値の範囲などの仕様をCSP130にもたらす。CSP130は、段階2 530において記述された回路に対するヤオガーブル回路を準備し、ガーブル回路を評価器110が利用できるようにする。CSP130はまた準同型暗号方式
のための公開鍵pkcspおよび秘密鍵skcspを生成する一方、評価器110は暗号方式ε(準同型である必要はない)のための公開鍵pkevおよび秘密鍵skevを生成する。
段階1(520)。各ユーザiは、その部分マトリックスAiおよびベクトルbiをローカルに計算する。次いで、これらの値は、CSP130の公開暗号鍵pkcspのもとで、加法準同型暗号方式
を用いて暗号化され、すなわち、
となる。
CSP130がこの値へのアクセスを得ることを防止するために、ユーザiは、評価器110の公開暗号鍵pkevのもとでciの値を超暗号化し、すなわち、
とし、Ciを評価器110に送る。
評価器110は、
を計算する。その後にすべての受け取ったCiを収集し、その秘密復号鍵skevを用いてそれらを復号してciを回復し、すなわち1≦i≦nに対して、
とする。
次いで、このようにして得られた値を総計し、以下を得る。
段階2(530)。準備段階510においてCSP130によってもたらされるガーブル回路は、入力としてGI(c)を取り込み、以下の2つのステップを行う回路のガーブル化である。
1)skcspによってcを復号してAおよびbを回復し(ここで、skcspはガーブル回路内に埋め込まれる);
2)式(2)を解き、βを返す。
この段階2 530では、評価器110は、cに対応するガーブル回路入力値、すなわちGI(c)を取得する必要があるだけである。これらは、評価器110とCSP130の間で、標準の紛失通信(OT)を利用して取得される。
上記のハイブリッド計算は、ガーブル回路内で暗号化された入力の復号を行う。これは過剰な要求となり得るので、
のためのビルディングブロックとして例えばRegev準同型暗号方式を用いることが提案されるが、これはRegev方式が非常に簡単な復号回路を有するからである。
C.第2のプロトコル
図6に、第2のプロトコルの動作の高レベルの叙述600が見られ得る。第2のプロトコルは、ランダムマスクを用いてガーブル回路内で(A;b)を復号することを回避する変形形態をもたらす。段階1 610は、概して同じである。したがって、段階2(および対応する準備段階)が強調される。この着想は、準同型特性を活用して、加法マスクによって入力を不明瞭化することである。(μA;μb)がM(すなわち準同型暗号
のメッセージ空間)の要素を表す場合は、式(4)から以下となる。
したがって、評価器110が、Mにおけるランダムマスク(μA;μb)を選択し、cを上記のように不明瞭化し、結果の値をCSP130に送ると仮定する。次いで、CSP130は、その復号鍵を適用し、マスクされた値を回復することができる。
結果として、復号がマスクの除去によって置き換えられた、前のセクションのプロトコルを適用することができる。より詳しくは以下のものが関わる。
準備段階(610)。前のように、評価器110は、評価をセットアップする。評価器110は、その評価をサポートするガーブル回路を組み立てるように、CSP130に仕様をもたらす。CSP130は、回路を準備し、それを評価器110が利用できるようにし、両方は公開鍵および秘密鍵を生成する。評価器110は、ランダムマスク(μA;μb)∈Mを選択し、CSP130と紛失通信(OT)プロトコルを行って、(μA;μb)に対応するガーブル回路入力値すなわちGI(μA;μb)を得る。
段階1(620)。これは第1のプロトコルと同様である。さらに、評価器110は、以下のようにcをマスクする。
段階2(630)。評価器110は、
をCSP130に送り、これはそれを復号してクリアテキストでの
を取得する。次いでCSP130は、ガーブルされた入力値
を評価器110に送り戻す。準備段階においてCSP130によってもたらされたガーブル回路は、入力として
およびGI(μA;μb)を取り込む回路のガーブル化であり、以下の2つのステップを行う。
1)
からマスク(μA;μb)を減算して、Aおよびbを回復し;
2)式(2)を解き、βを返す。
ガーブル回路、および(μA;μb)に対応するガーブル回路入力値GI(μA;μb)は、準備段階610の間に取得されている。この段階では、評価器110は、CSP130から、
に対応するガーブル回路入力値
を受け取るだけでよい。この段階では、紛失通信(OT)は存在しないことに留意されたい。
この第2の具現化に対しては、回路の一部として復号は実行されない。したがって、回路として効率的に実装され得る準同型暗号方式を選択するように制限されない。Regevの方式の代わりに、Paillierの方式、またはそのDamgardおよびJurikによる一般化を、
のためのビルディングブロックとして用いることが提案される。これらの方式は、Regevより短い暗号化テキスト展開を有し、より小さい鍵を必要とする。
D.第3のプロトコル
いくつかの用途に対して、準同型暗号方式が部分的準同型特性のみを有するときに、関連する着想が当てはまる。この観念は次の定義において明らかにされる。
定義1:部分的準同型暗号方式は、秘密暗号鍵を必要とせずに、暗号化された平文に定数を加算する(部分的準同型性が加法的である場合)または乗算する(部分的準同型性が乗法的である場合)ことが可能な暗号方式である。
以下はいくつかの例である。
・素体が
で表されるものとし、G=<g>をgによって生成される乗法的グループ
の巡回サブグループとする。qはGの位数を表すものとする。平文エルガマル暗号化に対してメッセージ空間はM=Gである。公開暗号鍵はy=gxであり、秘密鍵はxである。Mにおけるメッセージmの暗号化は、あるランダムな
に対して、R=grおよびc=myrとして(R;c)によって与えられる。次いで平文mは秘密鍵xを用いて、m=c/Rxとして回復される。
−上記のシステムは、
における乗算に対して部分的準同型である:任意の定数K∈Mに対して、C’=(R;Kc)は、メッセージの暗号化m’=Kmである。
・いわゆるハッシュ型エルガマル暗号システムは、あるパラメータkに対して、Gからのグループ要素を
にマップするハッシュ関数Hをさらに必要とする。メッセージ空間は、
である。鍵生成は、平文エルガマルの場合のようになる。メッセージm∈Mの暗号化は、あるランダムな
に対して、R=grおよびc=m+H(yr)として(R;c)によって与えられる。次いで平文mは、秘密鍵xを用いてm=c+H(Rx)として回復される。「+」は、
における加算に対応することに留意されたい(すなわち、これはkビットストリングに対するXORと等価と見なされ得る)。
−上記のシステムは、XORに対して部分的準同型である:任意の定数K∈Mに対して、C’=(R;K+c)はメッセージの暗号化m’=K+mである。
非限定的な例を目的として、ここでcは部分的準同型暗号方式、例えば
のもとでの(A;b)の暗号化であるとすると、(μA;μb)がM(すなわち部分的準同型暗号
のメッセージ空間)における要素を表す場合は、式(4)からある演算子
に対して、次のようになる。
(上の記述で準同型性は加法的に示される;同じことが乗法的に書かれた準同型性に対しても成り立つ。)
したがって、評価器110が、Mにおけるランダムマスク(μA;μb)を選択し、cを上記のように不明瞭化し、結果の値をCSP130に送ると仮定する。次いで、CSP130は、その復号鍵を適用し、マスクされた値を回復することができる。
結果として、復号がマスクの除去によって置き換えられた、前のセクションのプロトコルが適用され得る。
最後に、第2または第3のプロトコルに従ってマスクを用いる方策は、リッジ回帰の場合に限定されないことに留意されたい。これは準同型暗号(それぞれ部分的準同型暗号)をガーブル回路とハイブリッドの形で組み合わせる任意の応用例において使用され得る。
E.考察
提案されたプロトコルは、それらを現実世界のシナリオにおいて効率的かつ実用的にするいくつかの長所を有する。第1に、処理時にユーザがオンラインのままでいる必要がない。段階1 420は増分的であるので、各ユーザは彼等の暗号化された入力を提出し、システムから離れることができる。
さらに、システム100は、リッジ回帰を複数回行うように容易に適用され得る。評価器110がl個の推定を行うことを望むと仮定すると、それは準備段階410の間に、CSP130からl個のガーブル回路を取り出すことができる。新しいユーザ120の到着に対応するために、複数の推定が用いられ得る。特に公開鍵は寿命が長いので、それらは過度にしばしばリフレッシュされる必要はなく、これは新しいユーザがさらなる対(Ai;bi)を評価器110に提出したときに、後者はそれらを前の値と合計し、更新されたβを計算できることを意味する。このプロセスは新しいガーブル回路の利用を必要とするが、すでに入力を提出しているユーザはそれらを再提出する必要はない。
最後に、必要な通信の量は秘密共有方式におけるよりも大幅に小さく、評価器110およびCSP130のみが紛失通信(OT)を用いて通信する。また段階1 420において公開鍵暗号方式εを用いるのではなく、ユーザは例えばSSLなどの任意の手段を用いて評価器110との安全な通信を確立できることに留意されたい。
F.さらなる最適化
マトリックスAは、
におけるものであり、ベクトルbは、
におけるものであることを想起されたい。したがって、kを実数を符号化するために用いられるビットサイズを表すものとすると、マトリックスAおよびベクトルbはそれぞれ、それらの表示のためにd2kビットおよびdkビットを要する。第2のプロトコルは、Mにおけるランダムマスク(μA;μb)を必要とする。準同型暗号方式
がPaillierの方式の上に組み立てられ、Aおよびbのあらゆるエントリは個々にPaillier暗号化されると仮定する。この場合、
のメッセージ空間Mは、あるRSAモジュラスNに対して、
における(d2+d)個の要素からなる。しかし、これらの要素はkビット値であるので、全体の範囲
において対応するマスク値を引き出す必要はない。対応するエントリをそれらが統計的に隠蔽する限り、ある(比較的短い)セキュリティ長さlに対して任意の(k+1)ビット値でよい。実際には、これは準備段階における、より少ない紛失通信、およびより小さなガーブル回路に繋がる。
効率を改善する別の方法は、Aおよびbの複数の平文エントリを、単一のPaillier暗号化テキストにパックする、標準のバッチ技法による。例えば20個の平文値を単一のPaillier暗号化テキスト(十分に多くの0によって分離された)にパックすることで、段階1の実行時間を1/20に減少させる。
実装
プライバシー保護システムの実用性を評価するために、システムが実装され、人工的および実データセットの両方に対して試験された。上記で提案された第2のプロトコルが実装されたが、これはガーブル回路内で復号を必要とせず、段階1のために効率的な準同型暗号(合計だけを必要とする)の使用を可能にするからである。
A.段階1実装
上記で述べられたように準同型暗号のために、1024ビットの長さのモジュラスを有するPaillierの方式が用いられ、これは80ビットのセキュリティレベルに対応する。段階1を高速化するためにまた、上記で概説されたようにバッチが実装された。入力を提供するn人のユーザを所与として、1024ビットの1つのPaillier暗号化テキスト内にバッチされ得る要素の数は1024=(b+log2n)であり、bは数を表すためのビットの総数である。後に述べられるように、bは所望の精度の関数として決定され、したがってこの実験では15から30の間の要素がバッチされた。
B.回路ガーブル化フレームワーク
システムは、開発者が基本的なXOR、OR、およびANDゲートを用いて任意の回路を定義することを可能にするJavaベースのオープンソースフレームワークであるFastGCの上に組み立てられた。回路が構築された後にフレームワークは、ガーブル化、紛失通信、およびガーブル回路の完全な評価を取り扱う。FastGCは、いくつかの最適化を含む。第1に、回路内のXORゲートのための通信および計算コストは、「フリーXOR」技法を用いて大幅に低減される。第2に、ガーブル化行低減技法を用いて、FastGCはフレームワーク内で2ファンインゲートのみが定義されるので、kファンイン非XORゲートのための通信コストを1=2kだけ低減し、これは25%の通信の節約をもたらす。第3に、FastGCは、k個のOT、および追加のOTごとにいくつかの対称的な鍵動作のコストで、実際的に無制限の数の転送を実行することができるOT拡張を実装する。最後に、最後の最適化は簡潔な「3ビットの加算」回路であり、これは4つのXORゲート(これらのすべては通信および計算の観点からは「コストなし」である)と、1つだけのANDゲートとを有する回路を定義する。FastGCは、ガーブル化および評価が平行して生じることを可能にする。より具体的には、CSP130は、ガーブル化されたテーブルを、それらが回路構造によって定義される順序で生成されるのに従って、評価器110に送信する。次いで、評価器110は、利用可能な出力値およびテーブルに基づいて、どのゲートが次を評価するかを決定する。ゲートが評価された後に、その対応するテーブルは直ちに廃棄される。これは、すべてのガーブル回路をオフラインで事前に計算するのと同じ計算および通信コストを意味するが、メモリ消費を一定にさせる。
C.回路における線形システムを解く
この方法の主な課題は、式(2)で定義されるような線形システムAβ=bを解く回路を設計することである。関数をガーブル回路として実装するときは、データ不可知な、すなわちその実行パスが入力に依存しない演算を用いることが好ましい。例えば入力はガーブル化されているので、評価器110は、if−then−else文のすべての起こり得るパスを実行する必要があり、これはネストされた条件文の存在下では、回路サイズおよび実行時間の両方の指数関数的増大に繋がる。これは、例えばガウス消去法などのピボット演算を必要とする、線形システムを解くための従来のアルゴリズムのいずれも非実用的にする。
簡単にするために、このシステムは、以下に示される標準のコレスキーアルゴリズムを実装した。しかしながら、その複雑さは、同様な技法を用いたブロックごとの反転と同じ複雑さまで、さらに低減され得ることに留意されたい。
線形システムを解くためのいくつかの可能な分解方法がある。コレスキー分解は、マトリックスAが正定値対称であるときにのみ適用可能な、線形システムを解くためのデータ不可知な方法である。コレスキーの主な利点は、ピボット演算を必要とせず数値的にロバスト性が高いことである。特にこれは、固定小数点数表現に適している。
は、実際にλ>0に対して正定値マトリックスであるので、この実装においてAβ=bを解く方法としてコレスキーが選ばれた。
コレスキー分解の主なステップ、以下に簡潔に概説される。アルゴリズムは、A=LTLとなるように下側三角マトリックスLを構築し:その結果、システムAβ=bを解くことは、以下の2つのシステムを解くことになる。
Ty=b、および
Lβ=y
マトリックスLおよびLTは三角形であるので、これらのシステムは、後退代入を用いて容易に解かれ得る。さらに、マトリックスAは正定値であるので、マトリックスLは必然的に対角線上に非ゼロ値を有し、したがってピボット演算は必要ない。
分解A=LTLは、図7に示されるアルゴリズムにおいて記述される。これはΘ(d3)個の加算、Θ(d3)個の乗算、Θ(d2)個の除算、およびΘ(d)個の平方根演算を必要とする。さらに、後方変数減少法によって上記2つのシステムを解くことは、Θ(d2)個の加算、Θ(d2)個の乗算、およびΘ(d)個の除算を必要とする。これらの演算の回路としての実装は、以下で述べられる。
D.実数の表示
線形システム(2)を解くためには、実数を2進数の形で正確に表すこと必要である。実数を表すための2つの可能な方法、すなわち浮動小数点および固定小数点が検討された。実数aの浮動小数点表現は、以下の公式で与えられる。
[a]=[m;p];ただし、a≒1.m・2p
浮動小数点表現は、実質的に任意の大きさの数に対応するという利点を有する。しかしながら、浮動小数点表現に対する加算などの基本演算は、データ不可知な方法で実装することが難しい。最も重要なこととして、コレスキーを用いることは固定小数点表現を用いることを保証し、これは実装するのが大幅に簡単になる。実数aを所与として、その固定小数点表現は次によって与えられる。
[a]=[a・2p]、ただし、指数pは固定である。
本明細書で述べられたように、行われる必要がある演算の多くは、固定小数点数に対してデータ不可知なやり方で実装され得る。したがって、固定小数点数表現のために生成される回路は、ずっと小さくなる。さらに、βの係数が比較され得ることを確実にするために、および数値的安定性のために、リッジ回帰の入力変数xiは、通常は同じドメイン(−1と1との間)に再スケール化されることを想起されたい。このようなセットアップでは、オーバフローに繋がることなく、固定小数点数を有するAにコレスキー分解が行われ得ることが知られている。さらに、yiに対する限界およびマトリックスAの条件数を所与として、オーバフローを防ぐために必要なビットは、方法における最後の2つの三角形システムを解きながら計算され得る。したがって、システムは、固定小数点表現を用いて実装された。小数部のためのビット数pは、システムパラメータとして選択されることができ、システムの精度と生成される回路のサイズとのトレードオフを生じる。しかしながら、pを選択することは、所望の精度に基づいて、原則に基づいた方法で行われ得る。負の数は、標準の2の補数表現を用いて表される。
本明細書において開示された様々な実施形態は、ハードウェア、ファームウェア、ソフトウェア、またはそれらの任意の組み合わせとして実装することができる。さらにソフトウェアは、プログラム記憶装置またはコンピュータ可読媒体上に有形に具体化されたアプリケーションプログラムとして実装されることが好ましい。アプリケーションプログラムは、任意の適切なアーキテクチャを備えたマシンにアップロードされ、それによって実行され得る。マシンは、1つまたは複数の中央処理装置(「CPU」)、メモリ、および入力/出力インターフェースなどのハードウェアを有する、コンピュータプラットフォーム上に実装されることが好ましい。コンピュータプラットフォームはまた、オペレーティングシステムおよびマイクロ命令コードを含むことができる。本明細書で述べられた様々なプロセスおよび機能は、マイクロ命令コードの一部もしくはアプリケーションプログラムの一部、またはそれらの組み合わせとすることができ、これらはそのようなコンピュータまたはプロセッサーが明示されているか否かに拘わらずCPUによって実行され得る。さらに、追加のデータ記憶装置および印刷装置などの様々な他の周辺装置が、コンピュータプラットフォームに接続され得る。
本明細書に記載されたすべての例および条件的な語句は、実施形態の原理、および当技術分野を発展させるために発明者によって提供された概念の理解において、読者を補助するための教育的な目的のためであり、このような具体的に記載された例および条件には限定されないものと解釈されるべきである。さらに、本明細書における、本発明の原理、態様、および多様な実施形態、ならびにそれらの特定の例を述べるすべての記述は、それらの構造的および機能的等価物の両方を包含することが意図される。さらにこのような等価物は、現在知られている等価物、および将来に開発される等価物、すなわち構造に拘わらず同じ機能を行うように開発される任意の要素の両方を含むものとする。

Claims (15)

  1. プライバシー保護リッジ回帰を提供するための方法であって、前記方法は、
    暗号サービスプロバイダにガーブル回路を要求するステップと、
    準同型暗号を用いてフォーマット化され暗号化されたデータを複数のユーザから収集するステップと、
    準同型暗号を用いてフォーマット化され暗号化された前記データを合計するステップと、
    紛失通信を用いて、前記合計されたデータで、前記暗号サービスプロバイダからの前記ガーブル回路を評価するステップと、
    を含む、前記方法。
  2. 暗号サービスプロバイダにガーブル回路を要求する前記ステップは、
    前記ガーブル回路に関する入力変数の次元を提供するステップと、
    前記入力変数の値の範囲を提供するステップと、
    を含む、請求項1に記載の方法。
  3. コンピューティングデバイス上で実装される評価器が、前記方法を実行する、請求項1に記載の方法。
  4. 前記暗号サービスプロバイダは、前記評価器が実装される前記コンピューティングデバイスからリモートなコンピューティングデバイス上で実装される、請求項3に記載の方法。
  5. 複数のユーザからの前記データを暗号化するための暗号鍵を提供するステップをさらに含む、請求項1に記載の方法。
  6. 複数のユーザからの前記データは、前記暗号サービスプロバイダによって提供された暗号鍵を用いてさらに暗号化される、請求項5に記載の方法。
  7. 前記ガーブル回路を評価する前記ステップは、
    前記合計されたデータを復号するステップと、
    前記ガーブル回路によって具現化されたリッジ回帰式を解くステップと、
    をさらに含む、請求項1に記載の方法。
  8. データを複数のユーザから収集する前記ステップは、コンピューティングデバイスによって、前記複数のユーザの各々から送信されたデータを受信するステップを含む、請求項1に記載の方法。
  9. プライバシー保護リッジ回帰のためのコンピューティングデバイスであって、前記コンピューティングデバイスは、
    ユーザデータを記憶するための記憶装置と、
    処理のためのデータを記憶するためのメモリと、
    暗号サービスプロバイダにガーブル回路を要求し、準同型暗号を用いてフォーマット化され暗号化されたデータを複数のユーザから収集し、準同型暗号を用いてフォーマット化され暗号化された前記データを合計し、紛失通信を用いて、前記合計されたデータで、前記暗号サービスプロバイダからの前記ガーブル回路を評価するように構成された、プロセッサーと、
    を備えた、前記コンピューティングデバイス。
  10. ネットワークに接続するためのネットワーク接続をさらに備えた、請求項9に記載のコンピューティングデバイス。
  11. 前記暗号サービスプロバイダは、別のコンピューティングデバイス上で実装される、請求項9に記載のコンピューティングデバイス。
  12. 暗号サービスプロバイダにガーブル回路を要求することは、
    前記ガーブル回路に関する入力変数の次元を提供することと、
    前記入力変数の値の範囲を提供することと、
    を含む、請求項9に記載のコンピューティングデバイス。
  13. 前記ガーブル回路を評価することは、
    前記合計されたデータを復号することと、
    前記ガーブル回路によって具現化されたリッジ回帰式を解くことと、
    をさらに含む、請求項9に記載のコンピューティングデバイス。
  14. 複数のユーザからの前記データは、前記暗号サービスプロバイダから提供された暗号鍵を用いて暗号化され、前記コンピューティングデバイスによる暗号鍵を用いて暗号化される、請求項9に記載のコンピューティングデバイス。
  15. 実行されたとき、
    暗号サービスプロバイダにガーブル回路を要求するステップと、
    準同型暗号を用いてフォーマット化され暗号化されたデータを複数のユーザから収集するステップと、
    準同型暗号を用いてフォーマット化され暗号化された前記データを合計するステップと、
    紛失通信を用いて、前記合計されたデータで、前記暗号サービスプロバイダからの前記ガーブル回路を評価するステップと、
    を含むステップを実行する命令を含む、機械可読媒体。
JP2015561325A 2013-03-04 2013-09-25 プライバシー保護リッジ回帰 Withdrawn JP2016512611A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201361772404P 2013-03-04 2013-03-04
US61/772,404 2013-03-04
PCT/US2013/061690 WO2014137392A1 (en) 2013-03-04 2013-09-25 Privacy-preserving ridge regression

Publications (2)

Publication Number Publication Date
JP2016512611A true JP2016512611A (ja) 2016-04-28
JP2016512611A5 JP2016512611A5 (ja) 2016-11-17

Family

ID=49301694

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2015561325A Withdrawn JP2016512611A (ja) 2013-03-04 2013-09-25 プライバシー保護リッジ回帰
JP2015561326A Withdrawn JP2016510908A (ja) 2013-03-04 2013-09-25 マスクを用いるプライバシー保護リッジ回帰
JP2015561327A Withdrawn JP2016512612A (ja) 2013-03-04 2013-09-25 部分的準同型暗号およびマスクを用いたプライバシー保護リッジ回帰

Family Applications After (2)

Application Number Title Priority Date Filing Date
JP2015561326A Withdrawn JP2016510908A (ja) 2013-03-04 2013-09-25 マスクを用いるプライバシー保護リッジ回帰
JP2015561327A Withdrawn JP2016512612A (ja) 2013-03-04 2013-09-25 部分的準同型暗号およびマスクを用いたプライバシー保護リッジ回帰

Country Status (7)

Country Link
US (3) US20160020898A1 (ja)
EP (3) EP2965463A1 (ja)
JP (3) JP2016512611A (ja)
KR (3) KR20150143423A (ja)
CN (1) CN105814832A (ja)
TW (3) TW201448552A (ja)
WO (3) WO2014137393A1 (ja)

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3114602B1 (en) * 2014-03-07 2022-01-12 Nokia Technologies Oy Method and apparatus for verifying processed data
US9825758B2 (en) 2014-12-02 2017-11-21 Microsoft Technology Licensing, Llc Secure computer evaluation of k-nearest neighbor models
US9787647B2 (en) 2014-12-02 2017-10-10 Microsoft Technology Licensing, Llc Secure computer evaluation of decision trees
CN104598835A (zh) * 2014-12-29 2015-05-06 无锡清华信息科学与技术国家实验室物联网技术中心 一种保护隐私的基于云的实数向量距离计算方法
US9641318B2 (en) * 2015-01-06 2017-05-02 Google Inc. Systems and methods for a multiple value packing scheme for homomorphic encryption
US9846785B2 (en) 2015-11-25 2017-12-19 International Business Machines Corporation Efficient two party oblivious transfer using a leveled fully homomorphic encryption
US10095880B2 (en) 2016-09-01 2018-10-09 International Business Machines Corporation Performing secure queries from a higher security domain of information in a lower security domain
WO2018151552A1 (en) * 2017-02-15 2018-08-23 Lg Electronics Inc. Apparatus and method for generating ciphertext data with maintained structure for analytics capability
CN110537191A (zh) 2017-03-22 2019-12-03 维萨国际服务协会 隐私保护机器学习
US11018875B2 (en) * 2017-08-31 2021-05-25 Onboard Security, Inc. Method and system for secure connected vehicle communication
EP3461054A1 (en) 2017-09-20 2019-03-27 Universidad de Vigo System and method for secure outsourced prediction
CN109726580B (zh) 2017-10-31 2020-04-14 阿里巴巴集团控股有限公司 一种数据统计方法和装置
CN109756442B (zh) * 2017-11-01 2020-04-24 清华大学 基于混淆电路的数据统计方法、装置以及设备
US11522671B2 (en) 2017-11-27 2022-12-06 Mitsubishi Electric Corporation Homomorphic inference device, homomorphic inference method, computer readable medium, and privacy-preserving information processing system
WO2019110380A1 (en) * 2017-12-04 2019-06-13 Koninklijke Philips N.V. Nodes and methods of operating the same
WO2019124260A1 (ja) * 2017-12-18 2019-06-27 日本電信電話株式会社 秘密計算システム及び方法
CN111758241A (zh) * 2017-12-22 2020-10-09 皇家飞利浦有限公司 使用函数的事件评价
KR102411883B1 (ko) * 2018-01-11 2022-06-22 삼성전자주식회사 전자 장치, 서버 및 그 제어 방법
US11210428B2 (en) * 2018-06-06 2021-12-28 The Trustees Of Indiana University Long-term on-demand service for executing active-secure computations
US11050725B2 (en) * 2018-07-16 2021-06-29 Sap Se Private benchmarking cloud service with enhanced statistics
CN109190395B (zh) * 2018-08-21 2020-09-04 浙江大数据交易中心有限公司 一种基于数据变换的全同态加密方法及系统
WO2020100118A1 (en) 2018-11-15 2020-05-22 Ravel Technologies SARL Cryptographic anonymization for zero-knowledge advertising methods, apparatus, and system
WO2020167254A1 (en) * 2019-02-13 2020-08-20 Agency For Science, Technology And Research Method and system for determining an order of encrypted inputs
US11250140B2 (en) * 2019-02-28 2022-02-15 Sap Se Cloud-based secure computation of the median
US11245680B2 (en) * 2019-03-01 2022-02-08 Analog Devices, Inc. Garbled circuit for device authentication
CN109992979B (zh) * 2019-03-15 2020-12-11 暨南大学 一种岭回归训练方法、计算设备、介质
CN110348231B (zh) * 2019-06-18 2020-08-14 阿里巴巴集团控股有限公司 实现隐私保护的数据同态加解密方法及装置
US10778410B2 (en) 2019-06-18 2020-09-15 Alibaba Group Holding Limited Homomorphic data encryption method and apparatus for implementing privacy protection
US11250116B2 (en) * 2019-10-25 2022-02-15 Visa International Service Association Optimized private biometric matching
US11507883B2 (en) * 2019-12-03 2022-11-22 Sap Se Fairness and output authenticity for secure distributed machine learning
CN111324870B (zh) * 2020-01-22 2022-10-11 武汉大学 一种基于安全双方计算的外包卷积神经网络隐私保护系统
US10797866B1 (en) * 2020-03-30 2020-10-06 Bar-Ilan University System and method for enforcement of correctness of inputs of multi-party computations
US11308234B1 (en) 2020-04-02 2022-04-19 Wells Fargo Bank, N.A. Methods for protecting data
KR20210147645A (ko) 2020-05-29 2021-12-07 삼성전자주식회사 동형 암호화 장치 및 그것의 암호문 연산 방법
US11599806B2 (en) 2020-06-22 2023-03-07 International Business Machines Corporation Depth-constrained knowledge distillation for inference on encrypted data
US11902424B2 (en) * 2020-11-20 2024-02-13 International Business Machines Corporation Secure re-encryption of homomorphically encrypted data
KR102633416B1 (ko) * 2021-05-04 2024-02-05 서울대학교산학협력단 동형 암호를 활용한 사적 변수의 보안 방법 및 장치
TWI775467B (zh) * 2021-06-02 2022-08-21 宏碁智醫股份有限公司 機器學習模型檔案解密方法及用戶裝置
KR102615381B1 (ko) * 2021-08-24 2023-12-19 서울대학교산학협력단 동형 암호를 활용한 사적 변수의 보안 방법 및 장치

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7848910B2 (en) * 2004-07-22 2010-12-07 Avl List Gmbh Method for analyzing the behavior of complex systems, especially internal combustion engines
US8443205B2 (en) * 2008-01-08 2013-05-14 Alcatel Lucent Secure function evaluation techniques for circuits containing XOR gates with applications to universal circuits
US8762736B1 (en) * 2008-04-04 2014-06-24 Massachusetts Institute Of Technology One-time programs
US8538102B2 (en) * 2008-12-17 2013-09-17 Synarc Inc Optimised region of interest selection
US8539220B2 (en) * 2010-02-26 2013-09-17 Microsoft Corporation Secure computation using a server module
US8861716B2 (en) * 2010-03-30 2014-10-14 International Business Machines Corporation Efficient homomorphic encryption scheme for bilinear forms
US8837715B2 (en) * 2011-02-17 2014-09-16 Gradiant, Centro Tecnolóxico de Telecomunicacións de Galica Method and apparatus for secure iterative processing and adaptive filtering

Also Published As

Publication number Publication date
KR20150123823A (ko) 2015-11-04
EP2965462A1 (en) 2016-01-13
EP2965463A1 (en) 2016-01-13
TW201448551A (zh) 2014-12-16
US20160020898A1 (en) 2016-01-21
TW201448550A (zh) 2014-12-16
US20150381349A1 (en) 2015-12-31
CN105814832A (zh) 2016-07-27
WO2014137393A1 (en) 2014-09-12
US20160036584A1 (en) 2016-02-04
WO2014137394A1 (en) 2014-09-12
JP2016510908A (ja) 2016-04-11
JP2016512612A (ja) 2016-04-28
EP2965461A1 (en) 2016-01-13
TW201448552A (zh) 2014-12-16
KR20160002697A (ko) 2016-01-08
KR20150143423A (ko) 2015-12-23
WO2014137392A1 (en) 2014-09-12

Similar Documents

Publication Publication Date Title
JP2016512611A (ja) プライバシー保護リッジ回帰
Giacomelli et al. Privacy-preserving ridge regression with only linearly-homomorphic encryption
Ion et al. Private intersection-sum protocol with applications to attributing aggregate ad conversions
Liu et al. Efficient and privacy-preserving outsourced calculation of rational numbers
Nikolaenko et al. Privacy-preserving ridge regression on hundreds of millions of records
JP7152909B2 (ja) データを共有する有用性の安全な2パーティ評価のためのシステム及び方法
EP3959839A1 (en) Methods and systems for privacy preserving evaluation of machine learning models
JP2016517069A (ja) 行列因数分解に基づいたユーザに寄与する評点に対するプライバシー保護推薦のための方法およびシステム
CN112989368A (zh) 多方联合进行隐私数据处理的方法及装置
Niu et al. Toward verifiable and privacy preserving machine learning prediction
Jayapandian et al. Secure and efficient online data storage and sharing over cloud environment using probabilistic with homomorphic encryption
Peng Danger of using fully homomorphic encryption: A look at Microsoft SEAL
WO2021106077A1 (ja) ニューラルネットワークの更新方法、端末装置、計算装置及びプログラム
Fan et al. PPMCK: Privacy-preserving multi-party computing for K-means clustering
CN106170943A (zh) 使用部分同态加密和掩码的隐私保护岭回归
Nassar et al. Securing aggregate queries for DNA databases
Liu et al. DHSA: efficient doubly homomorphic secure aggregation for cross-silo federated learning
Liu et al. Efficient and Privacy-Preserving Logistic Regression Scheme based on Leveled Fully Homomorphic Encryption
CN113645022A (zh) 一种确定隐私集合交集方法、装置、电子设备及存储介质
Frimpong et al. GuardML: Efficient Privacy-Preserving Machine Learning Services Through Hybrid Homomorphic Encryption
Shieh et al. Recommendation in the end-to-end encrypted domain
Jaberi et al. Privacy-preserving multi-party PCA computation on horizontally and vertically partitioned data based on outsourced QR decomposition
Nguyen Advancing Privacy and Accuracy with Federated Learning and Homomorphic Encryption
Shen et al. Privacy-preserving multi-party deep learning based on homomorphic proxy re-encryption
Wang et al. A flexible and privacy-preserving federated learning framework based on logistic regression

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160926

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160926

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20161202

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20161202

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20170203